Twoje pliki to moje pliki, czyli samba na waszych pulpitach
Gazety i portale od niemal dwóch lat przekonują o potrzebie instalacji pakietu Service Pack 2 lub zewnętrznego firewalla. Lecz jakże często mamy do czynienia z sytuacją, że liczba wyjątków w naszej zaporze jest niemal tak długa, jak spis blokowanych portów? Ilu użytkowników Internetu pamięta o tym, że wystarczy wystawienie jednej usługi, by system mógł zostać zaatakowany? Firewall nic nie pomoże, gdy otworzymy ten feralny port 135, 139 albo 445. W poniższym materiale nie będziemy was zanudzać nadmierną ilością tekstu - pokażemy wam tylko, jak szybko cyberwłamywacz może dotrzeć do waszych plików.
Zaczynamy o godzinie 13:30 dnia roboczego, czyli w porze popołudniowej, gdy nawet najleniwsi uczniowie i studenci już wstali z łóżek i włączyli swoje komputery, a pracownicy małych i dużych firm wyszli na obiad lub urządzili sobie kolejną z rzędu przerwę na papieroska. To szczyt ruchu w Internecie - drugi taki przytrafi się dopiero późnym wieczorem.
Postępujemy zgodnie z regułą przeciętnego script kiddie, czyli nastoletniego włamywacza. Zainstalował on u siebie Ubuntu lub SuSE, dorzucił do niego NMapa i rozpoczął łowy.
Czas: +10 minut ( 13:40 ), poziom trudności: żaden
Nasze łącze przycinamy do przepustowości 512/128 kilobitów na sekundę - jest to stosunkowo tania i dość popularna wśród użytkowników opcja neostrady tp. Chcemy sprawdzić, czy pozwoli ona na szybkie internetowe łowy.
Wczuwamy się w rolę cyberprzestępcy - wchodzimy na stronę http://www.ripe.net i wybieramy zakres adresów, który zechcemy "pomacać". Jako że interesuje nas szybkie osiągnięcie sukcesu, w polu "RIPE Database Search" wpisujemy neostrada i wybieramy zakres adresów IP.
Nasz wybór pada na pierwszy z brzegu, okręg mazowiecki - żebyśmy nie musieli zbyt daleko szukać.Czas: +12 minut ( 13:42 ), poziom trudności: minimalny
Oto najdłużej ciągnący się etap całej zabawy - musimy bowiem przeskanować olbrzymi kawałek sieci. Nasz cyberwłamywacz wpisze więc:
nmap -O -v -p 139,445 83.31.120-200.120-200 >skanowainep139.txt_
...i pójdzie na obiad albo obejrzeć kreskówkę w telewizji. Albo uruchomi na chwilę Unreala na maszynie z Windows - kilka partyjek z kolegami działa bardzo odświeżająco.
Zapytacie może, dlaczego wybrał porty 139 i 445? To proste: ten pierwszy wykorzystywany jest w archaicznym protokole NetBT do udostępniania plików - zwykle łączy się z otwartymi portami 137 i 138. Ten drugi natomiast odpowiada za udostępnianie plików bezpośrednio przez TCP/IP, z pominięciem warstwy NetBIOS.
A co mamy na myśli pisząc "udostępnianie plików"? To potoczna nazwa na kolejny protokół znajdujący się nieco wyżej w hierarchii - czyli na SMB ( Server Message Block ). Od niego wzięła nazwę popularna w systemach POSIX-owych "Samba", z niego też wywodzi się tytuł tego tekstu.
Czas: +30 minut ( 14:00 ), poziom trudności: żaden
Partyjka się skończyła, można obejrzeć wyniki skanowania. Są więcej niż frapujące: wygląda na to, że w każdej podsieci znajdują się przynajmniej 3 komputery, o których właścicieli musi zadbać albo twórca systemu operacyjnego, albo dostawca usług internetowych ( choćby blokując porty 139 i 445 ), albo dobry kolega. W przeciwnym razie ich dysk będzie dostępny dla niemal każdego zainteresowanego...Oczywiście cyberprzestępca nie będzie bawił się w wyszukiwanie exploitów, tylko poszuka słowa kluczowego "open", które charakteryzuje otwarte porty.
Czas: +60 minut ( 14:30 ), poziom trudności: niewielki
Port otwarty? Pozostała ostatnia warstwa zabezpieczeń do złamania - odgadnięcie nazwy i hasła użytkownika. Zwykle warto próbować z "guestem", "gościem", czasem skutkuje skorzystanie z "Administratora". Oczywiście należy również odgadnąć nazwy udostępnionych zasobów, gdyż udziały administracyjne ( C$, D$, IPC$ itd. ) zwykle są niedostępne.
"Zwykle" nie znaczy "zawsze". Nam udało się podpiąć do trzynastej z kolei maszyny - dalej postanowiliśmy nie ryzykować, bo od tego miejsca zaczęła się wędrówka po bardzo śliskim gruncie. Tym razem wyświetliło się okienko z zasobem "mp3", następnym razem mógł to być katalog "tajne dokumenty".
Jedno jest pewne: prędzej czy później udałoby nam się wejść do kiepsko zabezpieczonego Windows 2000 przez bezpośrednie mountowanie udziału administracyjnego, np. dysku C:. A stąd już tylko krok do kradzieży numeru GG czy hasła. Całość w jedno krótkie popołudnie...Jak się zabezpieczyć?
Przede wszystkim koniecznie należy zainstalować firewall lub pakiet Service Pack 2. W następnym kroku warto poprosić dostawcę usług o zablokowanie na routerach niebezpiecznych niskich portów - w tym zakresu 135-139 czy 445; w końcu nikt przy zdrowych zmysłach nie udostępnia w Sieci plików korzystając z protokołu SMB.
Warto zapoznać się z treścią artykułu "Jak łatwo być intruzem" - http://www.pcworld.pl/news/76518.html, a już szczególnie z pierwszą zawartą w nim ramką. Pamiętajcie też, że witryna http://scan.sygate.com jest waszym sprzymierzeńcem w walce z cyberprzestępcami. Zwłaszcza tymi "z przypadku", którzy chcą się tylko zabawić...
Pamiętajmy, dużo łatwiej jest się zabezpieczyć niż korzystać z pomocy policji podczas poszukiwania włamywacza. Szczególnie, że w myśl polskiego prawa skanowanie portów wcale nie musi być uznane za działalność szkodliwą, a publiczne udostępnienie zasobów może być potraktowane jako zaproszenie do ich wykorzystywania.