|
[ Pobierz całość w formacie PDF ]
.geekgirl.com/bugtraq/1995_1/0128.html;f& Strona podszywania się EMV: http://www.coast.net/~emv/tubed/spoofing.html;f& CIAC: http://ciac.llnl.gov/ciac/bulletins/g-48.shtml;f& Podszywanie się w WWW: http://www.cs.princeton.edu/sip/pub/spoofing.html;f& Podglądanie IP: http://www.engarde.com/software/ipwatcher/risks/overview.html;f& Podszywanie się i � węszenie� :http://ori.careerexpo.com/pub/docsoft197/spoof.soft.html;f& � Węszenie� haseł: http://gradeswww.acns.nwu.edu/ist/snap/doc/Sniffing.html.C:\WINDOWS\Pulpit\Szymon\hakerzy\r02a.doc 95�96 Hakerzy.Inżynieria społeczna� Social EngineringInżynieria społeczna wykorzystywana przez hakerów sprowadza się do stosowaniarozmaitych metod kierowania ludz�mi.Przeważnie manipulowanie odbywa się w tensposób, aby haker mógł uzyskać informacje lub jakiś rodzaj dostępu do systemu.Tojest wielka umiejętność wśród hakerów i bardzo dla nich użyteczna.Zamiast wy-prawiać rozliczne � sztuczki� z Unixem, pyta on ludzi o ich hasła, a robi to oczywi-ście w odpowiedni sposób.To zdumiewające, jak wielka ilość różnych informacjimoże się pojawić w trakcie konwersacji.Istnieją dwie drogi uzyskania nieuprawnionego dostępu do serwera.Pierwsza z nich� tradycyjna � osiąga cel przez programowe złamanie kodów lub przechwyceniehaseł użytkowników.Druga natomiast ważna staje się wtedy, gdy nasze możliwościsą zbyt małe.Cóż robimy w takiej sytuacji? Otóż możemy spróbować zrobić to, cochcemy, ale startując � z innej strony�.Podstawowe założenia metody określanej ja-ko inżynieria społeczna opierają się na tym, że na każdym serwerze znajdują sięużytkownicy, którzy nie zdają sobie do końca sprawy z tego, jak trudno się na takiserwer dostać.Słowem � nie ma serwerów stuprocentowo bezpiecznych.Inżynierią społeczną nazywa się wszystkie metody wykorzystywanie nieświadomo-ści, niewiedzy czy po prostu niekompetencji osób posiadających bezpośredni do-stęp do informacji o charakterze zastrzeżonym.Uzasadnienie znajduje w postawio-nym niegdyś pytaniu retorycznym:� Po co marnować całe godziny na zgadywanie hasła otwierającego system kompu-terowy jakiejś korporacji, skoro można zadzwonić do jednego z administratorów,podać się za szefa jego szefa i zmusić go, by podał to hasło?�Haker i Samuraj, Jeff Goodell, s.29.Najważniejszą z zaliczanych tu metod jest próba odgadnięcia hasła.Wymaga onanajmniej wiedzy, ale za to trzeba mieć dużo czasu i cierpliwości.Wbrew pozoromnie polega ona nie beznadziejnym wpisywaniu kolejnych kombinacji cyfrowych,lecz na wybraniu jednego konkretnego administratora lub użytkownika, na pozna-niu jego upodobań i uporządkowaniu ich na podstawie zdobytej wiedzy.Dopierowtedy można podjąć próbę odgadnięcia jego hasła.Jest to możliwe.Wady � czas trwania procesu, niepewność, zrywanie połączenia po kilkakrotnejnieudanej próbie (nowe wersje niektórych systemów operacyjnych mają wbudowa-ne mechanizmy blokujące konto po kilku następujących po sobie nieudanych pro-cesach logowania).Zalety � duża, praktycznie stuprocentowa, anonimowość i możliwość szybkiegorozwiązania.96 C:\WINDOWS\Pulpit\Szymon\hakerzy\r02a.doc�Rozdział 2.f& Hakowanie systemu 97Zabezpieczenia � posługiwanie się hasłami generowanymi przez system lub takimi,które trudno powiązać z właścicielem konta pocztowego.Uwagi � przed podjęciem decyzji dotyczącej ataku haker musi zorientować się, najaki serwer zamierza się włamać, z jakim systemem operacyjnym przyjdzie mu sięzmierzyć i trafnie dobrać użytkownika, którego będzie musiał rozpracować.� Oczywiście, żeby się to udało, musi być naprawdę dobry.Władczy, niecierpliwyi kompetentny.Musi znać imię asystenta szefa.Musi znać język wewnętrzny przed-siębiorstwa.Musi znać procedury.Musi mieć umiejętności gryftera, oszusta.�Haker i Samuraj, Jeff Goodell, s.29.Najbardziej typowy i najczęściej stosowany sposób, jest ciągle pociągający.Częstow celu uzyskania hasła haker wykorzystuje swoich znajomych.Zalety � anonimowość, szybkość działania, niska wykrywalność przecieku, gdyżpracownik nigdy się nie przyzna, że zdradził tajemnicę firmy.Wady � trzeba stosować odpowiednie, czasem wyrafinowane sposoby, bo inaczejmetoda się nie powiedzie.Uwagi � jeżeli haker chce mieć pewność, że metoda zadziała, powinien wykorzy-stywać wszelkie metody zdobywania informacji, nie gardząc nawet przeszukiwa-niem śmieci, których pozbywa się firma, gdyż i tam mogą się znalez�ć niezbędnedokumenty, które pozwolą mu lepiej zrozumieć sytuację.� Kiedyś na przykład Kevin Mitnick próbował dostać się do komputera marki Digi-tal Equipment.Był to mały interes na dwie, trzy osoby.(.)Wraz z kolegami zain-stalowali oprogramowanie wyglądające jak rutynowy upgrade stosowanego wów-czas przez Digital programu, ale zawierające tajny kod pozwalający na wejście dokomputera � tylnymi drzwiami�.Starannie opakowali swój program w pudełko Di-gitala, dołączyli autentyczną metkę pakowacza z Digitala, oprawioną w plastyk,i dostarczyli do przedsiębiorstwa.�Haker i Samuraj, Jeff Goodell, s.29.Jak widać rożne są metody hakerskich ataków.Może to być nawet dobry trojan,niekoniecznie przez siebie napisany, firmowe pudełko po oryginalnym produkciei etykietka w stylu � � do Internet Explorera w prezencie od firmy Microsoft�.Można to dostarczyć pocztą i system należy już do hakera.Zalety � duże prawdopodobieństwo powodzenia.Wady � długi czas oczekiwania na efekty, wysoka odpowiedzialność za oszustwapocztowe.Uwagi � konieczna jest to, by zadbać o szczegóły.Jeżeli haker chce zdobyć zaufanie nieświadomego tego użytkownika, postępujewedług pewnych zasad:C:\WINDOWS\Pulpit\Szymon\hakerzy\r02a.doc 97�98 Hakerzy.f& Jest cierpliwy � udaje, że mu nie zależy i nawet gdy uda się przesłać plik,nie każe mu od razu go uruchamiać;f& Jest miły � nawet gdy rozmówca myśli, że jest wielkim hakerem,to albo udaje on lamera, albo � jeszcze lepiej � innego hakera; prowadzirozmowę skomplikowanym, elitarnym językiem, a kiedy interlokutor powie,że nie jest zainteresowany nową ofertą, haker proponuje mu np
[ Pobierz całość w formacie PDF ]
zanotowane.pldoc.pisz.plpdf.pisz.plhanula1950.keep.pl
|