Honeynet - организация, участники которой на общественных началах занимаются вопросами безопасности в Сети, объявила результаты конкурса по восстановлению картины взлома, произошедшего 8 ноября прошлого года.
О начале конкурса было объявлено 15 января: всем желающим предлагалось, на основании предоставленных Honeynet логов охранной системы сервера и образов жесткого диска, рассказать все возможное о конкретном взломе. Отчеты должны были быть присланы до 19 февраля, а результаты конкурса, равно как и анализ отчетов, выложены на сайте Honeynet 19 марта.
Как заявляют организаторы Honeynet, обычно, когда кто-нибудь взламывает сервер, администратор ограничивается тем, что устраняет последствия взлома и на этом успокаивается, несмотря на то, что, если не изучить приемы, примененные хакерами, подобная же атака может повториться, если не с этим же сервером, то с другим.
Honeynet размещает в Сети ресурсы, тестируя на них все реально существующие системы и платформы и изучая проведенные взломы. Испытательные площадки - серверы, включенные в Сеть специально для проведения тестинга - организаторы проекта любовно называют honeypot (горшочек с медом).
Как утверждают организаторы Honeynet, долго ждать хакерских атак не приходится - активность хакеров чрезвычайно велика. Достаточно посмотреть на ежедневные сводки дефейсов на alldas.de. Там их регистрируется по нескольку десятков ежедневно. Энтузиазм и неутомимость вломщиков, которые не покладая рук рыщут по Сети в поисках дыр, действительно производят впечатление.
Отчеты о проведенных исследованиях выкладываются в Сеть. Однако на этот раз участники Honeynet предложили всем желающим самим проделать эту работу.
Выложив у себя на сайте логи охранной системы и образы жесткого диска, общим весом в 3 Gb, организаторы предложили конкурсантам узнать: "Кто", "Что", "Как", "Когда", "Где" и, возможно, даже "Зачем" взломан очередной "горшочек с медом". Взломанный ресурс работал на стандартной версии Red Hat Linux 6.2. Предоставленные логи были лишь слегка отредактированы, для того, чтобы скрыть реальный сетевой адрес сервера.
Как сообщил руководитель проекта, все тринадцать участников, приславших отчеты, более или менее успешно справились с поставленной задачей. При этом каждый выяснил о взломе что-то такое, чего не смогли выяснить другие.
Как пишут организаторы конкурса, 13 отчетов о картине взлома, а точнее - 14, включая отчет самого Honeynet, это как 14 пейзажей одной и той же местности, написанные четырнадцатью разными художниками.
Всем участникам организаторы вышлют по экземпляру бестселлера издательства McGraw-Hill "Hacking Exposed" ("Обличение хакинга")- издание второе и дополненное, стоимостью в 28 долларов, а три победителя получат, помимо этого, еще и по футболке.
Главным победителем конкурса стал некто Томас Рослер - ему потребовалось 35 часов на то, чтобы понять, что же делал взломщик в системе в течение получаса.
Рослер, как, впрочем, и все остальные, установил, что в 8 часов утра неизвестный взломщик проник в Linux-систему через известное уязвимое место - rpc.statd, которое было обнародовано еще 16 июля 2000 года и значится в списке уязвимых мест под номером 34043.
Взломщик установил в системе несколько "черных ходов". Через тридцать минут хакер, через уже установленные лазейки, вернулся в систему и установил "робота" на IRC-канале для сканирования и мониторинга. Хакер также запустил трояна, чтобы затруднить администратору процесс обнаружения вторжения в систему. Взломщик удалил несколько программ и программных файлов системы, установив в систему несколько вредоносных программ, включая программу, предназначенную для запуска DDoS-атаки.
Для устранения последствий атаки операционную систему придется полностью реинсталировать, в противном случае, администратор не может быть полностью уверен, что контроль над системой восстановлен в полном объеме.