Jak se mají hackeři?

1. 1. 1998

Sdílet

Útoky na různé výpočetní systémy jsou zřejmě jen o málo mladší, než výpočetní technika sama. Už v dobách prv...
Útoky na různé výpočetní systémy jsou zřejmě jen o málo mladší, než výpočetní
technika sama. Už v dobách prvních sálových počítačů si někteří jejich
uživatelé potřebovali zjednat určité výhody, např. přidělit vyšší úroveň pro
zpracování vlastních úloh, dopřát si širší časové pásmo pro přístup k terminálu
apod.
Navíc byla tato činnost vždy určitou intelektuální výzvou. Na jedné straně
správce, který se (byť třeba jen zdánlivě) staví do pozice "Boha sítě" a na
straně druhé hacker. Hacker, který často nemá k dispozici zdaleka takové
technické prostředky jako správce a přesto ho dokáže přelstít. Má totiž
zpravidla daleko více času a nadšení... A ještě jedna výhoda stojí na jeho
straně najít jedno slabé místo v systému bývá daleko snazší, než všechna taková
místa odstranit.
První zlatý věk hackingu (nebo hackování?) nastal s rozmnožením BBS (Bulletin
Board System), tedy počítačů, které na telefonu čekají na zájemce o své
informace. U veřejných BBS se jejich provozovatelé zpravidla snažili, aby se na
ně připojilo co nejvíce uživatelů počítačů a jejich prostřednictvím si
vyměňovali poštu a další informace a samozřejmě také software. Počet
návštěvníků pro ně často byl věcí cti.
Neveřejné BBS pak, jak už název napovídá, sloužily pro komunikaci členů nějaké
uzavřené komunity, případně zaměstnancům firmy, která takovou BBS provozovala.
Přístupy byly chráněny hesly a vůbec tu byla daleko silnější bezpečnostní
politika, než u BBS veřejných. Navíc jejich majitelé většinou nestáli o nějakou
publicitu.
Nahlédnete-li do nějaké "hackerské příručky" z této doby, její první kapitoly
jsou věnovány popisu, jak zjistit to pravé telefonní číslo (a protože největší
výzvou je pokořit server, který ještě nikdo "nedostal", tak zjištění čísel z
nějaké hackerské BBS nemuselo být tím nejlepším řešením). Důležitým ponaučením
platícím dodnes je především skutečnost, že řada užitečných informací se dá
nalézt ve firemních materiálech. Má-li např. telefonní ústředna koncové
trojčíslí 111, potom BBS bude pravděpodobně na čísle, které se bude od ústředny
lišit pouze na posledních třech místech. A má-li vedoucí střediska informatiky
trojčíslí 150 a jeho zástupce 151, potom je nápověda takřka dokonalá.
Když jste se konečně dovolali (tedy pardon, když se hacker dovolal) někam, kde
vás oslovil zcela jiný zvuk než lidský hlas, nastaly většinou další potíže
najít správnou rychlost přenosu dat, počet stopbitů atd. Po dlouhých minutách
experimentování se konečně objevil toužebně očekávaný prompt: "username>", po
něm "password>" a zbývala už jenom "maličkost" najít správné uživatelské jméno
a heslo.
Je třeba poznamenat, že už v té době existovala spousta hackerských
softwarových pomůcek, které kupříkladu vyzkoušely sa-du telefonních čísel a
testovaly, je-li na druhém konci drátu modem, nebo zkoušely různá hesla... I
dnes, pokud se jen trochu porozhlédnete po Internetu, narazíte nejen na popisy
slabin různých síťových operačních systémů, ale také na programy, které jich
dokáží dovedně využít.
Je-li výše poznámka o zlatém věku hackerů v době BBS, potom s Internetem začal
pro hackery věk diamantový. Už není třeba pracně hledat telefonní čísla, ani
nastavovat startbity a stopbity. Natož nějaké rychlosti modemů. Komunikace se
usnadnila a zrychlila. A na BBS se zapomnělo, jakkoli je jich stále ještě v
provozu nemálo.
Věk Internetu
Potřebujete-li adresu nějaké organizace na Internetu, většinou jen stačí použít
jeden z mnoha vyhledávačů. Dál už záleží na cílech, které si kladete.
Řadě hackerů jde pouze o zrušení přístupu organizace na Internet, paralyzování
pošty nebo webového serveru. V tom případě mají situaci značně zjednodušenou,
protože k tomu lze často použít zcela "standardních" prostředků.
Pokud jde o poštu, může k jejímu vyřazení z činnosti stačit pouhé její
zahlcení. U menších firem bude stačit zaslání jen několika megabytových (někdy
i pár stokilových) souborů a prostor pro příchozí poštu je zaplněn. Aby byl
původce takového útoku neidentifikovatelný, pro jistotu změní IP-adresu v poli
odesílatele. Protože příchod velkého množství pošty z jedné adresy (a ještě
navíc neznámé) může být ošetřen, bývá dalším vylepšením útoku přidělení různých
adres odesílatele jednotlivým zprávám nebo dokonce přidělení tzv. věrohodných
adres, tj. adres, se kterými má příjemce častý poštovní styk.
Nejúčinnější obranou před takovým útokem bývá omezení velikosti nevyžádaných
zpráv (resp. zpráv, jejichž příjem není předem potvrzen příjemcem). Další
možností je kontrola obsahu zpráv, která se ostatně používá pro ochranu před
nevyžádanou korespondencí obecně funkce prostředků, které ji zastávají, se
nazývá antispamming a může být poměrně účinná v případě reklamní korespondence.
Ovšem pokud šikovný hacker použije program pro generování náhodného obsahu
dopisů a k tomu náhodné adresy odesílatele, začíná být problém téměř
neřešitelný bez toho, aby se citelně neomezily také žádoucí zásilky.
Pro vyřazení webových serverů z provozu lze použít jen o poznání chytřejší
metody. Základem je zjistit, jaký serverový software používá firma, na kterou
má hacker v úmyslu zaútočit, a jaké jsou jeho slabiny. Na Internetu lze nalézt
popisy desítek různých chyb, kterých je možno využít.
Za všechny jmenujme známou "díru" v MS Information Serveru, dík které mu stačí
zaslat nesmyslně dlouhou URL a on místo aby problém nějak korektně ošetřil,
přestane fungovat. Útočník jen vyzkouší, jaká délka je smrtící pro ten
konkrétní server, který si vybral za cíl.
V těchto případech je řešením důsledná aplikace patchů (záplat) od výrobce.
Nepříjemné je, že než se taková záplata objeví, může uplynout poměrně hodně
času. Pokud má správce systému k dispozici zdrojové kódy chybně napsané
aplikace (např. v případě LINUXu), může pomoci jejich úprava a opětovná
rekompilace (pokud samozřejmě správce umí programovat). Nepříjemné je, že tyto
zdrojové kódy mohou být k dispozici i hackerovi. Nejsou-li zdrojové kódy
dostupné, což bude asi převážná většina případů, nezbyde zřejmě nic jiného, než
filtrovat požadavky došlé z Internetu prostřednictvím další aplikace, typicky
firewallu.
Jakkoli je vyřazení webového nebo poštovního serveru z provozu velmi
nepříjemné, je to vlastně maličkost ve srovnání s průniky, které mohou
hackerovi posloužit k získání utajovaných dat z vnitřní sítě, příp. k vyřazení
z provozu některého ze serverů, které organizace nutně potřebuje ke své
činnosti. Takový útok může v nejhorším případě skončit zdánlivě velmi směšnou
situací, kdy síťový administrátor nemůže přistoupit do sítě, protože mu hacker
změnil heslo a "spravuje" systém na dálku za něj.
Obecně platí, že čím menší možnosti správy na dálku, tím lépe. Z hlediska
bezpečnosti je optimálním řešením správa povolená pouze z konzole serveru.
Ovšem z tohoto hlediska by se také dalo konstatovat, že nejlepším řešením je
žádná síť, případně, pokud bychom chtěli jít do extrémů, žádné počítače.
Vnitřní síť
Pokud jde o napadení vnitřní sítě, existuje samozřejmě několik možných způsobů
útoku. Každý z nich předpokládá zjištění adresy sítě, která se může, ale
nemu-sí dát odhadnout, např. z adresy WWW serveru firmy. Spolehlivým řešením je
ve většině případů zjištění této informace z veřejně přístupné databáze NIC
(Network Information Centre) pro zachování "hackerské atmosféry" lze zvolit
Telnet, ovšem stejné informace jsou k dispozici i prostřednictvím Webu
(http://rs. internic.net).
Dalším nezbytným krokem je zjištění těch bodů vnitřní sítě, které jsou schopny
poskytovat nějaké služby. K tomu může v případě neopatrného správce posloužit
přímo jeden z jeho name serverů. Další možností je zkoušet navázat spojení s
předpokládanými adresami počítačů vnitřní sítě na všech vhodných portech.
K průniku lze ovšem často využít též neopatrnosti uživatelů. Vhodným způsobem
může být např. vyvolání zájmu o WWW stránky, na které hacker umístí takový
program v Javě, který jeho průnik podpoří.
Jakkoli to může vypadat neuvěřitelně, poměrně velmi efektivním způsobem je též
zaslání dopisu, ke kterému je připojen "tajemný" spustitelný soubor (a ani
nemusí být váš systém nastaven tak, aby se soubor sám spustil tak, jak to
umožňuje specifikace MIME Multipurpose Internet Mail Extension). Ten provede
zdánlivě neškodnou operaci (zahraje vánoční koledu, tváří se jako screensaver,
jako správce souborů nebo jiná utilita možností je nepočítaně) a mimo jiné v
sobě obsahuje tzv. trojského koně program, který bude útočníka zásobovat řadou
cenných informací, případně si s ním sám občas vyžádá spojení (a tím obejde
možný zákaz navazování spojení z vnějšku sítě).
Jediným problémem v tomto případě je vyvolání pocitu bezpečí u uživatele, který
má váš program spustit. To ovšem nebývá neřešitelné, protože u většiny
uživatelů ještě zatím bohužel nestihl vyvolat žádný pocit nebezpečí, takže jsou
ochotni spustit i programy od zcela neznámých lidí. Nemluvě už o osobách, které
znají letmo a takovou osobou hacker může být, nebo se za ni může vydávat.
Proti testování struktury vnitřní sítě pokusem navázat spojení je účinná
ochrana filtrováním paketů a vzhledem k dokumentačním schopnostem většiny
firewallů nebývá ani problém odhalit, že se někdo o takový útok pokouší.
Větším problémem bývají oni neopatrní uživatelé, kde už musí nastoupit filtrace
na úrovni proxy zde je pak nutno zakázat průchod spustitelných souborů ze všech
služeb, které přenos souborů umožňují. To se pochopitelně týká i souborů
komprimovaných, které lze případně zakázat obecně, nebo kontrolovat jejich
obsah, což je ovšem časově náročné. Přesto tato ochrana zřejmě nikdy nemůže být
dokonalá, protože je možno vydávat spustitelný soubor za nespustitelný a
posléze správně instruovat adresáta. Takže se nakonec dospěje k nepopulárnímu
řešení, které spočívá v zákazu jakýchkoli jiných, než textových souborů,
přičemž se jejich obsah ještě testuje slovníkem.
Uživatelská konta
Řada uživatelů (a dokonce i správců) považuje za dostatečné zabezpečení
uživatelských kont prostřednictvím hesel. Dokud síť není připojena k Internetu,
může to být i pravda, ale v okamžiku připojení a povolení vzdáleného přihlášení
se situace radikálně změní. (Přitom ono vzdálené přihlášení nemusí být povoleno
explicitně u nedostatečně zabezpečené sítě se i vzdálený uživatel může
prostřednictvím své adresy tvářit jako uživatel vnitřní). Nenainstaluje-li si
hacker prostřednictvím neopatrného uživatele trojského koně přímo dovnitř vaší
"bezpečné" sítě, často mu pomůže k prolomení hesel prosté hádání.
U řady systémů je možno nastavit, že po několika neúspěšných pokusech o
přihlášení se konto na nějakou dobu zablokuje. Protože je však toto řešení
nepříjemné pro běžné uživatele (není žádný problém se např. třikrát splést a
pak nadávat na síť, že nechce povolit korektní přihlášení napočtvrté), bývá
často vyřazeno.
Na první pohled by se mohlo zdát, že uhádnout mnohapísmenné heslo je časově
náročný, možná dokonce v rozumném čase neřešitelný problém. Hackerům ovšem
pomáhá několik skutečností:
Heslo je často velmi krátké.
I krátké heslo bývá srozumitelné slovo.
Ono srozumitelné slovo mívá často vztah k uživateli, nebo dokonce k názvu jeho
konta.
Když už je heslo dlouhé, dává smysl vždy.
Dlouhé heslo má většinou blízký vztah k oblasti zájmů uživatele.
Některá konta mohou být dokonce nechráněná.
Pokud jde o nechráněná konta, zde se útočníci často soustřeďují na názvy jako
TEST, HOST (GUEST), DEMO, HRY (GAMES) apod. Pokud má útočník silnou motivaci k
průniku, snaží se zjistit, jaká hesla mohou volit jednotliví uživatelé sítě.
Často jde o jména příbuzných, případně o rodná čísla. Efektivní bývá i již
zmíněný způsob, že hacker naláká nic netušícího uživatele k připojení na
vlastní webovou stránku, kde mu pod nějakým příslibem (např. výhry v soutěži)
nabídne přihlášení k nějaké službě (samozřejmě zdarma). Součástí přihlášení
bývá i heslo zde se využívá skutečnosti, že řada uživatelů volí vždy to samé,
protože si nechce pamatovat desítky hesel různých.
Pokud jde o dlouhá hesla, jedná se často o různé citáty oblíbených osobností
nebo knih, částí písniček apod. Na ruční testování to samozřejmě není, ale na
druhou stranu rozhodně se tím řádově snižuje počet variant k testování (jakkoli
i tak jich samozřejmě zbývá mnoho obzvláště uvážíme-li, že většinou není známa
délka hesla). Dobrou ochranou proti tomuto způsobu hádání je prostá záměna
třeba jen jediného písmene v jinak zcela srozumitelném textu tak, aby se
změněné slovo stalo nesrozumitelným. Stejná pravidla platí pochopitelně pro
správcovské heslo, které může být někdy hlavním cílem útočníka.
Rozhodně nelze doporučit, aby heslem na toto konto byla slova jako "blb", jak
jsem se s tím opravdu v reálu setkal (mimochodem poté, co se heslo provalilo,
bylo nápaditě změněno na "blbec"; jediným štěstím správce bylo mj. to, že se v
té době u nás o připojení do Internetu ještě nikomu ani nesnilo).
Některé firewally mohou mít na sobě několik uživatelských účtů. Potom se průnik
může zdařit přímým připojením k němu a odhalením hesla jednoho z účtů.
Na závěr snad jenom poznámku: tvrdí-li někdo, že je jeho síť absolutně
zabezpečena, potom to může znamenat v podstatě trojí. Možná hovoří pravdu a v
tom případě jsou práva uživatelů omezena na velmi omezující minimum. Možná lže.
A nebo si prostě jenom neuvědomuje, že stejně, jako se vyvíjejí techniky
ochrany, vyvíjejí se i techniky hackerů. Se stále se zvětšujícím počtem
počítačů, jejich uživatelů, ale také aplikačních protokolů (za všechny jmenujme
v poslední době stále více využívaný protokol RPC Remote Procedure Call pro
vzdálené volání procedur) v Internetu vznikají stále nová slabá místa v
systémech síťových administrátorů. A stále nové cestičky pro hackery, kterým v
tom lepším případě jenom dělá potěšení, že správce "dostanou" s daleko
omezenějšími prostředky, než mají k dispozici oni.
V tom horším případě jim nejde o prestiž, ale o vaše data a peníze.
8 0023 / pen