MASARYKOVA UNIVERZITA V BRNĚ

MASARYKOVA UNIVERZITA V BRNĚ FILOZOFICKÁ FAKULTA Ústav české literatury a knihovnictví Kabinet knihovnictví

Problematika získávání dat z cizího osobního počítače s OS Windows XP s přihlédnutím k situaci v ČR Bakalářská diplomová práce

Autor práce: Pavla Kovářová Vedoucí práce: Mgr. Petr Škyřík

Brno 2007

Bibliografický záznam KOVÁŘOVÁ, Pavla. Problematika získávání dat z cizího osobního počítače s OS Windows XP s přihlédnutím k situaci v ČR. Brno : Masarykova univerzita, Filozofická fakulta, Ústav české literatury a knihovnictví, 2006. x s., x s. příl. Vedoucí diplomové práce Mgr. Petr Škyřík.

Anotace Bakalářská diplomová práce „Problematika získávání dat z cizího osobního počítače s OS Windows XP s přihlédnutím k situaci v ČR“ se zaměřuje na nelegální nebo pololegální cesty získávání informací hackerem, čímž ukazuje nebezpečí, která hrozí běžnému uživateli počítače. Stručně jsou zahrnuty informace o možnostech ochrany proti těmto útokům, cílem práce ale je především shrnout, co by měl uživatel znát o metodách hackerů, kteří se snaží získat jeho data nebo informace o něm, aby se mohl účinně chránit. Celá práce je rozdělena do pěti kapitol včetně úvodu a závěru, přičemž jádro představuje kapitola „4. Činnosti vedoucí k získávání dat“, která ukazuje jednotlivé fáze útoku. Podrobně se tato práce nevěnuje všem možným útokům, vybrány jsou pouze ty, které se týkají běžného uživatele a proti kterým má možnost se sám chránit. Z toho důvodu také není zahrnuta problematika sítí a podrobný popis brutálního útoku. Jednotlivé hrozby jsou nejdříve obecně definovány a pro lepší srozumitelnost dané problematiky následují konkrétní doložitelné příklady. U jednotlivých typů útoku jsou také uvedeny informační prameny, které lze využít pro zjištění bližších informací, také jsou v práci uvedeny zdroje, na kterých lze získat pomůcky k praktickému poznávání konkrétních nebezpečí.

Annotation

This Bachelors thesis “Questions of obtaining data from a foreign personal computer with OS Windows XP with consideration to situation in the Czech Republic” is focusing on illegal or semi legal ways of data acquisition by hacker, whereby show dangers, which threaten common computer user. Information on protection possibilities against these attacks is shortly included, but the drift of the thesis is above all sum up, what facts should a computer user know about hacker methods to effectively protect himself. The whole thesis is divided to five chapters including the introduction and the conclusion, whereas the nub is chapter “4. Activities leading to obtaining data”, which shows separate sections of an attack. In detail this work no paies to all possible attacks, chosen are only these, which concern common computer user and which can user himself protect against. On that account also isn't included problems of networks and detailed description of feral attack. Single threats are generally defined at first and concrete sustainable instances follow for the better intelligibility of the query. Information sources are also mentioned in chapters about single types of attack, there are also said springs in the thesis, whereon can be obtained tools to practical cognition of concrete dangers.

Klíčová slova hackování, malware, počítačová kriminalita, sociální inženýrství, zabezpečení počítače

Keywords Hacking, Malware, Computer Crime, Social Engineering, Computer Security

Prohlášení Prohlašuji, že jsem předkládanou práci zpracovala samostatně a použila jen uvedené prameny a literaturu. Současně dávám svolení k tomu, aby tato diplomová práce byla umístěna v Ústřední knihovně FF MU a používána ke studijním účelům.

V Brně dne 24.dubna 2007

Pavla Kovářová

Poděkování Na tomto místě bych ráda poděkovala Mgr. Petru Škyříkovi, který vedl tuto práci, a člověku s přezdívkou BobanX, který mi poskytoval během práce četné rady a zdroje informací z pohledu hackera.

Obsah 1.VYMEZENÍ PRÁCE.....................................................................................7 2.ÚVOD..............................................................................................................8 3.HACKING – VYMEZENÍ A VÝVOJ POJMU.........................................10 4.ČINNOSTI VEDOUCÍ K ZÍSKÁVÁNÍ DAT...........................................13 4.1.PŘÍPRAVA PŘED ÚTOKEM........................................................................................................14 Zjišťování informací o cíli.................................................................................................14 Skenování..........................................................................................................................17 4.2.MALWARE...........................................................................................................................21 Viry....................................................................................................................................22 Červi..................................................................................................................................25 Trojské koně......................................................................................................................27 Spyware.............................................................................................................................30 Méně obvyklé typy malwaru..............................................................................................34 4.3.INTERNETOVÉ PODVODY.........................................................................................................38 Sociální inženýrství...........................................................................................................38 Phishing a jeho následovníci............................................................................................41 4.4.BRUTÁLNÍ ÚTOK...................................................................................................................45 Fyzický útok......................................................................................................................46 Hesla a jejich lamače........................................................................................................48

5.ZÁVĚR..........................................................................................................52 POUŽITÁ LITERATURA.............................................................................53 SEZNAM OBRÁZKŮ A TABULEK............................................................65 SEZNAM PŘÍLOH.........................................................................................65 PŘÍLOHY........................................................................................................66

1. Vymezení práce Tato práce si klade za cíl ukázat nebezpečí, která hrozí každému uživateli a jejichž smyslem je získat určitá data z jeho počítače. Jedná se o obsáhlou oblast, proto je nutné vymezit hranice řešené problematiky. Tato práce se zaměřuje na situace, které hrozí běžnému uživateli, z čehož vyplývá několik hledisek, která téma práce vymezují: • Cílem útoku je osobní počítač, nikoli počítačová síť. • Práce je zaměřena na OS Windows XP. • Nezabývám se legislativními a represivními důsledky rozebírané činnosti. • Nejsou zahrnuty programátorské možnosti hackerů, ani správců systémů. • Celá problematika je směřována k situaci v ČR, což se odráží ve výběru příkladů útoků, v popisu hrozeb a ochran proti nim. V této práci čerpám především z českých informačních zdrojů, protože zohledňují specifika České republiky (např. jazyková lokace), zahraniční literatura je využita v obecných částech. Využívám i z elektronické zdroje, které nelze považovat za důvěryhodné, ale lze v nich najít informace o činnosti hackerů, jejich nových metodách a posuny v motivaci.

7

2. Úvod Problematiku získávání dat z cizího osobního počítače jsem si vybrala proto, že se zajímám již několik let o zabezpečení počítače. Jde o široké téma, proto jsem zvolila oblast, která ukazuje, jakou mají data v současnosti cenu a jak se mohou jednoduše dostat do nepovolaných rukou. S touto problematikou se lze setkat často, ale není-li zájem o ni hlubší, je poznávána jen z některých pohledů. Vybrala jsem způsob méně častý, rozebírám skutečnosti, které by o pohledu hackera a hrozbách z jeho strany měl znát běžný uživatel. Tato práce nemá sloužit jako návod na útok, ale v duchu rčení „poznej svého nepřítele“ nebezpečí přibližuje, varuje před ním a ukazuje, jak se bránit. Přestože počítače a informační technologie prošly obrovským rozvojem, uživatelé je považují za příliš znalostně náročné, proto se do nich nepokouší proniknout, což vede k nebezpečnému důsledku: nejsou si vědomi nebezpečí, která jim hrozí. Problémům, kterým se věnuje tato práce, by měla být věnována větší pozornost, protože nebezpečí klasické krádeže si je vědom snad každý, ale v případě krádeže pomocí počítače to tak nebývá. Každý ví, že v hromadných dopravních prostředcích si má dát pozor na zavazadla, aby nebyl okraden, ale neuvědomuje si, že podobné nebezpečí hrozí i na Internetu. Data díky svým vlastnostem mají při krádeži několik specifik. Uživatel si nemusí uvědomit, že se stal obětí, ani jak lze ukradená data zneužít. Pro pochopení jak a proč hackeři útoky provádí, je dobré znát jejich metody i názory. Opět lze použít uvedené přirovnání - aby člověk věděl, jak se bránit proti zlodějům, musí vědět, jak krádež provádí, tedy na ochranu čeho se soustředit. Stejnou metodu by měli použít uživatelé pro ochranu svého digitálního vlastnictví. Uživatel může např. použít metody hackerů pro odhalení slabého místa ve svém zabezpečení a zjednat nápravu. Tato práce ukazuje všechny etapy útoků na data, od předběžného zjišťování informací po zahlazování stop, protože v každé fázi se uživatel může

8

bránit různými způsoby, a jinak útok, resp. hrozící útok, detekuje. Kvůli šíři problematiky jednotlivé kapitoly uvádím obecně a pro přiblížení dále rozebírám na příkladech, ukončeny jsou možnostmi, jak danému problému předejít, příp. jej odstranit.

9

3. Hacking – vymezení a vývoj pojmu Pro správné pochopení celé problematiky je nutné se stručně seznámit s vývojem hackingu jako pojmu i fenoménu. V této kapitole jsou vysvětlovány pojmy hacking a hacker, ale i související termíny, které sice dále používány nejsou, ale je nutné je rozlišovat, aby nedocházelo k mystifikacím (např. zaměňování pojmů hacking a softwarové pirátství). Jak popisuje Matějka1, první hackery nelze spojovat s porušováním zákonů, ani získáváním dat z cizího počítače. Byli to programátoři, kteří museli zasáhnout do programového vybavení počítače, protože v jejich době (asi od konce 2. světové války do počátku 70. let) neexistovala technická podpora ze strany softwarových firem. Tyto zásahy se označovaly „hacks“ (odtud hacking, hacker apod.). Poté následovalo období phreakingu, který má s hackingem úzkou souvislost. Phreaking bývá překládán jako telefandovství a jde o nelegální telefonování prostřednictvím triku. Phreakingem začínalo mnoho hakerů (např. Kevin Mitnick) i osobností počítačového businessu (např. Steve Jobs, jeden ze zakladatelů společnosti Apple Computers2). Jak Matějka3 pokračuje, hacking, který přišel záhy po phreakingu, se dostal do zlaté éry na přelomu 80. a 90. let 20. století. Toto období je spojeno se třemi jmény: Kevin Mitnick (kapitola Sociální inženýrství), Robert T. Morris (kapitola Červi) a Kevin Poulsen, jehož proslavila phreakerská činnost – „naboural se do telefonních linek kalifornské rozhlasové stanice, aby mohl vyhrát automobil značky Porsche v posluchačské soutěži“4. Všichni jmenovaní byli chyceni a odsouzeni. I v České republice se objevily případy považované za hacking, ale díky vzácnému přístupu k počítači v tomto období šlo nejčastěji 1

MATĚJKA, Michal. Počítačová kriminalita. 1. vyd. Praha : Computer Press, 2002. 108 s. ISBN 80-7226-419-2. s. 20-21. 2 STERLING, Bruce. The Hacker Crackdown. [s.l.] : [s.n.], c1992. Dostupný z WWW: . The Digital Uderground. 3 MATĚJKA, Michal. Počítačová kriminalita. 1. vyd. Praha : Computer Press, 2002. 108 s. ISBN 80-7226-419-2. s. 28-29. 4 MATĚJKA, Michal. Počítačová kriminalita. 1. vyd. Praha : Computer Press, 2002. 108 s. ISBN 80-7226-419-2. s. 28.

10

o sabotáže. Jako první případ bývá uváděna sabotáž datovaná do 70. let, kdy šlo o poškozování záznamových médií magnetem. Zde je patrné, že největší nebezpečí hrozí „zevnitř“, protože tento čin provedl nespokojený zaměstnanec Úřadu důchodového zabezpečení (vnitřní hrozby blíže v kapitole Brutální útok). Následovalo období, v němž největší vliv na rozvoj hackingu mají dvě skutečnosti: masové rozšíření osobních počítačů a téměř stejně rozsáhlé užívání Internetu, díky čemuž se „hackerem“ může stát kdokoliv. Dnes bývá termín hacker užíván běžně, ale často (i v masmédiích) v nesprávném kontextu, proto následuje jeho vymezení. Hacking spadá do oblasti počítačové kriminality, přestože ne vždy je postižitelný zákonem, spolu s crackingem a softwarovým pirátstvím. Tyto pojmy bývají zaměňovány, proto je nutné definovat i je. Softwarové pirátství představuje neoprávněné vytváření, šíření a užívání kopií programů. Cracking znamená „postup určité úpravy softwaru (např. změna umožňující spuštění hry i bez originálního CD) bez užití zdrojových kódů5 programovacího jazyka, v němž byl daný program naprogramován.“6 Cracker by tedy měl být ten, kdo provádí cracking, ale někdy tak definován není. Podle Ericksona7 označuje tzv. Black Hat, konkrétně skriptového amatéra (oba pojmy vysvětleny níže). Hacking představuje „neoprávněný průnik do počítačového systému a jeho zneužití, krádež nebo poškození dat atd.“8 Tato definice je podle mého názoru diskutabilní, protože někdy jde pouze o neoprávněný průnik bez dalších důsledků. Hackerem je tedy každý, kdo uskutečňuje neoprávněné průniky do počítače. Tak bývá definován a v této práci bude využíván, přestože útoky budu demonstrovat z pohledu skriptového amatéra či lamera proto, že skuteční hackeři používají variabilní 5

Zdrojový kód (Source Code) – Člověkem čitelný text v určitém programovacím jazyku, aby mu počítač „rozuměl“, musí být kompilován do strojového kódu. Pokud je zdrojový kód znám, je snazší v něm nalézt bezpečnostní nedostatek. (pozn. PK) 6 ZEMÁNEK, Jakub. Slabá místa Windows aneb jak se bránit hackerům. 1. vyd. Kralice na Hané : Computer Media s. r. o., 2004. 156 s. ISBN 80-86686-11-6. s. 10-11. 7 ERICKSON, Jon. Hacking : umění exploitace. 1. vyd. Brno : Zoner Press, 2005. 263 s. ISBN 80-86815-21-8. s. 13. 8 ZEMÁNEK, Jakub. Slabá místa Windows aneb jak se bránit hackerům. 1. vyd. Kralice na Hané : Computer Media s. r. o., 2004. 156 s. ISBN 80-86686-11-6. s. 11.

11

útoky, aby omezili možnost svého dopadení, a největší nebezpečí běžnému uživateli hrozí právě od skriptového amatéra. Jak je patrné z předchozího odstavce, hackeři se dělí do několika kategorií. Vycházím z rozdělení Matějky9 s přihlédnutím k posunu významů, ke kterému od vydání jeho knihy došlo. Skriptový amatér (Script Kiddie) nyní hanlivě označuje útočníka, který jen užívá předvytvořené programy, neusiluje o další rozvoj a nebere ohled, zda něco zničí či překročí hackerská pravidla. S touto kategorií souvisí i lamer, který byl původně označením pro současný význam předchozího termínu, dnes jde spíše o hackera - začátečníka. Hacker v užším smyslu má rozsáhlé znalosti v pronikání do systémů, programátorství, zabezpečení počítačů a souvisejících oborech. Dále dělí se na White Hats (Ethical Hackers), kteří dodržují daná pravidla a chtějí být hackery v původním smyslu, Black Hats, kterým jde jen o vlastní prospěch, nejčastěji finanční zisk, a Gray Hats, kteří stojí na pomezí předchozích dvou kategorií a zveřejňují bezpečnostní díry a exploity10 s tím, že usilují o větší bezpečnost systémů. Psychologii a motivy hackerů, zejména White Hats, ukazuji v příloze č. 1, kde jsou uvedeny základní dokumenty odrážející jejich myšlení, ale i úryvky z publikací, které zobrazují zažitou představu o tom, kdo je hacker.

9

MATĚJKA, Michal. Počítačová kriminalita. 1. vyd. Praha : Computer Press, 2002. 108 s. ISBN 80-7226-419-2. s. 54. 10 Exploit – program primárně určený k využití bezpečnostní díry (pozn. PK)

12

4. Činnosti vedoucí k získávání dat Tato rozsáhlá kapitola shrnuje jednotlivé fáze útoku, seřazené podle časové následnosti při procesu získávání dat. Někdy řazení není jednoznačné, např. sociální inženýrství lze využít při získávání informací i jako vlastní útok, podobně konkrétní útok nemusí zahrnovat všechny uvedené etapy. První je zařazena kapitola o přípravě na útok, jejím smyslem je získání dostupných informací o oběti, což je podmínkou cíleného útoku, který tak získává větší šanci na úspěch. Opět lze využít přirovnání ke klasické krádeži, bankovní lupiči před útokem usilují o získání co nejvíce informací o cíly (např. umístění bezpečnostních kamer), aby zlepšili své vyhlídky. Pokud se nejedná o útok cílený, ale tzv. „na slepo“, není tato fáze nutná a někdy ani možná, např. u malwaru, který řadím jako druhou možnost pro získání dat. Malware představuje pro uživatele nejběžnější hrozbu, proto mu věnuji větší pozornost, a je řazen za zjišťování informací o cíli, protože může být využit i při cíleném útoku, běžně bývá po brutálním útoku pro dlouhodobé ovládnutí počítače instalován hackerem škodlivý software (nejčastěji trojský kůň nebo backdoor). Další typ útoku představují internetové podvody založené na sociálním inženýrství, které rozebírám jako první podkategorii. Sociotechnické metody využívají i ostatní typy útoků, ale nejčastěji je spojováno s phishingem a jeho následovníky (např. pharmingem), kterým se také věnuji v samostatné podkapitole. Phishing je nebezpečným typem útoku, který se rychle rozvíjí po celém světě. Někdy využívá malwaru a běžně mu předchází zjišťování informací o oběti, proto jsou Internetové podvody řazeny až za tyto dvě fáze. Jako poslední jsem zařadila Brutální útok, protože se jedná z pohledu hackera o nejnáročnější druh útoku a z pohledu uživatele o nejméně běžný. Brutální útok může mít mnoho podob, vždy mu předchází zjišťování informací o oběti a často i využití malwaru a sociálního inženýrství. Metody brutálních útoků jsou natolik rozmanité a složité, že je zbytečné je podrobně rozebírat. To

13

neplatí u fyzického útoku, který je zastoupen např. krádeží notebooku, a prolamování hesel k různým aplikacím, proto jim věnuji samostatné kapitoly.

4.1. Příprava před útokem Příprava před útokem je důležitá především u cílených útoků. Může být představována různými činnostmi pro zjištění informací k dalšímu útoku. Uvádím, že je pro hackera dobré získat co nejvíce informací, což není vždy nutné, ale může mu to usnadnit práci, jak lze ukázat na malwaru. Ten je tak běžný, že není možné, aby jeho tvůrce zjišťoval informace o všech obětech. Pokud ale má vyhlédnut konkrétní cíl a využije zjišťování informací, jak popisuji v následujících kapitolách, je jednoduché s využitím malwaru útok provést a získat žádaná data. Tuto kapitolu rozdělím na zjišťování informací o cíli, které ani nebývají považovány za nebezpečné, ale lze je zneužít např. sociálním inženýrstvím. Druhá část je věnována skenování, především portů11, ale i zjišťování dalších informací týkajících se softwarového nebo hardwarového vybavení počítače pomocí programu. Stejně jako u klasické krádeže je i v oblasti počítačové kriminality zjišťování informací nepostižitelné a často není detekováno ani významnými servery. Atraktivní cíl skenování představují pro hackery americké vládní počítače, ale protože ty zaznamenávají mnoho podobných narušení denně, většinou na „pouhé“ skenování nenavazuje odvetné opatření.

Zjišťování informací o cíli Mnoho uživatelů i tvůrců webových stránek, tedy informačních zdrojů, si neuvědomuje, že všechny získané informace může hacker zneužít. Při útoku 11

Port – Číslo, které je součástí IP adresy za dvojtečkou (např. 253.221.24.1:21), identifikuje službu, která musí čekat na otevřeném portu, ten pak umožňuje vysílání a přijímání dat. Některé služby mají daná čísla portů (např. 21 = FTP, 23 = Telnet, 110 = POP3 atd.), jiná lze nastavit. Počítač má celkem 65535 portů, což odpovídá šestnástibitovému číslu. (pozn. PK)

14

mohou posloužit údaje o rodině administrátora či významného zaměstnance (např. při lámání hesla), jejich koníčky, cestovní plány apod. Jedinou možností, jak hackerovi tuto činnost ztížit, je zveřejňovat co nejméně údajů. Je nutné dávat si pozor i na odpadky a skartovat dokumenty – prohledávání odpadků je jedna z nejjednodušších metod hackera, často může nalézt hesla na papírcích, výpisy z účtu apod.12 Pokud má být útok veden technologickou cestou, hacker se zajímá především o IP adresu13. Ta lze zjistit několika způsoby: • Při znalosti webové adresy oběti lze v příkazové řádce14 zadat ping www.seznam.cz (resp. adresu oběti), ve výsledcích je uvedena IP adresa. • Webové stránky musí znát IP adresu uživatele, aby mu poslali zpět pakety15 s odpovědí, mohou také ukrývat různé druhy malwaru. • Programy typu ICQ také potřebují znát IP adresu, uživatel ji často zveřejňuje sám, pro zobrazení je nutné jej v Contact Listu. Pokud uživatel zakáže zveřejnění IP adresy, stále není v bezpečí – na Internetu lze nalézt programy, které tento zákaz obejdou (např. Icqsniper16). • Časté je zjišťování IP adresy z e-mailu pomocí hlavičky, která se běžně nezobrazuje. Její nejdůležitější část pro hackera představuje položka Received, kterou přidává každý uzel sítě, kterým e-mail projde, pro hackera je tedy důležitá první (nejníže položená) položka Received. Pokud již hacker zná IP i e-mailovou adresu, jeho kroky směřují k vyhledání dalších informací na Internetu, poslouží mu např. služby: • vyhledávač AltaVista17 nalezne stránky s danou e-mailovou adresou 12

Této problematice se částečně věnuje THOMAS, Thomas M. Zabezpečení počítačových sítí bez předchozích znalostí. 1. vyd. Brno : Computer Press, 2005. 338 s. ISBN 80-251-0417-6. 13 IP adresa – Jednoznačný identifikátor síťového uzlu složený ze čtyř byte, bývá zapisován tečkovou notací (např. 253.221.24.1), části nabývají hodnot 0 až 255. Několik IP adres je vyhrazeno pro speciální účely, např. 127.0.0.0 či 127.0.0.1, tzv. loopback adresy. (pozn. PK) 14 Příkazový řádek (Command Line) – umožňuje komunikaci mezi uživatelem a OS (pozn. PK) 15 Paket – soubor dat putující mezi uzly sítě jako celek, atributy jsou velikost, hlavička, místo vydání a určení (pozn. PK) 16 lze najít na warezových stránkách např. http://www.ddlspot.com/icqsniper-crack-serialkeygen-warez-download.html 17 http://www.altavista.com/

15

• „telefonní seznam Internetu“, kam se uživatelé sami registrují – Lidé18, Bigfoot19 apod. • databáze Whois20 zjistí, ke kterému providerovi příslušná IP adresa náleží • fyzické místo, kde je oběť připojena, zjistí DNS21 nebo traceroute (v příkazovém řádku pokyn tracert a cílový název nebo adresa) Nejvíce informací zpřístupňuje často využívaný vyhledávač Google22, proto se na něj zaměřím. Lze se setkat s tvrzením, že Google umí najít vše, nebo naopak že nestačí používat Google, ale je nutné umět hledat informace jinak. Oba pohledy jsou správné. Google často vrátí tolik výsledků, že je efektivnější využít jiné možnosti, ale pokud někdo umí Google používat správně, umožní tento vyhledávač najít i citlivé informace, předpokladem je zejména umět používat pokročilé operátory a sestavit dotaz. Mnoho rad lze najít v knize Google HACKING23. V příloze č. 2 popisuji na základě informací z této knihy nejčastěji využitelné operátory a pravidla pro jejich použití, které je ale nutné ovládat je v praxi, proto je zbytečné se jim věnovat obecně. Místo toho uvádím několik příkladů, které možnosti Googlu demonstrují, přičemž vycházím z výše jmenované monografie. Google umožňuje najít data publikovaná omylem, pokud je správce webové stránky odstraní, archívy mohou zobrazit původní podobu této stránky. Google pomůže tyto informace objevit doménovým hledáním24 a specifikací souboru. Tak je možné najít např. seznam platných uživatelů serveru 18

http://www.lide.cz/ http://www.bigfoot.com/ 20 http://www.networksolutions.com/home.jsp 21 DNS (Domain Name System) slouží k převodu doménových jmen (např. www.microsoft.com), které si uživatelé lépe pamatují, na IP adresy (např. 253.221.24.1), kterým počítač „rozumí“. (pozn. PK) 22 http://www.google.com/ 23 LONG, Johnny. Google HACKING. Miroslav Kučera; RNDr. Jan Pokorný. 1. vyd. Brno : Zoner Press, 2005. 472 s. ISBN 80-86815-31-5. 24 Doménové jméno je přidělováno nezávislou organizací (nameserverem) všem uzlům Internetu, tvoří hierarchickou strukturu. Na vrcholu je root, hlavní uzel representovaný kvůli spolehlivosti více počítači. Českou republiku představuje doména .cz, následují subdomény geograficky spadající pod Českou republiku, např. muni.cz a takto lze pokračovat až ke koncovým uzlům. (pozn. PK) 19

16

www.seznam.cz vytvořený v programu Excel (dotaz filetype:xls “seznam.cz“). Podobně lze hledat počítače s určitým programem, u něhož není problém zjistit bezpečnostní mezery. Pokud chce hacker najít servery, poslouží mu dotaz intitle:“index of“ “Server at“. Různých informací Google nabízí mnoho, někdy umožní hackerovi připojit se na webovou kameru oběti, příp. najít určitá hesla. Nejlepší obranou je použití proxy serveru, díky kterému hacker zjistí jen IP adresu proxy, ne uživatele. Podobná situace nastává při použití firewallu. Uživatel by se měl vyhýbat sdílení (zejména v peer-to-peer sítích) a omezit užívání instant messangingu. Vhodné je využití anonymizerů, které fungují jako proxy servery a komunikují šifrovanou cestou. Mezi nejznámější patří Anonymizer25, FindNot Internet Privacy and Security26 a utilita JAP27, jejíž provozovatelé se zavazují nezaznamenávat žádné aktivity uživatele.

Skenování Jak jsem zmiňovala při obecném popisu přípravy na útok, je skenování počítačů běžné. Jde o zjišťování technických informací o oběti, přičemž nejčastěji je myšleno skenování portů, které pro hackera představují „dveře“ do počítače. Pokud se ale mluví jen o skenování, zahrnuje tato činnost i zjišťování dalších technických informací, jak uvádím v následujících odstavcích. „Skenování portů (port scanning) je způsob, jakým lze zjistit, jaké porty jsou otevřené a přijímají spojení. Protože mnoho služeb běží na standardních dokumentovaných portech, může se tato informace použít k zjištění, které služby jsou spuštěny. Nejjednodušší formou skenování portů je pokus otevřít TCP28 spojení na všech možných portech cílového systému.“29 Ve většině 25

http://www.anonymizer.com/ http://www.findnot.com/ 27 http://anon.inf.tu-dresden.de/ 28 TCP/IP (Transmission Control Protocol/ Internet Protocol) – protokol pro komunikaci v počítačové síti. (pozn. PK) 29 ERICKSON, Jon. Hacking : umění exploitace. 1. vyd. Brno : Zoner Press, 2005. 263 s. ISBN 80-86815-21-8. s. 182. 26

17

skenerů portů lze zadat rozsah IP adres pro skenování více počítačů, pokud hacker nemá za cíl konkrétní počítač. Právě IP adresa je nutností pro skenování, některé programy sice umožňují zadat doménové jméno webové stránky, to je ale převedeno na IP adresu. Po skenování následuje útok přes službu identifikovanou otevřeným portem. Hacker při skenování zjistí verzi programu, příp. chybějící záplaty, a přes bezpečnostní mezeru zaútočí. Z toho vyplývá, že každý otevřený port představuje nebezpečí. Často se stává, že běžný uživatel má otevřené i porty, na kterých naslouchají pro něj nepotřebné služby, o nichž ani neví. To napomáhá hackerům, kteří pro získání přístupu zkouší předdefinované kombinace jméno – heslo k dané službě (např. guest/guest). Mnoho skenerů umí prohledávat i porty typické pro určité trojské koně. Pokud je některý z nich otevřený, představuje pro hackera bránu dokořán - pouze si z Internetu stáhne klientskou část tohoto malwaru a může systém plně ovládnout. Jako příklad skeneru jsem vybrala GFI LANguard Network Security Scanner30, který je určen spíše na ochranu než útok, ale zahrnuje mnoho funkcí a je velmi přehledný. Po skenování zobrazí bezpečnostní rizika a nejzávažnější zvýrazní, zahrnuje i několik utilit, které hackerovi zjednodušují práci, např. výše uvedený převod doménových jmen na IP adresy, služby whois, traceroute (sledování cesty paketů) a další. LANguard ukáže nainstalované programy a jejich popis, služby i hardwarové vybavení. Pro ilustraci následují dva obrázky, přičemž první ukazuje výsledky testování zabezpečené sítě (použita doména phil.muni.cz) a druhý výsledky běžného uživatele. Tyto obrázky vystihují důležitost zabezpečení. Všechny položky zobrazené pod názvem počítače je možné prohlížet důkladněji a není těžké proklikat se tak daleko, že se zobrazují okna stejně, jako by byl skenovaný počítač ovládán přímo, a pokud nejsou omezena uživatelská práva, je možné instalovat programy, mazat soubory a složky apod. Také je z obrázků

30

http://www.gfi.com/lannetscan/

18

možné rozeznat, že program odlišuje hrozby spojené se skenovaným počítačem červenou barvou.

Obrázek č. 1: Skenování domény phil.muni.cz programem GFI LANguard Network Security Scanner, vlastní zpracování

19

Obrázek č. 2: Skenování počítače běžného uživatele programem GFI LANguard Network Security Scanner, vlastní zpracování Existuje mnoho skenerů portů, některé s mnoha funkcemi, jiné pouze pro hledání počítačů a skenování portů. Jako příklady mohou být uvedeny: Superscan31, Nmap32 nebo Cain & Abel33, i bezpečnostní skenery jako popsaný GFI LANguard Network Security Scanner nebo Nessus security scanner34, který sám provede útok až do fáze zjištění, zda je počítač napadnutelný. 31

http://www.foundstone.com/index.htm? subnav=resources/navigation.htm&subcontent=/resources/scanning.htm/ 32 http://insecure.org/nmap/ 33 http://www.oxid.it/cain.html 34 http://www.nessus.org/

20

Při skenování jsou hledány bezpečnostní nedostatky, které se objevují stále nové, proto je dobré sledovat vývoj v této oblasti prostřednictvím webové stránky CVE – Common Vulnerabilities and Exposured35, která se zabývá standardizací bezpečnostních problémů, nebo odebírat Newslettery. Pokud chce uživatel zkontrolovat, zda je vše v pořádku, může použít bezpečnostní analyzátor (např. MBSA - Microsoft Baseline Security Analyser36), nebo skener portů. Ochranou proti skenování portů je firewall, protože pokud útočník není zkušený hacker, budou neustálé pokusy o spojení detekovány jako snaha o útok a firewall další komunikaci zablokuje.

4.2. Malware Nejčastějším problémem, se kterým se uživatel skoro denně setkává, je malware. Jak jsem zmiňovala, v předchozích kapitolách rozebrané zjišťování informací hacker před využitím malwaru může, ale nutně nemusí provádět. Pojem malware vznikl jako zkratkové slovo z anglického malicious software. „Pojem malware se vžil pro označení jakýchkoli škodlivých (nežádoucích) programů, které se (většinou) bez vědomí uživatele dostaly do jeho počítače.“ 37 Jednotlivým škodlivým kódům, které mají souvislost s tématem, se budu věnovat v následujících podkapitolách. Pro všechny je společné, že využívají bezpečnostních nedostatků, zejména děr, na které již existují záplaty, nebo špatně nastavených programů a služeb, např. špatně nastavené skripty umožňující aktivaci parazita bez přičinění uživatele. Některé pojmy v oblasti počítačů je nemožné přesně definovat a právě u malwaru to je zjevné. Každá kategorie má sice jednoznačné charakteristiky, ale málo škodlivých kódů je splňuje, a současně nepřesahuje do dalších kategorií. Někdy také není jednoznačně dáno, o jakou se jedná kategorii a co je 35

http://cve.mitre.org/ http://www.microsoft.com/technet/security/tools/mbsahome.mspx 37 KRÁL, Mojmír. Bezpečnost domácího počítače : Prakticky a názorně. 1. vyd. Praha : Grada, 2006. 334 s. ISBN 80-247-1408-6. s. 21. 36

21

přidaná vlastnost, např. keyloggery lze považovat za samostatnou kategorii i vlastnost snifferu38 či jiného malwaru. V rámci nutnosti jednotlivé typy oddělit jsem je zařadila jako rovnocenné a příklady jsem vybrala, aby co nejlépe vystihovaly podstatu daného kódu, příp. měly souvislost s tématem práce.

Viry Viry a červi (následující kapitola) patří mezi nejobvyklejší typy malwaru. Sami data nezískávají, přesto je nutné je zahrnout, protože, jak jsem uváděla, škodlivé kódy často přesahují jednotlivé kategorie. Díky tomu mohou mít viry a červi vlastnosti, které získání informací umožní, např. mohou obsahovat keylogger. Pojem viry bývá nesprávně užíván i pro kategorii červů, někdy dokonce pro celou oblast škodlivých kódů, zde ale budou odlišovány. „Historicky je počítačový virus program, který napadne spustitelný nebo přeložený (object) soubor. Jakýkoliv program, který se zkopíruje sám bez vašeho souhlasu, je virus. Typicky se kód viru připojí do souboru tak, aby byl spuštěn v paměti nebo operačním systémem pokaždé, když je spuštěn napadený soubor.“39 Pojem počítačový virus poprvé použil roku 1983 Fred Cohen a také předvedl jeho ukázku – v té době byly počítačové viry ve stadiu laboratorních pokusů. První počítačový virus v oběhu byl Brain, bootovací virus napadající zaváděcí sektor disket, který se objevil roku 1987, a o rok později byl vydán první antivirový software, který jej dokázal najít a odstranit. Od té doby probíhá neustálý boj mezi tvůrci virů a antivirů a v obou oblastech se stále objevují nové prvky, na které musí druhá strana reagovat. Mezi nejobvyklejší typy virů patří souborové viry a makroviry. Souborové viry byly jedny z prvních škodlivých kódů, a jak vyplývá z jejich

38

sniffery se nezabývám, protože jde o programy k odposlechu v síťovém prostředí (pozn. PK) KLANDER, Lars. Hacker Proof : váš počítač, vaše síť a vaše připojení k Internetu Je to opravdu bezpečné?. Kamila Chybová. 1. vyd. Brno : UNIS Publishing, s.r.o., c1998. 648 s. ISBN 80-86097-15-3. s. 385. 39

22

názvu, šířily se připojené k souborům. Časopis PC World Security40 uvádí, že v polovině 90. let 20. století představovali nejrozšířenější kategorii malwaru. Makroviry se objevily později, téměř s OS Windows 95. Programovací jazyky VBA (Visual Basic for Aplications) a VBS (Visual Basic Skript), v nichž jsou makroviry vytvářeny, znamenaly milník při tvorbě virů. Díky nim se práce hackerů zjednodušila, a když vzpomenu i generátory virů, které lze na Internetu najít (např. na stránkách Matrixnet41), může dnes vir vytvořit kdokoliv, jen zřídka se objeví něčím výjimečný vir. Viry téměř vymizely zejména díky pomalému šíření, proto uvádím případ ze srpna 2000 , o němž píše Přibyl42, kdy došlo k neúspěšnému pokusu o napadení United Bank of Switzerland. Její zaměstnanci přijímali e-mailové zprávy maskované žádostí o zaměstnání, virus se po otevření přílohy pokoušel stáhnout a spustit program z Internetu, který měl odcizit a odeslat hesla. Sice nešlo o počítače s Windows XP, ale jde o nejznámější případ zcizení dat virem. O dalším viru jménem Zafi informuje Profit43. Objevil se v červnu 2004 a jeho autorem by mohl být Čech. Maskoval se jako elektronická pohlednice na serveru www.seznam.cz a text v předmětu a těle zprávy byl psán česky. Ochrana proti virům a červům je z pohledu uživatele totožná. Základ představuje antivir, mezi nejběžnější patří Bitdefender Antivirus Plus44, eTrust Antivirus45,

F-Secure46,

Kaspersky

40

Anti-Virus47,

McAfee

VirusScan

PŘIBYL, Tomáš. Aktuální virová hrozba. PC World Security. Praha : IDG Czech, 2004, č. 1, s. 5-7. ISSN 1214-794X. s. 5. 41 http://matrixnet.xf.cz/tvorba.php 42 PŘIBYL, Tomáš. Počítačové viry ve službách armády. Počítač pro každého, 2001, č. 15, s. 36. ISSN 1212-0723. s. 36. 43 Profit [online]. 2004 [cit. 2007-03-19]. Dostupný z WWW: . 44 http://www.bitdefender.cz/PRODUCT-2143-cz--BitDefender-Antivirus-Plus-v10.html 45 http://shop.ca.com/virus/antivirus.aspx 46 http://www.f-secure.com/home_user/antivirus.html 47 http://www.kaspersky.com/kav6

23

Enterprise48, NOD3249, Norton Antivirus50, Panda Antivirus51 a další. Záměrně je řadím abecedně, protože je obtížné říct, který je lepší než ostatní. Každý uživatel se musí rozhodnout, jaké vlastnosti považuje za prioritní, např. zda je důležitější česká lokace nebo spektrum rozeznávaných útoků. Antiviry by měly zahrnovat rezidentní skener (neustálá kontrola přístupu k souborům), nerezidentní skener (na vyžádání), heuristickou analýzu (rozbor kódů, zda neprovádí činnosti typické pro viry), karanténu (pro záchranu souborů, jejichž nákazu zatím nelze léčit), kontrolu integrity (zda nedošlo ke změně souborů), léčení a automatické aktualizace. Antiviry často trpí nedostatkem, že naleznou škodlivý kód až po infikaci. Nákaze může zabránit firewall (kapitola Trojské koně), který také zamezí, aby byla z počítače odeslána data. Kromě antivirů a firewallů existují další opatření, jak nákaze předcházet nebo ji omezit. Důležitý je přehled, jaké se objevily nové hrozby, a které z nich představují největší riziko. K nalezení těchto informací slouží webové stránky CERT52, Virový radar53, Virus Bulletin54, Viruslist.com55, Viry.cz56 i stránky výrobců antivirového softwaru. Další bezpečnostní prvek představuje opatrnost uživatele. Pokud odklikne každé okno, které se mu objeví, zřejmě „si odklikne“ i přítomnost škodlivého kódu. Malware využívá i bezpečnostní mezery, proto je nutné záplatovat a aktualizovat57 OS a aplikace, důležité je i zálohování. Pokud škodlivý kód využívá nedostatku, může být stažen i běžnou aplikací (např. plug-in nebo skript), proto je vhodné změnit některá nastavení a tak tuto hrozbu eliminovat. Podle PC Worldu58 by si měl uživatel zkontrolovat záložku Možnosti Internetu – Zabezpečení, zda má povoleny jen služby, které 48

http://www.mcafee.com/uk/smb/products/anti_virus/file_servers_desktops/virusscan_80i.ht ml 49 http://www.eset.cz/produkty/nod32-standard-edition 50 http://www.symantec.com/home_homeoffice/products/features.jsp?pcid=is&pvid=nav2007 51 http://www.pandasoftware.com/products/antivirus2007.htm?sitepanda=particulares 52 http://www.cert.org/ 53 http://www.virovyradar.cz/ 54 http://www.virusbtn.com/ 55 http://www.viruslist.com/ 56 http://www.viry.cz/ 57 myšleny upgrady na novou verzi i updaty: hotfixy (rychlá úprava dílčího programu), service packy (komplexnější balíček) a záplaty nebo patche (střední verze) (pozn. PK)

24

nutně potřebuje, a u ostatních má označeno zakázat nebo dotázat se. Druhým krokem je zobrazení i známých přípon. Pak si bude jistý, zda příloha e-mailu obsahuje spustitelný soubor nebo obrázek. Důležité je zakázat úpravu klíčů v registru a nastavit je jen pro čtení (malware po změně registrů představuje větší hrozbu). Výborným tahem je omezit práva uživatele, je bezpečnější administrátorská práva používat pouze v případě nutnosti. Posledním krokem je používat alternativní prohlížeč místo Internet Exploreru.

Červi Červi bývají považováni za další vývojovou etapu virů, protože je téměř nahradili. Šíří se rychleji a lze jim přidělit více funkcí, tak se lze setkat s červem, který má vlastnost keyloggeru nebo otevře backdoor. Červi se někdy pokouší o vypnutí antivirové ochrany či jiných bezpečnostních aplikací, nebo o jejich poškození. Jak jsem zmínila v předchozí kapitole, viry a červi si jsou v mnoha ohledech podobné, rozdíl mezi nimi je, že viry potřebují ke svému šíření hostitele, oproti tomu červi bývají samostatným škodlivým kódem. Červi se dělí na e-mailové a síťové. E-mailový červ je „škodlivý kód, který se šíří prostřednictvím elektronické pošty v infikované e-mailové zprávě. K tomu, aby dokázal počítač infikovat, zpravidla potřebuje aktivní "spolupráci" samotného uživatele.“59 Na rozdíl od toho síťový červ představuje „naprosto samostatný škodlivý kód, který se většinou šíří pomocí určité bezpečnostní díry v cílovém systému a nepotřebuje žádnou spolupráci ze strany

58

ČEPIČKA, David, EGGELING, Thorsten, NEFT, Cornelia, THOMA, Jörg, WOLSKI, David. Windows pod vaší ochranou. PC World. Praha : IDG Czech, 2002, č. 11, s. 46-54. ISSN 1210-1079. 59 NÁDENÍČEK, Petr. Počítačové viry známé a neznámé : Úvod do problematiky & souborové viry. PC World. Praha : IDG Czech, 2005, č. 11. ISSN 1210-1079. Dostupný z WWW: .

25

uživatele.“60 Jak rozebírají další díly PC Worldu61, dříve červi k zjišťování emailových adres pro šíření používali jen adresář (ContactList) napadeného počítače, postupně začali hledat i adresy uložené na určitých místech, mohou mít určen rozsah IP adres k napadení, či zkouší kombinace doménových jmen. Aby e-mailový červ přiměl uživatele ke svému spuštění, obvykle využívá sociální inženýrství. Červi také běžně falšují adresu odesilatele, aby ztížili své nalezení a odstranění. První červ, který dal název této kategorii, se jmenoval Worm a vytvořil jej Robert T. Morris mladší. Klander62 uvádí, že se po Internetu začal šířit dne 2. listopadu 1988. Přestože nezpůsobil mnoho škod a Morris tvrdil, že šlo o laboratorní pokus, který se mu vymknul, byl jeho tvůrce odsouzen. Worm poukázal na to, kolik může jednoduchý princip způsobit škod. V napadeném počítači se množil a své kopie rozesílal po síti tak dlouho, až počítač „zamrzl“. První moderní červi se začali šířit roku 1999 a brzo vypukly první epidemie. Mezi nejznámější patří případy makročerva Melissy (březen 1999) a LoveLetteru, příp. ILoveYou (květen 2000). Dalšího červa jménem BugBear popisuje PC World Security63, jeho první verze se objevila na podzim 2002. Jde o e-mailového červa, který nainstaluje keylogger, jenž po získání určitého množství dat tato data odešle. BugBear má dvě zvláštnosti související s naší republikou. Keylogger nedokáže spolupracovat s českými ovladači klávesnice. 60

NÁDENÍČEK, Petr. Počítačové viry známé a neznámé : Úvod do problematiky & souborové viry. PC World. Praha : IDG Czech, 2005, č. 11. ISSN 1210-1079. Dostupný z WWW: . 61 NÁDENÍČEK, Petr. Počítačové viry známé a neznámé : E-mailový červ, starý dobrý známý. PC World. Praha : IDG Czech, 2006, č. 1. ISSN 1210-1079. Dostupný z WWW: . a NÁDENÍČEK, Petr. Počítačové viry známé a neznámé. PC World. Praha : IDG Czech, 2006, č. 2. ISSN 1210-1079. Dostupný z WWW: . 62 KLANDER, Lars. Hacker Proof : váš počítač, vaše síť a vaše připojení k Internetu Je to opravdu bezpečné?. Kamila Chybová. 1. vyd. Brno : UNIS Publishing, s.r.o., c1998. 648 s. ISBN 80-86097-15-3. s. 26-29. 63 PŘIBYL, Tomáš. Kyberzločin. PC World Security. Praha : IDG Czech, 2006, č. 2, s. 2-11. ISSN 1214-794X. s. 5.

26

Druhá verze si vybírala informace k odeslání – hesla k definovaným finančním institucím. Česká republika byla zastoupena Union bankou, která ale v době šíření byla již několik měsíců v nucené správě.

Trojské koně Trojské koně patří s viry a červi popsanými v předchozích kapitolách mezi nejznámější kategorie malwaru, ale na rozdíl od nich se nereplikují a také se s nimi uživatel tak často nesetkává. Trojské koně jsou v povědomí uživatelů díky velkému nebezpečí, protože hackerovi umožňují získat plnou kontrolu nad ovládnutým systémem. Jak bylo uvedeno, kategorie malwaru nejsou striktně odděleny, trojské koně bývají spojovány nejvíce se zadními vrátky (backdoor) a droppery, které budou uvedeny až v kapitole Méně obvyklé typy malwaru. Trojský kůň se podobně jako řada nástrojů vzdálené správy skládá z klientské a serverové části, přičemž na počítači oběti musí být serverová část spuštěna, aby jej hacker mohl klientskou částí ovládat. Uvedené srovnání je na místě, protože trojské koně pracují na stejném principu, proto je lze využít i jako nástroje pro vzdálenou správu a navíc jsou zdarma. Král definuje trojského koně jako škodlivý program, „jenž se na první pohled chová jako zcela legální program, ve skutečnosti však tajně provádí škodlivé operace. Důležitou skutečností je, že trojský kůň není na rozdíl od viru schopen množení (replikace) a nepřipojuje se k hostiteli (k souboru).“64 To ale neznamená, že trojský kůň nemůže být připojen k jinému programu, např. trojský kůň Whack-a-Mole byl vytvořen spojením jednoduché hry a níže popsaného NetBusu. Soubor hacker odešle e-mailem oběti, problém, jak ji přinutit soubor otevřít, řeší sociální inženýrství. V souvislosti s tím lze říct, že většina e-mailových červů jsou trojské koně – použijí sociální inženýrství, aby uživatel otevřel přílohu, čímž si sám nainstaluje škodlivý program.

64

KRÁL, Mojmír. Bezpečnost domácího počítače : Prakticky a názorně. 1. vyd. Praha : Grada, 2006. 334 s. ISBN 80-247-1408-6. s. 21-22.

27

Trojské koně mohou vykonávat řadu funkcí, od neškodných, které mají vyděsit oběť (např. vysouvání CD-ROMu), přes obtěžující (systémové hlášky, restartování Windows) a nebezpečné odesíláním dat, po plné ovládání počítače (instalace a odinstalace programů, ukládání souborů, heslování apod.). Objevil se i trojský kůň šifrující data, za dešifrovací klíč požadoval „výpalné“. Trojský kůň se často zapíše do registrů, může pozměnit program netstat, aby porty, které sám využívá, nezobrazoval. Porty a nejznámější trojské koně uvádím v příloze č. 3, která je poměrně rozsáhlá, protože uvedené dvojice jsou známy. Pro hackera je jednoduché použít skener portů, nalézt ten, který přísluší určitému trojskému koni, a následně zaútočit s jeho klientskou částí. Přestože mívají dán port, na kterém naslouchají, hackeři jej mění nebo chrání přístup k serverové části heslem, aby zamaskovali svůj útok a udrželi si kontrolu nad ovládnutým počítačem. Trojské koně využívají i bezpečnostní nedostatky, např. na přelomu roku 2005 a 2006 se objevil problém při zpracování obrázků ve Windows, kdy se trojský kůň stáhne z webové stránky s infikovaným obrázkem. Podrobně o tomto nedostatku, na který již dlouho existuje záplata, informuje Petr Nádeníček v PC Worldu65. V případě trojských koní neuvádím případy zneužití, protože nebývá jasné, zda hackeři získali data díky trojskému koni nebo jinak. Na místo toho uvedu

nejznámější

trojské

koně

NetBus,

SubSeven

a

BackOrrifice

(BackOrifice), přičemž vycházím z popisu Bershovicem66. NetBus a SubSeven ovládají podobné funkce: otevírání a zavírání CD mechaniky, prohazování funkcí tlačítek myši, přesměrování a odposlouchávání portů, mazání, snímání obrazovky, restart OS apod. BackOrrifice umožňuje editaci registrů, snímání obrazovky, přehrávání souborů, zobrazení a ovládání běžících procesů, restart a aktualizace OS, ovládnutí počítače pro další útok a zahrnuje i keylogger. 65

NÁDENÍČEK, Petr. Počítačové viry známé a neznámé. PC World [online]. Praha : IDG Czech, 2006, č. 4 [cit. 2007-04-09]. Dostupný z WWW: . ISSN 1210-1079. 66 BERSHOVIC, Bersha. Lamerem pomalu a těžce. Internet. InfoArch. Praha : Trade & Leisure publications, 2002, č. 67, s. III. ISSN 1211-6351. s. III.

28

V zabezpečení je situace podobná předchozím typům malwaru. Je nezbytné aktualizovat, záplatovat a zálohovat, i sledování aktuálního dění je možné na webových stránkách uvedených v kapitole Viry. Z programového vybavení jsou žádoucí antivirové a antispywarové programy, které většinou trojské koně naleznou, příp. zneškodní. Problémem představuje zápis trojských koní do registrů, které se někdy musí vrátit do původního stavu manuálně. Na stránkách antivirových firem bývají podrobné návody, jak identifikovaného trojského koně odstranit, někdy i samostatný program na toto odstranění. Další ochranný prostředek představují firewally. „Firewall je hardwarový a softwarový prostředek, který logicky a fyzicky odděluje bezpečnou síť, resp. důvěryhodnou síť od nezabezpečené, nedůvěryhodné sítě. Firewall může, ale nemusí, provádět i směrování v rámci protokolové sestavy TCP/IP (…) mezi těmito sítěmi.“67 K této definici je nutné podotknout, že bezpečná síť se může označovat i jeden počítač. Personální firewall bývá pro běžného uživatele jedinou cestou, jak zabezpečit počítač firewallem, protože hardwarové, ale i některé softwarové firewally jsou náročné finančně a znalostně. Proto se dále budu zabývat jen personálními firewally. Personální firewally zahrnují různé funkce, mezi nejběžnější patří filtrování paketů, tedy analýza příchozích a odchozích paketů dle hlavičky a rozhodnutí o jejich příjmu či odhození. Uplatňují se pravidla daná uživatelem, nebo implementovaná výrobcem (např. u firewallu v programu BitDefender Internet Security 10). Firewally při tvorbě pravidel poskytují možnosti Zakázat, Povolit, Dotázat se, někdy lze provést podrobnější konfiguraci, např. povolit na určitém portu. Pokud uživatel neví, jaká aplikace vyžaduje pravidlo, pomůže skript pcwProcview, který vyhledá informace o běžícím procesu Googlem, nebo služba reger2468. Firewally i ostatní bezpečnostní aplikace, pokud jsou špatně nakonfigurovány, mohou způsobit větší škody, než kdyby nebyly přítomny – uživatel podléhá falešné iluzi bezpečí. Mezi další funkce firewallu 67

KOŠŤÁL, David, SAUDEK, Jan. Firewally, bezpečnostní oddělovací uzly. LANcom, Praha : Lancom, spol. s r.o., 1997, s. 22-28. ISSN 1210-2997. s. 1. 68 http://www.reger24.de/processes.php

29

patří filtrování obsahu (náročné, kontrolují se informace v paketu, neboť bývají zneužívány otevřené porty k jiné komunikaci, než má sloužit), seznam běžících procesů s popisem jejich činnosti (někdy tak odhalí útok) a kontrola běhu aplikací (k rozpoznání správné či nedovolené činnosti). Někdy výrobci implementují i pokročilejší funkce, např. IDS (Intrusion Detection System – systémy pro detekci útoků), což se ale odráží na ceně. Pro bezpečnost je důležité, že firewall (spolu s uživatelem) uzavře neužívané porty, může odhalit jejich skenování a někdy mu i zabránit. Pokud se chce uživatel přesvědčit, zda jsou nepotřebné porty zavřené, umožní mu to bezpečnostní test (např. ShieldsUP!69). Firewall chrání proti neoprávněnému přístupu a získání práv z Internetu, proniknutí služeb a aplikací z počítače, činnosti aktivních skriptů a bezpečnostním incidentům vinou uživatele. Bližší informace o personálních firewallech jsou dostupné na webových stránkách jejich výrobců. Mezi nejběžnější patří Brána firewall systému Windows70, CA Personal Firewall71, McAfee Personal Firewall Plus72, Norton Personal Firewall73, Sunbelt Personal Firewall74 a ZoneAlarm Pro75. Stejně jako u antivirů i u firewallů platí, že každý má přednosti i nedostatky a na počítači by měl být funkční jen jeden firewall (i antivir), jinak může docházet ke kolizím.

Spyware Spyware představuje narozdíl od předchozích škodlivých kódů novější nebezpečí a jako trojské koně se sám nereplikuje. Jeho cílem je „špehování“ (z anglického spy – sledovat, slídit). Ale sbírat a poskytovat třetí straně data 69

http://www.grc.com/x/ne.dll?rh1dkyd2 http://www.microsoft.com/technet/network/wf/default.mspx 71 http://shop.ca.com/firewall/personal_firewall.aspx 72 http://personal-firewall-software-review.toptenreviews.com/mcafee-personal-firewallreview.html 73 http://service1.symantec.com/SUPPORT/nip.nsf/docid/2005081715485536 74 http://www.sunbelt-software.com/Home-Home-Office/Sunbelt-Personal-Firewall/ 75 http://www.zonealarm.com/store/content/catalog/products/sku_list_zap.jsp;jsessionid=GVB4 k3Ulx3WmXLISIh12G2jl34M2rguCTRUtHovCCJBSIfqBasq9!-670266926!-1062696904! 7551!7552!NONE?dc=34std&ctry=&lang=cs 70

30

mohou i další kategorie malwaru, které lze řadit jako podkategorie spywaru, ale i jako jiný malware, proto v této kapitole bude řeč jen o spywaru a adwaru. Spyware a adware jsou si blízké, a často nelze rozhodnout, o který z nich u konkrétního malwaru jde. Tento rys lze vyčíst z následujících definicí. „Jako spyware můžeme označit aplikaci, která ať už s vědomím nebo zcela bez vědomí uživatele sbírá v počítači různá data a odesílá je prostřednictvím Internetu svému "pánovi" (zpravidla výrobci programu, k němuž je přidána).“76 Adware je podkategorií spyware, „která se do počítače dostává legálně s vaším souhlasem“77. Spyware i adware tedy odesílají data o uživateli a hranicí je, zda se do počítače nainstalují se souhlasem uživatele, nebo nikoliv. Tento rozdíl bývá diskutabilní. Adware sice v licenčním ujednání uvádí, že bude nainstalován, ale často tak, že uživatel má malou šanci tuto informaci nalézt, např. licenční podmínky jsou napsány exotickým jazykem, upozornění je součástí rozsáhlého textu ujednání (které uživatel často nečte), nebo může být malým písmem. Tentýž spyware také může být nainstalován legální i nelegální cestou, přičemž zpětně ji nelze rozpoznat, proto antivirové firmy dlouho otálely se zahrnutím rozpoznávání spywaru do svých produktů. Spyware vznikl z korektního důvodu – producenti programů chtěli umožnit uživatelům, aby jejich produkty užívali zdarma, jen za cenu akceptace cílené reklamy, která umožnila výrobcům na freewarových78 programech vydělat ušlý zisk. Vzhledem k nutnosti reklamu přizpůsobit uživateli, musí firmy zjistit, co je pro něj poutavé, a to je možné jen sledováním jeho pohybu na Internetu. Spywarové aplikace mohou sbírat různorodé informace, které se týkají buď samotného uživatele, nebo jeho počítače. Pro názornost uvádím výčet, co již známý spyware shromažďoval: přehled nainstalovaných programů 76

NÁDENÍČEK, Petr. Počítačové viry známé a neznámé : Spyware: moderní čmuchal inormačního věku. PC World. Praha : IDG Czech, 2006, č. 3. ISSN 1210-1079. Dostupný z WWW: . 77 KRÁL, Mojmír. Bezpečnost domácího počítače : Prakticky a názorně. 1. vyd. Praha : Grada, 2006. 334 s. ISBN 80-247-1408-6. s. 208. 78 dostupných zdarma (pozn. PK)

31

na napadeném počítači (včetně registračních údajů), historie navštívených webových stránek, přehled odkazů, na které uživatel reaguje, přehled webových stránek zařazených mezi Oblíbené, časové období, kdy uživatel používá počítač či Internet, i používaná hesla a uživatelská jména, text příchozích a odchozích e-mailů apod. Díky svým vlastnostem může spyware obtěžovat zobrazováním reklamy a pop-up okny, zpomalením výkonu počítače a může ohrozit poskytováním informací. I spyware může měnit záznamy v registrech, což pro uživatele znamená nebezpečí – zásahy do registrů by měl provádět jen někdo zkušený, jinak může dojít k narušení OS. Pokud registry zůstanou změněny, je snadné, aby se spyware do počítače rychle dostal znovu. Jako spyware mohou fungovat různé utility, představím program Spector79, který patří mezi nejlepší. Jde o placený program80, který má sloužit zaměstnavatelům k monitorování zaměstnanců v pracovní době. Spector umí být činný skrytě nebo viditelně, spouští se současně s OS, potřebuje minimální výkon počítače, díky čemuž jej lze hůře detekovat, umí odposlouchávat obrazovku i klávesnici počítače, shromažďuje seznam navštívených webových stránek apod. Spector je obtížné odhalit, zvláště pokud si uživatel není jistý, zda se skutečně na počítači nachází – není zobrazen ve Správci úloh systému Windows, svoje záznamy šifruje a kombinaci kláves, kterou je zviditelněn, lze konfigurovat. Mezi podobné programy lišící se specializací, patří placené aplikace Wiretap Professional81, NetObserve82 a Spytech SpyAgent83. Monitorovací programy nejsou jediným nebezpečím, který uživateli hrozí. Spyware může odesílat data svému tvůrci, např. firmy zpracovávají databáze s takto získanými údaji a ty mohou prodat třetí straně. I pokud se firmy zaručí, že údaje shromážděné spywarem nebudou nikomu poskytovat, existuje nebezpečí, že se situace změní. To je patrné na případu Toysmart, kdy 79

http://www.spectorsoft.com/products/SpectorPro_Windows/index.html placené programy jsou hackery využívány běžně pomocí sériových čísel, která lze najít na Internetu, tyto programy také bývají propracovanější (pozn. PK) 81 http://www.wiretappro.com/ 82 http://www.exploreanywhere.com/no-intro.php 83 http://www.spytech-web.com/ 80

32

tato firma po vyhlášení bankrotu nabídla databázi s údaji zákazníků v konkurzu. Po té následovaly četné žaloby a k prodeji nakonec nedošlo. Stejně jako u jiného typu útoku je nejlepší ochranou proti spywaru zdravá podezíravost. Uživatel by neměl klikat na vše, co se mu na monitoru objeví (pop-up okna, speciální nabídky zdarma), instalovat jen programy, které potřebuje, a pozorně číst licenční ujednání. Pokud firma něco nabízí zdarma, musí najít kompenzaci jinde. Dále by měl uživatel dodržovat několik pravidel: neukládat hesla v prohlížeči a pravidelně je měnit, nesdílet v síti soubory a tiskárny, pokud to není nutné, nepoužívat historii v prohlížeči a v aplikacích, příp. ji mazat, stejně jako uložené cookies a cache, používat šifrování a anonymizer, sledovat běžící procesy, a pokud si není některým jistý, měl by zjistit, zda nejde o malware (doporučuji webovou stránku Spychecker84 nebo Gibson Research Corporation85). Jednoduchým krokem je nahradit prohlížeč Internet Explorer86 alternativním (Mozzila Firefox87, NetScape88, Deepnet Explorer89, Opera90 apod.), který zahrnuje bezpečnostní opatření (např. blokování pop-up oken). Pokud spyware využívá bezpečnostní mezeru, bývá součástí Internet Exploreru, který je nejpoužívanějším prohlížečem. I alternativní mohou obsahovat bezpečnostní nedostatky, ale jejich zneužití je díky menšímu rozšíření méně časté. Programové vybavení proti spywaru představuje antivirový program, firewall a antispywarový program, např. Ad-Aware SE91, Windows Defender92, SpyBot – Search & Destroy93, Spyware Doctor94, SpywareBlaster a

84

http://spychecker.com/ http://www.grc.com/ 86 http://www.microsoft.com/windows/products/winfamily/ie/default.mspx 87 http://www.mozilla.com/en-US/ 88 http://browser.netscape.com/ns8/ 89 http://www.deepnetexplorer.com/ 90 http://www.opera.com/ 91 http://www.lavasoft.com/products/select_your_product.php 92 http://www.microsoft.com/athome/security/spyware/software/default.mspx 93 http://www.safer-networking.org/ 94 http://www.pctools.com/spyware-doctor/ 85

33

SpywareGuard95 a X-Cleaner96. Antispywary se v některých ohledech podobají antivirovým (provádí skenování, heuristickou analýzu, měli by zahrnovat rezidentní štít atd.), ale díky specializaci bývají ve vyhledávání a odstraňování spywaru úspěšnější. Pokud spyware odstraní, může to mít neblahé následky, pokud jde o součást programu a není k němu jen „přiložen“, žádaný program se stane nefunkčním. Proto je někdy žádoucí spywarovou aplikaci „uzamknout“, tedy učinit opatření, aby byla v počítači přítomna, ale nemohla odesílat data, což může být provedeno např. blokováním komunikace pomocí firewallu.

Méně obvyklé typy malwaru V této kapitole uvádím informace o malwaru, který umožňuje získání dat z počítače, ale uživatel se s ním nesetkává tak často, jako s viry, červi, trojskými koni a spywarem, které jsem rozebírala v předchozích kategoriích. Některé uvedené škodlivé kódy bývají řazeny jako vlastnosti nebo samostatné kategorie (např. keylogger), jiné jsou řazeny jako podkategorie jiného malwaru (např. backdoor). Zde jsou uvedeny, protože mohou být spojeny s různými škodlivými kódy, proto je také uvádím až na závěr části o malwaru. První popisuji keyloggery, které představují „program sloužící k monitorování aktivity uživatele, nejčastěji ke sledování stisknutých kláves“97. Keylogger může být zneužit hackery, ale využívají jej i rodiče ke kontrole dětí nebo zaměstnavatelé zaměstnanců, proto jde i o komerční nástroje a někdy nejsou detekovány bezpečnostními aplikacemi. Keyloggery zaznamenávají všechny stisknuté klávesy, tak hackeři mohou získat veškerá uživatelská jména a hesla. Z pohledu hackera mají i nevýhody – často nebývají logovány klávesy typu backspace a stisknutých kláves bývá mnoho, proto hledání hesel vyžaduje trpělivost či dobrý filtr. Některé keyloggery umí shromažďovat jen informace, 95

http://www.javacoolsoftware.com/products.html http://www.spywareinfo.com/downloads/x/ 97 PŘIBYL, Tomáš. Spyware a ti druzí. PC World Security. Praha : IDG Czech, 2005, č. 1, s. 89. ISSN 1214-794X. s. 9. 96

34

o které má hacker zájem. Keyloggery existují softwarové i hardwarové, které lze zabudovat do klávesnice, či připojit jako komponentu. Hardwarové keyloggery narozdíl od softwarových nemohou odesílat data po Internetu, ale shromažďují je ve vnitřní paměti. K jejich získání je nutný fyzický přístup k počítači, ale uživatel nemůže keylogger objevit prostřednictvím úbytku volného místa na harddisku a podezřelou komunikací mezi počítačem a Internetem. Ač se fyzický přístup hackera zdá obtížný, vyloučen není (kapitola Fyzický útok). Keyloggery bývají instalovány na počítače, které obsluhuje mnoho uživatelů – např. v internetových kavárnách či knihovnách. Keyloggery jsou obsaženy ve všech aplikacích uvedených v kapitole Spyware, v některých červech (např. Bizex, BadTrans.B), ve většině trojských koní (např. FormSpy, NetBus, Back Orrifice), ale mohou být i součástí mnoha dalších programů. V České republice se některé finanční instituce pokoušejí chránit zákazníky před keyloggery využíváním grafické klávesnice. Setkat se s ní lze např. při přihlašování ke službě Servis24 České spořitelny. Jako reakce na podobné ochrany vyvinuli hackeři nový malware, který zjistí zadané heslo prostřednictvím sledování pohybu myši. Mezi malware lze řadit cookies (sušenky) a webbugy (webové štěnice), přestože nemusí jít o škodlivé kódy. Jejich úkolem je identifikovat uživatele shromažďováním informací, např. navštěvované webové stránky, jak často a dlouho si je uživatel prohlíží, rozlišují typ jeho prohlížeče, míru zabezpečení počítače apod. „Cookies jsou jednoduché textové soubory, obsahující textové řetězce ve formátu jméno=hodnota, o velikosti řádově několika málo Kb, které server odkládá na váš lokální disk.“98 Cookies mohou být naprogramovány, aby sloužili jen serveru, který je odeslal, či jakémukoliv. Webbugy jsou oproti cookies novým problémem. Ochrana proti nim je složitá, možností je zakázat zobrazování obrázků. Jde totiž o transparentní GIFy velikosti jednoho pixelu 98

IGNJATOVIČ, Martin. Rádce uživatele Internetu: Technologie a bezpečnost. PC World. Praha : IDG Czech, 2001, č. 11. ISSN 1210-1079. Dostupný z WWW: .

35

umístěné na webových stránkách, v e-mailech nebo programech umožňujících zobrazení HTML. Zobrazování cookies lze striktně zakázat, pak ale některé stránky není možné zobrazit, proto je výhodnější nastavit zobrazování na „dotázat se“, příp. uložená cookies pravidelně mazat, k čemuž lze využít programy jako Window Washer99. Pro anonymní pohyb na Internetu je možné využít anonymizer. Dalším významným typem malwaru jsou backdoory (zadní vrátka) a bot. Backdoor je program, který „umožňuje nezvané osobě přístup do počítače. Z pravidla tak, že otevírá některé porty a na nich naslouchá povelům zvenčí.“100 Vedle toho bot označuje „škodlivý program, který ovládne napadený systém a udělá z něho poslušného vykonavatele příkazů vzdáleného útočníka. Takovýmto napadeným počítačům se pak říká zombie“101. Backdoor a bot řadím společně, protože umožňují hackerovi využít zombie k dalšímu útoku, především DDoS (Distributed Denial of Services, Distribuované odepření služeb) spočívající v zahlcení serveru (resp. počítače) nadměrným množstvím požadavků, nejde tedy prvořadně o získávání dat. Backdoor i bot se zřídka objevují čisté, spíše jako součást jiného malwaru, zejména trojských koní (např. Back Orifice, NetBus, Deep Throat, Master‘s Paradise atd.). Zde je zmiňuji, protože hackerovi otvírají cestu k počítači, a tím i k uloženým datům. Pro úplnost stručně definuji i další kategorie malwaru, které jsou ale tak specifické, že často nebývají rozlišovány: • Browser Hijacker mění nastavení webového prohlížeče, které se obtížně vrací, pomoci programy CW-Shredder102 nebo Hijackthis103. • Droppery bývají spjaty s trojskými koni, protože po infikaci nainstalují množství různého škodlivého softwaru, který mají v sobě zahrnut. 99

http://www.webroot.com/consumer/products/windowwasher/ PŘIBYL, Tomáš. Spyware a ti druzí. PC World Security. Praha : IDG Czech, 2005, č. 1, s. 8-9. ISSN 1214-794X. s. 8. 101 KRÁL, Mojmír. Bezpečnost domácího počítače : Prakticky a názorně. 1. vyd. Praha : Grada, 2006. 334 s. ISBN 80-247-1408-6. s. 21. 102 http://www.intermute.com/spysubtract/cwshredder_download.html 103 http://www.trendsecure.com/portal/en-US/threat_analytics/hijackthis.php 100

36

• Downloadery další malware stahují z definovaných webových stránek. • Logická bomba má určen spouštěcí pokyn pro škodlivou rutinu, může být vázána na datum, ale i stisk určité klávesové kombinace. • Password Stealer je program určený speciálně k odcizování hesel. • Rootkit pracuje na nízké úrovni OS, takže umí skrýt sebe i další aplikace a mění způsob práce systému, proto jej bezpečnostní programy špatně detekují a odstraňují. Jedná se o nový typ malwaru, který již byl jádrem bezpečnostní kauzy – společnost Sony BMG prodávala CD obsahující rootkit, který měl sloužit jako ochrana před nelegálními kopiemi104. Ochrana spočívá v dodržování uvedených bezpečnostních zásad a správném používání bezpečnostních programů. Protože uživatelé potřebují antivirový a antispywarový nástroj, firewall, programy proti spamu a phishingu a rodičovský zámek, vznikly bezpečnostní balíčky. Poskytují jednotné ovládání a zaručují, že nedojde ke kolizi mezi jednotlivými aplikacemi. Jsou to např. Bitdefender Internet Security105, CA eTrust Internet Security Suite106, F-Secure Internet Security107, McAfee Internet Security Suite108, Panda Platinum Internet Security109, Symantec Norton Internet Security110, Trend Micro Internet Security111, ZoneAlarm Internet Security Suite112 a další.

104

Rootkity i tuto kauzu blíže rozebírá PŘIBYL, Tomáš. Causa rootkit: Brána nebezpečí doširoka otevřená. PC World. Praha : IDG Czech, 2006, č. 3. ISSN 1210-1079. Dostupný z WWW: . 105 http://www.bitdefender.cz/PRODUCT-2141-cz--BitDefender-Internet-Security-v10.html 106 http://shop.ca.com/malware/internet_security_suite.aspx 107 http://www.f-secure.com/home_user/products_a-z/fsis2007.html 108 http://us.mcafee.com/root/package.asp?pkgid=272 109 http://www.pandasoftware.com/products/Internetsecurity2007.htm?sitepanda=particulares 110 http://www.symantec.com/home_homeoffice/products/overview.jsp?pcid=is&pvid=nis2007 111 http://us.trendmicro.com/us/products/personal/trend-micro-internet-security-2007/ 112 http://www.zonealarm.com/store/content/catalog/products/sku_list.jsp;jsessionid=GeZyiFRj tHeo2ejwwLqU5s5jc3ebWAuYVpdODwcEgqtimirDVx0S!1778071412!-1062696904!7551! 7552!NONE?dc=34std&ctry=&lang=cs

37

4.3. Internetové podvody Tato kapitola je věnována útokům, jejichž cílem je získat podvedením uživatele informace či přístup k nim. Popisovány jsou metody, které využívají počítač a Internet, ale umožní i fyzický přístup k cíli, lze je tedy využít nejen v počítačovém prostředí, ale i k manipulaci s lidmi. Nejdříve se věnuji sociálnímu inženýrství, které bývá základem internetových podvodů, z nichž je v České republice největší hrozbou phishing, který rozebírám následně. Je nutné zmínit, že podvody s využitím Internetu zaznamenávají rozvoj i ve spojení s ostatními typy útoků. Jak jsem uváděla v předchozím oddílu věnovaném malwaru, tvůrci škodlivých programů museli do svých metod zahrnout i níže rozebrané sociální inženýrství, protože problematika malwaru je již mezi uživateli známá. Právě sociální inženýrství a prostřednictvím těchto metod i podvody umožňují malwaru zaznamenávat úspěchy. Sociální inženýrství a internetové podvody slouží také organizovanému zločinu, a to nejen k získání finančních prostředků, umožňují i nebezpečnější krádeže identity (identity theft), které jsou nejvíce sledovány v USA, kde se také odehrálo nejvíce doložených případů. O této problematice informuje Přibyl113. Ve svém článku ukazuje, jak je důležité znát sociotechnické metody a umět se proti nim chránit, protože, přestože se zatím případy krádeže identity v České republice nezjistily, stejně jako jiné typy útoků i tento se dříve či později v naší republice objeví.

Sociální inženýrství Sociální inženýrství je využíváno, když lze prostřednictvím „obelhání“ člověka něco získat. Zaměřuji se na uživatele počítače, který bývá nazýván „nejslabším článkem řetězce zabezpečení“. Jediný požadavek představuje navázání komunikace, nejčastěji e-maily, přičemž získání adres je snadné (díky 113

PŘIBYL, Tomáš. Ukradli mě. PC World Security. Praha : IDG Czech, 2005, č. 1, s. 12-15. ISSN 1214-794X.

38

vyhledávačům, fórům, lze zakoupit i jejich databáze). I sociální inženýrství lze dělit na cílené a „naslepo“, přičemž cílené bývá úspěšnější a méně nápadné. Mezi nejjednodušší formy cílenosti patří jazyková lokalizace, která je specifikem České republiky. Mezi metody sociálního inženýrství patří lákavé nabídky (např. erotický obrázek), očekávaná činnost, podvrhování identity, snaha o důvěryhodnost, útok na city, vyvolání nátlaku (časové omezení, finanční či jiná hrozba apod.) a zvědavosti. V případě sociálního inženýrství útočník vždy něco požaduje, mohou to být informace, peníze či činnost (např. otevření přílohy e-mailu). Tento útok je jednoduchý v tom směru, že stačí využít lidských vlastností a hacker téměř nemusí mít technické znalosti. Hackeři sociální inženýrství často využívají, protože jim usnadňuje činnost – proč by měli překonávat bezpečnostní opatření, když se stačí správně zeptat na heslo. Nejméně nebezpečným sociotechnickým útokem je hoax, řetězová poplašná zpráva, která může mít různé podoby, od dopisů štěstí po varování před virem, a jejím smyslem je vystrašit uživatele. Může vyzývat k odstranění souboru, který je podle hoaxu malware, přestože ve skutečnosti jde o nepostradatelnou součást Windows. Přestože hoax je již známý problém, vždy se najde někdo, kdo jej rozesílá dál a plní instrukce v něm uvedené. Nejlepší metodou proti hoaxu je mazat tyto e-maily a pokud si uživatel není jist, zda jde o hoax, může se podívat na stránky antivirů, které o nových virech informují, nebo na specializované webové stránky, např. Hoax114. Sociální inženýrství je využito i při šíření malwaru, např. e-mailových červů, např. v e-mailu ILoveYou byl uveden text ve smyslu „bližší informace o vysoké finanční transakci na Vašem účtu najdete v příloze“. Sociální inženýrství spojené s virem není novou záležitostí – již roku 1989 se odehrál případ „AIDS Information Diskette Incident“, kdy nevypátraný hacker rozeslal asi dvacet tisíc dopisů s infikovanou disketou, která měla obsahovat informace

114

http://www.hoax.cz/cze/

39

o AIDS. Bootováním byl počítač nakažen, vir soubory na disku zašifroval a klíč měl být dodán po odeslání finanční částky na uvedený P. O. Box. Velký vliv na rozšíření sociálního inženýrství mají i různé katastrofy, např. vlny tsunami (konec roku 2004). O zneužívání této tragédie výstižně informuje Přibyl115, který publikuje i neuvěřitelný případ: čtyřicetiletý Brit se bavil tím, že rodinám hledajícím své nezvěstné příbuzné rozesílal jménem vládních institucí e-maily, že jejich příbuzní jsou mrtví. Nejrozšířenějším druhem e-mailového scamu, tedy e-mailového podvodu spojeného se sociálním inženýrstvím, jsou tzv. nigerijské dopisy. Ty jsou založeny na tom, že neznámý člověk potřebuje přes účet oběti převést ohromnou finanční částku, nebo ji jen uložit, protože se např. z důvodu občanské války ke svému účtu nemůže dostat. Za to je slíbena velká provize, jediným požadavkem je odpovědět, zaplatit „malé“ finanční výdaje spojené s transakcemi a poskytnout číslo účtu a někdy i další informace. Sociální inženýrství je spjato s Kevinem Mitnickem, který je považován za nejznámější ho hacker. Jeho úspěchy se zakládají na sociotechnických metodách, o kterých během pobytu ve vězení vytvořil knihu116. Mitnick využíval obelhávání, což jej dovedlo jako prvního hackera na seznam deseti nejhledanějších osob FBI. Za jeho oběti je považována i databáze FBI či síť Pentagonu, přestože Mitnick, ani americká vláda to nepotvrdili. Po jeho (několikátém) zatčení roku 1995 následoval tvrdý trest, který byl udělen i díky neznalosti možností informačních technologií a fámám, které byly ve spojení o něm vytvořeny, např. „Státní zastupitelství zcela vážně u soudu prohlašovalo, že Mitnick může rozpoutat 3. světovou válku pískáním do telefonního sluchátka.“117 Mitnick byl shledán počítačově závislým a i po propuštění se dlouho nesměl dotknout počítače ani mobilního telefonu. 115

PŘIBYL, Tomáš. Ničivé vlny v Asii a počítačová kriminalita. PC World Security. Praha : IDG Czech, 2005, č. 1, s. 44. ISSN 1214-794X. s. 44. 116 MITNICK, Kevin, SIMON, Wiliam. Umění klamu. Rafal Lazarczyk; Luděk Vašta. 1. vyd. Gliwice : HELION S.A., c2003. 348 s. ISBN 83-7361-210-6. 117 JAGODZIńSKI, Marcin. Hledá se: Kevin Mitnick [online]. [cit. 2007-03-19]. Dostupný z WWW: <mitnick.helion.pl/about_k_mitnick.pdf>. s. 11.

40

V současnosti patří mezi uznávané bezpečnostní specialisty. I v České republice se objevily případy sociálního inženýrství, např. v Přerově došlo k využití sociálního inženýrství při rozeslání falešného oznámení o změně účtu Všeobecné zdravotní pojišťovny firmám z okolí, které, pokud oznámení uvěřily, platili pojištění na falešné číslo účtu. Ochranu představuje především zdravý rozum a opatrnost. Dále je dobré znát několik skutečností: • Instituce, které vygenerují identifikační údaje, je nechtějí ověřovat jinak než přihlášením. • E-mailem rozesílané žádosti o charitativní příspěvky s obsaženým číslem účtu bývají podvodné. • Softwarové společnosti nerozesílají e-maily se záplatami apod., pokud si uživatel tuto službu nevyžádal. • Pro zvýšení ochrany je dobré všechny informace ověřovat, nejlépe osobním kontaktem. Pro úspěch sociálního inženýrství útočník musí mít určité informace, proto je dobré nezveřejňovat ty, které mohou uživatele identifikovat. Rozlišení informací podle možnosti jejich zneužití uvádí Král118: • červená (nejvíce zneužitelné): především identifikační čísla jako je rodné číslo, rodné jméno matky, informace o rodině a přátelích • oranžová či žlutá: datum narození, vzdělání, číslo kreditní karty, zájmy • zelená (bez spojení s citlivějšími údaji možné uvádět): věk, povolání, průzkum veřejného mínění

Phishing a jeho následovníci Tato kapitola je především věnována phishingu, který využívá sociální inženýrství rozebrané v předchozí kapitole. Představuje „získávání (a následné 118

KRÁL, Mojmír. Bezpečnost domácího počítače : Prakticky a názorně. 1. vyd. Praha : Grada, 2006. 334 s. ISBN 80-247-1408-6. s. 100.

41

zneužívání) citlivých informací pod nejrůznějšími lživými záminkami.“119 Phishing je novým útokem, ale vzhledem k hrozícímu nebezpečí je známý, což bylo důvodem vzniku jeho nových podob, které zde budou také představeny. Pojem phishing je zkomolenina anglického fishing (rybaření), v internetové angličtině často dochází k nahrazení písmene „f“ za „ph“, a poprvé byl veřejně použit v hackerské diskuzi alt.2600120 v roce 1996. Základem termínu je „fish“ (resp. „phish“), což v přeneseném významu znamená úlovek. Tak byly označovány uživatelské účty, ke kterým hackeři získali přístup. Phishing bývá spojován s finančními institucemi, jako banky či spořitelny, může ale mít i nebezpečnější důsledky, jako např. identity theft (zcizení identity). Sociotechnické metody bývají při phishingovém útoku doplněny dalšími, které mají zvýšit důvěryhodnost a zmást uživatele a již bývají spojeny s technickými znalostmi. Především se jedná o změnu e-mailové adresy121, vytvoření graficky co nejvěrohodnějších webových stránek, i užívání jazyka a výrazů, které oběť očekává. Falšování e-mailových adres bývá využíváno i malwarem a je poměrně jednoduché. V důsledku vyvstává problém, že na tuto zprávu nelze odpovědět skutečnému odesilateli – hackerovi. Proto častým doplňkem takových zpráv je výzva, aby příjemce neodpovídal, např. protože zpráva je generována strojově. Nemožnost ověření je jedním z varovných signálů, kterých by si měl uživatel všímat, aby se nestal obětí tohoto podvodu. E-mail není jediný způsob, jak kontaktovat oběť. S rozvojem mobilních technologií a internetové telefonie vznikly nové druhy phishingu – SMiShing (prostřednictvím SMS zpráv) a Vishing (prostřednictvím VoIP). Díky těmto technologiím může hacker navázat důvěryhodnější vztah s obětí. Po kontaktu přichází požadavek na navštívení udané webové stránky, kde uživatel ani nemusí zadávat osobní údaje, ale je dotlačen, aby si stáhnul malware. Phishing nabízí několik možností, jak vylákat z uživatele požadované údaje: 119

PŘIBYL, Tomáš. Kyberzločin. PC World Security. Praha : IDG Czech, 2006, č. 2, s. 2-11. ISSN 1214-794X. s. 4. 120 http://www.2600.com/ 121 falešné předstírání identity je nazýváno spoof či spoofing (pozn. PK)

42

• Pro hackera nejjednodušší cestou je umístění formuláře s požadovanými položkami přímo do e-mailu, který uživateli odešle. • Náročnější je umístit formulář na webové stránky, na které je v e-mailu odkaz, přičemž doménové jméno vypadá důvěryhodně. Často se využívá podobnosti znaků (např. 1 – l, 0 – O) nebo očekávaného názvu (např. http://www.kb.org/ - http://www.kb.cz/). • Nejobtížnější a nejnebezpečnější je jeden z následovníků phishingu, pharming (pojem odvozen podobně jako phishing, jde o „vypěstování“ falešné identity hackera). Ten využívá technologii DNS cache poisoning (otrávení paměti DNS záznamů), tedy změnu IP adresy v počítači uživatele (např. pomocí malwaru), kdy po zadání správného doménového jména v prohlížeči ji DNS záznamy uložené v cache paměti převedou na nesprávnou IP adresu a na načtené webové stránce je umístěn falešný formulář. Díky tomu může být v e-mailu korektní odkaz. V důsledku má phishing několik obětí. Jsou to nejen uživatelé, kteří svoje údaje sami (i když s dobrými úmysly) vydali, ale i instituce, které ztrácí důvěru i finanční prostředky, které musí vkládat do nápravy, zabezpečení a šetření, přestože v tomto problému jsou zcela nevině. Jako první případ phishingu v České republice bývá uváděn útok proti klientům CitiBank, který se odehrát v březnu 2006. Tento útok je takřka čítankovou ukázkou phishingu a zahrnuje veškeré jeho charakteristiky. Poté, co uživatel použije odkaz v e-mailu, jsou mu předloženy falešné webové stránky, na kterých je vybízen k zadání citlivých informací.

43

Obrázek č. 3: Případ phishingu CitiBank, převzato z Hoax122 Ochranou proti phishingu a podobným útokům je dodržování zásad uvedených v předchozích kapitolách. Bližší informace je najít na výše uvedeném Hoax, kde jsou detailně popsané konkrétní případy, ve světovém měřítku je významná stránka Anti-Phishing Working Group123. Plnohodnotné programy proti phishingu zatím neexistují, pomoci mohou Anti-Phishing Toolbar, který na základě definovaných varovných prvků ukazuje hrozící nebezpečí zabarvením proužku Risk Rating, nebo prohlížeč Deepnet Explorer, který má zabudovánu antiphishingovou ochranu. Jako další opatření slouží dodržování zásad proti sociotechnickému útoku, bezpečná politika hesel, vyplňování co nejméně dotazníků, zejména na které vede odkaz z e-mailu, pravidelné a časté kontroly bankovních účtů a především ověřování všeho. 122 123

http://www.hoax.cz/cze/ http://www.antiphishing.org/

44

4.4. Brutální útok Brutální útok (útok je běžně užívaný termín) představuje metodu hackerů, kdy se do počítače pokouší proniknout hrubou silou. Jedná se narozdíl od malwaru o přímý a cílený útok na konkrétní počítač. Díky náročnosti se běžných uživatelů téměř netýká, existuje ale několik výjimek. Především tak mohou útočit začínající hackeři, kdy však cílem nejsou data, ale zkušenosti pro útoky na významnější cíle. Druhou možností je ovládnutí systému pro další útok, např. DDoS (viz str. 25). Za brutální útok lze považovat i útok vnitřní, který ale bývá spojen s firemními sítěmi. Útočník (většinou zaměstnanec) získá data, která se pokouší zpeněžit. Tak je řešeno mnoho útoků špionáže, protože je jednodušší podplatit nespokojeného zaměstnance než útočit technologicky. Protože ale i proti těmto útokům existují bezpečnostní opatření, rozmach zaznamenaly i brutální útoky hackerů, kteří byli najati na získání citlivých dat, někdy i firmou, která chce objevit svá slabá místa. Tato metoda je nazývána penetrační test a zabývají se jí společnosti Defcom124 nebo Sanctum125. Ochranu uživatele proti brutálnímu útoku zajišťují firewally, pravidelné záplatování, zálohování a šifrování, které je se současnými nástroji jednoduché, ale nepříliš rozšířené. Další možností je sledování webových stránek organizací, které se této problematice věnují, mezi nejznámější patří: CVE (Common Vulnerabilities and Exposures)126, CERT127, SANS Institute128, CIS (Center for Internet Security)129 a Security Focus130. Případy brutálního útoku, kdy mohou být cílem data uživatele, jsou zejména fyzický útok, tedy získání fyzického přístupu k počítači nebo jeho částem, a útoky na hesla, představující nejběžněji používané zabezpečení využívající identifikaci, proto jim budou věnovány následující kapitoly. 124

http://www.defcom.com http://www.sanctum.com/ 126 http://cve.mitre.org/ 127 http://www.cert.org/ 128 http://www.sans.org/ 129 http://www.cisecurity.com/ 130 http://www.securityfocus.com/ 125

45

Fyzický útok Fyzický útok představuje technologicky nejjednodušší typ brutálního útoku. Je směřován v první řadě proti počítači jako hmotnému statku, což jej odlišuje od malwaru i phishingu zaměřených na data. V naší republice je stále rozšířen názor, že každá věc se dá zpeněžit, ale informace nejsou hmotné, proto takovou hodnotu nemají. Postupně se tento trend vytrácí a data bývají zneužita např. k vydírání. Fyzické útoky převažují u notebooků, ale i krádež stolního počítače není vyloučená. Další možností fyzického útoku, pokud se hackerovi jedná o data, je zakoupení použitého harddisku např. v bazaru. I tato možnost bude zmíněna. Fyzický útok může znamenat i pouhé získání fyzického přístupu k danému počítači. Pokud hacker získá fyzický přístup k počítači, ulehčí se mu získávání dat. I pokud uživatel použije různé typy ochran, hacker (zejména po krádeži, kdy má na útok neomezené časové možnosti) může snadněji data získat, protože bezpečnostní opatření bývají vázána na operační systém. Udělování práv (k souboru či systému) je dobrou ochranou do doby, než se počítač fyzicky dostane do rukou hackera. Přístupová práva jsou při ověřování srovnána s uloženými údaji, pokud je tedy harddisk přesunut k jinému OS, ten bude udělení práv ignorovat. Proti tomu je nejlepší ochranou hardwarová komponenta k ověření uživatele. Účinné je heslo v systému BIOS, přes které se nedostane lamač hesla, protože nelze spustit operační systém. Při fyzickém útoku má hacker šanci uspět, že vymaže paměť CMOS, ve které je heslo uloženo, vyndáním baterie, čímž resetuje nastavení zadané v BIOSu. Společnost Microsoft si uvědomuje rizika Windows, proto do systému Windows XP zakomponovala možnost on-line šifrování EFS (Encrypted File System), které není ideální, protože šifrovací klíče jsou uloženy na harddisku a přístup k nim je podmíněn přihlášením k uživatelskému účtu. Tvrdé resetování OS není možné díky bezpečnostním opatřením, jedinou možnost představuje získání hesla, po kterém ale hacker má plnohodnotný přístup ke všem datům.

46

Dalším typem útoku je obnova smazaných dat. Zde se naskýtá možnost získat data s fyzickým přístupem i k samotnému harddisku či jinému úložnému médiu (flash disk, paměťová karta apod.). OS Windows XP totiž zahrnuje i nepříliš známou skutečnost: pokud chce uživatel smazat soubor, odstraní jej a vysype složku Koš, aby data definitivně odstranil. Tato definitivnost ale není jednoznačná – soubor zlikvidován není, jen je upravena jeho hlavička a místo původního umístění je označeno jako prázdné, přestože soubor stále existuje a speciálními nástroji jej lze obnovit, dokud není přepsán (nejlépe několikrát) jinými daty. Je zřejmé, že tak lze získat citlivá data, hesla apod. Programů na obnovu smazaných dat existuje několik a jsou tvořeny pro opětovné získání dat smazaných omylem nebo chybou OS. K tomu mohou sloužit programy Uneraser131 nebo O&O UnErase132, které nabízí detailní specifikaci hledaného souboru. Existují i nástroje, které umí skutečně odstranit požadované soubory, které již nelze obnovit (resp. obnovit někdy lze, ale pouze specializovanými firmami), např. SoftAmbulance Free Eraser133 nebo O&O SafeErase134. Případ spojený s mazáním citlivých dat se stal na Slovenku a přibližuje jej Přibyl135: po vyhlášení bankrotu jedné pojišťovny byly mezi jejím majetkem na prodej harddisky s citlivými informacemi o bývalých klientech bez snahy o smazání, natož bezpečné smazání. Právě bezpečnou skartaci legislativně upravuje standard ISO/IEC 17799, kde je výslovně uvedeno, že úložné médium s citlivými daty musí být buď zničeno fyzicky, nebo bezpečně smazáno. S fyzickým přístupem souvisí i vnitřní hrozby. Lze uvést případ z roku 1999, kdy zaměstnanec České spořitelny nabízel k prodeji osobní údaje všech klientů (přestože měl přístup pouze k části), nebo starší, ale ve své době známý případ televizní hry Bingo, kde organizátoři podcenili fyzickou hrozbu a došlo k manipulaci s programem, díky čemuž vyhrávaly podstrčené osoby. 131

http://www.uneraser.com/ http://www.oo-software.com/home/en/products/oounerase/ 133 http://softambulance.com/erase_securely_wipe/features_softambulance_file_erase.php 134 http://www.oo-software.com/home/en/products/oosafeerase/ 135 PŘIBYL, Tomáš. Pozor na „smazaná“ data. PC World Security. Praha : IDG Czech, 2006-7, č. 4, s. 46-47. ISSN 1214-794X. s. 46. 132

47

Pro zabezpečení před fyzickým útokem je nejlepší použít co nejvíce bezpečnostních opatření, která mohou hackera odradit, nebo mu ztížit práci. V prvé řadě jde o fyzickou ochranu (uzamčení, alarm či stále častější biometrické ochrany136), správné používání výše uvedených bezpečnostních programů a pravidel (např. šifrování či zálohování na externí médium).

Hesla a jejich lamače Hesla jsou nejběžněji používanými bezpečnostními opatřeními proti brutálnímu útoku, díky čemuž jsou časté a známé útoky proti nim. Obtížnější, ale podobná je situace v případě šifer, jejichž prolamování se věnuje obor kryptoanalýza, jenž přesahuje rozsah této práce, proto se dále budu věnovat pouze heslům. Programy, které představím jako lamače hesel, slouží hackerům i uživatelům, protože lidé zapomínají, a aby získali znovu přístup ke svému digitálnímu vlastnictví, používají programy pro obnovu hesel. Ty bývají specializovány podle aplikací, jejichž hesla jsou schopny prolomit či obnovit (dále budu obnovu i prolomení nazývat pouze prolomení). Pro názornost uvádím aplikace a příklady jejich lamačů137: • Office: Advanced Office Password Breaker, Advanced Office Password Recovery • e-mailové schránky: Brutus, Mail PassView, wwwhack • Internet Explorer a Outlook: PCAnywhere PassView, Protected Storage PassView, PstPassword • komprimované soubory: Advanced Archive Password Recovery, PicoZip Recovery Tool, ZIP password Finder • messengery: Messenger Key, MessenPass • operační systém: John the Ripper, Proactive Windows Security Explorer 136

biometrické ochrany jsou založeny na jedinečných lidských vlastnostech, mohou být fyzické (např. otisky prstů), ale i např. ověřování hlasu mluvčího či dynamika psaní (pozn. PK) 137 srov. http://research.sunbelt-software.com/threat_library_list.aspx?category=Password %20Recovery&srchmode=3

48

• registrační čísla: Jelly Bean Keyfinder, Rock XP • síťová hesla: ActMon PWL Password Finder (WASP), Cain & Abel, Network Password Recovery, SniffPass, WirelessKeyView • zobrazení hesla skrytého hvězdičkami (příp. tečkami apod.): Asterisk Key, Asterisk Logger, PantsOff, SC-PassUnleash, StarPW Revealer Lamače hesel často není nutné použít. Nejdříve hacker vyzkouší BFI (Brute Force and Ignorance), tedy heslo uhodnout. Zjistí, zda není ponecháno prázdné pole, příp. předdefinované dvojice uživatelské jméno/heslo (např. admin/admin, guest/guest). Pokud se útok tímto způsobem nezdaří, přichází zjištění údajů o uživateli a zkoušení odvozených hesel (např. datum svatby či narození, jméno dítěte apod.). Když i tato metoda zklame, je využit slovníkový útok (dictionary attack), tedy vyzkoušení všech slov z vybraného slovníku prostřednictvím lamače. Na Internetu138 lze najít různé jazykové či profesní varianty slovníků. Ve slovnících bývají běžná slova v daném jazyce či oboru, ale lamače zkouší i jednoduché obměny (např. Pavla i Pavla1 apod.). Pokud ani slovníkový útok nezjistí heslo, zbývá brute force attack, tedy útok hrubou silou, který je v podstatě úspěšný vždy (pokud uživatel nezmění během útoku své heslo), ale je časově náročný, protože jsou zkoušeny všechny kombinace vybraných znaků. Proto hackeři i v případě hesel spoléhají na lidské vlastnosti. Buď je využito sociální inženýrství, nebo pohodlnost uživatelů. V současnosti je totiž člověk nucen často užívat různá hesla, PINy apod. a není schopen si zapamatovat neomezené množství složitých hesel. Proto se objevují dva nedostatky užívání hesel. Uživatel si buď volí snadno zapamatovatelná a tedy jednoduchá slova, nebo používá stejná hesla pro více aplikací. Tak může hacker prolomit heslo do e-mailové schránky a získá i heslo pro přihlášení k bankovnímu účtu.

138

velký výběr slovníků např. dostupný z: http://www.phreak.org/html/wordlists.shtml, český slovník např. ftp://ftp.ox.ac.uk/pub/wordlists/czech/czech-wordlist-ascii-cstug-novak.Z

49

Zabezpečení hesel je kvůli častému užívání a nebezpečí nutné věnovat velkou pozornost. Při tvorbě hesla by měl uživatel dodržovat několik bezpečnostních pravidel: • délka minimálně osm znaků, • neobsaženo v žádném jazykovém slovníku, • nespojitelné s osobou uživatele, • nesloženo z vzorků písmen a číslic (např. 123456, aaabbc apod.), • složeno z malých i velkých písmen, číslic a speciálních znaků, • bez znaků s různým umístěním dle použité klávesnice (např. „z“ a „y“), • ne běžné slovo s přidáním číslice, ani napsané pozpátku, • blízké uživateli ve smyslu, že ví, jak jej vytvořil, • neponecháno přednastavené. Při tvorbě hesla mohou uživateli pomoci různé programy a pomůcky. Existují karty s tabulkou, u níž si uživatel pamatuje jen cestu k tvorbě hesla a ne heslo samotné. Při získání této karty bude cesta hackera skrze heslo velmi náročná, naopak uživatel si kartu může znovu stáhnout z Internetu. Programy pro generování hesel umožňují tvorbu kvalitního hesla, ale záleží na nastavení uživatelem. Mezi tyto programy patří Advanced Password Generator139 nebo Hesluj!140. Pro užívání hesel existuje také několik doporučení: • heslo není nikde napsané (na papíru, v počítači apod.), • uživatel používá více než jedno heslo, čím důležitější pro něj daná aplikace je, tím bezpečnější by heslo mělo být, • hesla by měla být pravidelně měněna, • při ověřování pomocí hesla přes Internet je lepší používat šifrovanou komunikaci (např. protokol https, kde „s“ na konci znamená security). Dobrým krokem je vyzkoušet bezpečnost hesla specializovaným nástrojem. Opět mohou posloužit programy používané hackery, nebo služba 139 140

http://www.segobit.com/apg.htm http://sweb.cz/JSperl/freeware.htm

50

Password Checker141 společnosti Microsoft, která vyhodnotí, jak bezpečné je zadané heslo. Jako prevenci proti zapomínání i pro větší bezpečnost lze využívat programy pro bezpečné uložení hesel. Pak je možné si pamatovat jen jedno heslo (Master Password), které může být o to složitější a umožní přístup k různým heslům pro různé aplikace. Příkladem jsou programy Key Wallet142, Password Pal143 nebo Password Safe144. Další možností je spojit správce hesel (příp. zašifrovaná hesla) a hardwarovou komponentu, bez které hacker nemůže hesla použít. Z tohoto pohledu lze za hardwarovou komponentu považovat i biometrické prvky, ale především tzv. tokens, tedy bezpečnostní předměty.

141

http://www.microsoft.com/athome/security/privacy/password_checker.mspx http://www.keywallet.com/ 143 http://www.pcworld.com/downloads/file/fid,4716-order,1-page,1-c,security/description.html 144 http://passwordsafe.sourceforge.net/ 142

51

5. Závěr Ve své práci jsem popsala nebezpečí, která hrozí uživateli počítače, ke kterému může hacker získat přístup online nebo i fyzicky. Tato problematika je velmi široká, proto je práce věnována pouze problémům, která hrozí opravdu komukoliv a nejsou popisovány specifika, která mohou nastat. Aby byla celá problematika srozumitelná, rozebrala jsem nejdříve hacking a hackery. Z jim věnované kapitoly vyplývá, že jejich motivace byla nejvíce určována snahou „osvobodit informace“, které mají být dostupné všem bez rozdílu a bez finančních omezení, a také posouváním znalostních hranic v oblasti počítačů. Jejich argumenty a postupy ale postupně začaly být zneužívány k získání cizích informací a tím i finančních prostředků. Hrozby, které jsou popisovány, jsem seskládala podle časové následnosti, jak postupují hackeři. Pokud jejich útok není cílený, použijí pouze malware nebo sociální inženýrství, příp. phishing. Chtějí-li ale hackeři útoku zvýšit šance na úspěch, nejdříve se věnují zjišťování informací o své oběti. To je nezbytné při brutálním útoku, kdy si hacker vyhlédne cíl a musí zjistit co nejvíce informací, aby si vytvořil cestu k ovládnutí příslušného systému. Kapitoly, které se popsaným hrozbám věnují, jsou seřazeny chronologicky, ale i podle náročnosti pro hackera, a pokud pomineme zjišťování informací o cíli, i dle toho, jak běžně se s nimi setkává uživatel. Tato práce shrnuje vše, co by měl o hackerských metodách uživatel znát, aby se mohl účinně bránit. Proto jsem se v práci obecně i na konkrétně věnovala také zabezpečení počítače, především bezpečnostním aplikacím, které sice hackerskou hrozbu nikdy nevyloučí, ale velmi ji eliminují. Práce také nabízí další informační zdroje, které lze využít pro hlubší pochopení této problematiky. Pokud by uživatel znal a uměl využívat to, co ve své práci popisuji, jeho počítač by byl téměř v bezpečí, protože vždy hacker může najít jednodušší cíl a v případě běžného uživatele bývá takto odrazen.

52

Použitá literatura Monografie 1. BITTO, Ondřej. Šifrování a biometrika. 1. vyd. Kralice na Hané : Computer Media, 2005. 168 s. ISBN 80-86686-48-5. 2. ERICKSON, Jon. Hacking: umění exploitace. 1. vyd. Brno : Zoner Press, 2005. 263 s. ISBN 80-86815-21-8. 3. HEINIGE, Karel. Viry a počítače. [s.l.] : UNIS Publishing, s.r.o., 2001. 79 s. PCWorld Edition; sv. 13. ISBN 80-86097-74-9. 4. HLAVENKA, Jiří. Výkladový slovník výpočetní techniky a komunikací. 1. vyd. Praha : Computer Press, 1997. 452 s. ISBN 80-7226-023-5. 5. HUITEMA, Christian. A bůh stvořil Internet. Robert Germič, Lenka Gladavská. 1. vyd. Praha : Mladá fronta, 1996. 51 s. ISBN 80-204-0576-3. 6. KLANDER, Lars. Hacker Proof: váš počítač, vaše síť a vaše připojení k Internetu Je to opravdu bezpečné?. Kamila Chybová. 1. vyd. Brno : UNIS Publishing, s.r.o., c1998. 648 s. ISBN 80-86097-15-3. 7. KOPEČEK, Ivan. Programátorské poklesky. 1. vyd. Praha : Mladá fronta, 1989. 164 s. ISBN 80-204-0068-0. 8. KOUBSKÝ, Petr. Počítače pro každého. Praha : Grada, 1994. 151 s. ISBN 80-7169-044-9. 9. KRÁL, Mojmír. Bezpečnost domácího počítače: Prakticky a názorně. 1. vyd. Praha : Grada, 2006. 334 s. ISBN 80-247-1408-6. 10. LONG, Johnny. Google HACKING. Miroslav Kučera; RNDr. Jan Pokorný. 1. vyd. Brno : Zoner Press, 2005. 472 s. ISBN 80-86815-31-5. 11. MATĚJKA, Michal. Počítačová kriminalita. 1. vyd. Praha : Computer Press, 2002. 108 s. ISBN 80-7226-419-2. 12. SCAMBRAY, Joel, MCCLURE, Stuart, KURTZ, George. Hacking bez tajemství. Ivo Magera; Petr Břehovský, Josef Pojsl. 2. aktualiz. vyd. Praha : Computer Press, 2002. 625 s. ISBN 80-7226-644-6.

53

13. SMEJKAL, Vladimír. Internet @ §§§. 2. aktualiz. a rozš. vyd. Praha : Grada, 2001. 284 s. ISBN 80-247-0058-1. 14. THOMAS, Thomas M. Zabezpečení počítačových sítí bez předchozích znalostí. 1. vyd. Brno : Computer Press, 2005. 338 s. ISBN 80-251-0417-6. 15. ZEMÁNEK, Jakub. Slabá místa Windows aneb jak se bránit hackerům. 1. vyd. Kralice na Hané : Computer Media s. r. o., 2004. 156 s. ISBN 80-86686-11-6. Články v periodikách 1. BACMAŇÁK, Jan. Na síti nejsou jen samí hodní a slušní lidé. Computer. Brno : Computer Press, a. s., 2003, roč. 10, č. 23, s. 88. ISSN 1210-8790. 2. BEDNÁŘ, Vojtěch. Hrozí vám sociotechnický útok. PC World Security. Praha : IDG Czech, 2004, č. 1, s. 14-17. ISSN 1214-794X. 3. BEDNÁŘ, Vojtěch. Osobní firewall: dobrý sluha, zlý pán. PC World Security. Praha : IDG Czech, 2004, č. 2, s. 16-23. ISSN 1214-794X. 4. BERSHOVIC, Bersha. Když se nakazíte. Internet. Praha : Trade & Leisure publications, 2001, č. 59, s. 29. ISSN 1211-6351. 5. BERSHOVIC, Bersha. Lamerem pomalu a těžce. Internet. Praha : Trade & Leisure publications, 2001, č. 60, s. 38. ISSN 1211-6351. 6. BERSHOVIC, Bersha. Lamerem pomalu a těžce 2. Internet. Praha : Trade & Leisure publications, 2001, č. 61, s. 38. ISSN 1211-6351. 7. BERSHOVIC, Bersha. Lamerem pomalu a těžce. Internet. InfoArch. Praha : Trade & Leisure publications, 2002, č. 66, s. III. ISSN 1211-6351. 8. BERSHOVIC, Bersha. Lamerem pomalu a těžce. Internet. InfoArch. Praha : Trade & Leisure publications, 2002, č. 67, s. III. ISSN 1211-6351. 9. BERSHOVIC, Bersha. Na cestách. Internet. Praha : Trade & Leisure publications, 2001, č. 59, s. 28. ISSN 1211-6351. 10. BERSHOVIC, Bersha. Spector 2.2. Internet. Praha : Trade & Leisure publications, 2002, č. 63, s. 30-31. ISSN 1211-6351.

54

11. BITTO, Ondřej. Google jako pomocník špiónů a hackerů. Computer. Brno : Computer Press, a. s., 2006, roč. 13, č. 5, s. 78-79. ISSN 1210-8790. 12. BITTO, Ondřej. Hradby proti internetu. Computer. Brno : Computer Press, a. s., 2005, roč. 12, č. 20, s. 84. ISSN 1210-8790. 13. BITTO, Ondřej. Jak se nechytit na phishingový háček. Computer. Brno : Computer Press, a. s., 2006, roč. 13, č. 9, s. 95. ISSN 1210-8790. 14. BITTO, Ondřej. Kudy tudy internetová cestička. Computer. Brno : Computer Press, a. s., 2006, roč. 13, č. 24, s. 15. ISSN 1210-8790. 15. BITTO, Ondřej. Nebezpečnější phishingové háčky. Computer. Brno : Computer Press, a. s., 2006, roč. 13, č. 24, s. 11. ISSN 1210-8790. 16. BITTO, Ondřej. Pro pohodlnou obranu. Computer. Brno : Computer Press, a. s., 2006, roč. 13, č. 9, s. 99. ISSN 1210-8790. 17. BITTO, Ondřej. Temná zákoutí ještě temnější: Jak poznat nebezpečnou situaci?. Computer. Brno : Computer Press, a. s., 2006, roč. 13, č. 9, s. 92. ISSN 1210-8790. 18. BROŽA, Petr. Jak fungují antivirové programy. Computer. Brno : Computer Press, a. s., 1999, roč. 6, č. 9, s. 62. ISSN 1210-8790. 19. Co by měl mít antivir. Computer. Brno : Computer Press, a. s., 2001, roč. 8, č. 9, s. 65. ISSN 1210-8790. 20. ČEPIČKA, David, EGGELING, Thorsten, NEFT, Cornelia, THOMA, Jörg, WOLSKI, David. Windows pod vaší ochranou. PC World. Praha : IDG Czech, 2002, č. 11, s. 46-54. ISSN 1210-1079. 21. Dávejte si pozor. PC Magazine. 2002, roč. X, č. 9, s. 79-89. ISSN 1210-5708. 22. HÁK, Igor, JAHODA, Miroslav. Počítači už dávno neškodí jen viry: malý průvodce zabezpečením počítače. Computer. Brno : Computer Press, a. s., 2005, roč. 12, č. 1, s. 2. ISSN 1210-8790. 23. HOLÝ, Jakub. SpyWare: horší než blechy v kožichu. Internet. Praha : Trade & Leisure publications, 2001, č. 56, s. 52. ISSN 1211-6351.

55

24. IGNJATOVIČ, Martin. Rádce uživatele internetu: Programové ohrožení a fyzická bezpečnost. PC World. Praha : IDG Czech, 2002, č. 2, s. 86-89. ISSN 1210-1079. 25. JURÁSEK, Vít. Když chcete zlikvidovat špióny: Test programů proti spywaru, adwaru a dialerům. Computer. Brno : Computer Press, a. s., 2005, roč. 12, č. 8, s. 82. ISSN 1210-8790. 26. JURÁSEK, Vít. Strážci bran počítače. Computer. Brno : Computer Press, a. s., 2006, roč. 13, č. 13, s. 78. ISSN 1210-8790. 27. KOŠŤÁL, David, SAUDEK, Jan. Firewally, bezpečnostní oddělovací uzly. LANcom, Praha : Lancom, spol. s r.o., 1997, s. 22-28. ISSN 12102997. 28. MALINA, Patrik. Ochrana sítě. PC World Security. Praha : IDG Czech, 2003, č. 11, Budujeme malou počítačovou síť, s. 42-48. ISSN 1214-794X. 29. MALINA, Patrik. Jak používat hesla. PC World Security. Praha : IDG Czech, 2005, č. 1, s. 26-29. ISSN 1214-794X. 30. MALINA, Patrik. Softwarové firewally. PC World Security. Praha : IDG Czech, 2003, č. 6, Připojte bezpečně malou síť, s. 42-47. ISSN 1214794X. 31. MALINA, Patrik. Ukradli vám už notebook?. PC World Security. Praha : IDG Czech, 2004, č. 2, s. 30-32. ISSN 1214-794X. 32. MALINA, Patrik. Ukradli vám už notebook? 2. PC World Security. Praha : IDG Czech, 2005, č. 2, s. 16-20. ISSN 1214-794X. 33. NYGRÝN, Pavel, LOHNINSKÝ, Jakub, POLZER, Jan, POLITZER, Michal. Počítače v nebezpečí. Computer. Brno : Computer Press, a. s., 2004, roč. 11, č. 1, s. 12-16. ISSN 1210-8790. 34. PETRO, Jozef. Pošli mi peníze!. Computer. Brno : Computer Press, a. s., 2002, roč. 9, č. 20, s. 92. ISSN 1210-8790. 35. POLÁČEK, Jiří. Nepřítel naslouchá: Jak používat hesla a jak je uhádnout. Computer. Brno : Computer Press, a. s., 2000, roč. 7, č. 20, s. 4. ISSN 1210-8790.

56

36. PŘIBYL, Tomáš. 10 útoků, které změnily svět. PC World Security. Praha : IDG Czech, 2006, č. 2, s. 12-13. ISSN 1214-794X. 37. PŘIBYL, Tomáš. Aktuální virová hrozba. PC World Security. Praha : IDG Czech, 2004, č. 1, s. 5-7. ISSN 1214-794X. 38. PŘIBYL, Tomáš. Časovaná bomba v počítači.... PC World. Praha : IDG Czech, 2003, č. 3, s. 17. ISSN 1210-1079. 39. PŘIBYL, Tomáš. Hacker #1: Klávesnice jako zbraň. PC World. Praha : IDG Czech, 2003, č. 11, s. 39-43. ISSN 1210-1079. 40. PŘIBYL, Tomáš. Informační bezpečnost v roce 2004. PC World Security. Praha : IDG Czech, 2005, č. 1, s. 2-6. ISSN 1214-794X. 41. PŘIBYL, Tomáš. Kterak šla data do světa. PC World. Praha : IDG Czech, 2003, č. 12, s. 37. ISSN 1210-1079. 42. PŘIBYL, Tomáš. Kyberzločin. PC World Security. Praha : IDG Czech, 2006, č. 2, s. 2-11. ISSN 1214-794X. 43. PŘIBYL, Tomáš. Nebezpečí jménem phishing. PC World Security. Praha : IDG Czech, 2005, č. 2, s. 2-7. ISSN 1214-794X. 44. PŘIBYL, Tomáš. (Ne)bezpečné internetové bankovnictví. PC World Security. Praha : IDG Czech, 2006-7, č. 4, s. 2-13. ISSN 1214-794X. 45. PŘIBYL, Tomáš. Ničivé vlny v Asii a počítačová kriminalita. PC World Security. Praha : IDG Czech, 2005, č. 1, s. 44. ISSN 1214-794X. 46. PŘIBYL, Tomáš. Počítačové viry ve službách armády. Počítač pro každého. 2001, č. 15, s. 36. ISSN 1212-0723. 47. PŘIBYL, Tomáš. Počítačové viry v roce 2002. PC World. Praha : IDG Czech, 2002, č. 1, Počítačové viry v roce 2002, s. 64. ISSN 1210-1079. 48. PŘIBYL, Tomáš. Počítačové viry v roce 2003. PC World. Praha : IDG Czech, 2003, č. 1, Počítačové viry v roce 2003, s. 64. ISSN 1210-1079. 49. PŘIBYL, Tomáš. Počítačové viry v roce 2004. PC World. Praha : IDG Czech, 2004, č. 1, Počítačové viry v roce 2004, s. 64. ISSN 1210-1079.

57

50. PŘIBYL, Tomáš. Pozor na „smazaná“ data. PC World Security. Praha : IDG Czech, 2006-7, č. 4, s. 46-47. ISSN 1214-794X. 51. PŘIBYL, Tomáš. Spyware a ti druzí. PC World Security. Praha : IDG Czech, 2005, č. 1, s. 8-9. ISSN 1214-794X. 52. PŘIBYL, Tomáš. Spyware. PC World Security. Praha : IDG Czech, 2004, č. 2, s. 10-11. ISSN 1214-794X. 53. PŘIBYL, Tomáš. Ukradli mě. PC World Security. Praha : IDG Czech, 2005, č. 1, s. 12-15. ISSN 1214-794X. 54. PŘIBYL, Tomáš. Základy informační bezpečnosti. PC World Security. Praha : IDG Czech, 2004, č. 1, s. 2-4. ISSN 1214-794X. 55. TATTERMUSCH, Jan. Bezpečnostní díry jako standard? PC World Security. Praha : IDG Czech, 2005, č. 1, s. 22-23. ISSN 1214-794X. 56. VANČURA, Jan, KOCAN, Marek, HORÁK, Jiří. Viry a antiviry. Computer. Brno : Computer Press, a. s., 2003, roč. 10, č. 2, s. 12-16. ISSN 1210-8790. 57. ŽEMLIČKA, Martin. Městské mýty ve věku internetu. PC World. Praha : IDG Czech, 2003, č. 2, s. 90-91. ISSN 1210-1079. Webové stránky 1. Absolute Intruder. Práva Hackera (aktualizovaná verze) [online]. 11.07.2005 [cit. 2007-02-26]. Dostupný z WWW: . 2. ARNOLD, Arne. Ochránci soukromí. PC World [online]. Praha : IDG Czech, 2006, č. 12 [cit. 2007-04-09]. Dostupný z WWW: . ISSN 1210-1079. 3. BEDNÁŘ, Vojtěch. Automatičtí červi útočí. PC World [online]. Praha : IDG Czech, 2004, č. 7-8 [cit. 2007-04-09]. Dostupný z WWW: . ISSN 1210-1079.

58

4. BEDNÁŘ, Vojtěch. Je spyware jenom zlo?. PC World [online]. Praha : IDG Czech, 2003, č. 5 [cit. 2007-04-09]. Dostupný z WWW: . ISSN 1210-1079. 5. BEDNÁŘ, Vojtěch. Největší rizika na internetu. PC World [online]. Praha : IDG Czech, 2004, č. 5 [cit. 2007-04-09]. Dostupný z WWW: . ISSN 1210-1079. 6. BEDNÁŘ, Vojtěch. Poznejte nebezpečnou poštu. PC World [online]. Praha : IDG Czech, 2005, č. 1 [cit. 2007-04-09]. Dostupný z WWW: . ISSN 1210-1079. 7. BEHRENS, Daniel. Nedejte špionům šanci. PC World [online]. Praha : IDG Czech, 2006, č. 2 [cit. 2007-04-09]. Dostupný z WWW: . ISSN 1210-1079. 8. BEHRENSE, Daniel, BAREŠ, Michal. Internetové podvody. PC World [online]. Praha : IDG Czech, 2005, č. 11 [cit. 2007-04-09]. Dostupný z WWW: . ISSN 1210-1079. 9. BLANKENSHIP, Loyd. (The Mentor). Svědomí Hackera [online]. 15.01.2007 [cit. 2007-02-26]. Dostupný z WWW: . 10. BRANDT, Andrew. Vetřelci pod kontrolou. PC World [online]. Praha : IDG Czech, 2001, č. 10 [cit. 2007-04-09]. Dostupný z WWW: . ISSN 1210-1079. 11. ČEPIČKA, David, APFELBÖCK, Hermann, LÖBERING, Christian, WOLSKI, David. Lsti, fígle a triky pro domácí firewally. PC World

59

[online]. Praha : IDG Czech, 2005, č. 6 [cit. 2007-04-09]. Dostupný z WWW: . ISSN 1210-1079. 12. ČEPIČKA, David, ARNOLD, Arne, BEHRENS, Daniel, WEIDEMANN, Tobias. Exkluzivní zpráva o hackerech. PC World [online]. Praha : IDG Czech, 2005, č. 4 [cit. 2007-04-09]. Dostupný z WWW: . ISSN 1210-1079. 13. ČEPIČKA, David, BEHRENS, Daniel. Zastavte hrozbu pro váš počítač! I. PC World [online]. Praha : IDG Czech, 2003, č. 1 [cit. 2007-0409]. Dostupný z WWW: . ISSN 1210-1079. 14. ČEPIČKA, David, BÜTIKOFER, Christian. Spyware a hijackery. PC World [online]. Praha : IDG Czech, 2004, č. 10 [cit. 2007-04-09]. Dostupný z WWW: . ISSN 1210-1079. 15. ČEPIČKA, David, LANDESMAN, Mary. Zastavte spyware!. PC World [online]. Praha : IDG Czech, 2005, č. 6 [cit. 2007-04-09]. Dostupný z WWW: . ISSN 1210-1079. 16. ČEPIČKA, David, ZÄCH, Sascha. Neprozraďte se!. PC World [online]. Praha : IDG Czech, 2006, č. 12 [cit. 2007-04-09]. Dostupný z WWW: . ISSN 1210-1079.

60

17. DoShelp.com [online]. 2006, June 03, 2006 [cit. 2007-03-07]. Dostupný z WWW: . 18. GRIMES, Brad. Nebezpečí, která na vás číhají na webu [I]. PC World [online]. Praha : IDG Czech, 2001, č. 6 [cit. 2007-04-09]. Dostupný z WWW: . ISSN 1210-1079. 19. HÁK, Igor. Moderní počítačová infiltrace [online]. 2003 [cit. 2007-0408]. 93 s. Univerzita Hradec Králové Fakulta informatiky a managementu. Bakalářská práce. Dostupný z WWW: . 20. IGNJATOVIČ, Martin. Prolamování hesel populárně: nástroje pro práci s hesly a jejich odhalování. PC World [online]. Praha : IDG Czech, 2003, č. 7-8 [cit. 2007-04-09]. Dostupný z WWW: . ISSN 1210-1079. 21. IGNJATOVIČ, Martin. Rádce uživatele internetu: Průniky do počítačových systémů. PC World [online]. Praha : IDG Czech, 2001, č. 12 [cit. 2007-04-09]. Dostupný z WWW: . ISSN 1210-1079. 22. IGNJATOVIČ, Martin. Rádce uživatele Internetu: Technologie a bezpečnost. PC World [online]. Praha : IDG Czech, 2001, č. 11 [cit. 2007-04-09]. Dostupný z WWW: . ISSN 1210-1079. 23. JAGODZIńSKI, Marcin. Hledá se: Kevin Mitnick [online]. [cit. 2007-03-19]. Dostupný z WWW: <mitnick.helion.pl/about_k_mitnick.pdf>.

61

24. KUB@Z. Soom.cz: Příprava na hack, proxy servery a pár tipů [online]. 2003-2007 [cit. 2007-03-19]. Dostupný z WWW: . 25. LAKE, Matt. Neviditelně na Internetu. PC World [online]. Praha : IDG Czech, 2000, č. 7 [cit. 2007-04-09]. Dostupný z WWW: . ISSN 1210-1079. 26. MALINA, Patrik. Co připomněl Blaster?. PC World [online]. Praha : IDG Czech, 2003, č. 10 [cit. 2007-04-09]. Dostupný z WWW: . ISSN 1210-1079. 27. NÁDENÍČEK, Petr. Počítačové viry známé a neznámé: Backdoor: brána počítače otevřená do širého světa. PC World [online]. Praha : IDG Czech, 2006, č. 3 [cit. 2007-04-09]. Dostupný z WWW: . ISSN 1210-1079. 28. NÁDENÍČEK, Petr. Počítačové viry známé a neznámé: E-mailový červ, starý dobrý známý. PC World [online]. Praha : IDG Czech, 2006, č. 1 [cit. 2007-04-09]. Dostupný z WWW: . ISSN 1210-1079. 29. NÁDENÍČEK, Petr. Počítačové viry známé a neznámé. PC World [online]. Praha : IDG Czech, 2006, č. 2 [cit. 2007-04-09]. Dostupný z WWW: . ISSN 1210-1079. 30. NÁDENÍČEK, Petr. Počítačové viry známé a neznámé. PC World [online]. Praha : IDG Czech, 2006, č. 4 [cit. 2007-04-09]. Dostupný z WWW:

62

. ISSN 1210-1079. 31. NÁDENÍČEK, Petr. Počítačové viry známé a neznámé: Spyware: moderní čmuchal inormačního věku. PC World [online]. Praha : IDG Czech, 2006, č. 3 [cit. 2007-04-09]. Dostupný z WWW: . ISSN 1210-1079. 32. NÁDENÍČEK, Petr. Počítačové viry známé a neznámé: Úvod do problematiky & souborové viry. PC World [online]. Praha : IDG Czech, 2005, č. 11 [cit. 2007-04-09]. Dostupný z WWW: . ISSN 1210-1079. 33. NAPSTERIK. AOM: Admins of Matrix [online]. 2005, 25.07. 2005 [cit. 2007-03-07]. Dostupný z WWW: . 34. PŘIBYL, Tomáš. Causa rootkit: Brána nebezpečí doširoka otevřená. PC World [online]. Praha : IDG Czech, 2006, č. 3 [cit. 2007-04-09]. Dostupný z WWW: . ISSN 1210-1079. 35. REVELATION. The Ultimate Beginner's Guide To Hacking And Phreacking [online]. [cit. 2007-02-26]. Dostupný z WWW: . 36. STERLING, Bruce. The Hacker Crackdown [online]. c1992 [cit. 2007-04-09]. Dostupný z WWW: . 37. VALÁŠEK, Michal A. Co byl měl znát správný hacker na Internetu. Živě.cz [online]. 2000 [cit. 2007-03-19]. Dostupný z WWW: . 38. VONDRÁČEK, Vladimír. Hackujte sami sebe. PC World [online]. Praha : IDG Czech, 2003, č. 7-8 [cit. 2007-04-09]. Dostupný z WWW:

63

. ISSN 1210-1079. 39. ZETTER, Kim. Nebezpečí, která na vás číhají na webu [IV]. PC World [online]. Praha : IDG Czech, 2001, č. 9 [cit. 2007-04-09]. Dostupný z WWW: . ISSN 1210-1079. 40. ZETTER, Kim. Viry nové generace. PC World [online]. Praha : IDG Czech, 2001, č. 2 [cit. 2007-04-09]. Dostupný z WWW: . ISSN 1210-1079.

64

Seznam obrázků a tabulek Obrázek č. 1: Skenování domény phil.muni.cz programem GFI LANguard Network Security Scanner, vlastní zpracování…………………………….19 Obrázek č. 2: Skenování počítače běžného uživatele programem GFI LANguard Network Security Scanner, vlastní zpracování……………….20 Obrázek č. 3: Případ phishingu CitiBank, převzato z Hoax……………...44 Tabulka č. 1: Pokročilé operátory vyhledávače Google, zpracováno podle Google HACKING…………………………………………………………..71 Tabulka č. 2: Trojské koně a jimi zneužívané porty, zpracováno podle Admins of Matrix a DoShelp.com…………………………………………..72

Seznam příloh Příloha č. 1: Hacking………………………………………………………...65 Příloha č. 2: Pokročilé operátory používané ve vyhledávači Google……..69 Příloha č. 3: Trojské koně a jimi zneužívané porty………………………..72

65

Přílohy Příloha č. 1: Hacking Hackeři vyvolávají v mnoha lidech hrůzu, což je způsobeno zažitými představami o nich, ke kterým přispívá i uzavřenost hackerské komunity. Běžně se tak lze setkat s následujícími názory, které tato práce vyvrací. •

„Je nespokojený, negativně naladěný a nepřátelský vůči celému světu.

•

Je zatrpklý, má málo přátel a nízké sebevědomí.

•

Je mimořádně inteligentní, ale není schopen se zaměřit na klasickou kariéru.

•

Má problémy v navazování a udržování vztahů, přátelství a milostných poměrů.

•

Neuznává obvyklé autority a je jakási "ztracená existence".

•

Je mladý a nemá úspěch u žen.

•

Má rád rychlé občerstvení a pizzu, a má uhrovitou tvář.

•

Schválně píše čOsla m2zi pOsmen8 sl5v, aby si připadal zajímavý.“145 „Jsou to (…) prostě lidé, kteří lezou tam, kde nemají co pohledávat. Vědí, že reálná postižitelnost je velmi malá, neboť jejich činy obvykle nejdou dokázat. Schovávají se tedy za bukem, v prostředí, kde jsou doma. Hackeři obvykle věří, že nemohou nic důležitého poškodit, protože „tomu přece rozumějí líp než ti, co tím dělají“. Většinou jde o arogantní omyl. Globální informační prostředí, prostředí počítačových a komunikačních sítí, si vytváří své specifické sociální skupiny. Hackeři jsou jeho lumpenproletariátem – technicky brilantní, jednostranní, zakomplexovaní, osobnostně nerozvinutí lidé, s nedostatkem moráních zábran, s chorobnou potřebou na sebe upozornit. Nic zvláštního koneckonců v moderní společnosti, kde neuróz a psychóz přibývá geometrickou řadou. Nepíšu filipiku adresovanou hackerům – ti papírové knihy nečtou, a pokud náhodou, sotva se jich dotkne. Snažím se vstoupit proti jejich idealizaci, o kterou jsme se velkou měrou bohužel zasloužili my, počítačoví novináři. Hacker je terorista s počítačem v ruce; absence publicity ho může zpomalit nebo i zastavit.“146

Předchozí dvě ukázky vystihují představy, které často budují média, příp. autoři knih o počítačové bezpečnosti, kteří se zajímají jen o zabezpečení. 145

THOMAS, Thomas M. Zabezpečení počítačových sítí bez předchozích znalostí. 1. vyd. Brno : Computer Press, 2005. 338 s. ISBN 80-251-0417-6. s. 28. 146 KOUBSKÝ, Petr. Počítače pro každého. Praha : Grada, 1994. 151 s. ISBN 80-7169-044-9. s. 104.

66

Je zřejmé, že hackeři mohou způsobit škody, protože výpočetní technika a Internet zasahují do života všech. To se většinou neděje a pokud ano, způsobují škody členové organizovaného zločinu (potvrzují krádeže identity), nebo hackeři – začátečníci, kteří se teprve učí. Nesrovnalostí v druhé ukázce je poukázání na vztah hackerů a papírových knih. Snad na každé webové stránce, ale i v papírových knihách vydávaných hackery i některými bezpečnostními odborníky je kladen důraz na to, že pokud se člověk chce stát hackerem, zabere mu cesta k jeho cíli minimálně několik let studia problematiky, učení se mnoha dovednostem a cvičení získaných dovedností a znalostí147. Oproti těmto negativním citacím lze postavit přehnaně pozitivní – to lze zdůvodnit ironií či přílišným obdivem ke komunitě hackerů: „McNeil ve svém bestselleru Poradce (McNeil: Poradce. Svoboda, Praha 1983) vykreslil počítačového zločince, kterého bychom mohli charakterizovat asi takto: • Jedná se o sympatického mladého muže, okouzlujícího nikoli svaly nebo šarmem, ale svým nepřekonatelným intelektem. • Je tak dobrým programátorem, že obyčejné programování pro něj není. Dělá tedy počítačového poradce. Je však tak dobrým poradcem, že ani to pro něj není to pravé. Proto se zabývá počítačovým zločinem. • Vraždy se dopouští jen velmi nerad a z vážných důvodů (např. pokud se mu někdo nevhodně plete do programování). Když už se vraždě nelze vyhnout, naprogramuje ji na počítači tak, aby byla decentní, bez rizika a aby se na to nemusel koukat.

• Cílem jeho snažení jsou drobné úpravy v komplikovaném systému programů řídících chod velké banky. Teoreticky takové úpravy nelze provést – to je důvod, proč je uskuteční prakticky. Okolnost, že se v důsledku toho stane milionářem, je vedlejší.“148

Oproti předchozím názorům musím postavit základní dokumenty hackerů, které lze najít na prakticky každé stránce, jež je alespoň částečně věnována hackingu. Tyto dokumenty vystihují jistý undergroundový a anarchistický pohled hackerů na informační technologie149: 147

tyto argumenty lze ověřit např. v článku REVELATION. The Ultimate Beginner's Guide To Hacking And Phreacking [online]. [cit. 2007-02-26]. Dostupný z WWW: . 148 KOPEČEK, Ivan. Programátorské poklesky. 1. vyd. Praha : Mladá fronta, 1989. 164 s. ISBN 80-204-0068-0. s. 88-89. 149 uvádím pouze několik příkladů pro ilustraci, k tomuto tématu doporučuji např.:

67

„Toto bylo napsané krátce po mém zatknutí... Svědomí Hackera The Mentor Napsané 8.?. 1986 Dnes chytili dalšího, je to všude v novinách. "Mladík zatknutý v Počítačovém Kriminálním Skandálu",hacker byl zatknutý za Průnik do Banky... Posraný děcka. Všecky jsou stejný. Ale podíval ses,ve svojí troj-kusý psychologii a technomozku z 50-tých let, někdy do mysli hackera? Přemýšlel si někdy co ho motivovalo, jaké síly ho tvarovali, co z něho ukuli? Sem hacker, vstup do mého světa... Můj svět začíná školou... Sem chytřejší než většina jiných dětí, ty hovadiny co mě učí mě nudí... Posraný děcka. Všichni sou stejný. Sem na střední škole. Slyšel sem učitele patnáctkrát vysvětlovat jak se zjednodušuje zlomek. Rozumím tomu. "Né slečno Smithová, nenapsal sem postup. Vypočítal sem to v hlavě..." Posraný děcko. Pravděpodobně to opsal. Všichni jsou stejný. Dnes sem udělal objev. Našel sem počítač. Počkej, toto je zajímavé. Dělá to co já chci aby dělal. Pokud udělá chybu je to proto,protože sem se zmýlil. Né proto,že se mu nelíbím... a nebo,že se cítí být mnou ohrožený... a nebo,že si mysli ze sem machr... a nebo,že nemá rád učení a nebal se tu byt... Posraný děcko. Jenom hraje hry. Všechny sou stejný. A potom se to stalo... otevřela se brána do světa... proudíc přes telefonní linku jako heroin přes narkomanovi živly, elektronicky puls se poslal ven,utekl od každodenních neschopností... našel si board. Toto je... toto je místo kam patřím... Každýho tu znám... i když sem je nikdy neviděl, nikdy sem s nimi nemluvil, možná už se nikdy neozvou... Všechny vás poznám... Zasraný děti. Zase sedí na telefonní lince. Všechny sou stejný... Můžeš se vsadit,že jsme všichni stejný... byly jsme krmení lžičkou dětskýho sunaru ve škole,když jsme měli hlad na řízek... kousky masa které jste dovolili proklouznout,byly už použité a STERLING, Bruce. The Hacker Crackdown. [s.l.] : [s.n.], c1992. Dostupný z WWW: . The Digital Uderground. Phrack. 1985-2005. Dostupný z WWW: . Hacker culture(s). 2000- . Dostupný z WWW: .

68

bez chuti. Byly sme dominováni sadistou, ignorováni tupcem. Je par takových co něco naučili nás ochotných žáků, ale takových je jako kapek vody v poušti. Toto je ted náš svět... svět elektronu a spínače, krása baudu. Využíváme služby které,už existují, bez toho aby jsme za ně platili. Tyto služby by byli laciné kbyby nešéfovali profitoví pažravci, a vy nás nazýváte zločinci. My objevujeme... a vy nás nazýváte zločinci. Hledáme poznání... a vy nás nazýváte zločinci. Existujeme bez barvy pleti, bez národnosti, bez náboženských předsudků... a vy nás nazýváte zločinci. Vy vyrábíte atomové bomby, vedete války, vraždíte, podvádíte,podvádíte nás a zkoušíte nás přesvědčit,že je to pro naše dobro, a i tak sme my zločinci. Ano, sem zločinec. Můj zločin je zvědavost. Můj zločin je posuzovaní lidí podle toho co hovoří a jak myslí, né podle toho jak vypadají. Můj zločin je to ze sem chytřejší než ty, něco co mi nikdy neodpustíš. Sem hacker a tohle je můj manifest. Můžete zastavit jednotlivce, ale nemůžete nás zastavit všechny... konec konců, jsme všichni stejný.“150 „Práva Hackera by Absolute Intruder Dali jste nám skvělou věc, ale né přístup ke všem jejím možnostem a my jsme zvědaví, šťouraví a neochotní platit nadlické peníze ze neúplné služby i za ty by to bylo moc .Přece internet je o nespočetných informacích proudícich všemi směry a né pouze o některých.S internetem jste nám dali také zbraň a my ji využili. Budeme bojovat za svá práva, my nepoškozujem cizí systémy, sice se do nich dostaneme, z toho důvodu, abychom se učíli a zkoumáli je, jak fungují a pracují . Na vzdělání má právo každý jenom my ne, učíme se znát internet a počítače s jejich vlastnostmi a možnostmi. Ti co bezdůvodně jen pro své pobavení poškozují systémy a stránky nemají právo ani čest, aby se nazývali hackeři.Jsou to prach obyčejní zločinci. My máme svou hrdost a čest, nato abychom poškozovali to v čem jsme doma, známe to tam a bez čeho by byl náš život ochuzený. A přes to co děláme a jak se lišíme od opravdových zločinců jsme řazeni do stejné skupiny kde jsou vrazi, zloději a násilníci.Nikdo naše úmysly nechápe a proto se musíme skrývat a neustákle používat lepší zabezpečovací prostředky, aby nás nechitili a to vše kvůli jejich nedokonalému systému v kterém žijeme.“151

150

BLANKENSHIP, Loyd. (The Mentor). Svědomí Hackera [online]. 15.01.2007 [cit. 2007-02-26]. Dostupný z WWW: . 151 Absolute Intruder. Práva Hackera (aktualizovaná verze) [online]. 11.07.2005 [cit. 2007-02-26]. Dostupný z WWW: .

69

Hackerská pravidla jsou uznávaná mezi hackery mimo Black Hats. Jsou sice volná, ale při jejich porušení může být provinilec z komunity vyloučen. „1. Nikdy nepoškodit žádný systém. Pouze pokud se dostanete do nesnází. 2. Nikdy neupravovat žádné systémové soubory, vyjma případu, kdy potřebujete zajistit, aby vás neodhalili, nebo pokud chcete zajistit, abyste měli přístup do onoho počítače i v budoucnu. 3. Nesdílejte s nikým žádné informace ohledně vašich hackerských projektů, sotva byste někomu svěřili do rukou svůj život. 4. Pokud posíláte poštu na BBSku (Bulletin Board Systems), snažte se maximálně nejasně popisovat vaše současné hackerské projekty . BBSky mohou být zákonným nařízením monitorovány. 5. Když posíláte poštu na BBS, nikdy nepoužívejte jakékoli skutečné jméno nebo skutečný telefon. 6. Nikdy nenechávejte vaší přezdívku v žádném systému, do kterého jste se hákli. 7. NIKDY nehákujte vládní počítače. 8. Nikdy nemluvte o hackerských projektech po vaší domácí telefonní lince. 9. Buďte paranoidní. Schovávejte všechny tvé hackerské materiály na bezpečném místě. 10. Staňte se skutečným hackerem, musíte hákovat. Nemůžete zůstat jen u čtení textových souborů a připojování na BBSky. Tohle není to hákování o kterém se bavíme.“152

Příloha č. 2: Pokročilé operátory používané ve vyhledávači Google Následující informace jsem čerpala z publikace Google HACKING153 a na jejich základě jsem vytvořila následující tabulku. Vyhledávače v ní použité jsou využitelné při hledání všech informací, tedy i těch, které by neměly být veřejně dostupné. Správné používání těchto operátorů umožní hackerovi najít jakékoliv informace, k čemuž mu mohou pomoci i další instrukce uvedené ve výše jmenované knize. S pomocí pokročilých operátorů může uživatel zjistit,

152

REVELATION. The Ultimate Beginner's Guide To Hacking And Phreacking [online]. [cit. 2007-02-26]. Dostupný z WWW: . 153 LONG, Johnny. Google HACKING. Miroslav Kučera; RNDr. Jan Pokorný. 1. vyd. Brno : Zoner Press, 2005. 472 s. ISBN 80-86815-31-5.

70

jaké informace jsou o něm volně dostupné, a učinit v závislosti na výsledku příslušná protiopatření. Vysvětlivky: ano – Google umožňuje použití v dané oblasti ne – Google neumožňuje použití v dané oblasti překlad – Google si pozmění dotaz a ten vyhledá IT – lze použít ve významu intitle operátory jsou řazeny abecedně

71

Tabulka č. 1: Pokročilé operátory vyhledávače Google, zpracováno podle Google HACKING154

154

LONG, Johnny. Google HACKING. Miroslav Kučera; RNDr. Jan Pokorný. 1. vyd. Brno : Zoner Press, 2005. 472 s. ISBN 80-86815-31-5

72

Příloha č. 3: Trojské koně a jimi zneužívané porty Následující tabulka zahrnuje nejen trojské koně, ale i programy, které umožňují činnosti pro ně typické (přístup k softwarovému vybavení počítače, odesílání informací typické pro spyware). To je dáno nejasnými hranicemi mezi jednotlivými druhy malwaru popisovanými v kapitole Malware. Při bližším prozkoumání níže uvedené tabulky je zřejmé, že kromě snadno zapamatovatelných čísel (např. 666, 12345) jsou nejčastěji zneužívány porty, které mají uživatelé nejčastěji otevřené – porty 21 (FTP), 25 (SMTP). Trojský kůň Acid Battery 1.0 Adnap Adore Worm Agent AimSpy Ajan Ambush Antigen AOL Trojan 1.1 Asylum Attack FTP Back Construction BackDoor

BackFire Back Orifice Baron Night BigGluck Bionet Bizex.Worm Bla Blade Runner BoBo BrainSpy Bubbel Bugs

Číslo portu 32418 20480 65535 31, 40421 777 25 10666 25 30029 23432 666 21, 666, 5400, 5401, 5402 777, 778, , 901, 902, 1001, 1081, 1218, 1243, 1394, 1533, 1772, 1999, 2000, 2080, 2090, 2222, 2322, 2333, 2335, 2989, 3028, 3195, 3306, 3737, 3456, 3547, 4001, 4128, 4242, 4300, 4646, 4661, 4820, 5000, 5001, 5152, 5418, 5419, 5553, 5555, 5558, 5588, 5800, 5900, 6565, 6631, 6711, 6776, 7329, 7410, 7614, 7740- 7749, 7789, 7823, 8012,8090, 8811, 9125, 9696, 9697, 9870, 10001, 10002, 10100, 10102, 10103, 12000, 12065, 12345, 13173, 15432, 16322, 16661, 19937, 22311, 22784, 23232, 27379, 29147, 29292, 29999, 32121, 32440, 36183, 44280, 44390, 47387, 47891, 51234, 56565, 58008, 58009, 58666, 59211, 61000, 64429 31337 121, 1349, 5556, 5557, 8787, 8879, 31336, 31337, 31338, 31666, 54320, 54321 31337 34324 12349 1534 1024, 1042, 20331 21, 5400, 5401, 5402 4321 10101 5000 2115

73

Bunker-Hill Cain & Abel Coma Cyber Attacker Danny Dark Shadow DeepBO DeepThroat DeltaSource (DarkStar) Devil 1.03 Digital RootBeer Dipnet DMSetup Doly Trojan Donald Dick Dumaru Eclipse (Eclypse) Email Password Sender Evil FTP Executor Eyeveg.worm File Nail Fire Hacker Firehotcker Fore Framar FTP99CMP FTP trojan Fulamer FunkProxy GabanBus GateCrasher GirlFriend Gjamer GoFriller Hack´99 Hack´a´Tack Hack City Ripper Pro Hackers Paradise Hack Office Armageddon Hacktool.SkSocket Haebu Coceda (= Naebi) Happy 99 HVL Rat5 Cheese worm Chupacabra ICKiller ICQTrojan Illusion Mailer InCommand Indoctrination

61348, 61603, 63485 666 10607 9876 4567, 6912, 10607 911 31337, 31338 41, 999, 2140, 3150, 6670, 6771, 60000 6883, 26274, 47252, 47262 65000 2600 11768, 15118 58, 59 21, 1010, 1011, 1012, 1015, 1016, 2345 23476, 23477 2283, 10000 3459, 3791, 3801, 21701 25 23456 80 2334 4567 23 79, 5321 21, 50766 23435 1492 21 50005, 60006 1505 12345, 12346 6969, 6970 21554 12076 1394 12223 31785, 31787, 31788, 31789, 31790, 31791, 31792 2023 31, 456 8879 1813 25 25, 119 2283 10008 20203 7789 4590, 4950 2155, 5512, 5521 9400 6939

74

Infector Ini-Killer Invisible FTP Jammer Killah Kazimas KeyLogger Kuang2 Larva Lodeight Lockbot Logged! LovGate Masters Paradise Mavericks Matrix Millennium Mitglieder Mosucker Mstream MyDoom NeTAdmin Netbios datagram Netbios name (DoS attacks) Netbios remove procedure call Netbios session (DoS attacks) NetBus NetMetropolitan NetMonitor Netpatch NetRaider Netscape/Corba exploit NetSky NetSphere NetSpy Nikhil G. One of the Last Trojans (OOTLT) Pass Ripper Password Generator Protocol PC Crasher Peur de Rien FTP Phase Zero Phatbot Phineas Phucker Pie Bill Gates Portal of Doom Priority ProgenicTrojan ProMail Trojan Prosiak pswsteal.likmet

146, 17569 555, 9989 21 121 113, 7000 12223, 49301 25, 13700, 17300, 30999 21 33322 1751 20203 6000 31, 3129, 40421-40423, 40425, 40426, 43210 1269 20000, 20001 14247, 20742 16484 6723, 6838, 7983, 9325, 10498, 12754, 15104 3127-3198, 10080 555 138 137 135 139 12345, 12346, 12456, 20034 5031, 5032 7300, 7301, 7306-7308 31337 57341 2086 6789 30100-30102, 30133 1024, 1033, 31338, 31339 1509, 1807, 2140, 2801 5011 2023 129 5637, 5638 666 555, 2721 4387, 63808, 63809, 65506 2801 12345 3700, 9872-9875, 10067, 10167, 10167 6969, 16969 11223 25, 110 22222, 33333, 44444 88

75

Psyber Streaming Server QaZ (Remote Access Trojan) Rasmin RAT Remote Explorer Remote Grab Remote Shell Trojan Remote Windows Shutdown RingZero Robo-Hack Sasser Satanz Backdoor Senna Spy ServeMe ServeU Shadow Phyre Shaft Shit Heep Shivka-Burka ShockRave Shtrilitz Schoolbus Schwindler Silencer Sober Socket23 Socket 25 Sockets de Troie SoftWar SpySender Stealth Streaming Audio Trojan Striker SubSeven Tapiras TCP Wrappers Telecommando Terminator The Invasor The Prayer The Spy The tHing The Unexplained Tilser Tiny Telnet Server TN TransScout Trin00 DoS Attack Trinity Trojan Trojan Cow Trojan Spirit 2001a

1024, 1170, 1509, 4000 7597 531, 1045 2989 2000 7000 5503 53001 80, 3028, 3128, 8080 5569 5554, 9995 666 20, 11000, 13000 5555 666 666 22, 18753, 20432, 20433 6912 1600 1981 25 4321, 43210, 54321 21544, 50766 1001 587, 13468 5000 30303 5000, 5001, 30303, 50505 1207 1807 25, 555 1170 2565 1243, 6711-6713, 6776, 16959, 27374, 27573, 27573, 54283 25 421 61466 25 2140, 3150, 2716, 9999 40412 6000, 6400 29891 6187 34324 34324 1999, 2000, 2001, 2002, 2003, 2004, 2005, 9878 27444, 27665, 31335 33270 2001 30133, 33911

76

Ugly FTP Ultors Trojan Unknown Trojan Vampyre 1.0 vbs.shania VooDoo Doll W32.Axatak W32.Beagle W32.dabber W32.dasher W32.Gluber W32HLLW W32.kalel W32.kibuv W32.korgo W32.Mimail W32mockbot W32.mytob W32.Opanki W32.PejayBot W32.RaHack W32.randex W32.Rotor W32.spybot WebEx Whack-a-mole WhackJob WinCrash Wingate (Socks-Proxy) WinPC WinSatan WinSpy WityWorm X-bill Xtcp Xtreme Y3k

23456 1243, 12345 7028, 33390 6669 2414 1245 8888, 8889 81, 2556, 2745, 4751, 6777, 8866 9898-9999 21211 5373 2766, 3256, 23005, 23006, 63809 51435 420, 530, 7955, 9604 2041, 3067 5555 3410, 6129 3030, 3385, 4512, 7000, 7999, 8000, 10027, 23523 4888 8126 4899 9000 382 1433, 7043, 8076 21, 1001 12361, 12362 12631, 23456 21, 2583, 3024, 4092, 5714, 5741, 5742 1080 25 999 25 4000 12345, 12346 5512, 5550 1090 5882

Tabulka č. 2: Trojské koně a jimi zneužívané porty, zpracováno podle Admins of Matrix155 a DoShelp.com156

155

NAPSTERIK. AOM : Admins of Matrix [online]. 2005, 25.07. 2005 [cit. 2007-03-07]. Dostupný z WWW: . 156 DoShelp.com [online]. 2006 , June 03, 2006 [cit. 2007-03-07]. Dostupný z WWW: .

77