Системная интеграция
Когда атакующие сталкиваются
После взлома компьютерной системы большинство атакующих хочет получить гарантии, что другие агрессоры будут держаться от нее подальше. В конце концов, если я захватил машину, то не желаю, чтобы какой-то другой человек испортил мою работу или сделал ошибки, из-за которых вычислят нас обоих. Когда какой-нибудь атакующий захватывает систему, компьютерный андеграунд относится к такой системе, как к «принадлежащей» этому атакующему. Хотя настоящий счет при покупке был выставлен вашей фирме и компьютер стоит на вашем столе, он «принадлежит» атакующему, который в состоянии реконфигурировать его или установить по желанию любое программное обеспечение.
Первое, что сделает умеренно искушенный атакующий в недавно взломанной системе, - закроет бреши в системе безопасности, включая ту, через которую он сам получил доступ, и установит черный ход. «Сценаристы», ищущие легкой победы с целью похвалиться, обычно не защищают свою жертву. Однако более опытные атакующие укрепят систему, установив защитные патчи и завершив не относящиеся к делу сервисы. Как ни странно, атакующий теперь выполняет работу системного администратора, чтобы предотвратить доступ в систему других атакующих. Вот что случается, когда вы «владеете» машиной, - вы должны укрепить ее безопасность.
Любите азарт? Играйте в slot v casino и выигрывайте.
Кроме того, поскольку один атакующий не хочет, чтобы другой атакующий или администратор входили в систему через черный ход, то средства управления безопасностью черного хода иногда даже более надежные, чем стандартные системные средства. Например, в то время как сама система может требовать для доступа имя пользователя и пароль, атакующий применяет некоторую форму более стойкой криптографической идентификации, возможно используя защищенную командную оболочку (SSH) для обеспечения стойкой идентификации и кодирования сеанса. Когда атакующие задействуют SSH в качестве черного хода, они обычно не конфигурируют SSH для прослушивания заданного по умолчанию порта (ТСР- порт 23), потому что системный администратор может начать задавать вопросы, если машина внезапно запустит сервер SSH. Вместо этого атакующий конфигурирует SSH так, чтобы оболочка слушала другой порт с помощью собственных SSH-ключей атакующего для аутентификации и шифрования.