Dodatek F
Słowniczek najważniejszych pojęć

802.3 — standard IEEE 802.3.

10BaseT — specyfikacja IEEE 802.3 warstwy fizycznej sieci Ethernet o przepustowości 10 Mb/s opartej na nieekranowanym dwuparowym kablu, nazywanym skrętką.

Akredytacja — rodzaj poświadczenia lub certyfikatu, wydanego przez wyznaczoną znaną i zaufaną osobę lub organizację, potwierdzającego spełnienie przez aplikację określonego poziomu wymogów bezpieczeństwa.

Aktywacja — moment i sposób, w jaki zostaje wykonany kod wirusa, infekując w tym momencie kolejny system operacyjny. Aby wirus mógł zarazić system, musi w nim zostać choćby raz uruchomiony. Samo skopiowanie nie wystarcza, gdyż jest wtedy traktowany jak zwykłe dane. Muszą zajść okoliczności, w których system potraktuje dane zawierające wirusa jako kod wykonywalny czy skrypt.

API (Application Programming Interface) — ustalony sposób komunikowania się systemu operacyjnego z warstwą aplikacji.

ARP (Address Resolution Protocol) — protokół określający adres sprzętowy komputera na podstawie numeru IP.

ARPANET — eksperymentalna sieć komputerowa dużego zasięgu, która w latach 60. pokryła Stany Zjednoczone. Jej realizacją zajmowała się ARPA (U.S. Department of Defense's Advanced Research Projects Agency).

ASCII (American Standard Code for Information Interchange) — uniwersalny standard kodowania numerycznego liter, cyfr, zbioru podstawowych znaków graficznych i przestankowych oraz pewnej ilości znaków sterujących w postaci 7 bitowych słów. Kiedyś brakujący bit używany był jako tzw. „bit parzystości”, za pomocą którego można było wykryć ewentualne błędy transmisji, teraz stosuje się go do rozszerzenia ilości znaków w standardzie.

Backdoor — patrz: „tylne drzwi”.

Bajt — za bajt przyjęło się uznawać jednostkę składającą się z 8 bitów informacji, gdyż w takich najmniejszych blokach są przetwarzane dane w większości systemów komputerowych.

Bind — serwer usługi DNS (Domain Name Service) tłumaczącej nazwy domen na odpowiadające im adresy IP.

Bit — jednocyfrowa liczba o podstawie 2 (0 lub 1); najmniejsza jednostka informacji.

Bomby pocztowe — poczta elektroniczna wysyłana w celu zapchania skrzynki pocztowej ofiary, spam. Bomby pocztowe z reguły przybierają postać niewielkiej ilości listów z dużymi załącznikami lub też tysięcy małych wiadomości.

Bootp — usługa pozwalająca na przydzielanie podłączonym do sieci komputerom bez pamięci dyskowej ich własnych adresów IP. Bootp identyfikuje komputery żądające przydzielenia adresu na podstawie ich konfiguracji sprzętowej, w szczególności adresu MAC wbudowanego w kartę sieciową.

Buffer Flow Control — kontrola zajętości bufora — technika pozwalająca zapobiegać przepełnieniom buforów powiązanych ze strumieniami danych. Kiedy jeden z procesów wysyła przez strumień większą ilość danych, niż drugi jest w stanie odebrać, jest on zatrzymywany, aby wolniejszy proces mógł nadążyć z odbieraniem i przetwarzaniem danych.

Buforowanie — technika ułatwiająca utrzymanie ciągłości strumienia danych. Buforowanie znakomicie ułatwia wyrównanie prędkości przetwarzania danych przez procesy, znajdujące się na dwóch końcach strumienia. Jeżeli na przykład proces A ma przekazać procesowi B przez sieć pewną ilość informacji, A po prostu „wrzuca” dane do bufora po swojej stronie strumienia, nie martwiąc się o nie więcej. Następnie system operacyjny odczytuje sekwencyjnie dane z bufora, wysyłając je do gospodarza procesu B. System operacyjny po drugiej stronie strumienia umieszcza dane w buforze, z którego proces B może je w dowolnym momencie przeczytać.

Cracker — osoba, która omija zabezpieczenia sieci lub określonego systemu, by uzyskać do niej nieautoryzowany dostęp, tzn. włamać się do systemu. Typowym celem takiej osoby jest nielegalne zdobycie poufnych informacji lub użycie systemu w jakikolwiek inny nielegalny sposób.

CRC (Cyclic Redundancy Check) — jest sposobem weryfikacji poprawności danych za pomocą tzw. sum kontrolnych. Przykładem zastosowania może być kontrola procesu przesyłania danych w sieci.

CSMA/CD (Carrier Sense with Multiple Acces and Collision Detection) — technologia pozwalająca wykryć i obsłużyć kolizje w sieciach Ethernet. Interfejsy sieciowe, które wywołały kolizje, natychmiast przerywają swoją transmisję. Ten, który jako pierwszy wykrył kolizję, wysyła w sieć informację o zajściu kolizji. Następnie każdy z nich oczekuje przez przypadkowy okres czasu na wznowienie transmisji. W przypadku występowania sekwencji kolizji, przypadkowy czas oczekiwania zostaje podwojony.

Datagram — pakiet tzw. protokołu bezpołączeniowego, na przykład protokołu UDP.

Demultiplexing — proces rozdzielania strumieni danych, połączonych uprzednio w jeden strumień za pomocą multiplexingu.

DMZ (Demilitarized Zone) — przestrzeń sieciowa położona za zaporą firewall, ale odseparowana od sieci wewnętrznej.

DSL (Digital Subscriber Line) — łącze z Internetem o przepustowości nawet od 6 do 30 razy większej od łączy w technologii ISDN przy dużo mniejszych kosztach, ponieważ DSL używa tradycyjnych linii telefonicznych.

FDDI (Fiber-Distributed Data Interface) — łącze światłowodowe dużej przepustowości.

GUI (Graphical User Interface) — interfejs graficzny aplikacji.

Haker — osoba doskonale obeznana z różnymi technologiami informatycznymi, szczególnie zaś programowaniem. Haker jest osobą, której sprawia przyjemność zagłębianie się w zagadnienia dotyczące budowy systemów operacyjnych i innych programów oraz wykorzystywanie tej wiedzy dla różnych, często niezgodnych z prawem celów, takich jak na przykład włamywanie się do obcych systemów i sieci, czy przerabianie do własnych celów różnych programów lub danych.

Handshaking — proces nawiązywania połączenia między dwoma końcami strumienia informacji. Polega głównie na uzgodnieniu podstawowych parametrów transmisji (na przykład prędkości transmisji między dwoma modemami).

HTML (Hypertext Markup Language) — język służący do opisu stron WWW. Główną koncepcją języka jest wstawianie w tekst strony, specjalnych znaczników formatujących i interpretujących tekst oraz sterujących sposobem wyświetlania strony.

Hub — koncentrator. Jest urządzeniem służącym do rozgałęziania sieci, zadaniem którego jest powtarzanie sygnałów każdego fizycznego portu wejściowego wszystkim pozostałym portom.

Inetd — demon sieciowy obsługujący wiele usług i przekazujący sterowanie do właściwego serwera w chwili nawiązania połączenia z danym serwerem komputera zdalnego. Stosuje się go w celu zaoszczędzenia pamięci operacyjnej komputera

InterNIC — organizacja przydzielająca i kontrolująca adresy IP w Internecie.

IP (Internet Protocol) — podstawowy protokół internetowy opisujący komunikację na 3. poziomie modelu OSI — odpowiedzialnym za wyznaczanie tras oraz sposób dostarczania informacji. Protokół IP definiuje budowę pakietów oraz sposób ich transmisji między urządzeniami sieciowymi. IPX (Internetwork Packet Exchange) — protokół sieci NetWare.

Koń trojański — jest zwykłym (lub wyglądającym na zwykły) programem, udającym często przydatne oprogramowanie, lecz wykonującym pewne operacje bez wiedzy i woli ich użytkownika. Zadaniem większości koni trojańskich jest pozostawienie w systemie tzw. „tylnych drzwi”.

LAN (Local Area Network) — grupa komputerów położona na stosunkowo niewielkim obszarze, połączona ze sobą jedynie podstawowymi urządzeniami sieciowymi (kable, huby, switche), w sposób, w którym każdy komputer może komunikować się z wszystkimi pozostałymi.

Luka w bezpieczeństwie — wszelkie przyczyny, które mogą potencjalnie stać się pomocne we wniknięciu intruza do systemu, powiększeniu jego uprawnień w systemie, pomagające atakującemu w jakikolwiek sposób utrudnić systemowi świadczenie usług lub też pozwalające atakującemu przechwycić, skopiować dane poufne.

Łącze wirtualne — łącze wirtualne jest połączeniem pomiędzy dwoma punktami sieci utworzonym tak, by wydawało się być fizycznym połączeniem (kawałkiem kabla, linią telefoniczną itp.), lecz w rzeczywistości będącym złożeniem innych kanałów informacyjnych. Istnieją dwa rodzaje połączeń wirtualnych — PVC (tworzone na stałe lub dłuższy okres czasu), oraz SVC (tworzone za każdym razem, gdy trzeba transportować dane). Technika ta pozwala na przykład dwóm komputerom stojącym w laboratorium połączyć się za pomocą kabla szeregowego, chociaż w rzeczywistości kabel ten nie istnieje, a dane są transmitowane przez Internet (na przykład kiedy archaiczny program wymaga takiego właśnie połączenia).

MAU (Multistation Access Unit) — urządzenie łączące komputery w sieć typu Token Ring.

MTU (Maximum Transfer Unit) — największy pakiet protokołu IP, jaki może zostać przetransportowany podczas konkretnego połączenia. Parametr ten jest ustalany przez obie strony podczas nawiązywania połączenia.

Multipleksowanie (Multiplexing) — metoda przesyłania wielu równoległych sygnałów za pomocą jednego fizycznego kanału informacyjnego.

NetBEUI (NetBIOS Extended User Interface) — protokół używany w sieciach lokalnych Windows NT, LAN Manager oraz sieciach IBM do przesyłania plików i zdalnego drukowania.

NetBIOS (Network Basic Input/Output System) — protokół pierwotnie przygotowany jako interfejs sieciowy, którym miały się posługiwać programy pracujące w sieciach IBM PC. Został jednak rozszerzony i obecnie może być używany w wielu innych popularnych sieciach.

Routing dynamiczny— proces wymiany informacji między sąsiednimi ruterami, pozwalający ustalić im właściwą topologię sieci, a dzięki temu właściwą drogę przebiegu pakietów.

Ochrona dostępności — zespół działań mających na celu zagwarantowanie dostępności pewnych ważnych i strategicznych usług. Składają się na niego z reguły systemy tworzenia kopii zapasowych oraz nadmiarowość posiadanego sprzętu.

OSI (Open Systems Interconnection) Model — zbiór umownych standardów dotyczących komunikacji za pomocą komputerów zakładających m.in. podzielenie zagadnień i problemów dotyczących komunikacji na siedem umownych warstw, rozpoczynając od najniższej — warstwy sprzętowej.

Pakiet — podstawowy nośnik transmisji danych w sieci Internet. Każda informacja przesyłana przez sieć jest dzielona na części umieszczane w pakietach, a następnie z pakietów ekstrahowane i łączone z powrotem w użyteczną informację.

Phreak — osoba, która włamuje się do sieci telefonicznych i innych chronionych sieci telekomunikacyjnych, głównie w celu darmowego korzystania z usług firm telekomunikacyjnych.

Podział na podsieci — proces wykorzystywania otrzymanych adresów sieciowych na zbudowanie w ich oparciu mniejszych sieci połączonych z głównym szkieletem.

Połączenie typu full-duplex — połączenie z możliwością jednoczesnej transmisji w obie strony w celu zmniejszenia ograniczenia przepustowości sieci.

POP (Post Office Protocol) — jest protokołem służącym do przenoszenia poczty elektronicznej z serwera pocztowego na komputer użytkownika. Protokół POP oparty jest na architekturze klient-serwer, w której pocztę odbiera serwer pocztowy, a następnie przechowuje ją do momentu, w którym użytkownik pobierze ją z serwera.

Porty standardowe — są to porty, na których domyślnie słuchają usługi sieciowe, na przykład portem standardowym usługi SMTP jest 25.

Porty specjalne (zarezerwowane) — początkowe 1024 z ponad 65 000 portów dostępnych w systemie operacyjnym. Porty te zarezerwowane są dla usług systemowych, z tego też powodu połączenia wychodzące ( z wyjątkiem kilku przypadków ) realizowane są przez porty o numeracji wyższej niż 1023.

Poziom błędów — stosunek ilości błędnie przesłanych pakietów do całkowitej liczby pakietów.

PPP (Point-to-Point Protocol) — protokół służący do transportowania pakietów IP przez łącza szeregowe lub telefoniczne.

Promiscious Mode — specjalny tryb działania interfejsu sieciowego, w którym reaguje on na wszystkie pakiety mające kontakt z interfejsem, a nie tylko te, których jest przeznaczeniem. Tryb ten pozwala na przykład rejestrować całkowity ruch w sieci lokalnej.

Protokół — zbiór zasad i norm dotyczących komunikowania się w sieci.

Przepustowość — miara zdolności kanału informacyjnego do przenoszenia informacji, mierzona stosunkiem ilości informacji do czasu ich przesyłania.

PVC (Permanent Virtual Circuit) — stałe połączenie między urządzeniami DTE przydatne do bardzo częstej transmisji danych.

Ramka — jest podstawową jednostką transmisji w sieciach zorientowanych na transmisję bitową. Ramkę stanowią bity informacji wysłane bezpośrednio po sobie i zawierające: adres źródła, adres przeznaczenia, dane oraz dodatkowe informacje kontrolujące transmisję (między innymi rekordy pozwalające na detekcję, ewentualnie korekcję błędów oraz indeksujące ramki).

RARP (Reverse Address Resolution Protocol) — \protokół pozwalający komputerom rozgłaszać ich adres sprzętowy, oczekując tym samym odpowiedzi od serwera przydzielającego adresy IP w sieci.

Replikacja — stadium rozwoju wirusa komputerowego, w którym stara się on, powielając, zarazić jak najwięcej innych komputerów, programów itp.

Rozpoznanie — proces zbierania przez hakera informacji o systemach i sieciach potencjalnie podatnych na atak, przydatnych później do opracowania odpowiedniego planu działania.

Ryzyko dopuszczalne — ryzyko określone przez zarząd jako dozwolone przy danym rodzaju działalności; ekonomicznie jest to ryzyko w punkcie, w którym równoważą się koszty utrzymywania danego poziomu bezpieczeństwa z ewentualnymi stratami pomnożonymi przez prawdopodobieństwo ich poniesienia.

SAP (Service Advertisement Protocol) — metoda, w której różne urządzenia sieciowe rozgłaszają swoje adresy sieciowe oraz udostępniane usługi. Domyślnie informacje te wysyłane są co 60 sekund.

Serwer plików — urządzenie sieciowe, którego głównym zadaniem jest udostępnianie swojej przestrzeni dyskowej na ogół komputerom w sieci lokalnej. Rozwiązanie takie ma na celu zmniejszenie kosztów pamięci dyskowej oraz zwiększenie bezpieczeństwa danych.

Skanowanie — skanowanie portów jest działaniem mającym na celu zbadanie określonych portów określonych komputerów w poszukiwaniu różnych użytecznych informacji. Specjalne programy (skanery portów) badają zadane porty w poszukiwaniu tych, które wydają się być podatne na atak, lub też mogą zdradzić przydatne informacje.

Skanowanie fragmentacyjne — modyfikacja pozostałych metod skanowania, w której pakiety przeznaczone do skanowania dzielone są na fragmenty. Jeżeli nagłówek pakietu TCP zostanie podzielony na części, wtedy filtry pakietów będą miały znikome szanse wykrycia skanowania.

Skanowanie metodą TCP (pełne) — najprostsza metoda skanowania, w której skaner stara się nawiązać ze skanowanymi portami pełne połączenie.

Skanowanie metodą TCP FIN — metoda skanowania portów utrudniająca wykrycie faktu skanowania. Niektóre firewalle oraz filtry pakietów (takie jak na przykład Synlogger czy Courtney) potrafią wykryć skanowanie pakietami SYN. W takich sytuacjach czasami możliwe jest skanowanie pakietami FIN, gdyż otwarte porty z reguły odpowiadają na nie pakietami RST, podczas gdy zamknięte porty ignorują tego typu pakiety.

Skanowanie metodą TCP SYN — metoda skanowania nazywana również „skanowaniem połówkowym”. W metodzie tej nie następuje otwarcie połączenia, zamiast tego w kierunku skanowanego portu zostaje wysłany pakiet SYN, sugerujący otwarte połączenie i oczekiwanie na odpowiedź. Jeżeli w odpowiedzi skaner otrzyma pakiet SYN/ACK, oznacza to, że port nasłuchuje, w przeciwnym wypadku skaner otrzymuje pakiet RST. Po otrzymaniu SYN/ACK skaner niezwłocznie „zamyka” połączenie, wysyłając pakiet RST.

Skanowanie metodą UDP ICMP_PORT_UNREACH — metoda skanowania używająca protokołu UDP zamiast TCP. Wprawdzie protokół UDP jest mniej skomplikowany, lecz metody skanowania używające UDP muszą być bardziej wyrafinowane, ponieważ otwarte porty nie mają obowiązku wysyłać odpowiedzi, a zamknięte nie muszą wysyłać pakietów informujących o błędach. Na szczęście większość systemów jest skonfigurowana do wysyłania pakietu ICMP_PORT_UNREACH w odpowiedzi na wysłanie pakietu do zamkniętego portu. Pozwala to stwierdzić, które porty są zamknięte, a pośrednio — które są otwarte.

Skanowanie metodą UDP recvfrom() oraz write() — zwykli użytkownicy nie mogą bezpośrednio otrzymywać pakietów informujących ICMP_PORT_UNREACH. Jednakże system Linux informuje o tym fakcie pośrednio. Na przykład drugie i kolejne wywołania funkcji write() z poleceniem zapisu do zamkniętego portu spowoduje zwrócenie błędu. Wiele skanerów (na przykład netcat i pscan.c) wykorzystuje z powodzeniem tę metodę.

Skanowanie wewnętrzne — test, zwykle przeprowadzany przez administratora sieci, mający za zadanie ujawnić ewentualne luki w mechanizmach bezpieczeństwa warstwy aplikacji oraz portów.

Sniffer — program, którego zadaniem jest pasywne rejestrowanie i kopiowanie ruchu w sieci. Programy tego typu wykorzystywane są przez hakerów do zbierania informacji o sieci oraz przechwytywania wysyłanych przez użytkowników i urządzenia sieciowe informacji (na przykład haseł).

SNMP (Simple Network Management Protocol) — protokół służący do zarządzania i monitorowania urządzeń sieciowych.

Strumień — kanał informacyjny służący do transmitowania danych między procesami znajdującymi się na jego końcach.

SVC (Switched Virtual Circuit) — chwilowe połączenia pomiędzy urządzeniami DTE służące przekazywaniu danych w większych odstępach czasu.

TCP (Transmission Control Protocol) — zadaniem protokołu TCP jest umożliwienie połączenia, a następnie kontrola procesu przekazywania danych w strumieniu (na przykład ponowne wysyłanie pakietów, które nie dotarły do miejsca przeznaczenia lub dotarły zniekształcone).

Transmisja asynchroniczna — transmisja, która nie wykorzystuje sygnału synchronizującego. W transmisji tej każda stacja nadawcza może próbować zacząć nadawanie bez oczekiwania na taki sygnał.

Transmisja synchroniczna — transmisja wykorzystująca sygnał synchronizujący do przesyłania informacji. Stacja nadawcza, chcąc wysłać jakąś informację po sieci, musi wysyłać tę informację w ściśle określonych momentach czasu, wyznaczanych przez sygnał synchronizujący.

Transmisja w postaci okien — ma miejsce wtedy, gdy dwa końce połączenia uzgadniają, jaką liczbę segmentów mogą wysłać podczas każdej transmisji. Liczba ta nazywana jest rozmiarem okna. Przykładowo, jeśli obie strony połączenia uzgodniły rozmiar okna równy 3, oznacza to, że każda strona po wysłaniu 3 segmentów będzie oczekiwać na odpowiedź drugiej. Transmisja zostanie wznowiona dopiero po otrzymaniu odpowiedzi.

Trojan — patrz „koń trojański”.

Tylne drzwi — termin ten określa każdą umyślnie wykonaną lukę w bezpieczeństwie systemu, pozwalającą na przykład na ponowne włamanie się do niego. Hakerzy bardzo często po jednokrotnym włamaniu tak zmieniają zaatakowany system, by w przyszłości mogli włamać się do niego ponownie, lecz tym razem już bez większych przeszkód.

UDP (User Datagram Protocol) — protokół komunikacyjny, charakteryzujący się niewielką ilością pakietów potrzebnych do wysłania krótkich informacji, gdyż w protokole UDP nie nawiązuje się połączenia.

UUCP (UNIX-to-UNIX Copy Protocol) — zbiór programów wywodzących się z systemu UNIX, służących do kopiowania plików pomiędzy dwoma komputerami, lecz, co ważniejsze, również zdalnego wykonywania poleceń.

VLSM (Variable-Length Subnet Masking) — rozprzestrzenianie informacji podsieci za pomocą routerów.

WAN (Wide Area Network) — sieci rozproszone na (geograficznie) dużym obszarze.

Wirusy — są programami rozprzestrzeniającymi się przez zarażanie innych programów użytkowych lub też systemowych.

Wykrywanie błędów — zespół działań, których zadaniem jest wykrycie zakłóceń podczas przechowywania lub transmisji danych. Powszechnie stosowanym sposobem korekcji błędów jest dołączanie do danych pewnych informacji nadmiarowych (na przykład sum kontrolnych, podpisów elektronicznych), na podstawie których można przy odczycie danych stwierdzić, czy uległy uszkodzeniu.

Ale tylko na terenie Ameryki Pn. W Europie organizacja podobna ma nazwę RIPE, a nadzór nad tymi organizacjami ma IANA — przyp. tłum.

Można się jednak spotkać z sytuacjami, gdzie MTU nie jest ustalane w czasie połączenia, lecz na sztywno ustawione i niezmienialne — przyp. tłum.

390 Hack Wars. Tom 2. Na tropie hakerów

Dodatek F ♦ Słowniczek najważniejszych pojęć 391

390 C:\Biezace\Hack Wars\hack wars 2\9 makieta\dodatek F.doc

C:\Biezace\Hack Wars\hack wars 2\9 makieta\dodatek F.doc 391

C:\Biezace\Hack Wars\hack wars 2\9 makieta\dodatek F.doc 389

---