Administratorzy dużych sieci są z pewnością wyczuleni na różnego rodzaju nowe programy instalowane w systemie. Ale czy ma sens szukanie konia trojańskiego w zwykłej kilkukilobajtowej gierce? Może i ma, ale jest to znikome zagrożenie. Poszukajmy koni trojańskich i backdorów w aktualnie uruchomionych procesach.
Jak jednak ustalić, które procesy są: potencjalnie niebezpieczne?
Pomoże Ci w tym poniższe zestawienie cech, jakie wykazują trojany i backdoory.
- wykorzystują znaczną część zasobów.naszego komputera,
- posiadają dziwną nazwę lub uruchamiane są z podejrzanego folderu,
- nie są widoczne na liście uruchomionych programów,
- startują przy każdym uruchomieniu komputera,
- operują na portach komputera,
- nie są standardowo dostarczone z systemem lub nie są produktem Microsoftu lub nie należą do oprogramowania oferowanego producenta twojego sprzętu.
Niestety, podane powyżej cechy nie zawsze się sprawdzają. Istnieją przecież dobrze napisane trojany, które działają niemal niezauważalnie dla użytkownika i nie spowalniają pracy systemu. Jak w takim razie wykryć, które aplikacje mogą nam zagrażać?
Oto lista programów standardowo uruchamianych podczas każdego startu Windowsa. Programy te mogą być różne dla każdej wersji, dlatego podaję tylko te, które są zawsze obecne:
- Explorer.exe,
- Kernel32.dll,
- Systray.exe.
Te aplikacje są zawsze uruchamiane. Bez pierwszych dwóch system operacyjny Windows w ogóle nie wystartuje natomiast startu trzeciej aplikacji nie da się wyłączyć.
Należy zwrócić jednak uwagę na to, że często zdarza się tak, że aplikacją, która zabiera dużą ilość zasobów systemowych oraz działa w ukryciu, jest monitor antywirusowy. Tego programu nie należy w żadnym wypadku wyłączać.
Nie zawsze nasz komputer będzie celem ataku. Może zdarzyć się, że będziemy tylko przystankiem dla hakera. Hakerzy, aby utrudnić wykrycie ich adresu IP, łączą się przez kilka serwerów, a nie bezpośrednio z serwerem docelowym. Należy uważać na takie sztuczki. Mogą one doprowadzić do komplikacji prawnych. Jeśli haker włamie się do jakiegoś ważnego komputera z naszego systemu, to możemy mieć przez to nieprzyjemności, bo to przecież nasz adres IP zostanie w dziennikach zdarzeń systemowych serwera. Tego typu wykorzystanie komputera przez hakera wymaga połączenia z komputerem, co oznacza, że haker musiałby się najpierw do niego włamać. Tak jednak nie jest! Użytkownicy często instalują programy typu WinGate, które pozwalają na swobodny dostęp do komputera jako bramki. Dzięki takim programom hakerzy i krakerzy mogą połączyć się z naszym systemem najczęściej bez podawania żadnego hasła. Program ten jest teoretycznie niegroźny dla nas, ale mogą na nim ucierpieć inne serwery, a wtedy możemy mieć kłopoty. Odradzam korzystania z programu WinGate i podobnych aplikacji.
Kolejnym błędem, jaki popełniają administratorzy, jest uruchomienie usługi tzw. zdalnej administracji. Umożliwia ona zdalne przeprowadzanie wszelkich operacji na plikach znajdujących się na dysku komputera z Windows NT. Z takiej luki może skorzystać każdy, kto posiada dowolną wersję systemu Windows. Możliwe jest również wniknięcie do systemu z platformy Uniksa lub Linuksa. W tym celu wykorzystywany jest tzw. klient samby.
Niektórzy administratorzy boją się udostępnić na swoim serwerze folder z możliwością zapisu plików. Myślą, że haker może zapisać tam wirusa, a następnie go uruchomić. Taka technika jest prawie niewykonalna. Programy uruchamiane przez użytkownika z sieci LAN są wykonywane na jego własnym komputerze, a nie na serwerze. Prawdą jest jednak, że można wykorzystać folder z opcjami zapisu, aby zaatakować serwer. Jeśli np. administrator nie ustawił przydziału dyskowego (tzw. quota), to można doprowadzić do zapchania dysku twardego przy użyciu dowolnego, odpowiednio dużego pliku. Jeśli rozmiar pamięci wirtualnej na atakowanym w ten sposób komputerze jest ustawiany dynamicznie, a my zajmiemy całe miejsce na dysku, może okazać się, że systemowi skończą się zasoby i nastąpi samoczynny reset, który w konsekwencji unieruchomi siec.
Istnieje jeszcze jeden sposób ataku, często wykorzystywany przez hakerów, gdy system udostępnia folder z możliwością zapisu. Atak ten polega na skopiowaniu do udostępnionego folderu dowolnego programu, który chcemy uruchomić, a następnie na wysłaniu odpowiednio spreparowanego e-maila automatycznie uruchamiającego ukrytą przez nas na dysku aplikację. Niektórzy pomyślą, że można by ukryć tą aplikację bezpośrednio w załączniku do listu, a następnie za pomocą odpowiedniego kodu uruchomić ją. Jest to jednak podejrzane. Sposób powszechnie wykorzystywany przez hakerów mniej rzuca się w oczy. Administrator dostaje do skrzynki pocztowej małą przesyłkę (kilka kilobajtów) bez załączników. Wygląda to bardzo wiarygodnie. Za pomocą specjalnych programów można spreparować nadawcę listu, przez co cały atak będzie praktycznie nie do wyśledzenia. Taki list można wysłać także ręcznie z dowolnego serwera udostępniającego usługę sendmail.
Administratorzy dużych sieci są z pewnością wyczuleni na różnego rodzaju nowe programy instalowane w systemie. Ale czy ma sens szukanie konia trojańskiego w zwykłej kilkukilobajtowej gierce? Może i ma, ale jest to znikome zagrożenie. Poszukajmy koni trojańskich i backdorów w aktualnie uruchomionych procesach.
Jak jednak ustalić, które procesy są: potencjalnie niebezpieczne?
Pomoże Ci w tym poniższe zestawienie cech, jakie wykazują trojany i backdoory.
- wykorzystują znaczną część zasobów.naszego komputera,
- posiadają dziwną nazwę lub uruchamiane są z podejrzanego folderu,
- nie są widoczne na liście uruchomionych programów,
- startują przy każdym uruchomieniu komputera,
- operują na portach komputera,
- nie są standardowo dostarczone z systemem lub nie są produktem Microsoftu lub nie należą do oprogramowania oferowanego producenta twojego sprzętu.
Niestety, podane powyżej cechy nie zawsze się sprawdzają. Istnieją przecież dobrze napisane trojany, które działają niemal niezauważalnie dla użytkownika i nie spowalniają pracy systemu. Jak w takim razie wykryć, które aplikacje mogą nam zagrażać?
Oto lista programów standardowo uruchamianych podczas każdego startu Windowsa. Programy te mogą być różne dla każdej wersji, dlatego podaję tylko te, które są zawsze obecne:
- Explorer.exe,
- Kernel32.dll,
- Systray.exe.
Te aplikacje są zawsze uruchamiane. Bez pierwszych dwóch system operacyjny Windows w ogóle nie wystartuje natomiast startu trzeciej aplikacji nie da się wyłączyć.
Należy zwrócić jednak uwagę na to, że często zdarza się tak, że aplikacją, która zabiera dużą ilość zasobów systemowych oraz działa w ukryciu, jest monitor antywirusowy. Tego programu nie należy w żadnym wypadku wyłączać.
Nie zawsze nasz komputer będzie celem ataku. Może zdarzyć się, że będziemy tylko przystankiem dla hakera. Hakerzy, aby utrudnić wykrycie ich adresu IP, łączą się przez kilka serwerów, a nie bezpośrednio z serwerem docelowym. Należy uważać na takie sztuczki. Mogą one doprowadzić do komplikacji prawnych. Jeśli haker włamie się do jakiegoś ważnego komputera z naszego systemu, to możemy mieć przez to nieprzyjemności, bo to przecież nasz adres IP zostanie w dziennikach zdarzeń systemowych serwera. Tego typu wykorzystanie komputera przez hakera wymaga połączenia z komputerem, co oznacza, że haker musiałby się najpierw do niego włamać. Tak jednak nie jest! Użytkownicy często instalują programy typu WinGate, które pozwalają na swobodny dostęp do komputera jako bramki. Dzięki takim programom hakerzy i krakerzy mogą połączyć się z naszym systemem najczęściej bez podawania żadnego hasła. Program ten jest teoretycznie niegroźny dla nas, ale mogą na nim ucierpieć inne serwery, a wtedy możemy mieć kłopoty. Odradzam korzystania z programu WinGate i podobnych aplikacji.
Kolejnym błędem, jaki popełniają administratorzy, jest uruchomienie usługi tzw. zdalnej administracji. Umożliwia ona zdalne przeprowadzanie wszelkich operacji na plikach znajdujących się na dysku komputera z Windows NT. Z takiej luki może skorzystać każdy, kto posiada dowolną wersję systemu Windows. Możliwe jest również wniknięcie do systemu z platformy Uniksa lub Linuksa. W tym celu wykorzystywany jest tzw. klient samby.
Niektórzy administratorzy boją się udostępnić na swoim serwerze folder z możliwością zapisu plików. Myślą, że haker może zapisać tam wirusa, a następnie go uruchomić. Taka technika jest prawie niewykonalna. Programy uruchamiane przez użytkownika z sieci LAN są wykonywane na jego własnym komputerze, a nie na serwerze. Prawdą jest jednak, że można wykorzystać folder z opcjami zapisu, aby zaatakować serwer. Jeśli np. administrator nie ustawił przydziału dyskowego (tzw. quota), to można doprowadzić do zapchania dysku twardego przy użyciu dowolnego, odpowiednio dużego pliku. Jeśli rozmiar pamięci wirtualnej na atakowanym w ten sposób komputerze jest ustawiany dynamicznie, a my zajmiemy całe miejsce na dysku, może okazać się, że systemowi skończą się zasoby i nastąpi samoczynny reset, który w konsekwencji unieruchomi siec.
Istnieje jeszcze jeden sposób ataku, często wykorzystywany przez hakerów, gdy system udostępnia folder z możliwością zapisu. Atak ten polega na skopiowaniu do udostępnionego folderu dowolnego programu, który chcemy uruchomić, a następnie na wysłaniu odpowiednio spreparowanego e-maila automatycznie uruchamiającego ukrytą przez nas na dysku aplikację. Niektórzy pomyślą, że można by ukryć tą aplikację bezpośrednio w załączniku do listu, a następnie za pomocą odpowiedniego kodu uruchomić ją. Jest to jednak podejrzane. Sposób powszechnie wykorzystywany przez hakerów mniej rzuca się w oczy. Administrator dostaje do skrzynki pocztowej małą przesyłkę (kilka kilobajtów) bez załączników. Wygląda to bardzo wiarygodnie. Za pomocą specjalnych programów można spreparować nadawcę listu, przez co cały atak będzie praktycznie nie do wyśledzenia. Taki list można wysłać także ręcznie z dowolnego serwera udostępniającego usługę sendmail.