Głód sławy i schemat działania

Środowisko hakerskie jak żadne inne lubi się chwalić swoimi dokonaniami. Bez względu na to jakie pobudki nimi kierują - chęć zysku czy też udowodnienie sobie czegoś - prawie każdy chce pochwalić się swoim osiągnięciem. Wśród hakerów na szacunek trzeba sobie zasłużyć, a powiększanie listy dokonań temu sprzyja.

Poza tym hakerzy bardzo przywiązują się do swoich pseudonimów. A grupy do swoich nazw. Dzięki tej stałości wiemy o historycznych już grupach 414 czy Legion of Doom oraz w dalszym ciągu działającej Cult of the dead cow. Nie zaszkodzi zatem obserwowanie forów (np.http://www.hackerthreads.org ), list dyskusyjnych (np. alt.2600), czy wszelkiej maści serwisów (np. www.zone-h.org). Może zaraz po włamaniu sprawca sam się przedstawi gdzieś w Internecie, a wtedy będzie trochę łatwiej.

Zbyt mocno jednak na to nie liczmy. Nie jest możliwe monitorowanie wszystkich miejsc, a poza tym takie "newsy" padają na utajnionych kanałach IRC, a spora część śmietanki korzysta z wciąż niezbyt rozpowszechnionego protokołu IPv6. Niektóre fora lub kanały IRC wymagają łączenia się właśnie z adresem IPv6. Mówiąc o IRC, warto tylko zauważyć, że jest to statystycznie najczęściej używane miejsce spotkań, wymiany doświadczeń i chwalenia się osiągnięciami przez włamywaczy, bo zapewniają sporą anonimowość. Właśnie w taki sposób komunikował się Condor (Kevin Mitnick).

Jeżeli po incydencie audytorzy dokładnie prześledzą scenariusz ataku i powiążą różne zdarzenia z przeszłości, możemy na pierwszy rzut oka stwierdzić, z jakiego typu osobą mamy do czynienia. Podstawową różnicą między czasami historycznymi (lata 70., początek 80. ubiegłego wieku), a chwilą obecną jest wiek włamywaczy. Dawniej, z racji słabej dostępności sprzętu i oprogramowania haking był domeną osób starszych, skupionych wokół ośrodków naukowych. Z biegiem czasu średnia wieku malała. Teraz 12-latek zmieniający treść korporacyjnego serwisu WWW to żadna nowość.

Jeżeli okazuje się, że atak nastąpił znienacka, trwał dość krótko, był chaotyczny i niezbyt przemyślany, to możemy domyślać się, że sprawcą był właśnie taki młody człowiek. Brak mu cierpliwości, nie lubi szczegółowo planować działania, nie liczy się z konsekwencjami. Być może to script kiddie, który nie zna rzemiosła, a posługuje się gotowymi generatorami i "odpala" typowe exploity (np. z Metasploita) w kierunku każdego napotkanego systemu.

Inaczej ma się sytuacja, kiedy atak był tylko ostateczną fazą operacji. Wcześniej zapewne poprzedzały go liczne, rozciągnięte w czasie skanowania, próby mapowania sieci, szukanie specyficznych platform czy oprogramowania. Być może większość działań prowadzona była w nocy, co zwracało niewielką uwagę, a ślady wizyt starannie zacierano. Dodatkowo każde wejście odbywało się z innego adresu IP, utrudniając korelację. W takim przypadku najprawdopodobniej zaatakowała albo zorganizowana grupa działająca w ściśle określonym celu według szczegółowego planu, albo doświadczony pojedynczy profesjonalista znający się na rzeczy (stąd cierpliwość i metodyczność).

Wspominaliśmy wcześniej o swoistym ekshibicjonizmie i przywiązaniu do pewnych schematów. Niezbyt często, ale jednak zdarza się, że po włamaniu haker zostawia wizytówkę: w postaci logo, podpisu w pliku itp. Daje nam to możliwość prześledzenia działalności takiej osoby w przeszłości, kiedy atakowani byli inni, co prowadzi do poszerzenia wiedzy. Co więcej, wizytówką taką może być sam sposób włamania (podobnie profiluje się np. seryjnych zabójców) - szybkość działania, wykonywane kolejno kroki, użyte narzędzia maskujące, może charakterystyczne rootkity itp.

Sprawca zostawia po sobie często więcej śladów, niż by sobie tego świadomie życzył. Weźmy np. wspomnianą wcześniej podmianę treści serwisu WWW. Wszyscy wiemy, że ciekawość jest pierwszym stopniem do piekła. A jednak wiedza ta nie powstrzymuje nas przed wkładaniem palców między drzwi. Haker też pewnie będzie chciał obejrzeć swoje dzieło (podpalacze czy zabójcy często wracają na miejsce przestępstwa lub uczestniczą w pogrzebach swoich ofiar).

Mało tego. Przed samym atakiem pewnie chciał sprawdzić, jak wygląda oryginał. Zatem istnieje spora szansa, że jednym z pierwszych odwiedzających zmieniony serwis będzie sam "moderator". Cały czas szukajmy cech unikatowych, czegoś co wyróżni osobnika w całej masie eksploratorów.

Trzymając się dalej tego przykładu - zwróćmy uwagę na zmienione informacje. Przeważnie przybierają one formę różnych uzewnętrznień typu często obraźliwych, np. jak to miało miejsce podczas włamań na strony TP SA. Jak każde słowo pisane, tak i ta twórczość daje nam pogląd na wiele cech włamywacza. Może składnia, dobór słów, błędy ortograficzne, regionalizmy wskażą na to skąd jest ów osobnik.

Dalej - możemy wykorzystać wyszukiwarki do znalezienia fragmentów tekstu użytego na stronie. Może w ten sposób znajdziemy forum, na którym udziela się osoba posługująca się podobnym sposobem formułowania myśli. Stąd tylko krok do wyciągnięcia innych wniosków ułatwiających namierzenie informacji: ukończone studia, przynależność do klubu sportowego itp. Może podczas przeczesywania Internetu poznamy inne ofiary ataków o podobnym przebiegu, z którymi warto się skontaktować w celu wymiany informacji. To tylko przykłady, które można mnożyć. Łatwo więc zauważyć, że skupianie się tylko i wyłącznie na technicznych aspektach wtargnięć okazuje się niewystarczające. Trzeba wykazać się znajomością natury ludzkiej i zachowań, które ułatwiają powiązanie czynów z osobą i zrozumienie motywów. Dobrze jest więc pamiętać, że haker też człowiek, który ma własne sprawy, zainteresowania i życie w tzw. realu.

Zawsze tam gdzie ty

Mówiąc o profilowaniu hakerów, nie można dokonywać trafnych typowań, nie obcując z ich światem. Haking to nie tylko zestaw umiejętności niezbędnych do pokonania zabezpieczeń, to często styl życia, który pociąga za sobą bywanie w określonych miejscach, posługiwanie się żargonem, wspólne dla grupy zainteresowania, czasem nawet styl ubierania. Elementów tych nie da się dostrzec, siedząc wygodnie w domu i oglądając filmy o hakerach.

Nie trzeba od razu być prawdziwym hakerem, ale zdecydowanie trzeba poznać ich kulturę. Gdzie można znaleźć ludzi interesujących się bezpieczeństwem systemów komputerowych? Oczywiście na wszelkich konferencjach branżowych (i nie chodzi o stricte komercyjne pokazy zachwalające produkty firm A, B lub C).

Większość takich imprez odbywa się w USA. Prym wiedzie DefCon (www.defcon.org), organizowana w tym roku już po raz 14. Mieszają się tu hakerzy, przedstawiciele agencji rządowych, entuzjaści komputerowi z całego świata. To znakomite miejsce na naukę, poznawanie właściwych ludzi, no i obserwowanie. W tym roku konferencja ta odbędzie się w dniach 4-6 sierpnia w Las Vegas (USA). Nikogo nie dziwi obecność przedstawicieli władz. To oni przede wszystkim muszą dobrze orientować się w środowisku. W ten sposób łatwiej będzie im dotrzeć do poszukiwanych osób, łatwiejsza będzie ich identyfikacja. Oczywiście nie znaczy to, że DefCon to zlot przestępców. Absolutnie nie. Zdarza się jednak (jak w "Gwiezdnych wojnach"), że tzw. white hat zostanie skuszony przez ciemną stronę mocy.

DefCon to nie jedyny punkt na mapie miejsc do odwiedzenia. Warto również zainteresować się innymi wydarzeniami, jak np. Recon w Montrealu (Kanada), PhreakNIC w Nashville (USA), ChaosCON w Berlinie (Niemcy). Są też spotkania, na które trudno się dostać, gdyż goście poddawani są selekcji - muszą dostać zaproszenia. Taką konferencją jest np. Ph-Neutral. Poza tym organizowane są zgrupowania poszczególnych klanów - o nich wiadomo niewiele. Informacje tam przekazywane często znajdują odzwierciedlenie w atakach pojawiających się w ciągu kilku następnych miesięcy.

Starając się zrozumieć hakerów, należy dołożyć wszelkich starań i poznać ich metody działania. Wystarczy rzut oka na ostatnią agendę DefCon, a wiemy co jest na tapecie, jakie informacje należy zgromadzić i czego powoli się uczyć. Pytanie tylko, gdzie biegnie cienka granica oddzielająca myśliwego od zwierzyny? Czy w pojedynku na umiejętności i spryt kolor kapelusza czasem nie ulegnie zmianie?