Nie tylko początkujący włamywacze mogą zaopatrzyć się w takie narzędzia. Dla bardziej zaawansowanych są gotowe do użycia środowiska (choćby skrypty do doskonałego narzędzia Metasploit, ale nie tylko), które znacząco pomagają w organizacji ataków. Wiele z tych narzędzi jest pochodzenia rosyjskiego, zatem znajomość języka naszych wschodnich sąsiadów może bardzo ułatwić zdobycie potrzebnych informacji.

Za atakami coraz częściej stoją jednak obecnie cyberprzestępcy, którzy zamiast pracowicie włamywać się do komputerów domowych lub innych maszyn powszechnie dostępnych przez Internet, mogą wynająć sieci maszyn (botnet) uprzednio przejętych przez innych włamywaczy. Botnety umożliwiają bardzo łatwe organizowanie ataków odmowy obsługi, rozsyłanie spamu, względnie innych masowych działań, gdzie liczy się skala ataku. Oprócz tego sieci takie można wykorzystać do łamania zabezpieczeń kryptograficznych.

Wynajęcie zasobów znacząco ułatwia zorganizowanie ataku, ale ma też swoją cenę. Stawki oscylują w okolicach 20 eurocentów za komputer i dzień, choć zgodnie z typowymi zasadami biznesowymi, przy dużych zamówieniach stawka spada. Klient często jako bonus dostaje też aktualizowaną listę adresów mailowych. Specjaliści zajmujący się tworzeniem, zarządzaniem i organizacją sprzedaży sieci botnet dbają o ciągłe dostawy nowych przejmowanych węzłów, zwiększając liczbę dostępnych komputerów i uzupełniając te, które zostały wyeliminowane z sieci, a luki w źle zabezpieczonych komputerach z systemem Windows znacząco im w tym pomagają.

Zastawianie sieci

Najpoważniejszą luką w bezpieczeństwie domowych systemów Windows jest obecnie przeglądarka Internet Explorer. Włamywacze doskonale o tym wiedzą i na wielu stronach WWW instalują złośliwe oprogramowanie, które zaraża komputery, jeśli tylko ich użytkownik na takie strony wejdzie. Według niektórych ocen aż 10% ogółu stron WWW zawiera jakieś szkodliwe elementy.

Jest to tak skuteczna metoda "połowu" komputerów do sieci botów, że twórcy oprogramowania antywirusowego zaczęli skanować Internet w poszukiwaniu serwerów rozsiewających złośliwe oprogramowanie. Nawet jeśli crackerzy korzystają w tym celu z opanowanych cudzych serwerów WWW, automaty skanujące (zwane spiderami) dość szybko potrafią takie strony wyizolować i sygnatury właściwe dla stosowanych skryptów są bardzo prędko dodawane do baz z informacjami dla programów chroniących system klienta, a dokładniej dziurawą przeglądarkę. Ale włamywacze nawet na tak zaawansowane techniki analizy znaleźli sposób, w Internecie dostępna jest bowiem regularnie aktualizowana lista adresów IP wykorzystywanych przez skanery szukające złośliwych stron. Jeśli więc spider zaczyna badać serwer WWW, to cracker może mu przedstawić wersję strony pozbawioną złośliwego kodu.

Czasami włamywacze stosują metody pozbawione sztuczek programistycznych i bazują tylko na socjotechnice. Odsetek udanych ataków jest wówczas znacznie mniejszy, ale z powodzeniem wystarczy na godziwy zarobek w stosunku do włożonej pracy.

Kasa jest najważniejsza

Epoka włamywacza komputerowego pokonującego wyrafinowane zabezpieczenia dla własnej satysfakcji w zasadzie ma się ku końcowi. Obecnie liczą się działania związane z pozyskiwaniem pieniędzy na drodze cyberprzestępstw. Zatem najpoważniejszą różnicą między atakami amatorów i zawodowców jest to, że ci ostatni dążą do sprzedania pozyskanych danych. O ile dane dotyczące kart kredytowych to oczywisty możliwy do wykorzystania łup, mało ludzi zastanawia się, że równie dobre zyski można czerpać ze sprzedaży danych osobowych, które wraz z informacjami o numerach niektórych dokumentów osobistych umożliwiają założenie konta bankowego i uzyskanie kredytu. Za numery karty kredytowej dające możliwość zrobienia drobnych zakupów można uzyskać co najmniej 30 USD, gdy zaś są to dane zawierające także PIN, ich cena osiąga nawet 500 USD. Na każde dane osobowe znajdzie się nabywca, nie tylko te związane z kartami bankowymi, mogą to być dane ubezpieczeniowe, informacje o dokumentach itd.

Włamywacz, który podchodzi do swoich działań czysto komercyjnie, z reguły inwestuje w odpowiednie narzędzia, wynajmuje sieć botów itd., a więc poświęca sporo pracy, czasu i pieniędzy na przygotowanie ataków. Nie zawsze musi to być kradzież danych, bo łatwiej przeprowadzić atak odmowy obsługi, który może zostać wykorzystany komercyjnie. Jest to jeden z najprostszych do wykonania ataków w ogóle. Narzędzia są łatwo dostępne, proste w instalacji, zaś w wielu przypadkach kilka szybkich łączy wraz z przejętymi komputerami potrafi unieruchomić nawet dość duży serwer. Gdy najprostsze środki zawodzą, istotna staje się skala ataku. W sieci można znaleźć gotowe zestawy zdalnie zarządzanych pakietów przeznaczonych do szybkiej instalacji na przejętych komputerach tworzących botnet. Wystarczy wtedy wydać odpowiednie polecenie i cała sieć atakuje wybrany cel. Im większa skala, tym skuteczniejszy atak. Najsłynniejszym ostatnio atakiem w Polsce był DDoS z 30 listopada ub.r. skierowany przeciw serwerom z domeny gazeta.pl i wykorzystujący około 60 tys. komputerów.

Oczywiście prawie przeciw każdemu atakowi można wykorzystać jakiś mechanizm obronny. Najczęściej stosowana jest opcja TCP Syn-cookies (http://cr.yp.to/syncookies.html ) obecna od dawna w systemach takich jak Linux czy BSD. Do pewnego stopnia umożliwia ona przeciwdziałanie atakom DDoS, ale ma też swoje wady. Wykorzystywane przez nią statyczne ustawienie twardych limitów zapobiega jedynie przeciążeniu maszyny i odcina od niej sieci botów za NAT-em. Lepsze są systemy stosujące ustawienia dynamiczne - spotkałem m.in. rozwiązanie wykorzystujące program snort z bazą MySQL, który sterował ustawieniami zapory iptables w systemie Linux. Również opcje dostępne w komercyjnych rozwiązaniach (zapory, IPS lub akceleratory WWW) są najczęściej bardziej efektywne, bo potrafią z dużym prawdopodobieństwem odsiać komputery wykorzystywane przez napastników. Ich zaletami są także wydajność, względnie wysoki poziom automatyzacji, mechanizmy selektywnej ochrony oraz z reguły bardzo dobre systemy bazujące na sygnaturach i statystykach.