Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Jak wykryć atak hakera


Większość luk w komputerach może zostać wykorzystana na wiele różnych sposobów. Ataki hakerów mogą wykorzystywać jeden konkretny exploit, kilka exploitów równocześnie, złą konfigurację, jeden z elementów systemu lub nawet backdoora z wcześniejszego ataku.

Z tego względu wykrycie ataków hakera jest niełatwym zadaniem dla niedoświadczonego użytkownika. Artykuł ten zawiera kilka podstawowych wskazówek mających pomóc użytkownikom w rozpoznaniu, czy ich komputery są atakowane, lub czy nastąpiło włamanie do systemu. Należy jednak pamiętać, podobnie jak w przypadku wirusów, że przedstawione sposoby nie dają 100% gwarancji wykrycia ataków hakerów. Istnieje jednak duże prawdopodobieństwo, że system, do którego włamano się, będzie zachowywał się na jeden lub więcej następujących sposobów:

Komputery działające pod kontrolą systemu Windows:

  • Podejrzanie duży ruch sieciowy wychodzący. Jeżeli użytkownik korzysta z połączenis Dial-Up lub ADSL i zauważy wyższe niż zazwyczaj natężenie ruchu sieciowego wychodzącego (szczególnie gdy komputer jest bezczynny lub niekoniecznie wysyła dane), może to oznaczać, że ktoś naruszył ochronę danych komputera. Komputer może zostać użyty do rozsyłania spamu lub wykorzystany przez robaka sieciowego, który tworzy i wysyła swoje własne kopie. Mniejsze znaczenie ma to w przypadku połączeń kablowych - ruch wychodzący jest wówczas zazwyczaj taki sam jak przychodzący, nawet jeśli nie robimy nic więcej poza przeglądaniem stron lub ściąganiem danych z Internetu.
  • Zwiększona aktywność dysku lub podejrzanie wyglądające pliki w katalogach głównych dowolnego napędu. Po włamaniu do systemu wielu hakerów przeprowadza masowe skanowanie w poszukiwaniu interesujących dokumentów lub plików zawierających hasła lub nazwy użytkownika dla kont bankowych lub systemów płatniczych, takich jak PayPal. Analogicznie, niektóre robaki przeszukują dysk w celu znalezienia adresów e-mail i wykorzystaniu ich do rozprzestrzeniania się. Jeśli dysk główny jest aktywny, nawet gdy system jest bezczynny, a popularne foldery zawierają pliki o podejrzanych nazwach, może to oznaczać włamanie do systemu lub infekcję złośliwym programem.
  • Duża liczba pakietów pochodząca z jednego adresu zatrzymana przez osobistą zaporę ogniową. Po zlokalizowaniu celu (np. zakres adresów IP firmy lub pula domowych użytkowników kablowych) hakerzy uruchamiają zazwyczaj automatyczne narzędzia sondujące próbujące wykorzystać różne exploity w celu dokonania włamania do systemu. Jeśli po uruchomieniu osobistej zapory ogniowej (podstawowy element ochrony przed atakami hakerów) użytkownik zauważy wyższą niż zazwyczaj liczbę zatrzymanych pakietów przychodzących z jednego adresu, oznacza to atak na komputer. Dobra wiadomość jest taka, że jeśli zapora ogniowa zarejestrowała te ataki, prawdopodobnie komputer jest bezpieczny. Jednak w zależności od liczby usług udostępnionych w Internecie, osobista zapora ogniowa może nie uchronić użytkownika przed atakiem skierowanym na konkretną usługę FTP uruchomioną i udostępnioną w systemie. W tym przypadku rozwiązaniem może być tymczasowe zablokowanie atakującego adresu IP do czasu ustania prób połączeń. Wiele osobistych zapór ogniowych i systemów wykrywania włamań (IDS) ma wbudowaną taką funkcję.
  • Chociaż nie wykonano żadnej nietypowej czynności, rezydentny program antywirusowy zgłasza nagle wykrycie backdoora lub trojana. Ataki hakerów mogą być złożone i innowacyjne, jednak wielu włamywaczy w celu zdobycia pełnego dostępu do zaatakowanego systemu wykorzystuje znane trojany lub backdoory. Jeżeli rezydentny składnik programu antywirusowego wykrywa i zgłasza taki złośliwy program, oznacza to, że możliwe jest uzyskanie dostępu do systemu z zewnątrz.

Komputery działające pod kontrolą systemu Unix:

  • Pliki o podejrzanych nazwach w folderze /tmp. Wiele exploitów w świecie Uniksa tworzy tymczasowe pliki w standardowym folderze /tmp, które po włamaniu do systemu nie zawsze są usuwane. Dotyczy to niektórych robaków infekujących systemy Unix; kompilują się ponownie w folderze /tmp i używają go jako swojego katalogu domowego.
  • Zmodyfikowane binaria systemu, takie jak 'login', 'telnet', 'ftp', 'finger', lub bardziej złożone demony, takie jak 'sshd', 'ftpd'. Po włamaniu do systemu haker próbuje zazwyczaj zabezpieczyć dostęp przez umieszczenie backdoora w jednym z demonów z dostępem uzyskiwanym bezpośrednio z Internetu lub poprzez modyfikację standardowych urządzeń systemu używanych do połączeń z innymi systemami. Te zmodyfikowane binaria często są częścią głównego zestawu i są "utajnione" podczas przeprowadzania bezpośredniej, prostej kontroli. W każdym przypadku zalecane jest prowadzenie bazy danych sum kontrolnych dla każdego urządzenia systemowego i ich okresowa weryfikacja w trybie off-line.
  • Zmodyfikowane pliki /etc/passwd, /etc/shadow lub inne pliki systemowe w folderze /etc. Niekiedy w wyniku ataków hakerów w pliku /etc/passed dodany jest nowy użytkownik, który może zostać zdalnie zalogowany w późniejszym czasie. Należy zwracać uwagę na podejrzane nazwy użytkowników w pliku password i monitorować wszelkie zmiany, szczególnie w systemie dla wielu użytkowników.
  • Podejrzane usługi dodane do /etc/. Uruchomienie backdoora w systemie Unix jest czasami kwestią dodania dwóch wierszy tekstu. Można to osiągnąć modyfikując usługi /etc, jak również /etc/ined.conf. Należy zatem dokładnie monitorować te dwa pliki, zwracając uwagę na wszelkie zmiany mogące wskazywać na przyłączenie backdoora do nieużywanego lub podejrzanego portu.