A TAKI ZWIADOWCZE

System informatyczny będący przedmiotem ataku wymaga wcześniejszego rozpoznania. Dla uzyskania możliwie jak najwięcej informacji na jego temat (o oprogramowaniu, konfiguracji, uruchamianych usługach) prowadzi się podsłuch ruchu sieciowego i skanowanie portów. Zebrane dane pozwalają atakującemu wskazać słabe punkty systemu umożliwiające skuteczne przeprowadzenie ataku na wybrany cel.

1 Darmowe programy użytkowe zawierające funkcje wyświetlania reklam.

2 Oprogramowanie podszywające się pod pliki i programy wykorzystywane przez użytkownika, pozwalające przejąć kontrolę nad komputerem.

3 Oprogramowanie szpiegujące.

Podsłuchiwanie w sieciach komputerowych może być realizowane różnymi metodami. Ze względu na sposób dostępu do podsłuchiwanych pakietów wyróżnia się dwa rodzaje podsłuchu:

 podsłuchiwanie pasywne, polegające tylko na odczytywaniu zawartości pakietów – stosowane, gdy intruz ma bezpośredni dostęp do przesyłanych danych,

 podsłuchiwanie aktywne, gdy intruz nie ma dostępu do pożądanych pakietów i konieczne jest przekierowanie ruchu w sieci.

Programy prowadzące podsłuch (tzw. sniffery) na wszystkich lub wybranych portach, przeznaczone dla różnych środowisk, znacznie różnią się funkcjonalnością; niektóre z nich są dostępne w Internecie. Podstawowe funkcje snifferów to przechwytywanie, filtrowanie i analiza zawartości pakietów. Zebrane podczas podsłuchu dane (w tym np.

nazwy użytkowników i hasła) są zapisywane do plików. Bardziej rozbudowane narzędzia oferują dodatkowo funkcję przekierowywania ruchu w sieci za pomocą różnych technik, jak np. zatruwanie pamięci ARP (ang. Address Resolution Protocol) czy fałszywy serwer DHCP⁴ (ang. Dynamic Host Configuration Protocol). Programy te są używane przez administratorów systemów do testowania sieci (stąd ich legalność), jednak można je wykorzystywać bezprawnie do prowadzenia podsłuchu bez wiedzy i zgody użytkowników sieci (a to jest już karalne). Do popularnych snifferów sieci kablowych należą Ethereal, Ettercap i tcpdump.

W celu identyfikacji uruchamianych usług prowadzi się skanowanie portów⁵. Znajomość działających na danym komputerze usług pozwala określić typ i wersję systemu operacyjnego, wykorzystywane aplikacje oraz wskazać luki w systemie zabezpieczeń. Do skanowania portów można użyć gotowych narzędzi wykorzystujących różne techniki skanowania, na przykład skanowanie TCP connect (metoda połączeniowa), skanowanie TCP SYN (skanowanie półotwarte), skanowanie TCP null czy ACK, mapowanie odwrotne lub mapowanie odwrotne z podszywaniem się. Do skanowania portów dostępnych jest wiele narzędzi o szerokiej funkcjonalności.

Zwykle są one przeznaczone dla konkretnego środowiska: Windows, UNIX, do

4 Protokół używany do uzyskiwania informacji konfiguracyjnych; umożliwia przypisanie komputerowi adresu bez konieczności konfigurowania tej informacji w bazie danych serwera.

5 Wiele usług związanych jest domyślnie z określonym numerem portu.

skanowania portów TCP lub UDP. Dla systemu UNIX na uwagę zasługują: strobe (do skanowania portów TCP), udp-scan (do UDP) oraz uniwersalne netcat czy nmap.

Natomiast dla systemów Windows znane narzędzia to: SuperScan (dla portów TCP i UDP), Wiscan (TCP) oraz WUPS (UDP). Większość technik skanowania opiera się na wysyłaniu pakietów testujących i analizowaniu otrzymanej odpowiedzi. Skanowanie portów TCP (protokół połączeniowy) polega na wysyłaniu do wybranego portu pakietu rozpoczęcia sesji SYN, i jeśli komputer nasłuchuje na danym porcie, zwracany jest pakiet SYN/ACK. Skanowanie portów UDP (protokół bezpołączeniowy) to skanowanie negatywne: nadejście wiadomości zwrotnej informuje, że dany port jest zamknięty, natomiast brak odpowiedzi oznacza jego otwartość.

Aby ukryć fakt skanowania portów można zastosować powolne skanowanie lub skanować porty w kolejności losowej. Skanery mogą używać techniki kamuflażu, dzięki czemu są niewykrywalne. Bardziej zaawansowane narzędzia umożliwiają zmianę adresu nadawcy pakietu źródłowego na adres nieistniejący lub aktualnie nieaktywny w danej sieci. Techniką pozwalającą ukryć tożsamość jest np. FTP Bounce Scanning, która wykorzystuje serwer FTP jako punkt pośredniczący (proxy).

W celu zdobycia informacji o podatnych na ataki usługach można też przechwytywać banery (np. komunikaty otwieranych sesji, przy pomocy takich programów jak netcat, amap czy grabbb). Włamywacze usiłują korzystać jedynie z tych narzędzi, które pozwalają im zachować anonimowość.

Oczywiście istnieją też techniki i gotowe programy, np. hping, pozwalające wykrywać możliwość nielegalnego dostępu do systemu pomimo stosowania zapór sieciowych. Program hping wysyła pakiety TCP (domyślnie), UDP lub ICMP do portu docelowego, analizuje pakiety odpowiedzi i raportuje wyniki dostarczając informacji o kontroli dostępu do zapory sieciowej. Naturalnie jest możliwość całkowitego blokowania przez zaporę dojścia pakietów do miejsca przeznaczenia. Rutery i zapory sieciowe, które przepuszczają pakiety ICMP ECHO, ICMP ECHO REPLAY oraz UDP, są podatne na atak z tunelowaniem polegający na umieszczaniu rzeczywistych danych w nagłówku pakietu. Otwarte porty za zaporą można identyfikować na przykład programem firewalk.

Szczególnie łatwe do penetracji są sieci bezprzewodowe, a działania takie trudno wykryć. Do wyszukiwania i dokumentowania sieci WLAN (ang. Wireless Local Area Network, standard 802.11) dostępne są gotowe narzędzia o różnej funkcjonalności, które umożliwiają:

 analizowanie nagłówków pakietów oraz pól wektora inicjującego,

 sprawdzanie identyfikatorów sieci SSID/ESSID (ang. Service Set Identifier, Extended SSID),

 sprawdzanie adresów MAC (ang. Media Access Control),

 identyfikację użytych zabezpieczeń (WEP⁶, WPA⁷) lub wykazanie ich braku,

 sprawdzenie zasięgu sygnału,

 uzyskanie informacji o używanych protokołach,

 zdobycie informacji o adresach IP,

 łamanie klucza szyfrującego.

Sniffery bezprzewodowe w sposobie deszyfrowania i analizy pakietów nie różnią się zasadniczo od narzędzi do podsłuchu w sieciach konwencjonalnych. Znane sniffery sieci bezprzewodowych to np. Mognet, tcpdump, airfart, THC-Wardrive, Wellenreiter, airodump-ng oraz AiroPeek NX. Przykładowymi skanerami identyfikującymi punkty dostępowe są WifiScanner i Gtkskan.

W ostatnich latach odnotowuje się tendencję spadkową skanowań, jednak ta działalność penetracyjna nadal utrzymuje się na znaczącym poziomie w stosunku do innych zagrożeń (rys. 6.1).

Po przeprowadzeniu wstępnego rozpoznania następuje dalsza penetracja wybranego systemu, prowadząca między innymi do zidentyfikowania kont użytkowników, rozpoznania współużytkowanych plików oraz zainstalowanych aplikacji. Do pozyskiwania tego typu informacji również można posłużyć się specjalizowanymi narzędziami, przy czym techniki ich gromadzenia zależą od rodzaju

6 Wired Equivalent Privacy – standard IEEE działający w warstwie łącza danych wprowadzający ochronę danych przed pasywnym podsłuchem.

7 Wi-Fi Protected Access – standard IEEE kompatybilny z WEP wprowadzający mocniejsze mechanizmy zabezpieczeń; jego następcą jest WPA2 (brak kompatybilności z wcześniejszymi rozwiązaniami).

platformy systemowej. Po tych działaniach można już podjąć próbę skutecznego zaatakowania danego systemu teleinformatycznego.

Incydenty skanowania

81,6 53,9

51,35 27,11

24,8

0 20 40 60 80 100

2003 2004 2005 2006 2007 Rok

Procent

Rys. 6.1. Incydenty skanowania rejestrowane przez CERT Polska w latach 2003-2007

Do podsłuchiwania przesyłanych pakietów danych (tak jak i rozmów telefonicznych) uprawnieni są [HAC08]:

 prokuratura,

 policja (ustawa z dnia 6.04.1990 r. o Policji),

 UOP (ustawa z dnia 6.04.1990 r. o Urzędzie Ochrony Państwa),

 Straż Graniczna (ustawa z dnia 12.10.1990 r. o Straży Granicznej),

 organa kontroli skarbowej (ustawa z dnia 28.09.1991 r. o kontroli skarbowej),

 Wojskowe Służby Informacyjne oraz Żandarmeria Wojskowa (ustawa z dnia 21.11.1967 r. o powszechnym obowiązku obrony Rzeczypospolitej Polskiej ze zmianami z 29.07.2005 r.).

W Stanach Zjednoczonych monitorowanie połączeń telefonicznych i internetowych bez sądowego nakazu mogą prowadzić również agendy rządowe. Taki wyrok wydał w lipcu 2007 roku Dziewiąty Okręgowy Sąd Apelacyjny w San Francisco [INT08].