Jak se útočníci dostávají do cizích systémů - příklady nástrojů

Nástroje pro lámání hesel, odposlouchávání síťového provozu, prolomení šifrovacího klíče u bezdrátových sítí s šifrováním WEP, tvorba internetových červů nebo keyloggerů, vzdálené ovládnutí počítače, útok proti Outlooku... A jak je to s legálností těchto nástrojů?


Na Security Worldu jsme již popisovali několik nástrojů používaných hackery k průniku do cizích systémů. Nyní si představíme několik dalších nástrojů. Jejich použití, nebo alespoň "nasazení v ostrém provozu", lze vesměs pokládat za nelegální. Samozřejmě ale existují i výjimky: smluvně podchycené bezpečnostní testování, použití nástrojů na zkoušku proti vlastním systémům apod.

Řeč paragrafů však není v těchto záležitostech zcela jednoznačná a na spoustu otázek prostě odpovědět nedokáže. Například nelze jednoznačně říci, kdy nějaká utilita pro hackování skutečně do této kategorie patří a kdy ještě ne. Tak jednoznačné, aby to odpovídalo právnímu stavu, to v žádném případě není, a navíc se situace může ze dne na den změnit.
Platilo-li, že se například nástroje pro sledování provozu v síti daly před rokem a půl získat zcela legálně, dnes už tomu tak být nemusí, a vy se při jejich stažení vystavujete riziku trestního postihu.
Rozhodně vám nedoporučujeme stahovat tyto utility z nějakých podezřelých internetových stránek. Existuje zde totiž reálné nebezpečí, že stáhnete verzi zamořenou trojskými koni nebo červy, kteří navíc pro ještě větší utajení mohou mít název stejný jako stahovaný program. Dokonce se může stát, že se při vyhledávání pomocí Googlu tyto podezřelé stránky ocitnou ve výsledcích vyhledávání na předních místech, ještě před oficiálními stránkami programu.
V tomto textu představíme nástroje použitelné k útoku proti cizím systémům, nikoliv třeba rovněž vesměs nelegální utility pro crackování DVD nebo obejití registrace Windows...

Aircrack-ng 1.0-rc1
Provozujete-li bezdrátovou síť, pak byste se bezpochyby měli co nejpečlivěji postarat o šifrování dat přenášených po této síti. Dnes již zastaralá metoda WEP je pro šifrování naprosto nevhodná. U bezdrátové sítě, kde je komunikace šifrována touto metodou, lze šifrovací klíč prolomit pomocí nejnovější verze utility Aircrack-ng řádově v sekundách. Šifrovací klíč daleko bezpečnějšího šifrování pomocí metody WPA dokáže Aircrack-ng odhalit pouze postupným zkoušením všech možných kombinací písmen a číslic. Tento způsob však trvá poměrně dlouho, a pokud se jedná o složitější hesla, je zjištění šifrovacího klíče v nějakém rozumném časovém horizontu takřka nemožné.

Cain & Abel 4.9.17
Pomocí programu Cain & Abel lze odposlouchávat provoz v místní počítačové síti. Utilita dokáže měnit směrovací tabulky ve směrovači či přepínači tak, že zachytí všechny pakety, které v síti putují. Dokonce existuje trik, pomocí něhož lze odposlouchávat i provoz vedený přes šifrované připojení HTTPS. Cain & Abel nezobrazuje pouze prostá data putující v síti, ale dokáže z nich navíc získat pro případného útočníka takové zajímavé informace, jako jsou uživatelská jména, hesla či hovory vedené prostřednictvím protokolu VoIP.

Distributed Password Recovery
Program Distributed Password Recovery 2.60.176 z dílny firmy Elcomsoft představuje velmi výkonný nástroj na dešifrování hesel. Zvláštností programu je fakt, že dokáže využít výpočetní výkon grafických karet s GPU Geforce 8 a 9 od firmy nVidia. Tyto GPU (Graphical Processing Units) jsou při kryptografických výpočtech daleko výkonnější než současné procesory. Navíc je program schopen rozdělit práci na několik počítačů zapojených v počítačové síti. Aplikace Distributed Password Recovery dokáže prolomit heslo pro přihlášení do Windows a zároveň i heslo u dokumentů vytvořených v sadě programů Microsoft Office.

Internet Worm Maker Thing 1.1
Pomocí tohoto doslova základního kamene pro internetové červy si může potenciální pachatel až děsivě snadno vytvořit svůj vlastní škodlivý program. A už tato skutečnost stačí k tomu, abychom tento program jednoznačně prohlásili za nelegální. V programu si totiž může případný pachatel přesně zadat, které operace má vytvořený červ provádět. Mezi tyto operace patří kromě neškodných záležitostí, jako je záměna tlačítek myši, i daleko škodlivější aktivity, jako je kupříkladu vyřazení antivirového programu z provozu či manipulace se soubory. Dají se zde nastavit i další operace typické pro internetové červy. Ale pozor! Každý, kdo by takto vytvořeného červa „vypustil“ do internetu, musí počítat s možností trestního stíhání.

Offline NT PW & Registry Editor
Program Offline NT Password & Registry Editor dokáže pouze jedno jediné, ale zato to umí velmi dobře. Hovoříme o schopnosti odstranit nebo změnit heslo pro přihlášení do Windows. Počítač musí mít buď disketovou nebo optickou mechaniku CD/DVD, z níž je možné počítač spustit. Nástroj je totiž k dispozici buď v podobě spouštěcí diskety, nebo spouštěcího CD. V těchto spouštěcích discích je k dispozici miniaturní linuxová distribuce pracující na příkazovém řádku. Stačí provést několik jednoduchých operací a heslo pro přihlášení do Windows XP nebo Vista je buď odstraněno, nebo změněno. Původně nastavené heslo však zjistit nelze.

Ophcrack Live-CD 2.0.1
Nástroj Ophcrack Live-CD představuje alternativu k programu Offline NT Password & Registry Editor. Rozdíl mezi jednotlivými nástroji spočívá v tom, že hesla pro přihlášení do Windows nelze pomocí tohoto programu ani smazat, ani přenastavit, ale toto heslo lze zjistit a zobrazit. Ophcrack se dá s výhodou použít, pokud potřebujeme získat přístup k cizímu počítači, aniž by to jeho uživatel zjistil. Program využívá relativně nový způsob prolamování hesel – metodu Rainbow Tables.

Passware Kit Enterprise 8.3
Obnovení hesel u zaheslovaných dokumentů – přesně to je hlavním oborem působnosti placeného programu Passware Kit Enterprise. Aplikace obsahuje 25 modulů, které jsou vždy určeny postupně pro některý z formátů souborů, nějakou aplikaci či balík programů. Snadno tak zjistíte kupříkladu hesla chránící přístup k dokumentům vytvořeným v programech kancelářského balíku Microsoft Office, k heslem chráněným dokumentům ve formátu PDF či databázím. Prolomení hesla může v závislosti na jeho složitosti, formátu dokumentu a výpočetním výkonu počítače trvat řádově týdny nebo i měsíce.

Perfect Keylogger Lite 1.15
Keyloggery, mezi něž patří i tento program, se používají pro zaznamenání stisků kláves na počítačích jiných uživatelů. Na jejich základě pak lze vystopovat veškeré aktivity uživatelů a třeba i přístupová hesla k nejrůznějším službám. Základním předpokladem ale je, že si tohoto keyloggeru nesmí běžný uživatel vůbec všimnout, takže i Perfect Keylogger Lite musí být takřka neviditelný. Keylogger lze zviditelnit a zobrazit soubor protokolu se zaznamenanými stisky kláves pouze jedinou správnou klávesovou zkratkou, kterou obvykle zná pouze ten, kdo keylogger do počítače nainstaloval. V již zmíněném souboru protokolu jsou kromě stisků kláves zaznamenány i informace o tom, ve kterém programu a kdy byly stisky kláves zaznamenány.

Protected Storage Passview 1.63
V registru Windows se v části Protected Storage částečně skrytě ukládají zašifrovaná uživatelská jména a hesla určitých aplikací. Program Protected Storage Passview dokáže toto velmi slabé šifrování prolomit, poté zobrazit dešifrované údaje a všechny je nakonec uložit do textového souboru. Například program zviditelní všechny přihlašovací údaje uložené v Internet Exploreru, což jsou většinou hesla pro přístup k určitým internetovým stránkám. Kromě těchto údajů dokáže program zobrazit třeba i přihlašovací údaje pro přístup do e-mailových schránek nastavených v Outlook Expressu či Outlooku.

Pst Password 1.11
Tento nástroj dokáže prolomit heslo v programech Outlook 97, 2000, XP, 2003 a 2007. Pokud je na počítači nainstalován některý z výše uvedených programů, dokáže Pst Password sám zjistit, kde se nachází soubory s příponou PST – to jsou soubory obsahující databázi s e-maily. Pokud na počítači není nainstalována žádná verze Outlooku, umožní program otevření souboru PST získaného kupříkladu z jiného počítače. Samotné prolomení hesla není nic obtížného, neboť ochrana heslem je ve všech verzích Outlooku velmi slabá.

Shark 3.1
Ovládání počítače přes internet – přesně to umí program Shark. Na rozdíl od zcela legálních nástrojů pro práci se vzdálenou plochou, jako je třeba UltraVNC, umožňuje program Shark ovládat cizí počítač tak, aby o tom uživatel, který před tímto počítačem sedí, vůbec nevěděl. Serverová část programu Shark se všemožně snaží o to, aby zůstala na ovládaném počítači naprosto skryta. Útočník ji může své oběti podstrčit naprosto nepozorovaně například zasláním e-mailu, nebo jako program ke stažení na internetových stránkách. Na nich je potenciální oběti vsugerováno, že se jedná o program, bez něhož se prostě jeho počítač neobejde. Po instalaci na počítač oběti se program v pravidelných intervalech ozývá útočníkovi a čeká na jeho příkazy.

Wireshark 1.0.2
Pomocí programu Wireshark (dříve se jmenoval Ethereal) se dá zaznamenávat a poté analyzovat veškerá síťová komunikace počítače. Pomocí Wiresharku je ovšem možné odposlouchávat i jiné počítače v síti, musí však být připojeny pomocí rozbočovače. Dnes se již rozbočovače používají jen velmi vzácně, daleko častěji se setkáte s přepínači, jež však už dokáží síťový provoz rozdělit na jednotlivé počítače. Wireshark zobrazuje obsah každého přeneseného paketu. Prostřednictvím funkce Follow TCP Stream z kontextového menu se dá sledovat veškerá komunikace vedená prostřednictvím připojení TCP, která s tímto paketem souvisí.











Komentáře