Резюме

У цьому розділі ви познайомилися із способами захоплення з'єднань TCP в мережі з множинним доступом, а також з тим, як зломщики можуть дістати доступ до системи,, передаючи команди для локального виконання або шляхом перехоплення з'єднання. Ці типи атак дуже просто реалізувати в мережах з множинним доступом і так же просто запобігти при переході до мережі з комутацією пакетів.
Ви дізналися також про те, які кроки слід зробити, якщо в мережу проник зловмисник. Позбавитися від його присутності дуже важко, проте це все ж таки цілком здійсненне завдання. Її можна вирішити з використанням рекомендацій, приведених в даному розділі. Нижче перераховані основні аспекти цих рад. Проте, краще всього наново переустановити всі програми, скориставшись перевіреними носіями.

•  Перевіряйте привілеї облікових записів і приналежність до груп. Видаляйте будь-який підозрілий обліковий запис, і зведіть до мінімуму число привілейованих користувачів.
•  Очищайте завантажувальні файли конфігурації від підозрілих записів. Ці файли є основним местомом, де після створення "потайного ходу" залишаються сліди, оскільки більшість зломщиків прагнуть до збереження можливості увійти до системи і після її перезавантаження.
•  Не забувайте про те, що такі служби планування завдань, як AT системи Nt/2000 і сгоп в UNIX також можуть бути використані для запуску демонів, що забезпечують "потайний хід", навіть якщо система не часто перезавантажується. Постійно стежите за списком завдань, які виконуються за розкладом.
•  Познайомтеся з найпопулярнішими інструментами створення "потайних ходів", такими як Back Orifice і Net Bus. Це дозволить отримати уявлення про особливості функціонування цих продуктів, які дозволять виявити їх присутність в системі. Серйозно підійдіть до питання придбання антивірусних або інших "чистячих" програмних продуктів, що здійснюють активне сканування і що допомагають вирішити такі проблеми.
•  Будьте гранично обережні при запуску виконуваних файлів, отриманих з ненадійних джерел. Хто знає, які шкідливі утиліти при цьому можуть бути непомітно встановлені? Програми типу "троянський кінь" ідентифікувати дуже важко, а подальше переустановлення системи є не дуже приємним заняттям. Застосовуйте засоби виявлення таких програм, утиліти підрахунку контрольних сум, такі як Mdssum або Tripwire. Це дозволить упевнитися в достовірності використовуваних файлів, особливо системних, які використовуються при реєстрації в системі.
•  Щоб дізнатися, як web-броузери і поштові програми можуть стати переносниками програм типу "троянський кінь", прочитайте розділ 16.