Technika ta polega na podszywaniu się pod cudze adresy IP. Na początku hacker fałszuje adres IP, podszywa się pod wewnętrzne lub zewnętrzne zaufane adresy IP, żeby przejść przez system ochrony oparty tylko na identyfikacji adresów IP. W ten sposób można włamać się do jakiejś firmy, udając jej pracownika.
Jest to nic innego jak podsłuchiwanie sieci. Hacker po zdobyciu jakiegoś serwera może postawić na nim jakiegoś sniffera, który np. automatycznie przechwytuje wszystkie hasła i e-maile ludzi zalogowanych w tym systemie.
W metodzie tej nie wykorzystuje się żadnych aplikacji hackerskich, a jedynie ludzka głupotę i naiwność. Polega ona na wyłudzaniu haseł od użytkownika w taki sposób, aby ten nie wiedział, że nam daje hasło. Kevin Mitnick oświadczył, ze nigdy nie używał aplikacji hackerskich. Według niego, najsłabszym ogniwem są ludzie. "Inwestujecie miliony w firewalle, systemy biometryczne i najprzeróżniejsze zabezpieczenia techniczne. A potem okazuje się, ze Wasz pracownik zapisał hasło na karteczce i przykleił ją do monitora".
Wyróżnia się 2 metody łamania haseł: Brutal Force i metoda słownikowa. Brutal Force polega na podstawianiu przez program wszystkich możliwych kombinacji znaków, które mogły zostać wpisane z klawiatury (metoda ta może trwać kilka miesięcy). W metodzie słownikowej hasło łamie program, który wykorzystuje wcześniej spreparowany przez hackera słownik.
Technika ta polega na tym, ze hacker wysyła odpowiednie pingi do serwera, a ten nie nadąża na nie odpowiadać i następuje reboot.
Jest najbardziej wyrafinowaną metodą ataku. Network Snooping, czyli namierzanie sieci, wykorzystuje zaawansowane analizatory sieci, aby następnie wybrać najefektywniejszą w danym przypadku metodę ataku.
Inne techniki wykorzystywane przez przestępców komputerowych
Przestępcy często korzystają z tego, co osiągnęli hackerzy (propagujący dostępność informacji). Powyższe techniki stosowane przez hackerów są często stosowane przez przestępców komputerowych. Jest jednak kilka technik, które nie są związane i nie pochodzą ze środowiska hackerskiego. Za istotny przykład należy podać oprogramowanie typu badware.
Badware jest ogólną nazwą oprogramowania mogącego wyrządzić szkody ich użytkownikom. Oprogramowanie takie składa się z kilku podgrup, a najliczniej reprezentowaną i najpopularniejszą stanowią wirusy komputerowe. Jest wiele rodzajów wirusów, które można podzielić na kilka kategorii:
Schemat 1. Wybrane kategorie Badware'u
Źródło: http://republika.pl/b_s_k/bsk.htm
Wirus w fazie pierwszej (aktywacji) jest uruchamiany (uruchomienie głowy wirusa[1] : w przypadku wirusów plikowych jest to uruchomienie zainfekowanego programu; w przypadku wirusów dyskowych polega na uruchomieniu komputera z zarażonego nośnika). Faza ta jest obligatoryjna i po jej zakończeniu wirus może zakończyć swoją działalność. W drugiej fazie (destrukcji) wirus dokonuje zniszczeń w systemie (np. na usuwa, modyfikuje pliki, zmienia nazwy, rozszerzenia plików, itp.). Jest to najniebezpieczniejsza część działalności wirusa. Faza ta jest opcjonalna, a niektóre wirusy na tym etapie kończą swoje działanie. W ostatnim etapie (ujawnienia) użytkownik zostaje poinformowany o obecności obcego programu (np. odegranie melodyjki czy wyświetlenie komunikatu). Faza ta jest opcjonalna.
Schemat 2. Przykładowy podział wirusów
Źródło: http://republika.pl/b_s_k/bsk.htm
Wirusy rezydentne - wirusy które ładują się do pamięci dzięki instalacji przeprowadzanej samoistnie, a aktywują się wówczas, gdy zaistnieją określone warunki (np. uruchomienie aplikacji w ustalonym czasie).
Wirusy nierezydentne - aktywują się, gdy wykonywany jest zainfekowany program. Po zakończeniu wykonywania określonych funkcji są usuwane z pamięci komputera.
Wirusy dyskowe - to wirusy rezydentne, które aktywują się podczas startu systemu z zainfekowanego dysku (znajdują się w MBR - Master Boot Record). Wirusy dyskowe nazywne są często wirusami sektora ładującego (boot-sector virus), ponieważ ich działanie rozpoczyna się w momencie uruchamiania systemu.
Wirusy plikowe - ich działanie polega na tym, że dołączają się do plików wykonywalnych *.exe, a ich aktywacja następuje podczas uruchomienia zarażonego programu. Po wykonaniu swoich funkcji (często jest to tylko uaktywnienie wirusa) dalszym sterowaniem wirusa kieruje już program-nosiciel.
Wirusy hybrydowe - to połączenie różnych rodzajów wirusów (niekiedy nazywane są wirusami plikowo-dyskowymi). Ich działanie najczęściej polega na tym, iż atakują zarówno MBR dysku, jak i pliki. Dzięki temu mają ułatwione możliwości powielania się.
Koń Trojański jest kodem ukrytym w programie mogącym realizować także inne funkcje niż te, o których wie użytkownik, np. umożliwienie łączności z serwerem swego twórcy, lub przechwycenie haseł czy znaków wprowadzanych z klawiatury. Program wykonuje najczęściej pożyteczne funkcje równocześnie realizując ukryte zadania (np. kasowanie pliku). Szkodliwość koni trojańskich polega na tym, ze otwierają własny port, czyli rodzaj logicznych wrót do systemu i nasłuchują poleceń hackera. Tym samym umożliwią hackerowi wykonywanie zdalnych poleceń na zainfekowanym komputerze. Konie trojańskie (trojany) nie posiadają zdolności do samoreplikacji w przeciwieństwie do robaków (worm), a ich aktywacja może nastąpić poprzez ich uruchomienie i spełnienie określonych warunków. Do grupy tej zaliczyć można również miny (w skład których wchodzą bomby czasowe i bomby logiczne) oraz tzw. tylne wejścia.
Bomby czasowe są programami, których ukryte funkcje aktywowane zostają w określonym czasie (np. w dni parzyste).
Bomby logiczne są programami, których ukryte funkcje aktywowane zostają w momencie zajścia ustalonych wcześniej warunków (np. uruchomienie innego programu).
Miny są bardzo trudne do wykrycia i dlatego stanowią szczególnie wysokie niebezpieczeństwo. Zakres ich wykorzystania jest niesłychanie szeroki, ale najczęściej bywają stosowane do szantażu komputerowego (np. zaszyfrowanie plików ze strategicznymi dla firmy danymi po usunięciu nazwiska pracownika z listy płac i wyświetlenie komunikatu o "okupie").
Tylne wejścia (back door) jest luką w oprogramowaniu, która umożliwia wejście do zabezpieczonego programu lub użycie tajnej funkcji w programie. Luki takie mogą powstać celowo lub przypadkowo (np. "nie załatanie" wejścia serwisowego podczas przekazania programu użytkownikowi).
Robak jest to program, którego głównym celem jest rozprzestrzenianie się za pośrednictwem sieci komputerowej. Po przemieszczeniu robak dalej się przemieszcza (bardzo często wykorzystuje on książkę adresową poczty elektronicznej rozsyłając swoje kopie na każdy adres zawarty w książce). Jednocześnie może on wykonać określone przez jego autora zadania.
Królik (czasami nazywany bakterią) jest programem, który na skutek ciągłego powielania samego siebie wykorzystuje coraz większe zasoby systemu powodując jego destabilizację.
Elementy ataku wykorzystywane przez przestępców komputerowych
Przestępcy komputerowi wykorzystując różnorodne techniki ataku, dopuszczają się wszelkich modyfikacji w systemie oraz zbiorach znajdujących się w nim. W zależności, co jest przedmiotem ataku, przestępca może przeprowadzić jedną lub kilka a wymienionych poniżej akcji:
Polega na próbie dostępu do obiektu poprzez zbadanie jego charakterystyki. Działanie to jest o tyle niebezpieczne, że jest praktycznie niezauważalne. Nie jest wychwytywane przez standardowe systemy zabezpieczeń. Dokonującemu przygotowania do ataku wystarczy częstokroć jednorazowe zbadanie systemu, by następnie przeprowadzić skuteczny atak na system.
Przykładem zastosowania tej techniki jest masowe skanowanie klas adresowych danego dostawcy w poszukiwaniu celu ataku, z nastawieniem z reguły na konkretny system operacyjny. Ostatnio popularne jest skanowanie z wykorzystaniem narzędzi umożliwiających jednoczesne dokonanie ataku.
Element polegający na dostępie i zapoznaniu się z informacją, do której nie jest się uprawnionym. Jest to o tyle ważny element ataku, iż w myśl polskiego prawa, zapoznanie się z informacją przez osobę nieuprawnioną jest karane. Ta czynność ma szczególne znaczenie przy udowadnianiu sprawcy popełnionego czynu.
Samo kopiowanie informacji nie podlega odpowiedzialności karnej. Kopiowanie danych ma z punktu widzenia zagrożenia znaczenie o tyle, że osoba kopiująca dane, może nimi potem swobodnie obracać. Samo jednak kopiowanie nie musi prowadzić do dalszych czynności.
Kradzież zasobu to jego przejecie przez osobę nieuprawnioną, bez pozostawienia kopii w uprawnionej lokalizacji. Metoda ta ma pokrewne znaczenie do procedury kopiowanie, tyle, że rozszerza się o uniemożliwienie osobie uprawnionej dostępu do danych poprzez ich skasowanie lub trwałe przeniesienie do innej niedostępnej lokalizacji.
Modyfikacja to nic innego jak zmiana zawartości lub charakterystyki obiektu. Metoda ta może służyć wielorakim celom, może wprowadzić w błąd osoby uprawnione do korzystania z informacji, doprowadzić do kompromitacji zaatakowanego celu przed osobami z niego korzystającymi. System, który uległ modyfikacji może posłużyć jako element kolejnego ataku. Sprawca może wykorzystać go jako narzędzie uzyskania kolejnych haseł dostępu lub narzędzie do przeprowadzenie rozproszonego ataku typu DoS. Może również zmodyfikować w taki sposób, by mógł niepostrzeżenie powrócić do zmodyfikowanego systemu bez wiedzy osób nim zarządzających.
Ten element jest najbardziej przykrą formą ataku, dokonywaną z reguły przez niedoświadczonych lub działających w destrukcyjnych pobudkach sprawców.
|