Rootkitek, tűzfaltörők, adatcsempészek

Veszélyek – II.

3. Láthatatlannak lenni

A harmadik szabály: akit nem látnak, azt nem tudják leleplezni.

A PC-kémkedésre alkalmazva ezt a szabályt: rootkit kell, hiszen azzal az egyszerű backdoorból is szuper trójai lesz, amit, ha egyszer már bekerült a rendszerbe, nehéz felfedezni, és még nehezebb eltávolítani. A Windowshoz készült legismertebb rootkit a FU Rootkit névre hallgat. Ez elrejti a Feladatkezelőben a felhasználó szeme elől a károkozó programokat, így nem lehet leállítani a trójait. A modernebb rootkitek, mint például a Beast, még többet elrejtenek, például Registry-bejegyzéseket, TCP/IP-kapcsolatokat és fájlokat a merevlemezen. Speciális szoftver nélkül még egy profi sem tudja felfedezni a trójait, nem is beszélve az eltávolításról. Ezt az okozza, hogy a rootkitek eltérítik a Windows-funkciókat és manipulálják a válaszokat, amelyekre a normál vírusvizsgálók hagyatkoznak.


Gyilkos program: egyetlen kattintással megadjuk a Beast nevű trójainak,
hogy melyik védelmi szoftvert lője ki

A támadás. Kibővítjük a már egyébként is erősen személyre szabott Back Orifice 2000-ünket a FU Rootkits egy továbbfejlesztett változatával. Ez ugyanolyan egyszerű, mint például egy plugint telepíteni a Photoshopba. Az egyetlen, amit tennünk kell, hogy telepítünk egy rootkit plugint, és definiáljuk, hogy mely fájljokat ne lássa később a felhasználó. Tesztcéljainkhoz elrejtjük magát a trójait és minden fájlt, amelyet később fogunk létrehozni, például a keylogger naplófájlját.

Hirdetés

A védekezés. Az ilyesfajta lopakodó technika ellen gyakorlatilag nem lehet védekezni. Ha a trójai egyszer feltelepült a rendszerre, csak speciális eszközökkel távolítható el (ilyen például a Rootkit-Revealer a Sysinternalstól). Ráadásul nagyon jól kell ismerni a rendszerünket ahhoz, hogy egyáltalán felfedezzük a trójait. Ehhez ugyanis memóriacímeket és Windows-funkciókat kell egymáshoz rendelni. Tovább nehezíti a dolgot, hogy még olyan ártalmatlan programok is ugyanezt a technikát használják, mint például a DaemonTools, amely csak virtuális meghajtókat hoz létre, hogy észrevétlenül a rendszerbe illeszkedjen.

4. Telefonok lehallgatása

Mindent hallani és semmit nem mondani – ez a negyedik szabály.

A telefonbeszélgetések lehallgatása már régen nem a titkosszolgálatok privilégiuma. Míg néhány évvel ezelőtt az ISDN készülékek sok gyenge pontja csábította a hackereket, most a VoIP telefonokat hallgatják le előszeretettel az interneten.

A támadás. Demonstrációs célokból letöltjük a Cain & Abel nevű hacker programcsomagot az internetről. Ez nemcsak alaptrükköket ismer, mint például a jelszavak feltörését, hanem azt is lehetővé teszi, hogy naplóztassuk a felkeresett internetoldalakat, és főleg, hogy WAV fájlként vegyük fel a VoIP beszélgetéseket. Ennek a támadásnak az egyetlen előfeltétele, hogy a hacker a hálózat egy olyan pontján kapcsolódjon be, amelyen minden adat keresztülhalad. Ez lehet a helyi (vezeték nélküli) hálózat egy csatlakozása, vagy akár egy trójai is a két áldozatgép egyikén. Mi egy úgynevezett man in the middle támadást indítunk, és megcsapoljuk kollégánk adatfolyamát. Ehhez azt a parancsot adjuk trójainknak, hogy az adatokat először hozzánk küldje. Ezután továbbítjuk a másik résztvevőnek, de persze csak azután, hogy kielégítettük kíváncsiságunkat. Kedves kollégánk mindebből semmit nem vett észre.

A védekezés. A legegyszerűbb intézkedések kézenfekvők: a helyi hálózat biztonságossá tétele legalább MAC-címszűrőkkel idegen hálózati kártyák ellen, és vírusvizsgáló a trójaiak ellen. Ezen kívül már vannak megoldások a VoIP beszélgetések kódolására is, mint a Zfone nevű program a PGP-feltaláló Phil Zimmermantól. Sajnos a szolgáltatók nem mindig támogatják ezeket a verziókat, így a felhasználó kimarad egy sor kényelmi szolgáltatásból.

5. Adatok kicsempészése

Az utolsó és legfontosabb szabály így hangzik: ne hagyd, hogy kémkedés közben elkapjanak!

Egy trójai falovat telepíteni a számítógépre még csak fél munka: mert hazafelé irányuló kapcsolat nélkül még a legelvetemültebb kártevő sem ér semmit. Mivel nem ismerjük áldozatunk infrastruktúráját, minden lehetséges tűzfalra fel kell készülnünk, köztük az olyan desktoptűzfalakra is, amelyek lehet, hogy minden aktív programot blokkolnak, és egy IDS-re (Intrusion Detection System) is, amely minden csomag tartalmát elemzi. Ez azt jelenti, hogy nem elég csak elküldeni az adatokat a számítógépről, hanem az információknak olyan jól álcázottnak is kell lenniük, hogy az akció ne bukjon le. Ebből a célból egyre újabb trükköket találnak ki a hackerek. A Back Orifice 2000 trójaihoz alig vannak szabadon hozzáférhető pluginek, amelyek alkalmasak erre a célra. Mégis akad elég eljárás, amellyel a hackerek tűzfalon keresztül kommunikálni tudnak.


Pillantás az alagútba: a DNStesttel veszélytelenül ellenőrizhetjük,
mennyire (nem) biztonságos a tűzfalunk. Ígérjük: lesz min csodálkozni!

A támadás. A messze legkedveltebb eszköz a tunnelezés, vagyis alagútfúrás egy másik, látszólag ártalmatlan protokollon keresztül, mint a HTTP, az SMTP vagy a DNS. Mi a DNS-alagút mellett döntünk, hogy a hálózat minden biztonsági ellenőrzőpontján észrevétlenül átjuthassunk. Ez azt jelenti, hogy csomagjainkat senkinek fel nem tűnő domainnévcsomagokba rejtjük. Ezeket a tűzfalak több mint 90 százaléka átengedi, mert a DNS protokoll elengedhetetlen az internettel való zavartalan kommunikációhoz. Ezen kívül enyhén kódoljuk az információkat, és lehetőleg kevés csomagot küldünk, hogy az IDS-nek ne tűnjön fel semmi. A domainnévcsomagok hirtelen megnövekedett mértékű cseréje ugyanis szintén feltűnő lenne, és egy jó IDS-nél megkongatná a vészharangokat.

Már csak a desktoptűzfal hiányzik. Ezt egy injection attackkal kerüljük ki. Ez azt jelenti, hogy keresünk magunknak egy programot, amelyet a tűzfal garantáltan nem blokkol – például az alapértelmezett böngészőt. Hogy ez az Internet Explorer vagy a Firefox, azt megtudjuk a Windows-registryből, amelyet egyszerűen kiolvastatunk a trójaival. Most már csak várnunk kell, míg mit sem sejtő áldozatunk elindítja a programot, és ezáltal betölti a memóriába. Már meg is történt! Trójaink beékelődik az átmenő forgalomba, és megkaparintja saját céljaira.

A védekezés. Itt mutatkozik meg a legjobban a hackerek és a biztonsági cégek közti macska-egér harc. A tűzfalak, vírusvizsgálók és IDS-ek ugyan egyre több támadást ismernek fel és blokkolnak, amazok viszont egyre rafináltabbak lesznek. Minél többet tud a támadó a célpontjáról, annál valószínűtlenebb, hogy lelepleződik. Általában minden védőmechanizmushoz akad olyan trükk, amellyel meg lehet kerülni azt, ezért fontos, hogy a rendszergazdák olyan frissen tartsák a számítógépeket és a védőprogramokat is, amennyire csak lehet!

A cikk még nem ért véget, kérlek, lapozz!

Azóta történt

  • Támadó RFID chipek

    A rádióhullámokkal történő azonosításra használt címkék biztonsági kockázatai közé felsorakozott a vírusveszély is.

  • 17 másodperc alatt a Föld körül

    Amíg adataink az interneten keresztül megérkeznek rendeltetési helyükre, kábelek és hálózatok egész során kell magukat átküzdeniük.

Előzmények

Hirdetés