Введение
Проблема определения типа и версии операционной системы (далее - ОС) удаленного хоста является весьма актуальной на начальном этапе реализации атаки на хост. В зависимости от того, какая ОС установлена на удаленном хосте, атакующий будет планировать свои дальнейшие действия, воздействуя на известную "дыру" (если таковая имеется) в безопасности установленной на хосте ОС. При этом, чем точнее атакующий определит тип и версию ОС удаленного хоста, тем эффективней будет выполнен его "взлом". В подтверждении этого, рассмотрим несколько возможных ситуаций.
Допустим, осуществляется попытка проникновения в удаленный хост. В результате сканирования портов было обнаружено, что 53-й порт хоста открыт. На основании данного признака можно предположить, что на хосте установлена одна из версий ОС UNIX, и выполняется одна из уязвимых версий демона bind. Если это весьма условное предположение является верным, атакующий имеет только одну попытку использовать обнаруженную "дыру", поскольку неудавшаяся попытка атаки "подвесит" демона и порт окажется закрытым, после чего атакующему придется искать новые "дыры" в безопасности удаленного хоста.
Если атакующий точно определит тип и версию ОС удаленного хоста (например, Linux kernel 2.0.35 или Solaris 2.51), он может соответствующим образом скоординировать свои действия, проанализировав информацию, касающуюся известных проблем в безопасности определенной ОС.
Используя программные средства, обеспечивающие определение ОС удаленного хоста, атакующий способен просканировать множество хостов и определить тип и версию ОС, установленную на каждом из них. Затем, когда кто-нибудь опубликует в сети Интернет информацию об обнаруженной "дыре" в безопасности конкретной ОС, атакующий автоматически получает список уязвимых хостов, на которых установлена данная версия ОС.
Информацию о типе и версии ОС удаленного хоста возможно использовать в качестве спекулятивного средства социальной инженерии. Например, атакующий получает от удаленного хоста следующую информацию:
DataVoice TxPort PRISMA 3000 T1 CSU/DSU 6.22
Следующим его шагом может быть звонок администратору данного хоста от имени службы поддержки DataVoice и подробный рассказ о мифической "дыре" в Prisma 3000, с рекомендацией обязательной установки программы - "заплаты", "только что отправленной" по электронной почте администратору. "Заплата" на самом деле является закладкой, пересылающей атакующему все пароли системы. Как видно, информация об ОС хоста является основным оружием в руках опытного взломщика.