A hackerek fejlődése

A támadások gyakorisága és komplexitása egyre nő az interneten. A Slammer-féle egyszerű támadások mára már utat adtak az egyre kifinomultabb támadásoknak.
Az internetes támadások elkövetői is sokat változtak. A mai modern informatikai bűnözőket egyre inkább motiválja a politika és a kapzsiság, és egyre ritkább az a szomszédban lakó “stréber”, aki abban leli örömét, hogy vírusokat terjeszt az interneten.
2003 óta drasztikusan megnőtt a kémszoftverek és a céges adatok lopásainak száma. A kémszoftvereket gyakran használják személyiség lopásnál, és segítségükkel akár az áldozat pénzügyi adatihoz is hozzáférhetnek. A céges adatlopások a tárolt hitelkártya számokra irányultak. A személyes információk bizalmasságáról szóló SB1386-os Kaliforniai törvény beiktatása óta a sikeres adatlopásokat sokszor közzétették. Ezzel két dolgot értek el; egyrészt a fogyasztók figyelmeztetést kapnak az adatlopásról és lehetőségük nyílik a károk csökkentésére, valamint a cégeket nyilvános megaláztatás éri. Egy ilyen hír után a cégek részvényeinek ára leeshet vagy akár tönkre is mehetnek emiatt.

Kétféle hacker támadás létezik
A hacker támadásokat sokféleképpen lehetne kategorizálni. A cikk erejéig két csoportra osztjuk őket: (i) opportunista és (ii) célzott.

 

(i) Opportunista

Az opportunista támadások nem egy bizonyos gépet céloznak meg, hanem több millió gépet támadnak. A százalékot nézve nem nagyon hatékonyak, de ha a sikeres támadások számát vesszük figyelembe akkor nagyon is hatékonyak.

Az opportunista támadások gyakran célozzák meg az ember gyengeségeit:

  1. A Nigériai /419-es csalások az emberek kapzsiságát célozza meg. Az áldozat kap egy e-mailt azzal az ígérettel, hogy milliókat kereshet ha segít a szélhámosnak a pénzek átutalásában. A végeredmény viszont az, hogy kiürítik az áldozat bankszámláját és a személyiségét is ellopják.
  2. A “romantikus” csalások gyakran céloznak meg egyedülálló külföldi lányokat. On-line hirdetéseken keresztül lépnek velük kapcsolatba. Miután megnyerte az új barát a lány bizalmát arra kéri, hogy csekkeket váltson be és a pénzt a tengerentúlra küldje. Természetesen valami hihető indokot adnak. Ez így megy néhány hónapig, amíg a rendőrség meg nem jelenik a lánynál és informálják, hogy módosított vagy lopott csekkeket váltott be. Természetesen mind a pénz, mind az új barát eltűnnek ezután.
  3. Viccek és képernyő védők mindig is sikeresek voltak a vírusok terjesztésében.
  4. Az opportunista vírusok és férgek több millió olyan számítógépet támadnak meg, amelyek gyenge hálózati védelmük és kialakításuk miatt közvetlenül támadhatók. Az SQL Slammer, Code Red és a Nimda is ebbe a kategóriába tartozik.

Csak amatőrök és “biztonságos” országokban (ahol a rendőrség általában nem hajlandó közreműködni informatikai bűnözések nyomozásában) élő személyek indítanak támadásokat a saját gépükről. Mivel az USA-ban a lakossági vezetéknélküli hálózatok majdnem 50%-a nem használ titkosítást, a hackerek könnyedén kihasználhatják mások hálózatait. Európában ez a szám már valamivel alacsonyabb, csak 25%. Azonban 50%-a azoknak akik használnak titkosítást a WEP titkosítást alkalmazzák, amit egy gyakorlott hacker két perc alatt fel tud törni. Addig amíg WPA2 erős jelszavakkal nem terjed el, a hackerek legkönnyebben az otthoni vezetéknélküli hálózatokat kihasználva fognak internet hozzáféréshez jutni. Ezek a vezetéknélküli hozzáférési pontok nagyon korlátozott naplózási rendszert használnak, így ha a tulajdonos ajtaján kopogtat a rendőrség, semmilyen nyomot nem fognak találni, ami elvezethetne a hackerhez.

A botnet hálózatok terjedésével, zombi hadseregek várnak arra, hogy valaki bérbe vegye őket az interneten. Ezek lehetővé teszik, hogy a hackerek több millió számítógépről küldjenek spam-et vagy indítsanak egy új nulladik-napi vírust. Ezzel a hackerek tömérdek időt nyernek és a lehetőségük van megfertőzni gépeket mielőtt azokat frissítenék.

Ha botnet hálózatokról indítanak egy támadást, akkor több millió számítógépet sikeresen feltörhetnek. A feltört gépekkel a hacker számos dolgot tehet:

  • Hozzáadja a gépeket a saját zombi hadseregéhez későbbi nulladik napi vagy elosztott szolgáltatás megtagadásos (DDoS) támadások indítására.
  • Billentyűzet naplózókat telepíthet a gépekre, hogy felhasználó neveket jelszavakat és pénzügyi adatokat lopjon (sok esetben célzott támadás követi). 
  • A böngésző által tárolt adatokat ellopja: felhasználó neveket, jelszavakat, internetes számlákat.
  • Automatikusan tesztelheti a lopott adatokat az eBay-en, PayPal-nél, Hotmail-en, és egyéb pénzügyi oldalakon.

Nyers erő
Hackerek nyers erő támadásokkal is próbálkozhatnak. A hacker eszközüket egy több milliós felhasználóval rendelkező weboldalra irányítják. Ezek az eszközök automatikusan állítanak elő felhasználó neveket és jelszavakat, ezeket sorra próbálják, hátha sikerül eltalálni. Ezek a technikák azért működnek, mert a felhasználók gyakran használják fel ugyanazokat a jelszavakat. A legtöbb felhasználónak három négy jelszava van amit rendszeresen újrahasznosít az interneten. Még aggasztóbb, hogy sokan használnak azonos jelszavakat, például “password”, “qwerty” vagy “leitman”. Az interneten használt 50 leggyakoribb jelszavak használatával a múltban sikerült a felhasználói hozzáférések 10-15%-át feltörni. Ez egy több millió felhasználót kiszolgáló oldalon egy nagyon nagy szám. Ezeket a jelszavakat ki lehet próbálni biztonságosabb rendszereken is, ahol a rendszer lezárja a felhasználói fiókot ha sokszor elhibázzák a jelszót.

A gyakori jelszavakat kihasználó nyers erő támadások szintén hatékonyak. A fiókokat kihasználhatják “social engineering” támadásokra, pénzügyi és más bizalmas adatok megszerzésére, de spam-ek és vírusok terjesztésére is.

Kukázás
A kukázás sok esetben információ özönbe torkollik. A támadó ahelyett, hogy papír dokumentumokat keresne, eldobott merevlemezeket keres. Az FTK, az Encase és egyéb programok képesek a régi letörölt dokumentumokat és jelszavakat visszahozni. A közelmúltban így használták ki információ gyűjtésre az egyik afrikai jótékonysági szervezetnek adott régi számítógép adományokat. A kibányászott információk segítségével sok bankszámlát veszélyeztettek (http://news.bbc.co.uk/2/hi/business/4790293.stm). Azok akik az eBay-en próbálnak eladni merevlemezeket óvakodjanak, ugyanis a lemezek régi tartalma alapján célzott támadások áldozatává válhatnak.

 

(ii) Célzott támadások

A célzott támadások általában egyéneket vagy cégeket érintenek. A hacker gyakran haragszik a cégre valamiért vagy úgy gondolja, hogy valami értékes adatot szerezhet meg a gépek feltörésével. Gyakran opportunista támadások során felfedezett adatok alapján jutnak erre a megállapításra.

Gyakorlott hackerek óvatosan megtervezik a támadást és eltüntetik a nyomokat maguk után. Ők gyakran a hacker módszertant (lásd lejjebb) követik. Tapasztalatlan hackerek viszont sokszor a saját gépükről indítják a támadást és sokkal könnyebb lenyomozni őket.

Személyek elleni támadások
A hackerek mellett elégedetlen alkalmazottak, illetve gyanakvó élettársak is gyakran indítanak ilyen jellegű támadásokat. Azok akik fizikailag hozzáférhetnek az áldozat gépéhez, akár hardveres billentyűzet naplózókat is telepíthetnek. Ez a támadás típus laptopoknál nem alkalmazható, illetve súlyos következményekkel jár, ha észreveszik őket. A szoftveres billentyűzet naplózók manapság gyakoribbak és az interneten is széles körben hozzáférhetőek. Sok kémprogram és egyéb rosszindulatú kód billentyűzet naplózókat is tartalmaz, illetve a legkifinomultabbak már a képernyő tartalmát is képesek tárolni. A billentyűzet naplózók gyakran gyűjtenek személyes e-maileket, üzeneteket, bankszámla számokat és jelszavakat. A legjobb védelmet rendszeresen frissített anti-spyware, anti-vírus és tűzfal programok biztosítják.

Az elmúlt években fejlődött ki az “ugródeszka” jelenség az egyének támadása során. Az “ugródeszkás” művelet az alábbi lépésekből áll:

  • Az első célpontot már sikerült feltörni opportunista vagy célzott támadással. A jelszavakat begyűjtve a hacker felveszi az első célpont identitását. 
  • A hacker tanulmányozza és felhasználja a begyűjtött információkat az első célpontról. Felméri kapcsolatait további lehetséges célpontokhoz.
  • A hacker az emberi hiszékenységet kihasználva (social engineering) megszerzi a második célpont feltöréséhez szükséges információkat.
  • A második célpont adatait is begyűjti, majd őt is ugródeszka ként használja további célpontok támadásához.

Adatok elérhetősége
Az elmúlt években a személyes adatok tárolása elterjedt az interneten, ami sokkal könnyebbé teszi a social engineering-et és az indentitás lopást:

  • Google: A legtöbb hacker a Google-t használja, hogy információt gyűjtsön a célpontról, legyen az személy vagy cég. Számos könyvet írtak a Google használatáról “biztonsági tesztelés céljából”. 
  • Blog: A blogok aranybányák a hackerek számára. Lehetőséget adnak arra, hogy a hacker betekintsen a célpont napi gondjaiba, véleményeibe, lelkébe és baráti körébe. Olyan oldalak mint a MySpace, Bebo és Yahoo360 tovább viszik ezt és elérhetővé tesznek fényképeket, személyes részleteket, hobbikat és még utazási terveket is.
  • LinkedIn és OpenBC: Itt a hacker megtekintheti a célpont önéletrajzát, munkahelyét, kollégáit, illetve azt, hogy milyen címeket visel.

Ezek és a hozzájuk hasonló oldalak aranybányák a hackerek számára, akik ki tudják használni az itt található információkat. A hackereknek lehetőségük nyílik arra, hogy közeli barátnak vagy kollégának adják ki magukat. A hackerek felhasználhatják a lopott információkat, hogy hiteleket vegyenek fel az áldozat nevében (http://attorneygeneral.utah.gov/PrRel/prmay192004.htm) és hitelkártyákat készítsenek. A személyek zsarolása szintén gyakori eset, amikor a számítógép és az e-mailek áttekintése során multbéli félrelépésekre derülhet fény. Sok áldozat hajlandó fizetni a követeléseket, hogy titokban tartsa ezeket az információkat és valószínűleg a hatóságokhoz sem fordulnak.

Cégek elleni támadások
Ha a támadást távolról végzi, akkor valószínűleg a hacker módszertan lépéseit fogja követni a hacker, azonban ha a közelben van és a felfedezés veszélye alacsony, akkor opportunista módszereket is alkalmazhat.

Néhány példa:

  • Kukázás
  • A cég látogatása mint egy tisztességes üzletember. Ha felügyelet nélkül hagynák akkor keres egy üres gépet és egy vezetéknélküli hozzáférési pontot vagy jelszó lopót telepít. 
  • Rosszindulatú kódokat hagy a helyszínen vagy a parkolóban (pl. USB pendrive-ot hagy el automatikusan betöltődő kémporgrammal vagy billentyűzet naplózóval).
  • Kapcsolatba lép a cég volt alkalmazottjaival és úgy tesz mintha a cég vetélytársának toborozna alkalmazottakat. Kéri hogy részletesen írja le a biztonsági projekteket a volt munkahelyén.
  • A blogokból és egyéb úton nyert információkat kihasználja, hogy bejusson a cég épületébe.

Anyagi ösztönzés
Az elmúlt években a hackelés motivációjának változása az anyagi ösztönzésre vezethető vissza. Habár a hackerek régebben is loptak fontos információkat, az ezeket értéksítő piacok számának növekedése vezetett az ilyen információk utáni igény növekedéséhez, tehát a lopott információkkal foglalkozó iparágak feltűnése az igazi ok.

2005 közepétől kezdve lett igazán elterjedt a működő bankszámlák, hitelkártya adatok és személyazonosítók eladása és a velük folytatott kereskedelem IRC csatornákon. A csatorna jövedelmezősége biztosítja a sikerét. Vegyük a következő példát: egy benzinkúti alkalmazott lemásolja a hitelkártya számokat, ezek darabját 25 centért értékesíti on-line, amiket utána e-kreskedelmi oldalakon érvényesítenek. Ahogy “érvényesítve” lettek, többet érnek és egy harmadik személynek már 1 $-os áron adhatják el darabját. A végső vevő előállítja az eredeti kártya fizikai másolatát és azt adhatja el, darabját 20 dollárért.

A bűnszervezetek “ösztöndíjakat” ítéltek, ítélhetnek oda a 0-day sebezhetőségek megtalálójának, aki a sokat szidott közzétételi eljárás helyett inkább a bűnszervezetnek adja át az információkat.

Az on-line zsarolás egy szörnyű eszköz, ami következhet jelszó logolásból, e-mailhez való távoli hozzáférésből, kínos fényképek ellopásából és indiszkrét adatok feltárásából. Különösen a nagy méretű, nagy pénzügyi forgalommal rendelkező vállalatok (pl. on-line kaszinók) vannak a zsarolás veszélyének kitéve. Ezeket az oldalakat gyakran fenyegetik 0-day sérülékenységek kihasználásával és DDoS támadásokkal. Más vállalatok, egy sikeres nyilvánosságra hozott támadás esetén, a vállalatról kialakított kép sérülésétől és az okozott kár költségeitől félnek. A kompromittált vállalatok kísértést érezhetnek, hogy megvegyék a hacker hallgatását.

A lopott hitelkártya adatokat és a kompromittált számlákról utalt pénzeket sokszor áruk megvételére használják. Az eBay árusok és az e-kereskedelmi oldalak gyakori áldozatai ennek. Az árut általában egy mit sem sejtő otthoni felhasználónak küldik, aki némi díjazásért cserébe továbbküldi azt egy külföldi címre. Ezek az otthoni felhasználók gyakran olyan álláshirdetésekre jelentkeztek, amikben “otthoni munkára, csomagok továbbküldésére” kerestek embereket, és szándékukon kívül pénzt mosnak nemzetközi bűnszervezeteknek. A legtöbb árut, miután megérkezik külföldre, pénzzé teszik.

Pénzt kompromittált bankszámlákról vagy PayPal-ről utalhatnak. Ezt általában “nigériai” vagy “romantikus” csalás gyanútlan áldozatainak a helyi bankban vezetett bankszámlájára küldik. Akik nem gyanakodnak, hogy nem egyből a tengerentúli számlára küldik azt.

A személyi adatok lopásának egyre gyakoribbá válásával és a személyi adatok eladására és vételére nyílt piacokkal jelenleg a csalók vannak fölényben. Amíg megbízható ügynökségek és vállalatok veszítenek el kódolótlan laptopokat ezernyi személyi adattal, a helyzet nem fog változni. A csalók továbbra is hitelhez, hitelkártyához és jelzáloghoz fognak hozzájutni az áldozat nevében.

A hacker módszertan
A hacker módszertan sok hacker által alkalmazott lépcsőzetes megközelítés. A George Kurtz és Stuart McClure által írt “Hacking Exposed” című könyv tette a módszert híressé. Minden lépéshez szükséges nyomozás és tervezés, valamint sok eszköz mély ismerete.

Rendszerbiztonság
Egy dolog nyilvánvalóvá vált; az anti-vírus szoftverek már nem elegendőek. E-mail linkek elirányíthatják a felhasználót phishing oldalakra ahol kihasználhatják őket. A pharming a DNS-t manipulálja, hogy ugyanezt elérje. A kémszoftverek lelassítják a gépeket és ellopják a felhasználók adatait. A billentyűzet naplózók titokban elküldenek minden egyes begépelt karaktert a hackernek. A frissítés nélküli gépekből DDoS zombikat csinálnak a hackerek. A nulladik napi támadásoktól a behatolás védelmi rendszerek (HIPS – Host Intrusion Prevention System) biztosítják a legjobb védelmet.

A hálózati tűzfalra támaszkodni gondatlanság. A vezetéknélküli hozzáférési pontoknál a biztonságot meg kell teremteni és a végpontoknál rétegelt védelmet kell használni.

Az egyrétegű biztonsági megoldás nem elegendő a problémák megoldására, rétegelt biztonsági megoldás alkalmazása szükséges. Míg vállalati gépeknél meg kell vizsgálni a lenti rétegeket, a fogyasztói gépeken az alábbi minimumok legyenek telepítve:

  • Anti-vírus
  • Anti-Spyware
  • személyer tűzfal vagy HIPS
  • Spam szűrő
  • Anti-phishing technológia (mint ami ingyenes elérhető a www.siteadvisor.com-tól)

Írta:
Ken Baylor Ph.D. MBA
CISSP, CISM, OCP, MCDBA, MCSE, SCNA
Director Market Development & Strategic Alliances

Eredeti cikk:
Evolution of the Hacker Threat