Rozdział 11. ¨ TigerSuite — kompletny pakiet narzędzi do badania i ochrony sieci 635
W niniejszym rozdziale przedstawimy pakiet narzędzi pomocny w analizie zabezpieczeń — pozwalający badać, testować i zabezpieczać komputery i sieci przed różnymi lukami w mechanizmach ochronnych. Po poznaniu ich technologia zabezpieczeń nie powinna już być tak tajemnicza, czy to dla specjalisty IT, czy też zainteresowanego amatora. TigerSuite stanowić ma kompletny zestaw narzędzi przeznaczonych dla osób prywatnych, firm, administratorów i menedżerów zainteresowanych bezpieczeństwem swoich sieci. Wzięto pod uwagę zarówno zagrożenia zewnętrzne, jak i tworzone przez pracowników firmy (lub osoby mające dostęp „od wewnątrz”). W chwili pisania tego tekstu TigerSuite jest pierwszą próbą zebrania tak całościowego zestawu narzędzi bezpieczeństwa sieciowego.
Zanim rozpoczniemy omówienie działania pakietu, powinieneś zapoznać się z kilkoma definicjami.
Rozpoczniemy od pojęcia tiger team — „drużyna tygrysa”[1]. Początkowo określano w ten sposób grupę specjalistów wynajętych do zbadania ochrony granic systemu oraz testowania i analizy wewnętrznych zasad bezpieczeństwa w firmie. Ich zadaniem było włamywanie się do systemów komputerowych, telefonicznych i sejfów — wszystko to w celu ukierunkowania dalszych modyfikacji struktury zabezpieczeń.
Określenie to obecnie wyewoluowało i używane jest w odniesieniu do wszelkich oficjalnych grup, przeprowadzających audyty i inne operacje związane z zabezpieczeniami przedsiębiorstw. Jedynie część spośród nich tworzą profesjonalni hakerzy i crackerzy, badający implementacje systemów komputerowych właśnie w drodze włamań, których celem jest sieć lub inne zabezpieczane kanały komunikacyjne. Tiger team wzywa się również do badania spójności kodu programów. Wiele firm produkujących oprogramowanie zatrudnia zewnętrzne firmy i specjalistów, aby przeprowadziły testy ich produktów, zanim trafią na rynek.
Wraz ze wzrostem gęstości otaczających nas sieci coraz większe jest zagrożenie, że konkurent, szpieg, rozczarowany pracownik czy rozbrykany nastolatek posunie się do kradzieży poufnych danych albo mniej lub bardziej przemyślanego sabotażu. Internet i WWW otwarły duże pole do popisu osobom pragnącym włamać się do lokalnych sieci przedsiębiorstw. Z doświadczenia autora wynika, że około 85 procent przyłączonych do Internetu sieci jest wrażliwych na takie ataki. Ciągły postęp technologiczny jedynie zwiększa niebezpieczeństwo. Krótko mówiąc, włamanie do sieci lokalnej jest jak najbardziej realnym zagrożeniem dla każdej korzystającej z łączy WAN firmy.
Stąd właśnie wzięły się, stosowane zarówno przez hakerów, jak i członków tiger teams, zestawy TigerBox — komputery wyposażone w kolekcje narzędzi do monitorowania, podrabiania adresów, łamania haseł, skanowania i analizowania podatności na włamania. Mają one pomagać w wykryciu wszelkich luk umożliwiających przeprowadzenie skutecznego włamania do systemu.
Najważniejszym elementem TigerBox są systemy operacyjne. Dobrze przygotowany zestaw TigerBox pozwala pracować zarówno w środowisku UNIX, jak i Windows. Zbiory odpowiednich narzędzi przeznaczonych dla „okienek” wciąż nie są tak popularne, jak dla systemu UNIX. Platforma Microsoftu staje się przez to jeszcze bardziej interesująca. Jak wiadomo, UNIX to system operacyjny o dużych możliwościach, opracowany w AT&T Bell Laboratories pod kątem środowisk naukowych, inżynierskich i akademickich. Z natury jest to system wielozadaniowy, przystosowany do wielu użytkowników, a zarazem elastyczny i „przenośny”. Zapewnia obsługę poczty elektronicznej, pracę w sieci, narzędzia do tworzenia programów, przetwarzania tekstu i wspomagające pracę naukową. W ciągu wielu lat rozwoju najróżniejszych odmian systemu wykształciły się jego dwie podstawowe rodziny: UNIX System V firmy AT&T i Berkeley Software Distribution (BSD) z University of California w Berkeley. Silny jest również trend rozwojowy Linuksa, bardzo często stosowanego właśnie jako platforma dla różnych zestawów TigerBox. Zapewnia bezpośredni dostęp do wiersza poleceń systemu i swobodę doboru kompilowanych składników. Większość przedstawionych w tej książce przykładów można skompilować w Linuksie.
Współcześnie system Linux spotkać można w najróżniejszych dystrybucjach oferowany przez różne firmy. Jako najbardziej znane zestawy dystrybucyjne wyróżnić można: RedHat Linux (www.redhat.com), Slackware (www.slackware.org), Debian (www.debian.org), TurboLinux (www.turbolinux.com), Mandrake (www.linux-mandrake. com), SuSe (www.suse.com), Trinux (www.trinux.org), MkLinux (www.mklinux.org), LinuxPPC (www.linuxppc.org), SGI Linux (http://oss.sgi.com/projects/sgilinux11), Caldera OpenLinux (www.caldera.com), Corel Linux (http://linux.corel.com) i Stampede Linux (www.stampede.org).
Zainstalowanie boot-managera umożliwia uruchamianie na jednym komputerze w zależności od potrzeb jednego z dwóch lub więcej systemów operacyjnych (warto pamiętać, że Windows wygodniej będzie zainstalować jako pierwszy). W czasie pisania tego tekstu najbardziej stabilnymi i wszechstronnymi wersjami Windows są Windows 98 Second Edition i Windows ME (Windows 2000 jest jeszcze w fazie testów). Najwyższe oceny w kręgu systemów Linux zbiera RedHat Linux (www.redhat.com). W prosty sposób można więc przygotować konfigurację, w której inicjalizacja z dysku twardego prowadzi do uruchomienia Windows, a z dyskietki — Linuksa.
Użytkownicy mniej doświadczeni powinni zaopatrzyć się w dodatkowy program, ułatwiający korzystanie z wielu systemów operacyjnych i wyposażony w interfejs graficzny, na przykład BootMagic firmy PowerQuest (www.powerquest.com/products/ index.html).
Wymagania sprzętowe komputera, na którym zainstalujemy TigerBox, zależą od tego,0w jakim zakresie system będzie wykorzystywany. Czy będziemy tworzyć programy? Czy korzystamy z gier? Jako wymagania minimalne, wystarczające w większości zastosowań, wskazać można:
t Procesor: Pentium 160+.
t RAM: 64 MB.
t HDD: 8 GB.
t Karta graficzna i monitor: rozdzielczość co najmniej 1024´768.
t Sieć: dwie karty sieciowe, z których przynajmniej jedna obsługuje tryb pasywny lub odbierania (w trybie odbierania jawnie nakazujemy przechwytywanie wszystkich pakietów w sieci bez względu na to, kto jest ich adresatem).
t Inne: mysz trójklawiszowa, CD-ROM, stacja dyskietek.
Opracowany z użyciem zastrzeżonych technologii pakiet TigerSuite jest kompletnym zestawem narzędzi niezbędnych do przeprowadzenia profesjonalnej analizy zabezpieczeń — rozumianej jako ataki, w których przeprowadzamy rozpoznawanie, skanowanie, penetrację, przejęcie kontroli, szpiegowanie, zalewanie, podrabianie adresów, przechwytywanie pakietów, zarażanie, raportowanie, monitorowanie i inne podobne czynności. W porównawczym teście wydajności z września 2000, przeprowadzonym przez ValCom Engineers (www.pccval.com), gdzie wzięte zostały pod uwagę różnorodne komercyjne programy do rozpoznawania i skanowania portów, w prostym skanowaniu 1000 portów, Tiger Tools osiągnęły wynik krótszy niż 1 minuta, podczas gdy średni czas pozostałych narzędzi wynosił 35 minut. W podsumowaniu wyników autorzy testu określają Tiger Tools jako „budzące respekt”.
O ile mi wiadomo, pierwszym aktem prawnym, który jawnie zabrania włamań do systemów komputerowych, jest Federal Fraud and Computer Abuse Act z roku 1986, wprowadzony ze względu na istniejące wcześniej luki legislacyjne. Już z pierwszej części tego dokumentu dowiemy się, że świadomy dostęp do komputera bez upoważnienia i uzyskiwanie informacji z zamiarem szkodzenia Stanom Zjednoczonym lub czerpania korzyści dla innego kraju jest ciężkim przestępstwem. Chroniona jest tu każda informacja, którą inna ustawa lub rozporządzenie określa jako kluczową dla bezpieczeństwa państwa lub stosunków międzynarodowych. Dodatkowo, w dalszych punktach zabroniony jest również nieuprawniony dostęp do informacji agencji finansowych i badania rynku, gdy w operacji wykorzystywany jest komputer związany z rządem federalnym.
Pierwszym zakończonym skazaniem procesem opartym na tej ustawie była sprawa „United States vs. Robert Tappan Morris” (nr 774, sygn. 90-1336, Sąd Apelacyjny Stanów Zjednoczonych, Obwód Drugi, 4.12.1990-7.03.1991). Dotyczył on typowego włamania i spowodowanych nim szkód.
Skazanie oparte zostało na wspomnianej sekcji (a) ustawy, czyniącej ciężkie przestępstwo z zamierzonego i nieuprawnionego dostępu do każdego komputera związanego z rządem federalnym oraz modyfikowania i niszczenia informacji, a także utrudniania dostępu uprawnionego, gdy czynności te prowadzą do strat o wartości co najmniej 1000 dolarów.
Jesienią 1988 roku Morris był studentem pierwszego roku informatycznych studiów doktoranckich na Cornell University. W trakcie wcześniejszych studiów na Harvard University, jak również pracując, zdobył znaczne doświadczenie i umiejętności. Wraz z przyjęciem do Cornell University uzyskał konto na wydziale informatyki, co dało mu prawo korzystania z komputerów uniwersyteckich. Następnie prowadził wiele rozmów z innymi studentami na temat bezpieczeństwa sieci i możliwości jej penetracji.
W październiku 1988 roku Morris rozpoczął pracę nad programem komputerowym, znanym później jako „robak” czy też „wirus” internetowy. Jego celem było wykazanie braków w obecnych systemach bezpieczeństwa sieci komputerowych. Miało do tego prowadzić włamanie oparte na wykrytych przez Morrisa lukach. „Robak” miał rozpowszechnić się na wszystkich komputerach w sieciach komputerowych USA, poczynając od jednej tylko lokalizacji pierwotnej. Trafił ostatecznie do Internetu i kilku sieci krajowych, łączących komputery uniwersyteckie, rządowe i wojskowe. Łącza sieciowe umożliwiły jego szerokie rozpowszechnienie.
Dążeniem Morrisa było samo rozpowszechnienie programu, bez przyciągania nań uwagi. Miał wykorzystywać minimalną ilość czasu procesora i nie utrudniać normalnego użytkowania komputera. Wprowadzone zostały odpowiednie zabezpieczenia przed wykryciem i odczytaniem kodu „robaka”. Autor zadbał również o to, aby program nie zarażał ponownie komputera już raz „zdobytego” — ułatwiałoby to wykrycie i utrudniało korzystanie z systemu. Stąd też przesyłane do każdego kolejnego komputera „pytanie”, czy jest już zarażony,
czy nie. Warunkowało ono przenoszenie kodu. Morris obawiał się jednak, że inni programiści łatwo „zabiją” jego dzieło, przygotowując komputery, aby zawsze odpowiadały „tak”. Zapewniałoby to ochronę przed przyjęciem „robaka”. Rozwiązaniem miało być kopiowanie programu na co siódmy komputer, który odpowiedział „tak”. Jak się okazało, Morris znacznie nie docenił liczby namnożeń. Współczynnik 1:7 nie uchronił przed gromadzeniem się wielu kolejnych wersji w jednym systemie. Nie uchroniła przed tym nawet funkcja autodestrukcji podczas zamykania systemu. I ona miała zabezpieczać przed akumulacją „robaka” w komputerach obsługujących sieć.
Morris ustalił cztery drogi „robaka” do kolejnych systemów w sieci: pierwszą przez lukę w programie sendmail, służącym do przesyłania poczty elektronicznej między komputerami; drugą przez lukę w programie demona usługi Finger, umożliwiającego uzyskiwanie informacji o użytkownikach innego komputera; trzecią dzięki funkcji „stacji zaufanych” (trusted hosts), umożliwiającej użytkownikowi o określonych uprawnieniach na jednym komputerze, korzystać z równoważnych na innym; czwartą dzięki procedurze odgadywania haseł, próbującej wykorzystać różne kombinacje znaków w nadziei, że jedna z nich okaże się hasłem użytkownika.
2. listopada 1988 roku Morris wprowadził „robaka” na komputer w Massachusetts Institute of Technology, co miało oczywiście ukryć jego pochodzenie z Cornell University. Szybko stwierdził, że „robak” namnaża się i zaraża wielokrotnie komputery ze znacznie większą szybkością niż przewidywana. Komputery w całych Stanach Zjednoczonych zaczęły zawieszać się lub znacznie zmniejszyły możliwości przetwarzania. Widząc co się dzieje, Morris skontaktował się ze swoim kolegą z Harvardu, aby omówić problem. Wynikiem było rozesłanie z Harvard University anonimowej wiadomości z instrukcjami dla programistów, jak niszczyć „robaka” i zabezpieczać komputery przed ponownymi infekcjami. Sieć była już jednak przeciążona i wiadomość została rozesłana zbyt późno, aby spełnić swoje zadanie. Zarażone zostały komputery w najróżniejszych ośrodkach w USA, łącznie z największymi uniwersytetami, instalacjami wojskowymi i naukowymi placówkami medycznymi. W każdym z nich koszt walki z „robakiem” oceniono na kwotę od 200 do 53 000 dolarów.
Morris został uznany za winnego na podstawie ustępu (a)(5)(A) wspomnianej ustawy i skazany na trzy lata wyroku w zawieszeniu, 400 godzin służby publicznej, grzywnę wysokości 10 050 dolarów oraz pokrycie kosztów sądowych.
Proces był demonstracją zdolności systemu prawnego USA do ścigania naruszających interes państwa przestępstw komputerowych.
W kolejnych latach rząd federalny USA niechętnie już korzystał z tej ustawy, prawdopodobnie dlatego, że większość stanów również dopasowała swoje ustawodawstwo i Kongres rozważa przeniesienie jurysdykcji przestępstw komputerowych do sądów stanowych. Może być więc wskazane, aby zapoznać się z lokalnym stanem prawnym i tym, jak traktowane są różnego rodzaju badania konfiguracji systemów, włamania czy analiza zabezpieczeń.
Z TigerSuite korzystać można na dwa sposoby: po zainstalowaniu pakietu na dysku twardym lub bez instalacji, uruchamiając wersję „przenośną”. W pierwszym przypadku wykorzystywany jest program instalacyjny z dysku CD-ROM, który kopiuje pliki i uzupełnia menu Start. Wersja przenośna uruchamiana jest bezpośrednio z dysku optycznego poleceniem TSmobile.EXE. Pozwoliło na to wykorzystanie techniki przenośnej modularyzacji bibliotek. Jest to wygodna cecha, nie wymaga bowiem zmiany konfiguracji PC i nie zajmuje miejsca na dysku.
Zainstalowanie TigerSuite na dysku zajmuje tylko kilka minut. Program instalacyjny (załączony na CD-ROM-ie) automatycznie instaluje, konfiguruje i inicjalizuje wersję próbną pakietu.
Minimalne wymagania instalacji opisujemy poniżej.
t System operacyjny: Windows NT Workstation 4.0, Windows NT Server 4.0, Windows 95, Windows 98, Windows ME lub Windows 2000.
t Service Pack: dowolny.
t Procesor: Pentium lub lepszy.
t Pamięć: 16 MB lub więcej.
t Miejsce na dysku twardym: 10 MB.
t Połączenie sieciowe/internetowe: 10Base-T, 100Base-T, Token Ring, ATM, xDSL, ISDN, modem kablowy lub zwykłe połączenie modemowe korzystające z protokołu TCP/IP.
Procedurę instalacji podzielić można na 6 kroków.
1. Uruchamiamy TSsetup.EXE. Program instalacyjny rozpoczyna pracę od rozpakowania i weryfikacji plików. Jeżeli wykryta zostanie zainstalowana wcześniej wersja TigerSuite, starsze pliki zostaną automatycznie zastąpione. Wyświetlany jest ekran powitalny (patrz rysunek 11.1).
Rysunek 11.1.
Ekran powitalny pakietu TigerSuite
2. Klikamy Next (Dalej).
3. Przeglądamy umowę licencyjną. Wymagana jest zgoda na warunki umowy, którą potwierdza kliknięcie Yes. Kliknięcie No spowoduje przerwanie instalacji. Oto fragment:
Niniejsze oprogramowanie sprzedawane jest wyłącznie dla celów informacyjnych. Zawiera informacje i narzędzia służące do przeprowadzania profesjonalnych audytów zabezpieczeń. Autorzy i dystrybutorzy nie ponoszą odpowiedzialności za sposób ich wykorzystania. Oprogramowanie i towarzyszące...
streser