Z perspektywy napastnika
-
- Adam E. Patkowski,
- 01.06.2001
Warto rozważyć, co może budzić zainteresowanie w sieci komputerowej i jakimi środkami będą prowadzone próby osiągnięcia celów:
1. Pole do czystej destrukcji - dla twórców złośliwych wirusów i robaków komputerowych;
2. Pole do popisu dla włamywaczy komputerowych - można uznać, że chodzi im o pokazanie się, chociaż przy okazji dopuszczają pewne zniszczenia; w tym polu leżą głównie ataki na strony WWW;
3. Niektóre funkcje komputerów w sieci - sparaliżowanie wybranych funkcji może być jedynym celem ataku, jeśli sieć stanowi podstawowe narzędzie atakowanej organizacji; w innym przypadku porażenie niektórych funkcji może zapewnić powodzenie ataku kombinowanego: np. uniemożliwić kontakt z pewnymi komputerami dla weryfikacji pokrycia czeku albo przekierować pakiety pod pożądany adres dzięki zmianie routingu lub oszukaniu DNS, co może być pierwszym krokiem w ataku man-in-the-middle;
4. Funkcje głównych aplikacji - wprowadzenie zmian zachowania się komputerów, zapewniające korzystne zachowanie się w przyszłości, w tym łatwe uzyskanie dostępu (back doors) lub np. systematyczne przelewanie drobnych kwot na wybrane konta;
5. Informacje, które można natychmiast sprzedać: np. bazy danych adresowych (zwykle klientów); w praktyce te informacje są sprzedawane przez pracowników firmy - ich kradzież to zatem tzw. atak wewnętrzny;
6. Informacje księgowe i finansowe - do wykorzystania przez konkurencję lub pozwalające np. wnioskować o kondycji spółki i jej przyszłych notowaniach giełdowych; te informacje interesują szpiegów gospodarczych;
7. Informacje nie uznawane za tajne, ale trudno osiągalne, zwykle do użytku wewnętrznego - niezbędne do stworzenia pozorów dobrego poinformowania dla skutecznego użycia technik dezinformacji (przekazuje się jedną fałszywą informację wśród wielu prawdziwych lub podaje taki zestaw prawdziwych informacji, które doprowadzą do fałszywych wniosków) przy kombinowanym ataku medialnym; atak może zmierzać do wymuszenia zmian wyższego personelu menedżerskiego - w szczególności w czasie walki konkurencyjnej o duże kontrakty; może również zostać użyty w grze politycznej;
8. Informacje o wysokości zarobków i gratyfikacji wyższego personelu menedżerskiego - do wykorzystania w celu sprowokowania niezadowolenia załogi i obniżenia konkurencyjności firmy;
9. Niezwykle cenne informacje (zwykle dobrze strzeżone) o krótkim okresie ważności, pozwalające na osiągnięcie natychmiastowych korzyści, np.:
10. Drobne informacje rozstrzygające hipotezy - jawne, ale powalające odrzucić lub potwierdzić hipotezy sformułowane technikami białego wywiadu;
11. Informacje wspomagające atak terrorystyczny lub rabunkowy: pozwalające określić planowane miejsca pobytu VIPów (Very Important Persons) lub trasy cennych ładunków;
12. Ślad przeglądania stron WWW (głównie przez VIPów) - pozwala określić ich preferencje, co może być przydatne w negocjacjach lub wyborze środków nacisku;
13. Dodatkowo włamania (lub wykorzystanie złej konfiguracji ustawień dostępu) do central telefonicznych - umożliwiające dostęp do danych taryfikacyjnych, pozwalają na badanie reakcji: zmiany ruchu telefonicznego w odpowiedzi na informacje o istotnych zdarzeniach, i w rezultacie np. ocenę stopnia zaangażowania organizacji i możliwe strategie reakcji; jest to raczej tzw. phreaking niż atak sieciowy.
Podobnie jak script kiddies, tak i hakerzy, działający tylko dla rozgłosu, nie są specjalnie groźni, chociaż mogą dotkliwie zranić miłość własną osób odpowiedzialnych za bezpieczeństwo sieci. W skrajnym przypadku mogą nieco poderwać zaufanie do firmy. Znacznie groźniejsi są hakerzy o innych motywacjach: działający głównie dla pieniędzy. Wtedy jednak rzadko nazywa się ich hakerami, lecz kwalifikuje się według przestępstwa, jakie popełniają. W tym przypadku mowa będzie raczej o szpiegach lub terrorystach, rzadziej złodziejach informacji. Takim typom zwykle nie zależy na rozgłosie - wręcz przeciwnie.
Twórcy wirusów kierują się inną motywacją niż hakerzy, zapewne jednak nie mniej pokrętną. Bywają wśród nich nieźli programiści, chociaż należy się spodziewać, że zawodowi specjaliści od oprogramowania niskopoziomowego, należycie opłacani, odnieśliby na polu wirusów znacznie większe sukcesy. Przypomnieć warto, że szkolna definicja wirusa mówi: "jest to fragment wykonywalnego kodu, niezdolnego do samodzielnego istnienia i obdarzonego zdolnością do rozmnażania się" (kody powielające się i zdolne do samodzielnego istnienia to robaki - worms). Na podkreślenie zasługuje fakt, że wszelkie dodatkowe funkcje wirusa, w tym destrukcyjne, nie są dla definicji istotne. Nieistotna jest również zdolność do lawinowego powielania się. Z punktu widzenia zagrożeń dla systemów komputerowych wirusy należy traktować jako najczęstszą formę manifestacji tzw. koni trojańskich. Ich nazwa mówi, oczywiście, sama za siebie - to programy (ogólniej - kody wykonywalne, także wszelkiego rodzaju skrypty) przemycające do systemu komputerowego pewne, zwykle niepożądane funkcje. Dla porządku należy zaznaczyć, że koniem trojańskim staje się zaatakowany przez wirusa program, samego zaś wirusa należałoby raczej porównać do Greka ukrytego wewnątrz konia. Znacznie groźniejsze niż wirusy mogą być inne, mniej popularne rodzaje koni trojańskich. Wirusy są bronią masowego rażenia, zwykle co najwyżej dokonującą pewnych zniszczeń w zaatakowanych systemach.
