AbSSoLuT
Antar Aktiv
Me rastisi te beja nje vizit te shpejt neper keto forumet “hackers” thjesht per te pare menyren , konceptimin dhe interpretimin qe i japin ketyre fjaleve qe sot keqinterpretohen dhe per mendimin tim eshte fjala qe abuzohet me shume sot ne boten IT si dhe ne boten underground. Eshte fjale qe abuzohet shume sepse kam pare tja atribuojn vetes shume script kiddiez, crackers, (sidomos script kiddiez) nderkohe qe kane shume pak njohuri per kuptimin real te asaj fjale. Keqkuptimi i pare eshte qe “Hackerat penetrojn dhe demtojn” nderkohe qe nuk eshte aspak ashtu. Si po te marrim whitehat, si po te marrim grayhat dhe si po te marrim grupin blackhat. Nuk eshte ashtu sepse nuk eshte ne stilin e tyre, te demtosh. Nuk dua ti jap nje shpjegim fjales hacker pasi nuk do te doja qe te bija dhe une ne nje nga gabimet dhe abuzimet me kete fjale, keshtu qe po japim nje intro te menyres se si punon nje i tille. Po japim etapat e nje sulmi nga nje hacker
1.Footprinting\Fingerprinting.
Identifikimi i sherbimeve qe jane te instaluar (perfshire versionin) ne “target” portat e hapura, kapja e lloit te sistemit operativ qe eshte instaluar, whois, DNS-t, dhe nje tracerout, si dhe reverse ip (per te pare hostet e tjera qe jane te pranishme ne nje server te caktuar, kjo per arsye sepse nese ne nivel webaplikativ nuk eshte i penetrueshem nje host, tjetri me siguri qe duhet ta kete nje security hole) Tolsat qe perdoren per kete faze mund te jene : p0f (te mos mendoj njeri per nmap pasi eshte shume i zhurmshem) cheops-ng, dhe zakonisht nje tool i programuar vet, qe mund te dergoj max 1\2 paketa, pra passive fingerprinting. Ne kete faze qe perben rreth 70% te punes kur behet fjale per nje hacker , nga ana e tij behet edhe shume kujdes per kontrollimin e komponenteve te siguris te instaluar ne target dhe i jepet shume rendesi logeve, dhe sistemeve trackign, edhe pse sulmi zakonisht fillohet nga servera qe perdoren si tranpoline.
2. Enumeration
Kjo eshte etapa ku identifikohen akontet e vlefshme dhe akontet me me shume “fuqi” (root) ne sherbimet dhe ne hostet apo kudo ku eshte drejtuar ky sulm. Identifikimi i tyre eshte shume delikat pasi per ti identifikuar kerkohet pak “zhurme” dhe zhumra nuk eshte rasti i nje hackeri, keshtu qe ai preferon te studjoj mire sherbimet dhe pastaj te ndertoj ndonej tool te personalizuar per sherbimin qe ka zgjedhur per te identifikuar akontet, dhe programon diçka si nat, dumpsec, sid enum, legion etj.
3.Fitimi i aksesit
Nese prisni ndonje tool per kete , nuk besoj se nje hacker perdor tools, pasi vulnerabilitetet nuk qendrojn per here ashtu, por dalin patch , dalin rregullime keshtu qe ne keto raste perdoren exploits, shume here te ndertuar edhe nga vet hackeri per te penetruar diku, dhe varet nga shijet nese dikush sulmon nje akont me privilegje administratori apo direkt tek root.. Si do qe te jete, perdoret edhe privilege escalation per te arritur nga nje akont me leje te kufizuara tek nje akont me fuqi te plota.
4. Pilfering
Ketu kemi te bejm me fitimin e aksesit tek sherbime te besuara dhe thelbesore per sistemin, kjo eshte nje etape meditimi per sherbimet me te rendesishme, failet e konfigurimit, nje pamje me nga afer e ambjentit, akonteve, sherbimeve, pasi tani po e shikojm si nje user i brendshem te gjith kete keshtu qe eshte shume me rezultative. Nga enumeration deri tek pilfering perben rreth 10% te kohes qe duhet te shpenzoj nje hacker per te penetruar nje sistem, hiq ketu rastet kur ai vet duhet te analizoj per vulnerabilitetet dhe duhet te gjej bug-un dhe te ndertoj exploitin per te penetruar. Ne keto raste shperndarja e kohes ndryshon dhe i duhet me shume kohe per te gjetur vulnerabilitetin, pasi per te ndertuar exploitin, dihet qe nje hacker eshte dhe nje programator shume i zoti.
5.Mbulimi i gjurmeve
Kjo eshte nga etapat ku hackeri kushton me shume vemendje dhe i jep me shume rendesi pasi ketu vihet ne rrezik dhe identiteti dhe e ardhmja e tij, keshtu qe fshin te gjitha gjurmet duke filluar qe nga target deri tek te gjitha ato qe te lidhin me targetin duke perfunduar me pastrimin e kompiuterit \serverit te tij. Kur kane te bejn me nje “big target” atehere shume preferojn edhe depistazhin duke krijuar penetrime fallco, apo duke modifikuar loget, duke infektuar viktimen me ndonje virus qe te gjith te mendojn se shkaktar per loget e padeshiruara apo per ndonje humbje te dhenash ka qene virusi dhe jo “dikushi”.
5.Mbajtja e aksesit
Ketu ndryshon nga white hat tek black hat dhe eshte me e zhvilluar si teknik tek blackhat pasi whitehat kerkojn me shume te testojn, dhe nuk u intereson shume qe te mbajne aksesin ne nje target te caktuar. Keshtu qe per mbajtjen e aksesit perdoret ndonje rootkit\ ata qe jane akoma me profesionist mund te preferojn bootkit, dhe mund te hyjn sa here te duan ne sistemin e penetruar. Nder te tjerash Nje hacker eshte shume i qete, nuk eshte euforik dhe nuk emocionohet per ato qe po ben, eshte gjakftoht, deri diku i akullt ndaj veprimeve qe kryen, nuk i thote askujt per ato qe ben, dhe eviton gjithmon qe te vihet re. Kjo do te thote qe nuk publikon “punimet e tij” ne publik. Eshte si te themi edhe nje manjak anonimiteti, dhe njeh shume mire kriptografine. Ka njohuri te pergjithshme, dhe te thella, si ne programim, sisteme operative, arkitekture, network etj.
Kalojm tek metodat e atyre qe quhen script kiddiez
E para gje qe duhet thene per ta eshte qe jane shume te shkujdesur dhe ky eshte nje nga kualitetet e tyre, dhe jane aq JO anonim saqe len edhe firmen e tyre tek zhgarravinat qe bejn.
Motivacionet e tyre jane nga me te ndryshmet, mund te jene politike, mund te jene sociale, mund te jene per defrim te thjesht , dhe dallohen ne euforin e tyre tipike per femij te nje moshe relativisht te vogel apo adoleshent.
Nje rast tipik i asaj qe thashe me siper eshte nje deface qe pash nga nje 16 vjeçar ne nje nga websitet e microsoft.com dhe ne firmen e tij kishte lene dhe kontaktin i cili ishte @hotmail.com :S
Si mendoni tani a nuk mund te hy microsoft ne serverat e tij te postes elektronike dhe te gjej se kush eshte ky tipi qe ka bere sulmin?
Sigurisht qe po, por pakujdesia e tyre eshte vertet feminore.
Metoda e tyre:
1.Kerkimi i nje exploiti
Ndryshe nga hackerat ata kerkojn ne fillim nje exploit te gatshem dhe funksional (pasi editimi eshte diçka e panjohur per ta) mundesisht exploit i drejtuar web aplikacioneve dhe jo sherbimeve te ndryshme siç ndodh ne rastin e nje hackeri.
2.Kerkimi i viktimes
E dyta eshte kerkimi i viktimes duke perdorur motorret e kerkimit dhe zakonisht perdorin google dork si metod kerkimi.
3.Deface
Edhe kjo eshte shenje tipike e tyre, pra DEFACE, shperfytyrim i websiteve duke lene firmen e tyre, thenje kercenuese , perbuzese etj. Ata prishin ç’do te dhene, dhe shkaterrojn databazat, pra shkaterrojn me sa te kene mundesi.
4.Backdooring
Ne rastet e tyre me te avancuara ata preferojn te len nje backdoor ne webet e sulmuara, dhe ky backdoor ashtu siç pritet eshte diçka e koduar ne php, dhe jane backdoor tipik si c99, r57, c100 etj..
Normalisht qe eshte teme goxha e gjate dhe kam lene shume gjera pa permendur, keshtu qe gjithsecili pas ketij leximi di ta dalloj te pakten se kush jane script kiddiez.
Per njohurit e tyre, duhet te themi se jane shume te cekta, persa i perket atyre programuese, nuk e kalojn php-n dhe javascriptin, pra sfuten tek niveli i ulet (assembly) apo gjuhe te kompiluara (java, C, C++) ata qe kane pak me shume eksperienc ne kete fush mund te studjojn edhe perl apo edhe autoit.
Mund te gjehen shume thejsht, dhe jane shumica mbizoteruese e atyre qe perhapin dizinformacionin duke i lene qe masa ne mungese informacionesh te keqkuptoj se ç’fare eshte nje hacker dhe ç’fare eshte nje skript kiddie.
Ne realitet shumica prej atyre qe mund te quhen “hacker” sot nuk kane kohe te ndalojn tek keto vogelsira pasi puna e tyre si CSO (Chief security officer) apo si specialist sigurie nuk u jep kohen e duhur per tu marr me keto gjera.
http://albanianwizard.org/2009/01/hackers-ky-keqkuptim-i-madh/
1.Footprinting\Fingerprinting.
Identifikimi i sherbimeve qe jane te instaluar (perfshire versionin) ne “target” portat e hapura, kapja e lloit te sistemit operativ qe eshte instaluar, whois, DNS-t, dhe nje tracerout, si dhe reverse ip (per te pare hostet e tjera qe jane te pranishme ne nje server te caktuar, kjo per arsye sepse nese ne nivel webaplikativ nuk eshte i penetrueshem nje host, tjetri me siguri qe duhet ta kete nje security hole) Tolsat qe perdoren per kete faze mund te jene : p0f (te mos mendoj njeri per nmap pasi eshte shume i zhurmshem) cheops-ng, dhe zakonisht nje tool i programuar vet, qe mund te dergoj max 1\2 paketa, pra passive fingerprinting. Ne kete faze qe perben rreth 70% te punes kur behet fjale per nje hacker , nga ana e tij behet edhe shume kujdes per kontrollimin e komponenteve te siguris te instaluar ne target dhe i jepet shume rendesi logeve, dhe sistemeve trackign, edhe pse sulmi zakonisht fillohet nga servera qe perdoren si tranpoline.
2. Enumeration
Kjo eshte etapa ku identifikohen akontet e vlefshme dhe akontet me me shume “fuqi” (root) ne sherbimet dhe ne hostet apo kudo ku eshte drejtuar ky sulm. Identifikimi i tyre eshte shume delikat pasi per ti identifikuar kerkohet pak “zhurme” dhe zhumra nuk eshte rasti i nje hackeri, keshtu qe ai preferon te studjoj mire sherbimet dhe pastaj te ndertoj ndonej tool te personalizuar per sherbimin qe ka zgjedhur per te identifikuar akontet, dhe programon diçka si nat, dumpsec, sid enum, legion etj.
3.Fitimi i aksesit
Nese prisni ndonje tool per kete , nuk besoj se nje hacker perdor tools, pasi vulnerabilitetet nuk qendrojn per here ashtu, por dalin patch , dalin rregullime keshtu qe ne keto raste perdoren exploits, shume here te ndertuar edhe nga vet hackeri per te penetruar diku, dhe varet nga shijet nese dikush sulmon nje akont me privilegje administratori apo direkt tek root.. Si do qe te jete, perdoret edhe privilege escalation per te arritur nga nje akont me leje te kufizuara tek nje akont me fuqi te plota.
4. Pilfering
Ketu kemi te bejm me fitimin e aksesit tek sherbime te besuara dhe thelbesore per sistemin, kjo eshte nje etape meditimi per sherbimet me te rendesishme, failet e konfigurimit, nje pamje me nga afer e ambjentit, akonteve, sherbimeve, pasi tani po e shikojm si nje user i brendshem te gjith kete keshtu qe eshte shume me rezultative. Nga enumeration deri tek pilfering perben rreth 10% te kohes qe duhet te shpenzoj nje hacker per te penetruar nje sistem, hiq ketu rastet kur ai vet duhet te analizoj per vulnerabilitetet dhe duhet te gjej bug-un dhe te ndertoj exploitin per te penetruar. Ne keto raste shperndarja e kohes ndryshon dhe i duhet me shume kohe per te gjetur vulnerabilitetin, pasi per te ndertuar exploitin, dihet qe nje hacker eshte dhe nje programator shume i zoti.
5.Mbulimi i gjurmeve
Kjo eshte nga etapat ku hackeri kushton me shume vemendje dhe i jep me shume rendesi pasi ketu vihet ne rrezik dhe identiteti dhe e ardhmja e tij, keshtu qe fshin te gjitha gjurmet duke filluar qe nga target deri tek te gjitha ato qe te lidhin me targetin duke perfunduar me pastrimin e kompiuterit \serverit te tij. Kur kane te bejn me nje “big target” atehere shume preferojn edhe depistazhin duke krijuar penetrime fallco, apo duke modifikuar loget, duke infektuar viktimen me ndonje virus qe te gjith te mendojn se shkaktar per loget e padeshiruara apo per ndonje humbje te dhenash ka qene virusi dhe jo “dikushi”.
5.Mbajtja e aksesit
Ketu ndryshon nga white hat tek black hat dhe eshte me e zhvilluar si teknik tek blackhat pasi whitehat kerkojn me shume te testojn, dhe nuk u intereson shume qe te mbajne aksesin ne nje target te caktuar. Keshtu qe per mbajtjen e aksesit perdoret ndonje rootkit\ ata qe jane akoma me profesionist mund te preferojn bootkit, dhe mund te hyjn sa here te duan ne sistemin e penetruar. Nder te tjerash Nje hacker eshte shume i qete, nuk eshte euforik dhe nuk emocionohet per ato qe po ben, eshte gjakftoht, deri diku i akullt ndaj veprimeve qe kryen, nuk i thote askujt per ato qe ben, dhe eviton gjithmon qe te vihet re. Kjo do te thote qe nuk publikon “punimet e tij” ne publik. Eshte si te themi edhe nje manjak anonimiteti, dhe njeh shume mire kriptografine. Ka njohuri te pergjithshme, dhe te thella, si ne programim, sisteme operative, arkitekture, network etj.
Kalojm tek metodat e atyre qe quhen script kiddiez
E para gje qe duhet thene per ta eshte qe jane shume te shkujdesur dhe ky eshte nje nga kualitetet e tyre, dhe jane aq JO anonim saqe len edhe firmen e tyre tek zhgarravinat qe bejn.
Motivacionet e tyre jane nga me te ndryshmet, mund te jene politike, mund te jene sociale, mund te jene per defrim te thjesht , dhe dallohen ne euforin e tyre tipike per femij te nje moshe relativisht te vogel apo adoleshent.
Nje rast tipik i asaj qe thashe me siper eshte nje deface qe pash nga nje 16 vjeçar ne nje nga websitet e microsoft.com dhe ne firmen e tij kishte lene dhe kontaktin i cili ishte @hotmail.com :S
Si mendoni tani a nuk mund te hy microsoft ne serverat e tij te postes elektronike dhe te gjej se kush eshte ky tipi qe ka bere sulmin?
Sigurisht qe po, por pakujdesia e tyre eshte vertet feminore.
Metoda e tyre:
1.Kerkimi i nje exploiti
Ndryshe nga hackerat ata kerkojn ne fillim nje exploit te gatshem dhe funksional (pasi editimi eshte diçka e panjohur per ta) mundesisht exploit i drejtuar web aplikacioneve dhe jo sherbimeve te ndryshme siç ndodh ne rastin e nje hackeri.
2.Kerkimi i viktimes
E dyta eshte kerkimi i viktimes duke perdorur motorret e kerkimit dhe zakonisht perdorin google dork si metod kerkimi.
3.Deface
Edhe kjo eshte shenje tipike e tyre, pra DEFACE, shperfytyrim i websiteve duke lene firmen e tyre, thenje kercenuese , perbuzese etj. Ata prishin ç’do te dhene, dhe shkaterrojn databazat, pra shkaterrojn me sa te kene mundesi.
4.Backdooring
Ne rastet e tyre me te avancuara ata preferojn te len nje backdoor ne webet e sulmuara, dhe ky backdoor ashtu siç pritet eshte diçka e koduar ne php, dhe jane backdoor tipik si c99, r57, c100 etj..
Normalisht qe eshte teme goxha e gjate dhe kam lene shume gjera pa permendur, keshtu qe gjithsecili pas ketij leximi di ta dalloj te pakten se kush jane script kiddiez.
Per njohurit e tyre, duhet te themi se jane shume te cekta, persa i perket atyre programuese, nuk e kalojn php-n dhe javascriptin, pra sfuten tek niveli i ulet (assembly) apo gjuhe te kompiluara (java, C, C++) ata qe kane pak me shume eksperienc ne kete fush mund te studjojn edhe perl apo edhe autoit.
Mund te gjehen shume thejsht, dhe jane shumica mbizoteruese e atyre qe perhapin dizinformacionin duke i lene qe masa ne mungese informacionesh te keqkuptoj se ç’fare eshte nje hacker dhe ç’fare eshte nje skript kiddie.
Ne realitet shumica prej atyre qe mund te quhen “hacker” sot nuk kane kohe te ndalojn tek keto vogelsira pasi puna e tyre si CSO (Chief security officer) apo si specialist sigurie nuk u jep kohen e duhur per tu marr me keto gjera.
http://albanianwizard.org/2009/01/hackers-ky-keqkuptim-i-madh/
Last edited by a moderator: