Metody hakerskiego ataku - bez "gołych bab i wybuchów"
-
- Łukasz Bigo,
- 28.02.2006, godz. 09:54
Jak się bronić? Choć istnieją aplikacje, które wykrywają rootkity, nie polecamy ich stosowania mniej zaawansowanym użytkownikom (mówimy szczególnie o systemach Windows). Często zgłaszają fałszywe alarmy, czasami też mogą nie wykryć prawdziwe szkodliwych aplikacji. Czy zatem użytkownicy powinni żyć w strachu? Zdecydowanie nie - rootkity stały się bardzo popularne, ale ich napisanie wymaga sporych umiejętności programistycznych. Do tego jeszcze dochodzi dystrybucja (czy rootkit ma być podczepiony do wirusa? spyware'u? "legalnej" aplikacji?). To wszystko sprawia, że tak naprawdę rootkitów powinni bać się właściciele serwerów i maszyn non-stop podpiętych do Internetu, ze stałym adresem IP. Pozostali powinni zachować zdrowy rozsądek i nie instalować czego popadnie.
PC World Komputer Online: Przeszedłeś do historii jako jeden z największych hakerów. Jak Ci się podoba Twoje nowe życie? Jakie teraz stoją przed Tobą wyzwania?
Kevin Mitnick: Jednym z elementów zajmowania się hakerstwem jest dreszcz emocji związany z faktem, że trafiamy do miejsc, w których nie powinno nas być. Jesteśmy nieco podstępni, ale nasze działania przypominają trochę poszukiwanie skarbów. W obecnej pracy nie ma miejsca na tego typu odczucia. Pisanie jednak sprawia mi ogromną przyjemność i nawet pracuję już nad kolejną książką. Prawdopodobnie uzupełnię też zawartość "Sztuki Podstępu", która zostanie wydana również w miękkiej oprawie. Aktualne wydanie książki w USA zostało wydrukowane w twardej oprawie - tutaj [w Polsce] książka została wydana w obu.
W przeszłości byłem osobą, która z niezwykłą łatwością znajdowała sposoby na penetrację systemów komputerowych, manipulowanie technologią oraz znajdowanie dziur w oprogramowaniu. Znałem również techniki zwodzenia ludzi, które pozwalały mi dostać się do ich systemów...
Dalsza część wywiadu w artykule "Hakujcie dla sportu!".
Socjotechnika to jeden z ciekawszych i bardzo trudnych do wykonania ataków, rozsławiony czynami Mitnicka. Praktycznie wszystkim młodocianym "hakerom" wydaje się, że byliby doskonałymi socjotechnikami, zwykle jednak posługują się od zawsze tymi samymi, oklepanymi sztuczkami.
Socjotechnika bowiem ma przekonać kogos do naszych racji nie wywołując jego podejrzeń - a to da się zrobić tylko wtedy, gdy metoda nie jest zbyt popularna. Sposoby na dzwonienie do firmy, podawanie się za administratora i wymuszanie haseł rzadko funkcjonują w rzeczywistości, a w dodatku zostają w pamięci tych, na których oszukaniu nam zależało.
Trzeba wszak przyznać, że przestępcy stosujący phishing (jedna z metod socjotechnicznych) reagują na kolejne zabezpieczenia z niebywałą wprost pomysłowością: dodają do e-maili sygnatury informujące o niebezpiecznych wiadomościach (patrz: "Phisherzy coraz bardziej bezczelni"). Co gorsza, jest ich coraz więcej: w lutym bieżącego roku Websense donosiło, że w Internecie jest już 27 tysięcy phisherskich witryn (patrz też: "15 milionów powodów, aby uważać w Internecie").
Jak się bronić? Odpowiedź jest bardzo prosta: nie ufać obcym. Jeśli mają pilny interes, niech skorzystają z tradycyjnej poczty albo pofatygują się osobiście.
Trash-diving
Jedna z ciekawych, bardzo awanturniczych metod polowania na dane innych użytkowników. Polega na zupełnym odrzuceniu komputera, przebraniu się w łachy nędzarza i... grzebania w śmieciach. Na pierwszy rzut oka technika jest bardzo prosta, jednak rzadko daje się ją zastosować wobec dużych firm software'owych. Przewidziały one ewentualne problemy, zamykają i każą ochronie pilnować smietników czy najmują firmy do niszczenia odpadów.
Jak się bronić? Nie zapisywać istotnych danych na nieulotnych nośnikach (kartki papieru, wydruki). Albo w ogóle nie zapisywać haseł.
Zakończenie
Zatrzymajmy się teraz na chwilę i spróbujmy objąć cały narysowany tu obraz. Niemal od razu widać, że cyberprzestępcy wcale nie są pomysłowi. Stosują te same, znane od tysięcy lat metody: oszukują, podają się za kogoś innego, lawirują, badają nas bez naszej wiedzy... Chcą nam, dranie, zatrute ogórki wcisnąć.
