Zawód: cracker na pełnym etacie

Około 20 eurocentów za komputer na jeden dzień to podstawowa stawka za wynajęcie sieci botnet. Ceny opracowania dedykowanych do ataku na konkretny system koni trojańskich zaczynają się od 1000 USD. Ile zaś można zaoszczędzić na systemie zabezpieczeń?

Około 20 eurocentów za komputer na jeden dzień to podstawowa stawka za wynajęcie sieci botnet. Ceny opracowania dedykowanych do ataku na konkretny system koni trojańskich zaczynają się od 1000 USD. Ile zaś można zaoszczędzić na systemie zabezpieczeń?

Wbrew powszechnemu mniemaniu zostać włamywaczem komputerowym wcale nie jest tak trudno. Administratorzy i specjaliści zajmujący się bezpieczeństwem muszą posiadać bardzo szeroką wiedzę dotyczącą instalacji, utrzymania systemów IT, procedur i przepisów, aż do umiejętności zapewnienia najlepszego, możliwego w danych warunkach bezpieczeństwa. Są oni jednocześnie ograniczeni przez zależności służbowe i niejednokrotnie sprzeczne wymagania szefów. Natomiast włamywacz nie ma takich ograniczeń. Musi oczywiście posiadać pewną wiedzę, ale może się skoncentrować tylko na tym, co jest mu potrzebne, czyli lukach i narzędziach umożliwiających ich wykorzystanie.

W wielu wypadkach znajomość zasad działania systemu wcale nie jest potrzebna włamywaczowi do skutecznego ataku - wystarczy wiedza, jakie narzędzia można wykorzystać do jego skutecznego przeprowadzenia. Szczególnie dotyczy to ataków odmowy obsługi DoS (Denial of Service), które wykorzystują standardowe połączenia lub zapytania do serwisu. Różnica między normalnym użytkownikiem tych serwisów a crackerem atakującym serwer polega tylko na organizacji i skali tych połączeń.

Dzieciaki i skrypty

Najczęstszym typem włamywacza komputerowego był dotąd ktoś wykorzystujący gotowe narzędzia - takich ludzi i ich ataki popularnie nazywa się "script kiddies". Wystarczy wybrać jakieś dostępne w Internecie oprogramowanie, zainstalować, wybrać cel i zaatakować. Za ok. 200 USD można kupić gotowy zestaw bardzo dobrych narzędzi napisanych specjalnie w tym celu. Nieco gorsze, ale również skuteczne narzędzia można mieć za darmo.

W Internecie jest swoista giełda, gdzie towarem są gotowe eksploity przeznaczone do realizacji ataków. Najczęstszym ich celem są najpopularniejsze lub najważniejsze w sieci systemy i aplikacje. W przypadku systemów operacyjnych są to Linux i Windows (właśnie w tej kolejności, bowiem większość serwisów internetowych pracuje właśnie pod kontrolą Linuxa lub którejś z wersji Unixa). Celem ataków są często niepoprawnie skonfigurowane i nieaktualizowane serwery internetowe Apache, Microsoft IIS, a także produkty wykorzystujące współdzielone biblioteki, takie jak OpenSSL. Ataki kierowane przeciw maszynom z Windows są często stosowane do zdobywania kontroli nad dużą liczbą stacji roboczych i domowych komputerów, by tworzyć tzw. sieci botów, czyli komputerów, które mogą później wykonywać polecenia przesłane zdalnie przez włamywacza. Osobną grupą eksploitów są aplikacje przeznaczone do przełamywania niedostatecznie zabezpieczonych aplikacji webowych, zwłaszcza forów internetowych. Włamanie na popularne forum od razu podnosi "ranking" crackera.

Włamywacze, nazywani popularnie "czarnymi kapeluszami", tworzą nie tylko sprawną giełdę pomysłów, ale mają także doskonale zorganizowany obieg informacji. Dlatego nie można liczyć na to, że informacja o luce w zabezpieczeniach danego typu oprogramowania pozostanie w tajemnicy. Gdy do tego dodać łatwość zdobycia gotowego eksploita, wiadomo dlaczego tak wiele ataków dokonują ludzie, którzy nie są specjalistami, a ich wiedza nie wykracza poza umiejętność instalacji gotowego oprogramowania. Ponadto uzyskanie "sławy" i stanie się "legendą" włamań wymaga znacznie mniejszych umiejętności niż w przypadku sukcesu przy zwykłym programowaniu. Czasami wystarczy umiejętnie zorganizować ataki, korzystając z gotowych lub minimalnie zmodyfikowanych narzędzi przy odrobinie wsparcia socjotechniką. W pewnych przypadkach liczy się także cierpliwość - zdobywanie kolejnych łatwych celów, by wykazać się liczbą sukcesów.

Narzędzia szyte na miarę

Tam, gdzie kończą się pomysły amatorów masowych włamań przy użyciu powszechnie dostępnych skryptów, znajduje się miejsce na ataki kierowane przeciw konkretnemu celowi. Bardzo często dotyczy to byłych pracowników, którzy kierowani zemstą chcą zaszkodzić firmie, która w ich mniemaniu postąpiła z nimi nieuczciwie. Oczywiście typowe narzędzia mają małe szanse na sukces w starciu z zaawansowanymi i dobrze zarządzanymi systemami zabezpieczeń, oprogramowaniem antywirusowym, zaporami itd. Dlatego receptą na udany atak jest w tym przypadku zamówienie gotowego programu kierowanego przeciw określonemu produktowi antywirusowemu i innym, znanym zabezpieczeniom wykorzystywanym w systemie. Koszty pozyskania takiego narzędzia zawierają się w przedziale od tysiąca do kilku tysięcy dolarów. Za takie pieniądze można kupić dedykowane oprogramowanie będące koniem trojańskim skierowanym przeciw konkretnej firmie i umożliwiającym kradzież lub modyfikację danych. W wypadku systemów korporacyjnych nie zawsze włamanie się uda, ale jeśli chodzi o małe lub średnie firmy prawdopodobieństwo sukcesu jest bardzo duże, gdyż poziom ich zabezpieczeń z reguły nie jest zbyt wysoki.

Domena z ograniczonym dostępem

F-Secure zaproponowała, by organizacja ICANN (Internet Corporation for Assigned Names and Numbers), czyli organ mający prawo do tworzenia domen najwyższego poziomu, rozważyła możliwość wprowadzenia nowych domen dostępnych wyłącznie dla autoryzowanych instytucji finansowych, np. takich jak bank.

Dziś każdy może zarejestrować domenę za równowartość zaledwie ok. 5 USD, a większość banków działa pod typowymi domenami .com lub nazwami właściwymi dla krajów, jak .pl, .fi, .de, .co, .uk itd. W efekcie łatwo utworzyć strony WWW wyglądające na autentyczne i podobne do istniejących domen bankowych, które stają się w ten sposób łatwym celem dla oszustów.

Nowe domeny mogłyby być rejestrowane wyłącznie przez organizacje finansowe, których autentyczność nie budzi wątpliwości, a jej koszty byłyby odpowiednio wysokie - nie pięć, a np. 50 tys. USD. Tego typu bariery mogłyby potencjalnie znacznie osłabić skuteczność ataków phishingowych.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200