InformacijosApsauga.lt

Ar žinote kas yra socialinė inžinerija? Vienas iš socialinės inžinerijos metodų yra manipuliavimas žmonėmis, priverčiant juos atlikti įvairius veiksmus ne visuomet jiems apie tai nutuokiant. Pvz. papasakoti kolegos slaptažodį ar persiųsti slaptą dokumentą. Norint valdyti žmones, reikia žinoti ne technologijas, bet žmonių psichologiją. Kaip Jūs galite būti “apdirbti”, galite pamatyti šiuose dviejuose filmukuose. Pirmajame reikia suskaičiuoti baltos komandos kamuolio perdavimus, o antrajame pastebėti kaip kortos pasikeičia iš mėlynų į raudonas. Iš jų turėtum suprasti kaip kartais vyksta manipuliacija žmonėmis. Ar viską suspėjai pamatyti? Nepamiršk apie tai parašyti komentaro. ;)

Turėjau BLOG‘ui paruošęs kelias temas, bet niekaip
neprisėsdavau jų parašyti. Tačiau šiandien internete pamačiau štai tokią
reklamą:

Nagai iš karto panižo. Po kelių minučių jau turėjau ir naują
temą. Be technologinių trūkumų ten yra ir šio BLOG‘o skaitytojams įveikiamų
trūkumų. Jau anksčiau rašiau, kad įsilaužėliui svarbu išmanyti ne tik technologijas,
bet ir žmones. Juk problemos kyla ne dėl technologijų, o dėl jas kuriančių žmonių.
Šiuo atveju inbox.lt turi paprastą saugumo trūkumą, kuriam išnaudoti visiškai nereikia
technologinių žinių, pakanka trupučio logikos ir savos galvos. O jeigu dar
pažįsti ir patį inbox.lt dėžutės turėtoją, tai užduotis gali būti ir visai
paprasta. Todėl pirmą kartą šiame BLOG‘e skelbiu konkursą. Konkursą be prizo.
Tiesiog dėl linksmumo.

Viskas ką reikia
padaryti, tai patekti į mano užregistruotą audrius4@inbox.lt
pašto dėžutę ir perskaityti ten esantį laišką.

Kaip jau minėjau, technologinės žinios nereikalingos,
bet būtina veikianti galva. Tiesa, mane pažįstantiems užduotį kiek pasunkinau,
kad visi turėtų panašias sąlygas. Šio įrašo komentaruose galite rašyti ką
reikėtų daryti ir kaip bandyti patekti į tą pašto dėžutę, galite diskutuoti, o
jei sunkiai seksis aš kartais parašysiu ar Jūs renkatės tinkamą sprendimą ar
ne. Bet tikiuosi, kad to neprireiks, nes užduoties sprendimas visai čia pat. Atsakymo,
t.y. laiško turinio laukiu taip pat komentaruose. Sprendimo nerašykit, tik laiško turinį. Pašto dėžutę palikite irgi be pakeitimų. Tegu padalyvauja ir kiti. Konkursą skelbiu pradėtą, o aš einu rašyti laiško. Kas pirmas? ;)

Pridėta vėliau.
Jei iš tiesų nori išbandyti savo jėgas patekdamas į inbox.lt pašto dėžutę, tai neskaityk komentarų apačioje. Užuominų ten jau daug, pabodo man jas taisyti, bet net neabejoju, kad viską išsiaiškinsi pats ir be jų. :)

Pradėsiu iš karto nuo esmės.

Hello sir,
I m from Bangladesh.
We r a group worker who solve captcha image for money.
We are working on another captcha project, too and deliver 50000 captchas/day.
We can work for you too, because we know what we are doing.
we can start as soon i receive all the info the info from you.
I can show you the captcha website we are curently working right now.
It will be a pleasure for us to serve you , too.
Let us working4you.

our rate is $ 8 for per 1000 captcha solved.

let me know what ur decision……..
I m waiting for ur response.

Have a great day !

Best wishes !

Thanks
admin
Raki IT Group

Labiausiai man patiko paraše “Raki IT Group”. :) Jeigu trumpai ir lietuviškai, tai indai siūlosi suvedinėti captcha paveikslėlių reikšmes už 8$ už 1000 vnt. Per dieną suveda 50000 reikšmių. Tokiu atveju captcha apsauga tampa visiškai nebeveiksminga, o spam’as gali lietis laisvai tiek forumuose, tiek per nemokamas el. pašto dėžutes. Rumunai yra kiek brangesni, nes jų kainos siekia 9-15$ už tą patį kiekį. Įdomu kiek ta pati paslauga kainuotų pas kiniečius…

Kiek daugiau nei prieš savaitę Antanas su manimi pasidalino savo radiniu internete. Jei tau nuo nešiojamo kompo dugno nusitrynė, tu jį pametei arba tiesiog niekada neturėjai Windows XP registracijos numerio, tai diegiant šią sistemą tokį numerį gauti nėra problema. Ne, nereikia jokių specializuotų paieškos sistemų, tokių kaip astalavista.box.sk ir nereikia žinoti visokių slaptų viečikių internete, nes tą darbą gali padaryti Google. Tiesiog įvykdyk paiešką su tokiais duomenimis:
“Windows XP Professional” “Belarc Advisor Current Profile” key:

Ar jau radai tinkamą raktą savo piratinei windozės versijai? :)

Google. Senai apie jį rašiau. Daugelis turbūt naudojatės paprasčiausia paieška be jokių specialių operatorių. O jų Google turi nemažai ir naudojantis jais galima visai neblogai “patobulinti” paiėšką. Pvz. operatorius “intitle:”. Jei paieškoje panaudosi tokį operatorių, tai paieškos rezultatas bus puslapiai, kurių pavadinime yra nurodytas žodis. Dedu iliustracijas su pavyzdžiu.

Panašiai yra ir su operatoriumi “inurl:”. Tik šiuo atveju rezultatas bus puslapiai, kurių adrese bus nurodytas žodis. Pvz.:

Dabar reikėtų prisiminti mano paskutinį įrašą apie WebShell'us ir panaudoti šiuos Google operatorius jų paieškai. Jei paimtumėm C99Shell WebShell'ą, tai matytumėte, kad jo puslapio pavadinimas turi žodį “c99shell” arba “phpshell”. Rašom tai į google užklausą su operatorium “intitle:”, dar pridedam kitą operatorių “filetype:”, kuris leidžia paieškos rezultataus susiaurinti iki tam tikro tipo failų ir štai ką turim.

O gi turim nulaužtų web serverių krūvą į kuriuos jau yra įdiegti WebShell'ai. :) Kai kurie jų bus atstatyti, todėl kaip viskas atrodė galit pamatyti spausdami “Google kopija”, bet tikrai rasite ir vis dar aktyvių. Su tokiais žiūrėkit neprisižaiskit bemaigydami, nes apkaltins po to jus viso puslapio nulaužimu.
O kaip viskas atrodytų, jei rezultatus susiaurintumėm iki Lietuvos?

Na va, kad jie buvo 2007 m. gruodį nulaužti, tai neužfiksavo niekas. Tik adminai ir Google'as. :)
Dabar padarom tą patį pvz. su “r57shell”, tik naudokim operatorių “inurl:”. Turim puslapių iš Lietuvos ir čia.

Galit nieko nesigaudyti IT sistemų saugume, bet jei į Google mokėsit tinkamai suvesti paieškos parametrus, tai ir be tų žinių galit “prisidirbti” už kokio nors psulapio defeisą.
Tiesa, kažkada pirmame bardakėlyje rašiau apie tai, kaip asterisk atstatė Baltų lankų knygyno puslapį www.blk.lt po turkų nulaužimo. Tuomet puslapyje irgi buvo paliktas WebShell'as, kurį suradus ir buvo padarytas atstatymas. Turkai puslapį nulaužė 2007 m. pačioje lapkričio pradžioje. Nors apie paliktą WebShell'ą knygynas informuotas buvo, bet pas juos jis dar prabuvo iki 2008 m. sausio. Per tą laiką to WebShell'o pagalba su jų puslapiu buvo galima daryti ką nori: žiūrėti prisijungimo prie duomenų bazės duomenis, vykdyti komandas serveryje, keisti patį puslapį ir t.t. Žodžiu, išsidirbinėti su puslapiu ir jo duomenimis kaip nori. O tam, kad paliktas WebShell'as būtų panaikintas, t.y. tiesiog ištrintas vienas failas serveryje, prireikė “tik” trijų mėnesių. Visai neblogas reakcijos laikas. :)

Jau anksčiau rašiau apie bandymus automatiniu būdu įterpinėti nutolusį programinį kodą. Ataka primityvi, bet vis gi… Ok, kas būna toliau, kai tokio bandymo atveju, per parametrą pavykstą tą kodą įterpti? Toliau būna bandoma paleisti WebShell'ą. WebShell - vartotojo sąsaja skirta valdyti serverį per naršyklę. Valdyti ne šiaip spaudžiojant pelę, bet tarsi per ssh, turint komandinę eilutę ar kitais būdais, kurie priklauso nuo situacijos. T.y. galimybės būna tokios pačios kaip normaliai prisijungus prie serverio. WebShell'ai būna geri ir blogi. Geri - skirti administratoriams jų sistemų priežiūrai. Tokių rasite daug per google, pvz. kad ir šis: http://www-personal.umich.edu/~mressl/webshell/. Norint juos paleisti, kartais reikia įdiegti papildomas bibliotekas serveryje. Blogi - serverio valdymo perėmimui po įsilaužimo. Pastarieji padaryti taip, kad visko serveryje diegti reikėtų kuo mažiau ir jų veikimui pakaktų standartinės serverio konfigūracijos. WebShell'as į serverį dedamas ir kitais būdais įsilaužus, ne tik aprašytuoju anksčiau, nes tai patogus būdas pasidaryti “atsarginį priėjimą”, jei netyčia serverio skylė butų užlopyta. Web'as yra ta terpė, kuri dažniausiai laisvai praeina pro visas apsaugos priemones, nes web'u visi naudojasi ir jam kelias paliktas atviras. Būtent dėl šios priežasties įsilaužėliai ir mėgsta tokius specializuotus WebShell'us kaip c99shell, remview ar r57shell.

Bet hakeriai nebūtų hakeriais, jei nebandytų ir vieni kitų išdurti. :) Atsisiųsdami tokį hakerišką WebShell'ą net ir pasižaidimui, būkite atsargūs. Dažnai jų kodas jau būna modifikuotas kitų arba pačių autorių parašytas taip, kad po WebShell'o paleidimo būtų pranešama apie tai, kur jis buvo paleistas. Netrukus po paleidimo galite sulaukti svečių, su kuriais turėsite dalintis serveriu. Todėl žiūrėkit iš kur tokį WebShell'ą imat arba peržvelkit jo programinį kodą ar ten nėra prirašyta ko nors per daug.

Dabar pakalbėkim apie adminus. Jie tokius dalykus žinodami bando apsisaugoti nuo WebShell'ų. Kadanagi populiariausi blogi WebShell'ai yra kurti su PHP, tai dažniausiai visos apsaugos priemonės ties tuo ir pasibaigia. Bet jei imtumėm standartinį linux'inį serverį, kuriame veikia PHP tarnyba, tai dažniausiai tame pačiame serveryje rastumėm veikiančią Perl tarnybą, kuriai visiškai vienodai kokie yra PHP nustatymai. Jau pagavai kampą? Taip, jei neveikia su PHP kurtas WebShell'as dėl visokių jo veikimą ribojančių PHP konfigūracijos parametrų, tai niekas netrukdo į serverį įdėti su Perl kurto WebShell'o. Surinkit į google “perl webshell” ir gausi tokių krūvą. Paprasti dalykai turi būti sprendžiami paprastai.

Šiam kartui tiek, o prie blogųjų WebShell'ų aš dar sugrįšiu.

Šiandien yra vasario 5 diena. Diena, kai šis BLOG’as savo populiarumu prisivijo Andriaus Kubiliaus BLOG’ą (pagal blogologas.lt statistiką).

Kažkaip kilo noras išlipti iš standartinių blogas.lt rėmų ir suteikti šiam BLOG’ui ryškesnį veidą. Taip pat dažnas mano rašinėlis nėra greitai pasenstantis, tai norėtūsi, kad ta informacija labai giliai nenugrimztų ir naujai atėjusiems skaitytojams būtų nesunkiai pasiekiama. Ta proga šiek tiek pasižaidžiau su visų giriamu WordPress, šiek tiek pasiskaitinėjau apie kitus varikliukus. Pasirankiojau įvairios informacijos, bet vis tik BLOG’o esmė yra jo skaitytojai. Juk rašyti įdomiau kai tave skaito. O skaityti turi būti patogu. Nors turiu savo viziją, bet norėčiau pasiklausti kitų nuomonės ir išgirsti jų patarimus kaip šis BLOG’as turėtų pasikeisti, kuo pavirsti, kaip atrodyti ir t.t. Įdomios visos nuomonės. Tad rašykit komentarus, pasakokit kas dabar čia nepatinka, ko labiausiai trūksta, ko nereikia, ką reikėtų palikti, o ką reikėtų pridėti. Aš skaitysiu ir po truputį darysiu. ;)

Šiom dienom per pasaulį keliauja automatizuota pažeidžiamumų paieška. Šiandien ji jau užsuko ir į Lietuvą. Tikslas tokios paieškos paprastas - rasti tinklalapius, kuriuose galima vykdyti PHP programinį kodą iš nutolusių šaltinių. Pažeidžiamumų paieška vyksta per HTTP protokolo GET užklausų parametrus. T.y. per adreso eilutę. Pvz. Jei kažkokią informaciją iš puslapio galima pasiekti adresu www.isec.lt/page.php?id=1, tai pažeidžiamumas tikrinamas suformauojant tokį adresą: www.isec.lt/page.php?id=http://sahel55.com/articles/omaduro/kimumid/. Ir tas pats bandoma su visais adreso parametrais. Jei nueisit adresu http://sahel55.com/articles/omaduro/kimumid/, tai nerasit nieko daugiau, tik vieną PHP kodo eilutę:

Jei Jūsų serveris šios eilutės neapdoros, tai nieko ir neįvyks. Bet jei Jūsų serveris išskaičiuos MD5 ir pateiks kaip atsakymą į užklausą, tai automatinės pažeidžiamumo paieškos autoriams turėtų būti ženklas, kad galima perimti Jūsų serverio valdymą. Ir jie turbūt tai padarys. Neabejoju, kad su lietuviškais tinklalapiais jiems tikrai pasiseks. Po kelių dienų laukim pranešimo spaudoje su kokia nors tokia antrašte: “Arabų programišiai išdarkė daugiau nei pusę lietuviškų tinklalapių”.
Dabar Jūs eikit žiūrėti savo tinklalapio log'ų ar pas jus šis testas dar nebuvo užsukęs ir ar jam nepasisekė, o aš einu paspęsiu spąstus tolimesnei analizei. Tikiuosi spąstai suveiks. :)

Visuomenėje žodis hakeris yra suprantamas labai skirtingai. Vieniems tai nerealus “profas”, kuris pasitaiko tik Holivudo filmuose, kitiems - daugiau kompiuteriuose suprantantis kaimynas ir t.t. Tad šiame įraše pabandysiu kuo tiksliau papasakoti kas gi yra tas hakeris arba, anot kalbininkų, programišius, kokie jie būna ir į ką yra skirstomi.

Hacker. Iki atsirandant kompiuteriams, pirminė šio žodžio reikšmė anglų k. žodyne visą laiką buvo nurodoma kaip “kažkas, iš medžio galintis gaminti baldus kirviu”. Vėliau šis žodis buvo naudojamas kalbant žargonu, o šiandien retas kuris supranta šio žodžio reikšmę kitaip nei “kompiuterių nusikaltėlis”. Iš esmės visi kiti terminai atsirado vėliau, o pats terminas “hacker” šiandien turi labai plačią reikšmę. Iš esmės hakeriu būtų galima apibūdinti asmenį, kuris daugiau nei įprasti vartotojai nagrinėja įvairias IT sistemas, siekdamas surasti ir išnaudoti jų pradiniame funkcionalume nenumatytas galimybes. Tai nebūtinai reiškia, kad tų “galimybių” ieškoma tik blogiems tikslams. Kartais hakeris visa tai daro iš idėjos tiesiog siekdamas tobulumo, o kartais priešingai. Apie tai bus vėliau. :)

Cracker. Šis žodis daugiau reiškia neigiamą hakerį, kurio tikslas yra įveikti sistemų apsaugą siekiant tam tikros naudos. Taip dažnai apibūdinami žmonės, kuriantys programinės įrangos apsaugos pašalinimo mechanizmus. Žinoma, jie tai daro pažeisdami autorines teises ir nusižengia įstatymui, tačiau yra vertinami tokios įrangos naudotojų. Patys cracker'iai neplatina nulaužtos programinės įrangos (tuo užsiima piratai), bet tik jos nulaužimo mechanizmus (cracks, keygens, patches etc.), todėl dažnai juos nubausti yra sunku.

Phreaker. Dar viena specifinė hakerių rūšis, kuri specializuojasi telefonų sistemose. Phreak yra sudarytas iš žodžių Phone Freak. Jie susiję su kompiuterinėmis sistemomis besidominčiais hakeriais tuo, kad telefonų stotelės jau kokių 30 metų kartu yra ir kompiuteriai. Seniau telefono linijos ir modemai buvo pagrindinės priemonės duomenų mainams, todėl jie ir sulaukė tokio dėmesio. Žinoma, tas dėmesys dažnai būdavo nukreiptas į tai, kaip už tą duomenų perdavimą ar pokalbius telefonu nieko nemokėti. :) Stipriai pasikeitus technologijoms, šiandien ši hakerių rūšis yra beveik išnykusi.

Black Hat/White Hat. Terminas Black Hat atsirado praėjusio amžiaus paskutiniame dešimtmetyje ir išpopuliarėjo su “Black Hat” konferencija (www.blackhat.com). Tai Jeff Moss (aka Dark Tangent) organizuojama konferencija, stipriai orientuota į techninius dalykus ir skirta saugumo profesionalams. Tas pats asmuo organizuoja ir kitą konferenciją “Defcon” (www.defcon.org). Pastaroji yra senesnė, pigesnė, bet sako ir bardakas joje didesnis, ir su organizuotumu prasčiau. Žodžiu, “Defcon” laikoma blogesnės reputacijos konferencija. Kaip yra iš tikro, nežinau, nes sudalyvauti teko tik BlackHat'e. Gerai, grįžkim prie pačių terminų. Black Hat lietuviškai reiškia “juoda skrybėlė” ir jau intuityviai nurodo į “blogiukus”, t.y. blogus hakerius, darančius nusikaltimus. Atitinkamai terminas White Hat reiškia “balta skrybėlė” ir apibūdina gerus hakerius. Senesniuose vesternuose blogi kaubojai paprastai būdavo su

juodomis skrybėlėmis, o
geri su baltomis. Vienas tokių man patinkančių senų vesternų yra “The
good, the bad and the ugly“. Turi savo žavesio. Pasižiūrėk, gal patiks
ir tau.

Grey Hat. “Pilkos skrybėlės”. Tai nei tokie, nei tokie. Priklausomai nuo požiūrio vienu atveju gali būti laikomi White Hat'ais, kitu atveju Black Hat'ais. Pvz. hakeriai nemėgstantys kokio nors gamintojo (dažniausiai Microsoft), apie pažeidžiamumą praneša viešai prieš tai neįspėję gamintojo. Gamintojas dėl to patiria didesnių nuostolių nei tokiu atveju, jei būtų informuotas apie tai iš anksto. Vieni laiko, kad taip daryti negalima ir gamintoją reikia įspėti prieš paskelbiant viešai apie pažeidžiamumą. Kiti tai laiko normaliu procesu, nes anot jų, taip gamintojai verčiami kurti kokybiškesnius produktus. Ir kurių požiūris dabar yra teisingas? Kadangi tavo nuomonė turbūt irgi skirsis nuo kieno nors kito nuomonės ir vieniems toks hakeris gaunasi White Hat'as, o kitiems toje pačioje situacijoje jau Black Hat'as, tai tokiu atveju hakeris ir apibūdinamas kaip Grey Hat'as.

Script Kiddie. Tai daugiau pašiepiantis terminas, kuris apibūdina mažai išmanančius asmenis, naudojančius hacker'ių ir cracker'ių sukurtas programas ir skriptus. Jeigu hakeris turi tam tikrų žinių, įgūdžių ir vadovaujasi savo etika, tai Script Kiddies dažnai ne tik mažai išmano, bet ir iš vis nesupranta kodėl ir kaip veikia koks nors skriptas ar programa, neturi jokių įgūdžių ir nesivadovauja jokia etika. Jie tiesiog spaudžia ir žiūri kas bus. Jei nesuveikia, tai iš karto meta tą programą šalin ir bando sekančią. Ir taip kol pavyksta (arba ne). :) Taip pat jie būna didžiausi warez'o (nelegalios programinės įrangos ar turinio) platintojai ir labai gerai žino kaip jo gauti iš kitų.

Kaip jau
supratot, Script Kiddie nors kiek ir pašiepiantis terminas, reiškia,
kad asmuo turi daugiau žinių nei vidutinis kompiuterių vartotojas.
Script Kiddie yra visiškai priklausomas nuo hacker'ių ir cracker'ių,
todėl jų kartais būna pavadinamas lamer'iu (nemokša).

Manau pradžiai terminų pakaks. Gal vėliau, jei užeis toks noras :), parašysiu apie hakerių motyvaciją ir kodėl bei kaip elgiasi skirtingi hakeriai.