Безвредные действия хакера

Одной из наиболее распространенных реакций на относительно безвредные действия хакера является сообщение об этом его Internet-провайдеру, компании, в которой тот работает, или провайдеру этой компании. Программное обеспечение отдельных Internet-провайдеров включает механизм для создания сообщения об инциденте и отправки его по указанному электронному адресу. Также есть службы, например ARIS на сайте SecurityFocus. com (кстати, автор этой главы работает в проекте ARIS), которые предлагают пользователям отсылать им протоколы IDS и предоставляют помощь в составлении и отправке отчетов о возникших инцидентах. Отчеты могут составляться на разных языках. Служба является бесплатной. Другим ответом на инцидент может быть размещение о нем информации в одном из списков рассылки, например на сайте SecurityFocus. com. Подписчики могут сравнить свой инцидент с другими или узнать, чего ждать от хакера в том или ином случае. Ранее сообщения в этом списке начинались в основном со слов «Я вижу сканирование…», а далее приводился фрагмент протокола IDS или экрана. Скорее всего, такие (автоматические) службы, как ARIS, со временем упростят поиск нужной информации, а списки рассылки останутся только в качестве рекомендательных и дискуссионных конференций. Остается решить, когда необходимо Наиболее интенсивно реагировать на инцидент, в каком случае нужно приложить максимум усилий. Ясно, что этот максимум соответствует факту Вторжения. Вторжение — это прежде всего злоумышленник, которого вы одарили своим вниманием. Не менее серьезно вы, наверное, отнесетесь к «отказу в обслуживании» (DoS-атаке). Но можно ли воспринимать всерьез Неудачную попытку вторжения? Можно, если злоумышленник слишком настойчив. Например, если он занимается прямым подбором пароля, то есть многократно пробует подобрать имя пользователя и пароль. Это должен быть особо настойчивый хакер: например, каждый раз, когда вы блокируете IP-адрес или направление, с которого ведется атака, он нападает снова, но уже из другого места. Злоумышленника, который нападает на вас с заведомо скомпрометированных компьютеров в Internet, наверное, тоже можно отнести к числу тех, кого вы хотите «вычислить». В последнем случае вас привлечет трафик, «отмеченный» человеческим интеллектом. Существует много сетевых червей, которые приходят со скомпрометированных компьютеров, но все они довольно примитивны.