[ Perun @ 13.02.2004. 07:14 ] @
He, lepo vas je videti ponovo - budi mi stare uspomene ...

Za sve koje me se secaju i i ne secaju - puno pozdrava od Peruna ...

Pisemo se ..

Ave ...

". . . We pray to God Perun, the master of thunders and battles and fights,who will never stop the wheel of living creatures, to our leader in the battle and great trizna . . ."


[Ovu poruku je menjao Perun dana 17.02.2004. u 17:24 GMT]
[ Perun @ 16.02.2004. 16:35 ] @
Oni koji se jos secaju moje Ciberwar serije su verovatno vec citali ovo ali za one koje jos nisu evo vam pocetak - ostale stare delove koje sam pisao moram da iskopam odnekle jer su mi jos negde na starom komputeru a i pisao sam neke nove koje za koje cu takodje morati da kopam jer sam se selio itd itd ...

Ciberwar seriju poceo da pisem negde za vreme bombardovanje Juge -nesto iz frustracije i besa i nekog nacina da ispustim ventile nesto iz neke vrste opustanja i nekog osecanja revolta - uglavnom pocelo je da mi stize u glavu i jednostavno sam poceo da pisem onako kako mi je dolazilo i birao sam teme i jezik za koje sam mislio da su najzanimljivije ...

Malo je zastarelo ali su principi i tehnike uglavnom jos iste samo sto se toolsovi usavrsavaju ...

Pa uzivajte ...


Perun

Ciberwar:Hakerske tehnike

The FBI estimates $(US)7.5 billion is lost annually to electronic attack the US
Department of Defense found that 88% of their computers are penetrable and in 96%
of the cases where
the crackers got in, their intrusions went undetected
in 1993, CERT found a 73% increase in security breaks
the Wall Street Journal on August 21, 1995 reports
"Russian computer cracker successfully breached a large number of Citicorp
corporate accounts, stealing
$400,000 and illegally transferring an additional $11.6 million…".
reports of computer crime are increasing at more than 150% a year,
88% of attempted break-ins were successful,
96% were undetected,
in 95% of times when attacks were detected nothing was done.

Vidim da se puno zanimate za hakovanje i da ima puno pitanja o tome pa evo da
probam da barem malo zadovoljim vasu radoznalost.Na zalost ja ne mogu da vas
napravim "instant hakerima" ali mogu da vam ukratko dam pregled najcesce
koristenih hakerskih tehnika i da vam dam neku prestavu "kako to oni rade"
Zeleo bih da naglasim razliku izmedju hakera - koji provaljuju u compove iz cistog
profesionalnog izazova i uzbudjenja i da bi izostravali i odrzavali svoje vestine i
znanje(i koji imaju jednu posebnu filozofiju i sub-kulturu-koja uopste nije tako losa
…) - i crakera koji imaju zle,kriminalne i destruktivne namere i rade to iz privatnog
(finansiskog) interesa ili su placeni i iznamljeni za to.
Postoje razne vrste i nivoi hakera zavisno od znaja i iskustva kao i talenta,od script-
kiddies koji su pokupili ovde-onde par trikova do Uber-hakera koji sami prave svoje
programe i toolsevei koji su jedno od najopasnih stvorenja na Net-u.
Naravno dobro poznavanja Internetovih protokola (TCP/IP,UDP,ICMP, itd …)
network arhitektura (Ethetnet,Token Ring,itd …) Operativnih sistema - Posebno
UNIX-a na kome je internet zasnovan,Web servera (Apache,IIS …) programiranja
(C,C++,Java,HTML,UNIX k-shell,awk,perl itd ..) kriptografskih tehnika i
enkriptovanih protokola (PGP,DSA,SSl.S-HTTP itd …) routera,firewall-ova -
gatewaya i jos par tuceta drugih znaja i vestina je jedna od osnova da se postane dobar
i priznat haker pa zato ako nase mlade i ambiciozne kolege zaista zele da naprave
brilijantu haker-karijeru - na poso - ne brinite - prvih 10-ak godina je malo tesko ali
posle vec ide nekako …
Naravno na Netu je non-stop ciberwar izmedju good en bad guy’s i non-stop se
pronalaze nove zastitne i napadacke tehnike i tako story goes on ….

Neke od nejcesce koriscenih hakerskih tehnika su:

1.Napad na osnovu pogadjanja seriskog broja TCP/IP paketa koji cirkulisu izmedju
servera i clienta na networku.
Ovo je najprostiji i najcesci nacin napada.kao sto znate svaki komp na netu ima svoju
IP-adresu i jedan serie-broj za svaki IP-paket koji posalje na network.Ova vrsta
napada se koristi nacinomm na koji se IP-adrsese dodeljuju Compovima i njihovi
TCP/IP paket serijski brojevi.
Napad se izvodi u 2 etape:
-Dobijanje IP-adrese od servera
gledanjem u statusbalk od browsera
presretanjem paketa na netweku (sniferima)
probanjem adresa po rednim brojevim u odredjenoj IP-subklasi (A,B,C)
Ako jedan sistem ima napr. IP-192.0.0.15 to je jedan klase C network
(128+64=192bits) sto znaci da moze da ima max 256 Ip-adrese (192.0.0.1-254)-tako
da on pokusava da pogodi jednu adresu u ovom IP-rangeu i da se predstavi serveru
kao klient iz njegovog sopstvenog netwerka(internog).Ako mu to uspe on moze da
monitoruje TCP/IP data-stream na networku i posle odredjenog vremena mu moze
uspeti da ih na osnovu odredjenog algoritma uspesno predvidi serijske brojeve TCP/IP
pakketa izmedju klijeta -severa i i da tako preuzme ulogu jednog od klijenata na
servervom networku i da ga ubedi da dobija informacije od svog klijenta a ustvari ih
dobija sa hakerove machine.Na taj nacin haker moze da monitoruje data-stream na
networku sto ukljucuje login-names,passworde,poverljive podatke.itd.Ovo se obicno
radi kao priprema napada na server ili na neki drugi server na istom networku.

2.Napadi sa sniferima:
TCP-IP paket interception ili aktivno snifanje

Ovo je jedan od najopasnijih oblika napada na jedan server koji je prikljucen na
jedan TCP/IP network.
U ovom slucaju haker ne pokusava da pogadja IP-adrese vec presrece TCP/IP
konekciju izmedju trusted(verovanog) klijenta na networku i servera i primorava
server da hakerovu masinu na taj nacin prihvata kao trusted-host.Na taj nacin on
simulira IP adresu i seriske brojeve TCP/IP paketa od zrtve-kompijutera(to je
takozvano IP-mimik (imitiranje)).Posto se on sada prestavlja kao trusted(verovan)
host on buy-passuje login i password indetifikaciju i moze da prodre do vise
obezbedjenih sistema i preuzme kontrolu na njima.
Pasivno snifovanje - jedan dobro postavljeni nettwork-sniffer moze da monitoruje
TCP/IP data-stream i da na taj nacin dodje do login-namea i passworda od odredjenog
racuna (mozda tvog) i da ga kopromituje i koristi kao bazu za provaljivanje
superuserovog passworda ili nekog drugog racuna sa visim privilegijama.(sto mu
obicno pre ili kasnije uspeva).Isto tako ova tehnika se koristi i kao pocetna faza za
sledece vrste napada:

n napad aktivnom desinhronizacijom
U principu generiradje ogromnog broja ACK-paketa (acknowledgment) zbog
prekida veze izmedju klijenta i servera ( u stvari mnogo komlikovanije ali ovo ide u
teski tehno-blabla a ja necu da vas davim)

n napad ranom desihronizacijom
Ovo se zasniva na prekidanju veze izmedju klijenta i servera u jednoj ranoj fazi i
zapocinjanju nove veze sa hakerove masine sa (novim) serijskim brojem (a pod
identitetom klijenta sa kojim je veza prekinuta)

n napad sa desihronizacijom sa tzv zero-data
kao sto mu ime kaze ovaj napad se zasniva na slanju ogromnog broja tzv. Nula-
data serveru i klijentu (koje ne sadrze nista) koji nisu vidljivi ali primoravaju server i
klijent da prekinu konekciju zbog preopterecenjaTCP/IP konekcije.

n napad na Telnet-sessiju
Izvodi se slanjem velikog broja instrukcija specificnih za Telnet (IAC NOP IAC
NOP) koji navodi Telnet protokol da pauzira i ceka sto haker koristi da bi preuzeo
kontrolu nad konekcijom i "umuva se unutra izmedju"

Zastita od ovakvih vrsta napada se sastoji u pazljivom monitorovanj i logovanju svih
network aktivnosti i zapisivanju svega neobicnog (na primer neobicno velike
procentaze ACK paketa na networku ) kao i u vodjenjem kriptografskih tehnika
(Kerber-ove kartice,SSL.S-HTTP,one time passwords,firewalls etc …)

Nesto o Web tehnikama i opasnostima -

Jedna od najopasnijih i najinteresatnijih tehnika na Webu je takozvani Web-
emulation ili virtual-web gde haker peuzima celu ulogu Web servera i naterava vas da
verujete da imate vezu sa hakerovom machinom dok vi verujete da imate vezu sa
oderedjenim web-serverom.Na taj nacim on ima potpunu kontrolu nad svim podacima
u oba pravca.Na primer vi zelite da napravite konekciju da serverom
www.mojabanka.com
Ono sto haker radi je da sve linkove i konekcje loaaduje (puni ) preko svoje masine
dodavanjem na svaki URL-link svoju web-adresu npr www.hakerovamasina.com tako
da to postaje http:/hakerovamachina.com/www.mojabanka.com.Na taj nacin svaka
transakcija ide preko hakerove machine i daje mu potpunu kontrolu nad svim
podacima u oba pravca (full dupleks).

Naprimer:
www,vasamasina.com -----mojoj banci:podizem 100 dm sa mog racuna (user-
name,password,broj kreditne kartice,PIN-code itd --------------hakerova masina vasoj
banci:podizem 10 000 DM—savaseg racuna: user-name,password,broj kreditne
kartice,PIN-code itd ------VASABANKA----potvda:podignuto 10000DM
savasegracuna---------hakerovamasina------vasojmasini:potvda:podignuto100DM
savaseg racuna -------vasamasina.

Na ovaj nacin mozete da budete zarobljeni u "virtualnom netu" a da uopste niste
svesni toga.(Ovo mose da vazi naprimer za CIU i SC)

Hiperlink - imitiranje

Slicna tehnika se koristi i u ovom slucaju samo sto ovo vazi za pojedine linkove sa
oderedjene Web-strane (koja moze da bude auteticna) koji bi trebalo da vas odvedu na
oderdjenu stranicu a ustvari vas odvode negde sasvim drugde (mada ta stranica
izgleda potpuno autenticno)

Na primer u HTML programu Web-strane(hakovane) stoji ovako nesto:

<A HREF=https://www.haker.com/getuserinfo
>Klik hier for a very hot babes !!

Gde se nalazi oderedjeni program koji grabi od vas poverljive podatke i slaze ih ih u
odredjenu databazu.
Zato budite extremno oprezni sa slanjm poverljivih podataka preko Web-a cak i
preko kriptovanih i "secure" servera jer ni oni nisu 100% zastita i mogu biti hakovani.

Jedna veoma cool tehnika je i DNS-mimik gde se potpuno obilazi firewall na taj nacin
sto se prvo kod napadacevog DNS-servera (koji je zaduzen da prevodi IP-adresa u
imena sajtova) stavlja link na stranu sa istim imenom kao strana zrtve (na primer
www.stranazrtve.com) na kojoj se mogu pisati uvredljive stvari o zrtvi postaviti
obscene slike ili siriti dezinformacije o zrtvi i propaganda protiv nje, a onda se napda
DNS-server zrtve (ako nije dobro obezbedjen) gde se menja link za DNS adresu za
zrtvinu stranu tako da se povezuje sa DNS serverom napadaca. I Tako ko god
naprimer ukuca www.serbincafe.com adresira DNS server napadaca koji ga upucuje
na napadacevu Web stranu koju on moze urediti kao hoce …..

Drugi nacim buy-pasovanja firewalla je kod organizacija koji koriste dial-up
konekcije (paralelno sa LAN)
Tako da kompijuter koji se preko modema povezan sa Web-om moze biti napadnit
Trjancemili BO ili necim slicnim a onda biva koriscen kao baza za napad na ostali deo
netwerka.Posto napadac ulazi kroj dial-up liniju preko modema on na taj nacim
zaobilazi firwall na LAN-u

Zeleo bih da naglsim da je ovo samo veoma mali deo koricsenih tehnika i da se svkim
danom pronalaze nove metode obezbedjenje i bivaju prevazilazene od hakera i tako u
nedogled.Isto tako zeleo bih da naglasim da su ovo VEOMA UPROSCENA
objasnjenja jer nisam zelo da vas UGNJAVIM sa teskim
tehno-jezikom jer bi pola od vas umrlo od dosade a sledeca polovina zaspala.Zeleo bih
da tehno-kolege imaju ovo u vidu pre nego sto pocnu da me kritikuju ….

Naravno mnogi od vas ce reci OK sve je to lepo ali KAKO(KONKRETNO) se to radi
- pa to bi zahtevalo pisanje knjige od nekoliko stotina strana i ronjenje u duboke
tehno-vode ali ako zanimanje bude dovoljno ko zna zivot je pun iznenadjenja ….