Hack ismertetõk

Az oldalon lévő információk az adathalászat, és más hack jellegű tevékenységek veszélyeinek felhívására készült. Nem biztatok senkit se a módszerek alkalmazására, de a veszélyek megismerése fontos lehet a védekezés érdekében.
Hogy teljes legyen a paranoia: tomshardware - sniffelés, meg egyebek
Vagy egy másik érdekes leírás az általánosan használt jelszavakkal kapcsolatban: logout.hu/iras/freemail_hack.html
Fontos tudni, hogy az ismertetett, vagy hivatkozott leírások némelyike használhatatlan, mert a közlés hibás, vagy a módszer csak elvi jellegű, mert már megszünt a proxy stb. szerver ilyen jellegű üzemmódja. Persze egy hibás leíráson is látható sokszor az elírás, és az elvek alapján esetleg található alkalmazható megoldás, de feltétlen ki szeretném hangsúlyozni, hogy kizárólag a szükséges védekezés megtervezése érdekében készülnek ezek az ismertetők.

Fel is szeretném hívni a figyelmet, hogy a jogosulatlan adatkezelés (pl. email címek begyűjtése, vagy egy betörés esetén megszerzett személyes adat /közösségi oldalakon lévő személyes adatokat csak a közösség kezelheti/) Btk. hatálya alá tartozik, és akár szabadságvesztéssel büntethető.
Itt van némi okfejtés erről is: hup.hu - gátlástalan spammer c. topik

oldal tetejére

A konkrét módszer : hackplanet.fpn.hu/doksik/email/webmailhack.php
Egy figyelmeztetés, és a probléma részletezése - adathalászat résznél: iwiw.hu/pages/misc/security.jsp

Az ismertetett módszer szerint ismerősünktől (vagy akár egy spamküldő robot-tól, aki begyűjtötte valamilyen blog-ról az e-mail-ünket) kapunk egy html tartalmú levelet. A levél szövege helyett azonban a módszerben ismertetett időtúllépéses üzenetet tartalmazó oldal jelenik meg, ahova be lehetne írni a felhasználónevet, és jelszavat. (ha felmerülne bennünk, hogy valamit akart a küldő az iwiw-en, vagy webmail-en mutatni.

Elkerüléséhez kapcsoljuk be levelezőnkön a becsapós e-mail szűrőt. Ha webmail-ról nyitottuk meg a levelet (böngészőből - citromail, freemail, stb. esetén nem ritka), akkor ez a dolog a böngésző ablakában fog látszódni, de a levéltörzsnek szánt területen. (Kapcsoljuk be a böngészőn az adathalász szűrőt - Opera, IE, stb.) Gondoljuk végig, hogy miért nem egy önálló ablakba/lapfülön van.
Szerintem elég gyenge próbálkozás, de lehet hogy nem gondolván végig, hogy miért nem linket küldött az ismerősünk, bekalapáljuk az adatokat. (ezek után már törölhetjük is ismerőseink közül, ha lesz rá alkalmunk.) Ha megtörtént a hack, és átvették az irányítást, akkor próbálkozzunk az info@...akármi email-re küldött probléma leírásával.

oldal tetejére

Érdemes körülnézni a sourceforge.net - security és a sourceforge.net - security/cryptography kategóriájában - itt több mint 4000 ingyenesen használható program található (számtalan Windows rendszerhez). Letöltés szerint rendezve a legnépszerűbb projectek lesznek a lista elején. (A lista tartalmaz egészen új, még befejezetlen programokat.)

Jelszavak, adatok titkosított kezelése:

• KeePass Password Safe - jelszó manager Windows alatt /titkosított adatbázisba rendezve kezeli a jelszavakat - jelszóval, vagy kulcsfájllal titkosítható/
• KeePassX - KeePass Password Safe többplatformos változata
• Hide In Picture - adatrejtés képekbe Windows alatt
• Steganos LockNote - adatrejtés Windows alatt
• CryptoMX Tools - Böngésző alapú /Javascript/ titkosítás és adatrejtés /OS független/
• OpenStego - adatrejtés képekbe /Java alapon - OS független program/ - új project
• Thumbnail Steganography - adatrejtés képekbe /Java alapon - OS független program/ - új project
• AxCrypt - File Encryption for Windows - File titkosítás és automatikus dekódolás AES-128 titkosítással /pl. titkosító kulcs USB drive-on/

Még számtalan jelszókezelő és generátor program létezik (Linux rendszerek alatt is szinte minden felületen van valamilyen jelszókezelő). Akadnak programok teljes fájlrendszerek vagy partíciók titkosításához (esetleg megfontolhatóak Linux vagy Windows alatti titkosított fájlrendszerek is - pl. az ingyenes TrueCrypt). Leírásokat a Google -> titkosított fájlrendszer kereséssel célszerű keresni.

oldal tetejére

A jelszavak és más információk megszerzésének egyik módja a keyloggerek használata. (Létezik hardveres keylogger is.) Erre a célra használható ingyenes programokat kerestem a sourceforge.net projectjei között.

Keylogger-ek:

• Best Free Keylogger (BFK) - !! Win32-spyware / Trójai programként azonosítják a víruskeresők, így telepítése problémás lehet
• Simple Python Keylogger for Windows - Használatához instrukciók a pykeylogger.sourceforge.net/ oldalon

Ezeket a programokat a lehallgatni kívánt gépen kell telepíteni, ami akadályba ütközhet, ha a programok telepítése korlátozott (pl. több-felhasználós környezet).

Védekezés:

Felderítésük a feladatkezelő (WinNT,Win2000,WinXP esetén - Ctrl+Alt+Del) futó folyamatainak tanulmányozásával lehetséges - a legtöbb folyamatnévről már ránézésre lehet tudni, hogy az operációs rendszer, vagy egy adott program része (pl. svchost.exe, soundman.exe, ctfmon.exe, stb.) - segít a google "__keresett.exe" kereséssel, mivel rengetegen érdeklődnek ilyen módon egy-egy futó folyamat iránt, így biztosan találunk magyarázatot. (A rejtett folyamatok és vírusok felderítésére az Antivirus/Anti-spyware/Anti-rootkit programok használhatóak - google -> windows rejtett folyamatok kereső-kifejezéssel további tanulmányok találhatóak.) Esetleg egy analizáló program is segíthet. Ilyen program pl. a HijackThis nevű program, ami letölthető a Merijn.org oldaláról. Az oldalon több más hasznos program is megtalálható. A program egy részletes log elkészítésével tájékoztat minket a rendszer futó folyamatairól. Ezt a log-ot elemzi HijackThis.de Security oldala, és részletes magyarázatot ad az egyes futó programokról és folyamatokról.

oldal tetejére

Helyi és távoli azonosítók és jelszavak felderítését segíti egy ingyenes program, az ophcrack. A program live CD változata telepítést nem igényel. A Windows alapú telepítést igénylő változatához is szükség lehet a live CD-re, ha a visszafejtéshez szükséges hash táblát innen telepítjük.

Visszafejtéshez a "Load" nyomógomb segítségével lehet beolvasni a szükséges felhasználó adatbázist (pl. "From local SAM"). A beolvasás után a "Tables..." nyomógomb megnyomása után lehet a visszafejtéshez használatos táblák könyvtárát megadni (tallózó gomb, és könyvtár: pl. .\ophcrack\win32\NTHASH). Ezután indítva a keresést a jelszavak visszafejtéséig fut a program. Gyorsítható a visszafejtés, ha a felhasználók listájából a "Delete" gombbal töröljük az érdektelen felhasználókat (pl. Guest) - ez a törlés csak a feldolgozásból hagyja ki a törölt felhasználót, nem a rendszerből történő törlés.

Munka közben az ophcrack:

Rendszergazda jelszava ~10mp alatt /csak szám volt/


Próba jelszófejtés


Amivel nem boldogult a telepített táblák mellett /jelszó tartalmazott ékezetes karaktert/

Nem sokat próbálgattam a lehetséges egyéb táblákat, és a tábláknál alkalmazható beállításokat, tehát ne legyünk 100%-osan megnyugodva egy jól megválasztott jelszó esetén se.

Védekezés:

Kerüljük a csak számokból álló jelszavat, célszerű különleges karaktereket és ékezetes betűket is használni a jelszavakban. A rendszergazda jelszava is legyen elég erős (helyi gépen is). Korlátozni kell a fizikai hozzáférést (pl. kiszolgáló), és kerülni kell a Live CD-s használati lehetőséget (CD/DVD meghajtó hiánya, vagy tiltása bios-ból), telepítés korlátozása, meghajtó programok telepítésének korlátozása (usb-s CD meghajtó).

oldal tetejére

A böngésző jelszókezelőjével tárolt jelszavak veszélyeire figyelmeztet buhera.blog.hu ismertetője, ami egy jelenleg is fennálló valós veszélyre figyelmeztet. Egy weboldalba épített kód képes megszerezni bizonyos böngészők által tárolt jelszavakat (korábban több böngésző is érintett volt /pl. Opera is/), ezt demonstrálja is egy saját oldalához tartózóan megadott teszt azonosító és jelszó példáján keresztül www.heise-security.co.uk oldala. Persze ez nem jelenti azt, hogy bárki képes ilyen kódot építeni az oldalába, vagy hogy létezik ilyen oldal. (A szolgáltatók általában gyorsan letiltják az ilyen oldalakat.) A tanulság azonban az, hogy nem kell minden spam vagy ingyenreklám jellegű linkre kattintani (pl. "pénzkeresés ... katt ide" jellegű körlevelek).

Védekezés:

Sajnos nagyon körülményes külső jelszókezelőt használni, aki pedig sok oldalon használ jogos biztonsági megfontolásból eltérő jelszavat, az a böngésző jelszókezelőjére hagyatkozik. A böngészőket mindig a lehető legfrissebb verzióra kell frissíteni, így elkerülhető az ilyen jellegű csapda.

oldal tetejére

Unix tanáromnak köszönhetően (Vass Attila, Baja) ismereteket szereztem virtualizációval kapcsolatban VMWare környezetben. A virtualizációs technikák lényege, hogy a meglévő operációs rendszerünk felügyelete alatt "programként" futtatunk egy emulátort (pl. VMWare), ami egy teljesen új számítógépet emulál nekünk, ahol vendég OS-ként futtathatunk bármilyen operációs rendszert (pl. Windows-unk alatt egy Linux alapú OS-t), ahova telepíthetünk programokat anélkül, hogy a gazda rendszerünk környezetét, vagy stabilitását veszélyeztetnénk. VMWare segítségével tesztelhetünk akár komplett hálozatot is (minden virtuális hálózati gépre önálló, és akár eltérő OS-t telepítve - a virtuális környezetre telepített OS is licensz köteles, erre VMWare fel is hívja a figyelmet Windows telepítésekor /lényegében az ide telepített OS-t is meg kell venni/). Tesztelhetünk akár virusokat, vagy probálhatunk ki önbetöréseket legálisan. Nem elképzelhetetlen az olyan rendszer sem, ahol kiszolgáló, vagy más programok/szolgáltatások futtatása történik a virtuális környezetben (az ezeket ért támadás csak a virtuális gép összeomlását eredményezné így, amit elég csak újra elindítani). Sőt pl. egy vírusfertőzés után a teljes virtuális OS csak egy korábbi környezetéből történő felülírást igényelne. (VMWare alatt minden létrehozott virtuális gép egy fájlban foglal helyet a számára meghatározott lemezterületnek megfelelő mérettel...)

(Igazán hasznos és professzionális tudást a biztonságot érintő teszteléshez persze csak valamilyen "Ethical hachking" tanfolyamon szerezhetünk, ilyen ismeretek átadására nem vagyok képes.)

Mindezt persze nemcsak emulátorokon keresztül tehetjük meg, az újabb operációs rendszerek és az új Linux kernelek már valódi processzor alapú virtualizációt is képesek megvalósítani, így megfelelő telepítéssel elindíthatunk egyszerre több különböző operációs rendszert is (pl. windows és Linux egyszerre). Az ilyen virtualizáció feltétele a megfelelő processzor (Intel és Amd oldalain található kompatibilitási lista), és a megfelelő kernel (pl. Linux Xen alapú kernel, vagy a megfelelő Windows verzió).

oldal tetejére

Az adathalász trükk hihetőbb és eredményesebb, ha a levelet küldő (feladó) minden kétséget kizáróan kompetens a megjelenő időtúllépéses oldallal kapcsolatban. Ez lehet olyan ismerősünk, akiről biztosan tudjuk, hogy ő nem verne át. Vagy ha a feladó egy adott rendszer üzemeltetője. Hogy valóban ő lehet-e a levél feladója, azt a levél fejlécének (header) megtekintése után deríthetjük ki.

A képen látható, hogy a levélküldő szerverek nem vizsgálják a feladó email címeként megadott adatok valódiságát. A fejlécben azonban szerepelnek a továbbító levelező szerver (internetszolgáltató adatai), és a küldő gép adatai (IP cím). Ez alapján vissza lehet követni a feladó tényleges kilétét (persze nem mi fogjuk megtudni az adatokat, hanem esetleg bíróság, vagy nyomozó hatóság) még dinamikus (csatlakozásonként változó) IP cím esetén is. A kitalált (vagy létező, de máshoz tartozó) e-mail cím így akár hihetőnek is tűnhet. A buktatója lehet egy válasz (reply), ahol kiderül, hogy az illető nem is küldött nekünk levelet, vagy az e-mail cím nem is létezik.

Kitalált email feladójának létrehozása:

oldal tetejére

A fentiekben részletezettek után sem lehet teljesen megnyugodni, mert számtalan ingyenes és megvásárolható módszer/program tudja biztosítani, hogy az elküldött levél fejlécéből eltávolítja az azonosító adatokat. Ez az "email anonymizer" nevű módszer egy speciális proxy (átjáró) számítógépen keresztül küldve levelünket (vagy a program működésétől függően meghatározott módon) úgy módosítja a levél fejlécét, hogy a küldő számítógépre vonatkozó adatokat törli. Így esetleg csak a kitalált email cím fog szerepelni a fejléc adatok között, és esetleg olyan továbbításban résztvevő számítógépek adatai, amelyek értelmezése nem informatív, vagy visszakövetése nem lehetséges.

oldal tetejére

Felmerülhet a kérdés, hogy valóban kell félni hackeléstől, és más hasonló dolgoktól, hiszen a hacker már ott lebukott, amikor elküldte a ping/egyéb üzenetét. Nem feltétlenül bukott le, tehát mégis kell tartani az ilyen módszerektől, mivel a hacker-t segíti többek között az anonymizált internetezést biztosító szolgáltatások tömkelege. Vannak ingyenesen igénybe vehető hálózatok (ezek általában elég nehézkesen működnek - lassúak, időnként nem válaszolnak), és vannak fizetős szolgáltatásként igénybe vehető módszerek.

oldal tetejére

Egy nemrég olvasott leírás a hackerek nyomon követhetetlenségét részletezi a hacker által képekbe (vagy más módon) rejtett hackelési adatok (email azonosítók, jelszavak, gépek hozzáférési adatai) tárolását internetes tárhelyeken. Mindenki hallott már a fájlrendszerek allokációs táblájáról (egymástól összefüggéstelenül tárolt adatok elérésének nyilvántartása), aminek az elvén megvalósítható valóban az ilyen jellegű adattárolás akár több különböző (akár ingyenes) internetes tárhelyen. (Később megkeresem újra a hivatkozott cikket.)
A módszer használható betörésvédelem melletti biztonságos jelszó/egyéb adat tárolására is - hiába tör be a hacker, nem talál csak értelmezhetetlen adatokat, amit egy általa nem ismert program tud csak összerakni. Persze az ilyen jellegű adatkezeléshez jelentős nagyságú sávszélesség kell (internetes tárolás esetén).

Rengeteg olyan program van, ami ezt megvalósítja, így a saját program készítést elvetettem egyenlőre. A megoldások többek között itt elérhetőek: www.cotse.com/tools/stega.htm

oldal tetejére