книги хакеры / Защита_от_взлома_сокеты,_эксплойты,_shell_код_Фостер_Дж_

Прежде всего, хочу поблагодарить свою семью за неизменную веру в меня и в те амбициозные цели, которые я перед собой ставлю. Вы продолжаете поддерживать мои мечты и устремления. Мама, папа, Стив и Маму – моя благодарность вам не знает границ.

Хотел бы также выразить признательность всем, кто помогал мне в написании этой книги, в том числе Майку Прайсу (Mike Price), Маршаллу Беддоу (Marshall Beddoe), Тони Беттини (Tony Bettini), Чаду Кэртису (Chad Curtis), Нильсу Хейнену (Niels Heinen), Рассу Миллеру (Russ Miller), Блейку Уоттсу (Blake Watts), Кэвину Хэррифорду (Kevin Harriford), Тому Феррису (Tom Ferris), Дейву Эйтелю (Dave Aitel), Синан Эрен (Sinan Eren) и Стюарту Макклеру (Stuart McClure). Ребята, вы великолепны. Спасибо вам!

Отдельное спасибо корпорации Computer Sciences Corporation за разрешение опубликовать эту работу. Рег Фоулкс (Reg Foulkes) – ты парень что надо! Кроме того, благодарность заслужили Крис Стейнбах (Chris Steinbach), Джейсон Энрайт (Jason Enwright), Рон Ноуд (Ron Knode), Дженнифер Шульце (Jennifer Shulze) и Мэри Пратт (Mary Pratt).

И напоследок хочу поблагодарить весь коллектив издательства Syngress Publishing. Гэри, спасибо тебе зате долгие часы, которые ты потратил на эту книгу. Эми, спасибо за работу над этой и другими книгами. Эндрю, прими благодарность за оказанную мне поддержку и за то, что ты продолжаешь работать над такими увлекательными проектами. Так держать, Syngress. Я же надеюсь в заняться ближайшем будущем не менее интересным проектом.

Джеймс К. Фостер является заместителем директора компании Global Security Solution Development for Computer Sciences Corporation, где отвечает за постановку и реализацию решений, относящихся к различным аспектам безопасности: физической, кадровой и информационной. До перехода в CSC Фостер работал директором по исследованиям и разработкам в фирме Foundstone Inc. (позднее ее приобрела компания McAfee), где отвечал за все аспекты изготовления продуктов, консалтинг и корпоративные инициативы в области НИОКР. Еще раньше Фостер был консультантом и научным сотрудником

âкомпании Guardent Inc. (ее приобрела фирма Verisign) и одним из авторов, пишущих для журнала Information Security (приобретенного TechTarget). До этого он работал специалистом-исследователем в области безопасности в министерстве обороны. Основные его интересы лежат в сфере высокотехнологичного дистанционного управления, международной экспансии, прикладной безопасности, анализа протоколов и алгоритмов поиска. Фостер много раз выполнял анализ кода отдельных компонентов коммерческих ОС, приложений для платформы Win32 и коммерческих реализаций криптографиче- ских систем.

Фостер часто выступает на различных конференциях, технических форумах, посвященных исследованиям в области безопасности в США, уделяя особое внимание таким мероприятиям как Microsoft Security Summit, Black Hat USA, Black Hat Windows, MIT Wireless Research Forum, SANS, MilCon, TechGov, InfoSec World 2001 и Thomson Security Conference. Его нередко просят высказать мнение по актуальным проблемам безопасности и цитируют в таких изданиях как USAToday, журналах Information Security, Baseline, Computerworld, Secure Computing и MIT Technologist. Фостер имеет ученую степень бакалавра, обладает сертификатом MBA, а также многими другими техниче- скими и управленческими сертификатами. Он слушал курсы или проводил на- учные исследования в таких учебных заведениях, как Йельская школа бизнеса, Гарвардский университет и университет штата Мэриленд, а в настоящее время занимается исследовательской работой в Школе бизнеса в Вартоне (Wharton), штат Пенсильвания.

Фостер часто публикуется в различных коммерческих и образовательных изданиях. Он автор, соавтор или редактор многих объемных публикаций,

âчастности: Snort 2.1 Intrusion Detection (Syngress Publishing, ISBN: 1-931836- 04-3), Hacking Exposed (четвертое издание), Anti-Hacker Toolkit (второе изда-

Нильс Хейнен (Niels Heinen) работает научным сотрудником в области безопасности в одной европейской фирме. Он занимался исследованиями в области техники поиска и эксплуатации уязвимостей, особо специализируется на написании позиционно-независимого кода на языке ассемблера, предназна- ченного для изменения потока выполнения программы. Его интересуют главным образом системы на базе процессоров Intel, но имеется также опыт работы с процессорами MIPS, HPPA и особенно PIC. Нильс получает удовольствие от создания полиморфных «эксплойтов», сканеров для анализа беспроводных сетей и даже инструментов для снятия цифровых отпечатков ОС. У него имеется также постоянная работа, связанная с углубленным анализом программ, относящихся к безопасности.

Маршалл Беддоу (Marshall Beddoe) – научный сотрудник в компании McAfee (ранее в фирме Foundstone). Он выполнил много работ в области пассивного анализа топологии сетей, удаленного обнаружения систем, работающих в режиме пропускания (promiscuous mode), снятия цифровых отпе- чатков ОС, внутреннего устройства операционной системы FreeBSD и новых методов поиска и эксплуатации уязвимостей. Маршалл выступал на таких конференциях по безопасности как Black Hat Briefings, Defcon и Toorcon.

Тони Беттини (Tony Bettini) возглавляет отдел НИОКР в компании McAfee, ранее работал в компаниях, занимающихся безопасностью, в том числе Foundstone, Guardent и Bindview. Он специализируется на безопасности и поиске уязвимостей в Windows, программирует на ассемблере, C и других языках. Тони обнаружил несколько уязвимостей в программах PGP, ISS Scanner, Microsoft Windows XP и Winamp.

Чед Кертис (Chad Curtis) – независимый консультант, проживающий в Южной Калифорнии. Чед был научным сотрудником в компании Foundstone, где возглавлял группу по обнаружению угроз. Он обладает большим опытом в создании сетевого кода для платформы Win32, написании сценариев, эксплуатирующих известные уязвимости и разработке интерфейсов. Одно время Чед работал сетевым администратором в сети центров обучения работе с компьютерами Computer America Training Centers.

Стюарт Макклюр (Stuart McClure) – обладатель сертификатов CISSP, CNE, CCSE. Он работает старшим вице-президентом подразделения по разработке программ для управления рисками в компании McAfee, Inc., где отвечает за выработку стратегии и маркетинг для семейства программных продуктов McAfee Foundstone по управлению и снижению рисков. Эти продукты позволяют компаниям ежегодно экономить миллионы долларов и человекочасов за счет противостояния хакерским атакам, вирусам, червям и прочим злонамеренным программам. До этого Стюарт был основателем, президентом и главным технологом в компании Foundstone, Inc., приобретенной McAfee в октябре 2004 года.

Стюарт широко известен своими обширным и глубокими познаниями

âобласти информационной безопасности и считается одним из ведущих авторитетов в этой сфере. Он много публикуется и обладает 15-летним опытом технического и административного руководства. В Foundstone он осуществлял выработку стратегии развития, а также нес ответственность за весь цикл разработки, поддержки и реализации. Обладая несомненными лидерскими качествами, Стюарт добился ежегодного 100-процентного роста доходов с момента основания компании в 1999 году.

До создания компании Foundstone Стюарт занимал различные руководящие должности в индустрии информационных технологий, в том числе в группе мониторинга национальной безопасности в компании Ernst & Young, два года проработал аналитиком промышленности в центре тестирования InfoWorld, пять лет был директором по информационным технологиям в правительстве штата Калифорния, два года являлся владельцем консалтинговой фирмы

âтой же области и два года работал в университете штата Колорадо.

Стюарт получил ученую степень бакалавра психологии и философии с упором на приложения к информатике в университете штата Колорадо, Боулдер. Позже он получил многочисленные сертификаты, в том числе ISC2 CISSP, Novell CNE и Check Point CCSE.

Наступит ли «судный день»?

Со времен появления первых компьютеров индустрия безопасности прошла немалый путь. Вирусы, черви и злонамеренные программы тех давно минувших дней ничто по сравнению с современными угрозами. И в процессе развития индустрия оказалась у критической черты. Станет ли постоянно растущая сложность (а нам приходится все больше усложнять наши средства) угрозой для современного общества, культуры и рынков?

Обратимся к фактам. Если сравнить, сколько времени требовалось на превращение обнаруженной уязвимости в готового червя в 1999 году и сегодня, то окажется, что самораспространяющийся червь теперь изготавливается в 20 раз быстрее: за четырнадцать дней в 2004 году против 280 дней в 1999. Таких червей легко создать, для этого не нужно почти никаких знаний, а запускают их без всякого зазрения совести. И, стало быть, большее число хакеров организует большее число атак за меньшее время.

Впервые мы познакомились с этими новыми, более изощренными изделиями в конце 90-х годов на примере червя «sadmind». Он начал с атаки на службу RPC в операционной системе Solaris, которая называлась sadmind. Скомпрометировав систему под управлением Sun Solaris, червь затем перебрался на машины под управлением Windows, превратив и их в добычу хакера. Мы видели и червей, способных одновременно атаковать различные сервисы. Сталкивались мы и с червями, меняющими свое обличье, что делало задачу их обнаружения и защиты от них неимоверно трудной. Именно такие смешанные угрозы ожидают нас в будущем, но не в виде отдельных червей. Завтрашние черви будут сочетать в себе все вышеперечисленные особенности (многоплатформенность, полиформность и многовекторность) в стремлении создать «червя судного дня», от которого не будет защиты.

А какого рода вред могут нанести такие черви? Они могут воздействовать на все, что угодно. Значительная доля наших рынков, инфраструктуры и банков компьютеризована и связана в единую сеть. Подумайте, что случится, если вы не сможете в течение месяца добраться до своих денег в банке или брокерской конторе? Или, пересекая железнодорожный путь или перекресток, не будете уверены, что водители машин, подъезжающих с другой стороны, видят не тот же свет, что и вы. Полагаете, такое бывает только в фантасти- ческих романах? Не будьте так уверены.

Возьмем, к примеру, недавнего червя Banker.J. Во время исполнения он заражает систему примерно так же, как и описанные выше черви, но с од-