Jak zabezpieczyć się przed ATAKIEM HAKERA? – 7 metrów pod ziemią
Wykonywałem ataki SQL injection na strony, to jest włamanie po prostu do bazy danych i wydobycie jej.
Były to zazwyczaj imiona, nazwiska, e-maile, hasła,
adresy zamieszkania, telefony.
Hakerzy wykorzystują błędy, oni
nie działają w jakiś magiczny sposób, wykorzystują proste błędy człowieka.
Po co miałby ktoś się włamywać do komputera przeciętnego Polaka?
W jaki sposób haker może zniszczyć komuś życie?
Można założyć dwa scenariusze: łagodny i już taki bardziej tragiczny.
Łagodny?
Łagodny, np. udostępnienie
czyjegoś zdjęcia prywatnego, często to są np. ktoś przechowuje jakieś zdjęcia takie bardzo prywatne,
no i np. uzyska to zdjęcie
poprzez telefon czy komputer
uzyska też dostęp do konta Facebooka danej osoby,
wstawi to na jej Facebooka z reklamą do jakiejś innej strony, typowo zarobkowy sposób
jest to też dość popularne na świecie,
po prostu jak jest takie prywatne zdjęcie osoby, to znajomi klikają po więcej.
Jeżeli jest napisane.
Klikają po więcej i co się dzieje dalej?
No i dalej już haker otrzymuje wypłatę od wejść na Instagrama, od polubień,
jego kampania taka reklamowa
jest monitorowana przez osobę, która mu to zleca,
często w tajemnicy,
zależy kto ma jakie cele do osiągnięcia mając takiego Instagrama czy strony,
często to są też błahe sprawy, jak
jak wejścia na stronę i kliknięcia, żeby otrzymać jakieś tam profity z reklam.
No i to jest myślę taka łagodna forma, bo w zasadzie
znajomi będą bardziej współczuć niż być negatywnie nastawieni po takim czymś, przynajmniej tak powinno być w normalnych relacjach ludzkich.
A ta mniej łagodna opcja?
To tutaj haker już może zniszczyć właściwie całe życie.
Bo wiadomo jak to jest w tych czasach, wszystko trzymamy na telefonach,
jeżeli ktoś ma dostęp do niego, do komputera, do telefonu,
no to ma właściwie dostęp do czyjegoś życia.
Praktycznie całego.
Słyszy jego rozmowy telefoniczne, widzi jego twarz,
no w zasadzie ma wszystko.
Po co miałby się ktoś włamywać do komputera przeciętnego Polaka?
Po to by mieć możliwość go zaszantażować,
uprzykrzyć mu życie, zniszczyć dla zabawy, są tacy ludzie,
no i też by rozwijać swój poziom umiejętności, tworząc wirusy, np. trojany, dzięki którym dostaje się pełen dostęp
walczyć z antywirusami,
poprzez cryptery, czyli programy szyfrujące,
jeżeli zaszyfrujesz odpowiednio wirusa, można nawet wykorzystać starego,
bardzo starego wirusa, którego już antywirusy rozpoznają,
ale po ponownym zaszyfrowaniu, po podniesieniu jego wagi, zmianie ikonki,
nawet zmianie rozszerzenia,
no ten wirus staje się niewykrywalny przez większość programów antywirusowych, tych, które monitorują stany zagrożenia.
Jeżeli jest nieznane, bo ono jest całkiem inne, no to
no to niestety taki antywirus tego nie wykryje.
Można też wykorzystać dostęp do czyjegoś komputera
jako po prostu słupa do poważniejszego ataku.
I na jakiej zasadzie to działa?
Na zasadzie takiej, że osoba nieświadoma pobiera wirusa,
np. trojana, który daje ten ogromny dostęp,
no i taka osoba używająca tego trojana,
może szantażować go, pisać mu różne rzeczy,
zablokować mu myszkę, klawiaturę, monitor na jakiś czas
i po prostu dokonać z jego komputera ataku, jakiegoś połączenia, skingowania sieci, czyli sprawdzenia okolicy,
czy tam nawet sieci zewnętrznej, czy jest dostęp,
no i później wykonać już ten poważniejszy atak.
Jaki jest efekt, czemu to służy?
W celu zapewnienia większej anonimowości dla osoby atakującej, jakiś większy serwis lub większą sieć,
wykorzystuje wtedy komputer ofiary, ma jego adres IP,
wszystko działa tak, jakby to robiła ta ofiara.
Czyli w zasadzie policja przychodzi do tej ofiary, jeżeli atakujący z jej komputera nie zmieni adresu,
no i ciężko jest udowodnić, że się tego nie zrobiło.
Bardzo ciężko, sam też miałem z tym styczność.
Jak w najprostszy sposób włamać się do czyjegoś komputera lub telefonu?
Jakich metod używają hakerzy?
Najprostszym sposobem, jeżeli znamy
e-mail ofiary, no to wtedy wysyłamy do niej maila,
z obrazkiem, który mamy na swoim serwerze
i ta osoba, jeśli korzysta z jakichś popularnych serwisów, to one domyślnie wyświetlają te obrazki,
Czyli to jest taki obrazek w treści maila?
Tak, to jest w treści maila,
no jeżeli tylko ty otwierasz maila, to żeby go uzyskać musisz się połączyć z zewnętrznym serwerem.
Do niego jest podany link do zewnętrznego serwera.
To może być jakaś stopka nawet, tak?
Tak, może to być stopka graficzna.
No i wtedy na serwerze atakującego wyświetla się adres IP, który łączył się z jego serwerem.
No i w ten sposób uzyskuje się jego adres IP,
można już w zasadzie przeskanować znane exploity,
czyli te programy, które szukają podatności,
no lub po prostu przejść do jakichś innych czynności.
Zdarzało ci się pozyskiwać czyjeś dane osobowe w przeszłości?
Dane osobowe tak, były to zazwyczaj imiona, nazwiska, e-maile, hasła,
adresy zamieszkania, telefony,
to były raczej tego typu dane.
Możesz powiedzieć, jak to robiłeś?
Wykonywałem ataki SQL injection na strony, to jest włamanie po prostu do bazy danych i wydobycie jej.
Docelowo.
Jakaś edycja może też być wprowadzona w tej sposób.
Głównie wykonuje się to szukając podatności w w serwisach internetowych.
Kilka miesięcy temu doszło w Polsce do dosyć głośnego ataku hakerskiego,
na jeden ze sklepów online, gdzie właśnie
wykradziono bazę z danymi klientów.
Domyślam się, że pewnie śledziłeś ten przypadek, czy wiesz jak tam doszło, do tego ataku?
Na serwerze webowym
tego sklepu, czy był zainstalowany panel administracyjny, symfony w wersji 3.2.
Jest to panel, który pozwala zarządzać całą strukturą sieciową, jeśli jest ona spora,
no to wiadomo, skrzynki mailowe,
w zasadzie serwer mailowy, serwer bazodanowy, serwer inny, inny, inny
i ona ma wszystko złączyć w całość i z jej poziomu się zarządza.
Na tym serwerze webowym, gdzie było zainstalowane to symfony,
przy procesie tworzenia całego tego serwera
administratorzy zapomnieli usunąć ścieżkę dostępową do pliku def_ofs.php,
jest to plik, który w systemie symfony przechowuje hasła do wszystkich usług, którymi się zarządza,
do wszystkich serwerów.
Czyli ktoś zapomniał usunąć jednego pliku?
Nawet takie błędy się zdarzają.
Myślę, że nie zawsze jest ktoś w stanie wszystko przewidzieć,
no i tutaj to jest dobry przykład, że w zasadzie,
hakerzy wykorzystują błędy,
nie działają w jakiś magiczny sposób, wykorzystują proste błędy człowieka, szukają ich, mają do tego odpowiednie skrypty,
programy, skanują po prostu, robią rekonesans.
Zastanawiam się, jak to się w ogóle stało, że ty zacząłeś się tym zajmować?
Jak się zostaje hakerem? Skąd wziąłeś wiedzę?
Gdzie się tego wszystkiego nauczyłeś?
Motywacją była głównie chęć zemsty
na po prostu miałem swój projekt sieciowy,
miałem swój projekt w sieci i
konkurencja grała ze mną w nieczysty sposób, przez co go unieszkodliwiła,
bo chciałem się po prostu na nich zemścić - ja nie będę miał, to nie będzie miał nikt,
no i zacząłem się edukować z tego zakresu.
Początkowo to były bardzo proste rzeczy typu
pobranie jakiegoś mega gotowego programu z jakiegoś forum,
często go pobierałem sam z wirusem, więc miałem wirusa,
nie korzystając z tego programu, ale program działał, więc mogłem się coś tam uczyć na zasadzie
o zasadzie działania danych systemów.
Były to programy uruchamiane głównie spod Windowsa, to nie było nic profesjonalnego, to były moje początki.
Z biegiem widziałem pierwsze sukcesy,
no i zacząłem już zaglądać coraz głębiej,
w niedalekiej przyszłości postawiłem
własny bot-net, jest to sieć
komputerów zombi, czyli komputerów podległych mi
też na zasadzie działania wirusa,
dalsza część to już zostałem przygarnięty do operacji OP Paris, związanej z atakami terrorystycznymi na terenie Francji,
tam zostałem przyłączony do grupy, poznałem bardziej doświadczone osoby ode mnie
i razem z nimi działaliśmy, żeby zlokalizować jak największą liczbę
ilość potencjalnych terrorystów na terenie Francji, wykorzystując po prostu metody białego wywiadu. Biały wywiad to
legalna forma hakowania, korzysta się po prostu z tego, co jest dostępne w sieci,
co ktoś zostawił po sobie, bo jak wiadomo w sieci nic nie znika.
To była taka duża akcja, w której miałeś okazję uczestniczyć?
To doświadczenie dało ci dużo nowej wiedzy?
Z zakresu białego wywiadu i rekonesansu dało mi to bardzo dużo wiedzy,
dało mi to również poznanie tych osób, dostęp do
specjalnego forum, na które dość ciężko jest się dostać,
jest to Zero-Day w Darknecie,
to już jest ogromna baza wiedzy, ogromna baza ludzi z całego świata,
czy ogromna? No jest sporo użytkowników na tym forum
i to już są takie osoby bardziej doświadczone, które same piszą skrypty, same piszą programy.
No i tam już się uczyłem z nimi. W zasadzie to oni mnie szkolili,
też miałem tam jakieś swoje sukcesy, pomagałem im, więc dawali mi dostęp do większej zawartości wiedzy,
Miałem takiego swojego mentora z Francji właśnie, on mnie już głębiej wprowadził w ten zakres.
W jaki sposób przeciętny użytkownik internetu może zabezpieczyć się przed atakami?
Jakich błędów nie popełniać?
Najgorszym błędem jeśli mamy adres e-mail i swoje hasło
no to najgorszym błędem jest używanie cały czas tego samego hasła we wszystkich serwisach.
Bo jeżeli tam dojdzie do wycieku bazy danych, jakiś haker sprawdzi
sprawdzi - porówna e-mail z hasłem i mu pasuje, no to już ma dostęp.
Czyli absolutnie fundamentalna zasada - różne hasła w różnych miejscach.
To podstawa. Co jeszcze?
Jeżeli w ogóle gdzieś się rejestrujemy i to jest poważniejsza rzecz, mamy zamiar tam działać jakoś finansowo,
wpłacać czy wypłacać pieniądze lub kupować cokolwiek, to trzeba popatrzeć, żeby strona miała certyfikat SSL.
W jaki sposób możemy to zauważyć, jak to sprawdzić?
Na górze paska przeglądarki jest taka kłódeczka,
warto, żeby ona była zamknięta. Warto też podejrzeć jaki to jest certyfikat,
poczytać o nim, skopiować szyfrowanie tego certyfikatu i poczytać o nim na internecie czy ono jest rentowne, czy bardzo łatwo to rozszyfrować.
To ma na celu - w zasadzie zabezpieczasz połączenie z danym serwisem,
bo są też wykonywane ataki człowieka po środku,
czyli podsłuchiwanie połączeń użytkowników z danym serwerem,
no i jeżeli on będzie podsłuchiwał serwer pusty, bez tego certyfikatu,
no to będzie widział wszystko czarno na białym, logowanie, jeśli się logujesz to wpisujesz hasło, login,
no to to jest wysyłane pakietem, czystym tekstem, a jeżeli jest szyfrowanie założone, czyli ma ten certyfikat, to jest wysyłane długim ciągiem znaków,
niezrozumiałym dla człowieka, trzeba go po prostu rozszyfrować,
A jeżeli certyfikat jest bardzo, bardzo porządny po prostu,
no to wtedy rozszyfrowanie może zająć bardzo długo, nie opłaca się z reguły,
rozszyfrowanie takiego naprawdę porządnego certyfikatu to
może zająć nawet 15 lat przy dużej pomocy obliczeniowej.
Czyli jeśli widzimy, że nie ma zamkniętej kłódki - uciekamy?
Musimy wtedy ocenić ryzyko
co my tam będziemy robić?
Jeżeli ocenimy ryzyko no niewłaściwie, czyli wejdziemy na taką stronę, podamy tam
swoją kartę kredytową, dane do niej, no to może być niespodzianka.
A co z hot-spotami?
Czy powinniśmy, czy możemy z nich korzystać, czy jednak radziłbyś unikać otwartych sieci?
Otwartych sieci i nawet zamkniętych bym radził unikać, ponieważ
wystarczy, że będzie tam jakaś osoba,
która chce zdziałać coś nielegalnego w tej sieci, dostać się do jakichś urządzeń,
to ona ma w zasadzie,
mają ludzie zestaw oprogramowania, też takowy posiadam, nawet posiadam specjalny telefon,
zmodyfikowany pod atakowanie w takich hot-spotach, żeby móc atakować mobilnie,
no i mogę wykorzystać wtedy z takich popularniejszych ?, jest to baza
jest to baza exploitów na różne telefony,
czyli tych programów, o których wspominałem wcześniej,
wykorzystanie skończy się z tym, że w większości przypadków uda się otrzymać dostęp,
można też wtedy będąc kimś takim w hot-spocie
wykonać atak człowieka po środku,
głównie wtedy się go wykonuje, tak jak wspomniałem wcześniej, jak jakaś strona nie ma certyfikatu, to od razu wszystko widzimy.
Co jeszcze?
Myślę, że warto powiedzieć o ciągu znaków MD5# się nazywa na stronach, na których pobieramy jakieś programy,
on jest tam dany dla bezpieczeństwa.
Większość osób nawet nie wie, po co on tam jest,
dużo osób się mnie pytało: po co to?
Na co ten kod tam?
Jak go znaleźć? Gdzie on jest?
Zazwyczaj na stronie, gdzie coś pobieramy on jest gdzieś na dole, gdzieś z boku,
różne ulokowanie ma, zawsze pisze MD5, #, jest dwukropek i jest taki długi ciąg znaków,
to jest szyfr, który generuje plik, który ty chcesz pobrać.
Jeżeli ty pobierzesz plik, to możesz też skorzystać z jakiegoś darmowego programu,
do weryfikacji tego pliku,
dołączasz ten plik, otwierasz program, wskazujesz ten plik i on ci też generuje taki kod.
Jeżeli ten kod jest taki sam, jak na tej stronie...
To znaczy, że jest bezpieczny?
To znaczy, że jest to aplikacja, którą Ty chcesz pobrać.
A jeśli jest inny?
A jeśli jest inny, tzn., że ktoś mógłby tam maczać palce, włamać się do całego hostingu np.,
i podstawić tam jakiś inny swój plik z wirusem.
Bo wystarczy zmiana jednego bajtu w pliku i ten kod jest zupełnie inny.
No podstawą jest również instalacja antywirusa, on co prawda
warto, żeby to był jakiś antywirus płatny, bo darmowe nie chronią nic, one w zasadzie obciążają tylko komputer,
warto, żeby to był płatny antywirus, no i jakiś renomowany, on nie zabezpieczy przed wszystkim,
bo jeżeli ktoś zaszyfruje wirusa, no to go nie zauważy, bo uzna go, że nie ma go w swojej bazie wirusów,
no ale jest to jakaś podstawa, która zawsze w jakiejś części ochroni,
bardzo ważnym aspektem jest też aktualizacja oprogramowania.
No w zasadzie najważniejszym jest system operacyjny,
który jest ogromnym kodem źródłowym.
Tam pracuje masa osób przy tworzeniu takiego systemu operacyjnego,
no i oni mają prawo się pomylić,
oni mają się po prostu prawo pomylić.
Jednak jakaś luka istnieje w nim,
no i hakerzy, szczególnie działający za granicą, działają pozytywnie,
na takiej zasadzie, że korzystają z portalów barbanti, to są portale
gdzie otrzymuje się nagrody za znalezienie jakiegoś błędu w korporacji.
Są takie miejsca nawet, tak?
Są takie miejsca szczególnie dla tych bogatszych korporacji,
w Polsce to raczej jest niepopularne,
no i wtedy haker wykrywa podatność,
zgłasza to do osoby wystawiającej ogłoszenie, że szuka podatności,
w swoim systemie, otrzymuje za to wynagrodzenie
a dostawca tego oprogramowania łata tą dziurę w swoim oprogramowaniu.
No na pewno takim aspektem ważnym jest też posiadanie oprogramowania do tworzenia piaskownicy...
To już chyba bardziej skomplikowane?
Na czym to polega?
To w zasadzie nic trudnego, pobieramy jakiś program do tworzenia piaskownicy, instalujemy go u siebie...
Czym jest piaskownica?
Jest to taki program, który przy otwarciu danego pliku tworzy osobną przestrzeń na dysku komputera
i w jego pamięci również
no i jeżeli dzięki temu tam będzie wirus,
a większość wirusów właściwie nie ma zabezpieczenia przed tymi piaskownicami,
no to on nie przedostanie się na resztę komputera,
wystarczy, że zamkniemy tę aplikację,
tak to wygląda dla użytkownika, to wszystko znika i nigdy nie istniało.
Dziękuję ci za rozmowę, mam nadzieję, że dla wielu będzie nie tylko ciekawa, ale i pożyteczna.
