Jak se mají hackeři?

Útoky na různé výpočetní systémy jsou zřejmě jen o málo mladší, než výpočetní

technika sama. Už v dobách prvních sálových počítačů si někteří jejich

uživatelé potřebovali zjednat určité výhody, např. přidělit vyšší úroveň pro

zpracování vlastních úloh, dopřát si širší časové pásmo pro přístup k terminálu

apod.

Navíc byla tato činnost vždy určitou intelektuální výzvou. Na jedné straně

správce, který se (byť třeba jen zdánlivě) staví do pozice „Boha sítě“ a na

straně druhé hacker. Hacker, který často nemá k dispozici zdaleka takové

technické prostředky jako správce a přesto ho dokáže přelstít. Má totiž

zpravidla daleko více času a nadšení… A ještě jedna výhoda stojí na jeho

straně najít jedno slabé místo v systému bývá daleko snazší, než všechna taková

místa odstranit.

První zlatý věk hackingu (nebo hackování?) nastal s rozmnožením BBS (Bulletin

Board System), tedy počítačů, které na telefonu čekají na zájemce o své

informace. U veřejných BBS se jejich provozovatelé zpravidla snažili, aby se na

ně připojilo co nejvíce uživatelů počítačů a jejich prostřednictvím si

vyměňovali poštu a další informace a samozřejmě také software. Počet

návštěvníků pro ně často byl věcí cti.

Neveřejné BBS pak, jak už název napovídá, sloužily pro komunikaci členů nějaké

uzavřené komunity, případně zaměstnancům firmy, která takovou BBS provozovala.

Přístupy byly chráněny hesly a vůbec tu byla daleko silnější bezpečnostní

politika, než u BBS veřejných. Navíc jejich majitelé většinou nestáli o nějakou

publicitu.

Nahlédnete-li do nějaké „hackerské příručky“ z této doby, její první kapitoly

jsou věnovány popisu, jak zjistit to pravé telefonní číslo (a protože největší

výzvou je pokořit server, který ještě nikdo „nedostal“, tak zjištění čísel z

nějaké hackerské BBS nemuselo být tím nejlepším řešením). Důležitým ponaučením

platícím dodnes je především skutečnost, že řada užitečných informací se dá

nalézt ve firemních materiálech. Má-li např. telefonní ústředna koncové

trojčíslí 111, potom BBS bude pravděpodobně na čísle, které se bude od ústředny

lišit pouze na posledních třech místech. A má-li vedoucí střediska informatiky

trojčíslí 150 a jeho zástupce 151, potom je nápověda takřka dokonalá.

Když jste se konečně dovolali (tedy pardon, když se hacker dovolal) někam, kde

vás oslovil zcela jiný zvuk než lidský hlas, nastaly většinou další potíže

najít správnou rychlost přenosu dat, počet stopbitů atd. Po dlouhých minutách

experimentování se konečně objevil toužebně očekávaný prompt: „username>“, po

něm „password>“ a zbývala už jenom „maličkost“ najít správné uživatelské jméno

a heslo.

Je třeba poznamenat, že už v té době existovala spousta hackerských

softwarových pomůcek, které kupříkladu vyzkoušely sa-du telefonních čísel a

testovaly, je-li na druhém konci drátu modem, nebo zkoušely různá hesla… I

dnes, pokud se jen trochu porozhlédnete po Internetu, narazíte nejen na popisy

slabin různých síťových operačních systémů, ale také na programy, které jich

dokáží dovedně využít.

Je-li výše poznámka o zlatém věku hackerů v době BBS, potom s Internetem začal

pro hackery věk diamantový. Už není třeba pracně hledat telefonní čísla, ani

nastavovat startbity a stopbity. Natož nějaké rychlosti modemů. Komunikace se

usnadnila a zrychlila. A na BBS se zapomnělo, jakkoli je jich stále ještě v

provozu nemálo.

Věk Internetu

Potřebujete-li adresu nějaké organizace na Internetu, většinou jen stačí použít

jeden z mnoha vyhledávačů. Dál už záleží na cílech, které si kladete.

Řadě hackerů jde pouze o zrušení přístupu organizace na Internet, paralyzování

pošty nebo webového serveru. V tom případě mají situaci značně zjednodušenou,

protože k tomu lze často použít zcela „standardních“ prostředků.

Pokud jde o poštu, může k jejímu vyřazení z činnosti stačit pouhé její

zahlcení. U menších firem bude stačit zaslání jen několika megabytových (někdy

i pár stokilových) souborů a prostor pro příchozí poštu je zaplněn. Aby byl

původce takového útoku neidentifikovatelný, pro jistotu změní IP-adresu v poli

odesílatele. Protože příchod velkého množství pošty z jedné adresy (a ještě

navíc neznámé) může být ošetřen, bývá dalším vylepšením útoku přidělení různých

adres odesílatele jednotlivým zprávám nebo dokonce přidělení tzv. věrohodných

adres, tj. adres, se kterými má příjemce častý poštovní styk.

Nejúčinnější obranou před takovým útokem bývá omezení velikosti nevyžádaných

zpráv (resp. zpráv, jejichž příjem není předem potvrzen příjemcem). Další

možností je kontrola obsahu zpráv, která se ostatně používá pro ochranu před

nevyžádanou korespondencí obecně funkce prostředků, které ji zastávají, se

nazývá antispamming a může být poměrně účinná v případě reklamní korespondence.

Ovšem pokud šikovný hacker použije program pro generování náhodného obsahu

dopisů a k tomu náhodné adresy odesílatele, začíná být problém téměř

neřešitelný bez toho, aby se citelně neomezily také žádoucí zásilky.

Pro vyřazení webových serverů z provozu lze použít jen o poznání chytřejší

metody. Základem je zjistit, jaký serverový software používá firma, na kterou

má hacker v úmyslu zaútočit, a jaké jsou jeho slabiny. Na Internetu lze nalézt

popisy desítek různých chyb, kterých je možno využít.

Za všechny jmenujme známou „díru“ v MS Information Serveru, dík které mu stačí

zaslat nesmyslně dlouhou URL a on místo aby problém nějak korektně ošetřil,

přestane fungovat. Útočník jen vyzkouší, jaká délka je smrtící pro ten

konkrétní server, který si vybral za cíl.

V těchto případech je řešením důsledná aplikace patchů (záplat) od výrobce.

Nepříjemné je, že než se taková záplata objeví, může uplynout poměrně hodně

času. Pokud má správce systému k dispozici zdrojové kódy chybně napsané

aplikace (např. v případě LINUXu), může pomoci jejich úprava a opětovná

rekompilace (pokud samozřejmě správce umí programovat). Nepříjemné je, že tyto

zdrojové kódy mohou být k dispozici i hackerovi. Nejsou-li zdrojové kódy

dostupné, což bude asi převážná většina případů, nezbyde zřejmě nic jiného, než

filtrovat požadavky došlé z Internetu prostřednictvím další aplikace, typicky

firewallu.

Jakkoli je vyřazení webového nebo poštovního serveru z provozu velmi

nepříjemné, je to vlastně maličkost ve srovnání s průniky, které mohou

hackerovi posloužit k získání utajovaných dat z vnitřní sítě, příp. k vyřazení

z provozu některého ze serverů, které organizace nutně potřebuje ke své

činnosti. Takový útok může v nejhorším případě skončit zdánlivě velmi směšnou

situací, kdy síťový administrátor nemůže přistoupit do sítě, protože mu hacker

změnil heslo a „spravuje“ systém na dálku za něj.

Obecně platí, že čím menší možnosti správy na dálku, tím lépe. Z hlediska

bezpečnosti je optimálním řešením správa povolená pouze z konzole serveru.

Ovšem z tohoto hlediska by se také dalo konstatovat, že nejlepším řešením je

žádná síť, případně, pokud bychom chtěli jít do extrémů, žádné počítače.

Vnitřní síť

Pokud jde o napadení vnitřní sítě, existuje samozřejmě několik možných způsobů

útoku. Každý z nich předpokládá zjištění adresy sítě, která se může, ale

nemu-sí dát odhadnout, např. z adresy WWW serveru firmy. Spolehlivým řešením je

ve většině případů zjištění této informace z veřejně přístupné databáze NIC

(Network Information Centre) pro zachování „hackerské atmosféry“ lze zvolit

Telnet, ovšem stejné informace jsou k dispozici i prostřednictvím Webu

(http://rs. internic.net).

Dalším nezbytným krokem je zjištění těch bodů vnitřní sítě, které jsou schopny

poskytovat nějaké služby. K tomu může v případě neopatrného správce posloužit

přímo jeden z jeho name serverů. Další možností je zkoušet navázat spojení s

předpokládanými adresami počítačů vnitřní sítě na všech vhodných portech.

K průniku lze ovšem často využít též neopatrnosti uživatelů. Vhodným způsobem

může být např. vyvolání zájmu o WWW stránky, na které hacker umístí takový

program v Javě, který jeho průnik podpoří.

Jakkoli to může vypadat neuvěřitelně, poměrně velmi efektivním způsobem je též

zaslání dopisu, ke kterému je připojen „tajemný“ spustitelný soubor (a ani

nemusí být váš systém nastaven tak, aby se soubor sám spustil tak, jak to

umožňuje specifikace MIME Multipurpose Internet Mail Extension). Ten provede

zdánlivě neškodnou operaci (zahraje vánoční koledu, tváří se jako screensaver,

jako správce souborů nebo jiná utilita možností je nepočítaně) a mimo jiné v

sobě obsahuje tzv. trojského koně program, který bude útočníka zásobovat řadou

cenných informací, případně si s ním sám občas vyžádá spojení (a tím obejde

možný zákaz navazování spojení z vnějšku sítě).

Jediným problémem v tomto případě je vyvolání pocitu bezpečí u uživatele, který

má váš program spustit. To ovšem nebývá neřešitelné, protože u většiny

uživatelů ještě zatím bohužel nestihl vyvolat žádný pocit nebezpečí, takže jsou

ochotni spustit i programy od zcela neznámých lidí. Nemluvě už o osobách, které

znají letmo a takovou osobou hacker může být, nebo se za ni může vydávat.

Proti testování struktury vnitřní sítě pokusem navázat spojení je účinná

ochrana filtrováním paketů a vzhledem k dokumentačním schopnostem většiny

firewallů nebývá ani problém odhalit, že se někdo o takový útok pokouší.

Větším problémem bývají oni neopatrní uživatelé, kde už musí nastoupit filtrace

na úrovni proxy zde je pak nutno zakázat průchod spustitelných souborů ze všech

služeb, které přenos souborů umožňují. To se pochopitelně týká i souborů

komprimovaných, které lze případně zakázat obecně, nebo kontrolovat jejich

obsah, což je ovšem časově náročné. Přesto tato ochrana zřejmě nikdy nemůže být

dokonalá, protože je možno vydávat spustitelný soubor za nespustitelný a

posléze správně instruovat adresáta. Takže se nakonec dospěje k nepopulárnímu

řešení, které spočívá v zákazu jakýchkoli jiných, než textových souborů,

přičemž se jejich obsah ještě testuje slovníkem.

Uživatelská konta

Řada uživatelů (a dokonce i správců) považuje za dostatečné zabezpečení

uživatelských kont prostřednictvím hesel. Dokud síť není připojena k Internetu,

může to být i pravda, ale v okamžiku připojení a povolení vzdáleného přihlášení

se situace radikálně změní. (Přitom ono vzdálené přihlášení nemusí být povoleno

explicitně u nedostatečně zabezpečené sítě se i vzdálený uživatel může

prostřednictvím své adresy tvářit jako uživatel vnitřní). Nenainstaluje-li si

hacker prostřednictvím neopatrného uživatele trojského koně přímo dovnitř vaší

„bezpečné“ sítě, často mu pomůže k prolomení hesel prosté hádání.

U řady systémů je možno nastavit, že po několika neúspěšných pokusech o

přihlášení se konto na nějakou dobu zablokuje. Protože je však toto řešení

nepříjemné pro běžné uživatele (není žádný problém se např. třikrát splést a

pak nadávat na síť, že nechce povolit korektní přihlášení napočtvrté), bývá

často vyřazeno.

Na první pohled by se mohlo zdát, že uhádnout mnohapísmenné heslo je časově

náročný, možná dokonce v rozumném čase neřešitelný problém. Hackerům ovšem

pomáhá několik skutečností:

Heslo je často velmi krátké.

I krátké heslo bývá srozumitelné slovo.

Ono srozumitelné slovo mívá často vztah k uživateli, nebo dokonce k názvu jeho

konta.

Když už je heslo dlouhé, dává smysl vždy.

Dlouhé heslo má většinou blízký vztah k oblasti zájmů uživatele.

Některá konta mohou být dokonce nechráněná.

Pokud jde o nechráněná konta, zde se útočníci často soustřeďují na názvy jako

TEST, HOST (GUEST), DEMO, HRY (GAMES) apod. Pokud má útočník silnou motivaci k

průniku, snaží se zjistit, jaká hesla mohou volit jednotliví uživatelé sítě.

Často jde o jména příbuzných, případně o rodná čísla. Efektivní bývá i již

zmíněný způsob, že hacker naláká nic netušícího uživatele k připojení na

vlastní webovou stránku, kde mu pod nějakým příslibem (např. výhry v soutěži)

nabídne přihlášení k nějaké službě (samozřejmě zdarma). Součástí přihlášení

bývá i heslo zde se využívá skutečnosti, že řada uživatelů volí vždy to samé,

protože si nechce pamatovat desítky hesel různých.

Pokud jde o dlouhá hesla, jedná se často o různé citáty oblíbených osobností

nebo knih, částí písniček apod. Na ruční testování to samozřejmě není, ale na

druhou stranu rozhodně se tím řádově snižuje počet variant k testování (jakkoli

i tak jich samozřejmě zbývá mnoho obzvláště uvážíme-li, že většinou není známa

délka hesla). Dobrou ochranou proti tomuto způsobu hádání je prostá záměna

třeba jen jediného písmene v jinak zcela srozumitelném textu tak, aby se

změněné slovo stalo nesrozumitelným. Stejná pravidla platí pochopitelně pro

správcovské heslo, které může být někdy hlavním cílem útočníka.

Rozhodně nelze doporučit, aby heslem na toto konto byla slova jako „blb“, jak

jsem se s tím opravdu v reálu setkal (mimochodem poté, co se heslo provalilo,

bylo nápaditě změněno na „blbec“; jediným štěstím správce bylo mj. to, že se v

té době u nás o připojení do Internetu ještě nikomu ani nesnilo).

Některé firewally mohou mít na sobě několik uživatelských účtů. Potom se průnik

může zdařit přímým připojením k němu a odhalením hesla jednoho z účtů.

Na závěr snad jenom poznámku: tvrdí-li někdo, že je jeho síť absolutně

zabezpečena, potom to může znamenat v podstatě trojí. Možná hovoří pravdu a v

tom případě jsou práva uživatelů omezena na velmi omezující minimum. Možná lže.

A nebo si prostě jenom neuvědomuje, že stejně, jako se vyvíjejí techniky

ochrany, vyvíjejí se i techniky hackerů. Se stále se zvětšujícím počtem

počítačů, jejich uživatelů, ale také aplikačních protokolů (za všechny jmenujme

v poslední době stále více využívaný protokol RPC Remote Procedure Call pro

vzdálené volání procedur) v Internetu vznikají stále nová slabá místa v

systémech síťových administrátorů. A stále nové cestičky pro hackery, kterým v

tom lepším případě jenom dělá potěšení, že správce „dostanou“ s daleko

omezenějšími prostředky, než mají k dispozici oni.

V tom horším případě jim nejde o prestiž, ale o vaše data a peníze.

8 0023 / pen