The Attack of the Script Kiddie                http://security.tsu.ru/info/unix/lance/enemy.html
Know  Your Enemy
Lance Spitzner, June 18,1999         _______________________________________________________________________________

Знай своего врага

Эта статья – первая из серии «Знай своего врага», в которой обсуждаются  методология, лежащая в основе одной из наиболее общих и универсальных угроз – Script Kiddie и средства, Script Kiddie применяемые.
Вторая статья фокусируется на том, как обнаружить эти попытки, определить, какие средства против Вас применяются, и какие слабые места в Вашей системе они пытаются обнаружить.
Третья статья обсуждает то, что случится, если Script Kiddies получат права рута. В особенности, как они будут маскировать свои действия  и что они будут делать дальше.

Кто такие Script Kiddies ?

Script Kiddie – некто, ищущий легкой добычи. Его не интересует специальная информация или определенная компания. Его цель – заполучить root’а наиболее легким способом. Он добивается этого с помощью немногочисленных способов взлома и  путем поиска в Интернете объекта  для такого взлома. Рано или поздно он находит уязвимую систему.
Некоторые из них – опытные пользователи, усовершенствующие свои собственные средства взлома и оставляющие после себя backdoors (потайные дверки). Остальные же не имеют представления о том, что они делают, и все, что они умеют, – напечатать команду “go” в командной строке. Вне зависимости от их уровня, и те и другие используют общую стратегию:  случайный поиск определенных уязвимостей с последующим взломом.

Угроза

Случайный выбор цели для взлома  представляет угрозу для любого в Интернете. Рано или поздно Ваша система будет  опробована и Вы не сможете скрыться от Script Kiddie. Вы  можете находиться в Сети всего два дня и с удивлением обнаружить, что Вас уже сканируют. Ничего удивительного -  возможно, Script Kiddie сканирует сетку, в которой Вы находитесь, целиком. Большинство средств, применяемых Script Kiddie,  легко используемы и легко доступны . Интернет не знает границ и любое новое средство взлома становится всеобщим достоянием достаточно быстро. В итоге, вопрос «Будут ли ломать мою систему?» отпадает сам собой, остается только вопрос «Когда это случится?»

Методология

 Она достаточно проста: cканируй Интернет на наличие слабых мест, а как найдешь – ломай! Большинство этих средств автоматизировано и требуют минимального Вашего участия. Вы запускаете средство и возвращаетесь через  несколько дней забрать результат. Как нет двух одинаковых средств, так и нет  двух похожих взломов. Тем не менее, большинство из этих средств имеют одинаковую стратегию. Во-первых, определение IP-адресов для сканирования. Во-вторых, сканирование этих IP на наличие определенных уязвимостей. Предположим, некто имеет средство, которое может взломать imap на Linux, такое как imapd_exploit.c. Во-первых, ему следует составить базу адресов, которые он может сканировать ( т.е. систем , до которых он может добраться (reachable systems)). Во-вторых, определить,  на каких из них стоит Linux. Многие сканнеры определяют это по ответу системы на  посланный ложный пакет , например Fyodor’s nmap. Затем, средство взлома определяет, запущен ли imap. Все, что остается – взломать систему.
Вы можете подумать, что процесс  взлома очень шумный и сразу привлекает внимание. Тем не менее,  многие люди, которые не мониторят свои системы, и не подозревают, что их сканируют.
Также, многие Script Kiddie  тихонько высматривают одиночную систему для взлома.  А после взлома используют эту систему в качестве стартовой площадки для дальнейшего сканирования и взломов.  Ну, а если его действия будут обнаружены, то SysAdmin системы - стартовой площадки для Script Kiddie, а не  Script Kiddie – невидимка, будет нести ответственность.
Также, обычно результаты сканирования сохраняются и передаются другим юзерам  для дальнейшего использования. Например, юзер выяснил, какие порты открыты на удаленной Linux – системе с целью взлома imap. Предположим, что через месяц было применено новое средство взлома Linux по другому порту. Вместо того, чтобы строить новую базу данных по портам, юзер заглядывает в свой архив и благополучно применяет новое средство.Либо Script Kiddie распространит или даже продаст базу данных об уязвимых системах другому . Script Kiddie затем может взломать Вашу систему и без сканирования. Даже если Ваша система еще ни разу не сканировалась, это не значит, что она защищена.
Большинство Script Kiddie , взломав систему, оставляют трояны и backdoors. Backdoors позволяют легко и незаметно для Сисадмина входить в систему в любое время. Трояны делают взломщика не обнаружимым. Его присутствие не покажут ни логи, ни системные процессы, ни файловая структура. Он строит уютный и защищенный дом, из которого он может спокойно сканировать Интернет. Подробнее, см.  Знай своего врага :III ( Know your enemy:III)
Эти атаки не привязаны к определенному времени суток. Многие админы полагают, что их сканируют по ночам и ищут записи в логах, относящиеся к этому времени. Script Kiddie атакуют в любое время суток  ( у Вас может быть полдень, а для Script Kiddie – полночь) и  в любой точке земного шара. (Интернет не имеет географических границ).

Средства

Применяемые Script Kiddie средства просты в использовании. Большинство из них ограничены одной целью и несколькими опциями. Первым становится средство построения  базы данных из случайным образом  выбранных IP-адресов. Например, одно из таких средств имеет три опции A, B, C. Буква, которую Вы выберете, определит размер сети, которая будет просканирована. Затем это средство случайным образом выберет IP-сеть, которая будет просканирована. Другое средство может использовать доменное имя (пример такой проги – z0ne ), устанавливая соответствие между доменом и его поддоменами с одной стороны и IP-адресами - с другой.
Есть юзеры, построившие базы из приблизительно 2 миллионов IP-адресов, сканируя .edu и .com домены.
Как только IP-определен, на этом хосте выискиваются слабые места (номер версии, ОС, сервисы, запущенные на нем). Как только уязвимость определена, Script Kiddie наносит удар.
Некоторые средства включают в себя все вышеперечисленные особенности, упрощая тем самым задачу, например sscan, cracker.pl.
Чтобы лучше понять как они действуют, см. Знай своего врага :II  (Know Your Enemy : II)

Как защитить себя

1. Script Kiddie ищут легкую добычу и применяют обычные взломы. Убедитесь, что Ваша система не подвержена такому взлому – http://www.cert.org  ,  http://www.ciac.org  , listserv bugtraq – источники такой информации.
2. Запускайте только те сервисы, который Вам действительно необходимы. Если сервис Вам не нужен – выключите его. Если же он нужен - убедитесь, что он последней версии. См. примеры в Armoring Solaris, Armoring Linux, Armoring NT.
3. DNS-сервера часто становятся источниками информации о системах, поэтому ограничьте количество систем, которые могут скачивать информацию с Вашего Сервера Имен. Ведите логи о несанкционированнных скачиваниях зоны  и проводите расследование по этим фактам. BIND должен быть последней версии, обязательно последней версии и только последней версии! См. http://www.isc.org/bind.html
4. Если Вашу систему пытаются взломать, следите внимательно за тем, что делает Script Kiddie, чтобы  определить, насколько это опасно и как следует реагировать на это.

Заключение

Script Kiddie  - угроза для любой системы. Рано или поздно Вас попытаются взломать.
Понимание их методов и мотивов позволит Вам лучше защитить Вашу систему от взлома.


Перевод  sciurus@mail.ru
4 апреля 2000г.