Czy twój pecet jest w rękach hakerów?

Jak sprawdzić, czy twój system nie padł ofiarą hakerów? Jak się od nich uwolnić? To może spotkać każdego. Być może twój komputer padł ofiarą hakerów, którzy bez twojej zgody i wiedzy używają go do swoich niecnych celów. Sprawdź koniecznie swój system - im prędzej, tym lepiej!

Bądź czujny. Za każdym razem, gdy zachowanie twojego systemu odbiega od normy, powinieneś zadać sobie pytanie - czy do mojego komputera dobrali się hakerzy? Jeśli taka myśl wydaje ci się niedorzeczna, powinieneś zapoznać się z badaniami ekspertów ds. zabezpieczeń firmy CipherTrust ( http://www.ciphertrust.com/resources/statistics/zombie.php ). Wyniki są zastraszające. Codziennie dochodzi do ok. 250 000 nowych infekcji. Oznacza to, że dzień w dzień 250 tys. użytkowników traci niepostrzeżenie kontrolę nad swoim pecetem. Takie komputery przejęte przez hakerów fachowcy określają mianem "zombie". Pecety te przestają być posłuszne swoim właścicielom. Na polecenie hackerów łączą się tysiącami w formacje cyfrowej armii ("botnet"), aby paraliżować serwery internetowe bądź wykonywać ataki DoS (Denial of Service). Komputerowi piraci kierują się pobudkami finansowymi. Mając w ręku tak liczną armię, można wyłudzić od niejednej potencjalnej ofiary bardzo poważny okup. A niejeden właściciel serwisu internetowego woli zapłacić nawet wysoką kwotę, niż narazić się na jeszcze większe szkody pieniężne wynikające z tymczasowej bezużyteczności jego witryny - tym bardziej, że atak spowoduje rysę na jego wizerunku.

Działaj szybko. Poniższa instrukcja pozwoli ci szybko przeanalizować swój system, aby upewnić się, że nie jest w rękach cyberprzestępców. Tylko jedno jest pewne - tylko brak jakichkolwiek odkryć to dobry wynik. Każda wątpliwość wymaga konsekwentnego postępowania i podjęcia określonych środków (patrz dalej). W przebadaniu i zabezpieczeniu systemu pomogą ci bezpłatne narzędzia do walki z atakami hakerów.

Analiza systemu

Hakerzy próbują uzyskać zdalny dostęp do obcych komputerów. W tym celu najpierw umieszczają w nich szkodliwy kod, który później uruchamiają. Bardziej szczegółowo opisujemy ich postępowanie w ramce. Kod przemycony do komputera ofiary otwiera tzw. tylne drzwi (z ang. backdoor) w zainfekowanym pececie - nawet jeśli po zaatakowaniu komputera załatano luki w zabezpieczeniach, wzmocniono restrykcje zapory sieciowej i zaktualizowano bazy sygnatur programu antywirusowego. Poniżej opisujemy w pięciu punktach, jak wykryć taką napaść.

1. Objawy budzące pierwsze podejrzenia

Hakerzy stawiają na dyskrecję. Ich celem jest, aby użytkownik komputera możliwie późno, a najlepiej w ogóle nie nabrał podejrzeń, bo wówczas przedsięwziąłby odpowiednie środki zaradcze. Mimo to każdy pecet-zombie wykonuje dla hakera określone zadanie. W ten sposób występują w systemie zjawiska, które powinny postawić cię w stan maksymalnej gotowości.

Nadzorowanie operacji. Pozostaw system na kilka(naście) minut, nie ingerując w jego działanie, i zwróć uwagę na diody informujące o aktywności twardego dysku i karty sieciowej (lub routera). Ciągłe migotanie oznacza częste operacje wykonywane na dysku bądź żwawą wymianę danych z Siecią. Jednak samo to jeszcze wcale nie musi oznaczać, że coś jest nie w porządku. Podobne objawy mogą być spowodowane przede wszystkim automatycznym aktualizowaniem systemu czy choćby usługą indeksowania w systemie Windows. Niemniej jednak tak intensywna wymiana danych nie powinna trwać nieprzerwanie. Przywołaj więc Menedżer zadań (klawisze [Ctrl Alt Del]) i zaobserwuj obciążenie procesora, a także stopień wykorzystania sieci. Parametry te znajdują się na kartach Wydajność i Sieć. Oprócz tego podejrzenia powinien wzbudzać bardzo ślamazarnie działający system, nie reagujący wcale lub reagujący w dużych odstępach czasu na uderzenia klawiszy i ruchy myszą.

Niechciane okna pop-up. Podejrzenia powinny paść również na system, w którym podczas internetowych wędrówek na ekranie pojawiają się wyskakujące okna mimo włączonej blokady tego typu reklam.

Plik Hosts. Sprawdź plik o nazwie Hosts w katalogu \Windows\System32\Drivers\etc. Plik ten może zawierać przydziały adresów IP do określonych nazw hostów (np. witryn internetowych). Może więc przekierowywać przywołania witryn internetowych na serwery hakerów lub np. strony, które usiłują wyłudzić poufne dane ofiary. Otwórz wspomniany plik za pomocą dowolnego edytora tekstowego (np. Notatnika) i obejrzyj dokładnie wszystkie wiersze, które nie zaczynają się od znaku #. Jeśli znajduje się tu coś innego niż 127.0.0.1 localhost lub ::1 localhost, i nie wpisałeś tego własnoręcznie, to istotna wskazówka oznaczająca zaatakowanie twojego peceta przez hakerów.

Kontrola adresu IP - ten publiczny adres IP nie budzi zastrzeżeń. Jeśli przy którymś z serwerów widniałaby czerwona kropka, dany komputer byłby podejrzany o rozsyłanie spamu.Adres IP. Sprawdź, czy twój publiczny adres IP figuruje w bazach danych serwisów antyspamowych. Wprawdzie przy zmiennym adresie IP jest to mało prawdopodobne, niemniej jednak powinieneś wykluczyć tę ewentualność. Przywołaj witrynę http://www.dnsbl.info i kliknij przycisk Check this IP. Jeśli koło choć jednej nazwy serwera widnieje czerwona kropka, twój adres jest w bazach antyspamowych, a twój komputer został przypuszczalnie użyty przez hakerów do ich celów. Wszystko to może, ale nie musi dać się zaobserwować w dowolnym momencie. Zaufaj swojemu przeczuciu. Jeśli twój system zachowuje się od pewnego czasu trochę inaczej niż zazwyczaj, powinieneś go gruntownie przebadać. W kolejnych punktach opisujemy, jak to zrobić.

2. Skanowanie zewnętrznymi narzędziami

W systemie, w którym buszują lub buszowali hakerzy, nie możesz zaufać żadnej z zainstalowanych aplikacji, bo każda z nich mogła zostać odpowiednio spreparowana. Dlatego dokonaj analizy systemu za pomocą zewnętrznych narzędzi. Ta metoda ma dodatkową korzyść - w ten sposób ominiesz mechanizmy maskujące stosowane przez rootkity i skaner będzie miał dostęp do wszystkich plików. Najlepiej przebadaj swój system za pomocą pakietu Trinity Rescue Kit (dostępny pod adresem: http://trinityhome.org, środowiska: Windows 98/Me/2000/XP/Vista). Najpierw rozpakuj do dowolnego folderu na twardym dysku archiwum pobrane z Internetu. Korzystając z programu nagrywającego, utwórz startową płytę z obrazu ISO. Jeśli nie masz do dyspozycji własnego programu, np. popularnego pakietu Nero (informacje: http://www.nero.com i http://www.alstor.com.pl ), możesz skorzystać z bezpłatnej alternatywy. Godna polecenia jest m.in. ImgBurn (dostępny pod adresem: http://www.idg.pl/ftp/pc_17077/pc.html ). Wybierz tu opcję Write image file to disc. Kliknij menu File | Browse for File i wskaż rozpakowany plik obrazu. Teraz wybierz nagrywarkę w polu Destination i kliknij dużą ikonę nagrywania w dolnej części okna. Gdy pecet upora się z nagraniem płyty, pozostaw ją w napędzie i zrestartuj z niej system. W razie potrzeby przestaw w BIOS-ie kolejność napędów tak, aby nie uruchomił się Windows z twardego dysku, lecz system ratunkowy z przygotowanego przed chwilą krążka. Gdy na ekranie pojawi się wiersz poleceń, wpisz

virusscan -a -avg

Wówczas system zostanie przebadany antywirusowym skanerem Grisoft AVG. Gdy ujrzysz na ekranie pytanie Would you like to to forcemount the device?, naciśnij przycisk [Y]. W ten sposób potwierdzisz, że chcesz podwiązać do systemu napędy, czyli wszystkie zainstalowane w komputerze twarde dyski. Trinity Rescue Kit pobierze z Internetu najnowszą wersję programu antywirusowego, po czym samoczynnie rozpocznie badanie wszystkich plików na twardych dyskach. Jeśli w trakcie skanowania zostaną wykryte zarażone pliki, zgódź się na ich usunięcie. Po zakończeniu analizy zrestartuj system poleceniem reboot.

Mimo gruntownego przeskanowania systemu i ewentualnego pozbycia się zainfekowanych plików, nie możesz mieć całkowitej pewności, że twój system jest (znów) "czysty". Od tej pory powinieneś w regularnych odstępach czasu analizować bieżące procesy i nawiązywane połączenia sieciowe.