ANTICHAT — форум по информационной безопасности, OSINT и технологиям

Всем привет.

Читая биографию Адриана Ламо, наткнулся на относительную расшифровку атак, которые он использовал:

- Как и в других проектах, Ламо "ключом" к внутренней сети WorldCom стали открытые прокси-сервера. При нормальной работепрокси-сервер контролирует обмен информацией между веб-сайтами и локальными пользователями, кэшируя результаты работы для ускорения загрузки часто запрашиваемых страниц. Очень часто системные администраторы неверно настраивают прокси-серверы, что позволяет любому использовать такой сервер в собственных целях. С их помощью хакер может обмануть системы безопасности сайта, которые воспринимают чужой как часть внутренней локальной сети.

- Используя некорректную работу корпоративного прокси-сервера, он вошёл в неё за 5 минут, после чего ему понадобился ещё час, чтобы разделаться с внутренней базой данных газеты, которая хранила море конфиденциальной информации.

- Как обычно, для этого взлома Адриан использовал браузер и сканнер ip-адресов (тулза называется proxy-hunter - это программа, позволяющая искать SOCKS прокси в заданном диапазоне IP адресов с огромной скоростью даже при медленном модемном соединении), с помощью которого он сканировал адресное пространство серверов компании на наличие скрытых прокси-серверов, служащих гейтами между Интернетом и внутренней сетью компании.


Гуглил,но безрезультатно. Как А.Л. проводил атаку, используя прокси-сервера и что имеется ввиду под "некорректной работой" прокси-сервера?

P.S. Нашел вот такую инфу

-

Главным оружием Адриана был «подарок» в виде неправильно сконфигурированных прокси-серверов. Использование такого прокси-сервера позволяет пользователю с внутреннего компьютера компании получать доступ к внешним Интернет-ресурсам. Исследователь изнутри делает запрос о конкретной Интернет-странице; запрос идет на прокси-сервер, который переправляет запрос от имени пользователя и присылает ему ответ.

Чтобы помешать хакеру получить информацию тем способом, каким это удалось Адриану, прокси-серверы должны быть сконфигурированы так, чтобы «слушать» только внутренний интерфейс. Его можно сконфигурировать и так, чтобы он «слышал» только разрешенный список внешних IP-адресов. Таким образом, ни один неавторизованный пользователь извне не сможет соединиться с сервером. Общая ошибка в конфигурации прокси-серверов заключается в том, что они «слушают» все интерфейсы сети, включая и внешние интерфейсы, соединенные с Интернетом. Вместо этого прокси-сервер должен быть сконфигурирован так, чтобы позволять доступ только определенному набору IP-адресов, который должен определяться организацией I A N A (Internet Assigned Numbers Authority) для частных сетей. Есть три блока частных IP-адресов:

От 10.0.0.0 до 10.255.255.255

От 172.16.0.0 до 172.31.255.255

От 192.168.0.0 до 192.168. 255.255

Хорошая идея — ограничение по портам, чтобы ограничить набор услуг, которые предоставляет прокси-сервер, например, ограничить исходящие соединения с HTTP (Интернет) или HTTPS (безопасный Интернет-доступ). Для более тщательного контроля некоторые прокси-серверы, использующие SSL, могут быть сконфигурированы так, чтобы проверять входящий трафик, и иметь возможность убедиться, что неавторизованный протокол не проникает через авторизованный порт. Предпринятые шаги помешают атакующему неадекватно использовать прокси-сервер для соединения с неразрешенными ему сервисами.

После установки и конфигурации прокси-сервера его необходимо проверить на наличие лазеек. Никогда нельзя быть уверенным в собственной неуязвимости, пока не будет проведена тщательная проверка. Прокси-серверы могут быть бесплатно перегружены из Интернета.

Еще один момент: поскольку, устанавливая пакет того или иного программного обеспечения, пользователь может в какой-то момент неосознанно установить и ПО для прокси-сервера, компания должна взять себе за правило тщательно проверять все свои компьютеры на неавторизованную установку прокси-серверов, которые могут быть установлены неосознанно. С этой целью вы можете использовать любимое средство Адриана — Proxy Hunter — для проверки собственной сети. Запомните, что неправильно сконфигурированный прокси-сервер может быть лучшим другом хакера.

Подавляющее большинство хакерских атак может быть остановлено при помощи обычных мер безопасности и стандартных проверок. Опасность случайной установки открытого прокси-сервера слишком часто недооценивается и представляет собой главную уязвимость в большинстве организаций.

По-моему, сказано более, чем достаточно, не правда ли?

Более детально что скажете? Линки только велком