Narodowy test bezpieczeństwa neo

Postanowiliśmy wcielić się w cyberprzestępców-hakerów, żeby rozejrzeć się w Internecie. Naszym podstawowym celem były komputery wykorzystujące neostradę tp. Sprawdź, czy skopiowaliśmy również twoje pliki MP3.


Postanowiliśmy wcielić się w cyberprzestępców-hakerów, żeby rozejrzeć się w Internecie. Naszym podstawowym celem były komputery wykorzystujące neostradę tp. Sprawdź, czy skopiowaliśmy również twoje pliki MP3.

Cała akcja miała trwać najwyżej dwanaście godzin. Wszystkie operacje trzeba było tak zgrać, żebyśmy trafili na moment, w którym jest najmniejsze prawdopodobieństwo przetasowania puli adresów IP. Gdyby nam się nie udało, niektóre urządzenia mogłyby zostać policzone dwukrotnie. Jednakże bardzo ważne było zbadanie jak największej liczby kompute-rów, czyli liczyły się dla nas przedziały czasowe od 13:00 do 16:00 i od 18:30 do 21:30.

A zatem z pierwotnych dwunastu godzin zostało zaledwie sześć. Musieliśmy się sprężać.

Namierzamy cele

Żadna akcja nie może być skuteczna, gdy jej cel nie zostanie jasno zarysowany. Musieliśmy cię znaleźć, abonencie neostrady tp. Zadanie okazało się proste nawet dla początkujących użytkowników Internetu. Połowa sukcesu to umiejętność przejścia do witrynyhttp://www.ripe.net z poziomu dowolnej przeglądarki WWW. W znajdującym się po prawej stronie polu formularza RIPE Database Search wystarczy teraz wpisać NEOSTRADA-ADSL, aby otrzymać kompletną pulę adresów IP przypisanych abonentom neostrady tp. I tak:

  • Warszawa i okolice to przedziały 83.31.0.0 - 83.31.255.255, 83.24.0.0 - 83.24.255.255.
  • Katowice i okolice to przedziały 83.30.0.0-83.30.255.255, 83.22.0.0 - 83.22.255.255.
  • Łódź i okolice to przedział 83.26.0.0 - 83.26.255.255.
  • Gdańsk i okolice to przedział 83.25.64.0 - 83.25.255.255.
  • Kraków i okolice to przedział 83.29.0.0 - 83.29.255.255.
  • Poznań i okolice to przedział 83.23.0.0 - 83.23.255.255.
  • Szczecin i okolice to przedział 83.21.0.0 - 83.21.255.255.
  • Wrocław i okolice to przedział 83.27.0.0 - 83.27.255.255.

Oczywiście podane wyżej zakresy nie wyczerpują całkowitej puli należącej do Telekomunikacji Polskiej S.A. i przypisanej neostradzie tp. Postanowiliśmy się jednak na nich skupić, gdyż odpowiadają największym aglomeracjom w kraju. Na ich podstawie łatwo się zorientować, gdzie liczba abonentów TP S.A. jest wyższa (Warszawa, Katowice), a gdzie dość niska (Gdańsk).

Odpalamy działa

W maszynach, w których udostępnianie plików wykorzystywało port 445(Vista, poprawnie skonfigurowane XP lub nowsze wersje Samby), nie udało nam się przedostać przez ekran logowania - oczywiście nie znaliśmy haseł.

W maszynach, w których udostępnianie plików wykorzystywało port 445(Vista, poprawnie skonfigurowane XP lub nowsze wersje Samby), nie udało nam się przedostać przez ekran logowania - oczywiście nie znaliśmy haseł.

Przed nami najbardziej czasochłonny fragment akcji: musimy przeskanować ogromny fragment polskiego Internetu. Cała akcja będzie się odbywała automatycznie, nam pozostanie tylko wiara, że łącza i procesor komputera poradzą sobie z olbrzymim obciążeniem. Jako potencjalni cyberwłamywacze-hakerzy wpisujemy w terminalu:

nmap -O -v -p 139,445 83.25.66-252.3-252 >skanowanie.txt

Operację powtarzamy dla każdego z  zakresów i... czekamy. O tym, jak wielkie obciążenie generujemy, świadczą głosy niewtajemniczonych pracowników redakcji: wygląda na to, że niektórym dramatycznie zwolnił Internet. Przez najbliższe pięć minut wpisanie adresu WWW w przeglądarce będzie kończyło się błędem.

Ani myślimy się przyznawać, że to nasza zasługa.

Jak strzelamy?

Zapytasz może, skąd wzięły się magiczne przełączniki -O -v -p. To proste: -O -v nakazuje Nmapowi zbadanie sposobu, w jaki zdalny komputer odpowiada. Na tej podstawie aplikacja wnioskuje, czy ma do czynienia z Windows XP, 2000, Vistą, czy może z Linuksem.

Bardziej przydaje się przełącznik -p, za pomocą którego skanujemy dwa porty, 139 i 445. We wszystkich systemach operacyjnych, w których można udostępniać dyski i katalogi (z użyciem protokołu SMB), wykorzystywany jest właśnie port 139 lub 445. Im nowszy Windows, tym większa szansa na port 445.

Jeśli chcesz skopiować przez sieć pliki MP3 albo AVI, prosisz kolegę o włączenie opcji udostępniania plików i drukarek, co z kolei powoduje uchylenie firewalla. Taka mała szparka nam wystarczy.

Mamy wyniki

Komputer Julita wzbudził nasze zainteresowanie. Nie dość, że udostępniono jego zasoby, to jeszcze korzystał ze starszej wersji Windows.

Komputer Julita wzbudził nasze zainteresowanie. Nie dość, że udostępniono jego zasoby, to jeszcze korzystał ze starszej wersji Windows.

Kiedy półtora roku temu przeprowadzaliśmy podobne badanie polskiego Internetu (patrz:http://www.pcworld.pl/news/96614.html ), na każde 253 adresy IP przypadało mniej więcej 50 odpowiadających na nasze zapytania komputerów, przy czym mieliśmy poważne zastrzeżenia do co trzynastego. Mogliśmy bez problemu kopiować udostępnione pliki wideo, mu-zykę, instalować czyjeś drukarki (i drukować za ich pomocą!). Wyglądało to tak, jakby użytkownicy nie zdawali sobie sprawy, że wystawienie katalogu w Internecie wykrywane jest najwyżej w ciągu godziny. Badając ruch pakietów, łatwo zauważyć, że w Sieci bez przerwy odbywa się skanowanie portów i buszują boty wyszukujące komputery ze źle załatanymi aplikacjami.

Tym razem sytuacja wygląda o niebo lepiej. Choć liczba abonentów neostrady tp wzrosła - na typowy zakres przypadało 70-150 aktywnych maszyn - trafienie na źle zabezpieczony komputer było o wiele trudniejsze. Jeśli zdarzały się dwa systemy z niedomkniętymi firewallami, uznawaliśmy to za duży sukces.

Niemal zupełnie przestały działać stare sztuczki, w których podpinaliśmy się do udziałów administracyjnych (C$, D$, IPC$) albo logowaliśmy się za pomocą pary login:hasło Administrator:administrator. Nie chcąc naruszać prawa, nie wykorzystywaliśmy żadnych łamaczy haseł, bo dopóki uzyskujemy dostęp do zasobów widocznych w Internecie, nikt nam nie udowodni, że robimy to wbrew woli ich właściciela (choć zapytany o to prawnik uważa sprawę za dyskusyjną).