Veszélyek – I.

Rootkitek becsempészése, titkos dokumentumok elolvasása, telefonok lehallgatása – félelmetesen egyszerűen megy mindez. Szimuláltuk a legveszélyesebb támadásokat, és megmutatjuk, hogyan lehet védekezni a legújabb hackertrükkök ellen.

Tűzfallal, antivírus programmal és szervizcsomaggal védjük számítógépes rendszerünket? Helyes! De ha azt hisszük, hogy a gépünk így már védett az adatkémkedés, a hackerek és az internetmaffia ellen, akkor tévedünk. Aki nem telepíti a PC-jére a legújabb patcheket, az kifejezetten megkönnyíti a támadók dolgát, s nem is csodálkozhat a kéretlen látogatókon. De még ha telepítjük is a legutolsó patchet, az sem jelenti azt, hogy a számítógépünk száz százalékosan védett: az úgynevezett 0 day exploitokkal még ismeretlen és befoltozatlan biztonsági réseket használnak ki a hackerek, és a látszólag biztonságos védőfalakat is másodpercek alatt áttörik. Ráadásul megy ez még egyszerűbben is: egy megfelelően manipulált CD-vel a legkeményebb tűzfalat is le lehet győzni.

Mindezeket a módszereket mi is kipróbáltuk a gyakorlatban: új hackermódszerekkel szimuláltuk az internetről érkező legveszélyesebb támadásokat, beleértve a rootkiteket is. Az eredmény ijesztő: ha a támadó igazán elszánt, hamar birtokába juthat az áldozat PC-je feletti ellenőrzésnek. Megmutatjuk, hogyan történik ez, és milyen intézkedésekkel védhetjük hatékonyan a rendszerünket.

1. Az áldozat kikémlelése

Hirdetés

Az első számú szabály egy sikeres kém számára: ismerd meg pontosan az ellenséget.

A webböngészővel könnyű dolguk van a hackereknek, a szörfözőknek még mindig több mint a 90 százaléka Internet Explorert használ. Érdekes, hogy a cégeknél szinte mindig az előre telepített Microsoft programot használják. A hackernek tehát elég csak egy előzőleg preparált weboldalra csalni az áldozatát, és kihasználni a böngésző gyengéit.

A támadás. Azt tervezzük, hogy egy buffer-overflow exploit, azaz puffertúlcsordulást lehetővé tevő sérülékenység segítségével megszerezzük az uralmat a böngésző és ezzel a PC felett. Ezért először áldozatunk szoftvereiről tájékozódunk. Milyen jó, hogy csak mostanában mutogattuk a kollégáknak online nyaralási albumunkat, így könnyen hozzájutunk a böngészők nevéhez és verziószámához. Minden telepített patch-csel kisebb lesz a támadási felületünk, ezért először tudnunk kell, melyik böngészőt használja az áldozat. Ezeket az információkat a böngésző előzékenyen mindjárt el is küldi, amit azután a webszerver naplójából kiolvashatunk. De a fájlverzió is fontos, mivel a legtöbb buffer-overflow csak bizonyos verziókkal működik. „Szerencsénk” van, mert az Internet Explorer 6-hoz találunk egy univerzális 0 day exploitot.

A FrSIRT hackerei egy Proof of Concept weboldalon pontosan demonstrálják, hogyan lehet kihasználni a gyenge pontot. Köszönjük szépen, ez sokat segít abban, hogy saját rohamot indítsunk. Példánkban ugyan csak az ártalmatlan Windows Számológépet indítjuk el, a szkriptbe azonban beleszövünk egy backdoort. A nyitva hagyott hátsó ajtón keresztül később további programokat csempészünk a rendszerbe. Még a szükséges backdoort is megtaláljuk az interneten, így a támadásunkat, akárcsak egy script-kiddie, egy egész egyszerű copy&paste-tel el tudjuk intézni. Most már csak arról kell gondoskodnunk, hogy áldozatunk meg is nyissa a preparált weboldalt. Ezért elküldjük neki a weboldal linkjét azzal, hogy ott megtalálja az utolsó céges buli fotóit. Egyszerű trükk, de szinte mindig bejön. Esetünkben is olajozottan működik a támadás. Miután kiszemeltünk a linkre kattint, megnyílik az Internet Explorer, és rögtön le is fagy. De előbb nem mulasztja el telepíteni kis búcsúajándékát: a backdoort.

A védekezés. Használjunk alternatív böngészőt (Firefox, Opera). Bár a biztonsági szakértők ezeknél is súlyos biztonsági réseket találtak, ezeket messze nem olyan gyakran használják ki a hackerek, mivel az IE – elterjedtsége miatt – sokkal kézenfekvőbb célpont. Fontos: ne nyissunk meg minden e-mailben minden linket. Az ismeretlen feladóktól származó leveleket rendkívül óvatosan kezeljük.

2. A tűzfal feltörése

Kettes számú szabály a kémek kézikönyvében: megtévesztés és álcázás.

Tökéletesen álcázható például egy trójai egy látszatra ártalmatlan CD-n. A hacker előnye, hogy a felhasználó mit sem sejt a veszélyről. Alig néhány embernek jut csak eszébe, hogy egy csábító tartalmú reklám-CD trójait is rejthet.

A támadás. Ahelyett, hogy először egy backdoort telepítenénk és utána a trójait, ezúttal kihasználjuk az adathordozó kapacitását, és mindjárt az egész trójait a CD-re pakoljuk. Támadásunkhoz a már réginek számító Back Orifice 2000-et választjuk. A nyílt forráskódú trójai előnye, hogy néhány egyszerű fogással testre szabható. Egy kevés új kód, egy másik compiler, és már nem is ismerik fel a trójait a ma használatos vírusvizsgálók.

Trójai CD öt perc alatt: az NSIS ingyenes setupkészítő programmal összerakjuk
a demó CD eredeti telepítőjének megtévesztő mását, hogy elrejtsük benne a trójait [+]

Hogy a trójai a CD behelyezésekor fel is települjön, egy már létező demó CD-t használunk, és a telepítőrutint a szabadon kapható NSIS programmal átalakítjuk. A különbség: ez alkalommal a telepítő a trójainkat is a hátán hordozza, ráadásul még automatikus indítási funkcióval is felszereltük a csalimadarat. Így ugyanis automatikusan elindul a telepítő, amint a felhasználó a meghajtóba helyezi a lemezt. Az áldozatnak már csak telepítenie kell a demó CD-t, és a trójai elindul. Esetünkben az áldozat minden billentyűleütését naplózza és továbbítja nekünk.

A védekezés. Az ilyen támadások ellen nem létezik tökéletes védelem. De ugyanúgy, ahogy az e-mailekre, a CD-kre is érvényes, hogy olyan programokat, amelyeket nem ismerünk, ne telepítsünk. Ezt azonban a gyakorlatban aligha lehet kibírni. Ilyenkor jobb egy külön tesztrendszert használni, ahol egy trójai nem tud kárt okozni. A tesztgépet természetesen ne kössük hálózatba a működő rendszerrel.

A cikk még nem ért véget, kérlek, lapozz!