• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
nyhackerguide
 

nyhackerguide

on

  • 3,883 views

 

Statistics

Views

Total Views
3,883
Views on SlideShare
3,883
Embed Views
0

Actions

Likes
0
Downloads
8
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    nyhackerguide nyhackerguide Document Transcript

    • CHILL DEN NYE HACKERGUIDE HACKING – TRÆK OG MODTRÆK Si vis pacem, para bellum
    • Den nye Hackerguide 2. udgave 2007 Copyright 2007 – Hackademiet ved Chill og Britt Malka Forfatter: Chill Redaktion: Britt Malka Omslag: Chill DTP: Chill Kårectur: Britt Malka Hackademiet: http://www.hackademi.com Nyheder: http://www.hackademi.net Hackerguiden: http://www.hackerguiden.com
    • Indhold INDHOLD 7 FORORD 11 1. METODER OG TEKNIKKER 13 VIRUSSER OG SPYWARE .................................................................................................................................15 DET TRÅDLØSE NETVÆRKS HURTIGE UDVIKLING ........................................................................................15 KENDTE EKSEMPLER ......................................................................................................................................16 ANALYSE AF ET TYPISK ANGREB ...................................................................................................................21 FORBEREDELSE AF ET ANGREB ......................................................................................................................23 ONLINE ............................................................................................................................................................24 LEG OG LÆR ....................................................................................................................................................25 2. TCP/IPS SVAGHEDER 28 LIDT HISTORIE ................................................................................................................................................28 HVAD SÅ I DAG? .............................................................................................................................................30 TCP/IP: RODEN TIL ALT ONDT?.....................................................................................................................31 ET LIDT FOR OFFENTLIGT NETVÆRK .............................................................................................................32 STANDARDEN TCP/IP – PROGRAMMERNES SVAGE PUNKT.........................................................................37 MATERIEL OG HULLER ...................................................................................................................................39 SNIFFING .........................................................................................................................................................40 TEST DIT NETVÆRK MED WINPCAP OG LIGNENDE .......................................................................................41 ICMP OG PROGRAMMERNE NETSTAT OG ROUTE ........................................................................................49 AT HIJACKE ROUTEN ......................................................................................................................................52 MODTRÆK .......................................................................................................................................................57 I MORGEN IPV6 ...............................................................................................................................................58 3. HACKERVÆRKTØJER 59 KENDE NETVÆRKET .......................................................................................................................................60 PING OG TRACEROUTE ....................................................................................................................................60 ANDRE VÆRKTØJER .......................................................................................................................................65
    • SCANNERE .......................................................................................................................................................67 IDENTIFIKATION AF SYSTEMET ......................................................................................................................68 SCANNING KAN VÆRE FARLIGT .....................................................................................................................72 MODTRÆK .......................................................................................................................................................75 4. SPYWARE, VIRUSSER OG TROJANSKE HESTE 79 TROJANSKE HESTE ..........................................................................................................................................79 BESKRIVELSE AF EN TROJANSK HEST ............................................................................................................79 BACK ORIFICE 2K (BO2K): STJERNEN.........................................................................................................82 HVORDAN TROJANSKE HESTE BLIVER INSTALLERET ...................................................................................84 LIDT PRAKTIK .................................................................................................................................................87 VIRUSSEN ..................................................................................................................................................... 100 MAKRO-VIRUSSER ....................................................................................................................................... 103 DEN MODERNE TROJANSKE HEST: SPYWARE ............................................................................................ 104 ANTIVIRUS , ANTITROJANSKE HESTE OG ANTISPYWARE ........................................................................... 106 FALSK ALARM .............................................................................................................................................. 107 DIN PUTER OPFØRER SIG ÅNDSSVAGT ........................................................................................................ 108 NÅR DER ER VIRUSSER TIL STEDE .............................................................................................................. 109 SKIL DIG AF MED TROJANSKE HESTE .......................................................................................................... 110 FIND OG SLET SPYWARE .............................................................................................................................. 114 EN VERDEN UDEN VIRUSSER? ..................................................................................................................... 114 5. SYSTEMHULLER 116 ANALYSER RESULTATET AF EN SCANNING ................................................................................................ 116 EXPLOITS ...................................................................................................................................................... 120 MAILING-LISTERNE ..................................................................................................................................... 121 NETBIOS-HULLET ....................................................................................................................................... 121 VÆRE MORSOM MED DEFACING ................................................................................................................. 125 HULSCANNEREN .......................................................................................................................................... 128 6. INTERNET-PASSWORDS 132 OMGÅ PASSWORDS ...................................................................................................................................... 134 SOCIAL ENGINEERING VS. BRUTE FORCE ................................................................................................... 135
    • PASSWORDGENERATORER .......................................................................................................................... 136 TEKNOLOGI OG STATISTIK VS. PASSWORDS .............................................................................................. 138 ANGREB MED PASSWORDS .......................................................................................................................... 140 SIMULER EN BRUGER ................................................................................................................................... 142 BRUTUS' BRUTE FORCE ............................................................................................................................... 144 BRUTUS' MULIGHEDER ................................................................................................................................ 147 ANGREB MOD EN HTML-FORMULAR ........................................................................................................ 148 MODTRÆK .................................................................................................................................................... 152 7. PC-PASSWORDS 153 PASSWORDKATEGORIER ............................................................................................................................. 153 BIOS-PASSWORD ......................................................................................................................................... 154 AFBRYD ALT!............................................................................................................................................... 155 EN TROJANSK HEST I DIN PC ........................................................................................................................ 156 SYSTEMPASSWORDS .................................................................................................................................... 157 CRACKERS, SOM BRUGER DIN MASKINE .................................................................................................... 158 MODTRÆK .................................................................................................................................................... 169 OFFICEPAKKER ............................................................................................................................................ 171 MODTRÆK .................................................................................................................................................... 172 8. BESKYT DINE DATA 174 BESKYT DIG ... MEN IKKE FOR MEGET! ...................................................................................................... 174 MODTRÆK TIL PGP: TASTATUR-SNUSERI! ................................................................................................ 181 MODTRÆK?.................................................................................................................................................. 182 STEGANOGRAFIEN, HVAD ER DET? HAR DEN FORDELE?.......................................................................... 182 STEGANOGRAFIEN I DAG ............................................................................................................................. 184 STEGANOGRAFI-PROGRAMMER .................................................................................................................. 186 SECURENGINE .............................................................................................................................................. 187 LIDT PRAKSIS ............................................................................................................................................... 189 9. SKJULE SINE SPOR 200 KAMUFLERINGSTEKNIKKER ....................................................................................................................... 201
    • WIRELESS NETVÆRK OG WARDRIVING ..................................................................................................... 201 BRUGEN AF FALSKE IP-ADRESSER ............................................................................................................. 203 OFFENTLIGE PROXIES .................................................................................................................................. 203 ANONYME PROGRAMMER ........................................................................................................................... 205 MULTIPROXY ............................................................................................................................................... 205 I GANG MED STEALTHER............................................................................................................................. 206 NU SKAL DU OGSÅ LIGE ... .......................................................................................................................... 213 HACKING ER SJOVT 214
    • Indhold INDHOLD 7 FORORD 11 1. METODER OG TEKNIKKER 13 VIRUSSER OG SPYWARE .................................................................................................................................15 DET TRÅDLØSE NETVÆRKS HURTIGE UDVIKLING ........................................................................................15 KENDTE EKSEMPLER ......................................................................................................................................17 ANALYSE AF ET TYPISK ANGREB ...................................................................................................................21 FORBEREDELSE AF ET ANGREB ......................................................................................................................23 ONLINE ............................................................................................................................................................24 LEG OG LÆR ....................................................................................................................................................25 2. TCP/IPS SVAGHEDER 28 LIDT HISTORIE ................................................................................................................................................28 HVAD SÅ I DAG? .............................................................................................................................................30 TCP/IP: RODEN TIL ALT ONDT?.....................................................................................................................31 ET LIDT FOR OFFENTLIGT NETVÆRK .............................................................................................................32 STANDARDEN TCP/IP – PROGRAMMERNES SVAGE PUNKT.........................................................................37 MATERIEL OG HULLER ...................................................................................................................................40 SNIFFING .........................................................................................................................................................40 TEST DIT NETVÆRK MED WINPCAP OG LIGNENDE .......................................................................................41 ICMP OG PROGRAMMERNE NETSTAT OG ROUTE ........................................................................................49 AT HIJACKE ROUTEN ......................................................................................................................................52 MODTRÆK .......................................................................................................................................................57 I MORGEN IPV6 ...............................................................................................................................................58 3. HACKERVÆRKTØJER 59 KENDE NETVÆRKET .......................................................................................................................................60 PING OG TRACEROUTE ....................................................................................................................................60 ANDRE VÆRKTØJER .......................................................................................................................................65
    • SCANNERE .......................................................................................................................................................67 IDENTIFIKATION AF SYSTEMET ......................................................................................................................68 SCANNING KAN VÆRE FARLIGT .....................................................................................................................72 MODTRÆK .......................................................................................................................................................75 4. SPYWARE, VIRUSSER OG TROJANSKE HESTE 79 TROJANSKE HESTE ..........................................................................................................................................79 BESKRIVELSE AF EN TROJANSK HEST ............................................................................................................79 BACK ORIFICE 2K (BO2K): STJERNEN.........................................................................................................82 HVORDAN TROJANSKE HESTE BLIVER INSTALLERET ...................................................................................84 LIDT PRAKTIK .................................................................................................................................................87 VIRUSSEN ..................................................................................................................................................... 100 MAKRO-VIRUSSER ....................................................................................................................................... 103 DEN MODERNE TROJANSKE HEST: SPYWARE ............................................................................................ 104 ANTIVIRUS , ANTITROJANSKE HESTE OG ANTISPYWARE ........................................................................... 106 FALSK ALARM .............................................................................................................................................. 107 DIN PUTER OPFØRER SIG ÅNDSSVAGT ........................................................................................................ 108 NÅR DER ER VIRUSSER TIL STEDE .............................................................................................................. 109 SKIL DIG AF MED TROJANSKE HESTE .......................................................................................................... 110 FIND OG SLET SPYWARE .............................................................................................................................. 114 EN VERDEN UDEN VIRUSSER? ..................................................................................................................... 114 5. SYSTEMHULLER 116 ANALYSER RESULTATET AF EN SCANNING ................................................................................................ 116 EXPLOITS ...................................................................................................................................................... 120 MAILING-LISTERNE ..................................................................................................................................... 121 NETBIOS-HULLET ....................................................................................................................................... 121 VÆRE MORSOM MED DEFACING ................................................................................................................. 125 HULSCANNEREN .......................................................................................................................................... 128 6. INTERNET-PASSWORDS 132 OMGÅ PASSWORDS ...................................................................................................................................... 134 Den nye Hackerguide 8
    • SOCIAL ENGINEERING VS. BRUTE FORCE ................................................................................................... 135 PASSWORDGENERATORER .......................................................................................................................... 136 TEKNOLOGI OG STATISTIK VS. PASSWORDS .............................................................................................. 138 ANGREB MED PASSWORDS .......................................................................................................................... 140 SIMULER EN BRUGER ................................................................................................................................... 142 BRUTUS' BRUTE FORCE ............................................................................................................................... 144 BRUTUS' MULIGHEDER ................................................................................................................................ 147 ANGREB MOD EN HTML-FORMULAR ........................................................................................................ 148 MODTRÆK .................................................................................................................................................... 152 7. PC-PASSWORDS 153 PASSWORDKATEGORIER ............................................................................................................................. 153 BIOS-PASSWORD ......................................................................................................................................... 154 AFBRYD ALT!............................................................................................................................................... 155 EN TROJANSK HEST I DIN PC ........................................................................................................................ 156 SYSTEMPASSWORDS .................................................................................................................................... 157 CRACKERS, SOM BRUGER DIN MASKINE .................................................................................................... 159 MODTRÆK .................................................................................................................................................... 170 OFFICEPAKKER ............................................................................................................................................ 172 MODTRÆK .................................................................................................................................................... 173 8. BESKYT DINE DATA 175 BESKYT DIG ... MEN IKKE FOR MEGET! ...................................................................................................... 175 MODTRÆK TIL PGP: TASTATUR-SNUSERI! ................................................................................................ 182 MODTRÆK?.................................................................................................................................................. 183 STEGANOGRAFIEN, HVAD ER DET? HAR DEN FORDELE?.......................................................................... 184 STEGANOGRAFIEN I DAG ............................................................................................................................. 186 STEGANOGRAFI-PROGRAMMER .................................................................................................................. 187 SECURENGINE .............................................................................................................................................. 189 LIDT PRAKSIS ............................................................................................................................................... 190 9. SKJULE SINE SPOR 201 Den nye Hackerguide 9
    • KAMUFLERINGSTEKNIKKER ....................................................................................................................... 202 WIRELESS NETVÆRK OG WARDRIVING ..................................................................................................... 202 BRUGEN AF FALSKE IP-ADRESSER ............................................................................................................. 204 OFFENTLIGE PROXIES .................................................................................................................................. 204 ANONYME PROGRAMMER ........................................................................................................................... 206 MULTIPROXY ............................................................................................................................................... 206 I GANG MED STEALTHER............................................................................................................................. 207 NU SKAL DU OGSÅ LIGE ... .......................................................................................................................... 214 HACKING ER SJOVT 215 Den nye Hackerguide 10
    • Forord "En pirat er først og fremmest en, som forsøger at lave en uautoriseret handling på netværket, på sit “mål”... Altså du, som privatperson eller kommende administrator af en eller flere com- putere: Du er hans mål. Den bedste måde at beskytte dig imod et angreb på er at forstå, hvor- dan piraten vil handle, og bruge de samme værktøjer som han." Sådan skriver Chill i bogen her. Jeg vil spille djævelens advokat og skære den rystende sandhed endnu mere ud i pap for dig. Forestil dig, at du lever i en verden, hvor alle mulige slags avanceret indbrudsværktøj ligger frit tilgængeligt rundt om i butikkerne, på gaderne og i andre folks hjem. Forestil dig ligeledes, at du er en ganske almindelig husmor eller -far, og du har lært, at du skal låse døren, når du går hjemmefra. Vil denne beskyttelse hjælpe dig? Nej, ikke spor, for de værktøjer, som ellers er forbeholdt låsesmede, kan findes af enhver 12-årig dreng, og i løbet af få sekunder kan han skaffe sig adgang til dit hus. Du troede ellers, at det var godt nok at låse, fordi du troede, at man skulle have en nøgle for at låse op igen. Din uvidenhed gjorde dig til offer. Chill er her for at fortælle dig, hvordan indbrudsværktøjerne fungerer. Ikke så du selv skal begå indbrud, men så du ved, hvordan du bedst beskytter dig imod det eller i hvert fald gør det så besværligt for indbrudstyven, at han vil foretrække at gå til det næste hus i stedet. For på nettet ligger disse værktøjer frit tilgængeligt. Din uvidenhed vil ikke beskytte dig, heller ikke selv om du har beskyttet din pc med en adgangskode. Målgruppen for denne bog er ikke tyvene, men den gode husfar eller -mor. Det er sy- stemadministratoren, det er den almindelige pc-bruger. Du vil i takt med, at du læser bogen, lære din pc's og internettets svagheder at kende, du vil se på it-piratens værktøjer, du vil afprøve dem på dit eget system, og du vil læ- re modtrækkene at kende. Køb denne bog, for du vil slå op i det igen og igen. Sikkerhed er noget, der hele tiden skal vedligeholdes, forbedres og bearbejdes. Du vil glæde dig over at kunne bevare Den nye Hackerguide 11
    • dine data, både på pc'en og internettet, for der er næppe noget værre end at skulle bruge mange timer på at forsøge at genskabe noget, når det kunne have været undgå- et. Glem alt om kedelig læsning og unyttig viden. I denne bog får du det sjovt, og du vil komme legende til større sikkerhed på din computer og hjemmeside. Forfatteren til denne bog går under hacker-navnet Chill. Han startede sin hackermæs- sige løbebane allerede i 1985, da han netop havde fået sin første computer, en Com- modore 64, som gemte data på kassettebånd. Chill havde købt et rigtig godt spil, og da han gerne ville lære, hvordan det var skrevet, hackede han sig ind på det for at se koden. Det var svært, men lykkedes efter nogle ugers stædig kamp. Senere gjaldt det om at komme i kontakt med andre computere på netværket, og Chill skaffede sig ad- gang til nummeroplysningen. Dog var de hemmelige numre også hemmelige dér. Det er en stor ære for mig som Chills kone at have fået lov at skrive dette forord. Men nok snak. Jeg vil nu overlade ordet til Chill, som har lidt at fortælle dig om hacking. God fornøjelse! September 2007, Britt Malka Den nye Hackerguide 12
    • 1. Metoder og teknikker Oprindeligt havde ordet “hacking” en mystisk og skræmmende klang, og det har det stadigvæk for mange den dag i dag. Dog forstår alle ikke betegnelsen “hacker” på samme måde. Det er afhængigt af, om man er it-nørd og interesseret, eller et muligt offer. Hvilken side står du på? Før vi går i gang med selve emnet, hacking, skal vi lige se på it-pirateringens landskab og de forskellige teknikker og “familier”, det deles i. Vi går en lille rundtur og ser på metoder, historien, ek- sempler og sætter begreber på plads. I denne bog er det princippet, at alle svære eller nye ord vil blive forklaret. Så bare slap af, læn dig tilbage, og læs videre. Du vil få alle de forklaringer, du har brug for. Før i tiden, dengang computerne gik på gas, var en hacker nødvendigvis en pro- grammør. Der var tale om en rimelig genial person, som var i stand til at gøre hvad som helst med en computer, uanset hvordan den var beskyttet. Selv om den geniale person stadigvæk eksisterer, så er han som regel ikke årsag til de forskellige angreb, man hører om jævnligt. Han overlader mere og mere pladsen til “lameren”. En “lamer” er en nybegynder-pirat, som ikke er på niveau med disse it- eksperter, men som nogenlunde godt kan bruge de forskellige online-værktøjer, man kan finde rundt omkring. Lad os ikke tage fejl: I denne bog vil vi oftere tale om lamerens teknikker, end vi vil tale om den ægte hackers teknikker. Det er ganske enkelt, fordi sidstnævnte slet ikke bruger andres teknikker, men er en it-nørd på meget højt niveau, meget kreativ, som opfinder nye former for piratering, og som kan udvikle værktøjer ... som vil blive brugt af lameren. Dagens virkelighed er sådan: Med undtagelse af få imponerende angreb viger den “geniale hacker” pladsen for disse “små-hackere” eller, værre, for lamere som nøjes med at udnytte værktøjer, som er skabt af andre, informationer, som andre har fundet ud af, og dem udnytter de for at lave deres egne angreb og problemer. Derfor er det i dag nemt for alle via internettet at få fat i stort set et hvilket som helst automatiseret program og den medfølgende brugsanvisning for at lave et angreb. Føl- Den nye Hackerguide 13
    • gelig kan vi se en stor stigning i antallet af angreb rundt omkring. Her er den metode, sådan en amatør-pirat vil bruge: Han vil nøjes med at identificere et mål med et program (en scanner for det meste, det vil vi snakke om). Han finder ud af, hvilke programmer eller systemer der er installeret på målet. Han finder huller i de programmer, som er installeret, ved at benytte de for- skellige brugsanvisninger og dokumenter, der kan findes på nettet. Han downloader et program, som kan udnytte disse huller. Han angriber systemet. Der er ikke meget svært ved det. En hvilken som helst bruger med lidt kendskab til nettet og til sit system kan gøre det. Den pirat, vi taler om her, har aldrig nogensinde selv skrevet en eneste kodelinje, men kan ramme stort set en hvilken som helst maski- ne: Windows NT, XP, Vista, Linux, Apache server web m.fl. 99 % af de angreb, der foretages, sker via forudprogrammerede teknikker. Han har intet at gøre med hackeren, som kender Linux, Windows eller Apache på fin- gerspidserne, som kan opfinde nyt, tænke det igennem, finde et ukendt hul og teste det ved hjælp af forskellige programmer, som han selv har skrevet i C eller i As- sembler. Hackeren, den ægte, vil bruge Reverse-coding eller decompilation for at forstå programmer, og han ved, hvordan en computers processor arbejder. Men det er altså lameres angreb, man husker og kender til, og ikke hackerens. Det er lameren, som vil efterlade sig spor, som vil lave en defacing af din hjemmeside (ændre forsiden), eller – værre – slette den eller installere et hackingforum på din server. Du vil sjældent læse om det i nyhederne eller rundt omkring, men ret mange system- ansvarlige i store firmaer har lige pludselig fundet ud af, at en pæn del af deres sy- stem eller båndbredde bliver brugt af pirater, som udnytter deres server eller internet- forbindelse til at sprede deres informationer eller til at angribe deres system. Reverse-coding (eller decompilation): Metode, som benyttes til at genfinde kildekoden fra et program. Før et program bliver til en .exe-fil, skrives det i et bestemt programmeringssprog. Den nye Hackerguide 14
    • Decompilation eller reverse-coding går ud på at genfinde det originale program og dermed forstå, hvordan det er blevet pro- grammeret ... og finde dets fejl og huller. Virusser og spyware I denne bog vil vi også tale om spyware (spion-programmer) i forbindelse med trojan- ske heste. Disse to metoder benyttes bredt på nettet, og brugen af spyware stiger støt. I 2006 dukkede over 41.000 nye trusler mod din computer op. Af disse var 80 % af malwaren på nettet trojanske heste i forskellige former, fortæller sikkerhedsfirmaet Sophos i sin 2007-sikkerhedsrapport. Malware: Malware er en sammentrækning af de engelske ord MALicious softWARE (egentligt “ondsindet program”). Det bru- ges som en fællesbetegnelse for en række kategorier af compu- terprogrammer, der gør skadelige eller uønskede ting på de computere, de kører på. Virusser, spyware, dialere m.m. er mal- ware. Den store stigning skyldes, at spyware ikke kun benyttes af pirater, men også af for- skellige firmaer, der sælger deres varer via spyware. Spyware er ikke så metodisk som hacking. Det er en slags hybrid mellem virussen og den trojanske hest og er helt automatisk: Det kommer ind i din maskine og forsøger at få fat i dine koder eller studerer dine vaner, udskifter reklamer på den side, du besø- ger m.m. Formålet med metoden er enten kriminelt eller business. Det trådløse netværks hurtige udvikling Siden 2001 har det trådløse netværk opnået stor fremgang, og systemet bruges ofte af pirater, så de kan surfe gratis og anonymt. Angriber de et system fra din forbindelse, så er det dit IP-nummer, der bliver registreret. Denne form for piratering bliver brugt mere og mere. I den hårde kerne betegnes den som WarDriving (krigsførelse, imens man kører), eller WarChalking (krigsførelse, imens man går og markerer med kridt). Den nye Hackerguide 15
    • Metoden går ud på at spadsere rundt med en bærbar computer, som har et trådløst netværkskort tændt, og når man finder en forbindelse, bryder man dens sikkerhed og surfer via den. Dette bekymrer kort-producenterne meget, og både de og tele-firmaerne har meget travlt med at kalde den adfærd for kriminel. Dog glemmer alle, at denne form for pi- ratering ikke ville være mulig, hvis pågældende firmaer havde fundet ud af at lave et sikkert system. Af og til afmærker piraterne fortovene med kridt i nærheden af de huse, hvor man kan surfe gratis. Så ved alle, at herfra kan man surfe gratis på nettet. Faktisk har dette fænomen – indirekte – været årsag til et nyt koncept: Gratis internetcaféer, som dem vi har i Danmark. En ny idé, vi faktisk kan takke piraterne for. 1-1. www.wigle.net – Et af disse netværk kan blive meget berømt, når det bliver offentliggjort på WarDriving internettet. Er det dit netværk? Det var da uheldigt! Den nye Hackerguide 16
    • Kendte eksempler For bedre at forstå de forskellige facetter af hacking, og for at se forskellen mellem søndags-hackeren og eksperten, vil vi tage et eksempel. Vi kan tale om det så berømte angreb, som skete natten fra den 21. til den 22. oktober 2002 på DNS-roden. Hvad i alverden er “DNS-roden”? Alle domæner, som man bruger til at komme på en hjemmeside, www.google.dk for eksempel, administreres af en organisation, ICANN, gennem nogle “domæne- navne servere”, de såkaldte DNS'er (Domain Name Server). Alle kan have en DNS derhjemme: Det er et program, som er installeret på en compu- ter, og som sammensætter et IP-nummer med et navn. For eksempel vil minhjem- meside.com svare til IP 192.168.0.2. Der er mange sådanne lokalservere rundt om i verden, og de er ikke særlig interessan- te at angribe, da man ikke får ret meget ud af at kontrollere dem (om end idéen om at tvinge hotmail.com eller microsoft.com til en anden server sandsynligvis har fristet mere end en). Nej, det, som har interesseret hackerne, er de såkaldte root-servere. Disse maskiner har intet til fælles med firmaets eller hjemmets DNS-server. Der er tale om selve inter- nettets struktur og arkitektur. At få dem til at ryste betyder at få hele nettet til at ryste. Der findes 13 af disse servere. De hedder fra A.ROOT-SERVERS.NET til M.ROOT- SERVERS.NET og befinder sig rundt omkring i verden. Deres rolle er at forbinde alle de små domæne-servere på nettet med “efternavnet” på serveren. Hvis du fx ønsker at se www.usa.gov, så vil din efterspørgsel først sendes til den root-server, som styrer .gov'erne. Derefter vil denne server sende dig til den server, som registrerer gov-domænerne, som vil videresende dig til lokal-serveren. Dette betyder, at hvis man blokerer .gov-serveren, så vil intet domæne med endelsen .gov være tilgængeligt. Groft sagt, hvis disse 13 servere gik i stå, vil stort set intet på internettet fungere (medmindre du er så heldig lige at huske IP-nummeret på den ser- ver, du vil besøge, naturligvis). Den nye Hackerguide 17
    • Disse meget vigtige servere er i overensstemmelse med internettets tankegang fuldt offentlige. De er ikke skjult, og det er yderst nemt at finde dem, få fat i deres IP- numre, deres referencer m.m. Root DNS G og H fx, styres af det amerikanske militær. Jeg skulle ikke bruge mere end fem minutter for at identificere dem og finde en udførlig beskrivelse af deres sy- stem via en indisk server. Se selv på: budi.insan.co.id/articles/root- nameservers.doc 1-2. Root-serverne er offentlige. Det er på grund af denne “reklame” og et godt kendskab til servernes struktur, at pi- rater kunne angribe serverne den 21. og 22. oktober 2002. Hele roden, serverne A til M, blev med en vis succes angrebet af pirater, og syv ud af 13 servere holdt op med at fungere. Den nye Hackerguide 18
    • Selv om angrebet var omfattende, har det ikke rigtigt medført problemer på nettet. Der skal dertil siges, at der findes dubletter af disse servere rundt omkring på plane- ten, og der er tale om overordentlige kolosser, som ikke lige er til at få ned. Verisigns talsmand (Verisign er det firma, som administrerer en af disse 13 servere) har i øvrigt erklæret, at samtlige forespørgsler, der blev sendt til serverne, kunne være blevet kla- ret af blot én af disse servere. Alle er ikke enige i det. Nogle mener, at hvis otte af disse servere har bugs, vil fore- spørgsler på domænenavne blive meget forsinket. Man ved stadig væk ikke i dag, hvem der angreb serverne. Som du selv vil se senere i bogen, kan man sagtens være anonym, imens man begår den slags, og hvis piraterne bliver ved med at holde tæt, er der yderst få chancer for, at vi nogensinde vil finde ud af, hvem der har gjort det. Den angrebsmetode, der blev benyttet, var DoS, Denial of Service. DoS går ud på at bombardere serveren med Ping (forkortelse for Packet INternet Groper – Internet- pakke-tester). Princippet bag Ping er, at man bruger det til at teste, om en server svarer, ved at sende den en pakke data. Ved at oversvømme serveren med forespørgsler sker der det, at på et tidspunkt kan maskinen ikke svare længere og går i baglås. Det er den slags angreb, som har taget Yahoo, eBay og Amazon offline for nogle år siden. For at kunne lave den slags angreb skal man råde over overordentlig mange compute- re. Derfor har mange computere, der er smittet af trojanske heste, været under pira- ternes kontrol og har deltaget i angrebet. Måske har din computer været med i et så- dant angreb, uden at du ved det. Det er her, man tænker på, at måske skulle man være noget mere påpasselig med sit system, ikke? Den slags angreb kan få os til at spørge os selv: Hvem står bag? Vi må lade det forblive ubesvaret. Angrebet kan sagtens have været udført af meget velorganiserede eksperter, lige så vel som det kan have været udført af en bande bøl- ler. Den nye Hackerguide 19
    • Du skal ikke tro, du er noget! Lad være med at tro for meget om dig selv. Ikke alle sider er så svære at angribe, som du tror. Nog- le af siderne rundt omkring er kendte for at være legepladser. Hvis du fx går i gang med at smadre Vladimir Putins side (http://president.kremlin.ru), så lad være med at prale med det. Man vil antage dig for at være en idiot: Den side bliver angrebet flere gange om ugen. Det er en slags test-laboratorium. Den nye Hackerguide 20
    • Analyse af et typisk angreb Jamen ... Hvordan gør de så? Alle pirater benytter samme metode til at trænge ind i et system. Vi kan resumere et angreb i tre faser: Forberedelsen. Offensiven. Invasionen og besættelsen eller tyveriet. Det lyder godt nok militæragtigt, og det er det også. Der er tale om en offensiv (angri- bende) handling udført af nogen eller nogle imod et system, der ikke tilhører dem. Der findes flere grupper, som alle stiler mod hver deres mål: Vandalerne, som angri- ber blot for at ødelægge, guerillaer, som angriber for at vise, at de er de stærkeste, eller for at vise, at de eksisterer, og de regulære hære, som er organiseret af regeringer til at destabilisere fjendens hær, eller som bruges til spionage. I 1991, under Golf-krigen, få minutter før at koalitionens styrker gik til angreb, var der absolut ingen data-anlæg og kommunikation, der fungerede i Irak. Landet var afskå- ret fra resten af verden. Den nye Hackerguide 21
    • Måske mindre imponerende, men dog meget symbolsk, er det rygte (til dels bevist i øvrigt) om, at nogle kommunikationsfirmaer har den dårlige vane at installere bagdøre i nogle af deres systemer. Bagdør: Indgangsdør i et system, som bevirker, at man kan om- gå sikkerhedsforanstaltningerne. Nogle trojanske heste er bag- døre: De åbner din computer for den, der vil benytte sig af den, og giver vedkommende adgang til dit system eller dine harddi- ske. Vi går ud fra princippet om, at vi hverken er spioner, marketingseksperter, militær- folk eller politibetjente, men dette forhindrer os ikke i at konstatere, at vores netværk og computere er sårbare. Vi kan konstatere, at de, der angriber, kan gøre stort set, hvad de vil, og at det er yderst vigtigt at studere, hvordan disse pirater handler. Den nye Hackerguide 22
    • Forberedelse af et angreb Før selve angrebet vil piraten skaffe sig oplysninger. Han skal vide, hvad og hvem han har med at gøre, så han kan udnytte hullerne. Den første del af angrebet er derfor analysen: Ved at scanne, at sniffe, at spore routen, at bruge forskellige programmer, vil piraten forsøge at kortlægge netværket så præcist som muligt. Naturligvis vil denne fase ikke give adgang til noget som helst. Men lige så vel som en biltyv bedst kender til den model, han plejer at stjæle, vil piraten foretrække at angri- be et system, han kender i forvejen ... Han skal have sin Franz Jäger fra Berlin – så at sige. Derfor skal din første handling være at begrænse de informationer, du giver fra dig, så meget som muligt. Af den grund skal du også bruge de samme værktøjer som han, så du kan identificere hullerne i dit system eller i dit netværk. På samme måde som han ville gøre det. Piraten ønsker også at vide, hvordan systemerne kører, og hvem der ejer dem. Den nemmeste måde at få adgang til et netværk på er rent faktisk at have det officielle password og brugsanvisninger. Denne fase kalder man for social engineering. Det er nærmest detektivarbejde. Tænk på, hvor mange oplysninger du giver fra dig, når du beder om hjælp til et bestemt problem. Fortæller du ikke om, hvilken computer du har, hvilken router og hvilket styresystem? Dette er kræs for den, der læser det. Fup benyttes meget. Man kan nemt som pirat sende en e-mail og lade som om, man er en anden. For eksempel kan man købe domænet mini-laan.com, som er tæt nok på det eksiste- rende: minilaan.com. Man sætter en mailkonto op: hans.jensen@mini-laan.com og skriver derfra til administratoren om, at man har mistet sit password. Er administratoren blot lidt stresset eller uopmærksom, så kører det igennem. Man kan ligeledes med held bruge den slags metoder i store skoler eller store strukturer med flere administratorer. Når piraten har fået de nødvendige oplysninger, er der kun tilbage at udføre angrebet. Den nye Hackerguide 23
    • Online Jo flere oplysninger piraten er i besiddelse af, desto hurtigere og mere effektivt vil an- grebet være. Man kan dog angribe et system, selv om man kun har få informationer, og enten kon- trollere det eller få det til at gå ned. Til det formål kan der bruges flere teknikker: For at slå en computer ud vil man forsøge at udnytte systemfejl eller bruge et pass- word, som man har fået fat i. Man kan også forsøge at udnytte TCP/IP-svagheder. For at få adgang til en computer kan man enten udnytte et hul i systemet eller et password, som man har fået fat i eller har cracket sig vej til ved hjælp af et password- crackingprogram. Vi vender tilbage til disse forskellige muligheder, som man kalder exploits (udnyttel- ser). Hvis piraten er meget dygtig, vil han selv have skrevet pågældende program. Ellers, hvis det er en begynder-hacker, har han fået fat i det på sider på nettet eller via ny- hedsgruppen alt.2600. http://astalavista.com er den mest kendte ressource til information om sik- kerhed for hackere. http://neworder.box.sk er en ren mine fyldt med informationer og links, hvorfra man kan downloade programmer. Jeg vil gerne slå fast, at hackerens yndlingsværktøj (og altså administratorens, så han kan beskytte sig!) er Google. Via den side kan du med lynets hast finde stort set en hvilken som helst information om pirateringens varmeste emner. Naturligvis skal man kunne bruge Google, og det er ikke formålet med denne bog. Stedet: Stedet, hvor undergrunden mødes, er en nyhedsgruppe, der hedder alt.2600. Der vil du finde pirater, it-verdenens journa- lister og højst sandsynligt også noget politi og spioner. Man kan finde alle mulige diskussioner om at bryde ind i forskellige sy- stemer, telefonpiratering, hvordan man gennembryder forskelli- ge anti-kopi-systemer samt nogle gode vitser (på engelsk). Du vil også kunne finde de nyeste værktøjer samt lyssky forretninger Den nye Hackerguide 24
    • som køb af visakortnumre. De nyankomne henvises til FAQ (Fre- quently Asked Questions = Ofte Stillede Spørgsmål) her: www.faqs.org/faqs/alt-2600/faq/, og man sørger for at have læst den og forstået den, før man kaster sig ud i diskussionen. Hvis din udbyder ikke giver dig adgang til alt.2600, kan du få ad- gang til den via forskellige offentlige sider, som Google: http://groups.google.dk/group/alt.2600?hl=da Du kan også kaste et blik på: www.2600.com Leg og lær For at kunne forstå pirateringens principper og for at kunne finde modtræk vil vi bru- ge de metoder, som bruges af pirater, og forsøge at trænge ind i vores eget system. Inden for it, ligesom inden for ethvert andet område, skal man kende angriberens me- toder, så man bedst kan forsvare sig. Dog er det vigtigt at minde læseren om, at piratering på en anden computer end din egen, eller piratering af en person, der ikke har givet dig tilladelse er ulovligt. Det kan komme til at koste dig dyrt at være uopmærksom på loven: Når man er fyldt 15 år, kan man straffes, hvis man gør noget ulovligt. Hvis man er hacker, kan man få en bøde eller fængselsstraf på op til 6 måneder. I meget grove sa- ger, hvor der er tale om hærværk af betydeligt omfang, kan man straffes med fængsel i op til 4 år. De to mest brugte paragraffer i hackersager er straffelovens § 263 og § 291. Den første paragraf handler om, at man kan straffes, hvis man læser andres personlige post, kigger i andres personlige gemmer eller hemmeligt lytter med på andres fortro- lige samtaler. Den anden paragraf handler om, at man bliver straffet, hvis man begår hærværk. Man kan derudover risikere at skulle betale erstatning til den person eller virksom- hed, det er gået ud over. § 263. Med bøde eller fængsel indtil 6 måneder straffes den, som uberettiget Den nye Hackerguide 25
    • 1) bryder eller unddrager nogen et brev, telegram eller anden lukket meddelelse eller optegnelse eller gør sig bekendt med indholdet, 2) skaffer sig adgang til andres gemmer, 3) ved hjælp af et apparat hemmeligt aflytter eller optager udtalelser fremsat i enrum, telefon- samtaler eller anden samtale mellem andre eller forhandlinger i lukket møde, som han ikke selv deltager i, eller hvortil han uberettiget har skaffet sig adgang. Stk. 2. Med bøde eller fængsel indtil 6 måneder straffes den, som uberettiget skaffer sig adgang til en andens oplysninger eller programmer, der er bestemt til at bruges i et anlæg til elektro- nisk databehandling. Stk. 3. Begås de i stk. 1 eller 2 nævnte forhold med forsæt til at skaffe sig eller gøre sig bekendt med oplysninger om en virksomheds erhvervshemmeligheder eller under andre særlig skær- pende omstændigheder, kan straffen stige til fængsel indtil 4 år. § 291. Den, som ødelægger, beskadiger eller bortskaffer ting, der tilhører en anden, straffes med bøde eller med fængsel indtil 1 år. Stk. 2. Øves der hærværk af betydeligt omfang, eller er gerningsmanden tidligere fundet skyl- dig efter nærværende paragraf eller efter §§ 180, 181, 183, stk. 1 og 2, 184, stk. 1, 193 eller 194, kan straffen stige til fængsel i 4 år. Stk. 3. Forvoldes skaden under de i stk. 2 nævnte omstændigheder af grov uagtsomhed, er straffen bøde eller fængsel indtil 6 måneder. Husk, at legen kan blive til alvor, hvis du misbruger viden. Tjek lige: www.kriminalitet.dk/loven.html Sagt på en anden måde: Alle de ting, du kan finde på at gøre på en anden persons computer med de værktøjer, du får her, kan medføre straf. Jeg kan allerede høre de første Karl Smarter, der griner. Pas på! Din arbejdsgivers computer, dine venners computer, dine fjenders computer, regeringens, bankens computere osv. har alle logs, som kan læses og fortælle klart og tydeligt, hvem gjorde hvad. Politiet ved udmærket, hvem de skal spørge for at spore et IP-nummers ejer. Den nye Hackerguide 26
    • Da jeg skrev denne bog, befandt programmerne sig på min computer eller vores net- værk eller server. Hvis der blev brugt systemer udefra, har det altid været med mod- partens viden og accept. Leg og lær ... på dine egne maskiner, ikke på andres. Eller tag de eventuelle, ubehage- lige, konsekvenser, der uvægerligt vil følge med. Når det nu er sagt ... Lad os gå i gang! Den nye Hackerguide 27
    • 2. TCP/IPs svagheder Piratens styrke kommer samme sted fra som selve nettet: netvær- kets svagheder. Den standard, der bliver brugt af småt 600 mio. computere her i verden, er et skoleeksempel på svagheder. Normen blev lavet for at lette kommunikationen, og derfor har den en meget ringe sikkerhed, hvilket er det piraten udnytter. I dette kapitel vil vi studere TCP/IP, så vi kan forstå det og dets svagheder, samt vi vil benytte os af denne svaghed for at bruge vores første pirate- ringsteknik: sniffing. Det kan virke uforståeligt, at internettet og alle de computere, der er knyttet til det, benytter en svag og åben norm. Især når man tænker på, at internettet oprindeligt var Arpanet, som tilhørte den amerikanske hær, og som man mente kunne overleve en atomkrig. Svaret er faktisk i udsagnet: TCP/IP er så effektivt og så smidigt, at det er stort set umuligt at forhindre en computer A og en computer B i at snakke sammen, hvis de nu vil gøre det. Som bagsiden af medaljen kan vi også se, at hvis vi benytter os af den oprindelige TCP/IP, sådan som den er på nettet i øjeblikket (den kan trods alt forbedres), kan en motiveret pirat gøre det lige så nemt. Kort sagt: TCP/IP er så god, at det er næsten umuligt at få netværket til at gå ned. TCP/IP er så god, at det er næsten umuligt at forhindre nogen i at piratere det. Før at vi kan forstå problemet, skal vi se lidt på pirateringen i det hele taget. Lidt historie Piratering er ikke blevet opfundet sammen med internettet. Det har stort set altid eksi- steret. I Frankrig, først i 80'erne, var der nogle grupper, som legede med Minitel- systemet og udskiftede forskellige lysreklamer m.m. Den nye Hackerguide 28
    • Dengang skulle piraten have en Atari ST (eller Oric), et modem og et yderst godt kendskab til kommunikationsprotokollerne. 2-1. Oric-1 – hentet fra http://pc-museum.com Faktisk var pirateringen endnu bedre kendt i USA (sidst i 70'erne). Steve Wozniak, som senere blev kendt som skaberen af Apple-computeren, havde specialiseret sig i Blue Box og phreaking. Blue Box var elektroniske maskiner, som man benyttede til at ringe gratis (phreaking). Hvis vi går endnu længere tilbage i tiden, til først i 70'erne, finder vi også pirater. Dengang legede piraterne med de store universitetsmaskiner eller regeringsmaskiner. Kommunikationsprotokoller (sprog) og metoder var ikke særlig komplicerede, men de var ikke standardiserede. Det betyder, at hvis en dansk hacker ønskede at bryde ind i det amerikanske netværk, så havde han en del problemer: Han skulle have et godt kendskab til kommunikati- onsmetoder, som ikke var brugt herhjemme (Bell-modemmer, VT-terminalen, m.m.), og derudover skulle han bekoste en telefonsamtale til USA, hvilket ikke var helt bil- ligt. Det, hackerne gjorde, var at skabe sig noget rum på en mainframe (IBM eller NEC) og bruge dette fristed som et mødested eller som springbræt. Hvis du har set filmen Wargames, så er det den tid og datidens midler, den omtaler. Den nye Hackerguide 29
    • Mainframe: En mainframe er oldefar til det, der i dag er både netværket og computeren. Mainframen var en meget, meget stor computer som IBM 30XX, fx – til hvilken man forbandt terminaler. Terminaler bestod af en skærm og tastatur og var uden ram. De var evt. forbundne via et modem. Alt, hvad der havde med data- behandlingen at gøre, var styret af den store computer: hard- disk, processor, ram ... Man kunne godt angribe disse systemer, på samme måde som man i dag kan angribe servere. Der bliver stadig produceret store centrale mainframes hos IBM den dag i dag, de nyeste hedder Z9. Det er i dag kun meget store virksom- heder der bruger disse maskiner, da de er meget dyre i licens og maintenance. De kører på deres helt eget IBM styresystem der hedder z/OS. Ud over disse ting skulle man også købe ret dyrt materiel. Vi talte om andre priser dengang, og modem, til 300 bps, var ikke indbefattet i prisen på computeren. Hvad så i dag? Det, som virker foruroligende i dag, er, at nettet er blevet standardiseret, demokratise- ret og åbent. Hvis vi ser på forskellene, så er de overskuelige: I 2007 er stort set alle computere forbundet med internettet på et eller andet tidspunkt. Før i tiden var det ret sjældent. Takket være TCP/IP kan en computer, der er på net- tet, nås fra et hvilket som helst sted rundt om i verden. Før i tiden skulle man scanne et hav af telefonnumre for at få fat i et computermodem eller netværk. Når man havde fået bid, skulle man finde ud af, hvilken kommunikati- onsmetode der blev brugt (modemmerne brugte meget forskellige standarder: CCITT, Bell, m.m.), så skulle man, når man havde identificeret modemmet, identificere styre- systemet. Der var et hav af dem: Apple DOS og på pc'erne MS-DOS, PC-DOS, CP/M, DR-DOS, GEM, og Univax eller andet på mainframes. I dag kan en pirat få fat i en computer via dens TCP/IP-nummer, som er universelt, og den computer er højst sandsynligt med Windows eller Linux. Piraten behøver ikke så meget kendskab mere. Det er nok at kende et netværk og et par styresystemer for at kunne gå til angreb. Den nye Hackerguide 30
    • Endelig, og det er dér, faren er, så kan hackerværktøj downloades billigt eller gratis mange steder på nettet. Kort sagt: I dag er det meget værre. For at angribe et system behøver man blot at være en bruger på middel-niveau og have den rigtige freeware og brugsanvisning. TCP/IP: roden til alt ondt? Det er så TCP/IP, som er årsag til denne situation. Men hvad er TCP/IP? TCP/IP er først og fremmest et såkaldt “program-lag”, som gør, at man kan snakke gennem forskellige netværk. Med TCP/IP kan alt, alt, alt snakke sammen og udveksle data. En Mac og en pc kan snakke sammen uden at skulle tænke på styresystem eller processor. Hvis man satte TCP/IP i en bil, kunne den være i kontakt med internettet. Når du, med din pc som har et ADSL-modem, med TCP/IP kontakter en hjemmeside, er den for eksempel på en Sun-server, som er forbundet med en router via et IBM To- ken Ring netværk ... Uanset hvor kompliceret det bliver: Bare maskinerne og udstyret taler TCP/IP- sproget, så kører det. TCP/IP er et slags universelt sprog. Blot udstyret taler det, så kan alt og alle, der taler dette sprog, kontaktes og kommunikeres med. Ud over at være et sprog kan TCP/IP lave pakker. Det vil sige at hvis jeg skriver en mail på nogle linjer, så vil den tekst blive skåret i stykker og blive til pakker. Hver pakke vil indeholde et stykke af teksten. Disse pakker vil blive lavet om til TCP-format og vil blive ført fra sted til sted via normen IP. Når pakkerne ankommer til deres mål, bliver de forvandlede tilbage til deres oprindelige format via et e-mail-program. Teknisk set er TCP/IP bygget til at være smidigt for at finde vej gennem knuderne i netværket nemmest muligt. Systemet skulle jo bruges til militære formål, altså i et lukket system, og installationerne skulle være fysisk beskyttet. Dette er ikke tilfældet længere, og man kan tilslutte sig dette netværk alle mulige veg- ne: via skoler, universiteter eller derhjemmefra. Ved at sniffe sig til sådanne tilslut- ningssteder, kan man udføre både det ene og det andet. Den nye Hackerguide 31
    • For en del år siden var det risikabelt for eksempel at give sit Visa-nummer over nettet. Man er nødvendigvis i forbindelse med internettet via et access point, og er en pirat til stede og snuser, så kan nummeret opsnappes. Access point: Et access point er en computer eller et stykke ud- styr, som tillader brugeren at komme på internettet. Der findes et hav af access points rundt omkring på nettet. Når du forbinder din computer til internettet via TDC eller en anden udbyder, via et modem og et abonnement, kommer du nødvendigvis via et ac- cess point. Derfor har man tilføjet den såkaldte “Tunneling”-funktion til TCP/IP. Det vil sige, at man skaber en forbindelse mellem to computere, og inden for denne forbindelse laver man en slags krypteret tunnel, igennem hvilken man sender de vigtige data. Pakkerne er stadig inden for TCP-protokollen, men deres indhold er krypteret og altså ulæse- ligt. Det er princippet i en https- ('s' for secure) forbindelse, som du kan identificere ved, at der er en lille gul nøgle eller hængelås i bunden af din browser. Det er det princip, Microsoft bygger sit VPN (Virtual Private Network) på. Men man benytter ikke https til det daglige browsing, blot almindelig http, og dér begynder problemerne. Et lidt for offentligt netværk Forestil dig, at din computer forbindes til internettet. Den modtager et IP-nummer, som består af 4 tal, i formatet A.B.C.D hvoraf A, B, C, D består af tal mellem 0 og 255, for eksempel: 104.38.74.13. Det er en international organisation, InterNIC, som uddeler IP-adresser, eller rettere sagt, klasser (rækker) af IP-adresser. Nu skal man huske, at computeren behandler disse IP-adresser i binær form, altså som 32 bits. Det vil sige at der er 32 tal med mulig værdi 0 eller 1. For eksempel vil IP- adressen 202.15.170.1 = 11001010 00001111 10101010 00000001. Den nye Hackerguide 32
    • En IP-adresse deles i to zoner, som hedder netID og hostID. NetID er det, der identificerer netværket, og som svarer til de bits, der gives af Inter- NIC. HostID er det, der svarer til maskinen og til de bits som den, der har købt klasserne, kan ændre. Altså sammensætningen af netID og hostID angiver en IP-adresse og henviser til en bestemt maskine på netværket. IP-adresserne er delt i tre klasser, klasse A, klasse B og klasse C. Det, der afgør hvilken klasse IP-adressen er i, er antallet af numre i netID og antallet af numre i hostID. Sådan inddeles klasserne (N=bit som er netID, og H=bit som er hostID): Klasse A : NNNNNNNN HHHHHHHH HHHHHHHH HHHHHHHH Klasse B : NNNNNNNN NNNNNNNN HHHHHHHH HHHHHHHH Klasse C : NNNNNNNN NNNNNNNN NNNNNNNN HHHHHHHH Hvis du køber en klasse IP, vil InterNIC give dig samtlige N-bits og lade dig styre H- bits. Det vil sige at du køber en netID, og til gengæld kan du styre (eller udleje) hos- tID. IP-klasserne er altid veldefinerede. Her igen skal du huske, at N = netID og H = hostID. Klasse A: Den første bit er altid 0: 0 NetID HostID For at den første bit skal kunne være nul, skal adresserne gå fra 0-127. Altså vil en klasse A-adresse se sådan her ud: 0-127.H.H.H Den nye Hackerguide 33
    • Klasse B: De to første bits er 10 (et-nul, ikke ti): 10 NetID HostID Dette vil give mulige adresser fra 128-191 som første tal. På en klasse B, vil InterNIC derudover gennemtvinge de to første tal, altså: 128-191.N.H.H Endelig klasse C: De tre første bits er 110 (et-et-nul, ikke et hundrede og ti): 110 NetID HostID Dette vil skabe adresser med det første tal 192-223, og InterNIC vil altså vælge de to næste tal, altså: 192-223.N.N.H For god ordens skyld skal det nævnes, at der også er noget, der hedder klasse D og klasse E. Klasse D: De første fire bits er 1110 Klasse E: De første fire bits er 1111 Disse skaber IP-numre hvor det første tal er større end 224, altså: >224.N.N.H Klasserne D og E kaldes multicast-adresser og er reserverede og bruges eksperimen- telt. Endelig er der tre rækker af adresser, som er reserveret af InterNIC. Disse er reserve- ret til privat brug og bliver ikke sendt videre på internettet. Det er de adresser, du kan bruge på dit lokal-netværk og som rent faktisk er på hver sin klasse: A, B og C. De adresser, du kan bruge derhjemme eller i firmaet, er: Den nye Hackerguide 34
    • Fra 10.0.0.0 til 10.255.255.255 (Klasse A) Fra 172.16.0.0 til 172.31.255.255 (Klasse B) Fra 192.168.0.0 til 192.168.255.255 (Klasse C) Fint-fint, tænker du så. Nu ved jeg det, og det er spændende, men hvad har det med piraten at gøre, og hvordan og hvorfor skulle den slags interessere ham? Nemt, disse tal tillader piraten at lokalisere et netværk. Ved at tjekke i en whois-database kan piraten finde et firma og de IP-numre, det har fået tildelt. Prøv via RIPE at skrive et firmanavn, og du vil kunne se den IP-klasse, det har fået tildelt. Så behøver piraten blot at scanne den række IP-adresser for at få et godt billede af, hvordan netværket er sat op i den anden ende. RIPE: RIPE er en forening, som uddeler IP-numre og klasser af- hængigt af den enkeltes behov. Du kan finde RIPE på: www.ripe.net/ Den nye Hackerguide 35
    • 2-2. Ved at skrive tele2 i søgefeltet på www.ripe.net/perl/whois kunne jeg få oplyst den række IP-numre, Tele2 har købt, samt de forskellige lande, Tele2 findes i. Den nye Hackerguide 36
    • Naturligvis er der kun tale om et lille hul. I øvrigt får mange firmaer deres IP-numre af deres udbyder, som så har flere IP-numre til rådighed. Naturligvis er det, at inter- nettet er offentligt, et sikkerhedshul. Men dets største svaghed ligger et andet sted. Standarden TCP/IP – Programmernes svage punkt For at finde hullerne skal vi fortsætte med at undersøge TCP/IP. En computer, som forbindes til internettet, modtager altså denne adresse, som består af fire numre adskilt af punktummer. Denne adresse styres af programmer, som er forbundet med selve netværkskortet. Oven over dette første lag af TCP/IP skal man bruge udviklede programmer. Man taler om “klienter”. Der er klienter, som ser på data (browser, FileZilla, Outlook Ex- press m.m. er klienter), eller server-programmer (Web-server, FTP-server, Telnet- server, m.m.). Disse giver data. For at alle disse programmer kan snakke sammen, skal de bruge kommunikationspor- te. Du har lige præcis 65.536 porte til rådighed. Ved hver TCP/IP-adresse er der altså porte, som kan være åbnede eller lukkede, som kan “tale” eller “lytte”. Når du for eksempel ser en side på internettet, kalder din browser en IP-adresse, på hvilken der findes en web-side (http-server). Den server svarer på port 80. Når du ser en side, snakker din pc på port 80 med serverens port 80. Indtil nu går alt vel. Hjemmesiden er noget du ser på, og den får ikke adgang til dit system (det burde den i hvert fald ikke få). Samme princip med din e-mail. Den har ikke adgang til dit sy- stem. Til gengæld er der andre serversystemer, som udveksler informationer med klienter, og som ligeledes giver en fuldstændig eller delvis kontrol af den computer, man har kontakt med, fx: FTP, som bruges til at udveksle filer og giver adgang til harddisken af en com- puter. Den nye Hackerguide 37
    • Telnet, som giver adgang til systemets skærm og som i superbruger/admini- strator-mode giver adgang til alle mulige funktioner. SSH, som tillader dig at kontrollere et system på afstand. Disse er “officielle” adgangsgivere og giver klassisk adgang. Men der findes andre tjenester, som er knap så venlige: Trojanske heste: Gemte virusser, som kan give adgang til din maskine eller endda kontrol over din maskine. Dårligt sikrede værktøjer, som gør at man kan kontrollere en maskine på af- stand (fx pc-Anywhere). Alle disse servere, som er rundt omkring, udgør faktisk en sikkerhedsrisiko. De er jo nødt til at køre 24 timer i døgnet og lytte altid for at udføre deres job. Derfor kan de nemt spores. Man behøver blot at køre et scan på portene for en IP-adresse for at finde ud af, at de er her, og for at få ret så nøjagtige oplysninger om deres karakteristika. Og lige det er faktisk et af de vigtigste svage punkter ved TCP/IP-systemet. Den nye Hackerguide 38
    • At finde ud af om en bestemt maskine kører et af ovennævnte serversystemer, http, ftp, ssh, telnet eller andet, er forbavsende enkelt: Hvert program svarer på sin måde, når det bliver spurgt. Forskellen kan være meget lille, men den vil altid være tilstrækkelig. Ved at stille be- stemte spørgsmål til fx en http-server kan du få den til at fortælle dig, hvad det er for en, hvilket mærke det er, og hvilken version der er tale om. Windows og TCP/IP: Windows er offer for sin egen TCP/IP- struktur. Idet Microsoft i de sidste mange år har ønsket at få sit system så kompatibelt med internettet som overhovedet muligt samt smadre konkurrencen, har Microsoft gjort Windows yderst intim med TCP/IP. I dag er der ingen forskel på Internet Explorer og Windows Stifinder. Der er tale om samme program. Hvis man sammenligner med Firefox fx, er dette udelukkende en browser. Hvis den har huller, har disse få chancer for at have noget at gø- re med resten af systemet. Derfor på alle lag af Windows XP vil hver bug eller hul i Explorer (men også i andre TCP/IP-værktøjer og programmer som Media Player, MSN Messenger, Outlook, m.m., som er for intimt gift med systemet) blive til et hul i hele systemet. Disse udnyttes som regel lynhurtigt af hackere og lamere. Microsoft taber fodfæste, da de ikke kan arbejde på alle disse fronter på en gang. Derfor blev Microsoft nødt til at lave lynindkøb, og i 2004 opkøbte de fle- re antispyware- og antivirusfirmaer for at forsøge at sikre deres systemer. Når man tager i betragtning, at alle programmer har huller og bugs, kan man udlede af det, at når man kender versionen og mærket på et program, vil piraten nødvendig- vis kende serverens huller. Enkelt og logisk. Den nye Hackerguide 39
    • Materiel og huller TCP/IP er ikke kun usikkert pga. programmernes opførsel. Rent faktisk har det et an- det problem: en fantastisk modstandsdygtighed (her igen et bevis på at en god egen- skab kan være et problem). Det er jo sådan, at en pakke altid skal kunne finde vej til sit mål. Naturligvis er alt det- te meget forbundet med netværket og dets veje (route, på fransk, som er blevet over- taget af amerikanerne: en route = på vej). Men nogle veje er knap så sikre som andre. To muligheder. Pakken kan bruge den gammeldags metode og gå til samtlige knude- punkter i systemet, indtil den finder sit mål. Ikke særlig smart, fordi det betyder, at hver maskine kan observere den andens trafik. Heldigvis bruges den metode ikke mere på selve nettet. Kan du forestille dig, hvad der ville ske, hvis 200 mio. brugere sendte hver en pakke til andre brugere på en gang? Dette sker utvivlsomt jævnligt på nettet. Så skulle de pakker drøne rundt i sy- stemet for at finde den rette modtager ... Der ville ikke gå mere end et par tiendedele sekunder, før nettet gik ned. Derfor bruger systemer “tabeller” (opslagsbøger), som gør disse ting mere effektive. Disse tabeller (routing-tables), registrerer en maskine og ved, hvor den befinder sig på netværket. En pakke behøver derfor ikke at blive sendt til alle maskinerne. Men på de fleste små systemer og hjemmenetværk, fungerer det stadig væk på gam- meldags vis. Enten fordi brugerne ikke har købt nogen router, eller også, hvis man har købt den og ikke konfigureret den ordentligt, vil routeren ikke fungere optimalt, og pakkerne vil blive sendt rundt på hele netværket. Lad os forestille os et system, der kører på denne måde, med computere med navne som går fra A til Z. Hvis A sender en pakke til C, så vil den faktisk sende pakken til alle computere. Også B, D og Z vil få pakken, som bare vil gå til spilde. ... Til spilde for alle? Sniffing Det er faktisk nok at åbne et observationsvindue for at kunne se alt det, A sender til C. Det er den såkaldte sniffing-metode (snuse). Den nye Hackerguide 40
    • Metoden går i sin enkelhed ud på at installere et program på en maskine og at obser- vere alt det, der kommer forbi netværkskortet i TCP/IP. Denne metode er djævelsk. På vores netværk A-Z kan dette betyde, at man ikke blot kan se alt, hvad A gør, men man kan også se de ord, A skriver. Forestil dig blot, hvad der kan ske, hvis en pirat kommer på dit netværk med en tråd- løs forbindelse? Det er i øvrigt for at undgå den slags, at Telnet, som bruges til at styre en computer på afstand, efterhånden er blevet erstattet af SSH, som åbner en sikker tunnel mellem klient og server. Men piraterne har fundet et middel mod det: De har indsat en trojansk hest i selve SSH. Men det er en anden historie. Derfor er det yderst vigtigt, at du bruger en router på dit lokale netværk. Denne vil koncentrere samtlige forbindelser fra firmaet og vil kun uddele pakkerne til modtage- ren. Så kan en spion ikke tjekke hele netværket ud fra et sted. Dog skal du vide, at hvis man placerer sig på et knudepunkt, er det muligt at snuse datastrømmen. Vi skal nu se, hvor nemt det er at bruge denne teknik. Test dit netværk med WinPcap og lignende De værktøjer, som hackerne bruger for at sniffe et TCP/IP-netværk, er faktisk pro- grammer, som bruges af systemadministratorer til at tjekke deres system. Du kan downloade den nyeste version af WinPcap fra den officielle hjemmeside: www.winpcap.org/, eller fra www.hackerguiden.com/filer/winpcap.exe. WinPcaps arbejde er at opsnappe samtlige pakker, som kommer forbi en TCP/IP- forbindelse. Ud over det kan den også analysere data. Det program er så stuerent, som det kan være. Det er til dels finansieret af Microsoft Research. Det, som kan være betænkeligt, er den brug, nogle gør af programmet. Den nye Hackerguide 41
    • Når du har installeret WinPcap, er du faktisk i besiddelse af to vigtige filer: et lavni- veau filter (packet.dll) og et højniveau bibliotek, som omgår Windows’ funktioner (wpcap.dll). Derfor skal du ikke gå i panik, hvis dit antivirus-program flipper ud og betegner denne fil som en trojansk hest. Det er den ikke. Det kan være, at programmet beder dig om at genstarte. Gør det. Hvis programmet ikke beder dig om det, gør det alligevel. WinPcap kan sjældent bruges, hvis ikke du har genstartet. Når WinPcap er installeret på dit system, er du i besiddelse af et veludviklet opsnap- ningssystem, som kan bruges sammen med andre programmer. Men før du kan få fuld glæde af WinPcap, skal du bruge en brugerflade. Det er lidt som Unix-tankegang: Du har downloadet og installeret selve programmet, men du har ikke nogen særlig brugerflade. Den skal downloades særskilt efter behov eller lyst. Unix- Linux-tankegang: I styresystemerne Unix’ eller Linux’ ver- den har programmørerne en farlig tendens til kun at lave pro- grammer, som bruges med en kommandolinje – altså uden bru- gerflade. Det er ud fra princippet, at man ikke behøver mere end det, for at det fungerer, at man altid kan bruge en kommandolin- je, også selv om maskinen er belastet og – især – fordi for Unix- folk, er det spændende, den (helst elegante) måde, man har løst et problem på. Brugerflade er, for mange af dem, en unødvendig luksus, som blot sluger computerressourcer for dem, der ikke gider sætte sig ind i programmet. Dog, da Linux vinder mere og mere frem, er man begyndt at lave brugerflader til de fleste pro- grammer. Disse kan ofte downloades og installeres særskilt, så kommandolinje-brugere ikke begrænses af en brugerflade. Du kan finde brugerflader på polito.it. Du kan for eksempel downloade Win- dump fra www.winpcap.org/windump/install eller fra www.hackerguiden.com/filer/windump.exe Den nye Hackerguide 42
    • I det følgende vil jeg dog bruge Analyzer, som er noget mere brugervenlig. Du kan downloade Analyzer fra http://analyzer.polito.it/download.htm eller www.hackerguiden.com/filer/analyzer.exe. Bemærk, at når du har downloadet den og startet exe-filen, vil du blive spurgt om, hvor du vil pakke ud. Det vil sige, at du ikke installerer et program med filer hist og her, men blot pakker nogle filer ud dér, hvor du vil have dem, fx i en mappe du har lavet til formålet. Når du har pakket programmet ud, kan du dobbeltklikke på filen analyzer.exe for at starte programmet. OBS! For at undgå problemer skal du følge denne procedure. Du skal først installere WinPcap og derefter Analyzer. Så skulle det køre. Har du problemer, skal du lige tjekke følgende punkter: Sikr dig, at du ikke har en version af WinPcap, der er ældre end version 2.1 på din computer, før du installerer Analyzer. Hvis du geninstallerer WinPcap, skal du sikre dig, at der ikke fin- des filer ved navn packet.sys. Hvis de er der, skal du slette dem manuelt før installationen. Hvis du går fra en version af WinPcap til en anden, skal du lige- ledes slette pågældende filer, selv om programmet påstår, at det gør det. Når du har installeret WinPcap, skal du genstarte maskinen, og- så selv om du ikke bliver bedt om det. Installer altid den nyeste version af Analyzer. Analyzer er i stand til at observere, klassificere og ordne alt det, der kommer gennem et netværkskort, og bagefter at oversætte det og gengive det i tekst- eller grafikform. Den nye Hackerguide 43
    • Da jeg testede det i et fransk firma, som havde syv computere samlet i en hub, kunne jeg se alt: passwords, webside-adresser, Telnet adgang, e-mails ... alt! Og at analysere det man ser, er jo blot en formalitet: Alt står fint, klart og tydeligt.1 Hub: Hub er det engelske ord for “nav”. Det er en enhed med et antal porte, hvor ethvert signal gentages til de øvrige. En hub er ikke en router. Hvordan gør man det konkret? Vi begynder enkelt: Vi vil fange hele TCP-trafikken på et netværk. Det er i den slags trafik, at piraten vil hente sine informationer: passwords, adgang til administrations- værktøjer, osv. Alt er klart og tydeligt skrevet i TCP- trafikken. Det eneste, du skal gøre, er: 1. Start Analyzer. 2. Klik på menupunktet Capture – Start Capture (eller taste ALT + C). Så kommer vinduet Capture settings frem. 1 Jeg vil lige indskyde, at efter demonstrationen viste jeg det til lederen af firmaet, alt imens jeg lavede demonstrationen på ny. Firmaet har nu sikret sit system. Den nye Hackerguide 44
    • 2-3. Vinduet Capture settings lader dig vælge hvad og hvor du har tænkt dig at snuse. Denne menu tillader dig at vælge, hvilken del af det lokale netværk du ønsker at snif- fe. I højre side kan du se fire kategorier af filtre, som svarer til de fire lag i et TCP/IP- netværk. Vi tager dem fra en ende af: MAC layer (Det fysiske lag): Her er der tale om hardware-laget på netværkskortet. MAC-adressen svarer til et nummer, dit netværkskort har. Det kan ikke ændres, da det er sat i fra konstruktørens side.2 Dog kan det være godt at kende for at forstå, hvordan netværket fungerer. 2 Det er dog ikke helt korrekt, men da det er ikke noget, vi skal bruge i denne bog, vil jeg ikke gå i detaljer med det. Den nye Hackerguide 45
    • Network layer (Netværkslaget): Dette filter vil fange den IP-trafik, som kommer via det spionerede netværkskort. Der findes flere slags trafik, for eksempel den, der kal- des IP V6-format, og som siges at være mere sikker3. Analyzer fanger også dataene derfra, dog kan den ikke dekryptere dem (det manglede da bare!). For at sige det mere tydeligt: Lad os sige, at IP traffic-optionen, som du kan finde under Network Layer, kan fange ca. alt det, der kommer forbi, indbefattet det, der kommer fra andre maski- ner, eller pakkerne, som kommer forbi maskinen. Kort sagt: Alt, hvad der er interes- sant at vide. Transport layer (Transportlaget): Oven over IP-protokollen er TCP. IP tager sig af at få dataene frem, TCP sikrer dialogen mellem de forskellige steder, som IP-pakkerne kommer forbi. Det er TCP, som etablerer forbindelsen mellem en klient og en server. Altså kan man, hvis man snuser til TCP-laget, snuse alt det, der udveksles på netvær- ket. Man kan enten bestemme at lytte til hele TCP, som vil snuse alt, eller også kan man nøjes med at lytte til bestemte pakker. Application layer (Programlaget): Oven over samtlige lag har vi programmerne: Mai- ler, Telnet, FTP, browser, m.m. Ved at vælge dette lag kan du bestemme lige præcis, hvilket program du vil lytte til. Hvis du kun vil holde øje med det, der sker ved fil- udvekslingen, FTP, kan du sætte flueben der, og følge lige denne trafik. Du vælger iblandt disse fire forslag det, der svarer til den trafik du vil snuse til, for eksempel Transport Layer, UDP Traffic: 3 Vi ser mere på IPv6 på side 58 Den nye Hackerguide 46
    • 2-4. Her har jeg valgt at snuse til UDP-trafikken i Transportlaget. Hvis vi skal være helt ærlige: Når man kan se et sådant værktøj, som oven i købet kan downloades gratis, så siger man til sig selv, at de administratorer rundt omkring, som ikke har routere, bør være noget urolige: Alt, hvad der kommer forbi en hvilken som helst af netværkets computere, uanset hvor højt eller lavt dennes sikkerhedsniveau er, vil blive diskret fanget af Analyzer. Dette program, som er passivt, er stort set umuligt at opfange eller at bemærke. Det gør jo ikke noget andet end at gribe det, netværket giver det. Test det selv. Prøv ad, eksperimenter, tjek det ud. Prøv menuerne, graferne, m.m. Og stil dig først tilfreds, når du kun lige kan få fat i følgende på dit netværk: Den nye Hackerguide 47
    • 2-5. Nul pakker fanget! Det var godt. Analyzer er kun et eksempel på et snifferprogram. Der findes mange andre. Derfor er det vigtigt, at du forstår, at enhver IP-passage kan give oplysninger til en sniffer. Det er derfor at du aldrig må give oplysninger som passwords, dankortnumre eller for den sags skyld nogen som helt privat oplysning gennem et usikkert netværk. Husk, at selv om dit system er sikret, så er det ikke sikkert, at systemet hos den per- son, du skriver til, er sikkert. Den nye Hackerguide 48
    • Hvis en hacker lytter til hans computer, eller til en IP-knude mellem din computer og en server, så er det lige meget, at din er så sikker som Fort Knox ... Oplysningerne vil kunne opsnuses. Det er det, som er TCP/IPs store svaghed. ICMP og programmerne Netstat og Route For at give dig lidt mere at tygge på og for at hjælpe dig til at forstå, hvor grundigt man kan analysere netværket (eller endda kapre det), skal vi se lidt mere på et lille værktøj, som følger med Windows (eller Linux), og som hedder Netstat. Denne lille kommando, som du kan starte fra en dos-prompt, kan vise oplysninger om de TCP-forbindelser, som er i gang. Dos-prompt: En dos-prompt er den slags konsol, du kan få frem i Windows. Den ligner et program fra tiden før Windows, eller en Unix kommandolinje. I stedet for at klikke på forskellige ikoner skal du skrive kommandoer. For at starte en DOS-prompt skal du gå til Start Alle programmer Tilbehør Kommandoprompt. Dens syntaks er: Netstat [-h] [-a] [-e] [-n] [-o] [-p protokol] [-r] [-s] [mellemrum] Den nye Hackerguide 49
    • Hva'ba'? Når man i en brugsanvisning viser noget i retning af: Netstat [-h] [-a] [-e] [-n], betyder det, at du skal skrive: Netstat, og at du kan bruge følgende optioner: -h eller -a eller -e, osv. Det, som er mellem kantede parenteser, er de optioner, du kan bruge (uden kantede parenteser). Hvis du fx skal have hjælp om Netstat, skal du skrive: Netstat -h De forskellige optioner betyder: -h viser hjælpen. -a viser samtlige aktive TCP-forbindelser samt TCP- og UDP-porte, som bruges af computeren (“lyttende” porte). -e viser ethernet-statistik (ethernet = netværkskortet). -n viser de aktive TCP-forbindelser og angiver portnumre og IP-adresser i decimal talformat. -o viser TCP-forbindelserne samt proces-ID (PID) for hver forbindelse. -p viser de forbindelser, som benytter den protokol, man ønsker at kende til (TCP, UDP, TCPV6, UDPV6). -s viser statistikker pr. protokol (TCP, UDP, ICMP og IP). Da der er mange data, skal du kombinere det med “pipe”: | og “more” (mere), så du kan se data side efter side i stedet for alt i en skærm, for eksempel: netstat -s |more. -r viser IP routing-tabeller. Alle disse kommandoer er ikke særlig brugbare for piraten, da de kun berører bruge- rens maskine. Den mest spændende er -r, som kan beskrive routing-tabeller. Det er via disse tabeller, at vi evt. kan ændre en vej mellem to computere. Den nye Hackerguide 50
    • 2-6. Netstat -r viser routing-tabeller på mit netværk. Til formålet vil vi koble det sammen med et andet program, som følger med Win- dows, og som hedder Route. Denne kommando kan bruges til at ændre en vej mellem to punkter i en TCP/IP-forbindelse. Sådan fungerer den: Route [-f] [kommando [mål] [MASK netværksmaske] [gateway] [METRIC tal] -f sletter routing-tabellerne. Hvis den bliver brugt sammen med en af de følgende kommandoer, vil disse først blive udført efter, at tabellerne er slettet. -p Efter en reboot af maskinen vil den angive en anden vej (hvis man benytter kom- mandoen ADD sammen med -p, hvis ikke, vil den nye vej kun gælde, indtil compute- ren er slukket). Kommando kan være en af de fire følgende: DELETE: sletter en vej. PRINT: printer en vej. Den nye Hackerguide 51
    • 2-7. Man kan her se, hvem taler til hvem. ADD: tilføjer en vej. CHANGE: ændrer en eksisterende vej. Mål: udpeger din computer. Mask: Hvis ordet MASK er til stede vil den følgende parameter blive forstået som netværksmasken. Netværksmaske: Den giver værdien for undernetværket, som skal forbindes med det- te netværk. Hvis du ikke angiver noget, vil den bruge værdien: 255.255.255.255. Gateway: identificerer din gateway. METRIC: udspecificerer afstand. At hijacke routen Nu kan du forstå, hvad disse værktøjer kan bruges til? Skræmmende, ikke? Ja, ved at kende til din routing og med en anden route, takket være de passende værktøjer, så kan man lade andre tro, at man er dig. Man kan også bruge dette til at sende dig på afveje. Se: Hvis du skal komme og besøge mig i Frankrig fra København, så skal du over Puttgarden, Hamburg, Köln, Liège, Paris, Tours. Ved hver af disse steder kan du ob- serveres. Den nye Hackerguide 52
    • Lad os forestille os, at vejen er sikker. Det er fuldstændig umuligt at stjæle din bil, mens du er på motorvejen, altså fx mellem Hamburg og Köln. Og så er hvert møde- punkt sikret af politiet. Nu kan vi forestille os, at vej-pirater indsætter en omvej mellem to byer, de får dig ud efter Paris mod Etampes og Orleans, før de får dig til Tours igen. Det er på denne vej, som så ikke er sikker længere, at din bil bliver stjålet. Da du ikke kan finde ud af de franske og belgiske skilte, følger du det, du mener er vejen, og så ... Det er lige præcis den metode, der også bliver brugt på internettet. Når du forbindes til hjemmesiden.dk, sender din computer pakker gennem en armada af routere. Du kan rent faktisk følge den vej. Den nye Hackerguide 53
    • Åbn en ny dos-prompt, og skriv for eksempel: tracert www.hackademi.com Du vil på din skærm kunne se alle de punkter på vejen, som adskiller dig fra hacka- demi.com: 2-8. Efter at have skrevet ”tracert hackademi.com” fik jeg følgende resultater. Dine resultater bliver nok længere, da du er længere fra Lyon end jeg er. For at finde frem til denne vej udveksler routerne på vejen data, så de kan finde ud af, hvilken vej der er den bedste. De benytter sig af en protokol, som hedder RIP (Routing Information Protocol). De routere, der kender hinanden, udveksler RIP-data hvert 30. sekund. Afhængigt af de resultater, de finder, tilpasser de sig. Her er det første sted, der kan angribes: Udvekslingen sker i klar-sprog, altså ikke krypteret. Det er derfor muligt at opsnuse udvekslingerne, få fat i passwords og rou- terens konfigurationsværktøj. Man kan eventuelt lade som om, at man er en router, der udveksler RIP, og derved ændre routing-tabellen. Okay, det er ikke det nemmeste i verden at gøre. Det er ret kompliceret, men det kan lade sig gøre. Den slags stunt er dog reserveret høj-niveau-hackere. Man behøver ikke at genopfinde hjulet, og man kan gøre det meget nemmere! Der er et sted, hvor systemet er nemmere at fange og at påvirke, og det er hos brugeren. Man Den nye Hackerguide 54
    • benytter sig af ICMP-protokollen, som kan få en computers trafik til at blive ført mod en hvilken som helst anden router. Når man sender ICMP-pakker til en brugers pc, kan man hijacke den pc og tvinge den ad en anden vej. Det sker, rent praktisk, sådan her: Brugeren er forbundet pr. default til routeren A. Piraten åbner en router B på sin pc. Piraten får fat i brugerens IP-nummer. Fra sin router B sender piraten en pakke ICMP til brugerens pc. Den pakke fortæller brugerens pc, at piratens router, router B, giver en bedre og hurtigere vej. Routingen af brugeren bliver ændret, alt går nu gennem piratens router. Så behøver piraten blot at snuse, at observere og at tage de nødvendige skærmklip og notater for at vide det, der skal vides. Vores eksempel er nu kun for en enkelt bruger (dig?), men rent faktisk kan hele det lokale netværk blive hijacket på denne måde. Man kan blot sende en ICMP- kommando til et firmas firewall (rent faktisk beskytter disse firewalls ikke så frygteligt meget, som man tror!) for at flytte trafikken for flere computere. I praksis sker det således, at piraten sender en IP-pakke, som indeholder en ICMP- kommando, til målet. Det hedder en “indkapslet pakke”. Pakken (eller “datagram- met”) med dens indhold, skal sendes til modpartens computer (målet) sammen med en ping-kommando. Hvad er ping? Ping er et værktøj, som man kan bruge til at fejl- finde på TCP/IP-baserede netværk. Den sender en ICMP echo- request til den host, man pinger, og venter på svar. De fleste versioner af ping viser, hvor lang tid der går, fra man sender sin echo-request, til man modtager svar, dvs. det tidsrum et “round trip” (tur/retur) tager. Faktisk lidt som en sonar fra en ubåd, der sender en lyd og venter på at få den retur. Den nye Hackerguide 55
    • De fleste af disse programmer, som kan bygge en ping-kommando, som man ønsker den, findes kun til Linux (Sing eller Hping, som kan findes på www.hping.org). Det kræver noget arbejde at lave en sådan ping, og du kan eksperimentere lidt. For at forstå hvordan ping virker, kan du lege med programmet Pinger, som du kan down- loade fra www.hackerguiden.com/filer/pinger.exe. Der findes ganske aggressive ping, som “dødens ping” (ping of death). Det er en af de ældste angrebsmetoder og går ud på at bygge et IP-datagram, hvis størrelse er mere end det maksimalt tilladte (65.536 bytes). Hvis man sender sådan en pakke til et sy- stem med en svag TCP/IP stack, vil dette medføre at serveren går ned. Mig bekendt er der ingen moderne servere, som kan angribes på den måde længere. TCP/IP stack (bunke): Det er flere protokoller fra TCP/IP-familien, der arbejder sammen. Hvis man fx forbindes til internettet vha. en almindelig telefonlinje, består stacken af protokollerne: TCP, UDP, IP, ICMP og PPP. Jeg kan ikke trace! Du forsøger at lave en tracert, og det kan du ikke? Der mangler mange data, så der er “huller” i vejen? Det er klart! Langt de fleste angreb på netværk og servere blev udført ud fra TCP/IP-kommandoer, som blev sendt rundt. Derfor har mange udbydere været nødt til at sikre deres netværk imod disse “giftige pakker”, og lige så snart de modtager en pakke, som de synes forekommer underlig, bliver den blokeret. Der findes dog smartere Traceroute-programmer end det, der følger med Windows. Vi ser flere af dem i næste kapitel. Den nye Hackerguide 56
    • Modtræk Kan man sniffe en sniffer? Kan man forhindre, at man bliver hijacket? Svære spørgsmål. Disse to, ganske effektive, teknikker udnytter nemlig selve hjertet af TCP/IPs mangler. Selv om man i dag kan få stoppet de fleste angreb, så forbliver TCP/IP-standarden dårligt sikret. Man skal egentligt lave den om, før man kan sikre den. For hvad at opsnuse snushaner angår, så er det ikke meget nemmere. Sniffing er jo fuldstændig passivt og kan derfor ikke opspores af programmer, som skal finde spi- onprogrammer på netværket. Den eneste måde, en administrator kan have en idé om det, er ved at lave en søgning på harddiskene og prøve at finde de mest kendte sniffere. Dog skal du vide, at hvis du søger efter filen packet.dll, så vil du finde de fleste sniffe- re på netværket. Packet.dll er en driver, som bliver brugt i de fleste snifferprogram- mer. Man kan begrænse sniffing (begrænse, ikke stoppe, for i pirateringens verden er alt muligt) ved at bruge så mange sikre “tunneler” som muligt, når man gør noget. Man bruger SSH i stedet for Telnet. Man bruger en sikker forbindelse, når man henter mail (Brug: autentificering med sik- kert password). For hvad webbet angår (http-sniffing), er det straks sværere. Jeg må lige tilføje, at nog- le administratorer er forfaldne til at sniffe, hvilket betyder, at det ikke så meget er brugeren, der går over stregen, men administratoren. Den bedste beskyttelse mod den slags er ganske enkelt ikke at tage derhen, hvor du kan risikere at blive angrebet. Sky porno-siderne, nazi-siderne m.m. som pesten, når du er på arbejde, medmindre du vil tage chancen for, at alle på din arbejdsplads fin- der ud af dine tilbøjeligheder. Alt hvad der hedder hub burde udskiftes med routere. Al organisering af netværk omkring en hub skal bandlyses. Og selv om man gør det, vil der altid være et par sva- ge steder på netværket. Routere kan jo hijackes. Det har vi lige set på. Men her igen, så Den nye Hackerguide 57
    • er det noget sværere end lige at sniffe et netværk. Garder dig mod lamerne ved at gø- re det rigtigt vanskeligt for dem. I morgen IPv6 De fejl, som jeg lige har beskrevet her, kan dog være ved at høre fortiden til, idet den aktuelle standard for IP (IPv4) er ved at forlade systemet. Dels pga. sikkerheden, og dels (og især) fordi nettet, med al den succes det har haft, skal udvikles kraftigt. IPv4 er derfor ved at blive forældet. I dag udvikler multimedia sig drastisk. Fjernsyn og køkkengrej kan komme på nettet (huset styret via internettet er ikke science fiction længere). Endelig har IPv4 en stor mangel: Den har ganske en- kelt ikke numre nok. IPv6 (som også kaldes IPng for Ip new generation) skal kunne løse en masse af den slags problemer og, især, aldrig løbe tør for numre. IPv6 burde kunne svare til det moderne internet. Den beholder de bedste funktioner fra IPv4, alt imens den fjerner eller for- mindsker de dårlige sider. Dog er der et par ulemper ved det: IPv6 er ikke kompatibel med IPv4 og vil kun med møje og besvær kunne “leve sammen” med IPv4, selv om den er kompatibel med alle de andre internetprotokoller. Den vil kræve en del tilpasning af de fleste programmer på både klientsiden og serversiden. Naturligvis vil IPv6 også være meget mere sikker. Mere sikker, ja, men ikke uigen- nemtrængelig, naturligvis! Den nye Hackerguide 58
    • 3. Hackerværktøjer En pirat er først og fremmest en, som forsøger at lave en uautorise- ret handling på netværket, på sit “mål”... Altså dig, som privatperson eller kommende administrator af en eller flere computere: Du er hans mål. Den bedste måde at beskytte dig imod et angreb på er at forstå, hvordan piraten vil handle og bruge de samme værktøjer som han. Hackerværktøjer er frit tilgængelige på nettet, eller lige til at købe. Kan man finde ud af, hvad hackerværktøjer er? Nej! For der er ingen regel: Hvert program, som kan bruges til at piratere med, er et “hackerværktøj”. Trojanske heste er de mest kendte, det vender vi tilbage til, men, som vi lige har set, kan faktisk noget så uskyldigt som Ping blive til et våben. Vi skal nu se på forskellige programmer, som du vil kunne downloade fra nettet, eller som du vil have på din maskine som standard. Vi vil se på forskellige værktøjer, og vi vil installere dem. Det er disse programmer, som en pirat vil bruge for at finde huller- ne i dit system. Disse programmer kan opdeles i to kategorier: Mapping-værktøjer: Værktøjer, som bruges til at kortlægge et netværk og den måde, det virker på. Analyse-værktøjer: Værktøjer, som bruges til at analysere de forskellige maskiner på netværket. Det kan være scannere, som kan fortælle os, hvilke programmer der kører på en computer. En scanner kan også fortælle, hvilke trojanske heste der er installeret, samt hvilke huller der er i systemet, som kan udnyttes. Den nye Hackerguide 59
    • Kende netværket Før piraten kan angribe, skal han kortlægge målet. Han skal finde ud af, hvordan han kan nå computeren. Den første analyse går ud på at lave en slags kortlægning, som vil give præcise informationer, der kan bruges til fx at få ændret computerens route. Ping og traceroute Alle computere, som kommunikerer med TCP/IP, er i besiddelse af mindst to pro- grammer til at lokalisere og opspore: Ping: Ping har jeg allerede nævnt. Jeg omtalte især omprogrammerede Ping, selv om Ping ellers er ret så civiliseret. Pings eneste rolle er at sende en “neutral IP-pakke” fra et sted til et andet og at teste den tid, der er gået mellem afsendelsen af pakken og det tidspunkt, hvor modparten har svaret. Traceroute: Traceroute er noget mere udviklet end Ping. Programmet laver en vej mellem to IP-adresser og fortæller dig, ved hjælp af forskellige IP-adresser og domæ- nenavne, alle de knudesteder, pakkerne kommer forbi mellem din computer og mod- tageren. Det er uhyre nemt at teste disse programmer. Vi begynder med Ping. Start en dos-prompt. Skriv ping, efterfulgt af en eller anden URL – bare rolig, det er fuldstændigt lovligt, kun aggressive ping kan være ulovlige ... i specielle tilfælde. For eksempel kan du skrive: ping google.dk Den nye Hackerguide 60
    • Du kan så se resultatet her: Flere forsøg, deres resultat og til slut en konklusion givet som statistik. 3-1. En ping giver mange spændende oplysninger. Med Ping har vi fundet ud af, at serveren google.dk findes på adressen 72.14.221.104, at samtlige fire ping-beskeder, som er blevet sendt, er blevet modtaget, og at der i gennemsnit skal bruges 60 ms (millisekunder) her fra Frankrig, før pakken ankommer, hvilket faktisk er ganske okay. Du kan få forskellige resultater afhængigt af tidspunktet, du pinger på, belastningen på serveren m.m. Nu skal vi se den vej, der adskiller os fra yahoo.fr. I dos-prompten skal du igen skrive: tracert yahoo.fr Den nye Hackerguide 61
    • Man kan for eksempel få følgende resultat: 3-2. En tracert fortæller endnu flere ting. Du vil få et andet resultat, da du jo befinder dig et andet sted i verden. Hurra! Tænker du nu. Jeg kan så få en masse intetsigende tal og bogstaver over en sort skærm, og det imponerer min kæreste ... Men hvad kan det ellers? Faktisk ret meget! Lad os dekryptere det, så vil du hurtigt forstå. Den nye Hackerguide 62
    • I dette resultat læser vi ti knuder: Deres navne samt deres IP-adresser. Vi kan se, at det kaldende nummer er et internt nummer: 192.168.0.1, at vedkommende er forbundet til internettet via Tiscali i Marseille (i lan0-0-0-nas2-mars.tiscalinet.fr kan du se “mars”, hvilket betyder “Marseille”. I nærheden af os, i Loiredalen, ser man ofte Orl for “Or- leans”). Bagefter springer vedkommende højst sandsynlig til Paris. Se på linje 6: par = Paris. Bagefter, linje 7 ser vi: lon20... Mon ikke det er London? Så, linje 8, ankommer vi til Yahoo. Den første maskine er tydeligvis under Linux (linx2), og den næste i øvrigt også. Så ved vi det. Du har naturligvis lagt mærke til, at der ikke står noget maskinnavn under linje 4. Det var interessant. Det er nok en passage, som kun bliver brugt i ny og næ, og det kan rent faktisk være et system, der er oprettet og bliver brugt af en pirat. For at sikre os det tjekker vi nummeret via Ripe, og vi får så at vide, at den adresse tilhører Tiscali. Den er indbefattet i rækken 212.47.224.0 – 212.47.224.255. Oven i købet fortæller Tiscali os, hvad det er for en maskine. Det er BACKBONE-INTERCO, hvilket vil sige, at det er en “gateway”, en maskine med meget høj trafikkapacitet mellem to dele af netvær- ket. Den nye Hackerguide 63
    • 3-3. Ripe fortæller os det, vi vil vide om den navnløse maskine. Med to små kommandoer fik vi fat i mange informationer. Det kan piraten også. I et firma kan routing-stederne være åbne steder, som man kan angribe. At følge en route kan betyde, at man kan finde ud af, hvor disse punkter er, og så sniffe dem. Der findes et hav af angreb, som lykkes, takket være oplysninger, man finder via en Tracert. Den nye Hackerguide 64
    • Formålet med Tracert og Ping er at få et hurtigt overblik over et netværk for at kunne finde mål, som vi har set, eller finde ud af evt. besynderlige ting (som den navnløse maskine), der kunne tyde på, at der var en pirat på spil. Andre værktøjer Naturligvis kan du få mere grafiske værktøjer, som er sjovere at bruge. For eksempel kan du lege med 3DTraceroute (som kan downloades fra www.d3tr.de/ eller fra www.hackerguiden.com/filer/d3tr.exe. Filen installeres ikke. Du skal pakke den ud og lægge den et sted på din harddisk. Når det er gjort, og du har klikket på den, er du faktisk i besiddelse af alle tiders værktøj. Inde i Target skriver du navnet på en side, for eksempel libris.dk, og så klikker du på Trace. Fanebladet 3d Trace burde være fremme, hvis ikke, skal du bare klikke på det. Så kan du se routen i 3D. Den nye Hackerguide 65
    • For at få lidt flere oplysninger kan du klikke på fanen as List, og så kan du se, i over- skuelige tal og forklaringer, hvilke servere der er på routen, og i øvrigt hvor de befin- der sig i verden, “Longitude og Latitude” værende længde- og breddegrader. Kan det blive mere bekvemt? 3-4. 3d Traceroute gør det endnu nemmere at finde vej til en domæne. Den nye Hackerguide 66
    • Hvis du skal have andre oplysninger, som fx en Whois, kan du nøjes med at højre- klikke og vælge at lave en Whois på et ukendt nummer. Bemærk dog, at ved europæiske numre skal du stadig væk bruge Ripe. Øv dig i brugen af programmet, det er ganske udmærket og har mange funktioner, hvoraf nogle er knap så stuerene. Se for eksempel under fanebladet Tools... Port-scanner er et lille program, som kan finde ud af, hvilke porte der er åbnet på en given maskine eller adresse. Dog er det ikke den bedste scanner. Vi vil bruge en bedre senere. IP-range scanner scanner for flere IP-numre. Connection View: Lidt mere farlig – den giver dig listen over alle de TCP/IP- forbindelser, der er på din maskine. Single Ping: En ganske almindelig ping. HTTP Server Spy er et program, som finder den version og det program, en web- server benytter. Scannere Scanneren bruges til at undersøge, hvilke porte der er åbne på en computer. Næsten lige som en radio-scanner tjekker den alle 65.536 porte (kanaler) for at se, hvilke af dem der tager imod samtaler eller gerne vil kommunikere. Scanneren vil også fortælle dig, hvilken version af de forskellige programmer der kører på den enkelte computer, hvilket betyder, at piraten kan finde ud af, hvilke sikkerhedshuller han skal ud efter. Den nye Hackerguide 67
    • Identifikation af systemet En god IP-scanner skal være i stand til hurtigt at fortælle piraten, eller netværksadmi- nistratoren, hvor der er huller i en eller flere computere. Det nytter ikke noget, at en systemadministrator skal scanne samtlige 278 maskiner i firmaet en efter en. Derfor skal han kunne scanne en række IP-adresser. Når han scanner, fortæller programmet ham, hvilke af de scannede maskiner der er aktive. Bagefter skal samtlige maskiner scannes for at fortælle, hvilke porte der er åb- ne, og hvilke programmer der kører. IP-scanneren og netværksadministratoren: En god IP-scanner er lige så nødvendig for administratoren som for piraten. Enhver systemadministrator burde scanne maskinerne jævnligt. Det er kun sådan, at han vil kunne finde ud af, om der er forbudte pro- grammer installeret på maskinerne, som for eksempel P2P- programmer eller netværksspil. Det er også kun IP-scanneren, som vil kunne fortælle ham, om der er en mistænkelig port og et mistænkeligt program i gang, som for eksempel en trojansk hest. Der findes et hav af scannere, men en af dem er rent faktisk vidunderlig. Der er tale om SuperScan. Du kan downloade den fra: www.hackerguiden.com/filer/superscan4.zip, men du kan altid down- loade den nyeste version fra www.foundstone.com. Du skal først klikke på resources og derefter under Free Tools, da programmet er gra- tis. Når du starter programmet, befinder du dig under fanen Scan. Dér har du to mulig- heder: Hostname/IP eller Start IP og End IP. Den nye Hackerguide 68
    • Hvis du fx vil scanne alle computere på dit netværk, kan du skrive dine maskiners IP- nummerrække. For eksempel: 192.168.0.0 og 192.168.0.254. Bagefter kan du klikke på knappen i bunden, som ligner en “play” knap (scan) og nyde resultatet. Hvis du ikke kender maskinens IP-nummer, så kan du skrive domænets navn i det øverste felt, Hostname/IP, og herefter scanne. Du kan også vælge flere domæner efter hinanden og klikke på de små pile ved siden af felterne for at få dem til at blive indbefattede i listen til højre. Når du klikker på scan, bliver alle IP-numre og –nummerræk-ker scannet. For at vide hvilke porte der er åbne m.m., skal du i fanen Host and Service Discovery sætte flueben i UDP port scan og i TCP port scan. Skriv portnumre (gå fra 0 til 65.536). Ved Scan type skal du vælge Data + ICMP og Scan Type Connect. Den nye Hackerguide 69
    • 3-5. Disse indstillinger giver dig mange muligheder. Hvis vi bagefter laver et scan, får vi ganske spændende resultater. Den nye Hackerguide 70
    • Her er for eksempel en scanning fra google.dk: 3-6. google.dk – ikke mindre end 94 porte åbnet. Den nye Hackerguide 71
    • Scanning kan være farligt Pas godt på, hvad du gør. I Frankrig er scanning en gråzone. De fleste domme giver foreløbigt tilladelse til at scanne alle computere. Det ulovlige er ikke scanningen i sig selv. Det kan i og for sig være, at man scanner for at sende en besked eller en reklame. Altså ikke nødvendigvis af ulovlige grunde. I Schweiz bliver scanning meldt direkte til politiet. I Danmark kan det meget vel være det ene eller det andet. Så scan dine egne maskiner eller maskiner, der tilhører folk, der ved, du gør det, og pas meget godt på. For i vir- keligheden svarer det til at du drøner rundt om naboens hus og lige tjekker, hvilke døre og vinduer der er åbne. Det er rigtigt, at du ikke kommer ind ... Men holder den i retten? Med SuperScan kan du også tjekke, hvilke drev, delte drev eller printere, MAC- adresser, navne, netværksnavne, m.m. en Windows-computer har. Nogle servere kører Windows, og ved et enkelt tjek kan du få mange ting at vide. Jeg havde for eksempel fået stjålet et domæne: malka.it. Jeg har testet det med Su- perscan og fundet ud af, at malka.it på det tidspunkt var på en server, der kørte Windows. Det kan jeg se ved at klikke på HTTP HEAD Request under fanen Tools: Den nye Hackerguide 72
    • 3-7. Åh! Gru! Malka.it kørte Windows – Alene det var et bevis for, at jeg havde mistet domænet. Det lyder godt. For så kan jeg springe over til den anden fane, Windows Enumeration. Den nye Hackerguide 73
    • Efter at have skrevet malka.it i feltet, klikker jeg på Enumerate, og så ... 3-8. Sikke meget, man kan få at vide fra en Windows-server ... Så fortæller SuperScan mig, at maskinen er del af en arbejdsgruppe, som hedder “Workgroup”, jeg får også at vide, hvilket serienummer (MAC-adresse) maskinens netværkskort har, samt en masse andre spændende ting, som for eksempel brugen af en auto-proxy-service. Og det, at man smækker en Microsoft-server op og opretter en gruppe, der hedder Workgroup, fortæller mig noget yderst vigtigt: Det fortæller mig, at det er en person, Den nye Hackerguide 74
    • der ikke sikrer sine data og sit system, og som installerer servere, der er nemme at in- stallere og laver en Næste Næste Næste installationstype ... Dette fortæller en hacker en del spændende ting. For en god ordens skyld vil jeg lige nævne, at det er lykkedes os at få fat i malka.it igen. Denne scanner nøjes med at scanne porte, og sådan lidt computeren. Og bare dette fortæller rent faktisk mange, mange ting om en webside, om en computer på netvær- ket. Men der findes scannere, som er meget mere aggressive. De scanner nemlig for huller i systemet. Det taler vi om senere. Modtræk Nu har du se alt det, man kan finde ud af fra et system. Og det er ikke godt. Måske er du lige nu i fuld gang med at blive scannet. Du kunne måske godt tænke dig at vide, hvad du kan gøre mod det. Og heldigvis, i modsætning til snuseriet, så kan man finde ud af, at en scanner er i gang. Du kan bruge flere metoder for at finde ud af, om der er en scanning i gang, el- ler om det er sket. Du kan bruge Analyzer, som tjekker trafikken, og som kan se, om der er ved at ske en scanning. Du kan downloade programmet www.hackerguiden.com/filer/analyzer.exe Dog skal du have programmet åbent på det tidspunkt, du bliver scannet, og se på det imens det sker. Det er ikke altid lige til at gøre, især fordi en scanning jo ikke skaber vildt megen trafik, så du vil ikke mærke, at du bliver scannet lige sådan. Derfor er der faktisk et program, som er meget, meget, meget bedre. Det hedder At- tacker! Ganske genialt lille program, som du kan downloade herfra: www.scanwith.com/download/Attacker.htm eller herfra: www.hackerguiden.com/filer/attacker.zip Den nye Hackerguide 75
    • Attacker: Dette er et smart lille program, og det ville være en god idé, især hvis du har flere maskiner, at have det til at køre. Dog skal du huske, at det skal installeres på en maskine, der er i kontakt med internettet. Du skal vide, at der ikke er nogen log. Du kan kun se angreb på det tidspunkt, hvor de bliver foretaget. Er du der ikke, så er du lige vidt. Når du har pakket programmet ud på din harddisk, skal du blot klikke på exe-filen for at starte det. Så kan du klikke på Ports og dér vælge de porte, du vil holde øje med (du er måske ikke interesseret i, at din maskine går amok, hver gang nogen forbindes med din Kazaa-port, vel?). Du kan se, at de mest almindelige porte allerede er på li- sten, men du kan tilføje eller fjerne nogle. Når det er gjort, skal du lige klikke på Setup og vælge, om du vil have et ikon på dit skrivebord, og, mere interessant, om du ønsker, at Attacker starter, når du starter din computer (Run Attacker when computer starts), og om du ønsker, at programmet star- ter med at lytte lige efter, at du har startet det (Automatically start listening when pro- gram begins). Den nye Hackerguide 76
    • Efter at have klikket på OK kan du klikke på Start. 3-9. Attacker holder øje med dine porte. Så starter programmet, og det lytter på de porte, det skal. Nu kan du igen starte SuperScan. Sørg for, at den er sat til at tjekke alle porte m.m., og start den med værdien localhost. Der går ikke mange sekunder, før Attacker går amok. Du kan høre en alarm, og Attacker blinker som en gal. Du kan nemt se, hvilke porte der er blevet scannet, og fra hvilket IP-nummer. Den nye Hackerguide 77
    • 3-10. Så går Attacker amok! Du bliver scannet! Den nye Hackerguide 78
    • 4. Spyware, virusser og trojanske heste Trojanske heste er piratens våbendrager. De har deres navn fra det navnkundige græske sagn om, hvordan Odysseus indtog Troja. For- uden navnet benyttes også metoden fra dette berømte angreb: De bliver, lydløse og på lusket vis, installeret på din computer. De venter i stilhed, indtil deres ejer, eller en pirat, der kender til dem, vækker dem til live. De er efterfølgere til en anden mere destruktiv compu- terprogramfamilie: virus. Trojanske heste Hvis vi skal tale om en computersvaghed, som er vigtig for os alle, så skal vi tale om trojanske heste. De er farlige for alle computere, som er på internettet eller intranet (netværk som fungerer internt på samme betingelser som internettet). Hvad er en trojansk hest? Det er, ganske enkelt, et lille program, som er svært at op- spore (hvis ikke umuligt), og som på ganske lovlig vis installerer nøgler i Windows' registreringsdatabase, og som giver adgang til din computer via internettet ... uden din viden. Beskrivelse af en trojansk hest En trojansk hest er bygget op af en serverdel, som er installeret på din maskine, og som er i stand til at udføre nogle handlinger: vise en mappe, flytte filer eller, sjovere, sætte din skærm omvendt, forvandle din musemarkør til et lille dyr, eller – værre – slette indholdet på din harddisk eller andet. Trojanske heste er forbundet med en klient-del, som overtager din computer på af- stand. Faktisk fungerer en trojansk hest stort set på samme måde som et værktøj, der tillader dig at fjernstyre din computer (VNC, Windows Fjernsupport eller andet), med den forskel, at du ikke ved, den er installeret på din maskine, at den tillader fjernbru- geren at gøre ting, vedkommende ikke burde kunne, og du ikke kender den person, der gør det. Det er til dels pga. denne mulighed, at man ofte omtaler trojanske heste som “virus”. Den nye Hackerguide 79
    • Fordi den er gratis og udviklet af individer frem for firmaer, omtaler man en trojansk hest som værende “farlig for din pc”. Symantec, med sit hulfyldte “pcAnywhere” er rent faktisk ikke andet end en trojansk hest. Endelig er det, fordi nogle af dens funktioner kan forandre dine data, at man kalder den for “ødelæggende”. Kendte trojanske heste: Hvis du ønsker at kende de kendte tro- janske heste, deres handlinger, deres underskrift og deres ka- rakteristika, skal du tjekke: www.glocksoft.com/trojan_port.htm Denne side giver dig listen over de mest kendte trojanske heste plus den port, de benytter. Dette er mere, end hvad du behøver at vide for at finde frem til dem og tilintetgøre dem med de tek- nikker, du kommer til at lære i dette kapitel. Hvis man skulle se på det rent legalt, så findes konceptet “trojanske heste” ikke. Det er rent faktisk volapyk og inkonsekvent. Der er absolut ingen forskel på et program som pcAnywhere, som sælges i dyre domme, og noget som Telnet eller den så berømte trojanske hest, Back Orifice. Trojanske heste er rent faktisk et værktøj til at administrere en computer på afstand, og intet andet. Naturligvis kan man sige, at trojanske heste af og til kan være svære at afinstallere. Men helt ærligt! Hvor mange “officielle” programmer, som man betaler utallige gode danske kroner for, lider ikke af samme svaghed? Hvorfor tror du, Windows bliver sløvere og sløvere med tiden og ret jævnligt skal geninstalleres? Download af trojanske heste: Det er muligt at downloade alle kendte trojanske heste. Du behøver bare at gå på: www.neworder.box.sk/codebox.links.php?&key=virii som vil gi- ve dig listen over alle trojanske heste. Den nye Hackerguide 80
    • Man vil naturligvis kunne indvende, at trojanske heste er usikre, da nogle af dem gi- ver fuld adgang til din pc. Dette er ikke helt korrekt, da flere giver mulighed for at sikre adgang med password. Og her igen: Når man kan se den hulfyldte påståede sikkerhed i visse programmer (Wingate, bare for at nævne et) eller de åbne porte i visse Windowsprogrammer, så må man bøje sig: Trojanske heste er hverken værre eller bedre end en del program- mer, du endda kommer til at betale for. For hvad det “skjulte” angår, kan vi også her tage det som en sandhed med modifika- tioner. Det er naturligvis sjældent, at en trojansk hest fortæller dig, at den er til stede (mange af dine programmer, som du har købt, gør lige præcis det samme, men okay ...). På den anden side skal den, for at kunne være en trojansk hest, kunne lytte på en af dine porte. Hvis den lytter på en port, selv om det kun er i ét sekund, så kan det nemt af- sløres af forskellige programmer: Superscan, som jeg har omtalt, er ganske effektivt til den slags. En administrator, som ønsker at afsløre en trojansk hest, behøver blot at bruge dette gratis scan-program. Så det er så som så med “den skjulte side”, og jeg vil mene, at en trojansk hest er knap så farlig som en virus, der vil få dig til at købe et antivirus- program til 100 euro for at blive fjernet (om end der er ganske udmærkede gratis anti- virus-programmer, men langt de fleste er kun til privat brug. En administrator ville være nødt til at købe en licens). Okay, når man nu ser på en trojansk hests brugerflade og dens muligheder for at øde- lægge brugerens data, så må man vedtage, at den ikke ligefrem er bygget for bruge- rens skyld. På den anden siden, en Telnet-forbindelse som administrator på en Linux- server kan ødelægge ganske meget ... Altså, hvis vi skal give en tidssvarende og objektiv beskrivelse af en trojansk hest (na- turligvis ud over den semi-religiøse “god” og “ond” forståelse), kan vi sige at den er: et fjernadministrationsværktøj med svagt sikkerhedsniveau, med nogle – af og til – nyttige funktioner, hvis særkende er, at det næsten altid er ulovligt brugt, hvilket vil sige, at den er installeret, uden at brugeren ved det. Det, der sætter trojanske heste i “virus-kategorien”, er rent faktisk den brug, man gør af dem. Den nye Hackerguide 81
    • Altså må vi sige, at fjernadministrationsværktøjer som Netspy, Back Orifice eller Tro- jan Cow først bliver til “onde åbne døre” fra det tidspunkt, du ikke ved, at disse er installerede på dit system. Naturligvis efterlader de andre “lovlige” fjernadministrationsværktøjer ikoner på pro- ceslinjen eller andre steder, mens de fleste trojanske heste ikke giver denne oplysning. Mange siger derfor, at de er farlige, dels fordi de er her, og dels fordi deres kode som regel er frit tilgængelig. De kan nemlig bruges af alle og altså også af it-pirater til at bygge nye trojanske heste. Personligt tror jeg ikke på det. Hvis man ser på den slags på den måde, så skal man forbyde en C-kompilator eller et assembler-program, fordi de også kan bruges til at bygge virusser med. Det kan virke lidt provokerende, men det er for at forsøge at få brugeren (dig) til at forstå, at alt er relativt, og at viden kan bruges og misbruges, og det, at den kan mis- bruges, betyder ikke, at man skal holde alle i uvidenhed og ulovliggøre viden. Man vil altid kunne finde personer, som vil misbruge viden. Det er prisen for at leve i et oplyst samfund. Når det nu er sagt, så er det rigtigt, at nogle trojanske heste laver yderst ulovligt rav i din maskine: EPS: E-mail Password Sender. EPS og EPS II. De stjæler passwords fra forskellige dele af dit system og sender dem via e-mail. Dette er bestemt ikke lovligt. Rasmin: Bruger hele din pc's hukommelse, hvilket betyder, at din maskine går i stå jævnligt. Intet lovligt i det. The Thief: Stjæler passwords og sender som e-mail. Dette er ligeledes forbudt. Disse programmer er ikke anbefalelsesværdige. Det er virusser, og du skal for alt i verden aldrig installere dem. For hvad langt de fleste andre angår, om det så er spil, gratis administrationsværktøjer eller eksperimenter (hvis du vil lære at kunne opspore dem på et netværk for eksempel), kan du sagtens installere dem og lege med dem. Back Orifice 2K (BO2K): Stjernen Lad os se lidt nøjere på det nu så berømte Back Orifice (BO). Det er den mest kendte trojanske hest, og det kan nemt installeres med et hvilket som helst andet program. Den nye Hackerguide 82
    • Installeringen tager som regel kun få sekunder og sletter i øvrigt eventuelle ældre in- stalleringer af BO. Så gemmer BO sig. På den måde kan vi omtale den som virus. Back Orifice er 100 % neutral. Det vil sige, at den ikke angriber noget som helst. Den er heeeelt stille. Med en lille detalje ... Programmet installerer systemadministrations- funktioner, som er ganske diskrete – dog effektive – på systemet (slette, kopiere, m.m.) via IP-protokollen, hvilket vil sige gennem internettet. Programmet kan installeres af hvem som helst, der har adgang til din maskine, eller den kan følge med et andet program, som er sendt til dig via mail m.m. Når programmet er installeret på din computer, så kan alle og enhver, som scanner en række IP-adresser, finde de installerede BO, hvilket giver piraten fuld adgang til det inficerede system. Hvis vi ser på sagen, så var Cult of Dead Cow's idé ganske god (www.cultdeadcow.com). Idéen var at bygge en trojansk hest og gøre den tilgængelig, så brugerne kunne kende til disse ting og, især, kunne lære at finde dem og slette dem. Faktisk er programmet i sig selv ikke farligt. Det er ret stabilt og kan køre i flere måneder uden at ødelægge noget eller være årsag til nogen som helst problemer (for at være helt ironisk kan jeg afsløre, at dit system vil blive meget mere ustabilt af at have installere Nortons antivirus frem for BO). Hvad kan Back Orifice? Den kan: Snuse dit tastatur. Tjekke din harddisk og overføre filer via sin egen stifinder til din computer. Styre Microsofts fildeling. Redigere registreringsdatabasen. Indsætte plug-ins. Installere, afinstallere og ajourføre på afstand. Omdirigere TCP/IP-kommunikation. Den nye Hackerguide 83
    • Få fat i konsoller på afstand (dos-prompt for eksempel) via Telnet. Lave skærmklip på afstand samt audio-læsning på afstand og styre multimedia på afstand. Oprette en bagdør for at omgå NT og 9x-Windows password samt pause- skærm. Starte, stoppe og se, hvilke programmer kører. Bruge forskellige forbindelser. Se den grafiske brugerflades beskeder. Genstarte på afstand. Den liste viser, rent faktisk, at det, Cult of Dead Cow har lavet, er et fjernadministrationsværktøj og ikke andet, hvilket i øvrigt er det, Cult of Dead Cow selv fortæller, at deres program er. Naturligvis er forskellige sikkerhedseksperter ikke enige. Selvfølgeligt kan man bruge Back Orifice uden brugerens viden, men sådan som den er, og hvis man har styr på den, så er den altså ikke mere farlig end en dårligt konfi- gureret pc-Anywhere. Hvordan trojanske heste bliver installeret Jeg kan kun opfordre netværksadministratorer til at downloade og afprøve “civilise- rede” trojanske heste på deres netværk. Leg med at finde dem og neutralisere dem. Husk: Brug dem aldrig som fjernadministrationsværktøjer (medmindre du er på et helt lukket netværk), da de ikke har nogen sikkerhed. Men lær dem at kende! Der er to måder at installere en trojansk hest på en computer: Man kan gøre det på lovlig vis for at lege, observere eller eksperimentere eller for at styre en pc på afstand (her igen husk: LUKKET netværk!). Man kan gøre det ulovligt: installere den på en andens maskine uden offerets kendskab til det. Jeg vil ikke fortælle i detaljer om, hvordan man installerer en trojansk hest uden bru- gerens viden her i bogen, fordi det ikke har interesse. Hvis du ønsker at vide den Den nye Hackerguide 84
    • slags, henvises du til vores hackademi-lektion 16, som fortæller om princippet : www.kortlink.com/16 Men i store træk vil piraten benytte sig af to teknikker for at installere en trojansk hest på din maskine: Ved, ganske enkelt, at installere den på din maskine, mens du ikke er i nærhe- den. Ved at sammensætte Back Orifice – eller en anden trojansk hest – med et andet program, som du installerer (det er sådan set virussens taktik). Mod de to metoder har du to forsvar: Lås din computer med passwords m.m., så det ikke er lige til at komme igennem. Passwords er ikke 100 % sikre, men de besværliggør arbejdet en del for piraten, og mange pirater (især lamere, de farligste af dem) vil hurtigt droppe en velsikret pc til fordel for en, der er vidt åben. I 99 % af tilfældene vil piraten gå videre til den næste, medmindre du har rigtig interessante oplysninger på din maskine. For hvad virus-metoden angår er der et par ting, du skal tænke på: Installer aldrig et program, du får som e-mail, heller ikke selv om du kender afsende- ren, medmindre du har dobbeltjekket med vedkommende. Den nye Hackerguide 85
    • Undgå at installere spil m.m., der er sendt til dig af “venner”, som du ikke kender så godt, eller som er af usikker kilde. Undgå at installere “geniale programmer” sendt til dig af “venner” som du ikke ken- der så godt, eller som er af usikker kilde. Det er på den måde, de fleste trojanske heste bliver installeret. Når vi nu skal lege med det, vil jeg råde dig til at bruge en af de to: Trojan Cow eller Back Orifice 2K (BO2K) som har været gennemgået af en del eksperter. Selve værktøjerne er intet andet end styring af computeren på afstand, men du skal aldrig glemme, når du installerer sådanne programmer, at vi trods alt taler om hacker- miljøet, og at alle ikke er lige venligtsindede... Altså skal du ikke stole 100 % på det, du installerer. Det bedste er at installere programmet på en computer, som er afskåret fra netværket. Den nye Hackerguide 86
    • Trojanske heste kan ændres, ligesom andre programmer, deriblandt ved hjælp af så- kaldte “plug-ins”, som ikke nødvendigvis er flinke. Pas på, hvorfra du downloader programmet, og hvilket program du downloader. Back Orifice og plug-ins: Back Orifice er, som langt de fleste velprogrammerede programmer, i stand til at bruge plug-ins, som er programmer, som sættes oven på et andet program og giver det specielle funktioner. Det er via disse plug-ins, at Back Orifice bliver et mindre civilise- ret program. I version 3.0 fx kan man få en oplysning om, at den er installeret på en bestemt computer via e-mail, hvilket gør det- te værktøj til et noget mindre venligt program. Den version, jeg bruger her, er downloadet fra www.bo2k.com. Hvis du ønsker at downloade den seneste version af BO2K, skal du altid downloade derfra, så du er sikker på ikke at installere en version med plug-ins. Lidt praktik Disse værktøjer bruges her som, og betragtes som, administrationsværktøjer og ikke som trojanske heste. Forskellen er subtil, men vigtig: Hvis du installerer programmer- ne på din computer, er det din sag. Du kan sagtens eksperimentere med disse værktø- jer. Blot skal du huske, at du kan smadre data og evt. destabilisere dit system. De er ikke værre end så mange andre server-administrationsværktøjer, men du skal huske, at disse er eksperimentale værktøjer, og du tester dem under eget ansvar. For at sige det ligeud: Installer dem aldrig på den maskine, du bruger til at arbejde med. Ikke så meget på grund af den fare de repræsenterer, men især fordi dit system kan blive ustabilt. Vi taler altså om eksperimentale programmer. Vi downloader Back Orifice fra fx Sourceforge: http://sourceforge.net/projects/bo2k/ Den nye Hackerguide 87
    • I denne bog bruger vi version 1.1.3, som er noget mere stabil end de nyere versioner, 1.1.5 og 1.1.6. Men naturligvis kan der være en nyere version i øjeblikket med enkelte forskelle. Du kan downloade version 1.1.3 herfra: www.hackerguiden.com/filer/bo2k.zip Når du har downloadet programmet og pakket det ud, vil du i en mappe have flere programmer og mapper. Mapperne: Plugins Eventuelt mappen src og programmerne bo2k.exe (server-programmet) bo2kcfg.exe (klient-programmet) bo2kgui.exe (værktøj til at konfigurere serveren med) og så andre txt-filer. Meningen er, at du skal programmere serveren, som er den del, der skal kontrolleres af klienten. Vi vil installere både server og klient på samme computer, da min kone nægter at lægge maskine til. Det vil sige, at vi konfigurerer filen, der hedder bo2k.exe (serveren) med de plug-ins, vi synes er nødvendige. Vi gemmer filen bo2k.exe på den maskine, vi vil administrere. Den nye Hackerguide 88
    • Vi konfigurerer klient-programmet (bo2gui.exe) med de samme plug-ins, som vi har indsat i serverfilen. Det smarte ved Back Orifice, i sammenligning med andre fjernstyringsprogrammer, er, at den er meget konfigurerbar. Det farlige ved Back Orifice er, at den er meget kon- figurerbar ... Det første, du gør, er at starte bo2kcfg. Du klikker på knappen Open Server og brow- ser til filen bo2k.exe. Derefter klikker du på Open. Fiffet er, at du kan konfigurere forskellige servere med forskellige funktioner på net- værket. Den nye Hackerguide 89
    • Når det er gjort, burde du have følgende skærmbillede: 4-1. BO2K er klar til at starte. Når det nu er gjort, skal der loades forskellige plug-ins. Der følger forskellige plug-ins med programmet, men du kan downloade ekstra plug-ins fra sourceforge eller fra rundt omkring på nettet (under eget ansvar). For at loade plug-ins skal du faktisk arbejde på samme måde, som da du indlæste ser- veren: Du klikker på knappen Insert... og browser til de plug-ins, du vil installere. Den nye Hackerguide 90
    • I mappen plugins, som følger med, findes de plug-ins, vi vil lege med. Nu er det op til dig, om du vil loade andre og evt. mere aggressive plug-ins, naturligvis. I mappen plugins burde du have fire mapper: auth, enc, io og srv. Vi indsætter nedenstående plug-ins fra følgende mapper, som befinder sig i din plug- in-mappe: Fra io-mappen indsætter du filen iotcp.dll. Den nye Hackerguide 91
    • Når du har gjort det, vil du dels kunne se filen inde i Plugins loaded, dels en ekstra mappe (altså med ekstra funktioner) komme frem under Option Variables: 4-2. Plugins-navnet dukker op på skærmen med en kort beskrivelse samtidig med, at de supplerende funktioner bliver tilgængelige i Option Variables Den nye Hackerguide 92
    • Efter iotcp.dll skal du: fra mappen enc indsætte filen enc_null.dll fra mappen auth indsætte filen auth_null.dll Disse filer bevirker, at du kan gribe ind i serveren. Du mangler nu at indsætte de muligheder, du vil have skal kunne fungere: Fra mappen srv indsætter du filen srv_control.dll Hver af disse filer giver dig styring over forskellige af serverens funktioner. Du behø- ver blot at eksperimentere. Når det er gjort, skal du nu huske at gemme din server. Hvis du slukker nu (close), så slukker du konfigureringsfilen uden at gemme. Spild af tid. Altså: Save. Du skal nu konfigurere din servers muligheder. Under Option Variables skal du klikke på mappen Startup. Når du klikker på en mulighed, for eksempel Init Cmd Net Type, kan du se den værdi, pågældende variabel har. Du kan ændre en variabel, hvis du har behov for det, ved at indsætte en ny værdi i New Value og klikke på knappen Set Value. Den nye Hackerguide 93
    • 4-3. Værdi for Init Cmd Net Type er TCPIO. I startup skal du have følgende værdier: Init Cmd Net Type: TCPIO Init Cmd Bind Str = 17006 Init Cmd Encryption = NULL Init Cmd Auth = NULL Idle Timeout (ms) = 60000 Under Stealth (stille) kan vi ændre værdier, så vi får en Stealth-server, altså en server, som starter automatisk, uden brugeren ved det. Den er i standard slået fra (værdien Run at startup er gerne sat på Disabled), og sådan skal vi lade det stå. Det er kun et eksperiment, vi foretager, og vi ønsker ikke at gøre tingene for besværlige for os selv senere. Den nye Hackerguide 94
    • Altså: Run at startup = Disabled. De andre værdier skal du, hvis de ikke allerede står sådan, sætte til: Delete original file = Disabled Insidious mode = Disabled Runtime pathname = UMGR32.EXE (ikke brugt i vores tilfælde) Hide process = Disabled Hide process name (NT) = EXPLORER (ikke brugt i vores tilfælde) Service Name (NT) = Remote Administration Service (ikke brugt i vores tilfælde) Endelig, den sidste mappe, TCPIO, beder om en standard-port. Sæt værdien til 17006 (den samme som vi gav Init Cmd Bind Str). Du kan nu gemme din server og lukke konfigureringsprogrammet. Server-filen kan derefter flyttes til den computer, hvorfra den skal køre, eller også skal du blot dobbeltklikke på den for at starte den fra den computer, hvor den nu er instal- leret. Vi mangler nu at konfigurere klient-delen. Det er også nemt. Den nye Hackerguide 95
    • Du starter programmet bo2kgui og klikker på menupunktet Plugins Configure... 4-4. Nu skal klienten konfigureres. Du skal nu indsætte de samme plugins, som du indsatte i serveren (med undtagelse af srv_control.dll, som kun var til serveren), hvilket vil sige: Filen io_tcp.dll samt enc_null.dll fra enc-mappen og auth_null.dll filen fra auth- mappen. Den nye Hackerguide 96
    • Du burde så have følgende: 4-5. Plugins til klienten Endelig mangler du blot at klikke på mappen TCPIO og indsætte samme portnummer som serveren. Den nye Hackerguide 97
    • I vores tilfælde er det 17006. 4-6. Portnummer skrives i felten New Value. Når du er færdig og har klikket på Done, skal du forbindes til serveren. Den nye Hackerguide 98
    • Du behøver blot at klikke på den lille knap, der forestiller en computer, i den øverste, venstre side af vinduet, hvorefter følgende billede burde dukke op: 4-7. BO mangler nu kun et par oplysninger for at køre. Alle oplysninger er til stede, der mangler kun et navn på din server og dens IP- nummer. Du finder på et hvilket som helst navn: Min server, for eksempel, og som Server Ad- dress indsætter du dens IP-nummer. I vores tilfælde, siden serveren kører på samme computer, er det 127.0.0.1. Derefter klikker du OK. De andre knapper dukker op og bliver synlige. Den nye Hackerguide 99
    • Du klikker på den nederste med den røde pil mod højre. Du vælger derefter: Connect. Efter nogen tænketid ... 4-8. Serveren kontaktes. ... vil du se en serverforbindelse dukke op med en mappe: Server Control. Så er det bare om at klikke på den og eksperimentere. Afhængigt af hvilken server-dll fil du har brugt først i forløbet, vil du have mere eller mindre udviklede muligheder. Mere eller mindre morderiske muligheder. Mere eller mindre etiske muligheder. Virussen Lad os nu lige se lidt på de trojanske hestes forfader: virussen. Virussen har sådan set ikke andel i hverken hackerens eller piratens værktøjskasse. Det er næsten altid et stykke ødelæggende program og ikke et værktøj, som gør, at man kan overtage din computer. Virussen kan af og til være ganske aggressiv og øde- lægge ting på din computer og ikke andet. Den er dog ofte bygget af pirater, men har kun et mål: at påvise, at den, der har skabt den er et “geni”, som er i stand til at smad- re din maskine fra hans egen pc. Når det lykkes en pirat at lave en virus, så bliver brugerne udsat for en digital epide- mi, som man snakker om i dagevis, af og til ugevis og, mere sjældent, i flere måneder. Den nye Hackerguide 100
    • Så falder sagen sammen: Knap så mange overskrifter, knap så meget omtale i radioen. Bof ... Efter et stykke tid ebber nyhedens interesse ud. Det bliver banaliseret. Når det nu er sagt, så skal du huske, at virussen eksisterer og kan have katastrofale følger for dit system. Den kan: Ødelægge indholdet af din harddisk. Blokere din pc. Slette programmer. Lave en masse uforståelige og irriterende fejl. Det skal retfærdigvis siges, at ovenstående problemer ikke nødvendigvis skyldes en virus. Mange ting kan være årsager til det. Det kan være, at din pc indeholder et gammelt program, som laver rav i den. Det kan være, at din harddisk trænger til ved- ligeholdelse (scanning, defragmentering). Disse ting kan medføre lignende problemer. Så ud over den traditionelle (og stort set nyttesløse) antivirus, hvad kan du gøre? Husk, at den vigtigste og bedste antivirus i verden har du mellem dine ører! Tænk dig om, så vil du undgå en del ubehageligheder. Her får du at vide, hvor en virus som regel kommer fra (og hvorfra den stort set aldrig kommer): Ofte fra en diskette eller USB-nøgle, du har lånt af en ven. Sjældent fra en fil, du har downloadet fra nettet. Næsten altid fra et pirateret og kopieret/udvekslet spil. Næsten aldrig fra et dokument (tekst-format). Yderst sjældent fra et billede eller en lydfil. Stort set aldrig fra en cd-rom fra et blad. Stort set aldrig fra installeringsdisketter/cd-rom fra et anerkendt firma. Den nye Hackerguide 101
    • Derudover skal du huske at en modpart (med vilje eller uden) kan sende dig en virus via en e-mail: Du starter programmet, og så er din maskine smittet. Pas derfor altid på de programmer, der følger med en e-mail, uanset om du kender afsenderen eller ej (især hvis du ikke kender afsenderen!). Disse regler skyldes selve virussens udspredelsesteknik. Dens principper er ganske enkle. Der er tale om et program med to opgaver: Den første er at sprede sig, den an- den er handlingen (for eksempel at ødelægge data). Spredningen gør, at den kan infi- cere så mange pc'er som overhovedet muligt, så den kan tilfredsstille egoet hos den idiot, der fandt på den. Den nye Hackerguide 102
    • Makro-virusser En virus er altså et stykke program. Du skal lige huske, at man skelner mellem kompilerede programmer, som er instruk- tioner, der bliver udført af processoren, og det program, som bliver fortolket af noget andet. Altså, som behøver en fortolker for at kunne fungere. De seneste års værste virusser er faktisk dem, der hører til i den anden slags: Virusser, der bliver fortolket. Disse bliver kaldt for makro-virusser. De bruger et program for at blive fortolket og starte. De er rent djævelskab. Før dem skulle virusser spredes ved at gemme sig i et program. Det gjorde deres pro- grammering kompliceret. Men en makro-virus kan gemme sig i et Word-dokument eller et Excel-regneark. Det vil sige i en fil, som drøner rundt på computerne i dit fir- ma. Årsagen til det er udviklingen af makro-sproget WordBasic fra Word 6 versionen. Man brugte makroer til at tilføje funktioner, man selv kunne programmere. Disse funktioner kan give programmet adgang til din harddisk, dit system, m.m. Det er så- dan set en grundregel: Fra det tidspunkt et program bliver meget udviklet og tillader udveksling med dokumenter og andet materiale, kan det bruges som underlag til at bygge virusser. Du kan ikke gardere dig imod makrovirusser. Det er sandt, Microsoft giver dig et andet indtryk ved, at du kan vælge at slå makro- erne fra, men hvis makroen bliver lagt i din normal.dot skabelon (din standardskabe- lon i Word), så bliver du ikke advaret. Du kan minimere skaderne ved at gå ind i funktionen Makro og lave en ny makro, som du fx kalder AutoExec. I den skriver du følgende data: Sub Main DisableAutoMacros MSGBox “AutoMacros are now turned off.”, “Virus Protection”, 64 Den nye Hackerguide 103
    • End sub Så gemmer du programmet. Denne makro vil blive kørt, lige så snart Word starter, og den deaktiverer den funkti- on, som gør, at nogle af de mest brugte makro-virusser, som Concept, DMV eller Nuclear, kan angribe dit system. Dog vil de nyere makrovirusser kunne gå forbi. Du kan se, hvordan man laver en makrovirus, der forbigår alle antispyware-, antivi- rusprogrammer og firewall på Hackademis hjemmeside. Du kan downloade det ufarlige program her: www.hackademi.com/filer/Hackademi- setup.exe, så du kan prøve det af, og lektionen om, hvordan du laver det her: www.kortlink.com/16 Du ryster? Det har du ret i! Det er utopisk at tro, at du kan sikre dig imod makrovirus. Modtrækket er ganske enkelt ikke at gemme dine skabeloner det foreslåede sted, find et andet sted til dem. Derudover kan du nægte at tage imod .doc-filer og nøjes med at tage imod filer i RTF-format, som er en standard, der kan læses af alle tekstbehand- lingsprogrammer. Alternativt: Lad være med at bruge Word! Der findes andre programmer, som er fuldt ud lige så gode (faktisk endda bedre), og som kan håndtere Word- (eller RTF-) doku- menter. OpenOffice for eksempel, som kan downloades gratis fra www.openoffice.org Den moderne trojanske hest: Spyware Spyware er programmer, som udspionerer dig. De er på grænsen mellem virus, tro- janske heste, spam og plug-ins. De kommer ind i dit system og piraterer dine data el- ler fremviser reklamer, du ville være bedre foruden. En af de bedste gratis anti-spyware programmer, du kan finde, er Spybot Search and Destroy, som du kan downloade herfra: www.safer-networking.org/en/download/index.html Spyware kan komme ind i din maskine på forskellige måder: sammen med et andet program, med en e-mail, m.m. Den nye Hackerguide 104
    • Siden sidst i år 2004 har man kunnet finde ret så tvivlsomme WMA-filer på P2P net- værket (Kazaa, MLDonkey, m.m. – fildelingsnetværk). WMA er Windows-lydfiler. De personer, som har forsøgt at læse disse lydfiler, fik lige indplanteret et hav af spyware på deres computer. Efter Kazaa var det BitTorrent, der blev smittet med disse programmer. Når man starter en film eller en serie, man har downloadet fra P2P-netværket, popper der et vindue op, som beder en installere et program. Man kan få det indtryk, at det program er nødvendigt for at se filmen. Nægt! Bemærk, at pågældende vindue sagtens kan dukke op flere gange både i begyndelsen og midt i filmen. Det kan tilmed starte din browser og føre dig til en eller anden hjem- meside. Som regel kan du, selv om du ikke installerer spywaren, der følger med, se den film, du har downloadet. Dog skal du regne med disse irriterende vinduer. I dag er situationen så grel, at en fjerdedel af brugerne af P2P er faldet fra. I 90 % af tilfældene skyldes det spyware, som stjæler ressourcer, hvis en maskine bliver lang- som. I første omgang ligner spywares adfærd den trojanske hests. Fx vil du kunne se, uden at du foretager dig noget, at din ADSL-forbindelse er ved at gå amok og sender (det kan du se på ikonet ved uret, det ikon, som ligner to fjernsyn). Det er ganske enkelt en spyware på din pc, som er ved at sende indholdet af din hard- disk til en eller anden server (der som oftest befinder sig et sted i Asien). Din computers data bliver derefter analyseret i ro og mag, og man kan ekstrahere dan- kortnumre m.m. Spywaren er rent faktisk meget farligere, end man skulle tro. Den nye Hackerguide 105
    • Antivirus, antitrojanske heste og antispyware Okay. Din maskine opfører sig underligt (mere underligt end sædvanligt). Første re- fleks: Tjek lige, om du har fået virus! Men har du virkelig set på alt? Problemet med virussen er, at den er lusket. Problem nummer to er, at de nyere virus- ser er programmeret til at komme gennem antivirusprogrammer. Et antivirusprogram kan nemt få dig på afveje ved at få dig til at tro, at et ganske uskyldigt program er en virus eller omvendt. Den nye Hackerguide 106
    • Falsk alarm Du kan altid genkende en falsk advarsel, idet der mangler det, man kalder for en un- derskrift. Et antivirusprogram skal først se på en virus' adfærd, men det bør også tjekke, hvad det er for en. Det kan det finde ud af ved at se på underskriften, som er det, der identi- ficerer den enkelte virus. Et ganske almindeligt program, som får adgang til din hard- disk ad en vej, som ikke er kendt for dit system, vil udløse en alarm. Det mest almindelige er et program, som kører i baggrunden (et ur, et program til at styre forskellige andre programmer) skrevet på en måde, som ikke lige genkendes. Det vil blive udpeget som virus. Pudsigt nok kan du også komme ud for det, hvis du har flere antivirusprogrammer på samme maskine. Næsten altid vil disse to genkende hinanden som “virusser”. Derfor skal du huske: Aldrig at installere to antivirusprogrammer på samme maskine. Hvis dit antivirusprogram udpeger et program som værende virus, så prøv at deaktivere de forskellige programmer, som kører i baggrunden. Dit antivirusprogram skal altid være pinligt ajour for at undgå tvivl mest mu- ligt. Den nye Hackerguide 107
    • Lav en virus' underskrift: Hvis du vil se, hvordan din antivirus fungerer, så kan du lave sådan en underskrift. I en tekst-editor, som for eksempel Notesblok, skriver du følgende tegn, ligesom de bliver skrevet her, uden mellemrum og uden at trykke på en- ter. Du laver herved en tekst-fil på 68 bytes, som vil indeholde følgende: X5O!P%@AP[4PZX54(P^)7CC)7}$EICAR-STANDARD- ANTIVIRUS-TEST-FILE!$H+H* Du gemmer filen under navnet: eicar.com (hvis filen er på mere eller mindre end 68 bytes, så har du enten glemt et eller flere tegn eller føjet et eller flere til). Bagefter kan du køre dit antivirusprogram og se, hvad det siger (hvis ikke det bimler allerede på det tidspunkt, du gemmer på harddisken). Voilà. Dit antivirusprogram virker og tror, at du har fået virus. Bare rolig! Filen er ikke en virus. Dit system kommer intet til. Hvis du ikke ønsker at genskrive filen, download da filen på www.hackerguiden.com/filer/eicar.com.txt og omdøb filen til eicar.com. Din puter opfører sig åndssvagt Du har tjekket alt, og dog opfører en eller flere pc'er sig underligt, uden at dit antivi- rusprogram kan se noget som helst. Du er overbevist om, at du har fat i en ny form for virus. Du tager fejl! Faktisk misforstås virus-adfærd ofte: Det kan være en bug på et program eller en tro- jansk hest eller en fejl på noget af din hardware. Faktisk skyldes de fleste af den slags tvivlsomme sager i dag problemer med harddisk eller med processorens overophedning. En overfyldt eller dårligt vedligeholdt eller Den nye Hackerguide 108
    • defragmenteret harddisk kan forstyrre din maskine og endda forvirre dit antivirus- program. En processor, der overopheder, kan være årsag til sort eller blå skærm i Windows, paritetsfejl eller uforståelige stop. Dette kan hjælpe dig: Du kan kun afgøre, om din pc lider af virus eller spyware, hvis du har et antivirus- eller antispyware-program. De fleste vil finde noget. Hvis antivirussen finder en virus uden underskrift, skal du begynde at køre Scandisk og/eller en antispyware. Hvis antivirusprogrammet ikke finder noget som helst, skal du aktivere Scandisk og Defrag og rydde op på din harddisk, især hvis den er godt fyldt, eller hvis du har in- stalleret og afinstalleret mange programmer. Prøv også en antispyware. Hvis pc'en går i stå, tjek lige din processors ventilator. Kører den? Tjek også, om du har en konflikt mellem forskelligt hardware. Hvis du alligevel har fået virus, skal du helst forsøge at finde ud af, hvor den kom fra, ved at finde den hjemmeside, du har fået den fra, eller den person der evt. har sendt den til dig, og især advare ham/hende, idet vedkommende også er inficeret, og såle- des kan du hjælpe den person med at løse problemet. Det nytter ikke noget at skælde ud eller beklage dig. Vedkommende er i 99,9999 % af tilfældene et offer selv. Når der er virusser til stede ... Nu er du sikker, og du vil løse problemet. Før jeg fortæller, hvad der kan gøres, giver jeg dig her de mest typiske symptomer ved en infektion: Pc'en nægter at starte og påstår, at der er “fejl på boot-sektoren”. Du får et hav af underlige fejl med filer på den forkerte længde eller lige præcis samme længde. Du har nu flere mulige diagnoser: Den nye Hackerguide 109
    • Boot-problemer er symptomer på, at en virus er installeret og i gang med at destruere dine data. En sådan virus lægger sig på den del af disken, som burde blive læst, når du starter din maskine. Problemet er så, at pc'en nu ikke kan starte længere. Fejl i filernes længde svarer til virusser, som ødelægger filstrukturen på din harddisk. Disse virusser befinder sig et sted på din harddisk, og de skal findes og tilintetgøres. Hvad du kan gøre for at undgå den slags: Flere virusser kan være årsag til dit problem. Det bedste er at installere et antivirus- program og analysere computeren, før du installerer noget som helst. Når virussen er installeret på boot-delen af din harddisk, skal du starte dit system med en system-diskette og gøre rent via dos-prompten med kommandoen: FDISK /MBR Denne løsning er dog i bedste fald midlertidig. Virussen kan sagtens være fjernet fra boot-delen, men stadig være aktiv og gemt et andet sted på harddisken. I øvrigt, de filer, der evt. blev ødelagt, er det stadig væk og risikerer at være årsag til flere fejl. Når du har afpareret angrebet, og systemet er nogenlunde stabilt, kan du: Smide suspekte hjemmebrændte cd’er ud. Rense alle pc'ens harddiske med et antivirusprogram. Køre Scandisk for at reparere filstrukturen (dog kan du risikere, at hundreder af programmer og filer bliver ødelagt). Alt dette gør, at du kan få et system, som er så stabilt, at du måske kan redde nogle af dine vigtige filer og oplysninger. Du slipper næppe uden om en geninstallering. Skil dig af med trojanske heste Vi skal se på, hvad du skal gøre for at skille dig af med trojanske heste. Nu ved du, at de egentlig ikke er farlige i sig selv, som virusserne. At de kun er farli- ge, hvis deres brugere er farlige ... hvilket er problematisk nok. Den nye Hackerguide 110
    • Glem aldrig, at det, at en trojansk hest er på din maskine, ikke betyder, at nogen vil udspionere dig. Det gør kun din maskine til en tjener for en eventuel anden herre. Den kan så bruges af piraten til, for eksempel, at angribe andre maskiner med, som for eksempel det angreb på DNS-serverne, som jeg omtalte tidligere. Derfor skal du helst skille dig af med disse, når det nu er værktøjer, du ikke har bedt om. Og i øvrigt må du hellere skille dig af dem, som vi installerede tidligere. Du skal først lokalisere dyrene, og det er jo nemt, det har vi allerede set på: Dvs. at du blot behøver at køre en scanning på den inficerede maskine og finde de porte, der lyt- tes på, for at vide, hvilken trojansk hest der er tale om. Du husker, at hver trojansk hest har sin port. SuperScan 3.0 eller 4.0? Vi skal nu igen bruge SuperScan, men denne gang skal vi bruge version 3.0 i stedet for 4.0. Jeg synes, at version 3.0 er mere ligetil og nemmere at konfigurere end ver- sion 4.0. Du kan downloade SuperScan 3.0 her: www.hackerguiden.com/filer/superscan.exe. For at lokalisere og fjerne en trojansk hest skal du gøre følgende: 1. Start SuperScan 3.0. 2. Klik på Port List Setup. 3. Vælg Trojan.lst, og tjek den ud. Den indeholder de fleste trojanske he- stes underskrifter. Den nye Hackerguide 111
    • 4-9. På listen over trojanske heste er trojans.lst er nu markeret. 4. Klik på Select All. 5. Luk vinduet ved at klikke på krydset (du behøver ikke at gemme evt. forandringer). 6. Start en scanning på dit netværk eller maskine med optionen Localhost (127.0.0.1). Den nye Hackerguide 112
    • 4-10. Når du klikker på start, begynder scanningen. I løbet af få sekunder vil SuperScan finde alle trojanske heste, der er til stede. Når du har fundet de trojanske heste, kan du slette dem. I øvrigt kan mange antivirusprogrammer også tage sig af opgaven. Regn ikke med at slette trojanske heste ved håndkraft. Det vil tage for lang tid og være for besværligt (måske med undtagelse af BO2K, som hedder umgr32.exe, og som kan findes i map- pen System). Den nye Hackerguide 113
    • Jeg vil råde dig til at få fat i programmet The Cleaner (www.moosoft.com – 30 da- ges prøveversion). Installer det på samme maskine som de trojanske heste. Det burde, lige så snart programmet er startet, finde dem og afinstallere dem. Find og slet spyware De fleste programmer til at slette spyware er gratis. Du kan finde flere på markedet: Windows Defender er nok et af de nyeste. Du kan downloade det herfra: www.microsoft.com/athome/security/spyware/software/default .mspx (programmet virker ikke på Windows 2000 og tidligere). Du kan også finde adware og, min favorit: Spybot Search and Destroy, kan du finde her: www.safer-networking.org/en/download Efter installeringen skal du føre programmet ajour, vaccinere din computer og køre programmet, som så vil finde de forskellige spyware-programmer og tilbyde at fjerne dem. Bemærk, som Search and Destroy fortæller dig: Nogle programmer vil ganske enkelt ikke fungere uden spyware. Hvis nogle af dine “gratis” MP3-kodere eller programmer til at lave DivX lige pludselig ikke virker længere, kan det meget vel skyldes, at det er fordi disse benytter spyware. Jeg vil i så fald råde dig til at finde andre freeware-programmer, helst Open Source, frem for spywarefyldte programmer. En verden uden virusser? Ja, det er rent faktisk muligt. Du kan få en verden uden virusser: Brug Mac OS X! Der er ingen farlige virusser p.t., systemet er mere stabilt end Windows og langt de fleste programmer, du kender (eller tilsvarende), findes til Mac. Computeren er stabil, hur- tig, virusfri, og så er den oven i købet lækker at arbejde med. Andet alternativ, hvis du virkelig holder af pc-verdenen: Brug Linux! Linux Mandriva (se www.kortlink.com/mandriva) er nemmere at installere end Windows, hurtigere, mere stabil og ganske lækker. Nogle Windows-programmer findes ikke til Linux (især spil, men så kan du beholde lidt Windows kun til spil og Den nye Hackerguide 114
    • bruge Linux til det alvorlige), men der er mange andre muligheder og mange pro- grammer, som findes til Linux og som ikke eksisterer til Windows (jf. Hping, det pro- gram, jeg omtalte side 56, som kan lave ping-pakkerne). Til dato må der være en 15-20 kendte virusser til Linux, hvoraf ingen af dem er farlige. Så en verden uden virusser eksisterer og er lige uden for din dør, men så skal du også tænke lidt alternativt. Og ja, jeg kan vist ikke skjule det for dig længere: Jeg er selv Macbruger, og Linux- bruger, når jeg skal på pc. Jeg har kun en bærbar med Windows for at kunne spille Chess Master 10 og et par enkelte spil og så til at tage skærmklip med. Man kan sag- tens leve uden Windows ... Helt fint endda! Den nye Hackerguide 115
    • 5. Systemhuller Myten om hackeren handler om den geniale programmør, som er i stand til at undersøge det inderste af et styresystem, og som kan fin- de hullet, som vil tillade ham at smutte ind i systemet. Så ja, hackeren er en ekspert, en programmør, en snushane ... Men ikke kun det! Fordi i piraternes verden findes der ganske almindelige brugere, som benytter allerede eksisterende værktøjer. Vi ser på dem her. Så har piraten fået fat i en pc, en server eller et netværk. For øjeblikket nøjes han med at være ved døren. Men så starter han sin IP-scanner og scanner for kendte huller. Han er begyndt at indsamle informationer. Det er disse informationer, som han vil bruge til at trænge ind i systemet. Analyser resultatet af en scanning Man behøver ikke administrator-passwordet for at piratere et system. Vi så tidligere, at man kan nøjes med at sniffe netværket for at se dets trafik. Man kan se passwords og brugernavne komme forbi i klart sprog. Man kan også hijacke et netværk for at ud- spionere trafikken. Hvis målet er for godt beskyttet, kan dette dog være ret besværligt. Piraten kan gøre noget meget, meget nemmere. Han kan bruge tre forskellige metoder. Enten vil han: Bruge et sikkerhedshul i programmet til at komme ind i systemet. Det er det, man kalder “exploit” (fra det engelske to exploit – at udnytte). Bruge et hul i systemet for at lægge en kode i systemet – en trojansk hest. Udnytte et kendt hul på afstand: for eksempel NetBIOS eller SSH. For at finde ud af hvilken metode han skal bruge, vil piraten først læse sin scannings resultat. Han vil tjekke de scannede porte og se, hvilke programmer der ligger der, og dermed hvor deres svage punkter er. Vi ser på det: Den nye Hackerguide 116
    • Start SuperScan 3.0 (til dette brug, foretrækker jeg også SuperScan 3.0). Klik på knap- pen Port List Setup, og sørg for, at Port list file står til scanner.lst, og at du har klikket på Select All under Select ports. 5-1. Når du har tjekket, at scanner.lst er i Port liste file og har klikket på Select All, kan du klikke OK. Så starter du scanningen ved at klikke på Start, og du vil kunne se, hvis du klikker først på det grønne hak, alle de åbne porte og servicer og, hvis du klikker på det lille plus ved siden af webserveren, som interesserer piraten, så kan du se, at der er tale om en Sambar server version 6.1. Ligeledes kan du se, at NetBIOS service er åbnet på port 139. Det er mere information, end man behøver at kende til for at finde hullerne. Den nye Hackerguide 117
    • 5-2. Her ser vi, hvilke porte er åbne, hvilke programmer som benytter dem, og hvilke versioner disse programmer er. Mere end hvad vi behøver at vide. Nu er der to muligheder: Enten går piraten en tur på en hjemmeside som Neworder (www.neworder.box.sk), Den nye Hackerguide 118
    • eller også behøver han blot at tage en tur til Google og skrive: sambar exploit eller sambar 6.1 vulnerability Vupti: 5-3. Vær så god! 9.900 resultater. Du behøver ikke at se på dem alle ... Bare nøjes med de første. Den nye Hackerguide 119
    • Næsten 10.000 resultater, hvoraf, på de første pladser, databaser over huller i forskel- lige programmer. Nu skal du huske, at engelsk er det sprog, du skal bruge, når du vil finde ud af den slags. Jeg vil lige indskyde her, at pågældende computer er min lege-Windows-maskine på netværket. Det er ikke en maskine på internettet. Exploits Exploits er programmer eller procedurer, man bruger for at nå en computer og udnyt- te dens huller. Det er ikke særlig svært at udnytte en exploit. Man behøver bare at sø- ge med en scanning for derefter at starte proceduren. Alle exploits er detaljerede og forklarede på nettet med ret tydelige brugsanvisninger. I piraternes verden er det, at udnytte en exploit, begynder-leg. Det er forståeligt, da det er andre, der har fundet hullet og skrevet brugsanvisningen, og man behøver blot at følge en procedure. Det er lige det, der er problemet! Exploiten er nem at lave, når den nu engang er be- skrevet, det er sikkert. Men den er ikke desto mindre ret så morderisk. Når man ser listen over de forskellige exploits, så kommer man til at spørge sig, om ikke producenterne ligefrem gør det med vilje. Man kan se lidt på www.frsirt.com/exploits, og selv om jeg til dels kan for- stå, at Open Source-programmer som Linux kan være ude for huller (det er trods alt et produkt, som er lavet af et fællesskab et sted), så overgår det min forstand, at pro- grammer som Wingate ProxyServer eller Quake2, som koster en del penge, giver ad- gang til brugerens harddisk ... Helt ærligt! Naturligvis kan man formindske skaden ved at være pinligt ajour med sine pro- grammer. Men hvor mange er det? Det er du garanteret, lige som jeg er. Men hvor mange derude er ikke ajour? Windows XP sættes ajour automatisk, og en del programmer sørger efterhånden for at tjekke, om der er en nyere version på nettet. Men ikke alle gør det. Derfor er det yderst vigtigt, at du sørger for at gøre det. Den nye Hackerguide 120
    • Mailing-listerne De nye exploits bliver gerne holdt øje med af service-tjenester eller af programmører- ne. De fortæller brugerne, når der findes et hul, og hvordan det lukkes. Hvis din ud- byder har en sådan tjeneste, bør du abonnere på den. På samme måde hvis du har købt et program. Se, om de tilbyder en mailing-liste, så du kan holde øje med opdate- ringer. Det er rigtigt, du vil få reklamer indimellem, men på den anden side vil du også hurtigt få at vide, hvis der er fundet et hul, og hvis der er kommet en patch. I vores tilfælde, med Sambar 6.1, så er der forskellige huller, deriblandt det, at man får at vide at Sambar 6.1 ikke kommer med noget administratorpassword. Se fx: www.oliverkarow.de/research/sambar.txt NetBIOS-hullet Vi har også fundet, på dette system, at porten NetBIOS er åben. Det er en klassiker. Denne Windows-fejl kan fortælle alle, hvad dit brugernavn, computernavn og ar- bejdsgruppenavn er (vi så lidt af den på side 58). Serveren NetBIOS, som er et program, som kommer oven over alle netværkskort på alle Windows-versioner til og med XP, svarer via TCP/IP til alle forespørgsler, der stilles via port 137. Disse spørgsmål, når de bliver stillet af Advanced IP Scanner (vi ser mere til Advanced IP Scanner om lidt), giver de nødvendige informationer, som behøves til fildeling på serveren via port 139. I Advanced IP Scanner bliver disse oplysninger givet dig klart og tydeligt i kolonner- ne Netbios User, Netbios Computer og Netbios Group. Kort sagt betyder det, at hvis din NetBIOS-server er åbnet, og hvis du har aktiveret fildelingen, så kan alle, eller næsten, gennemgå din harddisk via internettet! En udbyder kan finde på at låse portene NetBIOS 137 og 139 for at sikre sine brugeres sikkerhed, men det er ingen tvang. Den ægte internet-kompatibilitet kræver, at en ud- byder ikke blokerer nogen porte overhovedet for ikke at genere sine kunder. Hvis man tænker sig om, så er det heller ikke hans problem, at du ikke har et sikkert sy- stem. I vores eksempel vil vi bruge programmet Advanced IP Scanner til at udnytte Net- BIOS-hullet. Den nye Hackerguide 121
    • Du kan downloade den nyeste version fra www.download.com eller version 1.4, som jeg bruger her fra www.hackerguiden.com/filer/ipscan14.exe Du kan lave en scanning over IP-numre – en række IP-numre – indtil du finder en computer, der svarer. I vores tilfælde, da det er på vores netværk, kan vi scanne det rigtige IP-nummer direkte, hvilket i vores tilfælde er 192.168.0.144. Klik på File Add New Computer og udfyld det rigtige IP-nummer. Ellers kan du bare scanne hele net- værket (fx fra 192.168.1.0 til 192.168.1.255) og se resultaterne. Når man i statuslinjen kan se, at computeren er “alive”, kan man klikke på den og klikke på knappen Add. Du ser så både IP-nummeret, computerens navn, MAC-adressen m.m. Nu behøver du blot at lave et højreklik på computeren og vælg Explore. Den nye Hackerguide 122
    • 5-4. Det drejer sig bare om et højreklik. Den nye Hackerguide 123
    • Og vupti ... Så er du på harddisken. 5-5. Så handler det bare om at browse ... Bemærk, at pirater ikke altid behøver den slags. De kan bruge nbtstat-kommandoen. Den nye Hackerguide 124
    • Du kan nemlig nøjes med at starte en dos-prompt og skrive: nbstat –a ip_nummer_på_maskinen. De oplysninger, man får derfra betyder, at man kan lave en forbindelse til maskinen og udnytte de delte ressourcer. Det er lidt sværere end med Advanced IP Scanner. Det er betænkeligt, at millioner af computere, som er forbundne på nettet, er vidt åb- ne, selv om det problem burde have været rettet i en af de utallige ajourføringer af Windows. Være morsom med Defacing Når man taler om exploit, taler man nødvendigvis også om defacing. ¿Qué? Defacing er den mest imponerende (og i øvrigt den sjoveste) form for hacking. Der er intet farligt i Defacing ud over for den persons ego, som det går ud over. Metoden går ud på blot at erstatte en indeks-fil fra en hjemmeside med en anden side. Nogle af de mest berømte defacinger har været Whitehouses hjemmeside samt Micro- soft og Yahoo. I Frankrig, hvor jeg bor, går det ofte ud over Front Nationals hjemmeside (det ekstre- mistiske højreparti ledet af Jean-Marie Le Pen) og nogle andre. Defacingerne kan af og til være morsomme eller grove. Du kan til hver en tid følge defacing live fra forskellige pirat-sider. For eksempel fra: www.zone-h.org Den nye Hackerguide 125
    • Her kan du se listen med defacede sider, og datoen hvor det blev gjort, hvem gjorde det, hvilket styresystem der var på serveren, samt om der var tale om en defacing af en enkelt side eller “massedefacing”. Du klikker på et link, og du burde kunne se den defacede side (medmindre de nåede at lukke siden, men holder du dig til dem fra dags dato, burde du have en god chan- ce). Defacingen kan være ret kedelig, bare en sætning skrevet af hackeren, men nogle bli- ver erstattet af mere spændende indhold som for eksempel dette her: Den nye Hackerguide 126
    • 5-6. Bibeltro.dk blev defaced af Soul_Fly sidste år. Jeg nåede at tage dette skærmklip. Den nye Hackerguide 127
    • For nylig, den 14. juli 2007, blev www.securitynetwork.dk defaced. Meget uheldigt for et sikkerhedsfirma at lave sine sider med Frontpage (siden kan ses her: www.hackerguiden.com/securitynetwork.jpg). I de fleste tilfælde bliver disse exploits mulige, fordi systemadministratoren er uop- mærksom: Der er tale om at udnytte en eller flere bugs på serveren, så man kan få ad- gang til dele af serveren, som kun administratoren ellers kan få fat i. Heldigvis, hvis systemadministratoren holder sig ajour, er der meget få muligheder for at blive pira- teret på den måde. Der findes – heldigvis – ingen værktøjer, som kan bruges til at lave en defacing. Der er nogle metoder, som hviler på værktøjer som CGIS4, som er et program, der scanner efter huller. Der findes flere programmer, som kan finde huller i et system (især Apa- che-servere og Windows IIS), og som benyttes for at give adgang. Hulscanneren Du kan downloade programmet CGIS4 fra http://old.zone-h.org/en/download/category=71/ eller fra www.hackerguiden.com/filer/cgis4.zip I dette kapitel vil vi bruge CGI Scanner version 4. Bemærk, at det kan være, at du får en virus-alarm, når du starter programmet. Bare rolig: Der er ingen virus her. Falsk alarm. Dette program er et ganske glimrende værktøj til at finde alle disse huller, og de scripts, som kan bruges til at udnytte dem. Når du har pakket programmet ud, kan du dobbeltklikke på cgis4.exe og se bruger- fladen. Det er så nemt: Du vælger en URL, om det så er et domænenavn eller et IP-nummer (her holder jeg den på de hjemlige himmelstrøg), så skal du under RuleSet vælge et regelsæt, hvis det er en Unix- eller en Windows-server, og hvilke huller du vil tjekke ud. Den nye Hackerguide 128
    • 5-7. Her vil vi se på den lokale server efter NT-relaterede huller. Når du er parat, behøver du blot at klikke på Start, og så går maskinen ellers i gang med at søge efter fejl. Du vil se resultaterne dukke op i den nederste del af vinduet. Hullets navn, beskrivel- sen m.m. Når disse er udpeget, er det blot om at udnytte dem. Den nye Hackerguide 129
    • 5-8. Her, på en anonymiseret side, kan man følge med i det, der scannes. Nogle af dem forlanger et minimum af kendskab til systemet, men, det skal indrøm- mes, huller kan udnyttes til at sætte hele serveren ud af spillet. Her er det ikke bare defacing længere ... Her er der tale om at ødelægge data eller afbryde en maskine. Det er den slags angreb, som blev udført mod Yahoo, eBay og DNS-rootserverne, som jeg omtalte tidligere. Kan du se, at din server har et eller flere huller, må du hellere finde ud af at lukke hul- let igen. Hvis det er et program, du bruger, skal du finde de nødvendige patches og Den nye Hackerguide 130
    • modtræk (du kan som regel finde modtræk til en exploit på de samme steder, hvor du finder beskrivelsen af den). Hvis du ikke kan være herre over det, hvis det er noget, der har at gøre med en server i byen, hos din udbyder, skal du påpege det over for din udbyder og fortælle ham om de huller, du har fundet, samt bede ham om at gøre noget ved det. Alternativt kan du – ganske enkelt – skifte udbyder. Når nok kunder smutter pga. sikkerhedshullerne, kan det være, at udbyderen vil tage sig sammen og gøre noget ved det. Der er ingen grund til at vente, til din side er ble- vet defaced, før der sker noget. Ikke fordi det er så frygteligt generende (du har vel en kopi og din udbyder – hvis han er seriøs – laver jævnlige backups), det er bare meget ærgerligt. Den nye Hackerguide 131
    • 6. Internet-passwords Nu ved du, at en pirat vil snuse passwords fra netværket. Det har vi set. Hvis han ikke kan komme til, eller hvis systemet er for godt be- skyttet, vil han forsøge at finde huller i systemet. Lykkes det ikke, fx hvis systemet er ajour, og piraten er ikke dygtig nok til selv at finde nye huller, så er der en tredje mulighed: Han kan bare bruge det lov- lige password! Alle har passwords til alt i dag. Og da man beder om passwords til alt, for at gøre det hele mere sikkert, så gør man det hele mindre sikkert. Det er klart: Brugeren kan ikke huske 25 forskellige passwords. Der- for vil han vælge et par stykker, som han vil bruge igen og igen ... For piraten er det nok at få fat i ét, så falder resten på stribe lige i skødet på ham. Men hvordan får man fat i et internetpassword? Der er i det hele taget to muligheder for at placere ansvaret og hullet. Det kan være brugeren selv: Han har så mange passwords, at han har noteret det på en post-it på sin skærm (grin ikke – jeg har set det ske) eller på et stykke papir. Eller også kan hack- eren bruge et program til at knække koden. Også dette vil være dit ansvar. Admini- stratoren vil altid kunne hævde, at hvis du havde brugt et langt og kompliceret pass- word, ville piraten aldrig være kommet ind. Den anden mulighed er simpelthen en usikker server, fejl i de scripts, der benyttes af udbyderen m.m. Faktisk skete det i Frankrig for et års tid siden for den gratis udbyder iFrance, som tilbyder gratis hjemmesider, e-mail m.m. Det var nok at tænke lidt alternativt, og metoden var uhyre simpel. Du vil garanteret kunne finde det andre steder i verden. En hacker, som ville påvise svagheden i systemet, lavede to Yahoo e-mail-konti. Den ene var “offeret”, den anden var “piraten”, for at undgå at piratere en “ægte” konto, hvilket kunne have givet manden problemer. Så lavede piraten sin hjemmeside. Det gik fint. Idet han lavede rettelser, fandt piraten ud af, at URL'en til forandring af en side var: Den nye Hackerguide 132
    • www.ifrance.com/site/inscrip.recap?Nom=navn_på_hjemmesiden Og her, hvor forbavsende det end så var, hvis man i stedet for navn_på_hjemme- siden, indsatte en hvilken som helst hjemmeside hos iFrance, kunne man se følsomme oplysninger om denne side. Værst var det, at man kunne udskifte personens e-mail-adresse med en hvilken som helst e-mail-adresse og derefter kunne man bede systemet om at sende ens password igen og ... Bingo! Så havde man adgang til hele herligheden ud over, at man kendte vedkommendes password. Du behøver ikke bruge megen fantasi til at forestille dig, hvad der så derefter kan ske ... Den teknik er langtfra ny, den har eksisteret i lige så lang tid, som den slags konti har eksisteret. Man skal altid tjekke, hvad der står i adresselinjen. Nu er det altså ikke altid udbyderen, der er skyld i det. I 99 % af tilfældene skyldes den slags brugeren. Den nye Hackerguide 133
    • Vigtige ting, du skal huske: Nej! Brug aldrig en post-it klistret på skærmen med brugernavn og password. Ej hel- ler papir på bordet eller andet. Husk: Er pizzabudet virkelig et pizzabud? Han kan være det, men også bruge en computer i sin fritid. Når passwords ikke er klistret fast på skærmen, så skal man også undgå at skrive dem i et tekstdokument eller i et Word- eller Excel-dokument. Og lad være med at fortælle mig, at disse kan beskyttes med et andet password. Der er stort set intet, der er nemmere at omgå, end disse. Der er andre geniale forslag ... som er lige så usikre: at skrive det i ens adressebog, gemt som telefonnumre. Er din adressebog altid dér, hvor du kan se den? Hvor lang tid vil det tage en øvet pirat at knække det, tror du? Et par fotokopier, så kan man i ro og mag prøve alle telefonnumre og bagefter koncentrere sig om dem, der ikke virker. For ikke at glemme hvilke oplysninger du giver, når man kan se i din agenda: Peter – 6 år den 18. oktober? Hvad mon man får ud af 18102001? Ikke at forglemme naturligvis det unikke password, som man bruger til alt. Det er nok at få fat i passwordet til din gratis e-mailkonto for at få adgang til dit Magasin- kontokort, mobiltelefon, gratis hjemmeside, Amazon-konto, m.m. Nu er der intet nyt i det. Det er nemt for en pirat at fange en i det, da stort set en fjer- dedel af befolkningen bruger deres fødselsdato, hvis ikke det er konens, barnets, barnebarnets eller hundens, når der skal bruges et fire-cifret password. Hvis en pirat kender din alder plus eller minus ti år, vil han vide, at de første to tal er 19. Så er der ikke ret mange kombinationer tilbage ... Omgå passwords Jamen dog? Vil man sige: Hvordan i alverden kan man så komme til at huske disse forbandede passwords? Ikke nemt. Du skal finde en husketeknik for at kunne huske dem uden at skrive dem ned, alt imens at du undgår at bruge personlige oplysninger. Husk, at et kompliceret password, som er tæt på dig, nemt kan blive fundet igen. No- get i retning af cm63bm60 (Cyril Malka 1963 – Britt Malka 1960) er nemmere at knæk- ke, end du tror. En pirat kan finde på at bruge tre teknikker for at afsløre den slags. Disse kan komme i kategorierne: undersøgelse, opfindsomhed og teknologi: Den nye Hackerguide 134
    • Undersøgelsen går ud på at finde informationer om en person, så man derfra kan ud- lede vedkommendes mulige passwords. Det er også det, der kaldes social engineering (se artiklen om social engineering på www.hackademi.com ). Opfindsomhed går ud på at kende til, hvilke former et givent password kan indtage: Man studerer de forskellige mulige passwords, en bestemt administrator kan finde på. Teknologien går ud på at teste flere passwords automatisk ved hjælp af et specielt program. Dette kan være specificeret (man bruger kun en bestemt kategori af pass- words) eller brutalt (man bruger en computers regnekraft). Social engineering vs. brute force Social engineering er sådan set ikke et it-angreb. Det er nærmest en metode til at få fat i oplysninger. Social engineering vil benytte folks naivitet og gode vilje. Langt de fleste af os vil ger- ne være flinke og stole på andre. Dette kan så udnyttes. Det er ledt, men sådan er det. Det kan være rimelig hurtigt og nemt. En velplaceret telefonsamtale i en overbevisen- de tone kan få mange på en arbejdsplads til at aflevere en del oplysninger. Men social engineering er mere end det. Det er lidt af en slags detektivarbejde, som skal opbygge offerets social-profil. Den profil vil indeholde en del data, som kan bru- ges til password. Disse data kan blandt andet være: Fornavne eller kælenavne på nærstående personer: fader, moder, børn, ægtefælle, bedstemor, elskerinde, kæreste, hund, kat, osv. Numre: fødselsdatoer, bilpladenummer, kørekortsnummer, pas-nummer, osv. Almindelige oplysninger: gadenavn, bynavn, gadenummer, telefonnummer, post- nummer, osv. Civile-oplysninger: offerets fødselsdato, fødselsdatoer for nærtstående personer: børn, kæreste, ægtefælle, hund, kat, osv. Oplysninger knyttet til fritidsbeskæftigelsen: Sportsgren, hobbies, klubbens navn, yndlingskunstner, -sportsmand, -skue-spiller, osv. Den nye Hackerguide 135
    • Alle disse oplysninger, og mere til, kan sættes ind i en ordbog (en tekstfil), som kan bruges af et program som Brutus (som vi vil se det om et øjeblik), og så kan man teste dem. Efter at have læst disse linjer bør din umiddelbare reaktion derfor være at ændre dine passwords, som systematisk er forbundet med dit bilmærke, motorcykelmærke, kone, hund, gadenavn eller ven! Du skal i hvert fald gøre det, når disse oplysninger er forbundet med dig direkte. Det vil naturligvis være sværere at gætte et password, som er på en anden hund, hvis ejer du har mødt på gaden og snakket lidt med, end hvis hunden tilhører dig. Passwordgeneratorer De mest fornuftige brugere benytter sig af et program, der genererer passwords. Du kan for eksempel bruge Advanced Password Generator, som kan downloades fra denne hjemmeside: www.segobit.com/apg.htm eller fra www.hackerguiden.com/filer/advancedpassgenerator.exe. Den slags programmer kører efter regler, som siger, at et password er sværere at knække, når det indeholder bogstaver, tal og tegnsætninger. En del servere vil dog ikke acceptere tegnsætninger i passwords eller brugernavne. Et password, som udelukkende består af tal, tillader højst 10 kombinationer pr. tegn, bogstaver vil tillade 26 pr. tegn (52 hvis der er forskel på store og små bogstaver) og de to tilsammen, 36 (eller 62). Hvis man ganger det med et password bestående af seks tegn, så kan brute force kræve meget, meget lang tid! Du kan tjekke dit passwords sikkerhedsniveau på http://geodsoft.com/cgi-bin/pwcheck.pl Dette program vil fortælle dig, om dit password er godt eller skidt. Helt afgjort er passwordgeneratorer gode til at finde passwords, der er svære at cracke med brute force. Problemet er, at de altså også er svære at huske, hvorfor man er fristet til at skrive dem ned et sted. Tilbage til start altså! Værre, da det er sværere at gemme gv45YxB0 i en adressebog, uden at det vækker mistanke! Det kan være værre. Den nye Hackerguide 136
    • Nogle generatorer kan være forudsigelige! Det er især tilfældet for de passwords, der kan udtales (de er nemmere at huske). Du kan finde sådanne generatorer på www.pctools.com/guides/password eller på www.multicians.org/thvv/gpw.html 6-1. Passwords, der kan udtales, er som regel ikke særlig sikre. Faktisk har jeg lagt mærke til, at mange af de administratorer, jeg kender, har en dår- lig vane: De giver passwords efter de samme regler og efter de samme generatorer. Dette vil sige, at hvis man skal cracke konti, som er under en administrator, behøver man blot at kende administratorens vaner. Det er på den måde, at en canadier, som solgte mange hjemmesider, fik det halve af sine kunders sider piraterede på en enkelt nat! I det tilfælde var vanen at sætte do- mænenavne som kontonummer og det halve af domænenavnet som password. Nemt Den nye Hackerguide 137
    • for en hvilken som helst pirat. Vedkommende behøver blot at blive kunde på et eller to domæner for at ane mønstret, og så er det bare om at gå i gang. Den bedste passwordgenerator i verden forbliver dog menneskehjernen. Hvis du par- tout skal bruge en generator, så kan du bruge dit hoved. Et password, der er svært at cracke, vil indeholde både bogstaver og tal, små og store bogstaver og skal være fra seks til otte tegn langt. For eksempel vil passwordet xeP95p7Y, som jeg lige har fun- det på, være svært at knække med brute force. Teknologi og statistik vs. passwords For bedre at kunne forstå passwordenes skrøbelighed skal vi komme lidt ind i en pi- rats tankegang. Hvordan vil han gøre? Bruger han speciel teknologi? I første omgang er der teknologier til at knække passwords. Der er tale om program- mer, som forsøger at gætte passwordet. Problemet her er, at resultatet afhænger af dels piratens computers styrke (jo mere kompliceret passwordet er, desto flere kom- binationer skal prøves, og det bliver dermed nemmere at afsløre ham). Derfor skal piraten næsten altid supplere med et studie af offeret, så han ikke skal bruge så mange forsøg. Lad os se på problemet konkret: For at bryde ind i en computer skal man bruge brugernavn og password. Lad os fore- stille os at kontonavnet er på seks tal og bogstaver, og password det samme. Der er så tale om 3612 kombinationer, der skal testes (12 tegn med hver 36 muligheder). Du skal nok regne med 1.000 år med 1 Gbit forbindelse. Derfor skal piraten forsøge at for- mindske mulighederne ved at studere administratorens vaner eller ved at bruge så- kaldte ordbøger med den person som mål. Den nye Hackerguide 138
    • Idet piraten retter skytset mod administratorkontoen (det er jo den, der har de spæn- dende muligheder), så kan han allerede vide, via Brutus, at der er klassiske bruger- navne for at gå efter administratorkontoen. Disse er fx: admin password passwd admin1 admin2 admin123 adminpass guest guest1 guest12 guest123 guestpass administrator Ud over dem, som angives af Brutus, er der så andre, som også er meget brugte: superuser, webmaster, webadmin, root, test, osv. Faktisk er der nogle udbydere, hvor de dedikerede servere, der gives til kunderne, har passwordet admin. Ligeledes leveres stadig mange Cobalt-servere med admin som password. “Admin” er som regel administratorens brugernavn på en Cobalt-server, og så har piraten allerede det halve af løsningen og behøver blot at gætte den anden halve. Nu fortæller leverandører m.m. gerne, at man skal skifte password, lige så snart man er logget på første gang. Men mange gør det ikke. Værre endnu, på de fleste Wi-Fi routere, man køber, er brugernavn og password: Ad- min og de fleste brugere tænker ikke på at ændre det. Den nye Hackerguide 139
    • Husk at droppe det med dit fornavn eller dit barns fornavn som login. Også det kan nemt gættes. Hvis piraten mangler inspiration, kan han blot supplere sin ordbog med de mest brugte fornavne (fx herfra: www.kortlink.com/fornavnsstatistik). Så kan du se, med en god liste kan man nemt dele hacketiden med 1.000, især hvis brugeren er, som brugere er flest. Social engineering kan nemt suppleres med teknik (og omvendt). Lad os tage et praktisk eksempel: Du ønsker at komme til en persons konto på en auktions-hjemmeside. Særkendet ved den side er, at den selv giver passwordet til sine brugere. Du kender brugernavnet for personen, men ikke vedkommendes password. Du er trods alt halvvejs. Ved at melde dig til pågældende side kan du se, hvordan passwordene bliver tildelt. For eksempel fire bogstaver eller fire tal. Her, naturligvis, kan Brutus og brute force bruges. Fire tal er kun 9.999 kombinationer og med en god forbindelse burde det hele ikke tage mere end en time eller to. Modtræk til slagsen er nem: Brug aldrig for klassisk et password (fornavn, efternavn, ord fra en ordbog). Du kan dog, i værste fald, blande flere fornavne, men pas på. For hvad administratorer angår, fortæl aldrig passwordenes strukturer på en side (for eksempel: Indtast et password på seks tegn med bogstaver og tal). Gå aldrig under seks tegn til et password. Hvis vi taler om fire eller fem tegn, så kan en hvilken som helst pc og en ADSL-forbindelse være mere end rigelig til at knække ethvert af slag- sen. For hvad de passwords angår, som du har fået tildelt af tjenester eller af siden, skift dem hurtigst muligt ud. En pirat, som kender til administratorernes vaner og pass- wordstruktur, vil nemt kunne gætte det angivne password. Angreb med passwords Hvordan i alverden forsøger piraten sig så frem med alle disse passwords og mulig- heder? Du kan nok regne ud, at manden ikke går frem i hånden, som man kunne se Den nye Hackerguide 140
    • det i Wargames4, ellers vil han stadig være i gang i år 2365. Han bruger naturligvis et program. Du har læst flere gange, at jeg omtalte Brutus, så mon ikke du har regnet ud, at der også er en genvej her? Uanset hvad, så skal piraten begrænse mulighederne så meget som muligt, fordi også med et program, en hurtig forbindelse og en kraftig computer, så er der immervæk en del muligheder. Derfor skal piraten begrænse antallet og lægge dem i en database og i et program, som vil tage sig af at teste de forskellige password efter hinanden automa- tisk. For at hjælpe på det så er der de klassiske profiler, som bruges af piraten, og som jeg allerede har omtalt (konti der hedder root, admin, osv.). Men man kan finde filer med alle de mest almindelige og brugte muligheder helt fær- diglavede: Brugen af ordbøger. Det testede ord indhentes fra en foruddefineret liste, som inde- holder de mest almindelige passwords sammen med deres varianter (omvendt, med et tal til sidst, osv.). Dagens ordbøger indeholder godt og vel 50.000 ord og er i stand til at klare en del varianter. Ordbøger om “passwords der kan udtales” (derfor min modvilje mod den slags): For at passwordet nemmere kan huskes, opretter nogle passwordgene- ratorer passwords, som nemt kan udtales: zazu12, fisku13, gasku21 fx. Ordbøger med fornavne hierarkiserede i forhold til statistik. 4 Ifølge min mening er Wargames en udødelig og gennemgående genial film om hacking. Også selv om den er gammel, og materialet, der bruges, er dejligt nostalgisk. Faktisk lærer du i denne film de basale principper om hacking: Kendskab til sy- stemet, fornuft, opfindsomhed, interesse og social engineering – Det er ved social engineering, at hackeren finder passwordet til bagdøren. Hele vejen igennem en ganske godt lavet film, som hænger godt sammen. Et must! Den nye Hackerguide 141
    • Simuler en bruger Når disse data er parat, skal du have et program, som kan simulere en bruger, der indtaster et password. Altså en slags intelligent robot. Intelligent, fordi programmet skal kunne generere passwords ved at starte fra en regel eller en ordbog og sende disse passwords via internettet. Tænk, man bruger passwords i mange tilfælde, som programmet skal kunne hitte rundt i. Man bruger passwords fx: Til at logge på, i en Windows dialogboks. På en HTML-side. Med FTP, når du skal have adgang til en FTP-server. I et mailprogram: Når du henter post på serveren. I Telnet, når du skal administrere en server på afstand. Andre programmer, som bruger opkobling gennem netværket eller på din ma- skine. For at kunne knække et password skal robotten derfor være i stand til at lave et pass- word, som en bruger ville gøre det (med HTML eller Telnet), eller som et program ville gøre det (e-mail eller FTP). Derfor skal programmet kunne styre det med at sende password uanset hvad. Til det formål findes der to metoder: Den brutale måde (brute force): Alle muligheder bliver testet efter tur, indtil løsningen dukker op. Den intelligente måde: Passwords bliver sendt efter en database (en fil med pass- words). Nu er der allerede modtræk til ovenstående. Sikkerhedseksperter påstår, at for at undgå et sådant angreb kan man nøjes med at tvinge brugeren (og i så fald robotten) til at vente mellem to forsøg samt at begrænse antallet af forsøg. Hvis en vis ventetid Den nye Hackerguide 142
    • bliver overskredet, eller hvis der er mere end tre forsøg, så blokeres kontoen. Ifølge eksperterne bliver det stort set umuligt at angribe, da et angreb vil tage alt for lang tid at gennemføre. Det er til dels sandt: For hvad ventetiden mellem to forsøg angår, så kan et crack- erprogram som Brutus konfigureres til det. Denne konfigurering har naturligvis den ulempe, at det tager noget længere tid at gennemgå de mulige passwords. Men man kan spille kyniker og sige, at når der alligevel er noget, der hedder “vente- tid” så er det vel bare et spørgsmål om, at det bliver en time i stedet for et minut. Men lad os være ærlige: Piratens arbejde bliver vanskeliggjort, og han vil vende sig mod en anden løsning. Det er faktisk muligt at bruge et passwordcrackingprogram sammen med et proxy- program. Dette vil sige, at programmet ikke spørger serveren direkte, men kommer gennem en server, en proxy. Man kan ligeledes bruge IP-adresser fra en anden com- puter ved at bruge en trojansk hest. Med disse teknikker fortsætter robotten med at forsøge at finde passwordet, men så skifter den IP-nummer hver gang, så den ikke giver indtryk af at være en bruger, som forsøger en masse passwords, men så er den forskellige brugere fra forskellige steder i verden, som hver især forsøger med et password. I så tilfælde hjælper det lige fedt at give ventetid mellem to forsøg: Der vil jo ikke væ- re “to forsøg”, men et forsøg fra bruger A, et fra bruger B, osv. Den eneste måde, en administrator skulle kunne forhindre den slags angreb ville være at tvinge brugerne til at bruge et bestemt IP-nummer (og endda det er usikkert) eller at forhindre brugerne i at komme i kontakt med serveren. Hvilket vil være ret så uhel- digt. Derfor er det vigtigt at vælge et godt password, så at regnetiden kommer højt op, og det vil være uinteressant for en pirat. Tilladt IP: En af de mest sikre måder at gøre det på er, at man kun tillader passwordindsætning fra én eneste IP-adresse. Blot den tilladte ejer vil kunne skrive sit password. Denne teknik er dog ret så uønsket, for det betyder, at den ikke tillader at man bevæger sig. En anden computer end den med det rigtige IP- Den nye Hackerguide 143
    • nummer vil blive afvist. Selv om metoden er rimelig sikker, er den ikke ufejlbarlig, da, som vi har set det tidligere, det er muligt at snuppe en andens IP-adresse. Brutus' brute force Helten over passwordscrackingverden er Brutus. Dette program er i besiddelse af samtlige de funktioner, jeg har fortalt om indtil nu. Det er, derudover, ganske godt understøttet af sin hjemmeside: www.hoobie.net, og så er det gratis. Du kan finde andre og lignende værktøjer, som fx dem fra www.sparkleware.com (Entry), som også er udmærkede. Men Brutus er nu mere veludført. 6-2. Brutus er startet op. Den nye Hackerguide 144
    • I den øverste del kan du se Target (målet), og der kan du sætte en IP-adresse eller en URL samt et angrebsmode: Er der tale om FTP-password, POP, HTTP, osv. Brutus Bad Files: Brutus i sin nyeste version (AET2) kan beriges af nye protokoller. Disse kan downloades fra www.hoobie.net/brutus/brutus-application-definition-files.html. De har endelsen .bad. Du kan fx finde protokoller, som gør, at man kan angribe router- nes password. Det er i øjeblikket den store mode hos piraterne, da man kan få mange oplysninger ad den vej. Under den del kan man forfine den metode, der bliver brugt af Brutus. I området Connection Options kan man definere den TCP/IP-port, der skal angribes. Standardporten på en mail-modtagelses-server (POP) er 110. Men en snu administra- tor vil måske placere den på 1110, (og det vil piraten have fundet ud af med et scan). Så vil man skrive i Port: 1110. Den nye Hackerguide 145
    • Ved siden af kan du se to skydere. De bruges til at definere Brutus' fart, for at den skal tilpasses den angrebne server. 6-3. Her kan du definere Brutus' fart. Hvis en server fx blokerer efter et par forsøg, så skyldes det, at administratoren har installeret et “anti-Brutus-forsvar”. Man behøver blot at tilpasse antallet af forbindel- ser pr. sekund og Timeout for at omgå denne beskyttelse. Her er der tale om at forsinke Brutus. Derfor har Brutus også en mulighed for at bruge Proxy. Man sætter flueben i Use Proxy, hvilket gør, at Brutus vil forbindes til målet via en anden server, og dette vil omgå beskyttelser om antallet af password brugt, Ti- meout m.m. Nedenunder har man delen Options (HTTP Options, FTP Options m.m., afhængigt af hvilken slags server man har bestemt som mål). Disse skifter afhængigt af, hvilken server man går efter. Endelig har man Authentication Options. Her er der tale om, hvordan Brutus vil bruge brugernavne og passwords. Altså ordbøgerne, hvis man har valgt det i Pass Mode (bruger man Brute Force, så vil Brutus blot prøve sig frem tegn for tegn). På venstre side, Username, er der tale om brugernavne ud fra ordbogen, og på højre side passwords. Det er her, man kan se Brutus' begrænsninger egentlig: Jo større forskel der er mellem brugernavn og password, jo mindre effektiv er Brutus. Når vi bruger en ordbog, en for brugernavne, en for passwords, og når vi regner med at hver af disse ordbøger indeholder 50.000 alment brugte ord, så vil det sige, at 50.000 konti vil blive prøvet af med 50.000 passwordmuligheder ... Det giver næsten 2,5 mia. muligheder. På en klassisk maskine kan Brutus højst sende 500 forsøg i sekundet (som oftest 10). Den nye Hackerguide 146
    • For at gennemgå hele ordbogen med, lad os sige, 100 forsøg i sekundet, skal man bru- ge ca. 6.944 timer. Mere end 289 dage for at cracke en konto uden at være sikker på resultatet. Det kan man ikke lige sige er særlig rentabelt. Brutus' muligheder Brutus er i stand til at åbne 60 forbindelser på en gang. Hvilket vil sige, at med en kraftig computer og en højhastighedsforbindelse (1 Mbps) kan Brutus åbne 5 til 600 forbindelser pr. sekund og teste lige så mange passwords. Det lyder af mange, men er faktisk lidt. Derfor er brugen af lister med passwords og brugernavne begrænset til nogle klassi- kere: de mest brugte fornavne og fødselsdatoer fra det sidste århundrede, så Brutus laver blot 10.000 forsøg med 10 pr. sekund. I løbet af 16 minutter har den testet 100 konti. Andre kombinationer er mulige: Brutus kan prøve med en liste af 500 fornavne (passwords) sammen med en liste på ti af de mest brugte administratorbrugernavne (admin, administrator, webmaster, superuser, admin123, root, test, master...). Her vil det være nok med 5.000 forsøg: altså mindre end 8 minutter med 10 forsøg i sekundet. Mindre end et minut med 100 forsøg i sekundet. Altså, hvis dit password er for nemt: fødselsdato, fornavn eller sådan noget, er det på tide, du forstår, at dit system er meget udsat, og det er på tide at finde et password, som er noget strengere at cracke. Du har også forstået, hvordan Brutus bruges bedst: Ved at koble Brutus' styrke med noget intelligens. Man kan forfine metoden ved at angive et brugernavn. Når man kender brugernav- net, så kan man nemmere sætte kryds i Single User, indskrive brugernavnet og lade Brutus arbejde på passwords. Under alle omstændigheder kan man finde ordbogslister, både for brugernavne og passwords, rundt omkring på nettet, deriblandt på Brutus' hjemmeside. Disse kan bli- ve en nødvendighed, for de mest brugte passwords er altså ikke de samme i Frankrig, som de er i Danmark eller i USA. Hvis man, i stedet for at arbejde med en passwordliste, arbejder med brute force, vil Brutus som standard forsøge med passwords skrevet med små bogstaver. Hvis man Den nye Hackerguide 147
    • vil have Brutus til at prøve andre, skal man klikke på knappen Range ved siden af Pass Mode, og så fortælle den, om den skal blande store og små bogstaver, indsætte tal, samt hvor mange tegn passwordet skal være på. I bunden af Brutus kan du altid se, hvor lang tid Brutus regner med, at forsøget vil tage. Bemærk, at ved Brute Force med mange muligheder kan der være tale om år! Angreb mod en HTML-formular Før i tiden skulle man bruge Telnet eller FTP for at nå et system. I dag med PHP, Perl m.m. kan en browser blive til et stærkt styreværktøj. Dette program kan angribe stort set enhver brugerflade, som bruger HTML for at få fat i passwords. Den nye Hackerguide 148
    • Man kan derfor angribe de forskellige formularer, som udfyldes på nettet. Dem er der mange af. Mange hjemmesider, som er lavet med PHP, benytter i dag en administra- tor-del. Den kan man som regel finde på: http://navn_på_hjemmesiden/administrator eller http://navn_på_hjemmesiden/admin Hvis der ikke ligefrem står et link på forsiden, hvorpå der står: Administration! Hvis man sætter Brutus i http Form og angiver formularens URL, så kan Brutus gå i gang. Den kan endda lære, hvordan formularen virker, så den bedre kan angribe. For at få den til det skal man klikke på knappen Modify Sequence. Du får et nyt vin- due. Den nye Hackerguide 149
    • Man behøver blot at indskrive sidens adresse i Target form og klikke på knappen Learn Form Settings. 6-4. Brutus kan også angribe formularer. Så får man et nyt vindue, som dukker op efter lidt tid. Her skal man markere hhv. brugernavn-feltet og klikke på knappen Username, og derefter skal man markere password-feltet og klikke på Password. Et klik på Accept, og man er parat. Den nye Hackerguide 150
    • For at angribe en formular skal man: Først finde en HTML-formular. I Target skriver man adressen på denne formular. Man kigger i kildekoden på formularen for at se om den bruger Post eller Get, og det fortæller man Brutus ved at bruge panelet ved Method. 6-5. Man kan vælge mellem Post eller Get i en rulleliste. Man kan evt. klikke på Modify sequence, som fortalt lidt højere oppe og lade Brutus finde ud af disse oplysninger. Så indleder man angrebet ved at regulere antallet af forbindelser pr. sekund og Ti- meout ved at holde sig under den grænse, som serveren accepterer (det kan man se i bunden af vinduet, om det lyser rødt). Man kan følge, hvordan den arbejder. I nogle tilfælde ved man at brugernavnet er Administrator, eller admin, så er det kun passwordet, der skal arbejdes på. Det kan tage nogle timer eller nogle dage at cracke et password med Brutus. Men man ender med at finde det. Den nye Hackerguide 151
    • Modtræk Jamen, hvad så? vil du sige! Flere ting: Brug ordentlige passwords. Disse er ingen sikkerhed, men de kan gøre livet så surt for piraten (især den lame pirat, der vil have hurtige resultater), så at han vil gå andet- steds. Skift passwords og brugernavne til noget andet end lige dit fornavn, kælenavn, ad- min, administrator, m.m. Benyt en såkaldt .htaccess fil, som kan begrænse adgangen til nogle af din hjemmesi- des mapper (fx CGI-mappen eller administrator-mappen), så ikke hvem som helst kan få adgang. Du kan nemt indsætte krypteret password og brugernavn til den mappe, hvor din formulars eller din PHP-hjemmesides administrationspanel (med password og brugernavn) befinder sig. Så begynder det at blive noget besværligt. Det er ikke så svært at lave. Det kan du læse mere om her fx.: www.abusiness.dk/6/index.asp?article=20 Husk, for alt i verden, sæt ikke samme password på de forskellige sider m.m., du bru- ger på nettet. Kan piraten få adgang til en side, får han adgang til alle. … og det ønsker du ikke, gør du? Den nye Hackerguide 152
    • 7. Pc-passwords Når piraten har fysisk adgang til systemet, bliver han konfronteret med et andet problem: passwordet, som beskytter en fil, et doku- ment eller en adgang. Brutus, som klarer det ganske fint med at finde internet-passwords, kan ikke lige bruges til det. For hvad filer eller pc'er angår, er det en anden form for password, som beskytter dem. Disse kan ligeledes crackes, men ved at bruge andre metoder. Det ser vi på her. Brutus kan ikke bruges, når der er tale om passwords, som beskytter filer eller compu- tere. Her er piraten, hvis han har adgang til maskinen, nødt til at bruge andre metoder og teknikker. Vi vil se her, hvor nemt det er at bryde et sådant password. Det er ikke for at lære dig at bryde naboens password (om end det kan blive nødven- digt, hvis han har glemt det), men især for at få dig til at indse, hvor lidt beskyttet du egentlig er. Passwordkategorier Hvad vil en pirat forsøge at skaffe sig, når han får fat i din maskine eller fil? Nu kan denne “pirat” også være din chef, din kollega eller en af dine ansatte, som vil have fingrene i oplysninger, der ikke vedrører ham. Hvor mange laver lidt på jobbet, som er privat, og som egentlig ikke burde komme til alles kendskab? Hvor mange kontorer bliver gjort rent om natten? En rengøringsassistent kan også være studerende i datalogi eller hacker i sin fritid ... Der er faktisk mange muligheder for passwords på en computer. Vi kan dele dem i tre lag: De såkaldte lavniveau-kategorier, som er indeholdt i computerens BIOS. Disse passwords forhindrer en i at starte systemet op. Den nye Hackerguide 153
    • Systempasswords – de styres af Linux eller Windows for eksempel. Disse passwords forhindrer en i at få fat i systemet, men kan også beskytte netværket eller materialet (forskellige drev fx). Program-passwords – Excel, Word, Access – som forhindrer en i at læse en fil, der er lavet med disse programmer. Ved at komme gennem disse tre niveauer kan man komme til at vide alt om det, der er på pc'en. BIOS: BIOS er “grundintelligensen” på en computer. Det er et lav-niveau-program, som får alle komponenter på pc'en til at fungere. Det er BIOS'en, der holder styr på den hardware, du har på computeren. Mange ting bliver nemmere, når man har fysisk adgang til maskinen i forhold til det, vi har set i forrige kapitel: Maskinen kan bruge sin egen regnekraft mod sig selv. Intet problem med båndbredde eller sådan noget. Man kan lige pludselig teste tusinder af muligheder i sekundet. Man kan komme til maskinen fysisk. Stor fordel: Man kan åbne den for at fjerne et stykke eller bruge dens hardware (man kan også blive fanget red handed, og det er no- get farligere). Man ved lige præcis, hvilken computer man har med at gøre, samt hvilke program- mer og styresystem den bruger. Derfor kan man meget hurtigere finde de passende programmer, som man evt. skal bruge til hjælp. Nu skal vi – virtuelt – gå vejen rundt om pc'en og knække dens koder en efter en. Vi begynder med BIOS'en. BIOS-password På alle pc'er kan BIOS'en blokeres med password. Dette password, som i øvrigt sjæl- dent bruges, kan blokere maskinen, så den slet ikke kan starte. For at aktivere det be- Den nye Hackerguide 154
    • høver man blot at starte BIOS'en ved start (ved at trykke på tasten F1, F2, DEL eller andet – det står gerne angivet i brugsvejledningen eller på skærmen, når computeren startes op), og så kommer man til optionen Password eller User Password i BIOS'en. Her kan man konfigurere sit password og aktivere det. BIOS passwords: På nogle systemer kan passwordet være Su- pervisor (eller Administrator) eller User, og i så fald vil det kun beskytte BIOS'ens menu mod adgang, og altså ikke hele compu- terens start. Du skal i så fald ændre på optionen Security Opti- ons under BIOS Setup, hvis du vil have hele systemet låst. Når dette er gjort, vil computeren først starte, efter at passwordet er indtastet. Afbryd alt! Der er den metode, som altid har eksisteret: BIOS passwordet ligger i en lille hukom- melse, som hedder CMOS. Dens indhold bliver holdt ved lige takket være et lille bat- teri på bundkortet. Siden pc'ernes stenalder har man brugt den metode at fjerne det lille batteri, at vente nogle minutter, så at lukke maskinen og genstarte for at smadre passwordet. Men den metode er nok ikke særlig smart. For det første er den for tydelig: Brugeren, som starter sin maskine og ser, at hans password er væk, ved udmærket godt, at hans computer har været offer for hacking. At splitte en computer ad er heller ikke altid et diskret foretagende, især ikke på et kontor! I øvrigt virker den metode stort set ikke længere på moderne computere. Det skyldes, at det lille batteri nu understøttes (hvis ikke det er udskiftet helt) med en samling af kondensatorer, som er i stand til at beholde data, selv om computeren er taget ud af stikket i flere timer eller flere dage. Så medmindre du bruger påskeferien til det, skal der nok anvendes noget mere effektivt! Den nye Hackerguide 155
    • Altså er den metode gammeldags, hvilket i øvrigt er synd, fordi det hænder stadig væk, at brugere mister eller glemmer deres BIOS-password, og man skal kunne give dem adgang alligevel, de stakler. En trojansk hest i din pc Her bliver det sjovt: Konstruktørerne har taget højde for – lige som det er tilfældet med mobiltelefoner – at man skal kunne give dig adgang til dit system, selv om du har mistet dit password. I it-sprog: en bagdør. Konstruktørerne har regnet med, at et hav af brugere ikke ville kunne huske deres eget password og har indsat et magisk password, som kan genaktivere din maskine. Dette password er kendt af en “tekniker”, som vil fakturere dig for det. Naturligvis er dette ingen hemmelighed længere, og man kan finde de fleste pass- words på nettet: www.uktsupport.co.uk/reference/biosp.htm eller her: www.phenoelit-us.org/dpl/dpl.html og mange andre steder! Dansk tastatur: OBS! Nogle passwords virker kun med ameri- kansk tastatur. Nogle af tasterne kan være et andet sted på et amerikansk tastatur end på et dansk. Tjek det evt. på nettet via en anden maskine, hvis du har problemer. Det er nemt at bruge disse passwords: 1. Start din maskine. 2. Se BIOS'ens navn og dens version. 3. Find det tilsvarende password på nettet fra en anden computer. 4. Indtast det som password. Den nye Hackerguide 156
    • Du kan nemt finde din bagdør blot ved at taste følgende i Google: Bypass password [computer_navn eller BIOS_navn] I løbet af få sekunder vil du få fat i det. Systempasswords Når piraten er kommet gennem BIOS-grænsen, bliver han konfronteret med andre passwords: Linux, Windows Vista, XP, NT, 2000 eller sjældnere 95, 98, hvad syste- merne angår. For hvad Windows 9x angår, er det forholdsvis nemt. Man kan cracke passwordet for sjov, men man kan gøre det nemmere: Det er nok at indsætte en startdiskette i drevet, og så kan man spadsere, som man vil på harddisken fra et DOS-vindue. Windows-passwords Før vi går videre, skal vi lige kaste et blik på de forskellige passwords, vi kan møde. Vi begynder med Windows-passwords. Disse passwords kan være indeholdt i system-filer, i registreringsdatabaser, eller også kan de være sammensat af bestemte filer. Princippet for at kode et password er altid det samme, det ligner i øvrigt den metode, der bruges til at kryptere pin-koden på et kreditkort: Brugeren vælger et password. Et matematisk krypteringssystem bruges til at maskere de tegn, som er passwordet. Når krypteringssystemet er aktiveret, bliver det krypterede password lagt et sted på computeren. Bagefter, når brugeren skriver passwordet, undersøger systemet de filer, som det er indeholdt i. I praksis betyder det, at når du indtaster dit password, tjekker Windows ved at bruge den matematiske formel, at dit password svarer til det, det har gemt. Bemærk, at på nyere systemer er denne teknik udskiftet med et nøglesystem (det taler vi om senere). Den nye Hackerguide 157
    • For piraten er problemet det, at jo mere udviklet den matematiske formel er, desto sværere er det at regne passwordet ud. Afhængigt af krypteringens styrke vil en pirat enten bruge et matematisk program eller også et brute force værktøj. Bemærk, at ovenstående to metoder: brute force eller matematisk formel, er de meto- der, som bliver brugt til alt, hvad der hedder beskyttelse i dag. Det er de samme to metoder, som også bliver brugt, når man skal afkode en DVD-film. Tilbage til Windows. På systemerne Windows 9x og tidligere var krypteringsformlerne ganske primitive. De første afkrypteringsprogrammer nøjedes med at bruge en matematisk formel og gav passwordet i løbet af få sekunder. For at omgå dette problem har Microsoft forbedret sin beskyttelse af passwords. Nu er disse krypteret og indeholdt i SAM-filer eller i registreringsdatabasen. De er mere elle mindre langsomme at gennembryde, når man bruger brute force. Vil du vide mere om kryptering i det hele taget, kan du læse en del ved at besøge dis- se to sider, som giver ganske interessante links om kryptografi og især om de algorit- mer, som gør, at man kan afkode et hvilket som helst password: http://lastbit.com/mso www.password-crackers.com Disse to sider – og de produkter, de tilbyder – er ganske professionelle, men koster ofte penge. For andre informationer og andre links kan du besøge Neworders hjem- meside, som har en pæn del dokumenter og filer om kryptering, du kan downloade. www.neworder.box.sk eller – mere præcist – www.neworder.box.sk/codebox.links.php?&key=hack-crypt Konklusion: Ej heller din pc's password er til at stole på. Jeg vil ikke nøjes med at for- tælle dig det, men vil bevise det. Lad os se på de programmer, man kan finde på markedet. Den nye Hackerguide 158
    • Crackers, som bruger din maskine De fleste værktøjer, man kan bruge, kan du finde på www.password- crackers.com. Du vil se, at en pæn del af dem arbejder fra en dos-prompt. Ikke særlig brugervenligt, det er rigtigt, men det skyldes, at de, der laver programmerne, først og fremmest er teknikere, og de spilder ikke så meget tid med at lave en “æstetisk brugerflade”. De er mere interesseret i at løse opgaven. Windows- og Linux-passwords Microsoft har arbejdet hårdt for at udvikle deres passwordsystem. Det har de gjort siden Windows NT, men især med Windows 2000 og XP. Omend jeg kan huske, at det var forholdsvis nemt at få fat i en krypteret fil i Windows 2000's barndom: Det var nok at kopiere filen til en diskette, så røg krypteringen, og filen kunne læses. I dag er sikkerheden dog blevet en del bedre og er tæt på Linux's sikkerhedsniveau. Tæt på Linux-sikkerhedsniveau, ja, men meget nemmere og hurtigere at knække alli- gevel. Intet er 100 % sikkert. Det ved vi, og Linux- brugere ved godt, at man kan omgå Li- nux’s passwords, nemlig med en live-CD. Og det, der kan gøres med et system, kan gøres med et andet. I øvrigt i mange år, allerede dengang vi talte om Windows NT, var det mest brugte trick at bruge en Linux start-CD eller dengang en Linux startdiskette, som havde en driver til at læse Windows' filsystem samt et program til at læse og omskrive pass- words. Det system fungerer stadig væk ganske fint med Windows XP. Du kan læse en detaljeret forklaring på proceduren og downloade de filer, der er nød- vendige, for at udføre tricket her: http://ebcd.pcministry.com/ Den nye Hackerguide 159
    • Hvis du skal cracke passwords ved hjælp af et password-program, vil jeg råde dig til at bruge programmet LC5. Windows-systemet har to krypteringfejl, som gør, at man nemmere kan dekryptere en Windows-passfil end en Unix-passfil. En af disse fejl kommet fra LANmanager, som deler password i kæder på syv tegn. Den anden af fejlene kommer fra, at der ikke er nogen salt-funktion. Salt-funktion be- tyder ikke, at vi skal til at lave mad. Den nye Hackerguide 160
    • Passwordene er gemt og krypteret i en fil. Det vil sige, at hvis mit password er: sal- timbok, så vil der i filen stå: 3gf8jpvf0 (for eksempel). Hvis flere brugere har samme password, og der er salt-funktion, betyder det, at saltimbok vil vise sig som flere for- skellige ord i filen, for eksempel: Per = 3gf8jpvf0 Steen = 45tli9p42 Windows har imidlertid ikke salt-funktion, hvilket betyder, at passwordet vil blive vist med præcis de samme tegn. En hacker vil så vide, at Per og Steen har samme password. Dette er at give for mange oplysninger til en cracker. På NT-systemerne (deriblandt Windows XP og Vista) er passwordene krypteret og gemt i en SAM-fil (Security Account Manager), som man kan finde på C:WINDOWSsystem32configSAM (i stedet for WINDOWS, kan det være i WINNT i Windows NT). Du kan dog ikke se eller kopiere SAM-filen, når Windows er tændt, da den er låst af kernel-systemet. Man kan dog alligevel skaffe sig den fil! Når man installerer Windows, bliver en kopi af password-databasen (SAM-filen) ge- nereret og gemt i C:WINDOWSrepair Den kopi indeholder kun de passwords, der bliver lavet, når man installerer systemet, hvilket vil sige, at man kun vil finde administratorpassword (det mest interessante, faktisk). Hvis administratoren ajourfører reparations-cd'en, vil SAM-filen ligeledes blive ført ajour og vil i så fald også indeholde alle konti. Den nye Hackerguide 161
    • Piraten kan så få filen derfra, da den fil ikke er låst af kernel. Husk at slette pågælden- de fil derfra eller at gemme den på en diskette, en usb-nøgle eller andet på et sikkert sted. Hvis mappen “repair” ikke indeholder nogen SAM-fil, kan man nemt få fat i den alli- gevel: Start pc'en fra en startdiskette eller fra et andet styresystem. WINNT bliver så ikke startet op, og SAM-filen bliver derfor ikke låst. Man kan så kopiere den på en diskette og cracke den i ro og mag derhjemmefra. Hvis man vil gøre det nemt og smertefrit, uden at skulle bakse med filkopiering m.m., kan man bruge programmet L0phtCrack (i øjeblikket i version 5. LC5 kan downloades fra producentens side eller på: www.kortlink.com/lc5). Programmet er på en- gelsk. Download starter automatisk. Ældre versioner af programmet forlangte, at man skaffede sig SAM-filen. Det behøver LC5 ikke længere. Først spørger programmet dig, om du vil indhente passwordet fra den lokale maskine (hvilket er det, jeg har valgt her), eller om det skal være fra en anden maskine på net- værket, fra en disk, eller om programmet skal “sniffe” de forskellige pakker, som be- væger sig på netværket, og fange de passwords, der ofte bliver kastet rundt på net- værket, når man fx logger ind på printeren, e-mail m.m. Den nye Hackerguide 162
    • 7-1. Her beder vi om at finde passwords fra lokalmaskinen. Derefter kan du vælge, om det skal være hurtigt søgning, altså kun fra ordbogen, om det skal være standard, stærk (både ordbog og brute force) eller Custom, som jeg har valgt, hvilket betyder, at du selv kan bestemme, hvad LC5 skal gøre. Den nye Hackerguide 163
    • 7-2. Du vælger her, hvilken metode du vil bruge. Hvis du vælger Custom, kan du selv vælge den ordbogsliste, du ønsker, skifte sprog, bestemme om maskinen skal prøve med tal og bogstaver under brute force, eller in- kludere specialtegn m.m. Den nye Hackerguide 164
    • Jeg har valgt fransk, da jeg ved, at ejeren af computeren er franskmand. Men det har kun virkning for ordbogs-søgningen naturligvis. Brute force er jo blot at prøve tal- og bogstavkombinationer, så sproget er ligegyldigt. 7-3. Under Custom har jeg valgt fransk. Den nye Hackerguide 165
    • Bemærk, at brute force kun virker på den registrerede version af programmet. Endelig kan du vælge de forskellige optioner på rapporten, altså hvorvidt du skal ha- ve at vide, hvilken metode der virkede, hvor længe det tog for hvert enkelt password m.m. 7-4. Her kan du vælge hvordan du vil have rapporten afleveret. Jeg har afkrydset alt. Den nye Hackerguide 166
    • Jeg har prøvet det på min egen maskine, og det tog programmet lidt over en time at regne mit password ud. Vil du gøre det på en endnu nemmere måde, så kan du bruge en ganske almindelig Windows Vista DVD. Faktisk er det sådan, at når du starter din Vista DVD, får du mulighed for at “reparere system”. Og dette giver dig, i løbet af få sekunder, adgang til harddiske på Windows XP og Windows 2000 servere, uden at du skal bekymre dig om passwords. Når jeg taler om Vista, taler jeg om den færdige version, du kan købe i butikker. Jeg taler ikke om en eller anden tilfældig beta-version af DVD'en, men om den ganske almindelige udgave af Vista. Dette sætter naturligvis Microsofts opreklamerede “forhøjede sikkerhed” i et andet lys. Obs! Denne metode vil ikke virke, hvis den harddisk, du vil se, er krypteret. Den nye Hackerguide 167
    • Det eneste, du behøver at gøre, er så at starte Windows Vista. Bed den om at reparere dit system (Repair your Computer på engelsk). 7-5. Klik på Repair your computer. Den nye Hackerguide 168
    • Eventuelt efter at have klikket Next, får du flere valg. Deriblandt, Command Prompt. 7-6. Derefter klikker du på Command Prompt. Den nye Hackerguide 169
    • Du behøver så bare at klikke på Command Prompt for at få fuld administratoradgang til computeren og dens harddiske. 7-7. Værsågod! Så er der serveret! Modtræk Ouch ... Det var ikke rart, vel? Hvad nu? Hvad kan man gøre for at beskytte sig? Det, du kan gøre, er at beskytte dine følsomme data ved at aktivere EFS-funktion fra din Windows XP. EFS: EFS (Encrypted File System) er et system til at beskytte filer og mapper. Det er en funktion, som begyndte med Windows 2K, og som er blevet overtaget i Windows XP. Den er knyttet til NTFS-filsystemet (det filsystem, som bruges på din computer kan have flere navne: FAT og FAT32 med Windows 9x og NTFS med Windows NT og XP). EFS forbinder et password og en krypteringsnøgle til data på harddisken. Dog blev krypteringssystemet på Windows Vista al- lerede knækket i marts 2007. Men kryptering vanskeliggør trods alt så meget arbejdet for piraten, at det kan give dig nogen be- skyttelse. For at aktivere EFS skal du lave et højreklik på den fil eller mappe, du vil beskytte. Så vælger du Egenskaber. Dér, på fanen Generelt, klikker du på knappen Avanceret. Du sætter så hak i feltet Krypter indhold for at sikre data. Klik OK og Anvend. Den nye Hackerguide 170
    • Så vil et vindue dukke op og spørge om krypteringen skal berøre udelukkende den mappe eller også undermapper fra denne mappe. Fra nu af vil hvert password associeret til denne mappe fremprovokere en kryptering. Det at åbne en dos-prompt eller en startdiskette vil ikke længere lade piraten se de data, den indeholder. Afdækning Der findes også nemme løsninger til at afkode passwords, som man har mistet. Man kan også bruge metoden til at afdække naboens passwords, men det er ikke særlig etisk. Dette gøres nemt med programmet Password Thief, som du kan finde på http://profitools.szm.com/passthief.htm eller på www.hackerguiden.com/filer/passthief.zip Det, du skal gøre er: Aktiver Password Thief. Aktiver et vindue med et password. Læs dettes navn – du finder det i titellinjen. Slå dettes navn op i rullepanelet i Password Thief. Klik på knappen UnMask og voilà ... Password er synligt! Den nye Hackerguide 171
    • 7-8. Med Password Thief handler det om at klikke på en knap. Officepakker Indtil nu har vi kun set på selve systemet. Men, som jeg sagde i begyndelsen af dette kapitel, så er der også passwords på forskellige Office-pakker, og naturligvis kan disse også omgås. Office XP Naturligvis er der værktøjer til at cracke Office XP-passwords samt et hav af andre Microsoft-produkter. For at finde pågældende program behøver du blot at tage en tur til: www.elcomsoft.com og der vil du finde programmer, der gør det, som var det det nemmeste i verden. Der er også en interessant side, www.decryptum.com, som kan cracke dine Word- eller Excel-passwords online. I teorien kan denne online-tjeneste knække passwords på under 3 minutter. Det er nok ikke en pc, de har til at arbejde på det. Den nye Hackerguide 172
    • Office 2000 – 2002 – 2003 – 2007 Der er flere muligheder for at hacke et Office-dokument. Hvis du har et Word-dokument beskyttet mod ændring, og du har glemt passwordet, så kan du nemt blot åbne dokumentet, gemme det i HTML-format (eller trykke ALT + SHIFT + F11) og søge efter ”Password” indtil du finder nogle linjer der ligner det her: <w:DocumentProtection>ReadOnly</w:DocumentProtection> <w:UnprotectPassword>19E8E61E</w:UnprotectPassword> Du fjerner disse to linjer, og beskyttelsen er væk. Da Microsoft blev stillet over for dette problem, svarede de, at sikkerheden i Office- pakken er for at forhindre at man forandrer noget i dokumentet ved en fejl. Der er ik- ke tale om ”rigtig sikkerhed”. (http://support.microsoft.com/?id=822924) Samme metode kan bruges mod Word 2007 dokumenter, men her skal man bruge en såkaldte OLEDB-editor, som findes til download på nettet, fx her: http://www.heaventools.com/download-hex-editor.htm Modtræk Når man ser på det hav af programmer og muligheder, der er, så kan man undre sig over, om der findes et krypteringssystem, som er nogenlunde sikkert under Windows. Skal jeg være helt ærlig, så vil jeg sige, at alle passwords, uanset om de er fra Linux, Mac eller Windows, kan knækkes. Der findes rundt om på nettet et hav af program- mer, som afkoder stort set alt det, der kan krypteres eller kodes. Ofte er de gratis. Her nøjedes jeg med en hurtig gennemgang af disse, men jeg kunne også have skrevet om password-crackere til PDF-filer, til Visual Basic, Cute FTP, pc-Anywhere, Lotus, osv. Jeg nøjedes med pc'en, Windows og Office, fordi det sådan set er det, folk har mest. Derfor kan jeg her fastslå, at intet data-indhold kan være krypteret og betragtet som sikkert med de programmer, man har købt i øjeblikket. Alle data kan dekrypteres. Den nye Hackerguide 173
    • Okay ... Det er ikke helt korrekt. Der findes en løsning, som er stort set tæt på 100 % sikkerhed i kryptering. Men når vi taler om den slags, begynder alverdens regeringer at komme ind i spillet, og det hele bliver ret så kompliceret lige pludseligt. Det ser vi på i næste kapitel. Den nye Hackerguide 174
    • 8. Beskyt dine data Vi har i forrige kapitel fundet ud af, at intet password er umuligt at cracke. Hvis man skal sikre sig, at ens data holdes sikre, skal man bruge en ekstra kryptering. Og det er nu, at tingene bliver komplice- rede, fordi hvis den næsten ubrydelige kryptering findes, er den uheldigvis forbudt. Når du nu er kommet så langt, så ved du, at ingen data, som befinder sig på din pc, er sikre. Windows-password? Under et sekund for at få fat i det. Word? Excel? Ikke me- get bedre. Adgangskoden til internettet med små stjerner? Øjeblikkeligt dekrypteret! Hvordan skal man så sikre sine data, så de holdes væk fra indiskrete blikke? To muligheder: Du kan enten benytte dig af en oldgammel metode for at beskytte da- ta: Steganografien (at skjule et dokument i et andet dokument), eller også skal du bru- ge et krypteringsværktøj som PGP til at kryptere følsomme data. Men hvis PGP er så godt, hvorfor er det da ikke indbefattet i Windows eller i Micro- softs programmer? Det er et meget godt spørgsmål, og for at kunne besvare det skal vi lige se på PGPs historie. Beskyt dig ... men ikke for meget! Før PGP havde alle krypteringssystemer deres svaghed: systemet til at kryptere med. Der var kun én eneste privat krypteringsnøgle. Nøglerne gives til en, to, tre personer, til sekretæren, på en post-it og så ... er den nøgle færdig som sikkerhed. RSA To forskere, Whitfield Diffie og Martin Hellman, indså dette problem og tilbød en an- derledes fremgangsmåde: I stedet for at bruge en nøgle, som er kendt af både ejeren og afsenderen, vil det være smartere at bruge en offentlig nøgle, som kan fås på inter- nettet fx til at kryptere, og en privat nøgle, som kun ejeren er i besiddelse af, og som kan bruges til at dekryptere beskederne. Det er princippet på en brevkasse rent faktisk: Alle kan lægge breve i postkassen, men kun den, der har nøglen, kan åbne den. Den nye Hackerguide 175
    • Navnet på denne låseteknik er RSA. Den blev født i 1979 i Weizmann Institute i Israel og forkortelsen er faktisk forbogstaverne på opfindernes efternavne: Ronald Rivest, Adi Shamir og Leonard Adleman. Det er det system, som bliver brugt af Windows. Problemet er, at den RSA, som tilbydes af Windows, kun er på 40 bits, og en 40 bits nøgle kan forholdsvis nemt knuses af en eller flere computere. Er det en fejl af Micro- soft? Nej! Det er loven! Lad os fortsætte med historien: Den 5. juni 1991, efter flere års arbejde, lægger en edb-ingeniør, Philip R. Zimmer- mann, sidste hånd på sit nye program: PGP 1.0. Dette program hviler på RSA-teknologien og kan kryptere et hvilket som helst doku- ment. Dets algoritme er revolutionær, og det er knyttet til en meget lang nøgle, 128 bits, som er ganske svær at dekryptere – også selv om man bruger flere computere. PGP 1.0 er rent faktisk så kraftig, at ingen af regeringens computere kan bryde koden. Krypteringsprogrammet, næsten 100 % sikkert, som kan bruges af alle, er nu født. Det er her, at problemerne begynder for alvor, fordi den amerikanske regering og NSA, som tager sig af teknologisk spionage, ikke ser med blide øjne på, at den nye teknologi er gratis for alle (pacifist og utopist Philip Zimmermann udsender sit værk- tøj som freeware. Alle kan downloade og bruge det). NSA lever af at dekryptere korrespondance ... Hvis de ikke kan knække privat eller offentlig brevveksling, har de et problem. Meget hurtigt truer loven med at forbyde fri kryptografi, og samtidig forlanger sel- skabet RSA Data Security Inc., at Zimmermann skal holde op med at sprede PGP 1.0. Ifølge dem benytter Zimmermann et produkt, som er registreret af RSA, uden at han har købt en licens. Naturligvis vil ingen lade sig fuppe og være blind nok til ikke at se, at NSA står bag RSA Data Securitys angreb. Da Zimmermann kan se, at nu begynder det at lugte ret brændt, tager han fat i en af sine pacifist-venner, Kelly Goen, og de skynder sig at sprede PGP 1.0 på alle de BBS'er, de kunne få fat i (BBS'er var sådan set en slags hjemmesider) overalt i USA. Resultatet bliver, at i løbet af få timer har alle, eller næsten, fat i PGP. Universiteter i hele verden – især de, der arbejder med kryptografi – får fat i programmet. Den nye Hackerguide 176
    • Den amerikanske regering er en yderst dårlig taber og sagsøger Zimmermann, som bliver anklaget for at have eksporteret ulovlig teknologi. Sagen er lang og smertefuld, og jeg vil ikke gå for meget i dybden med de juridiske tovtrækkerier, men jeg kan kort fortælle, at man gik så langt, at man trykte PGP-kildekoden på T-shirts, så den kunne spredes. At skrive frit er en rettighed, man har i USA, og der spøges ikke med det, det er sikret af deres konstitution, og ingen kunne forbyde folk at gå med undertøj, selv om disse var pyntet med PGP-kildekode. Siden har Zimmermann ingen juridiske problemer haft. Han har lavet sit eget selskab. PGP bliver jævnligt ført ajour og udspredt via internettet i en svagere version. Zim- mermann-sagen har dannet præcedens i USA og blev fulgt af en antikrypteringslov: Det er denne lov, Microsoft fulgte da de bøjede sig for 40 bits grænsen. Præcedens er langtfra så lille et ord i dette tilfælde, fordi USAs eksempel er efterhån- den blevet fulgt af stort set alle industrilande i verden. I Wien, den 3. december 2001, blev de 33 lande, som underskrev Wassenaar-aftalen om våbeneksportbegrænsning (deriblandt Japan, Tyskland, England) også enige om, at de mægtigste krypteringsteknologier skal begrænses. Ifølge den aftale må de lande, som har underskrevet, ikke tillade eksport (som fx download) af programmer som PGP. Man må ikke, fra de 33 underskrivende lande, sætte den slags produkter til download. Hvorfor ønsker alle disse fine herrer at få stoppet et ganske almindeligt krypte- ringsprogram? Ganske enkelt fordi PGP-sikkerhed bliver til et militærsikkerhedsproblem. Man er bange for, med PGP-kildekoden fri, at en hvilken som helst programmør fra et hvilket som helst land eller en terroristorganisation (som det blev tilfældet med Al Qaida) kan lave sikker kommunikation og filer, som simpelthen ikke kan knækkes af militæret. En katastrofe for spionage-branchen, især for USA. I korte træk er det hovedproblemet. Men det er ikke det eneste. Mange regeringer frygter, med et sådant stærkt krypteringsværktøj, at enhver kriminel kan beskytte sine data. Det er yderst generende, hvis man ser på narkobaroner og anden organiseret kriminalitet. Med et godt krypteringsprogram, selv om man får fat i computeren eller harddisken, er det svært at få fat i indholdet. Det så vi i sagen med Tvind. Den nye Hackerguide 177
    • Når det nu er sagt, så er der måske også lidt hysteri med i alt det her: Vi har da vel også alle sammen lov til at beskytte vores data? Man kan også gå ud fra, at da man jo ikke kan få folk, der ikke vil tale, til at tale (medmindre man bruger tortur, men ikke engang det er sikkert), så kan en velbeskyttet fil være stor set umulig at cracke. Hvad nu hvis den kriminelle har en meget god hukommelse og beholder de vigtigste data i sit hoved, vil man så forbyde folk at have en god hukommelse? Enhver betjent, eller journalist eller pirat, for den sags skyld, ved udmærket godt, at uanset hvilken krypteringsmetode der bruges, så kan man altid få beviser for sin in- formation: Med undersøgelse. Men naturligvis skal man bruge klogskab og masser af tid. Det er nemmere at læse det, der er på harddisken. Derudover er der andre metoder til at sikre informationer. Det ser vi på senere. Men i hvert fald er der nu altså godt gang i modangrebene og situationen er rent fak- tisk meget, meget værre end den, der var før PGP-skandalen. PGP kan naturligvis stadig downloades fra dets egen hjemmeside (www.pgpi.org/download), og man kan downloade den fra stort set alle steder i verden. Værre: Man kan finde krypteringsværktøjer, som er endnu kraftigere og gratis. Man kan – dog ikke hvis man bor i Frankrig, som jeg gør – downloade og bruge pro- grammet Cryptofree, som er freeware, og som kan kryptere med en nøgle på 256 eller 1.248 bits. Det er et sikkerhedsniveau, som er svært at slå. Nogle programmer kan ligeledes kryptere de data, som kommer ind og ud af harddi- sken, imens du bruger det. Det er det, programmet Scramdisk lavede (www.aboutlyrics.com/Software/Download/Scramdisk.php). Det bru- ger for lange nøgler til at blive brugt i alle lande (fx Blowfish eller 3DES-168). Stærk kryptering er stadig væk fri i Danmark, men det er den ikke i alle lande. Du skal være meget opmærksom på det, hvis du sender ting, der er krypteret stærkt til andre lande. Modtageren kan rent faktisk få mange, mange problemer ved blot at modtage noget, der er stærkt krypteret. Den nye Hackerguide 178
    • Da jeg skriver bogen fra Frankrig, vil jeg holde mig på den rigtige side af loven og nø- jes med GnuPgP, som er ganske udmærket, krypterer ret godt og findes til Mac, Linux og Windows. Jeg går ud fra Windows' udgave. Nu vil jeg lige indskyde, at der er andre metoder end kryptering, som rent faktisk er mere sikre. Det kræver blot lidt opfindsomhed. Det ser vi på om lidt. GnuPGP i praksis GnuPGP er freeware og ganske effektiv. Det er den, der efterhånden bruges i dag, da PGP er blevet betalingskrævende (og for dyr, synes jeg). Husk, at når vi taler om kryptering og GnuPGP, selv om jeg fortæller, at den kan crackes, så betyder det, at en gruppe, som er godt it-bevæbnet, og meget erfarne hack- ere (politiet, hæren og så nogle) vil kunne, efter nogen tid, cracke sig til din harddisk eller dine mails. Dine fjender, din boss, dine ansatte eller andre ... Se ... Det er til gengæld meget min- dre sikkert. For disse personer, når vi taler om “middel-kryptering” i forhold til “stærk krypte- ring”, så taler vi om forskellen mellem at skyde en kanin med en kanon eller med et missil ... Man vil kun have hakkekød tilbage, og en diskussion om det svarer til, at vi taler om størrelsen på hakkekødet. Det er ikke lige til at cracke for en almindelig dø- delig, og det er mere end rigelig beskyttelse, så længe du ikke foretager dig noget, som vil kunne få hæren eller CIA eller lignende på nakken af dig. Gør du det, så har du ikke brug for bogen alligevel, men tak for støtten! Du kan finde programmet på www.gnupg.org Den første version, 1.0.0. blev udsendt den 7 september 1999, og den nyeste version, i skrivende stund, er 1.4.7. Når du installerer filen, vil du rent faktisk ikke have noget i Start Alle Programmer. Jo du vil have brugsanvisning og mulighed for at afinstallere det (du finder det i Start Alle Programmer GNU Privacy Guard), men du skal bruge programmet via en kommandolinje. Den nye Hackerguide 179
    • Programmet bliver lagt i C:ProgrammerGNUGnuPG (eller i C:Program Fi- lesGNUGnuPG, det kommer an på dit system). Når du har installeret filerne, skal du starte en dos-prompt og bevæge dig hen til den mappe, GNU befinder sig i. Du kan skrive kommandoen: GPG, og se, hvad der sker: gpg: keyring navn-på-stisecring.gpg created gpg: keyring navn-på-stipubring.gpg created gpg: Gå til sagen og skriv meddelelsen ... Før at du kan gøre noget, skal du oprette nøgler. En offentlig og en privat nøgle. Privatnøglen skal du gemme af vejen og aldrig give til nogen. Den offentlige nøgle kan du til gengæld sprede rundt, som du ønsker. Det er den nøg- le, den person, der vil kryptere til dig, vil benytte sig af. Man kan kryptere filer, mails ... stort set alt. Det første, du skal gøre, er at fortælle Gnu, hvor dine nøgler befinder sig. Jeg vælger c:gnu – det synes jeg er nemmere. Så du skriver: C:ProgrammerGNUGnuPGP> gpg -homedir c:gnu - -gen-key Bagefter skal du oprette din nøgle med kommandoen: C:ProgrammerGNUGnuPGP> gpg --gen-key Du bliver så spurgt om forskellige ting. Først om hvilken type du vil oprette, vælg 5 for RSA. Det antal bit, du vil bruge til at kryptere med (jo flere jo sikrere), du kan en- ten trykke Enter for default (2048) eller vælge selv, fx 4096. Du kan vælge, at din nøgle kun gælder i få dage eller for altid. Vælg 0 for altid. Så bliver du spurgt om dit navn for at kunne identificere dig og regne din nøgle ud, så du skriver dit navn, fx: Jens Hacker Jensen Den nye Hackerguide 180
    • Så din e-mail, fx: jenshacker@hackademi.com Så en evt. kommentar: Skriv til mig, hvis du har problemer. Du mangler kun at taste O for Okay, hvis du er enig, og ENTER. Til sidst beder programmet dig om en pass-sætning. Den skal du gøre rimelig kompli- ceret, helst uden mellemrum (for at undgå fejl) og for at være sikker vil man sige, at den skal indeholde mindst 80 tegn. I vores tilfælde vil vi nøjes med en lille en, det er kun til demonstration: hackademi Du bliver bedt om at gentage sætningen, for at se om den er korrekt skrevet. Bemærk, at du ikke kan se det, du indtaster. Så går programmet i gang og laver din nøgle. Dog kan din nøgle ikke bruges endnu til at kryptere med. Du er nødt til at lave en an- den nøgle med kommandoen: C:ProgrammerGNUGnuPGP>gpg --edit-key Jens Hacker Jensen Du kan nu se, at du har fået en prompt, der siger, Command. Du skriver nu: Command> addkey Du skal så svare på spørgsmålene: pass-sætningen, valg 6 (RSA encrypt only), læng- den af nøglen, osv. Faktisk lige de samme spørgsmål, som du svarede på til den første nøgle. Så bliver din anden nøgle lavet, og du er nu parat til at lege James Bond. Du skriver: C:ProgrammerGNUGnuPGP> gpg –e c:test.txt hvis du vil kryptere filen test.txt, som befinder sig på C. Den nye Hackerguide 181
    • Programmet vil evt. bede dig om navnet på den person, hvis nøgle du vil bruge. Her har du kun en bruger, så du angiver det: Jens Hacker Jensen Hvis programmet beder dig om en ID, indsætter du bare en tom linje og vupti, så vil du ved siden af din fil test.txt se en fil, der hedder test.txt.gpg. Denne vil så være kryp- teret. Hvis du vil kende alle de muligheder der er, kan du skrive: C:ProgrammerGNUGnuPGP>gpg -h som vil vise dig på dansk de forskellige muligheder, du kan benytte dig af. GPG er nok ikke det nemmeste program at bruge, når man er helt begynder, men det er meget godt ... og så er det gratis. Men naturligvis vil du altid kunne finde andre krypteringssystemer, som ligeledes kan være udmærkede. Modtræk til PGP: tastatur-snuseri! Okay, vil du tænke, er det her PGP så nogenlunde sikkert? Jow, det er det såmænd ... Med en undtagelse! Man kan finde programmer, som “opsnuser” dine indtastninger. Alle dine indtast- ninger bliver registrerede og, afhængigt af programmet, sendt pr. e-mail til den, der har installeret programmet, eller lagt et sted på harddisken. Dette vil sige, at også dine passwords, PGP-pass-sætninger, osv. kan blive registrerede og sendt til piraten. Man kan installere sådan et program på din computer, mens man har fysisk adgang til den, eller også kan man splejse det sammen med et andet uskyldigt program og narre dig til at installere det, uden du ved det. Dog vil en del antivirusprogrammer reagere. Men har vedkommende fysisk adgang til din computer, på din arbejdsplads fx, så vil det ikke tage mange sekunder at installere sådan et program. Mange keylogger-programmer installeres ganske diskret. Du ser intet ved uret og ej heller noget, når du laver en CTRL + ALT + DEL. Den nye Hackerguide 182
    • Du kan fx prøve at lege med programmet Keylogger, som du kan finde her: www.hackerguiden.com/filer/kl-lite.exe 8-1. Keylogger i aktion... Du kan se helt ud til fejlindtastningerne i dokumentet. Du kan finde nogle, der er mere diskrete end Keylogger, ved at søge på Tucows under Keystroke Monitoring. Her vil du finde et hav af keyloggers, som koster penge, andre gratis: www.tucows.com/downloads/Windows/IS-IT/Monitoring/ KeystrokeMonitoring Modtræk? Naturligvis er der også modtræk. Du kan finde noget, der hedder anti-keyloggers. Disse er bl.a. her: www.anti-keyloggers.com Vi er i dag igen i gang med en anden krig, som er mere diskret end virus vs. antivirus- krigen. Det er keylogger vs. anti-keyloggers. Keyloggers vil ikke udelukkende bruges af din jaloux ægtefælle eller af en pirat, men de kan sagtens bruges af din chef, systemadministratoren eller din kollega. Derfor skal du ikke bruge din computer på arbejde til andet end det, den skal bruges til. Bland ikke arbejde og fritid. Det kan nemt – alt for nemt – give bagslag! Den nye Hackerguide 183
    • Steganografien, hvad er det? Har den fordele? PGP og lignende produkter kan kode en fil, så denne bliver ulæselig. Men man kan, rent faktisk, håndtere sagen på en finere måde. Nemlig ved at gemme beskeden i en anden besked. Det er princippet bag steganografien (fra det græske steganos – dækket – og graphein – skrift). Den teknik er ret genial, da ingen kan vide, at der er en hem- melighed skjult. Du skal tænke på, at med klassisk kryptografi har piraten en fordel: Han er i besiddel- se af et krypteret dokument. Han ved, hvad han skal finde, og hvor han skal finde det, og rent faktisk måske også hvordan han skal afkode det. Sikkerheden består i og for sig kun i, hvor stærk kodningen er, og at man evt. er i besiddelse af it-udstyr som ikke er muskuløst nok til at dekryptere det. Det er princippet bag nøglernes længde. Desværre kan en nøgle findes, som vi har set, og man kan, sådan set, lige som med en rigtig nøgle, kopiere pågældende nøgle. Med steganografien kan man ikke risikere dette. Ved hjælp af en computer kan man gemme en tekst et eller andet sted. Sikkerheden hviler først og fremmest på fakta om, at beskeden ikke kan findes. Når den ikke kan findes, kan den ikke afkodes. Forestil dig at have graveret en besked i en vase, hvordan kan man vide, at den er her ... uden at knuse vasen? Faktisk er data-steganografien en måde at få hemmelige budskaber igennem, som er mange år gammel. Europæiske spioner har benyttet den metode siden (højst sandsyn- ligt, da vi jo ikke kan vide det med sikkerhed) 80'erne. Højst sandsynligt lige så tidligt, som det har været muligt at manipulere billeder med computere. Teknikken har man- ge fordele. En fyr, som spadserer rundt i et fremmed land, kan sagtens have familie- billeder i sin tegnebog, og disse kan gemme på yderst følsomme informationer. Kan du forestille dig CIA eller FSB, som skal til at tjekke alle fotografier, som er i alle turisters bagage? Forestil dig bare, hvor mange ting, der kan organiseres og meddeles på denne måde. Skal man blive enige om et hemmeligt møde, kan man bare udgive det i et banalt bil- lede, man uploader på en blog et sted. Kort sagt minder det lidt om disse kodede beskeder fra BBC i London under anden verdenskrig: Hushjælpen er i elevatoren tre gange – Hushjælpen er i elevatoren tre gange ... Den nye Hackerguide 184
    • Det dannede kun mening for dem, der kunne tyde koden. Det var steganografi. Ser man tilbage i historien, kan man se, at steganografien har været brugt i lang, lang tid gennem historien, og mange ting bygger på steganografien: Det berømte usynlige blæk (skriv med citronsaft, man kan først læse beskeden, når man nærmer den til en varmekilde). Beskeder gemt i hårdkogte æg (man skrev på skallen vha. en blanding af eddike og alun). Bittesmå huller lavet med nål i bestemte bogstaver, bittesmå foran- dringer i håndskriften m.m. I ældre tider benyttede grækerne sig også af steganografien: De barberede en slaves hårpragt af, tatoverede beskeden på hans hoved, ventede på, at håret voksede ud igen for derefter at sende manden gennem fjendelandet. Så var det bare om at barbere mandens hoved for at læse teksten. Den metode var dog tidskrævende, da man skulle vente på, at håret voksede ud igen, men den var ganske effektiv. En anden metode er at gemme beskeden i en tekst. En af de mest berømte var Abbed Jean Trithème, som udskiftede hvert bogstav med en bibeltekst. Man kunne ikke fatte, hvad han mente, men hvem tog sig af en skør abbeds bibelsnak? Under anden verdenskrig udviklede steganografien sig en del. Metoderne var dog, af og til, rimeligt enkle, som for eksempel dette budskab sendt af en tysk spion: Apparently neutral's protest is thoroughly discounted and ignored. Ismam hard hit. Blockade issue affects pretext for embargo on by-products, ejecting suets and vegeta- ble oils. Denne tekst forekommer ganske uskyldig, men hvis du tager det andet bogstav fra hvert ord, får du: Pershing sails from NY June i Altså: Pershing (en båd) afsejler fra New York 1. juni (i betragtes som 1). Hvis du er interesseret, kan du få flere historier og eksempler herfra: www.petitcolas.net/fabien/steganography I alle de tilfælde, jeg har nævnt, kan det være nemt at bryde koden ... hvis man ved der er en kode. Lidt som Illuminati-plottet i Engle og dæmoner eller i Poes så berømte Den nye Hackerguide 185
    • stjålne brev, så kan man sagtens have hemmeligheder fremme i lyset ... Hvis kun den, der ved, hvordan det skal læses, kan læse det, så er der ingen ko på isen. Steganografien i dag Lad os se på dagens computere og deres muligheder for steganografi. I de sidste år er steganografien blevet mere og mere brugt i it-verdenen. Især nu hvor en del – ofte gratis – programmer giver mulighed for at gemme beskeder, som er for- vandlet til bits, midt i en fil. Naturligvis kan der være tale om billeder, film, lyde, san- ge, osv. Alt, som man ser til daglig på enhver computer, kan bruges til at være et me- dia til at videreføre oplysninger. Hvis man skal sende et beskyttet dokument, som er krypteret og beskyttet af pass- word, kan en sniffing af TCP/IP-forbindelsen eller blot en undersøgelse af e-mail af- sløre, at nu sendes der noget vigtigt. Steganografien giver et tredje niveau af sikkerhed. Selv om en pirat er her og snuser dit netværk, hvordan kan han vide, ud af de flere tusinde multimediafiler (billeder, tekst, video, musik), hvilken af dem indeholder et kodet budskab? God fornøjelse, siger jeg bare. Faktisk virker steganografi som et mere sikkert medie også i dag. For at gemme og videresende, eller blot beholde, følsomme dokumenter uden at væk- ke mistanke, behøver du bare at bruge et steganografiprogram. Disse programmer gemmer ethvert konfidentielt dokument i et andet tekstdokument eller billede uden at påvirke pågældende fil. For eksempel vil et JPG-billede stadig kunne ses af en tredjemand og ligne sig selv, uden at man på nogen måde kan se, at der er en hemmelig besked. For at få fat i den gemte fil skal modtageren bruge samme steganografi-program som den, der har sendt. Den mest brugte metode går ud på at gemme hver bit af budskabet i den mindst vig- tige bit i hvert punkt i et billede. Et billede består af punkter. Farven er kodet i de bytes, billedet består af. Der skal otte bits til at kode et punkt på 256 farver, 16 for 65.536 farver, 24 for 16 mio. farver. Den nye Hackerguide 186
    • Variationer i den sidste bit af et billede, som er kodet på 16 mio. farver, har ingen ind- flydelse på den visuelle gengivelse af dette billede. Jo, det punkt ændrer lidt intensitet, men det er så lidt, at det ikke kan opfattes af menneskets øje. På samme måde, hvis man gemmer noget i en lydfil eller en film. Menneskets øre kan yderst sjældent opfatte en ubetydelig variation af lyd i en kodet MP3 (MP3 har i øvrigt ofte så rimelig dårlig lyd, at variationer ikke kan forbavse ret meget). Dette betyder, at man for eksempel kan kode 64 Kb (ca. 64.000 tegn) på et billede på 1.024 x 1.024 i gråtoner. Men det, som øjet eller øret ikke kan, det kan computeren. Den kan analysere en fil bit for bit og dermed afkode den kodede besked. Pas dog på: En steganografisk kodning skal respektere filen, som bærer beskeden. Hvis du ændrer på en JPGs komprimering, eller hvis du omdanner filen til noget an- det, fx JPG til GIF eller WAV til MP3, så vil du miste pågældende informationer, og det oprindelige indhold vil ikke kunne blive fundet igen. Steganografi-programmer Lad os se på nogle af de steganografi-programmer, man kan finde på nettet. Dound's Steganografi En ganske smart lille sag er Dound's Steganography. Programmet er gratis og kan downloades www.evidence-eliminators.co.uk/dound.htm eller på www.hackerguiden.com/filer/dound.exe. Princippet er enkelt: Du skriver et nøgleord (under keyword) og en tekst (under mes- sage), du loader et billede, og Dound koder det hele. Resultatet kan så bagefter afko- des af modtageren takket være kodeordet, du har givet vedkommende. Den nye Hackerguide 187
    • 8-2. Dound's Steganography. Det er nemt at bruge, men også rimelig begrænset. Kun BMP-filer kan bruges, fx, og det er ikke særlig smart, da man i dag mest bruger JPG. Invisible Secrets Invisible Secrets er et shareware-program, som koster 39,95$. Blandt andre funktioner kan det både kryptere, dekryptere, kryptere harddiske m.m. med PGP og altså også steganografi, som er det, der interesserer os her. Du kan bl.a. downloade version 4.6 fra : www.soft32.com/download_1491.html Den virker med Windows Vista, selv om Vista ikke er nævnt på siden. Fordelen ved Invisible Secrets er, at det bruger en algoritme til at kode beskeden, før den sætter den ind i en fil. Du kan kode en hvilken som helst fil i en hvilken som helst fil. Det vil sige, at du kan kode en lydfil i et billede, eller omvendt. Den kan også kode “falske oplysninger”, det vil sige lave falske spor i filen for evt. pirater, som har lyst til at begynde at dekode dine data. Dette program er et rent spion-mareridt (selv om metoden, naturligvis, ikke er ufejl- barlig). Den nye Hackerguide 188
    • Tænk, for at afkode en skjult fil skal piraten finde det medie, der bærer den: lyd? tekst? billede? video? Derefter skal han finde ud af, hvilket program du har brugt til at kode med, og derefter finde hvad der er de ægte og uægte gemte data. Når han så har fundet dem, skal han så afkode dem ved at bruge det oprindelige password. God fornøjelse, siger jeg bare! Også selv om brugeren nøjes med 40-bit nøglen! Altså skal modtageren have både det program samt passwordet for at kunne læse de data, der er gemt i billedet. Vi kommer til at bruge Invisible Secrets om et øjeblik til vores demonstration. Men du får lige en mere: SecurEngine SecurEngine er et genialt lille gratis program, som kan gemme data i TXT, BMP, JPG og WAV. Det giver også mulighed for at lave et selvdekrypterende arkiv, hvilket vil sige, at modtageren ikke behøver programmet for at dekryptere. Filerne kan krypteres med en nøgle, som kan være fra 48 bits til 800 bits, hvilket gør denne version forbudt i forskellige lande (pas på dette). Du kan downloade SecurEngine fra: www.brothersoft.com/security/miscellaneous/securengine_234 96.html Den nye Hackerguide 189
    • Lidt praksis For at du kan forstå steganografiens muligheder, skal du teste Invisible Secrets, som du har downloadet og installeret. Når du har startet programmet, er du stillet over for flere muligheder. Vi skal til at skjule filer. Så klik på Hide Files (skjul filer). 8-3. Når du klikker på Hide Files, vil du kunne begynde at skjule filer. Den nye Hackerguide 190
    • Når det er gjort, får du et nyt vindue: 8-4. Så kan du starte med at gemme. Princippet bygger på to begreber: Bærende dokument og båret dokument. Det vil sige det bårne dokument er det, der skal gemmes, og det bærende dokument er det, som, så uskyldigt som muligt, skal skjule det hemmelige dokument. Den nye Hackerguide 191
    • De filer, der kan skjule andre, altså skal være bærende, kan være: JPG- eller PNG-filer: Der er tale om billeder, som kan udveksles pr. e-mail eller gem- mes på en webside. Der er ingen begrænsning af størrelse for de filer, der kan blive gemt i billeder. Et billede blandt millioner af andre er et godt gemmested. Dog ville jeg mene, at et JPG-billede på 2,5 GB vil tiltrække opmærksomhed. BMP: Også billeder, men de er store i forvejen, derfor ikke altid velegnede at sende. De fleste digitalkameraer gemmer i JPG, og et stort antal BMP-filer risikerer at tiltræk- ke opmærksomhed. WAV: Der er tale om lydfiler. Det er det højeste niveau du kan gemme i, da WAV- format laver store filer. HTML: Hjemmesideformat. Yderst diskret. Dog skal du tænke på, at hvis en HTML- side bliver for lang, vil det også tiltrække opmærksomhed. Husk: Husk at enhver konvertering eller forandring af den bæ- rende fil vil ødelægge det skjulte dokument. Det første, du skal gøre nu, er at finde den fil, du vil gemme, altså det bårne doku- ment. Klik på knappen Add files, og gennemse til den fil, du vil gemme. Den nye Hackerguide 192
    • 8-5. Filen hemmeligtekst.txt skal gemmes. Du kan faktisk gemme flere filer i en fil. Så klikker du på Next, og du finder den fil, der skal bære din hemmelighed. Den bæ- rende fil. Her valgte jeg et eller andet landskabsbillede. Ret flot billede i øvrigt (synes jeg!), som jeg selv har taget ... Den nye Hackerguide 193
    • 8-6. Et JPG-billede skal bære mine hemmeligheder ... Du klikker så på Next og vælger et password, som du skal skrive to gange. Her skriver jeg hack (da vi arbejder med prøveversionen, kan der højst tillades 5 tegn). Den nye Hackerguide 194
    • 8-7. Password hack er blevet indtastet to gange. Du klikker så på Next og vælger et nyt navn til din fil. Her vælger jeg hacker- guiden.jpg. Den nye Hackerguide 195
    • 8-8. Billedet skal hedde hackerguiden. Og du klikker på Hide. Filen bliver lavet. Du klikker på Next, og bagefter kan du se resultatet ved at klikke på Review Carrier File. Den nye Hackerguide 196
    • Her ser du det kodede billede: 8-9. Et uskyldigt billede, som indeholder en hemmelighed. Den nye Hackerguide 197
    • Og her ser du det originale billede. 8-10. Et uskyldigt billede, som ikke indeholder nogen hemmelighed. Kan du se forskellen? Du kan downloade begge billeder fra hhv. www.hackerguiden.com/landskab.jpg Den nye Hackerguide 198
    • og www.hackerguiden.com/landskab2.jpg og se forskellen selv. Så kan du, når du har downloadet programmet, i stedet for at vælge Hide Files, som vi valgte, vælge Unhide Files og afkode mit hemmelige budskab til læserne. Du skal bare: Klikke på Unhide. Browse til den bærende fil. Klikke på Next. Skrive passwordet (hack). Klikke på Next: Du burde se filen hemmeligtekst.txt med hak i – klik Unhide. Klik Explore Extracted Files... Dobbeltklik på tekst-filen, og læs min besked. Velkommen til James Bond’s verden. Den nye Hackerguide 199
    • Du kan købe produktet her: www.kortlink.com/invisiblesecrets Download: Det kan være, at du kan downloade prøveversionen fra producentens hjemmeside: www.invisiblesecrets.com. Jeg kunne bare ikke bruge det, da jeg skriver fra Frankrig, og jeg er derfor udelukket fra at down- loade programmer med så stærke krypteringer. Derfor har jeg givet dig andre download-links. Husk: Den menneskelige faktor er oftest det svageste led i sikkerheden. Jeg kan huske, da min søn var 6, så havde han et lille hæfte, i hvilket han skrev hem- melige ting. På bogen stod der: NIX PILLE - Filips hæmelige ting.. Det er ca. det, du gør, når du krypterer noget på din harddisk eller sender en fil, der hedder kontrakt.doc.pgp ud. Steganografi kan, ud over at kryptere med stærke nøgler, som PGP, også gemme dine filer i uhyre banale andre filer, uden at disse bliver påvirket. Du kan altså stadig høre dem eller se dine billeder. Du kan endda have dem i alles påsyn, dér hvor du nemt kan få fat i dem igen. Det må være tæt ved 100 % sikkerhed! Den nye Hackerguide 200
    • 9. Skjule sine spor Hvordan kan piraterne ødelægge systemer uden at blive taget (om end det så sker, er det ret sjældent)? Det er fordi de bruger “stealth”- metoder. De kan finde ud af at skjule deres spor. Internettet, som vi kan se er sårbart, dårligt sikret og nemt at bryde ind i, kan – takket være dets smidighed – være fantastisk diskret. For nogen tid siden blev en webside defaced. Indeks-siden og alle underrubrikker var blevet til en sort side fyldt med skældsord på tysk og engelsk underskrevet af en hacker. Det var nok en nybegynder eller en lamer, som havde benyttet sig af et hul i systemet, da rigtige hackere, der laver en defacing, gerne efterlader noget morsomt eller endda et digt. Jeg vil lige indskyde, at defacingen i det tilfælde var løn som forskyldt. Der var tale om administratorer hos en canadisk udbyder, som hostede hjemmesider og brugte meget let identificerbare logins. Under alle omstændigheder blev en webmaster rasende og bad udbyderen om at af- levere logfilerne, så man kunne identificere angriberen. Administratoren grinede og svarede, at det var teknisk umuligt at identificere en hacker. Nu, når man havde så elendig en sikkerhed i forvejen, synes jeg administratoren godt kunne have sparet sig at grine. Men han havde ret på et punkt: en god pirat er umulig at finde. Hvordan kan det være? Hvordan kan det være, at med alle disse spionprogrammer, sniffere og alt, man ikke kan finde stedet, hvorfra et angreb kommer? Endda Kevin Mitnick, hackernes helt, blev afsløret, fordi han havde talt for meget. Teknisk set blev han aldrig lokaliseret. Naturligvis fortæller jeg dig ikke, hvordan du kan forblive diskret, så du kan kaste dig ud i storangreb. Under alle omstændigheder kræver 100 % stealth en del kunnen og øvelse, før du kan være 100 % sikker på slet ikke at kunne spores. Men det er vigtigt, at du kender disse teknikker, dels hvis du ønsker at være anonym, det kan man godt have lyst til af fuldstændigt legitime årsager, dels så du ved lidt om, at du selv kan Den nye Hackerguide 201
    • blive offer for en hacker, der ønsker at kamuflere sig. Derfor er det godt, at du ved, hvad der kan gøres for og imod det. De metoder, jeg vil beskrive nu, er mere end rigelige, hvis du vil holde din kommuni- kation hemmelig for din boss eller din kæreste. Men fra det tidspunkt politiet kommer ind i billedet, så kommer der straks andre boller på suppen, og denne beskyttelse vil ikke være tilstrækkelig. Nu kommer politiet ikke ind i billedet hver gang, og det er derfor, at pirater som hacker lidt hist og her, her og i udlandet, ikke bliver afsløret: De midler, der skal sættes i brug, er for komplicerede og dyre, hvis spillet ikke er det værd. Bliver piraten for grådig, så er der tale om noget andet. Kamufleringsteknikker Her er de mest brugte teknikker til at skjule sig: Piratering af IP-session: Piraten bruger en anden persons forbindelse og dukker op og ser ud til at være en anden bruger: dig, mig. Wireless Access Points: En pirat forbindes via et trådløst netværk og er stort set umu- lig at lokalisere. Brug af programmer og andre maskiner: En computer, som er langt fra piratens egen, og som har en trojansk hest installeret, kan bruges til at angribe eller forbindes til en anden computer. Det er den piraterede computer, som bliver set. Stealth proxy: Man kæder proxy-servere sammen med hinanden, og man skifter hur- tigt fra den ene til den anden. Proxyen er en slags maske. Hvis man bruger den teknik, som er meget på mode i øjeblikket, ordentligt, er det stort set perfekt og umuligt at komme frem til, hvem der laver angrebet. Hvis du kun ønsker at surfe, uden at din boss eller din kæreste skal kende dine tilbøje- ligheder, kan du nøjes med at surfe til: www.brunoscooters.com og bruge den til at surfe videre og skjule din IP, men pas på, metoden er ikke et sikkert skjulested som kan tillade dig hvad som helst. Mange af den slags steder har logfiler, og de skal afle- vere den til politiet, hvis sagerne er gået for langt. Wireless netværk og WarDriving Hvis man skal gå diskret til værks, kan man bruge alle tiders skjulested: Trådløst net- værk. Den nye Hackerguide 202
    • Som fortalt på side 15, så er der et hav af usikrede netværk rundt om i byen. Det er nok at køre rundt med en bærbar, indtil den får ram på et usikkert netværk, for at ha- ve både adgang til netværket, internettet og mere til. Når piraten er inde i systemet, så har han adgang til mindst 11 Mbit/s, så det er be- stemt ikke dårligt. Han kan derfra angribe eller forsøge at afkode passwords. Værre: Det er teknisk umuligt at finde ud af, hvor piraten befinder sig, medmindre man bruger en metode, der – som regel – forbeholdes politiet, og som hedder “trian- gulering”. Forklaring: Teknisk set kan man kun finde frem til piratens computer på netværket via et eneste data, som gives: den signalstyrke, han modtager. Med denne oplysning kan man nogenlunde kende afstanden, som adskiller piraten fra forbindelsen. Man kan så lave en fin-fin cirkel, som svarer nogenlunde til styrken ... Herefter kan man ellers gå på jagt efter en skummel fyr gemt i et hjørne med en be- skidt t-shirt, en pizza og en cola-dåse ... Men noget siger mig, at du får svært ved at lokalisere manden. Værre endnu: En pirat kan komme fra et netværk til et andet ved at være endnu mere diskret. I en industri-zone fx kan man i løbet af få minutter lokalisere flere netværk, som er dårligt sikrede, hvis ikke slet ikke sikrede, så kan piraten blive “stealth” og ikke til at lokalisere. Og jeg omtaler naturligvis ikke alle steder, stationer, lufthavnen m.m., hvor man giver gratis Wi-Fi adgang. Gå og find en fyr med en bærbar på knæene i Kastrup lufthavn! Kun triangulering kan lokalisere piraten (hvis han ikke bevæger sig): Teknikken går ud på at tage tre målinger på bølgerne, som afgives af netværkskortet. Med disse tre punkter kan man lave en trekant, hvori centrum er piratens placering. Det er tungt, meget mere tungt, end det lyder, og kun politiet kan bruge metoden. Konklusion? Jow! Man kan sige, at en ulovlig adgang via et trådløst netværk er den mest diskrete teknik, der findes, og i øvrigt også den nemmeste, hurtigste og mest be- hagelige. Piraten er 100 % anonym (det er netværkets ejer, der kommer i klemme) og har bredbåndforbindelse. Den nye Hackerguide 203
    • Brugen af falske IP-adresser Før at trådløse netværk blev den foretrukne måde at komme i forbindelse med nettet på, brugte piraterne ofte falske IP-adresser. Endnu en gang så er det svagheden – eller rettere sagt, smidigheden – ved TCP/IP, som gør det muligt at skabe en falsk identitet på nettet. Det handler blot om at få en IP-adresse, som er anderledes end den, man rent faktisk har. Teknisk set kan dette give problemer. Den mest klassiske metode går ud på at skifte ens computers IP-nummer med et andet ved at bruge Windows eller Linux- konfigurationsværktøj. Man kan så sende IP-pakker uden problemer. Disse vil blive knyttet til det falske IP-nummer. Men så betyder det, at hvis pakkerne returneres, hvis der svares, så svares der til det IP-nummer, man har snuppet, og altså får man aldrig svaret. Derfor kan piraten bruge en falsk IP-adresse for at lave et angreb på en computer, men ikke for at scanne et net- værk for eksempel, da han så aldrig vil kunne få fat i resultatet af scannet. For at være mere effektiv vil piraten “stjæle” en session. Det vil sige, at han vil placere sig mellem internetbrugeren og routeren og så hijacke IP-nummeret. Det er det, jeg har omtalt i kapitel 2. Når vi nu taler om at være stealth – anonym/stille – så er det mest brugte ej heller brugen af falsk IP. Det, der virker godt, er de såkaldte Public proxies (offentlige pro- xier) og proxy undvigelses-programmer (Proxy evasion). Offentlige proxies En proxy er et system, som virker som “mellemlag” mellem internettet og brugeren. Brugerens computer kontakter en anden computer og beder den hente hjemmesiden til ham. Proxy-serveren beholder siderne i nogen tid, hvilket gør, at man sparer tid, alt imens det burde sikre forbindelsen. En proxy er en stor fordel for en pirat, da hans identitet bliver skjult. Det er umuligt at vide, hvem der surfer på ens side eller i ens netværk, eller hvem der er ved at teste passwordene, når piraten kommer via en proxy, da det jo er proxyens IP-nummer, der vil dukke op. Teknikken blev hurtigt brugt af pirater til at lave en såkaldt internet-forbindelse med IP-adresse-undvigelse. Den nye Hackerguide 204
    • Radioens frekvens-undvigelse er det, metoden lader sig inspirere af. Faktisk er det sådan, at når du taler i et radiosystem, så transmitteres snakken af bøl- ger. Man kan skaffe sig en scanner og scanne de forskellige bølgelængder, og dér kan man så lytte med, det kan så være radio-amatører, politiet, lufthavnen, m.m. Derfor har man, for at sikre alt det her, opfundet digitalradioen (GSM er en del af det), som er digitale signaler – af og til krypterede – som bliver båret frem og tilbage. Man får gerne brugerne til at tro, at det ikke længere er muligt at lytte til ens telefon- samtaler med en scanner (hvilket er korrekt), men man glemmer at fortælle, at man stadig kan lytte til samtaler, men med en computer. Kort sagt: Bølger i luften er ikke sikre ... selv om de er digitale. For at sikre det bedre kan man bruge frekvens-undvigelse. Man bruger ikke kun en frekvens, men skifter altid (af og til flere gange i sekundet). Resultat: Scanneren virker ikke, ej heller computeren. De kan kun lytte et sekund eller mindre af en frekvens, men de kan ikke lytte til hele samtalen. Forestil dig, at en pirat kan gøre det samme på internettet. Det er uhyre nemt at lave, det kan alle gøre. En programmør kan derfor lave et program til det samme uden sto- re problemer, han behøver bare at få idéen. Hvordan virker det? Ret nemt: Man finder flere anonyme proxies rundt om på nettet. Dette vil være “frekvenserne”. Man skriver disse proxies’ adresser i en database. Man laver et program, som selv er proxy, men som kalder en anden proxy, som bliver fundet i databasen. Det vil sige, at hvis en pirat angriber et netværk med Brutus, vil netværksadministra- toren (forhåbentligt!) finde ud af det og blokere pågældendes IP-nummer. Dette undgås med undvigelsen: Piratens proxy vil skifte ved hver TCP/IP- forbindelse, hvilket gør, at administratoren ikke længere ser et IP-nummer, men man- ge, som hvert sekund sender alle mulige pakker uden karakteristika. Administratoren kan ikke se, om en pakke er en del af et angreb, eller om det er en bruger. Den nye Hackerguide 205
    • Konsekvensen er, især hvis det er et sted, hvor der er en del trafik, at man blot kan være i stand til at se, at der er megen trafik lige pludselig, men er ude af stand til at finde ud af, hvor den kommer fra. Anonyme programmer Nogle programmer, som anonymiserer, er frit tilgængelige på nettet. De er som regel leveret i en blokeret version, som kun kan løsnes ved at betale og dermed give adgang til flere funktioner eller muligheder. Stealther Stealther kan downloades fra http://www.kortlink.com/free/stealther. Stealther er et program, som installeres i Windows og virker som proxy-server. Det holder styr på mange anonyme-server-adresser, som desværre ikke altid fungerer, men du kan selv indtaste de proxy-adresser, du ønsker. Stealther har siden slutningen af 2004 haft nogle problemer med Windows Update. Derfor virker den ikke altid, og udgiveren tilbyder ikke download længere, så længe det problem er til stede. Stealther kan blokere cookies med blot et klik, give statistik vedrørende din forbindel- se samt om de informationer, din browser sender. For at skabe et netværk af proxies tjekker Stealther svartiden for hver af serverne og laver en liste, hvorfra du kan dele din anonyme forbindelse med andre. Du kan også bruge Stealther som lokal-proxy. Det er et ganske godt anonymiserings- program, som kan bruges såvel fra enkelte brugere som fra virksomheder. Super Stealth Mode garanterer browsing stort set anonymt (men virker kun, når du køber produktet). Multiproxy Du kan downloade multiproxy fra www.multiproxy.org/downloads.htm. Det er et multifunktionelt og gratis produkt, som garanterer dig at være anonym, imens du browser. På siden kan du også downloade en liste over proxies (som des- værre sjældent bliver ajourført). MultiProxy bruger konsekvent flere adresser til at downloade en side. Den nye Hackerguide 206
    • Programmet er okay, men dets sikkerhedsniveau er noget dårligere end Stealther i Super Stealth mode. Installeringen og brugen af dette program følger proxiernes stan- dard-installation. Dvs: installer den på en server og konfigurer dens port (som regel 8080). Skriv serverens IP-adresse i din browser, og programmet vil bruge de proxy- servere, som er i hukommelsen, til at surfe. Husk: Når du har installeret en proxy-server, skal du starte Ex- plorer og vælge menuen Funktioner Internet Indstillinger, og i fanebladet Forbindelser klikker du på LAN. Du sætter hak i Pro- xy, indtaster proxyserverens IP-nummer og port, ellers vil du ik- ke komme via proxyen. Hvis du installerer proxyen på din egen computer, skal du angive IP-nummeret 127.0.0.1, som er din lokalcomputer. I gang med Stealther Det mest brugte til anonym surfing er Stealther. Du installerer det, og det bliver til en mini lokalproxy på port 14000. Når du starter programmet, får du dette billede: 9-1. Stealther 2.7 er startet. I pull-downmenuen kan du se, at den kan bruges på to forskellige måder: Den nye Hackerguide 207
    • Stealth-mode (Freeware): Skifter proxy flere gange i minuttet. Super Stealth Mode (når du har betalt for licensen): Proxyerne kædes sammen på kompliceret vis, kalder hinanden og overfører data fra den ene til den anden, før de kontakter målet. Pakkernes måde at bevæge sig på er så kompliceret, at der skal bru- ges tusinder af år for at genkonstruere dem ud fra en log-fil. Du skal nu i dine forskellige programmer, for eksempel Firefox eller Brutus, bede dem bruge proxy på adressen localhost eller 127.0.0.1. Skift porten til 14000. Firefox I Firefox skal du gå i Funktioner Indstillinger Avanceret Netværk og under Forbindelse klikker du på knappen Indstillinger... 9-2. Her finder du Proxy-indstillinger i Firefox. Den nye Hackerguide 208
    • Dér kan du ændre værdierne, så Proxy er sat på 127.0.0.1 og porten til 14000. 9-3. Du skal afkrydse Manuel proxykonfiguration for at kunne ændre værdien i feltet. Internet Explorer (MSIE) Den nye Hackerguide 209
    • I MSIE skal du gå i Funktioner Internet indstillinger Forbindelser LAN indstil- linger Brug proxyserver Avanceret og indtaste dataene. 9-4. Dér kan du indtaste dataene. Den nye Hackerguide 210
    • I Brutus sætter du hak i Use Proxy. Bagefter klikker du på Define. Du får så en ny dia- logboks i hvilken du kan sætte den rigtige port og adresse: 9-5. Proxy-indstillinger i Brutus. Den nye Hackerguide 211
    • Hvad databasen angår, skal du vælge menuen Proxy-Engine og klikke på Get Latest Proxy. Nyeste liste bliver downloadet, lige så snart du har bekræftet ved at klikke på Yes i den næste dialogboks. Når det nu er sagt, skal du vide, at hackerne sjældent benytter sig af de proxies, som er på denne liste. De er alt for kendte og alt for brugte. De servere, der er på listen, bliver overbrugt i løbet af nogle timer, og derfor vil de være for langsomme at bruge til et effektivt angreb. En god Stealther-bruger – som du er ved at blive til – laver sin egen liste af servere, som er hurtige, og som man selv finder. Det er ikke så svært. Du kan bare lave et scan på flere IP-adresser og søge de åbne porte, der hedder noget med 80, 8080 eller 3128. For at gøre det endnu nemmere er der rent faktisk programmer, som er specialiseret i den slags. De søger proxies. Den nye Hackerguide 212
    • Et program som Proxycheck eller ProxyHunter kan finde et hav af brugbare proxies som Wingate eller Winroute, hvis ejere har “glemt” at validere sikkerhedsoptioner. 9-6. ProxyHunter i gang Bruger man en velkonfigureret Stealther med en liste på et par hundrede proxies på ADSL-linjer (hvilket er ret nemt i dag), så er man stort set umulig at opspore. Den nye Hackerguide 213
    • Nu skal du også lige ... Du har lige læst alt det her og synes, at nu er det fint, du er alle tiders karl, som kan smutte alle vegne og vil kunne tjekke alle de sider, du vil, så tosset som du vil, uden at den dumme netværksadministrator kan finde ud af det. Hvis du tænker det, så har du ikke læst denne bog ordentligt ... For du ved, naturlig- vis, at administratoren kan snuse din forbindelse. Altså mellem dig og proxyen. Og piraten afsløres nemt. Husk, at denne metode betyder, at ejeren af den server, der bliver tjekket, ikke ved, hvor det kommer fra, men den netværksejer hvorfra du gør det, kan sagtens se det. Medmindre der er tale om et pirateret trådløst netværk, naturligvis. Den nye Hackerguide 214
    • Hacking er sjovt Jeg kunne ikke skrive en bog uden at komme med en konklusion ... Hvis man overho- vedet kan konkludere en bog om hacking? Personligt synes jeg, at hacking er sjovt. Jeg kan lide gåder, små træspil, hvor man skal få dimser befriet, adventure-spil og alt det her. Måske fordi jeg opfatter livet som en leg også? Jeg håber, at jeg har givet dig indsigt i de mest brugte metoder og egentlig en idé på, hvad du kan blive udsat for og – især – om, hvordan du kan beskytte dig mest muligt. Det centrale budskab er: Stol kun på dig selv i denne verden. Lad være med at sætte din lid til et styresystem, et antivirus-program, en systemadministrator, en firewall eller lignende. For mange, alt for mange, mennesker nøjes med at ajourføre deres antivirus og fire- wall og at installere nogle af de utallige patches, der findes. De kan ikke forstå, hvor- for deres computer til stadighed alligevel bliver hacket eller betændt af virusser. Det er, fordi systemadministratorer og producenter holder forbrugeren i uvidenhed. I dag, som altid, er viden magt, og hvis brugerne kan finde ud af selv at ændre sådanne ting, så vil der måske ikke være brug for det fine produkt længere. Jeg holder på, at viden skal være fri, og man kan godt være begynder uden at være dum. Jeg synes ikke, at forbrugerne skal holdes i snor som dumme pekingesere, der ikke kan finde ud af noget. Hvis man forklarer tingene klart og tydeligt, så kan alle, også begyndere, forstå det, der siges. Jeg håber, at jeg med denne bog, vil have hjulpet dig lidt på vej til at vide, hvordan du kan gøre din computer sikker og blive mere selvstændig samt kunne svare igen til dem, som af og til kan have en farlig tendens til at mene, at kun de har de vises sten. En 2'er? Måske. Jeg har allerede idéer til, hvad den kan indeholde. Men også her kan jeg bruge dig: Har du lyst til at vide mere om noget specielt, nogle spørgsmål, som du aldrig har forstået. Så skriv til mig: chill@hackademi.com, og spørg. Så vil den næste guide, i endnu højere grad, også blive din bog. Den nye Hackerguide 215
    • Du kan også, hvis du vil vide mere om Wi-Fi-Hacking, tjekke bogen ”Hacking uden snor – Hemmelighederne bag Wi-Fi-Hacking”, som du kan finde her: www.wifibogen.com. Nå! Men hvad laver du her og spilder tid på at læse! Ud at hacke! Den nye Hackerguide 216