Monthly Archives: March 2015

Video: tikra 1986 m. hakerių istorija

Filmų kūrėjams kompiuterių nusikaltimai ir hakeriai yra dėkinga tema. Kiekvienas yra girdėjęs apie kompiuterinius įsilaužimus, o su virusais gal net ir susidūręs tiesiogiai. Tačiau apie kompiuterių saugumą išmano nedaugelis. Todėl hakerių veikla lengvai apauga mitais ir legendomis. Susidaro palanki terpė gimti dar vienam holivudinio filmo scenarijui.

Apie kompiuterių saugumą šį bei tą išmanau, todėl aš, kaip potencialus žiūrovas, esu nepataisomai sugadintas. Manęs neveža važinėjimas su riedlente po duomenų centrą. Labiausiai man patinka, kai filme nulaužimo momento net nerodo ir apie hakerius nekalba. Kuo mažiau apie juos pasakojama, tuo mažiau šansų nusišnekėti. Tačiau kaip nenusišnekant papasakoti istoriją jei filmas APIE hakerius? Matyt todėl gero filmo apie hakerius iki šiandien dar nebuvau matęs.

Ir vis dėlto, pagaliau tokį filmą pamačiau. The KGB, the Computer, and Me yra dokumentinis 50 minučių trukmės filmas apie hakerio gaudymą. Į astronomijos laboratoriją atėjęs dirbti astronomas gauna pirmąją užduotį — išsiaiškinti, kodėl laboratorijos kompiuteris įvėlė 0,75 dolerio klaidą kompiuterio naudojimo apskaitoje.

Thousands of dolars in charges. Off by 75 cents. Didn’t sound like much. But it was an interesting problem. A big error would mean an obvious bug in the system. Easy to find, easy to fix. But 75 cents – that’s a challenge.

Prasidėjusi 75 centų paieška išsirutuliojo į įvykių virtinę, kuri baigėsi KGB šnipo, ieškojusio JAV karinių paslapčių, išaiškinimu.

Visi aktoriai filme vaidina patys save.

Video: kaip pasigaminti droną grobiką

Video instrukcija kaip pasigaminti droną grobiką.

Dronas grobikas veikia visiškai autonomiškai. Jis pats ieško ir aptinka kitus dronus. Savo aukas gali užgrobti be operatoriaus įsikišimo. Užgrobtą droną nuskraidina į nurodytą vietą.

Kaip jis veikia:

  • turi instaliuotą Rasbpery Pi kompiuteriuką
  • turi atskiras bevieles plokštes: vieną — savo valdymui, kitą — aukos paieškai ir užgrobimui
  • su aircrack-ng seka bevielius tinklus
  • ieško iš anksto žinomų dronų gamintojų MAC adresų
  • aptikęs droną nukerta aukos bevielį ryšį su operatoriumi
  • apsimeta aukos operatoriumi
  • duoda užgrobtam dronui nurodymą skristi nurodytomis koordinatėmis
  • viską filmuoja ir transliuoja vaizdą gyvai

Video: ką internetas žino apie atsitiktinius praeivius

Miesto minioje jaučiamės anonimiški. Tačiau XXI a. anonimiškumas yra tik iliuzija. Apie mus internetas žino daug daugiau, negu mes manome.

Belgijoje buvo įvykdytas socialinis eksperimentas. Burtininkas Briuselio gatvėje atsitiktiniams praeiviams papasakodavo daugybę neįtikėtinų slaptų smulkmenų iš jų asmeninio gyvenimo — nuo geriausios draugės vardo iki faktų apie seksą trise. Iš tikrųjų tuo metu palapinėje esanti burtininko komanda per ausines jam perduodavo viską, ką apie žmogų pavykdavo rasti internete.

10 milijonų username’ų ir slaptažodžių

Saugumo ekspertas Markas Burnettas išleido 10 milijonų vartotojo vardų ir slaptažodžių rinkinį. Slaptažodžiai surinkti iš įvairių nulaužtų ir viešai paviešintų duomenų bazių.

slaptažodžiai

Yra nemažai ir lietuviškų vardų bei slaptažodžių.

Duomenis galima analizuoti, rūšiuoti, daryti populiarumo statistiką, kurti žodynus brute forcinimui ir visaip kitaip naudingai panaudoti.

Torrento magnet nuoroda.

Kokį SYN flood’ą atlaiko Linux kernelis?

DDOS atakos yra tokios paprastos ir efektyvios, kad paskutinius 20 metų užima vieną aukščiausių vietų kibernetinių grėsmių reitinguose. Jų yra įvairių tipų: nuo primityvių ICMP, UDP, TCP SYN flood’ų iki sudėtingų Layer 7 atakų.

Sename LWN straipsnyje radau paskaičuota, kad 64 bitų Linux kernelis vienai TCP sesijai išskirdavo 1616 baitų atminties. Vadinasi 1GB atminties užpildyti reikia 664 tūkst. SYN paketų. Nedidelis botnetas iš 1 tūkst. zombių, siunčiančių po 100 paketų per sekundę, užpildytų 1GB RAM’o per 6 sekundes.

Maždaug nuo 2006 m. Linux kernelis vienai iki galo neužmegztai TCP sesijai išskiria tik 96 baitus atminties. Tokiu būdu 1GB RAM užpildyti reikia virš 11 mln. SYN paketų. Aukščiau minėtam botnetui tam prireiks beveik 2 minučių. Per tą laiką seniausi negyvų sesijų įrašai bus pašalinti iš atminties ir kernelis galės priimti naujas TCP sesijas. Todėl minėtas nedidelis botnetas gal būt iš vis net neužlaužtų tokio kernelio.

Žinoma, šiais laikais dideli botnetai siekia po 300 000 zombių.

Tačiau mes dar nepaminėjome syncookies mechanizmo, kuris įsijungia, kai neužmegztų sesijų kiekis pasiekia tam tikrą ribą (reguliuojamą kernelio parametru net.ipv4.tcp_max_syn_backlog). Tuomet Linux kernelis nustoja naudoti RAM’ą naujoms sesijoms, pagrindinę sesijos informaciją tiesiog užkoduodamas į SYN+ACK parametrus. Plačiau apie syncookies kitą kartą.

Kibernetinių atakų priskyrimams valstybėms

Norint apsiginti nuo kibernetinių atakų dažnai būna naudinga žinoti, kas mus atakuoja. O norint atakuotoją nubausti, tai žinoti yra tiesiog būtina.

Tačiau čia susiduriama su milžiniška problema. Įprastas nusikaltėlis fiziškai (ir juridiškai) būna toje pačioje aplinkoje, kaip ir auka. Kibernetinis nusikaltėlis dažniausiai būna visiškai kitame žemės rutulio kampe.

Be to, jei įprastas nusikaltėlis dažnai palieka fizinių nusikaltimo pėdsakų (ginklas, pirštų atspaudai, dnr), tai kibernetinis nusikaltėlis be savo IP adreso nepalieka nieko. Tas IP adresas būna registruotas valstybėje, kurioje mūsų įstatymai, be abejo, negalioja.

Valstybių klasifikavimas pagal sąsajas su kibernetiniais nusikaltimais
Valstybių klasifikavimas pagal sąsajas su kibernetiniais nusikaltimais

Richardo Bejtlicho puslapyje radau paminėtą įdomų Jasono Healey straipsnį „Beyond Attribution: Seeking National Responsibility for Cyber Attacks“. Jasonas Healey savo straipsnyje siūlo tiesmuką ir logišką sprendimą šiai problemai spręsti. Anot autoriaus, norint sužinoti kibernetinės atakos vykdytojus, nereikia naudoti technologijų apskritai. Jis pateikia keletą pavyzdžių.

Po Belgrado atakų, kai 1999 m. JAV netyčia subombardavo Kinijos ambasadą, Kinijoje buvo akmenimis užmėtyta JAV ambasada. Straipsnyje sakoma, kad nebūtina peržiūrėti riaušių vaizdo įrašo ir apskaičiuoti kiekvieno akmens trajektorijos, nes stengtis atsekti individualius akmenų mėtytojus yra beprasmiška. Pakanka pripažinti, kad už riaušes atsakinga Kinijos vyriausybė. Kai žiniasklaidoje Kinijos prezidentas Hu Jintao palaikė protestuotojus, o policija nesiėmė priemonių ambasadai apsaugoti, kiekvieno sviesto akmens trajektorija tapo visiškai nebesvarbi. Ir taip buvo aišku, kas tikrasis atakos vykdytojas.

Kitas pavyzdys — 2007 m. Rusijos kibernetinė ataka prieš Estiją. Tuo metu Rusijos forumuose buvo masiškai platinamos instrukcijos, kaip nulaužti Estijos infrastruktūrą, o Rusijos Dūmos deputatai atvirai palaikė šias kibernetinių atakų iniciatyvas. Niekam nekilo abejonių, kad už kibernetines atakas atsakinga yra Rusija. Tačiau techninė analizė parodė, kad ataka buvo vykdoma iš IP adresų, priklausančių 178 skirtingoms šalims. Taigi, šuo atveju technologijos ne tik nepadeda išaiškinti atakos vykdytojo, bet netgi trukdo.

Straipsnyje autorius pateikia įdomų valstybių klasifikavimo būdą pagal tai, kaip valstybės yra susijusios su kibernetiniais nusikaltimais.

Įdomu, kaip pagal šį metodą mūsų partneriai klasifikuoja Lietuvą? Kokio tipo valstybė esame mes? Ar mūsų institucijos pakankamai greitai reaguoja į partnerių prašymus padėti kovoje su kibernetinėmis atakomis?

Ukraina trumpam užgrobė Anglijos internetą

Vakar Ukrainos interneto kompanija Vega anonsavo 167 British Telecomo IP prefixus. Todėl grįžtantis Interneto srautas būdavo nukreipiamas į Vega tinklus Ukrainoje, o po to grįždavo į Angliją.

Anglijos Interneto srautas darė kilpą per Frankfurtą, Kijevą, Londoną
Anglijos Interneto srautas darė kilpą per Frankfurtą, Kijevą, Londoną

Tokio užgrobimo beveik neįmanoma aptikti, nes klientai paprastai nežino, kokiais keliais srautas keliauja internetu. Tarp klientų, kurių srautas buvo užgrobtas – Anglijos paštas (Royal mail), Anglijos atominių ginklų kūrimo kompanija (UK’s Atomic Weapons Establishment), JAV ginklų gamintojas Lockheed Martin.

Incidentas truko 1,5 valandos.

Lygiai toks pat mechanizmas buvo panaudotas, kai 2013 metais Baltarusija užgrobė Lietuvos Interneto srautą. Beveik neabejoju, kad pas mus šis incidentas apkritai net nebuvo pastebėtas.

Kaip pagauti hakerį pagal zen

I

Hakeris pagaunamas panaudojus jo paties ginklą — social engineering’ą. Aš įtariau, kad su hakeriu turėjau bendrų pažįstamų, todėl visų paklausinėjau, ar nežino, kas mane nulaužė. Tai buvo mano pirmas pagautas hakeris.

II

Hakeris pagaunamas pirmadienį. Tuo metu Cisco H.323 proceso nebuvo galima išjungti, buvo galima tik blokuoti portą. Netyčia portas buvo paliktas atviras. Iš pradžių hakeris nepagaunamas, nes buvo ilgasis savaitgalis. Jis pagaunamas tik kitą darbo dieną.

III

Hakeris pagaunamas darbo metu. Jis nulaužia sistemą per nesaugų admino slaptažodį, kuris pasikeitus adminui liko nepakeistas. Paaiškėjus negeriems hakerio kėslams, jis sugaunamas, o slaptažodis pakeičiamas. Gali būti, kad hakeris pažinojo buvusį adminą.

IV

Hakeris pagaunamas lapkričio mėnesį, paryčiais. Jis nulaužia sistemą per nesaugų slaptažodį ir apkrečia ją bjauriu kodu. Po ilgos kovos su apkrėsta sistema, pagaliau ji išvaloma. Tuo metu, kai hakeris pagaunamas, už lango tvyro rūkas. Danguje praskrenda žuvėdra, ji taria: „bjao“.