Krótka historia jednego włamania

ArtykuÅ‚ opublikowany pod tytuÅ‚em „How Hackers Break In… And How They Are Caught” w Scientific American, October 1998, pp. 98-105

CAROLYN P. MEINEL

Tłumaczył Andrzej Kadlof

Oryginał został opublikowany około 10 lat temu, pozwoliłem sobie go nieco uwspółcześnić, ponieważ techniki opisane w oryginale wyszły już z użycia.
Bogdan Mizerski

Informacje o autorce

CAROLYN P. MEINEL pasjonuje się najnowszymi technologiami informatycznymi. Jest autorką książki The Happy Hacker: A Guide to (Mostly) Harmless Computer Hacking (Szczęśliwy haker: podręcznik nieszkodliwego (najczęściej) hakerstwa; American Eagle Publications, 1998) i prezesem organizacji nonprofit Happy Hacker, Inc., zajmującej się uczeniem odpowiedzialnego i niezłośliwego hakerstwa. Grupa prezentuje swoje cele i osiągnięcia na własnej witrynie WWW (http://www.happyhacker.org). Meinel uzyskała stopień magistra na Wydziale Inżynierii University of Arizona. Obecnie razem z Jasonem Chapmanem pracuje nad książką poświęconą swoim licznym akcjom zwalczania hakerów. Autorka składa podziękowania Michaelowi i Dianie Neumanom, Damianowi Batesowi, Emilio Gomezowi, Mahboud Zabetianowi i Markowi Schmitzowi za pomoc w przygotowaniu tego artykułu.

 

Testowanie portów, zrzuty pamięci i przepełnianie buforów to zaledwie kilka metod z bogatego arsenału każdego doświadczonego hakera.
Jednak żaden z nich nie jest nieuchwytny

Carolyn P. Meinel

 

Od redakcji Scientific American: Poniższa fabularyzowana historia powstała na podstawie wielu incydentów, które przytrafiły się gdzieś kiedyś w cyberprzestrzeni. Imiona i nazwiska ludzi, adresy i inne detale zostały zmienione, ale opisywane techniki i programy istnieją. Z wieloma z przytoczonych przypadków autorka zetknęła się osobiście. Zarówno w komputerowym podziemiu, jak i wśród ekspertów od bezpieczeństwa znana jest ze swoich zdolności hakerskich i niezliczonych potyczek z innymi hakerami. Scientific American dziękuje internaucie Rt66 oraz dostawcy usług internetowych z Albuquerque (Nowy Meksyk), którzy przetestowali większość programów i sprzętu opisanych w tym artykule oraz sprawdzili skuteczność wspomnianych technik.


Którejś nocy, siedząc przy domowym komputerze, Abdenago włącza się do IRC, cyberprzestrzennego odpowiednika radia CB, na kanale poświęconym potężnemu systemowi operacyjnemu Unix. Obserwuje na bieżąco, jak fani nawiązują kontakty, tworzą sojusze i wymieniają doświadczenia. Przypomina to wszystko kantynę z Gwiezdnych Wojen.

PalÄ…c siÄ™ do nawiÄ…zania konwersacji – i zadziwienia innych – Abdenago czeka, aż ktoÅ› zada proÅ›ciutkie pytanie; umożliwi to rozpoczÄ™cie „wojny obelg”, w czasie której wszyscy obrzucajÄ… siÄ™ zniewagami. Akurat rozmówca przedstawiajÄ…cy siÄ™ jako Dogberry zadaje pytanie dotyczÄ…ce pisania programu obsÅ‚ugujÄ…cego domowÄ… stacjÄ™ meteorologicznÄ…. Abdenago dostrzega szansÄ™ dla siebie. Rzuca: „RTFM”. (Gdyby w Internecie używano polskich akronimów, byÅ‚oby to „PPP” – „przeczytaj pieprz**y podrÄ™cznik” – przyp. tÅ‚um.). Pozostali uczestnicy dyskusji reagujÄ… stekiem obelg, ale nie pod adresem Dogberry’ego. Pytanie okazuje siÄ™ znacznie trudniejsze, niż przypuszczaÅ‚ Abdenago. Dogberry zwięźle i spokojnie go podsumowuje: „żółtodziób”. Upokorzony Abdenago poprzysiÄ™ga zemstÄ™.

KorzystajÄ…c z dostÄ™pnej w Internet Relay Chat komendy „finger”, Abdenago uzyskuje adres adwersarza: Dogberry@refrigerus.com. ZakÅ‚ada, że skoro Dogberry jest takim ekspertem od Unixa, to być może peÅ‚ni funkcjÄ™ administratora komputerów w refrigerus.com. Aby potwierdzić swoje wysyÅ‚a zapytanie do bazy whois i stÄ…d dowiaduje siÄ™, żeDogberry jest administratorem sieci.

To tylko pobudza jego ciekawość. Uruchamia Strobe, program usiÅ‚ujÄ…cy siÄ™ poÅ‚Ä…czyć z każdym z tysiÄ™cy wirtualnych portów w refrigerus.com. Skaner ma skrupulatnie rejestrować wszelkie odpowiedzi od demonów, czyli zainstalowanych użytkowych programów systemowych, na przykÅ‚ad odpowiedzialnych za obsÅ‚ugÄ™ poczty elektronicznej. Abdenago wie, że każdy port może stanowić tylne drzwi – lub drzwi, które jemu uda siÄ™ sforsować – jeÅ›li zdoÅ‚a wykorzystać pewne niedoskonaÅ‚oÅ›ci demona tego portu.

KOMPUTEROWEGO WŁAMANIA można dokonać na wiele rozmaitych sposobów…

Strobe trafia na przeszkodÄ™, a dokÅ‚adniej na zaporÄ™ ogniowÄ… (firewall) Dogberry’ego. Ten znakomity program obronny przechwytuje każdy nadchodzÄ…cy pakiet danych, odczytuje jego nagłówek TCP/IP (transmission control protocol/Internet Protocol) i ustala, z którym portem ma nastÄ…pić poÅ‚Ä…czenie. NastÄ™pnie sprawdza otrzymane żądanie dostÄ™pu, posÅ‚ugujÄ…c siÄ™ precyzyjnie okreÅ›lonymi zasadami dopuszczania użytkowników z zewnÄ…trz do systemu. W tym przypadku refrigerus.com decyduje, że skaner Abdenago zasÅ‚uguje tylko na jednÄ… odpowiedź.

W chwilÄ™ potem program zainstalowany na refrigerus.com zaczyna wysyÅ‚ać do komputera Abdenago flood’a, czyli bezsensowne dane, wÅ‚Ä…cznie z losowymi ciÄ…gami znaków alfanumerycznych, skutecznie zapychajÄ…c jego Å‚Ä…cze i dyski. W miÄ™dzyczasie inny demon wysyÅ‚a pocztÄ… elektronicznÄ… list do dostawcy usÅ‚ug internetowych (Internet Service Provider – ISP) Abdenago z informacjÄ…, że ktoÅ› próbuje siÄ™ wÅ‚amać do refrigerus.com. NastÄ™pnie firewall odcina caÅ‚kowicie poÅ‚Ä…czenia przychodzÄ…ce z komputera Abdenago. Po kilku minutach konto Abdenago zostaje zamkniÄ™te, ponieważ jego wÅ‚aÅ›ciciel jest podejrzany o próbÄ™ popeÅ‚nienia przestÄ™pstwa komputerowego.

Mimo że Abdenago zostaÅ‚ niemal bÅ‚yskawicznie zablokowany – wielu administratorów ISP nie podjęłoby równie szybko tak zdecydowanych kroków – nie ma to wiÄ™kszego znaczenia. Konto jest tylko jednym z kilku, które sam sobie zaÅ‚ożyÅ‚ po wÅ‚amaniu siÄ™ do wspomnianego ISP. Jednak zamkniÄ™cie go powoduje, że Abdenago zostaje odÅ‚Ä…czony od kanaÅ‚u IRC w chwili, gdy obrzucano go obelgami. Dla uczestników dyskusji wyglÄ…da to tak, jakby Abdenago bezceremonialnie wyrzucono z sieci lub, co gorsza, sam uciekÅ‚.

Abdenago pała żądzą odwetu. Jego kolejnym posunięciem jest wypróbowanie niewidzialnego skanera FIN. Programy takie wykorzystują zasady działania IP.

Abdenago wie, że niewidzialny skaner może wykorzystać subtelności tego protokołu, wysyłając tylko końcowy pakiet z flagą FIN do każdego portu badanego komputera. Zazwyczaj gdy port jest otwarty, obsługujący go demon ignoruje taki pakiet. Jeśli jest zamknięty, komputer odbiorcy wysyła pakiet z flagą RST (ponów). Ponieważ nie zostaje nawiązana oficjalna komunikacja (nie doszło do trzystopniowego potwierdzenia), odebranie pakietu nie jest notowane w raportach aktywności systemu. Dzięki temu skanery FIN mogą w miarę dyskretnie testować porty komputera. (Mimo to jak dowie się wkrótce Abdenago, informacje zawarte nawet w jednym pakiecie FIN wystarczają do identyfikacji nadawcy).

Abdenago wcześniej już przygotował się do tego typu działań. Zdążył opanować kilka komputerów, na których pozakładał swoje ukryte konta. Najczęściej są to komputery należące do różnych uczelni, których administratorami są studenci traktujący swoją funkcję jak pańszczyznę. W związku z tym komputery uczelniane są łatwym łupem dla hakerów.

Abdenago przemierza Internet w poszukiwaniu zaawansowanego niewidzialnego skanera portów i znajduje jeden w podziemnej witrynie sieci WWW. Program ten, jak wiele innych narzędzi hakerskich, jest napisany w języku C. Abdenago musi jeszcze pokonać problemy z jego modyfikacją i kompilacją, tak by działał na domowym PC pracującym pod kontrolą Linuxa, jednego z wielu wariantów Unixa.

Takie kÅ‚opoty nie sÄ… niczym niezwykÅ‚ym i wynikajÄ… z osobliwoÅ›ci poszczególnych odmian systemu Unix. Abdenago, podobnie jak wiÄ™kszość hakerów, nie odebraÅ‚ wyksztaÅ‚cenia informatycznego. W rzeczywistoÅ›ci nigdy nie uczyÅ‚ siÄ™ programowania, bo nie musiaÅ‚. Niemal każdy program, o jakim zamarzy komputerowy kryminalista, jest osiÄ…galny gdzieÅ› w Internecie, już napisany i gotowy do darmowego pobrania i wykorzystania – jeÅ›li tylko haker potrafi go skompilować.

Młody Dogberry wybrał inną drogę. Zaprzyjaźnił się z informatykiem pracującym u lokalnego dostawcy usług internetowych i nauczył administrować siecią. Wiele czasu spędził, bawiąc się z przyjacielem w komputerowych włamywaczy i obrońców. Korzystając ze swoich doświadczeń, pomogli administratorowi ISP podnieść poziom bezpieczeństwa systemu. Dzięki temu sukcesowi Dogberry został u niego zatrudniony na część etatu jeszcze podczas studiowania informatyki.

Pierwszym bÅ‚Ä™dem Abdenago jest wiÄ™c porwanie siÄ™ akurat na Dogberry’ego. Ten jest bowiem również hakerem (ale pozytywnym) i weteranem wielu batalii w cyberprzestrzeni.

Pierwsze starcie

TRANSMISJE DANYCH w Internecie podlegajÄ… ustalonym protokoÅ‚om. Zwykle nadawca najpierw wysyÅ‚a powitalny pakiet zawierajÄ…cy flagÄ™ SYN, proszÄ…c o dane umożliwiajÄ…ce synchronizacjÄ™ majÄ…cych nadejść pakietów. Odbiorca odsyÅ‚a pakiet z flagÄ… ACK, potwierdzajÄ…cÄ… przyjÄ™cie wezwania do nawiÄ…zania Å‚Ä…cznoÅ›ci, oraz z flagÄ… SYN i liczbÄ… synchronizacyjnÄ…. Nadawca pakietu z flagÄ… ACK potwierdza, że jest gotów do transmisji danych, koÅ„czÄ…c w ten sposób procedurÄ™ trzystopniowego potwierdzania. Dopiero teraz może wysÅ‚ać wÅ‚aÅ›ciwe wiadomoÅ›ci. Wreszcie przesyÅ‚a pakiet z flagÄ… FIN sygnalizujÄ…cÄ… koniec poÅ‚Ä…czenia. Odbiorca odsyÅ‚a pakiet z flagÄ… ACK, co ostatecznie zamyka transmisjÄ™. Hakerzy omijajÄ… tÄ™ procedurÄ™, od razu wysyÅ‚ajÄ…c pakiety z flagÄ… FIN. Pechowy odbiorca może na to odpowiedzieć pakietem z flagÄ… RST (ponów) (na dole). Odpowiedź – lub jej brak – dostarcza pewnych informacji o badanym systemie, a ponieważ nie zostaÅ‚o nawiÄ…zane oficjalne poÅ‚Ä…czenie, przybycie pakietu FIN nie jest odnotowane w raportach odbiorcy. Pozwala to hakerom w miarÄ™ niepostrzeżenie i bezpiecznie testować upatrzone komputery.

Nad ranem Abdenago ostatecznie radzi sobie z kompilacją programu i jest gotów do działania. W ciągu kilku minut FIN skaner dostarcza mu listę usług oferowanych przez refrigerus.com jedynie użytkownikom o akceptowanych adresach IP. Szczególną uwagę Abdenago przykuwa demon odpowiadający za bezpieczeństwo systemu (konkretnie za metody szyfrowania połączeń w Internecie) oraz serwer WWW. Abdenago nie wie, że firewall Dogberry’ego jest już uodporniony na tą sztuczkę i pokazuje tylko to, co administrator zdecydował się ujawnić.

Nagle serce Abdenago zaczyna bić mocniej. Dostrzega on bowiem na liÅ›cie sporzÄ…dzonej przez skaner port o nietypowym numerze 31 659. Czyżby zostaÅ‚ uprzedzony przez innego wÅ‚amywacza, który zostawiÅ‚ uchylone tylne drzwi – tajne przejÅ›cie pozwalajÄ…ce wkraść siÄ™ do systemu?

SygnaÅ‚ komórki wyrywa Dogberry’ego z gÅ‚Ä™bokiego snu. EtherPeek, monitor zainstalowany w refrigerus.com, wykryÅ‚ skanowanie portów. Dogberry pÄ™dzi do biura, by z konsoli administratora Å›ledzić dalsze próby ataku. Jego najlepsze programy obronne mogÄ… być uruchamiane tylko z tej maszyny i wymagajÄ… fizycznej obecnoÅ›ci czÅ‚owieka, dziÄ™ki czemu sÄ… odporne na zdalny atak.

Tymczasem mimo silnej pokusy zbadania demona obsÅ‚ugujÄ…cego port 31 659 Abdenago wstrzymuje dalsze dziaÅ‚ania. CoÅ› – może hakerska intuicja – podpowiada mu, że powinien je odÅ‚ożyć na kiedy indziej. Tak wiÄ™c tym razem Dogberry przychodzi do pracy niepotrzebnie – nie odkrywa dalszych prób wtargniÄ™cia do systemu.

Zaintrygowany nietypowym atakiem przegląda jednak raporty i udaje mu się ustalić adres nadawcy pakietów z flagą FIN. Wysyła e-mail do właściciela komputera, który po sprawdzeniu logów odcina dostęp Abdenago do swojej maszyny.

Trzy wieczory później Abdenago ponawia atak. Gdy jednak łączy się ze swoim kontem na uniwersytecie X, okazuje się, że konta już nie ma. Taki rozwój wypadków ani trochę go nie zniechęca. Przeciwnie, zabiera się do pracy z jeszcze większą determinacją.

Strata jednej opanowanej maszyny nieco go zmartwiÅ‚a, ale siÄ™gnÄ…Å‚ po nastÄ™pnÄ…. Tym razem jednak zachowuje wiÄ™kszÄ… ostrożność. Z nowego konta loguje siÄ™ na koncie, które kiedyÅ› otworzyÅ‚ sobie u jeszcze innego ISP (oczywiÅ›cie nielegalnie). Po uzyskaniu poÅ‚Ä…czenia wydaje polecenie „whois refrigerus.com”. Dowiaduje siÄ™, że nazwa domeny należy do Refrigerators R Us – krajowej sieci sklepów detalicznych.

NastÄ™pnie próbuje zalogować siÄ™ na refrigerus.com za pomocÄ… komendy „telnet refrigerus.com 31 659”. Odpowiedź jest natychmiastowa: „Ty pÄ™taku! Czy naprawdÄ™ myÅ›lisz, że to sÄ… tylne drzwi?!” JednoczeÅ›nie demon obsÅ‚ugujÄ…cy port 31 659 przystÄ™puje do próby zawieszenia komputera Abdenago, przesyÅ‚ajÄ…c mu serie celowo uszkodzonych pakietów, a pocztÄ… elektronicznÄ… wysyÅ‚a list do ISP, na którym Abdenago nielegalnie zaÅ‚ożyÅ‚ konto, informujÄ…cy o próbie popeÅ‚nienia przestÄ™pstwa komputerowego. Przed upÅ‚ywem paru minut poÅ‚Ä…czenie Abdenago zostaje przerwane.

Haker nie rezygnuje i zamiast atakować zaporÄ™ ogniowÄ… usiÅ‚uje jÄ… teraz po cichu obejść. KorzystajÄ…c z jeszcze jednego ze swoich licznych nielegalnych kont próbuje skatalogować komputery należące do refrigerus.com. Używa do tego celu komendy „nslook-up”, przeszukujÄ…cej InternetowÄ… bazÄ™ danych w celu odnalezienia katalogów w komputerze o podanym adresie.

Ale „nslookup” nie dostarcza żadnych użytecznych informacji. Dogberry tak skonfigurowaÅ‚ swojÄ… sieć, że każde pytanie skierowane do któregokolwiek z komputerów wewnÄ™trznej sieci jest najpierw przesyÅ‚ane do serwera nazw, który kieruje je do odpowiednich maszyn. DziÄ™ki temu nikt z zewnÄ…trz nie może siÄ™ niczego dowiedzieć o komputerach otoczonych zaporÄ… ogniowÄ….

Kolejnym krokiem Abdenago jest wykorzystanie skanera adresów IP. Za pomocÄ… „nslookup” dokonuje konwersji refrigerus.com na adres numeryczny, po czym skanerem IP bada numery wiÄ™ksze i mniejsze. Po chwili ma okoÅ‚o 50 rzeczywistych adresów wÄ™złów Internetu o zbliżonych numerach. Zdaje sobie sprawÄ™, że wcale nie muszÄ… należeć do refrigerus.com, ale z dużym prawdopodobieÅ„stwem należą.

NastÄ™pnie używajÄ…c komendy „whois”, pyta, czy Refrigerators R Us podlegajÄ… jakieÅ› inne komputery. Wykrywa jeszcze jeden komputer, którego adres refrigeratorz.com jest numerycznie odlegÅ‚y od refrigerus.com. Skaner IP wkrótce podaje mu kolejnych pięć adresów komputerów w Internecie o numerach bliskich refrigeratorz.com.

 

ZRZUT PAMIĘCI może posłużyć hakerom do uzyskania tajnych informacji. Jeśli działający na danym komputerze program się zawiesi, czasem powoduje to zapisanie na dysku obrazu fragmentów pamięci operacyjnej w chwili awarii. Haker może celowo spowodować awarię, by następnie przeszukać obszar pamięci mogący zawierać ważne dane, takie jak hasła dopuszczające do konkretnych kont w systemie.

Abdenago podejmuje dalsze Å›rodki ostrożnoÅ›ci. Za pomocÄ… komendy „telnet” Å‚Ä…czy siÄ™ z kolejnym swoim pirackim kontem. StÄ…d loguje siÄ™ na jeszcze jednym nielegalnym koncie, szykujÄ…c siÄ™ do ponownego skorzystania ze skanera FIN. Te dodatkowe kroki zmuszÄ… każdego Å›cigajÄ…cego go przedstawiciela prawa do uzyskania zgody na współpracÄ™ aż trzech instytucji, co utrudni Å›ledztwo.

Dodatkowo postanawia ukryć swojÄ… obecność w trzecim z opanowanych wÄ™złów, umieszczajÄ…c wÅ›ród programów zarzÄ…dzajÄ…cych głównym katalogiem stosowany przez hakerów program – konia trojaÅ„skiego, który oprócz swoich normalnych dziaÅ‚aÅ„ usuwa wszelkie Å›lady dziaÅ‚alnoÅ›ci hakera z raportów o nietypowej aktywnoÅ›ci systemu. Program ten blokuje także programy wyszukujÄ…ce zmiany w plikach systemowych danego komputera. Ukryje nawet przed operatorami fakt, że Abdenago siÄ™ zalogowaÅ‚ i korzysta z jakichÅ› programów.

Tak zabezpieczony Abdenago skanuje jeden po drugim porty komputerów należących do refrigerus.com i refrigeratorz.com. Skaner Fin przeÅ›lizguje siÄ™ wprost do każdego z nich. Te dziaÅ‚ania wykrywa jednak EtherPeek i ponownie wysyÅ‚a sms do Dogberry’ego.

Niewyspany Dogberry po dotarciu do biura szybko ustala adres nadawcy pakietów FIN i alarmuje administratora trzeciego węzła spenetrowanego przez Abdenago. Ale koń trojański spełnia swoje zadanie i ukrywa obecność hakera przed zdezorientowanymi operatorami. Abdenago śmiało kontynuuje swoją pracę. Przełącza się z niewidzialnego skanera na Strobe, poszukując adresu IP komputera nie chronionego przez zaporę ogniową.

Osiąga jedynie tyle, że zapora ogniowa refrigerus.com wypluwa strumień bezsensownych danych. Niespodziewany ładunek uświadamia wreszcie administratorce systemu Abdenago, że ktoś faktycznie nielegalnie wykorzystuje jej węzeł. Decyduje się ona na drastyczne posunięcie, całkowicie odcinając system od Internetu. Z chwilą gdy łączność zostaje zerwana, Abdenago zdaje sobie sprawę, że elegancka metoda obejścia zapory ogniowej nie istnieje.

 

W poszukiwaniu pracoholika

PRZEPEŁNIANIE BUFORÓW polega na wykorzystywaniu słabości niektórych programów, na przykład pisanych w języku C i uruchamianych w systemie Unix. W celu wymuszenia przepełnienia buforów haker wykonuje kilka czynności. Uruchamia na komputerze ofiary własny program napisany w języku C (a). Program zapisuje dane do bufora, tymczasowego miejsca w pamięci operacyjnej (b). Następnie aplikacja kopiuje dane z miejsca 1 do 2 i 3. Ale haker tak skonstruował program, że cały czas wymaga on dostępu do danych w miejscu 1. Z powodu braku pamięci przydzielonej programowi system przemieszcza je z miejsca 1 do 4 dzielonego z innymi programami (d). Haker może wykorzystać to do instalacji w pamięci operacyjnej własnego kodu (e), który umożliwia mu uzyskanie wysokich przywilejów w komputerze ofiary.

Abdenago domyÅ›la siÄ™, że z kilku tuzinów komputerów Refrigerators R Us podÅ‚Ä…czonych do Internetu korzysta prawdopodobnie wiele innych maszyn stojÄ…cych spokojnie na biurkach pracowników. Czy jest szansa – zastanawia siÄ™ kilka dni później – by wÅ›ród setek zatrudnionych znalazÅ‚ siÄ™ jakiÅ› pracoholik, który obchodzÄ…c firmowÄ… zaporÄ™ ogniowÄ…, nocami Å‚Ä…czy siÄ™ telefonicznie ze swoim komputerem sÅ‚użbowym i wykonuje „nie cierpiÄ…ce zwÅ‚oki” zadania? To naprawdÄ™ nie problem dla kogoÅ›, kto kupi sobie modem, podÅ‚Ä…czy do sÅ‚użbowego komputera i, wychodzÄ…c z pracy, zostawi system wÅ‚Ä…czony.

Zakładając, że w każdej prawie większej firmie znajduje się co najmniej jeden nie zgłoszony przełożonym modem, Abdenago uruchamia program ShokDial (telefonicznego wojownika) łączący się z każdym numerem wewnętrznym w Refrigerators R Us. Nocny strażnik w siedzibie zarządu firmy słyszy, że dzwonią ciągle telefony, ale nie wzbudza to jego podejrzeń.

O 2.57 telefoniczny wojownik trafia na aktywny modem i Abdenago widzi na swoim monitorze powitalny ekran komputera Silicon Graphics: „DziaÅ‚ handlowy Refrigerators R Us, Irix 6.3”. Wspaniale! Cieszy siÄ™, ponieważ Irix jest wersjÄ… systemu Unix, co oznacza, że chyba znalazÅ‚ tylne drzwi do królestwa Dogberry’ego.

NastÄ™pnie Abdenago, korzystajÄ…c z programu, który raz za razem dzwoni do komputera z systemem Irix, próbuje zgadnąć hasÅ‚o dostÄ™pu do „root’a”, najwyższego w hierarchii konta (zazwyczaj zarezerwowanego dla administratora), z którego można wydawać dowolne komendy i uzyskiwać wszelkie informacje dotyczÄ…ce danego komputera. Ma nadziejÄ™, że wÅ‚aÅ›ciciel komputera, zaganiany jak wielu pracoholików, nieostrożnie pozostawiÅ‚ możliwość zdalnego dostÄ™pu do maszyny.

Zgadywanie rozpoczyna siÄ™ od pospolitych słów i imion, by w dalszej kolejnoÅ›ci przejść do mniej oczywistych haseÅ‚. Jest to powolny i mÄ™czÄ…cy proces: sprawdzenie wszystkich słów z wielkich sÅ‚owników, wszystkich nazwisk z encyklopedii i lokalnych książek telefonicznych trwa czasem miesiÄ…ce, a nawet lata. Ale tym razem Abdenago ma szczęście. OkoÅ‚o piÄ…tej nad ranem okazuje siÄ™, że hasÅ‚o brzmi po prostu: „nancy”.

„Mam ciÄ™!” – krzyczy Abdenago i loguje siÄ™ jako root, skÄ…d może wydawać z zaatakowanego komputera dowolne komendy. NastÄ™pnie zabezpiecza zdobyty przyczółek. Instaluje za pomocÄ… FTP (file transfer protocol) w swojej ostatniej ofierze konia trojaÅ„skiego, ukrywajÄ…cego jego obecność w systemie, oraz monitor klawiaturowy skonfigurowany tak, by rejestrowaÅ‚ wszystkie sekwencje znaków wprowadzanych z klawiatury i wszelkie zdalne rejestracje. Zdobyte informacje ma przechowywać plik o niewinnej nazwie znajdujÄ…cy siÄ™ bezpoÅ›rednio na niczego „nieÅ›wiadomej” maszynie. W ciÄ…gu kilku minut Abdenago tworzy dodatkowe wejÅ›cie do systemu – konto dla użytkownika „zemsta” z hasÅ‚em: „GiNd0gB”.

Ostatnie zadanie tego ranka jest proste. Aby ustalić adres internetowy opanowanego komputera, Abdenago wprowadza polecenie „who” i otrzymuje odpowiedź, że „zemsta” pracuje na komputerze picasso.refrigeratorz.com. Gdy po kilku godzinach peÅ‚noprawny użytkownik komputera picasso wchodzi do systemu, nie dostrzega oznak przejÄ™cia przez kogokolwiek kontroli nad jego maszynÄ…. Programy Abdenago dobrze wykonujÄ… swoje zadania.

Z kolei Dogberry z raportów o aktywności systemu dowiaduje się jedynie, że wczesnym rankiem ktoś próbował przez Internet dostać się do refrigeratorz.com. Niepokoi go to, bo ciągle pamięta o niedawnym ataku skanera FIN. Ma jednak za mało informacji, by podjąć konkretne działania.

Dwie noce później Abdenago dzwoni i Å‚Ä…czy siÄ™ z picasso, by przejrzeć raporty swoich monitorów. Rozczarowany stwierdza, że wszystkie komunikaty przesyÅ‚ane w sieci sÄ… szyfrowane. Najcenniejszy okazuje siÄ™ raport monitora klawiaturowego. KtoÅ› z picassa zalogowaÅ‚ siÄ™ na komputerze o nazwie „fantazja”. Abdenago zna teraz nazwÄ™ użytkownika i hasÅ‚o dostÄ™pu do fantazji. Sezamie, otwórz siÄ™!

Abdenago odkrywa, że jest to stacja robocza SPARC służąca do obróbki animowanych obrazków, prawdopodobnie na potrzeby reklamy telewizyjnej. Ponieważ maszyna jest najpewniej serwerem wielu innych komputerów, Abdenago przystępuje do poszukiwania pliku haseł. Ma nadzieję, że niektóre z nich pozwolą mu na wejście do innych komputerów podłączonych do wewnętrznej sieci. Znajduje odpowiedni plik, ale w miejscach, gdzie powinny być zaszyfrowane hasła, widnieją same iksy. Najwyraźniej informacje, których szuka, muszą znajdować się gdzie indziej, w jakimś ukrytym pliku. Abdenago uśmiecha się do siebie i uruchamia program FTP. Znanym sobie trikiem zmusza go, aby się zawiesił. Bingo, nastąpił zrzut pamięci!

Fantazja zostaje zmuszona do ujawnienia części swojej pamiÄ™ci operacyjnej (RAM). Szczęśliwie dla Abdenago odkryta informacja – raport o stanie pamiÄ™ci operacyjnej – lÄ…duje w jego katalogu.

Normalnie zrzuty pamięci służą programistom do analizy stanu systemu i znalezienia przyczyn zawieszania się programów. Ale Abdenago doskonale wie, że zrzut pamięci można wykorzystać również do innych celów. System ukrywania haseł czasami je przechowuje w zaszyfrowanej postaci w pamięci operacyjnej. Gdy użytkownik rejestruje się w systemie, komputer, stosując algorytmy jednostronnej zapadki, szyfruje podane przez niego hasło i porównuje z zaszyfrowanym hasłem z ukrytego pliku. Jeśli są identyczne, użytkownik uzyskuje dostęp do maszyny.

Ukryty plik haseł, który Abdenago odnalazł w zrzucie pamięci fantazji, był zaszyfrowany. Do pracy włącza się jego program łamiący hasła. Jest to jednak żmudny proces mogący trwać kilka dni lub nawet tygodni.

Zbyt niecierpliwy, by czekać, Abdenago przystÄ™puje do kolejnej czynnoÅ›ci – wykorzystuje powszechnie znany sÅ‚aby punkt systemu Unix. JeÅ›li jakiÅ› program dziaÅ‚ajÄ…cy w tym systemie operacyjnym nadmiernie angażuje bufory (tymczasowe miejsca przechowywania danych w pamiÄ™ci), nadwyżka informacji może być umieszczona w innych obszarach pamiÄ™ci z dostÄ™pem do nich.

Efekt przepełnienia buforów posłuży Abdenago do zainstalowania swoich programów na maszynie SPARC. Dodatkowe programy umożliwiają mu wydawanie dowolnych poleceń i uruchamianie dowolnych programów za pomocą własnego interpretera poleceń. Zadowolony z siebie Abdenago instaluje konia trojańskiego ukrywającego jego obecność i monitory aktywności systemu. Ponieważ te pierwsze działają dopiero po uruchomieniu, resztę czasu spędza na ręcznym usuwaniu śladów swojej wcześniejszej działalności podczas pracowitej nocy.

PozostaÅ‚o jeszcze jedno zadanie. Czy ktoÅ› ma uprawnienia, by Å‚Ä…czyć siÄ™ z fantazjÄ… z Internetu? Abdenago wystukuje komendÄ™ „last”, by zobaczyć listÄ™ osób, które Å‚Ä…czyÅ‚y siÄ™ ostatnio z fantazjÄ…. Aż podskakuje na krzeÅ›le, gdy okazuje siÄ™, że użytkownicy vangogha i nancy Å‚Ä…czyli siÄ™ z niÄ… z komputera „adagency.com” poÅ‚ożonego za zaporÄ… ogniowÄ… Refrigerators R Us.

Abdenago nie może tej nocy zasnąć. Wzrósł mu poziom adrenaliny. Wie, że Refrigerators R Us wkrótce będzie jego.

Ostatnie starcie

OGŁUPIANIE IP umożliwia hakerom ukrycie własnego adresu. Początkowo haker wysyła serię pakietów z flagą SYN, by uzyskać pakiety ACK/SYN z kolejnymi liczbami synchronizacji. Na podstawie odpowiedzi często potrafi odgadnąć wzorzec tworzenia ciągów tych liczb. W naszym przykładzie każdy kolejny numer jest większy od 128 000. Gdy haker to odkryje, wysyła pakiet SYN potwierdzający nawiązanie łączności z komputerem akceptowanym przez ofiarę. Atakowany komputer odeśle pakiet z flagami ACK/SYN do zaufanego komputera. Chociaż haker nie otrzyma odpowiedzi, może kontynuować korespondencję z odbiorcą, tak jakby odpowiedź dostał: wysyła pakiet z flagą ACK wraz odgadniętymi liczbami synchronizacji i nawiązuje uprawnioną łączność z komputerem ofiary. Odtąd wszelkie pakiety przychodzące od hakera będą traktowane i rejestrowane jako nadchodzące z godnego zaufania komputera.

Następnego wieczora Abdenago szybciutko włamuje się do adagency.com.
Wykorzystuje trik z ogłupianiem IP i skłania ten komputer, by w swoich raportach błędnie notował jego adres. Odpowiedni program wysyła pakiety SYN w celu wymuszenia w odpowiedzi pakietów ACK/SYN zawierających m.in. serię liczb synchronizujących dalsze transmisje. Na podstawie tych sekwencji program Abdenago odgaduje wzorzec, a z niego można wywnioskować, jakie będą kolejne ciągi liczb synchronizujących. Wystarcza to do ukrycia prawdziwego adresu. Następnie w adagency.com instaluje monitor i za pomocą programów powłoki bezpieczeństwa tworzy szyfrowane łącze z fantazją.

BÄ™dÄ…c już w fantazji, komendÄ… „netstat” sprawdza, które komputery sÄ… aktualnie aktywne w sieci. Odkrywa maszynÄ™, którÄ… wczeÅ›niej przeoczyÅ‚. Jej nazwa: „admin.refrigerus.com”, jest bardzo obiecujÄ…ca. Czyżby z tego komputera Dogberry zarzÄ…dzaÅ‚ caÅ‚ym systemem?

W międzyczasie bez przerwy pracuje program do łamania haseł. Ilekroć Abdenago odkrywa kolejnego użytkownika i jego hasło, próbuje za ich pomocą zalogować się na innych komputerach. Niestety, żadne z nich nie działają poza fantazją, a do niej dostęp już ma.

Nagle szczęście się do niego uśmiecha. Dwukrotnie. Na fantazji Abdenago przechwytuje ciąg znaków wprowadzanych przez użytkownika vangogha, gdy ten aktualizował firmową witrynę WWW. Teraz Abdenago zna hasło potrzebne do włamania się do firmowego serwera WWW. Dodatkowo jego monitor zainstalowany w picassie odkrywa, że nancy zadzwonił do tego komputera i z niego zarejestrował się na tajnym koncie z uprawnieniami administratora w admin.refrigerus.com.

Zaraz po nancy wślizguje się tam Abdenago. Stąd próbuje łączyć się z kolejnymi komputerami w Refrigerators R Us. Okazuje się jednak, że Dogberry jest wyjątkowo przezorny. W sieci Refrigerators R Us nawet użytkownik z przywilejami administratora nie może zarejestrować się na innych komputerach bez podania odpowiednich haseł.

Trochę tylko rozczarowany Abdenago ponownie wraca do serwera WWW i loguje się w nim, korzystając z dopiero co zdobytego hasła. Następnie ściąga z domowego komputera nową wersję strony domowej Refrigerators R Us, którą tego dnia sam przygotował.

Z kolei w Refrigerators R Us Dogberry do późnej nocy studiuje raporty. Zauważa, że pracownicy działu handlowego zaczęli wyjątkowo często łączyć się z adagency.com. Postanawia nazajutrz porozmawiać z nimi osobiście i wyjaśnić, co się naprawdę dzieje. Zadzwoni również do administratora w adagency.com, kolegi, któremu kiedyś pomógł zainstalować nowe oprogramowanie.

Dogberry ma już po ciężkim dniu pracy wychodzić do domu, gdy w jego gabinecie dzwoni telefon. Jakiś oburzony klient twierdzi, że w witrynie WWW Refrigerators R Us prezentowany jest film pornograficzny ze scenkami na lodówce. Dogberry podrywa się i po sprawdzeniu, że strona została zmodyfikowana, wyrywa z gniazdka kabel Ethernet, odcinając całą sieć firmy od Internetu.

Abdenago denerwuje siÄ™, widzÄ…c, jak szybko jego obsceniczne arcydzieÅ‚o zostaje usuniÄ™te z Sieci. Boi siÄ™ również, że pozostawiÅ‚ zbyt wiele Å›ladów. KorzystajÄ…c z modemu, Å‚Ä…czy siÄ™ z picassem – przez wejÅ›cie do systemu, o którym Dogberry jeszcze nic nie wie. Zyskuje na czasie, formatujÄ…c na nowo dysk administratora, blokujÄ…c wewnÄ™trznÄ… sieć i w ten sposób czasowo uniemożliwiajÄ…c Dogberry’emu szczegółowÄ… analizÄ™ ataku.

Dogberry pędzi do administrującego komputera w nadziei, że zdoła go uruchomić z konsoli. Niestety, jest już za późno. Całe oprogramowanie trzeba instalować od początku. (Abdenago nie miał pojęcia, że działający na stojącym obok Macintoshu EtherPeek również zapisywał raporty.)

Zawiedziony niepowodzeniem z witryną WWW Abdenago dokonuje ostatniego wyczynu tej nocy: zalewa refrigerus.com pakietami danych. Niedługo potem Dogberry odbiera telefon od zrozpaczonej przedstawicielki handlowej, która ze swojego pokoju hotelowego bezskutecznie usiłuje za pomocą laptopa i linii telefonicznej dostać się do serwera pocztowego w Refrigerators R Us i odebrać niezwykle ważne wiadomości.

NastÄ™pnego ranka wyczerpany Dogberry bÅ‚aga wiceprezesa o zgodÄ™ na wyczyszczenie komputerów w firmie, ponownÄ… instalacjÄ™ oprogramowania i zmianÄ™ wszystkich haseÅ‚. Choć propozycja jest rozsÄ…dna, wiąże siÄ™ z zamkniÄ™ciem caÅ‚ego systemu na kilka dni – Dogberry’ego spotyka odmowa.

W tym momencie złośliwość i destrukcyjność poczynań Abdenago znacznie wykroczyła poza granice dopuszczalnego hakerstwa. Ale FBI, cierpiące na brak ludzi, jest zajęte dochodzeniami w sprawie kilku ostatnich włamań do komputerów wojskowych i rządowych na terenie USA. Dogberry sam musi zebrać więcej dowodów.

Ponieważ włamywacz był aktywny w systemie po fizycznym odłączeniu sieci od Internetu, Dogberry domyśla się, że gdzieś w budynku jest zainstalowany nielegalny modem. Uruchamia własnego telefonicznego wojownika i wykrywa winowajcę. Będzie musiał w dziale handlowym zrobić małą awanturę!

Dogberry Å‚aduje czystÄ… wersjÄ™ systemu do swojego komputera administratora. NastÄ™pnie na serwerze Windows XP, o którym wie, że nie byÅ‚ atakowany, instaluje T-sighta – zaawansowany program antyhakerski, który może zdalnie monitorować każdy komputer firmowej sieci.

NastÄ™pnie Dogberry przygotowuje puÅ‚apkÄ™. T-sight czyha na kolejne poÅ‚Ä…czenie wÅ‚amywacza z admin.refrigerus.com, by skierować go do specjalnego komputera: „wiÄ™ziennej celi”. Tutaj winowajca może być Å›ledzony. Aby go nie wystraszyć, Dogberry każe grupie programistów skonfigurować komputer tak, by wyglÄ…daÅ‚ nie jak wiÄ™zienie, ale jak maszyna z dziaÅ‚u ksiÄ™gowoÅ›ci, peÅ‚na kuszÄ…cych zestawów danych finansowych (oczywiÅ›cie spreparowanych).

Niechlubny koniec

Dwie noce później przyczajony Dogberry o 20.17 zauważa, że ktoś zarejestrował się na admin.refrigerus.com. Jest to Abdenago. Dlaczego wrócił tak szybko? Rozradowała go wiadomość, że jego pornograficzny wyczyn jest tematem dyskusji w hakerskim półświatku. Nawet CNN poświęcił incydentowi krótką wzmiankę. Zainteresowanie publiczne i własna arogancja dają Abdenago taką pewność siebie, że czuje się bezkarny.

Tej nocy bezczelnie wkracza do sieci Refrigerators R Us, nie zachowujÄ…c zwykÅ‚ej ostrożnoÅ›ci. Dzwoni na konto goÅ›cia na ISP, a nastÄ™pnie programem „telnet” bezpoÅ›rednio Å‚Ä…czy siÄ™ z adagency.com, by szybciej dotrzeć do fantazji.

Z admin.refrigerus.com zostaje przeniesiony przez T-sighta do więziennej celi. Z trudem opanowuje podniecenie, badając dane, które uznaje za ważne informacje finansowe.

Dogberry również jest bardzo zajÄ™ty. Szybko analizujÄ…c dane z T-sighta, odkrywa hasÅ‚o Abdenago na fantazji – „GiNd0gB” – i może już Å›ledzić powrót wÅ‚amywacza do adagency.com. Dogberry Å‚Ä…czy siÄ™ z pagerem administratorki tego komputera. Nie ma jej już w pracy, ale natychmiast oddzwania z restauracji i pomaga w dalszym poÅ›cigu za Abdenago.

W czasie gdy haker Å›ciÄ…ga duży plik z fikcyjnymi numerami kart kredytowych, Dogberry instaluje swój monitor w adagency.com. Może nawet wejść nie zauważony na konto Abdenago, bo ten z lenistwa wszÄ™dzie zastosowaÅ‚ to samo hasÅ‚o. W kilka minut po zakoÅ„czeniu transmisji pliku z fikcyjnymi numerami kart kredytowych Dogberry’emu udaje siÄ™ wyÅ›ledzić, dokÄ…d ten plik zostaÅ‚ przesÅ‚any, czyli namierzyć komputer ISP, na którym Abdenago ma konto.

Uzyskana przez Dogberry’ego informacja wystarcza do zaalarmowania FBI. Jego pracownicy nastÄ™pnego dnia kontaktujÄ… siÄ™ z ISP, aby na podstawie logów z routera zidentyfikować Abdenago. Wobec tylu dowodów, wÅ‚Ä…cznie z bardzo precyzyjnymi raportami EtherPeek z Macintosha, prokurator zezwala na rewizjÄ™.

Niebawem agenci FBI wkraczają do domu Abdenago i konfiskują komputer. Twardy dysk ujawnia szczegóły. Abdenago usiłował się zabezpieczyć i kasował wszelkie pliki mogące zdradzić jego nocne wyprawy. Martwi go, gdy się okazuje, że FBI potrafi odczytywać dane z twardych dysków nawet po ich wymazaniu i kilkakrotnym zapisaniu w to miejsce innych. Wkrótce w laboratorium zostają odkryte wszystkie szczegóły eskapad, łącznie z włamaniem do dużego banku.

Megabajty obciążajÄ…cych danych sÄ… wystarczajÄ…cym dowodem, by oskarżyć Abdenago o przestÄ™pstwa komputerowe z co najmniej kilku paragrafów. Na jego nieszczęście sÄ™dzina przydzielona do tej sprawy jest znana z nieustÄ™pliwego stanowiska wobec przestÄ™pców komputerowych. Za radÄ… adwokata Abdenago przyznaje siÄ™ do winy, chociaż jak wielu przekraczajÄ…cych granice prawa hakerów utrzymuje, że jego postÄ™powanie – kosztujÄ…ce samÄ… tylko Refrigerators R Us tysiÄ…ce dolarów – byÅ‚o tylko żartem. Skazany na dwa lata wiÄ™zienia Abdenago odsiaduje teraz wyrok.

SÅ‚owniczek

 

Abdenago – biblijny Izraelita przetrzymywany w niewoli babiloÅ„skiej, który pokonaÅ‚ zaporÄ™ ogniowÄ… i przeżyÅ‚.

ACK – patrz wyżej.

Demon – automatycznie uruchamiany użytkowy program komputerowy pracujÄ…cy w tle.

Dogberry – policjant ze sztuki Williama Shakespeare’a Wiele haÅ‚asu o nic.

FIN – patrz wyżej.

FTP – powszechnie stosowany protokół oraz nazwa programu do przesyÅ‚ania plików w Internecie.

Interpreter poleceÅ„ – powÅ‚oka programowa tworzÄ…ca interfejs pomiÄ™dzy użytkownikiem a systemem operacyjnym komputera.

IP – protokół niskiego poziomu do przesyÅ‚ania pakietów w Internecie.

ISP – dostawca usÅ‚ug internetowych.

Konie trojaÅ„skie – programy instalowane przez hakera w celu ukrycia jego aktywnoÅ›ci w systemie.

Root – najwyższy poziom uprzywilejowania w komputerach z systemem Unix.

Liczba synchronizacyjna – numer sÅ‚użący do koordynacji kolejno nadchodzÄ…cych pakietów transmisji IP.

Monitor – program rejestrujÄ…cy wewnÄ™trznÄ… i sieciowÄ… aktywność komputera.

Monitor klawiaturowy – program rejestrujÄ…cy wszelkie teksty wprowadzane za pomocÄ… klawiatury.

OgÅ‚upianie IP – patrz wyżej.

Port – poÅ‚Ä…czenie lub kanaÅ‚ dostÄ™pu do komputera.

PrzepeÅ‚nianie buforów – patrz wyżej.

RAM – pamięć operacyjna.

RST – patrz wyżej.

Skaner – program usiÅ‚ujÄ…cy wykryć sÅ‚abe strony komputera ofiary przez wielokrotne wysyÅ‚anie rozmaitych pytaÅ„.

SYN – patrz wyżej.

TCP – protokół transmisji umożliwiajÄ…cy wysyÅ‚anie i otrzymywanie plików Internetem.

Telefoniczny wojownik – program, który automatycznie Å‚Ä…czy siÄ™ przez modem z numerami telefonicznymi z podanego zakresu.

Telnet – komenda systemu Unix pozwalajÄ…ca na zdalne rejestrowanie siÄ™ na innych komputerach.

Tylne drzwi – metoda wchodzenia do komputera z pominiÄ™ciem standardowych procedur bezpieczeÅ„stwa.

Unix – rozbudowany system operacyjny.

Zapora ogniowa – silne programy obronne blokujÄ…ce dostÄ™p intruzów.

Zrzut pamiÄ™ci – ilustracja powyżej.

 

Literatura uzupełniająca

 

ESSENTIAL SYSTEM ADMINISTRATION. Wyd. II. _len Frisch; O’Reilly & Associates, Sebastopol, Calif., 1995.

INTERNET FIREWALLS AND NETWORK SECURITY. Wyd. II. Chris Hare i Karanjit Siyan; New Riders Publishing, Indianapolis, 1996.

MAXIMUM SECURITY: A HACKER’S GUIDE TO PROTECTING YOUR INTERNET SITE AND NETWORK. Praca anonimowa; Sams Publishing, Indianapolis, 1997.

THE GIANT BLACK BOOK OF COMPUTER VIRUSES. Wyd. II. Mark Ludwig; American Eagle Publications, Show Low, Ariz., 1998.

Dodatkowe informacje można znaleźć w sieci WWW pod adresami http://www.geek-girl.com/bugtraq, http://ntbugtraq.ntadvice.com/, http://rootshell.com/ i http://www.happyhacker.org/.

Szczegóły dotyczące programów EtherPeek oraz T-sight można znaleźć odpowiednio w witrynach http://www.aggroup.com/ i http://www.engarde.com/.

 

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.