Rozdział 2. ¨ Hakowanie systemu 63
Najczęściej hakerzy zyskują nieupoważniony dostęp do danych znajdujących się na dyskach twardych komputerów pracujących pod kontrolą systemu operacyjnego Unix. Przyczyna takiego stanu rzeczy jest prosta — system ten (lub jego odmiany) jest zainstalowany na większości „głównych komputerów”, serwerów odległych sieci lokalnych, które są dostępne przez modem lub sieć. Fakt, że Unix jest tak rozpowszechniony stał się zarazem powodem rozlicznych problemów związanych z bezpieczeństwem (czy też jego brakiem) systemu. Z Uniksa korzysta wielu użytkowników komputerów, stąd wiedza na jego temat jest bardzo rozpowszechniona. Przejęcie kontroli nad systemem nie stanowi już trudności dla hakerów. Z dnia na dzień odkrywają oni coraz to nowsze metody i sposoby umożliwiające włamanie się do systemu. Równolegle z tym wzrasta wiedza o funkcjonowaniu systemu i ujawniane są luki tkwiące w jego systemie zabezpieczeń.
Wiedza na temat luk w zabezpieczeniach systemów, którą posiadają hakerzy, daje im możliwość penetrowania odległych systemów i jedyną barierę stanowi dla nich wyłączony komputer. Zatem każda osoba wędrująca po Sieci powinna się liczyć z tym, że jej dysk zostanie splądrowany. Specjaliści-włamywacze w ciągu sekundy mogą zniszczyć wszystkie dokumenty. Zdają sobie z tego sprawę internauci, ale i tak nie podejrzewają nawet, jak wielkie szkody mogą ponieść. Beztroska i niewiedza użytkowników ułatwiają 99% włamań.
Biorąc pod uwagę wcześniejsze rozróżnienia, śmiało można stwierdzić, że zniszczeń tych nie dokonują prawdziwi hakerzy, ale raczej nazywający siebie tak ich „gorsi bracia”, zdegenerowani naśladowcy — cyberanarchiści, młodzi ludzie mający za dużo wolnego czasu. Niektórym z nich się wydaje, że mogą się stać dzięki temu sławni. Intruzi dołączają na przykład do e-maili wirusy (w rodzaju „I love you”) „oczyszczające” dysk twardy z wszelkich znajdujących się na nim danych. W ten sam sposób — za pomocą poczty elektronicznej — podrzucają oni konie trojańskie, czyli zainfekowane pliki. Można temu łatwo zapobiec — wystarczy trzymać się zasady nieotwierania podejrzanych załączników z rozszerzeniami typu .exe, .doc lub .xls czy też wcześniejszego ich przetestowania programem antywirusowym. Często sami użytkownicy ułatwiają zadanie włamywaczom komputerowym nieumiejętnie wybierając hasło umożliwiające korzystanie z konta poczty elektronicznej. Wyrazy krótkie, proste i znajdujące się w słowniku są zazwyczaj łatwe do odgadnięcia.
Najtrudniejsze do złamania są hasła składające się z liter i cyfr. O wirusa prosimy się sami, ściągając oprogramowanie, gry czy wygaszacze ekranu z nieznanych stron lub na przykład witryn pornograficznych. Internauci korzystający z systemu Windows w chwili, gdy pobierają pliki z tego serwisu, muszą się liczyć z tym, ze mogą one zmienić konfigurację modemu. W efekcie zamiast z TPS-a zaczniemy się łączyć na przykład z Filipinami. Bywa, że ktoś sugeruje zainstalowanie określonego programu, by dzięki temu zyskać kontrolę nad naszym dyskiem twardym. Trzeba bowiem mieć na uwadze fakt, że taki program może na przykład infiltrować nasze prywatne życie. Anonimowość Internetu usypia przecież czujność. Tymczasem wiele firm wywiadowczych zbiera informacje o preferencjach i zainteresowaniach bywalców przestrzeni wirtualnej. Dane te następnie sprzedawane są producentom i dystrybutorom. Zabawne oprogramowanie firmy Comet Systems, które podczas buszowania w Internecie zmieniało kursor w postacie z kreskówek, przesyłało jednocześnie producentowi informacje o stronach odwiedzanych przez daną osobę. W krótkim czasie przedsiębiorstwo uzyskało dane prawie siedemnastu milionów osób. Trzeba zatem bronić się przed takimi atakami i jeśli nawet kupimy odpowiednie oprogramowanie zabezpieczające, nie możemy spoczywać na laurach.
Jedynym z podstawowych błędów jest zapominanie o aktualizacji programu. Aby uniknąć ataków intruzów, trzeba niemal zbudować twierdzę. Ochrona danych powinna polegać przede wszystkim na profilaktyce, stosowaniu oprogramowania zaporowego (typu firewall) i haseł kontroli dostępu do sprzętu, szyfrowaniu ważnych plików oraz przechowywaniu ich kopii na zewnętrznych nośnikach. Bardzo ciężko jest w sposób jednoznaczny i skończony sklasyfikować metody, którymi posługują się komputerowi włamywacze w celu przejęcia kontroli nad innymi systemami. Niektóre z nich powtarzają się dla poszczególnych systemów operacyjnych, inne są ściśle uzależnione od tego, z jakim systemem haker ma do czynienia.
Ogólnie metody włamań możemy podzielić na:
¨ ataki z zewnątrz sieci lokalnej;
¨ ataki z wnętrza sieci lokalnej;
¨ ataki pośrednie.
Ataki z zewnątrz — to ataki, których najczęstszą formą są zakłócenia stabilnej pracy. Przejmowanie kontroli nad systemami odbywa się z zewnątrz sieci lokalnej — na przykład z Internetu. Można w tym celu wykorzystać lukę w systemie zabezpieczeń, błąd serwisu sieciowego lub po prostu słaby poziom zabezpieczeń firmy. Do najczęstszych tego typu ataków należą :
Ataki na poszczególne komputery bądź serwer główny (DoS,wirusy) — to jeden z najczęstszych typów ataków. Konsekwencjami są zwykle przerwy w pracy sieci lokalnej, uszkodzenie poszczególnych (bądź wszystkich) końcówek serwera, a co za tym idzie — całej sieci, co powoduje wielogodzinne przerwy w pracy. Skutki mogą być niewinne i skończyć się na zawieszeniu poszczególnych komputerów czy nawet całej sieci, ale może to także prowadzić do fizycznego uszkodzenia sprzętu, wymazania BIOS-u na płycie głównej lub uszkodzenia twardych dysków.
Ataki na serwer http — to ataki, których efektem jest utrata danych witryny internetowej lub uzupełnienie jej treściami kompromitującymi firmę.
Do ataków z zewnątrz sieci hakerzy często wykorzystują metodę zwaną DoS.
DoS (Denial of Service — blokowanie serwisów) — jest to atak mający na celu zablokowanie konkretnego serwisu sieciowego (na przykład strony WWW) lub zawieszenie komputera. Możliwe jest przesterowanie ataków DoS do bardziej skomplikowanych metod, co może doprowadzić nawet do awarii całej sieci. Niejednokrotnie hakerzy, którzy włamują się do systemów za pomocą tzw. techniki spoofingu lub redyrekcji, ukrywają swój prawdziwy adres internetowy, więc ich zlokalizowanie często staje się niemożliwe. Anonimowość ułatwia więc zdecydowanie atakowanie systemów metodą Denial of Service, co powoduje uniemożliwienie wykonania przez serwer jakiejkolwiek usługi. Jednak obecnie ataki te są już rzadko stosowane, gdyż większość administratorów odpowiednio się przed nią zabezpieczyła, co wcale nie było trudne, ale konieczne, gdyż programy umożliwiające ten typ hakowania (jest ich co najmniej kilkanaście) powodują zapchanie serwera, spowolnienie jego pracy aż do konieczności uruchomienia restartu. W przeszłości znane były przypadki zablokowania kilku tysięcy serwerów jednocześnie. Teraz oczywiście jest to niemożliwe!
Ataki typu DoS można wymierzyć przeciwko wszystkim platformom systemowym, gdyż wykorzystują one właściwości protokołu IP, czyli protokołu używanego między innymi w Internecie. Programów takich jest bardzo dużo, gdyż kod jest pokazywany publicznie, jak to w prawdziwym światku hakerskim bywa. Tak wiec co 2-3 tygodnie opracowywany jest nowy sposób ataku. Przeważnie programy tego typu przeznaczone są do uruchomienia na jednej platformie (np. Linuksie), a ich celem również jest jedna platforma systemowa (np. Windows NT). Istnieją jednak programy, których cel stanowi atak na kilka systemów jednocześnie.
Dobrym przykładem jest tu LAND. Programy tego typu są dość proste w użyciu i bardzo łatwo dostępne w Internecie. Wystarczy wpisać Denial of Service i hak w wyszukiwarce i się wszystko stanie się jasne. Warto jeszcze dodać, że, programy te udostępniane są w postaci kodów źródłowych, co wydaje się zrozumiałe.
Poniżej zamieszczona została tabelka grupująca niektóre tylko nazwy popularnych programów umożliwiających ataki typu DOS:
Nazwa
System, na którym haker uruchamia program
System, który podlega atakowi
Efekty
bonk, boink
Unix
Windows NT
i Windows 95
Program powoduje zawieszenie dowolnego komputera systemem Windows NT lub Window 95
hanson
Windows
z klientem mirc
Powoduje odłączenie mirc’a od sieci
Jolt
Windows 95
Wywoływanie zbyt dużych pakietów powoduje zawieszenie systemu operacyjnego Windows 95
Land
Dużo systemów
sieciowych
Wysyłane pakiety powodują zablokowanie systemu docelowego
Pong
Linux
Window 95
Cel ataku zasypywany jest pakietami ICMP, czyli ping, co powoduje jego zawieszenie
Do bardziej znanych należą natomiast programy zgrupowane poniżej:
Teardrop
Windows NT i Windows 95
Zablokowanie systemu Windows NT i Windows 95
Winnuke
Powoduje wyświetlenie niebieskiego ekranu
Podsumowując warto jeszcze raz zaznaczyć, że ataki typu DoS są dość łatwe do przeprowadzenia. Ostatnie ataki na serwery najpoważniejszych firm internetowych przeprowadzone były za pomocą stosunkowo nowej metody opracowanej przez hakerów w celu zablokowania transferu jakichkolwiek danych drogą elektroniczną. Polegało to na wysłaniu do serwera internetowego bardzo dużej liczby zapytań lub poleceń rozpoczęcia transmisji. Było ich tak dużo, że po chwili serwer zostawał przeciążony i przestawał obsługiwać użytkowników. Sposób ten znany jest już od dawna pod nazwą „Denial of Service Attack” i doczekał się „mutacji” w postaci „SYN Flood Attack” czy „Smurf Attack” — działających na bardzo zbliżonych do siebie zasadach.
Hakerzy, którzy zaatakowali między innymi Yahoo3 i CNN twórczo rozwinęli wcześniejszy pomysł. Zamiast wysyłać sygnały ze swojego komputera, wykorzystali do tego całą armię „przejętych” maszyn, znajdujących się na przykład w sieciach uniwersyteckich. Taka „armia” komputerów jest kierowana z jednego miejsca
i jej celem jest wykonanie jednego tylko zadania, którym jest „zasypanie” wybranego obiektu jak największą liczbą połączeń. Wykorzystywany jest do tego program Tribal Flood Network oraz inne, które są do niego podobne — Stacheldraht i Trinoo. Bardzo często hakerzy wykorzystują do ataków z Internetu metodę zwaną spoofingiem.
Spoofing (maskarada) — metoda ta stosowana jest zwykle przez doświadczonych i wyrafinowanych włamywaczy. Polega na podszyciu się włamywacza pod jednego użytkowników systemu, który posiada własny numer IP (numer identyfikujący użytkownika). Technika ta ma na celu omijanie wszelkich zabezpieczeń, jakie zastosował administrator w sieci wewnętrznej. Jest bardzo skuteczna nawet, gdy bywa wykorzystywana przeciwko markowym firewallom, switchom i ruterom. Dzięki niej możliwe jest „udawanie” dowolnego użytkownika, a co za tym idzie — „podszywanie” się i wysyłanie sfałszowanych informacji.
Ze swego komputera haker może dokonać przekierowania źródłowego adresu IP i „podszyć się” pod komputer sieciowy. Robi to po to, by określić jego bezpośrednią drogę do miejsca przeznaczenia oraz trasę powrotną. W ten sposób może przechwytywać lub modyfikować transmisje bez zliczania pakietów przeznaczonych dla komputera głównego. W przeciwieństwie do ataków polegających na rozsynchronizowaniu, „podszywanie się” pod adresy IP jest trudne do wykrycia. Jeśli serwer internetowy ma możliwość monitorowania ruchu w Sieci w zewnętrznym ruterze internetowym, to należy kontrolować przechodzące przez niego dane. Do Sieci nie powinny być włączane pakiety zawierające adresy komputera źródłowego i docelowego, które mieszczą się w obrębie lokalnej domeny. Najlepszą obroną przed podszywaniem się jest filtrowanie pakietów wchodzących przez ruter z Internetu i blokowanie tych, których dane wskazują na to, że powstały w obrębie lokalnej domeny.
Wirusy — to bardzo przydatne do ataków z zewnątrz Sieci programy. Mogą one zostać podrzucone zwykłą drogą, np. jako program ściągnięty z Internetu, dyskietka z najnowszym upgradem do jakiegoś programu lub też mogą być dołączone do pliku tekstowego czy e-maila. Niekonsekwencja w przypadku takiego postępowania może wiele kosztować. Wirus przenika bowiem do komputera i może być przenoszony w sieci wewnętrznej wraz z nowszymi wersjami programów. Może on tkwić uśpiony długie miesiące, a po okresie uśpienia — zaatakować.
Atak na serwer poczty — to kolejny rodzaj hakerskiej działalności. Jego konsekwencją jest utrata kontroli nad przepływającą korespondencją (e-maile kierowane do konkretnej osoby mogą zostać odczytane i dostać się w posiadanie niepowołanych osób, możliwe jest także fałszowanie korespondencji i wprowadzenie w firmie dezorganizacji pracy). Ulubionymi przez hakerów sposobami atakowania są ataki na serwer główny, które prowadzą do utraty kontroli nad całą siecią, wiążą się z utratą wszystkich danych, z zakłóceniami pracy dowolnych usług sieciowych w całej firmie. Po przejęciu kontroli nad głównym serwerem możliwe jest przechwytywanie danych wędrujących wewnątrz sieci, a co za tym idzie — poznanie struktury wewnętrznej firmy. Możliwe jest fałszowanie danych przesyłanych siecią, blokowanie wiadomości przesyłanych między szefem a współpracownikami.
Seeking vulnerabilities (szukanie luk) — jest to podstawa ataku każdego włamywacza. Luki takie są wynikiem błędów w oprogramowaniu.
Każdy szanujący się haker posługuje się w swoich zmaganiach metodą, która wymaga sporej inteligencji. Jest to social engineering (socjotechnika), metoda, która polega na manipulowaniu ludźmi w taki sposób, aby ujawnili poufne informacje, mogące pomóc we włamaniu się do systemu. Haker bardzo często przeprowadza wstępny wywiad. Zbiera informacje o firmie, pracownikach, systemach, hasłach itp. Może też zadzwonić do administratora sieci i podając się za inną osobę poprosić o zmianę hasła lub też podając się za pracownika serwisu przeszukać biuro w celu odnalezienia haseł, które pracownicy bardzo często zapisują na kartkach i przechowują na biurku. W tym przypadku haker nie cofnie się nawet przed przeszukiwaniem śmieci firmy trashing. Jest to inna droga, kolejny sposób zbierania wartościowych informacji, zdobywania potęgi i siły oraz prestiżu.
Hijacking — to metoda polegająca na przechwytywaniu transmisji odbywającej się między dwoma systemami. Dzięki niej możliwe jest przechwycenie dostępu do szczególnie chronionych programów. Ze względu na wysoki stopień skomplikowania jest specjalnością elity hakerskiej.
Do bardzo groźnych ataków należą te, które określane są ogólnie atakami z wnętrza sieci. Włamanie następuje z wnętrza sieci lokalnej poprzez wykorzystanie konta jakiegoś użytkownika czy też luki w zabezpieczeniach systemu autoryzacji użytkowników. Najczęściej włamania tego typu są udziałem pracowników firmy, a nie użytkowników komputerów spoza jej obrębu, gdyż dostęp do końcówki Sieci
Czy to naprawdę tak się nazywa?
takiej osoby rzadko pozostaje zauważony. Nadal istnieje możliwość dokonania wszystkich wyżej wymienionych ataków.
Innym rodzajem ataków są ataki pośrednie. Hakerzy stosują tu dość wyrafinowane metody, czego najlepszym przykładem są konie trojańskie. To grupa ataków najtrudniejszych do wykrycia. „Podłożenie” konia trojańskiego otwierającego dostęp do całej sieci może odbyć się za pośrednictwem poczty elektronicznej czy też podczas ściągania atrakcyjnego programu, który pochodz...
genio20