Izvor: B92, 13.Feb.2009, 01:37 (ažurirano 02.Apr.2020.)
Sve boje hakerskih šešira (1)
U ovom tekstu prikazaćemo i opisati neke tehnike koje koriste hakeri, bez obzira da li je njihov šešir bele, crne, sive ili neke četvrte boje.
Milan Troskot i Snježana Horvat Kadežabek, VIDI
Reč haker (eng. hacker) danas ima sasvim negativnu konotaciju. No, nije uvek bilo tako. U počecima upotrebe ta reč je bila kompliment. Biti haker značilo je biti osoba izuzetno posvećena učenju o računarima i računarskim sistemima te načinima poboljšanja >> Pročitaj celu vest na sajtu B92 << performansi kompjutera. Dalje, to je značilo biti posebno sposoban i domišljat programer, praktičar, a ne teoretičar. Hakeri su i danas sve to, ali prešli su na "mračnu stranu".
U početku su provale u računare bile zaista bezazlene, a uglavnom se sve svodilo na krađu računarskog vremena. Međutim, provale nisu dugo ostale bezazlene. Povremeno bi se dogodilo da neki manje talentovani haker (iako mislimo da je konstrukcija "manje talentovani haker" kontradikcija), ili barem manje pažljivi, slučajno izazove pad sistema ili gubitak podataka. Onda bi administratori sistema imali manje ili više složen posao. Takvim bi pojedincima uglavnom bio zabranjen pristup računarima ili bi bili ograničeni na najniži nivo pristupa. Naravno, bilo je pitanje principa ponovno provaliti u sistem i potom namerno napraviti štetu.
Kako je broj računara rastao, kako su se primenjivali u sve više područja, i broj namerno ili nenamerno izazvanih "prodora" ili "rušenja" je takođe rastao. Kada bi se to dogodilo nekoj značajnoj instituciji, banci ili nekom važnom subjektu u javnom životu, to je postalo vijest, a mediji su željni vijesti. Ali novinari nisu informatičari i zbog neznanja su pomalo nespretno upotrebili reč haker za počinitelja. Po njima je haker osoba koja provaljuje u računare radi zabave, osvete ili zarade. A mediji su moćni i oblikovali su javno mnjenje i tada, kao što to čine i sada.
Primerenije bi bilo koristiti termin kreker (eng. cracker) ili intruder. Ali to mislimo mi koji ne oblikujemo javno mišljenje, već informatičarsko.
Neki ipak nose bele šešire
Hakeri kriminalci danas mogu upasti na nečiji web server i zamijeniti logo nekom golišavicom, mogu ukrasti broj kreditne kartice koji ste ostavili u nekom online shopu, mogu vas zasipati spam poštom, ubaciti vam trojana ili neki drugi softver koji čita vaše poslovne tajne, plasirati te i druge tajne na Internet" Dakle, napadi se kreću u rasponu od "samo neugodan" do "izuzetno skup".
Da, svaki tehnološki napredak ima i svoju tamnu stranu. Momci na toj tamnoj strani nose crne šešire. I zaista u IT slengu koristi se fraza "black hat" - crni šeširi za loše dečke, odnosno hakere kriminalce. Ali kao u svakom dobrom vesternu, nasuprot Lee Marvinu koji nosi crni šešir, stoji John Wayne s belim šeširom. Fraze su zaista preuzete iz vesterna i danas se etički hakeri nazivaju i belim šeširima (white hat). Etički hakeri su pojedinci koje angažuu kompanije ili institucije da im "upadnu" u njihove računarske mreže, a da pri tom koriste iste metode kao i hakeri s crnim šeširima. Drugim rečima, moraju upasti u nečiju mrežu uz upotrebu svih mogućih i poznatih metoda i tako otkriti sigurnosne slabosti i ranjiva mesta te dati ocenu sigurnosnog stanja. U kazneno-kriminalnoj praksi poznata je premisa: kako biste uspešno lovili lopova, treba razmišljati poput lopova.
Hakovanje je krivično delo u većini zemalja. Međutim, ako se to sprovodi na zahtev korisnika i uz ugovor s etičkim hakerom, onda je to legalno. I još treba naglasiti da bi etički haker trebao da ima certifikat (Certified Ethical Hacker). Tim se certifikatom potvrđuje kako je to dobro obučeni profesionalac iz IT branše koji dobro poznaje računare i računarske mreže te da zna utvrditi slabosti gledajući očima zlonamernog hakera.
Zadnje pravilo koje bi trebalo poštovati - nikako ne angažovati bivšeg, "preobraćenog" ili "reformisanog" hakera, tj. onoga koji je do malopre nosio crni šešir! Mogli biste to postaviti i ovako: da li biste angažovali nekoga s kriminalnim dosijeom provalnika za čuvanje kuće, prodavnice, skladišta...?
Kako rade momci s belim šeširima
Kevin Mitnick
Tokom testiranja neke mreže potrebno je odgovoriti na tri pitanja:
1. Šta bi uljezi mogli videti?
2. Šta bi sve uljezi mogli učiniti s tako prikupljenim informacijama?
3. Je li upad uopšte primećen?
Ali pre nego što krenu u akciju, etički hakeri moraju sklopiti pravno važeći ugovor s naručiocem o usluzi sigurnosnog testiranja. U tom ugovoru treba detaljno ugovoriti vreme, troškove, s kojih adresa će se pokušati pristup tj. upad, moguće posledice... Ovo zadnje je radi zaštite od eventualnog krivičnog gonjenja etičkog hakera jer su metode koje će upotrebiti ilegalne u većini zemlja. A predznanje o tome šta će etički haker raditi je tu da se ne bi i stvarni hakeri istovremeno ubacivali i na taj način zamaskirali svoja nedela. Najefikasnije testiranje je po principu "sve je dopušteno" ili "nevezane ruke".
Međutim, korisnici često prigovaraju takvom pristupu jer je moguće da dođe do npr. pada sistema, zaustavljanja proizvodnje, prekida svih transakcija... i na taj način do materijalne štete za naručioca. No, treba se zapitati bi li stvarni haker imao imalo obzira. Rezultati testiranja "s vezanim rukama" mogli bi dati lažan osjećaj sigurnosti. Isto tako, bilo bi dobro da se ograniči broj osoba koje su upoznate sa vremenom testiranja. U protivnom bi etički hakeri mogli naići na zaključana vrata tamo gde inače u normalnim uvetima ne bi bila zaključana, tj. zaposleni bi preduzeli neke sigurnosne mere koje inače ne preduzimaju. To pak opet znači lažan osećaj sigurnosti.
Nekoliko vrsta testiranja
Sećate li se filmića hakerske grupe anonymus na Youtubeu u kojoj objavljuju rat scientologiji? Sećate li se kako su nedugo nakon toga pokrenuli Denial of Service napade na njihove web servere? Dakle, kada bi neki korisnik hteo posetiti njihov web sajt ne bi dobio ništa. Kako se ti napadi realizuju? Pri uspostavljanju veze između (web) servera i klijenta prvi korak je takozvani TCP handshake. Klijent se serveru javi TCP SYN (synchronize) paketom, server mu odgovori da je primio njegov syn paket i čeka ponovni odgovor klijenta. Svi zahtevi na koje se čeka odgovor se čuvaju u memoriji dok na njih ne dođe odgovor ili istekne namešteni timeout period i zahtev se obriše. Napadači u ovakvim slučajevima šalju ogroman broj TCP SYN paketa s lažnim adresama. Server primi zahtev, pošalje odgovor na nepostojeću adresu i pohrani zahtev u memoriju. U međuvremenu dođe još mnogo lažnih zahteva i svi idu u memoriju. Kako s lažnih adresa neće doći odgovori serveru, zahtevi se iz memorije brišu tek nakon isteka timeouta i od napadača se samo zahteva da šalje lažne zahteve brže nego se brišu zbog timeouta. Nakon nekog vremena (jer server nema neograničenu količinu memorije) memorija će sva biti ispunjena lažnim zahtevima i odbacivat će sve druge zahteve (uključujući i stvarne i lažne) i usluga će postati nedostupna.
Napadači često ne izvode napad s jednoga računara, nego osvoje tuđe sisteme i pretvore ih u "zombije" koji šalju lažne zahteve serveru. Poznat je i Mydoom crv koji se širio e-mailom i širio Denial of Service napad na www.sco.com (sajt organizacije koja se isticala svojim nastupima protiv otvorenog softvera i GNU/Linuxa - gotovo da su zaslužili to, rekli bi neki). Pravih protivmera za ovakav napad nema. To je zapravo povećanje memorije u kojoj se čuvaju zahtevi i smanjivanje timeout perioda, ali lažni zahtevi će uvek stizati brže. Pravu zaštitu bi bilo moguće implementirati na nivou pružatelja intenet usluga koji bi trebali filtrirati, to jest uništavati sve pakete koji dolaze iz njihove podmreže s nepostojećih adresa, ali - to nije tako lako.
Udaljena mreža (remote network) - tim se testom simulira upad putem interneta. Prvu liniju obrane koja bi trebala izdržati čine firewall, ruteri i web server.
Udaljena dial-up mreža (remote dial-up network) - pokušava se putem korisničkih modema probiti sistem logovanja dial-upom.
Lokalna mreža (local network) - simulira se upad zaposlenog ili druge autorizovane osobe u lokalnu mrežu (intranet). Pokušava se probiti firewall, interni web server i e-mail sistem.
Krađa prenosnih računara - kradu se računari visoko pozicioniranih zaposlenih (što više, to bolje). Za očekivati je da će na takvim računarima biti važni podaci i informacije koje se mogu dalje iskoristiti za druge metode upada (npr. lozinke), ili druga vrsta poverljivih informacija (npr. strogo čuvani razvojni projekt novog proizvoda).
Socijalne metode (social engineering) - ovom se metodom testiraju zaposleni i nastoji se iskoristiti poverenje ljudi. Nastoji se određenim socijalnim veštinama uveravanja delovati na zaposlene da odaju poverljive informacije, npr. molećivim pogledom uveriti bezbednjaka da je propusnica ostala kod kuće, praviti se izgubljen i tražiti pomoć za put do direktorskog ureda. Podići svest o budnosti jedini je način obrane od ovakvih upada.
Fizički upadi - delimično se nadovezuju na prethodnu metodu i uspešniji su ako je postignuto poverenje ljudi. Isto tako, mogu se krivotvoriti propusnice na temelju dokumenata nađenih u smeću (tzv. dumpster diving). Prva linija obrane u ovom slučaju bilo bi fizičko obezbeđenje i video nadzor.
Testiranje se provodi iz tri perspektive: kao potpuni stranac, kao delimični stranac ili kao autorizovana osoba. Potpuni stranac o testiranom sistemu zna samo javno objavljene podatke, na primer na internetu ili nekim letcima i brošurama. Dobro zaštićenim sistemima takvi upadi ne bi trebali biti pretnja. Delimični stranci su korisnici s ograničenim pristupom. To su svi korisnici internet bankinga. U dobro zaštićenim sistemima ti korisnici mogu pristupiti samo svom računu i ničem drugom. Upad autorizovane osobe podrazumeva da ta osoba nastoji dobiti više nego za što je autorizovana. Dobro postavljeni sistem nivoa pristupa takav bi upad trebao onemogućiti.
Na kraju testiranja, rezultat bi trebao biti pisani izveštaj u kojem su nabrojani svi propusti i ranjive tačke, kao i sugestije kako otkloniti propuste. Metode koje su korištene neka ostanu tajna. Naglasak se stavlja na oblik izveštaja - isključivo u papirnom obliku i direktno uručen odgovornoj osobi naručioca. Zašto to? Pa zamislite koju vrednost ima takav dokument hakeru s crnim šeširom ili tržišnom konkurentu!
Nakon toga, etički haker mora uništiti sve tragove o testiranju, elektronske i papirnate. Naravno, sklopljeni ugovor o testiranju nikako ne! Šta još reći naručiocu? Ako i otkloni sve pobrojene nedostatke, već sledeći dan sigurnost mu je možda narušena. Računarski sistemi i mreže su dinamični i svakodnevno se dodaje novi hardver i softver, zakrpe, nadogradnje, a koji mogu biti nove tačke ranjivosti. Dakle, što više vremena protekne od testiranja etičkoga hakera, verovatnoća da je sigurnost narušena je veća.
Preuzeto iz Vidija broj 154
