Słownik Cyberprzestępczości cz. 4

ZAMIESZCZONE INFORMACJE MAJĄ CHARAKTER JEDYNIE INFORMACYJNY I NIE MAJĄ NA CELU PROPAGOWANIA DZIAŁANIA NIEZGODNEGO Z POLSKIM PRAWEM!

Cracking – dziedzina informatyki zajmująca się łamaniem zabezpieczeń oprogramowania. Cracking dokonywany jest niemal zawsze z naruszeniem praw autorskich, a tym samym nielegalnie. Zasadniczo wyróżnia się dwa typy crackingu tj. cracking sieciowy, czyli łamanie zabezpieczeń komputerów w sieciach komputerowych i cracking oprogramowania, czyli łamanie zabezpieczeń przed niedozwolonym użytkowaniem programów.

Crackme – mały programik napisany najczęściej w assemblerze, naszpikowany zabezpieczeniami, a skierowany do crackerów w celu sprawdzenia ich umiejętności. Crackme stawiają przed crackerami określone zadania np. wygenerowanie s/n czy napisanie keygena. Cracker, który jako pierwszy rozwiąże jakiejś szczególnie trudne crackme będzie się długo cieszył zasłużoną sławą. Programiki te są najczęściej tworzone przez istnych fanatyków zabezpieczeń.

Cracker lub reverse engineer – (ang. crack – łamać) – osoba zajmująca się wyszukiwaniem i usuwaniem zabezpieczeń w oprogramowaniu komputerowym (dotyczy to głównie gier komputerowych). W rzadkich przypadkach prowadzi ona działalność mającą na celu tylko udowodnienie własnych umiejętności. Na ogół crackerstwo wiąże się z nielegalnym rynkiem oprogramowania i czerpaniem zysku z tego procederu (piractwo komputerowe). Producenci programów zabezpieczają swoje produkty na wiele różnych sposobów, ma to na celu uniemożliwienie lub utrudnienie tworzenia nielegalnych kopii i korzystania z nich. Najprostszy sposób to podawanie w trakcie instalacji specjalnego kodu (s/n), który dostarczany jest wraz z licencją dla danej aplikacji, inny polega na wprowadzaniu przed uruchomieniem programu pochodzących z dokumentacji wybranych słów (albo zakodowanych w postaci literowej bądź rysunkowej haseł). Bardziej wyszukanym rodzajem zabezpieczenia są specjalne sprzętowe klucze włączane w jedno ze złącz komputera (najczęściej port drukarki); ich obecność jest konieczna do uruchomienia oraz poprawnego działania programu. Aplikacje uruchamiane bezpośrednio z czytnika CD-ROM wymagają stałej obecności oryginalnej płyty CD w napędzie. Omijanie tego typu lub innych zabezpieczeń jest celem działania crackerów – ludzi doskonale obeznanych z technikami komputerowymi, a także budową wewnętrzną komputera. Programy pozbawione blokad mogą być bez problemu kopiowane i rozprowadzane. Bardzo często wraz z nielegalną kopią dostarczane są niewielkie programy zwane crackami, które przed pierwszym uruchomieniem modyfikują kod programu lub w trakcie działania symulują obecność klucza. Cracker zajmując się crackingiem, który poprzez swoją działalność poszerza swą wiedzę programistyczną o zabezpieczeniach software’u. Najczęściej jest to również miłośnik assemblera, choć zdarzają się jego zagorzali przeciwnicy. „Według etyki crackera jego zasadniczym celem nie jest niszczenie danych, ale dążenie do satysfakcji z powodu złamania kolejnego zabezpieczenia. Cracki i keygeny są tylko produktem ubocznym tych działań, i przez to, że rozpowszechniane są za darmo przyczyniają się do wzrostu liczby użytkowników niektórych aplikacji (niekoniecznie legalnych)” (Źródło: etyka crackera). Cracker jest pojęciem często wykorzystywanym wymiennie z hakerem, co jest wielkim błędem.

Buffer Overflow Attack – jeden z najpowszechniejszych rodzajów ataku sieciowego typu DoS, należący do grupy exploitów. Polega on na wysyłaniu do danego adresu sieciowego większej ilości danych niż przewidział to programista, który zaplanował wielkość bufora mniejszą od ilości danych, jaką ktoś mógłby wysłać. Osoba atakująca może być świadoma tego, że jej cel jest odporny na ten typ ataku, lub próbuje, licząc na łut szczęścia, że atak się uda.

Brute-force attack lub metoda siłowa, brute-force search, exhaustive key search – I. – atak na system komputerowy na zasadzie pełnego przeglądu. Technika rozwiązywania złożonych problemów metodą analizowania każdego z możliwych wyników. W szczególności: omijanie zabezpieczeń systemu poprzez podejmowanie prób zalogowania się za pomocą każdego dopuszczalnego hasła. Metoda ta służy do wydobycia s/n, gdy cracker nie wie już, jak go wyciągnąć w inny sposób. Otóż polega ona na napisaniu zazwyczaj prostego programiku, zawierającego wyciągnięty algorytm z danego programu, oraz podawania mu kolejnych danych, np. liczb od 0 do FFFFFFFF, tj. przypuszczalnych s/n, i porównywanie otrzymanego wyniku z żądanym. W ten sposób sprawdzając wszystkie możliwości, jest szansa odnalezienia s/n. Technika ta bywa skuteczna, choć mało wyrafinowana, a jej efektywność zależy przede wszystkim od złożoności algorytmu szyfrowania, długości klucza szyfrującego oraz wydajności komputera. Postęp technologiczny i co za tym idzie rosnąca moc komputerów sprawia, że metody szyfrowania opracowane jeszcze kilkanaście lat temu łatwo „padają” pod naporem wyspecjalizowanych komputerów PC (często dla zyskania większej mocy obliczeniowej połączonych w sieć). Udowodniono, że stosowany jeszcze do dzisiaj algorytm DES z 56-bitowym kluczem może zostać złamany metodą brute-force w przeciągu kilku dni za pomocą średniej mocy komputera.
II. – metoda łamania hasła polegająca na sprawdzaniu po kolei każdego znaku i jego kombinacji, np. z literami, cyframi, znakami specjalnymi. Metoda ta jest czasochłonna, ponieważ sprawdzenie wszystkich kombinacji znaków wymaga dużej mocy obliczeniowej. Dlatego też przy stosowaniu tej metody zbawiennym jest dość mocny komputer. Czas łamania hasła metodą brute force zależny jest od złożoności oraz długości hasła. Mimo długiego czasu uzyskiwania hasła tą metodą ma ona przewagę nad metodą słownikową, polegającą na podstawianiu całych wyrazów ze słownika, ponieważ metoda słownikowa nie sprawdza się w hasłach typu „t9J30nM”, a brute force – tak. Teoretycznie tą metodą można złamać każde hasło.

Breakpoint lub pułapka – jest to pułapka zastawiana w debuggerze na konkretny adres kodu lub danych, a polegająca w wypadku kodu na wstawieniu przez debugger w zadane miejsce instrukcji CC (INT 3). Po dojściu do tej instrukcji system zatrzymuje wykonanie programu i oddaje sterowanie debuggerowi, który przywraca oryginalny bajt i czeka na reakcję crackera. Nieco inaczej jest z pułapką na dane, tu debugger korzysta z atrybutów ochrony fragmentu pamięci przed odczytem lub zapisem, ustawiając je odpowiednio do sytuacji.

Blacklista lub shitlista – jest to spis nicków, wyrazów, na które program nie zarejestruje programu, choćby s/n był wygenerowany według prawdziwego algorytmu. Autorzy programów stosują tego typu zagrywki, chcąc zabezpieczyć się przed co bardziej znanymi crackerami, udostępniającymi seriale rejestrujące program na ich nick. Taką shitlistę posiada np. Pajączek.

Blue Box – urządzenie odkryte, skonstruowane i wykorzystywane przez wczesnych phreakerów do uzyskiwania darmowych (nielegalnych) połączeń telefonicznych. Działanie blue box polega na generowaniu tonów identycznych ze stosowanymi przez firmy telekomunikacyjne (opartych na częstotliwości 2600 Hz), co wystarcza, by phreaker mógł przejąć kontrolę nad centralą telefoniczną i uzyskać połączenie z dowolnym numerem telefonu na świecie. Czasy „świetności” blue box przypadają na lata 70 i początek 80, a dziś ma on już znaczenie raczej historyczne. Nie są potwierdzone przypadki jego wykorzystania w polskich realiach. Blue box było pierwszym z tego rodzaju urządzeń i zapoczątkowało serię podobnych „kolorowych pudełek”: red box, black box, violet box, silver box, etc. Patrz John Draper.

Bad/good guy lub bad/good boy – miejsce w kodzie programu, w którym następuje ostateczna decyzja – czy program jest zarejestrowany, czy nie. Zazwyczaj ten fragment ma postać JZ xxxxxxxx, czyli skoku warunkowego.

Back Orifice – system zdalnej administracji pozwalający kontrolować komputery wyposażone w systemy Windows 95, 98 oraz NT (Back Orifice 2000) poprzez połączenie TCP/IP, używając konsoli tekstowej lub aplikacji z graficznym interfejsem. Stworzony przez hakerów z grupy cDc (ang. Cult of the Dead Cow www.cultdeadcow.com), Back Orifice jest w rzeczywistości koniem trojańskim wykorzystującym słabości systemu Windows. Uruchomiony, instaluje się w systemie i monitoruje jego pracę bez widocznych z zewnątrz przejawów aktywności (nie jest wyświetlany na liście menadżera zadań).
Back Orifice 2000 (Back Orifice 2K) – część pełniąca rolę klienta (działa po stronie atakującego). Umożliwia przejęcie pełnej kontroli nad komputerem ofiary. Napastnik może pobierać, tworzyć i kasować dowolne pliki, uruchamiać aplikacje, śledzić działania użytkownika i przechwytywać wysyłane przez niego informacje (np. tak istotne jak hasła czy numery kart kredytowych). Back Orifice jest rozpowszechniany w pakiecie kilku programów wraz z dokumentacją. Najważniejsze z nich są Boserv.exe (lub Bo2k.exe) oraz Bogui.exe (Bo2kgui.exe), z których pierwszy jest instalowanym na maszynie ofiary serwerem i zarazem właściwym koniem trojańskim, drugi zaś klientem służącym do przeprowadzania zdalnych operacji. Po zainfekowaniu komputera część serwerowa kopiuje sama siebie do katalogu systemowego Windows pod nazwą .exe (lub inną, wybraną podczas konfiguracji serwera) oraz dopisuje się w rejestrze jako jedna z usług autostartu:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices

Następnie przydziela zasoby dla określonego portu (w Back Orifice jest to standardowo 31337, w Back Orifice 2000 wybierany jest podczas konfiguracji serwera) i zaczyna nasłuchiwać na tym porcie. Komendy wydawane przez klienta przychodzą w postaci zaszyfrowanej i są wykonywane przez serwer w sposób niewidoczny dla właściciela komputera. Możliwe są m.in. takie działania jak:
– przesyłanie informacji systemowych: nazwy komputera, nazwy użytkownika, typu procesora, wielkości pamięci, wersji Windows, zainstalowanych sterowników, etc.;
– wyświetlanie zawartości dysków;
– odszukiwanie określonych plików, a także ich wysyłanie, pobieranie, kopiowanie, usuwanie oraz uruchamianie;
– tworzenie i kasowanie katalogów;
– wyświetlanie i kończenie aktywnych procesów;
– udostępnianie rejestrów systemowych;
– pobieranie haseł znajdujących się w pamięci podręcznej;
– przechwytywanie znaków wprowadzanych przez użytkownika z klawiatury;
– przyłączanie się do zasobów sieciowych;
– przechwytywanie transmitowanych informacji;
– przekierowywanie połączeń;
– uruchomienie prostego serwera HTTP dającego dostęp do komputera przez przeglądarkę;
– zawieszanie komputera;
– wyświetlanie okien z dowolnymi komunikatami;
– odgrywanie plików dźwiękowych.

Możliwości Back Orifice mogą być rozszerzane o dodatkowe funkcje poprzez zastosowanie plug-inów. Takie wtyczki mogą być rozprowadzane wraz z serwerem lub przesyłane do serwera i tam instalowane.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *