Jak wykry膰 atak hakera
Wi臋kszo艣膰 luk w komputerach mo偶e zosta膰 wykorzystana na wiele r贸偶nych sposob贸w. Ataki haker贸w mog膮 wykorzystywa膰 jeden konkretny exploit, kilka exploit贸w r贸wnocze艣nie, z艂膮 konfiguracj臋, jeden z element贸w systemu lub nawet backdoora z wcze艣niejszego ataku.
Z tego wzgl臋du wykrycie atak贸w hakera jest nie艂atwym zadaniem dla niedo艣wiadczonego u偶ytkownika. Artyku艂 ten zawiera kilka podstawowych wskaz贸wek maj膮cych pom贸c u偶ytkownikom w rozpoznaniu, czy ich komputery s膮 atakowane, lub czy nast膮pi艂o w艂amanie do systemu. Nale偶y jednak pami臋ta膰, podobnie jak w przypadku wirus贸w, 偶e przedstawione sposoby nie daj膮 100% gwarancji wykrycia atak贸w haker贸w. Istnieje jednak du偶e prawdopodobie艅stwo, 偶e system, do kt贸rego w艂amano si臋, b臋dzie zachowywa艂 si臋 na jeden lub wi臋cej nast臋puj膮cych sposob贸w:
- Podejrzanie du偶y ruch sieciowy wychodz膮cy. Je偶eli u偶ytkownik korzysta z po艂膮czenis Dial-Up lub ADSL i zauwa偶y wy偶sze ni偶 zazwyczaj nat臋偶enie ruchu sieciowego wychodz膮cego (szczeg贸lnie gdy komputer jest bezczynny lub niekoniecznie wysy艂a dane), mo偶e to oznacza膰, 偶e kto艣 naruszy艂 ochron臋 danych komputera. Komputer mo偶e zosta膰 u偶yty do rozsy艂ania spamu lub wykorzystany przez robaka sieciowego, kt贸ry tworzy i wysy艂a swoje w艂asne kopie. Mniejsze znaczenie ma to w przypadku po艂膮cze艅 kablowych - ruch wychodz膮cy jest w贸wczas zazwyczaj taki sam jak przychodz膮cy, nawet je艣li nie robimy nic wi臋cej poza przegl膮daniem stron lub 艣ci膮ganiem danych z Internetu.
- Zwi臋kszona aktywno艣膰 dysku lub podejrzanie wygl膮daj膮ce pliki w katalogach g艂贸wnych dowolnego nap臋du. Po w艂amaniu do systemu wielu haker贸w przeprowadza masowe skanowanie w poszukiwaniu interesuj膮cych dokument贸w lub plik贸w zawieraj膮cych has艂a lub nazwy u偶ytkownika dla kont bankowych lub system贸w p艂atniczych, takich jak PayPal. Analogicznie, niekt贸re robaki przeszukuj膮 dysk w celu znalezienia adres贸w e-mail i wykorzystaniu ich do rozprzestrzeniania si臋. Je艣li dysk g艂贸wny jest aktywny, nawet gdy system jest bezczynny, a popularne foldery zawieraj膮 pliki o podejrzanych nazwach, mo偶e to oznacza膰 w艂amanie do systemu lub infekcj臋 z艂o艣liwym programem.
- Du偶a liczba pakiet贸w pochodz膮ca z jednego adresu zatrzymana przez osobist膮 zapor臋 ogniow膮. Po zlokalizowaniu celu (np. zakres adres贸w IP firmy lub pula domowych u偶ytkownik贸w kablowych) hakerzy uruchamiaj膮 zazwyczaj automatyczne narz臋dzia sonduj膮ce pr贸buj膮ce wykorzysta膰 r贸偶ne exploity w celu dokonania w艂amania do systemu. Je艣li po uruchomieniu osobistej zapory ogniowej (podstawowy element ochrony przed atakami haker贸w) u偶ytkownik zauwa偶y wy偶sz膮 ni偶 zazwyczaj liczb臋 zatrzymanych pakiet贸w przychodz膮cych z jednego adresu, oznacza to atak na komputer. Dobra wiadomo艣膰 jest taka, 偶e je艣li zapora ogniowa zarejestrowa艂a te ataki, prawdopodobnie komputer jest bezpieczny. Jednak w zale偶no艣ci od liczby us艂ug udost臋pnionych w Internecie, osobista zapora ogniowa mo偶e nie uchroni膰 u偶ytkownika przed atakiem skierowanym na konkretn膮 us艂ug臋 FTP uruchomion膮 i udost臋pnion膮 w systemie. W tym przypadku rozwi膮zaniem mo偶e by膰 tymczasowe zablokowanie atakuj膮cego adresu IP do czasu ustania pr贸b po艂膮cze艅. Wiele osobistych zap贸r ogniowych i system贸w wykrywania w艂ama艅 (IDS) ma wbudowan膮 tak膮 funkcj臋.
- Chocia偶 nie wykonano 偶adnej nietypowej czynno艣ci, rezydentny program antywirusowy zg艂asza nagle wykrycie backdoora lub trojana. Ataki haker贸w mog膮 by膰 z艂o偶one i innowacyjne, jednak wielu w艂amywaczy w celu zdobycia pe艂nego dost臋pu do zaatakowanego systemu wykorzystuje znane trojany lub backdoory. Je偶eli rezydentny sk艂adnik programu antywirusowego wykrywa i zg艂asza taki z艂o艣liwy program, oznacza to, 偶e mo偶liwe jest uzyskanie dost臋pu do systemu z zewn膮trz.
- Pliki o podejrzanych nazwach w folderze /tmp. Wiele exploit贸w w 艣wiecie Uniksa tworzy tymczasowe pliki w standardowym folderze /tmp, kt贸re po w艂amaniu do systemu nie zawsze s膮 usuwane. Dotyczy to niekt贸rych robak贸w infekuj膮cych systemy Unix; kompiluj膮 si臋 ponownie w folderze /tmp i u偶ywaj膮 go jako swojego katalogu domowego.
- Zmodyfikowane binaria systemu, takie jak 'login', 'telnet', 'ftp', 'finger', lub bardziej z艂o偶one demony, takie jak 'sshd', 'ftpd'. Po w艂amaniu do systemu haker pr贸buje zazwyczaj zabezpieczy膰 dost臋p przez umieszczenie backdoora w jednym z demon贸w z dost臋pem uzyskiwanym bezpo艣rednio z Internetu lub poprzez modyfikacj臋 standardowych urz膮dze艅 systemu u偶ywanych do po艂膮cze艅 z innymi systemami. Te zmodyfikowane binaria cz臋sto s膮 cz臋艣ci膮 g艂贸wnego zestawu i s膮 "utajnione" podczas przeprowadzania bezpo艣redniej, prostej kontroli. W ka偶dym przypadku zalecane jest prowadzenie bazy danych sum kontrolnych dla ka偶dego urz膮dzenia systemowego i ich okresowa weryfikacja w trybie off-line.
- Zmodyfikowane pliki /etc/passwd, /etc/shadow lub inne pliki systemowe w folderze /etc. Niekiedy w wyniku atak贸w haker贸w w pliku /etc/passed dodany jest nowy u偶ytkownik, kt贸ry mo偶e zosta膰 zdalnie zalogowany w p贸藕niejszym czasie. Nale偶y zwraca膰 uwag臋 na podejrzane nazwy u偶ytkownik贸w w pliku password i monitorowa膰 wszelkie zmiany, szczeg贸lnie w systemie dla wielu u偶ytkownik贸w.
- Podejrzane us艂ugi dodane do /etc/. Uruchomienie backdoora w systemie Unix jest czasami kwesti膮 dodania dw贸ch wierszy tekstu. Mo偶na to osi膮gn膮膰 modyfikuj膮c us艂ugi /etc, jak r贸wnie偶 /etc/ined.conf. Nale偶y zatem dok艂adnie monitorowa膰 te dwa pliki, zwracaj膮c uwag臋 na wszelkie zmiany mog膮ce wskazywa膰 na przy艂膮czenie backdoora do nieu偶ywanego lub podejrzanego portu.