DIPLOMSKA NALOGA
Datoteka - Å C PET
Datoteka - Å C PET
- No tags were found...
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Oblikovano: Obroba: Spodaj:<br />
(Ni obrobe)<br />
Oblikovano: Zgoraj: 3,5 cm<br />
ŠOLSKI CENTER ZA POŠTO, EKONOMIJO IN TELEKOMUNIKACIJE<br />
LJUBLJANA<br />
VIŠJA STROKOVNA ŠOLA<br />
<strong>DIPLOMSKA</strong> <strong>NALOGA</strong><br />
GAŠPER HRIBAR<br />
Ljubljana, april 2006<br />
Izbrisano: A<br />
Izbrisano: januar
Oblikovano: Obroba: Spodaj:<br />
(Ni obrobe)
Oblikovano: Obroba: Spodaj:<br />
(Ni obrobe)<br />
ŠOLSKI CENTER ZA POŠTO, EKONOMIJO IN TELEKOMUNIKACIJE<br />
LJUBLJANA<br />
VIŠJA STROKOVNA ŠOLA<br />
smer: telekomunikacije<br />
<strong>DIPLOMSKA</strong> <strong>NALOGA</strong><br />
HEKERSKA ORODJA<br />
Diplomant:<br />
Mentor:<br />
Lektor:<br />
Gašper Hribar<br />
mag. Boštjan Fele<br />
Nina Heferle, prof. slov.<br />
Vpisna številka: 12130081276<br />
Ljubljana, april 2006<br />
Izbrisano: A<br />
Izbrisano: januar
HRIBAR, Gašper. Hekerska orodja: dipl. nal. Ljubljana, ŠC PET, VSŠ, 2006 2<br />
IZVLEČEK<br />
Diplomska naloga opisuje postopke in orodja, ki ji hekerji uporabljajo pri vdorih v<br />
računalniške sisteme. V prvem delu diplomske naloge je predstavljen okviren<br />
postopek, ki ga hekerji uporabljajo pri vdorih v računalniške sisteme. Prva faza<br />
vsakega vdora je sledenje, to je tehnika, ki jo heker uporabi za pridobivanje<br />
informacij o omrežnih naslovih in topologijah omrežij. Naslednja faza je skeniranje<br />
in vohljanje v omrežju. Skeniranje je postopek, ki avtomatično zaznava varnostne<br />
luknje v lokalnem ali oddaljenem sistemu, vohljanje prometa pa je postopek, s<br />
pomočjo katerega napadalec zbira informacije, ki potujejo prek omrežja.<br />
V naslednjem delu naloge so opisani postopki in orodja, ki jih napadalec uporabi,<br />
ko je že vdrl v sistem. To so hekerska orodja za razbijanje gesel, programi za<br />
beleženje tipk, trojanci, virusi in različne vrste zlonamernih napadov na<br />
računalniške sisteme (DoS napad, prekoračitev vmesnika, ugrabitev seje, napad s<br />
slepljenjem).<br />
Nadalje je predstavljena uporaba spletnega iskalnika Google kot hekerskega<br />
orodja in napadi na brezžična omrežja, dve vrsti orodij, ki v zadnjem času spadata<br />
med najbolj priljubljene tehnike hekerjev.<br />
Zadnji del naloge predstavlja opis najpogostejših tehnik zaščit in orodij za zaščito<br />
pred napadi na računalniške sisteme.<br />
Oblikovano: Zgoraj: 3,5 cm<br />
Izbrisano: z<br />
Izbrisano: e<br />
Izbrisano: sledenje<br />
Izbrisano: ,<br />
Izbrisano: o<br />
Izbrisano:<br />
Izbrisano: -a,<br />
Izbrisano: spadata<br />
Ključne besede:<br />
Vdor, sledenje, skener, vohljanje, hekerska orodja.<br />
Izbrisano:
HRIBAR, Gašper. Hekerska orodja: dipl. nal. Ljubljana, ŠC PET, VSŠ, 2006 3<br />
ABSTRACT<br />
Dissertation describes procedures and use of tools that hackers use at intrusion<br />
into computer systems. First part of dissertation describes approximate procedure<br />
of the intrusion. First phase of every intrusion is footprinting, footprinting is<br />
technology that hackers use for gathering informations about network addresses<br />
and network topologies. Next phase is network scanning and network sniffing.<br />
Network scanning is procedure, that automatically searches safety holes in local or<br />
remote system, traffic sniffing is procedure by the help of which, attacker gathers<br />
information that travels over network.<br />
Next part od dissertation describes procedures and tools that attacker uses, when<br />
he already broke in to system. These are hacking tools for cracking passwords,<br />
keyloggers, trojans, viruses and different types malicious attacks on computer<br />
systems (DoS attack, buffer overflow, session hijacking, spoofing attack).<br />
Further there is introduced the use of web search engine Google, and attacks on<br />
wireless networks, two of the most popular techniques that hackers use.<br />
Last part of dissertation represents description of most frequent technologies for<br />
protections and tools for protection before attacks on computer systems.<br />
Keywords:<br />
Intrusion, footprinting, scanner, sniffing, hacking tools
Izbrisano: 13<br />
Izbrisano: 12<br />
Izbrisano: 14<br />
HRIBAR, Gašper. Hekerska orodja: dipl. nal. Ljubljana, ŠC PET, VSŠ, 2006 4<br />
KAZALO VSEBINE<br />
SEZNAM KRATIC.................................................................................................. 7<br />
1 Uvod ............................................................................................................... 8<br />
2 Sledenje ....................................................................................................... 10<br />
2.1 NIC poizvedovanje................................................................................. 12<br />
2.2 DNS poizvedovanje................................................................................ 13<br />
2.2.1 Podrobna DNS poizvedba...................................................................................... 13<br />
2.2.2 Prenos cone ........................................................................................................... 13<br />
2.2.3 SMTP preiskovanje ................................................................................................ 13<br />
3 Skeniranje .................................................................................................... 14<br />
3.1 Tehnike skeniranja................................................................................. 14<br />
3.2 ICMP preiskovanje sistema.................................................................... 15<br />
3.3 Echo request.......................................................................................... 15<br />
3.4 Timestamp request ................................................................................ 16<br />
3.5 Address mask request ........................................................................... 16<br />
3.6 TCP skeniranje ...................................................................................... 16<br />
3.7 Izogibanje IDS sistemom in preprečevanje filtriranja.............................. 17<br />
3.7.1 Fragmentacija paketov ........................................................................................... 18<br />
3.7.2 Zavajanje z več naslovi .......................................................................................... 18<br />
3.7.3 Izvorno usmerjanje................................................................................................. 19<br />
3.7.4 Uporaba določenih TCP ali UDP vrat..................................................................... 19<br />
3.8 Programi za skeniranje omrežja............................................................. 21<br />
3.8.1 Nmap network scanner .......................................................................................... 21<br />
3.8.2 Nessus.................................................................................................................... 21<br />
4 Omrežni vohljač .......................................................................................... 21<br />
4.1 Ethereal.................................................................................................. 22<br />
4.2 Dsniff...................................................................................................... 22<br />
4.3 Ettercap.................................................................................................. 23<br />
5 Pridobivanje in razbijanje gesel................................................................. 23<br />
5.1 Razbijanje (krekanje) gesel.................................................................... 23<br />
5.2 Programi za razbijanje gesel.................................................................. 24<br />
5.2.1 John the Ripper ...................................................................................................... 24<br />
5.2.2 THC-hydra.............................................................................................................. 24<br />
5.2.3 LC5 (L0phtcrack).................................................................................................... 25<br />
5.2.4 Crack ...................................................................................................................... 25<br />
5.2.5 MDcrack ................................................................................................................. 25<br />
5.2.6 Isadump2................................................................................................................ 25<br />
5.3 Programi za beleženje tipk..................................................................... 25<br />
5.3.1 Invisible keylogger.................................................................................................. 25<br />
5.3.2 FakeGINA............................................................................................................... 26<br />
6 Vrste Napadov ............................................................................................. 27<br />
6.1 Trojanec ................................................................................................. 27<br />
6.1.1 Primer trojanca ....................................................................................................... 27<br />
6.2 Rootkit.................................................................................................... 28<br />
6.3 Virus....................................................................................................... 29<br />
6.4 Črv ......................................................................................................... 29<br />
6.5 Phishing ................................................................................................. 30<br />
6.6 Napadi prek elektronske pošte............................................................... 31<br />
6.7 DOS – denial of service ......................................................................... 31<br />
Izbrisano: 13<br />
Izbrisano: 16<br />
Izbrisano: 15<br />
Izbrisano: 16<br />
Izbrisano: 15<br />
Izbrisano: 16<br />
Izbrisano: 15<br />
Izbrisano: 18<br />
Izbrisano: 17<br />
Izbrisano: 19<br />
Izbrisano: 18<br />
Izbrisano: 21<br />
Izbrisano: 20<br />
Izbrisano: 21<br />
Izbrisano: 20<br />
Izbrisano: 21<br />
Izbrisano: 20<br />
Izbrisano: 21<br />
Izbrisano: 20<br />
Izbrisano: 23<br />
Izbrisano: 22<br />
Izbrisano: 23<br />
Izbrisano: 22<br />
Izbrisano: 23<br />
Izbrisano: 22<br />
Izbrisano: 25<br />
Izbrisano: 24<br />
Izbrisano: 25<br />
Izbrisano: 24<br />
Izbrisano: 25<br />
Izbrisano: 24<br />
Izbrisano: 25<br />
Izbrisano: 24<br />
Izbrisano: 26<br />
Izbrisano: 25<br />
Izbrisano: 27<br />
Izbrisano: 26<br />
Izbrisano: 27<br />
Izbrisano: 26<br />
Izbrisano: 28<br />
Izbrisano: 27<br />
Izbrisano: 29<br />
Izbrisano: 28<br />
Izbrisano: 30<br />
Izbrisano: 29<br />
Izbrisano: 31<br />
Izbrisano: 30<br />
Izbrisano: 31<br />
Izbrisano: 30
HRIBAR, Gašper. Hekerska orodja: dipl. nal. Ljubljana, ŠC PET, VSŠ, 2006 5<br />
6.8 DdoS napad ........................................................................................... 32<br />
6.8.1 Nuke ....................................................................................................................... 32<br />
6.8.2 Winnuke.................................................................................................................. 33<br />
6.8.3 SYN Flood .............................................................................................................. 33<br />
6.8.4 SMURF................................................................................................................... 33<br />
6.9 Spoofing napad...................................................................................... 34<br />
6.10 Ugrabitev seje ........................................................................................ 35<br />
6.11 Prekoračitev vmesnika ........................................................................... 36<br />
7 Google – hekersko orodje .......................................................................... 37<br />
8 Napadi na brezžična omrežja ..................................................................... 41<br />
8.1 Wardriving.............................................................................................. 42<br />
8.1.1 NetStumbler ........................................................................................................... 43<br />
8.1.2 Kismet..................................................................................................................... 43<br />
8.1.3 AirSnort................................................................................................................... 43<br />
9 Zaščita pred napadi..................................................................................... 43<br />
9.1 Požarna pregrada .................................................................................. 43<br />
9.2 Antivirusni program ................................................................................ 44<br />
9.3 IDS – sistem za zaznavanje vdorov ....................................................... 46<br />
10 Sklep ......................................................................................................... 48<br />
11 Viri in literatura ........................................................................................ 49<br />
Izbrisano: 32<br />
Izbrisano: 31<br />
Izbrisano: 33<br />
Izbrisano: 32<br />
Izbrisano: 33<br />
Izbrisano: 32<br />
Izbrisano: 33<br />
Izbrisano: 32<br />
Izbrisano: 34<br />
Izbrisano: 33<br />
Izbrisano: 35<br />
Izbrisano: 34<br />
Izbrisano: 36<br />
Izbrisano: 35<br />
Izbrisano: 37<br />
Izbrisano: 36<br />
Izbrisano: 41<br />
Izbrisano: 40<br />
Izbrisano: 42<br />
Izbrisano: 41<br />
Izbrisano: 43<br />
Izbrisano: 42<br />
Izbrisano: 43<br />
Izbrisano: 42<br />
Izbrisano: 43<br />
Izbrisano: 42<br />
Izbrisano: 43<br />
Izbrisano: 42<br />
Izbrisano: 43<br />
Izbrisano: 42<br />
Izbrisano: 44<br />
Izbrisano: 43<br />
Izbrisano: 46<br />
Izbrisano: 45<br />
Izbrisano: 48<br />
Izbrisano: 47<br />
Izbrisano: 49<br />
Izbrisano: 48<br />
Izbrisano: SEZNAM<br />
KRATIC 7<br />
1 Uvod 8<br />
Izbrisano: o<br />
Izbrisano: elektronske<br />
Izbrisano: <br />
... [1]<br />
... [2]<br />
... [3]
HRIBAR, Gašper. Hekerska orodja: dipl. nal. Ljubljana, ŠC PET, VSŠ, 2006 6<br />
KAZALO SLIK<br />
Slika 1: Pridobivanje podatkov o strežnikih prek spleta....................................... 10<br />
Slika 2: Pridobivanje podatkov s pomočjo funkcije tracert................................... 11<br />
Slika 3: Sledenje z uporabo programa SamSpade.............................................. 12<br />
Slika 4: Skeniranje s programom Nmap .............................................................. 15<br />
Slika 5: Analiziranje prometa z uporabo programa Ethereal ............................... 22<br />
Slika 6: Razbijanje gesel s programom John the Ripper ..................................... 24<br />
Slika 7: Ekranska slika Invisible keylogger-ja ...................................................... 26<br />
Slika 8: Namestitev programa FakeGINA v sistem.............................................. 27<br />
Slika 9: Uporabniški vmesnik trojanca Back Orifice............................................. 28<br />
Slika 10: Računalnik, okužen z virusom sasser................................................... 29<br />
Slika 11: Shema DdoS napada ........................................................................... 32<br />
Slika 12: SMURF napad...................................................................................... 34<br />
Slika 13: IP spoofing napad................................................................................. 35<br />
Slika 14: Potek prekoračitve vmesnika................................................................ 37<br />
Slika 15: Posnetek nadzornih kamer v gostinskem lokalu................................... 39<br />
Slika 16: Posnetek nastavitvenega vmesnika tiskalnika...................................... 40<br />
Slika 17: Spletni vmesnik za konfiguracijo usmerjevalnika.................................. 40<br />
Slika 18: Spletni vmesnik za nadzor UPS naprav................................................ 41<br />
Slika 19: Pripomočki za vojno vožnjo .................................................................. 42<br />
Slika 20:Implementacija požarne pregrade ......................................................... 44<br />
Slika 21: Širjenje zlonamerne programske opreme ............................................. 45<br />
Slika 22: Sistem za ugotavljanje in preprečevanje vdorov................................... 46<br />
Izbrisano: 15<br />
Izbrisano: 14<br />
Izbrisano: 22<br />
Izbrisano: 21<br />
Izbrisano: 24<br />
Izbrisano: 23<br />
Izbrisano: 26<br />
Izbrisano: 25<br />
Izbrisano: 27<br />
Izbrisano: 26<br />
Izbrisano: 28<br />
Izbrisano: 27<br />
Izbrisano: 29<br />
Izbrisano: 28<br />
Izbrisano: 32<br />
Izbrisano: 31<br />
Izbrisano: 34<br />
Izbrisano: 33<br />
Izbrisano: 35<br />
Izbrisano: 34<br />
Izbrisano: 37<br />
Izbrisano: 36<br />
Izbrisano: 39<br />
Izbrisano: 38<br />
Izbrisano: 40<br />
Izbrisano: 39<br />
Izbrisano: 40<br />
Izbrisano: 39<br />
Izbrisano: 41<br />
Izbrisano: 40<br />
Izbrisano: 42<br />
Izbrisano: 41<br />
Izbrisano: 44<br />
Izbrisano: 43<br />
Izbrisano: 45<br />
Izbrisano: 44<br />
Izbrisano: 46<br />
Izbrisano: 45<br />
Izbrisano: Slika 1:<br />
Izbrisano: o<br />
Izbrisano: spleta 7<br />
Izbrisano: -<br />
Izbrisano: ja 23<br />
Izbrisano: <br />
... [4]<br />
... [5]<br />
... [6]
HRIBAR, Gašper. Hekerska orodja: dipl. nal. Ljubljana, ŠC PET, VSŠ, 2006 7<br />
SEZNAM KRATIC<br />
Kratica Angleški pomen Slovenski pomen<br />
ARP Adress Resolution Protocol Protokol za prevajanje naslovov<br />
DDoS Distributed Denial Of Service Zavrnitev storitve pri porazdeljenem<br />
napadu<br />
DHCP Dynamic Host Configuration Protocol Protokol za dinamično dodeljevanje<br />
naslovov<br />
DLL Dynamic Link Library Knjižnica dinamičnih povezav<br />
DNS Domain Name System Sistem domenskih imen<br />
DoS Denial Of Service Zavrnitev storitve<br />
FTP File Transfer Protocol Protokol za prenos datotek<br />
HTML HyperText Markup Language Jezik za označevanje hiperteksta<br />
http HyperText Transfer Protocol Protokol za prenos hiperteksta<br />
ICMP Internet Control Message Protocol Protokol za nadzor internetnih sporočil<br />
IDS Intrusion Detection System Sistem za zaznavanje vdorov<br />
IMAP Internet Message Access Protocol Internetni protokol za dostop do e-pošte<br />
IP Internet Protocol Internetni protokol<br />
LAN Local Area Network Lokalno omrežje<br />
LDAP Lightwight Directory Access Protocol Enostaven protokol za dostop do<br />
imenika<br />
OS Operating System Operacijski sistem<br />
POP PostOffice Protocol Poštni protokol<br />
PIN Personal Identification Number Osebna identifikacijska številka<br />
SMTP Simple Mail Tranfer Protocol Enostavni protokol za prenos pošte<br />
SSID Service Set Identifier Identifikator nabora storitev<br />
SSH Secure Shell Protocol Protokol varne lupine<br />
SSL Secure Socket Layer Sloj varnih vtičnic<br />
TCP Transport Control Protocol Transportni kontrolni protokol<br />
TKIP Temporal Key Integrity Protocol Protokol neokrnjenosti začasnega<br />
ključa<br />
UDP User Datagram Protocol Protokol uporabniškega datagrama<br />
URL Uniform Resource Locator Naslov vira v enotni obliki<br />
VNC Virtual Network Connection Navidezna omrežna povezava<br />
WEP Wireless Encryption Protocol Brezžični šifrirni protokol<br />
WLAN Wireless Local Area Network Brezžično lokalno omrežje<br />
WPA Wi-Fi Protective Access Zaščiten brezžični dostop<br />
XML Extensible Markup Language Razširljivi označevalni jezik<br />
Izbrisano: HTTP<br />
Izbrisano: ko<br />
Izbrisano:
HRIBAR, Gašper. Hekerska orodja: dipl. nal. Ljubljana, ŠC PET, VSŠ, 2006 8<br />
1 Uvod<br />
Hekerska orodja uporabljajo tisti, ki pišejo kode in tisti, ki jih izkoriščajo. Čeprav<br />
imata ti dve skupini pri uporabi programskih orodij različne cilje, obe uporabljata<br />
iste tehnike reševanja problemov. Razumevanje programiranja pomaga tistim, ki<br />
izkoriščajo programe, razumevanje izkoriščanje programov pa pomaga tistim, ki<br />
pišejo programe.<br />
Prva skupina hekerjev so torej ljudje, ki v nasprotju z večino uporabnikov niso<br />
zadovoljni z osnovnim znanjem računalništva in uživajo v programiranju. Drugo<br />
skupino programerjev, ki izkorišča računalniške kode in uporablja programska<br />
orodja za vdiranja v tuje sisteme, za zabavo in za dobiček, imenujemo kriminalni<br />
hekerji ali krekerji (crackers). Po zaslugi nezadostne informiranosti sta se ta dva<br />
izraza začela prepletati in tako je danes tudi izraz heker dobil negativni prizvok.<br />
Izkoriščanje programov za hekerska orodja ponavadi temelji na uporabi pravil v<br />
računalniških sistemih na način, za katerega le-ta niso bila namenjena. V praksi se<br />
ta pravila izkoristijo za obhajanje varnostnih mehanizmov računalniških sistemov.<br />
Hekanje (hacks), ki se uporablja pri pisanju programov, prav tako izkorišča<br />
računalniška pravila, vendar pa se ta pravila uporabljajo za čim bolj efektivno<br />
doseganje zadanih opravil, ki jih opravljajo različni programi.<br />
Podobno, kot velja tudi za računalniške sisteme, so tudi hekerska orodja vse bolj<br />
dodelana in enostavna za uporabo, z razširitvijo interneta pa so ta orodja danes<br />
dostopna praktično vsakomur in zato prihaja do vedno večjega števila vdorov.<br />
Za vdor v določen sistem mora heker najprej pridobiti čim več informacij o svojem<br />
cilju, zbiranje takih informacij imenujemo sledenje (footprinting). Hekerji najprej<br />
analizirajo izvorno kodo spletne strani podjetja ali organizacije, iz katere pridobijo<br />
mnoge koristne informacije o omrežju in njegovi zgradbi. Naslednji korak je<br />
preverjanje posameznih računalnikov v omrežju, ta postopek imenujemo<br />
skeniranje (scanning). Skeniranje se lahko izvede z različnimi orodji, ki uporabljajo<br />
protokole, kot so ICMP, TCP in UDP.<br />
V zadnjem času je prišlo do velikega razmaha brezžičnih tehnologij, kar pomeni,<br />
da so se hekerjem odprle nove možnosti in priložnosti pri vdorih v brezžična<br />
Izbrisano: kode<br />
Izbrisano: različne cilje<br />
Izbrisano: boji<br />
Izbrisano: jo<br />
Izbrisano:<br />
Izbrisano: ,<br />
Izbrisano:<br />
Izbrisano: danes<br />
Izbrisano: l
HRIBAR, Gašper. Hekerska orodja: dipl. nal. Ljubljana, ŠC PET, VSŠ, 2006 9<br />
omrežja. Največja težava brezžičnih omrežij je v tem, da se informacije prenašajo<br />
po zraku in da varnost še ni dovolj dodelana.<br />
Zaradi nevarnosti, ki na naše računalnike prežijo zaradi zlonamerne uporabe<br />
hekerskih orodij, je treba uporabiti zaščito, ki nam zagotavlja vsaj določen nivo<br />
varnosti. Najpomembnejši element zaščite pred vdori v računalniške sisteme je<br />
požarni zid. Požarni zid je naprava, ki preprečuje dostop do našega lokalnega<br />
omrežja. Naprava je ponavadi kombinacija programske in strojne opreme. Požarni<br />
zid uporablja pravila, na osnovi katerih se določa dovoljene in nedovoljene<br />
naslove. Poleg požarnih zidov pogosto dodajamo tudi detektorje vdorov, saj sam<br />
požarni zid ponavadi ne zagotavlja zadostnega nivoja varnosti.<br />
Izbrisano: prežijo<br />
Izbrisano: potrebno<br />
Izbrisano: ponavadi<br />
Izbrisano: h<br />
Izbrisano: <br />
<br />
Izbrisano:
HRIBAR, Gašper. Hekerska orodja: dipl. nal. Ljubljana, ŠC PET, VSŠ, 2006 10<br />
2 Sledenje<br />
Sledenje (footprinting) je prvi postopek hekerja, če hoče izvesti vdor v sistem.<br />
Sledenje je iskanje informacij po spletnih straneh podjetij. V izvorni kodi spletne<br />
strani se navadno nahaja mnogo informacij, ki pomagajo pri vdoru v računalniške<br />
sisteme organizacij ali podjetij. Pridobivanje informacij lahko poteka tudi prek<br />
najbolj razširjenih spletnih brskalnikov, kot sta Google ali Altavista, lahko pa se<br />
uporabijo tudi naprednejša orodja.<br />
Naslednji korak je iskanje domen in omrežij, ki pripadajo posameznim podjetjem.<br />
Vsi ti podatki so javno dostopni na spletnih straneh www.networksolutions.com,<br />
www.allwhois.com in www.internic.net/alpha.html.<br />
Izbrisano: ki ga mora heker<br />
izvesti,<br />
Izbrisano: o<br />
Izbrisano: g<br />
Izbrisano: a<br />
Izbrisano: a<br />
Slika 1: Pridobivanje podatkov o strežnikih prek spleta<br />
Izbrisano: o<br />
Nato se pridobi blok mrežnih naslovov, ki pripadajo določeni organizaciji, pri čemer<br />
je možno, da niso vsi naslovi v bloku naslovov zasedeni, vendar pa so rezervirani<br />
za bodoče uporabnike.
HRIBAR, Gašper. Hekerska orodja: dipl. nal. Ljubljana, ŠC PET, VSŠ, 2006 11<br />
Nadalje se podatke lahko pridobi s prebiranjem domenskega strežnika DNS.<br />
Podatki se lahko prenesejo, če se hekerju dovoli izvesti prenos cone. Sekundarni<br />
domenski strežniki s prenosom cone primerja svojo zbirko podatkov s primarnim<br />
domenskim strežnikom. Prenos cone je najbolj nevaren, če notranji strežniki niso<br />
ločeni od zunanjih internetnih strežnikov. Napadalec tako pridobi IP naslove<br />
računalnikov v omrežju, nato pa poskušajo ugotoviti topologijo omrežja in<br />
povezave, ki vodijo do posameznih računalnikov v omrežju.<br />
Izbrisano:<br />
Izbrisano: S<br />
Izbrisano: sekundarni<br />
domenski strežnik<br />
Slika 2: Pridobivanje podatkov s pomočjo funkcije tracert<br />
Z raziskovanjem omrežnih povezav heker pridobi informacije o usmerjevalnikih,<br />
požarnih pregradah in napravah, ki filtrirajo pakete. Sledenje povezavi se lahko<br />
enostavno izvede prek ukazne vrstice CommandPrompt z uporabo ukaza tracert<br />
(slika 2). Sledenje se lahko izvede tudi z uporabo programskih orodij, ki vsebujejo<br />
vse funkcionalnosti, ki so potrebne za pridobivanje informacij. Tak program je<br />
program SamSpade (slika 3).<br />
SamSpade ponuja GUI in ima implementirano vrsto orodij za analiziranje omrežij.<br />
Orodje je bilo prvotno namenjeno odkrivanju Spammerjev, vendar je uporabno tudi<br />
za vrsto ostalih mrežnih opravil. SamSpade vključuje orodja, kot so ping,<br />
nslookup, whois, dig, traceroute, finger, HTTP brskalnik, DNS zone transfer in<br />
SMTP relay preverjanje.<br />
Izbrisano: ,<br />
Izbrisano: o<br />
Izbrisano: pa<br />
Izbrisano:<br />
Izbrisano: "<br />
Izbrisano: "<br />
Izbrisano: :<br />
Izbrisano: ,
HRIBAR, Gašper. Hekerska orodja: dipl. nal. Ljubljana, ŠC PET, VSŠ, 2006 12<br />
Slika 3: Sledenje z uporabo programa SamSpade<br />
2.1 NIC poizvedovanje<br />
Omrežni informacijski centri NIC vsebujejo uporabne informacije v WHOIS<br />
podatkovnih bazah. WHOIS podatkovna baza definira, katera področja<br />
internetnega prostora so registrirana za določene organizacije. Možno je pridobiti<br />
informacije o IT osebju, IP omrežnih naslovih in fizični lokaciji podjetja. Obstajajo<br />
tri regije, na katere so razdeljeni IP naslovni prostori:<br />
• American Registry for Internet Numbers (ARIN); http://www.arin.net za<br />
področje Amerike,<br />
• Asia Pacific Network Information Centre (APNIC); http://www.apnic.net za<br />
področje Azije,<br />
• Réseaux IP Européens (RIPE); http://www.ripe.net za področje Evrope.<br />
Vsak register vsebuje podatke samo za svojo regijo.<br />
Izbrisano: .<br />
Izbrisano: .<br />
Izbrisano: ar
HRIBAR, Gašper. Hekerska orodja: dipl. nal. Ljubljana, ŠC PET, VSŠ, 2006 13<br />
2.2 DNS poizvedovanje<br />
Z uporabo orodij, kot so nslookup, host in dig, lahko pošljemo zahteve z DNS<br />
poizvedbo na domene in bloke IP naslovov, ki jih pridobimo prek omrežnih<br />
informacijskih centrov. Na ta način lahko z večine DNS strežnikov, ki se nahajajo<br />
na internetu, pridobimo koristne informacije o domenah, poddomenah, strežniških<br />
in gostiteljskih imenih. V primeru slabe konfiguracije strežnika lahko pridobimo<br />
celo podatke o operacijskem naslovu in IP naslove uporabnikov.<br />
Tak način DNS preiskave je neopazen, ker ne uporabljamo aktivnega skeniranja<br />
omrežja in izvedemo samo poizvedbo na DNS strežnikih, ki jo pogosto izvajajo<br />
tudi ponudniki internetnih storitev.<br />
Izbrisano: o<br />
2.2.1 Podrobna DNS poizvedba<br />
Organizacije in podjetja morajo imeti objavljene DNS podatke za normalno<br />
delovanje prek interneta. Primer legalne poizvedbe DNS je, ko uporabnik dostopa<br />
do spletne strani ali ob prejemu elektronske pošte. Napadalec uporablja DNS<br />
poizvedbo za identifikacijo strežnikov elektronske pošte in drugih sistemov.<br />
Izbrisano: o<br />
Izbrisano: ,<br />
Izbrisano: pa<br />
2.2.2 Prenos cone<br />
Najbolj popularna metoda za zbiranje informacij o vseh računalnikih znotraj<br />
domene je zahteva za prenos cone. Datoteka DNS cone vsebuje vsa imenske<br />
informacije, ki ji vsebuje imenski strežnik te domene. Večina organizacij ima zaradi<br />
delitve bremena in redundance več imenskih strežnikov. Glavni imenski strežnik je<br />
primarni imenski strežnik, vsi drugi imenski strežniki so sekundarni. Sekundarni in<br />
primarni strežniki v določenih intervalih med seboj prenašajo popoln seznam<br />
računalnikov, za katere je sekundarni strežnik odgovoren. Tak prenos se imenuje<br />
prenos cone.<br />
Izbrisano: ,<br />
Izbrisano: ostali<br />
Izbrisano: e<br />
2.2.3 SMTP preiskovanje<br />
Podjetja morajo imeti za poslovanje z elektronsko pošto postavljene SMTP<br />
prehode in omrežja, ki omogočajo pošiljanje in sprejemanje elektronske pošte. S<br />
pošiljanjem elektronske pošte na neobstoječ naslov v določeni domeni pogosto<br />
lahko pridemo do koristnih informacij o omrežju.
HRIBAR, Gašper. Hekerska orodja: dipl. nal. Ljubljana, ŠC PET, VSŠ, 2006 14<br />
3 Skeniranje<br />
Skener je program, ki avtomatično zaznava varnostne luknje v lokalnem ali<br />
oddaljenem sistemu in lahko služi kot orodje za preverjanje varnosti omrežja.<br />
Skenerji TCP vmesnikov so programi, ki napadajo TCP/IP vmesnike in storitve<br />
(Telnet ali FTP) in beležijo odziv napadenega sistema. Skenerji so bili<br />
najpogosteje napisani za delovanje na UNIX delovnih postajah, danes pa<br />
obstajajo skenerji za skoraj vse znane operacijske sisteme. Največ skenerjev se<br />
danes napiše za Microsoft Windows NT platformo, ki se dandanes največ<br />
uporablja kot platforma za internetne strežnike.<br />
3.1 Tehnike skeniranja<br />
Skenerji razpošiljajo pakete po omrežju, nato pa poslušajo in spremljajo odziv z<br />
različnih vmesnikov. Najbolj razširjeni skenerji, kot sta programa Nmap (slika 4) ali<br />
Nessus, uporabljajo za pregledovanje vmesnikov in protokolov, naslednje tehnike<br />
skeniranja:
HRIBAR, Gašper. Hekerska orodja: dipl. nal. Ljubljana, ŠC PET, VSŠ, 2006 15<br />
Slika 4: Skeniranje s programom Nmap<br />
3.2 ICMP preiskovanje sistema<br />
ICMP (Internet Control Message Protocol) protokol identificira potencialno šibke in<br />
slabo zaščitena omrežja. ICMP je kratek sporočilni protokol, ki se uporablja za<br />
testiranje omrežij (uporaba ukazov ping ali traceroute). Prednost ICMP sporočil je,<br />
da se ICMP sporočil ne filtrira, ker se pogosto uporabljajo pri odpravljanju napak v<br />
omrežju. Za pregledovanje in preiskovanje omrežja so uporabna naslednja ICMP<br />
sporočila:<br />
3.3 Echo request<br />
Echo request sporočila so znana tudi kot ping paketi. Z uporabo orodja za<br />
skeniranje, kot je nmap, izvedemo obsipavanje s pingi (ping sweep) in tako<br />
enostavno identificiramo aktivne uporabnike.
HRIBAR, Gašper. Hekerska orodja: dipl. nal. Ljubljana, ŠC PET, VSŠ, 2006 16<br />
3.4 Timestamp request<br />
Timestamp request sporočila zahtevajo informacijo o sistemski uri ciljnega<br />
sistema. Odgovor je podan v decimalni obliki (pretečen čas od polnoči GMT –<br />
Greenwich Mean Time) v milisekundah.<br />
Izbrisano: v milisekundah<br />
3.5 Address mask request<br />
Sporočilo razkrije masko podomrežja, v katerem se nahaja ciljni računalnik.<br />
Informacija je koristna pri mapiranju omrežij, pri določanju velikosti podomrežij in<br />
naslovnega prostora, ki ga uporablja podjetje.<br />
Izbrisano: o<br />
3.6 TCP skeniranje<br />
• Skeniranje TCP vrat. Je najosnovnejša tehnika skeniranja. S to metodo<br />
skeniranja preizkusimo, katera TCP vrata so odprta.<br />
• TCP SYN skeniranje. To tehniko skeniranja imenujemo tudi polodprto ali<br />
prikrito skeniranje, ker pri tem načinu skeniranja ne vzpostavimo polne TCP<br />
povezave, temveč pošljemo le SYN paket. SYN paket se pošlje tako, kot bi<br />
vzpostavljali polno povezavo in čakali, da računalnik odgovori z odgovorom<br />
SYN/ACK, kar pomeni, da so vrata aktivna. Takoj za tem hekerski program<br />
pošlje paket RST, kar pomeni, da nima namena vzpostaviti polne<br />
povezave. Če računalnik odgovori s paketom RST/ACK pomeni, da so tista<br />
vrata zaprta.<br />
• TCP FIN skeniranje. Nekatere požarne pregrade in paketni filtri omogočajo<br />
tudi pregledovanje pošiljanja SYN paketov na določena vrata. Poleg tega<br />
so na voljo programi, ki lahko zaznajo TCP SYN skeniranje. TCP paket z<br />
vključeno FIN zastavico se lahko izogne takšnemu pregledovanju. FIN<br />
zastavica se uporablja v primeru sporazumne prekinitve povezave. Zaprta<br />
vrata na ciljnem računalniku morajo odgovoriti na zastavico FIN s paketom<br />
RST, medtem ko odprta vrata ignorirajo zastavico FIN.<br />
• Skeniranje po delih. Pri tem tipu skeniranja se namesto pošiljanja celega<br />
paketa pošlje paket, razdeljen na manjše IP delce. To pomeni, da<br />
Izbrisano: ,<br />
Izbrisano: mo<br />
Izbrisano: pa<br />
Izbrisano: ,
HRIBAR, Gašper. Hekerska orodja: dipl. nal. Ljubljana, ŠC PET, VSŠ, 2006 17<br />
porazdelimo TCP glavo na več paketov, da paketni filtri težje zaznajo<br />
dogajanje.<br />
• Xmas Tree skeniranje. Pri tej vrsti skeniranja je vklopljenih več različnih<br />
tipov zastavic. Vključene so zastavice URG, PSH in FIN. Skeniranje poteka<br />
na enak način kot pri TCP SYN in TCP FIN skeniranju.<br />
• TCP identifikacijsko skeniranje. Identifikacijski protokol razkrije<br />
uporabniško ime vsakega procesa, ki poteka prek TCP povezave, tudi če ta<br />
proces ni vzpostavil povezave.<br />
• FTP napad. Funkcije FTP protokola je tudi podpora proxy FTP povezavam.<br />
FTP napad je izkoriščanje FTP protokola za posreden dostop do vrat<br />
napadenega računalnika, tako da sam računalnik izkoriščamo kot<br />
posrednika, ki izvede zahtevo.<br />
• UDP ICMP skeniranje. Skeniranje temelji na prej omenjenih metodah, s to<br />
razliko, da namesto TCP protokola uporablja UDP protokol. UDP protokol ni<br />
tako kompleksen, vendar pa je skeniranje prometa zahtevnejše kot pri TCP<br />
protokolu. Če je odgovor sporočilo ICM_PORT_UNREACH so preizkušena<br />
vrata zaprta, če ni odgovora, so vrata lahko odprta ali jih ščiti požarni zid.<br />
Rezultati, ki jih dobimo, so lahko nezanesljivi, če so omrežje in sistem<br />
preobremenjeni.<br />
Izbrisano: o<br />
Izbrisano: a<br />
Izbrisano: ,<br />
3.7 Izogibanje IDS sistemom in preprečevanje filtriranja<br />
Izogibanje IDS (Intrusion Detection System) sistemom se lahko izvede na dva<br />
načina:<br />
• Z uporabo fragmentacije paketov, ki se sestavijo, ko pridejo do ciljnega<br />
računalnika.<br />
• Uporaba zavajanja z IP naslovi, ki oponaša več lažnih uporabnikov, ki<br />
izvajajo skeniranje omrežja. Med te naslove je vstavljen tudi resničen IP<br />
naslov.<br />
Izbrisano: a<br />
Filtriranju Paketov se lahko izognemo z uporabo fragmentiranih ali deformiranih<br />
paketov. Vseeno se največ uporabljata dve tehniki za izogibanje paketnih filtrov:<br />
Izbrisano: .
HRIBAR, Gašper. Hekerska orodja: dipl. nal. Ljubljana, ŠC PET, VSŠ, 2006 18<br />
• uporaba izvornega usmerjanja,<br />
• uporaba določenih TCP ali UDP vrat.<br />
Izbrisano: U<br />
Izbrisano: .<br />
Izbrisano: U<br />
3.7.1 Fragmentacija paketov<br />
Pakete se fragmentira z uporabo programa fragroute za fragmentacijo vseh<br />
paketov, ki se pošiljajo v omrežje ali pa z omrežnim skenerjem, ki podpira<br />
enostavno fragmentacijo (nmap). Večina IDS senzorjev ne more procesirati tako<br />
velikega števila fragmentiranih paketov, ker zahteva veliko porabo spomina in<br />
obremenitev centralne procesne enote senzorja.<br />
Izbrisano: ,<br />
# nmap -sS -f 192.168.102.251<br />
Starting nmap 3.45 ( www.insecure.org/nmap/ )<br />
Interesting ports on cartman (192.168.102.251):<br />
(The 1524 ports scanned but not shown below are in state: closed)<br />
Port State Service<br />
25/tcp open smtp<br />
53/tcp open domain<br />
8080/tcp open http-proxy<br />
Nmap run completed -- 1 IP address (1 host up) scanned in 0 seconds<br />
3.7.2 Zavajanje z več naslovi<br />
Pri oponašanju več napadalcev hkrati postanejo vsi IDS zaščitni mehanizmi in<br />
beleženje prometa neuporabni. Orodje nmap omogoča vnašanje več naslovov, ki<br />
zavajajo IDS sistem.<br />
Izbrisano: ,<br />
# nmap -sS -P0 -D 62.232.12.8,ME,65.213.217.241 192.168.102.251<br />
Starting nmap 3.45 ( www.insecure.org/nmap/ )<br />
Interesting ports on cartman (192.168.102.251):<br />
(The 1524 ports scanned but not shown below are in state: closed)<br />
Port State Service<br />
25/tcp open smtp<br />
53/tcp open domain
HRIBAR, Gašper. Hekerska orodja: dipl. nal. Ljubljana, ŠC PET, VSŠ, 2006 19<br />
8080/tcp open http-proxy<br />
Nmap run completed -- 1 IP address (1 host up) scanned in 0 seconds<br />
3.7.3 Izvorno usmerjanje<br />
Izvorno usmerjanje se ponavadi uporablja pri odpravljanju napak v omrežju. Pri<br />
izvornem usmerjanju paketu že na izvoru določimo pot skozi omrežje. Če požarna<br />
pregrada ali prehod pošljeta informacijo o izvornem usmerjanju nazaj skozi<br />
omrežje, lahko na enem od hopov z uporabo sleparjenja (spoofing) spremljamo<br />
promet.<br />
Naprave, ki vračajo informacijo o izvornem usmerjanju, lahko določimo s<br />
programom isrscan.<br />
Izbrisano: no<br />
Izbrisano: -<br />
# lsrscan 217.53.62.0/24<br />
217.53.62.0 does not reverse LSR traffic to it<br />
217.53.62.0 does not forward LSR traffic through it<br />
217.53.62.1 reverses LSR traffic to it<br />
217.53.62.1 forwards LSR traffic through it<br />
217.53.62.2 reverses LSR traffic to it<br />
217.53.62.2 does not forward LSR traffic through it<br />
Ker nekateri prehodi vračajo informacijo o izvornem usmerjanju, lahko uporabimo<br />
orodje Isrtunnel za napad s sleparjenjem (spoofing).<br />
# lsrtunnel -i 192.168.102.2 -t 217.53.62.2 -f relay2.ucia.gov<br />
Izbrisano: l<br />
Izbrisano: <br />
Isrtunnel sledi prometu na IP naslovu (192.168.102.2) z uporabo drugega sistema<br />
v omrežju. Vsako TCP skeniranje na tem IP naslovu je preusmerjeno na ciljni<br />
naslov in se zdi, da izvira iz verodostojnega vira.<br />
3.7.4 Uporaba določenih TCP ali UDP vrat<br />
Pri uporabi orodij, kot je nmap za skeniranje UDP ali TCP vrat, je pomembno<br />
določiti specifične izvorne vrata. Pri UDP, polodprtem SYN in obratnem FIN<br />
skeniranju se uporabljajo sledeča vrata:
HRIBAR, Gašper. Hekerska orodja: dipl. nal. Ljubljana, ŠC PET, VSŠ, 2006 20<br />
• TCP ali UDP vrata 53 (DNS),<br />
• TCP vrata 20 (FTP),<br />
• TCP varata 80 (HTTP),<br />
• TCP ali UDP varata 88 (Kerberos).<br />
S programom nmap lahko izvajamo polodprto TCP SYN skeniranje vrat, ki<br />
uporabljajo vrata 88. Skeniranje je izvedeno na strežniku z operacijskim sistemom<br />
Windows 2000 Server, ki omogoča IPsec filtriranje.<br />
# nmap -sS -g 88 192.168.102.250<br />
Starting nmap 3.45 ( www.insecure.org/nmap/ )<br />
Interesting ports on kenny (192.168.102.250):<br />
(The 1528 ports scanned but not shown below are in state: closed)<br />
Port State Service<br />
7/tcp open echo<br />
9/tcp open discard<br />
13/tcp open daytime<br />
17/tcp open qotd<br />
21/tcp open ftp<br />
25/tcp open smtp<br />
42/tcp open nameserver<br />
53/tcp open domain<br />
80/tcp open http<br />
88/tcp open kerberos-sec<br />
135/tcp open loc-srv<br />
139/tcp open netbios-ssn<br />
443/tcp open https<br />
445/tcp open microsoft-ds<br />
464/tcp open kpasswd5<br />
548/tcp open afpovertcp<br />
593/tcp open http-rpc-epma<br />
636/tcp open ldapssl<br />
1026/tcp open nterm<br />
2105/tcp open eklogin<br />
6666/tcp open irc-serv<br />
Nmap run completed -- 1 IP address (1 host up) scanned in 1 secondsecond<br />
Izbrisano: <br />
Izbrisano:
HRIBAR, Gašper. Hekerska orodja: dipl. nal. Ljubljana, ŠC PET, VSŠ, 2006 21<br />
3.8 Programi za skeniranje omrežja<br />
3.8.1 Nmap network scanner<br />
Izbrisano: <br />
Oblikovano: Označevanje in<br />
oblikovanje<br />
Nmap (Network mapper) je orodje, ki temelji na odprti kodi. Uporablja za<br />
raziskovanje omrežij. Nmap uporablja IP pakete za odkrivanje gostiteljev v<br />
omrežju, odkrivanje storitev na gostitelju (imena in verzije aplikacij), odkrivanje<br />
operacijskih sistemov in verzij operacijskih sistemov. Zazna tudi požarne pregrade<br />
in paketne filtre, ki so v uporabi na določenem sistemu.<br />
3.8.2 Nessus<br />
Nessus je orodje za odkrivanje varnostnih pomanjkljivosti na oddaljenih sistemih.<br />
Orodje deluje na Linux, BSD, Solaris in ostalih UNIX-ih. Zasnovano je na vtičnikih,<br />
ima grafični uporabniški vmesnik in je sposobno preveriti več kot 1200 varnostnih<br />
ranljivosti. Rezultati skeniranja so uporabniku lahko predstavljeni v HTML, XML,<br />
LaTeX in ASCII, pri tem pa uporabnik dobi tudi nasvete za odpravo odkritih<br />
varnostnih težav.<br />
Izbrisano: ,<br />
4 Omrežni vohljač<br />
Vohljač prometa (sniffer) je katero koli orodje, ki zbira informacije, ki potujejo prek<br />
omrežja. Namen vohljača je postaviti omrežni vmesnik v stanje poslušanja<br />
celotnega prometa v omrežju.<br />
Vohljač zajema ves promet v omrežju. Promet je zgrajen iz paketov, ki prenašajo<br />
vitalne in včasih zelo občutljive podatke. Vohljač je zasnovan tako, da zajema in<br />
shrani analizo prometa za kasnejše pregledovanje.<br />
Vohljač omrežja se lahko implementira v katero koli točko v omrežju. Obstaja pa<br />
nekaj strateških točk, na katere krekerji postavljajo vohljače. Ena takih točk je kjer<br />
koli v bližini sistema ali omrežja, v katerega se vnaša veliko število gesel. Posebno<br />
priljubljene so naprave, ki so vstopna točka v omrežje ali prometne poti, prek<br />
katerih se prenašajo podatki iz zunanjih omrežij.<br />
Vohljač, nameščen v omrežju, pomeni, da je kreker že vdrl v omrežje in išče<br />
naslednje informacije (uporabnika imena in gesla), ki mu bodo pomagale pri<br />
vdiranju. Vohljači lahko pridobijo tudi druge informacije, ki se nahajajo v omrežju,<br />
Izbrisano: a<br />
Izbrisano: o<br />
Izbrisano: ,<br />
Izbrisano: p<br />
Izbrisano: od<br />
Izbrisano: i<br />
Izbrisano: ,<br />
Izbrisano: o
HRIBAR, Gašper. Hekerska orodja: dipl. nal. Ljubljana, ŠC PET, VSŠ, 2006 22<br />
kot so občutljivi finančni podatki (številke kreditnih kartic), zaupne informacije<br />
(elektronska pošta) in zakonsko zaščitene informacije. To pomeni, da analizator<br />
omrežja lahko pridobi vsako informacijo, ki se prenaša prek omrežja.<br />
Izbrisano: o<br />
Slika 5: Analiziranje prometa z uporabo programa Ethereal<br />
4.1 Ethereal<br />
Ethereal je program za analiziranje mrežnih protokolov, namenjen Unix in<br />
Windows okoljem. Omogoča filtriranje zajemanja podatkov tako, da naredi<br />
prestrezanje gesel izredno enostavno opravilo.<br />
Izbrisano: <br />
Oblikovano: Označevanje in<br />
oblikovanje<br />
4.2 Dsniff<br />
Je zbirka orodij za analizo in varnostno preizkušanje omrežij. Orodja Dsniff,<br />
filesnarf, mailsnarf, msgsnarf, urlsnarf in webspy so sposobna pasivno nadzirati<br />
omrežje in odkrivati zanimive podatke (gesla, e-mail, datoteke, ipd.). Arpspoof,<br />
dnsspoof in macof družno sodelujejo pri prestrezanju mrežnega prometa, ki je z<br />
Izbrisano: s
HRIBAR, Gašper. Hekerska orodja: dipl. nal. Ljubljana, ŠC PET, VSŠ, 2006 23<br />
običajnimi orodji nedosegljiv zaradi layer-2 stikal ipd. Sshmitm in webmitm imata<br />
vgrajeno sposobnost izvedbe »monkey-in-the-middle« napadov na SSH in HTTPS<br />
seje.<br />
4.3 Ettercap<br />
Ettercap je tako imenovan »terminal-based« mrežni sniffer/interceptor/logger<br />
namenjen ethernet LAN omrežjem. Orodje podpira aktivno in pasivno analiziranje<br />
vrst protokolov (tudi SSH in HTTPS). Orodje je sposobno tudi »data injection«<br />
napadov in sinhroniziranja vzpostavljenih povezav. Orodje ima sposobnost<br />
preverjanja, v kakšnem okolju se nahajate in ima vgrajeno sposobnost<br />
prepoznavanja vrste operacijskih sistemov (OS fingerprinting).<br />
Izbrisano: "<br />
Izbrisano: "<br />
Izbrisano: "<br />
Izbrisano: "<br />
Izbrisano: e<br />
Izbrisano: "<br />
Izbrisano: "<br />
5 Pridobivanje in razbijanje gesel<br />
Heker za pridobitev gesel v napadeni računalnik prekopira več hekerskih<br />
programov. Če gre za računalnik z operacijskim sistemom Windows, bo v<br />
računalnik naložil program Pwdump2, z njim je mogoče iz SAM (Security Account<br />
Manager) in AD (Active Directory) izvleči uporabniška imena in gesla, čeprav so<br />
128-bitno šifrirana.<br />
Izbrisano: Z<br />
Izbrisano: izvlačenje<br />
Izbrisano: ,<br />
Izbrisano: heker<br />
Izbrisano: e<br />
5.1 Razbijanje (krekanje) gesel<br />
Krekerji gesel so programi, ki odstranijo zaščito z geslom ali pa dešifrirajo geslo.<br />
Vendar taki programi v resnici ne znajo dešifrirati gesel, ker se pravilno šifriranih<br />
gesel ne da dešifrirati. Večina današnjih šifrirnih procesov je enosmernih, kar<br />
pomeni, da z nobenim orodjem ne moremo izvesti obratnega procesa, ki bi<br />
dešifriral geslo. Namesto tega se uporabljajo orodja za simuliranje, ki uporabljajo<br />
isti algoritem kot originalni program, s katerim je bilo geslo ustvarjeno. Programi<br />
uporabljajo primerjalno analizo gesel, to pomeni, da preizkušajo besedo za<br />
besedo in jo primerjajo z originalnim geslom. Analiza gesel s primerjanjem se je<br />
izkazala za uspešno predvsem zaradi človeške naivnosti ali neznanja, saj večina<br />
uporabnikov uporablja enostavna gesla, ki jih taki programi zlahka odkrijejo.<br />
Eden takih programov je John the Ripper, ki omogoča razbijanje gesel, zapisanih<br />
v različnih formatih, v različnih operacijskih sistemih Linux/Unix in Windows.<br />
Izbrisano: i<br />
Izbrisano: i<br />
Izbrisano: i
HRIBAR, Gašper. Hekerska orodja: dipl. nal. Ljubljana, ŠC PET, VSŠ, 2006 24<br />
Programu dodamo datoteko z gesli, nato lahko program začne z razbijanjem<br />
gesel.<br />
Slika 6: Razbijanje gesel s programom John the Ripper (http://www.netsecurity.org/images/reviews/i-hack/7.jpg)<br />
5.2 Programi za razbijanje gesel<br />
Izbrisano: <br />
<br />
Oblikovano: Obojestransko<br />
5.2.1 John the Ripper<br />
John the Ripper je hitro orodje, namenjeno lomljenju gesel, delujoče na številnih<br />
operacijskih sistemih od DOS, Win32, BeOS do OpenVMS. Primaren namen<br />
orodja je odkrivanje šibkih UNIX gesel, pri čemer orodje podpira vrsto crypt(3)<br />
gesel, značilnih za sisteme, kot so: Unix, Kerberos AFS in Windows NT/2000/XP.<br />
Izbrisano: pa vse<br />
5.2.2 THC-hydra<br />
Orodje omogoča napade s pomočjo slovarja na prijavne sisteme kot so: FTP,<br />
POP3, IMAP, Netbios, Telnet, HTTP Auth, LDAP NNTP, VNC, ICQ, Socks5,<br />
PCNFS. Vključuje tudi SSL podporo.
HRIBAR, Gašper. Hekerska orodja: dipl. nal. Ljubljana, ŠC PET, VSŠ, 2006 25<br />
5.2.3 LC5 (L0phtcrack)<br />
L0phtCrack je namenjen lomljenju Windows in UNIX gesel. Orodje pridobi podatke<br />
potrebne za lomljenje gesel, tudi iz Windows NT/2000/XP delovnih postaj, mrežnih<br />
strežnikov, primarnih kontrolorjev domen in Aktivnega Direktorija. V nekaterih<br />
primerih lahko orodje pridobi podatke tudi s pomočjo prisluškovanja omrežja.<br />
Izbrisano: <br />
<br />
Oblikovano: Označevanje in<br />
oblikovanje<br />
5.2.4 Crack<br />
Crack je najbolj pogosto orodje, ki se uporablja za razbijanje šifriranih UNIX gesel.<br />
Največkrat ga uporabljajo administratorji omrežij za preverjanje šibkih gesel v<br />
omrežju.<br />
Izbrisano: se<br />
5.2.5 MDcrack<br />
Program za razbijanje gesel lahko razbije tudi NTML-hashe gesla. Ima tudi grafični<br />
vmesnik in poleg razbijanja gesel omogoča izdelavo hasha za podani niz in<br />
tvorjenje močnih gesel.<br />
Izbrisano: ,<br />
Izbrisano: el<br />
Izbrisano: ,<br />
Izbrisano:<br />
5.2.6 Isadump2<br />
Program omogoča iz vnosov v registru, v katerih so računi za različne storitve<br />
Windows, gesla za storitve FTP in HTTP, gesla za domeno ter hashi gesla za<br />
zadnjih deset prijavljenih uporabnikov.<br />
5.3 Programi za beleženje tipk<br />
Možnost pridobivanja zaupnih podatkov in gesel se lahko izvede tudi s programi<br />
za beleženje tipk. Ti programi se namestijo med tipkovnico in operacijskim<br />
sistemom ter beležijo vsako pritisnjeno tipko.<br />
Izbrisano: n<br />
Izbrisano: e<br />
Izbrisano: ,<br />
Izbrisano: el<br />
Izbrisano:<br />
Izbrisano: in<br />
5.3.1 Invisible keylogger<br />
Invisible Keylogger je program za beleženje pritisnjenih tipk, ki omogoča tudi<br />
spremljanje drugih dejanj. Program je legalen in se uporablja kot orodje za<br />
spremljanje dejavnosti v izbranem računalniku doma ali na delovnem mestu.<br />
Invisible Keylogger omogoča nevidno beleženje gesel, saj deluje na najnižjem<br />
nivoju operacijskega sistema Windows in zabeleži tudi vnose v sistemsko prijavno<br />
Izbrisano: ,<br />
Izbrisano: ker
HRIBAR, Gašper. Hekerska orodja: dipl. nal. Ljubljana, ŠC PET, VSŠ, 2006 26<br />
okno, na skrivaj beleži pogovore uporabnika v spletnih klepetalnicah, beleži<br />
obiskana spletna mesta, ima sposobnost zajema ekranskih slik, zbrane podatke<br />
lahko pošlje napadalcu prek žrtvine elektronske pošte. Program ima možnost<br />
zaščite z geslom, šifrirati je mogoče tudi zbrane podatke.<br />
Izbrisano: ,<br />
Izbrisano: p<br />
Izbrisano: rog<br />
Slika 7: Ekranska slika Invisible keylogger-ja<br />
(http://monitor.infomediji.si/images/clanki/slika/Hekerji4_slika3.jpg)<br />
5.3.2 FakeGINA<br />
Program FakeGINA je trojanska različica programa GINA (The Graphical<br />
Identification and Authorization). GINA je posrednik med uporabnikom in<br />
operacijskim sistemom, ki izvaja na primer začetno prijavo v sistem (to je program,<br />
ki se prikaže, ko pritisnemo kombinacijo tipk Ctrl+Alt+Del). Na ta način zabeleži<br />
vsa prek njega vnesena gesla. Program je mogoče namestiti prek omrežja. Heker<br />
najprej prekopira knjižnico fakegina.dll v imenik %SystemRoot%\system32, nato<br />
uporabi orodje reg.exe iz zbirke Resource Kit in doda ustrezen vnos v register.<br />
Potem mora zgolj znova zagnati sistem, za kar lahko uporabi še eno od orodij iz<br />
zbirke Resource Kit - shutdown.exe. Zajeta uporabniška imena in gesla shrani v<br />
datoteko passlist.txt.
HRIBAR, Gašper. Hekerska orodja: dipl. nal. Ljubljana, ŠC PET, VSŠ, 2006 27<br />
Slika 8: Namestitev programa FakeGINA v sistem<br />
(http://kb.winantiviruspro.com/winantivirus.com/uploads/1System32-dll-files.gif)<br />
6 Vrste Napadov<br />
6.1 Trojanec<br />
Trojanec ima navidez zaželeno in uporabno funkcijo, čeprav v večini primerov ta<br />
funkcija ni zaželena, a tudi to ne vedno. Ta uporabna funkcija programa služi za<br />
prikrivanje resničnega namena programa. Večina trojancev vsebuje funkcije<br />
uporabne za skeniranje prometa ali funkcije, ki omogočajo namestitev stranskih<br />
vrat, ki jih hekerji uporabljajo za oddaljen nadzor računalniškega sistema. Bistvena<br />
razlika med računalniškim virusom in trojancem je, da je trojanec tehnično<br />
popolnoma normalen računalniški program in se ne razširja sam.<br />
Izbrisano: j<br />
Izbrisano: vendar<br />
Izbrisano: j<br />
Izbrisano: vendar<br />
Izbrisano: ,<br />
Izbrisano: m<br />
Izbrisano: n<br />
Izbrisano: <br />
<br />
<br />
6.1.1 Primer trojanca<br />
Eden najbolj priljubljenih trojancev je Back Orifice. Sestavljen je iz dveh delov.<br />
Prvega, BOserver, namestimo na računalnik, ki ga želimo nadzorovati, z drugim,<br />
BOclientom, pa računalnik, kamor smo namestili BOserver, nadzorujemo.<br />
Računalnik, kamor želimo namestiti BOserver, mora biti stalno ali pa vsaj občasno<br />
priključen na internet. Program se namesti tako, da se ob vsakem novem zagonu<br />
računalnika avtomatično aktivira, izvajanje programa je nevidno (program v<br />
opravilni vrstici ni viden), po namestitvi pa se namestitveni program sam izbriše.<br />
Izbrisano: sestavljen<br />
Izbrisano: imenuje<br />
Izbrisano: se<br />
Izbrisano: ,<br />
Izbrisano:
HRIBAR, Gašper. Hekerska orodja: dipl. nal. Ljubljana, ŠC PET, VSŠ, 2006 28<br />
Slika 9: Uporabniški vmesnik trojanca Back Orifice<br />
(http://www.microsoft.com/technet/images/security/virus/images/virus02_BIG.gif)<br />
6.2 Rootkit<br />
Orodja, ki omogočajo in ob tem prikrivajo hekerske dejavnosti, imenovane rootkit<br />
(korenski komplet), so bolj prikrita oblika trojanskih konjev, saj v sistem ne<br />
dodajajo novih programov, temveč spremenijo obstoječe sistemske izvršilne<br />
datoteke, s katerimi si tako zagotovijo dostop v sistem. Z zamenjavo sistemskih<br />
komponent so programi rootkit precej bolj nevarni za sistem kot običajni trojanski<br />
konji. Na začetku so bili namenjeni predvsem za sisteme Unix, zdaj pa se<br />
uporabljajo tudi na sistemih Windows, kjer običajno zamenjajo datoteke DLL<br />
(Dynamic Link Library) ali pa drugače spremenijo sistem. Ko je napadalec v<br />
sistemu, mu rootkit omogoča, da ohrani svoj dostop do sistema in hkrati prikrije<br />
sledove vdora.
HRIBAR, Gašper. Hekerska orodja: dipl. nal. Ljubljana, ŠC PET, VSŠ, 2006 29<br />
6.3 Virus<br />
Virus je računalniška koda, ki se pripne na program ali datoteko, tako da se lahko<br />
razširi iz enega računalnika v druge in jih tako okuži. Virusi lahko poškodujejo<br />
programsko opremo, strojno opremo in datoteke. Virus se poskuša razširiti iz<br />
računalnika v računalnik tako, da se pripne na gostiteljski program. Lahko<br />
poškoduje strojno opremo, programsko opremo ali podatke. Virus je pri širjenju v<br />
večini odvisen od človeškega faktorja, kot je dajanje datoteke v skupno rabo ali<br />
pošiljanje elektronske pošte.<br />
6.4 Črv<br />
Slika 10: Računalnik, okužen z virusom sasser (http://www.pcexperience.de/Bilder-Artikel/sasser.5.gif)<br />
Črv je prav tako kot virus zasnovan z namenom širjenja v druge računalnike,<br />
vendar to naredi samodejno, tako da prevzame nadzor nad računalniškimi<br />
funkcijami za prenos datotek in podatkov. Ko se črv naseli v sistemu, lahko potuje<br />
sam. Nevaren je prav zaradi izjemne sposobnosti hitrega širjenja: svoje kopije<br />
lahko na primer pošlje na vse naslove, ki se nahajajo v imeniku, računalniki<br />
naslovnikov pa naredijo isto, kar povzroči učinek domin. Velik omrežni promet, ki<br />
je posledica širjenja črva, lahko upočasni poslovna omrežja in celo internet kot<br />
celoto. Črv se ponavadi širi brez dejanja uporabnika in po omrežjih pošilja lastne<br />
Izbrisano: adresarju
HRIBAR, Gašper. Hekerska orodja: dipl. nal. Ljubljana, ŠC PET, VSŠ, 2006 30<br />
kopije (včasih celo spremenjene). Črv lahko uporablja pomnilnik ali omrežno<br />
pasovno širino, zaradi česar se lahko računalnik preneha odzivati.<br />
Ker se črvom ni treba širiti prek gostiteljskega programa ali datoteke, se lahko<br />
naložijo v sistem in omogočijo drugim osebam, da prevzamejo nadzor nad<br />
računalnikom. Pred kratkim razvit črv MyDoom je bil zasnovan tako, da je odprl<br />
stranska vrata v okuženih sistemih in jih uporabil za napade na spletne strani.<br />
6.5 Phishing<br />
Beseda Phishing je skovanka besed »password« in »fishing«. Cilj tako imenovanih<br />
phishing napadov je pridobivanje gesel in uporabniških imen internetnih<br />
uporabnikov s pomočjo elektronske pošte in lažnih spletnih strani. Napadalec<br />
naredi popolne kopije spletnih strani znanega podjetja (banke in druge finančne<br />
ustanove), s pomočjo skript zagotovijo, da se v naslovni vrstici uporabnikovega<br />
brskalnika prikaže nepravi URL naslov, ki je podoben pravemu naslovu podjetja,<br />
nato pa uporabnika s sporočilom, ki mu ga pošljejo na elektronski naslov,<br />
pozovejo k spremembi njegovih podatkov na lažni spletni strani. V lažni elektronski<br />
pošti uporabljajo uveljavljena imena bank, plačilnih kartic in drugih finančnih<br />
organizacij. Zaradi spletnega naslova, ki se v začetku ujema s pravim naslovom<br />
(npr. www.visa.com/xyz/xyz/), uporabnik ne opazi, da se nahaja na lažni strani in<br />
napadalcu zaupa občutljive podatke, kot so: številka plačilne kartice, PIN koda,<br />
gesla in uporabniška imena za dostop in podobno.<br />
Izbrisano: -<br />
Izbrisano: s<br />
Izbrisano: -<br />
Primer napada:<br />
• datum: 11. oktober 2004<br />
• pošiljatelj: eBay<br />
• naslov pošiljatelja: eBay@reply3.ebay.com<br />
• naslov sporočila: New and improved account protection!<br />
• format sporočila: html<br />
• cilj prevare: pridobitev gesel in uporabniških imen eBay-evih uporabnikov<br />
• poziv k akciji: »eBay is introducing a new account verification method...To<br />
confirm your identity with us click here...»
HRIBAR, Gašper. Hekerska orodja: dipl. nal. Ljubljana, ŠC PET, VSŠ, 2006 31<br />
• vidna (lažna) povezava:<br />
https://signin.ebay.com/ws2/eBayISAPI.dll?SignIn&favoritenav=&sid=&rupr<br />
oduct<br />
• prikrita povezava:<br />
http://67.154.85.178/.ws2/safeharbor.verify.ebay.com/login.php<br />
• IP naslov strežnika lažne spletne strani: 67.154.85.178<br />
6.6 Napadi prek elektronske pošte<br />
Napad prek elektronske pošte se navadno odraža v pošiljanju nezaželene pošte<br />
različnim uporabnikom. Napadalec poišče nezavarovan poštni strežnik in prek<br />
njega pošlje milijone sporočil na naslove, ki jih pridobi na različne načine.<br />
Nezavarovani poštni strežniki zahtevajo vnos uporabniškega imena in gesla samo<br />
za prihajajočo pošto. Ker ne zahtevajo gesla za prihajajočo pošto, lahko<br />
napadalec pošilja elektronsko pošto na veliko število naslovov, s tem pa pogosto<br />
onemogoči poštni strežnik, ki največkrat ne zmore takšne obremenitve.<br />
Prav tako se prek elektronske pošte, navadno v priponkah, širijo tudi virusi in<br />
trojanci, kar pomeni, da je varnost elektronske pošte v veliki meri odvisna od<br />
uporabnika računalniškega sistema.<br />
6.7 DOS – denial of service<br />
Napad DoS lahko začasno onesposobi celotno omrežje. DoS izkorišča ranljivost<br />
implementacije IP protokola, zaradi česar tak napad deluje na vseh platformah od<br />
UNIX-a pa vse do Windowsov. DoS napad se lahko izvede na več načinov.<br />
Poznamo več tipov in programov za izvajanje DoS napadov:<br />
Izbrisano: o<br />
Izbrisano: o<br />
Izbrisano: j<br />
Izbrisano: o<br />
Izbrisano: o<br />
Izbrisano: ranljivost<br />
Izbrisano: -<br />
Izbrisano: N<br />
• napad, ki porablja računalniške vire, kot so pasovna širina, prostor na disku<br />
in procesor,<br />
• vplivanje na konfiguracijo (npr. informacija o usmerjanju),<br />
• vplivanje na fizične komponente sistema.
HRIBAR, Gašper. Hekerska orodja: dipl. nal. Ljubljana, ŠC PET, VSŠ, 2006 32<br />
6.8 DdoS napad<br />
DdoS (Distributed Denial Of Service) napad, pri katerem večje število sistemov, ki<br />
si jih podredi napadalec, napade eno tarčo in s tem povzroči napad DoS. Poplava<br />
prihajajočih sporočil na ciljni sistem povzroči, da se sistem preneha odzivati.<br />
Napadalec prične z DdoS napadom tako, da izkoristi ranljivosti enega sistema in<br />
ga postavi kot glavni sistem v DdoS napadu. Iz tega sistema napadalec identificira<br />
in komunicira z drugimi sistemi (zombiji), ki jih uporabi za napad. Na te sisteme<br />
napadalec naloži orodja za proženje napada. Z enim samim ukazom sproži napad<br />
z vseh podrejenih sistemov na ciljni sistem. DdoS napad je v veliki meri podoben<br />
DoS napadu, le da se pri Ddos napadu uporabi več računalniških sistemov.<br />
Lastniki sistemov, ki se uporabijo za napad, se ponavadi niti ne zavedajo, da je bil<br />
njihov računalnik uporabljen za DdoS napad.<br />
Izbrisano: <br />
Napadalec<br />
glavni sistem<br />
glavni sistem<br />
zombi zombi zombi zombi zombi zombi zombi zombi<br />
Žrtev<br />
Slika 11: Shema DdoS napada<br />
6.8.1 Nuke<br />
Nuke napad pošlje nepravilen ali razdrobljen ICMP paket, ki sproži hrošča v<br />
operacijskem sistemu in podre sistem. Tak napad je znan kot ping smrti.<br />
Izbrisano: <br />
Oblikovano: Označevanje in<br />
oblikovanje<br />
Izbrisano:<br />
Izbrisano:<br />
Izbrisano:
HRIBAR, Gašper. Hekerska orodja: dipl. nal. Ljubljana, ŠC PET, VSŠ, 2006 33<br />
6.8.2 Winnuke<br />
Winnuke je napad, ki izkorišča ranljivost starejših sistemov Windows. Na napadeni<br />
računalnik je poslan niz podatkov na vrata 139, kar povzroči zaklep računalnika in<br />
prisili uporabnika k ponovnemu zagonu računalnika.<br />
6.8.3 SYN Flood<br />
SYN Flood za svoje delovanje izkorišča pomanjkljivosti TCP povezav. Vsaka TCP<br />
povezava vsebuje threeway handshake, ki ga odjemalec začne s SYN paketom,<br />
strežnik pošlje odgovor SYN-ACK. Strežnik si mora zapomniti sekvenčno številko<br />
odjemalca, za kar mora rezervirati določen del pomnilnika. Napad SYN Flood<br />
postopek izkoristi tako, da strežniku pošlje veliko količino SYN paketov, pri čemer<br />
je strežnik zasut s podatki in ne more več sprejemati povezav od ostalih<br />
uporabnikov.<br />
6.8.4 SMURF<br />
SMURF izkorišča nepravilno konfigurirana omrežja s tem, da pošlje ping paket<br />
nepravilno konfiguriranemu usmerjevalniku, ki te pakete pošlje naprej vsem<br />
napravam v lokalni mreži. Te naprave se nato odzovejo in usmerijo pakete na<br />
sistem, ki je napaden (SMURF ojačenje) ter tako zasičijo lokalno omrežje.<br />
Izbrisano: ,
HRIBAR, Gašper. Hekerska orodja: dipl. nal. Ljubljana, ŠC PET, VSŠ, 2006 34<br />
Slika 12: SMURF napad<br />
(http://www.networkdictionary.com/images/SmurfAttack.gif)<br />
6.9 Spoofing napad<br />
Spoofing napad ali slepljenje je tehnika, pri kateri se napadalčev sistem<br />
napadenemu sistemu prek ponarejanja komunikacijskih paketov predstavi kot<br />
zaupanja vreden sistem. Obstajata dva temeljna elementa medsebojne<br />
identifikacije: zaupanje in proces overjanja (avtentikacije). Zaupanje je odnos med<br />
sistemi, ki so avtorizirani za medsebojno povezavo, overjanje pa je proces, ki ga<br />
sistemi uporabijo za medsebojno identifikacijo. Zato velja, da v primeru, če med<br />
dvema sistemoma obstaja visoka raven zaupanja, potem overjanje za<br />
vzpostavitev povezave ni potrebno. S prilagajanjem datoteke etc/rhosts se da<br />
sistem prepričati, da je napadalčev sistem vreden zaupanja, zato se lahko<br />
napadalec izogne vnašanju uporabniškega imena in gesla.<br />
Izbrisano: ,
HRIBAR, Gašper. Hekerska orodja: dipl. nal. Ljubljana, ŠC PET, VSŠ, 2006 35<br />
Ciljni računalnik<br />
Požarni zid<br />
Verodostojno omrežje<br />
Privzeta pot<br />
Pot z izvornim usmerjanjem<br />
Omrežje s ponarejenim virom<br />
Slika 13: IP spoofing napad<br />
(http://www.oreilly.com/catalog/nettroubletools/chapter/ntt_0403.gif)<br />
Potek napada:<br />
• napadalec pridobi podatke o sistemu,<br />
• začasno onemogoči delovanje strežnika, ki ga bo oponašal,<br />
• ponaredi IP naslov strežnika,<br />
• vzpostavi povezavo z napadenim sistemom,<br />
• ugotovi sekvenčno številko tarče.<br />
6.10 Ugrabitev seje<br />
Ugrabitev seje je dejanje, pri katerem napadalec prevzame nadzor, potem ko je<br />
uporabnik že uspešno vzpostavil in avtentificiral povezavo. Napadalec mora za<br />
ugrabitev seje pridobiti ID (identifikacijsko) številko seje, ki se uporablja za<br />
avtentikaciranje seje. ID številka seje je navadno alfanumerični niz številk, ki se
HRIBAR, Gašper. Hekerska orodja: dipl. nal. Ljubljana, ŠC PET, VSŠ, 2006 36<br />
prenaša med uporabnikom in strežnikom. Številka seje je pogostokrat shranjena v<br />
piškotkih (cookies), URL naslovih in na skritih mestih na spletnih straneh.<br />
URL naslov, ki vsebuje številko:<br />
http://www.gasper.com/view/7AD30725122120803<br />
ID številka skrita na spletni strani:<br />
<br />
Napadalec lahko ID številke seje ukrade na različne načine: z analizo omrežnega<br />
prometa, z namestitvijo trojanca na ciljni računalnik, iz HTTP glave, kjer je<br />
shranjena ID številka, in z uporabo skriptiranih napadov, kjer napadalec uporabi<br />
zlonamerno skripto, ki preusmeri zasebne uporabniške informacije na napadalčev<br />
računalnik.<br />
Izbrisano: napadalec lahko<br />
Izbrisano:<br />
6.11 Prekoračitev vmesnika<br />
Za napade s prekoračitvijo vmesnika so lahko ranljive točke vsaka slabo napisana<br />
aplikacija in vsak sestavni del operacijskega sistema. S preiskovanjem teh ranljivih<br />
točk lahko napadalec v sistemu izvrši določene ukaze, s katerimi lahko prevzame<br />
nadzor nad sistemom. Napadalec pri napadu vpiše v aplikacijo več podatkov, kot<br />
je v aplikaciji prostora. V aplikacijo vnese strojno kodo in procesorju ukaže, da<br />
izvrši dodano strojno kodo, s tem pa se izvede želeni ukaz, ki ga želi napadalec<br />
izvesti. Težava pri napadu s prekoračitvijo vmesnika je, da aplikacije ne preverjajo<br />
količine podatkov, ki so bili vneseni.<br />
V operacijskih sistemih Windows NT/2000/XP se prekoračitev vmesnika<br />
največkrat izvaja tako, da se omogoči izvršitev datotek DLL (Dynamic Link<br />
Library). DLL so datoteke, ki se uporabljajo za opravljanje različnih opravil v<br />
operacijskem sistemu.<br />
Izbrisano: ukaže<br />
Izbrisano: š
HRIBAR, Gašper. Hekerska orodja: dipl. nal. Ljubljana, ŠC PET, VSŠ, 2006 37<br />
Slika 14: Potek prekoračitve vmesnika<br />
7 Google – hekersko orodje<br />
Uporaba spletnega iskalnika Google je sposobnost iskalnika, da prikaže velike<br />
količine podatkov, ki omogočajo vstope v direktorije, odkrivanje skrivnosti na<br />
internetu in celo pridobivanje informacij, kot so uporabniška imena in gesla.<br />
Internetni iskalnik www.google.com ima vgrajene tudi možnosti uporabe naprednih<br />
iskalnih parametrov, ki lahko pomagajo pri zmanjševanju števila zadetkov našega<br />
iskanja. Google beleži celotne spletne strani, ne samo naslovov in opisov. Dodatni<br />
ukazi imenovani sintakse omogočajo uporabniku Googla določiti specifične dele<br />
spletnih strani ali točno določene tipe informacij. Možnost takega iskanja je zelo<br />
Izbrisano: e-<br />
Izbrisano: ,<br />
Izbrisano: e
HRIBAR, Gašper. Hekerska orodja: dipl. nal. Ljubljana, ŠC PET, VSŠ, 2006 38<br />
priročna, saj imamo pri iskanju opravka s prek dvema bilijonoma spletnih strani,<br />
ukazi v Googlu pa nam omogočajo celo skrčiti rezultate iskanja.<br />
Najpomembnejši iskalni parametri:<br />
Izbrisano: o<br />
Izbrisano: 2<br />
Izbrisano: a<br />
Izbrisano: e-<br />
• intitle: omogoča iskanje po naslovih spletni strani,<br />
• inurl: omogoča iskanje po URL naslovih spletnih strani,<br />
• filetype: omogoča določiti točno določen tip datoteke npr. pdf, txt, cfg itd.,<br />
• allintext:iskanje točno določenega teksta na spletnih straneh,<br />
• site: preiskovanje določenega spletnega mesta,<br />
• link: iskanje povezav do določenega spletnega mesta,<br />
• numrange: določanje razpona iskanja številk,<br />
• daterange: iskanje datumov v razponu,<br />
• author: iskanje po avtorju,<br />
• group: iskanje po skupinah.<br />
Izbrisano: .<br />
Posamezni parametri se lahko uporabljajo v različnih kombinacijah, pri čemer nam<br />
lahko izid iskanja poda točno tisti dokument, ki ga iščemo.<br />
Izbrisano: z<br />
Posebni iskalni znaki:<br />
• ( + ) izid vsebuje še nekaj dodatnega,<br />
• ( - ) izločimo iskalni niz,<br />
• ( " ) omogočimo iskanje celotnega niza,<br />
• ( . ) zamenjava celotne besede,<br />
• ( * ) zamenjava za katero koli besedo,<br />
• ( l ) znak za ali (OR).<br />
Primeri iskanja s kombinacijo iskalnih parametrov in iskalnih znakov:<br />
Iskalni niz: allinurl:auth_user_file.txt nam vrne gesla, uporabniška imena in<br />
poštne naslove.<br />
3aZxWw.P0DoAA|denny|admin|denny|schreiber|dasjr900@zbzoom.net|on<br />
eyhE4HvdF586Q|dogwood|normal|debby|smith|denny@inhometutor.com|on
HRIBAR, Gašper. Hekerska orodja: dipl. nal. Ljubljana, ŠC PET, VSŠ, 2006 39<br />
79VqjblMzZcKI|tiamasam|member|Debby|Hein|tiamasam@aol.com|on<br />
izldC5qAmDRcc|Tippy|normal|Robin|Harms|Tippytay@aol.com|on<br />
fkoQRvM1vQYkA|BKGRL9580|normal|Mary|Ritchie-Harps|Vain40@aol.com|on<br />
0oXi40EnH94Wo|DGM|normal|Don |Maier|dmaier1317@aol.com|on<br />
Iskalni niz "Webthru User Login" vrne povezave do različnih nadzornih kamer.<br />
Izbrisano: z<br />
Izbrisano: .<br />
Slika 15: Posnetek nadzornih kamer v gostinskem lokalu<br />
Iskalni niz "RICOH Network Printer D model-Restore Factory" vrne povezave<br />
do nastavitvenega vmesnika tiskalnikov raznih podjetij.<br />
Izbrisano: e
HRIBAR, Gašper. Hekerska orodja: dipl. nal. Ljubljana, ŠC PET, VSŠ, 2006 40<br />
Slika 16: Posnetek nastavitvenega vmesnika tiskalnika<br />
Iskalni niz intitle:"Setup home" "You will need" * log in before ** chnage *<br />
settings" vrne povezave od strani do usmerjevalnika Belkin.<br />
Izbrisano: do<br />
Izbrisano: k<br />
Slika 17: Spletni vmesnik za konfiguracijo usmerjevalnika
HRIBAR, Gašper. Hekerska orodja: dipl. nal. Ljubljana, ŠC PET, VSŠ, 2006 41<br />
Iskalni niz intitle: "Multimon UPS status page" vrne povezave do spletnih<br />
vmesnikov za nadzor UPS naprav.<br />
Izbrisano: intitle:<br />
Slika 18: Spletni vmesnik za nadzor UPS naprav<br />
8 Napadi na brezžična omrežja<br />
Omrežje WLAN je brezžično lokalno omrežje, ki ima eno ali več dostopnih točk<br />
AP, ki so vmesnik med žičnim in brezžičnim omrežjem. Dostopna točka sporoča<br />
svojo dostopnost z oddajanjem SSID (System Set Identifier) omrežnih imen.<br />
WLAN povezave so zaščitene s standardom WEP. WEP omogoča šifriranje<br />
podatkov in overitev med računalniki in dostopnimi točkami. Šifriranje se izvaja na<br />
osnovi deljenega skritega ključa. Ključ ima dolžino 40 ali 104 bite in 24-bitni<br />
inicializacijski vektor (IV). IV se spremeni ob vsakem poslanem sporočilu in ključ je<br />
sestavljen iz deljenega skrivnega ključa, IV je njegova dolžina, in sicer 64 ali 128<br />
bitov in se zaradi IV neprestano spreminja. Storitve temeljijo na overitvi ž, določeni<br />
s specifikacijo 802.1x.<br />
Naslednja vrsta zaščite, ki je bila uvedena, je WPA (Wi-Fi Protected Access)<br />
brezžični zaščiten dostop, ki je sestavljena iz overjanja s specifikacijo 802.1x in<br />
Izbrisano: jo<br />
Izbrisano: i<br />
Izbrisano: ker je<br />
Izbrisano: in<br />
Izbrisano: ć
HRIBAR, Gašper. Hekerska orodja: dipl. nal. Ljubljana, ŠC PET, VSŠ, 2006 42<br />
protokola TKIP (Temporary Key Integrity Protocol). TKIP je odgovoren za<br />
generiranje šifrirnega ključa, šifriranje sporočil in preverjanje njihove integritete.<br />
Brezžične komunikacije, kot je WLAN, uporabljajo javno dostopne frekvence, ki so<br />
tako dostopne praktično vsakomur, kar še povečuje tveganje za vdor v sistem.<br />
8.1 Wardriving<br />
Wardriving ali vojna vožnja je način odkrivanja brezžičnih omrežij z vožnjo v<br />
avtomobilu. Napadalec na svoj avtomobil namesti zunanjo anteno, ki se poveže<br />
PCMCIA brezžično kartico v prenosnem računalniku. Na prenosnem računalniku<br />
mora imeti heker nameščena še ustrezna orodja, kot so brezžični skenerji in<br />
vohljači omrežja. Ti programi med vožnjo iščejo brezžične dostopne točke in<br />
pridobijo dovolj informacij, ki so potrebne za vdor v brezžično omrežje. Napadalec,<br />
ki vdre v nezavarovano brezžično omrežje, obide tudi požarni zid, ki je ob takem<br />
napadu brez funkcije. Zaščititi se je možno fizično tako, da signalu preprečimo<br />
prehajanje iz zgradbe ali pa s postavljanjem lažnih dostopnih točk.<br />
Izbrisano: ,<br />
Slika 19: Pripomočki za vojno vožnjo (http://www.wardriving.com/oldnews/fiva.jpg)<br />
Oblikovano: Napis<br />
Izbrisano:
HRIBAR, Gašper. Hekerska orodja: dipl. nal. Ljubljana, ŠC PET, VSŠ, 2006 43<br />
8.1.1 NetStumbler<br />
Netstumbler je najboljše Windows orodje za odkrivanje ranljivih brezžičnih<br />
dostopnih točk (wardriving). Obstaja tudi WinCE različica, namenjena PDA<br />
računalnikom, imenovana Ministumbler. Nima sposobnosti pregledovanja TCP/IP<br />
povezav, ima pa možnost odkrivanja brezžičnih omrežij. NetStumbler ni pasiven<br />
program, zato je njegova prisotnost v omrežju vidna.<br />
Izbrisano: <br />
Oblikovano: Označevanje in<br />
oblikovanje<br />
Izbrisano: "<br />
Izbrisano: "<br />
8.1.2 Kismet<br />
Kismet je sniffer, namenjen brezžičnim omrežjem in prilagojen za sodelovanje z<br />
velikim številom brezžičnih kartic. Orodje je sposobno samodejnega odkrivanja<br />
omrežij UDP, ARP in DHCP paketov, odkrivanja Cisco opreme.<br />
8.1.3 AirSnort<br />
AirSnort je brezžično (WLAN) orodje, ki je sposobno odkriti enkripcijske ključe.<br />
Program pasivno nadzira povezave in ob zadostni količini prometa izračuna<br />
enkripcijski ključ.<br />
9 Zaščita pred napadi<br />
9.1 Požarna pregrada<br />
Požarna pregrada ali požarni zid je naprava, ki preprečuje nepooblaščen dostop<br />
do zasebnih omrežij. Požarni zid se lahko implementira v obliki strojne in<br />
programske opreme ali pa kot kombinacija obeh. Najpogosteje požarne pregrade<br />
uporabljajo za preprečevanje dostopa uporabnikov interneta do zasebnih omrežij<br />
(intranet), ki so priključena na internet. Vsa sporočila, ki vstopajo ali izstopajo iz<br />
intraneta, gredo čez požarno pregrado. Požarna pregrada pregleda vse pakete in<br />
bloke sporočil, ki ne ustrezajo določenim varnostnim kriterijem. Na podlagi<br />
preverjanja vsebine paketov požarna pregrada dovoli ali prepreči vse poizkuse<br />
povezovanja prek določenega vmesnika v ali iz omrežja. Obstaja več različic<br />
požarnih pregrad:<br />
Izbrisano: a<br />
Izbrisano: se<br />
Izbrisano: m<br />
Izbrisano: dostop<br />
Izbrisano: o
HRIBAR, Gašper. Hekerska orodja: dipl. nal. Ljubljana, ŠC PET, VSŠ, 2006 44<br />
Slika 20:Implementacija požarne pregrade (http://www.smartcom.si/index.php?sv_path=7,14,68,205)<br />
• Paketni filter: Pregleduje vsak izvorni ali ponorni paket in ga sprejme ali<br />
zavrne glede na uporabniško določena pravila. Filtriranje paketov je precej<br />
učinkovito in neopazno za uporabnike, vendar potrebuje zahtevno<br />
konfiguracijo. Poleg tega pa je dovzetno za IP spoofing.<br />
• Aplikacijski prehod: Ponuja varnostne mehanizme za določene aplikacije,<br />
kot so FTP in Telnet strežniki. Učinkovita zaščita, ki pa zmanjša<br />
zmogljivost.<br />
• Prehod na nivoju voda: Zagotavlja varnostne mehanizme pri<br />
vzpostavljanju TCP ali UDP povezave. Ko je povezava vzpostavljena, se<br />
paketi lahko prenašajo med uporabniki brez nadaljnjega preverjanja.<br />
• Proxy strežnik: Prestreza vsa sporočila, ki izhajajo iz omrežja ali prihajajo<br />
v omrežje. Proxy strežnik učinkovito skriva resničen naslov omrežja.<br />
Izbrisano: ,<br />
V praksi požarne pregrade uporabljajo eno ali več tehnik za zaščito omrežja.<br />
Požarna pregrada predstavlja prvi nivo zaščite omrežja. Za nadaljnjo zaščito služi<br />
šifriranje podatkov.<br />
9.2 Antivirusni program<br />
Antivirusni programi so programi, ki poskušajo identificirati, preprečiti in uničiti<br />
računalniške viruse in drugo zlonamerno programsko opremo (trojanski konji,<br />
Izbrisano: ostalo
HRIBAR, Gašper. Hekerska orodja: dipl. nal. Ljubljana, ŠC PET, VSŠ, 2006 45<br />
vohljači), ki se prenaša z elektronsko pošto ali pa s pregledovanjem internetnih<br />
strani ter s prenašanjem okuženih datotek iz interneta.<br />
Izbrisano: I<br />
Slika 21: Širjenje zlonamerne programske opreme (http://www.smartcom.si/index.php?sv_path=7,14,68,204)<br />
Antivirusni program navadno uporablja več različni načinov za zaščito<br />
računalniškega sistema.<br />
Odkrivanje virusov s pomočjo baze virusnih definicij<br />
Antivirusni program pri pregledovanju datotek zanaša na bazo že poznanih<br />
virusov. Če se del kode v datoteki ujema z definicijo v bazi virusnih definicij,<br />
antivirusni program najprej poskuša popraviti program z odstranitvijo virusa,<br />
prestavi datoteko v karanteno in s tem prepreči širjenje virusa na druge datoteke<br />
ali izbriše datoteko. Za zagotavljanje uspešne zaščite, moramo bazo virusnih<br />
definicij periodično obnavljati. Vendar pa odkrivanje virusov s pomočjo baze<br />
virusnih definicij ni nujno vedno uspešna, saj so avtorji virusov začeli pisati viruse,<br />
ki šifrirajo del svoje kode, tako da ne ustrezajo vedno virusnim definicijam in jih<br />
antivirusni program ne zazna.<br />
Izbrisano: ,<br />
Izbrisano:
HRIBAR, Gašper. Hekerska orodja: dipl. nal. Ljubljana, ŠC PET, VSŠ, 2006 46<br />
Odkrivanje virusov na osnovi delovanja sistema<br />
Tako odkrivanje virusov ne temelji na osnovi identifikacije že znanih virusov,<br />
temveč opazuje vedenje programov. Če eden od programov poskuša zapisati<br />
podatke v izvršljivo datoteko, lahko antivirusni program to dejanje zazna in<br />
uporabnika obvesti ter ga vpraša, kaj storiti v takem primeru. Tako lahko<br />
antivirusni program odkrije tudi nove viruse, ki jih še ne vsebuje v bazi virusnih<br />
definicij. Vendar pa se v današnjem času ta tehnika uporablja vse manj, saj je<br />
velikokrat prihajalo do lažnih obvestil antivirusnega programa, ker se vse več<br />
legalnih programov včasih prav tako spreminja izvrševalne datoteke.<br />
Izbrisano: in<br />
Izbrisano: j<br />
9.3 IDS – sistem za zaznavanje vdorov<br />
Sistem za zaznavanje in preprečevanje vdorov pregleduje ves vhodni in izhodni<br />
promet v omrežju in razpozna nenavadne aktivnosti v omrežju, ki bi lahko<br />
naznanjale napad in vdor v sistem ali v omrežje. Sistem deluje na<br />
omrežno/aplikacijskem nivoju. Ugotavljanje napadov in njihovo preprečevanje je<br />
pomembno, saj je na tak način možno preprečiti vdore še preden bi lahko<br />
povzročili kakršno koli škodo.<br />
IDS sistem se razlikuje od požarnega zidu v tem, da požarni zid išče napade in<br />
prepreči njihovo izvajanje. Požarni zid prepreči dostop napadom do omrežja in ne<br />
zazna napada znotraj omrežja. IDS sistem zazna napad, ko napad že poteka in<br />
nato sproži opozorilo. Poleg tega pa IDS sistem zaznava napade, ki izvirajo iz<br />
računalnikov znotraj omrežja.<br />
Izbrisano: ,<br />
Izbrisano: ,<br />
Izbrisano: ,<br />
Izbrisano: <br />
Slika 22: Sistem za ugotavljanje in preprečevanje vdorov (http://www.smartcom.si/index.php?sv_path=7,14,68,206)<br />
Izbrisano:
HRIBAR, Gašper. Hekerska orodja: dipl. nal. Ljubljana, ŠC PET, VSŠ, 2006 47<br />
IDS sistem deluje na več načinov:<br />
Izbrisano: <br />
<br />
Izbrisano: <br />
Zaznavanje zlorab<br />
IDS sistem zbira in analizira informacije in jih primerja z bazo podatkov v kateri se<br />
nahajajo vsi znane vrste napadov. Enako kot v primeru antivirusnih programov, je<br />
učinkovitost sistema odvisna od baze napadov, s katero primerja promet.<br />
Zaznavanje nepravilnosti<br />
Pri preprečevanju napadov na osnovi zaznavanja nepravilnosti, administrator<br />
omrežja določi normalno stanje v omrežju, kot je prometna obremenitev, izpadi<br />
delovanja, protokoli v omrežju in tipična velikost paketov v omrežju. Detektor išče<br />
nepravilnosti v omrežju, tako da primerja dejansko stanje v omrežju s stanjem, ki<br />
ga določi administrator.<br />
Izbrisano: nepravilnosti<br />
Omrežni in gostiteljski nivo zaščite<br />
Pri omrežnem nivoju zaščite se analizira posamezne pakete, ki potujejo prek<br />
omrežja. IDS sistem zazna zlonamerne pakete, ki so navadno zasnovani tako, da<br />
se izognejo požarni pregradi. Pri gostiteljskem nivoju zaščite, IDS sistem<br />
pregleduje aktivnosti na vsakem posameznem računalniku ali strežniku, ki se<br />
nahaja v omrežju.<br />
Izbrisano: o<br />
Pasivni in aktvni način delovanja<br />
V pasivnem načinu delovanja, IDS sistem zazna potencialno varnostno kršitev,<br />
zabeleži informacijo in sproži opozorilo. V aktivnem načinu delovanja se IDS<br />
sistem odzove na sumljive aktivnosti v omrežju. Računalnik, iz katerega prihaja<br />
grožnja, se odklopi iz omrežja, tako da preprogramira požarni zid, ki nato blokira<br />
ves promet iz tega računalnika.<br />
Izbrisano: l
HRIBAR, Gašper. Hekerska orodja: dipl. nal. Ljubljana, ŠC PET, VSŠ, 2006 48<br />
10 Sklep<br />
Do pred kratkim se ljudje niso zavedali nevarnosti, ki prežijo na računalniške<br />
sisteme z interneta. Večina računalnikov je bila nezaščitenih in tudi danes je<br />
povprečen uporabnik interneta premalo osveščen o nevarnostih, ki prežijo z<br />
interneta, kar hekerjem v veliki meri olajša delo.<br />
Hekerska orodja razvijajo posamezniki in jih širijo prek spleta. Uporabniki teh<br />
orodij so ponavadi mladi računalničarji, ki tudi če imajo omejeno znanje lahko<br />
uporabljajo ta orodja. Razlog za povečanja uporabe takih orodij je v razmahu<br />
interneta in dostopnosti širokopasovnih povezav. Hekerska orodja se navadno<br />
uporabijo v zlonamerne cilje, čeprav niso vedno ustvarjena s takim namenom.<br />
Heker tako orodje poskuša neopazno vključiti v računalnik žrtve, da pridobi nadzor<br />
na daljavo. Za pridobitev nadzora na daljavo se uporabljajo virusi in trojanci, ki<br />
okužijo računalnik in naložijo program, ki hekerju nato omogoča nemoten dostop<br />
do sistema. Virusi in trojanci se navadno prenašajo prek elektronske pošte in<br />
programov za klepetanje. Pri takih vrstah napadov je še vedno največji problem<br />
človeški faktor in nepoznavanje potencialnih nevarnosti. Zato se je vedno treba<br />
prepričati, ali datoteka, ki smo jo prejeli, prihaja od zaupanja vrednega vira.<br />
Naslednji novo zaščite je dober antivirusni program, ki pa ga je treba stalno<br />
posodabljati z novimi virusnimi definicijami. Vendar pa antivirusni program<br />
navadno ni zadostna zaščita, ker vse kode niso nujno opredeljene za zlonamerne<br />
in jih antivirusni programi ne zaznajo, odkritje zlonamernih programov pa je<br />
potrebno, preden se namestijo v sistem. Zato so proizvajalci varnostnih rešitev<br />
začeli ponujati varnostne pakete, ki vključujejo več različni orodij združenih skupaj.<br />
Taki paketi programske opreme navadno vsebujejo antivirusni program požarni<br />
zid, zaščito pred nezaželeno pošto in zaščito pred raznimi vohunskimi in oglasnimi<br />
programi. Vedno pa je na koncu vse odvisno od uporabnika samega in njegovega<br />
poznavanja nevarnosti, ki prežijo z interneta.<br />
Izbrisano: ,<br />
Izbrisano: r<br />
Izbrisano: o<br />
Izbrisano: š<br />
Izbrisano: .<br />
Izbrisano: o<br />
Izbrisano: potrebno<br />
Izbrisano: e<br />
Izbrisano: potrebno
HRIBAR, Gašper. Hekerska orodja: dipl. nal. Ljubljana, ŠC PET, VSŠ, 2006 49<br />
11 Viri in literatura<br />
1. ANTI – VIRUS SOFTWARE [online]. 2005. [Citirano 2. jan. 2006; 13:35].<br />
Dostopno na spletnem naslovu: .<br />
2. ERICKSON, Jon. 2003. Hacking: The Art of Exploitation. San Francisco: No<br />
Starch Press. ISBN 1593270070.<br />
3. FIREWALL (networking [online]. 2005. [Citirano 2. jan. 2006; 14:18]. Dostopno<br />
na spletnem naslovu:
Stran 5: [1] Izbrisano Gasper 26.2.2006 11:59:00<br />
SEZNAM KRATIC.................................................................................................. 7<br />
1 Uvod ............................................................................................................... 8<br />
2 Sledenje........................................................................................................ 10<br />
2.1 NIC poizvedovanje ................................................................................. 12<br />
2.2 DNS poizvedovanje................................................................................ 12<br />
2.2.1 Podrobna DNS poizvedba...................................................................................... 13<br />
2.2.2 Prenos cone ........................................................................................................... 13<br />
2.2.3 SMTP preiskovanje ................................................................................................ 13<br />
3 Skeniranje .................................................................................................... 14<br />
3.1 Tehnike skeniranja ................................................................................. 14<br />
3.2 ICMP preiskovanje sistema.................................................................... 15<br />
3.3 Echo request .......................................................................................... 15<br />
3.4 Timestamp request................................................................................. 16<br />
3.5 Address mask request............................................................................ 16<br />
3.6 TCP skeniranje....................................................................................... 16<br />
3.7 Izogibanje IDS sistemom in preprečevanje filtriranja.............................. 17<br />
3.7.1 Fragmentacija paketov ........................................................................................... 18<br />
3.7.2 Zavajanje z več naslovi .......................................................................................... 18<br />
3.7.3 Izvorno usmerjanje ................................................................................................. 19<br />
3.7.4 Uporaba določenih TCP ali UDP vrat..................................................................... 19<br />
3.8 Programi za skeniranje omrežja............................................................. 21<br />
3.8.1 Nmap network scanner .......................................................................................... 21<br />
3.8.2 Nessus.................................................................................................................... 21<br />
4 Omrežni vohljač........................................................................................... 21<br />
4.1 Ethereal.................................................................................................. 22<br />
4.2 Dsniff ...................................................................................................... 22<br />
4.3 Ettercap.................................................................................................. 23<br />
5 Pridobivanje in razbijanje gesel ................................................................. 23<br />
5.1 Razbijanje (krekanje) gesel .................................................................... 23<br />
5.2 Programi za razbijanje gesel .................................................................. 24<br />
5.2.1 John the Ripper ...................................................................................................... 24<br />
5.2.2 THC-hydra .............................................................................................................. 24<br />
5.2.3 LC5 (L0phtcrack).................................................................................................... 25<br />
5.2.4 Crack ...................................................................................................................... 25<br />
5.2.5 MDcrack ................................................................................................................. 25<br />
5.2.6 Isadump2................................................................................................................ 25<br />
5.3 Programi za beleženje tipk ..................................................................... 25<br />
5.3.1 Invisible keylogger.................................................................................................. 25<br />
5.3.2 FakeGINA............................................................................................................... 26<br />
6 Vrste Napadov ............................................................................................. 27<br />
6.1 Trojanec ................................................................................................. 27<br />
6.1.1 Primer trojanca ....................................................................................................... 27<br />
6.2 Rootkit .................................................................................................... 28<br />
6.3 Virus ....................................................................................................... 29<br />
6.4 Črv.......................................................................................................... 29<br />
6.5 Phishing ................................................................................................. 30<br />
6.6 Napadi prek<br />
Stran 5: [2] Izbrisano Gasper 26.2.2006 11:59:00<br />
elektronske pošte............................................................................................. 31<br />
6.7 DOS – denial of service.......................................................................... 31<br />
6.8 DdoS napad ........................................................................................... 31<br />
6.8.1 Nuke ....................................................................................................................... 32
6.8.2 Winnuke.................................................................................................................. 33<br />
6.8.3 SYN Flood .............................................................................................................. 33<br />
6.8.4 SMURF................................................................................................................... 33<br />
6.9 Spoofing napad ...................................................................................... 34<br />
6.10 Ugrabitev seje ........................................................................................ 35<br />
6.11 Prekoračitev vmesnika ........................................................................... 36<br />
7 Google – hekersko orodje .......................................................................... 37<br />
8 Napadi na brezžična omrežja ..................................................................... 41<br />
8.1 Wardriving .............................................................................................. 42<br />
8.1.1 NetStumbler............................................................................................................ 43<br />
8.1.2 Kismet..................................................................................................................... 43<br />
8.1.3 AirSnort................................................................................................................... 43<br />
9 Zaščita pred napadi..................................................................................... 43<br />
9.1 Požarna pregrada................................................................................... 43<br />
9.2 Antivirusni program ................................................................................ 44<br />
9.3 IDS – sistem za zaznavanje vdorov ....................................................... 46<br />
10 Sklep ......................................................................................................... 48<br />
11 Viri............................................................................................................. 49<br />
Stran 5: [3] Izbrisano ghribar 6.3.2006 12:21:00<br />
Stran 6: [4] Izbrisano Gasper 26.2.2006 11:59:00<br />
Slika 1: Pridobivanje podatkov o strežnikih prek<br />
Stran 6: [5] Izbrisano Gasper 26.2.2006 11:59:00<br />
spleta..................................................................................................................... 7<br />
Slika 2: Pridobivanje podatkov s pomočjo funkcije tracert ..................................... 8<br />
Slika 3: Sledenje z uporabo programa SamSpade ................................................ 9<br />
Slika 4: Skeniranje s programom Nmap .............................................................. 12<br />
Slika 5: Analiziranje prometa z uporabo programa Ethereal................................ 19<br />
Slika 6: Razbijanje gesel s programom John the Ripper ..................................... 21<br />
Slika 7: Ekranska slika Invisible keylogger<br />
Stran 6: [6] Izbrisano Gasper 26.2.2006 11:59:00<br />
ja 23<br />
Slika 8: Namestitev programa FakeGINA v sistem.............................................. 24<br />
Slika 9: Upobniški vmesnik trojanca Back Orifice ................................................ 25<br />
Slika 10: Računalnik, okužen z virusom sasser................................................... 26<br />
Slika 11: Shema DdoS napada............................................................................ 29<br />
Slika 12: SMURF napad ...................................................................................... 31<br />
Slika 13: IP spoofing napad................................................................................. 32<br />
Slika 14: Potek prekoračitve vmesnika ................................................................ 34<br />
Slika 15: Posnetek nadzornih kamer v gostinskem lokalu ................................... 36<br />
Slika 16: Posnetek nastavitvenega vmesnika tiskalnika ...................................... 36<br />
Slika 17: Spletni vmesnik za konfiguracijo usmerjevalnika .................................. 37<br />
Slika 18: Spletni vmesnik za nadzor UPS naprav................................................ 38<br />
Slika 19: Pripomočki za vojno vožnjo .................................................................. 39<br />
Slika 20: Implementacija požarne pregrade......................................................... 41<br />
Slika 21: Širjenje zlonamerne programske opreme ............................................. 42<br />
Slika 22: Sistem za ugotavljanje in preprečevanje vdorov................................... 43<br />
Stran 49: [7] Oblikovano ghribar 6.3.2006 12:18:00<br />
portugalščina (Brazilija)
Stran 49: [8] Oblikovano ghribar 6.3.2006 12:18:00<br />
portugalščina (Brazilija)<br />
Stran 49: [9] Oblikovano Gasper 5.3.2006 10:37:00<br />
španščina (Španija - sodobna)<br />
Stran 49: [10] Spremeni Urška Perko 20.2.2006 11:26:00<br />
Oblikovano označevanje in oštevilčevanje<br />
Stran 49: [11] Oblikovano Goran 22.2.2006 10:55:00<br />
španščina (Španija - sodobna)<br />
Stran 49: [12] Spremeni Gasper 5.3.2006 10:38:00<br />
Oblikovano označevanje in oštevilčevanje<br />
Stran 49: [13] Oblikovano ghribar 6.3.2006 12:18:00<br />
portugalščina (Brazilija)<br />
Stran 49: [14] Oblikovano Gasper 5.3.2006 10:38:00<br />
portugalščina (Brazilija)<br />
Stran 49: [15] Izbrisano Gasper 5.3.2006 10:29:00<br />
Anonimen avtor. 2005.<br />
Stran 49: [16] Izbrisano Gasper 5.3.2006 10:29:00<br />
Maximum Security: A Hacker's Guide to Protecting Your Internet Site and Network.<br />
Stran 49: [17] Izbrisano Gasper 5.3.2006 10:29:00<br />
Angel722 Publishing. 2005.<br />
Stran 49: [18] Oblikovano ghribar 6.3.2006 12:18:00<br />
nemščina (Nemčija)<br />
Stran 49: [19] Oblikovano ghribar 6.3.2006 12:18:00<br />
nemščina (Nemčija)<br />
Stran 49: [20] Spremeni Urška Perko 20.2.2006 11:26:00<br />
Oblikovano označevanje in oštevilčevanje<br />
Stran 49: [21] Izbrisano Gasper 5.3.2006 10:38:00<br />
Phishing [online].<br />
Stran 49: [22] Izbrisano Gasper 5.3.2006 10:38:00<br />
[Citirano 28. dec. 2005; 10:15]. Dostopno na spletnem naslovu:<br />
. 2005.<br />
Anti-virus software [online].<br />
Stran 49: [23] Izbrisano Gasper 5.3.2006 10:37:00<br />
[Citirano 2. jan. 2006: 13:35]. Dostopno na spletnem naslovu:<br />
. 2005.<br />
Firewall (networking [online].<br />
Stran 49: [24] Izbrisano Gasper 5.3.2006 10:38:00<br />
[Citirano 2. jan. 2006: 14:18]. Dostopno na spletnem naslovu:<br />
. 2005.<br />
Intrusion-detection system [online].
Stran 49: [25] Izbrisano Gasper 5.3.2006 10:38:00<br />
[Citirano 5. jan. 2006: 18:45]. Dostopno na spletnem naslovu:<br />
. 2005.<br />
ERICKSON, Jon:<br />
Stran 49: [26] Izbrisano Gasper 5.3.2006 10:37:00<br />
Hacking: The Art of Exploitation. San Francisco: No Starch Press. ISBN 1593270070.<br />
2003.<br />
LUDWIG, Mark A<br />
Stran 49: [27] Izbrisano Gasper 5.3.2006 10:29:00<br />
: The Little Black Book Of Computer Viruses. Arizona: American Eagle Publications.<br />
ISBN 0-929408-02-0. 1996.