Metody hakerskiego ataku - bez "gołych bab i wybuchów"
Raz za razem w Internecie pojawiają się alarmujące doniesienia o nowych akcjach cyberprzestępców, złośliwym oprogramowaniu kradnącym olbrzymie ilości danych, wirusach infekujących kolejne systemy operacyjne... Jako że namnożyło się typów ataków, postanowiliśmy się im przyjrzeć i odpowiedzieć na pytanie, czy są groźne i czy należy się ich bać. Spokojnie, bez emocji wyjaśnimy, czym jest pharming i na czym polega działanie rootkitów. Postaramy się nie zanudzać, nie straszyć. Nie gwarantujemy doskonałej zabawy, ale wiedzę - i owszem. W razie wyjątkowo trudnych zagadnień z pomocą przyjdą nam ogórki.
28.02.2006 | aktual.: 01.03.2006 14:27
Jeden z amerykańskich uniwersytetów przeprowadził kiedyś całkiem poważne badania naukowe na temat czynników powodujących śmierć. Żeby ożywić raport, w kwestionariuszach pojawiły się również pytania dotyczące ogórków. Efekt był piorunujący: niemal sto procent badanych opowiadało, że członek rodziny, który umarł nagle na zawał, przynajmniej raz w życiu jadł ogórki. W przypadku nowotworów odsetek był nieco niższy ( ciągle grubo powyżej 90 procent ), a dla katastrof komunikacyjnych wynik był alarmujący - 99 procent! Każdy z nas przynajmniej raz w życiu jadł ogórki. Każdy z nas przynajmniej raz w życiu był celem ataku internetowego oprawcy bądź złośliwego oprogramowania - nawet jeśli o tym nie wie. Czy istnieje zatem powód, by się o to martwić?
Spyware
O spyware słyszeli już wszyscy - to hit ostatnich kilku lat. Spyware to zaszyte w innych programach ( lub nie ) aplikacje, które sprawdzają kolejne posunięcia użytkownika i informują o nich swego twórcę. Zwykle są atrakcyjne wizualnie ( darmowe kursory, tapety ) i tylko udają przydatność. Ich celem jest przyciągnąć do siebie internautę.
Dawniej spyware przede wszystkim śledziło poczynania użytkownika. Dziś też to robi, ale na tym jego rola rzadko się kończy. Spyware stało się bowiem często backdoorem, czyli oprogramowaniem, które otwiera swemu twórcy tylną furtkę do naszych maszyn. Do czego może służyć taka tylna furtka? Praktycznie do wszystkiego: od aktualizacji spyware do pobierania na nasz dysk trojanów, wirusów i innych aplikacji.
Jako ciekawostkę warto podać fakt, że użytkownikom tak bardzo utrwaliło się przekonanie, iż spyware czyha na nich wszędzie, że niektóre konie trojańskie przedstawiają się właśnie jako... programy antispyware ( widać to na przykład na filmie, w trakcie którego testowo zarażaliśmy Windows Server 2003 z pomocą WMF-ego exploita ).
Jak się bronić? Można skorzystać z programów przedstawionych w tekście "Spyware: wykryj, usuń... zapomnij! - http://www.idg.pl/news/79076.html", trzeba też zachowywać zdrowy rozsądek podczas pobierania aplikacji z Internetu. Jeśli coś dostajemy za darmo, jest to podejrzane. Spokój powinniśmy czuć tylko wtedy, gdy opłat nie żąda wielka korporacja, fascynat ( łatwo go rozpoznać po tym, że jego strona się nie reklamuje i ciężko do niej dotrzeć ) lub grupa rozwijająca aplikację open source.
Pozostali ( Kazaa, DivX, DAEMON Tools, BonziBuddy, Bearshare, FlashGet ) muszą wzbudzać naszą nieufność. Porównując do ogórków: jeśli są bardzo tanio, to pewnie nadpsute albo z dużą ilością nawozu w środku. Warto takich unikać, zdecydowanie nie warto popadać w paranoję. Trzy programy antispyware robią więcej szkód w systemie niż jedno małe, niewinne spyware.
Pharming
O spyware słyszeli wszyscy, rootkity wielu się kojarzą, pharming natomiast pojawia się w prasie dość rzadko, a jeśli już, to zwykle bez dokładnego wytłumaczenia, o co w nim tak naprawdę chodzi. Zanim jednak wytłumaczymy, na czym on polega, musimy przypomnieć, jak uporządkowany jest Internet. Mianowicie: kiedy wpisujemy w przeglądarce adres http://www.pcworld.pl , nasz komputer nie idzie do serwera www.pcworld.pl! Najpierw odpytuje on serwer DNS ( którego adres zna od momentu podpięcia do sieci ), czy ma w zasobach witrynę "www.pcworld.pl", a jeśli tak, to jaki odpowiada jej adres IP. Serwer DNS odpowiada mu, że "www.pcworld.pl" = "194.69.207.146". Nasz komputer dziękuje i przechodzi pod adres http://194.69.207.146 .Pharming ( czyt. farming, ew. fermin' ) to zabieg, w którym wykorzystuje się dziurę w serwerze DNS, by przekierować ruch na zupełnie inny serwer niż użytkownik się spodziewa. Spójrzmy na kolejny przykład: nasz komputer odpytuje serwer DNS
o adres witryny www.pcworld.pl. Serwer DNS został przejęty przez włamywaczy i zamiast odpowiedzieć "www.pcworld.pl jest pod adresem 194.69.207.146", mówi "www.pcworld.pl jest pod adresem 216.239.59.99". W naszym oknie pojawia się coś zupełnie innego: http://216.239.59.99 . Różnicę łatwo dostrzec na pierwszy rzut oka, jednak cyberprzestępcy są zwykle na tyle sprytni, by upodobnić podstawioną stronę do strony oficjalnej. I wtedy zaczynają się problemy...
Czy należy bać się pharmingu? Raczej tak: wystarczy krótka wycieczka po serwerach DNS różnych dostawców internetowych, by zorientować się, że od lat działa na nich to samo, niełatane oprogramowanie. Nie należy jednak popadać w panikę - jeśli zauważymy, że serwer przez długi czas ( czyli dłużej niż dzień-dwa ) przenosi nas na niewłaściwą stronę, należy powiadomić o tym jego administratora.
Kiedy zapytałem Guentera Ollmana ( szefa X-Force, patrz artykuł: "X-Force - grupa do zadań specjalnych - http://www.idg.pl/news/86015.html" ), dlaczego pharming jest tak niepopularny, zawahał się. Przytoczył dane, zgodnie z którymi zdarzają się lokalne ataki na DNS-y, które uderzają w dziesiątki, rzadko setki i tysiące komputerów ( pharming w Indiach ). Jego zdaniem pharming jest popularny i bywa często stosowany, jednak administratorzy serwerów boją się do tego przyznać i po cichu łatają oprogramowanie. W każdym razie dotychczas nie zanotowano żadnego spektakularnego ataku, w którym punktem wyjścia był przejęty DNS.
Jak się bronić? W zasadzie... się nie da. Bardzo niewygodnym rozwiązaniem jest stosowanie adresów IP zamiast adresów internetowych. Dlatego zamiast dodawać do ulubionych adres https://e-bank.lukas.com.pl , dodamy raczej https://193.0.242.13 . Niestety, jeśli bank dołoży serwer pod innym adresem IP, pewnego dnia nasza witryna może przestać działać.
Rootkity
Rootkity to bardzo bystre programy, których twórca zrobił wszystko, by były one niewidoczne dla systemu oraz by stały się jego nieodłączną częścią ( patrz też: "Rootkity: śpij spokojnie. Nawet jeśli je masz, są dobrze ukryte... - http://www.idg.pl/news/87581.html" ). Rootkity stały się sławne za sprawą słynnej afery Sony: na niektórych płytach audio sprzedawanych przez korporację znajdował się niewielki program bez wiedzy użytkownika montujący się w warstwie między napędem CD i systemem operacyjnym. Można go porównać do cegiełki, bez której wszystko działało dobrze i po instalacji której wszystko działa... tak samo dobrze.
W świecie Windows rootkity to stosunkowa nowość. Zanim pojawiły się w systemach z Redmond, występowały przede wszystkim z uniksach - choćby z racji tego, że to te ostatnie pracowały w sieciach i były dostępne zdalnie. Najnowszym rootkitem jest Haxdoor, który działa równolegle na kilku poziomach systemu operacyjnego. Nie tylko przechwytuje dane transmitowane przez sieć i kieruje ruch przez podstawione serwery, ale również chwyta na bieżąco wszystkie wpisywane przez użytkownika dane ( konta! hasła! )...
Dlaczego rootkity są złe? Odpowiedź nie jest najłatwiejsza: wielu użytkowników nie przejmuje się faktem, że coś siedzi w ich systemie, dopóki ten działa poprawnie. Jednak dużym problemem jest fakt, iż rootkity a ) nie wiadomo, co robią, b ) nie wiadomo, do czego służą, c ) nie wiadomo, czy czegoś przed nami nie ukrywają. Dlatego nawet jeśli nie przeszkadzają nam płyty instalujące po cichu kilka dodatkowych bibliotek, które uniemożliwią nam skopiowanie płyty CD, przeciwko "oficjalnym" rootkitom powinniśmy zawsze głośno protestować ( patrz również: "Rootkit Sony - duży może więcej - http://bezpieczenstwo.idg.pl/news/85919.html" ).Jak się bronić? Choć istnieją aplikacje, które wykrywają rootkity, nie polecamy ich stosowania mniej zaawansowanym użytkownikom ( mówimy szczególnie o systemach Windows ). Często zgłaszają fałszywe alarmy, czasami też mogą nie wykryć prawdziwe szkodliwych aplikacji. Czy zatem użytkownicy powinni żyć w strachu? Zdecydowanie nie -
rootkity stały się bardzo popularne, ale ich napisanie wymaga sporych umiejętności programistycznych. Do tego jeszcze dochodzi dystrybucja ( czy rootkit ma być podczepiony do wirusa? spyware'u? "legalnej" aplikacji? ). To wszystko sprawia, że tak naprawdę rootkitów powinni bać się właściciele serwerów i maszyn non-stop podpiętych do Internetu, ze stałym adresem IP. Pozostali powinni zachować zdrowy rozsądek i nie instalować czego popadnie.
Socjotechnika
Socjotechnika to jeden z ciekawszych i bardzo trudnych do wykonania ataków, rozsławiony czynami Mitnicka. Praktycznie wszystkim młodocianym "hakerom" wydaje się, że byliby doskonałymi socjotechnikami, zwykle jednak posługują się od zawsze tymi samymi, oklepanymi sztuczkami.
Socjotechnika bowiem ma przekonać kogos do naszych racji nie wywołując jego podejrzeń - a to da się zrobić tylko wtedy, gdy metoda nie jest zbyt popularna. Sposoby na dzwonienie do firmy, podawanie się za administratora i wymuszanie haseł rzadko funkcjonują w rzeczywistości, a w dodatku zostają w pamięci tych, na których oszukaniu nam zależało.
Trzeba wszak przyznać, że przestępcy stosujący phishing ( jedna z metod socjotechnicznych ) reagują na kolejne zabezpieczenia z niebywałą wprost pomysłowością: dodają do e-maili sygnatury informujące o niebezpiecznych wiadomościach ( patrz: "Phisherzy coraz bardziej bezczelni - http://www.pcworld.pl/news/78800/100.html" ). Co gorsza, jest ich coraz więcej: w lutym bieżącego roku Websense donosiło, że w Internecie jest już 27 tysięcy phisherskich witryn ( patrz też: "15 milionów powodów, aby uważać w Internecie - http://www.internetstandard.pl/news/88740.html" ).
Jak się bronić? Odpowiedź jest bardzo prosta: nie ufać obcym. Jeśli mają pilny interes, niech skorzystają z tradycyjnej poczty albo pofatygują się osobiście.
Trash-diving
Jedna z ciekawych, bardzo awanturniczych metod polowania na dane innych użytkowników. Polega na zupełnym odrzuceniu komputera, przebraniu się w łachy nędzarza i... grzebania w śmieciach. Na pierwszy rzut oka technika jest bardzo prosta, jednak rzadko daje się ją zastosować wobec dużych firm software'owych. Przewidziały one ewentualne problemy, zamykają i każą ochronie pilnować smietników czy najmują firmy do niszczenia odpadów.
Jak się bronić? Nie zapisywać istotnych danych na nieulotnych nośnikach ( kartki papieru, wydruki ). Albo w ogóle nie zapisywać haseł.
Zakończenie
Zatrzymajmy się teraz na chwilę i spróbujmy objąć cały narysowany tu obraz. Niemal od razu widać, że cyberprzestępcy wcale nie są pomysłowi. Stosują te same, znane od tysięcy lat metody: oszukują, podają się za kogoś innego, lawirują, badają nas bez naszej wiedzy... Chcą nam, dranie, zatrute ogórki wcisnąć.