plik

��RozdziaB 4 Porty standardowe oraz zwizane z nimi usBugi Podejrzewam, |e po przeczytaniu RozdziaBu 1. oraz RozdziaBu 3. zaczynasz my[le, m�wi, a mo|e nawet zachowywa si jak haker. Najwy|szy wic czas, by zastosowa zdobyt wiedz dla poprawienia bezpieczeDstwa wBasnej sieci. W cz[ci tej przyjrzymy si dokBadniej mechanizmom powodujcym, |e porty standardowe oraz odpowiadajce im usBugi s tak wra|liwe na r�|nego rodzaju ataki. Nastpnie, w rozdziale 5., poznasz oprogramowanie, technik, oraz wiedz u|ywan przez haker�w i im podobnych. Przegld port�w Porty wej[cia-wyj[cia s kanaBami, przez kt�re przepBywaj dane pomidzy r�|norodnymi urzdzeniami i procesorem. Hakerzy poszukuj otwartych, lub nasBuchujcych , a tym samym podatnych na atak port�w, aby nastpnie wykorzysta je do swoich cel�w. Narzdzia, takie jak np. skanery port�w (opisane dokBadniej w rozdziale 5.) pozwalaj w kr�tkim czasie przeszuka wszystkie z ponad 65 000 port�w komputera. Poszukiwania te skupiaj si jednak gB�wnie na pierwszych 1024 portach nazywanych r�wnie| portami standardowymi. Porty te zarezerwowane s dla usBug systemowych, z tego te| powodu poBczenia wychodzce realizowane s poprzez porty o numeracji wy|szej ni| 1023. Oznacza to r�wnie|, |e wszystkie pakiety przychodzce poprzez porty ponad 1023. s odpowiedzi na wewntrzne |dania. Skanowanie port�w polega na zebraniu informacji o otwartych, p�Botwartych oraz zamknitych portach komputera. Program tego typu wysyBa do ka|dego przeszukiwanego portu zapytanie o jego status. Komputer, nie majc |adnych dodatkowych informacji, automatycznie wysyBa |dan odpowiedz. Ofiara skanowania port�w, bez |adnych dodatkowych krok�w, prawdopodobnie nigdy si o tym nie dowie. W paru kolejnych punktach skupi si na opisaniu najbardziej znanych port�w standardowych wraz z odpowiadajcymi im usBugami i lukami przez nie powodowanymi. Przybli| te| podstawowe techniki wykorzystujce zdobyt wiedz. Wiele port�w uwa|anych jest za wystarczajco bezpieczne, by pomin je w niniejszym opracowaniu. Zajmiemy si wic jedynie tymi, kt�re mog stanowi prawdziwe zagro|enie dla bezpieczeDstwa systemu. Porty TCP oraz UDP Aby poBczenie pomidzy dwoma komputerami mogBo doj[ do skutku, strona pragnca nawiza poBczenie musi zna numer portu gospodarza do kt�rego powinna si poBczy. Z tego powodu powstaBa specjalna lista (opracowana przez IANA1, a dostpna w RFC1700 oraz pod adresem ftp://ftp.isi.edu/inotes/iana/assignments) wi|ca porty standardowe i odpowiadajce im usBugi lub protokoBy internetowe. Z ka|dym portem mo|na si komunikowa na wiele r�|nych sposob�w nazywanych protokoBami. Istniej dwa szczeg�lnie powszechne 1 IANA Internet Assigned Numbers Authority jest centralnym koordynatorem przydzielajcym unikalne warto[ci liczbowe zwizane z protokoBami internetowymi. protokoBy internetowe TCP oraz UDP (opisane odpowiednio w RFC793 i RFC768). Nale|y pamita o tym, |e poBczenie przy pomocy protokoBu TCP jest realizowane w trzech stopniach pozwalajcych na dokBadne zsynchronizowanie strumienia pakiet�w wysyBanych przez obie strony. Taki spos�b postpowania pozwala otrzyma pewny, stabilny, zorientowany na poBczenie kanaB informacji. Odmienn strategi wykorzystuje protok�B UDP. Nie inicjuje si tutaj poBczenia, nie ma te| pewno[ci, |e datagramy bd przychodzi we wBa[ciwej kolejno[ci. Wynikiem takiego postpowania jest szybki, zorientowany na transmisj kanaB informacji. Tabele 4.1 oraz 4.2 zawieraj skr�con list port�w standardowych, odpowiednio TCP i UDP, wraz z usBugami z nimi zwizanymi (peBna lista znajduje si w Dodatku C na koDcu tej ksi|ki). Tabela 4.1. Standardowe porty TCP oraz usBugi z nimi zwizane Numer portu UsBuga TCP Numer portu UsBuga TCP 7 echo 115 sftp 9 discard 117 path 11 systat 119 nntp 13 daytime 135 loc-serv 15 netstat 139 nbsession 17 qotd 144 news 19 chargen 158 tcprepo 20 FTP-data 170 print-srv 21 FTP 175 vmnet 23 telnet 400 vmnet0 25 SMTP 512 exec 37 time 513 login 42 name 514 shell 43 whois 515 printer 53 domain 520 efs 57 mtp 526 temp 77 rje 530 courier 79 finger 531 conference 80 http 532 netnews 87 link 540 uucp 95 supdup 543 klogin 101 hostnames 544 kshell 102 iso-tsap 556 remotefs 103 dictionary 600 garcon 104 X400-snd 601 maitrd 105 csnet-ns 602 busboy 109 pop2 751 kerberos 110 pop3 752 kerberos-mast 111 portmap 754 krb_prop 113 auth 888 erlogin Tabela 4.2. Standardowe porty UDP oraz usBugi z nimi zwizane Numer portu UsBuga UDP Numer portu UsBuga UDP 7 echo 514 syslog 9 discard 515 printer 13 daytime 517 talk 17 qotd 518 ntalk 19 chargen 520 route 37 time 525 timed 39 rip 531 rvd-control 42 name 533 netwall 43 whois 550 new-rwho 53 dns 560 rmonitor 67 bootp 561 monitor 69 tftp 700 acctmaster 111 portmap 701 acctslave 123 ntp 702 acct 137 nbname 703 acctlogin 138 nbdatagram 704 acctprinter 153 sgmp 705 acctinfo 161 snmp 706 acctslave2 162 snmp-trap 707 acctdisk 315 load 750 kerberos 500 sytek 751 kerberos_mast 512 biff 752 passwd_server 513 who 753 userreg_serve Luki w bezpieczeDstwie zwizane z portami standardowymi Na potrzeby ksi|ki opisy port�w i usBug zostan przedstawione z punktu widzenia hakera. Taka konstrukcja opis�w ma za zadanie u[wiadomi, jakie szanse ma osoba postronna na przeBamanie zabezpieczeD i na dostanie si do naszego systemu, lub jego uszkodzenie. Numer portu: 7 UsBuga: echo Port ten wykorzystywany jest do analizowania bie|cej kondycji poBczenia internetowego. Zadaniem usBugi jest wysyBanie do nadawcy wszelkich otrzymanych od niego pakiet�w1. Programem wykorzystujcym jej wBa[ciwo[ci jest PING (Packet InterNet Groper). Podstawowy problem dotyczcy tego portu zwizany jest z 1 DokBadniejsze informacje na ten temat znajduj si w RFC792 niekt�rymi systemami operacyjnymi, kt�re dopuszczaj przetwarzanie pakiet�w o nieprawidBowych rozmiarach. Najbardziej znanym sposobem wykorzystania tej luki jest wysBanie do portu ofiary pojedynczego pakietu o rozmiarach przekraczajcych 65 536 bajt�w podzielonego na wiele fragment�w. System operacyjny ofiary nie mo|e oczywi[cie przetworzy cz[ciowo otrzymanego pakietu, oczekuje wic na pozostaB cz[. Je|eli przydzielony jest statyczny bufor pakietu, powoduje to jego przepeBnienie, co w efekcie mo|e doprowadzi do zawieszenia dziaBania systemu, lub ponownego jego uruchomienia. Taktyka taka bardzo czsto nazywana jest Ping of Death . Innym powa|nym zagro|eniem jest tzw. Ping Flooding . Spos�b ten polega na masowym wysyBaniu w kierunku portu ofiary pakiet�w PING. Poniewa| usBuga odpowiada na ka|dy pakiet, mo|e to spowodowa wyczerpanie zasob�w systemowych i sieciowych (np. odcicie komputera od Internetu, lub spowolnienie jego pracy). PrzykBad dziaBania programu PING pokazany jest na rys. 4.1. C:\>ping task.gda.pl Badanie task.gda.pl [153.19.253.204] z u|yciem 32 bajt�w danych Odpowiedz z 153.19.253.204: bajt�w=32 czas=762ms TTL=247 Odpowiedz z 153.19.253.204: bajt�w=32 czas=763ms TTL=247 Odpowiedz z 153.19.253.204: bajt�w=32 czas=693ms TTL=247 Odpowiedz z 153.19.253.204: bajt�w=32 czas=704ms TTL=247 Statystyka badania dla 153.19.253.204: Pakiety: WysBane = 4, Odebrane = 4, Utracone = 0 (0% utraconych), Szacunkowy czas bBdzenia pakiet�w w milisekundach: Minimum = 693ms, Maksimum = 763ms, Zrednia = 730ms Rys. 4.1 PrzykBad dziaBania programu ping. Numer portu: 11 UsBuga: systat UsBuga ta zostaBa zaprojektowana do udzielania informacji o bie|cych procesach. Przy jej pomocy mo|na wic otrzyma informacje np. na temat zainstalowanego w systemie oprogramowania, czy te| zalogowanych u|ytkownik�w. Numer portu: 15 UsBuga: netstat Podobnie do usBugi poBczonej z portem 11, netstat podaje informacje dotyczce pracy systemu operacyjnego, takie jak np. informacje o aktywnych poBczeniach, obsBugiwanych protokoBach, i wiele innych r�wnie przydatnych z punktu widzenia atakujcego informacji. Typowy wynik otrzymany z tego portu dla standardowego systemu Windows przedstawiony jest na rys. 4.2. Protok�B Adres lokalny Obcy adres Stan TCP pavilion:135 PAVILION:0 NASAUCHIWANIE TCP pavilion:1025 PAVILION:0 NASAUCHIWANIE TCP pavilion:1035 PAVILION:0 NASAUCHIWANIE TCP pavilion:1074 PAVILION:0 NASAUCHIWANIE TCP pavilion:138 PAVILION:0 NASAUCHIWANIE TCP pavilion:nbsession PAVILION:0 NASAUCHIWANIE TCP pavilion:137 PAVILION:0 NASAUCHIWANIE UDP pavilion:1035 *:* UDP pavilion:1074 *:* UDP pavilion:nbname *:* UDP pavilion:nbdatagram *:* Rys. 4.2 Informacje zdobyte przy pomocy portu usBugi netstat dla standardowego systemu Windows. Numer portu: 19 UsBuga: chargen Port numer 19, oraz zwizana z nim usBuga chargen wydaj si by zupeBnie nieszkodliwe. Jak sama nazwa wskazuje, dziaBanie tej usBugi polega na cigBym generowaniu strumienia znak�w przydatnym podczas testowania poBczenia internetowego. Niestety, usBuga ta jest podatna na atak przy pomocy bezpo[redniego poBczenia telnetowego. Je[li wygenerowany w ten spos�b strumieD znak�w zostanie skierowany np. na port 53 (DNS Domain Name Service) mo|e to spowodowa bBd ochrony w usBudze DNS, a w konsekwencji utrat zdolno[ci systemu do tBumaczenia nazw symolicznych na numery IP i odwrotnie. Numery port�w: 20, 21 UsBugi (w kolejno[ci): FTP-data, FTP UsBugi powizane z portami 20 i 21 stanowi podstaw dziaBania protokoBu FTP (File Transfer Protocol). Aby odczyta, lub zapisa plik na serwerze FTP, musi zosta nawizane r�wnolegBe poBczenie sBu|ce do transmisji danych. Tak wic w typowej sytuacji port 21 sBu|y jedynie do wysyBania rozkaz�w, oraz odbierania odpowiedzi, podczas gdy rzeczywista transmisja danych odbywa si poprzez port 20. Protok�B FTP umo|liwia midzy innymi na kopiowanie, usuwanie i zmian plik�w oraz katalog�w. W Rozdziale 5. om�wione zostan dokBadniej luki w bezpieczeDstwie powodowane przez serwery FTP, oraz techniki pozwalajce atakujcemu niepostrze|enie kontrolowa system plik�w ofiary. Numer portu: 23 UsBuga: telnet UsBuga wBa[ciwa dla portu 23 jest powszechnie znanym protokoBem sBu|cym do zdalnego logowania. Telnet dziaBajc jako emulator terminalu pozwala na logowanie si, oraz u|ywanie interpretera poleceD na zdalnym systemie. W zale|no[ci od prekonfigurowanych ustawieD bezpieczeDstwa, serwer ten mo|e pozwala, i z reg�By pozwala na kontrol dostpu do systemu operacyjnego. Niestety, wykonanie specjalnie zaprojektowanych skrypt�w przygotowanych dla konkretnych wersji serwera potrafi doprowadzi do przepeBnienia bufora, co w niekt�rych wypadkach doprowadza do uzyskania peBnego dostpu do systemu. PrzykBadem mo|e by program TigerBreach Penetrator (rys. 4.3), kt�ry jest cz[ci pakietu TigerSuite (pakiet ten zamieszczony zostaB na CD doBczonym do ksi|ki, a jego dokBadniejszy opis znajduje si Rozdziale 12.). Rys. 4.3 TigerBreach Penetrator w akcji. Numer portu: 25 UsBuga: SMTP Protok�B SMTP (Simple Mail Transfer Protocol) jest gB�wnie u|ywany do przenoszenia poczty elektronicznej. Standardowo serwery SMTP oczekuj na przychodzc poczt na porcie 25, za[ odebran poczt kopiuj do odpowiednich skrzynek pocztowych. Je[li wiadomo[ nie mo|e zosta dostarczona, nadawcy zwracany jest komunikat bBdu zawierajcy pocztkowy fragment wiadomo[ci. Po uzyskaniu poBczenia poprzez protok�B TCP, komputer wysyBajcy poczt (klient) czeka na komputer odbierajcy poczt (serwer), aby wysBa wiersz tekstu identyfikujcy klienta oraz informujcy, |e klient jest gotowy wysBa poczt. W mechanizmie tym sumy kontrolne nie s wymagane do nawizania kontaktu z powodu wewntrznych mechanizm�w kontrolujcych przepByw danych w protokole TCP. Kiedy poczta zostanie w caBo[ci odebrana przez serwer, poBczenie zostaje zwolnione. Podstawowymi problememi dotyczcymi wymiany poczty elektronicznej s m.in. mail bombing 1 1 mail bombing atak typu DoS (Denial of Service) wykonywany poprzez wysyBanie na pojedyDczy serwer lub skrzynk pocztow du|ej ilo[ci poczty w celu ograniczenia dostpno[ci serwera, lub przepeBnienia skrzynki pocztowej. oraz mail spamming 1, ale nie brakuje r�wnie| wielu innych atak�w typu DoS (Denial of Service)2. Problemy te zostan dokBadniej om�wione w dalszej cz[ci ksi|ki. Numer portu: 43 UsBuga: whois UsBuga Whois (http://rs.Internic.net/whois.html) jest opartym na protokole TCP serwerem dziaBajcym na zasadzie pytanie-odpowiedz pracujcym na niewielkiej liczbie specyficznych komputer�w centralnych. Jej zadaniem jest udostpnianie informacji o usBugach dostpnych w sieci. Wiele domen utrzymuje swoje wBasne serwery Whois zawierajce informacje o usBugach lokalnych. Serwisy tego typu s wykorzystywane przez haker�w i im podobnych podczas zbierania informacji o potencjalnych ofiarach. Najpopularniejsze i najwiksze bazy danych Whois dostpne s na serwerze InterNIC (rys. 4.4). Rys. 4.4 Na tej stronie mo|na wysyBa zapytania do usBugi Whois poBo|onej na serwerze InterNIC. Numer portu: 53 UsBuga: domain Nazwa domeny jest cigiem znak�w identyfikujcym jeden lub wicej adres�w IP. Istnienie takiej usBugi jest uzasadnione choby z tego powodu, |e Batwiej jest zapamita nazw symboliczn domeny, ni| cztero- lub 1 mail spamming to nie jest atak sam w sobie. mail spamming to wysyBanie du|ej ilo[ci w gruncie rzeczy zbdnej poczty (takiej, jak np. reklamy) na skrzynki pocztowe wielu u|ytkownik�w przyczyniajc si do obci|enia serwer�w i przepeBniania skrzynek. 2 Celem ataku typu DoS jest zablokowanie mo|liwo[ci korzystania z okre[lonych, lub wszystkich usBug atakowanego serwera, lub nawet doprowadzenie serwera do stanu, w kt�rym atakujcy bdzie m�gB poszerzy swoje uprawnienia do korzystania z serwera (z uzyskaniem uprawnieD administratora wBcznie). sze[cioczBonowy1 adres IP. Zadaniem usBugi DNS (Domain Name Service) jest tBumaczenie nazw symbolicznych na adresy IP i odwrotnie. Tak jak to zostaBo wyja[nione w poprzednich rozdziaBach, datagramy wdrujce poprzez sie Internet u|ywaj adres�w IP, dlatego te| ka|dorazowo gdy u|yty zostaje adres symboliczny, nale|y przetBumaczy go na odpowiadajcy mu adres IP. W uproszczeniu kiedy u|ytkownik wprowadza adres symboliczny, na przykBad w przegldarce, nazwa symboliczna wysyBana zostaje do serwera DNS, kt�ry po odszukaniu odpowiedniego rekordu w swojej bazie danych odsyBa wBa[ciwy adres IP. Niedawno prowadzono [ledztwo w sprawie podmieniania adres�w DNS2. Podmienianie datagram�w wdrujcy od, lub do serwera DNS daje atakujcemu, przykBadowo, mo|liwo[ oszukania u|ytkownika pr�bujcego poBczy si ze swoim serwerem pocztowym. Tak naprawd bdzie si pr�bowaB poBczy do innego serwera, zdradzajc przy okazji hasBo do swojego konta pocztowego. Czste s te| przypadki r�|nego rodzaju atak�w typu DoS, powodujcych czasami niedostpno[ usBugi DNS. PrzykBad typowego zapytania DNS pokazany jest na rys 4.5. Lista odpowiedzi: Nazwa zasobu: tigertools.net Typ: A Klasa: IN Adres IP: 207.155.252.47 Nazwa zasobu: tigertools.net Typ: A Klasa: IN Adres IP: 207.155.252.14 Nazwa zasobu: tigertools.net Typ: A Klasa: IN Adres IP: 207.155.248.7 Nazwa zasobu: tigertools.net Typ: A Klasa: IN Adres IP: 207.155.248.9 Rys. 4.5 Typowa odpowiedz na zapytanie DNS. Numer portu: 67 UsBuga: bootp Protok�B bootp pozwala komputerom bez pamici staBej na otrzymanie wBasnego adresu IP. Serwer bootp rozpoznaje takie maszyny na podstawie ich konfiguracji sprztowej (najcz[ciej jest to adres MAC3). SBabym punktem protokoBu bootp jest moduB kernela, kt�ry podatny jest na przepeBnienia bufora, powodujce bBdy systemu. Jakkolwiek wikszo[ tego typu przypadk�w jest wynikiem atak�w z sieci lokalnej, starsze systemy mog by r�wnie| podatne na ataki z Internetu. Numer portu: 69 UsBuga: tftp Protok�B TFTP (Trivial File Transfer Protocol) jest uproszczon wersj protokoBu FTP sBu|c gB�wnie do inicjowania i uaktualniania system�w operacyjnych r�|nego rodzaju urzdzeD sieciowych (gB�wnie ruter�w i przeBcznik�w). TFTP zostaB zaprojektowany tak, aby byBo mo|liwe zaimplementowanie go do pamici ROM. 1 Nowa wersja protokoBu IP IPv6 przewiduje 6 bajt�w adresu w przeciwieDstwie do 4 w u|ywanym powszechnie protokole IPv4. 2 Podmienianie adres�w DNS okre[la si jako DNS spoofing . Spoofing polega na podmienianiu pakiet�w na odcinku pomidzy serwerem i klientem. 3 Adres MAC (Media Access Control) jest sze[cio-bajtowym unikalnym numerem identyfikacyjnym niejako wbudowanym w ka|d dostpn na rynku kart sieciow. Pozwala to wprawdzie na inicjowanie urzdzeD nie posiadajcych pamici dyskowej, poniewa| jednak urzdzenia tego typu nie mog si posiada wBasnej nazwy u|ytkownika i hasBa, protok�B ten nie posiada jakiejkolwiek kontroli dostpu. Przy pomocy prostych sztuczek ka|dy u|ytkownik Internetu mo|e skopiowa wa|ne dla bezpieczeDstwa systemu pliki (np. /etc/passwd). Numer portu: 79 UsBuga: finger Finger jest usBug podajc informacje o kontach u|ytkownik�w. Informacje udzielane przez t usBug w du|ej mierze zale| od wersji i konfiguracji serwera, oraz preferencji u|ytkownika. Jednak|e w wikszo[ci przypadk�w mo|na otrzyma co najmniej cz[ informacji spo[r�d takich, jak: peBna nazwa u|ytkownika, adres, numer telefonu, oraz informacj, czy u|ytkownik jest w danym momencie zalogowany na serwerze. Operacja otrzymywania informacji poprzez protok�B finger jest bardzo prosta: klient otwiera poBczenia do serwera i wysyBa odpowiednie zapytanie, po czym serwer przetwarza zapytanie, wysyBa odpowiedz i zamyka poBczenie. PrzykBad danych otrzymanych przy pomocy tej usBugi przedstawiony zostaB na rys. 4.6. Cz[ informacji zostaBa zakryta dla zachowania anonimowo[ci u|ytkownika. Rys. 4.6 PrzykBadowa odpowiedz na zapytanie serwera finger. Numer portu: 80 UsBuga: http Protok�B HTTP (Hypertext Transfer Protocol) stanowi serce og�lno[wiatowej sieci WWW (World Wide Web). DziaBanie serwera HTTP polega na przyjmowaniu od klient�w i wykonywaniu pojedyDczych rozkaz�w. Ka|dy rozkaz jest wykonywany niezale|nie od pozostaBych. Dobrym przykBadem dziaBania serwera jest otwarcie dowolnej strony WWW po wprowadzeniu w oknie przegldarki wBa[ciwego adresu URL. Powoduje to wysBanie do serwera komendy inicjujcej pobranie z serwera okre[lonego przez URL pliku (strony WWW). Jednym z problem�w zwizanych z serwerami HTTP s przypadki podmieniania stron udostpnianych na serwerach. PrzykBad mo|na znalez na stronie www.2600.com/hacked_pages (podmieniona strona Armii Stan�w Zjednoczonych rys. 4.7). Rys. 4.7 Podmieniona strona armii Stan�w Zjednoczonych. Numery port�w: 109, 110 UsBugi (w kolejno[ci): pop2, pop3 POP (Post Office Protocol) jest protokoBem sBu|cym do przenoszenia poczty elektronicznej z serwera pocztowego na komputer u|ytkownika. Z historycznych powod�w istniej dwie wersje protokoBu POP: POP2 (zaproponowany w dokumencie RFC937 z 1985 roku), oraz nowszy POP3 (opisany w RFC1939). Podstawowa r�|nica pomidzy nimi polega na tym, |e korzystanie z protokoBu POP2 wymaga uruchomionego serwera SMTP, w przeciwieDstwie do POP3, kt�ry mo|e samodzielnie odbiera poczt. Protok�B POP oparty jest na architekturze klient-serwer, w kt�rej poczt odbiera serwer pocztowy, a nastpnie przechowuje j do momentu, w kt�rym u|ytkownik zaloguje si na serwerze i j pobierze. Wikszo[ wsp�Bczesnych przegldarek internetowych posiada wbudowan obsBug protokoBu POP3 (nale| do nich m.in. produkty Netscape a i Microsoftu). Niedocignicia w protokole pozwalaj na zdalne zalogowanie si na serwerze nawet wtedy, gdy zmienione zostaBo hasBo dostpu do skrzynki pocztowej. Port usBugi POP3 jest r�wnie| podatny na atak przy pomocy bezpo[redniego poBczenia telnetowego, mo|liwe jest wtedy uzyskanie niekt�rych wa|nych z punktu widzenia bezpieczeDstwa systemu informacji (rys. 4.8). +OK. XXX POP3 server (Netscape Massaging Server Version 3.6) ready at. 26 Aug 2000 14:13:05-0500 Rys. 4.8 Bezpo[rednie poBczenie mo|e zdradzi wiele krytycznych dla bezpieczeDstwa systemu informacji. Numery port�w: 111, 135 UsBugi (w kolejno[ci): portmap, loc-serv GB�wnym zadaniem usBugi portmap jest tBumaczenie numer�w identyfikacyjnych RPC (Remote Procedure Call system zdalnego wywoBywania procedur) na odpowiadajce im numery port�w. Kiedy uruchomiony zostanie serwer zgodny ze standardem RPC1 przekazuje on sw�j numer identyfikacyjny usBudze portmap, kt�ra w odpowiedzi przydziela mu wBa[ciwy numer, lub numery port�w, kt�re program mo|e obsBugiwa. Z tego powodu portmap musi zna kompletn list zarejestrowanych usBug i przydzielone do nich porty. Loc-serv jest odmian usBugi portmap u|ywan w systemie operacyjnym Windows NT. Bez nale|ytej kontroli dostpu do usBugi portmap mo|liwe jest przechwycenie bie|cej nazwy domeny NIS, co w pewnych okoliczno[ciach mo|e pozwoli atakujcemu na skopiowanie pliku haseB (/etc/passwd). Numery port�w: 137, 138, 139 UsBugi (w kolejno[ci): nbname, nbdatagram, nbsession UsBuga zwizana z portem numer 137 (nbname), nazywana te| WINS lub serwisem nazw NetBIOS, u|ywana jest gB�wnie w systemach opartych na systemie operacyjnym Windows jako alternatywa dla usBugi DNS. WzBy TCP/IP protokoBu NetBIOS u|ywaj pakiet�w UDP rozprzestrzenianych przez komputery z portu numer 137 do rozpoznawania ich nazw. Wad tego rozwizania jest brak wBa[ciwej identyfikacji komputer�w w sieci. Ka|dy komputer mo|e bowiem rozprzestrzenia swoje wBasne pakiety identyfikacyjne w imieniu innego komputera, lub w jego imieniu wysyBa odpowiedzi na zapytania, nim prawdziwy adresat zapytaD bdzie w stanie na nie odpowiedzie. W uproszczeniu: nbname jest u|ywane do rozprzestrzeniania nazw komputer�w w sieci, nbdatagram do dystrybucji pozostaBych informacji, nbsession sBu|y za[ do wBa[ciwej komunikacji, i przesyBania zasob�w. Wykonanie komendy netstat a (przykBad na Rys. 4.9) na komputerze z uruchomionym systemem operacyjnym Windows mo|e potwierdzi powy|sze informacje, a nawet ujawni potencjalne zaka|enie koniem trojaDskim. C:\>netstat a Aktywne poBczenia 1 Programy takie posiadaj sw�je wBasne, unikalne numery identyfikacyjne (zarzdzane przez Sun Microsystems, Inc). DokBadniejsze informacje na temat standardu RPC dostpne s w RFC1831. Protok�B Adres lokalny Obcy adres Stan TCP ursa:epmap ursa:0 NASAUCHIWANIE TCP ursa:microsoft-ds ursa:0 NASAUCHIWANIE TCP ursa:1025 ursa:0 NASAUCHIWANIE TCP ursa:1027 ursa:0 NASAUCHIWANIE TCP ursa:netbios-ssn ursa:0 NASAUCHIWANIE UDP ursa:epmap *.* UDP ursa:microsoft-ds *.* UDP ursa:1026 *.* UDP ursa:microsoft-ns *.* UDP ursa:microsoft-dgm *.* UDP ursa:isakmp *.* Rys. 4.9 PrzykBadowy wynik wykonania polecenia netstat a. Numer portu: 144 UsBuga: news UsBuga news (Network-extensible Window System) jest nakBadk okienkow na system operacyjny UNIX opracowan przez Sun Microsystems. Jej jdro stanowi wielowtkowy interpreter jzyka PostScript z mo|liwo[ci obsBugi grafiki ekranowej oraz nawet bardzo skomplikowanych zdarzeD wej[ciowych. Istniej powody, by obawia si atak�w hacker�w skierowanych na t usBug. Numery port�w: 161, 162 UsBugi (w kolejno[ci): snmp, snmp-trap Simple Network Management Protocol (SNMP) jest, w skr�cie, protokoBem sBu|cym do zarzdzania i monitorowania urzdzeD sieciowych. Jego dziaBanie opiera si na wysyBaniu do r�|nych urzdzeD sieciowych (agent�w) specjalnych wiadomo[ci. Urzdzenia te przechowuj bazy danych informacji o sobie, za pomoc kt�rych w razie potrzeby udzielaj odpowiedzi na zapytania serwer�w SNMP koordynujcych prac sieci. Poniewa| poprzez protok�B SNMP transmituje si bardzo wa|ne dla pracy sieci dane, porty te ciesz si zainteresowaniem ze strony haker�w, daj potencjalnie du|e mo|liwo[ci do nadu|y (takich jak np. przekonfigurowywanie urzdzeD sieciowych). Numer portu: 512 UsBuga: exec Port numer 512 jest u|ywany przez funkcj rexec() do zdalnego wykonywania poleceD. Je[li port bardzo czsto nasBuchuje, lub jest aktywny, mo|e to oznacza |e serwer startuje automatycznie. W takich przypadkach sugeruje to prac X-Windows. Je[li na dodatek port ten nie jest w |aden dodatkowy spos�b chroniony, mo|liwe jest np. zdalne robienie zrzut�w ekranowych, przechwytywanie bufora klawiatury, a nawet uruchamianie program�w. Dla informacji je[li usBuga exec jest dostpna w systemie, a dodatkowo port 6000 akceptuje poBczenia telnetowe mo|liwy jest atak DoS z mo|liwo[ci zawieszenia dziaBania systemu wBcznie. Numery port�w: 513, 514 UsBugi (w kolejno[ci): login, shell Porty 513 i 514 s uwa|ane za uprzywilejowane, gdy| za ich pomoc mo|liwe jest zdalne wykonywanie poleceD na systemach typu UNIX. Z tego te| powodu porty te s celem bardzo wielu r�|nego rodzaju atak�w, szczeg�lnie podmieniania pakiet�w. Port 514 u|ywany jest przez usBug rsh, dziaBajc jako interaktywna powBoka, dostpna bez jakiejkolwiek konieczno[ci logowania. Identyfikacj przeprowadza gB�wnie przy pomocy adresu klienta (std czste przypadki spoofingu ). Obecno[ tej usBugi w systemie sugeruje aktywno[ serwera X-Windows. Korzystajc z tradycyjnych metod, przy u|yciu jedynie telnetu mo|liwe jest nawizanie poBczenia z usBug (rys. 4.10 cz[ danych zostaBa zakryta dla zachowania anonimowo[ci celu ataku). Trying XXX.XXX.XXX.XXX Connected to XXX.XXX.XXX.XXX Escape character is ^] Rys. 4.10 PrzykBad udanego sprawdzenia statusu okre[lonego portu (port otwarty). Numer portu: 514 UsBuga: syslog Jako cz[ wewntrznego mechanizmu rejestracji zdarzeD, port 514 mo|e by celem atak�w typu DoS. Podatno[ na ataki tego typu sprawdzi mo|na w prosty spos�b przy pomocy skanera UDP. Numery port�w: 517, 518 UsBugi (w kolejno[ci): talk, ntalk Serwery talk s interaktywnymi programami komunikacyjnymi zadaniem kt�rych jest umo|liwianie konwersacji w trybie tekstowym i czasie rzeczywistym pomidzy dwoma u|ytkownikami system�w UNIX. CaBo[ skBada si z serwera oraz klienta talk (nowsze serwery ntalk nie s kompatybilne z poprzednimi wersjami). Mimo, |e serwer wydaje si by bezpiecznym, w rzeczywisto[ci tak nie jest klient inicjuje poBczenie z serwerem poprzez przypadkowy port TCP co daje pole dla r�|nego rodzaju zdalnych atak�w. Numer portu: 520 UsBuga: route Proces wyznaczania tras pakiet�w pomidzy dowolnymi dwoma komputerami w Internecie realizowany jest przy pomocy ruter�w, oraz specjalnego protokoBu, kontrolujcego przesyB danych o bie|cej topologii sieci pomidzy ssiadujcymi ruterami. Chyba najcz[ciej u|ywanym w takich sytuacja protokoBem jest RIP (Routing Information Protocol), u|ywajcy portu UDP numer 520. R�wnie| wiele ruter�w sprztowych u|ywa do komunikacji tego samego portu. Dziki programom przechwytujcym pakiety w sieci mo|na uzyska bardzo wa|ne dane na temat topologii sieci. Numer portu: 540 UsBuga: uucp Protok�B uucp (UNIX-to-UNIX Copy Protocol) wymaga zestawu program�w do transmisji plik�w pomidzy r�|nymi systemami UNIX-owymi lecz, co wa|niejsze, r�wnie| wykonywania poleceD na zdalnych systemach. I mimo, |e protok�B ten zostaB wyparty przez inne, bardziej uniwersalne i porczne, takie jak na przykBad FTP i SMTP, na wielu systemach dalej spotyka si aktywn usBug UUCP u|ywan w celach administracyjnych. W zale|no[ci od systemu i wersji serwera istniej r�|ne sztuczki pozwalajce u|ytkownikom kont UUCP na powikszenie swoich uprawnieD. Numery port�w: 543, 544, 750 UsBugi (w kolejno[ci): klogin, kshell, kerberos UsBugi powizane z powy|szymi portami reprezentuj system identyfikacji Kerberos. GB�wnym zaBo|eniem tego projektu jest stworzenie [rodowiska pozwalajcego na bezpieczn wymian poufnych informacji przy pomocy sieci publicznej. Metoda polega na przydzielaniu ka|demu u|ytkownikowi unikalnych kluczy lub tzw. bilet�w . Nastpnie, dla identyfikacji i autentyfikacji, dane s przy pomocy tych|e bilet�w szyfrowane. Nale|y jednak|e filtrowa dostp do tych port�w, gdy| podatne s one na r�|nego rodzaju ataki, wBczajc w to przepeBnienia bufor�w, podmienianie pakiet�w, ukryte sesje i podkradanie bilet�w1. 1 W nowocze[niejszych metodach stosuje si dodatkowy element bezpieczeDstwa bilety (hasBa) jednorazowe dziki takiemu postpowaniu podkradanie bilet�w staje si w znacznej mierze nieskuteczne. Niezidentyfikowane usBugi R�|nego rodzaju programy hakerskie, kt�rych celem jest przedostanie si do systemu ofiary, zwykle zaprojektowane s do zainstalowania w systemie tylnych drzwi lub innej luki w bezpieczeDstwie. Nie zawsze wprawdzie intencje atakujcego s grozne, mo|e on jednak dziaBa zBo[liwie i wyrzdzi powa|ne szkody. Oprogramowanie opisane w tej cz[ci zaklasyfikowa mo|na do jednej z trzech kategorii: wirus�w, robak�w i koni trojaDskich. PodziaB ten zostanie dokBadniej om�wiony w dalszych cz[ciach ksi|ki. Na razie wystarczy wiedzie, |e: wirusy s programami rozprzestrzeniajcymi si poprzez zara|anie innych program�w, u|ytkowych lub te| systemowych, robaki potrafi si rozprzestrzenia nie wymagajc przy tym nosiciela, potrafi r�wnie| ju| w momencie infekcji kompilowa sw�j kod, lub w inny spos�b rozprzestrzenia swoje kopie, zachowujc w ten spos�b cokolwiek du|e tempo rozprzestrzeniania, konie trojaDskie s zwykBymi (lub wygldajcymi na zwykBe) programami, udajcymi czsto przydatne oprogramowanie, lecz wykonujcymi pewne operacje bez wiedzy ich u|ytkownika. Wikszo[ program�w opisanych w tej cz[ci ksi|ki dostpna jest na pBycie CD doBczonej do ksi|ki, lub poprzez TigerTools Repository, kt�re jest r�wnie| dostne na pBycie CD. Numery port�w: 21, 5400-5402 Programy: Back Construction, Blade Runner, Fore, FTP Trojan, Invisible FTP, Larva, WebEx, WinCrash Programy te (pokazane na rys. 4.11) u|ywaj gB�wnie portu 21, funkcjonalnie stanowi za[ serwery FTP. Dziki temu atakujcy mo|e kopiowa pliki na komputer ofiary, jak i w odwrotnym kierunku. Niekt�re z tych program�w posiadaj moduBy serwera, jak r�wnie| klienta, wikszo[ z nich u|ywa kluczy Rejestru Systemowego. PrzykBadowo, powszechne wersje programu Blade Runner u|ywaj jako punktu startowego nastpujcego klucza Rejestru: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run Rys. 4.11 Back Construction, Blade Runner oraz WebEx. Numer portu: 23 Program: Tiny Telnet Server (TTS) TTS jest emulatorem terminala pozwalajcym na zdalne wykonywanie poleceD tak, jak gdyby byBy one wykonywane lokalnie na zainfekowanym systemie. Wykonywane komendy maj uprawnienia administratora, lub u|ytkownika uprzywilejowanego. Program instaluje si jako C:\WINDOWS\windll.exe. U|ywa te| nastpujcego klucza Rejestru: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run - windll.exe= C:\WINDOWS\windll.exe Numery port�w: 25, 110 Programy: Ajan, Antigen, Email Password Sender, Haebu Coceda, Happy 99, Kuang2, ProMail Trojan, Shtirlitz, Stealth, Tapiras, Terminator, WinPC, WinSpy Ukrywajc si pod postaci dowcipu, lub Badnej grafiki programy te przesyBaj atakujcemu hasBa systemowe, pozwalaj mu kontrolowa skrzynki pocztowe u|ytkownik�w, przechwytuj sekwencje naciskanych kawiszy, pozwalaj inicjowa ataki typu DoS, i stanowi zdalne lub lokalne tylne wej[cie do systemu. Ka|dy z wy|ej wymienionych program�w u|ywa r�|nych nazw dla swoich plik�w, r�|nych kluczy Rejestru i r�|nej przestrzeni pamici operacyjnej. Jedynym elementem wi|cym jest wsp�Bu|ywany port TCP numer 25. Numery port�w: 31, 456, 40421-40426 Programy: Agent31, Hackers Paradise, Masters Paradise Tego rodzaju zBo[liwe programy, u|ywajce portu 31 obejmuj swoim dziaBaniem zdaln administracj, jak na przykBad przekierowywanie aplikacji i plik�w czy edycj Rejestru Systemowego (na rys. 4.12 znajduje si przykBad systemu zdalnej administracji z mo|liwo[ci przegldania usBug zaka|onego komputera). W wypadku zara|enia atakujcy mo|e przej peBn kontrol nad systemem swojej ofiary... Rys. 4.12 Kontrolowanie ofiary przy pomocy portu 31 mo|e by dla niej wielce szkodliwe. Numery port�w: 41, 999, 2140, 3150, 6670-6671, 60000 Program: Deep Throat Deep Throat posiada wiele funkcji, wBczajc w to ukryty serwer FTP (z mo|liwo[ci kasowania plik�w, oraz kopiowania w obie strony). Z pozostaBych funkcji wymieni choby mo|liwo[ zdalnego robienia zrzut�w ekranu, podgldania haseB, operowania przegldark internetow, wyBczania komputera a nawet kontrolowanie obsBugi zdarzeD innych uruchomionych program�w. Rys. 4.13 Panel kontrolny programu Deep Throat. Numer portu: 59 Program: DMSetup DMSetup zostaB zaprojektowany, by udawa klienta mIRC. Raz uruchomiony, instaluje si w r�|nych miejscach drzewa katalog�w powodujc du|e spustoszenia w plikach startowych i jednocze[nie uszkadzajc pliki konfiguracyjne programu mIRC. W rezultacie za[ program stara si rozprzestrzeni do wszystkich os�b kontaktujcych si z zara|onym komputerem. Numery port�w: 79, 5321 Program: Firehotker Program ten znany jest r�wnie| jako Firehotker Backdoorz. Prawdopodobnie zostaB zaprogramowany jako narzdzie sBu|ce do zdalnej administracji systemem zainfekowanego komputera, lecz w wikszo[ci przypadk�w jedynie zu|ywa zasoby spowalniajc dziaBanie systemu. Program wystpuje pod postaci pliku server.exe nie u|ywajc przy tym kluczy Rejestru. Numer portu: 80 Program: Executor Ten bardzo niebezpieczny program, sBu|cy do zdalnego wykonywania poleceD, powstaB z my[l o zniszczeniu plik�w systemowych i konfiguracyjnych zaatakowanego komputera. (rys. 4.14). Serwer instaluje si jako plik sexec.exe u|ywajc jednocze[nie nastpujcego klucza Rejestru: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run - <>Executer1= C:\windows\sexec.exe Rys. 4.14 Executor jest zawsze gotowy by zniszczy� twoje pliki systemowe. Numer portu: 113 Program: Kazimas Kazimas jest robakiem rozprzestrzeniajcym si pomidzy u|ytkownikami mIRC-a. Wystpuje pod postaci pliku milbug_a.exe, o rozmiarach w przybli|eniu 10 KB. Po zara|eniu kopiuje si do nastpujcych katalog�w: C:\WINDOWS\kazimas.exe C:\WINDOWS\SYSTEM\psys.exe C:\icqpatch.exe C:\MIRC\nuker.exe C:\MIRC\DOWNLOAD\mirc60.exe C:\MIRC\LOGS\logging.exe C:\MIRC\SOUND\player.exe C:\GAMES\spider.exe C:\WINDOWS\freemem.exe Program uszkadza pliki konfiguracyjne mIRC-a, i stara si rozprzestrzeni do wszystkich u|ytkownik�w komunikujcych si z zara|on maszyn. Numer portu: 119 Program: Happy99 Happy99 ukrywa swoj destrukcyjn natur udajc nieszkodliwy program wy[wietlajcy okno i sekwencj ogni sztucznych. W tle za[ instaluje si jako aplikacja udostpniajca atakujcemu hasBa systemowe, dostp do poczty elektronicznej, obsBug atak�w DoS, oraz tylne wej[cie do systemu operacyjnego ofiary. Rys. 4.15 Happy99 ukrywajcy si ukrywajcy si pod postaci seerii bardzo efektownych ogni sztucznych. Numer portu: 121 Program: JammerKillah JammerKillah jest koniem trojaDskim opracowanym i skompilowanym dla unieszkodliwienia programu Jammer. Po wykonaniu odszukuje i unieszkodliwia programy Back Orifice oraz NetBus. Numery port�w: 531, 1045 Program: Rasmin Wirus ten, napisany w Visual C++, u|ywa portu TCP numer 531 (normalnie u|ywany przez usBug konferencji). Chodz pogBoski, |e serwer ten pozostaje bierny do momentu otrzymania specjalnego rozkazu od swojego tw�rcy. Badania wykazaBy, |e ukrywa si pod nastpujcymi nazwami plik�w: Rasmin.exe Wspool.exe Winsrvc.exe Inipx.exe Upgrade.exe Numery port�w: 555, 9989 Programy: Ini-Killer, NeTAdmin, phAse Zero (na rys. 4.16), Stealth Spy GB�wnym zadaniem tych programu, poza szpiegowaniem i kopiowaniem plik�w, jest zniszczenie zaatakowanego systemu. Nale|y wic pamita, |e jedynym sposobem, by zarazi si trojanem, jest jego uruchomienie. Rys. 4.16 Niekt�re mo|liwo[ci programu phAse Zero. Numer portu: 666 Programy: AttackFTP, Back Construction, Cain&Abel, Satanz Backdoor (rys. 4.17), ServeU, Shadow Phyre DziaBanie AttackFTP ogranicza si do zainstalowania serwera FTP z peBnymi prawami do kopiowania w obie strony. Back Costruction zostaB om�wiony przy okazji portu 21. Cain zostaB napisany do przechwytywania haseB, podczas gdy Abel jest serwerem umo|liwiajcym peBny dostp do plik�w ofiary. Oba programy (Cain&Abel) nie potrafi si replikowa. Satanz Backdoor, ServeU i Shadow Phyre znane s z tego, |e instaluj serwery umo|liwiajce zdalny dostp, zu|ywajc przy tym bardzo niewiele zasob�w systemowych. Rys. 4.17 Satanz Backdoor. Numer portu: 999 Program: WinSatan WinSatan jest programem potraficym Bczy si do r�|nych serwer�w IRC, pozostawiajc poBczenia nawet po wBasnym zamkniciu. Program uruchamia si w tle, bez jakichkolwiek [lad�w w Menad|erze ZadaD. Po kr�tkiej obserwacji mo|na zauwa|y, |e program jedynie rozprzestrzenia si, zu|ywajc zasoby i powodujc chaos w systemie. Numery port�w: 1001 Programy: Silencer, WebEx WebEx zostaB ju| opisany przy okazji portu 21. Silencer sBu|y za[ do zdalnej kontroli zasob�w, i jako taki ma bardzo ograniczone funkcje (rys. 4.18). Rys. 4.18 Silencer zostaB napisany do zdalnej kontroli zasob�w. Numery port�w: 1010-1015 Program: Doly Trojan Ten trojan znany jest z umiejtno[ci przejmowania caBkowitej kontroli nad zainfekowanym komputerem, z tego te| powodu uwa|any jest za jeden z najbardziej niebezpiecznych. Program u|ywa r�|nych port�w, potrafi te| prawdopodobnie zmienia nazw swojego pliku. Do Rejestru Systemowego doBczany jest podczas instalacji Doly Trojan nastpujcy klucz1: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run - tesk.exe Rys. 4.19 Opcje programu Doly Trojan. Numery port�w: 1024, 31338, 31339 Program: NetSpy NetSpy (rys. 4.20) jest kolejnym serwerem przeznaczonym do szpiegowania zara|onego systemu. Program pozwala atakujcemu na zdalne kontrolowanie nawet do 100 komputer�w. NetSpy posiada m.in. nastpujce mo|liwo[ci: pokazuje list otwartych i zminimalizowanych okien, pozwala zmienia katalog roboczy, pozwala na zdaln kontrol serwera (wBcznie z jego natychmiastowym usuniciem), pozwala uzyska peBn list plik�w i katalog�w, pozwala uzyskiwa podstawowe informacje na temat systemu, pozwala wysyBa komunikaty u|ytkownikowi zara|onego komputera, pozwala ukrywa i pokazywa klawisz Start, pozwala ukrywa pasek zadaD, pozwala wykona (i ukry) dowoln aplikacj Windows lub DOS. Rys. 4.20 Klient NetSpy. Numer portu: 1042 Program: BLA 1 ZakBadajc, |e gB�wny plik programu nazywa si tesk.exe oraz, |e znajduje si on w kt�rym[ z katalog�w w [cie|ce wyszukiwania (przewa|nie jest to c:\windows\), ale jak ju| wspomniano, nazwa ta mo|e si zmienia. BLA jest serwerem, kt�ry po zainstalowaniu w systemie ofiary pozwala atakujcemu m.in. na zdalne sterowanie, wysyBanie pakiet�w ICMP, zdalne wyBczenie komputera, oraz bezpo[rednie wysyBanie wiadomo[ci u|ytkownikowi. BLA u|ywa nastpujcych kluczy Rejestru: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run - System= c:\windows\system\mprdll.exe HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run - SystemDoor= c:\windows\system\rundll argp1 Rys. 4.21 Trojan BLA jest u�ywany do wywo�ania zamieszania u ofiary. Numery port�w: 1170, 1509 Programy: Psyber Stream Server, Streaming Audio Trojan Programy te zaprojektowane zostaBy dla jednego celu wysBania ofierze strumienia audio. Po udanym zainstalowaniu programu, atakujcy mo|e odtworzy na gBo[nikach ofiary cokolwiek tylko zechce. Numer portu: 1234 Program: Ultors Trojan Ultors jest jeszcze jednym programem zaprojektowanym do umo|liwienia zdalnego uruchamiania program�w i poleceD systemowych, kontrolowania uruchomionych proces�w oraz wyBczania zara|onego komputera. Z biegiem czasu jego mo|liwo[ci zostaBy poszerzone o zdolno[ do wysyBania komunikat�w oraz wy[wietlania komunikat�w bBd�w. Numery port�w: 1243, 6776 Programy: BackDoor-G, SubSeven, SubSevenApocalypse Programy te s r�|nymi odmianami niesBawnego programu Sub7 (rys. 4.22). Po zara|eniu daj one atakujcemu za po[rednictwem Internetu nieograniczony dostp do komputera ofiary. Programy instalacyjne s z reg�By zamaskowane jako r�|nego rodzaju dowcipy, gB�wnie rozprzestrzeniajc si poprzez zaBczniki do poczty elektronicznej. Wystpuj pod nastpujcymi nazwami plik�w (ich nazwy mog si zmienia): C:\WINDOWS\nodll.exe C:\WINDOWS\ server.exe lub kernel16.dl lub te� window.exe C:\WINDOWS\SYSTEM\watching.dll lub lmdrk_33.dll Rys. 4.22 SubSevenApocalypse. Numer portu: 1245 Program: VooDooDoll VooDoo Doll jest poBczeniem mo|liwo[ci swoich poprzednik�w. GB�wnym zadaniem programu jest spowodowanie jak najwikszego zamieszania (rys. 4.23). SpoBeczno[ hakerska twierdzi, |e niekt�rzy rozprowadzaj go wraz z dodatkowymi programami, znanymi z tego, |e po uruchomieniu przez VooDoo Doll usuwaj nieodwracalnie zawarto[ dysku (poprzez zapisanie zawarto[ci oryginalnych plik�w), niszczc czasem pliki systemowe. Rys. 4.23 Wyb�r funkcji VooDoo Doll. Numer portu: 1492 Program: FTP99CMP FTP99CMP jest prostym serwerem FTP u|ywajcym nastpujcego klucza Rejestru: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run - windll_16 Numer portu: 1600 Program: Shivka-Burka Ten koD trojaDski udostpnia proste mo|liwo[ci (kopiowanie i kontrola plik�w), i z tego pewnie powodu jest rzadko spotykany. Program nie u|ywa Rejestru Systemowego, ani te| portu innego ni| 1600. Numer portu: 1981 Program: Shockrave Znana jest tylko jedna kompilacja tego programu, funkcjonalnie bdcego ukrytym sewerem telnet. Podczas konfiguracji u|ywany jest nastpujcy klucz Rejestru: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices - NetworkPopup Numer portu: 1999 Program: BackDoor Jako jeden z pierwszych koni trojaDskich instalujcych tylne wej[cia do system�w, BackDoor (rys. 4.24) zostaB rozprzestrzeniony na caBym [wiecie. Mimo, |e napisany w jzuku Visual Basic, serwer ten ma caBkiem spore mo|liwo[ci, wBczajc w to: kontrol napdu CDROM, kontrol kombinacji CTRL-ALT-DEL oraz CTRL-ESC, wysyBanie wiadomo[ci, rozmow z u|ytkownikiem zaatakowanego komputera, wy[wietlanie listy uruchomionych aplikacji, zarzdzanie plikami, kontrol API Windows, zamra|anie pozycji myszy. Podczas konfiguracji u|wany jest nastpujcy klucz Rejestru: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run notps Rys. 4.24 BackDoor jest jednym z pierwszych koni troja�skich udost�pniaj�cych opcje zdalnego sterowania. Numery port�w: 1999-2005, 9878 Program: Transmission Scout Niemieckiej produkcji koD trojaDski udostpniajcy zdaln kontrol. Transmission Scout posiada wiele niebezpiecznych funkcji. Podczas swojej instalacji u|ywa klucza Rejestru: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run - kernel16 Jakkolwiek program jest raczej rzadko spotykany, zostaB uzupeBniony tak, by posiada nastpujce funkcje: restartowanie i wyBczanie komputera, uzyskiwanie informacji o systemie, reagowanie na wiadomo[ci ICQ i poczt przychodzc, uzyskiwanie haseB, kontrola dzwiku, kontrola myszy, kontrola paska zadaD, kontrol otwartych okien, wysyBanie wiadomo[ci, edycja Rejestru, zmienianie zawarto[ci pulpitu, wykonywanie zrzut�w ekranu. Numer portu: 2001 Program: Trojan Cow Ten koD trojaDski, tak jak wikszo[ innych, pozwala na zdalne wykonywanie r�|nego rodzaju poleceD. W zakres jego mo|liwo[ci wchodz m.in.: otwieranie i zamykanie napdu CDROM, wBczanie i wyBczanie monitora, usuwanie i przywracanie ikon pulpitu, otwieranie i zamykanie menu Start, ukrywanie i przywracanie paska zadaD, ukrywanie i przywracanie zegara, zamienianie pozycjami klawiszy myszy, zmiana tapety pulpitu, uchwycenie wskaznika myszy w rogu ekranu, usuwanie plik�w, uruchamianie program�w, ukrywanie dziaBania program�w, zamykanie systemu ofiary, restartowanie komputera ofiary, wylogowywanie si z systemu, wyBczanie komputera. Podczas konfiguracji, program u|ywa nastpujcego klucza Rejestru: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run SysWindow Numer portu: 2023 Program: Ripper Ripper jest jednym ze starszych program�w. Jego zadaniem jest rejestrowanie sekwencji naci[nitych klawiszy, gB�wnie w celu przechwytywania haseB. Ma jednak powa|n wad, utrudniajc jego wykorzystanie nie potrafi on mianowicie uruchomi si po restarcie systemu. Numer portu: 2115 Program: Bugs Serwer ten (rys. 4.25) jest jeszcze jednym udostpniajcym zdalny dostp, z funkcjami pozwalajcymi midzy innymi na zarzdzanie plikami, oraz oknami program�w. Podczas instalacji u|ywany jest nastpujcy klucz Rejestru: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run SysTray Rys. 4.25 Interferjs u�ytkownika programu Bugs. Numery port�w: 2140, 3150 Program: The Invasor Invasor jest programem, kt�ry w zestaw swoich mo|liwo[ci wBcza przechwytywanie haseB, wysyBanie komunikat�w, kontrol dzwiku, zmienianie rozdzielczo[ci ekranu oraz przechwytywanie jego zawarto[ci (rys. 4.26). Rys. 4.26 Wyb�r funkcji programu Invasor. Numer portu: 2155, 5512 Program: Illusion Mailer Programu Illusion Mailer pozwala atakujcemu wysyBa poczt posBugujc si adresem IP ofiary (w szczeg�lno[ci wysyBa poczt w jej imieniu). Poniewa| nagB�wek tak wysBanego listu zawiera adres ofiary, wic bardzo trudno jest odnalez prawdziwego nadawc. Podczas instalacji wykorzystywany jest klucz Rejestru: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices Sysmem Numer portu: 2565 Program: Striker GB�wnym zadaniem tego programu jest zniszczenie systemu Windows. Na szcz[cie program nie aktywuje si wicej po restarcie systemu, tak wic jego znaczenie jest raczej niewielkie. Numer portu: 2583, 3024, 4092, 5742 Program: WinCrash WinCrash pozwala przej atakujcemu peBn kontrol nad systemem. Posiada wiele mo|liwo[ci, m.in. opcje powodujce znaczne obci|enie systemu. Z tego powodu uwa|any jest za stosunkowo niebezpieczny. Rys. Narzdzia udostpniane przez program WinCrash. Numer portu: 2600 Program: Digital RootBeer Kolejny bardzo irytujcy program. W zakres jego mo|liwo[ci wchodz: wysyBanie komunikat�w, oraz mo|liwo[ prowadzenia rozmowy z u|ytkownikiem zaatakowanej maszyny, kontrolowanie pracy urzdzeD takich jak monitor, modem czy karta dzwiekowa, zatrzymywanie pracy systemu, kontrolowanie okien aplikacji. Podczas instalacji wykorzystywany jest nastpujcy klucz Rejestru: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices ActiveX Console Numer portu: 2801 Program: Phineas Phucker Program ten (rys. 4.28), przysparzajcy u|ytkownikom zaatakowanych komputer�w wiele problem�w, posiada wikszo[ funkcji typowych dla koni trojaDskich umo|liwiajcych zdalny dostp. Rys. 4.28 Phineas Phucker. Numer portu: 2989 Program: RAT Program ten jest bardzo niebezpiecznym serwerem zdalnego dostpu, poniewa| jego gB�wnym celem jest zniszczenie zawarto[ci twardych dysk�w zaatakowanego komputera. Podczas instalacji u|ywane s nastpujce klucze Rejestru Systemowego: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run Explorer= C:\Windows\System\msgsvr16.exe HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices Default= HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices Explorer= Numery port�w: 3459-3801 Program: Eclipse Eclipse jest kolejnym ukrytym serwerem FTP. Po wykonaniu udostpnia wszystkie pliki w systemie, zezwalajc nie tylko na odczyt i zapis, ale r�wnie| na ich uruchamianie. Podczas instalacji programu u|ywany jest nastpujcy klucz Rejestru: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run Rnaapp= C:\Windows\System\rmaapp.exe Numery port�w: 3700, 9872-9875, 10067, 10167 Program: Portal of Doom Mo|liwo[ci tego progamu (rys. 4.29) to midzy innymi: kontrola napdu CD-ROM, kontrola urzdzenia dzwikowego, eksploracja systemu plik�w komputera, kontrola paska zadaD, kontrola pulpitu, przechwytywanie haseB oraz naciskanych przez u|ytkownika klawiszy, zarzdzanie plikami. Rys. 4.29 Mo|liwo[ci programu Portal of Doom. Numer portu: 4567 Program: File Nail File Nail jest programem atakujcym i rozprzestrzeniajcym si w[r�d u|ytkownik� ICQ (rys. 4.30). Efektem dziaBania programu jest uszkodzenie klienta ICQ na zaatakowanym komputerze. Rys. 4.30 File Nail zostaB zaprojektowany do uszkodzenia serwer�w ICQ. Numer portu: 5000 Program: Bubbel To jeszcze jeden program integrujcy w systemie tzw. tylne drzwi posiadajcy mo|liwo[ci podobne do programu Trojan Cow wBczajc w to: wysyBanie wiadomo[ci, kontrol pracy monitora, kontrol okien program�w, zatrzymywanie pracy systemu, kontrol pracy modemu, mo|liwo[ prowadzenia rozmowy z u|ytkownikiem opanowanego komputera, kontrol dzwiku, przechwytywanie haseB i naciskanych klawiszy, drukowanie, kontrolowanie pracy przegldarki. Numery port�w: 5001, 30303, 50505 Program: Sockets de Troie Sockets de Troie jest wirusem, kt�ry rozprzestrzeniajc si integruje w zaatakowanych systemach tylne drzwi sBu|ce do zdalnej administracji systemem. Raz wykonany kopiuje si do katalogu Windows\System\ jako plik mschv.exe, oraz modyfikuje Rejestr Systemu. Podczas instalacji u|ywane s z reg�By nastpujce klucze Rejestru: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunLoadMschv32 Drv= C:\Windows\System\MSchv32.exe HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunLoad Mgadeskdll= C:\Windows\System\Mgadeskdll.exe HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunLoad Rsrcload= C:\Windows\Rsrcload.exe HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesLoad Csmctrl32= C:\Windows\System\Csmctrl32.exe Numer portu: 5569 Program: Robo-Hack Robo-Hack jest jednym ze starszych trojan�w napisanych w jzyku Visual Basic. Program nie potrafi si samodzielnie rozprzestrzenia, ani te| nie uruchamia si po ponownym uruchomieniu systemu. Jego ograniczone funkcje (rys. 4.31) obejmuj: monitorowanie pracy systemu, edycj plik�w, restartowanie i wyBczanie systemu, wysyBanie komunikat�w, kontrolowanie pracy przegldarki, otwieranie i zamykanie napdu CD-ROM. Rys. 4.31 Ograniczone mo|liwo[ci programu Robo-Hack. Numer portu: 6400 Program: The tHing The tHing jest maBym, lecz niebezpiecznym, serwerem pozwalajcym skopiowa na dysk komputera docelowego dowolny program, a nastpnie go uruchomi. Podczas instalacji u|ywany jest nastpujcy klucz Rejestru: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices Default Rys. 4.32 The tHing potrafi skopiowa� na dysk komputera dowolny program a nast�pnie go uruchomi�. Numer portu: 6912 Program: Shit Heep Ten dosy powszechnie spotykany, napisany w jzyku Visual Basic, koD trojaDski pr�buje zamaskowa si jako systemowy Kosz. Po zainfekowaniu u|ytkownik otrzymuje komunikat o rzekomym uaktualnieniu Kosza (rys.4.33). Do ograniczonych mo|liwo[ci tego programu nale| m.in.: kontrola Pulpitu, kontrola dziaBania myszy, wysyBanie komunikat�w, zamykanie wybranego okna, otwieranie i zamykanie napdu CD-ROM. Rys. 4.33 Komunikat systemowy po zara|eniu programem Shit Heep. Numery port�w: 6969, 16969 Program: Priority Pritority jest trojanem napisanym w jzyku Visual Basic pozwalajcym na: zamykanie i otwieranie napdu CD-ROM, odtwarzanie na zaatakowanym komputerze dowolnych dzwik�w, chowanie i przywracanie paska zadaD, kontrolowanie zawarto[ci pulpitu, przechwytywanie naciskanych klawiszy i haseB systemowych, zarzdzanie plikami, zarzdzanie aplikacjami, kontrolowanie przegldarki, restartowanie systemu, skanowanie port�w. Rys. 4.34 Priority charakteryzuje si stosunkowo du|ym wyborem funkcji. Numer portu: 6970 Program: GateCrasher GateCrasher jest kolejnym programem pozwalajcym zdalnie sterowa zara|onymi komputerami. Maskuje si jako program rozwizujcy problem Y2k. Program posiada prawie ka|d funkcj dostpn w innych programach tego typu. Podczas instalacji u|ywa klucza Rejestru: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices Inet Rys. 4.35 GateCrasher posiada prawie ka�d� funkcj� spotykan� w trojanach udost�pniaj�cych zdalny dost�p. Numer portu: 7000 Program: Remote Grab Pogramu Remote Grab pozwala na zdalne wykonywanie zrzut�w ekranu. Podczas instalacji kopiowany jest plik \Windows\System\mprexe.exe. Numer portu: 7789 Program: ICKiller Serwer ten zostaB zaprojektowany do przechwytywania informacji o r�|norodnych kontach internetowych. Program maskuje si jako... koD trojaDski, sBu|cy do atakowania u|ytkownik�w ICQ (rys. 4.36). Z tego te| powodu program rozprzestrzenia si gB�wnie w[r�d pocztkujcych haker�w. Rys. 4.36 ICKiller przechwytuje hasBa, chocia| udaje narzdzie do atakowania u|ytkownik�w ICQ. Numer portu: 9400 Program: InCommand InCommand zostaB napisany na podobieDstwo program�w z serii Sub7. W odr�|nieniu jednak od nich zawiera dodatkowo prekonfigurowany moduB serwera. Numer portu: 10101 Program: BrainSpy BrainSpy posiada funkcje dostpne w typowych trojanach umo|liwiajcych zdalny dostp i kopiowanie plik�w. Dodatkowo, po uruchomieniu, program stara si uszkodzi zainstalowane skanery antywirusowe. Podczas instalacji wykorzystywane s nastpujce klucze Rejestru: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices Dualji HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices Gbubuzhnw HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices Fexhqcux Numer portu: 10520 Program: Acid Shivers Trojan ten, oparty na usBudze Telnet, ma zdolno[ do wysyBania atakujcemu komunikat�w pocztowych powiadamiajcych go o uaktywnieniu atakowanego systemu (rys. 4.37). Rys. 4.37 Acid Shivers potrafi wysyBa atakujcemu komunikaty. Numer portu: 10607 Program: Coma Jeszcze jeden koD trojaDski napisany w jzyku Visual Basic, udostpniajcy zdalne sterowanie atakowan maszyn. Jego mo|liwo[i Batwo wydedukowa z prostego interfejsu u|ytkownika (rys. 4.38). Rys. 4.38 Ubogie mo|liwo[ci programu Coma. Numer portu: 12223 Program: Hack 99 KeyLogger Trojan ten jest typowym programem przechwytujcym kombinacje przyci[nitych klawiszy, w odr�|nieniu jednak od innych produkt�w tego typu, potrafi on przekazywa atakujcemu przechwycone informacje w czasie rzeczywistym (rys. 4.39). Rys. 4.39 Hack 99 potrafi w czasie rzeczywistym wysyBa przechwycone kombinacje klawiszy. Numery port�w: 12345, 12346 Program: NetBus, NetBus2, NetBus Pro NetBus, oraz jego p�zniejsze wersje, jest jednym z najbardziej znanych i rozpowszechnionych koni trojaDskich udostpniajcych opcje zdalnego sterowania i monitoringu. Program ten obsBuguje m.in. protokoBy telnet oraz http. Za centrum dowodzenia programem NetBus uwa|ana jest domena UltraAccess.net (wicej informacji mo|na znalez na stronie www.UltraAccess.net). Numer portu: 17300 Program: Kuang Kuang jest mutacj prostego programu kradncego hasBa poprzez protok�B SMTP. Numery port�w: 20000, 20001 Program: Millennium Millennium jest kolejnym prostym koniem trojaDskim napisanym w jezyku Visual Basic. Jego opcje zdalnego sterowania zostaBy uaktualnione, dziki czemu potrafi m.in.: wysuwa i chowa tack napdu CD-ROM, odgrywa na gBo[nikach zaatakowanego komputera dowolny dzwik lub utw�r, kontrolowa parametry pulpitu, podkrada hasBa, monitorowa aktywno[ klawiatury, kontrolowa dziaBanie innych aplikacji, kontrolowa przegldark, wyBcza i restartowa system, skanowa porty. Podczas instalacji u|ywany jest nastpujcy klucz Rejestru: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices millenium Numer portu: 21544 Program: GirlFriend Kolejny koD trojaDski, kt�rego gB�wnym zadaniem jest przechwytywanie haseB. Nowsze kompilacje zawieraj serwer FTP, oraz mo|liwo[ wysyBania ofierze komunikat�w. Podczas konfiguracji wykorzystywany jest nastpujcy klucz Rejestru Systemowego: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices Windll.exe Numery port�w: 22222, 33333 Program: Prosiak Trojan o dosy standardowych mo|liwo[ciach: wysuwanie i chowanie tacki napdu CD-ROM, kontrolowanie urzdzeD dzwikowych komputera, kontrolowanie paska zadaD, kontrolowanie pulpitu, monitorowanie klawiatury, przechwytywanie haseB, zarzdzanie plikami, kontrolowanie pracy przegldarki, wyBczanie i restartowanie systemu, skanowanie port�w, Podczas instalacji u|ywany jest nastpujcy klucz Rejestru Systemowego: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices Microsoft DLL Loader Numer portu: 30029 Program: AOL Trojan AOL Trojan zara|a DOS-owe pliki *.exe. Potrafi rozprzestrzenia si poprzez sieci LAN, WAN, Internet oraz poprzez poczt. Po uruchomieniu AOL Trojan natychmiast stara si zainfekowa kolejne programy. Numery pot�w: 30100-30102 Program: NetSphere Ten pot|ny i bardzo niebezpieczny koD trojaDski posiada w swoim arsenale funkcje takie jak: wykonywanie zrzut�w ekranu, wysyBanie wiadomo[ci, ukrywanie i przywracanie paska zadaD, kontrolowanie pulpitu, mo|liwo[ prowadzenia rozmowy z u|ytkownikiem zainfekowanego komputera, zarzdzanie plikami, zarzdzanie aplikacjami, kontrolowanie myszy, zamykanie i restartowanie systemu, odgrywanie na gBo[nikach dowolnego dzwiku, monitorowanie wszelkich dostpnych informacji o systemie. Podczas instalacji u|ywany jest nastpujcy klucz Rejestru Systemowego: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices nssx Numery port�w: 1349, 31337, 31338, 54320, 54321 Program: Back Orifice Back Orifice jest jednym z najgrozniejszych i najbardziej rozpowszechnionych znanych koni trojaDskich. Potrafi m.in. komunikowa si przy pomocy szyfrowanych pakiet�w UDP, co znakomicie utrudnia wykrycie intruza. Potrafi r�wnie| korzysta z wtyczek, dziki czemu atakujcy mo|e wzbogaca ju| zainstalowanego na komputerze ofiary trojana o zupeBnie nowe funkcje. Podczas instalacji wykorzystuje nastpujcy klucz Rejestru: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices bo Numery port�w: 31785-31792 Program: Hack a Tack To jeszcze jeden powszechnie spotykany serwer udostpniajcy wszystkie typowe opcje zdalnego sterowania (rys. 4.40). Podczas instalacji u|ywany jest nastpujcy klucz Rejestru Systemowego: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices Explorer32 Rys. 4.40 Mo|liwo[ci programu Hack a Tack. Numer portu: 33911 Program: Spirit Ten dobrze znany trojan posiada unikaln, bardzo niebezpieczn funkcj monitor burn. Jej dziaBanie polega na cigBym resetowaniu rozdzielczo[ci ekranu, mo|liwe jest te|, |e zmieniana jest r�wnie| czstotliwo[ od[wie|ania. Podczas instalacji u|ywany jest klucz Rejestru: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices SystemTray= c:\windows\windown.exe Numer portu: 40412 Program: The Spy Program ten jedynie rejestruje sekwencje naci[nitych przez u|ytkownika klawiszy po czym natychmiast wysyBa je atakujcemu. Jego mo|liwo[ci s ograniczone, gdy| nie potrafi przechowywa sekwencji klawiszy gdy, przykBadowo, system jest odBczony od Internetu. Klucz Rejestru u|ywany podczas instalacji: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices systray Numer portu: 47262 Program: Delta Source Trojan Delta Source zostaB napisany na wz�r Back Orifice, w rezultacie ma bardzo podobne mo|liwo[ci. Podczas instalacji u|ywa nastpujcego klucza Rejestru: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices Ds admin tool Numer portu: 65000 Program: Devil Devil jest jednym ze starszych koni trojaDskich napisanych w jezyku Visual Basic. Na szcz[cie nie uruchamia si ponownie po restarcie systemu. Ograniczone mo|liwo[ci tego programu przedstawione zostaBy na rys. 4.41. Rys. 4.41 Ograniczone mo|liwo[ci trojana Devil. Obeznani z problemami dotyczcymi port�w i usBug rozpoczniemy teraz odkrywanie tych dziedzin informatyki, kt�rych dogBbna znajomo[ pozwala hakerom dokonywa swoich magicznych sztuczek . Jak to wielokrotnie w |yciu bywa, przeciwnika mo|na pokona jego wBasn broni. Opanowanie tych umiejtno[ci jest konieczne, by poprawi bezpieczeDstwo wBasnej sieci lub systemu operacyjnego oraz, by tworzy bezpieczniejsze oprogramowanie. Nale|y jednak pamita, |e stosowanie wikszo[ci technik i program�w opisanych w tej ksi|ce bez wiedzy i przyzwolenia os�b nimi atakowanych jest niezgodne z prawem obowizujcym w Polsce, oraz wielu innych krajach. Ani autor, ani wydawca nie mo|e ponosi odpowiedzialno[ci za u|ycie, lub niezrozumienie informacji przedstawionych w tej ksi|ce. Co dalej? Zadaniem tego rozdziaBu byBo przekazanie podstawowej wiedzy dotyczcej port�w wej[cia-wyj[cia oraz usBug z nimi zwizanych. Warunkiem przej[cia do kolejnego rozdziaBu jest zdobycie umiejtno[ci pozwalajcych zidentyfikowa potencjalne niebezpieczeDstwa zwizane z portami. W kolejnym rozdziale, zajmiemy si technikami pozywajcymi wykrywa niebezpieczne porty i usBugi, by umie przygotowa system na ewentualne pr�by atak�w ze strony haker�w.

Wyszukiwarka

Podobne podstrony:
03 Porty standardowe oraz związane z nimi usługiidB49
B Porty standardowe
Emocje i związane z nimi nazwiska
5a 6 5 2 5 Lab Rozwiązywanie problemów związanych z trasami statycznymi IPv4 oraz IPv6
WYKORZYSTANIE STANDARDOW SERII ISO ORAZ OGC DLA POTRZEB BUDOWY INFRASTRUKTURY DANYCH PRZESTRZENNYCH
Zapalenie błony śluzowej jamy ustnej związane z cykliczną standardową chemioterapią
ŹRÓDŁA INFORMACJI ORAZ USŁUGI UZDROWISKOWE W OPINII KURACJUSZY CIECHOCINKA I INOWROCŁAWIA
Rozp min śr z dn 9 września 2002 w sprawie standardów jakości gleby oraz standardów jakości ziemi
Zagadnienia zwiazane z zarzadzaniem wiedza cz 2 oraz modele zarządzania wiedzą
Usługi korzystające z sieci, porty i PID
wytyczne do standar przyl4
Dział 8 uprawnienia pracowników związane z rodzicielstwem
standard library
IS Multiroom Standard HD
Jedel J cyberatak na porty

więcej podobnych podstron