Читаем Защита от хакеров корпоративных сетей полностью

192.168.1.103 *.hotmail.com

192.168.1.103 *.anybank.com

Другие разновидности перехвата

Еще одним видом соединений, который часто перехватывается, являются терминальные сессии. Группа компьютерной «скорой помощи» CERT (CERT – Computer Emergency Rresponse Team, группа компьютерной «скорой помощи». Организация, следящая за угрозами безопасности сетевых компьютеров, в том числе в Интернет) выпустила информационные материалы по подобным атакам, которые произошли в период дикого беспредела в начале 1995 года. Эти предупреждения можно найти на сайте www.cert.org/advisories/CA-1995-01.html.

Организация CERT – не та организация, которая разглашает сведения об инструментальных средствах атак или подробности их осуществления, поэтому точно неизвестно, какое именно инструментальное средство было использовано в том или ином конкретном случае. Тем не менее в соответствии с рекомендациями организации CERT за последние нескольких лет были опубликованы сведения о ряде инструментальных средств этой категории. Вот некоторые из них:

• перехватчик телетайпных соединений TTY Hijacker для Linux и FreeBSD (www.phrack.org/show.php?p=51&a=5);

• загружаемый модуль ядра Linux для перехвата телетайпных соединений TTY (www.phrack.org/show.php?p=50&a=5);

• бреши в системе защиты pppd, позволяющие проводить атаки типа MITM на телетайпные соединения TTY (securityfocus.com/archive/1/ 8035).

Это далеко не полный список. При необходимости найти перехватчика terminal/TTY-соединений лучше всего воспользоваться доступными возможностями поиска для отыскания нужной программы, работающей в заданной операционной системе. Заметьте, что для перехвата соединений злоумышленнику, как правило, нужно обладать правами суперпользователя root или знать, как воспользоваться различными дырами в системе безопасности атакованной системы.

...

Инструментарий и ловушки

Необходимость чтения литературы

Искренне желая быть в вопросах компьютерной безопасности на шаг впереди злоумышленников, следует потребовать от своих сотрудников быть в курсе тех же самых источников информации, которыми обычно пользуются злоумышленники. В эти источники входят различные списки адресатов, например Bugtraq, NTBugtraq, vuln-dev и другие. Более подробная информация о списках рассылки по вопросам безопасности приведена в главе 18. Специалистам в области компьютерной безопасности следует просматривать журналы «Phrack» и «2600», а также следить за информацией на Web-сайтах типа Security-Focus.com, пытаясь найти новые документы, заголовки и статьи. На это потребуется время, но если вы хотите сделать нечто большее, нежели просто латание дыр по мере их появления путем применения вышедших патчей, то это стоит того.