[ Pobierz całość w formacie PDF ]
.Có¿ robimy w takiej sytuacji? Otó¿ mo¿emyspróbowaæ zrobiæ to, co chcemy, ale startuj¹c „z innej strony”.Podstawoweza³o¿enia metody okreœlanej jako in¿ynieria spo³eczna opieraj¹ siê na tym, ¿ena ka¿dym serwerze znajduj¹ siê u¿ytkownicy, którzy nie zdaj¹ sobie do koñcasprawy z tego, jak trudno siê na taki serwer dostaæ.S³owem — nie ma serwerówstuprocentowo bezpiecznych.In¿ynieri¹ spo³eczn¹ nazywa siê wszystkie metody wykorzystywanienieœwiadomoœci, niewiedzy czy po prostu niekompetencji osób posiadaj¹cychbezpoœredni dostêp do informacji o charakterze zastrze¿onym.Uzasadnienieznajduje w postawionym niegdyœ pytaniu retorycznym:„Po co marnowaæ ca³e godziny na zgadywanie has³a otwieraj¹cego systemkomputerowy jakiejœ korporacji, skoro mo¿na zadzwoniæ do jednego zadministratorów, podaæ siê za szefa jego szefa i zmusiæ go, by poda³ tohas³o?”Haker i Samuraj, Jeff Goodell, s.29.Najwa¿niejsz¹ z zaliczanych tu metod jest próba odgadniêcia has³a.Wymaga onanajmniej wiedzy, ale za to trzeba mieæ du¿o czasu i cierpliwoœci.Wbrew pozoromnie polega ona nie beznadziejnym wpisywaniu kolejnych kombinacji cyfrowych,lecz na wybraniu jednego konkretnego administratora lub u¿ytkownika, napoznaniu jego upodobañ i uporz¹dkowaniu ich na podstawie zdobytej wiedzy.Dopiero wtedy mo¿na podj¹æ próbê odgadniêcia jego has³a.Jest to mo¿liwe.Wady — czas trwania procesu, niepewnoœæ, zrywanie po³¹czenia po kilkakrotnejnieudanej próbie (nowe wersje niektórych systemów operacyjnych maj¹ wbudowanemechanizmy blokuj¹ce konto po kilku nastêpuj¹cych po sobie nieudanych procesachlogowania).Zalety — du¿a, praktycznie stuprocentowa, anonimowoœæ i mo¿liwoœæ szybkiegorozwi¹zania.Zabezpieczenia — pos³ugiwanie siê has³ami generowanymi przez system lub takimi,które trudno powi¹zaæ z w³aœcicielem konta pocztowego.Uwagi — przed podjêciem decyzji dotycz¹cej ataku haker musi zorientowaæ siê, najaki serwer zamierza siê w³amaæ, z jakim systemem operacyjnym przyjdzie mu siêzmierzyæ i trafnie dobraæ u¿ytkownika, którego bêdzie musia³ rozpracowaæ.„Oczywiœcie, ¿eby siê to uda³o, musi byæ naprawdê dobry.W³adczy, niecierpliwyi kompetentny.Musi znaæ imiê asystenta szefa.Musi znaæ jêzyk wewnêtrznyprzedsiêbiorstwa.Musi znaæ procedury.Musi mieæ umiejêtnoœci gryftera,oszusta.”Haker i Samuraj, Jeff Goodell, s.29.Najbardziej typowy i najczêœciej stosowany sposób, jest ci¹gle poci¹gaj¹cy.Czêsto w celu uzyskania has³a haker wykorzystuje swoich znajomych.Zalety — anonimowoœæ, szybkoœæ dzia³ania, niska wykrywalnoœæ przecieku, gdy¿pracownik nigdy siê nie przyzna, ¿e zdradzi³ tajemnicê firmy.Wady — trzeba stosowaæ odpowiednie, czasem wyrafinowane sposoby, bo inaczejmetoda siê nie powiedzie.Uwagi — je¿eli haker chce mieæ pewnoœæ, ¿e metoda zadzia³a, powinienwykorzystywaæ wszelkie metody zdobywania informacji, nie gardz¹c nawetprzeszukiwaniem œmieci, których pozbywa siê firma, gdy¿ i tam mog¹ siê znaleŸæniezbêdne dokumenty, które pozwol¹ mu lepiej zrozumieæ sytuacjê.„Kiedyœ na przyk³ad Kevin Mitnick próbowa³ dostaæ siê do komputera markiDigital Equipment.By³ to ma³y interes na dwie, trzy osoby.(.)Wraz zkolegami zainstalowali oprogramowanie wygl¹daj¹ce jak rutynowy upgradestosowanego wówczas przez Digital programu, ale zawieraj¹ce tajny kodpozwalaj¹cy na wejœcie do komputera „tylnymi drzwiami”.Starannie opakowaliswój program w pude³ko Digitala, do³¹czyli autentyczn¹ metkê pakowacza zDigitala, oprawion¹ w plastyk,i dostarczyli do przedsiêbiorstwa.”Haker i Samuraj, Jeff Goodell, s.29.Jak widaæ ro¿ne s¹ metody hakerskich ataków.Mo¿e to byæ nawet dobry trojan,niekoniecznie przez siebie napisany, firmowe pude³ko po oryginalnym produkciei etykietka w stylu — „do Internet Explorera w prezencie od firmy Microsoft”.Mo¿na to dostarczyæ poczt¹ i system nale¿y ju¿ do hakera.Zalety — du¿e prawdopodobieñstwo powodzenia.Wady — d³ugi czas oczekiwania na efekty, wysoka odpowiedzialnoœæ za oszustwapocztowe.Uwagi — konieczna jest to, by zadbaæ o szczegó³y.Je¿eli haker chce zdobyæ zaufanie nieœwiadomego tego u¿ytkownika, postêpujewed³ug pewnych zasad:Jest cierpliwy — udaje, ¿e mu nie zale¿y i nawet gdy uda siê przes³aæ plik,nie ka¿e mu od razu go uruchamiaæ;Jest mi³y — nawet gdy rozmówca myœli, ¿e jest wielkim hakerem,to albo udaje on lamera, albo — jeszcze lepiej — innego hakera; prowadzirozmowê skomplikowanym, elitarnym jêzykiem, a kiedy interlokutor powie,¿e nie jest zainteresowany now¹ ofert¹, haker proponuje mu np.exploitaalbo NetBusa „na odleg³oœæ, bez przesy³ania pliku”;Stara siê trafiæ w upodobania ofiary;Nie jest nachalny;Gdy ofiara wygl¹da na uleg³¹, wrêcz narzuca siê z rozmaitymi propozycjami;Nie próbuje przekupstwa;Udaje, ¿e jest mniej wiêcej na tym samym poziomie co ofiara;Stara siê pozyskaæ wdziêcznoœæ ofiary;Pamiêta o tym, ¿e nawet gdy otrzyma ju¿ to, czego chcia³, nie jest to ostatnikontakt z ofiar¹.Nowsze i starsze sposoby hakerskich atakówRównolegle z nowymi technikami w dziedzinie komunikacji powstaj¹ nowe sposoby iformy ataków.Odpowiedzi¹ na to s¹ powstaj¹ce kolejno systemy zabezpieczeñ,które — nie dajmy siê oszukaæ — tylko na pewien czas prawid³owo spe³niaj¹ swoj¹funkcjê.Gdyby jedna z dziedzin — czy to atak, czy ochrona — nieco przewa¿y³aszalê, prawdopodobnie zaraz potem wyeliminowa³aby drug¹.Obie te rzeczy niczymtryby w wielkim mechanizmie napêdzaj¹ same siebie, stosuj¹c coraz to bardziejwyrafinowane rozwi¹zania.£atwo to sobie wyobraziæ — gdyby powsta³ tak idealnyatak, który ³ama³by wszystkie systemy, to system zabezpieczeñ wypad³byz gry.Ale powstanie sprawnego system przeciwko w³amywaczom równie ³atwowyeliminowa³oby ka¿dy atak i hakerstwo — z braku skutecznoœci — odesz³oby wzapomnienie.Przedstawione ni¿ej programy wprawdzie nie maj¹ takich ambicji,jednak zmniejszaj¹ zdecydowanie podatnoœæ na atak.ICQWatch 0.6Mimo kilku zasadniczych wad jest to ciekawy program utrudniaj¹cy programomskanuj¹cym znalezienie niektórych wa¿nych portów.A oto jego interface:Jak dzia³a ów program?Jego g³Ã³wnym za³o¿eniem jest ochrona programu ICQ 98 przed atakami prowadzonymiprzez otwarty port.Wystarczy klikn¹æ Start i program zaczyna „nas³uchiwaæ”.Wtym celu otwiera on kilka lub kilkanaœcie podobnych portów, by zmniejszyæryzyko, ¿e ktoœ zaatakuje ten w³aœciwy.Oczywiœcie jeœli ktoœ siê uprze tozaatakuje ka¿dy otwarty port i koniec koñców atak dojdzie tam, gdzie ma dojœæ.Jednak mo¿na zaoszczêdziæ na tym trochê czasu, a o ile skaner natrafi na jedenz otwartych przez program portów (gdy bêdzie w³¹czona opcja Scan DetectionEnabled) pojawi siê komunikat:Wskazuje on IP, spod którego nast¹pi³o skanowanie.Ta informacja, o ile adresIP skanuj¹cego nie zosta³ sfa³szowany, bêdzie informacj¹ o tym, ktoprzygotowuje siê do ewentualnego ataku.Maj¹c œwiadomoœæ tego, ¿e coœ nie jestdok³adnie tak, jak powinno byæ, mo¿na wy³¹czyæ ICQ lub ustawiæ tryb OFFLINE.Wtym przypadku zamkniêty zostanie prawdziwy port ICQ i nikt nie bêdzie mia³dostepu do tego kana³u.Mo¿na równie¿ zignorowaæ ca³¹ tê sytuacjê, wiedz¹c, ¿ejest to na przyk³ad adres naszego dobrego kumpla albo odwróciæ role i zamieniæsiê w atakuj¹cego.W tym celu nale¿y uruchomiæ skaner i zeskanowaæ podany adres.Nie jest wykluczone, ¿e w³amywacz tak¿e korzysta z ICQ 98 i efektem mo¿e byæwys³anie tysi¹ca kopii z informacj¹: „Sorry kolego, musisz siê jeszczepoduczyæ”
[ Pobierz całość w formacie PDF ]
Linki
- Strona startowa
- Bulyczow Kiryl Dzikusy. Biale skrzydla kopcius
- M.Bogdanowicz,...Metoda.Weroniki.Sherborne...[agaj]
- Lovecraft H. P. Zbior
- Thomas Harris Hannibal (4)
- r11 07 (5)
- Basnie 1001 nocy Rozni autorzy
- Barbara Wood Green City in the Sun (epub) id
- Goonan Kathleen Ann Kosci czasu (CzP)
- Bernard Lee DeLeo American Mutant (epub)
- Burroughs William Pedal
- zanotowane.pl
- doc.pisz.pl
- pdf.pisz.pl
- freerunner.xlx.pl