「システムクラッカー」 のクラックテクニック
---------------------------------------------------------------------
企業とプライベートネットワーク
----------------------------------------
By the consultants of the Network Security Solutions Ltd.
Front-line Information Security Team (FIST), December 1998.
fist@ns2.co.uk http://www.ns2.co.uk
------------------------------------------------------------------------------
0 目次
------------------------------------------------------------------------------
1.イントロダクション
1.1 誰が最も攻撃されやすいのか?
1.2 典型的な「クラッカー」のプロフィール
2 ネットワーキング
2.1 多くの企業で採用されているネットワーク構成。
2.2 企業ネットワークの弱点の理解
3 攻撃
3.1 クラッカーの身元を隠すテクニック。
3.2 ネットワーク調査と情報収集。
3.3 信頼されたネットワークコンポーネントの識別。
3.4 セキュリティホールの識別。
3.5 攻撃し易いネットワークコンポーネントの有用性。
3.6 攻撃されやすいネットワークコンポーネントのアクセス権を得た後で。
4 ネットワークへのアクセス及びリソースの乱用。
4.1 機密情報のダウンロード。
4.2 他の信頼できるホストとネットワークのクラッキング。
4.3 スニファーのインストール。
4.4 テイクダウンネットワーク
5 全体のネットワークセキュリティの改善。
5.1 推薦ドキュメント。
5.2 推薦セキュリティツール、プログラム
------------------------------------------------------------------------------
1.0 イントロダクション
------------------------------------------------------------------------------
このドキュメントは、比較的大規模なネットワークの、システム管理者とネットワークオペレーションスタッフに、典型的なクラッカーが使うクラック戦略と方法を見抜く助けとなるよう書かれた。
このドキュメントは、どのようにあなたのネットワークを安全に保つかを述べたものではない。しかし、あなたのネットワークのセキュリティホール、そして起こるべきアクシデントを発見する助けになるかもしれない。
我々は、あなたがこのドキュメントを楽しく読むことを、またどのようにクラッカーが仕事をしているかを多少なりにも学んでくれることを希望する !
The Network Security Solutions Ltd. FIST staff (fist@ns2.co.uk)
------------------------------------------------------------------------------
1.1 誰が最も攻撃されやすいか?
------------------------------------------------------------------------------
ネットワークで結ばれたコンピュータ環境は、企業や種々の組織によって日々使われている。 ユーザーは、コンピュータネットワークを利用することにより、非常に効率的に、膨大な量のデータを共有することができる。
通常企業のネットワークは、セキュリティ面において考慮され、また対策されることは少ない。
ただ機能と効率性が優先されており、短期的なビジネス見地からすれば問題ないけれども、後に生ずるセキュリティ上の問題を解決するのに、数億もの費用がかかってしまう。
たいていの企業ネットワーク、またはプライベートネットワークは、クライアント・サーバー方式であり、従業員は情報を共有するためにコンピュータをサーバーに接続する。 このドキュメントでは、クラッカーが常にターゲットとするサーバーのセキュリティについて言及する。サーバーはすべての情報が蓄積される中枢であるからである。もし、クラッカーが、このようなサーバーに不正アクセスできたなら、彼の残りの仕事は、非常に容易なものとなる。
通常、以下の様な、企業や団体のネットワークが狙われる。
金融機関と銀行
インターネット・サービスプロバイダ(ISP)
製薬企業
政府と防衛政府機関
種々の政府機関請負業者。
多国籍企業
これらのネットワークにおいて、その多くは、アクセス権のある内部の人間によってクラックされるけれども、このドキュメントは、外部からネットワークに侵入するときに、使われるテクニックについて言及する。
金融機関と銀行は、データ改竄による詐欺を目的に、ネットワークからクラックしやすい部分をよくスキャンされる。 多くの銀行が、巨額な金銭を目的に、狙われてきた。 銀行は、外部から不正アクセスされたとしても、絶対に公に認めない。それが公の事実になったら、確実に顧客と信頼を失うからである。
ISPは、クラッカーの共通のターゲットである。ISPのサーバーは、インターネットから容易にアクセス可能であり、また、インターネット上の大容量のデータを動かすのに十分な伝送路を持っているからである。 また、大手 ISPは、顧客データベースを持っている。それは通常、クレジットカードの番号、名前や住所のような個人情報を含んでいる。
製薬企業は、産業スパイの犠牲者である。産業スパイは、クラッカーがチームを組んで組織化されている集団である。製薬会社は、クラッカーチームに盗まれた製薬データと引き換えに巨額のお金を支払う。製薬企業は、しばしば何億円も研究・開発に注ぎ、結果として、大部分がクラックされ、失われてしまう。
ここ6年の間、アメリカ政府や国防省が、インターネットを通して、何百万という数の攻撃を受け、そして損害を受けている。 情報セキュリティに関する予算が少ないことと、セキュリティ意識が低いことから、政府や国防省のサーバーが、いつもクラッカーによってスキャンされ、そして攻撃されるようになった。
軍需関連の請負業者は、セキュリティ意識は高い。しかし、機密性が高い軍のデータを探しているクラッカー達のターゲットとなっている。 クラッカーは、このようなデータを、外国のグループに売ることができる。 これらのケースは、ほんのひと握りのだけが公になっているだけで、このようなことは、驚くべき頻度で起きている。
多国籍企業は、クラッカーの犠牲者の主要例である。 多国籍企業は、世界中にオフィスが点在し、そして大規模企業ネットワークを構築し、従業員が効率的に情報をを共有できるようにしている。 NSS(筆者が勤めているネットワークセキュリティ会社)が多国籍企業のネットワークに、疑似侵入テストを実行してきた中で、たいていの調査結果は侵入可能であった。
エレクトロニクス、ソフトウェアあるいはコンピュータ関連の多国籍企業においても、製薬企業のように、数億円もの額を研究や新しい技術の開発に費やしている。 このような企業のコンペチターが、クラッカーチームを雇い、相手企業のデータを盗ませることは、非常に誘惑的なことである。 このようなデータは、コンペチターのキーテクノロジーに対する知識向上を、速やか、かつ容易にし、そして結果として、相手企業の損失をもたらすことになる。
もう1つ、コンペチターへの攻撃の仕方に、長い時間、相手企業のネットワークをダウンさせてしまう方法がある。結果として、相手企業の収益を減らすことができる。 たいていのケースで、このような攻撃の源を見つけることは非常に難しい。 内部のネットワークセグメントの分割の仕方によっては、非常に効率的な攻撃が可能で、そして大規模な金銭的損失をもたらすことができる。
このような「犯罪」は今日のネットワーク社会では、ありふれている。そして、この事実は、非常に真剣に受けとめるべきである。
------------------------------------------------------------------------------
1.2 典型的な「クラッカー」のプロフィール
------------------------------------------------------------------------------
ある報告によると、典型的なクラッカーは、性別は男で、年齢は16〜25歳だという。 このようなクラッカーは、通常、彼らのクラック技術の向上や、あるいはネットワーク上のリソースを使用するために、ホストやネットワークに侵入する。 たいていのクラッカーの攻撃は、非常にしつこい。これは典型的なクラッカーは、時間に余裕があるからである。
多くのクラッカーは、日和見主義者である。そして、ネットワークのセキュリティホールを探す為に、かなりの数のコンピュータを1台づつチェックする。 そして、ホストやネットワークに、セキュリティホールを見つけるや否や、クラッカーは、ルートを取って、バックドアを仕込み、そしてセキュリティホールにパッチを当てる。これは他のクラッカーが同じ手口で、ホストにアクセスするのを阻止する為である。
日和見主義者は、主に2つの網からアタックをかける。 それは、インターネット網と電話回線網である。
インターネット上のホストのセキュリティホールを探す為に、クラッカーは、通常、インターネットへの接続が高速なホストを使う。
電話回線網に接続されているターミナルサーバー、掲示板システム、あるいはボイスメールシステムを調査するために、クラッカーは、 wardialling プログラムを使う。これは自動的かつ多数の、電話番号をかけて、これらのシステムを識別するものである。
希に、ターゲットを予め決めてから、攻撃するクラッカーがいる。このようなクラッカーは、はるかに高いスキルを持っていて、ネットワークを一刀両断するテクニックを持っている。 これらのタイプのクラッカーは、ファイアウォールで守られている企業ネットワークを、公表されていないセキュリティホールを突いてクラックする。
通常これらのクラッカーに狙われたネットワークやホストは、機密性が高いデータや、研究開発のドキュメント、あるいはクラッカーにとって有益であるデータを蓄積している。
このようなクラッカーは、セキュリティコンサルタント会社や大企業が使用しているセキュリティツールや対策にもアクセスすることができる。それをターゲットのセキュリティホールをスキャンする時に、使用している。 特定のホストを攻撃するクラッカーもまた、通常非常に辛抱強くて、そして、ホストあるいはネットワークにアクセスを試みる前に、データを集めて何カ月も過ごしている。
------------------------------------------------------------------------------
2.1 多くの企業によって採用されているネットワーク構成
------------------------------------------------------------------------------
多くの企業は、次の目的のためにインターネット環境を持っているであろう:
企業の Web サーバ
電子メール
他のグローバルな通信
これらを従業員に提供している。
NSSが、企業ネットワークに対しインターネットから、疑似侵入テストを実施した中で、企業は、通常インターネットと企業ネットワークを、ファイアウォールとアプリケーションプロクシによって境界を作っている。
このような環境では、企業の Web サーバとメールサーバは、通常企業ネットワークの外部(つまりインターネット上)に置き、信頼性のあるチャネルを使って、企業ネットワークの内部へ情報を送っている。
企業ネットワークと外部のメールサーバ間には、良く考えられ、また効率的なフィルタリング機能を持っていなければならない。通常外部のメールサーバは、ポート25のみ接続可能とするべきである。これは、もし、メールサーバがクラックされたとしても、企業ネットワークへの不正アクセスを最小限にする非常に効果的な方法である。
NSSが同じく疑似侵入テストを行った企業ネットワークの中に、希に、デュアルホームホスト、これはインターネットと企業ネットワーク両方にアクティブなネットワークインタフェースを持っているもの、がある。 セキュリティ上、複数のネットワークインターフェースを持つホストは、非常に危険である。なぜなら、もし、このホストがクラックされたら、単にネットワークの橋渡しとしかならないからである。
------------------------------------------------------------------------------
2.2 企業ネットワークの弱点の理解
------------------------------------------------------------------------------
ある企業が、インターネット上に、5つのWeb サーバ、2つのメールサーバーとファイアウォール、あるいはフィルタリングシステムを置くことがあるかもしれない。
ウェブサーバは、通常、企業ネットワークへの不正アクセスを狙っているクラッカーが攻撃対象とすることは無い(但し、ファイアウォールのミス設定により、ウェブサーバをクラックすることによって企業ネットワークへ侵入出来る場合を除く)。 しかし、ウェブサーバのセキュリティを施すこと及びTCPモジュールを起動させて、TELNETやFTPの信頼性のあるコネクションを張ることは、良い訓練となる。
メールサーバーは、通常、不正アクセスを狙っているクラッカーの攻撃対象となる。それは、外部メールサーバーは、、メールの分配や交換をするため、内部のメールサーバーとアクセスしなければならないからである。 この攻撃は、フィルタリングの仕方により、効率的にもなるし、そうならない場合もある。
インターネットからのパケットにフィルターをかけているルーターも、クラッカーの攻撃対象となっている。クラッカーは、SNMPプロトコルを用いてネットワークをスキャンし、ブルートフォースプログラムを使ってアタックをしかける。もし、このアタックが成功すれば、ルータは、企業ネットワークへ不正アクセスを許すブリッジとなる。
このような状況で、クラッカーは、どの外部のホストにアクセスをしかけ、そして企業ネットワークと外部ホスト間に、どのような信頼性が確立しているか確認しようと試みるであろう。 それ故、もしあなたが外部のホストの上に TCPモジュールをインストールするなら、接続可能なポートは、信頼性のあるものを定義すべきである。通常は、以下の通りである。
FTP(21)、SSH(22)、 TELNET(23)、SMTP(25)、NAMED(53)、POP3(110)、IMAP(143)、RSH(514)、RLOGIN(513)、LPD(515)。
SMTP、NAMED及びPORTMAPPERは、ネットワーク上のホストの役割に従って、フィルタリングするべきである。
このようなフィルタリングは、企業ネットワークに対する攻撃の被害を大きく減らすことが証明されている。
実際に、インターネットに対するセキュリティに全く無関心な企業や、マルチインターフェースを持つホストや、また誤設定されているルータが存在する。
内部のネットワークのセグメントの分け方に欠点があるものもあり、これはクラッカーへ不正アクセスを容易に許してしまう。
もし外部DNSサーバーが誤設定されていれば、企業ネットワークをマッピングすることは容易に出来てしまう。実際に、NSSは、疑似侵入テストをしてきて、誤設定されたDNSサーバから、企業ネットワークをマッピングすることが可能であった。DNSサーバーが、企業ネットワークと外部ホストの間に存在しないということは、非常に重要である。誤設定されていなければ、DNSサーバーは、企業ネットワークと外部マシン間の接続に、単にIPアドレスを使うだけであり非常に安全なものである。
多数のネットワークインタフェースを持っている心もとないホストが、企業ネットワークへ不正アクセスする為に、非常に簡単に利用されている。
心もとないホストは、攻撃される迄もなく利用されてしまう。 このようなホストのフィンガーデーモンは、非常に簡単に利用されてしまう。そして、ユーザや、ホスト、あるいはネットワークの情報を提供してしまい、企業ネットワーク上の利用可能なホストの識別に利用されてしまう。また、ホストのOSまでが、多くのケースでroot@host、bin@host、daemon@host のフィンガーリクエストにより決定されてしまう。
あるクラッカー達が、企業のビルやネットワークオペレーションセンターへ、wardiallingをしかける様なテクニックを採用し始めている。
もしクラッカーが、企業のターミナルサーバーを発見し、攻撃を開始したら、企業ネットワークへのアクセス権を得るであろう。このようにして、インターネットを隔離しているファイアウォールあるいはフィルタリングシステムを回避しているのである。 ターミナルサーバーのセキュリティの認識及び確保は、非常に重要であり、また、そのようなサーバーのログを取ることは、大変大切なことである。
ネットワークシステムのセキュリティホールを理解しようとするときのキーポイントに、ネットワーク上のホスト間の信頼関係がある。 TCPモジュール、 hosts.equiv ファイル、 .rhostsファイル あるいは .shosts ファイルのいづれを使用するにしても、多くの大規模ネットワークにおいて、ホスト間の信頼関係を利用した攻撃というのが一般的であることを忘れてはいけない。
例えば、もしクラッカーがCGIを使い、あなたの hosts.allow ファイルを見たら、彼はあなたのネットワーク上での ftp や telnet 等のコネクションを見ることが出来るかもしれない。 もちろん、次にクラッカーは、ネットワーク上のどのホストにでもアクセスでき、そして容易にあなたのホストのアクセス権を得ることができる。
それ故、信頼関係のあるホストにおいては、外部からの攻撃に対し、同様にセキュリティを確保することは良い考えである。
言及しておくもう一つの攻撃に、従業員がプロキシやファイヤウォールを通して、WAREZサイトから著作権を侵害したソフトをダウンロードした時に、trojansやバックドアが企業ネットワーク上のホスト(WINDOWS95/98等)へインストールされるのを利用するものがある。
このようなWAREZサイトは通常スクリーンセーバーや他のユーティリティーを提供している。そして、それらのソフトは、Cult of the Dead Cow's 'Back Orificeのような、trojanプログラムを含んでいる。 スクリーンセーバーをインストールすると、 trojan はコンピュータのレジストリを荒らして、そして、マシンが起動する度に、動くように設定される。
BO trojan 等は、IRCサーバに自動的に接続したり、また、あるチャネルに接続したりする pluginsをインストールすることができる。 あなたの企業ネットワークの上に trojanがインストールされたマシンが存在し、インターネット上の誰かによってコントロールできたとすれば、これは非常に危険である。
もしクラッカーが、彼自身が従業員であったり、あるいは企業のホストに不正アクセスをもっていたら、BO trojan は非常に効果的となる。 もしクラッカーが、全てのWindows 95/98マシンを完全なリモート操作(ファイル操作、再起動やドライブのフォーマット等)を可能とし、クラッカーが正しい戦略を持ったらはBO trojan は、残らずすべてのマシンにインストールされるのは時間の問題であろう。
------------------------------------------------------------------------------
3.1 クラッカーの身元を隠すテクニック
------------------------------------------------------------------------------
典型的なクラッカーは、通常、真の IP アドレスを隠す以下のテクニックを使うであろう:
既に、クラックしてあるホストでtelnet あるいは rshを利用する。
WINDOWSホストをWingates を通して利用する。
誤設定されたプロキシを利用する。
もし、クラッカーが、既にクラックしてあるホストや、WINGATES、プロクシ等を使って、あなたのホストを覗いていたなら、システム管理者へ電話で連絡することは非常に賢明なことである。 このような場合決してシステム管理者へ電子メールを出してはいけない。なぜならクラッカーは、電子メールを途中で捕え見ることができるからである。
電話交換網からホストへ侵入することに熟練した天才クラッカーは、以下のテクニックを使用するだろう。
フリーダイヤルを利用し、 クラックしたアカウント、phished アカウントあるいはカードアカウントで、ISPへ接続する。
電話網から接続した後、インターネットに接続出来るホストを利用する。
インターネットに電話回線網を通して接続しているクラッカーの場合、クラッカーを追い込むことは非常に困難である。なぜなら、世界中のどこからでも接続できるからである。 もしクラッカーがフリーダイヤルを使えば、世界中に電話しても、お金の心配は必要ないのである。
------------------------------------------------------------------------------
3.2 ネットワーク調査と情報収集
------------------------------------------------------------------------------
インターネットから企業ネットワークを攻撃し始める前に、典型的なクラッカーは、インターネット上のホストで、若干の事前調査を行うであろう。 次のテクニックを使うことにより、クラッカーは、外部及び内部のホスト名を得ようと試みるであろう:
− nslookup を使い「 ls <ドメインあるいはネットワーク>」コマンドを使用する。
− 他のホストが存在しないかWeb サーバ上の HTML を見る。
− FTP サーバー上のドキュメントを見る。
− あなたのメールサーバに接続し、「 expn < ユーザー > 」コマンドを使用する。
− あなたの外部ホストの上のユーザーをfingerコマンドで調査する。
クラッカーは、通常、特定のセキュリティホールを識別する前に、まずネットワーク自体の情報を集めることを試みる。
クラッカーが、ネットワーク上の情報から、ホストのリストを作り、そしてホスト間の信頼関係を理解することは容易なことである。
これらの事前調査を行うとき、典型的なクラッカーは、時々OSのバージョンや他の細部をチェックするために、あなたのマシンの、あるポートに接続する時、彼の真の IPアドレス を使うという、小さいミスをするであろう。
もしあなたのホストが攻撃されたら、FTP と HTTPD ログをチェック し、妙なリクエストがなかったか、確認することは良い考えである。
------------------------------------------------------------------------------
3.3 信頼されたネットワークコンポーネントの識別------------------------------------------------------------------------------
クラッカーは、信頼されたネットワークコンポーネントを探す。信頼されたネットワークコンポーネントとは、通常、システム管理者のマシンや、サーバ等で、それらはセキュリティ上問題ないとみなされている。
クラッカーは、NFSデーモンやMOUNTデーモンが動いているマシンのNFSエクスポートをチェックする。あなたのマシンの重要なファイル(例えば /usr/bin / や、/etc、/home)は、信頼されたホストからマウント可能であるかもしれない。
fingerデーモンは、しばしば、信頼されたホストや特定のホストから、他のマシンにログインできるユーザーアカウントを識別するために利用される。
クラッカーは、あなたのマシンの他の信頼性についてもチェックする。彼は、そのマシンが利用しているCGI のセキュリティホールを突いて、例えば、/etc/hosts.allow に、アクセスを得ることができるかもしれない。
上記の様な調査を分析して、クラッカーはホスト間の信頼関係を識別し始めるであろう。 クラッカーの次のステップは、攻撃し易い信頼されたホストを識別することである。
------------------------------------------------------------------------------
3.4 セキュリティホールの識別
------------------------------------------------------------------------------
もしクラッカーが、外部、内部ネットワーク上の、ホストのリストを作ったら、彼は、Linuxのアプリケーション、ADhack、mscan、nmap又は色々なスキャナーを使って、特定のセキュリティホールを識別する。
通常、外部ネットワークの調査を行うマシンは、高速回線に接続できるものを使用する。ADMhack は、Linuxマシン上で走らせるには、ルート権限が必要となる。その為、クラッカーは、不正アクセスした上で、ルートをとるプログラムrootkitをインストールする。 このような rootkit はホストに不正かつ検知できないアクセスを得るための、危険なバックドアプログラムである。
通常、インターネット上のホストを管理しているシステム管理者は、自分のホストが調査されているとは考えもしない。それは、システム管理者は、psやnetstatコマンドを実施しているのだが、クラッカーの調査は、そのプログラムに発見されないようになっているためである。
mscan や nmap というプログラムは、ルート権限は必要ない。その為、Linux端末から(nmapの場合は、他のプラットホームでも可能)効率的にセキュリティホールを識別することができる。但し、それらの調査プログラムは、非常に遅く、またシステム管理者からうまく、隠れることはできない(ADMhackを使用し、ルートをとらなかった場合等)。
ADMhack と mscan は、次のようなチェックを実行する:
− ホストの TCPポートスキャン。
− ポートマッパーを通したRPC サービスのダンプ。
− NFSデーモン上の外部ホストのリスト。
− sambaやnetbios上のリソースリスト。
− デフォルトのアカウントを識別する為の多数のfingerコマンドの実施。
− CGI のセキュリティホール調査。
− サーバーデーモン( sendmail 、 IMAP 、 POP3 、 RPC status、 RPC mountd等)のバージョン 。
SATAN等のプログラムは、最近は、クラッカーに滅多に使われなくなった。なぜなら、それらは、遅くて、そして古いセキュリティホールしか発見出来ないからである。
ADMhack あるいは mscan をインターネット上のホストに走らせた後、クラッカーは攻撃しやすいか否かが分かるであろう。
もしSNMPを実装したルーターを発見したら、有能なクラッカーは、SNMPを利用したスキャンを行い、brute forceプログラムを使用し、インターネットと企業ネットワークを橋渡しするルータを、攻撃するであろう。
------------------------------------------------------------------------------
3.5 攻撃し易いネットワークコンポーネントの有用性------------------------------------------------------------------------------
クラッカーは、信頼された外部ホストを識別し、そして外部ホストの弱点を識別する。 もし攻撃されやすいネットワークコンポーネントを識別したら、彼はあなたのホストへ攻撃を試みるであろう。
辛抱強いクラッカーは、昼間に、攻撃することはなく、通常、午後9時から翌朝6時の間に攻撃に着手する。これは、攻撃していることを感づかれ難くし、そして、バックドアやスニファーをインストールする十分な時間を与える。またシステム管理者の存在にも、気にする心配がない。
たいていのクラッカーは、週末に多くの時間を持ち、そして、通常、その時に攻撃に着手する。
クラッカーは、外部の信頼されたホストを企業ネットワークの突破口として、攻撃を開始する。 企業ネットワークと外部ホストの間の、フィルタリングの仕方によっては、この方法は、有効になるかもしれないし、あるいはそうならないかもしれない。
もしクラッカーが、内部ネットワークのセグメント全般へ、アクセス可能なメールサーバーを攻撃するなら、彼は、彼自身をネットワークの奥深くへ隠すことから始めることが出来る。
たいていのネットワークコンポーネントを攻撃するために、クラッカーは、外部ホストでサービスしているサーバーデーモンのバージョンをリモートで取り出すプログラムを利用するであろう。例えば、statd、mountd、pcnfsd等のSendmailサービス、IMAPサービス、POP3サービスやRPCサービス等である。
クラッカーが使用する多くのexploitは、まず、既に攻撃したことのあるホストから開始する。それらのexploitは、もう一度、同じホストへコンパイルする必要がある場合がある。
外部ホスト上の、弱点を持つサーバーデーモンの情報を入手した後、クラッカーは、そのホストのルートアクセス権を取りに行くであろう。そして、それは、他のホストや内部ネットワークのアクセスを得る為に悪用されてしまう。
------------------------------------------------------------------------------
3.6 攻撃されやすいネットワークコンポーネントのアクセス権を得た後で------------------------------------------------------------------------------
サーバーデーモンを調査した後、クラッカーは、ホストのログを改竄して足跡を消し、そしてバックドアを仕込んで、後にまた見つからずにアクセス出来るようにする。
最初に彼はバックドアを実行して、後々にホストにアクセスすることができるようにする。 クラッカーが使うたいていのバックドアは、プリコンパイルされている。そして、バックドアを仕込んだファイルの日付とパーミッションを変更するというテクニックを使用する。また、新しいファイルとオリジナルファイルのファイルサイズを同じにする場合もある。 ftpのログを気にするクラッカーは、rcpプログラムを用いて、バックドアプログラムをホストへコピーするかもしれない。
クラッカーが、ホストの弱点を突いて、パッチを当てて、企業ネットワークへ侵入するようなことはない。通常、クラッカーは、バックドアをインストールし、またtrojanプログラムによって、psやnetsatコマンドから彼の接続を隠す仕掛けを行う。
ソラリス 2.x マシンにおいて、次の重要なファイルは、通常、バックドアプログラムによって悪用される:
/usr/bin/login
/usr/sbin/ping
/usr/sbin/in.telnetd
/usr/sbin/in.rshd
/usr/sbin/in.rlogind
あるクラッカー達は、.rhostsファイルを/usr/binディレクトリに置き、rshやcshの対話型モードで、そのファイルをアクセス可能な様にする。
たいていのクラッカーは、次に、ホストのロギングシステムををチェックし、彼の接続ログがあれば、それを削除する。 もし、あるホストが、クラッカーの主なターゲットに成り得るなら、ログをラインプリンタへ出力することは、非常に賢明なことである。これは、クラッカーに対し、ログを消すことを非常に難しくするからである。
彼のログが如何なる方法によっても残ることがないことを確信するや否や、クラッカーは企業ネットワークへの侵略を始めるであろう。 大抵のクラッカーは、内部ネットワークにアクセスを得たら、もう、外部ホストの弱点を突く方法に頭を悩ませはしない。
------------------------------------------------------------------------------
4.1 機密情報のダウンロード------------------------------------------------------------------------------
もしクラッカーの狙いが、内部ネットワークのFTP サーバーあるいは Web サーバを通して、機密情報をダウンロードすることであるなら、彼は外部と内部のネットワークを橋渡しするホストから実行するであろう。
しかしながら、もしクラッカーの狙いが、内部ネットワークに閉ざされた機密情報のダウンロードであるならば、彼は、既ににアクセスを持つ外部のホストを利用して、内部ホストのアクセス権を得ようとするであろう。
------------------------------------------------------------------------------
4.2 他の信頼できるホストとネットワークのクラッキング------------------------------------------------------------------------------
たいていのクラッカーは、3.2項から3.5項に記した事項を単に繰り返して、ネットワーク内を調査し、またアクセス権を得ようとする。また、クラッカーが何を狙っているかによるが、内部ネットワークのホストへ、trojansやバックドアをインストールしたり、しなかったりする。
もしクラッカーが、内部ネットワーク上の、全てのホストにアクセス権を得ようとするなら、彼は trojans とバックドアをインストールして、そして3.6項のようにログを消すであろう。 クラッカーは、また、ホストにスニファーをインストールするであろう。これについては、4.3項で説明する。
もしクラッカーが、単に、キーとなるサーバーからデータをダウンロードすることを望むのであるなら、彼はアクセス権を得る為の異なったアプローチを行う。それは、キーサーバーが信頼しているホストを識別し、攻撃するというものである。
------------------------------------------------------------------------------
4.3 スニファーのインストール
------------------------------------------------------------------------------
クラッカーにとって、内部ネットワーク上の膨大な数のホストのユーザー名とパスワードを得る最も効率的で速い方法は、イーサネット スニファーを使用することである。 スニファーは、クラッカーがアクセス権を望むホストと同じイーサネットで動作する必要がある為、彼が橋渡しとしている外部ホストへスニファーを動作させても効果はない。
スニファーによって、内部ネットワークを流れるデータを取り出すのに、クラッカーは、多数の内部ホストと同じく、イーサネット上で動作するルートのアクセス権を得なければならない。 クラッカーは、スニファーをインストールし効果的に利用する為に、3.2項〜3.4項に記したテクニックを利用して、バックドアを仕込むことを成功させなければならない。
攻撃において、ホストへバックドアとpsやnetstatプログラムを操作した後、クラッカーは、イーサネット スニファーをインストールしなければならない。 このようなスニファープログラムはソラリス 2.x では、通常 /usr/bin あるいは / dev ディレクトリに、インストールされ、そして、あたかも、他の全てのファイルと同じ様にインストールされた様に細工される。
イーサネット スニファーは、バックグラウンドで起動され、そして、そのアウトプットをローカルホストに出力する。クラッカーは、通常、psプログラムを細工するので、アウトプットを出力するプロセスは、見つかり難いであろう。
ネットワークインタフェースカードは、プロミシャスモードで起動され、有効なユーザ名やパスワード又はデータをスニファーのログファイルへ出力する。そして、それらは、クラッカーによって、ネットワークへのアクセス権を得るために使用される。
イーサネット スニファーは、イーサネット上にインストールされる為、ネットワーク上を飛び交うデータは、全て取りだしてしまう。それは、スニファーが、インストールされているホストだけに限定されることはない。
クラッカーは、通常1週間位後に、スニファーのログファイルをダウンロードするであろう。 このようなケースで、セキュリティ対策が十分に実行されていないなら、スニファーは難なくインストールされ、また見つけられることはないであろう。
多くのセキュリティ意識の高いシステム管理者が使用する、大変良いツールは、Tripwire である。これは、COASTについても有効である(5.2項参照) Tripwireは、MD5のファイルシステムの足跡を残すツールである。それは、クラッカーや悪意のあるユーザーが、どんなファイル変更をしても、見つけてしまう。
ネットワークインターフェースのプロミシャスモードになっていないか調査しなさい。これは、スニファーがインストールされているサインとなる。これについて、cpmというツールは、CERTに対し有効であり、とても良いツールである。詳しい情報は、下記参照。
http://www.cert.org/ftp/tools/cpm/
------------------------------------------------------------------------------
4.4 ネットワークをダウンさせること
------------------------------------------------------------------------------
もしクラッカーが、データベース、ネットワークオペレーションシステムあるいは他の重要なサービスを提供しているキーサーバーを征服したなら、それを一定期間ダウンさせることは簡単なことである。
クラッカーがネットワークをダウンさせる方法に、サーバー上で「 rm - rf / & 」コマンドを実行し、ファイルを全て削除する方法がある。この方法は、荒っぽい方法であるが、クラッカーにとっては、一つの方法として珍しくないものである。 実装されているバックアップシステムによるが、システムは数時間から、数カ月ダウンするであろう。
もしクラッカーが、内部ネットワークへのアクセス権をを得たなら、彼は Ciscoや、Bay、そして Ascend製ルーターの弱点を乱用することができるであろう。 あるケースでは、クラッカーは、システム管理者がルータをリブートするまで、ルーターを、リスタートしたり、また完全にシャットダウンすることができた。
もし、企業ネットワークのバックボーンとしての機能を果たし、かつ弱点を持つルータのリストを、クラッカーが得たら、ネットワーク機能に関して大きい問題を起こすことができる。彼は、簡単に、企業ネットワークの機能を一定期間麻痺させることができるからである。
これらの理由のために、重要な機能を果たすルータとサーバーには、常に、パッチを当て、セキュリティを高めていくことが重要である。
------------------------------------------------------------------------------
5.1 関連ドキュメント
------------------------------------------------------------------------------
あなたにとって、外部そして内部のホストとルーターのセキュリティを維持する助けとなる、多くの良いドキュメントがある。我々はあなたが次の Web サイトを訪問することを勧める。そして、もし、大規模ネットワークとホストのセキュリティについて、あなたがさらに多くを学びたいなら、次の本を読むことを薦める。:
http://www.antionline.com/archives/documents/advanced/
http://www.rootshell.com/beta/documentation.html
http://seclab.cs.ucdavis.edu/papers.html http://rhino9.ml.org/textware/
'Practical Unix & Internet Security'
------------------------------------
初めて、UNIXとインターネットに関する本を読むなら次の本を薦める。。
Simson Garfinkel and Gene Spafford
O'Reilly & Associates, Inc.
ISBN 1-56592-148-8
US $39.95 CAN $56.95 (UK around 30 pounds)
------------------------------------------------------------------------------
5.2 提案されたツールとプログラム
------------------------------------------------------------------------------
世の中には、ソラリス、 IRIX 、 Linux 、 AIX 、HP - UX と Windows NT 等のプラットホームに対応した、多くの良いフリーツールがある。これらについての情報を、次の Web サイトで、一読することを勧める:
ftp://coast.cs.purdue.edu/pub/tools/unix/
http://www.alw.nih.gov/Security/prog-full.html
http://rhino9.ml.org/software/
Network Security Solutions Ltd も現在、UNIXやWINDOWSベースのプラットホームに対応したセキュリティツールを開発している。これらは、数ヶ月間は無料で使用可能である。我々のサイトは、http://www.ns2.co.ukである。また、このサイトには、機能を制限してあるが、無料で使用可能なソフトもある。
------------------------------------------------------------------------------
Copyright (c) Network Security Solutions Ltd. 1998
All rights reserved, all trademarks acknowledged
http://www.ns2.co.uk
This document may be distributed in the public domain
as long as the above copyright notices remain intact.
------------------------------------------------------------------------------