Bezpieczeństwo w sieci

W dzisiejszym wpisie chciałbym zwrócić Waszą uwagę na temat bezpieczeństwa w sieci. O tym, że w sieci wcale nie jest tak bezpiecznie w zasadzie każdy wie, sporo osób słyszało o wirusach, czy też o innych programach, które mogą się zainstalować niekoniecznie za naszą zgodą. Bazując na własnym doświadczeniu mogę stwierdzić, że faktyczna świadomość zagrożeń jakie płyną z sieci jest bardzo mała i w bardzo dużej części bazuje na filmach, czy serialach, które w bardzo mocny sposób naginają rzeczywistość.

Poniżej przedstawiam najczęściej stosowane sposoby stosowane przez hakerów wraz z krótkim opisem jak te metody działają. Wiedza jak coś działa pozwala zapobiegać takim atakom. Chciałbym jeszcze zwrócić uwagę, że piszę o najczęściej wykorzystywanych sposobach, pomysłów na sposoby dostania się do czyjegoś komputera jest tyle co ludzi.

Nie przedłużając już bardziej nieco przydługiego wstępu, zaczynajmy!

 

Główne źródła zagrożeń


Poniżej przedstawiam zestawienie najczęściej wykorzystywane sposoby umieszczenia exploit’ów na komputerze.

  1. Załączniki w mailach – to chyba oczywiste, żeby nie otwierać maili, czy raczej nie pobierać załączników od osób, których nie znamy (coś o czym nie każdy wie: każdy plik może zarazić komputer, mówię tu także o zagrożeniach płynących z otwierania plików tekstowych, obrazów, itp. więcej szczegółów w paragrafie Wszystko jest tekstem).
  2. Pobrane pliki – kolejne dość oczywiste miejsce gdzie można napotkać złośliwe oprogramowanie.
  3. Strony WWW – poniekąd ten punkt zawiera się w (2), ale nie każdy zdaje sobie sprawę, że aby móc przejrzeć stronę WWW, komputer musi ją pobrać, przy okazji wykonuje określone skrypty umieszczone na tej stronie, zatem wystarczy jedynie wejście na stronę aby zainfekować komputer, jest to dość częsta praktyka i jako przykład można podać fałszywe maile od Poczty Polskiej gdzie po wejściu na stronę dane na naszym dysku zostały zaszyfrowywane (polecam poczytać). Innym zagrożeniem jest tzw. „spoofing”, o którym nieco więcej opowiem w Zatruwaniu DNS.
  4. Pseudo-aktualizacje – po wejściu na (dowolną) stronę możemy dostać nagle komunikat (od komputera, nie bezpośrednio na stronie) o potrzebie aktualizacji programu, która oczywiście instaluje na nasze własne życzenie malware. W takim przypadku chyba najlepiej jest wejść na stronę producenta programu i pobrać aktualizację ręcznie.

 

Sposoby działania złośliwego oprogramowania


W tym rozdziale chciałbym się skupić na typach złośliwego oprogramowania, musimy sobie uświadomić, że jest ich wiele i każdy rodzaj ma określone swoje zadanie i de facto w większości przypadków nie ma znaczenia jaką drogą się dostanie na nasz komputer.

crack

  1. Keyloggery – jest to ten rodzaj programu, który po dostaniu się na komputer wychwytuje wszystkie wciskane przez nas klawisze (bardzo często też robi screenshoty co jakiś czas) i wysyła je do osoby, która umieściła go na naszym komputerze. Jest to szczególnie przydatne przy przechwytywaniu loginów i haseł.
  2. Tworzenie backdoor’ów (tylnego wejścia) – czyli umieszczenie programu którego głównym zadaniem jest właśnie stworzenie takiego tylnego wejścia do naszego komputera, dzięki niemu dopóki jesteśmy podłączeni do sieci to inna osoba może w łatwy sposób dowolnie przeglądać i edytować wszystkie pliki (nie musi łamać zabezpieczeń przy każdym wejściu, bo dla antywirusa ten backdoor jest w pełni legalnym programem).
  3. Inne – od zbierania informacji, instalowania programów, aż po szyfrowanie danych. Tutaj jest tyle zastosowań co ludzi, najczęściej mają na celu zarobienie pieniędzy bez krzywdzenia w jakiś mocniejszy sposób użytkownika, np. poprzez zaszyfrowanie danych i uwolnienie ich po uiszczeniu odpowiedniej opłaty.
  4. „Hakowanie” – najbardziej inwazyjny sposób włamania na komputer, jest to mniej więcej (raczej mniej niż więcej) to co widzimy na filmach, gdzie nie mając nic musimy włamać się do systemu. W rzeczywistości jest to sposób, do którego sięga się jedynie w ostateczności. Aby wejść w ten sposób do systemu potrzeba sporo czasu i zebrania masy informacji. Dużo lepiej i prościej jest oszukać użytkownika i wykorzystać jego niewiedzę co do niektórych tematów przez wykorzystanie, któregoś sposoby powyżej.

 

Wszystko jest tekstem


Żeby zrozumieć dalszą część prosty fakt, który umyka większości ludzi: okłamano was, wszystko jest tekstem. Każdy plik to jest przechowywana w jakiś sposób informacja, bardzo często w bardzo łatwy sposób: przy użyciu pliku tekstowego z tylko zmienionym rozszerzeniem pliku (sporo plików można wrzucić do notatnika i zobaczyć, że są robione wg schematu).

Jasne, niektóre pliki są zapisane w trybie binarnym, czyli takim który nie pozwala zwykłemu śmiertelnikowi zrozumieć zawartości, jednakże każdy plik ma swoją własną strukturę.

Zatem jak to się dzieje, że skoro wszystko jest tekstem to komputer rozpoznaje jakim programem mogę otworzyć ten plik? Każdy plik ma własne rozszerzenia jak np. pliki bitmapy mają rozszerzenie „.bmp”. Dzięki temu komputer gdy ma rozkaz otworzenia folderu gdzie są pliki, gdy widzi „.bmp” to mówi: „to jest plik obrazu, bo ma rozszerzenie .bmp więc można go otworzyć przy użyciu tego i tego programu” (są jeszcze inne niuanse dotyczące tego wykrywania, ale je pominę, trzymajmy się tej wersji).

2

Każdy może stworzyć plik tekstowy i zmienić jego rozszerzenie z „.txt” na „.bmp”, nie jest to trudne. Nie zmienia to zawartości pliku, a jedynie sposób w jaki komputer chciałby odczytać ten plik (próbuje otworzyć nasz plik np. przeglądarką obrazów ale okazuje się że tam nie ma obrazu, więc dostaniemy komunikat błędu). Zatem możemy stworzyć plik, który wygląda jak obraz, a nim nie jest, z resztą to dotyczy wszystkich plików: pdf, muzyki, itd. Możemy stworzyć plik wykonywalny, który będzie wyglądał dla komputera jak obraz i tak spróbuje komputer go uruchomić, dostaniemy błąd ale program który był wewnątrz tego pliku będzie działał!

Dlatego otwieranie maili może być groźne: pod pozorem otworzenia niegroźnego obrazu („bo co może złego zrobić zwykły obrazek”) możemy wpuścić sobie szkodliwe programy. Ba! Możemy wewnątrz normalnego pliku obrazu (jest to w pełni działający obraz) zaszyć kolejny plik!

 

Zatruwanie DNS


Tego sposobu najczęściej używa się do zbierania informacji czy haseł, jednak najpierw rozszyfrujmy akronim DNS:

Domain
Name
System

System Nazw Domenowych, czyli inaczej mówiąc jest to nic innego jak system, który zamienia np. google.pl na IP tej strony (który właśnie jest ważny dla nas, dla komputera adres pisany nic nie mówi). Dzięki temu systemowi zostaniemy automatycznie przekierowani pod ip 216.58.209.35 (adres google), bez żadnej świadomości o tym. Nie musimy zapamiętywać adresów ip naszych ulubionych witryn.

3

Największą słabością tego systemu jest właśnie to, że przekierowanie jest robione właśnie w sposób niejawny, ponieważ jeżeli jestem w jakiejś dowolnej sieci, to mogę zmienić przekierowywanie DNS i gdy dany użytkownik pragnąłby się połączyć np. z facebookiem to ja mogę go przekierować na idealną kopię strony logowania facebooka, lecz adres IP tej strony to będzie mój komputer. Gdy użytkownik będzie próbował się zalogować na swoje konto, to po wpisaniu swoich danych i kliknięciu zaloguj jego login i hasło zostaną wysłane do mnie w jawny sposób, tzn nie będą zaszyfrowane (poznam jego login i hasło). Użytkownik otrzyma komunikat o tym że taka strona nie istnieje (bo faktycznie na moim komputerze dalszej części strony nie będzie), a ja otrzymam jego dane.

Wierzcie mi, to co opisałem nie jest trudne w wykonaniu, wystarczy jedynie podstawowa wiedza i mieć jeden zatruty komputer w danej sieci aby całość działała. Jeżeli chcecie o tym wiedzieć więcej to polecam wyszukać sobie hasło „DNS spoofing”.

 

Sygnały ostrzegawcze


W części przypadków można wykryć, że coś jest nie tak, że daliśmy się nabrać. Chciałbym Wam przedstawić kilka cech wspólnych ataków.

1

Dostaliście od kogoś jakiś plik i przy próbie uruchomienia program się wysypuje.

Jest to dość częsty sposób na umieszczenie backdoora. Polega na przepełnieniu bufora danych i w momencie zamknięcia programu przez system exploit wchodzi w jego miejsce.

Najbardziej narażone na te ataki są produkty firmy Adobe. Błędy produktów tej firmy są najczęściej wykorzystywanymi lukami (poważnie, w bazie exploitów to w przypadku Windowsa to najczęściej powtarzaną firmą jest właśnie Adobe), co gorsza tych technologii używa się dość często (Adobe Flash Player, Adobe Reader, Adobe Photoshop…) i najprawdopodobniej każdy ma chociaż jeden produkt od tej firmy.

 

Komputer niespodziewanie zaczął zwalniać

Jeżeli komputer zaczął zwalniać w znaczący sposób w krótkim czasie to może oznaczać, że zaczął pracować dla kogoś innego i niedługo możemy od tego kogoś spodziewać się maila z prośbą o zapłatę w celu odzyskania komputera.

 

Informacje o niezaufanej witrynie

Cechą najprostszego ataku na DNS jest to, że adresy witryn nie mają certyfikatu bezpieczeństwa. Wtedy odradzam logowania się na strony, bo mogliśmy zostać zaatakowani

 

Jak ataki hakerskie NIE wyglądają?


W tym rozdziale chciałbym obalić parę mitów dotyczących hakowania, wiele osób myśli, że gdy zostanie zaatakowana to komputer zacznie robić dziwne rzeczy, będzie wszystko znikało z pulpitu etc.

Prawda jest taka, że wtedy każdy by wyczuł, że coś jest nie tak, a przecież nie o to chodzi. Jeżeli jakiś haker pofatyguje się aby przejąć osobiście kontrolę nad komputerem to będzie robił to po cichu, tak aby użytkownik myślał że go tam nie ma.

Nie pojawi się też drugi kursor, musicie wiedzieć, że hakowanie odbywa się przy użyciu terminalu (tłumacząc na użytkowników Windowsa: konsoli), jest to dużo bardziej praktyczne bo nie ujawnia w żaden sposób obecności.

Sam proces złamania zabezpieczeń trochę trwa, więc wejście do czyjegoś komputera w sposób jaki przedstawia się na filmach zajmuje dużo więcej czasu niż wklepanie kilku komend (o czym już mówiłem). Im więcej danych o sobie publikujecie w internecie tym atak jest prostszy.

Poniżej zwiastun filmu, który nie ma się w żaden sposób do prawdziwego hackowania:

 

Jak się chronić?


Standardowo: nie pobierać plików z niesprawdzonych serwisów, nie wchodzić na podejrzane witryny, nie otwierać maili od nieznajomych… (itd o czym każdy wie).

Z bardziej niestandardowych uwag:

  • Robić częste kopie zapasowe, stosować menadżery haseł.
  • Używać wielu, skomplikowanych haseł, w tym wypadku rozmiar ma znaczenie, im dłuższe hasło tym trudniej jest je złamać.
  • Nie odpisywać na maile od nieznajomych, mail sam w sobie przenosi sporo informacji o nas m.in. IP (gmail jest bezpieczniejszy bo informacje przechodzą przez serwer).
  • Należy zainwestować w antywirusa, chociaż te da się oszukać, więc z tym jest różnie, na pewno nie zakładajcie że skoro macie antywirusa to jesteście bezpieczni i nic wam nie grozi.

Uważajcie co publikujecie w sieci, im więcej jest o Was w sieci informacji to tym łatwiej jest Was zhackować, bo jeżeli wiem jakich programów używacie to mogę użyć dokładnie tych narzędzi, które pozwolą mi wykorzystać słabości tych programów. Ta uwaga dotyczy także danych osobistych, fb jest rajem (dla hakerów) bo sporo osób zezwala na przeglądanie informacji o sobie każdej osobie. Na podstawie tych danych można stworzyć portret psychologiczny takiej osobie i dalej można podejść do takiej osoby psychologicznie (jeżeli osoba szuka pracy możemy wysłać jej maila z załącznikiem z „wymaganiami”, albo „zadaniem”, aby dostała pracę).

Hakowanie wymagania nie tylko znajomości komputerów, czy sposobów dostania się do komputera, wymaga też znajomości psychologii osób, umiejętności podejścia do każdej osoby w taki sposób aby się nabrała.

Jeżeli wiemy już, że zostaliśmy zhackowani to nie podłączajcie żadnych urządzeń, wyłączcie komputer, jeżeli macie inny system lub komputer to korzystając z niego możecie ewentualnie przekopiować część danych, jednakże w tym wypadku najlepiej jest założyć, że zainfekowane są wszystkie dane, więc robicie reinstall systemu wraz z usunięciem WSZYSTKICH danych (właśnie dlatego dobrze jest robić częste kopie zapasowe), oczywiście zmieniacie wszystkie hasła.

 

To już wszystko ode mnie, zapraszam do komentarzy, gdzie możesz wyrazić swoją opinię (pytania, czy wątpliwości również) o tym wpisie, albo masz jakieś uwagi dotyczące tematu bezpieczeństwa.

Code ON!


  • Kamil

    Warto też napisać że, często infekowanym plikiem jest plik „hosts”, dołączany wraz z plikami protokołu TCP/IP. Nie jest on używany, lecz wciąż działa. A efekt ten sam jak po ataku na DNS’a. Inną sprawą jest to, że głównym celem infekcji serwerów, lub przekierowań DNS, jest fałszowanie stron banków, jeśli dany bank nie ma zabezpieczeń SMS, lub podobnych, to łatwiej stać się ofiarą.

  • Pan Kulomb

    Ciekawe. Mam nadzieję, że utrzymasz tempo 1 wpisu na 2 dni 😀

    • Raczej wątpię, najprawdopodobniej kolejny wpis pojawi się dopiero w piątek. Na wakacjach można się spodziewać wpisów w bardziej regularnej formie: 1-2 razy w tygodniu (ale bardziej konkretnych, czyli kontynuację kursu pisania RPG w SFML oraz Qt).

  • Artur Tamborski

    Ciekawy przykład z filmem, bo to one najczęściej zmieniają wygląd hackowania.
    Co powiesz o filmie obława (2000) ? Bo wg mnie całkiem nieźle odzwierciedlił tropienie największego hackera na świecie.

    • Niestety nie widziałem go, więc nie jestem na tą chwilę w stanie się o nim wypowiedzieć.

    • Obejrzałem i mogę się wypowiedzieć. Film mimo tego, że się nieco zestarzał to chociaż nie próbuje udawać hakowania bo na ile widziałem to jest w miarę rzetelny (nie ma sceny gdzie jest kod „hello world”, a hacker pracujący dla rządu wychodzi z komentarzem „co to jest?”), na ile tropienie hackera było odzwierciedlone to nie mam pojęcia, ale da się oglądać i czerpać z tego jakąś radość.