Ako sa hackuje moderne?

Pod pojmom hacker sme si vminulosti predstavili niekoho, kto sedí vslabo osvetlenej miestnosti azadáva do počítača množstvo príkazov vrýchlej postupnosti. Hackovanie bolo kedysi určené iba pre tých zručnejších používateľov, ktorí dokázali spočítačmi „priamo komunikovať“. Dnešné hackovanie sa však od tejto predstavy značne odlišuje – hackovať môže každý, potrebuje nato iba vhodné vybavenie, ktoré je voľne dostupné na internete.

Na úvod krátke upozornenie. Tento článok nie je zameraný na to, aby sme vás naučili hackovať. Ide skôr oprehľadový článok, ktorý vás oboznámi srizikami azároveň aj ukáže, včom moderné hackovanie spočíva – vprincípe. Samozrejme, ak vás táto téma zaujme, na internete sa nachádza množstvo informácií otom, ako zlepšiť svoje hackerské schopnosti. Omodernom hackovaní sme sa rozprávali s „etickým hackerom“ Waynom Burkom, ktorý túto tému prezentoval vIT školiacom stredisku GOPAS.

Etický hacker označuje používateľa, ktorý má povolenie hackovať systémy rôznych spoločností vsnahe nájsť nedostatky vich zabezpečení. Ide obežné povolanie, takýto hacker má poukázať na bezpečnostné diery anavrhnúť riešenie, ako ich odstrániť. Nástroje na hackovanie, ktoré vám včlánku predstavíme, používajú etickí hackeri vrámci svojej práce, ale často ich zneužívajú aj ostatní hackeri na nekalú činnosť.

Príklad moderného hackovania – graficky neestetické, ale zhľadiska ovládania maximálne jednoduché

Prejdime však khackovaniu. To sa za posledných pár rokov dostalo zprogramátorskej do používateľskej roviny. Dnešné hackovanie spočíva vpoužívaní nástrojov, ktoré sú voľne dostupné na internete. Tie sú pritom navrhnuté tak, aby ich mohol používať ktokoľvek. Vo väčšine prípadov stačí stláčať klávesy číslic, ktoré zodpovedajú jednotlivým možnostiam.

„Chcete vytvoriť falošnú verziu internetovej stránky, ktorú použijete na oklamanie používateľov pripojených do verejného Wi-Fi hotspotu? Stlačte kláves 3. Chcete vykonať útok pomocou falošných e-mailov? Stlačte kláves 5. Chcete začať útok DDoS? Stlačte kláves 2. Vprincípe takéto náročné je dnešné hackovanie,“ vysvetľuje Burke. Podstata úspešnosti sa presúva zprogramátorskej roviny do roviny logického myslenia. Ako oklamať obeť?

Na druhej strane treba podotknúť, že používateľ by mal poznať nástroje, sktorými pracuje, avedieť, ktorú možnosť na aký účel použiť. Nedá sa teda povedať, že hackovať môže aj úplný začiatočník sminimálnymi znalosťami. Vniektorých prípadoch sa nevyhnete ani jednoduchým používateľským príkazom, manuály poskytnú potrebnú pomoc.

Čím hackovať?

Na internete môžete nájsť distribúcie operačného systému Linux, ktoré sú určené na hackovanie. Existujú distribúcie, ktoré ponúkajú aj 350 hackovacích nástrojov, všetky pekne integrované do jedného balenia. Predstavíme vám tie najpopulárnejšie.

BackTrack je najobľúbenejšia distribúcia Linuxu, ktorá sa využíva na hackovanie. Operačný systém možno nainštalovať, prípadne spúšťať ztzv. Live CD alebo Live USB disku. Vtýchto prípadoch nie je potrebná inštalácia. Zďalších distribúcii spomeňme NodeZero, BackBox Linux alebo Blackbuntu. BackTrack ponúka množstvo nástrojov, ktoré umožňujú získavať informácie, zneužívať bezpečnostné diery, vykonávať reverzné inžinierstvo.

Pomocou týchto nástrojov môžete okrem iného prelomiť zabezpečenie WEP vprípade siete Wi-Fi, vytvoriť falošnú verziu webovej stránky, pomocou ktorej sa dajú ukradnúť aj prihlasovacie údaje, alebo uskutočniť útok pomocou falošných e-mailov. BackTrack takisto ponúka balík utilít pod názvom Social-Engineer Toolkit.

Ide ojedno znajpoužívanejších riešení, ktoré využívajú dnešní hackeri. Social-Engineer Toolkit sa zároveň využíva aj na edukačné účely, apokiaľ chcete hackovať svoj počítač ziného počítača, začnite právetýmto nástrojom. Na internete nájdete viacero návodov, ako na to.

Hackovacích balíkov, ktoré ponúkajú súbor rôznych nástrojov, nájdete na internete množstvo, Social-Engineer Toolkit patrí medzi tie najobľúbenejšie

Spomenúť musíme aj novinku Kali Linux. Túto distribúciu vytvorili tvorcovia BackTracku aide momentálne onajrobustnejší hackovací systém, ktorý si môžete stiahnuť. Kali Linux obsahuje viac ako 300 nástrojov aje kompatibilný aj spočítačmi ARM Raspberry Pi aODROID, ktoré spomenieme neskôr.

Chcete začať shackovaním? Stiahnite si distribúciu Linuxu, systém Kali Linux.

Burke vrámci svojej prezentácie vytvoril pomocou Social-Engineer Toolkitu tzv. Spear Phishing útok. Ten rozpošle na zadané e-mailové adresy podvodné správy, ktoré majú útočníkovi zabezpečiť vzdialený prístup kpočítaču alebo ukradnúť informácie, napr. heslo alebo číslo kreditnej karty.

Ďalší skript, utilita theharvester vám umožní získať informácie ae-mailové adresy podľa vašej potreby. Stačí zadať doménu avyhľadávací engine, výsledkom je zoznam e-mailov. Ďalší nástroj FOCA Free dokáže získať informácie zmetadát dokumentov, ktoré sa nachádzajú na webových stránkach. Takýmto spôsobom môžete vniektorých prípadoch napr. zistiť, aké operačné systémy sa využívajú vspoločnosti, na ktorú chcete vykonať hackerský útok.

Potrebujete nájsť e-mailové adresy konkrétnej domény? Pomôže vám jednoduchý skript, ktorý si stiahnete zinternetu.

Hackovanie s„malinou“ aj telefónom

Okrem softvéru je vniektorých prípadoch potrebný aj hardvér. Ak napríklad chcete hackovať prístupový bod Wi-Fi sozabezpečením WEP, okrem softvérového nástroja budete potrebovať aj špeciálnu kartu Wi-Fi. Tú si môžete objednať napr. zo stránky dx.com.

Miniatúrny počítač môžete premeniť nahackovaciu škatuľku

Predstavíme vám aj samostatné zariadenia, ktorými sa dá hackovať. Čoraz populárnejší je lacný minipočítač Raspberry Pi, ktorý vniektorých prípadoch možno kúpiť vmodifikovanej verzii spredinštalovanými nástrojmi na hackovanie. Prípadne si vystačíte sbežnou distribúciou, ktorú kúpite aj na Slovensku za 33 EUR, aviac ako 200 nástrojov si stiahnete bezplatne zo stránky pwnpi.net. Obľúbený je aj výkonnejší počítač ODROID-X2. Ten si môžete objednať cez internet za 135 USD vrátane poštovného. Zariadenie sa vám zmestí do ruky, je vybavené štvorjadrovým procesorom ARM aide oideálnu platformu, ktorá sa dá využiť na hackovanie. Oba počítače sú kompatibilné aj sdistribúciou Kali Linux.

Na trhu sú kdispozícii aj špeciálne hackovacie kľúče USB. Zariadenie USB Rubber Ducky stačí pripojiť kpočítaču avyužiť predinštalovaný softvér. Tvorcovia ponúkajú aj prehľadné diskusné fóra avideotutoriály, kde nájdete potrebné úvodné informácie. Zariadenie stojí 40, resp. 48 USD.

Hackovanie pomocou kľúča USB? Jednoduché adostupné...

Hackovať môžete aj telefónom sAndroidom. Spomeňme napr. aplikáciu FaceNiff. Tá vám umožní prihlásenie na facebookový účet iného používateľa, ktorý je prihlásený do svojho účtu a pripojený vrovnakej bezdrôtovej sieti ako vy. Inak povedané, ak ste vautobuse pripojení do verejného Wi-Fi hotspotu aprehliadate si Facebook, niekto iný vás môže takýmto spôsobom sledovať. Možnosti Androidu sa však, samozrejme, neobmedzujú iba na hackovanie Facebooku. Pomocou aplikácie dSploit môžete hackovať siete Wi-Fi avyužívať ďalšie zaujímavé nástroje, ktoré aplikácia ponúka.

Verdikt PC REVUE

„Ak chcete dnes hackovať, stačí vám lacný telefón anástroje, ktoré sú kdispozícii zadarmo,“ zhrnul zložitosť moderného hackovania Wayne Burke. Dnešné hackovanie môžeme definovať aj nasledujúcimi slovami: „Rozmýšľajte, buďte inovatívni askúšajte veci.“ Nástrojov je kdispozícii veľa – časť znich, tie najznámejšie, sme vám vrámci tohto článku predstavili. Naším cieľom nebolo naučiť vás hackovať, ukázali sme, že potrebné nástroje sú voľne kdispozícii pre každého. Softvér si stiahnete zadarmo apríslušnú hardvérovú výbavu dokúpite za pár eur.

Bežným telefónom dnes môžete hackovať siete Wi-Fi alebo Facebook

Zároveň je vhodné poznať, aké riziká hackovanie prináša. Táto aktivita sa vminulosti, aleaj teraz najviac spomína vsúvislosti sveľkými útokmi na známe spoločnosti. Hackeri však často útočia aj na bežných používateľov. Samozrejme, vtýchto prípadoch ide oiný spôsob hackovania. Keďže nástroje sú voľne ajednoducho dostupné, útočníci často „hackujú“ iba zo zábavy alebo vrámci trávenia voľného času.

Aké sú najčastejšie hackerské útoky na webové stránky?

Existuje množstvo hackerských útokov, ktoré sa líšia vzávislosti od cieľa. Populárne sú útoky na webové stránky, ktorých cieľom je stránku znefunkčniť alebo získať nad ňou kontrolu. Vprípade takýchto útokov sú najpopulárnejšie nasledujúce metódy:

Cross-Site Scripting – metóda narušenia webových stránok využitím bezpečnostných chýb v skriptoch, ako sú napr. neošetrené vstupy. Útočník vďaka týmto bezpečnostným dieram dokáže do stránok vložiť vlastný javascriptový kód, čo môže využiť na poškodenie vzhľadu stránky, jej znefunkčnenie alebo získanie citlivých údajov návštevníkov stránky.

SQL Injection – ďalšia metóda, ktorá využíva bezpečnostné diery webovej aplikácie. Takéto útoky sa najčastejšie zameriavajú na ukradnutie databázy scitlivými údajmi oregistrovaných používateľoch.

Remote File Inclusion – útočník uploaduje na server súbor so škodlivým kódom, pomocou ktorého chce získať prístup kstránke.

Local File Inclusion – útočník sa pokúša zobraziť súbory vadresári na serveri, chce sa prepracovať až kpoužívateľským menám.

Denial of Service Attack (DoS) – jeden znajpopulárnejších útokov, sktorými sa dnes stretávame. Jeho cieľom je preťažiť cieľový server avyradiť ho tak zprevádzky spoločne swebovou stránkou. Vzávislosti od kapacity servera je na takýto útok potrebných od niekoľkých až po stovky/tisícky počítačov.

Brute-Force Attack – útočník sa snaží prelomiť heslo „hrubou silou“. Nevýhoda tohto útoku je časová náročnosť, pretože hackovací nástroj postupne skúša kombináciu všetkých znakov. No vporovnaní sminulosťou je dnes táto metóda aj vďaka technologickým inováciám prístupnejšia – pri lámaní hesiel môžete totiž využiť aj výpočtový výkon grafických kariet. Tejto téme sme sa podrobne venovali vPC REVUE č. 4/2013.