هكرها چگونه حمله می كنند قسمت اول

چارچوب عمومی حملات

اولین سوالی كه با آن روبه رو می شویم این است كه براساس سیستم عامل های موجود حملات چگونه چارچوب بندی می شود.
به بیان دیگر شمای كلی حملات مبتنی بر سیستم عامل چگونه تقسیم بندی می شود؟ در جواب باید 2 چارچوب متفاوت را تعریف كرد.
یك چارچوب براساس سیستم عامل ویندوز - مایكروسافت می تواند شامل ویندوز 98 ، Me ، 2000 ، ایكس پی و ان تی باشد - است و چارچوب بعدی سیستم عامل های اوپن سورس شامل لینوكس ، OpenBSD ، ترینوكس و برخی سیستم های یونیكس با درجه اهمیت پایین تر است.
چارچوب عمومی حملات سیستم عامل ویندوز ، سیستم عامل های مبتنی بر اوپن سورس شامل 98 ، Me ، 2000 ، ایكس پی و ان تی شامل لینوكس ، OpenBSD ، ترینوكس و برخی سیستم های یونیكس سطح پایین تر است.

حملات محلی و از راه دور

نكته بعدی این است كه حملات از نظر موقعیت مكانی حمله كننده به چند دسته تقسیم می شود بر این اساس یك حمله محلی یا Local داریم و یك حمله از راه دور یا Remote در نفوذ محلی حمله كننده با دسترسی فیزیكی به سیستم می تواند كار خود را پیش ببرد.
بدین معنی كه بتواند پشت ماشین قربانی نشسته و شروع به حمله كند.
بنابراین حمله محلی از نظر موقعیتی در همان محلی كه سیستم قربانی قرار دارد ، دسته بندی می شود.
اما حمله از راه دور برعكس بالا ، به گونه ای است كه حملات روی شبكه ها یا سیستم های قربانی به طریقه راه دور پیش می رود - در محیط شبكه اگر شما بخواهید به سیستم بغل دستتان (و نه سیستمی كه پشت آن نشسته اید) نفوذ كنید این نوع نفوذ از راه دور تعبیر می شود.
هركدام از نفوذهای فیزیكی یا از راه دور نیز قلق ها و روشهای خاص خود را دارد.

ماشین ورك استیشن (work station) همان ماشینی محسوب می شود كه كاربر پشت آن نشسته و با آن كار می كند.
اما دلایلی كه باید نسبت به این گونه حملات كه بعضا در بعضی مواقع دودمان یك سازمان را به باد می دهد حساس باشیم ، به شرح زیر است :
یكی این كه دسترسی هكر به ورك استیشن متصل به شبكه بدین معناست كه وی می تواند به راحتی به لیست كاربران ، اطلاعات دوباره سیستم ها و سرورها دسترسی نامحدود پیدا كند.
نكته بعدی این كه هكرها می توانند از طریق فیزیكی و نشستن پشت یك رایانه ساده ، ابتدا كلمه عبور آن را كشف كرده و وقتی وارد آن شدند دسترسی به سرورها را به راحتی آب خوردن برای خود فراهم نمایند.
نكته مهم تر این كه اگر یك كاربر ساده از طریق ورك استیشن یك برنامه جاسوسی یا اسب تروا را نصب كند آن وقت تمامی اطلاعات حساس شبكه به یغما رفته بدون این كه كسی متوجه شود.

انواع حملات محلی روی ورك استیشن

الف - عمومی ترین نوع حمله روی یك ماشین ورك استیشن به دست آوردن توانایی راهبری (Admin در ویندوز Root در سیستم های اوپن سورس مثل لینوكس) سیستم است.
معمولا در ویندوز ورك استیشن هكرها با تغییرنام (Rename) یا پاك كردن پوشه SAM در آدرس زیر به راهبری ماشین دست می یابند.
C:/ winnt/ system32/ config/ SAM
و در لینوكس با پرامت تحت Lilo و تایپ كلمه Linuxs می توان به توانایی راهبری سیستم بعنوان یك هكر دسترسی یافت.
ب : راه دیگر شكستن كلمه عبور است كه معمولا با برنامه های پسوردشكن مثل Lophtcrack (LC) هكر موفق به انجام این كار می شود و در بوت مجدد سیستم به راهبری دسترسی می یابد.
ج : نوع بعدی حمله روی ورك استیشن سرقت هارد ماشین و قراردادن آن روی یك رایانه دیگر در همان مجموعه یا جای دیگر است كه به همین راحتی اجازه سرقت اطلاعات بدون نفوذ از راه دور را می دهد.
معمولا سازمانهای بزرگ كه دیتاهای حساس را روی شبكه نگه نمی دارند هزینه زیادی برای حفظ امنیت فیزیكی ورك استیشن های خود می كنند تا بند را آب ندهند.
د: آخرین نوع حمله روی ورك استیشن اجرای كامندها و دستورات خاص هنگام Login كردن به سیستم و یا سوء استخراج كردن فایل ها (Exploiting files) است تا بوسیله آن به سیستم از طریق فیزیكی دسترسی یافت.
یك راه بسیار حیاتی اضافه كردن یك user یا اسم كاربری به سیستم از طریق دستورات ادیت در رجیستری است كه بوسیله آن می توان بدون داخل شدن به سیستم از طریق Regedit یك اسم كاربری در حد راهبر ساخت و وارد آن شد.
راه دیگر دسترسی به لیست برنامه های مشترك میان كاربران در شاخه زیر است:
c:/ Document and settings/ All users/ start menu/ programs/ startup

نفوذ در شبكه در 4گام

یك هكر برنامه ای 4مرحله ای را در نظر گرفته و روی آن كار می كند كه شامل موارد زیر است :

footprinting scanning and enumerating Researching Exploiting

1- Footprinting : فوت پرینتینگ در علوم رایانه ای پردازش دیتاهای انباشته شده در محیط شبكه خاص برای پیدا كردن راهی جهت دخالت و فضولی تعریف شده است.
فوت پرینتینگ می تواند حفره های سیستم را آشكار كند تا به وسیله آن هكر به وسیله exploiting (سوءاستخراج) وارد شبكه شود.
بر این اساس تعیین مكان و موضوع اینتروژن بر عهده فوت پرینتینگ است.
مثلا بیوگرافی خاص كاربران و دایركتوری كارمندان و برخی اطلاعات آنان كه روی محیط وب در شبكه ذخیره می شود منبع خوبی است تا هكر به وسیله آن دیتاهای مورد نظر را كسب كنند.
بنابراین جمع آوری اطلاعات اولیه به وسیله این فاكتور انجام می پذیرد.
حال این كه از چه فناوری اینترنتی و شبكه ای استفاده شده و سدهای امنیتی جلوی سیستم و سرورها چه نوع هستند نیز می تواند برای هكر راهگشا باشد.
هكر با دادن دستور Whois اول شناسنامه سرور قربانی را بیرون می كشد.
می توان از بسیاری از سایت هایی كه مشخصات سایت ها را ثبت كرده اند این اطلاعات را كسب كرد و شماره آی پی ماشین ها را بیرون كشید.
با همین روش می توان صفحات مشخص كاربران و شماره تلفن آنها را دید و حتی با یك كامند روی كدهای HTML نوشته شده برای حمایت به شبكه وارد شد.
گفتنی است روش موسوم به Socialengineering به عنوان یكی از متدهای نفوذ در شبكه در زیر مجموعه فوت پرینتینگ به شمار می آید.
مثلا یك هكر در لباس دوست برایتان ایمیل می زند و داخل ایمیل از شما اطلاعاتی می گیرد كه نباید آن را بدهید.
حتی با شما دوست می شود و به شبكه شما نیز می آید بدون آن كه متوجه شوید.
این روش بعضی مواقع راهبران را گول زده و باعث می شود خودشان با دست خودشان شبكه شان را به باد دهند.
در ضمن Ping كردن و دستورات رسیدن به آدرسهای اینترنتی از طریق برودكست نیز جزو فوت پرینتینگ است.

ادامه دارد...

به نقل از جام جم