Rodzaje hakerskich ataków

Wiedza na temat luk w zabezpieczeniach systemów, która posiadaja hakerzy, daje im

moliwosc penetrowania odległych systemów i jedyna bariere stanowi dla nich wyłaczony

komputer. Zatem kada osoba wedrujaca po Sieci powinna sie liczyc z tym, e jej dysk

zostanie spladrowany. Specjalisci-włamywacze w ciagu sekundy moga zniszczyc

wszystkie dokumenty. Zdaja sobie z tego sprawe internauci, ale i tak nie podejrzewaja

nawet, jak wielkie szkody moga poniesc. Beztroska i niewiedza uytkowników ułatwiaja

99% właman. W tym artykule przedstawie z skrócie sposoby ataków wykorzystywanych

przez hakerów.

Przechwycenie sesji

zagroeniem dla serwerów przyłaczonych do Internetu. Czasem bywa on nazywany

„aktywnym weszeniem” (w odrónieniu od omawianego wczesniej „weszenia biernego”).

Chocia sposób ten przypomina nieco podsyłanie numerów sekwencji TCP, jest

grozniejszy, gdy w tym wypadku haker zamiast odszyfrowywac adresy IP, uzyskuje

dostep do sieci i wymusza akceptacje swojego adresu IP jako adresu sieciowego. Idea

polega na tym, e włamywacz przejmuje kontrole nad komputerem łaczacym go z siecia,

a nastepnie odłacza ten komputer i „oszukuje” serwer, podajac sie za legalnego

uytkownika. Przechwytywanie w protokole TCP stanowi wieksze niebezpieczenstwo ni

podszywanie sie pod IP, poniewa po udanym przechwyceniu haker ma na ogół duo

wiekszy dostep do systemu.

DoS (Denial of Service)

serwisu sieciowego (na przykład strony WWW) lub zawieszenie komputera. Moliwe jest

przesterowanie ataków DoS do bardziej skomplikowanych metod, co moe doprowadzic

nawet do awarii całej sieci. Niejednokrotnie hakerzy, którzy włamuja sie do systemów za

pomoca tzw. techniki spoofingu lub redyrekcji, ukrywaja swój prawdziwy adres

internetowy, wiec ich zlokalizowanie czesto staje sie niemoliwe. Anonimowosc ułatwia

wiec zdecydowanie atakowanie systemów metoda Denial of Service, co powoduje

uniemoliwienie wykonania przez serwer jakiejkolwiek usługi. Jednak obecnie ataki te sa

ju rzadko stosowane, gdy wiekszosc administratorów odpowiednio sie przed nia

zabezpieczyła, co wcale nie było trudne, ale konieczne, gdy programy umoliwiajace ten

typ hakowania (jest ich co najmniej kilkanascie) powoduja zapchanie serwera,

spowolnienie jego pracy a do koniecznosci uruchomienia restartu. W przeszłosci znane

były przypadki zablokowania kilku tysiecy serwerów jednoczesnie. Teraz oczywiscie jest

to niemoliwe!

„Tylne wejscie” (backdoor)

uzyskania dostepu do systemu sieciowego, utrzymania go i korzystania z niego. W

szerszym znaczeniu okresla sie w ten sposób luke w systemie zabezpieczen. Dla hakera

istotne jest zachowanie moliwosci dostepu do raz „złamanego” systemu, równie w

obliczu wprowadzania nowych zapór, filtrów, serwerów proxy czy uaktualnien.

Wirusy

podrzucone zwykła droga, np. jako program sciagniety z Internetu, dyskietka z

najnowszym upgradem do jakiegos programu lub te moga byc dołaczone do pliku

tekstowego czy e-maila. Niekonsekwencja w przypadku takiego postepowania moe wiele

kosztowac. Wirus przenika bowiem do komputera i moe byc przenoszony w sieci

wewnetrznej wraz z nowszymi wersjami programów. Moe on tkwic uspiony długie

miesiace, a po okresie uspienia — zaatakowac.

Atak na serwer poczty

jest utrata kontroli nad przepływajaca korespondencja (e-maile kierowane do konkretnej

osoby moga zostac odczytane i dostac sie w posiadanie niepowołanych osób, moliwe

jest take fałszowanie korespondencji i wprowadzenie w firmie dezorganizacji pracy).

Ulubionymi przez hakerów sposobami atakowania sa ataki na serwer główny, które

prowadza do utraty kontroli nad cała siecia, wiaa sie z utrata wszystkich danych, z

zakłóceniami pracy dowolnych usług sieciowych w całej firmie. Po przejeciu kontroli nad

głównym serwerem moliwe jest przechwytywanie danych wedrujacych wewnatrz sieci, a

co za tym idzie — poznanie struktury wewnetrznej firmy. Moliwe jest fałszowanie

danych przesyłanych siecia, blokowanie wiadomosci przesyłanych miedzy szefem a

współpracownikami.

Podrabianie IP i DNS (spoofing)

stacji zaufanej, aby oszukac zabezpieczenia i uzyskac moliwosc nieuprawnionej

komunikacji ze stacja docelowa. Gdy podrabiany jest adres IP, haker najpierw wyłacza

stacje zaufana z komunikacji i dopiero w drugim kroku przyjmuje jej tosamosc. Stacja

docelowa kontynuuje wówczas komunikacje ze stacja nieuprawniona. Zapoznanie z

mechanizmem podrabiania IP wymaga dobrej znajomosci protokołów IP i TCP oraz

procedury wymiany potwierdzen (handshaking).

Skanowanie portów

sprawdzenia moliwie duej liczby „nasłuchujacych” i wybrania z nich tych, które moga

zostac zaatakowane lub w okreslonym celu wykorzystane — nie jest niczym nowym. Na

podobnej zasadzie przeprowadzac mona przeglad kodów systemu telefonicznego.

Działania takie okresla sie terminem wardialing — polegaja one na skanowaniu numerów

telefonów i rejestrowaniu tych z nich, które odpowiadaja sygnałem na moliwosc

nawiazania połaczenia.

Przecia)anie (flooding)

protokołem TCP/IP i który jest połaczony z Internetem łaczem stałym lub telefonicznym,

czesc lub wszystkie usługi moga stac sie niedostepne. Pojawic sie moe wówczas

komunikat w stylu:

„Połaczenie utracone lub zerowane przez serwer”.

Komunikat taki jest czesto symptomem ataku przeciaeniowego (flooding). Przedstawimy

teraz atak SYN, gdzie haker ukierunkowuje sie na komputer lub wybrana usługe TCP,

taka jak na przykład usługa HTTP (port 80). Atak wymaga protokołu TCP, stosowanego

przez wszystkie komputery w Internecie. Choc nie jest specyficzny dla systemu Windows

NT, na nim oprzemy opis przebiegu włamania.

„Sniffery” lub „podsłuchiwacze sieciowe”

przechwytuja i kopiuja pakiety komunikacji sieciowej systemu, serwera, routera lub

bramy. Poytecznym zastosowaniem tego rodzaju oprogramowania jest monitorowanie i

rozwiazywanie problemów z siecia. Uywane przez hakerów sniffery „ciche” stanowia

powane zagroenie sieci, głównie ze wzgledu na mała wykrywalnosc i moliwosc

przeprowadzania autoinstalacji w niemal dowolnym systemie. Wyobrazmy sobie kolejny,

czwarty krok w przedstawionym wczesniej przypadku — zainstalowanie w zaatakowanym

systemie sniffera. Od tego momentu, jesli sprzyja temu topologia sieci, atakowi podlega

cała siec, a nie tylko pojedynczy system .

Konie trojanskie

rozpowszechnia sie najczesciej jako oprogramowanie „podarowane” uytkownikowi

komputera — program narzedziowy, art czy wersja demonstracyjna gry. Jak pisalismy

we wczesniejszych rozdziałach, mechanizm konia trojanskiego wykorzystuje sie czesto do

zainstalowania „tylnego wejscia” do systemu. Rosnaca obecnie liczba „zaraen” tego

rodzaju jest wynikiem prostej, technologicznej koniecznosci korzystania z portów. Usługi

na portach o niszych numerach słua czesto do przechwytywania haseł, które sa

nastepnie przesyłane hakerowi poczta elektroniczna lub udostepniane w katalogach FTP.

Porty dalsze obsługuja przede wszystkim programy zdalnego dostepu, umoliwiajace

komunikacje z komputerem przez Internet, siec, kanał VPN lub połaczenie telefoniczne.

„Złamanie” strony WWW (Web page hack)

WWW zyskali sobie ostatnio pozycje na pierwszych stronach gazet. Przyczyniły sie do

tego ich znakomite „osiagniecia” — zmodyfikowane badz zastapione strony NASA, Białego

Domu, organizacji Greenpeace, Six Flags, Sił Powietrznych USA, Ministerstwa Handlu

USA i Koscioła Chrystusa. Słynna witryna hakerów www.2600.com, udostepnia pod

adresem www.2600.com/hacked_pages/ liste-archiwum historycznych i aktualnie

„złamanych” witryn WWW).

Ataki wykorzystujace współu)ytkowane biblioteki

skupiaja sie na zasadach działania współuytkowanych bibliotek stosowanych w systemie

UNIX. Biblioteka taka zawiera zestaw funkcji, które system operacyjny wczytuje z pliku

do pamieci RAM. Hakerzy moga zastapic niektóre programy biblioteki, funkcjami

wykonujacymi inne operacje, które umoliwia na przykład uzyskanie dostepu do sieci.

Zabezpieczenie przed takimi atakami jest łatwe — naley regularnie sprawdzac spójnosc

współuytkowanych bibliotek.

Ataki za pomoca apletów

systemu. Jego specyfika polega na przeprowadzeniu ataku typu „odmowa obsługi”.

Polega to na utworzeniu apletu, którego uruchomienie przez przegladarke bedzie

powodowało czeste zatrzymania systemu, jak np.: Aplet InfiniteThreads.java i Klasa

TripleTheat.java.

Ataki korzystajace z haseł ( PASWORD GUESSING )

przez hakerów metody, które polegaja na próbie włamania sie do systemu przez podanie

identyfikatora uytkownika i hasła. Programy takie uywaja słów zgromadzonych w

słowniku i dlatego własnie sa znane pod nazwa ataków słownikowych. System Unix jest

szczególnie na nie podatny, poniewa — w odrónieniu od innych systemów — zezwala

uytkownikom na wielokrotne podawanie hasła.

________________

Bibliografia:

John Chirillo „

Dariusz Dorozinski „