Библибоба

Читаем Призрак в Сети. Мемуары величайшего хакера полностью

Призрак в Сети. Мемуары величайшего хакера

Кевин Митник , Уильям Л. Саймон

Я дождался конца рабочего дня, перезвонил Скотту и назвал ему местный денверский номер с региональным кодом 303, под который я замаскировал свой сотовый на этот раз. Когда соединение инициировалось, обратный вызов приходил на сотовый телефон, я отвечал на него вручную, а потом модем устанавливал сетевое соединение. Несколько дней я выходил во внутреннюю сеть Sun через эту точку доступа.

Потом обратные вызовы внезапно перестали работать. Черт возьми! Что же стряслось?

Я дозвонился до Маунтин-Вью и оттуда вошел в денверскую систему. Кошмар! Скотт послал срочное электронное письмо Брэду Пауэллу, сотруднику отдела безопасности компании. Пауэлл установил функцию журналирования на тот номер дозвона, которым пользовался я. Теперь Пауэлл считывал все данные о моем сетевом трафике. Вскоре он обнаружил, что я не проверяю почту, а шарю по тем отделам системы, где мне быть не положено. Я очистил весь журнал, стерев таким образом все доказательства моих прогулок по сети, и сразу же сменил телефонный номер, который дал Скотту.

Вы можете спросить, не заставило ли это происшествие меня прекратить взламывать Sun. Нет, нисколько. Я просто снова стал дозваниваться в сеть через отделение Sun в Маунтин-Вью, чтобы найти как можно больше точек для соединения со SWAN (так называлась глобальная информационная сеть компании) на случай, если один из моих выходов в систему заблокируют. Я хотел настроить несколько точек доступа, чтобы всегда можно было войти в сеть разными путями. Моими целями были все региональные представительства компании Sun в США и Канаде. В каждом из таких офисов имелся свой местный номер дозвона, поэтому сотрудники любого офиса могли выходить в эту сеть, не дозваниваясь по межгороду в головной офис компании в Маунтин-Вью. Взламывать эти офисы было проще простого.

Исследуя сеть Sun, я наткнулся на сервер с хост-именем elmer, на котором хранилась полная база данных по всем ошибкам, найденным во всех операционных системах компании. В каждой записи содержалась подробная информация об ошибке: от первого сообщения о ее обнаружении до имени инженера, которому было поручено с ней разобраться, и специфического нового кода, написанного для устранения проблемы.

Типичный отчет об ошибке имел следующий вид:

...

Суть проблемы: с помощью команды syslog можно перезаписать любой системный файл

Ключевые слова: безопасность, пароль, syslog, перезапись, система

Сложность: 1

Приоритет: 1

Ответственный менеджер: kwd

Описание:

команда syslog и функция syslog в составе LOG_USER может использоваться для перезаписи *любого* системного файла. Очевидным нарушением норм безопасности считается использование syslog для перезаписи файла /etc/passwd. Такую операцию можно осуществлять из удаленных систем, если для LOGHOST не задано значение localhost

bpowell: код, позволяющий произвести взлом, удален из соображений безопасности

Если вам требуется копия такого кода, свяжитесь со Стейси Уэй (подрядчик) (staciw@castello.corp).

Обходной маневр: НЕВОЗМОЖЕН, кроме отключения syslog, признанного неприемлемым

Заинтересованные лица: brad.powell@corp, dan.farmer@corp, mark.graff@Corp

Комментарии: проблема очень серьезна. Уязвимость уже была использована в sun-barr для получения административных привилегий. Данная ошибка – одна из немногих, которые присутствуют в версиях как 4. IX, так и 2.Х ВСЕХ операционных систем, выпущенных компанией Sun.

Перейти на страницу:
Читать далее

Похожие книги

Linux: Полное руководство
Linux: Полное руководство

Данная книга представляет СЃРѕР±РѕР№ великолепное руководство по Linux, позволяющее получить наиболее полное представление об этой операционной системе. Книга состоит из трех частей, каждая из которых раскрывает один из трех основных аспектов работы с Linux: Linux для пользователя, сетевые технологии Linux (и методика настройки Linux-сервера), программирование Linux. Р' книге охвачен очень широкий круг вопросов, начиная с установки и использования Linux «в обычной жизни» (офисные пакеты, РёРіСЂС‹, видео, Р

Денис Николаевич Колисниченко , Питер В. Аллен

ОС и Сети, интернет
Читать бесплатно
Основы AS/400
Основы AS/400

Фрэнк Солтис

ОС и Сети, интернет / ОС и Сети / Книги по IT
Без регистрации
Создание микросервисов
Создание микросервисов

Книга посвящена программированию микросервисов — небольших автономных компонентов, позволяющих добиться модульности и отказоустойчивости любой программы. Теория микросервисов тесно связана с философией Unix, способствует улучшению архитектуры любых приложений, дает возможность избегать громоздкого и запутанного кода. Эта книга поможет читателю заново взглянуть на многие, казалось бы, трудноразрешимые проблемы, масштабировать любые проекты, ювелирно разрабатывать даже самые сложные системы.

Unknown , Сэм Ньюмен

Зарубежная компьютерная, околокомпьютерная литература / ОС и Сети, интернет / Программирование, программы, базы данных
Полная версия
Веб-аналитика: анализ информации о посетителях веб-сайтов
Веб-аналитика: анализ информации о посетителях веб-сайтов

Компании в веб-пространстве тратят колоссальные средства на веб-аналитику и оптимизацию своих веб-сайтов, которые, в свою очередь, приносят миллиарды долларов дохода. Если вы аналитик или работаете с веб-данными, то эта книга ознакомит вас с новейшими точками зрения на веб-аналитику и то, как с ее помощью сделать вашу компанию весьма успешной в веб. Вы изучите инструментальные средства и показатели, которые можно использовать, но что важнее всего, эта книга ознакомит вас с новыми многочисленными точками зрения на веб-аналитику. Книга содержит много советов, приемов, идей и рекомендаций, которые вы можете взять на вооружение. Изучение веб-аналитики по этой уникальной книге позволит познакомиться с проблемами и возможностями ее современной концепции. Написанная практиком, книга охватывает определения и теории, проливающие свет на сложившееся мнение об этой области, а также предоставляет поэтапное руководство по реализации успешной стратегии веб-аналитики.Эксперт в данной области Авинаш Кошик в присущем ему блестящем стиле разоблачает укоренившиеся мифы и ведет по пути к получению действенного понимания аналитики. Узнайте, как отойти от анализа посещаемости сайта, почему основное внимание следует уделять качественным данным, каковы методы обретения лучшего понимания, которое поможет выработать мировоззрение, ориентированное на мнение клиента, без необходимости жертвовать интересами компании.- Изучите все преимущества и недостатки методов сбора данных.- Выясните, как перестать подсчитывать количество просмотренных страниц, получить лучшее представление о своих клиентах.- Научитесь определять ценность показателей при помощи тройной проверки "Ну и что".- Оптимизируйте организационную структуру и выберите правильный инструмент аналитики.- Изучите и примените передовые аналитические концепции, включая анализ SEM/PPC, сегментацию, показатели переходов и др.- Используйте решения с быстрым началом для блогов и электронной торговли, а также веб-сайтов мелкого бизнеса.- Изучите ключевые компоненты платформы экспериментирования и проверки.- Используйте анализ конкурентной разведки для обретения понимания и принятия мер.Здесь также находятся:- Десять шагов по улучшению веб-аналитики.- Семь шагов по созданию управляемой данными культуры в организации.- Шесть способов замера успеха блога.- Три секрета создания эффективной веб-аналитики.- Десять признаков великого веб-аналитика.

Авинаш Кошик

ОС и Сети, интернет
Читать Онлайн
Избранное