Beskrivnig av crackers och deras metoder

En hacker är en person som är mycket duktigt på det han eller hon håller på med och går helt in i sin syssla till exempel programmering. Uttrycket hacker kommer från modelljärnvägsföreningen vid Massachusetts Institute of Technology (MIT) i USA där snygga eleganta lösningar kom att kallas hack och de som gjorde snygga och eleganta lösningar kallades hackers. Dessa personer kom senare att bli intresserade av datorer och tog med sig jargongen. En hacker är inte mer brottsling än vilken annan människa som helst.

En cracker å andra sidan är en person som med hjälp av datorer begår brott, exempelvis att bryta sig in i datorer.

Hur ser en cracker ut

Ofta är det en man i åldern 16 - 25 år. Det finns fler antaganden om hur och vem som är en cracker men det överlåter jag till andra att beskriva utförligare. Personen vill i vilket fall som helst lära sig mer och bättra på sina crackerkunskaper. Crackers finns dessutom av två typer, den första typen är den duktiga som kan utveckla intrångsverktyg, scanners och allt övrigt som han/hon behöver. Den andra typen är scriptkiddien som inte är lika duktigt utan mest bara klarar av att använda de färdiga intrångsverktygen. Scriptkiddien är för den skull inte mindre farlig.

Hur går en attack till?

Nedan följer beskrivningar av några av de metoder och verktyg en cracker använder sig av för sin attack. Först en beskrivning av oriktade attacker. Resten beskriver till största del attacker som är riktade mot ett visst mål.

Oriktad attack

Scanning av IP-adresser

En form av attack är när crackern söker bland en massa IP-adresser efter system som går att bryta sig in i. Crackern scannar av stora nätverk (serier av IP-adresser) efter datorer som går att bryta sig in i. Attackeraren bryr sig här inte så mycket om hos vem han/hon bryter sig in utan är bara intresserad av att få tillgång till en dator. Denna dator kan sedan användas för till exempel spridande av warez men även för att kunna attackera någon annan som är det egentliga målet.

Scanningar kan göras på många olika sätt. Ett sätt är att utföra en uppkoppling och titta på vilket svar som ges. Servern loggar ofta all sådan trafik. En annan metod är att sätta TCP-flaggor i kombinationer som inte är normala. Svaren är ofta olika för portar där det finns en servertjänst som svarar och för portar där det inte finns någon servertjänst. Den här typen av trafik loggas normalt inte. Använd något intrångsdetekteringssystem, till exempel snort, för att fånga upp denna typ av trafik.

En crackad dator kan användas för att scanna resten av nätet efter datorer att bryta sig in i. Crackern kan göra det i lugn och ro från en crackad dator. Den enda som kan få skulden är systemadministratören som är ansvarig för den crackade datorn.

Riktad attack

Insamlande av information

Crackern försöker bygga upp en karta över nätverket genom att titta i DNS och bland annat se om det går att göra en zonöverföring. Vidare tittar personen i HTML-kod på Webbsidor för att hitta datornamn och annan användbar information. Dokument på FTP-servrar kan också lämna ut intressant information. Ping och annan trafik till ett flertal IP-adresser kan i värsta fall ge åtminstone information om adresser som används och som kan vara nåbara.

Crackern söker efter datorer som litar på andra datorer. Exempel på det är NFS-exporteringar. Crackern söker även efter datorer som är anslutna till mer än ett nätverk. Crackern söker efter datorer som han/hon har access till. Han/hon söker även efter modem som svarar på samtal.

Det är även vanligt att crackern 'scannar av' stora nätverk efter ett visst säkerhetshål. När detta säkerhetshål hittas på någon eller några datorer inleds attacken. I det fallet är det för crackern inte så viktigt vilket eller vems system det är bara det är ett datorsystem som kan utnyttjas för vidare aktiviteter.

'Social Engineering'

'Social Engineering' går ut på att tala med folk i organisationen och lura ur de information. Ett exempel kan vara att ta reda på någon som har semester och sedan tala med någon annan och säga att kollegan lovade... och på så vis få information. En annan del av 'social engineering' är att uppsöka organisationen och under besöket ta reda på så mycket som går om datorer, datornät med mera. Det bästa sättet att motverka 'social engineering' är att utbida alla inom organisationen så att de inte lämnar ut mer information än nödvändigt.

All denna insamling av information kan pågå under en mycket lång tidsperiod.

Attacken

Crackern försöker bryta sig in på någon eller några av de datorer som han/hon kommer åt med hjälp av de tidigare insamlade data. Ofta sker det via buggar i serverprogram eller felkonfigurerade servrar. Exempel på sådana program är mailservrar, ftp-servrar, DNS-servrar, portmappern m.fl. Det är inte heller ovanligt med intrång via CGI-script.

För att försvåra spårandet av en attack används ofta någon metod för att dölja den IP-adress som förövaren kommer från. Detta görs till exempel genom att hoppa via en wingate eller liknande, hoppa via en felkonfigurerad proxy, gå via en annan crackad dator eller adressförfalska avsändaradressen (IP-spoofing). IP-spoofing används ibland för att bryta sig in i en server där servertjänsten litar på datorer med vissa IP-adresser eller autentisierar med hjälp av IP-adress. Använd aldrig IP-adress eller DNS-namn för att bestämma vilka som ska få accessa en tjänst för viktiga och/eller utsatta tjänster.

När en cracker väl lyckas ta sig in brukar han/hon göra något eller några av följande saker.

• Installerar program som städar undan alla spår i alla loggar (se Playing Hide and Seek från Phrack Magazine).
• Installerar program som loggar lösenord. Egen /bin/login, egen /usr/sbin/in.telnetd, egen in.rhsd och in.rlogind etc.
• Installerar program som innehåller bakdörrar för att enkelt komma in igen. Exempel kan vara root-skal som startas från inetd.
• Installerar nätverkssniffare som avlyssnar nätverkstrafik och sparar lösenord och annan intressant information.
• Installerar root-kit för att dölja att datorn har fått påhälsning. Några av de program som brukar vara utbytta är ls, ps, who, finger för att gömma filer, processer och användare. En elak typ av root-kit är elaka moduler till kärnan som döljer alla spår av intrånget. Elaka kärnmoduler är mycket svåra att upptäcka utan att boota om datorn med en "frisk" kärna. Kärnmoduler kan även lura integritetskontrollprogram som till exempel tripwire.
• Installerar trojanska hästar.
• Installerar fällor som utlöser vid upptäckt eller när datorn bootas om eller liknande.

Verktyg

Vad för verktyg använder sig crackern av? Dels vill han/hon 'scanna' IP-adresser och portar, dumpa alla rpc-servertjänster som portmappern sköter om och lista smb-shares osv. Till sin hjälp har de många färdiga verktyg. Den stora massan av crackers är så kallade 'script-kiddies' som är långt ifrån bra på att programmera och som även är mindre duktiga på att använda sig av unix men som klarar av att använda färdiga verktyg. En liten mängd av crackerskaran är duktiga programmerare som utvecklar dessa verktyg.

Några ev de verktyg som finns är: nmap, strobe, mscan, sscan, netcat, SATAN, SAINT, SARA, scotty, QueSO, Whisker mfl.

Det är vettigt att du själv tankar hem och installera dessa program på en egen dator som enbart används till att provköra verktygen mot dig själv. Om inte du testar verktygen mot dig själv kommer någon annan att testa dem mot dig.

Denial of Service, DoS

En typ av attacker är förhindrande av att komma åt en tjänst. De går helt enkelt ut på att på ett eller annat sätt slå ut en servertjänst.

DoS-attacker kan bestå av brytande mot standarder som får servertjänsten eller datorn som den körs på att krascha. DoS-attacker kan även gå ut på att blockera servertjänsten, datorn eller nätet med skräp.

För att bryta sig in på en dator eller göra en DoS-attack förfalskar många avsändaradressen, så kallad 'spoofing'.

En annan typ av DoS-attacker är att upprätta många halvfärdiga uppkopplingar. Servern som har ett begränsat antal samtidiga uppkopplingar kan därmed inte ta emot några fler uppkopplingar. Ett förhindrande av åtkomst till den tjänsten har skett genom den DoS-attacken.

Ytterligare en typisk DoS-attack är att skicka många pingpaket till servern för att på så sätt överlasta nätet och datorn. Attacken går oftast till så att förövaren adressförfalskar, 'spoofar', pingpaket som han/hon skickar ut så att mottagaren tror att det är servern som har skickat ping. Pingpaketen skickas till 'broadcast-adresserna' på flera nät vilket innebär att alla datorerna på de näten kommer att svara och skicka svaren till servern som de tror var den som skickade pingpaketen. Servern och eller nätet till den blir därmed överlastad.

En annan typ av Denial of Service är att skicka felaktiga Out-of-band-data.

Ett vanligt sätt att utföra en DoS-attack är att distribuera den så att attacken kommer från flera håll samtidigt. Det kallas Distributed Denial of Service, DDoS. En dator styr många andra datorer som i sin tur skickar ut attacker mot ett mål. Se bugtraq för mer beskrivningar av DDoS-attacker.

DNS-förgiftning

DNS-förgiftning, 'DNS poisonening', går ut på att få in felaktig nameserver-information i en nameserver eller cachande nameserver. Genom att få in felaktig information går det att få användare att t.ex. surfa till fel webserver, en webserver attackeraren har valt ut (rpmfind.org råkade ut för detta under sommaren 2001).

Utnyttja säkerhetshål

Den vanligaste typen av attack är att utnyttja säkerhetshål som t.ex. buffer overflow för att bryta sig in i en dator.

Fragmenterade paket

En typ av attack använder sig av fragmenterade IP-paket. Fragmentering av IP-paket sker normalt när ett paket blir för stort. Felaktiga och överlappande fragmenterade paket kan få den mottagande datorn att till exempel krascha.

Databas

Crackers använder sig även av databaser. Crackers kan använda olika typer av verktyg som scannar nätet och sparar resultaten i en databas. När detta är gjort behöver cracker inte scanna nätet utan kan använda sin databas för att hitta datorer som kör ett visst OS och som har en viss programvara av en viss version installerad.

Databasen kan användas senare. Om till exempel ett nyupptäckt hål i någon programvara rapporteras kan crackern gå igenom sin databas och leta efter system som har den programvaran av den versionen och bryta sig in där innan systemadministratören hinner åtgärda säkerhetsproblemet.

Bara för att ditt/dina system inte har blivit scannade på länge innebär det inte att de går säkra.

En scanning av nätet kan göras över en lång tidsperiod så att det på så sätt inte upptäcks lika lätt.

Tidpunkter för attacker

Attacker kan ske när som helst på dygnet.

Observera också att det inte är en fråga om utan när du kommer att bli utsatt för en attack. Förr eller senare kommer det att ske.

Ovanstående beskrivningar är på inget sätt komplett. Titta på nätet för fler beskrivningar av crackers och deras metoder.

Copyright © 2010-2024 Kjell Enblom.
This document is covered by the GNU Free Documentation License, Version 1.3

Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.3 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts. A copy of the license is included in the section entitled "GNU Free Documentation License".