Internet War Zone ~ Methods of Hacking

[Armani]

Napomena !!!


Sve u ovoj temi sam postovao iz razloga da korisnici shvate moguce opasnosti kojima se izlazu na internetu. Tema nema za cilj obuku i skolovanje mladog kadra za razne bahanalije na netu. Treba imati u vidu da svaki upad na tudj racunar i izazivanje bilo kakve stete drugim licima putem interneta, podleze krivicnom gonjenju.



Tema o kojoj se pisu knjige, o kojoj mozemo da lupetamo i raspravljamo do sutra. Otvaram ovu temu gde ce biti price o nacinima hakovanja i kako se od njih braniti najbolje sto moze.

Pocinjem od trojanaca.

Napad Trojanaca


   U slucaju da ste samo posumnjali da imate u sistemu trojanca, obratite na to veliku paznju!!! Ako ne uradite nista, tj. ako ga ne skinete sa racunara, postoji mogucnost  da “drugi” pristupe vasim podacima, password-ima i sto je najgore, “neko” moze izvrsiti razna krivicna dela preko vaseg racunara, kao sto je npr. napad nekog treceg racunara, banaka i slicno. Naravno vi o tim napadima necete nista znati ali cinjenica je da je “vas” racunar napao, tako da mozete imati velikih problema.



1. Sta su trojanci?

   Trojanci su, nesumnjivo, najveca pretnja sigurnosti na internetu. Ovo bi trebalo da bude na neki nacin, opsti tutorial o tome kako se zastititi od trojanaca, kako ih obrisati iz sistema, kako popraviti stetu ukoliko je ima. Da ne pricamo po ko zna koji put kako je nastao naziv i sta je Trojan horse u grckoj mitologiji, u kompjuterskom svetu trojanac je definisan kao "maliciozni, destruktivni program koji je najcesce prerusen u fajl koji je siguran, bar na oko". Na primer, download-ujete nesto sto je  muzicki ili video fajl. Prilikom pokretanja tog fajla, vi oslobadjate opasni program koji moze da ucini bukvalno sve, od brisanja vasih dragocenih podataka sa diskova, slanja brojeva vasih kreditnih kartica (kod nas jos te kartice nisu zazivele u vecoj meri), password-a, pa do totalnog preuzimanja vaseg racunara od strane “drugih” lica za izvrsenje krivicnih dela preko interneta i napadanje drugih sistema koji mogu trajati cak i mesecima pre nego sto primetite da se nesto “cudno” desava.



2. Kako se “dobijaju” sa neta?

   Trojanci su egzekutabilni programi, sto znaci kada ga otvorite (dupli klik) on se tada aktivira, i spreman je za “prljav posao”. U windows operativnim sistemima, egzekutabilni programi imaju ekstenzije kao "exe", "vbs", "com", "bat", itd. Primeri trojanaca su razliciti, neki trojanci izgledaju savrseno nevino : “dmsetup.exe”, “LOVE-LETTER- txt.vbs”, “FOR-YOU.txt.vbs" (kada postoji vise egzekutabilnih zavrsetaka, kao u prethodnim primerima, bitno je znati da se samo zadnji racuna, tj. zadnja ekstenzija je primarna ili osnovna, pokretacka).  Ima i za to resenja, svakako, nisu jedina, niti konacna.


Kako otkriti ekstenzije u windows-u?

Windows OS je namesten “fabricki” ili po “default-u” da sakriva (hidden files), kao i ekstenzije za poznate fajlove (known file types). Na primer. Imate neku sliku, recimo "Sex.jpg" , vi to vidite kao "Sex". Medjutim, postoji mogucnost da je ta “slika” ustvari nesto kao "Sex.jpg.exe ", sto znaci da je to neki egzekutabilni program, koji za masku koristi ono "Sex.jpg". Naravno, vecina ljudi se odmah isprima na naslov slike i odaradi ono “magicno” click-click. Na taj nacin se pokrece mali, ali jebitacan program koji se iz miloste zove trojanac.

Resenje bi bilo prosto :

Za Windows 95/97/98 :
- Otvorite Explorer
- U View meniju, izaberite Options
- Cekirajte - "show all files"
- Destiklirajte ili “un-check-irajte” - "hide MSDOS file extensions that are registered"
- Kliknite OK za kraj.

Za Windows 2000, XP :
- Idite na  Start | Settings | Control Panels | Folder Options
- Izaberite View tab
- Stiklirajte "show hidden files and folders"
- Destiklirajte ili “un-check-irajte” "hide file extensions for known file types"
- Kliknite OK za kraj.


Vazno:

Cak i kada “otkrijete” ekstenzije pomocu gore pomenutog postupka, i dalje necete biti u mogucnosti da vidite sve skrivene ekstenzije, npr. za fajlove koji se zavrsavaju sa :.shs, .pif, and .lnk (zaslugom nesretnog Microsoft-a). Nazalost i ovi fajlovi su egzekutabilni, i postali su  jedne od najpopularnijih ekstenzija za mnoge  trojance, npr.: "Movie.avi.pif" , sto vi vidite kao : "Movie.avi", ili "LIFE_STAGES.TXT.shs" sto izgleda kao "LIFE_STAGES.TXT".

Trojanci su svuda, bukvalno svuda prisutni na netu. Najvise ih ima na porno sajtovima (zasto je toliko zanimljivo skinuti porno clip od par megabajta, a na svakoj trecoj ulici cuci baja i prodaje vrhunsku pornjavu na divx-u i dvd-u)  i sajtovima sa crack-ovima raznoraznih programa. Kao sto sam rekao, trojanci koriste siroku lepezu maski kao sto su besplatne igre, filmici i muzika. Zrtve skidaju sadrzaj sa WWW ili FTP arhiva, a najlepsi i daleko najsladji nacin je razmena fajlova preko p2p - IRC/instant poruke/Kazaa itd.. Sta reci o onima koji su malo radoznaliji pa otvaraju atcmente nepoznatih poruka??? Trojanci obicno rade “tiho” i neprimetno i nanose stetu polako. Ne mora da znaci ali sto su vise na nekom sistemu, steta moze biti ogromna ukoliko se nista ne preduzima.


3. Kako ih izbeci i ostati bezbedan?

Nikako !!!

Recimo neki x tip u ovom trenutku napravi nekog (extra dobrog) trojanca i pocne da ga siri nasumice…

Antivirusi -Najboljoj antivirusnoj kompaniji je potrebno najmanje 2 sata da provali uopste o cemu se radi (kod worm-ova jos toliko, ponekad i vise, zavisno od konstrukcije istog). Zatim im treba bar sat (cesce, mnogo vise) da spreme “vakcinu” za novonastalu vasku i tek tada vi dobijate onaj cuveni “update”, a do tada dosta kompova biva zavijeno u crno, nekad vise, nekad manje ali uvek. Naravno, treba li spominjati ljude koji imaju masu trojanaca napravljenih za licnu upotrebu, znaci trojanci totalno nepoznati raznim antivirusima i njihovim kompanijama?

Firewall-ovi -Vi imate neki firewall i bas vas je ortak nalozio da je “bas taj” najbolji, da mu nista ne prolazi….E to su, recimo, katastrofalne gluposti. Za prosecnog korisnika svaki firewall je dobar. Kao sto je vec bilo price na forumu, iole ozbiljniji “bad guy” nece napadati obicne korisnike-home user-e, vec ce se truditi da osteti neku firmu, podatke drzavnih/vladinih ustanova, itd. Ali, naravno, uvek ce biti onih koji ce eto, cisto iz zezanja da prave stetu, krasce vase uplaceno vreme, koristice vase sifre za logovanje na neke sajtove, a sto je najgore, moze sa vaseg racunara vrsiti sijaset krivicnih dela tako sto ce napadati druge korisnike. Najzahtevniji ali i najcesci napadi za zbunjivanje firewall-a su napadi sa vise od 2 racunara, a da pri napadima koriste sve veci broj portova koje firewall jedno vreme uspesno odbija. Broj portova koje jedan komp napada se povecava iz napada u napad. Firewall ce se u jednom trenutku tako zbuniti, da ce se ugasiti sam od sebe, restartovati ili cak otvoriti portove koji su mu po default-u blokirani?!?!?! Ma koliko cudno i nestvarno izgledalo, Zone Alarm je sampion u takvoj zbunjivosti, pogotovo novije verzije!!!

Zar nije i logicno? Svaki software koji radi po unapred zadatim komandama, sklon je pucanju ali je ipak bolje imati ga, nego nemati (Alan Ford ).
Iako se iz dana u dan hiljade novih trojanaca pravi, svi oni funkcionisu na slican nacin, pa ako imate firewall, a portovi koji su ovde na listi nisu blokirani, blokirajte ih:

-31337, 31338,31339 - standardni backdoor portovi (najcesci)
-1120, 1243, 18006, - Orifice 2000, n.bus, sub s., kao i njihove evoluirane verzije
-2140, 3150, 6711 ,6776, 7300, 7597 – Deep throat, net friend, girl spy…
-11000, 21554 Qaz, tdestroyer…

Naravno, postoji jos na hiljade portova ali ovi su nekako, najcesci.


Znaci:

1. Nikada ne download-ujte bilo sta preko messenger-a od ljudi koje ne poznajete. Izlazete se opasnosti i ako dosta  razmenjujete fajlove preko interneta, pogotovo ako dozvolite vasem p2p programu mogucnost da skida fajlove sa exe, cmd, bat i slicnim ekstenzijama.
2. Cak i ako fajl dolazi od druga, treba ga prethodno proveriti antivirusom, jer je moguce da je njegov racunar zarazen, a da to on i ne zna zato sto se trojanci (veci deo) trude da se automatski “salju” sa racunara na racunar.Uvek skenirajte bilo sta sto dobijete preko interneta sa sveze update-ovanim antivirusom.
3. Kao sto sam vec napisao, windows po default-u krije ekstenziju fajla, znaci : "pamela.jpg" moze da bude "pamela.jpg.exe" – ekzekutabilni trojanac! Da bi se smanjio rizik, unhide file extensions…
4. Batalite iskacuce poruke tipa “ click to scan your computer” i slicne navlakuse, jer ako kliknete, verovatno je trojanac vec tu…


4. Kako ih se otarasiti?!?

Postoji vise resenja. U svakom slucaju, procitajte ih pre nego sto pozurite i u panici, obrisete sve sto treba i sto ne treba.

1.   Format C(cheney preporucuje!!!) : Ovo je jedini nacin, koji sigurno uklanja sve trojance i ostalu gamad! Znaci, formatirajte hard disc, instalirajte operativni sistem sa originalnog diska i to je to.

2.   Anti-Virus Software: Vecina antivirusa ce resiti problem , ali treba imati u vidu, da nijedan AV nije savrsen. Od izuzetne vaznosti je da uvek  download-ujete najnoviji update. Postoji dosta raznoraznih antivirusa i generalno gledano, svaki ce obaviti posao u vecini slucajeva :
-Kav;                                                                  -Nod32;
-Norton;                                                             -Avast;
-McAfee;                                                            -Pc-cillin;
-Panda;                                                              -Symantec;
-Bitdefender;                                                      -Zone Alarm Suite;
-Vexira;                                                              -F-proot.

Vecina gore navedenih antivirusa postoji u “trial” formi, sto znaci da mozete skinuti zeljeni AV i u roku od 30 dana mozete se uveriti u funkcionalnost istog. Za dodatni pregled antivirusa, mozete pogledati ovaj sajt, koji, izmedju ostalog, sadrzi  predloge o kofiguraciji svakog posebno, http://www.hackfix.org/software/antivirus-section.html

3.   Anti-Trojan Programi: Ovi programi su specijalizovani iskljucivo za pronalazanje trojanaca u sistemu. Jedna od boljih resenja su :
-a2;                                   -Tauscan;
-PCDoorGuard;                    -The Cleaner;
-Pestpatrol;                        -TrojanHunter.

4.   Registry: U registry-ju se mogu rucno ukloniti trojanci, mada ovo necu opisivati iz razloga sto je registry najosetljivija stvar u sistemu, tako da ukoliko neko zeli to da proba, neka bude maksimalno obazriv. Obavezno odradite backup!!!


Primer rada trojanca

Osobi se posalje fino upakovani trojancic, pozeljno iz velike i jako mastovite porodice "backdoor", kao u ovom primeru.
Osoba (klijent) koja je poslala trojanca, startuje program koji omogucava konekciju servera(zrtve) i klijenta.

a. Na ovoj slici vidimo "komandnu tablu" trojanca iz domace radinosti:


Na mestu za IP adresu kuca se zrtvina IP koja se moze pronaci skeniranjem odredjenog porta (to je onaj port preko koga komuniciraju klijent i server trojanca).

b. Konektovanje uspesno...


c. Posto je konekcija omogucena, lamer krece u pretragu C diska...


d. I tako...


e. U My Documents nalazi zanimljiv sadrzaj...


f. Interesantnih stvari ima....


g. Mmmmmm...


h. Ima 2 lepa izbora...


i. Download complete...


j. I jos malo download-a


k. Kada odaradi sve sto pozeli, napadac ostavi ponekad i poruku, a sve u dobrom duhu prijateljstva...

[Armani]

Network, war zone!?!

Pokusacu da objasnim par tehnika koje lameri koriste pomocu kojih mogu da dobiju kontrolu nad tudjim racunarom.
Generalno, postoje 3 kategorije (sa dosta podgrupa) napadaca preko interneta :

•Adolescentni amateri— Preko 80% napada sa neta dolazi od ove kategorije. Poznaju samo povrsno tehnike upada na tudje sisteme. Vecinu alata skidaju preko interneta, ne znaju koliku stetu mogu da naprave, zato su, na neki nacin, veoma neugodni.
•Hobi crackeri— U ovu kategoriju spada i starija ekipa ljudi koji dobro poznaju tehniku upada i vise vrsta napada preko interneta. Vecini su specijalnost: DoS napadi, crackovanje programa kao i druge nelegalne radnje koje se mogu raditi na internetu.
•Profesionalni hakeri— Ovo je relativno mala ali najopasnija grupa koja se sastoji od vrhunskih eksperata za kompjuterske sisteme. Jako ih je tesko uhvatiti zato sto poznaju veliki broj trikova za anonimni napad. Medjutim, nikada nece napasti nekog obicnog “home” usera. To je njima “ispod nivoa”. Poseduju zavidan koeficijent inteligencije, izuzetno dobro se sluze tehnikom obmane. Rade iskljucivo zbog svog entuzijazma, mada i nemali broj njih radi za velike honorare. Napadaju iskljucivo dzinovske korporacije koje hoce da uspostave monopol na trzistu, kao i vladine organizacije, NATO, Pentagon,….itd. Najveci eksperti su iz sledecih zemalja: Indija, Pakistan, Rusija, Izrael, Egipat, zemlje jugositocne Azije, Nemacka, Spanija, Srbija, Grcka, Bugarska,…itd. Verovali ili ne, malo ih ima u SAD, pa su se zato potrudili da naprave cak 3 dela filma o hakerima (cujem da se i cetvrti priprema).

Nemoguce je opisati u par recenica raznorazne nacine koje napadaci koriste da bi preuzeli kontrolu nekog sistema. Nikada mi nece biti jasni ljudi koji tvrde da nikada nisu “popili” trojanca, neki virus sa neta ili kada izjave da su njihovi kompjuteri extra sigurni samo zato sto koriste, kav, pc-cillin, vexiru,..itd. Ako mislite ovako, razmislite ponovo, jer neko provodi dosta vremena sedeci za svojim kompom pokusavajuci da nadje nacin za upadanje…

Sta napadac hoce?

Kompjuterski napad kao i infiltracije u sistem  su organizovani u sledecim postupcima :

Osnovno : Obezbediti “ulazak” u sistem;
-Dobiti privilegije;
-Napraviti stetu;
-Pripremiti teren za sledeci napad (opciono).


1. Obezbediti “ulazak” u sistem

Kradja password-a

Kao sto svi znaju, klasicni nacin da se nekom “udje” u kompjuter, je da se password (lozinka) provali. Napadac koji obezbedi ulaz u sistem, dalje koristi tehnike da dobije sve neophodne privilegije. U sustini, “nalazenje” lozinke je obicno prvi korak u crackovanju. Metode nalazenja password-a variraju od high-tech programa ( password-cracking dictionary scripte i raznorazni de-encryption programi), pa sve do low-tech tehnike (preturati po kantama ili po fijokama osobe koju zelite da unistite). Metode provaljivanja password-a mogu biti:

•Obmana;
•Trojanci;
•Guessing (nagadjanje);
•Presretanje.

Obmana

Bez obzira koliko je mreza bezbedna, ljudski faktor je uvek tu. Cesto napadac vidi lozinku zalepljenu na monitoru neke budale iz firme ili jednostavno, ukoliko je nekome password mali, tj. par slova, moze se lako “provaliti” ukoliko se gleda u osobu koja ga kuca. Recimo, kada neki radnik dobije otkaz, njegov account se deaktivira ali sta se desava ako su ostali zaposleni delili svoje password-e medjusobno sa njim (cesta praksa u svim firmama)? Moze doci do kurslusa….
 Malo iskusniji napadac ce pokusati da zatrazi pass direktno od admina. Prosto, nazove sys admina i obmana pocinje : "E, Zika ovde iz racunovodstva, daj leba ti, resetuj mi ili mi kazi password. Zaboravio sam ga….itd" Zvuci debilozno ali to je prvo sto ce svaki iole pametniji napadac da uradi, da bi sebi ustedeo trud i podosta vremena.
U danasnje vreme, vecina kompjuterskih sistema dolazi sa nekim uobicajenim “default” password-ima, a vecina korisnika to nikada ne menja. Desavalo mi se milion puta da upadnem na tudj access point, kucanjem nekih default IP adresa za podesavanje istog. Dovoljno je da je neko malo vise neizivljen, pa da samo promeni IP za setovanje AP-a. Nebitno sto se AP moze vratiti onim ili ovim putem, cinjenica je da vam je neko zadao dodatni, nepotrebni posao. Zato, obavezno menjajte sve sa default vrednosti. Da li treba trositi vreme i pricati o password-u ***** tj. ADMIN…

[Armani]

Denial of Service napadi


   Kao sto naslov kaze, ovde ce biti reci o tzv. “DoS” - (Denial of Service) napadima, koji se koriste iskljucivo da bi diskonektovali odredjeni racunar sa neta, pa i crash-a istog. Da su DoS napadi ozbiljna stvar, dokazao je jedan klinac kada je 2000. god. koristeci par najprostijih DoS alata uspeo da napravi totalni kolaps kompanijama Yahoo i Amazon! Ovakvi napadi se jos zovu i “nukovanje”, “hakovanje”, “cyber-napad” ali u principu, sve su to druge reci za istu stvar…

DoS napadi su dosta cesti i uopste, nisu za salu. U dosta zemalja postoje rigorozni zakoni  koji se ticu samo DoS napada. Npr. Jeffrey Parson, dvadesetogodisnjak (koji je izmedju ostalog i tvorac crva Blaster), je pomocu DoS napada  uspeo da razvali “samo” 48 000 kompova, osudjen je na 18 meseci zatvora na njegovu ogromnu srecu.

Cesto su zrtve napada ljudi na IRC-u (Internet Relay Chat), mada DoS napad ne ukljucuje IRC servere ni na koji nacin, tako da IRC operateri nisu u mogucnosti da zaustave ili kazne napadace. Ako ste napadnuti, ne uzimajte to licno i ne pokusavajte odgovarati drugim, nelegalnim metodama, jer u tom slucaju i vi krsite zakon, a moze doci i do napada veceg intenziteta (na netu nikada ne znate sa kim imate posla). Umesto toga, pobrinite se da vas racunar “dobije” sve patch-eve koji se ticu ranjivosti sistema, kao i neki dobar firewall. Denial of service napade ne treba svrstavati sa virusima, trojancima, crack-ovanjem, kao sto se to u praksi radi.

Postoje dva tipa DoS napada:


1. Operating System napadi, koji za cilj imaju urusavanje OS-a; (potrebno je sistem redovno update-ovati   patch-evima za novootkrivene bezbednosne propuste)

2. Networking napadi, koji za cilj imaju “pucanje” internet konekcije, onemugucavanja izlaska na internet,…itd. (obezbediti neki firewall)


Operating System napadi

Ova vrsta napada, kao sto je receno ima za cilj crash OS-a (rusenje, urusavanje, pad,…itd), koji je u upotrebi na vasem racunaru, recimo Windows XP. U principu, cim se pojave u vecem mahu ovakvi napadi, hitno se popravljaju propusti u sistemu,(Tako bar tvrdi kompanija Microsoft) tako da, ukoliko redovno update-ujete vas OS, znacajno smanjujete mogucnost pomenutih napada. Kako apeluje kompanija Microsoft, svi korisnici Windows OS-a, trebalo bi da redovno posecuju http://windowsupdate.microsoft.com radi download-a najnovijih patch-eva.


Networking napadi

Ova vrsta napada, laicki receno ima za cilj da ogranici ili da ugusi internet konekciju izmedju korisnickog racunara i IRC servera ili vaseg ISP-a (Internet Service Provider). Rezultat ovog napada nije crash-ovanje OS-a. Za ovu vrstu napada uopste nije bitno koji OS koristite i prakticno, ne postoji nacin da se odbranite od njega. Cak su nemocne velike kompanije poput Yahoo-a i Microsoft-a Koje imaju i po vise ovakvih napada dnevno. Znaci Network (mrezni) napad ukljucuje tzv. flood-ovanje (primanja velike kolicine odredjenih podataka koji imaju za cilj da prevazidju “normalan kapacitet” vase konekcije, te da je tako uguse ili prekinu u potpunosti. Na ovaj nacin racunar se “obmanjuje” i najcesce sam prekida konekciju jer “misli” da je mreza (network) iz nepoznatog razloga dozivela krah.

Ne mora da znaci ako vam konekcija pukne da je to bas Network napad. Situacija treba da postane sumnjiva ukoliko veza cesto puca, pogotovo ako ste na odredjenom IRC kanalu, kao i ako vam konstantno izlaze poruke, usled pucanja veze "Connection reset by peer".

Vas ISP moze podesiti firewall koji zaustavlja flood-ovanje pre nego sto dopre do vas. Ukoliko su napadi cesti, sa sve jacim intenzitetom, ISP moze zatraziti pomoc ministarstva unutrasnjih poslova, radi pronalazenja i kaznjavanja napadaca. Nazalost, vecina nasih ISP-a je prilicno neiskusna oko iznalazenja resenja za odbranu od velikog broja flood napada, tako da je korisnik ostavljen sam sebi. Ako se ovo desi vama, najbolja odbrana je, nesumnivo, strpljenje dok napadacu ne postane dosadno (glupo ali u vecini slucajeva, delotvorno resenje) ili promena provajdera.

[Armani]

Zloupotrebe elektronske pošte


Pod zloupotrebom elektronske pošte tokom godina su se izdvojili različiti pravci posmatranja.

•        Sakupljanje ličnih informacija;
•        Zloupotreba podataka u komercijalne svrhe putem e-mail-a;
•        Lažno predstavljanje pute elektronske pošte (e-mail);
•        Korišćenje e-maila kao načina distribucije virusa.
 
Sakupljanje ličnih informacija (Personal data abuse) Kršenje privatnosti korisnika je kada se podaci o njima daju trećim licima bez njihovog odobrenja.

AOL je to učinio kada je dao podatke o mlađem podoficiru Timotiju Mek Veitu. Ti podaci su sadržali podatke o njegovom seksualnom opredeljenju (to da je on homoseksualac i da je posetio određene sadržaje na interenetu i da je bio u kontaktu sa određenim brojem homoseksualaca). Americka mornarica je tražila te podatke i iskoristila ih da bi ga otpustila. Mek Veit je podigao optužnicu protiv AOL-a zbog napada na privatnost, ali su oni nastavili da brane svoj postupak i svoje pravo da koriste podatke na način kako su im potrebni.*

Ono što je bito u svim ovim slučajevima da se svi ti podaci daju bez njihovog znanja  i samim tim bez njihovog pristanka.Te podatke zatim dalje mogu da koriste i razne druge agencija,službe i slične organizacije. Čak je na pojedinim mestima omogućeno pojedincima da lako dođu do svih relevantnih podataka o drugom pojedincu.

Poseban problem kod e-mail poruke je u tome što u osnovi daje previše podataka o onome koji je šalje. Iz nje se može zaključiti odakle je poslata, iz koje zemlje, ko je pošiljalac, u koje vreme je poslata, preko kojih je sve servera prošla dok nije stigla do određene destinacije.

Teško je izbeći kriminal koji je vezan za elektronsku poštu, pošto je lako pratiti rad korisnika na sistemima sa PINE programom za pristup pošti, probijati kodiranu zaštitu moćnim i lako dostupnim softverom i ubacivati se u sisteme sa alatima koji su dostupni na internetu:

SpyNet (pages.prodigy.com/waite/waite1.htm#SpyLinks) ili Hacking Arcade (www.angelfire.com/ak/ankit1). Kodiranje je mogućnost, ali ako neko stvarno želi da čita vaše poruke moze veoma lako da ih dekodira sa odgovarajućim softverom.

Trenutno američko zakonodavstvo manje pažnje polaže na privatnost nego na praćenje toga šta ljudi pišu, kome i koliko često. To može da izgleda neophodno u nekim slučajevima, kao sto je slučaj Džejka Bejkera.

Džejk, student, je uhapšen zato što je poruka koju je poslao sadržala "komunikaciju na međudržavnom ili međunarodnom nivou koja sadrži pretnje, sa ciljem da se ponizi tuđa ličnost".

Očigledno imate pravo da šaljete takve poruke, ali uz rizik da budete nadgledani, ispitivani i javno poniženi. Nameće se pitanje: šta to prosečan korisnik elektronske pošte piše kada je potrebno da se to nadgleda od strane vlasti.

U 42 države SAD sudski ovlaštene institucije mogu legalno da čitaju tuđu postu (www.crimetime.com).

U Vašingtonu je zakonom zabranjeno slanje anonimnih poruka iako je to veoma lako izvesti pa većina ljudi nije uhvaćena u tome. Pristup elektronskoj pošti je omogućen ogromnom broju ljudi, i treba ga koristiti sa oprezom.


Propaganda u komercijalne svrhe
 
AOL je podatke o korisnicima distribuirao i kompanijama. Podatke je prodavao marketinškim firmama putem mailing lista. Ovo nije kršenje zakona, iako su veoma specifične informacije prodate, zato što AOL tvrdi da korisnici mogu da povuku svoje ime sa liste u bilo koje vreme, samo ako to žele. Ali, ako neko ne zna da su njegovo ime i podaci prosleđeni marketinškim kompanijama, kako može da odluči da povuče svoje podatke.

Preko 70% kompanija daje lične podatke o svojim zaposlenima raznim kreditnim žirantima, 47% daje agencijama za izdavanje stanova i 19% raznim dobrotvornim organizacijama.

U zloupotrebu elektronske pošte spada i takozvano "spam"-ovanje. To predstavlja slanje velikog broja jedne poruke većem broju osoba od strane jednog pošiljaoca(najčešće su te poruke neka vrsta oglasa za proizvod ili uslugu koju pošiljalac želi da nam proda).

Problem SPAM-a spada u oblast Net-etike - kulture ponašanja i komunikacije na Internetu. Šta je dozvoljeno i u kojoj meri često se ne zna - baš kao i u realnom životu. Poruke koje svaki email korisnik svakodnevno prima mogu biti zaista iritirajuće, kako po svom sadržaju tako i samim znanjem da te poruke nismo tražili, te da nas neko koristi kako bi izvukao neku korist. Postojanje zakona je svakako jedan od načina zaštite korisnika i provajdera. Mnogi provajderi  vode računa o pošti koju distribuiraju do krajnjih korisnika, ali ima i onih koji ostavljaju korisnicima da se sami izbore.

Specifičan način spam-ovanja je slanje puno e-mailova  na određenog korisnika.

Na taj način se osim zatrpavanja "mete" beskorisnim porukama, zauzimaju resursi računara koji se koristi za slanje ili primanje tih poruka, pa moze doći i do blokiranja ili čak do oštećenja samog sistema.

Primer za to se video prilikom NATO bombardovanja Jugoslavije gde su određeni serveri koji su prikazivali web prezentacije o NATO-u bili onesposobljeni primanjem preko 20.000 email poruka svakog sata. U jednom trenutku sam server više nije imao mesta gde da primi tolike poruke i srušio se usled nedostatka mesta za snimanje privremenih podataka neophodnih za rad sistema.

Ovaj vid zloupotrebe je danas dostupan ne samo "velikim hakerima", već i običnim korisnicima Interneta. Danas 30% populacije na Internetu ima po neki program koji omogućava ovakvo bombardovanje nekoga gomilom poruka, jer se mogu naći na Internetu i veoma su jednostavni za upotrebu.



Lažno predstavljanje putem elektronske pošte

Postoji još jedan važan aspekt, a to je da elektronska pošta nije realna, već virtualna konverzacija, i kao takva može biti loše interpretirana i shvaćena na pogrešan nacin. To dolazi do posebnog izražaja ako se neovlašćeno koristi od treće strane.

Dodatni način zloupotrebe e-maila predstavlja slanje "fake-mail"-ova. U pitanju je slanje poruka tako da izgleda da ih je poslao neko drugi. Najčešće se jedino iz zaglavlja poruke može otkriti da poruku nije poslao onaj čije ime piše u poruci, tako da ako ne očekujete suprotno, možete da pomislite da je poruku poslao onaj u čije je ime poslata.

U te svrhe se može iskoristiti najobičniji mail program kao što su "Outlook Express", "Internet Mail", "Eudora", "Netscape Messager" ili je potrebno samo malo predznanja o radu samih mail servera i operativnog sistema linux.
Korišćenje e-maila kao oblik distribuiranog napada
 
Mail bombardovanje je veoma primitivna tehnika, pa se gotovo više i ne koristi. Skoro svi provajderi imaju zaštitu od mail bombi (server odmah zaustavi mailove ako primeti da dolaze iste poruke) a i krajnja zaštita je jednostavna - za manje od 5 minuta ćete ih obrisati, dok će zlonamerni korisnik potrošiti sate i sate da bi vam poslao par hiljada poruka.

Zbog toga se koristi nova tehnika, a to je slanje emaila koji može naneti (i obično donosii)  veliku štetu. Radi se slanju trojanca ili virusa uz email u kojem se zlonamerni korisnik predstavlja kao veoma dobrotvorna osoba i neprimetno  moli primaoca da startuje 'program' koji mu  je poslao. Program je najčešće zaražen nekom vrstom virusa među koje najčešće spadaju

BackOrifice i NetBus, dva najpopularnija trojanca (analogija izvedena po tome što zlonamernom korisniku dozvoljava da se bez znanja vlasnika računara “useli”  na zaraženi računar i time zlonamernom korisniku dozvoli nelegalan pristup računaru) koji kreiraju takozvani backdoor (eng. backdoor – zadnja vrata).

Pored trojanaca opasnost predstavljaju i virusi koji se šire putem emaila, tzv. crvi. Takvi virusi prate kome sve žrtva šalje pisma, i uz njihove emailove prikače i svoju kopiju, tako da primalac pisma dobije virus od svog prijatelja.

Zato je potrebno biti obazriv kada se prima mail poruka sa prikačenim programom. Posebno treba obratiti pažnju na dva nova tipa crva, a to su crvi iz porodice takozvanih 'VBA crva' čiji je predstavnik sada već čuveni crv 'I-LOVE'YOU' i crvi iz porodice 'ActiveX crva' koju predstavlja crv 'BubbleBoy'.

VBA crvi koriste posebnu tehniku kako bi zavarali potencijalnu žrtvu. Pored toga što crv nema ekstenziju EXE već VBA ili VBS (što znači da su pisani u Visual Basic Script formatu i da je za njihovo izvršavanje potreban IE), takvi crvi se obično distribuiraju sa extenzijom '.txt.vba', tako da potencijalna žrtva pomisli da se radi o običnom tekstu i startuju fajl. Pošto je zadnja ekstenzija '.vba', ne startuje se Notepad već IE koji izvrši program, tako da potencijalna žrtva postane prava žrtva.

Posle crva 'I-LOVE-YOU', koji se širi sa fajlom 'LOVE-LETTER-FOR-YOU.TXT.vbs', pojavilo se još nekoliko stotina prepravljenih verzija ovog crva, među kojima je i srpska verzija koja se zove 'Volim i ja Vas.txt.vbs'.

Specijalna vrsta zlonamernih email poruka su poruke koje koriste Java/ActiveX aplete da bi ubacili trojanca ili obrisali fajlove po disku. Aplet koji nosi takvo jedno pismo se izvrši čim ga korisnik otvori, tako da nije više ni potrebno da startujete prikačeni fajl - on se sam startuje!

Takav email može (bez startovanja pomoćnog EXE fajla) brisati fajlove, kopirati, i kreirati nove, prosto rečeno, aplet ima sve privilegije i može se 'ugnjezditi' u sistem, kako bi kasnije preduzeo neke nove akcije.

Takav jedan aplet nosi crv 'BubbleBoy' koji se kao i svi crvi širi putem emaila. Dovoljno samo da neoprezni korisnik otvori e-mail i postaće žrtva koja će svojom nepažnjom poslati kopiju crva na još nekoliko stotina emaila.

To je samo jedna mogućnost ovakvih mail poruka. Naime, taj aplet može startovati prikačeni fajl, koji će u ovom slučaju preuzeti punu kontrolu nad računarom primaoca i otvoriće zlonamernom korisniku  'zadnja vrata'.



Neovlašćeno ulaženje na računarski sistem

Neovlašćen pristup računarskom sistemu se najčešće svodi na korišćenje i zloupotrebu neke vrste sigurnosne rupe u samom sistemu.

Najčešće se to svodi na pravljenje i korišćenje exploita (programi pisani da iskoriste postojanje sigurnosne rupe u nekom sistemskom programu i dozvole onom ko je pokrenuo exploit da dobije neovlašćene privilegije na sistemu)

Najčešće korišćena metoda prilikom pravljenja exploita je klasičan buffer overflow.

Naime buffer overflow je prepunjavanje buffera i pisanje po prostoru po kom ne bi smelo da se piše u normalnim okolnostima. Ali šta se time dobija? Šta se može postići?
Svaka funkcija koja se poziva mora da se vrati na mesto svog poziva.To se radi tako što se pri pozivu funkcije sa instrukcijom call na stacku sačuva EIP koji će se na kraju funkcije pokupiti i vratiti na mesto poziva.

Kako je main() funkcija i ona će biti pozvana (disass _start) i njen EIP će biti sačuvan negde na stacku. Na samom kraju funkcija nalazi se instrukcija ret koja će sačuvan EIP sa stack-a da pokupi i da se na taj način vrati odakle je pozvana. Međutim zbog specifičnosti samog rada sa memorijom i rada sa stackom (stack na i386 raste na dole) situacija u kojoj bi string bio veći od prostora koji smo mu dodelili definišući mu buffer (u ovom slučaju 256 byte) izazvao bi rušenje integriteta memorije jer bi preostali deo stringa (preko 256 byte) prepisao u memoriji i mesto gde je zapisan EIP ispuniti string karakterima i time izazvati pad programa kada na kraju funkcija pokrene ret da u EIP upiše string karaktere.  Međutim, ako u EIP namerno upišemo adresu shell coda (tačnije prepuni buffer sa shell codom i čekamo da ga ret pokupi)   i rezultat pada programa biće novi shell koji će se pokrenuti. Ako je program bio SUID (imao privilegije super korisnika (Super User ID)) dobićemo privilegije root-a na toj mašini i samim tim postati korisnik sa administratorskim privilegijama. Primer jednog klasičnog exploita koji se može koristiti na sistemima Sun Solaris kojim korisnik koji ga pokrene dobija efektivni root access.

[Armani]

DDOS pojam


Distribuirani DOS, kao i bilo koji distribuirani koncept predstavlja način kako pokrenuti određenu proceduru sa nekoliko računara. U ovom slučaju to je uskraćivanje servisa (denial of service) u formi preplavljivanja paketima, a u cilju opterećivanja mreža odnosno linkova radi njihovog onesposobljavanja. DDOS ne predstavlja kategoriju alata za hakovanje već način razmisljanja. Međutim kao i svaki informatički koncept propraćen je alatima koji opravdavaju ovaj način razmisljanja. DDOS alati predstavljaju PENETRACIONE alate , oni ne eksploatišu sigurnosne rupe odnosno ranjivosti ali mogu da ispitaju koliku količinu saobraćaja jedan računar, mreža mogu ili ne mogu da podnesu. DDOS se već duže vreme koristi od strane profesionalnih konsultanata za sigurnost kao sredstvo za testiranje izdržljivosti mreža. Pre nego što su izašli DDOS alati, postojali su komercialini alati koji su mogli da pokrenu takozvano distribuirano preplavljivanje paketima. Ti alati su korišćeni u okviru preduzeća koja se bave sigurnošću da bi mogli da primene sigurnosni servis  koji se naziva ?Capacity Management?. Svrha ?Capacity Management? je da se utvrdi koliku količinu saboraćaja može da podrži jedna mreža, i da se utvrdi da li se propusna moć mete u ovom slučaju mreže koja se testira mora poboljšati ili da li ona može da izdrži tu količinu saobraćaja a pri tome da može da pruža usluge koje se nalaze na toj mreži odnosno meti.



Za šta se DDOS može koristiti ?

On može da preoptereti  mrežne linkove. On šalje bezsmislene pakete, pri čemu je količina paketa i suviše velika da bi neka mreža mogla to da primi i obradi, tako da je jedino za šta se može koristiti DDOS jeste onemogućavanje pristupa mreži i samim  uslugama koje ta mreža pruža.

Skorašnji primer DDOS napada izvod iz “BLICA”

Napadnut “Telekomov” link

Kada je podignuta cena impulsa, grupa nezavisnih hakera je počela da pretražuje „Telekomov“ link, vršeći smurf ili tzv. DDOS napad. Time prekidaju njihov link i nanose im ogromnu štetu, jer ih onemogućavaju u komunikaciji. Napad ide preko servera iz inostranstva, na primer u Papua Novoj Gvineji, sa Sejšela i slično, zbog čega „Telekom“ ne može da im uđe u trag. Mi se od toga ograđujemo, ali to govori o nezadovoljstvu korisnika Interneta i o kontraefektima poskupljenja



Kako on radi ?

Osnovna ideja je da se instalira ogromna količina DOS servera na različitim računarima, koji čekaju komande od centralnog klijenta. U trenutku kada centralni klijent da komandu da generišu onoliko saobraćaja koliko to želi napadač i usmere ga ka jednoj mreži, alat distribuira komande serverima da generisan saobraćaj puste ka određenoj mreži i na taj način otpočnu uskraćivanje usluga. Iz ovih razloga se ovaj metod naziva distribuirano uskraćivanje usluga. Pre nego sto su ovakvi alati napravljeni onaj koji napada ili onaj koji testira mrežu u cilju zastite od takvih napada je morao da se telnetuje na sve masine sa kojih želi da izvrši napad ili da izvrši testiranje mreže i manuelno da otpočne napad na željenu mrežu koristeći UNIX komandu ping2 -f mreža.
                                                                                                                                                                                                                   

Detaljan opis DDOS alata (TFN project)
 

U ovom delu je data analizu "Tribe Flood Network" alata ili popularnije nazvanog "TFN", koji je kreirao “Mixter”. TFN se trenutno  razvija i testira na mnogobrojnim kompromitovanim računarima bazarianih na Unix sistemima.
               
TFN je sastavljen na principu klijent-server tehnologije koji se implementuje kao alat za distribuirano uskraćivanje usluga.Kao takav sposoban je da izvršava sledeće oblike napada:
 
•               ICMP flood
•               SYN flood
•               UDP flood
•               Smurf
•               Pružanje “root konzole po zahtevu” na određenom portu
 
TFN serveri su prvobitno nađeni u binarnoj formi na Solaris 2.x sistemima, koji su indetifikovani kao kompromitovani sistemi,  exploatisani sa buffer overrun bagom u  RPC servisima "statd","cmsd" i "ttdbserverd". Ovaj  buffer overrun je opisan na CERT-ovom web sajtu incident  99-04:
 
http://www.cert.org/incident_notes/IN-99-04.html
 
U početku je postojalo verovanje da su ovi server korišćeni kao neki od programa koji služe za prisluškivanje ili za daljinsko upravljanje. Tokom istrage koristeći razne alate za analizu i zastitu od upada došlo se do zaključka da je ovo jedan od alata za distribuirano uskraćivanje usluga ,koji je baziran na  alatu trinoo koji takođe služi za distribuirano uskraćivanje usluga, a čiji se izvorni kod nalazio na jednom ukradenom nalogu koji je bio korišćen za bekapovanje logova.

Treba napomenuti da sem  TFN  i TRINOO postoje i drugi  alati kao na primer :
•                     stacheldracht (veoma sličan  alat TFN-u)
•                     papasmurf (koristi samo  smurf kao oblik napada)
•                     fraggle (koristi samo UDP flood kao oblik napada)
•                     winsmurf (koristi samo  smurf kao oblik napada win32 verzija)
•                     jolt (syn flood alat koji za razliku od prethodnih neradi  na principu klijent- server već je stand’alone alat)
               


Izvršni kod ("verzije 1.3 build 0053") TFN servera
 
Modifikacijom izvršnog koda može se promentiti bilo koji od detalja ove analize kao što su konzole šifre komande TCP/UDP portovi kao i podržani metodi napada.
 
U ovo slučaju oba dela TFN alata server i klijent su kompajlirani i pokretani sa Red Hat Linux 6.0 operativnog sistema.
 
Za analizu inicjalnog upada pogledaćemo strukturu jedne TFN mreže
 
Mreža: napadač(i)-->klijent(i)-->server(i)-->Žrtva(e)
 
TFN mreža je  sastavljena od tribe klijent programa ("tribe.c") i tribe server programa  ("td.c") gde računari na kojima se instaliraju ovi serveri se podrazumevaju.
 
   
Napadač(i) kontrolišu jednog ili više klijenata od kojih svako kontroliše više servera . Serverima je naloženo da koordinišu napad na jednu ili više žrtava, gde pod žrtvama podrazumevamo jedan ili više računara kao i jednu ili više mreža, od strane klijenata.
 


Komunikacija između klijenta i servera
 
Daljinsko upravljanje TFN mrežom otpočinje na komandnoj liniji. Izvršavajući tribe klijent program uspostavljamo konekciju na tribe servere jednom od brojnih metoda kao što su:
 
•               Klijent-server vezivanje bazirano na TCP protokolu;
•               Klijent-server vezivanje bazirano na UDP protokolu;
•               Klijent-server vezivanje bazirano na ICMP protokolu;
•               SSH konekcijama;
•               Telnet konekcijama.
 
Za vezivanje klijenta sa serverom nije potrebno imati šifru ukoliko nećete da mrežu koju ste oformili čuvate samo za sebe, mada je potrebno imati takozvanu “ip listu” koja sadrži spisak TFN servera sa njihovim Internet adresama.
 
Komunikacija između klijenta i TFN servera se ostvaruje sa  ICMP_ECHOREPLY paketima što znači da se  TCP  i UDP protokoli koriste   samo pri uspustavljnju konekcije a ne pri komunikaciji, razlog za to je što većina alata za monitoring ne prikazuju količinu ICMP_ECHOREPLY paketa koja prolazi kroz mrežu ili nemogu da vide šta se sadrži u paketu koji je baziran na icmp protokolu ,što monitoring između klijenta i servera skoro čini nemogućim sa standardnim alatima.
 
U prilogu A su prikazane zakrpe za verziju Sniffit  0.3.7.beta koja omogućava da prikaže  ICMP data segmente,i prilog B za zakrpe za “tcpshow.c” 1.0 da prikažu ICMP_ECHO i ICMP_ECHOREPLY identifikacione  i sekvencianlne brojeve.

[Fiore]

Autor Serbian Fighter
www.burek.co.yu

[Жељко]

koliki teks jbt, izgubis se dok citas

[TroubleMaker]

Majke mi 

[Часлав]

ајде доста спама 

[Fiore]

LOCK