Jak rozpoznać atak i mu przeciwdziałać. Wydarzenia związane z aferą Pegasusa pokazały, że właściwie każdy z nas może być podsłuchiwany. Co więcej, jeśli tak się stanie, najpewniej Nie istnieje w 100% pewna metoda obrony przed hakerami. Bezpieczeństwo IT to nieustanna walka i bywa, że agresorom uda się przebić przez nasze linie obrony. Co wtedy?Jak rozpoznać, że dzieje się coś złego?Pomimo tego, że hakerzy wciąż wymyślają nowe metody ataków, zazwyczaj bazują oni na błędach w oprogramowaniu, których nie przewidzieli wcześniej programiści. Do najpopularniejszych rodzajów oszustw możemy zaliczyć:Ataki na systemy płatnicze – kradzież danych do logowania do banków i systemów płatniczych zazwyczaj skutkuje bardzo spektakularnymi konsekwencjami w postaci utraty środków finansowych klientów. Problem ten dotyczy wszystkich e-commerców oraz serwisów, w którym użytkownicy dokonują płatności za usługi i okupu – zazwyczaj hakerzy atakują systemy w celu uzyskania korzyści majątkowych. Głośną ostatnio sprawą był wyciek danych 57 mln użytkowników Ubera*. Firma zapłaciła oszustom okup (100,000$) i próbowała sprawę zamieść pod dywan. Wszystko jednak wyszło na jaw, a firma, nie dość, że poniosła koszty finansowe, to dodatkowo boryka się z problemami utraty zaufania opinii publicznej i do rozpoznania są ataki mające na celu kradzież poufnych danych. Często organizowane na zlecenie rządów lub nieuczciwej konkurencji próby wykradzenia informacji z założenia mają pozostać nieujawnione, stąd tak ciężko o ich wykrycie. Zwykle polegają one na zainfekowaniu systemu szkodliwymi rodzajem ataku jest DDoS. Polega on na uniemożliwieniu lub znacznym utrudnieniu dostępu do danych. Takie działanie skutkuje spowolnieniem działania systemu, którego konsekwencją może być nawet utrata użytkowników, którzy przejdą do konkurencji, której system działa szybciej i bez ataków hakerskichBezpośrednim następstwem ataków hakerskich jest zazwyczaj wyciek wrażliwych danych z serwerów. Poważne konsekwencje utraty danych firmy najczęściej wiążą się z dużymi stratami finansowymi. Przykładem może być film „Piraci z Karaibów Zemsta Salazara”**, który wyciekł tuż przed premierą, a hakerzy zażądali ogromnego okupu za utrzymanie tego w tajemnicy. Przypadek ten należy raczej do skrajności, gdzie zaatakowana została bardzo duża firma. Jednak w naszym doświadczeniu spotkaliśmy się z sytuacjami, gdzie ofiarą padały nawet jednoosobowe działalności, a żądania okupu zaczynały się od złotych. Taki koszt odczuwalny jest dla każdej firmy, nie mówiąc o małych jesteś przygotowany na jego atak?Żądania okupu są bardzo naocznym przykładem, jednak ataki hakerskie przyczyniają się również do z pozoru mniejszych zakłóceń w działalności firmy, czego pośrednim skutkiem może być spadek przychodów. Duńska firma transportowa Maersk*** już po dwóch dniach od ataku na serwery mogła normalnie przyjmować zamówienia, jednak jej funkcjonowanie zostało zakłócone na kilka tygodni. Straty sięgnęły w tym wypadku około 200 mln wspomniany przykład Ubera pokazuje, że straty finansowe to nie wszystko. Sam wyciek danych oraz sposób w jaki firma upora się z problemem wiązać się mogą się z dużym spadkiem wiarygodności wśród klientów oraz kontrahentów. Spadek zaufania skutkować może utratą klientów na rzecz konkurencji, a koszty związane z odbudową relacji mogą okazać się bardzo wysokie. Dodatkowo osoby dotknięte atakiem mogą ubiegać się o odszkodowania, które w przypadku dużych wycieków i pozwów zbiorowych osiągają zawrotne kwoty. Wspomnieć należy również o nowych regulacjach UE. Ustawa o Ochronie Danych Osobowych RODO przewiduje kary administracyjne w wysokości nawet 20 000 000 krokiem do zwiększenia bezpieczeństwa danych przechowywanych w firmie jest regularne prowadzenie testów systemów oraz dostosowanie się do zmian wprowadzanych przez RODO. Jeżeli korzystamy z systemów płatności, koniecznością jest ich dokładne przetestowanie. Zbierając dane klientów powinniśmy poniekąd zmusić ich do korzystania z bardziej skomplikowanych haseł. W zasadzie każda firma powinna mieć odpowiednią politykę bezpieczeństwa oraz procedury uwzględniające różne scenariusze i zagrożenia. Pamiętać również należy, że bezpieczeństwo w dużej mierze zależy od zachowania naszych pracowników. Warto zatem dbać o ich świadomość podczas codziennie wykonywanych bezpieczeństwa systemów są niezbędne, żeby zapewnić silną ochronę firmy. Jednak jak już wyżej wspomnieliśmy, hakerzy są bardzo kreatywni i nieustannie pracują nad nowymi formami ataków. Na tę okoliczność z pomocą przychodzą ubezpieczenia od ataków hakerskich. Obecnie kilka zakładów ubezpieczeń oferuje ciekawe produkty, których kluczowym celem jest zminimalizowanie strat zaatakowanych najlepszy system ma lukiDziałanie cyber ubezpieczeńKoszty związane z atakiem hakerskim zawierać mogą pokrycie kar administracyjnych (RODO), zatrudnienie prawników oraz specjalistów od PR, którzy zadbają o ochronę reputacji firmy, sfinansowanie informatyków oraz testerów, którzy zbadają sposób wycieku danych, czy powiadomienie poszkodowanych od ataków hakerskich mogą ochronić firmę na kilka sposób. W przypadku wycieku danych z systemów, najważniejszą kwestią, na jaką możemy liczyć jest pokrycie kosztów odszkodowań dla osób, które wniosą roszczenia przeciwko firmie w związku z ujawnieniem wrażliwych danych, prawem do wizerunku oraz wycieku informacji roku na rok ofiarami ataków hakerskich pada coraz więcej firm. Oszuści wymyślają coraz bardziej wyrafinowane formy wyłudzania informacji. Testy bezpieczeństwa pozwolą na zwiększenie ochrony systemów, przygotowanie ich na możliwe ataki i zmniejszenie ryzyka. Dodatkowe ubezpieczenie zminimalizuje straty i zapewni spokojniejszy sen w przypadku kiedy hakerom jednak uda się przedrzeć przez wszystkie przeszkody, które przed nimi dowiedzieć się więcej na temat zakresu ubezpieczeń od ataków hakerskich? Skontaktuj się z nami!* Once there, enter the hackers IP address and click on the Go button. A traceroute process can take a while, so you may want to do something for 5-10 minutes and then come back and check the
#1. Wyłączony antywirus Program antywirusowy sam się nie wyłączy. Jeśli zauważysz, że twój jest wyłączony to znaczy, że zrobił to haker aby mieć łatwy dostęp do twoich plików #2. Hasła nie działają Jeśli nagle twoje hasła nie działają i nie możesz dostać się na swoje konta to znaczy, że zostałeś zhakowany #3. Nagle wzrosła ilość znajomych Nagły wzrost liczby znajomych na portalach społecznościowych to znak, że hakerzy używają twojego konta do rozsyłania spamu #4. Nowe ikonki Gdy po otworzeniu przeglądarki zauważysz nowe ikonki na pasku może to oznaczać, że ktoś zainstalował jakieś szkodliwe oprogramowanie #5. Drukarka Innym znakiem, że ktoś włamał się do twojego komputera jest dziwne zachowanie drukarki- nie chce drukować albo drukuje nie to, co chciałeś #6. Przekierowania na dziwne strony Gdy twoja przeglądarka nagle zaczyna żyć własnym życiem i przekierowuje cię na różne strony, to kolejny sygnał, że ktoś włamał się na twój komputer #7. Znikające pliki Komputer definitywnie został zhakowany jeśli zginęły jakiekolwiek pliki a ty jesteś pewien, że ich nie usuwałeś 25 września 2017 o 9:31 przez Skomentuj (19) Do ulubionych

Jak dochodzi do włamywania się do kamery internetowej? Atakujący nierzadko mają przewagę nad użytkownikami. Podziemie cyberprzestępcze oferuje im wszystkie niezbędne narzędzia i know-how, dzięki którym mogą przeprowadzić skuteczny atak, praktycznie na każdego. Jednym z takich narzędzi jest trojan zdalnego dostępu (RAT).

Każdy, przeglądając Internet, z pewnością nie raz trafił na niedziałającą stronę internetową. Naturalnym zachowaniem w takiej sytuacji jest cofnięcie się do wyników wyszukiwania i przejście na kolejną witrynę. A co, jeśli to nasz serwis nie działa? Jak zdiagnozować problem i w jaki sposób szybko przywrócić stronę do pełnej sprawności – tak, by nie tracić potencjalnych klientów? Jakie są najczęstsze powody niedziałającej witryny internetowej? Powodów awarii strony www może być wiele, ale najczęściej ich przyczyną jest: wygaśnięcie domeny, nieopłacony hosting, włamanie hakera, awaria serwera. Wygaśnięcie domeny Wielu osobom prowadzącym serwisy internetowe zdarza się zapomnieć o przedłużeniu domeny. Brak uiszczenia opłaty w terminie najczęściej skutkuje wyłączeniem witryny i wszystkich usług związanych z domeną, w tym również poczty. Jeśli nie zaglądamy często na stronę i nie korzystamy z konta e-mail w domenie witryny, możemy nie zorientować się odpowiednio wcześnie i całkowicie utracić naszą domenę – inna osoba lub firma mogą ją kupić i zarejestrować na siebie. Czas ochrony, po jakim domena może zostać przechwycona, jest różny. Wynosi on następującą ilość dni od wygaśnięcia domeny: .pl – 30 dni, .eu – 40 dni, .com, .org, .info, .biz, .net – 70 dni. Zakup wygasającej domeny ułatwia jej rezerwacja za pomocą tzw. opcji na domenę. Wykupienie takiej usługi daje możliwość pierwokupu nieopłaconej domeny i jej rejestracji w standardowej cenie. Korzystanie z tej metody pozwala na przejmowanie i rejestrację wartościowych domen – np. mających w nazwie popularne słowa kluczowe – w bardzo niskich cenach. Opcja pierwszeństwa do nabycia danej nazwy strony jest kupowana na 3 lata. Jeśli zatem posiadamy domenę o wartościowej nazwie, np. itp., istnieje duże prawdopodobieństwo, że ktoś wykupił opcję i jak tylko minie termin jej ochrony, domena automatycznie zostanie przejęta przez inną firmę. Jak rozpoznać, że strona nie działa z powodu nieopłaconej domeny? Jeżeli po wpisaniu nazwy naszej domeny w przeglądarce pojawia się komunikat mówiący, że „Ta witryna jest nieosiągalna” i „Nie udało się znaleźć serwera DNS”, z dużym prawdopodobieństwem możemy stwierdzić, że powodem niedziałającej strony jest nieprzedłużona domena. W przypadku wygaśnięcia domeny nadal mamy dostęp do plików serwisu umieszczonych na serwerze FTP (chyba że prócz domeny nie opłaciliśmy hostingu). Termin wygaśnięcia domeny można sprawdzić na kilka sposobów. Najszybszym z nich jest rejestr WHOIS. 1. Wchodzimy na stronę 2. Wpisujemy adres naszej domeny, np. i klikamy przycisk Search (Szukaj). 3. W wyświetlonej tabeli w polu Expires on będzie podana data wygaśnięcia naszej domeny. Dane domeny z zaznaczoną datą jej wygaśnięcia. Datę wygaśnięcia domeny można również sprawdzić w panelu administracyjnym do zarządzania domeną. Data wygaśnięcia domeny w panelu Data wygaśnięcia domeny w panelu Jak rozwiązać problem? W przypadku gdy data w panelu zarządzania domeną lub rejestrze WHOIS minęła, wystarczy u rejestratora domeny opłacić ją i w ciągu 48 godzin nasz serwis powinien być pod nią dostępny. Uwaga! Jeśli od nieopłacenia domeny minął termin jej ochrony (czas, w jakim nikt inny nie może jej kupić), może się okazać, że została ona zarejestrowana przez innego użytkownika. W takim przypadku jej odzyskanie może być kosztowne (odkupienie od nowego właściciela) lub czasochłonne (spór sądowy). Nieopłacony hosting Tu – podobnie jak w przypadku nieprzedłużenia domeny – po wpisaniu adresu strony w przeglądarce wyświetli się komunikat błędu. Najczęściej będzie on informował, że hosting nie został przedłużony lub prosił o kontakt z hostingiem. Prócz strony internetowej, może nie działać nam również poczta (o ile była utrzymywana na tym samym hostingu co strona www) oraz nie będzie działał dostęp do serwera FTP z plikami strony. Jak sprawdzić, czy hosting jest opłacony? W tym celu wystarczy zalogować się do panelu hostingu i w nim sprawdzić datę, do kiedy jest on opłacony. Panel hostingu z ważnością usługi. Panel hostingu z ważnością usługi. Jak rozwiązać problem? W przypadku gdy data wygaśnięcia hostingu minęła, należy jak najszybciej dokonać wpłaty. Po opłaceniu hostingu strona powinna zostać przywrócona – zaraz po zaksięgowaniu wpłaty. Uwaga! Jeżeli będziemy zwlekać zbyt długo, pliki z naszą stroną mogą zostaną bezpowrotnie usunięte z serwera FTP. Atak hakera Kolejną przyczyną niedziałającej strony może być włamanie hakera. W zależności od skali i celu ataku, jego efekty mogą być różne. Najczęściej włamanie na stronę wiąże się z podmianą jej treści lub zaimplementowaniem w niej szkodliwego kodu wirusa. Jak rozpoznać włamanie hakera? 1. Podmiana treści strony Podmianę strony bardzo łatwo rozpoznać, ponieważ po wpisaniu adresu naszej domeny w przeglądarce, zamiast naszej witryny pojawi się inna strona. Najaktywniejsi są hakerzy z Rosji, Chin i Turcji, dlatego istnieje duża szansa, że w przypadku podmiany strony na naszym serwisie pojawi się komunikat w jednym z tych języków. Złośliwy kod umieszczony na naszej stronie zamiast podmieniać całą zawartość serwisu – może dodawać w treści linki do spamerskich stron lub tworzyć na naszym serwerze nowe podstrony ze spamerską treścią, które nie będą dostępne z naszej strony. Jeżeli zatem w treści naszego serwisu pojawią się odnośniki, których my nie wstawialiśmy, świadczy to najprawdopodobniej o włamaniu hakera. Niekiedy, podmiana treści lub dodanie odnośników nie będą widoczne dla użytkownika, a wyłącznie dla robotów sieciowych. Taki mechanizm podmiany nazywamy jest cloakingiem. Można w takim przypadku porównać wersję widzianą przez roboty sieciowe w narzędziu Google Search Console (w skrócie GSC – dawne Google Webmaster Tools), korzystając z cache dla robotów i wpisując w pasku adresu cache: lub poprzez instalację wtyczki do przeglądarki, która będzie się przedstawiać jako robot wyszukiwarki. Przykład strony z cloakingiem pokazany w GSC. Czasami poza podmianą treści, są tworzone nowe spamerskie strony w naszym serwisie. W celu weryfikacji, najlepiej wpisać w wyszukiwarce Google komendę „site:”, po której podajemy nazwę naszej domeny. Przykładowo – dla domeny cała komenda będzie miała postać: site: Jeżeli podczas przeglądania listy zaindeksowanych podstron naszej witryny pojawią się jakieś podejrzane nazwy, to najprawdopodobniej serwis został zakażony kodem generującym spamerskie podstrony. 2. Wgranie wirusa W przypadku gdy haker nie zmienił treści naszej strony, a jedynie umieścił w niej złośliwy kod, postawienie diagnozy może być trudniejsze. Serwis zarażony złośliwym kodem może być blokowany przez antywirusy, co zawsze powinno wzbudzić naszą czujność. Witryny z wirusem, który został wykryty przez wyszukiwarkę Google, są w wynikach wyszukiwania oznaczone komunikatem „Ta witryna mogła paść ofiarą ataku hakerów”. Jeżeli na witrynie zainstalowaliśmy narzędzia Google Search Console, to dodatkowo otrzymamy powiadomienie na nasz adres e-mail, a w panelu pojawi się odpowiedni komunikat. Dodatkowo w Search Console w sekcji „Ruch związany z wyszukiwaniem” w dziale „Ręczne działania” pojawi się dodatkowa wiadomość o karze spowodowanej działaniami hakera: „Witryna zaatakowana przez hakerów”. Jak rozwiązać problem? Istnieją dwie możliwości rozwiązania tego problemu. Pierwszą z nich jest przywrócenie kopii zapasowej serwisu. Każdy właściciel strony powinien regularnie wykonywać kopię witryny właśnie na wypadek ataku hakera lub awarii hostingu. Jeśli nie posiadamy własnej kopii, to możemy zwrócić się z prośbą o nią do hostingu. Większość dużych hostingów wykonuje regularnie kopie i przywraca je na życzenie klienta. Należy uważać przy wyborze taniego hostingu, ponieważ te nie zawsze wykonują kopię zapasową lub jej przywrócenie oferują wyłącznie za dodatkową opłatą. Po otrzymaniu kopii zapasowej (najczęściej hosting umieszcza ją na serwerze w formie spakowanej paczki plików), należy ją rozpakować i wgrać na miejsce zainfekowanych plików. Jeżeli w kopii znajdują się wszystkie pliki strony, to najbezpieczniej będzie usunąć z serwera wszystkie pliki i w ich miejsce wgrać te z kopii zapasowej. Uwaga! Hosting najczęściej trzyma jedną kopię, wykonywaną co kilka dni. Jeżeli zatem wirus jest na stronie od tygodnia lub dłużej, najprawdopodobniej będzie on również w kopii zapasowej. Drugą metodą jest analiza kodu źródłowego wszystkich plików na serwerze i usunięcie z nich podejrzanych fragmentów kodu. Tu niezbędna jest duża wiedza na temat języka programowania, w którym został stworzony serwis. Złośliwy kod jest często umieszczany w plikach JavaScript, pliku plikach szablonów strony, które zawierają znaczniki lub, ale nie jest to regułą, ponieważ może on być również dodawany do innych plików np. grafiki. W przypadku gdy nasza witryna składa się z kilku czy kilkunastu plików, ich sprawdzenie nie powinno być problematyczne, ale jeżeli tworzą go tysiące plików – weryfikacja ich wszystkich może być bardzo czasochłonna. Jeśli wiemy, kiedy dokładnie nastąpiło włamanie, możemy ograniczyć się do weryfikacji wyłącznie plików zmodyfikowanych od danego dnia, jednak w ten sposób być może przegapimy zmodyfikowane pliki, w których zmianie nie uległa data ich edycji. W analizie ich kodu mogą pomóc programy antywirusowe do skanowania stron www, jednak i one mogą nie wykryć wszystkich zagrożeń. Uwaga! Po przywróceniu oryginalnych plików zawsze należy pamiętać, by zmienić dane dostępowe do strony www. Jeżeli chcemy uniknąć kolejnego włamania, musimy zmienić co najmniej hasło do serwera FTP (dla wszystkich kont) oraz jeśli posiadamy panel zarządzania treścią – również hasło dla wszystkich kont w CMS. Jeśli nasza strona korzysta z bazy danych, dla bezpieczeństwa warto również zmienić hasło dostępowe do niej. Jeśli na serwer FTP zawsze logujemy się z określonego zakresu adresów IP, wskazane jest w panelu hostingu ustawić możliwość logowania się na serwer wyłącznie z określonej puli adresów IP, ponieważ znacznie zwiększy to bezpieczeństwo strony. Jeżeli po usunięciu wirusa w wynikach wyszukiwania przy naszej stronie nadal pojawia się ostrzeżenie, że witryna jest niebezpieczna, należy w narzędziach Google Search Console zgłosić prośbę o weryfikację domeny. Po sprawdzeniu strony przez Google, komunikat z ostrzeżeniem powinien zniknąć z wyników wyszukiwania. Temat wirusa na stronie www został również opisany w naszym artykule, który znajdziecie tutaj. Awaria hostingu Ostatnią z najczęstszych przyczyn niedziałania strony jest awaria hostingu. W przypadku korzystania z usług małych hostingów, często wiąże się ona z brakiem dostępności do strony hostingu oraz panelu do zarządzania hostingiem i domeną. Jeśli mowa o dużych firmach hostingowych, może nie działać tylko serwer, na którym znajduje się nasza strona, a witryna hostingu i panel do zarządzania usługami będą dostępne. Nie jest to jednak regułą i zależy od rodzaju problemu, który wystąpił. Jak rozpoznać awarię hostingu? Gdy podejrzewamy awarię serwera, w pierwszej kolejności powinniśmy odwiedzić stronę internetową naszego hostingodawcy i sprawdzić, czy nie ma na niej komunikatu o przerwie technicznej lub awarii. Przykładowo – dla strona z komunikatami technicznymi ma adres a dla Jeśli w komunikatach nie ma żadnej informacji na ten temat, warto skontaktować się telefonicznie z pomocą techniczną i podpytać pracowników hostingu o to, czy nastąpiła awaria i w jakim czasie zostanie ona usunięta. Uwaga! Strona może nie działać również z przyczyn niezależnych od hostingu, np.: może być blokowana przez firewall na naszym komputerze, mogą występować problemy z połączeniem internetowym u naszego dostawcy Internetu, mogą ją blokować inne programy na naszym komputerze. Jak rozwiązać problem? Niestety w przypadku awarii hostingu nie możemy wiele zrobić. Jeśli awaria trwa do kilkunastu godzin, pozostaje nam czekać, aż pracownicy hostingu przywrócą wszystko do normy. W razie dłuższych awarii – takich, jaka miała miejsce w firmie Adweb, gdzie przez ponad półtora miesiąca nie działała prawidłowo strona hostingu a duża część ich klientów w tym czasie nie tylko nie miała działających witryn internetowych, ale również nie miała dostępu do swoich plików na serwerach FTP. W takich przypadkach najlepiej przenieść stronę na inny hosting. Przeniesienie wszystkich plików, konfiguracja i przywrócenie bazy danych oraz podpięcie domeny na nowy serwer w większości przypadków powinno zająć ok. 2 – 3 dni. Gdy po sprawdzeniu 4 najczęstszych przyczyn awarii strony okaże się, że żadna z nich nie jest odpowiedzialna za niedziałającą witrynę, warto upewnić się, czy problem nie występuje tylko na naszym komputerze lub w naszej sieci internetowej. Jeśli mamy możliwość, koniecznie spróbujmy odwiedzić serwis, korzystając z innego komputera lub urządzeń mobilnych łączących się z siecią za pośrednictwem innego dostawcy Internetu. Jeśli to nie pomoże, zawsze warto skontaktować się z webmasterem opiekującym się stroną, jej twórcą lub pomocą techniczną hostingu. Z reguły będą oni w stanie wskazać przyczynę problemów ze stroną.
Atak hakerski może dotyczyć nie tylko samego telefonu, ale też karty SIM. Zaniepokoić powinny Cię poniższe objawy: Prośba o zrestartowanie telefonu. Każda metoda hakowania karty SIM wymaga zrestartowania urządzenia. Jeśli otrzymasz taki komunikat, upewnij się, skąd pochodzi. Brak telefonów i wiadomości.
Kiedy Neil Wyler, bardziej znany w hakerskiej branży jako Grifter, wchodzi do pokoju, każdy, kto w nim przebywa, wie, że coś musiało się wydarzyć. Wyler przeprowadził kontrolowany atak SQL na domenę publiczną. Oczywiście w celach szkoleniowych. Bo właśnie szkolenia to podstawa Black Hat. Wyler jest inżynierem ds. bezpieczeństwa informacji i naukowcem. Aktualnie spełnia się zawodowo w RSA Security, gdzie pracuje na stanowisku specjalisty ds. zaawansowanych operacji bezpieczeństwa. Od ponad 15 lat koncentruje się na ocenie podatności na zagrożenia i testach penetracyjnych. Z Black Hat Security Briefings jest związany od 13 lat. Dzięki szkoleniom w ramach Black Hat nowicjusze mają szansę zobaczyć i zrozumieć, w jaki sposób potencjalni agresorzy mogą przeniknąć do kodu i urządzeń, włamać się do telefonu, znaleźć słabe punkty i zinfiltrować cel. Pokój, do którego wszedł Tyler, to miejsce przeprowadzania ataków w tzw. czasie rzeczywistym. To oswajanie przyszłych specjalistów do spraw bezpieczeństwa danych z sytuacją, która z pewnością kiedyś nastąpi. Będą musieli wykazać się wtedy nie tylko wiedzą, ale i odpowiednio szybką reakcją oraz podejmować właściwe decyzje. Podczas późniejszych wykładów adepci sztuki hakerskiej poznają szczegóły dotyczące przeprowadzonego ataku. Koszt takiego kursu? Kilka tysięcy euro. Podatności urządzeń Apple W obiegowej opinii, ochoczo podtrzymywanej przez samo Apple, urządzenia sygnowane symbolem nadgryzionego jabłka są wyjątkowo bezpieczne – niezależnie od tego, czy próbę ataku podejmuje haker, grupa cyberprzestępcza, czy policja lub agencje wywiadowcze. Opinia ta wynika w dużej mierze z samej architektury bezpieczeństwa urządzeń Apple z systemem iOS. Faktem jest, że Apple wiele elementów swojego oprogramowania i infrastruktury sprzętowej zaprojektowało tak, aby bardzo utrudnić, czy wręcz uniemożliwić nieuprawnionym użytkownikom (czyt. hakerom) wprowadzanie zmian w systemie. Ostatnią linią obrony jest nowy system plików Apple File System. Dlaczego ostatnią? Otóż, osoby, które będą w stanie wprowadzić zmiany w APFS, będą mogły również uzyskać dostęp do katalogu głównego urządzenia i wprowadzić tam swoje własne oprogramowanie, jak również pobrać dane bez wiedzy właściciela smartfonu. Kod blokady z dodatkowo włączonym czyszczeniem pamięci iPhone’a po kilkakrotnym, błędnym wprowadzeniu hasła nie jest już skuteczną ochroną (graf. CHIP) Na szkoleniu Black Hat jeden z najlepszych specjalistów i badaczy bezpieczeństwa systemu iOS, Xiaolong Bai, zademonstrował sposób na ominięcie systemu bezpieczeństwa APFS. Sam przyznaje, że nie było to trywialne zadanie. System plików zaprojektowany przez Apple jest tak zbudowany, że najpierw instaluje się w urządzeniu jako tylko do odczytu, tzn. z zabezpieczeniem zapisu. Jeżeli ktokolwiek próbuje zmienić zamontowany obraz sytemu, iOS automatycznie rozpoznaje niewłaściwy znacznik czasu i sumę kontrolną, reagując dobrze znanym kernel panic, czyli całkowitym przerwaniem pracy i zawieszeniem systemu. Bai był w stanie ominąć system bezpieczeństwa poprzez dość wyrafinowane działania polegające, w dużym uproszczeniu, na przeprowadzeniu ataku na jądro iOS-a tak, by móc podstawić własny system plików i na tej podstawie uzyskać prawidłowy znacznik czasu umożliwiający już modyfikację oryginalnego systemu plików. Demonstrując swoją metodę, pokazał nielegalny, teoretycznie niemożliwy do zainstalowania na urządzeniach Apple, nieautoryzowany przez producenta sklep z aplikacjami Cydia. Dostał ogromne brawa. Z prezentacji Baia skorzysta także Apple. Programiści giganta z Cupertino reagują szybko i wprowadzają zmiany w kodzie, neutralizując potencjalny atak, który w najnowszych, zaktualizowanych wersjach systemu iOS już nie byłby skuteczny. Sposób na Apple ma również DriveSavers, grupa specjalistów, która jednak nie dzieli się wiedzą z producentem iPhone’ów. Przestępcy? Nic z tych rzeczy, po prostu utrzymanie tajemnicy leży w ich interesie. DriveSavers znają metodę na odczytanie kodu dostępu do zablokowanego urządzenia Apple i to nawet w sytuacji, gdy użytkownik skonfigurował system tak, żeby po dziesięciu nieudanych próbach wprowadzenia kodu PIN iOS aktywował procedurę usuwania wszystkich danych z urządzenia. Dzięki swojej wiedzy DriveSavers proponuje tym, którzy zapomnieli kodu, możliwość tworzenia kopii zapasowych wszystkich danych urządzenia. Dlaczego nie chcą ujawnić, jak dokładnie działa trik i jakie słabe punkty kodu Apple wykorzystuje? Stawka jest zbyt wysoka. Jednorazowe odblokowanie urządzenia kosztuje 3900 dolarów (blisko 15 tysięcy złotych). Ujawnienie ich wiedzy może i pomogłoby Apple, ale zniszczyłoby biznes DriveSavers. Co ciekawe, usługa skierowana jest do zwykłych użytkowników i choć może trudno w to uwierzyć, biorąc pod uwagę ceny, to klientów nie brakuje. Rządy wolą Androida W przypadku iOS-a atak, choć jest możliwy do przeprowadzenia, wymaga jednak wyrafinowanych metod, zaawansowanej wiedzy i dużych pieniędzy. Z Androidem jest zupełnie inaczej – i nie dlatego, że jest np. niedbale zaprojektowany. Problem leży w architekturze, a dokładnie w otwartości Androida, skrzętnie wykorzystywanej przez cyberprzestępców, cyberterrorystów oraz służby wywiadowcze. Eksperci z firmy Lookout, Michael Flossman, szef grupy specjalizującej się w wykrywaniu zagrożeń, oraz Kristin Del Rosso, analityczka wywiadu bezpieczeństwa, zbadali, jak działają profesjonaliści. Wzięli na warsztat narzędzia ataku wykorzystywane przez grupę hakerów znaną pod nazwą Syryjska Armia Elektroniczna. Syrian Electronic Army jest grupą najprawdopodobniej sponsorowaną przez agencje rządowe. Jej główne zadania to szpiegowanie przeciwników rządu Baszara el-Asada oraz rozpowszechnianie syryjskiej (prorządowej), a także prorosyjskiej propagandy. Schemat działania SEA rozpoznany przez ekspertów z Lookout jest następujący. Syryjscy hakerzy przez podstawionych wydawców rejestrują w sklepie Google Play aplikacje, które, pobierane przez niczego nie podejrzewających użytkowników, służą do rozprzestrzeniania szpiegowskiego oprogramowania Silverhawk. Jak na ironię, oprogramowanie udaje aktualizacje popularnych komunikatorów, takich jak np. Telegram, Chat-Secure itp., czyli programów, z których korzystają raczej ci, którzy chcą uniknąć szpiegowania ich urządzeń (Telegram na przykład znany jest z szyfrowania end-to-end). Opisywany złośliwy kod może udawać również aktualizację MS Office’a. Dla bezpieczeństwa Androida, warto nie tylko aktualizować aplikacje, ale też uruchamiać aktualizacje bezpośrednio w sklepie Google Play (graf. CHIP) Po tym jak złośliwy kod w formie fałszywej aktualizacji trafi na telefon ofiary, Syryjska Armia Elektroniczna jest w stanie niezauważenie rejestrować dźwięk i obraz (zdjęcia, wideo). Ponadto może kopiować wiadomości SMS oraz kontakty i eksportować treści z komunikatorów takich jak WhatsApp czy wspomniany Telegram. Hakerzy mają dostęp do aktualnych danych lokalizacyjnych i całej historii GPS, a także wszystkich danych aplikacji. Złośliwy kod umożliwia też odczytanie danych poprzez połączenie z innym telefonem komórkowym. Google oczywiście stara się neutralizować tego typu ataki w swoim sklepie, niemniej wciąż zdarzają się często. Recepta ekspertów? Korzystanie z mobilnego skanera antywirusowego. Ale przede wszystkim warto aktualizacje oprogramowania przeprowadzać, klikając przycisk Aktualizuj w samym Google Play, a nie poprzez np. powiadomienie, które pojawia się na pasku. Utrata danych przez kabel ładujący Niestety, nawet jeżeli twoje urządzenie jest wyposażone w nowoczesne rozwiązania antywirusowe, dbasz o to, by wszystkie aktualizacje systemu i zainstalowanego w nim oprogramowania były zainstalowane, a ustawienia systemu są świetnie zestrojone pod kątem ochrony danych – napastnicy wciąż mogą odczytać twoje dane. Riccardo Spolaor z Oxford University zademonstrował ciekawą metodę bazującą na analizie zużycia energii podczas ładowania mobilnego urządzenia z systemem Android. Spolaor udowodnił, że w trakcie ładowania da się wejść do pamięci smartfonu. Przejściówka USB, wygląda jak zwykły pendrive, ale pozwala wyłącznie ładować urządzenie mobilne (fot. CHIP) Podstawowa idea nie jest tak do końca nowa. Być może niektórzy z was słyszeli już np. o zmanipulowanych ładowarkach na lotniskach czy w innych miejscach publicznych. Ofiara, podłączając swój telefon do publicznej ładowarki, myśli, że ładuje akumulator smartfonu, a tymczasem ukryty w ładowarce komputer umożliwia agresorom odczyt danych z telefonu. W przypadku najnowszych wersji Androida przeprowadzenie tego ataku nie jest już tak łatwe, ponieważ Google zadbało o ochronny kod, który blokuje nawiązywanie połączenia dla danych bez wyraźnej zgody użytkownika ładującego smartfon. Po prawej zwykłe złącze USB, po lewej złącze USB Data Blocker. Wyraźnie widać, że to drugie nie ma dwóch środkowych złącz odpowiedzialnych za transfer danych. Niestety, nawet bez pinów do przesyłu danych można przesłać dane (fot. CHIP) Co bardziej zapobiegliwy (lub paranoicy, jak wolą niektórzy) mogą stosować specjalne nakładki, przejściówki czy kable nazywane prześmiewczo „prezerwatywami USB”. To nakładki na złącze USB wtykane do ładowarki, które na wyjściu mają tylko dwa kontakty – co wystarcza do transferu energii, lecz wyklucza transfer danych. Jednak Ricardo Spolaor uporał się z odczytem danych nawet w przypadku owego „paranoidalnego” zabezpieczenia. Jego metoda wykorzystuje miernik prądu, którym można badać różnice w przepływie energii i w ten sposób rozpoznawać, kiedy wyświetlacz ładowanego smartfonu jest wyłączony, a kiedy CPU urządzenia jest mocno zajęte obliczeniami. Aby odczytać dane z zabezpieczonego urządzenia, napastnik musi zainstalować w smartfonie aplikację, która ma dostęp do odczytywanych danych. Spolaor napisał dla celów demonstracyjnych aplikację typu „proof-of-concept” (pomysł a nie gotowe rozwiązanie), udowadniając jednocześnie, że podczas prawdziwego ataku ukrycie aplikacji np. w standardowym budziku w Androidzie jest możliwe. Co więcej, programu Spolaora nie rozpoznają mobilne skanery AV czy mechanizmy radaru Google’a. Spolaor wyjaśnia, że aplikacja nie musi mieć żadnych uprawnień, więc nie budzi podejrzeń, jej zadaniem jest tylko komunikowanie się z komputerem w ładowarce i przesyłanie danych kodem Morse’a poprzez odpowiednie modulowanie impulsów elektrycznych. W jaki sposób alfabet Morse’a jest modulowany, skoro zakłada się, że użytkownik korzysta ze wspomnianej „prezerwatywy USB”, czyli z kabla pozbawionego pinów do transmisji danych? Pomiar prądu pobieranego przez smartfon pozwala wykryć np. obciążenie CPU (graf. CHIP) Wspomniałem, że miernik elektryczny jest w stanie wykryć zmiany obciążenia CPU ładowanego telefonu. Co robi zatem aplikacja Spolaora? Tak steruje cyklami pracy procesora, żeby jego obciążenie przekładało się na kod Morse’a na mierniku energii. Ochrona przed podobnym atakiem jest możliwa tylko w taki sposób, że użytkownik wyłączy smartfon podczas ładowania. Biorąc pod uwagę, jak trudno jest nam zwykle rozstać się ze smartfonem nawet na krótką chwilę, zwłaszcza kiedy czekamy na lotnisku, to mało prawdopodobny scenariusz. Niemniej po prezentacji Spolaora zaskakująco wielu uczestników konferencji Black Hat zaczęło wyłączać swoje telefony podczas korzystania z publicznych ładowarek. Nowe próby phishingu Atakujący mogą uzyskać dostęp do danych użytkowników komputerów stacjonarnych bez żadnych manipulacji sprzętowych. Cyberprzestępcy wykorzystują w tym celu stosunkowo starą technikę: phishing. Ponad 91 procent wszystkich ataków zaczyna się właśnie od tej metody. Jednak dziś phishing jest bardzo zaawansowany. Przez lata wystarczającą ochroną było szukanie zielonej kłódki obok paska adresu w przeglądarce. Ta wskazówka jest dziś przestarzała. Kłódka informuje tylko, że dana strona korzysta z szyfrowania, ale wcale nie oznacza – jak mylnie sądzi aż 82 procent internautów – że odwiedzany serwis jest faktycznie tą, zaufaną stroną, którą chcieliśmy odwiedzić. Statystyki z Phishlabs pokazują, że dziś już co czwarty atak phishingowy korzysta z certyfikatów TLS, co oznacza, że, będąc nawet na fałszywej, podszywającej się pod znany serwis stronie, będziemy widzieć w przeglądarce zieloną kłódkę. Laikowi nie zawsze jest łatwo rozpoznać taki certyfikat hakera. Nowoczesne systemy antywirusowe, dzięki wsparciu algorytmów sztucznej inteligencji, są w stanie wykrywać certyfikaty TLS, których celem jest jedynie ukrycie czy blokowanie widoczności złośliwych adresów URL. Z drugiej strony, napastnicy również nie śpią. Alejandro Correa Bahnsen z Cyxtera Technologies zademonstrował na Black Hat metodę ataku polegającą na skutecznym zablokowaniu rozpoznawania certyfikatów przez oprogramowanie antywirusowe. Bahnsen zaprogramował sztuczną inteligencję, która poprawia atak dzięki uczeniu maszynowemu. Wskaźnik powodzenia ataków konwencjonalnych wzrósł z około 5 do 36 procent w przypadku stosowania „złośliwej” AI. Kto mieczem wojuje ten od miecza ginie? Według Bahnsena należy zainwestować więcej w rozwój systemów SI, które będą w przyszłości wykrywać takie ataki i staną się po prostu „mądrzejsze” od SI stosowanych przez cyberprzestępców. Ciepło prawdę ci powie Specjalista w zakresie kryptografii z Uniwersytetu Kalifornijskiego, Ercan Ozturk, opracował atak, który wykorzystuje, jako bramę, nieświadomego użytkownika, a dokładniej ciepło jego ciała. Ozturk użył kamery termowizyjnej, aby z wysoką skutecznością odczytać znaki z klawiatur, na których użytkownicy wprowadzili właśnie swoje hasła. Wynik jest o tyle imponujący, że nawet w przypadku złożonych ciągów znaków, czas, jakiego potrzebował badacz na poprawne odszyfrowanie hasła, wynosił maksymalnie 40 sekund. Kamera termowizyjna okazuje się być użytecznym narzędziem do łamania haseł (fot. CHIP) W znacznie lepszej sytuacji są tu użytkownicy, którzy posiedli umiejętność bezwzrokowego pisania na klawiaturze przy użyciu wszystkich dziesięciu palców, pod warunkiem jednak, że wszystkie z nich trzymają na klawiaturze. Niestety wiele osób wpisuje hasła nawet tylko jednym palcem, co ułatwia rozpoznanie za pomocą metody zaprezentowanej przez Ercana Ozturka. Niemniej badacz przyznaje, że można stosunkowo łatwo zabezpieczyć się przed tym atakiem. Wystarczy że – dosłownie – pogłaszczą całą klawiaturę płaską dłonią przed opuszczeniem stanowiska, a tym samym w miarę równomiernie nagrzeją wszystkie klawisze. Analiza termiczna obrazu pozwala nie tylko wykryć, które z klawiszy były naciskane, ale też w jakiej kolejności (fot. CHIP) Niekiedy jednak zrobisz wszystko dobrze, masz aktualizacje, oprogramowanie AV, wyłączasz telefon podczas ładowania na lotnisku, głaszczesz pieszczotliwie klawiaturę przed opuszczeniem choćby na chwilę stanowiska pracy, a i tak cię dopadną… Uwierzytelniające tokeny RSA SecurID to chętnie wykorzystywane przez korporacje narzędzie weryfikacji tożsamości uprawnionych osób (fot. CHIP) Joe Fitzpatrick, kolejny ekspert prezentujący swoje dokonania na konferencji Black Hat, ostrzega przez zmanipulowanym sprzętem, z którego korzystają użytkownicy. Mogą to być np. klawiatury, czytniki kart płatniczych itp. Na przykład w Stanach Zjednoczonych miał miejsce przypadek, kiedy agresorzy zmodyfikowali czytnik kart zainstalowany w pompie paliwa na bezobsługowej stacji benzynowej. Czytnik przechowywał w swojej pamięci dane kart kredytowych wszystkich użytkowników konkretnej stacji. Hakerzy przychodzili co kilka dni, by odczytać pamięć urządzenia. Fitzpatrick pokazał również rozwiązanie koncepcyjne polegające na wyposażeniu RSATokena w dodatkowy układ scalony, który przekazuje agresorowi przez radio hasło wyświetlane na niewielkim wyświetlaczu tokena. Niepewny łańcuch dostaw urządzeń zabezpieczających to ryzyko, że ktoś dokona w nich zmian (fot. CHIP) Fitzpatrick swoją prezentacją chciał zainteresować duże przedsiębiorstwa, w których szpiegostwo przemysłowe opłaca się i które używają kluczy RSA do zabezpieczenia ważnych punktów dostępu na komputerach. Tokenami RSA można manipulować np. w fazie transportu, gdy są one przechowywane w magazynach firmy wysyłkowej. Dlatego ekspert zaleca stosowanie wyłącznie tych produktów, których łańcuch dostaw jest w pełni znany. Maszyny wirtualne są niebezpieczne Wielokrotnie z pewnością słyszeliście, że maszyny wirtualne to remedium na kłopoty ze złośliwym oprogramowaniem. Owszem, kiedyś tak było. Dziś nawet oprogramowanie wirtualizacyjne może być atakowane. Udowodnił to Zisis Sialveras z firmy CENSUS, który pokazał sposób wykorzystania protokołu SVGA-3D VMware do wysyłania i wykonywania kodu programu do systemu hosta w systemie wirtualnym. To przykład luki typu zero-day. Szczególnie niebezpieczny przypadek. Cechą luk typu zero-day jest przede wszystkim to, że są one praktycznie niewykrywalne przez jakiekolwiek oprogramowanie antywirusowe, a przynajmniej nie bezpośrednio. Można oczywiście liczyć na analizę heurystyczną i behawioralną, ale o ile agresor nie popełni błędów we wprowadzeniu własnego kodu podczas wykorzystania takiej luki, mamy do czynienia raczej z przypadkiem ataku nie do obrony. Zagrożenie przedstawione przez Sialverasa jest tym bardziej groźne, że zwykle wirtualne maszyny nie są tak dobrze chronione jak systemy rzeczywiste. W tym przypadku skończy się na opracowaniu odpowiedniej łaty (Zisis Sialveras współpracuje już w tej sprawie z VMware). To przy okazji kolejny dowód, że aktualizowanie systemów w telefonach, tabletach, smarttelewizorach i komputerach nie jest tylko pustą mantrą, a ma kluczowe znaczenia dla bezpieczeństwa urządzeń. | CHIP
Po zebraniu jak największej ilości informacji, zaczniesz sondować system, aby zrozumieć, jak się zachowuje i dowiedzieć się, jak zareaguje na atak. Prawdopodobnie skorzystasz narzędzia programowe do skanowania sieci i infrastruktury celu,. Możesz chcieć monitorować sieć przez pewien czas, aby zebrać jak najwięcej danych.
Haker to włamywacz internetowy wykorzystujący luki w systemie zabezpieczeń w celu uzyskania dostępu do cudzych danych. Na pewno posiada dużą wiedzę informatyczną, musi się znać na programowaniu i funkcjonowaniu serwerów sieciowych. Nie wszystkie działania hakera muszę być szkodliwe. Firmy informatyczne często korzystają z ich pomocy do testowania zabezpieczeń i wyszukiwanie luk w systemie. Środowisko hakerów stosuje się do własnych zasad etyki. Grupa przestrzegająca tych zasad określa się mianem white hat (białe kapelusze). Działają oni jawnie, a efekty swojej pracy publikują w czytelny sposób, tak aby administratorzy systemów mogli usuwać luki w zabezpieczeniach. Druga grupa to black hat (czarne kapelusze) ich działalność jest niezgodna z prawem lub na granicy prawa. Po wykryciu dziury w zabezpieczeniach nie ujawniają tego nikomu, tylko korzystają w nielegalny sposób z pozyskanych danych, często wyrządzając szkody właścicielom serwerów. Nawet jak sami bezpośrednio nie szkodzą to przygotowują programy dla mniej zaawansowanych, które mogą im posłużyć do włamań. Taki gotowy skrypt nazywa się exploitem, jego obsługa jest prosta, zgodnie z załączoną instrukcja używają jej początkujący hakerzy "script kiddies" Przesłanki, którym kierują się hakerzy są różne. Chcą zasłynąć, zrobić zamieszanie lub złośliwy żart. Mogą też wykradać dane w celu uzyskania korzyści lub zaszkodzeniu atakowanej firmie. Haker może działać bezpośrednio, przełamując zabezpieczenia i podszywając się za uprawnionego użytkownika. Może też atakować pośrednio, wykorzystując wirusy, backdoory i napisane przez innych hakerów konie trojańskie. Atak może przebiegać wielofazowo. Początkowo jest zupełnie niezauważalny przez użytkownika. Jest to faza instalowania backdoora. Ofiara może w tym pomóc hakerowi, pobierając podstępnie zainfekowany program lub otwierając podejrzany załącznik w poczcie elektronicznej. Haker może też sam pozostawić Trojana pry swojej pierwszej wizycie. Gdy już program jest na komputerze klienta, to pozostaje go tylko zdalnie uruchomić z pomoc drugiego programu działającego na komputerze hakera. Posiadając taką ukrytą furtkę komputer ofiary wykonuje to co mu zdalnie zleca haker. Może pobierać cenne dane, podglądać wpisywane hasła, niszczyć wybrane pliki lub całkowicie zablokować system. Nieumiejętne posługiwanie się koniem trojańskim, często tylko zawiesza system i daje szanse programom antywirusowym na ich blokowanie. Dobrze napisany program jest bardzo niebezpieczny, blokuje antywirusa i wszystkie zabezpieczenia systemowe, pozwala użytkownikowi normalnie pracować, a sam penetruje zwartość dysku twardego w poszukiwaniu potrzebnych informacji. Zaatakowany komputer może sam rozsyłać wirusy do odbiorców z książki adresowej i powielać swój kod na pozostałych komputerach. Posiadając najnowszą wersje oprogramowania i program antywirusowy z aktualną bazą wirusów minimalizujemy prawdopodobieństwo ataku ze strony hakera. Jednak system nigdy nie jest bezpieczny w 100%. Nowe wirusy pisane są na okrągło, stare są modyfikowane tak, aby ich nie rozpoznawały programy antywirusowe. Zawsze może się trafić koń trojański, którego przepuści firewall i nie rozpozna antywirus. Trzeba umieć rozpoznać podejrzane objawy, które świadczą o tym, że nasz komputer jest zainfekowany lub już haker uzyskał do niego dostęp. Posiadaczy systemu Windows powinna zaniepokoić nadmierna aktywność systemu w momencie jego bezczynności. Jeśli komputer wysyła duże ilości pakietów, pomimo że nic akurat nie robimy to prawdopodobnie z naszego komputera pobierane są jakieś dane lub bez naszej wiedzy rozsyła wirusy. Podobnie niepokojąca jest aktywność dysku twardego w czasie bezczynności systemu. Nasz firewall może zablokować dużą ilość pakietów pochodzących z jednego IP, to może oznaczać, że haker testował wiele typów exploitów, na razie nie udało mu się uzyskać dostępu, ale i tak warto zablokować taki podejrzany adres IP. Również komunikaty o wykryciu wirusa przez program antywirusowy w momencie gdy sam użytkownik niczego nie otwiera, może oznaczać obecność hakera w systemie. Nawet jak w danej chwili nie widać objawów infekcji, to mogą być już testowane różne Trojany w celu uzyskanie pełnego dostępu. W komputerach pod systemach Unix obecność exploitów możemy rozpoznać po pozostawionych plikach w folderze /tmp, niektóre robaki wykorzystują ten folder jako domowy dla potrzeb kompilacji swojego kodu. Dobrym miejscem na pozostawienie back doora są foldery 'login', 'telnet', 'ftp', 'finger' pojawienie się tu nowych plików bywa trudne do wykrycia, a by móc to kontrolować trzeba okresowo sprawdzać sumy kontrolne. Objawem infekcji w Linuxie są zmodyfikowane pliki w folderach: pliki /etc/passwd, /etc/shadow i głównym /etc. Działanie trzeba podjąć gdy niespodziewanie pojawi się nowy użytkownik o nieznanej wcześniej nazwie. Został on podstępnie utworzony w celu przyszłego zdalnego logowania. Haker w Linuxie może zainstalować back doora dodając tylko dwie linijki kodu i uruchomi nowe usługi w folderach: /etc lub /etc/ Ważne jest aby monitorować wpisy w tych folderach bo mogą w prosty sposób przyłączyć backdora do nieużywanego portu. Typową metodą ataków na serwery http jest DoS (Denial of Service) jego celem jest przeciążenie i zablokowanie serwera. Ofiarą ataku może paść każdy serwer w dowolnym systemie, bo wykorzystuje się tu protokół IP popularny w Internecie. Popularne programy do ataków DoS to: bonk, boink, Hanson, Jolt, Land, Pong, Teardrop i Winnuke. Powodują one zawieszenie systemu, blokadę lub przeciążenie. Kolejne mutacje programów do DoS: "SYN Flood Attack" i "Smurf Attack" działają na podobnych zasadach, wysyłają dużą liczbę zapytań, na które serwer nie nadąża odpowiadać i się blokuje lub uszkadza. Odmianą ataku DoS jest zmasowany atak DDoS (Distributed Denial of Servic) wykonuje się go jednocześnie z wielu komputerów, na skutek zalewu zapytań serwer jest przeciążony i strony przestają działać. Spoofing (maskarada) to bardzo zaawansowana technika ataku hakera, podszywa się on pod IP uprawnionego użytkownika i bezkarnie penetruje serwery, nie jest rozpoznany przez firewall, switche i rutery. Atak na serwer pocztowy to działanie hakera mające na celu przechwycenie poczty użytkowników, modyfikacje wiadomości i podszywanie się pod innych nadawców. Skuteczne ataki możliwe są dzięki błędom użytkowników, haker często korzysta z socjotechniki (social engineering) przez inteligentny wywiad wyłudza informacje przydatne do włamania. Ze zwykłej rozmowy na temat na pozór mało istotny, może się dowiedzieć o szczegółach działania sieci firmowej, a niekiedy podstępnie uzyskać wyjawienie haseł. Wbrew pozorom przyczyny większości włamań to nie pokonywanie zabezpieczeń, bo te wymagają sporej wiedzy lecz właśnie cierpliwa obserwacja i poznawanie zwyczajów użytkownika. Właściciele serwerów nadal stosują proste do odgadnięcia hasła lub używają jednego hasła do różnych celów. Skutki takich błędów to utrata danych, strat finansowe i wizerunkowe. 25 najpopularniejszych haseł na świecie. Miejsce pierwsze, drugie i trzecie zostało już wyżej wymienione, ale aby lista była kompletna zaczniemy właśnie od nich: 123456. password. 123456789. 12345678. 12345. 111111. 1234567.
Większość luk w komputerach może zostać wykorzystana na wiele różnych sposobów. Ataki hakerów mogą wykorzystywać jeden konkretny exploit, kilka exploitów równocześnie, złą konfigurację, jeden z elementów systemu lub nawet backdoora z wcześniejszego ataku. Z tego względu wykrycie ataków hakera jest niełatwym zadaniem dla niedoświadczonego użytkownika. Artykuł ten zawiera kilka podstawowych wskazówek mających pomóc użytkownikom w rozpoznaniu, czy ich komputery są atakowane, lub czy nastąpiło włamanie do systemu. Należy jednak pamiętać, podobnie jak w przypadku wirusów, że przedstawione sposoby nie dają 100% gwarancji wykrycia ataków hakerów. Istnieje jednak duże prawdopodobieństwo, że system, do którego włamano się, będzie zachowywał się na jeden lub więcej następujących sposobów: duży ruch sieciowy wychodzący. Jeżeli użytkownik korzysta z połączenia Dial-Up lub ADSL i zauważy wyższe niż zazwyczaj natężenie ruchu sieciowego wychodzącego (szczególnie gdy komputer jest bezczynny lub niekoniecznie wysyła dane), może to oznaczać, że ktoś naruszył ochronę danych może zostać użyty do rozsyłania spamu lub wykorzystany przez robaka sieciowego, który tworzy i wysyła swoje własne kopie. Mniejsze znaczenie ma to w przypadku połączeń kablowych - ruch wychodzący jest wówczas zazwyczaj taki sam jak przychodzący, nawet jeśli nie robimy nic więcej poza przeglądaniem stron lub ściąganiem danych z aktywność dysku lub podejrzanie wyglądające pliki w folderach głównych dowolnego napędu. Po włamaniu do systemu wielu hakerów przeprowadza masowe skanowanie w poszukiwaniu interesujących dokumentów lub plików zawierających hasła lub nazwy użytkownika dla kont bankowych lub systemów płatniczych, takich jak niektóre robaki przeszukują dysk w celu znalezienia adresów e-mail i wykorzystaniu ich do rozprzestrzeniania się. Jeśli dysk główny jest aktywny, nawet gdy system jest bezczynny, a popularne foldery zawierają pliki o podejrzanych nazwach, może to oznaczać włamanie do systemu lub infekcję złośliwym programem. 3. Duża liczba pakietów pochodząca z jednego adresu zatrzymana przez osobistą zaporę sieciową. Po zlokalizowaniu celu hakerzy uruchamiają zazwyczaj automatyczne narzędzia skanujące próbujące wykorzystać różne narzędzia w celu dokonania włamania do po uruchomieniu osobistej zapory sieciowej (podstawowy element ochrony przed atakami hakerów) użytkownik zauważy wyższą niż zazwyczaj liczbę zatrzymanych pakietów przychodzących z jednego adresu, oznacza to atak na komputer. Dobra wiadomość jest taka, że jeśli zapora zarejestrowała te ataki, prawdopodobnie komputer jest w zależności od liczby usług udostępnionych w Internecie, osobista zapora sieciowa może nie uchronić użytkownika przed atakiem skierowanym na konkretną usługę uruchomioną i udostępnioną w systemie. W tym przypadku rozwiązaniem może być tymczasowe zablokowanie atakującego adresu IP do czasu ustania prób połączeń. Wiele osobistych zapór sieciowych i systemów wykrywania włamań (IDS) ma wbudowaną taką Chociaż nie wykonano żadnej nietypowej czynności, rezydentny program antywirusowy zgłasza nagle wykrycie backdoora lub trojana. Ataki hakerów mogą być złożone i innowacyjne, jednak wielu włamywaczy w celu zdobycia pełnego dostępu do zaatakowanego systemu wykorzystuje znane trojany lub rezydentny składnik programu antywirusowego wykrywa i zgłasza taki złośliwy program, oznacza to, że możliwe jest uzyskanie dostępu do systemu z Lab Polska Przygotuj się do stosowania nowych przepisów! Poradnik prezentuje praktyczne wskazówki, w jaki sposób dostosować się do zmian w podatkach i wynagrodzeniach wprowadzanych nowelizacją Polskiego Ładu. Tyko teraz książka + ebook w PREZENCIE
. 12 123 384 227 92 341 288 295

jak rozpoznać atak hakera