4
www.hakin9.org
hakin9 Nr 9/2007
hakin9
5
www.hakin9.org
hakin9 Nr 2/2006
W skrócie
6
Mateusz Stępień
Przedstawiamy garść najciekawszych wiadomości
ze świata bezpieczeństwa systemów informatycz-
nych i nie tylko.
Zawartość CD
10
Prezentujemy zawartość i sposób działania najnowszej
wersji naszej sztandarowej dystrybucji hakin9.live.
Narzędzia
Recenzja VIP Anonymizer
12
Recenzja programu firmy Vipdefense
Recenzja ConceptDraw VI
Professional
13
Recenzja programu firmy
Computer Systems Odessa
Atak
Hakowanie sieci WiFi
14
Bartosz Kalinowski
Bartek w swoim artykule pokazuje najczęściej
występujące niebezpieczeństwa w sieciach WiFi,
oraz jakie ataki są przeprowadzane na użytkow-
ników tych sieci. W jaki sposób i do czego można
wykożystać podatności w sieciach bezprzewodo-
wych oraz na jakie niebezpieczeństwa narażeni są
użytkownicy hotspotów
Hardware hacking – oszukiwanie
zabezpieczeń biometrycznych
26
Grzegorz Błoński
Grzegorz pokazuje nam jak włamać się do systemu
zabezpieczonego skanerem linii papilarnych oraz
skanerem tęczówki oka. Uświadamia nas, że nie
warto ufać zabezpieczeniom biometrycznym.
Atak na Skype'a
34
Gianluigi Spagnuolo
Autor pokaże nam jak działa Skype, jakie techniki
wykorzystuje dla obrony przed debuggerami oraz jak
ukrywany jest ruch sieciowy.
Wykorzystanie tęczowych
tablic do łamania haseł
42
Paweł Maziarz
Paweł przybliży pojęcie tęczowych tablic, pokaże jak
dzięki nim złamać hasło do konta Windows, MySQL,
Cisco PIX.
Witamy!
Jest mi bardzo miło przywitać Państwa po wakacjach. Mam
nadzieję, że okres wakacyjny nie spowodował tego, że Pań-
stwo o nas zapomnieli, ponieważ – jak co miesiąc – przygo-
towaliśmy dla naszych Czytelników garść ciekawych artyku-
łów i programów, które udostępniamy na naszej płycie CD.
Tak, jak obiecaliśmy w poprzednim numerze, prezentu-
jemy Państwu naszą rozmowę z Bartłomiejem Wituckim,
rzecznikiem prasowym Business Software Alliance. Poru-
szyliśmy w niej wiele ciekawych tematów, które – mam
nadzieję – Państwa zainteresują i poszerzą wiedzę na temat
tej organizacji i jej działalności.
Wrześniowy hakin9 zawiera dużo interesujących infor-
macji, zaspokoi głód wiedzy naszych wszystkich Czytelni-
ków – i tych początkujących, i tych bardziej już doświadczo-
nych.
Gorąco polecam temat numeru jakim jest Hakowanie
WiFi Bartosza Kalinowskiego oraz Wykorzystanie tęczo-
wych tablic do łamania haseł.
Płyta CD zawiera, jak zwykle, wiele przydatnych progra-
mów, a mianowicie, PC–cillin Internet Security 2007 Trend
Micro, bbAntispam Advanced Textual Confirmation, Vip Pri-
vacy firmy VipDefense oraz E-book Unreliable Guide To
Hacking The Linux Kernel.
Zapraszam do lektury!
Katarzyna Juszczyńska
4
www.hakin9.org
hakin9 Nr 9/2007
hakin9
5
www.hakin9.org
hakin9 Nr 2/2006
Obrona
Access Control List (ACL)
– dostęp do obiektów .NET
48
Artur Żarski
Artur przybliża mechanizm jakim jest ACL oraz spo-
soby programowania list kontroli dostępu z poziomu
Microsoft.NET.
Słabe strony uwierzytelniania
hasłami
54
Cezary Cerekwicki
Czarek w swoim artykule pokaże nam, gdzie kryją się
słabości systemów uwierzytelniających hasłem oraz
jak te słabości wyeliminować.
Bezpieczna firma
Wdrożenie Systemu
Zarządzania Informacjami
60
Artur Kostowski
Artur przedstawi nam jak szybko i skutecznie wpro-
wadzić System zarządzania bezpieczeństwem infor-
macji oraz wyjaśni zagadnienia cyklu PDCA.
Testy Konsumenckie
68
Antywirusy
Testujemy popularne antywirusy. Do testów zaprosili-
śmy firmy Kaspersky i mks_vir.
Klub Techniczny
Jak zaoszczędzić milion
na utrzymaniu łącz
73
Wywiad
Wywiad z Bartłomiejem Wituickim,
z rzecznikiem BSA
74
Robert Gontarski, Katarzyna Juszczyńska
Felieton
Być bezpiecznym
– wariacje na temat
78
Patryk Krawaczyński
Zapowiedzi
82
Zapowiedzi artykułów, które znajdą się w następnym
wydaniu naszego pisma.
jest wydawany przez Software–Wydawnictwo Sp. z o.o.
Dyrektor: Sylwia Pogroszewska
Redaktor naczelna: Martyna Żaczek
martyna.zaczek@software.com.pl
Redaktor prowadząca: Katarzyna Juszczyńska
katarzyna.juszczynska.@software.com.pl
Asystent redaktora: Robert Gontarski
robert.gontarski@software.com.pl
Tłumaczenie: Katarzyna Kruś, Piotr Żuk
Wyróżnieni betatesterzy: Przemysław Prytek, Tomasz Przybylski
Opracowanie CD: Rafał Kwaśny
Kierownik produkcji: Marta Kurpiewska marta@software.com.pl
Skład i łamanie: Artur Wieczorek arturw@software.com.pl
Okładka: Agnieszka Marchocka
Dział reklamy: adv@software.com.pl
Prenumerata: Marzena Dmowska pren@software.com.pl
Adres korespondencyjny: Software–Wydawnictwo Sp. z o.o.,
ul. Bokserska 1, 02-682 Warszawa, Polska
Tel. +48 22 887 13 45, Fax +48 22 887 10 11
www.hakin9.org
Osoby zainteresowane współpracą prosimy o kontakt:
cooperation@software.com.pl
Jeżeli jesteś zainteresowany zakupem licencji na wydawanie naszych
pism prosimy o kontakt:
Monika Nowicka
e-mail: monika.nowicka@software.com.pl
tel.: +48 (22) 887 12 66
fax: +48 (22) 887 10 11
Druk: 101 Studio, Firma Tęgi
Redakcja dokłada wszelkich starań, by publikowane w piśmie i na
towarzyszących mu nośnikach informacje i programy były poprawne,
jednakże nie bierze odpowiedzialności za efekty wykorzystania ich;
nie gwarantuje także poprawnego działania programów shareware,
freeware i public domain.
Uszkodzone podczas wysyłki płyty wymienia redakcja.
Wszystkie znaki firmowe zawarte w piśmie są własnością odpowiednich
firm i zostały użyte wyłącznie w celach informacyjnych.
Do tworzenia wykresów i diagramów wykorzystano
program
firmy
Płytę CD dołączoną do magazynu przetestowano programem AntiVirenKit
firmy G DATA Software Sp. z o.o.
Redakcja używa systemu automatycznego składu
UWAGA!
Sprzedaż aktualnych lub archiwalnych numerów pisma w cenie innej
niż wydrukowana na okładce – bez zgody wydawcy – jest działaniem
na jego szkodę i skutkuje odpowiedzialnością sądową.
hakin9 ukazuje się w następujących krajach: Hiszpanii, Argentynie,
Portugalii, Francji, Belgii, Luksemburgu, Kanadzie, Maroko, Niem-
czech, Austrii, Szwajcarii, Polsce, Czechach, Słowacji.
Prowadzimy również sprzedaż kioskową w innych krajach europej-
skich.
Magazyn hakin9 wydawany jest w 7 wersjach językowych:
PL
ES
CZ EN
IT FR DE
Nakład wersji polskiej 6 000 egz.
UWAGA!
Techniki prezentowane w artykułach mogą być używane jedynie
we własnych sieciach lokalnych.
Redakcja nie ponosi odpowiedzialności za niewłaściwe użycie
prezentowanych technik ani spowodowaną tym utratę danych.
W skrócie
hakin9 Nr 9/2007
www.hakin9.org
6
W skrócie
www.hakin9.org
7
hakin9 Nr 9/2007
Spybot
– Search & Destroy 1.5 Beta
Pojawiła się kolejna wersja popu-
larnej aplikacji Spybot – Search
& Destroy 1.5 Beta przezna-
czonej do wykrywania i usuwa-
nia komponentów szpiegujących
typu spyware, dialerów, key-
loggerów itp. Aplikacja zwiera
więcej sygnatur komponentów
niż najbardziej znany Ad–aware,
dzięki czemu jest skuteczniej-
sza w usuwaniu zagrożeń. Dzięki
częstym aktualizacjom użyt-
kownik jest w stanie zapewnić
optymalną ochronę dla syste-
mu. Nowością w wersji 1.5 jest
między innymi możliwość inte-
gracji z Centrum Zabezpieczeń
systemu Windows Vista. Aplika-
cja została napisana przez nie-
mieckiego programistę Patric-
ka Michaela Kolla i jest dystrybu-
owana na zasadach licencji fre-
eware.
Błąd w kontrolce ActiveX
Kontrolka ActiveX dostarcza-
na w pakiecie Microsoft Office
(Office Data Source Control 11,
OWC11.DLL) zawiera błąd w
funkcji DeleteRecordSourceIfUn-
used, który może zostać wyko-
rzystany przez szkodliwy doku-
ment HTML do wywołania prze-
pełnienia bufora. W Sieci został
opublikowany kod, który demon-
struje, jak Internet Explorer prze-
staje działać po otwarciu odpo-
wiednio spreparowanego doku-
mentu. Odwiedzenie tak przygo-
towanej przez napastnika strony
jest wystarczające do urucho-
mienia złośliwego kodu na kom-
puterze ofiary.
Microsoft nie przygotował do
tej pory żadnej poprawki, jednak
błąd można obejść przez wyłą-
czenie w rejestrze kontrolki
ActiveX (0002E55B-0000-0000-
C000-000000000046). Jednak
najlepszym rozwiązaniem wydaje
się całkowite wyłączenie w prze-
glądarce obsługi kontrolek Acti-
veX. Technologia ActiveX pozwa-
la na przekazywanie danych
pomiędzy różnymi aplikacjami
działającymi pod kontrolą sys-
temów operacyjnych Windows.
Jest ona ułatwieniem dla pro-
gramisty – pozwala oszczędzić
czas, który trzeba by poświę-
cić na pisanie własnych sposo-
bów komunikacji pomiędzy pro-
gramami.
MPlayer narażony na atak
W
multimedialnym
odtwarzaczu
MPlayer znaleziono dwie kry-
tyczne luki, które pozwalają napastni-
kowi na przejęcie kontroli nad zaatako-
wanym systemem Linux. Atak jest moż-
liwy z powodu nieprawidłowego prze-
twarzania danych CDDB. Jeśli użyt-
kownik The Movie Player połączy się ze
specjalnie spreparowanym serwerem
CDDB, może to doprowadzić do błędu
przepełnienia bufora w module
stream/
stream _ cddb.c
i umożliwi atakujące-
mu zdalne wykonanie kodu z prawami
użytkownika używającego odtwarza-
cza. Poprawka rozwiązująca ten pro-
blem została dodana do SVN we środę,
6 czerwca o godzinie 11:13:32 UTC
jako r23470. Użytkownicy zagrożonych
wersji programu powinni pobrać łatkę
(http://www.mplayerhq.hu/MPlayer/
patches/cddb_fix_20070605.diff) dla
MPlayera 1.0rc1 lub uaktualnić pro-
gram do najnowszej wersji, jeżeli uży-
wają SVN. Istnieje też kilka możliwych
obejść problemu: nieużywanie
URL–i
cddb:/
, przekierowanie freedb.fre-
edb.org do 127.0.0.1, przekompilowanie
z opcją
-disable-cddb
. MPlayer jest uni-
wersalnym odtwarzaczem filmów, który
powstał w 2000 roku dla systemu ope-
racyjnego GNU/Linux. Program zawie-
ra wiele kodeków A/V w swoim kodzie,
może również korzystać z zewnętrz-
nych bibliotek oraz ze specjalnie zmo-
dyfikowanych wersji kodeków dla sys-
temu Windows (pliki *.dll, *.acm oraz
*.ax). Jego ogromna popularność oraz
przenoszenie na kolejne platformy
sprzętowe i systemy operacyjne spo-
wodowały w 2004 roku zmianę nazwy
z The Movie Player for Linux na The
Movie Player.
Kaspersky Anti-Virus 7.0
& Kaspersky Internet Security 7.0
K
aspersky Lab, producent oprogra-
mowania służącego do ochrony
danych, rozpoczął publiczne testy beta
produktów siódmej generacji: Kasper-
sky Anti-Virus 7.0 oraz Kaspersky Inter-
net Security 7.0. Jednym z najważniej-
szych udoskonaleń wprowadzonych
do nowych produktów Kaspersky Lab
jest wysoce wydajny analizator heu-
rystyczny, który z pomocą modułu
ochrony proaktywnej pozwala na
wykrywanie i neutralizowane niezna-
nych zagrożeń w oparciu o analizę ich
zachowań. Wykorzystując także trady-
cyjne metody wykrywania szkodliwe-
go kodu przy użyciu sygnatur, aplika-
cje zapewniają trzystopniową ochro-
nę przed zagrożeniami. Nowe produk-
ty wyposażone są w całkowicie zmie-
niony interfejs umożliwiający jeszcze
łatwiejszą obsługę, z którą nie będą
mieli problemów początkujący użyt-
kownicy komputerów. Oprogramo-
wanie Kaspersky Anti-Virus 7.0 oraz
Kaspersky Internet Security 7.0 jest
całkowicie kompatybilne z systemem
Microsoft Windows Vista (w wersji 32
oraz 64-bitowej). Wersje beta nowych
produktów dostępne są na stronie http:
//www.kaspersky.com/beta
Kaspersky Lab jest firmą zajmu-
jącą się rozwojem, produkcją i dys-
trybucją rozwiązań z zakresu bez-
pieczeństwa informatycznego, które
zapewniają klientom ochronę przed
zagrożeniami IT. Flagowym produk-
tem firmy jest znany na całym świe-
cie Kaspersky Anti-Virus (dawniej
AntiViral Toolkit Pro) stworzony w
roku 1989 i dystrybuowany od 1994r.
W skrócie
hakin9 Nr 9/2007
www.hakin9.org
6
W skrócie
www.hakin9.org
7
hakin9 Nr 9/2007
Administratorzy,
poprawcie się!
Z raportu firmy Cyber-Ark Software
wynika, że blisko 30% firmowych
administratorów infrastruktury kom-
puterowej przyznaje się do regu-
larnego szperania w poczcie elek-
tronicznej oraz dokumentach pra-
cowników ich firmy. To chyba nic
dziwnego, że tak wielu z nas to
robi. Myślę, że większość ludzi by
tak robiła, gdyby mieli gwarancję,
że ujdzie im to na sucho – podkre-
śla jeden z ankietowanych specjali-
stów IT. Z raportu dowiadujemy się
również, że ok. 50% pracowników
działów IT, jak i innych sekcji, prze-
chowuje hasła na kartkach przykle-
jonych do monitora. Coraz bardziej
popularne staje się również usta-
wianie przez administratorów jed-
nego, wspólnego hasła admina na
wszystkich firmowych kompute-
rach. Raport został przygotowany
na podstawie anonimowych ankiet,
wypełnionych przez specjalistów IT
z dużych firm.
YouTube po polsku
Google uruchomiło polskoję-
zyczną wersję serwisu YouTube
– pl.youtube.com. W tym samym
czasie, co wersja dla Polski, poja-
wiły się edycje w językach fran-
cuskim, włoskim, japońskim, por-
tugalskim i holenderskim. Każda
strona jest przetłumaczona w
całości, zawiera lokalne strony
domowe oraz funkcję wyszukiwa-
nia. W ramach przygotowań do
otwarcia serwisów firma YouTube
podpisała ponad 20 dużych mię-
dzynarodowych umów partner-
skich z wieloma polskimi dostaw-
cami treści – ich efektem będą
spersonalizowane strony z filma-
mi, wywiadami, teledyskami itp.
YouTube jest serwisem inter-
netowym umożliwiającym publi-
kację w Sieci filmów, wideokli-
pów lub własnych mini-produkcji.
YouTube zaczynało jako strona,
której treścią były filmy przedsta-
wiające kota autora. Serwis poja-
wił się w Sieci w lutym 2005 roku.
Obecnie YouTube jest najwięk-
szym serwisem udostępniają-
cym tego typu usługi, a właścicie-
le utworzyli spółkę (YouTube, Inc.).
10 października 2006 roku YouTu-
be zostało przejęte przez Google
za 1,65 miliarda dolarów. Według
Google, dziennie na YouTube
umieszczanych jest ponad 70 tys.
filmów, zajmujących ok. 1400 GB.
Poważne luki w Mozilla Firefox
i Internet Explorer
I
nternauci nie mają ostatnio łatwego
życia – dość regularnie pojawiają się
bowiem informacje o poważnych błę-
dach w kolejnych przeglądarkach inter-
netowych. Tym razem jeden z czoło-
wych polskich specjalistów od spraw
związanych z bezpieczeństwem opro-
gramowania, Michał Zalewski, odkrył
cztery nowe luki w przeglądarkach
Mozilla Firefox i Internet Explorer. Infor-
macje na temat luk zostały opublikowa-
ne na liście dyskusyjnej Full-disclosure.
Za najbardziej niebezpieczną uważa-
na jest luka dotycząca przeglądarek IE
6 oraz IE 7, która pozwala na kradzież
ciasteczek używanych przez użytkow-
ników w czasie logowania się do ser-
wisów internetowych. Błąd w Inter-
net Explorerze polega na tym, że kod
JavaScript wykonywany przy przecho-
dzeniu pomiędzy stronami może dzia-
łać z uprawnieniami starej strony, ale
dotyczyć nowej strony. Jak to wyglą-
da w praktyce, można sprawdzić na
przykładowej stronie wykradającej
ciasteczko witryny google.pl – http://
lcamtuf.coredump.cx/ierace/.
Druga
luka dotycząca IE 6 pozwala na sfał-
szowanie paska adresu poprzez odpo-
wiednią manipulację obiektami loca-
tion modelu DOM. Dzięki temu napast-
nik może stworzyć stronę internetową
udającą inną, dowolną stronę – nawet
dostarczającą treści przez kanał SSL
– http://lcamtuf.coredump.cx/ietrap2/
Dwie kolejne dziury odkryte przez
Michała występują w Firefoksie. Pierw-
sza dotyczy obiektów IFRAME i umoż-
liwia atakującemu wykradanie znaków
wprowadzanych za pomocą klawia-
tury oraz umieszczenie niebezpiecz-
nej zawartości na pozornie bezpiecz-
nej stronie. Dla tej usterki również
dostępna jest prezentacja – http://
lcamtuf.coredump.cx/ifsnatch/. Co cie-
kawe, podobny błąd znaleziono już nie-
dawno w tej open-source'owej przeglą-
darce – Mozilla załatała go, ale najwy-
raźniej nie do końca. Czwarta, ostatnia
luka pozwala atakującemu na zmusze-
nie przeglądarki do pobrania niebez-
piecznego pliku. Twórcy obu przeglą-
darek zostali poinformowani o lukach
i pracują nad ich usunięciem. Rzecz-
nik Microsoft dodatkowo poinformował,
że jego firmie nie są znane żadne przy-
padki ataków z wykorzystaniem wspo-
mnianych luk. Przedstawiciele Mozilli
poinformowali, że wiedzą już o błędach
w Firefoksie i wkrótce podejmą stosow-
ne działania. Michał Zalewski od wielu
lat zajmuje się bezpieczeństwem infor-
macji, a zakres jego badań sięga od
sprzętu i zasad projektowania syste-
mów operacyjnych po zabezpiecze-
nia Sieci. Od połowy lat 90. aktywnie
uczestniczy w Bugtraq, pisze progra-
my dla systemów z rodziny UNIX, był
też jednym z autorów systemu Argan-
te. Spośród jego prac dużym zaintere-
sowaniem cieszyły się badania proto-
kołu TCP/IP oraz badanie bezpieczeń-
stwa popularnych przeglądarek inter-
netowych. Pracował jako specjalista
ds. bezpieczeństwa w kilku poważnych
firmach w Polsce i w USA. Jednym z
jego zainteresowań informatycznych
jest sztuczna inteligencja.
W skrócie
hakin9 Nr 9/2007
www.hakin9.org
8
W skrócie
www.hakin9.org
9
hakin9 Nr 9/2007
Pirat działający na wielką
skalę zatrzymany
Policjanci zajmujący się zwalczaniem
przestępczości komputerowej zatrzy-
mali pirata komputerowego działają-
cego od kilku lat na olbrzymią wręcz
skalę. Mężczyzna oferował nielegal-
nie skopiowane programy, filmy, gry i
muzykę. Zamieszczona na jego stro-
nie internetowej lista zawierała ponad
16 000 dostępnych pozycji i była cały
czas aktualizowana. Zdecydowaną
perełką w sklepiku pirata były moduły
programu projektowego Catia, na
zakup którego pozwolić mogą sobie
jedynie największe firmy. Catia to
zaawansowany system wspomaga-
nia prac inżynierskich w przemyśle
lotniczym, samochodowym, stocznio-
wym, maszynowym, sprzętu AGD,
energetycznym, produkcji form wtry-
skowych i wielu innych. Był on wyko-
rzystywany m. in. przy projektowaniu
myśliwców bojowych. Znalezione u
zatrzymanego moduły Catii wstępnie
wyceniono na kilka milionów złotych.
W trakcie przeszukania domu poli-
cjanci znaleźli ponad 11 tys. płyt CD
i DVD oraz sprzęt komputerowy słu-
żący do kopiowania płyt na wielką
skalę. Wartość zabezpieczonego
oprogramowania oceniono wstęp-
nie na 15 milionów złotych.
W Polsce skala piractwa to ponad
60%, straty budżetu z tego tytułu
wynoszą około 80 mln $ rocznie.
Oznacza to również 15 tys. utraco-
nych miejsc pracy w ciągu tylko 1
roku! Piractwo wpływa na podwyż-
szenie cen dla uczciwych użytkowni-
ków, niższy poziom wsparcia i opóź-
nienia w powstawaniu nowych pro-
duktów, co wpływa na obniżenie
ogólnych możliwości wyboru, a także
jakości oprogramowania. Bardzo
częste jest używanie pirackich kopii
przez użytkowników prywatnych.
Producenci programów i reprezen-
tujące ich organizacje antypirackie
przymykają z reguły na to oczy, gdyż
koszt ścigania tysięcy winowajców
przekracza zyski płynące z wykry-
cia przypadków pirackiego wykorzy-
stania ich dzieł. Zgodnie z art. 118
prawa autorskiego: „Kto w celu osią-
gnięcia korzyści majątkowej przed-
miot będący nośnikiem utworu, arty-
stycznego wykonania, fonogramu,
wideogramu rozpowszechniane-
go lub zwielokrotnionego bez upraw-
nienia albo wbrew jego warunkom
nabywa(...), podlega karze pozba-
wienia wolności od 3 miesięcy do
lat 5.”
Google najbardziej
wartościową marką na świecie
B
adanie firmy Millward Brown
wykazało, że Google jest naj-
mocniejszą marką na świecie, sil-
niejszą niż inne nietechnologicz-
ne firmy typu Coca-Cola czy GE.
Wartość firmy wyceniono na niemal
66,5 miliarda dolarów. Oznacza to
77-procentowy wzrost w stosun-
ku do roku ubiegłego. Drugie miej-
sce, jak przed rokiem, zajął koncern
General Electric, wyceniony na
niemal 62 miliardy dolarów. Firma
zyskała na wartości 11 procent.
Na trzecim miejscu w tegorocz-
nym raporcie znalazł się gigant z
Redmond – firma Microsoft. War-
tość firmy oszacowano na niemal
55 miliardów dolarów. Na kolejnych
miejscach uplasowały się Coca
Cola (44 miliardy USD), China
Mobile (41 miliardów USD), Marl-
boro (39 miliardów USD), Wal-Mart
(36 miliardów USD), Citi (33 miliar-
dy USD), IBM (33 miliardy USD),
Toyota (33 miliardy USD). Millward
Brown Optimor opublikował także
informacje na temat tendencji, które
wyłaniają się z danych rankingu
BRANDZ Top 100. Jedną z nich jest
konwergencja technologii. Spółki
technologiczne poszerzają swoje
marki w odpowiedzi na tenden-
cję do łączenia technologii przesy-
łu głosu, danych i obrazu. Trend
ten wywodzi się z preferencji kon-
sumentów, którzy chętnie wybie-
rają urządzenia typu wszystko w
jednym. Apple – wartość marki 24,7
mld USD, wzrost o 55% – wyrusza
na podbój rynku telefonów komór-
kowych, uruchamiając iPhone. Z
kolei sieć Orange – odpowiednio
9,9 mld USD i 5% – chce opanować
segment pobierania muzyki z sieci.
Przykład Apple i Orange pokazuje,
że silne marki są w stanie posze-
rzać ofertę, a firmy będące ich wła-
ścicielami mogą dzięki temu gene-
rować większe strumienie finan-
sowe, inwestując w przedsięwzię-
cia charakteryzujące się wysokim
tempem wzrostu – można przeczy-
tać w raporcie.
Google Inc. została założona w
1998 roku przez dwóch doktoran-
tów Uniwersytetu Stanforda, Larry-
'ego Page'a i Sergeya Brina. Opra-
cowali oni nowatorską metodę ana-
lizy powiązań hipertekstowych
– algorytm BackRub, potem prze-
mianowany na PageRank – którą
wykorzystali w swoim prototypie
wyszukiwarki internetowej. Obec-
nie Google zatrudnia ponad 10 000
pracowników w kilkunastu krajach.
Główna siedziba firmy mieści się
w Mountain View, hrabstwo Santa
Clara, w Kalifornii (USA), na terenie
wcześniej należącym do firmy SGI.
W skrócie
hakin9 Nr 9/2007
www.hakin9.org
8
W skrócie
www.hakin9.org
9
hakin9 Nr 9/2007
Błąd w Microsoft Speech
Firma Fortinet poinformowała
o wykryciu poważnego błędu w
zabezpieczeniach oprogramowa-
nia Microsoft Speech. Specjali-
ści wykryli, że program korzysta z
dziurawych kontrolek ActiveX: xli-
sten.dll oraz xvoice.dll. Wystarczy
odpowiednio spreparowany obiekt
ActiveX, który może wywołać błąd
przepełnienia bufora, co z kolei
pozwoli napastnikowi na urucho-
mienie w systemie nieautoryzo-
wanego kodu i przejęcie pełnej
kontroli nad zaatakowaną maszy-
ną. Microsoft Speech to aplikacja
służąca do komunikacji z kompu-
terem, a dokładnie z systemem
operacyjnym. Jej podstawowym
zadaniem jest zwiększenie efek-
tywności tworzenia dokumentów i
zmniejszenie do minimum korzy-
stania z myszki i klawiatury. Uży-
wając wyłącznie własnego głosu
jesteśmy w stanie obsługiwać ulu-
bione aplikacje, przeglądać strony
internetowe, jak również dykto-
wać treść maili. Oprogramowa-
nie to wykorzystywane jest m. in.
przez niepełnosprawnych użyt-
kowników Windows.
Dziurawy
komunikator Trillian
Popularny komunikator interneto-
wy Trillian zawiera poważny błąd,
który pozwala na wywołanie prze-
pełnienia bufora. Ataku można
dokonać za pomocą wiadomo-
ści kodowanych UTF-8. Aplika-
cja podczas przetwarzania wia-
domości UTF-8 błędnie przyjmu-
je szerokość okna za wielkość
bufora. Właściciel programu, firma
Cerulian Studios udostępniła już
pozbawioną błędu wersję 3.1.6.0,
którą należy jak najszybciej zain-
stalować. Trillian jest darmowym
multikomunikatorem dla syste-
mów z rodziny Windows, dostęp-
ny na licencji freeware. Umożliwia
pogawędki na kanałach IRC oraz
z użytkownikami programów AIM,
ICQ, MSN oraz Yahoo Messenger.
Imagine Cup
– sposób na karierę w Microsofcie
R
ozstrzygnięto krajowy finał
konkursu
technologicznego
dla studentów – Imagine Cup 2007
w kategorii Projektowanie Oprogra-
mowania, który odbył się 23 maja
bierzącego roku w siedzibie Micro-
soft w Warszawie. Motywem prze-
wodnim w tegorocznej edycji kon-
kursu było hasło: Wyobraź sobie
świat, w którym technologia uła-
twia edukację każdemu z nas. Zwy-
cięzcą rywalizacji została drużyna
InPUT z Politechniki Poznańskiej
w składzie: Michał Tartanus, Marek
Wronowski, Szymon Wybrański,
Michał Zygmunt, która zaprezen-
towała aplikację o nazwie onespa-
Banaś, Franciszek Motyka, Bartosz
Pędziwiatr, Paweł Wasilewski. Stwo-
rzona przez nich aplikacja o nazwie
.NET Fantasy pozwala użytkowni-
kowi zdobyć umiejętności w zakre-
sie programowania, przy jednocze-
snej zabawie.
Zwycięski zespół InPUT będzie
reprezentował Polskę podczas
międzynarodowych finałów, które
odbędą się w sierpniu w Korei. W
Seulu zwycięski zespół zmierzy się
ze studentami z całego świata w roz-
grywce o nagrodę wartości 25 tys.
USD. Innowacyjny projekt studentów
z Politechniki Poznańskiej wywołał
ogromne zainteresowanie w korpo-
ce. Program stworzony przez stu-
dentów służy do łatwego i wygod-
nego współdzielenia aplikacji oraz
plików, umożliwiając efektywną i
sprawną współpracę zespołową.
Drugie miejsce zajął zespół
SP@PUT z Politechniki Poznań-
skiej w składzie: Łukasz Kirch-
ner, Piotr Sikora, Dariusz Walczak,
Marcin Wrzos. Stworzony przez
nich program o nazwie SmartEdu-
cation umożliwia łatwą naukę oraz
efektywne testowanie przyswojonej
wiedzy. Trzecie miejsce wywalczy-
ła drużyna Blurred Vision z Wyż-
szej Szkoły Komunikacji i Zarządza-
nia w Poznaniu w składzie: Michał
racji Microsoft. Poznaniacy zostali
więc zaproszeni na prywatne spo-
tkanie z szefem firmy Billem Gate-
sem. Microsoft już dziś zapropono-
wał poznaniakom pracę w Stanach
Zjednoczonych. Dwóch studentów
– Wybrański i Zygmunt – przyjęło
tę ofertę. Pracę zaczną najprawdo-
podobniej po wakacjach. Pozostali
zdecydowali się zostać w kraju.
Naszym zdolnym studentom
można tylko pogratulować.
Mateusz Stępień
hakin9.live
hakin9 Nr 9/2007
www.hakin9.org
10
hakin9.live
hakin9 Nr 9/2007
www.hakin9.org
11
Na dołączonej do pisma płycie znajduje się hakin9.live
(h9l) w wersji 4.0.0 on BackTrack2.0, zawierająca przy-
datne narzędzia, dokumentację, tutoriale i materiały do-
datkowe do artykłów. Aby zacząć pracę z hakin9.live,
wystarczy uruchomić komputer z CD. Po uruchomieniu
systemu możemy zalogować sie jako użytkownik hakin9
bez podawania hasła.
Żeby uruchomić swój komputer z płyty hakin9.live, ustaw
swój BIOS na bootowanie z napędu CD-ROM. Po doko-
nanych zmianach uruchom ponownie komputer. Urucho-
mi się dytrybucja hakin.live, na której możesz przećwi-
czyć techniki prezentowane w tutorialach. Upewnij się, ze
sprawdziłeś desktopowe foldery – zawierają wiele dodat-
kowych materiałów. Zawartość CD można również przej-
rzeć w systemie Windows.
Materiały dodatkowe:
• E-book – Unreliable Guide To Hacking The Linux Ker-
nel.
Programy:
• bb AntiSpam,
• VIP Defense – VIP Privacy,
• PC-cillin Internet Security 2007 Trend Micro,
Teraz możesz zainstalować hakin9.live (h9l) w wersji
4.0.0 on BackTrack2.0 na swojego pen driva:
• Utwórz partycję na pen drivie
# fdisk /dev/sda
Zawartość CD
Uwaga: Jeśli posiadasz dyski SCSI lub SATA sprawdź
gdzie są umieszczone
/dev/sda
może być twoim dyskiem
systemowym!
Wykasuj wszystkie istniejące partycje ( wciśnij d [enter],
później wprowadź ilość partycji od 1 do 4 )
– aby sprawdzić obecny stan partycji wprowadź p,
– później rozpocznij tworzyć nową partycję FAT32,
około 800 MB,
– wciśnij n , zatwierdzając [enter] zacznij od początku i
ustal wielkość lub jeszcze raz [enter], aby użyć całe-
go urządzenia,
– rodzaj partycji musi zostać zmieniony na FAT32,
wpisz t i odpowiedz b na pojawiające się pytanie,
– musimy teraz sprawić żeby partycja była bootowalna,
wpisz a' i wpisz numer partycji 1,
– wpisz w aby zapamiętać zmiany.
• Pliki
Na początku utwórz system plików na nowej partycji:
# mkfs.vfat /dev/sda1
teraz umieść je:
# mount /dev/sda1 /mnt/usb
skopiuj pliki hakin9.live do:
# cp -a /mnt/cdrom/* /mnt/usb/
Niektóre struktury plików powinny być usunięte:
Rysunek 2.
bbAntiSpam
Rysunek 1.
PC – cillin Internet Security 2007
hakin9.live
hakin9 Nr 9/2007
www.hakin9.org
10
hakin9.live
hakin9 Nr 9/2007
www.hakin9.org
11
# cd /mnt/usb/
# cp boot/vmlinuz .
# cp boot/initrd.gz .
syslinux.cfg powinien znajdować się w
/mnt/usb/
po tej
operacji:
# umount /dev/usb/
# syslinux /dev/sda1
(jeśli nie działa):
# syslinux-nomtools /dev/sda1
• reboot:
– ustaw w BIOS bootowanie z USB-HDD,
– gotowe, utworzyłeś w pełni funkcjonalny system na
swoim pen drivie,
– pamietaj, że bootowanie z USB jest obsługiwane je-
dynie przez nowe płyty główne,
– obecnie cała operacja jest możliwa tylko z pen
drive'ami które posiadają sektor o rozmiarze 512.
bbAntiSpam
BbAntiSpam jest zabezpieczeniem przeciwko spamo-
wi internetowemu, na który są narażone fora, blogi itp.
bbAntiSpam Advanced Textual Confirmation pracuje jako
niewidzialny pośrednik pomiędzy użytkownikiem a apli-
kacją PHP. ATC przy procesie logowania użytkownika
sprawdza, czy logujący jest już sprawdzony i odnotowany
jako człowiek. Jeżeli nie, rozpoczyna się proces spraw-
dzenia, czy nie próbuje się zalogować bot. Zostaje zada-
ne przykładowe pytanie i narzędzie czeka na odpowiedź.
Jeżeli ATC uzna, że jest to człowiek, to użytkownik uzy-
skuje dostęp do programu.
VIP Defense – VIP Privacy
Dzięki VIP Privacy nasze prywatne dane są chronione
w taki sposób, że korzystanie z serwisów internetowych,
takich jak centra obsługi klienta czy sklepy internetowe,
staje się bezpieczniejsze. Narzędzie ochrania przed
potencjalnymi zagrożeniami, gdyż nie daje przestęp-
cy możliwości wykradzenia danych. VIP Privacy wyszu-
kuje i w bezpieczny sposób usuwa informacje przecho-
wywane w systemie i zainstalowanych aplikacjach. Nie
kasuje ani nie zmienia w żaden sposób zawartości do-
kumentów. Baza, jaką posiada narzędzie, to 700 apli-
kacji przechowujących dane i kilka tysięcy dziur syste-
mowych, przez które mogą być one wykradzione. Dzię-
ki temu narzędziu od teraz twoja prywatność będzie za-
wsze chroniona.
PC – cillin Internet Security 2007
– Trend Micro
Jest to najnowsza wersja oprogramowania zapewniają-
cego kompleksowe zabezpieczenie komputera. Stano-
wi ono dobry środek ochrony przed wirusami, trojana-
mi, spamem czy phishingiem. Umożliwia także ochronę
przed pozasieciowym wykradzeniem informacji np. na
skutek utraty komputera. W nowej wersji ulepszono tak-
że zabezpieczenia przydatne podczas korzystania z sie-
ci bezprzewodowej – teraz bezpieczniejsze staje się ko-
rzystanie z Internetu w hotelu, kawiarence internetowej i
innych miejscach z dostępem do takiej sieci.
E – book
Dokument zawiera wiedzę niezbędną do zrozumienia
działania jądra systemu operacyjnego Linux.
Rysunek 4.
VIP Privacy
Rysunek 3.
PC – cillin Internet security 2007
12
Narzędzia
hakin9 Nr 9/2007
www.hakin9.org
13
hakin9 Nr 9/2007
www.hakin9.org
Narzędzia
V
IP Anonymizer zabezpiecza przed ujawnieniem
twojego adresu IP innym użytkownikom sieci.
Przekierowuje twój ruch sieciowy przez łańcuch
anonimowych serwerów proxy. Nie zapisują one ani nie
przekazują informacji o twoim adresie IP, dzięki czemu
skutecznie ukrywają informacje o tobie i wynikach twoje-
go wyszukiwania. Jeśli przeglądasz sieć bez VIP Anony-
mizera, narażasz się na niebezpieczeństwo! Zabezpiecz
swoje zakupy online i wyniki wyszukiwania już dziś!
Szybki start
Serwer proxy usuwający informacje identyfikujące z zapy-
tań klienta w celu zapewnienia anonimowości nosi nazwę
anonymizing proxy server lub Anonymizer. Zapotrzebowa-
nie na anonimowe przeglądanie wzrasta i jest spowodowa-
ne chęcią zabezpieczenia się przed śledzeniem informacji o
użytkowniku, jego nawykach związanych z zakupami i wie-
loma innymi. Chcemy surfować anonimowo z różnych przy-
czyn, powinniśmy to robić bardzo ostrożnie, żeby zabez-
pieczyć się przed kradzieżą tożsamości i wieloma innymi
zagrożeniami. VIP Anonymizer udostępnia nam listę serwe-
rów proxy, za pośrednictwem których możemy przeglądać
interesujące nas strony. Konfiguracja tego narzędzia nie
wymaga wiele wysiłku, jest ono łatwe w użyciu i wymaga
bardzo niewielu czynności ze strony użytkownika.
Oto co należy zrobić, aby uruchomić VIP Anonymizer:
pobierz program ze strony http://www.vipdefense.com, klik-
nij ikonę setup.exe, a następnie, jeśli program ma zostać
zainstalowany w domyślnym folderze c:/Program Files, klikaj
przycisk Next, aż dotrzesz do przycisku Finish.
Po zakończeniu instalacji musisz wybrać serwer
proxy, za pośrednictwem którego chcesz przeglądać
sieć. Aktywne serwery na liście oznaczone są kolorem
zielonym, nieaktywne czerwonym. Program nie posiada
zbyt wielu opcji; wszystko co możesz zrobić, to udostęp-
nić swoją własną listę proxy poprzez plik Notepad z listą
znanych serwerów proxy. Możesz aktywować proxy pod-
czas uruchamiania; kiedy tylko lista zostanie aktywowana,
można anonimowo i bezpiecznie przeglądać sieć. Aktyw-
ne proxy zostaje automatycznie włączone w opcjach prze-
glądarek Internet Explorer, Firefox, jak również w MSN
Messenger. Ułatwia to konfigurowanie opcji użytkowni-
kom. Możesz bez problemu automatycznie przełączać
się miedzy aktywnymi proxy; wszystko co musisz zrobić,
to zaznaczyć opcję automatycznego przełączania między
serwerami proxy.
Zalety:
• Przeglądanie Internetu za pośrednictwem anonimowych
serwerów proxy.
• Automatyczne sprawdzanie dostępności serwerów
proxy.
• Automatyczne przełączanie pomiędzy serwerami proxy
w ustalonych odstępach czasu w celu zatarcia śladów.
• Łatwe dostosowywanie listy serwerów proxy.
• Aktywacja proxy podczas uruchamiania (at startup).
• Możliwość wyboru stałej listy serwerów proxy lub listy
wczytywanej z pliku bądź z Internetu.
• Dziesiątki nowych anonimowych serwerów proxy
dostępnych poprzez automatyczny, codzienny update.
Wady:
• Brak zabezpieczeń przed obiektami Active X.
• Brak zabezpieczeń przed skryptami Java.
• Brak opcji usuwania śladów na komputerze użytkownika.
• Interfejs nieprzyjazny użytkownikowi, brak rozróżnienia
między przyciskami Start i Stop.
• Brak opcji dla różnych przeglądarek (jeśli użytkownik
chce na przykład surfować anonimowo tylko za pomocą
IE, a w normalny sposób poprzez Firefoksa).
• Brak interaktywności podczas konfiguracji narzędzia.
System: Windows 98, ME, XP, 2003
Aplikacja: VIP Anonymizer
Licencja: Komercyjna
Strona domowa: http://www.vipdefense.com
VIP Anonymizer
Rysunek 1.
VIP Anonymizer
12
Narzędzia
hakin9 Nr 9/2007
www.hakin9.org
13
hakin9 Nr 9/2007
www.hakin9.org
Narzędzia
C
onceptDraw VI Professional jest aplikacją
opracowaną przez firmę Computer Systems
Odessa na potrzeby tworzenia profesjonal-
nych diagramów, wykresów, schematów blokowych i
strukturalnych, schematów algorytmów, map, planów
przestrzennych, jak również organizacyjnych. Prosto-
ta oraz intuicyjny interfejs są dużymi zaletami aplika-
cji. W bardzo krótkim czasie metodą drag&drop jeste-
śmy w stanie przygotować własny projekt, a bogata i
obejmująca szeroką gamę dziedzin biblioteka obiek-
tów oraz bardzo dobrze przygotowany tutorial niewąt-
pliwie nam w tym pomogą. ConceptDraw potrafi eks-
portować diagramy do wielu formatów. Należą do nich
między innymi
• HTML,
• PDF,
• Macromedia Flash (SWF),
• MS Visio XML,
• SVG (Scalable Vector Graphics).
Kolejnymi elementami, o których należałoby wspo-
mnieć, są: możliwość pracy z warstwami, a także
wbudowany moduł ConceptDraw Basic, pozwalają-
cy na tworzenie skryptów, które w znacznym stop-
niu zautomatyzują całość procesu tworzenia prezen-
tacji. Wymagania systemowe nie są zbyt wygórowa-
ne – w zupełności wystarcza podstawowa konfigura-
cja, zarówno w przypadku systemu Windows jak i Mac
OS. Reasumując, gdyby nie zbyt wysoka cena, z czy-
stym sumieniem ConceptDraw można byłoby ocenić
na 5 - choć i tak muszę przyznać, iż z powodzeniem
program może stanowić alternatywę dla MS Visio, któ-
rego cena jest prawie dwa razy wyższa. A jeśli już
mowa o cenie - warto wspomnieć o aplikacji DIA, która
pochodzi z rodziny Open Source i łączy w sobie cechy
obydwu wcześniej wspomnianych programów. Osobi-
ście uważam, że ConceptDraw VI Professional jest
aplikacją godną polecenia –niedawno na rynku ukaza-
ła się kolejna wersja oprogramowania, która z pewno-
ścią odkryje przed Państwem nowe możliwości i tym
samym zachęci Was do kupna.
Tomasz Przybylski
Producent: Computer Systems Odessa
System: Windows 2000/XP, Mac OS X 10.2
Typ: Grafika wektorowa
Strona producenta: http://www.conceptdraw.com
Ocena: 4/5
ConceptDraw VI
Professional
Rysunek 1.
ConceptDraw VI Professional
Rysunek 2.
Zrzut ekranu ConceptDraw VI
www.hakin9.org
hakin9 Nr 9/2007
14
Atak
D
laczego WiFi stało się tak popularne?
Z kilku prostych powodów.
Sieci te były bardzo szybkie w in-
stalacji – nie wymagały koncesji radiowych,
zdobywania pozwoleń na przeciąganie kabli po
słupach telefonicznych czy studzienkami kana-
lizacyjnymi (co zdarzyło mi się nie raz wykorzy-
stywać). Coś jeszcze? Tak:
• są łatwe w rozbudowie,
• nie wymagają niszczenia infrastruktury bu-
dynków,
• jedyne dostępne w plenerze,
• gwarantują daleki zasięg,
• zapewniają wysoką mobilność.
Sieci bezprzewodowe charakteryzują się po-
nadto stosunkowo niewielką ilością wad. A do
nich zaliczyć można przede wszystkim:
• możliwość braku pasm częstotliwości (zaję-
te przez inne sieci),
• droższy hardware,
• podatność na zakłócenia.
Niestety, sieci te są również niebezpieczne
– przynajmniej w wersji niemodyfikowanej.
Pierwsze klocki układanki
Ze względu na łatwość dostępu do Sieci wy-
magane stało się zaimplementowanie sze-
regu zabezpieczeń mających uniemożli-
wić osobom trzecim dostanie się do struktu-
ry wewnętrznej. Początkowo opracowano WEP
Hakowanienie sieci WiFi
stopień trudności
Pierwsze ustandaryzowanie rozwiązań połączeń
bezprzewodowych pojawiło się w roku 1997 – oznaczone
IEEE 802.11. Od tego czasu pojawiały się nowe rozwiązania
technologiczne, które systematycznie były standaryzowane.
Z artykułu dowiesz się
• jakie są najczęściej występujące niebezpie-
czeństwa w sieciach WiFi,
• jakie są najczęściej przeprowadzane ataki na
użytkowników sieci WiFi,
• w jaki sposób i do czego można wykorzystać
podatności w sieciach bezprzewodowych,
• na jakie niebezpieczeństwa narażeni są użyt-
kownicy hotspotów.
Co powinieneś wiedzieć
• podstawowe pojęcia dotyczące sieci bezprze-
wodowych,
• ogólne sposoby działania sieci WiFi i ich archi-
tekturę,
• teorię działania WEP,
• Podstawy użytkowania systemu Linux i jego
oprogramowania.
Bartosz Kalinowski
Wykorzystanie niezabezpieczonych sieci WiFi
hakin9 Nr 9/2007
www.hakin9.org
15
(http://pl.wikipedia.org/wiki/Wired_
Equivalent_Privacy), jednak szybko
wskazano w nim wiele luk i w stosun-
kowo krótkim czasie przedstawiono
praktyczne sposoby ataku na ten ro-
dzaj zabezpieczeń. Administratorzy,
wiedząc że potencjalny napastnik ma
możliwość uzyskania dostępu do ich
Sieci w czasie nie większym niż 5 mi-
nut, szybko zastosowali politykę do-
stępu opartą na filtrowaniu adresów
MAC. Wojna trwała dalej – złamanie
tego zabezpieczenia zajęło ludziom z
pewnym zasobem wiedzy około minu-
ty, ale za to skutecznie odebrało chęć
walki znakomitej większości script kid-
dies. Idąc dalej wojenną ścieżką na-
trafiamy na metodę polegającą na
blokowaniu rozgłaszania identyfikato-
ra SSID (Service Set IDentifier), czy-
li nie wyświetlaniu nazwy Sieci. Bar-
dzo przemawiającym zobrazowaniem
tej metody jest pomalowanie czarnych
kabli sieci LAN (skrętki UTP) rozcią-
gniętych środkiem żółtej ściany na jej
kolor – z daleka nie widać, że w bu-
dynku funkcjonuje sieć, ale wystarczy
podejść bliżej, żeby się o tym przeko-
nać. Wynika z tego, że można tylko
utrudnić, a nie uniemożliwić odkrycie
SSID – czas operacyjny: 1 minuta.
Łatwo zauważyć, że nawet kie-
dy trzeba złamać wszystkie 3 me-
tody opisane powyżej, czas uzyska-
nia dostępu do Sieci nie przekracza
15 minut.
Kolejnym krokiem podjętym w
celu zabezpieczenia sieci WiFi było
uwierzytelnianie przez EAP i 802.1X.
– znacznie utrudniające działania
potencjalnym agresorom. Przełama-
nie tych zabezpieczeń wymaga od
nas już pewnych bardziej zaawanso-
wanych umiejętności. Standard IEEE
802.1X był działaniem skierowanym
w bardzo dobrym kierunku. Jednak
ze względu na ograniczenie związa-
nie z uwierzytelnieniem tylko klienta
– daje możliwość zastosowania ata-
ku MITM – intruz może podszyć się
pod serwer i pobrać hasło niezbędne
do prawidłowej weryfikacji.
Drugim problemem jest fakt, iż po
pomyślnie zakończonym uwierzytel-
nieniu poszczególne pakiety nie za-
wierają żadnego przyporządkowa-
nia, co daje możliwość zastosowa-
nia session hijackingu (teoria: sta-
cja intruza przesyła żądanie zakoń-
czenia połączenia. Punkt dostępowy
ma jednak nadal otwarty port kon-
trolowany i dlatego napastnik może
uzyskać dostęp do Sieci).
Łączny czas potrzebny na prze-
łamanie tych zabezpieczeń w formie
podstawowej zawiera się w prze-
dziale od 10 minut do kilku godzin.
Na drodze dalszego rozwoju sie-
ci WiFi, w celu zwiększenia pozio-
mu bezpieczeństwa wprowadzo-
no algorytmy WPA i WPA2 (http:
//en.wikipedia.org/wiki/Wi– Fi_Pro-
tected_Access). W tym przypad-
ku złamanie zabezpieczeń związa-
Rysunek 1.
Tak małe urządzenie
jest w stanie bardzo skutecznie
zakłócić sieć WiFi. Choć kupno jest
drogie, stworzenie go na własną
rękę znacznie obniża koszta
Listing 1.
Aktywne sieci WiFi
#airodump– ng eth1
[CH 7 ][ Elapsed: 4 s ][ 2007– 06– 17 13:04
BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
00:XX:XX:68:1X:XF 43 1 1 0 4 54 WPA XXXXXX
00:XX:XX:A2:DX:X3 47 1 0 0 4 54 WPA XXXXXX
00:XX:XX:68:0X:XB 44 3 1 0 1 54 WPA XXXXXX
00:XX:XX:A2:1X:X1 58 6 248 15 1 54 WPA XXXXXX
BSSID STATION PWR Lost Packets Probes
00:XX:XX:A2:FXX5 00:XX:AF:05:FX:XA 69 13 20 XXXXXX
(not associated) 00:XX:E3:7E:AX:X1 43 0 2 XXXXXX
00:XX:XX:A2:1X:X1 00:XX:F3:9F:4X:X7 52 14 14 XXXXXX
00:XX:XX:A2:1X:X1 00:XX:CF:68:6X:X4 62 38 13 XXXXXX
00:XX:XX:A2:1X:X1 00:XX:31:F9:EXXD 84 79 69
Listing 2.
Fałszywy MAC karty WiFi
[root@proxima:~]# ifconfig
eth1 Link encap:Ethernet HWaddr 00:A0:C5:29:a2:9a
inet addr:42.28.126.50 Bcast:42.28.126.51 Mask:255.255.255.252
inet6 addr: fe80::2a0:c5ff:fe92:84ff/64 Scope:Link
Listing 3.
Skrócony wynik działania programu nmap
nmap –sS –O –F –P0 10.0.1.1
Interesting ports on 10.0.1.1:
Not shown: 1234 closed ports
PORT STATE SERVICE
8080/tcp open http
..
hakin9 Nr 9/2007
www.hakin9.org
Atak
16
ne jest z zastosowaniem ataku słow-
nikowego i w zależności od stopnia
skomplikowania użytego hasła, mo-
że zająć kilka minut lub nie przy-
nieść pozytywnego rezultatu w cza-
sie uznawanym przez logikę ludzką
za dopuszczalny. Najbardziej sku-
tecznymi metodami zabezpieczenia
sieci WiFi są kombinowane sposoby
często zaczerpnięte z rozwiązań in-
nych problemów:
• PPPoE,
• IPSec (+WEP),
• inne.
PPPoE
O ile opisy metody IPSec + WEP poja-
wiają się w miarę często, o tyle meto-
da wykorzystująca PPPoE jest rzadko
wspominana. Zapewne wszyscy użyt-
kownicy Linuksa którzy mieli przyjem-
ność konfigurowania Neostrady, koja-
rzą tę nazwę, a wręcz mogą być zdzi-
wieni, jaki ma ona związek z sieciami
WiFi. Okazuje się, że całkiem ścisły:
gdyby nie PPPoE, każdy z linią telefo-
niczną w TP SA miałby dostęp do in-
ternetu – niestety tak nie jest, gdyż do-
stęp mają tylko użytkownicy posiada-
jący hasło i login przydzielony przez
dostawcę. Protokół PPPoE, jak widać,
skutecznie blokuje nieautoryzowany
dostęp do sieci, w tym WiFi, a poza
tym zapewnia wiele innych korzyści:
• możliwość zrezygnowania z
ukrywania SSID,
• możliwość zrezygnowania z kon-
troli dostępu związanej z filtrowa-
niem MAC,
• możliwość zrezygnowania ze
znacznie obciążającego AP za-
bezpieczenia, jakim jest WEP.
Związane jest to z tym, że nikt, kto
połączy się z Siecią, a nie zaloguje
się na indywidualny login i hasło,
nie uzyska do niej dostępu.
Dodatkowym atutem jest fakt, że
złamanie zarówno hasła, jak i logi-
nu w wielu przypadkach jest niewy-
konalne.
Na Rysunku 2 (górna część) ki-
smet wskazuje sieć otwartą. Każdy
bezproblemowo może podłączyć się
do Sieci i uzyskać adres IP, ale do-
piero po wprowadzeniu hasła i na-
zwy użytkownika (dolna część Ry-
sunku) otrzymuje możliwość ko-
rzystania z Internetu i jego zaso-
bów. Jest to bardzo skuteczne roz-
wiązanie, funkcjonalnie podobne do
PPPoE oraz proste we wdrożeniu.
Od słów do czynów
Dalszą część artykułu podzieliłem na
dwie części. Pierwsza dotyczy naru-
szenia bezpieczeństwa korporacji i
wszystkiego, co się z tym wiąże dla
danej firmy. Druga część dotyczy po-
jedynczego użytkownika korzystają-
cego z otwartych hotspotów lub nie-
zabezpieczonych Sieci. Sprzęt, jakim
dysponuję, to dwa laptopy uzbrojone
w system operacyjny, jakim jest Linux
i karty sieciowe firmy Lucent Techno-
logies – Orinoco Gold. Kartę tę wy-
brałem specjalnie, gdyż po pierwsze
ma zewnętrzne gniazdo antenowe, a
po drugie jest to karta, którą bez żad-
nych kłopotów obsługuje zarówno
system, jak i całe niezbędne dla nas
oprogramowanie. Z czego korzysta-
my i co może być przydatne: kismet,
airsnort, aircrack, nmap, ping, nes-
sus, wireshark, p0f, coWPAtty. Więk-
szość z wykorzystywanych progra-
mów jest bezpośrednio dostępna w
Rysunek 2.
Niedoświadczeni podróżnicy mogą się zdziwić – brak WEP/
WPA, logowanie do Sieci. Rozwiązanie HP
Przepisy
Kodeks karny (fragment):
• Art. 267.
§
1. Kto bez uprawnienia uzyskuje informację dla niego nie przeznaczoną,
otwierając zamknięte pismo, podłączając się do przewodu służącego do przekazy-
wania informacji lub przełamując elektroniczne, magnetyczne albo inne szczególne
jej zabezpieczenie podlega grzywnie, karze ograniczenia wolności albo pozbawie-
nia wolności do lat 2.
•
§
2. Tej samej karze podlega, kto w celu uzyskania informacji, do której nie jest
uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym al-
bo innym urządzeniem specjalnym.
•
§
3. Tej samej karze podlega, kto informację uzyskaną w sposób określony w
§
1
lub 2 ujawnia innej osobie.
•
§
4. Ściganie przestępstwa określonego w
§
1– 3 następuje na wniosek pokrzyw-
dzonego.
Wykorzystanie niezabezpieczonych sieci WiFi
hakin9 Nr 9/2007
www.hakin9.org
17
Slackware po instalacji. Jeśli braku-
je jakiegoś oprogramowania, jest ono
dostępne do ściągnięcia w postaci
paczki na stronie linuxpackages.net,
a instalacja ogranicza się do wyda-
nia polecenia
installpkg
. Jeśli pakiet
nie występuje na wymienionej stronie
bądź gdy korzystamy z innych dystry-
bucji, a nie istnieją paczki dostosowa-
ne do naszego systemu, każdy z wy-
żej wymienionych programów trzeba
zainstalować ze źródeł.
W latach 50. po świecie krążyli
kurierzy rozwożący w teczkach przy-
kutych do ręki kajdankami ważne do-
kumenty. W roku 2007 dokumenty
podobne rangą często leżą na dys-
kach serwerów korporacyjnych lub
krążą w sieci firmowej.
Przypadek pierwszy
Istnieją ludzie, dla których wyszuki-
wanie Sieci jest sportem. Mógłbym
przedstawić wszystkie metody ata-
ku jako sport i rozrywkę, jednak tak
nie zrobię. Dlaczego? Odpowiedź
jest prosta – wykonując wielokrot-
nie audyty bezpieczeństwa Sieci,
podejście maksymalnie agresyw-
ne przynosiło najlepsze efekty i
wskazywało często niedostrzegal-
ne z początku błędy konfiguracyj-
ne oraz podatności systemów. Jak
dostaniemy palec – weźmiemy ca-
łą rękę.
Wychodzimy na łowy
Za cel obrałem sobie kancelarię
prawną z dwóch powodów:
• w strukturze Sieci mogą znajdo-
wać się dokumenty dotyczące
spraw prowadzonych przez ad-
wokatów zatrudnionych w firmie
– a wyciek takich informacji mo-
że być bardzo niebezpieczny,
• kancelaria zatrudnia administra-
tora, który dba o sieć wewnętrz-
ną oraz serwer poczty i http
– możliwe będzie podsłuchiwa-
nie użytkowników.
W trakcie pracy nad badaniem bez-
pieczeństwa Sieci i systemów za-
wsze stosuję zasadę realności – roz-
mowę o strukturze i zabezpiecze-
niach prowadzi przed testem oso-
ba, która testu nie przeprowadza.
Dopiero po zakończeniu testu i stwo-
rzeniu pierwszego raportu osoba,
która poznała strukturę, przeprowa-
dza test – ponownie z osobą która jej
nie znała - a następnie wyniki obu te-
stów są porównywane.
Jak przeprowadzić wstępną ana-
lizę Sieci? Określić:
• na którym kanale generowany
jest ruch,
• jakie adresy MAC mają klienci
oraz AP,
• wartości SNR (średni stosunek
wartości sygnału do szumu),
• SSID/ESSID,
• parametry zabezpieczeń (WEP/
WPA/WPA2/AES– CCMP/TKIP/
INNE),
• prawdopodobne miejsce umiesz-
czenia AP,
• miejsca umieszczenia anten,
• rodzaj firmy i charakter jej działal-
ności,
• dane właściciela, jak największej
liczby pracowników i administra-
tora.
Rysunek 3.
Pakiet 1
Rysunek 4.
Pakiet 2
hakin9 Nr 9/2007
www.hakin9.org
Atak
18
Są to dane, które być może staną
się bardzo pomocne przy dalszych
działaniach mających na celu uzy-
skanie uprawnień do korzystania z
Sieci, a są jednocześnie łatwe do
zdobycia.
Cel 1
Znajdując się na tyle blisko, by
sprzęt, który stosowałem, odbie-
rał sygnał Sieci, rozpocząłem anali-
zę. Po pierwsze, poszukiwanie Sie-
ci – za pomocą oprogramowania ki-
smet badam, na których kanałach
istnieje aktywny ruch sieciowy. Po-
zwoli mi to określić, które access
pointy są najaktywniejsze, a więc w
przypadku zastosowania WEPu bę-
dą najbardziej wydajne w zdobywa-
niu skolidowanych IV.
Chwilka czekania i widzimy, że
trzeba będzie się nieco wysilić: AP
z szyfrowaniem. Uruchamiamy airo-
dumpa w celu określenia sposobu ko-
dowania – WPA. W tym momencie 3/4
wszystkich warxrów poddaje się – na
nieszczęście administratora, nie my.
Często bywa tak, że administra-
torzy zaniedbują podstawowe rzeczy
– warto sprawdzić czy SSID nie znaj-
duje się na liście poniżej, gdyż może
okazać się, że nie trzeba zgadywać
kluczy WEP. Jedynym niezbędnym
zabiegiem może być przepisanie.
Wiemy już, że metodą zabezpie-
czenia jest WPA. Pozwala nam to
przyjąć pewną strategię – musimy
zdobyć pakiety, w których znajdują
się dane, zawierające w sobie dane
procesu autoryzacji (handshake).
Patrząc na ramkę (Czas działa-
nia coWPAtty) możemy stwierdzić,
że łamanie hasła jest szaleństwem,
jednak z doświadczenia i badań
wynika coś zupełnie innego. Decydują-
cym czynnikiem w tym przypadku jest
człowiek – z natury bywa tak, że jeśli
już ktoś wysilił się do zastosowania
WPA, wymyślił krótkie hasło – często
jest to nazwa SSID lub jej odmiany.
Zaczynamy
Po pierwsze, jak pisałem wcześniej,
musimy zdobyć pakiety WPA– PSK
TKIP/EAP/802.1x zawierające nego-
cjację sesji między AP, a użytkowni-
kiem. W tym celu wykorzystamy wi-
reshark.
Oczekiwanie na pojawienie się
wszystkich 4 wymaganych pakietów
może trwać bardzo długo, dlatego też
proponuję metodę aktywną – zmusi-
my zalogowanego klienta do rozłą-
czenia i ponownego połączenia z AP.
Oto dwa sposoby, które pozwalają
nam osiągnąć postawiony sobie cel:
#aireplay –ng –0 1 –a <BSSID> –c <MAC_
klienta> ath0
lub wygenerowanie pakietu rozłą-
czającego za pomocą airforge:
Często stosowane na-
zwy SSID oraz klucze
WEP
3com AirConnect
SSID: 'comcomcom'.
3com other Access Points
SSID: '3com'
Addtron
SSID: 'WLAN'
Cisco Aironet
SSID: 'tsunami' ; '2'
Apple Airport
SSID: 'AirPort Network' ; 'AirPort
Netzwerk'
BayStack
SSID: 'Default SSID'
MAC addr: 00:20:d8:XX:XX:XX
Compaq
SSID: 'Compaq'
Dlink
SSID: 'WLAN'
INTEL
SSID: '101' ; 'xlan' ; 'intel' ; '195'
LINKSYS
SSID: 'linksys'
WEP key 1: 10 11 12 13 14 15
WEP key 2: 20 21 22 23 24 25
WEP key 3: 30 31 32 33 34 35
WEP key 4: 40 41 42 43 44 45
Netgear
SSID: 'wireless'
WEP KEY1: 11 11 11 11 11
WEP KEY2: 20 21 22 23 24
WEP KEY3: 30 31 32 33 34
WEP KEY4: 40 41 42 43 44
MAC: 00:30:ab:xx:xx:xx
SMC Access Point
SSID: 'WLAN'; 'BRIDGE'
HTTP: user: default pass: WLAN_
AP
MAC: 00:90:d1:00:b7:6b (00:90:
d1:xx:xx:xx)
SSID: '; '101
WEP key 1: 10 11 12 13 14 15
WEP key 2: 20 21 22 23 24 25
WEP key 3: 30 31 32 33 34 35
WEP key 4: 40 41 42 43 44 45
ZYXEL Prestige 316 Gateway
SSID: 'Wireless'
Rysunek 5.
Pakiet 3
Wykorzystanie niezabezpieczonych sieci WiFi
hakin9 Nr 9/2007
www.hakin9.org
19
#airforge 00:09:5E:3C:80:31 00:23:
3A:4F:10:11 deauth.cap
#aireplay –m 26 –u 0 –v 12 –w 0 –x 1 –r
deauth.cap eth0
Wstrzykujemy pakiety przez około
10–20 sekund, po czym zatrzymu-
jemy program.
Następnym krokiem będzie odfil-
trowanie zbędnego ruchu z logu snif-
fera i znalezienie interesujących nas
pakietów.
Pierwszym problemem, który się
przed nami pojawia (a to ze wzglę-
du na bardzo ważny fakt, iż musimy
posiadać dokładnie 4 pakiety wyko-
rzystywane w procesie autoryza-
cji), jest sposób wyselekcjonowa-
nia owych pakietów. Na szczęście
przychodzi tu z pomocą specyfika-
cja 802.11. Rysunki 3–6 przedsta-
wiają budowę pakietów których po-
szukujemy.
Fakty które zauważamy: ACK
– ustawione tylko w pakietach wy-
chodzących z AP, informacje o kodo-
waniu pojawiają się tylko w pakietach
2 i 3. Oprogramowanie, z którego ko-
rzystamy, automatycznie sprawdza,
czy przechwycone pakiety zawiera-
ją informacje niezbędne do złama-
nia szyfrowania WPA. Jeśli jakiekol-
wiek informacje znajdujące się w pa-
kietach będą niekompletne, cały pro-
ceder zakończy się fiaskiem. Admini-
strator naszego celu ułatwił nam za-
danie – SSID jest nazwą firmy i jest
widoczny publicznie. Co zrobić w
przypadku jeśli SSID jest niewidocz-
ny? Polecam metodę Kevina Mitnicka
– po prostu zadzwonić i się zapytać.
Jeśli jednak ktoś woli bardziej subtel-
ne sposoby – możemy oczekiwać, aż
jakiś użytkownik w Sieci zacznie ge-
nerować ruch i korzystać z progra-
mu kismet w celu analizy SSID. Jeśli
w dalszym ciągu nie jesteśmy w sta-
nie odkryć upragnionego w tej chwi-
li SSIDu, możemy zastosować meto-
dę kija: użyć programu typu void11,
essid_jack lub podobnych (np. meto-
dy zastosowanej do siłowego zdoby-
cia pakietów), które powodują rozłą-
czenie użytkowników. Istnieje wielkie
prawdopodobieństwo, że użytkow-
nicy stosują metodę automatyczne-
go łączenia z Siecią, co może często
powodować przesłanie SSID w po-
staci tekstowej. Mając SSID, słownik
Czas działania coWPAtty
Przy tworzeniu 8-literowego hasła skła-
dającego się z literek i cyfr mamy 8 po-
zycji, na których może wystąpić jeden z
36 znaków. Daje w sumie nam to 36x8
możliwych kombinacji. Zakładając, że
średni czas sprawdzania hasła dla pro-
gramu zajmuje 1/70 sekundy, jesteśmy
w stanie w ciągu 24 godzin sprawdzić
6048000 haseł. Praca domowa: ile po-
trwa złamanie metodą brute force ha-
sła 25-znakowego zbudowanego z
wielkich i małych liter oraz cyfr?
Rysunek 6.
Pakiet 4
Listing 4.
Logowanie na konto ftp
[ocp@proxima:~]$ ftp XXX.arcz.XXX
Connected to mut.arcz.net.
220 ProFTPD 1.3.1rc2 Server (fTP;) [83.26.XX.XXX]
Name (XXX.arcz.XXX): ocp
331 Password required for ocp.
Password:
230 User ocp logged in.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> quit
221 Goodbye.
Listing 5
Przykład przechwyconych danych. Hasło ftp. Ruch http
dsniff: listening on eth1
06/14/07 22:48:58 tcp 42.63.1XX.XX.3585 – > XXX.arcz.XXX.21 (ftp)
USER ocp
PASS hh4d6ff
Lub mniej czysty log:
tcpdump: listening on eth1, link– type EN10MB (Ethernet), capture size 96
bytes
22:59:00.222822 IP (tos 0x0, ttl 64, id 17438, offset 0, flags [DF],
proto: UDP (17), length: 55)42.63.1XX.XX .1769 > 42.63.1XX.XX.domain:
[udp sum ok] 54862+ A? www.wp.pl. (27)
hakin9 Nr 9/2007
www.hakin9.org
Atak
20
haseł, odpowiednie oprogramowanie
oraz przechwycone pakiety możemy
rozpocząć walkę.
Co zaweierają przechwycone pa-
kiety:
• pakiet 2 – wartość Snonce,
• pakiet 3 – wartość Anonce, adres
MAC [użytkownika oraz AP],
• pakiet 4 – wartość MIC i pa-
kiet EAPoL [wykorzystywane
do testu MIC z wygenerowane-
go klucza MIC H9/1/2006 lub
http://wifinetnews.com/archives/
002452.html – informacje na te-
mat słabości doboru haseł WPA].
Mając już niezbędne pakiety, zasób
wiedzy i odpowiednią motywację, je-
steśmy gotowi na poświęcenie czasu
naszego procesora:
#cowpatty –f [slownik] –r [log] –s
XXXXXX [ssid]
Mieliśmy szczęście – po 12 godzi-
nach hasło zostało znalezione w
słowniku – s4e2_w43i. Skąd w mo-
im słowniku takie nazwy? Od pew-
nego czasu, obserwując sposoby
tworzenia haseł na jednym z porta-
li zarządzanych przeze mnie, odkry-
łem, że coraz częściej użytkownicy
przerabiają proste hasła typu - jak
w przykładzie – siec_wifi, zamienia-
jąc pewne literki na ich liczbowe od-
powiedniki wzięte z klawiatury tele-
fonu. I w taki oto sposób pod cyfer-
ką 5 może kryć się j, k, lub l. War-
to także dodać do słownika wszel-
kie literowe permutacje nazwy
SSID oraz nazwy firmy. Prócz tego
Rysunek 7.
coWPAtty
Rysunek 8.
Nowy problem administratorów sieci WiFi – niezabezpieczony AP rozgłaszający sygnał Sieci
INTERNET
Router
Firewall
sieć lan
intruz
sieć wifi - nielegalna
nielegalny AP
sieć wifi
Wykorzystanie niezabezpieczonych sieci WiFi
hakin9 Nr 9/2007
www.hakin9.org
21
warto wygenerować specjalny słow-
nik dla danej Sieci w którym hasła
będą zbudowane na zasadzie <ciąg
znaków>nazwa firmy<lub wszel-
kie literowe permutacje><ciąg zna-
ków>. Pragnę zauważyć, że części
ujęte w nawiasy <> mogą, ale nie
muszą wystąpić.
Często spotykałem się z sytu-
acją, w której <ciąg znaków> był:
nazwą firmy zapisaną od końca, na-
zwą SSID, nazwą SSID zapisaną od
końca, ciągiem liter zaq, xsw cyfer-
kami 12, 1234, 098, 09 lub ciąga-
mi złożonymi będącymi ich konkate-
nacją. Trzeba pamiętać, że im sku-
teczniejszy stworzymy słownik, tym
większe mamy szanse powodzenia.
Cel: złamanie zabezpieczeń Sieci.
Czas: 14 godzin.
Efekt: złamanie zabezpieczeń Sieci.
Ocena: 6/10.
Plusy:
• hasło nie występujące w typo-
wych słownikach,
• zastosowanie WPA.
W tej części zajmę się jedynie omó-
wieniem dalszych przypadków ata-
ku na Sieć.
Przypadek 2
Historia wygląda identycznie jak
poprzednio. Jedyna różnica pole-
ga na tym, że hasła nie udało się
złamać w czasie 7 dni. Dlatego też
zaprzestałem dalszych prób zła-
mania, a w czasie, gdy komputer
pracował nad hasłem, ja pracowa-
łem nad rozpoznaniem infrastruktu-
ry Sieci.
Podstawowymi narzędziami by-
ły dla mnie kismet, wireshark i airo-
dump–ng.
Kilkudniowa analiza ruchu sie-
ciowego wokół siedziby firmy po-
zwoliła mi wnioskować, że we-
wnątrz zabezpieczonej przy po-
mocy WPA sieci istnieje AP z za-
bezpieczeniem WEP. Zaintereso-
wałem się tym AP i poddałem go
próbie sił. (Metody łamania WEP
są opisane w h9/1/2006.) Silne ha-
sło WEP pomimo wszystko zosta-
ło bardzo szybko złamane. Ana-
liza wewnętrzna Sieci pozwoli-
ła mi określić, że AP, do którego
się podłączyłem, nie jest oficjal-
nym AP sieci. Najbardziej prawdo-
podobne jest, że został on urucho-
miony przez jednego z użytkowni-
ków w celu rozprzestrzeniania Sie-
ci innym użytkownikom. Jest to
charakterystyczne działanie, bar-
dzo szkodliwe dla Sieci.
Cel: złamanie zabezpieczeń
Sieci.
Czas: 120 godzin.
Efekt: wykrycie nielegalnych
źródeł dostępu do Sieci.
Ocena: 2/10.
Plusy: zastosowanie WPA, silne hasło.
Minusy: brak zainteresowania Siecią
przez administratora.
Opis przypadku
Nielegalne rozdzielanie łącza jest
bardzo popularne wśród sieci ka-
blowych, ale jak się okazuje - wśród
sieci WiFi także. Może to wynikać
z bardzo prozaicznych przyczyn
– jeśli nic nie ogranicza widoczno-
ści anten, Internet można rozdzie-
lać na odległość kilometrów. W du-
żych miastach może być z tym kło-
pot, ale wystarczy, by pracownik
miał możliwość przekazania sygna-
łu, a na pewno znajdzie kogoś, kogo
Rysunek 9.
Uproszczone zobrazowanie ataku MITM
Rysunek 10.
Warszawa pod względem bezpieczeństwa WiFi
INTERNET
Intruz
nieprawidłowy ruch
przez komputer intruza
atakowany komputer
inne komputery podłączone do hotspota
prawidłowy ruch
hotspot <-> komputer
hakin9 Nr 9/2007
www.hakin9.org
Atak
22
zainteresuje szybkie łącze interneto-
we za darmo lub za niewielkie opła-
ty w stosunku do jakości i szybkości
połączenia.
Jest to tylko jeden z możliwych
powodów istnienia RAP (rouge ac-
cess point).
Kto mógłby to zrobić w twojej fir-
mie i dlaczego?
• pracownik – w celu przeprowa-
dzania ataków w Internecie, w
celu udostępniania Internetu, w
celu ściągania i udostępniania
nielegalnych treści,
• intruz – w celu wykorzystania sil-
niejszego sygnału RAPu do prze-
prowadzenia ataku MITM, a na-
stępnie uzyskania dostępu do
sieci wewnętrznej,
• natura – w przypadku zaniku za-
silania lub innych negatywnych
czynników zewnętrznych spraw-
ny AP uległ przekonfigurowaniu.
Mając już wszelkie niezbędne infor-
macje udajemy się ponownie pod sie-
dzibę firmy w celu zalogowania się do
Sieci i wykonania rozpoznania we-
wnętrznego.
Tabela 1.
Przegląd ataków na sieci i urządzenia WiFi
Typ
Opis
Metody/Urządzenia
WarXing
Wyszukiwanie i odkrywanie sieci po-
przez nasłuch lub próby połączenia
Kismet, KisMAC, MacStumbler, Net-
Stumbler, Wellenreiter, Airodump,...
Rogue Access Points
Podłączanie do zabezpieczonych
Sieci innych urządzeń o mniejszym
stopniu bezpieczeństwa.
Dowolny AP..
MAC Spoofing
Zmiana adresu MAC intruza na MAC
karty zaufanej
Bwmachak, ifocnfig, SMAC, Wellen-
reiter, wicontrol,...
Podsłuch
Zbieranie i dekodowanie ruchu sie-
ciowego w celu przechwycenia waż-
nych informacji
Wireshark, dsnif, tcpdump, kismet,...
WEP
Przechwytywanie pakietów zawiera-
jących IV w celu złamania zabezpie-
czenia i uzyskania dostępu do Sieci.
Aircrack, AirSnort, WepAttack, We-
pDecrypt,...
AP Phishing
Uruchamianie portali imitujących
oryginalne w celu kradzieży danych.
Airsnarf, Hotspotter
MITM
Wykonywanie ataku MITM w celu
przekierowania ruchu przez kompu-
ter intruza
dsniff, Ettercap
802.11 Frame Injection
Tworzenie i wysyłanie spreparowa-
nych ramek protokołu 802.11
Airpwn, File2air, libradiate, void11,
WEPWedgie, wnet dinject/reinject
802.11 Ingerencja w dane
Zbieranie/wysyłanie/zakłócanie da-
nych wychodzących i przychodzą-
cych do sieci WiFi.
Airpwn, File2air, libradiate, void11,
WEPWedgie, wnet dinject/reinject
Łamanie PSK
Odszyfrowywanie WPA PSK ze zdo-
bytych pakietów handshake z wyko-
rzystaniem ataku słownikowego
coWPAtty, KisMAC, wpa_crack..
Zakłócanie fal radiowych
Nieświadome – częstotliwość pracy
kuchenek mikrofalowych, inne Sieci...
Świadome wykorzystywanie narzę-
dzi do zakłócania fal
Urządzenia elektroniczne
802.1X EAP Length Attacks
Wysyłanie danych EAP ze złą długo-
ścią pól w celu spowodowania nie-
poprawnego działania AP
QACafe, File2air, libradiate
802.1X EAP– of– XXX
Rodzina ataków mająca na celu spo-
wodowanie nieprawidłowej pracy AP
QACafe, File2air, libradiate
802.11 Deauthenticate Flood
Zalanie stacji pakietami zawierający-
mi polecenie odłączenia od AP
Airjack, Omerta, void11, aireplay
Wykorzystanie niezabezpieczonych sieci WiFi
hakin9 Nr 9/2007
www.hakin9.org
23
Do biegu... gotowi!
Start!
Zmieniamy adres MAC naszej karty:
#ifconfig [interfejs] hw ether [nowy
mac]
(można uczynić to też na stałe, je-
śli posiadamy komputer, z które-
go często korzystamy w taki spo-
sób – opis znajduje się na http:
//pl.wikipedia.org/wiki/MAC).
Proces logowania przebiegł
wzorowo – uzyskaliśmy adres IP
od daemona DHCPD serwera fir-
mowego.
Odpalamy wiresharka i rozpoczy-
namy analizę ruchu w Sieci. Po kil-
ku chwilach widzimy, że cały ruch na
port 8080 kierowany jest na serwer
wewnętrzny 10.0.1.1. Można wywnio-
skować, że sieć, w której się znajdu-
jemy, jest podzielona na kilka blo-
ków o różnych adresach, a kompu-
ter 10.0.1.1 jest wewnętrznym ser-
werem http. Możemy przeprowadzić
analizę za pomocą nmapa, nessusa
i p0f'a – aktualnie nie jesteśmy ni-
czym ograniczeni, a wszystko zależy
tylko i wyłącznie od naszej wyobraź-
ni i umiejętności.
Warto przez pewien czas zająć
się sniffowaniem – możemy natra-
fić na bardzo dużo interesujących in-
formacji.
Jakich? Najlepszą metodą na-
uki jest praktyka – zachęcam do sa-
modzielnych prób z pakietami i snif-
fowaniem.
Co mogę dodać od siebie?(Li-
sting 4.)Na konsoli podsłuchującej:
(Listing 5.)
Następnie można uruchomić
nessusa w celu dokładniejsze-
go, a jednocześnie automatyczne-
go określenia najbardziej znanych
podatności. Niestety nessus w na-
szym wypadku nic nie wykrył. Zo-
stała nam opcja bliższego poznania
się osobiście z daemonem http. Po-
stępując w podobny sposób rozpo-
znajemy usługi na serwerze dostęp-
nym publicznie oraz na wszelkich
systemach komputerowych, które
wydają się nam ciekawe. Co byłem
w stanie zrobić po uzyskaniu dostę-
pu do Sieci? Uzyskałem nieautory-
zowany dostęp do komputera, któ-
ry działał jako wewnętrzny router
sprzętowy. Byłem w stanie prze-
chwytywać cały ruch przechodzący
przez ten komputer, w Sieci znajdo-
wał się komputer z zainstalowanym
Linuksem, na którym w katalogach
grup roboczych znajdowały się do-
kumenty dotyczące spraw, nad któ-
rymi pracowały dane grupy, uzyska-
łem dostęp do komputera, który pra-
cował jako bramka sieć–świat (ro-
uter + translacja NAT + maskarada),
co dało mi możliwość podsłuchu ca-
łego ruchu wyjściowego i wejścio-
wego pochodzącego z Internetu,
uzyskałem dostęp do poczty pra-
cowników obsługiwanej przez kom-
puter–bramkę.
W jaki sposób praktycznie mógł-
bym wykorzystać uprawnienia, jakie
uzyskałem?
• Ataki tego typu są stosowane do
prowadzenia analizy informacji
kluczowych dla działalności fir-
my oraz dla procesu inwestycyj-
nego. Służą one do określania in-
frastruktury właścicielskiej, orga-
nizacyjnej i finansowej.
• Wspomniany sposób postępowa-
nia służyć może ocenie wizerun-
ku oraz wiarygodności pracow-
ników i kandydatów do pracy w
oparciu o sposoby działania w
poprzedniej firmie.
• Opracowanie i realizacja dzia-
łań sabotażowych wymierzonych
w dobry wizerunek firmy konku-
rencyjnej w celu przejęcia części
klientów.
• Wiele innych.
Wszystkie te dane jesteśmy w stanie
wywnioskować na podstawie analizy
generowanego ruchu HTTP i SMTP,
możemy też prowadzić działalność
opisaną w punkcie 3 podszywa-
jąc się pod klientów. Zwracam na to
szczególną uwagę, gdyż działania te
są bardzo niebezpieczne. W taki oto
sposób przebyliśmy drogę od wypra-
wy pod budynek firmy do dostępu do
wszystkich danych krążących w sie-
ci WiFi firmy. Ile firmy mogą stracić
na takim procederze? Co zrobić,
aby zabezpieczyć się przed tego ty-
pu działaniami? Najlepszym rozwią-
zaniem jest zastosowanie protokołu
PPPoE, WPA2 najlepiej z bardzo sil-
nymi hasłami lub, jeśli z przyczyn od
nas niezależnych musimy korzystać
z WEP, to tylko w parze z IPSec.
Niebezpieczeństwa
otwartych hotspotów
Darmowy Internet w restauracji, ka-
wiarni, w porcie lotniczym czy innym
publicznym miejscu jest bardzo cie-
kawą propozycją dla ludzi podróżu-
jących. Chciałbym w tej części za-
poznać czytelnika z tym, jak niebez-
pieczne dla niego są tego typu roz-
wiązania.
Metoda: ARP poisoning
Wykorzystanie: Denial Of Servi-
ce – w naszym przypadku bez zna-
czenia.
Man in the middle – ważne – ca-
ły ruch generowany przez użytkow-
nika przechodzi przez komputer in-
truza.
Daje to możliwość bezpośred-
niego podsłuchu haseł, loginów, roz-
mów – po prostu wszystkiego (http://
www.watchguard.com/infocenter/
editorial/135324.asp).
Jak to wygląda w praktyce?
Hijacking i phishing dają możliwość
zdobycia haseł m. in. do kont ban-
kowych, jednorazowych tokenów,
numerów kart kredytowych wraz z
Card Security Code.
Wnioski: dziesięć lat istnienia
sieci bezprzewodowych, sześć lat od
oficjalnego ogłoszenia błędów i po-
datności WEP, artykuły w wielu ga-
zetach i czasopismach - a jak wyglą-
dają zabezpieczenia?
O Autorze
Autor od wielu lat interesuje się informatyką – swoje zainteresowania skupił głównie na
zagadnieniach i problematyce sieci komputerowych oraz bezpieczeństwa teleinforma-
tycznego. Jest samoukiem i pasjonatem. Studiuje informatykę na Wydziale Cybernetyki
Wojskowej Akademii Technicznej. Kontakt z autorem: bartosz.kalinowski@gmail.com
hakin9 Nr 9/2007
www.hakin9.org
Atak
24
• 20 % – sieci całkowicie otwarte,
• 72 % – sieci korzystające jedynie
z WEP,
• 8 % – sieci korzystające z bez-
pieczniejszych rozwiązań.
Łatwo zobrazować to na mapie, jak
na Rysunku 10. Jest to mapa bar-
dzo ogólnikowa i nie przedstawia
realnego stanu zabezpieczeń Sie-
ci w stolicy. Ma ona charakter jedy-
nie poglądowy – w celu zobrazowa-
nia czytelnikowi, że praktycznie na
obszarach oznaczonych zielonym
kolorem uzyskanie dostępu do Sie-
ci nie powinno zająć więcej niż 20
minut. Obszary oznaczone kolorem
żółtym wskazują na miejsca, gdzie
w trakcie poszukiwań łatwo natrafić
na sieć, do której możemy uzyskać
dostęp – jednak zależy on od czyn-
ników konfiguracyjnych (trudne ha-
sła, stosowanie dodatkowych szy-
frowań). Kolorem czerwonym ozna-
czyłem miejsca, gdzie natrafiłem
na Sieci, do których uzyskanie do-
stępu mogło okazać się absolutnie
niemożliwe (przyjmując, że chcie-
libyśmy zrobić to w najbliższych 5
latach). Obszary te nie są jedyny-
mi, być może równie dobrze zabez-
pieczone Sieci występują w innych
miejscach Warszawy, a nie zostały
ujęte na mapie. Wynika to z proza-
icznej przyczyny – mapa powstała
z danych otrzymanych po 2 podró-
żach głównymi ulicami miasta. Jed-
nak sądzę, że znakomicie przedsta-
wia istnienie problemu.
Przegląd ataków
na sieci WiFi
Popularność sieci bezprzewodowych
sprawiła, że stały się bardzo dobrym
celem do ataków wymierzonych w fir-
my. Powodem tego jest fakt, że Sie-
ci te same w sobie oferują bardzo
słabe zabezpieczenia, a potencjalni
włamywacze liczą, że administrato-
rzy nie poczynili żadnych kroków w
kierunku poprawy bezpieczeństwa.
Ataki na sieci WiFi można podzielić
na kilka kategorii:
• ataki dostępu – celem ataku jest
zdobycie dostępu i praw do ko-
rzystania z sieci WiFi,
• ataki nasłuchu – celem ataków
nasłuchu w sieci jest zdobycie
ważnych informacji przesyłanych
za jej pośrednictwem,
• ataki na integralność – celem
ataków na integralność danych
jest wprowadzenie użytkowników
w błąd, a w dalszej konsekwencji
przerwanie integralności przesy-
łanych danych oraz zablokowa-
nie sieci,
• ataki sprzętowe – celem ataku jest
kradzież sprzętu, zakłócanie czę-
stotliwości sieci oraz powodowa-
nie jej nieprawidłowego działania.
Podsumowanie
Ważnymi czynnikami stanowiący-
mi o popularności sieci WiFi są wy-
goda i mobilność. Nie można jed-
nak ignorować zagadnień związa-
nych z zapewnieniem odpowied-
niego poziomu bezpieczeństwa.
Od 6 lat wiadomo, że standardo-
we mechanizmy obrony gwaranto-
wane przez protokół obsługi są bar-
dzo słabe, a analiza wielu przypad-
ków wskazuje na fakt, iż administra-
torzy często pozostawiają wstęp-
nie skonfigurowane Sieci same so-
bie. Łatwość uzyskania dostępu
do Sieci, słaby lub całkowity brak
systemu kodowania danych i trud-
ność w fizycznym wykryciu napast-
nika bardzo podnosi znaczenie sie-
ci bezprzewodowych jako bram do-
stępu do ważnych danych dla po-
tencjalnych agresorów. Administra-
torzy powinni szczególnie dbać o
miejsca w swojej Sieci, do której
nie wymagane jest fizyczne podłą-
czenie, gdyż nie są w stanie kontro-
lować na bieżąco, kto stara się sko-
rzystać z ich Sieci i w jakim celu to
czyni. Bezpieczeństwo zarówno ca-
łej Sieci, jak i poszczególnych użyt-
kowników powinno być stawiane na
pierwszym miejscu, gdyż wszelkie
nieprawidłowości w tej płaszczyź-
nie mogą wygenerować problemy
szacowane już nie tylko w katego-
riach moralnych, ale i finansowych.
Administratorzy powinni wyrobić w
swoich użytkownikach świadomość
wszelkich zagrożeń, z jakimi mogą
się spotkać w trakcie korzystania z
sieci bezprzewodowych. Nie nale-
ży również poprzestawać na bez-
pieczeństwie samego dostępu do
Sieci – zarówno wejście do Sieci,
jak i poruszanie się po niej powin-
no wykorzystywać optymalne środ-
ki ochrony danych i informacji, gdyż
te są na wagę złota. Pokazałem, jak
szybko można dostać się do Sieci i
jak wiele można uzyskać informa-
cji o pracownikach, pracodawcy, fir-
mie. Pokazałem drogi, którymi moż-
na podążać, stawiając czytelnika na
skrzyżowaniach metod i sposobów
– a co zrobi napastnik? Jakie szko-
dy przyniesie...? l
W Sieci
• http://en.wikipedia.org/wiki/802.11 – protokół 802.11, opis techniczny/
encyklopedyczny,
• http://www.deviceforge.com/articles/AT5096801417.html – standard 802.11,
• http://www.wirelessve.org/entries/vulnerabilities – podatności sieci WiFi oraz Blu-
etooth,
• http://www.wirelessdefence.org/Contents/WirelessLinuxTools.htm – opis narzę-
dzi związanych z bezpieczeństwem WiFi,
• http://www.acm.org/crossroads/xrds11–1/wifi.html – przegląd podatności WiFi,
• http://wifinetnews.com/archives/002452.html – podatności WPA,
• http://en.wikipedia.org/wiki/Man–in–the–middle_attack – opis ataku MITM,
• http://en.wikipedia.org/wiki/Phishing – opis ataku typu phishing,
• http://www.watchguard.com/infocenter/editorial/135324.asp – teoria ARPpoisoning,
• http://docs.lucidinteractive.ca/index.php/Cracking _WEP_and_WPA_Wire-
less_Networks– łamanie WEP,
• http://arstechnica.com/articles/paedia/security.ars/1 – teoria zabezpieczeń sieci
bezprzewodowych.
Jeśli nie możesz odczytać zawartości płyty CD, a nie jest ona uszkodzona mechanicznie,
sprawdź ją na co najmniej dwóch napędach CD.
W razie problemów z płytą, proszę napisać pod adres: cd@software.com.pl
www.hakin9.org
hakin9 Nr 9/2007
26
Atak
F
ala P300 jest reakcją mózgu powstają-
cą w czasie 300 milisekund od bodźca.
Jest ona charakterystyczna dla każde-
go człowieka. Techniki biometryczne w prak-
tycznych zastosowaniach zajmują się przede
wszystkim weryfikacją osób (porównują uzy-
skane cechy z zapisaną wcześniej próbką,
czyli dokonuje się wyboru jednego z wielu i
weryfikuje), a w mniejszym stopniu ich iden-
tyfikacją – kiedy to uzyskane z pomiaru ce-
chy należy porównać z każdą zapisaną w ba-
zie próbką.
Ludzie próbują identyfikować siebie nawza-
jem w bardzo różnych sytuacjach i okoliczno-
ściach. Pierwszym upowszechnionym w stoso-
waniu sposobem, a raczej techniką identyfika-
cji, była daktyloskopia, zajmująca się odczytem
i porównywaniem odcisków palców. Na szero-
ką skalę weszła do użytku po zakończeniu II
Wojny Światowej.
Każda nowa technologia niesie za so-
bą obawy – czy aby będzie spełniała oczeki-
wania użytkowników, czy nie stanie się zbęd-
nym gadżetem, którego nikt nie będzie trakto-
wał poważnie. W przypadku czytników linii pa-
pilarnych stało się tak, jak już dawno przewi-
dywano. Są one teraz tak powszechne, że już
można zakupić całą gamę urządzeń peryferyj-
nych wykorzystujących tę technologię. Mamy
już dziś klawiatury wyposażone w takie czyt-
niki, są także przenośne dyski z wbudowa-
nym czytnikiem linii papilarnych, montuje się je
w zamkach do drzwi itp. Stosuje się je w miej-
scach, które wymagają ograniczonego dostę-
pu, na przykład w laboratoriach, budynkach mi-
litarnych, na lotniskach i w innych pilnie strze-
żonych obiektach.
Istnieje kilka mitów, które krążą w Inter-
necie jako informacje przez wielu traktowane
Hardware hacking –
oszukiwanie zabezpieczeń
biometrycznych
Grzegorz Błoński
stopień trudności
Biometria to technika ukierunkowana na automatyczne
rozpoznawanie ludzi według cech fizycznych. Metody
biometryczne badają cechy fizyczne, jak też i cechy behawioralne,
tzn. związane z zachowaniem (np. sposób chodzenia, podpis
odręczny, głos – a nawet można wpisać tu sposób reakcji mózgu,
fali P300, na pewne znane informacje-bodźce).
Z artykułu dowiesz się
• jak włamać się do systemu zabezpieczonego
skanerem linii papilarnych,
• jak włamać się do systemu zabezpieczonego
skanerem tęczówki oka,
• czy warto całkowicie ufać zabezpieczeniom
biometrycznym.
Co powinieneś wiedzieć
• wiedza na temat budowy oka ,
• podstawowe informacje o daktyloskopii.
Oszukiwanie zabezpieczeń biometrycznych
hakin9 Nr 9/2007
www.hakin9.org
27
jako prawdziwe. Jednym z tych mitów
jest podawanie informacji, że biome-
tria jest nową technologią. Jest to nie-
prawdą – już w starożytnym Egipcie
biometria była wykorzystywana do
opisywania i rozróżniania powstają-
cych wówczas budowli. Obiekty te by-
ły identyfikowane za pomocą cech fi-
zycznych: wyglądu, kształtu, rozmia-
ru oraz innych.
Kolejny mit mówi o naświetlaniu
oka ludzkiego laserem podczas ska-
nowania tęczówki oka – tak nie jest,
ponieważ skanery tęczówki wyko-
nują zdjęcia czarno-białe, używając
do tego celu oświetlenia zbliżonego
do podczerwieni – a więc praktycz-
nie niewidocznego dla oka ludzkiego
a także dlań nieszkodliwego.
Ciekawym mitem jest krążą-
ca informacja o możliwości oszuki-
wania skanerów skradzionymi czę-
ściami ciała (oko, palec). Znajdu-
je ona teoretyczne potwierdzenie
w filmach, natomiast fakty pozo-
stają niezmienne: ucięty palec już
po 10 minutach nie będzie właści-
wie rozpoznany, wyjęte oko po kil-
ku minutach zachodzi mgłą i rów-
nież nie będzie możliwa poprawna
weryfikacja.
Pojawia się także interesująca in-
formacja na temat skanerów linii pa-
pilarnych. Podobno dzieci oraz ko-
biety rasy żółtej nie mogą być po-
prawnie zweryfikowane z powodu
zbyt małych palców, co jest oczy-
wistą bzdurą przy dzisiejszych roz-
dzielczościach skanerów.
Komputerowe przetwarzanie li-
nii papilarnych rozpoczęto we wcze-
snych latach sześćdziesiątych. W ro-
ku 1965 powstał AFIS (Automatic
Fingerprint Identification System) z
bazą ponad 810 tysięcy odcisków
palców.
Rodzaje czytników
linii papilarnych
Możemy wyróżnić kilka rodzajów
czytników linii papilarnych. Pierw-
szy z nich to czytnik optyczny, któ-
ry porównuje zapisane cyfrowo odci-
ski palców, kolejny to czytnik pojem-
nościowy, mierzący pojemność kon-
densatora utworzonego z powierzch-
ni palca i powierzchni sensora, trzeci
rodzaj – termiczny – porównuje róż-
nice temperatur pomiędzy punkta-
mi linii papilarnych. Są też czytniki,
które wykorzystują kilka metod jed-
nocześnie.
Widoczny na Rysunku 1. sche-
mat pozwala zrozumieć ogólną za-
sadę działania sensora pojemnościo-
wego w czytnikach linii papilarnych.
Widoczne elektrody kondensatora
(w jednym calu powierzchni czytnika
znajduje się ich tysiące) są podłączo-
ne do specjalnych układów wzmac-
niających, które przekazują informa-
cję do układów elektronicznych zapi-
sujących wartości z powierzchni ca-
łego czytnika tworząc mapę pojem-
ności w postaci tak zwanego printu
który jest umieszczany w bazie jako
wzór odcisku palca. Podczas przesu-
wania palca po czytniku wartości po-
jemności, które są bardzo różne dla
różnych części palca (dla grzbietów i
dolin linii papilarnych) są porównywa-
ne z printami zapisanymi w bazie. Ba-
za jest tworzona przez oprogramo-
wanie współpracujące ze sprzętową
częścią skanera.
W przypadku skanerów stosowa-
nych w laptopach IBM/Lenovo dla
systemów operacyjnych z rodziny
Rysunek 1.
Budowa sensora pojemnościowego
Rysunek 2.
Skaner UPEK TCS3 oraz TCS4
Tabela 1.
Porównanie wybranych
metod
Technika FRR(%)
FAR(%)
linie papi-
larne
0,1
0,001
geometria
dłoni
0,1
0,1
siatkówka
oka
10
0,0001
tęczówka
oka
0,0007
0,0008
geometria
twarzy
<1
0,1
Grzbiet lini papilarnej
Elektrody kondensatora
Wzmacniacz
Warstwa izolacyjna
Dolina lini papilarnej
Wejście
Kondensator
wejściowy
Zasilanie
wyjście
Reset
Masa układu
Napięcie wzorcowe
hakin9 Nr 9/2007
www.hakin9.org
Atak
28
Windows, producent tych skanerów
– firma UPEK – przygotował specjal-
ny sterownik który po zainstalowa-
niu jest w stanie stworzyć bazę odci-
sków i ją przechowywać. W przypad-
ku systemów uniksowych sytuacja
oprogramowania takich skanerów
jest gorsza, ale nie tragiczna. Bardzo
często wykorzystywanym oprogra-
mowaniem jest produkt konsorcjum
BioAPI o nazwie TFM Fingerprint,
który ma możliwość pracy zarówno
w konsoli tekstowej, jak i w środowi-
sku graficznym. Używam tego opro-
gramowania na swoim Thinkpadzie
T42 i muszę przyznać że działa bar-
dzo sprawnie.
W porównaniu z ceną jaką trzeba
zapłacić za taki czytnik, skuteczność
ochrony jest bardzo duża. Na rynku
krajowym ceny czytników/skanerów
linii papilarnych zaczynają się od
kilkuset złotych i dochodzą do kil-
ku tysięcy, jeśli są one składnikami
na przykład zamków do drzwi czy
bram wejściowych. Najtańszy ska-
ner, jaki udało mi się znaleźć, to pod-
łączane do interfejsu USB urządze-
nie BIOCA-120 (cena 158 zł brutto)
z oprogramowaniem BioLogon po-
zwalającym na bezpieczne logowa-
nie do systemu oraz BioEncrypt, któ-
re umożliwia zaszyfrowanie plików
czy też katalogów. Niewspółmier-
nie wyższą ochronę zapewnia ska-
ner tęczówki oka, lecz jest o wiele
razy droższy i mniej wygodny w za-
stosowaniu. W polskich sklepach ce-
ny najtańszych skanerów tęczówki
oka zaczynają się od kilkunastu ty-
sięcy złotych.
Pobieranie próbek biometrycz-
nych przy uzyskiwaniu dostępu do
systemów komputerowych czy też
pomieszczeń odbywa się w różnych
warunkach, tak więc nie jest możli-
we, aby dwie próbki pobrane w róż-
nych środowiskach, o różnej tempe-
raturze, wilgotności i odmiennych
zniekształceniach były identyczne. Z
tego powodu porównywanie próbek
jest wykonywane przez algorytmy,
które obliczają poziom zgodności
porównując go z założonym wcze-
śniej wskaźnikiem akceptowalności.
Wyróżniamy dwa rodzaje współ-
czynników określających błędy w od-
czytach.
FRR, czyli False Rejection Rate,
nazywany często False Non-Match
Rate – określa liczbę porównań,
które powinny zostać zweryfikowa-
ne pozytywnie, jednak zostały uzna-
ne za negatywne. Wcale nie ozna-
cza to, że system działa źle – mo-
że oznaczać na przykład źle ułożony
palec podczas skanowania.
FAR (False Acceptance Rate),
czyli ilość próbek, w których odczyt
powinien zostać zweryfikowany ne-
gatywnie, a jednak uzyskał pozytyw-
ny wynik weryfikacji.
Tabela 1. przedstawia porównanie
wybranych metod prezentujące sku-
teczność technologii określaną po-
przez współczynniki FRR oraz FAR.
Dwie kolejne metody są często
mylone ze sobą z powodu podobnej
techniki wykonywania odczytu. Mo-
wa tu o skanowaniu tęczówki oraz
siatkówki oka.
Poniżej przekrój oka, na którym
można zaobserwować, że obszar tę-
czówki jest niewspółmiernie mniej-
szy niż siatkówki, co – tak samo jak
Rysunek 3.
Budowa oka ludzkiego
Rysunek 4.
Niebieska tęczówka oka
Oszukiwanie zabezpieczeń biometrycznych
hakin9 Nr 9/2007
www.hakin9.org
29
budowa tkanki obydwu – ma wpływ
na niepowtarzalność skanowanego
obrazu.
Skanowanie wzoru
tęczówki oka
Naukowcy już dawno udowodnili,
że tęczówka oka kształtuje się już
w pierwszych latach życia każdego
człowieka i pozostaje niezmieniona
przez całe życie. Jednym z wyróżni-
ków tej metody jest fakt, iż wykorzy-
stuje ona ponad 200 punktów cha-
rakterystycznych – czyli o wiele wię-
cej niż skanowanie linii papilarnych.
Tęczówka oka jest tak bardzo wyjąt-
kowa, że na całym świecie nie ma
dwóch ludzi o takiej samej tęczów-
ce, wyklucza się nawet aby bliźnię-
ta jednojajowe mogły posiadać taki
sam wzór tęczówki oka. Faktem jest,
że nawet lewe oko ma inną tęczówkę
niż prawe u tego samego człowieka.
Wynika z tego bardzo ważny
wniosek, że na dzień dzisiejszy nie
ma bardziej pewnego rodzaju iden-
tyfikacji, który byłby do tego tak ma-
ło inwazyjny jak skanowanie tęczów-
ki. Niestety, skanery tęczówki oka są
urządzeniami bardzo drogimi, co nie
pozwala stosować ich wszędzie tam,
gdzie byłoby to celowe.
Skanowanie
siatkówki oka
W tej metodzie materiałem skanowa-
nym i weryfikowanym jest siatkówka,
czyli część sensoryczna oka. Meto-
da ta, jak wynika z Tabeli 1. jest mniej
skuteczna niż skanowanie tęczówki,
ale w wielu miejscach gdzie jest sto-
sowana, wystarcza do utrzymania
bezpieczeństwa. Posiada ona wady,
które pogarszają skuteczność, a są
nimi podatność na zniekształcenia
naczyń krwionośnych siatkówki po-
wodowane przez choroby takie jak
cukrzyca czy nadciśnienie tętnicze
krwi. Dodatkowymi minusami tej me-
tody są: konieczność zdejmowania
okularów podczas odczytu oraz bar-
dzo bliskiego wpatrywania się w ska-
ner co najmniej przez 10 sekund.
Skanowanie
geometrii dłoni
Bardzo często wykorzystywaną me-
todą identyfikacji jest rozpoznawa-
nie geometrii dłoni (hand geometry).
Skanery takie wykonują średnio
90 zdjęć trójwymiarowych dłoni, któ-
re zostają zapisane jako wzorzec.
W związku z tym, że dłonie ludz-
kie są tak samo różne jak linie pa-
pilarne na palcach, skuteczność ta-
kiego zabezpieczenia jest stosunko-
wo duża. Powiększa się ich skutecz-
ność dodając funkcję skanowania li-
nii papilarnych.
Rozpoznawanie twarzy
Metoda polegająca na wykonywaniu
zdjęcia wzorca do późniejszej wery-
fikacji podczas odczytów. Takie zdję-
cie uwzględnia bardzo dokładne po-
miary struktury twarzy włączając w
to odległości między oczami, nosem,
ustami i szczęką.
Wynik skanowania otrzymujemy
po około 5 sekundach. Niestety, me-
toda jest niedoskonała – mrugnięcie
okiem, grymas na twarzy, zarost i in-
ne zmiany na twarzy powodują za-
kłócenie weryfikacji, co kończy się
błędnym rozpoznaniem.
Rozpoznawanie wzorów
naczyniowych
Bardzo ciekawa i mało znana me-
toda identyfikacji polegająca na wy-
konywaniu zdjęcia naczyń krwiono-
śnych twarzy lub dłoni. Udowodnio-
no, że układ krwionośny może być
unikalny w stopniu pozwalającym na
wykluczenie drugiego o takiej samej
Rysunek 5.
Oko widziane przez skaner
Rysunek 6.
Skaner geometrii dłoni
hakin9 Nr 9/2007
www.hakin9.org
Atak
30
strukturze. Metoda nie doczekała się
niestety żadnego standardu, wyko-
rzystywana jest testowo w niektó-
rych bazach policyjnych w USA.
Oczywiście można by opisać
więcej technik identyfikacji, lecz nie
wszystkie są wykorzystywane ze
względu na dużą podatność na oszu-
kiwanie skanerów.
Pozwolę sobie podać tu jako
przykład metodę rozpoznawania gło-
su, którą można oszukać odpowied-
nio spreparowanym nagraniem – co
nie jest problemem w dzisiejszych
czasach.
Skaner linii papilarnych jest naj-
bardziej ekonomicznym rozwiąza-
niem identyfikującym, biorąc pod
uwagę zarówno jego cenę, jak i wiel-
kości współczynników FAR oraz
FRR. Niestety jest też on najbardziej
podatny na oszukiwanie.
Mimo stosowania w skanerach
dodatkowych czujników temperatu-
ry czy pojemności można niewielkim
nakładem oszukać takie urządzenie.
Potrzeba nam przede wszystkim
dobrej jakości odcisku, jaki zostawi
osoba pod którą chcemy się podszyć.
Bardzo dobre odciski są pozostawia-
ne na szklanych naczyniach o gładkiej
fakturze (bez wzorów czy nadruków).
Aby zdjąć taki odcisk palca, mo-
żemy skorzystać z różnych metod.
Jedną z nich jest naniesienie na od-
cisk pyłu (na przykład grafitu), który
spowoduje uwidocznienie linii papi-
larnych.
Inna metoda to naniesienie bar-
dzo cienkiej warstwy cyjanoakrylu,
który jest składnikiem klejów szybko-
schnących (np. Kropelka, Superglue)
i spowodowanie jej zaschnięcia. Wy-
sychająca warstwa kleju spowodu-
je związanie się tłuszczu zawarte-
go w odcisku z klejem, co uwypukli
linie papilarne. Na Rysunku 9. widać
dociśnięty do miejsca, w którym jest
odcisk, kapsel z wprowadzoną do
środka niewielką ilością kleju cyjano-
akrylowego, którego opary reagują z
tłuszczem w naszym odcisku i powo-
dują powstanie twardego białego na-
lotu na liniach papilarnych.
Kolejny etap to sfotografowanie
takiego odcisku w bardzo wysokiej
rozdzielczości w celu dalszej obróbki.
Po usunięciu z cyfrowego obra-
zu zniekształceń oraz zakłóceń na-
leży wydrukować tak przygotowany
odcisk na folii używanej do druko-
wania prezentacji wyświetlanych na
projektorach/rzutnikach.
Wydrukowany odcisk niestety nie
posiada takiej faktury, jaką ma skóra
palca pokryta liniami papilarnymi. Na
wydruk należy teraz nałożyć bardzo
cienką warstwę kleju (na przykład
wikolu) posiadającego odpowiednią
wilgotność.
Po wyschnięciu kleju i delikatnym
usunięciu jego nadmiaru mamy goto-
wy palec, który wystarczy teraz na-
kleić na własny i już można cieszyć
się uzyskiwaniem dostępu do zabez-
pieczonej strefy w firmie, banku czy
agencji rządowej.
Podobnej metody użyli autorzy
słynnego programu Mythbusters,
którzy jako materiału nośnego dla
podrobionego odcisku użyli cienkiej
Rysunek 7.
Odcisk palca na szklance utrwalony za pomocą pyłu z
kosmetycznego pudru do twarzy
Rysunek 8.
Uwidacznianie odcisku za pomocą pyłu grafitowego
Oszukiwanie zabezpieczeń biometrycznych
hakin9 Nr 9/2007
www.hakin9.org
31
masy lateksowej. Ich program poka-
zał, jak łatwo można dostać się do
pomieszczeń chronionych zabez-
pieczeniami opartymi o skaner li-
nii papilarnych. Prostszą, ale tak-
że skuteczną metodą na stworze-
nie imitacji odcisku jest wykorzy-
stanie tak zwanej ciastoliny – masy
sprzedawanej pod marką Play-Doh,
która jest unowocześnioną wersją
plasteliny. Jej główne zalety to nie-
brudzenie i niewysychanie. Serwis
www.engadget.com umieścił na
swoich łamach informację przesła-
ną przez Evana Blassa, który opisy-
wał wówczas, że 90% obecnych na
rynku czytników linii papilarnych jest
podatnych na oszukiwanie przy uży-
ciu odcisku wykonanego w ciastoli-
nie. Bardzo zbliżoną do tych metod
jest ta, której użył Tsutomu Matsu-
moto. Jego metoda polegała na wy-
konaniu odcisku palca osoby, pod
którą chcemy się podszyć, w roz-
grzanej masie plastikowej, następ-
nie zalaniu takiej formy żelatyną po-
chodzącą z rozpuszczonych cukier-
ków żelowych (tak zwanych miś-
ków). Tak wykonany palec, a właści-
wie opuszek palca, łatwo jest przy-
kleić do swojego palca i już można
niepostrzeżenie uzyskać dostęp do
zabezpieczonego systemu.
Istnieje jeszcze inny rodzaj ata-
ku na zabezpieczenie w postaci
skanera linii papilarnych. Podsłuchi-
wanie (sniffing) danych biegnących
pomiędzy skanerem, a oprogramo-
waniem skanera pozwala w niektó-
rych przypadkach na przechwyce-
nie odcisku i późniejsze jego wy-
korzystanie. Podsłuchiwać można
na przykład na magistrali USB, lecz
tylko te skanery, które z takiej szy-
ny danych korzystają. Trudnym za-
daniem będzie instalacja sniffera
na komputerze ofiary, jednak czę-
sto jest to do wykonania. Do podsłu-
chiwania z powodzeniem możemy
użyć programów takich jak usbsno-
op czy sniffusb dla Windows oraz
usbmon dla Uniksów. Po przechwy-
ceniu informacji zawierającej odcisk
możemy zaatakować ofiarę poprzez
odcięcie połączenia skanera z chro-
nionym systemem, a następnie pró-
bować wstrzyknąć podsłuchaną in-
formację, która pozwoli nam na do-
stęp do systemu. To, czy uda się
nam wychwycić podczas podsłuchi-
wania nadający się do wykorzysta-
nia odcisk, zależy od tego, czy dane
nie są szyfrowane w czasie transmi-
sji. Przykład zastosowania takiego
szyfrowania to TPM (Trusted Plat-
form Module) zastosowana w Think-
padach. Przechwycony odcisk jest
podziurawiony jak sitko i żaden z
niego pożytek do naszych celów, co
widać na zdjęciu poniżej.
W celu podsłuchania i anali-
zy przechwyconych danych można
także użyć urządzenia firmy Hitex
o nazwie USBAgent. Jest to wyso-
kiej klasy analizator USB, który po-
zwala na podłączenie się do szy-
ny USB innego systemu kompute-
rowego poprzez wysokiej impedan-
cji sondę USB, ponieważ sam pra-
cuje podłączony do portu równole-
głego LPT.
Jego oprogramowanie pozwa-
la na analizę danych, które jest w
Rysunek 9.
Uwidacznianie odcisku za pomocą oparów cyjanoakrylu
Rysunek 10.
Fotografowanie odcisku celem dalszej obróbki
hakin9 Nr 9/2007
www.hakin9.org
Atak
32
stanie przechwycić, co jest w na-
szym przypadku bardzo użytecz-
ne. Niestety urządzenie nie jest ta-
nie, kosztuje prawie dwa tysiące
funtów.
W przypadku Thinkpada z Win-
dowsami na pokładzie istnieje jesz-
cze możliwość przeczesania rejestru
systemowego w gałęzi HKLM w któ-
rej to w sekcji Software zapisywane
są informacje o odczytywanych od-
ciskach. Do poszukiwania informa-
cji o skanowanych osobach można
użyć programu RegMon, który po-
zwoli łatwo zlokalizować właściwe
klucze. Rejestr Windows na Think-
padzie T42 zawiera takie informa-
cje w kluczu:
HKEY_LOCAL_MACHINE\
SOFTWARE\VirtualToken\Passport
\2.0\LocalPassport\User<username>
oraz:
HKEY_LOCAL_MACHINE\
SOFTWARE\VirtualToken\Passport
\2.0\LocalPassortBio
Można wówczas na innym kom-
puterze spreparować własny od-
cisk i próbować podmienić w reje-
strze systemu ofiary oryginalny od-
cisk właściciela na nasz sfabryko-
wany. Taka technika atakowania za-
bezpieczeń biometrycznych nosi na-
zwę BioWorm i może być stosowa-
na do wszystkich rodzajów skane-
rów, które zapisują informacje na te-
mat uprawnionych osób oraz pozo-
stawionych przez nich danych bio-
metrycznych (odcisków palca, dło-
ni, obrazu tęczówki czy siatkówki
oka itp.).
Podatne na tego typu działania
są skanery linii papilarnych produ-
centów takich jak: Infineon, UPEK,
Dermalog, U.are.U, Identix, Atmel
oraz Authentec, chociaż zapewne
ta lista może znacznie się wydłu-
żyć po wykonaniu odpowiednich te-
stów na urządzeniach innych produ-
centów.
Firmy produkujące urządzenia
biometryczne zrzeszają się w orga-
nizacji IBIA (International Biometric
Industry Association) w celu ułatwie-
nia prac prowadzących do minimali-
zowania możliwości oszukiwania za-
bezpieczeń je wykorzystujących.
Kolej na skanery tęczówki oka,
które uchodzą za najbardziej bez-
pieczne.
Ich bezbłędność w rozpozna-
waniu jest bardzo duża, jednak nie
jest to doskonałość wyrażona licz-
bą 100%. Tego rodzaju skanery tak-
że można oszukać. Choć jest to bar-
dzo trudne, to nie znaczy, że nie-
możliwe.
Próba pokazania skanerowi zdję-
cia tęczówki na papierze nie pozwo-
liła na uzyskanie dostępu, taki sam
efekt miało pokazywanie skanero-
wi zdjęcia tęczówki wyświetlanego
na monitorze laptopa – a wszystko
to dlatego, że algorytm autoryzacji
w takich skanerach sprawdza rów-
nież obecność żywej źrenicy oka.
Jednak nie wystarczy nagrać po-
ruszające się oko i odtworzyć taki
film przed skanerem, taka operacja
się nie powiedzie. Należy więc zdo-
być bardzo dobrej jakości zdjęcie
tęczówki oka, wyciąć miejsce na źre-
Rysunek 11.
Oczyszczanie zdjęć przed drukowaniem
Rysunek 12.
Nanoszenie wikolu
Oszukiwanie zabezpieczeń biometrycznych
hakin9 Nr 9/2007
www.hakin9.org
33
nicę i przy odrobinie szczęścia uda
się oszukać skaner pokazując mu
zdjęcie oka z własnym okiem bez-
pośrednio za kartką tak, aby było wi-
dać źrenicę.
Trudno będzie stworzyć ta-
ką technikę weryfikacji osób, któ-
ra da stuprocentowe bezpieczeń-
stwo. Problemem pozostaje fakt,
iż każde urządzenie – nawet naj-
bardziej zaawansowane technolo-
gicznie – nie posiada inteligencji,
która mogłaby dokładniej analizo-
wać materiał, na podstawie które-
go ma stwierdzić tożsamość osoby.
W świetle tych wniosków praktycz-
nie niemożliwe staje się wyelimino-
wanie oszustwa. Człowiek od za-
wsze próbował uzyskiwać dostęp
do stref, dokumentów, plików itp.,
które nie były dla niego dostępne, a
firmy produkujące zabezpieczenia
od zawsze prześcigały się w pomy-
słach, jak utrudnić nieautoryzowa-
ny dostęp.
Z pewnością o żadnym syste-
mie zabezpieczeń i weryfikacji nie
można powiedzieć, że jest w stu
procentach pewny, może się tyl-
ko zbliżać do tej wartości. Niemniej
wiele firm nadal prowadzi badania
nad możliwościami wykorzystania
takiej metody weryfikacji, która po-
zwoli na całkowite wyeliminowanie
możliwości obejścia zabezpiecze-
nia i oszukania go w celu uzyska-
nia nieautoryzowanego dostępu.
I dzięki takim firmom postęp tech-
nologiczny pozwala na ciągły roz-
wój technologii służących zabez-
pieczaniu, co z pewnością jest bar-
dzo istotne dla wielu instytucji pra-
gnących mieć poczucie bezpie-
czeństwa.
Podsumowanie
Zabezpieczenia biometryczne po-
zwalają na obniżanie ryzyka nieau-
toryzowanego dostępu do zabezpie-
czanych obiektów i systemów. Na-
leży jednak stosować zasadę ogra-
niczonego zaufania do tego rodza-
ju rozwiązań, ponieważ nie są one
tak bezpieczne, aby można im ufać
bezgranicznie, co – mam nadzie-
ję – przedstawiłem w tym artykule.
Ze względu na bardzo szybki roz-
wój opisywanych w artykule techno-
logii trudno jest jednoznacznie okre-
ślić, jakie zabezpieczenia będą naj-
bardziej cenionymi oraz bezpieczny-
mi i które staną się standardami. Po-
wstaje cały szereg bardzo różnych
od siebie rozwiązań bazujących na
kodzie DNA, zapachu i innych ce-
chach uznawanych za unikalne, lub
takie, których powtarzalność w po-
pulacji jest minimalna. Miejmy na-
dzieję, że uda się znaleźć takie roz-
wiązanie, które uwolni administrato-
rów takich systemów od stresu po-
wodowanego przez obawy o bezpie-
czeństwo.
Zainteresowanych technologia-
mi biometrycznymi odsyłam do lek-
tury strony Konsorcjum Biometrycz-
nego pod adresem www.biome-
trics.org l
Rysunek 13.
Gotowy do wykorzystania odcisk
Rysunek 14.
Po lewej odcisk czytelny, po prawej podsłuchany na
Thinkpadzie z szyfrowaniem TPM
O autorze
Grzegorz Błoński, z wykształcenia jest
informatykiem, certyfikowanym spe-
cjalistą IBM. Pracuje w dużej firmie o
zasięgu światowym. Zajmuje się ad-
ministracją i bezpieczeństwem siecio-
wym. Należy do międzynarodowych
organizacji ISOC oraz ISACA zajmują-
cych się szeroko pojętym bezpieczeń-
stwem IT.
Kontakt z autorem:
mancymonek@wp.pl
www.hakin9.org
hakin9 Nr 9/2007
34
Atak
U
ruchomienie aplikacji we wrogim śro-
dowisku jest z pewnością bardzo in-
teresującym wyzwaniem. Zobaczymy
jednak, że w przypadku Skype'a, nawet naj-
wspanialsze rezultaty nie zawsze osiągnięto w
sposób przejrzysty i elegancki.
Na wstępie małe spostrzeżenie: zważyw-
szy na to, że Skype jest produktem komercyj-
nym, że nigdy dotąd nie zostały opublikowa-
ne specyfikacje protokołu, który stale ewolu-
uje oraz że znaczna część pliku wykonywal-
nego jest zaszyfrowana, dane poniżej przed-
stawione zostały częściowo wydedukowane z
prostych obserwacji, jako że pogłębiona anali-
za jest obecnie niewykonalna.
Wprowadzenie do sieci Skype
Sieć Skype jest siecią P2P (sieć overlay
– SQM) przewidującą dwa rodzaje węzłów:
zwykłe węzły (SC, Skype Client) i super wę-
zły (SN) (Rysunek 1). Każdy węzeł zwykły od-
wołuje się do jednego super węzła określane-
go przy uruchamianiu programu. Super węzły
są natomiast end-point sieci Skype i nie są ni-
czym innym, jak węzłami zwykłymi z publicz-
nym IP ze znacznymi zasobami (pasmo, CPU,
pamięć) do dyspozycji. Poza normalnymi funk-
cjami klienckimi, SN wykonują także inne ope-
racje, na przykład przesyłają dalej zapytania i
odpowiednie odpowiedzi pomiędzy węzłami.
W odróżnieniu od niektórych sieci P2P, klient
nie może uniknąć promowania do super węzła.
Oprócz takich węzłów pozostałymi elementami
sieci Skype są:
•
Login server: używany przez SC do uwie-
rzytelniania.
•
SkypeIn i SkypeOut: elementy nie stano-
wiące części sieci P2P, ale zapewniają-
ce usługę bridging PC-to-PSTN i na od-
wrót.
Hakowanie Skype’a
Gianluigi Spagnuolo
stopień trudności
W niniejszej publikacji zajmiemy się Skypem. Potraktujemy ów
program jako pretekst do przeanalizowania oprogramowania
napisanego z zamiarem stworzenia aplikacji z każdego punktu
widzenia bezpiecznej, poczynając od pliku wykonywalnego do
ruchu sieciowego.
Z artykułu nauczysz się
• jak działa Skype?
• jakie techniki wykorzystuje dla obrony przed
debuggerami?
• jak ukrywany jest ruch sieciowy?
Co powinieneś wiedzieć
• podstawy networkingu,
• podstawy reverse engineeringu.
Skype pod mikroskopem
hakin9 Nr 9/2007
www.hakin9.org
35
Aby móc używać Skype'a, należy
najpierw zarejestrować się do usługi.
Użytkownik musi wybrać nazwę i ha-
sło, przyjmijmy N i Pn. Na podstawie
tych danych (N, Pn) zostaje wygene-
rowana para kluczy RSA: klucz pu-
bliczny Vn i klucz prywatny Sn.
Rejestracja dokonuje się poprzez
Login Server, do którego wysyłane są
username N i klucz publiczny Vn. Ser-
wer po skontrolowaniu unikalności N
oraz po weryfikacji klucza tworzy cer-
tyfikat tożsamości, który będzie wy-
korzystywany przez peer do wszyst-
kich kolejnych uwierzytelnień. Login
Server jest jedynym centralnym kom-
ponentem całej sieci, podczas gdy
wszystkie informacje o użytkowni-
kach są przetwarzane w sposób zde-
centralizowany przez super węzły.
W momencie uruchomienia klient
Skype łączy się z SN, następnie
uwierzytelnia się poprzez Login Se-
rver, powiadamia swoje kontakty o
własnej obecności w sieci, określa
rodzaj NAT/firewall, uaktualnia nie-
które listy i kontaktuje się z Sky-
pe.com w celu sprawdzenia obecno-
ści nowych wersji pliku wykonywal-
nego (należy zauważyć, że to ostat-
nie połączenie jest jedynym połącze-
niem wykonywanym przez klienta w
sposób całkowicie jawny).
Tak jak w przypadku wszystkich
sieci overlay (więcej informacji na ich
temat w ramce) każdy SC musi stwo-
rzyć i okresowo uaktualniać, listę
osiągalnych super węzłów. W przy-
padku Skype'a lista taka, nazywa-
na Host Cache (HC), złożona z par
IP/port, składająca się maksymalnie
z 200 elementów, jest przechowywa-
na w pliku shared.xml.
W celu nawiązania połączenia,
dokonuje się wymiana 64 bitowych
pakietów podpisanych przez nadaw-
cę i weryfikowanych przez adresata
przy zastosowania klucza publiczne-
go nadawcy. Uwierzytelnienie pomię-
dzy dwoma peerami dokonuje się po-
Rysunek 1.
Uproszczony schemat
sieci Skype
Login server (LS)
Skype client (SC)
Super nodo (SN)
Rysunek 2.
Opcje połączenia z wybranymi numerami portu
hakin9 Nr 9/2007
www.hakin9.org
Atak
36
przez wymianę własnych certyfika-
tów tożsamości, jest też przewidzia-
ne stworzenie 256 bitowego klucza
sesyjnego. Komunikacja odbywa się
natomiast poprzez UDP z AES przy
zastosowaniu klucza sesyjnego.
Po tym krótkim zilustrowaniu funk-
cjonowania Skype'a zobaczmy, jakie
zabezpieczenia zostały przewidziane
przez jego twórców, by możliwie jak
najlepiej ochronić tę aplikację.
Zabezpieczenia pliku
wykonywalnego Skype
Zobaczmy, jak broniony jest plik
wykonywalny przed hordami crac-
kerów gotowych do poddania go
wiwisekcji. Trzeba tu już na wstę-
pie przyznać, że Skype implemen-
tuje wszystkie podstawowe tech-
niki anti-reversing razem wzięte.
Jest to, można powiedzieć, mate-
riał do reverse engineeringu pierw-
szej klasy.
Plik binarny Skype'a stosuje roz-
maite techniki, by bronić się zarów-
no przed analizą statyczną, jak i dy-
namiczną. Kod pliku wykonywalnego
jest rzeczywiście szyfrowany i jest
stopniowo odszyfrowywany w chwili
runtime, w miarę swego wykorzysty-
wania; w praktyce jest tworzona w
pamięci przestrzeń robocza zawie-
rająca odszyfrowany kod. Niektóre
części pliku binarnego są xorowane
przy wykorzystaniu klucza hard-co-
ded w ramach kodu.
Niektóre biblioteki i funkcje są ła-
dowane dynamicznie w taki sposób,
że analiza statyczna pliku wykony-
walnego nie wykazuje ich obecno-
ści; około 20% bibliotek jest impor-
towanych w ten właśnie sposób. Po-
za tym, w celu wywołania zamiesza-
nia i uczynienia kodu nieczytelnym
została dodana znaczna część ko-
du fikcyjnego. Także narzędzia typu
strings okazują się w tym przypad-
ku bezużytecznymi, ponieważ nie
wykazują obecności żadnego wpisu
przydatnego do zrozumienia jakiego-
kolwiek aspektu Skype'a.
Rysunek 3.
Próby połączenia z super węzłem
Rysunek 4.
Schemat generowania klucza RC4
IP sorgente
Obfuscation Layer IV
CRC#32
Chiave RC4
IP destinazione
ID
\x00\x00
Seed
RC4 key engine
Sieci overlay
Z samej definicji pojęcia wynika, że sieć
overlay jest siecią zbudowaną na innej
sieci. Jest to typ sieci często wykorzy-
stywany przy tworzeniu sieci P2P, któ-
re generalnie są nałożone na Internet.
Typologia wyróżnia trzy rodzaje sieci:
scentralizowana, częściowo scentra-
lizowana i czysta peer-to-peer. Istnie-
je także kilka modeli połączeniowych:
CDM (Centralized Directory Model), jak
na przykład BitTorrent, FRM (Flooded
Requests Model), np. Gnutella, DRM
(Document Routing Model) jak Fre-
eNet, DIRM (Distributed Indexes and
Repositories Model) jak eMule, SQM
(Selective Query Model) jak Skype.
Ten ostatni model sieciowy przewiduje,
że peer o szerszym paśmie i lepszych
parametrach (CPU, pamięć) są promo-
wane na super węzły i w efekcie stano-
wią bazę sieci overlay.
Protokół STUN
STUN, Simple Traversal of UDP thro-
ugh NATs, jest protokołem zdolnym do
wykrywania obecności NAT i do wydo-
bywania z tego stanu rzeczy przydat-
nych informacji: typ, adres publiczny i
porty. Te informacje są później wyko-
rzystywane przez klientów, którzy znaj-
dują się poza NAT, do otwierania połą-
czeń UDP z innymi hostami.
Protokół STUN posiada architek-
turę client-server, jego działanie jest
więc proste. Klient przesyła zapytanie
do servera, który odpowiada, przesy-
łając informacje o routerze (adres pu-
bliczny i otwarte porty nadające się do
wykorzystania przez ruch przychodzą-
cy). Na podstawie takiej odpowiedzi
klient może także rozpoznać typ, ba-
zując na obsłudze pakietów UDP przy-
chodzących, traktowanych w odmien-
ny sposób przez różne NAT. Klienci
STUN są w stanie określić trzy spo-
śród czterech rodzajów NAT, a dokład-
niej Full Cone, Restricted Cone i Port
Restricted Cone. Więcej informacji o
tym i innych aspektach można znaleźć
na RFC 3489.
Skype pod mikroskopem
hakin9 Nr 9/2007
www.hakin9.org
37
Checksum
Jedną z pierwszych obserwacji, ja-
kie poczyni osoba wdająca się w ana-
lizę pliku wykonywalnego Skype'a,
jest ogromna liczba crashy, następu-
jących po sobie, wydawałoby się, bez
żadnego powodu. Jednak przy do-
kładniejszym oglądzie można zauwa-
żyć, że takie zachowanie jest dziełem
licznych sum kontrolnych rozproszo-
nych po całym kodzie. Rzeczywiście
obecna jest wielka liczba sum kontro-
lnych polimorficznych ulokowanych w
sposób przypadkowy. Zasadniczym
celem tego rozwiązania jest zapobie-
ganie wprowadzeniu breakpointów,
ale znaczące jest też uniknięcie mo-
dyfikacji niektórych części pliku wy-
konywalnego, na przykład modyfika-
cji mających na celu obejście kontro-
li lub wprowadzenie wrogiego kodu.
Sumy kontrolne można nazwać poli-
morficznymi, ponieważ, poza tym, że
są rozmieszczone w sposób przypad-
kowy, posiadają cechy (operator ran-
domizowany, losowo określana dłu-
gość kodu itd.), które zmieniają loso-
wo ich wygląd. Wreszcie istnieje tak-
że ostateczna kontrola, bazująca na
RSA, która niweczy znaczną część
prób mających na celu obejście kon-
troli. Podsumowując, w momencie
runtime sumy kontrolne są w stanie
wykryć obecność jakiegoś breakpoin-
ta i naruszenie części kodu, co prze-
kłada się na niemożność przeanalizo-
wania pliku binarnego przy zastoso-
waniu klasycznych technik.
Techniki
antydebuggingowe
Jeden z najdziwniejszych komuni-
katów wydobytych ze Skype'a jest z
pewnością niedwuznaczny. Chodzi o:
Skype is not compatible with system
debuggers like SoftICE. W praktyce
Skype został zaprojektowany, by być
uruchamianym tylko w systemach, w
których nie jest obecny debugger So-
ftICE, ulubione narzędzie całych rzesz
crackerów i reverserów. Użyłem tutaj
celowo sformułowania o obecności,
ponieważ Skype jest w stanie wykryć
ów debugger nawet wtedy, gdy nie jest
on uruchomiony. Istnieją owszem pew-
ne rozwiązania umożliwiające ominię-
cie owych zabezpieczeń, lecz są to w
gruncie rzeczy workaround, które po-
zwalają jedynie na częściowe funk-
cjonowanie tego debuggera. Najpierw
jest sprawdzana driver list w poszuki-
waniu SoftICE, a jeśli takie sprawdza-
nie nie przynosi rezultatu, zostają uru-
chomione bardziej wyrafinowane spo-
soby kontroli, mające ten sam cel (w
razie chęci pogłębienia znajomości te-
go zagadnienia zobacz ramkę).
Poza wychwytywaniem SoftI-
CE'a obecne są w skype' ie także
inne klasyczne techniki antydebug-
gingowe, jak na przykład wykorzy-
stanie wcześniej przedstawionych
sum kontrolnych w kluczu anti-bre-
akpoint. Poza tym przeprowadzane
są też pomiary czasu wykonania, w
celu wykazania wykonywania opera-
cji debuggingowych nad procesem.
Kiedy tylko zostanie zidentyfikowa-
ny jakiś debugger, natychmiast do
dzieła wkraczają ciężkie środki ma-
jące na celu zniweczenie jego dzia-
łań. Randomizowane są więc re-
jestry, dodawane są losowe stro-
ny i wykonywane sa inne tego typu
operacje; w praktyce debugger na-
wet nie zauważy, kiedy znajdzie się
w środowisku całkowicie odmienio-
nym i nieznanym. Generalnie rzecz
biorąc, gdy suma kontrolna nie zga-
dza się, bądź to za sprawą modyfi-
kacji kodu bądź ponieważ został wy-
kryty breakpoint, Skype reaguje po-
przez crash, blokując się lub kończąc
działanie.
Wykrywanie SoftICE
Pierwsza myśl, która pojawia się w gło-
wie programisty, od którego oczekuje
się włączenia do własnej aplikacji środ-
ków mających na celu zapobieganie
debuggingowi, to z pewnością zablo-
kowanie SoftICE'a. Istnieje wiele tech-
nik działania, mających taki cel; opisze-
my tu niektóre z nich, te które najczę-
ściej znajdują zastosowanie.
Jedna z klasycznych technik, sto-
sowana często pod Windows 98, po-
lega na przywołaniu interrupt 68h z
AH ustawionym na 43h. W ten spo-
sób możemy określić obecność SoftI-
CE'a w pamięci, bazując na zawarto-
ści rejestru AX.
Inna klasyczna metoda, możliwa
do zastosowania we wszystkich wer-
sjach Windows, polega na przywoła-
niu INT 3h po odpowiednim ustawieniu
EAX oraz EBP; o obecności debuggera
wnioskuje się z zawartości EAX.
Jeszcze inna metoda polega na
poszukiwaniu sterowników SoftICE'a w
następujący sposób: próbuje się otwo-
rzyć (z opcją OPEN_EXISTING) jakiś
plik o tej samej nazwie co VxD lub sys
driver, debuggera. Jeśli sterownik SoftI-
CE'a jest obecny w pamięci, można wy-
kryć jego obecność bazując na warto-
ści EAX. Alternatywą wobec sterowni-
ków (SICE i NTICE) jest wykrycie w ten
sam sposób sterownika graficznego si-
wvid. Podobna metoda została zasto-
sowana w programie Skype.
Poza wymienionymi, istnieje jesz-
cze wiele innych technik, bazujących w
znacznej mierze na modyfikacjach, któ-
re SoftICE powoduje w środowisku i na
jego inwazyjnej obecności w pamięci.
Rysunek 5.
Określanie SN poprzez UDP
hakin9 Nr 9/2007
www.hakin9.org
Atak
38
Zaciemnianie kodu
Poza technikami, które tworzą struk-
tury ponad kodem, projektanci Sky-
pe'a pomyśleli o zaciemnieniu same-
go kodu w sposób utrudniający jego
zrozumienie. Ceną, którą trzeba za
to zapłacić, jest mniejsza szybkość
wykonywania i większy rozmiar pliku
wykonywalnego.
Zastosowano klasyczne techniki,
od zapytań obliczanych dynamicz-
nie, stąd analiza statyczna będzie
tu raczej bezużyteczna, do dołącza-
nia linii kodu (skoki, fałszywe wyjątki
powiązane ze sposobami ich zarzą-
dzania i podobne działania wręcz na
granicy groteski) zupełnie bezuży-
tecznych, a mających na celu jedy-
nie wprowadzenie zamieszania i od-
wiedzenie agresora od głównego to-
ku programu.
Skype i sieć
Poza ochranianiem własnego ko-
du, Skype z różnych powodów, któ-
re zrozumiemy w dalszej części arty-
kułu, generuje ruch sieciowy w spo-
sób niezbyt liniowy i w znacznej mie-
rze stosuje kryptografię.
Protokół Skype'a jest protokołem
właściciela, nie istnieją specyfikacje
publiczne, jest w ciągłym rozwoju i
jest dość zaciemniony. Wszystkie te
aspekty czynią jego obserwację nie-
banalną. Wszelako, jeśli przechwytu-
jemy i analizujemy generowany ruch,
zawsze coś interesującego z tego
wyniknie - zobaczmy więc co.
Węzły nie wykorzystują stan-
dardowego portu, lecz nasłuchują
na porcie określanym losowo w mo-
mencie instalacji; poza tym w razie
niemożności wykorzystania takiego
portu w przypadku niektórych ope-
racji, wykorzystywane są porty 80
i 443 (stosowane zasadniczo dla
usług HTTP i HTTPS) (Rysunek 2).
Pierwsze uruchomienie
Jak już wcześniej widzieliśmy, istnie-
je lista (Host Cache) super węzłów,
z którymi klient próbuje się połączyć
i w razie powodzenia, wymieniać da-
ne. Jeśli z jakiegoś powodu połącze-
nie z hostami HC'a nie może dojść
do skutku (sytuacja taka może mieć
miejsce na przykład przy pierwszym
logowaniu), zostaje przeprowadzo-
na próba połączenia UDP na porcie
33033 z każdym z siedmiu super wę-
złów bootstrap i zostaje otwarte po-
łączenie TCP z pierwszym z nich,
który odpowie i w ten sposób utwo-
rzona zostaje HC. Jeśli także ta pró-
ba się nie powiedzie, próbuje się
co jakiś czas ustanowić połączenie
TCP, zawsze na porcie 33033. Przy
pierwszym uruchomieniu Host Ca-
che składa się z siedmiu super wę-
złów zawartych bezpośrednio w pli-
ku wykonywalnym. Na przykład w
wersji 1.3.0.53 dla Linuksa siedem
super węzłów bootstrap to:
• 195.215.8.145
• 212.72.49.143
• 64.246.48.23
• 64.246.49.60
Techniki
antydebuggingowe
Poza zwykłym wykrywaniem obecno-
ści debuggera przedstawionym wcze-
śniej, jedna z najczęściej stosowanych
technik mających na celu utrudnienie
pracy debuggerów polega na wykry-
waniu obecności breakpointów. Istnie-
je wiele podobnych rozwiązań, niektó-
re bazują na modyfikacjach, które pew-
ne debuggery powodują w wykonywa-
nym kodzie, inne po prostu stworzone
są na bazie obliczania CRC programu
(lub też tylko niektórych szczególnych
funkcji) w pamięci, co poza wykryciem
breakpointów pozwala na sprawdze-
nie, czy kod nie został zmodyfikowa-
ny. Oczywiście technika ta nie wykry-
wa breakpoint hardware.
Należy jednak dodać, że wiele
spośród tych technik pogarsza osiągi,
zwiększa rozmiary pliku wykonywalne-
go, powoduje złe funkcjonowanie pro-
gramu w przypadku fałszywych pozy-
tywnych rezultatów i jest w wielu przy-
padkach do obejścia. Poza tym należy
podkreślić, że techniki owe różnią się
znacznie w zależności od platformy, a
często także w zależności od typu jezy-
ka, na przykład pliki wykonywalne by-
tecode-based stwarzają całą serię wła-
snych problemów.
Rysunek 6.
Cały ruch wymieniony z super węzłem
Tabela 1.
Szczegóły payload wymienianych pakietów UDP
Liczba
Źródło
Przeznaczenie
Pierwszych 5 byte
payload
1
SC
SN
0e 92 02 9b 18
2
SN
SC
0e 92 07 97 37
3
SC
SN
0e 92 63 01 05
4
SN
SC
60 b5 02 3b 97
• 64.246.49.61
• 66.235.180.9
• 66.235.181.9
Generalnie, przy pierwszym uruchomieniu węzeł Skype
próbuje połączyć się z super węzłem bootstrap, postępu-
jąc zgodnie z następującym schematem: zostaje wyko-
nana próba połączenia UDP z adresem i portem wska-
zanym w HC. W razie braku odpowiedzi zostaje wykona-
na próba połączenia TCP z tą samą parą IP/port (w nie-
których wersjach protokołu w razie braku połączenia tak-
że w tym przypadku zostaje ponowiona próba połącze-
nia TCP z tym samym IP, lecz tym razem wykorzystywa-
ny jest najpierw port 443, a następnie w braku powodze-
nia 80) (Rysunek 3). Wszystko jest powtarzane w regu-
larnych odstępach czasu określoną liczbę razy. Przyjrzyj-
my się dokładniej, jak wygląda ruch generowany przez
Skype'a.
Ukrywanie operacji sieciowych
Pakiety UDP mogą być obserwowane, gdy posiadają do-
datkową warstwę zwaną Skype Obfuscation Layer wpro-
wadzoną przez Start of Frame składający się z dwubaj-
towego ID i z obfuscated byte definiującego rodzaj paylo-
ad, którym może być na przykład obfuscated payload lub
pakiet Ack/NAck.
Znaczna część pomocniczych pakietów generowa-
nych przez Skype składa się z header jawnego i z paylo-
ad zaszyfrowanego (RC4). Klucz RC4 jest generowany
przy wykorzystaniu IP źródłowego, IP przeznaczenia, ID
pakietu oraz initialization vector. Zostaje przeprowadzony
XOR tych wartości, a rezultat tego jest przekształcany na
80-cio bajtowy klucz RC4 (Rysunek 4).
Analiza ruchu
Jak można wywnioskować z tego, co zostało dotąd
przedstawione, ruch generowany przez Skype'a w mo-
mencie uruchomienia możemy podzielić na trzy grupy.
Wystepuje więc ruch pomocniczy UDP konieczny dla
określenia prawdopodobnego SN, z którym należy się
połączyć Istotna jest wymiana pakietów (liczba zmienia
się od 4 do 2) z niektórymi SN Host Cache'a (Rysunek 5).
W payload tych komunikatów (Tabela 1) można zidentyfi-
kować różne informacje. Pierwsze dwa byte stanowią ID
sesji (z wyjątkiem ostatniego pakietu), trzeci byte określa
rodzaj payload (zobacz Tabela 1).
W drugim payload, wymienionym po ID i rodzaju, znaj-
duje się IP klienta, podczas gdy w trzecim payload znajdu-
je się także IP super węzła. Jest niemal pewne, że te in-
formacje stanowią część systemu NAT traversal Skype-
'a, czemu przyjrzymy się później. Na podstawie długości
ostatniego pakietu (odpowiedź super węzła) można zrozu-
mieć, z którym węzłem zostaje podjęta próba połączenia
TCP, a które zostaną odrzucone (długości to odpowiednio
18 bajtów dla zaakceptowanych i 51 lub 53 bajty dla odrzu-
conych wezłów). Z SN następującymi po pierwszym, do-
konuje się jedynie wymiana dwóch pakietów (typu UDP1
hakin9 Nr 9/2007
www.hakin9.org
Atak
40
i UDP4). Jest duże prawdopodobień-
stwo, że nie jest już więcej przepro-
wadzana konieczna wymiana z NAT
traversal.
Po wybraniu super węzła jako
punktu odniesienia zostaje przepro-
wadzony TCP handshake, mający na
celu ustanowienie połączenia, któ-
re będzie wykorzystywane podczas
całej sesji. Na Rysunek 6 zosta-
ły przedstawione wszystkie pakiety
wymienione z naszym SN.
Jak zostało to przedstawione na
Rysunek 3, w razie niemożności na-
wiązania połączenia TCP na porcie
wskazanym w host cache, wypróbo-
wywane są porty HTTPS i HTTP. Je-
śli także te próby nie kończą się po-
wodzeniem, wszystko zostaje powtó-
rzone z innym super węzłem. Ruch
TCP pomiędzy SC a SN nie jest tak
łatwy do przeanalizowania, jak w
przypadku UDP, ponieważ, jak już
zostało to wcześniej zaznaczone,
jest całkowicie zaszyfrowany i różni
się znacznie w zależności od wersji
protokołu. Po połączeniu z super wę-
złem dokonuje się uwierzytelnienie
poprzez Login Server. Jeśli dostęp do
login server nie powiedzie się, ope-
racja logowania zostaje przeprowa-
dzona, przy przechodzeniu przez su-
per węzeł. Po zwyczajnym three-way
handshake, uwierzytelnienie odbywa
się poprzez cztery komunikaty, z któ-
rych pierwszy jest o stałej długości 5
bajtów z payload: 16 03 01 00 00.
NAT/Firewall traversal
Jedną z cech dokuczliwie odczuwa-
nych przez administratorów siecio-
wych jest zdolność Skype'a do nieza-
kłóconej pracy także poza NAT i fire-
wall. W tym celu węzły wykorzystu-
ją jeden z wariantów protokołu STUN
(zobacz ramkę), by wywnioskować,
czy klient znajduje się za NAT/firewall
i by określić informacje konieczne do
ich uniknięcia. Także te informacje
po ich zdobyciu są zapisywane w pli-
ku shared.xml. W przypadku Skype'a
server simil-STUN jest reprezentowa-
ny przez super węzeł, z którym klient
nawiązał kontakt w czasie logowania.
Rzeczywiście, wracając do poprzed-
niego przykładu można zauważyć,
że drugi pakiet podczas UDP pro-
be, przesłany z SN do SC, zawiera w
payload właśnie IP publiczny klienta,
który zostaje wykorzystany do przej-
ścia ewentualnych NAT/firewall.
Blokowanie Skype'a
Na bazie informacji zebranych pod-
czas obserwacji ruchu w różnych
okolicznościach, nie jest rzeczą ba-
nalną stworzenie sygnatury zdolnej
do wyłowienia ruchu Skype'a, za-
blokowania go i nie stwarzania przy
tym zbyt wielu fałszywych pozytyw-
nych rezultatów. Możliwe rozwiąza-
nie musi koniecznie wziąć pod uwa-
gę wszystkie fazy uruchamiania, od
wyboru SN do logowania.
W celu określenia ruchu można
odnieść się do pakietów UDP, które
są częściowo jawne i do faktu, że po-
łączenia TCP wykorzystują ten sam
stream RC4 dwukrotnie. Na bazie ru-
chu TCP, wykorzystując tę opiesza-
łość, możemy wyłowić 10 byte stre-
amu RC4. Natomiast ruch UDP mo-
że zostać wykorzystany do próby za-
blokowania Skype'a, ponieważ pierw-
szy pakiet UDP otrzymany przez klien-
ta (typu NAck) jest fundamentalny dla
możliwości kontynuowania komunika-
cji na tym protokole. Można więc napi-
sać regułę firewall, bazując na długo-
ści pakietu i na fakcie, że payload za-
wiera adres IP klienta. Problemem te-
go, jak i pozostałych podobnych roz-
wiązań, jak na przykład zastosowa-
nie Squid lub innego systemu filtro-
wania na poziomie 7, jest generowa-
nie licznych fałszywych pozytywnych
rezultatów, nie do zaakceptowania w
niektórych środowiskach. Jest to pro-
blem wynikający bezpośrednio ze zło-
żoności operacji wykonywanych przez
Skype'a. Należy również dodać, że nie
ma dobrego rozwiązania dla wszyst-
kich wersji Skype'a na różnych syste-
mach operacyjnych, pod którymi ów
program działa. Dodatkową trudność
powoduje ciągła ewolucja protokołu.
Podsumowanie
Skype oczywiście nie jest jedyną apli-
kacją wykorzystującą podobne za-
bezpieczenia, można jednak zauwa-
żyć pewną, niemal desperacką, chęć
zabezpieczenia i ukrycia każdego
najmniejszego detalu, co nadaje ca-
łej tej operacji nieco dwuznaczności.
Zważywszy na charakter tej aplika-
cji, przy odrobinie paranoicznego po-
dejścia możemy powiedzieć, że Sky-
pe albo coś przed nami ukrywa, albo
jest niezdarnym przykładem securi-
ty through obscurity, uzyskanego po-
przez zsumowanie wielkiej liczby za-
bezpieczeń bez realnej oceny ich rze-
czywistej użyteczności. l
Terminologia
• SN – Super węzeł sieci Skype,
• SC – Skype Client, węzeł zwykły
sieci Skype,
• LS – Login server Skype'a,
• HC – Host Cache, lista SN.
O autorze
Gianluigi Spagnuolo zajmuje się testami penetracyjnymi. Interesuje się systemami
operacyjnymi UNIX (w szczególności *BSD), kompilatorami i ogólnie PLT, jak też za-
gadnieniami bezpieczeństwa na wszystkich poziomach. Uczestniczy w powstawaniu
wielu projektów open source, pisuje do kilku włoskich magazynów i jest wśród założy-
cieli włoskiego Ruby User Group oraz LUG działającej w jego mieście.
W Sieci
• http://recon.cx, Vanilla Skype, Fabrice Desclaux i Kostya Kortchinsky,
• http://www1.cs.columbia.edu, Analysis and Signature of Skype VoIP Session Traf-
fic, Sven Ehlert i Sandrine Petgang,
• http://www1.cs.columbia.edu, An Analysis of the Skype Peer-to-Peer Internet,
Salman Baset i Henning Schulzrinne,
• http://ietfreport.isoc.org/idref/draft-ietf-behave-rfc3489bis/, STUN (RFC 3489).
www.hakin9.org
hakin9 Nr 9/2007
42
Atak
Ż
eby zrozumieć istotę tęczowych tablic,
trzeba wyjaśnić sobie kilka pojęć. Dziś
w wielu systemach hasło użytkownika
zapisywane jest jako jego skrót (tzw. hash),
uzyskany poprzez użycie na haśle funkcji skró-
tu (ang. hash function). Funkcja skrótu to ta-
ka funkcja, która z dowolnie długiej wiadomo-
ści utworzy pewien ciąg znaków (zwykle o sta-
łej długości), będący jej skrótem. Funkcje skró-
tu do zastosowań kryptograficznych powinny
spełniać następujące kryteria:
• brak możliwości odtworzenia wiadomości
(hasła) ze skrótu,
• brak możliwości wygenerowania dwóch
różnych wiadomości o takim samym skró-
cie (brak kolizji),
• zmiana jednego bitu wiadomości powinna
istotnie zmienić jej skrót.
Najbardziej popularne funkcje skrótu używa-
ne do przechowywania haseł to: SHA1, MD-2,
MD-4, MD-5, LM, NTLM, MySQL-SHA1, RI-
PEMD-160, Cisco PIX. Za pomocą tych algo-
rytmów hasła zapisywane są między innymi w
bazie użytkowników MySQL, w systemie Win-
dows, routerach Cisco oraz wielu aplikacjach.
W ramce obok przedstawionych jest kilka ha-
shy różnych funkcji skrótu z hasła hakin9.
Druga funkcja leżąca u podstaw tęczowych
tablic, o której należy wspomnieć, to funkcja
redukcyjna. Działa ona niejako odwrotnie do
funkcji skrótu, ponieważ z hasha tworzy ona
hasło w czystym tekście (zawierające tylko
określony zestaw znaków, np. tylko małe lite-
ry i cyfry). Uzyskane za jej pomocą hasło z ha-
sha nie może być oczywiście hasłem, które da-
ło określony hash (co wynika z własności funk-
cji skrótu), ale dzięki niej będą tworzone kolej-
ne kombinacje hasła, które znowu zostaną po-
traktowane funkcją skrótu i porównane z ha-
shem łamanego hasła.
Wykorzystywanie
tęczowych tablic do
łamania haseł
Paweł Maziarz
stopień trudności
Znanym od dawna sposobem łamania haseł była metoda
brute-force. Przy odpowiednio długim haśle była ona jednak
co najmniej niepraktyczna. Jakiś czas temu Philippe Oechslin
przedstawił nowe spojrzenie na łamanie pewnej grupy haseł,
wprowadzając przy tym nowe narzędzie – tęczowe tablice (ang.
Rainbow Tables).
Z artykułu dowiesz się
•
co to są tęczowe tablice,
•
jak dzięki nim złamać hasło do konta Windows,
MySQL, Cisco PIX etc.
Co powinieneś wiedzieć
•
powinieneś wiedzieć trochę o hasłach i meto-
dach ich szyfrowania.
Wykorzystywanie tęczowych tablic do łamania haseł
hakin9 Nr 9/2007
www.hakin9.org
43
Tęczowe tablice –
zasada działania
Jak zostało napisane wcześniej,
funkcja skrótu użyta na haśle przed-
stawionym w postaci czystego tek-
stu, zwróci w wyniku jego hash. Na
podstawie hasha nie jesteśmy w
stanie odtworzyć hasła, a więc by
złamać hasło musimy brać po ko-
lei wszystkie możliwe hasła, pobie-
rać ich skrót (hash), a następnie po-
równywać go z hashem hasła, które
chcemy złamać. By skrócić czas ta-
kiego postępowania, można by zapi-
sywać do pliku tak stworzone hashe
i używać ich do łamania następnych
haseł - jednak nietrudno ocenić, że
plik zawierający taką tablicę haseł i
ich hashy byłby ogromny, technicz-
nie nie do pomieszczenia na dzisiej-
szych nośnikach danych.
Kompromisem między wykorzy-
staniem wcześniej przygotowanych
hashy, a oszczędnością miejsca na
dyskach są właśnie tęczowe tablice.
Składają się one z łańcuchów (ang.
chains) złożonych z haseł oraz ich
hashy. Dla każdego łańcucha gene-
rowane jest hasło, z którego następ-
nie wyliczany jest jego hash za po-
mocą funkcji skrótu. W następnym
kroku, z tak otrzymanego hasha, za
pomocą funkcji redukcyjnej tworzone
jest kolejne hasło. Z tego hasła znów
generowany jest hash, z hasha kolej-
ne hasło. I tak dalej. W tęczowych ta-
blicach zapisywany jest jednak tylko
pierwszy i ostatni element łańcucha
(hasło i ostatni hash), dzięki czemu
tak stworzone tablice bez problemu
mieszczą się na dzisiejszych dys-
kach twardych.
W celu odzyskania hasła, wczy-
tywane są z tęczowych tablic ha-
she, następnie szukany jest w nich
hash hasła, które chce się złamać.
Jeżeli nie znaleziono, generowane
jest hasło z łamanego hasha za po-
mocą funkcji redukcyjnej, z którego
uzyskuje się następnie hash za po-
mocą funkcji skrótu i wraca do kro-
ku poprzedniego znów porównując
hashe. Kiedy hash zostaje w koń-
cu znaleziony, brane jest początko-
we hasło z łańcucha, w którym hash
się znajdował, a następnie reduko-
wane jest i skracane, aż uzyska się
parę złożoną z hasła oraz jego skró-
tu w postaci szukanego hasha. Me-
toda ta jest równie prosta, co sku-
teczna.
Istnieje jednak jeden problem,
który – paradoksalnie jako niepożą-
dany przy funkcjach skrótu – zwięk-
sza bezpieczeństwo generowanych
hashy w kontekście tęczowych tablic.
Chodzi o wspominane wcześniej ko-
lizje, czyli sytuacje, kiedy wiele róż-
nych wiadomości (haseł) daje w wy-
niku funkcji skrótu taki sam hash. W
przypadku tęczowych tablic mogło-
by się więc okazać, że łańcuchy, któ-
re zaczynają się różnymi hasłami,
w okolicznościach wystąpienia koli-
zji w pewnym momencie zaczynają
się pokrywać i w konsekwencji koń-
czą się takim samym hashem. Mo-
gą też wystąpić zapętlenia w przy-
padku, gdy hash został zredukowany
do hasła, które zostało już otrzyma-
ne gdzieś wcześniej w danym łańcu-
chu. Problem ten został rozwiązany
poprzez zastosowanie różnych funk-
cji redukcyjnych na całej drodze od
początku łańcucha do jego końca.
Dzięki temu, problem kolizji hashy w
różnych łańcuchach został znacznie
ograniczony, ponieważ w przypadku
wystąpienia kolizji – o ile nie jest to
kolizja w tej samej kolumnie – w ko-
lejnym kroku hash zostanie zreduko-
Rysunek 1.
Eksport zahashowanych haseł systemu Windows
Rysunek 2.
Łamanie haseł programem Ophcrack
hakin9 Nr 9/2007
www.hakin9.org
Atak
44
wany do innego hasła. Został tym sa-
mym wyeliminowany problem zapę-
tleń wewnątrz jednego łańcucha, bo
w każdym kroku hash redukowany
jest inną funkcją.
Ten sposób rozwiązania omówio-
nych problemów przyczynił się też
do nazwy owych tablic. Jeżeli każ-
dą funkcję redukcyjną w danym kro-
ku oznaczyć innym kolorem, powsta-
łaby wielka pionowa tęcza, a więc
określenie tęczowych tablic jest zu-
pełnie na miejscu.
Ophrack
Pierwszym narzędziem, które zo-
stanie omówione jest program Oph-
rack napisany przez Philippe Oech-
slina. Jest to cracker haseł window-
sowych działający w oparciu o tę-
czowe tablice. Jest on dostępny
na platformy Windows, Linux oraz
Mac. Potrafi łamać hasła zaszyfro-
wane algorytmami LM oraz NTLM.
Dostępne za darmo są do niego
tęczowe tablice zawierające ha-
sła złożone z liter i cyfr dla algoryt-
mu LM, bardziej wyszukane tabli-
ce można kupić na stronie projek-
tu. Ciekawy jest fakt, że w oparciu
o dystrybucję SLAX Linux stworzo-
no Ophrack LiveCD, czyli dystrybu-
cję Linuksa startującą wprost z na-
pędu CD, która po wystartowaniu
sama odnajdzie partycję z Window-
sem, znajdzie i wyeksportuje sobie
hasła użytkowników, po czym na-
tychmiastowo zacznie je łamać, nie
zostawiając po sobie żadnych śla-
dów. Nie potrzeba znać hasła ad-
ministratora Windows, ani mieć spe-
cjalnej wiedzy, wszystko robi się sa-
mo – wystarczy zbootować kompu-
ter z płyty CD.
Uruchamiając program pod Win-
dowsem i posiadając uprawnienia
administratora, Ophrack pozwala wy-
eksportować hasła z bazy. W prze-
ciwnym wypadku trzeba je uzyskać
samemu poprzez użycie dołączo-
nych poleceń bkhive oraz samdump2
(Rysunek 1). Przykładowa sesja pro-
gramu Ophrack, podczas której w
niespełna kilkadziesiąt sekund pora-
dził sobie z hasłami złożonymi z ma-
łych i dużych liter oraz cyfr, przedsta-
wiona jest na Rysunku 2.
RainbowCrack
Kolejnym ciekawym narzędziem
jest aplikacja RainbowCrack. Jest
to konsolowe narzędzie działają-
ce pod systemami Linux oraz Win-
dows. Dzięki niemu można złamać
hasła zahashowane algorytmami
LM, MD5, SHA1 oraz dowolnym in-
nym w miarę potrzeb, ponieważ ła-
two można dodać obsługę własnego
algorytmu. Oprócz właściwego crac-
kera (rcrack), RainbowCrack posia-
da jeszcze narzędzia do tworzenia
własnych tęczowych tablic (rtgen,
rtsort, rtdump). Chociaż program nie
ma graficznego interfejsu, używa się
go szalenie łatwo – narzędzie wyma-
ga dwóch parametrów: ścieżki do tę-
czowej tablicy oraz hashy do cracko-
wania, które można podać wprost w
linii komend (przełącznik -h), jako
plik z listą hashy (-l) lub jako zrzut pli-
ku z hasłami użytkowników (-f). Pro-
gram w trakcie działania (z tęczowy-
mi tablicami złożonymi z haseł za-
wierających małe i duże litery, cyfry
oraz znaki specjalne) przedstawia
Rysunek 3.
Cain & Able
Cain jest dobrze znanym narzędziem
dla systemu Windows służącym do
przywracania zapomnianych ha-
seł za pomocą różnorakich technik
– podsłuchiwania sieci, crackowa-
Rysunek 3.
Skomplikowane hasła złamane programem RainbowCrack
Rysunek 4.
Cain & Abel w akcji
Wykorzystywanie tęczowych tablic do łamania haseł
hakin9 Nr 9/2007
www.hakin9.org
45
nia metodą brute-force, słownikową.
Posiada on jeszcze wiele ciekawych
funkcji, jednak w kontekście tego ar-
tykułu interesuje nas fakt, że potra-
fi łamać hasła korzystając z krypto-
analizy, między innymi używając tę-
czowych tablic. Program potrafi ko-
rzystać z tablic przeznaczonych za-
równo dla programu Ophrack, jak
i RainbowCrack. Jego użycie jest
bardzo proste, sprowadza się tylko
do wybrania użytkowników, dla któ-
rych trzeba złamać hasło oraz zde-
finiowania, z jakich tęczowych tablic
chce się korzystać. W zależności od
rodzaju tablic oraz stopnia skompli-
kowania samych haseł, w ciągu kil-
kudziesięciu sekund powinny uka-
zać się odszyfrowane hasła. Działa-
nie programu przedstawione jest na
Rysunku 4.
Skąd wziąć tęczowe
tablice?
Tęczowe tablice można pozyskać
na 3 sposoby. Po pierwsze, można
je wygenerować samemu. Służy do
tego między innymi konsolowe na-
rzędzie rtgen z wcześniej wspomnia-
nego projektu RainbowCrack oraz
okienkowy program pod systemy Mi-
crosoft o nazwie winrtgen. Urucha-
miając ten pierwszy bez żadnych pa-
rametrów, uzyskamy dokładną infor-
mację o sposobie użycia wraz z kil-
koma przykładami, drugi natomiast,
posiadając bardzo przyjemny i przej-
rzysty interfejs (Rysunek 5), nie na-
stręczy trudności w generowaniu ta-
blic nawet mało zaawansowanym
użytkownikom.
Następny sposób na pozyskanie
tęczowych tablic to ściągnięcie ich z
Internetu. Jest kilka serwisów, które
udostępniają je za darmo, na przykład
http://lasecwww.epfl.ch/~oechslin/
projects/ophcrack/ (dwie podstawo-
we tablice dla programu Ophrack),
http://www.freerainbowtables.com/,
http://rainbowtables.shmoo.com/,
http://wired.s6n.com/files/jathias/.
Ostatnim sposobem jest ich ku-
pienie poprzez takie serwisy jak http:
//www.rainbowcrack-online.com/,
http://www.rainbowtables.net/ czy
stronę projektu Ophcrack oraz wie-
le innych.
Łamanie haseł online
Tęczowe tablice są dziś już bardzo
popularne, dlatego nikogo nie dziwi
fakt powstania wielu serwisów inter-
netowych umożliwiających łamanie
hasła online. Istnieje wiele komer-
cyjnych stron, które – po wniesieniu
odpowiedniej opłaty – wykorzystując
algorytm tęczowych tablic potrafią
Rysunek 5.
Generowanie tęczowych tablic za pomocą winrtgen
Rysunek 6.
Łamanie hasła w serwisie plain-text.info
Przykładowe hashe hasła hakin9
•
MD2: 6c335ceafc1ca2d9b701c0a503ebe29f,
•
MD4: 60a6ba1557c83ffd6d40bbafa633963b,
•
MD5: 5700d720e1c8f9af6929d05b02f4e7c6,
•
SHA-1: c0132641f8f1acb0a74b249f441e0ebac18be386,
•
SHA-2 (256): 42daba7642566324b9344c7e5a83a97da3fc5fa145fd6358132a-
18804530de64,
•
RIPEMD-160: 678e478a15637c67933731633ae73322b472aec2,
•
LM: 5e412e797ab62000,
•
NT: 7c61cd37d7c28d0f04d6d1b5d80cb8b4,
•
MySQL-323: 42e0696a62ac975f,
•
MySQL-SHA1: d6a98da6247cbaa40c436155203d104ef2865191,
•
Cisco PIX: yvigbue7izydod6j.
hakin9 Nr 9/2007
www.hakin9.org
Atak
46
odzyskać hasła kont windowsowych,
użytkowników MySQL, routerów Ci-
sco czy też zabezpieczonych doku-
mentów pakietu Microsoft Office. Ist-
nieją też serwisy niekomercyjne, w
których – ku uciesze wielu – moż-
na łamać hasła zupełnie za darmo,
często z zupełnie zadowalającą sku-
tecznością.
Jednym z takich serwisów jest
plain-text.info. Dzięki niemu moż-
na odszyfrować hasło zakodowane
algorytmami MD5, LM oraz NTLM.
System wprawdzie przyjmuje po 2
hashe LM i NTLM co 15 minut oraz
2 MD5 co minutę, jednak w chwi-
li pisania artykułu limity te są zupeł-
nie nieodczuwalne przy łamaniu po-
jedynczych haseł. Po dodaniu hashy
do serwisu i określeniu algorytmu, w
jakim zostały utworzone, system wy-
szukuje czy hash został wcześniej
złamany, jeżeli nie – tęczowe tabli-
ce idą w ruch i rozpoczyna się łama-
nie. Pozostaje już tylko co kilkana-
ście sekund odświeżać podstronę z
wynikami (View All Hashes) i wypa-
trywać złamanego hasła w czystym
tekście. Należy jednak pamiętać,
że tak złamane hasła są widoczne
przez wszystkich internautów, a więc
również i my możemy zobaczyć ha-
sła innych, co może mieć spore wa-
lory edukacyjne (Rysunek 6).
Kolejnym serwisem jest pas-
scracking.com. Dzięki niemu moż-
na złamać hash MD5, SHA-1 oraz
hasła użytkowników MySQL (My-
SQL-SHA1 i starszy MySQL-323).
Po podaniu hasha system najpierw
sprawdza, czy istnieje on już w ba-
zie. Jeżeli istnieje, od razu zostanie
wyświetlone hasło (tak jak na Rysun-
ku 7), jeżeli nie, po kliknięciu przyci-
sku Send My md5 hash to Rainbow
Cracker, hash zostanie dodany do
kolejki obliczeń. Na dzień dzisiejszy
można dodawać do kolejki tylko ha-
she md5.
Inne serwisy łamiące hashe on-
line bez opłat to między innymi http:
//www.milw0rm.com/cracker/
oraz
http://md5crack.it-helpnet.de/. Istnie-
je jeszcze wiele innych i wiele będzie
jeszcze się tworzyć (a także znikać),
dlatego najlepszym pomysłem jest
wyszukanie ich dopiero wtedy, kiedy
zajdzie taka potrzeba.
Podsumowanie
Jak widać, przechowywanie haseł
w postaci ich hashy, powstałych w
wyniku użycia funkcji skrótu, nie jest
wcale tak bezpieczne, jak się to kie-
dyś wydawało. Dzięki tęczowym ta-
blicom ich łamanie staje się całkiem
szybkie, do tego coraz więcej firm
(oraz niekomercyjnych grup) tworzy
coraz to większe zbiory tęczowych
tablic, które radzą sobie z hasha-
mi jeszcze szybciej. Jedną z me-
tod obrony przed takimi atakami jest
dodanie do hasła pewnej nadmiaro-
wej, losowej informacji zwanej so-
lą (ang. salt) i zapisanie jej w takiej
postaci, by algorytm porównywania
hasha z bazy z hashem hasła użyt-
kownika ją uwzględnił. I tak na przy-
kład podczas dodawania użytkowni-
ka do bazy, obok hasła mógłby zo-
stać zapisany czas jego utworzenia
i doklejony do końca hasła, więc ha-
sło hakin9 zostałoby zapisane jako
np. hash tekstu hakin91182850495.
Przy logowaniu natomiast brane by-
łoby pod uwagę hasło podane przez
użytkownika, do którego doklejana
byłaby odpowiednia sól z bazy i do-
piero wtedy hashowane. Ten prosty
zabieg znacznie utrudniłby łama-
nie hasła, a w miarę zwiększania i
komplikowania owej soli, nawet pro-
ste hasła mogłyby się okazać prak-
tycznie niemożliwe do złamania me-
todami
brute-force
czy przy zasto-
sowaniu tęczowych tablic. l
O autorze
Autor jest właścicielem i jednocześnie jednym z głównych programistów firmy tworzą-
cej między innymi oprogramowanie sieciowe. Na przełomie ostatnich lat współpraco-
wał z kilkoma firmami w charakterze Security Specialist. W wolnych chwilach gra w
golfa, na gitarze klasycznej oraz spuszcza się na linie z budynków.
Kontakt z autorem: pawel.maziarz@intersim.pl
W Sieci
•
http://lasecwww.epfl.ch/~oechslin/publications/crypto03.pdf – idea tęczowych tablic
opisana przez Philippe Oechslin-a,
•
http://kestas.kuliukas.com/RainbowTables/ – bardziej przyjazny opis tego tematu,
•
http://ophcrack.sourceforge.net/ – strona programu Ophcrack,
•
http://www.antsight.com/zsl/rainbowcrack/ – projekt RainbowCrack,
•
http://www.oxid.it/cain.html – strona programu Cain & Abel.
Rysunek 7.
Złamane hasło Mysql na passcracking.com
www.hakin9.org
hakin9 Nr 9/2007
48
Obrona
W
systemach zorientowanych obiekto-
wo własne listy kontroli dostępu ma-
ją obiekty reprezentujące zasoby,
takie jak serwery plików i drukarki. Jedna lista
ACL może określać prawa dostępu/zezwolenia
dla wielu różnych użytkowników. Z reguły listę
kontroli dostępu może zmieniać właściciel ka-
talogu lub pliku. Bezpośrednio po instalacji sys-
temu jest to administrator. Listy kontroli dostę-
pu zaimplementowano m. in. w systemach No-
vell NetWare, UNIX, Microsoft Windows NT.
Taką definicję możemy znaleźć bardzo czę-
sto w Internecie i jest to w zasadzie najlepsza i
najbardziej obszerna definicja ACL. Ta pocho-
dzi ze strony wydawnictwa Robomatic (http://
www.robomatic.pl/?id=enchaslo&idh=15).
Programistyczny dostęp do ACL możliwy
jest poprzez przestrzeń nazw System.Securi-
ty.AccessControl. Pozwala ona na tworzenie i
modyfikowanie arbitralnej (DACL – Discretio-
nary Access Control List) oraz systemowej li-
sty kontroli (SACL – System Access Control
List) dla różnych chronionych obiektów – takich
jak pliki, foldery i inne elementy. Listy DACL
pozwalają na programistyczną kontrolę do-
stępu do chronionych zasobów, podczas gdy
SACL pozwala na kontrolę polis systemowych.
Przykład – DACL pozwala na ustawienie dostę-
pu do odczytania pliku dla konkretnej osoby, a
SACL pozwala na logowanie tego, że ktoś da-
ny plik otworzył.
Artykuł ma na celu przedstawienie, w ja-
ki sposób wykorzystać dostępne mechanizmy
przy budowaniu własnych aplikacji.
Poznajemy klasy ACL
Jeśli przyjrzymy się zawartości przestrzeni nazw
System.Security.AccessControl to znajdziemy
tam bardzo wiele klas odpowiedzialnych za róż-
ne elementy systemu. Możemy je podzielić we-
dług różnych aspektów. Podział taki przedstawia
Access Control List (ACL)
– dostęp do obiektów .NET
Artur Żarski
stopień trudności
Access Control List, czyli lista kontroli dostępu, to lista lub tabela
skojarzona z plikiem bądź obiektem, zawierająca informacje o
użytkownikach, procesach lub obiektach, które mogą uzyskiwać
do niego dostęp. Listy ACL są z reguły przypisane do katalogów w
systemie plików oraz do innych obiektów i określają prawa dostępu
użytkownika, takie jak prawo odczytu, zapisu, usuwania, itp.
Co powinieneś wiedzieć
• Aby zrozumieć tekst, należy cechować się pod-
stawową znajomością zasad kontroli dostępu
do obiektów w systemie operacyjnym
• znać pojęcia ACL, ACE i pokrewne.
Z artykułu dowiesz się
• Artykuł ma na celu przybliżenie podstawowych
elementów mechanizmu ACL
• przedstawienie sposobów programowania list
kontroli dostępu z poziomu Microsoft.NET.
Access Control List
hakin9 Nr 9/2007
www.hakin9.org
49
Tabela 1. Nie jest to lista wszystkich
dostępnych klas, ale obejmuje najbar-
dziej popularne obszary.
Hierarchia klas ACL
W przypadku większości scenariuszy
możliwe jest użycie klas abstrakcyjnych
zamiast zaawansowanych klas do two-
rzenia i modyfikacji ACL. Dla każdego
zasobu klasy wyższego poziomu mogą
przybrać następujące formy:
• Klasa, która enkapsuluje arbitralne
listy kontroli dostępu (DACL) oraz
systemowe listy kontroli (SACL).
Klasa taka przyjmuje nazwę „<Na-
zwaZasobu>Security” – dla przy-
kładu FileSecurity oraz Directory-
Security.
• Klasa, która enkapuluje wpis dla
liście (ACE – Access Control En-
try). Klasa taka przyjmuje nazwę
„<NazwaZasobu>AccessRule”
• Klasa, która enkapsuluje zawar-
tość wpisu ACE. Klasa taka przyj-
muje nazwę „<NazwaZasobu>Au-
ditRule”
Dodatkowo klasa może przyjąć po-
stać iteratorów, które pozwalają na
tworzenie specyficznych reguł do-
stępu oraz audytu.
Dodawanie wpisu do listy
Po utworzeniu wpisu przy użyciu jed-
nej z klas reguł dostępu lub klas re-
guł audytu, możliwe jest przypisanie
tej reguły do zasobu lub użycie jej do
skasowania już istniejącej reguły. Li-
sting 1. pokazuje przykład stworze-
nia reguły oraz zastosowania jej na
pliku. Fragment kodu podaje regułę
zabronienia odczytu pliku *.PDF na
dysku użytkownikowi lokalnemu ad-
ministrator. Po uruchomieniu tej pro-
cedury próba otwarcia dokumentu
zakończy się błędem braku dostępu
(Rysunek 1). Jeśli zobaczymy wła-
ściwości pliku w systemie, to również
zauważymy, że dla wybranego użyt-
kownika dostęp do pliku (do czyta-
nia) jest zabroniony. Przedstawia to
Rysunek 2.
Aby skasować taki zapis należy
wykonać fragment załączony na Li-
stingu 2. Najważniejsze w obu przy-
padkach są metody
AddAccessRule
oraz
RemoveAccessRule
, które usta-
wiają lub usuwają reguły.
Dodając jakiś wpis, który da-
je nam dostęp do pewnego zaso-
bu nie mamy gwarancji, że ta regu-
Tabela 1.
Zestawienie klas w przestrzeni nazw System.Security.AccessControl
Obszar
Klasy
Klucze kryptograficzne
CryptoKeySecurity
CryptoKeyAccessRule
CryptoKeyAuditRule
Katalogi
DirectorySecurity
FileSystemAccessRule
FileSystemAuditRule
Pliki
FileSecurity
FileSystemAccessRule
FileSystemAuditRule
Muteksy
MutexSecurity
MutexAccessRule
MutexAuditRule
Rejestr
RegistrySecurity
RegistryAccessRule
RegistryAuditRule
Semafory
SemaphoreSecurity
SemaphoreAccessRule
SemaphoreAuditRule
Listing 1.
Dodanie reguły zabraniającej odczytu dla pliku
FileSecurity _fileSec =
File
.GetAccessControl
(
@
"c:
\S
DJE_25_PL.pdf"
)
;
FileSystemAccessRule _fileAccessRule =
new
FileSystemAccessRule
(
@
"localhost
\a
dministrator"
,
FileSystemRights.Read,
AccessControlType.Deny
)
;
_fileSec.AddAccessRule
(
_fileAccessRule
)
;
File
.SetAccessControl
(
@
"c:
\S
DJE_25_PL.pdf"
, _fileSec
)
;
Rysunek 1.
Błąd odczytu – zakaz dostępu – podczas próby odczytania
pliku, na którym została założona reguła
Rysunek 2.
Właściwości pliku w
systemie operacyjnym. Zabroniony
odczyt dla wybranego użytkownika
hakin9 Nr 9/2007
www.hakin9.org
Obrona
50
ła będzie zastosowana. Spowodo-
wane jest to tym, że reguły, które za-
braniają dostępu mają wyższy prio-
rytet i zawsze nadpisują reguły da-
jące dostęp.
Każdy obiekt zgodny z konwen-
cją <NazwaZasobu>Security do-
starcza szeregu metod do dodawa-
nia lub kasowania reguł dostępu i re-
guł audytu. Metody te przedstawione
są w Tabeli 2.
Reguły propagacji ACL
Podczas tworzenia lub modyfikacji
odpowiednich wpisów (ACE – Ac-
cess Control Entries) dla kontenera
obiektów takich jak np. foldery, moż-
liwe jest wyspecyfikowanie sposo-
bu propagacji wpisów na poszcze-
gólnych obiektach wewnątrz dane-
go kontenera. Dla przykładu możliwe
jest zastosowanie reguł na podfolde-
rach, a na plikach już nie.
Reguły propagacji kontrolowane
są przez różne kombinacje flag dzie-
dziczenia oraz flag propagacji. Róż-
ne kombinacje flag i ich efektów pro-
pagacji pokazuje Tabela 3.
Scenariusze
zastosowania ACL
Przykładów zastosowań ACL jest
wiele. Przede wszystkim możemy
stworzyć aplikację, dzięki której w
szybki sposób możemy dostać listę
obiektów i uprawnień związanych z
obiektami. Listing 3 pokazuje kod,
który dla zadanego pliku pokazuje, ja-
Listing 2.
Usunięcie reguły zabraniającej odczytu pliku
FileSecurity _fileSec =
File
.GetAccessControl
(
@
"c:
\S
DJE_25_PL.pdf"
)
;
FileSystemAccessRule _fileAccessRule =
new
FileSystemAccessRule
((
@
"localhost
\a
dministrator"
FileSystemRights.Read,
AccessControlType.Deny
)
;
_fileSec.RemoveAccessRule
(
_fileAccessRule
)
;
File
.SetAccessControl
(
@
"c:
\S
DJE_25_PL.pdf"
, _fileSec
)
;
Tabela 2.
Zestawienie metod i ich funkcjonalności
Metoda
Opis
AddAccessRule
AddAuditRule
Wyszukuje takiej reguły dostępu lub audytu, która może być połączona z no-
wą regułą. Jeśli żadna nie zostanie odnaleziona, dodaje nową regułę.
SetAccessRule
SetAuditRule
Kasuje wszystkie reguły dostępu z tymi samymi: użytkownikiem oraz warto-
ścią typu dostępu (AccessControlType i wartości Allow oraz Deny), co w wy-
specyfikowanej regule, a następnie dodaje stworzoną regułę.
ResetAccessRule
Działa podobnie jak SetAccessRule, ale nie zwraca uwagi na wartość Acces-
sControlType.
RemoveAccessRule
RemoveAuditRule
Poszukuje reguł kontroli dostępu dla tych samych: użytkownika oraz wartości
AccessControlType (Allow lub Deny), jak we wskazanej regule, a także z od-
powiednią flagą propagacji i dziedziczenia. Jeśli znajdzie, to prawa zawierają-
ce wyspecyfikowaną regułę zostają skasowane z reguły.
RemoveAccessRuleAll
RemoveAuditRuleAll
Szuka wszystkich reguł z tymi samymi: użytkownikiem oraz wartością Acces-
sControlType, co w wyspecyfikowanej regule i – jeśli znajdzie – kasuje te reguły.
RemoveAccessRuleSpecific
RemoveAuditRuleSpecific
Wyszukuje wszystkich reguł, które dokładnie pasują do wyspecyfikowanych
reguł i – jeśli znajdzie – kasuje te reguły.
Rysunek 3.
Wynik działania programu z Listingu 3
Rysunek 4.
Lista uprawnień dla pliku konfiguracyjnego web.config
Access Control List
hakin9 Nr 9/2007
51
kie uprawnienia ma dana grupa użyt-
kowników lub użytkownik. Kod ten
składa się z trzech części. Pierwsza
z nich to otwarcie wybranego pliku. W
drugiej części dla wcześniej wybra-
nego pliku pobieramy listę uprawnień.
W ostatnim kroku wypisujemy ele-
menty dostępne na liście uprawnień
– w kolejności: użytkownik/grupa,
uprawnienie oraz typ uprawnienia
– zabroniony/dozwolony. Rysunek 3
pokazuje wynik działania programu.
Oczywiście spośród innych sce-
nariuszy możemy wyobrazić sobie
sytuację, kiedy nasz system automa-
tycznie generuje jakieś pliki i nadaje
im uprawnienia. Kroki, jakie należa-
łoby wykonać to:
• Stworzenie jednej lub wielu re-
guł reprezentowanych przez kla-
sy FileSystemAccessRule lub Fi-
leSystemAuditRule,
• Dodanie wcześniej stworzonych
obiektów do nowych obiektów re-
prezentujących klasy FileSecuri-
ty lub DirectorySecurity,
• Utworzenie pliku lub folderu z wy-
korzystaniem wcześniej stworzo-
nych reguł. Dla przykładu można
użyć następującej deklaracji:
Ciemna strona mocy
Powiedzieliśmy dużo o zaletach ACL
i sposobie programowania. Istnieje
również druga strona medalu. Jeśli
nasz system będzie źle skonfiguro-
wany (np. w przypadku instalacji bar-
dzo ważnej aplikacji WWW), niepo-
wołany użytkownik zyska możliwość
uzyskania danych zawartych w na-
szych plikach.
Wyobraźmy sobie sytuację, w
której plik konfiguracyjny aplikacji
WWW – web.config – będzie mieć
takie same uprawnienia, jak nasz
plik i użytkownik, z uprawnienia-
mi którego działa nasza aplikacja
WWW. Możliwa jest sytuacja, kie-
dy napiszemy aplikację, która bę-
dzie poszukiwać określonych plików
i wyciągać z nich dane. Jeśli przyj-
rzymy się Rysunkowi 4, to może-
my zauważyć, że do naszego pliku
konfiguracyjnego ma dostęp użyt-
kownik IIS_IUSRS. Jeśli plik ten
będzie zawierać odpowiednie in-
hakin9 Nr 9/2007
www.hakin9.org
Obrona
52
formacje, to w bardzo prosty spo-
sób będziemy mogli uzyskać dane
o użytkowniku oraz haśle, na któ-
rym działa aplikacja. Trzeba pamię-
tać, aby brać to pod uwagę i odpo-
wiednio konfigurować dostęp do pli-
ków. Dodatkowo uważać trzeba, je-
śli nasza strona WWW daje możli-
wość ładowania aplikacji przy wyko-
rzystaniu kontrolki FileUpload – dla-
czego? Dlatego, że użytkownik mo-
że wgrać plik o nazwie web.config,
który będzie zawierał zupełnie inne
informacje niż oczekuje tego nasza
aplikacja. Może się to okazać zgub-
ne przy zastosowaniu ataków typu
Denial-of-Service.
Podsumowanie
Mechanizm Access Control List defi-
niuje nam sposób dostępu do obiek-
tów. Microsoft.NET bardzo mocno
wspiera ACL oraz możliwości opro-
gramowania go, aby aplikacje, któ-
re tworzymy, mogły działać zgodnie
z regułami bezpieczeństwa obowią-
zującymi w naszych firmach. Nale-
ży oczywiście uważać, w jaki spo-
sób używamy tego sposobu dostępu
do uprawnień, ponieważ przez nie-
dopatrzenie możemy tak poustawiać
uprawniania do plików lub folderów,
że nawet sami (jako administratorzy)
będziemy mieć problem z dostępem
do odpowiednich zasobów. l
O autorze
Autor jest pracownikiem firmy Micro-
soft. Na co dzień zajmuje się m. in. two-
rzeniem rozwiązań w oparciu o SQL
Server w różnych aspektach – bazy re-
lacyjne, usługi integracyjne, usługi ana-
lityczne. Jest certyfikowanym admini-
stratorem baz danych (MCDBA). Kon-
takt z autorem: arturz@microsoft.com
Tabela 3.
Zestawienie flag i odpowiadające im sposoby propagacji
Kombinacja flag
Propagacja
Brak flag
Docelowy folder
ObjectInherit
Docelowy folder, obiekt podrzędny (plik), obiekt pod-
rzędny do obiektu podrzędnego (plik)
ObjectInherit i NoPropagateInherit
Docelowy folder, obiekt podrzędny (plik)
ObjectInherit i InheritOnly
Obiekt podrzędny (plik), obiekt podrzędny do obiektu
podrzędnego (plik)
ObjectInherit, InheritOnly oraz NoPropagateInherit
Obiekt podrzędny (plik)
ContainerInherit
Docelowy folder, podfolder, podfolder dla podfolderu
ContainerInherit oraz NoPropagateInherit
Docelowy folder, podfolder
ContainerInherit oraz InheritOnly
Podfolder, podfolder dla podfolderu
ContainerInherit, InheritOnly, oraz NoPropagateInherit
Podfolder
ContainerInherit oraz ObjectInherit
Docelowy folder, podfolder, obiekt podrzędny (plik), pod-
folder dla podfolderu, obiekt podrzędny do obiektu pod-
rzędnego (plik)
ContainerInherit, ObjectInherit oraz NoPropagateInherit Folder docelowy, podfolder, obiekt podrzędny (plik)
ContainerInherit, ObjectInherit oraz InheritOnly
Podfolder, obiekt podrzędny (plik), podfolder dla podfol-
deru, obiekt podrzędny do obiektu podrzędnego (plik)
ContainerInherit, ObjectInherit, NoPropagateInherit, In-
heritOnly
Podfolder, obiekt podrzędny (plik)
Listing 3.
Kod wypisujący listę uprawnień dla pliku.
FileStream _file =
new
FileStream
(
@
"c:
\S
DJE_25_PL.pdf"
,
FileMode.Open,
FileAccess.ReadWrite
)
;
FileSecurity _sec = _file.GetAccessControl
()
;
foreach
(
FileSystemAccessRule rule in _sec.GetAccessRules
(
true,
true, typeof
(
System.Security.Principal.NTAccount
)))
{
listBox1.Items.Add
(
rule.IdentityReference.ToString
()
+
" - "
+
rule.FileSystemRights.ToString
()
+
" - "
+
rule.AccessControlType.ToString
())
;
}
Listing 4.
Stworzenie pliku lub folderu za pomocą wcześniejszych reguł
System.IO.
File
.Create
(
System.
String
,System.Int32,System.IO.FileOptions,Syste
m.Security.AccessControl.FileSecurity
)
System.IO.Directory.CreateDirectory
(
System.
String
,System.Security.AccessCont
rol.DirectorySecurity
)
Listing 5.
Fragment kodu umożliwiający uzyskanie informacji
o użytkowniku i haśle
<
identity impersonate=
"true"
userName=
"domena\mojUzytkownik"
password=
"TrudneHaslo"
/
>
Portal internetowy na którym można znaleźć
garść informacji z wybranych dziedzin IT.
http://howto.pl/
Hacking, security to pojęcia znane profesjonali-
stom na tym portalu można dowiedzieć się cze-
goś więcej o tych zagadnieniach.
http://www.security-web.info
Strona zawiera ogłoszenia pracy na stanowi-
ska związane z branżą IT.
http://pracait.com
Portal poświęcony aktualnościom, artykułom
ze świata informatycznego. Zawiera ciekawe
linki, gry on-line i wiele innych interesujących
wiadomości.
http://hackme.pl
Serwis internetowy firmy QuarkBit Software,
która zajmuje się tworzeniem oprogramowania
dla firm i osób prywatnych.
http://www.quarkbitsoftware.pl
Misją serwisu jest dostarczanie rzetelnych infor-
macji z zakresu szeroko pojętej informatyki. Za-
wiera najświeższe informacje z rynku informa-
tycznego i recenzje czasopism takich jak Hakin9,
php solution, sdj.
http://www.itnews.icx.pl
To portal wydawnictwa CSH. Na tej stronie za-
interesowana osoba znajdzie garść potrzeb-
nych informacji: aktualności ze świata informa-
tycznego, informacje na temat szkoleń itd.
http://www.szkolahakerow.pl
Serwis informacyjny, na którym znajdują się
najświeższe aktualności i artykuły, można zalo-
gować się na forum i podyskutować z ciekawy-
mi osobami na interesujące teamty.
http://www.cc-team.org
Strona internetowa poświęcona aktualnościom
informatycznym. Umieszczone są na niej cie-
kawe artykuły oraz recenzje pism.
http://www.huntersq2.boo.pl
Strony
polecane >>>
Strony
polecane
Misją Infoprof jest zrozumienie potrzeb klienta
i taki dobór usług by jak najlepiej spełniały one
jego oczekiwania, jednocześnie nie narażając
go na niepotrzebne koszty.
www.infoprof.pl
Portal poświęcony zdalnym rozwiązaniom IT,
świadczone usługi są dyskretne i dokładne.
http://xesit.pl
Portal powstał w celu rozreklamowania firmy
zajmującej się kompleksową usługą związaną
z promowaniem stron WWW.
http://www.webgroup.net.pl
www.hakin9.org
hakin9 Nr 9/2007
54
Obrona
H
asła nieprzypadkowo są najpopu-
larniejszym sposobem uwierzytel-
niania. Główną przyczyną znacz-
nie mniejszej popularności innych technik
(np. metod biometrycznych, różnego rodza-
ju kart itd.) jest ich dużo wyższa cena. Nawet
w przypadku tzw. silnego uwierzytelnienia, a
więc udowadniania swojej tożsamości na kil-
ka sposobów, hasło (np. w postaci PIN-u al-
bo haseł jednorazowych) jest z reguły jed-
nym z nich.
Uproszczony nieco cykl życia hasła może
wyglądać następująco:
• hasło zostaje wymyślone przez użytkowni-
ka,
• hasło wędruje przez Sieć,
• hasło zostaje przetworzone przez sys-
tem,
• hasło zostaje gdzieś zapisane ku pamięci,
• hasło zostaje zapisane przez program
na maszynie klienckiej (np. przeglądarkę
webową, klienta poczty),
• użytkownik loguje się,
• użytkownik zapomina hasła i korzysta z me-
chanizmu przypominania lub resetowania,
• hasło trafia do backupu systemowego,
• użytkownik otrzymuje pocztą listę haseł
jednorazowych.
W konkretnej sytuacji może to wyglądać tak,
jak w poniższym przykładzie. Użytkownik
chce stworzyć sobie konto w portalu. W tym
celu wypełnia formularz i podaje wymyślo-
ne przez siebie hasło. Hasło zostaje zapisa-
ne w jego Firefoksie, dodatkowo użytkownik
zapisuje je sobie w pliku, w którym trzyma
wszystkie swoje hasła. Wypełniony formularz
podróżuje siecią do portalu, gdzie hasło jest
przetwarzane. Użytkownik korzysta wielokrot-
nie z portalu, za każdym razem logując się.
Słabe strony
uwierzytelniania hasłami
Cezary G. Cerekwicki
stopień trudności
Większość istniejących systemów informatycznych używa
uwierzytelniania przez hasła. Niniejszy tekst opisuje słabe punkty
tego typu systemów, ale przedstawia też najlepsze znane obecnie
rozwiązania, pozwalające je wzmocnić. Opisano problematykę
ochrony systemu w najważniejszych przypadkach użycia
uwierzytelniania poprzez hasła.
Z artykułu dowiesz się
• gdzie kryją się słabości systemów uwierzytelnia-
jących hasłem,
• jak te słabości wyeliminować.
Co powinieneś wiedzieć
• wskazane jest rozumienie podstaw terminologii
kryptologicznej i elementarna znajomość infor-
matyki.
Bezpieczeństwo systemów poprzez hasła
hakin9 Nr 9/2007
www.hakin9.org
55
Tworzenie haseł
Idealny użytkownik powinien prze-
strzegać następujących reguł bez-
pieczeństwa:
• używaj długich i skomplikowa-
nych haseł,
• hasło nie powinno być słowem
ani składać się ze słów,
• nie używaj tego samego hasła na
różnych kontach,
• nie zapisuj nigdzie haseł,
• systematycznie zmieniaj hasła (z
częstotliwością proporcjonalną do
istotności chronionego zasobu),
• ujawnienie któregokolwiek z ha-
seł nie powinno stanowić żadnej
wskazówki co do pozostałych,
• ilekroć wystąpi podejrzenie, że
dane hasło mogło zostać ujaw-
nione, należy je jak najszybciej
zmienić,
• nie pozwalaj żadnym programom
na zapamiętywanie hasła,
• zawsze się wyloguj po skończe-
niu pracy,
• zawsze blokuj pulpit komputera,
kiedy od niego na chwilę odcho-
dzisz,
• jeśli nie zamierzasz już dłużej ko-
rzystać z danego komputera, na-
leży oczyścić go ze wszystkich
prywatnych danych, w szczegól-
ności wtedy, gdy są w nim zapi-
sane hasła i inne poufne informa-
cje.
Jednak idealni użytkownicy nie
istnieją. Długość hasła można (i
trzeba) wymusić, skomplikowaną
strukturę hasła również, ale to już
mniej ważne. Dlaczego? Ponieważ
maksymalna ilość iteracji w ataku
brutalnym to Sd, gdzie S to wiel-
kość użytego słownika, a d to dłu-
gość hasła. A więc gołym okiem
widać, że każdy dodatkowy znak
długości zwiększa przestrzeń ha-
seł o rząd wielkości (przy typo-
wych wielkościach S), a dodatkowy
znak w słowniku o znacznie mniej.
Wniosek: długość jest ważniejsza
niż różnorodność znaków, zatem
to przede wszystkim długość po-
winniśmy wymuszać na użytkowni-
kach. Wiele programów wymusza
systematyczne zmienianie hasła,
w dodatku pamiętając stare hasła
i nie pozwalając, by się powtórzy-
ły. Niektórych ludzi to denerwuje,
przez co szukają oni sposobu, jak
oszukać taki program. Jednym z
takich sposobów jest dopisywanie
do swojego ulubionego hasła nu-
meru aktualnego miesiąca. Zasta-
nówmy się jednak nad tym, co się
stanie, gdy włamywacz uzyska do-
stęp do haseł nieaktualnych? Wi-
dząc, że historia haseł danej osoby
to Ronaldo-4 oraz Ronaldo-10, wy-
próbuje inne cyferki w miejsce tych,
które już zna. Widząc hasła michal
i piotrek zapewne sprawdzi wszyst-
kie imiona z kalendarza. Jeśli tylko
istnieje możliwość wywnioskowa-
nia aktualnego hasła z haseł nie-
aktualnych, to ich zmienianie istot-
nie obniża poziom bezpieczeństwa
(ale ciągle ma sens). Podany wy-
żej scenariusz można też potrakto-
wać jako przykład konfliktu bezpie-
czeństwa z użytecznością – sys-
tematyczne zmienianie haseł nie-
wątpliwie jest korzystne, ale wiąże
się z niemiłą dla użytkowników ko-
niecznością ciągłego ich wymyśla-
nia i zapamiętywania. Można więc
przypuszczać, że odbędzie się to
ze szkodą dla ich jakości. Rodzi
to pewne konsekwencje dla auto-
rów oprogramowania. O ile reguły
długości czy ilości użytych znaków
łatwo na użytkownikach wymusić,
o tyle zaprojektowanie algorytmu,
który będzie w stanie stwierdzić,
że jedne hasła można wywniosko-
wać z innych, jest niemożliwe (wy-
jąwszy trywialne przypadki wnio-
skowania, np. dla haseł typu Iza1,
Iza2). Żaden program nie stwier-
dzi, że hasła YellowSubmarine i
HeyJude związane są z zespołem
The Beatles, co dla włamywacza
może być cenną i nietrudną do wy-
wnioskowania wskazówką. Możli-
wość wnioskowania jest też zagro-
żeniem dla zasady tworzenia róż-
nych haseł dla różnych kont. Mo-
żemy sobie wyobrazić scenariusz,
w którym napastnik zdobywa hasło
do słabo chronionego zasobu (np.
prywatnego konta e-mail) i na jego
podstawie zgaduje hasło do cze-
goś ważniejszego, np. banku in-
ternetowego. Tak więc kolejną po-
żądaną cechą systemu haseł jest
brak możliwości wnioskowania: od-
krycie jednego hasła nie powinno
dawać napastnikowi żadnej uży-
tecznej informacji co do pozosta-
łych haseł (zwłaszcza haseł ak-
tualnych oraz przyszłych). Innych
ważnych reguł bezpieczeństwa
również nie da się upilnować meto-
dami technicznymi, dlatego ważna
jest edukacja użytkowników. Istnie-
je prosty sposób na tworzenie do-
brych haseł. Na początek potrze-
bujemy jakiegoś cytatu z literatu-
ry, tekstu piosenki, albo jakiego-
kolwiek innego źródła tekstu. Jako
przykładem posłużę się pierwszy-
mi wersami Pana Tadeusza Adama
Mickiewicza:
Litwo, ojczyzno moja, ty jesteś jak
zdrowie
Ile cię trzeba cenić, ten tylko się do-
wie, kto cię stracił
Druga potrzebna nam rzecz to algo-
rytm przekształcenia takiego tekstu
na hasło. Może on np. wyglądać tak:
• początek wiersza zamieniamy na
jego numer porządkowy i włącza-
my do hasła,
• koniec wiersza zamieniamy na
znak / i włączamy do hasła,
• do hasła włączamy pierwszą lite-
rę każdego słowa,
• do hasła włączamy znaki inter-
punkcyjne,
• pozostałe znaki ignorujemy.
Stosując nasz algorytm, tworzymy
następujące hasło:
1L,om,tjjz/2Ictc,ttsd,kcs/
Ma ono 26 znaków długości, za-
wiera małe i duże litery oraz jeden
znak interpunkcyjny i jeden spe-
cjalny, a więc jest obecnie bardzo
silne. Oczywiście lepiej nie posłu-
giwać się podanym wyżej przykła-
dem algorytmu, a już na pewno nie
tekstu. Należy wybrać sobie wiele
źródeł tekstu (mogą być to wybra-
ne zwrotki piosenek, wierszy, cyta-
ty znanych osobistości, nadruki na
hakin9 Nr 9/2007
www.hakin9.org
Obrona
56
lekarstwach, dowcipy, przysłowia
itd.), aby móc tworzyć wiele róż-
nych haseł.
Tekst, którego będziemy używać
jako źródła hasła, powinien mieć na-
stępujące cechy:
• być łatwy do zapamiętania (bar-
dzo dokładnego),
• nikt nie powinien go zbyt łatwo
kojarzyć z użytkownikiem,
• nie powinien być zbyt krótki.
Następnie należy opracować wła-
sną wersję algorytmu (opierając się
na podanym przeze mnie przykła-
dzie). Można na przykład wprowa-
dzić regułę zamieniania spacji na
dany znak (np. %), przecinki w tek-
ście źródłowym zapisywać jako inne
znaki (np. @) w haśle, używać ostat-
nich, a nie pierwszych liter każdego
słowa itd.
Nasz algorytm powinien:
• być łatwy do zapamiętania (bar-
dzo dokładnego),
• generować hasła z elementami
co najmniej trzech zbiorów (małe
litery, duże litery, cyfry, znaki in-
terpunkcyjne, znaki specjalne),
• generować długie hasła (co naj-
mniej 10 znaków).
Oczywiście należy trzymać w tajem-
nicy hasła, algorytm oraz tekst źró-
dłowy.
Transport haseł
Hasła mogą być transportowane w
sieci w przypadku:
• tworzenia konta,
• logowania się,
• zmieniania hasła.
Drugi przypadek użycia jest zdecy-
dowanie najczęstszy, zatem przy
jego projektowaniu trzeba zacho-
wać szczególną ostrożność. Pod-
stawowym zagrożeniem jest fakt,
że hasła podróżują przez sieci pu-
bliczne, gdzie mogą być czytane
przez administratorów (legalnych i
samozwańczych) każdej z tych sie-
ci. Klasycznym rozwiązaniem tego
problemu jest użycie SSL. Jest to
rozwiązanie bardzo dobre, ale ma
swoje minusy, w tym potencjalną
podatność na atak man-in-the-
middle, degradacje wersji protoko-
łu itd. Rozwiązanie to jest też kosz-
towne, bo wymaga osobnego pu-
blicznego IP oraz wykupienia usłu-
gi firmy certyfikującej. Najlepiej
(oprócz SSL) wprowadzić jeszcze
jedną warstwę ochrony. Najlepszy
tego typu mechanizm oferuje pro-
tokół Secure Remote Password,
który realizuje dowód z wiedzą ze-
rową (a więc nawet wtedy, gdy ata-
kujący ma możliwość czytania i
zmieniania wszystkich komunika-
tów pomiędzy serwerem i klientem,
nie jest w stanie odzyskać hasła).
Protokół SRP opisałem szczegóło-
wo w osobnym artykule. Inne roz-
wiązania to np. używane przez nie-
które banki podawanie tylko części
hasła. To rozwiązanie jest w oczy-
wisty sposób lepsze niż podawa-
nie hasła w całości i w oczywisty
sposób gorsze od SRP, gdzie ha-
sło nigdy nie jest przesyłane siecią
ani w całości, ani w części. Teore-
tycznie, jeśli ktoś podsłucha dosta-
tecznie wiele sesji, będzie w stanie
poskładać sobie całe hasło. Poten-
cjalnie najbezpieczniejszym roz-
wiązaniem (nawet bezpieczniej-
szym niż SRP) jest użycie haseł
jednorazowych. W tym przypadku
nawet przejęcie hasła nic ataku-
jącemu nie daje, ponieważ ani nic
tym hasłem nie uwierzytelni, ani
nie będzie w stanie (w przypadku
optymalnym, więcej na ten temat w
dalszej części tekstu) wywniosko-
wać z niego haseł przyszłych. Ha-
sła jednorazowe mają jednak dość
oczywisty minus – trzeba je bez-
piecznie dostarczyć użytkowniko-
wi. Najczęściej robi się to poprzez
odpowiednio zabezpieczony list
wysyłany pocztą albo przez SMS.
Oba rozwiązania niestety kosztują.
Hasła jednorazowe dostarczane
przez SMS są bezpieczniejsze, po-
nieważ ich czas ważności jest nie-
długi. Napastnik musi skorzystać z
hasła natychmiast po jego zdoby-
ciu. W przypadku listy haseł jed-
norazowych jej ujawnienie jest du-
żo bardziej szkodliwe. Te hasła nie
mają czasu ważności, a w dodatku
ujawnieniu podlega cała lista ha-
seł przyszłych, a nie tylko jedno.
Jeszcze jednym podejściem do ha-
seł jednorazowych są tokeny. Roz-
wiązanie to jest zdecydowanie bar-
dzo bezpiecznym sposobem gene-
rowania haseł jednorazowych, ale
też prawdopodobnie najdroższym.
Token jest de facto specjalistycz-
nym kalkulatorem kryptograficz-
nym. Przechowuje pewnego rodza-
ju klucz prywatny (inny dla każde-
go klienta banku), ma również kla-
wiaturę pozwalającą na wprowa-
dzenie kodu. Wygenerowane przez
niego hasło jednorazowe jest skró-
tem kryptograficznym klucza pry-
watnego oraz wprowadzonego ko-
du. Zauważmy, że uwierzytelnienie
poprzez hasło jednorazowe wy-
generowane przez token realizuje
protokół z wiedzą zerową (którego
bezpieczeństwo jest zależne tylko
od nieodwracalności użytego algo-
rytmu skrótu kryptograficznego).
Oceniając jakość rozwiąza-
nia zabezpieczającego transport
haseł należy mieć na uwadze je-
go odporność na wszystkie znane
metody ataku. Projektanci niepo-
siadający odpowiedniej wiedzy na
ich temat mogą łatwo wpaść w jed-
ną z licznych zasadzek kryjących
się na tym polu. Na przykład naiw-
ne metody szyfrowania haseł mo-
gą być podatne na tzw. replay at-
tack. Wyobraźmy sobie, że dany
system zamiast przesyłać hasła w
postaci tekstu jawnego, wysyła ich
skróty SHA. Jeśli włamywacz pod-
słucha taką konwersację, nie bę-
dzie w stanie odczytać ze skrótu
hasła w postaci jawnej, bo równa-
łoby się to odwróceniu funkcji skró-
tu kryptograficznego. Ale takie od-
wrócenie wcale nie będzie mu po-
trzebne! Może bowiem sam na-
wiązać sesję i w miejscu, w któ-
rym serwer będzie oczekiwać skró-
tu SHA hasła włamywacz prześle
mu przejęty wcześniej skrót. W ten
sposób będzie się mógł poprawnie
uwierzytelnić w ogóle nie znając
hasła. Dlatego w każdym współ-
czesnym protokole tak dużą wa-
gę przywiązuje się do randomiza-
hakin9 Nr 9/2007
57
cji przesyłanych przez sieć komu-
nikatów. Niedopuszczalna jest sy-
tuacja, w której przesłany komuni-
kat mógłby być w przyszłości przy-
datny dla potencjalnych podsłuchi-
waczy. Pouczającym doświadcze-
niem jest zapoznanie się z kalkula-
torem SRP, który pokazuje wszyst-
kie wartości pośrednie używane w
obliczeniach. Proponuję pobawić
się przyciskami randomize i zwró-
ceniem uwagi na to, które wartości
się zmieniają i jak bardzo. SRP ma
trzy wartości losowe i gdy zmieni
się dowolna z nich (a dwie są loso-
wane osobno dla każdej sesji, przy
czym jedna jest losowana w spo-
sób w pełni kontrolowany przez
chroniony system, a więc można
upilnować, by losowanie było kryp-
tograficznie bezpieczne), zmienia-
ją się wszystkie wymieniane przez
publiczne łącze wrażliwe komuni-
katy. Co więcej, zasadnicze rów-
nania zapewniające uwierzytelnie-
nie są ciągle prawdziwe, niezależ-
nie od wylosowanych wartości!
Pułapek typu replay attack jest
naturalnie o wiele więcej, dlatego
każda osoba zamierzająca projek-
tować systemy zapewniające wyso-
ki poziom bezpieczeństwa musi być
ich świadoma.
Przechowywanie haseł
System musi przechowywać jakąś
informację, która później pozwo-
li mu na sprawdzenie, czy użyt-
kownik podał właściwe hasło. Naj-
prościej przechowywać samo ha-
sło w postaci jawnej, ale natural-
nie jest to podejście najgorsze z
punktu widzenia bezpieczeństwa.
Dostęp do wrażliwego pliku czy ta-
beli w bazie danych jest wprawdzie
zabezpieczany klasycznymi meto-
dami kontroli dostępu, ale polega-
nie wyłącznie na tej linii obrony od
dawna jest uważane za niewystar-
czające.
Niezłym rozwiązaniem jest to,
jakie stosowane jest przez Linuk-
sa. Podczas tworzenia konta lo-
sowana jest liczba zwana solą. Sól
nie musi być tajna, musi natomiast
być gdzieś zapisana w systemie.
Hasło jest konkatenowane (skleja-
ne) z solą, a następnie liczony jest
skrót kryptograficzny wyniku kon-
katenacji i to on jest zapisany w
systemie. Jeśli włamywacz przej-
mie plik ze skrótami haseł, będzie
musiał jeszcze przeprowadzić atak
brutalny lub słownikowy, aby odzy-
skać hasło.
Użycie soli jest istotne, żeby za-
bezpieczyć się przed atakiem z ob-
liczonymi wcześniej bazami skró-
tów kryptograficznych. W Interne-
cie można znaleźć gotowe mapo-
wania typowych haseł na ich skró-
ty dla danej funkcji (najczęściej dla
MD5). Dodanie soli czyni takie ata-
ki nieefektywnymi (bo zwiększa to
przestrzeń do przeszukania aż o
kilka, kilkanaście rzędów warto-
ści, w zależności od tego, ile bitów
będzie miała sól). Efekt użycia so-
li polega też na tym, że nawet jeśli
kilka kont będzie miało te same ha-
sła, ich skróty kryptograficzne (czy
też liczby weryfikujące) będą róż-
ne, zatem nie podpowie to nicze-
go potencjalnemu włamywaczowi.
Innym teoretycznym zagrożeniem
jest atak przeciwdziedzinowy na
użytą funkcję skrótu kryptograficz-
W Sieci
Na tej stronie znajduje się znakomita
książka o pisaniu bezpiecznych pro-
gramów:
• http://www.dwheeler.com/secure-
programs/
Tu znajduje się kalkulator SRP:
• http://srp.stanford.edu/demo/
demo.html
O autorze
Autor jest z wykształcenia informaty-
kiem i politologiem. Pracował jako pro-
gramista, administrator, konsultant, tłu-
macz, koordynator międzynarodowych
projektów, dziennikarz i publicysta. Pi-
sał programy w dziesięciu językach
programowania (od asemblerów po ję-
zyki skryptowe) w czterech systemach
operacyjnych, na dwóch platformach
sprzętowych.
Kontakt z autorem: cerekwicki@tlen.pl
hakin9 Nr 9/2007
www.hakin9.org
Obrona
58
nego, ale obecnie nawet dla starej
i wielokrotnie atakowanej funkcji
MD5 nie udało się przeprowadzić
skutecznie takiego ataku i szansa
na odnalezienie tego typu podat-
ności jest raczej niewielka, zatem
trudno to zagrożenie traktować po-
ważnie. Swoją drogą, gdyby któraś
z powszechnie używanych funkcji
skrótu (SHA, MD5) okazała się po-
datna na ataki przeciwdziedzino-
we, oznaczałoby to automatycz-
ną kompromitację olbrzymiej ilo-
ści systemów i de facto rewolucję
w dziedzinie bezpieczeństwa infor-
macyjnego.
Zapewne najlepszym rozwią-
zaniem przechowywania haseł jest
zastosowana w protokole Secu-
re Remote Password (SRP) liczba
weryfikująca. Liczba ta jest silnie
zrandomizowana, a hasło chronio-
ne jest dodatkowo podwójną ope-
racją liczenia skrótu kryptograficz-
nego. Implementując kod przecho-
wujący hasła, warto go dodatkowo
zabezpieczyć przed atakami lokal-
nymi.
Nowoczesne biblioteki pro-
gramistyczne dostarczają do te-
go celu odpowiednich narzędzi,
np. w .NET 2.0 mamy do dyspo-
zycji klasę SecureString, przezna-
czoną do przechowywania danych
wrażliwych (haseł, PIN-ów, nume-
rów kart kredytowych itd.) Klasa ta
zapewnia automatyczne szyfrowa-
nie swojej zawartości oraz umożli-
wia bezpieczne skasowanie. Przed
jej użyciem należy uważnie zapo-
znać się z dokumentacją, aby nie
popełnić jakiejś gafy (o to niestety
łatwo podczas implementacji me-
chanizmów o podwyższonym stan-
dardzie bezpieczeństwa).
Warto zapoznać się z podobną
funkcjonalnością, jaką oferuje wy-
brane przez nas środowisko (ma-
ją ją zaimplementowaną wszystkie
profesjonalne środowiska) lub, w
przypadku braku tego typu wspar-
cia, spróbować je zaimplemento-
wać samodzielnie. Bezpieczeń-
stwo można zwiększyć wieloma
prostymi zabiegami, m.in. nadpi-
sywaniem użytych zmiennych tym-
czasowych przed ich zwolnieniem
(przynajmniej tych, w których były
zapisane wrażliwe dane). Więcej
informacji na ten temat można zna-
leźć w książce wymienionej w ram-
ce W sieci.
Bezpieczeństwo
maszyny klienckiej
Zapisywanie haseł w aplikacjach czy
różnego rodzaju Menadżerach haseł
rodzi potencjalną podatność. Jeśli z
tych haseł może skorzystać legalny
użytkownik, to może też i nielegal-
ny. Co więcej, mechanizmy zabez-
pieczające składowane hasła czę-
sto są bardzo słabe (np. wyciągnię-
cie haseł z popularnego komunikato-
ra Gadu Gadu było wielokrotnie de-
monstrowane).
Inne zagrożenia to różnego ro-
dzaju konie trojańskie, w szczegól-
ności keyloggery. Tu pomóc może
jedynie edukacja użytkowników, sys-
tematyczne skany antywirusowe, do-
bry firewall i jakiś mechanizm ochro-
ny integralności systemu (np. tri-
pwire czy Kerio Personal Firewall).
Skuteczne zarządzanie osobisty-
mi firewallami albo mechanizmami
kontroli integralności jest niebanal-
ne i wymaga dużej i ciągle aktualizo-
wanej wiedzy. To zdecydowanie naj-
słabszy punkt każdego systemu, za-
rządzany przez najmniej kompetent-
ne osoby i najmniej kontrolowany.
Zauważmy, że nawet tutaj uży-
cie haseł jednorazowych znaczą-
co utrudnia włamywaczowi pracę.
W typowym przypadku użycia ha-
sło pojawi się w zasięgu keylogge-
ra na kilkanaście, maksimum kilka-
dziesiąt sekund przed jego unie-
ważnieniem. Tak więc okno cza-
sowe dla potencjalnego ataku jest
dość wąskie (jego dokładna wiel-
kość zależy od czasu unieważnie-
nia hasła jednorazowego od mo-
mentu zażądania go przez sys-
tem). A w tym oknie należałoby
zrobić kilka rzeczy: doprowadzić
do zerwania sesji przez legalnego
użytkownika, nawiązać własną nie-
legalną sesję i posłużyć się przeję-
tym hasłem.
Dla projektantów systemów in-
formatycznych płynie z tego oczy-
wisty wniosek: należy bezwzględ-
nie wprowadzić timeout dla haseł
jednorazowych. Jeśli zażądane ha-
sło zostanie wprowadzone po je-
go upłynięciu, nie powinno zostać
przyjęte.
Hasła jednorazowe
Hasła jednorazowe można wygene-
rować na przynajmniej dwa sposo-
by. Najlepszy (ale też najtrudniejszy)
sposób to sekwencja losowa (nie
mylić z pseudolosową). Nieco mniej
bezpieczny (ale łatwiejszy do imple-
mentacji) sposób to obliczenie n ha-
seł na zasadzie hasło(n) = sha( ha-
sło(n-1) ) i używanie ich w odwrotnej
kolejności. Wówczas przewidzenie
przyszłych haseł sprowadza się do
przeprowadzenia ataku przeciwdzie-
dzinowego na użytą funkcję skrótu.
W przypadku sekwencji losowej nie
grozi nam kryptoanaliza haseł wy-
korzystanych, ponieważ nie da się
z nich wywnioskować haseł przy-
szłych. Wynika to z faktu, że w se-
kwencji losowej nie ma żadnych za-
leżności między poszczególnymi jej
elementami: są one całkowicie przy-
padkowe. Dlatego jest bardzo waż-
ne, żeby nie posługiwać się sekwen-
cją pseudolosową, która nie ma ta-
kiej własności.
Słabość tego podejścia polega
na trudności w automatycznym ge-
nerowaniu sekwencji naprawdę lo-
sowych. Zrealizowanie wydajnego
generatora liczb losowych wyma-
ga specjalnego sprzętu. Na zwy-
kłym pececie można co najwyżej
generować skończone ilości liczb
losowych, zależnie od ilości moż-
liwej do zebrania entropii. Nieźle
robi to kernel Linuksa, pod warun-
kiem, że użytkownik dostarcza od-
powiedniej ilości entropii poprzez
stukanie w klawiaturę oraz rusza-
nie myszką.
Podsumowanie
W tekście opisano szereg zagadnień
związanych z projektowaniem sys-
temów informatycznych, w których
uwierzytelnienie odbywa się poprzez
podanie hasła. Wskazano miejsca
szczególnie podatne na ataki oraz
sposoby, na jakie można wzmocnić
ich ochronę. l
Media Systems
Firma Media Systems oferuje Państwu
profesjonalny system CashBill.pl,
umożliwiający zarządzanie usługami
SMS Premium Rate w sektorze B2B
i B2C.
Oferujemy również szeroki wachlarz
usług mikropłatniczych, płatności
elektronicznych oraz indywidualne, de-
dykowane rozwiązania przy budowie
aplikacji mobilnych.
TTS Company Sp. z o.o.
Oprogramowanie
komputerowe -
sprzedaż, dystrybucja oraz import na
zamówienie. W ofercie programy au-
torstwa ponad stu firm z całego świa-
ta. Zapraszamy do współpracy - zostań
naszym klientem lub dostawcą.
www.OprogramowanieKomputerowe.pl
Zepter IT
Zepter IT to dynamicznie rozwijająca
się firma, specjalizująca się w realiza-
cji projektów informatycznych.
Oferujemy rozwiązania dla biznesu
i zarządzania takie jak systemy ERP
czyli zarządzanie zasobami firmy, pod-
noszenie jakości i obniżanie kosztów.
Zepter IT świadczy również usługi in-
ternetowe - serwisy www, e-commerce,
tworzenie aplikacji internetowych oraz
systemów zarządzania treścią.
www.zepterit.com
Pr
en
um
er
at
a
PR
O
Prenumerata PRO
ko
nt
ak
t d
o
na
s:
m
ar
ty
na
.z
ac
ze
k@
so
ft
w
ar
e.
co
m
.p
l
ka
ta
rz
yn
a.
ju
sz
cz
yn
sk
a@
so
ft
w
ar
e.
co
m
.p
l
te
l.
: 2
2
88
7
13
4
5
Petrosoft
Partner Microsoft Bussiness Solutions
Dynamics GP. Budowa sklepów inter-
netowych, serwisów WWW, prezentacji
multimedialnych. Budowa sieci LAN,
WAN, telekomunikacyjnych. Telefonia
stacjonarna, VoiceIP. Usługi outsor-
cingowe dla dużych firm z zakresu
informatyki i telekomunikacji. Opro-
gramowanie na zamówienia. Dostawa
serwerów, sprzętu, oprogramowania.
38-200 Jasło, ul. 3 Maja 101
Biuro: (13) 44 66 666
biuro@petrosoft.pl
www.hakin9.org
hakin9 Nr 9/2007
60
Bezpieczna firma
W
iele organizacji, pomimo licznych za-
grożeń zarówno wewnętrznych jak i
zewnętrznych, stosuje nadal niesfor-
malizowane metody ochrony informacji. Jed-
nakże, w związku z rosnącym znaczeniem
bezpieczeństwa informacji w kontaktach han-
dlowych, coraz częściej certyfikacja na zgod-
ność z normą PN-ISO/IEC 27001:2007 sta-
je się wymogiem formalnym przy zawieraniu
kontraktów z partnerami handlowymi, podob-
nie jak powszechny już wymóg potwierdzenia
certyfikatem zgodności z wymaganiami norm
serii ISO 9000 czy ISO 14000. Obecnie coraz
więcej organizacji zauważa potrzebę solidnego
podejścia do zarządzania bezpieczeństwem
informacji. Praktyka wskazuje, że tylko kom-
pleksowe podejście do bezpieczeństwa infor-
macji, obejmujące nie tylko bezpieczeństwo te-
leinformatyczne, lecz także bezpieczeństwo fi-
zyczne, osobowe, jak również prawne, wydaje
się być najlepszym rozwiązaniem. Zakres nor-
my (Rozdz. 1, pkt. 1.1 i pkt. 1.2) określa rodza-
je organizacji, w których norma PN-ISO/IEC
27001 może mieć zastosowanie, jak również
informuje o wymaganiach dotyczących wdro-
żenia zabezpieczeń dostosowanych do potrzeb
pojedynczych organizacji lub ich części znajdu-
jących się w dalszych rozdziałach normy. Wy-
magania opisane w normie PN-ISO/IEC 27001
są ogólne i przeznaczone do stosowania we
wszystkich organizacjach, niezależnie od ty-
pu, rozmiaru i charakteru przedsięwzięć bizne-
sowych, jakie reprezentują. Określa jednak, że
System zarządzania bezpieczeństwem infor-
macji powinien zostać zaprojektowany (zgod-
nie z wymaganiami normy) tak, aby zapewnić
adekwatne i proporcjonalne zabezpieczenia,
które odpowiednio chronią aktywa informacyj-
ne, oraz tak, aby uzyskać zaufanie zaintereso-
Wdrożenie Systemu
Zarządzania Informacji
Artur Kostowski
stopień trudności
Informacja to jeden z kluczowych zasobów firmy, jest zasadniczym
aktywem wspierającym rozwój i sukces niemal każdej organizacji.
Utrata walorów niematerialnych przedsiębiorstwa, przybierających
postać niechronionych informacji, prowadzi najczęściej do spadku
zaufania kontrahentów i klientów, często też może zagrażać
stabilności firmy i utraty osiąganej przez lata pozycji.
Z artykułu dowiesz się
• jak szybko i skutecznie wprowadzić System za-
rządzania bezpieczeństwem informacji,
• co to jest i na czym polega cykl PDCA,
• jakie polskie normy stanowią najlepsze prakty-
ki w zakresie zapewnienia bezpieczeństwa in-
formacji w instytucji.
Co powinieneś wiedzieć
• znać podstawowe wymagania dotyczące bez-
pieczeństwa informacji.
Zarządzanie bezpieczeństwem – wdrożenie w instytucji
hakin9 Nr 9/2007
www.hakin9.org
61
wanych stron. Według branży, naj-
częściej System zarządzania bez-
pieczeństwem informacji przyjmo-
wany jest przez firmy telekomunika-
cyjne, finansowe, doradcze i produk-
cyjne. Często w zakresie ISO 27001
certyfikują się także agendy rządo-
we, firmy z branży informatycznej i
infrastrukturalnej.
Elementy
bezpieczeństwa
informacji
System zarządzania bezpieczeń-
stwem informacji (SZBI) – to część
całościowego systemu zarządzania,
oparta na podejściu wynikającym z ry-
zyka biznesowego, odnosząca się do
ustanawiania, wdrażania, eksploata-
cji, monitorowania, utrzymywania i do-
skonalenia bezpieczeństwa informa-
cji w organizacji. System zarządzania
obejmuje strukturę organizacyjną, po-
litykę, zaplanowane działania, zakresy
odpowiedzialności, praktyki, procedu-
ry, procesy i zasoby. Podstawowym,
najczęściej używanym skrótem Sys-
temu zarządzania bezpieczeństwem
informacji jest SZBI, chociaż dopusz-
czalny jest także angielski skrót ISMS
9 (ang. Information Security Manage-
ment System). SZBI jest wprowadza-
ny, by skutecznie realizować potrze-
by wszystkich stron zainteresowanych
działalnością organizacji, np. klientów,
udziałowców, akcjonariuszy, władze
państwowe, pracowników, dostaw-
ców (Rysunek 1). Celem Systemu za-
rządzania bezpieczeństwem informa-
cji jest zapewnienie ciągłości organi-
zacji, zapobieganie i minimalizowanie
ewentualnych strat. Reasumując, Sys-
tem zarządzania bezpieczeństwem in-
formacji ma zagwarantować organiza-
cji i wszystkim zainteresowanym stro-
nom zachowanie poufności, integral-
ności i dostępności informacji.
Wymagania (normy)
Podstawową normą międzynaro-
dową zawierającą wymagania dla
systemów zarządzania bezpieczeń-
stwem informacji jest:
Norma PN-ISO/IEC 27001: 2007
Technika informatyczna – Techniki
bezpieczeństwa – Systemy zarzą-
dzania bezpieczeństwem informacji
– Wymagania.
• Jest to norma, według której jed-
nostki uprawnione (akredytowa-
ne) przeprowadzają proces oce-
ny i certyfikacji. Norma definiuje
System zarządzania bezpieczeń-
stwem informacji (SZBI). Powi-
nien on stanowić część składową
systemu zarządzania instytucją
i być oparty na podejściu wyni-
kającym z ryzyka biznesowego.
Norma zaleca podejście syste-
mowe oparte na ciągłym dosko-
naleniu zgodnie z cyklem PDCA
(ang. Plan-Do-Check-Act) obej-
mującym: ustanowienie, wdro-
żenie, eksploatację, monitorowa-
nie, przegląd, a także utrzymanie
i doskonalenie SZBI.
Rysunek 1.
Mikrootoczenie i makrootoczenie przedsiębiorstwa. Źródło: G.
Gierszewska, M. Romanowska, Analiza strategiczna przedsiębiorstwa, PWE
1995, str. 33
ekonomiczne
polityczne
społeczne
technologiczne
międzynarodowe
prawne
demograficzne
dostawcy
klienci
konkurenci istniejący
i potencjalni
MAKROOTOCZENIE
PRZEDSIĘ-
BIORSTWO
OTOCZENIE
KONKURENCYJNE
Rysunek 2.
Model PDCA stosowany w procesach SZBI
Wykonuj
(Do)
Działaj
(Act)
Utrzymanie
i doskonalenie ISMS
Wdrożenie
i eksploatacja ISMS
Planuj
(Plan)
Sprawdzaj
(Check)
Ustanowienie
ISMS
Monitorowanie
i przegląd ISMS
Wymagania
i oczekiwania
dotyczące
bezpieczeństwa
informacji
Zainteresowane
strony
Zarządzanie
bezpieczeństwem
informacji
Zainteresowane
strony
hakin9 Nr 9/2007
www.hakin9.org
Bezpieczna firma
62
• Norma PN-ISO/IEC 17799: 2007
Technika informatyczna – Tech-
niki bezpieczeństwa – Praktycz-
ne zasady zarządzania bezpie-
czeństwem informacji
Norma stanowi swego rodzaju prze-
wodnik (opis, wytyczne) dla firm, któ-
re chcą wdrożyć u siebie system bez-
pieczeństwa informacji tak, aby był
skuteczny. Celem normy jest wdroże-
nie mechanizmów zarządzania, któ-
re zapewnią, że bezpieczeństwo in-
formacji będzie istotnym elementem
funkcjonowania organizacji. Norma
dotyczy wszystkich obszarów bez-
pieczeństwa: fizycznego i środowi-
skowego, osobowego, IT, zarządza-
nia ciągłością działania i zapewnie-
nia zgodności z przepisami prawa.
Przygotowanie
do certyfikacji
Tworzenie, wdrażanie i eksploatowa-
nie Systemu zarządzania bezpieczeń-
stwem informacji wg PN-ISO/IEC
27001 odbywa się w cyklu składają-
cym się z czterech etapów: Planuj,
Wykonuj, Sprawdź, Działaj (PDCA)
(Rysunek 2). Norma opisuje te etapy
w sposób następujący:
• Planuj – Ustanowienie Polityki
bezpieczeństwa informacji. Obej-
muje cele, zakres stosowania,
procesy i procedury odpowiada-
jące zarządzaniu ryzykiem oraz
zwiększające bezpieczeństwo in-
formacji, tak, aby uzyskać wyni-
ki zgodne z ogólnymi zasadami
i celami instytucji. Jest to z całą
pewnością najtrudniejszy i – obok
opracowywania
dokumentacji
– najbardziej pracochłonny etap
wdrożenia SZBI.
• Wykonuj – Wdrożenie i eksplo-
atacja polityki bezpieczeństwa
informacji, zabezpieczeń, proce-
sów i procedur.
• Sprawdź – Szacowanie oraz
– tam, gdzie musi mieć zastoso-
wanie – pomiar wykonania pro-
cesów w odniesieniu do polityki
bezpieczeństwa informacji. Etap
ten obejmuje cele i praktyczne
doświadczenia oraz przekazy-
wanie najwyższemu kierownic-
twu wyników przeglądu.
• Działaj – Podejmowanie działań
korygujących i zapobiegawczych
w oparciu o wyniki przeglądu re-
alizowanego przez najwyższe
kierownictwo w celu osiągnięcia
stałego doskonalenia SZBI.
Poszczególne etapy modelu PDCA
są opisane w rozdziale 4.2 (Wdro-
żenie i eksploatacja SZBI) normy
PN-ISO/IEC 27001. W wymienionym
rozdziale opisane są działania, które
organizacja powinna podjąć na każ-
dym z czterech etapów. Poniżej opi-
szemy bardziej szczegółowo dzia-
łania organizacji w poszczególnych
etapach cyklu PDCA:
Planuj
– Ustanowienie SZBI
Celem działań podejmowanych na
tym etapie jest opracowanie wytycz-
nych do stworzenia rozwiązań i me-
chanizmów umożliwiających osią-
gnięcie przez organizację odpo-
wiedniego poziomu bezpieczeństwa.
Wdrażanie SZBI powinno rozpocząć
się od zdefiniowania zakresu, jakie-
go będzie dotyczyć SZBI. Następ-
nie należy określić i udokumento-
wać Politykę bezpieczeństwa infor-
macji. Zgodnie z normą PN-ISO/IEC
27001 ma to być dokument ogólny,
który wyznacza ogólny kierunek i za-
sady działania w odniesieniu do bez-
pieczeństwa informacji. Częścią Po-
lityki bezpieczeństwa informacji mu-
si być stworzenie odpowiedniej struk-
tury organizacyjnej, która zapew-
ni osiągnięcie zaplanowanych ce-
lów nadrzędnych organizacji, ponie-
waż wyznacza ona kierunek działa-
nia w zakresie bezpieczeństwa infor-
Rysunek 3.
Filozofia funkcjonowania systemu zarządzania
bezpieczeństwem informacji w oparciu o analizę ryzyka. Źródło: M. Borucki,
J. Łuczak (red.), Zarządzanie bezpieczeństwem informacji, str. 63
OCENA RYZYKA
UTRATY
INFORMACJI
WDROŻENIE PLANU
MINIMALIZACJI
RYZYKA UTRATY
INFORMACJI
OPRACOWANIE
PLANU
MINIMALIZACJI
RYZYKA UTRATY
INFORMACJI
MONITOROWANIE
PLANU
MINIMALIZACJI
RYZYKA UTRATY
IFORMACJI
Terminologia
• poufność zapewnienie dostępu do informacji tylko osobom upoważnionym. utrzy-
manie poufności wymaga, aby informacja nie była dostępna komukolwiek, kto nie
ma odpowiednich uprawnień,
• integralność – zapewnienie dokładności i kompletności informacji, i metod jej prze-
twarzania,
• dostępność – zapewnienie, że użytkownicy mogą korzystać z każdego zasobu in-
formacyjnego organizacji, kiedykolwiek i gdziekolwiek jest on potrzebny, zgodnie
ze stosownymi przywilejami.
Zarządzanie bezpieczeństwem – wdrożenie w instytucji
hakin9 Nr 9/2007
www.hakin9.org
63
macji w danej organizacji. Najważ-
niejszym elementem ustanowienia
Polityki bezpieczeństwa informa-
cji jest przyjęcie i zaakceptowanie
jej przez najwyższe kierownictwo w
organizacji. W praktyce najczęściej
próby takie podejmują działy telein-
formatyczne, rzadziej – inne jednost-
ki organizacyjne. Wsparcie i koordy-
nacja najwyższego kierownictwa or-
ganizacji pozwoli skoordynować pra-
ce nad wdrożeniem SZBI i zapewni
akceptację przez pracowników. Poli-
tyka bezpieczeństwa informacji po-
winna brać pod uwagę: wymagania
biznesowe dotyczące danej organi-
zacji w odniesieniu do obszaru jej
działania, wielkość i strukturę orga-
nizacyjną, typ konkurencji, wymaga-
nia prawne (bariery prawne), kryte-
ria zarządzania ryzykiem w organi-
zacji oraz metody i techniki jakie bę-
dą wykorzystywane podczas anali-
zy i zarządzania ryzykiem. Po zdefi-
niowaniu Polityki bezpieczeństwa in-
formacji należy zdefiniować obszar
analizy ryzyka i przeprowadzić samą
analizę ryzyka. Ważne jest, aby pro-
ces zarządzania ryzykiem (jak rów-
nież sama analiza ryzyka) był proce-
sem powtarzalnym i ciągle doskona-
lonym zgodnie z zasadą PDCA. Nor-
ma wymaga od organizacji zdefinio-
wania i opisania procesu analizy ry-
zyka oraz wyznaczenie kryteriów ak-
ceptowania ryzyka, nie narzucając
konkretnej metody analizy ryzyka,
a wymagając jedynie, by ten proces
był opisany i powtarzalny. Kolejnym
etapem wdrażania SZBI jest prze-
prowadzenie analizy ryzyka zgodnie
z ustanowioną procedurą czy kryte-
riami przez organizację, gdyż ocena
ryzyka utraty informacji jest jednym z
najważniejszych elementów wdraża-
nia i utrzymania SZBI. Okazuje się,
że na podstawie jej wyników ustalić
można, jakie środki kontroli bezpie-
czeństwa należy wdrożyć lub jakie
procedury organizacja winna opra-
cować. Jednocześnie analiza ryzyka
powinna polegać na rzeczywistych i
wiarygodnych informacjach. Oczy-
wiście na potrzeby niniejszego arty-
kułu nie będą omawiane szczegóło-
wo techniki analizy ryzyka, gdyż mo-
gą one z pewnością stanowić treść
odrębnych rozważań. Należy jednak
zawsze pamiętać, że tylko profesjo-
nalna analiza ryzyka pozwoli wdro-
żyć skuteczny SZBI. Następnym kro-
kiem organizacji, po zidentyfikowaniu
ryzyka, jest określenie trybu postę-
powania z każdym z wykrytych ry-
zyk. W SZBI możemy ograniczać ry-
zyka przez zastosowanie odpowied-
nich zabezpieczeń, przenosić ryzyka
(np. poprzez ubezpieczenie), unikać
ryzyka i akceptować ryzyka (nie ma
elementów ryzyka pozbawionych za-
grożeń wewnętrznych jak i zewnętrz-
nych – tzw. ryzyko szczątkowe, czyli
takie, które pozostaje po postępowa-
niu z ryzykiem) (Rysunek 3).
Należy pamiętać, że jednym z
najważniejszych celów wdrożenia
SZBI powinno być także zapewnie-
nie ciągłości działania organizacji. Z
tego też powodu warto przeprowa-
dzić analizę ciągłości działania (Bu-
siness Impact Analysis – BIA), po-
przez określenie strategii organizacji
w sytuacji wystąpienia zagrożeń.
Ostatnim etapem procesu usta-
nowienia SZBI jest uzyskanie akcep-
tacji kierownictwa, o czym mowa jest
w Rozdziale 4.2.1. (Akceptacja kie-
rownictwa dla proponowanych ryzyk
szczątkowych oraz autoryzacja kie-
rownictwa dla wdrożenia i eksploatacji
SZBI) i Rozdziale 5 Normy (Odpowie-
dzialność kierownictwa za zarządza-
nie i zapewnienie zasobów oraz szko-
lenie, uświadomienie i kompetencje).
Materialnymi produktami powstający-
mi na tym etapie są dokumenty:
• wytyczne do tworzenia Polityki
bezpieczeństwa informacji,
• program budowy Polityki bezpie-
czeństwa informacji,
• plan postępowania z ryzykiem.
Reasumując, ten etap cyklu – usta-
nowienie SZBI – kończyć się winien:
• określeniem zakresu SZBI (pro-
cesy, organizacja itp.),
• określeniem celu stosowania za-
bezpieczeń opartych o rezultaty
i wnioski wynikające z procesów
szacowania i postępowania z ry-
zykiem, np. wymagań bizneso-
wych, wymagań nadzoru czy wy-
magań prawnych w odniesieniu
do bezpieczeństwa informacji,
• udokumentowaną deklaracją po-
lityki SZBI,
• określeniem procedury i za-
bezpieczenia wspomagającego
SZBI,
• opisem metodyki szacowania ry-
zyka i planem postępowania z ry-
zykiem (zidentyfikować właściwe
zagrożenia, zidentyfikować i za-
klasyfikować aktywa organizacji
oraz ich wartość),
• udokumentowaniem procedury po-
trzebnej organizacji do zapewnie-
nia skutecznego planowania, eks-
ploatacji i sterowania procesami
bezpieczeństwa informacji oraz
opisempomiarów skuteczności za-
bezpieczeń,
• wyborem odpowiednich zabez-
pieczeń z Aneksu A Normy,
• udokumentowaną Deklaracją Sto-
sowania (dokument, w którym
opisano cele zabezpieczenia oraz
zabezpieczenia, które odnoszą
się i mają zastosowanie w SZBI
danej organizacji).
Norma PN-ISO/IEC 27001 narzuca
minimalną zawartość dokumentacji
Cykl Deminga
Filozofia jakości Wiliama E. Deminga (1900-93) wyrosła na doświadczeniach sukce-
su japońskiego przemysłu i totalnej krytyki amerykańskich metod zarządzania. Zosta-
ła ona na skalę masową zastosowana w Japonii w latach 50–tych XX wieku, a rezul-
tatem tego jest ekspansja japońskich produktów na niemal wszystkie rynki świata. De-
ming uznał, że proces tworzenia jakości produktu czy usługi zależy zarówno od robot-
ników, jak i menedżerów, przy czym 94% wszystkich problemów jakościowych w orga-
nizacji powstaje z winy kierownictwa, które musi zaangażować się w zarządzanie jako-
ścią i zapewnienie jakości przy współpracy z pracownikami. Podstawę wszystkich za-
sad Deminga stanowiła zasada ciągłego udoskonalania, znana dziś pod nazwą Cyklu
Deminga, Koła Deminga lub po prostu PDCA.
hakin9 Nr 9/2007
www.hakin9.org
Bezpieczna firma
64
SZBI w postaci udokumentowanych
procedur, co według zapisu zawar-
tego w Uwadze 1 rozdz. 4.3.1 PN-
ISO/IEC 27001 oznacza, że proce-
dura ma być zdefiniowana, udoku-
mentowana, wdrożona i utrzymy-
wana. Oznacza to więc, że każdy
ustanowiony i wdrożony SZBI po-
winien zawierać odniesienie co do
wymagań normy w udokumentowa-
nych procedurach przytaczanych
w tekście wymagań PN-ISO/IEC
27001.
Wykonaj – Wdrożenie
i stosowanie SZBI
Etap ten polega na wdrożeniu zabez-
pieczeń wybranych na poprzednim
etapie – Ustanawiania SZBI. Przede
wszystkim należy jednak wdrożyć
procedury zapewniające sprawne
działanie całego SZBI tzn. procedur i
zabezpieczeń związanych z:
• zarządzaniem ryzykiem,
• zarządzaniem eksploatacją i za-
sobami.
Jednym z najważniejszych elemen-
tów wdrażania i stosowania SZBI są
szkolenia mające na celu uświado-
mienie tak kierownictwu, jak i ca-
łemu personelowi organizacji, ce-
lu i korzyści płynących z wdroże-
nia SZBI.
Sprawdź –
Monitorowanie
i przegląd SZBI
Bardzo ważna cechą SZBI wg PN-
ISO/IEC 27001 jest jego zdolność
do samodoskonalenia. Żeby móc
osiągnąć taki stan we wdrożonym
SZBI, już na etapie procesu pro-
jektowania systemu muszą zostać
przewidziane mechanizmy reago-
wania na błędy systemu i incyden-
ty związane z bezpieczeństwem ak-
tywów w organizacji oraz procedu-
ry okresowych przeglądów SZBI.
Proces definicji takich działań wi-
nien być inicjowany i realizowany
nie tylko jeśli taki przypadek zaist-
nieje, lecz również jeśli występuje
hipotetyczne prawdopodobieństwo
wystąpienia określonej niepożąda-
nej sytuacji. Efektem ciągłego mo-
nitorowania SZBI są działania za-
pobiegawcze, które świadczą o pra-
widłowym zaprojektowaniu mecha-
nizmów doskonalenia systemu. Do
podstawowych narzędzi monitoro-
wania SZBI należą:
• przeglądy skuteczności działania
SZBI,
• przeglądy raportów ryzyka ak-
ceptowalnego,
• audyty wewnętrzne SZBI,
• przeglądy SZBI dokonywane
przez kierownictwo.
Działaj: Utrzymanie
i doskonalenie SZBI
Kolejny element, który jest często
zaniedbywany przez organizacje,
to utrzymanie i doskonalenie SZBI.
Procedury dotyczące reagowania
na błędy, incydenty oraz niezgod-
ności wykryte na drodze przeglądów
muszą skutkować podjęciem działań
korygujących lub zapobiegawczych.
Procedury działań korygujących po-
winny być dokładnie udokumento-
wane. Należy zwrócić uwagę, że to
działania korygujące wraz z korektą
są elementem usuwającym przyczy-
nę niezgodności oraz jej skutki. War-
te jest podkreślenia, że najczęściej
system zarządzania stwarza więcej
problemów podczas jego prawidło-
wego utrzymania, niż na etapie jego
ustanowienia i wdrożenia.
Każde z opisanych powyżej
działań cyklu PDCA jest wymaga-
ne przez normę, aby wdrażany w or-
ganizacji SZBI mógł spełniać jej wy-
magania.
Wybór organizacji
certyfikującej
Organizacja certyfikująca jest stro-
ną trzecią, która ocenia efektywność
SZBI i wydaje certyfikat stwierdzają-
cy spełnienie wymagań normy. Jak
praktyka wskazuje, dobór organiza-
cji certyfikujących jest dość skompli-
kowany.
Bez wątpienia osoby podejmują-
ce decyzję wyboru organizacji certy-
fikującej winny wziąć pod uwagę ta-
kie czynniki, jak doświadczenie ze-
społu audytorskiego, cenę, poziom
świadczonych usług, opinię na ryn-
ku i zasięg działania. Kluczową spra-
wą jest wybór organizacji certyfikują-
cej, która reprezentuje markę znaną
z rzetelności i solidności.
Do chwili obecnej w Polsce prze-
prowadzono około 20 akredytowa-
nych certyfikacji na zgodność z wy-
maganiami BS 7799-2 i ISO 27001,
przy prawie 3300 certyfikacji na
świecie (dane z początku 2007 r.).
Warto jednak podkreślić, że licz-
ba organizacji chcących certyfiko-
wać się w ISO 27001 stale rośnie
(do 2004 r. liczba organizacji z cer-
tyfikatem systemu bezpieczeństwa
Rysunek 4.
Etapy prac jednostki certyfikującej
ETAPY CERTYFIKACJI
ETAP0 – PRZYGOTOWANIE
ETAP1 – AUDIT DOKUMENTACJI
ETAP2 – AUDIT WDROŻENIA
ETAP3 – DECYZJA
hakin9 Nr 9/2007
65
informacji w Polsce wynosiła zaled-
wie trzy).
Etapy certyfikacji SZBI
Po wdrożeniu Systemu zarządza-
nia bezpieczeństwem informacji or-
ganizacja, po uprzednim stwierdze-
niu gotowości do certyfikacji, wy-
stępuje do jednostki certyfikującej z
wnioskiem o przeprowadzenie audy-
tu certyfikacyjnego. Jednostka certy-
fikująca przeprowadza ocenę syste-
mu na zgodność z wymaganiami nor-
my ISO27001 i podejmuje decyzję o
formalnym spełnieniu kryteriów cer-
tyfikacyjnych poprzez przyznanie i
wydanie stosownego certyfikatu. W
przypadku niespełniania wymagań
normy, organizacji oczywiście odma-
wia się przyznania certyfikatu. Firmy
certyfikujące świadczą swoje usłu-
gi zgodnie z międzynarodowymi wy-
tycznymi określonymi w dokumen-
cie (przewodniku) ISO/IEC Guide 62:
1996, europejskiej normie EN-45012:
1998 Wymagania ogólne dotyczące
jednostek prowadzących ocenę oraz
certyfikację/rejestrację systemów ja-
kości, która jest podstawą Polskiej
Normy PN-EN 45012:2000.
Sprawdzanie, czy system jest
zgodny z normą odbywa się w for-
mie kilku – kilkunastodniowego au-
dytu (liczba dni zależy od wielkości
organizacji i stopnia złożoności reali-
zowanych procesów). Należy w tym
miejscu wspomnieć, że audyt syste-
mu zarządzania jakością to niezależ-
na ocena, która pozwala stwierdzić,
czy i w jakim stopniu system zarzą-
dzania firmą funkcjonuje oraz czy
jest zgodny z przyjętą normą i in-
nymi obowiązującymi wymagania-
mi i przepisami prawnymi. Poniżej
przedstawiamy skrótowo poszcze-
gólne etapy prac jednostki certyfiku-
jącej (Rysunek 4).
Etapy certyfikacji:
Etap 0 – Przygotowanie
• przygotowanie programu audytu
SZBI,
• ocena Deklaracji Stosowania,
• analiza przygotowanej przez or-
ganizację analizy ryzyka.
Omawiany etap związany jest z
wprowadzeniem firmy certyfikującej
do audytowanej organizacji. Ograni-
cza się do przeprowadzenia spotka-
nia z kadrą zarządzająca i kluczowy-
mi managerami odpowiedzialnymi za
wyniki i procesy oceny ryzyka. Wni-
kliwie oceniana jest także Deklaracja
Stosowania oraz omawiany jest har-
monogram przeprowadzanego audy-
tu. Etap 0 trwa najczęściej od 1 do 2
dni i odbywa się w siedzibie klienta.
Etap 1 – Audyt dokumentacji
SZBI
Etap 1 to przede wszystkim ocena
dokumentacji SZBI w siedzibie klien-
ta (trwa 1-2 dni). Główne zadania au-
dytorów to formalne sprawdzenie wy-
maganej dokumentacji i porównanie
jej z wymaganiami Normy. Sprawdza-
ny jest także nadzór nad dokumenta-
cją oraz jej dostępność. Szczegółowo
jest także dokonywany przegląd tre-
ści wybranej próby dokumentacji we-
wnętrznej certyfikowanej organizacji.
Etap 2 – Audyt wdrożenia
SZBI
• ocena skuteczności wybranych
zabezpieczeń,
Literatura
• Tomasz Polaczek, Audyt bezpieczeństwa informacji w praktyce, Wydawnictwo HE-
LION, 2006,
• Jacek Łuczak (red.), Zarządzanie bezpieczeństwem informacji, Oficyna Współ-
czesna, 2004,
• Donald L. Pipki, Bezpieczeństwo informacji. Ochrona globalnego przedsiębior-
stwa, Wydawnictwo Naukowo-Techniczne, 2002,
• Norma PN ISO/IEC 27001:2007,
• Norma PN ISO/IEC 17779:2007.
hakin9 Nr 9/2007
www.hakin9.org
Bezpieczna firma
66
• ocena wdrożenia SZBI,
• ocena efektów SZBI (Cykl
PDCA).
Etap ten to głównie ocena przez au-
dytorów wdrożeń i skuteczności wy-
branych zabezpieczeń oraz bada-
nie funkcjonowania systemu zarzą-
dzania w praktyce (wyniki przeglą-
du systemu zarządzania, wyniki au-
dytów wewnętrznych, ocena ryzyk,
skuteczność działań korygujących i
zapobiegawczych). Etap 2 trwa od
kilku do kilkudziesięciu dni (w zależ-
ności od wielkości certyfikowanej or-
ganizacji) i odbywa się poprzez prze-
prowadzanie wywiadów z kluczowy-
mi pracownikami organizacji.
Etap 3 – Decyzja i
(nie)wydanie certyfikatu
Po certyfikacji następuje Audyt nad-
zoru i Audyt wznawiający.
Audyt nadzoru pozwala ocenić
skuteczność funkcjonowania SZBI
oraz skuteczność wybranych przez
organizację zabezpieczeń. Odbywać
się winien co najmniej raz na 6 mie-
sięcy (5 nadzorów przez 3 lata cer-
tyfikacji). Z kolei audyt wznawiający,
który obejmuje wszystkie obszary
posiadanego certyfikatu, skupia się
przede wszystkim wokół przygoto-
wania nowego programu audytu na
następne 3 lata oraz weryfikacji za-
kresu skuteczności wybranych za-
bezpieczeń i przyjęciu zmian w sys-
temie zarządzania. Certyfikat zgod-
ności z normą ISO 27001 potwier-
dza, że System zarządzania bezpie-
czeństwem informacji został w da-
nej organizacji sprawdzony i okazał
się zgodny ze standardem stanowią-
cym zbiór najlepszych praktyk w za-
kresie bezpieczeństwa przetwarza-
nych informacji. Certyfikat trzeciej
strony wydany przez niezależną jed-
nostkę certyfikującą stanowi dowód,
że audytowana organizacja podjęła
niezbędne działania, żeby zabezpie-
czyć informacje przez siebie prze-
twarzane.
Korzyści
z wdrożenia SZBI
Wśród oczywistych korzyści wynika-
jących z wdrożenia Systemu zarzą-
dzania bezpieczeństwem informacji
należy wymienić:
• uzyskanie przez organizację wia-
rygodnego poziomu bezpieczeń-
stwa informacji,
• wzrost bezpieczeństwa działania
organizacji,
• wzrost wiarygodności organiza-
cji w relacjach z kontrahentami
(uzyskanie przewagi nad konku-
rencją),
• ograniczenie ryzyka utraty, znie-
kształcenia, niepowołanego do-
stępu do zasobów informacyj-
nych,
• możliwość zdefiniowania i ocenę
ryzyk biznesowych organizacji
oraz, w miarę możliwości, prze-
ciwdziałanie ich powstaniu,
• podniesienie świadomości pra-
cowników w zakresie bezpie-
czeństwa informacji.
Podsumowanie
Jak pokazuje praktyka, wdrożenie
SZBI nie zagwarantuje 100% bez-
pieczeństwa, ale często pomaga w
stałym podwyższaniu poziomu bez-
pieczeństwa informacji w sposób
efektywny i planowy. SZBI zapew-
nia organizacjom odpowiedni po-
ziom ciągłości działania, pomaga
minimalizować ewentualne straty w
wyniku występowania incydentów
bezpieczeństwa oraz powoduje sto-
sowanie efektywnych działań w sto-
sunku do nakładów ponoszonych na
jego wdrożenie i utrzymanie.
Należy jednak zwrócić uwagę
na fakt, że duża część organizacji
zarządza informacją, która powin-
na być chroniona lub zabezpieczo-
na, ale nie są w tym kierunku po-
dejmowane żadne działania zarząd-
cze. Chodzi tutaj zwłaszcza o orga-
nizacje, które przetwarzają informa-
cje nie tyle stricte biznesowe, ale in-
ne informacje chronione przez pra-
wo (np. urzędy państwowe, jednost-
ki samorządu terytorialnego, są-
dy, szpitale itp.). W obowiązującym
w kraju prawodawstwie funkcjonu-
je kilka ustaw dotyczących bezpo-
średnio lub pośrednio ochrony infor-
macji, m. in.:
• Ustawa z dnia 22 stycznia 1999 r.
o ochronie informacji niejawnych
(Dz. U. z 2005 r. Nr 196 poz.
1631 z późn. zm.).
• Ustawa z dnia 29 sierpnia 1997
r. o ochronie danych osobowych.
(Dz. U. z 2002 r. Nr 101 poz. 926
z późn. zm.).
• Ustawa z dnia 27 lipca 2001 r. o
ochronie baz danych (Dz. U. z
2001 r. Nr 128 poz. 1402 z późn.
zm.).
• Ustawa z dnia 16 kwietnia 1993
r. o zwalczaniu nieuczciwej kon-
kurencji (Dz. U. z 2003 r. Nr 153,
poz. 1503 z późn. zm.).
• Ustawa z dnia 6 września 2001 r.
o dostępie do informacji publicz-
nej (Dz. U. z 2001 r. Nr 112, poz.
1198 z późn. zm).
Ustawy te narzucają organizacjom
tryb postępowania z chronionymi
informacjami zgodnie z przepisami
ustaw, w związku z czym możemy
spodziewać się w najbliższym cza-
sie zwiększonego zainteresowania
ustanowieniem i wdrożeniem Syste-
mu zarządzania bezpieczeństwem
informacji w wielu instytucjach pań-
stwowych i samorządowych. To z
pewnościądobry prognostyk dla firm
zajmujących się wdrażaniem i certy-
fikacją SZBI. l
O autorze
Artur Kostowski – prawnik i socjolog, doktorant Instytutu Organizacji i Zarządzania w
Przemyśle ORGMASZ w Warszawie. Specjalista w zakresie tworzenia dokumenta-
cji i procedur bezpiecznego przetwarzania informacji, zgodnie z normami prawnymi i
międzynarodowymi. Audytor systemów zarządzania jakością i systemu zarządzania
bezpieczeństwem informacji, mediator gospodarczy. Redaktor portalu internetowego
www.ochronainformacji.pl.
Kontakt z autorem, e-mail: a.kostowski@ochronainformacji.pl
68
Test
Konsumencki
hakin9 Nr 9/2007
www.hakin9.org
A
kademia Techniczno-Humanistyczna to obecnie
jedyna publiczna uczelnia wyższa na Podbeski-
dziu. Kształcimy w niej ok. 9 tys. studentów na
kierunkach technicznych, jak np. budowa maszyn, infor-
matyka, automatyka i robotyka, włókiennictwo, inżynie-
ria oraz ochrona środowiska czy biotechnologia oraz na
kierunkach humanistycznych, takich jak filologia polska,
filologie słowiańskie i angielska, socjologia, stosunki
międzynarodowe, a także np. zarządzanie i marketing.
Nowością oferowaną przez ATH jest kierunek pielęgniar-
stwo, częściowo finansowany ze środków europejskich.
Aby podołać tym zadaniom, Uczelnia musi posiadać
odpowiednie zaplecze kadrowe i techniczne. Zatrudnie-
nie we wszystkich jednostkach już dawno przekroczyło
liczbę 0,5 tys. pracowników. Liczba czynnych kompute-
rów na Uczelni to ok. 600 szt., w tym wyposażenie kil-
kunastu pracowni. Akademia zlokalizowana jest zasad-
niczo w kampusie liczącym kilka budynków, ale nie-
które jednostki rozrzucone są po całym Bielsku, co z
punktu widzenia zarządzania infrastrukturą informatycz-
ną nie jest komfortową sytuacją. Za te specyficzne zada-
nia odpowiada w sumie 9 osób, zatrudnionych w Akade-
mickim Centrum Informatyki. Dodatkowo organizujemy
w ACI, m. in. kursy w ramach Akademii CISCO, a także
przeprowadzamy egzaminy certyfikacyjne w naszym
centrum Pearson VUE.
Z produktami firmy Kaspersky Lab nasza Uczelnia
związana jest już od kilku lat. Z końcem lat dziewięćdzie-
siątych, kiedy zaczęła się poważnie rozrastać uczelnia-
na sieć komputerowa, a dostęp do Internetu dla szero-
kiej rzeszy pracowników stał się faktem, okazało się, że
otworzyliśmy się również w ten sposób na nowe rodza-
je zagrożeń – wszelkie szkodliwe programy, krążące po
ogólnoświatowej sieci. Nasze komputery nie były w zasa-
dzie w żaden sposób zabezpieczone przed tym zjawi-
skiem. Tylko na nielicznych egzemplarzach można było
spotkać zainstalowany jakiś program antywirusowy. Ich
skuteczność była zazwyczaj niska, spowodowana przede
wszystkim brakiem zaktualizowanych baz wirusów.
W tej sytuacji stało się jasne, że Uczelnia musi
podjąć stosowne kroki w celu zapewnienia stałej i sze-
rokiej ochrony antywirusowej zasobów informatycz-
nych. Potrzebowaliśmy produktu skutecznego, mającego
dostęp do stale aktualizowanych baz wirusów, a przy tym
niezbyt obciążającego nasz budżet.
Nasz wybór padł na ofertę firmy Kaspersky Lab i
wynikał przede wszystkim z dwóch powodów: wysokie
pozycje w testach rankingowych oraz względnie niska
cena. Efektem był zakup w 2001 roku ponad 120 dwulet-
nich licencji, a po roku kupno kolejnych 60. Poza wysoką
skutecznością tego oprogramowania, miało ono dodatko-
wą, pozytywną cechę – umożliwiało aktualizacje baz na
stacjach roboczych z lokalnego serwera ftp, co znacznie
ograniczało obciążenie skromnego wówczas łącza inter-
netowego.
Przez kolejne lata, nie widząc większych powodów
do zmiany dostawcy oprogramowania antywirusowego,
w miarę rozwoju Uczelni korzystaliśmy z niego w coraz
większym stopniu. Z roku na rok liczba zamawianych
licencji rosła, aż do prawie 600 w 2005 roku. Trzeba przy
tym zauważyć, że polityka cenowa firmy Kaspersky Lab,
promująca dużych klientów zwłaszcza z sektora edukacji
spowodowała, że zakup oprogramowania tej firmy nigdy
nie nadwyrężał nadmiernie budżetu Uczelni.
W miarę upływu lat natrafialiśmy również na różne
problemy związane z używaniem oprogramowania firmy
Kaspersky Lab. Niektóre z nich wynikały z wad samej
aplikacji, np. zbytnie obciążanie systemu, powodujące
w niektórych sytuacjach wręcz jego zawieszenie. Jednak
kłopoty tego typu były dość szybko eliminowane przez
producenta w kolejnych wersjach, a te były dostępne bez
żadnych dodatkowych opłat. Inne problemy wywodziły
się przede wszystkim z dwóch źródeł:
Korzystanie z Sieci stało się codziennością, a rozwój Internetu postępuje tak szybko, że niemal
wszystko możemy w nim znaleźć czy załatwić, nie możemy zapomnieć o zagrożeniach, jakie się z
tym wiążą. W celu zapobiegania tym zagrożeniom każdy użytkownik Internetu powinien posiadać
program antywirusowy. Na rynku tego typu oprogramowania ma miejsce ogromna konkurencja i
wyścig o posiadanie w swojej gamie produktów aplikacji zapewniającej użytkownikowi najwyższy
poziom bezpieczeństwa. W celu porównania oprogramowania z rodziny antywirusów przeprowa-
dziliśmy testy konsumenckie aplikacji producentów Kaspersky i MKS.
Kaspersky vs. Mks_vir
Marcin Pawlik-Dobrowolski
Akademickie
Centrum Informatyki
Akademia
Techniczno-Humanistyczna
w Bielsku-Białej
69
hakin9 Nr 9/2007
www.hakin9.org
Test Konsumencki
• czynnika ludzkiego – po zainstalowaniu na danej stacji
roboczej program nie był odpowiednio konfigurowany
przez użytkownika, co powodowało np. brak systema-
tycznej aktualizacji baz wirusów, zbędne alarmy, a
także brak automatyzacji pewnych działań w momen-
cie wykrycia zagrożenia,
• efektu skali – kupowane licencje wymagały corocz-
nej wymiany, na wszystkich komputerach objętych
ochroną, kluczy licencyjnych, przechowywanych w
pliku. Przy kilkuset komputerach i ograniczonej liczbie
osób w to zaangażowanych, było to nie lada wyzwa-
niem i powodowało, że niektóre stacje przez jakiś czas
pozbawione były dostępu do aktualizacji (analogicznie
wyglądała sprawa instalacji nowych wersji aplikacji).
W zeszłym roku doszliśmy do wniosku, że przyszedł naj-
wyższy czas na rozwiązanie tych nawarstwiających się
problemów z używaniem aplikacji w warunkach naszej
Uczelni. Wiedzieliśmy, że potrzebujemy narzędzia, które
umożliwi nam zarządzanie ochroną antywirusową na kom-
puterach w sposób scentralizowany. Wiedzieliśmy rów-
nież, że firma Kaspersky Lab dołącza – do pakietu Busi-
ness Optimal – odpowiednie narzędzie, ale postanowiliśmy
porównać je z rozwiązaniami innych producentów. Okaza-
ło się jednak, że i tym razem pozostaniemy wierni wybra-
nej przez nas wcześniej firmie Kaspersky Lab, ponieważ
jej rozwiązanie okazało się najpełniejsze, dostosowane do
naszych uwarunkowań i relatywnie tańsze.
W połowie 2005 r. Radio Lublin S.A. rozpoczęło przy-
gotowania do wdrożenia zintegrowanego systemu ochro-
ny antywirusowej. Dotychczas eksploatowany system był
nieskuteczny i trudny w pielęgnacji. Kuriozalny był na
przykład fakt, że moduł ochrony w czasie rzeczywistym
wykrywał wirusa, lecz nie potrafił go usunąć, prosząc
użytkownika o ręczne uruchomianie skanera. Poszuku-
jąc nowego rozwiązania, przyjęliśmy następujące kryte-
ria oceny dostępnych na rynku rozwiązań:
• skuteczność w wykrywaniu i usuwaniu złośliwego
oprogramowania,
• dostępność jednolitego rozwiązania dla różnych plat-
form systemowych (serwery poczty, serwery plików,
stacje robocze – zarówno Windows, jak i Linux),
Mowa tu o Kaspersky Administration Kit, który to
system wdrożyliśmy na Uczelni z końcem zeszłego roku.
System ten służy do scentralizowanego zarządzania
aplikacjami antywirusowymi Kaspersky Lab, zainstalo-
wanymi w sieci. Dzięki temu narzędziu z jednego miej-
sca możemy instalować aplikacje antywirusowe na pra-
cujących w sieci komputerach, zarządzać tymi aplikacja-
mi (m. in. za pomocą profili konfiguracyjnych), zarządzać
kluczami licencyjnymi oraz centralnie zarządzać aktu-
alizacjami baz wirusów i modułów aplikacji. Dodatkowo
mamy dostęp do obszernych raportów, dotyczących róż-
nych aspektów ochrony antywirusowej na Uczelni oraz
rozbudowany system powiadomień administracyjnych.
Na koniec chciałbym jeszcze coś powiedzieć na
temat samej współpracy z przedstawicielami firmy
Kaspersky Lab z Częstochowy. Do tej pory spotykaliśmy
się zawsze z życzliwym podejściem do naszych proble-
mów. Gdy trzeba było, zorganizowano bezpłatne szko-
lenie z obsługi systemu. Proponowano również, w razie
potrzeby, bezpłatną pomoc we wdrożeniu scentralizowa-
nego systemu ochrony antywirusowej na naszej Uczel-
ni. Na co dzień zaś możemy liczyć na fachową pomoc z
tej strony. Patrząc na to z perspektywy czasu uważam,
że tak pierwszy wybór firmy Kaspersky Lab jako dostar-
czyciela rozwiązań ochrony antywirusowej, jak i wszyst-
kie kolejne decyzje o kontynuowaniu współpracy, były
dobrze trafione. Myślę, że spokojnie możemy przyznać
firmie piątkę w pięciopunktowej skali ocen.
• wykrywanie (oprócz wirusów) oprogramowania typu
malware, spyware oraz addware,
• skanowanie protokołów HTTP, POP3 i SMTP na sta-
cjach klienckich poprzez wtyczki do popularnych prze-
glądarek WWW oraz programów pocztowych,
• możliwość implementacji centralnego zarządzania
rozwiązaniem oraz last, but not least:
• interfejs programu w języku polskim.
Wybór rozwiązania był poprzedzony długimi analizami roz-
wiązań dostępnych na rynku. Przetestowaliśmy samodziel-
nie około 20 różnych programów antywirusowych, a także
przeanalizowaliśmy informacje w prasie oraz witrynach
internetowych zajmujących się problemami bezpieczeń-
stwa. Zasięgaliśmy również opinii użytkowników i admini-
stratorów sieci, którzy już wdrożyli podobne rozwiązania.
Rezultaty były bardzo ciekawe. Po pierwsze okazało się,
że w ciągu poprzednich dwóch lat znacząco spadła cena
oprogramowania antywirusowego. Firmy mogą zapewnić
sobie skuteczną ochronę swoich zasobów za około 30 zło-
tych rocznie w przeliczeniu na jedną stację roboczą. Kwota
ta doprawdy nie przyprawia o zawrót głowy.
Po drugie – potwierdziła się obserwacja, że jeżeli
chce się mieć dobrze i tanio, to należy kupić oba. Roz-
wiązania tanie zazwyczaj okazywały się znacząco mniej
Jerzy Chawraj
Radio Lublin SA
70
Test Konsumencki
hakin9 Nr 9/2007
www.hakin9.org
skuteczne, lub nie posiadały pełnej funkcjonalności, którą
zakładaliśmy. Oczywiście były również przypadki, gdy
programy uznanych producentów okazywały się jedno-
cześnie drogie i niezbyt skuteczne.
W efekcie pod uwagę brane były dwa rozwiązania:
F-Secure i Kaspersky. Wyróżniają się one spośród kon-
kurencji następującymi cechami:
• dostępność rozwiązań na rozmaite platformy sprzęto-
we i programowe,
• duża częstotliwość aktualizacji (do kilkunastu razy na
dobę),
• możliwość centralnego zarządzania wszystkimi
składnikami (ochrona serwerów i stacji roboczych),
• zdalna instalacja, aktualizacja i raportowanie stanu
ochrony, a także zdalne wymuszanie skanowania oraz
ustawień.
Oba produkty posiadają również interfejs użytkownika w
języku polskim.
Ostatecznie wybór padł na produkty firmy Kaspersky.
Przesądził o tym fakt, że w zaprzyjaźnionej rozgłośni roz-
wiązania te wykorzystywane są od wielu lat i okazują się
one bardzo skuteczne.
System ochrony antywirusowej był wdrażany stopnio-
wo, wraz z wycofywaniem dotychczas eksploatowanych
rozwiązań.
W pierwszym etapie został przygotowany central-
ny serwer administracyjny, umożliwiający zarządzanie
całym systemem oraz przechowujący lokalnie repozy-
torium szczepionek i poprawek do oprogramowania.
Serwer pracuje pod kontrolą systemu Windows 2003
Serwer, z zainstalowanym pakietem Kaspersky Admi-
nistration Kit oraz Kaspersky Antivirus for Windows
Server.
Godny podkreślenia jest fakt, że Administration Kit
jest dostępny za darmo, firma nie żąda dodatkowych
opłat za jego użytkowanie. Na marginesie, polityka
cenowa firmy Kaspersky jest bardzo przejrzysta, całko-
wity koszt rozwiązania wynika wyłącznie z ilości chronio-
nych węzłów (stacje robocze, skrzynki pocztowe itp.).
Administracja systemem ochrony antywirusowej Kasper-
sky’ego odbywa się poprzez przystawkę programu Micro-
soft Management Console, nota bene, również dostępną w
języku polskim. Instalacja jest intuicyjną, w dużym stopniu
zautomatyzowana oraz dobrze opisana w dokumentach,
dostarczanych z wersją instalacyjna oprogramowania. Roz-
wiązanie sprawia solidne wrażenie, to znaczy jest komplet-
ne, funkcjonalne i przejrzyste. Producent zapewnia mecha-
nizmy kopii zapasowych ustawień oraz automatycznej aktu-
alizacji systemu. Zarówno instalacja, jak i późniejsze aktu-
alizacje były szczegółowo opisane w podręcznikach użyt-
kownika i nie przysporzyły żadnego problemu.
Oprócz dystrybucji szczepionek i poprawek, system
administracyjny pozwala planować instalację oprogramo-
wania antywirusowego na stacjach roboczych oraz spo-
rządza raporty o stanie ochrony, wykorzystaniu posiada-
nych licencji itp. Dane i ustawienia zbierane są w bazie
danych Microsoft SQL Server, lub w darmowym MSDE.
Komunikacja pomiędzy stacjami roboczymi a serwe-
rem administracyjnym odbywa się poprzez tzw. agen-
tów sieciowych, pracujących na poszczególnych kompu-
terach. Agent sieciowy zbiera informacje o stanie ochro-
ny danego węzła i przekazuje je do serwera administra-
cyjnego oraz pobiera informacje o dostępnych aktualiza-
cjach i zalecanych przez administratora ustawieniach.
Komunikacja ta może być, w przypadku sieci rozległych,
szyfrowana z wykorzystaniem protokołu SSL.
Ciekawą możliwością jest stworzenie lokalnego repo-
zytorium szczepionek antywirusowych, co nie powodu-
je wysycania łącza internetowego w momencie okreso-
wej aktualizacji stacji roboczych. Przy około 100 stacjach
roboczych i serwerach, jak w sieci Radia Lublin, efekt
może być bardzo odczuwalny. Oczywiście, w przypad-
ku użytkowników mobilnych, jeżeli serwer administracyj-
ny jest nieosiągalny, produkty są aktualizowane bezpo-
średnio z witryn producenta.
Rozwiązanie można zintegrować z usługą Active
Directory, wówczas instalacja odpowiednich komponen-
tów przebiega zupełnie automatycznie. W przeciwnym
wypadku, wymagana jest ręczna instalacja agenta siecio-
wego na każdym węźle.
Komentarz
Jesteśmy dumni z tego, że nasze oprogramowanie
chroni komputery Akademii Techniczno-Humanistycz-
nej w Bielsku-Białej. W firmie Kaspersky Lab przy-
kładamy dużą wagę do wspierania sektora edukacyj-
nego. Mam tu na myśli nie tylko wysokie rabaty na
zakup oprogramowania, ale także dodatkowe bezpłat-
ne usługi, takie jak szkolenia dla personelu IT oraz pro-
fesjonalna pomoc we wdrażaniu naszych rozwiązań i
rozwiązywaniu nietypowych problemów wynikających
z istniejącej infrastruktury informatycznej.
Serdecznie dziękuję Panu Marcinowi Pawlikowi-Dobro-
wolskiemu za przyznanie naszej firmie tak wysokiej oceny.
Jest to dla nas dodatkowa motywacja do kontynuowania
świadczenia usług dla sektora edukacyjnego na możliwie
najwyższym poziomie. Jednocześnie jestem przekonany,
że dzięki oprogramowaniu Kaspersky Lab praca admini-
stratorów Uczelni będzie znacznie wygodniejsza, a liczba
potencjalnych incydentów związanych z zagrożeniami IT
spadnie do minimum.
Piotr Kupczyk
71
hakin9 Nr 9/2007
www.hakin9.org
Test Konsumencki
Marek Jusiński
Serwisant sprzętu
komputerowego
PKP Informatyka spółka z o.o.
Wybrałem produkty mks_vir, ponieważ postawiłem
na doświadczenie producenta, no i z pewnością na sen-
tyment do znanej marki. To przecież jedna z pierwszych
Kupujemy do firmy program mks_vir od lat, zresz-
tą pamiętam, jak był jeszcze na dyskietkach. Jesteśmy
raczej małą firmą i staramy się minimalizować koszty,
a program antywirusowy to teraz wymóg – dlatego zakup
mks_vir ze zniżką, w ramach kontynuacji jest dla nas
bardzo korzystny. W porównaniu z ofertą innych firm pro-
gram jest jednym z najtańszych na rynku.
Przyzwyczailiśmy się też, że jest łatwy w obsłudze
i właściwie nic przy nim nie trzeba robić, ponieważ usta-
wienia programu pozwalają, by pobierał on bazy wirusów
automatycznie.
Mój wybór był jednoznaczny, skusiło mnie przede
wszystkim polskie wsparcie techniczne, polskie menu,
niska cena oraz wysoka wykrywalność zagrożeń progra-
mu mks_vir. Ikona w żółto-czarne pasy na pulpicie jest mi
znana od lat. Nigdy nie słyszałem, żeby instalacja pro-
gramu powodowała jakieś problemy czy uszkodzenia np.
hardware. Polecam go wszystkim swoim klientom. Pierw-
szym programem, o którym pomyślałem, był produkt
firmy Symantec. Jednak wydaje mi się, że polska firma
lepiej rozumie specyfikę naszego rynku antywirusowego
od zagranicznych kolosów. Stąd mój wybór.
Marcin Krakowiak
Student zarządzania
i marketingu
Mks od wielu lat funkcjonuje na polskim rynku, to
bardzo znana marka. Postawiłem na doświadczenie. Na
ich stronie jest skaner on-line, który wcześniej ratował mnie
Krzysztof Rogalski
Teleinformatyk
Bestpol
Bartłomiej Bielecki
Tłumacz j. francuskiego
z opresji już nie raz. Pracuję w domu i utrata wszystkich
informacji byłaby dla mnie katastrofą. W mojej pracy liczy
się też pewność, że pliki, które otrzymuję, i które są często
bardzo duże, są bezpieczne. Teraz korzystam z programu
mks_vir 2k7 i, podobnie jak ze skanerem, nie mam powo-
dów do narzekań. Na początku miałem kłopot z instala-
cją programu, jednak jeden telefon do wsparcia technicz-
nego rozwiązał problem. Tak swoją drogą podziwiam cier-
pliwość, z jaką krok po kroku zostałem przeprowadzo-
ny przez całą instalację. Przy wyborze oprogramowania
brałem także pod uwagę Pandę i Symanteca, jednak MKS
to polska firma, a jest równie dobra i sprawdzona. Nie ukry-
wam, że i cena odegrała tu bardzo dużą rolę.
firm, która zajęła się w Polsce oprogramowaniem. Teraz
tak dużo mówi się o zachodnich koncernach, czy zagra-
niczne to znaczy lepsze? Niekoniecznie tak jest, dlatego
ja wolę promować nasze, rodzime. Po drugie sam pro-
gram jest bardzo intuicyjny i pozwala nawet niedoświad-
czonym użytkownikom na poprawne zainstalowanie i
posługiwanie się aplikacją. Poza tym ma też bardzo przy-
datną funkcję ochrony przed spamem, którego jest prze-
cież coraz więcej. Można by się przyczepić do grafiki,
czy wyglądu programu, ale to rzecz gustu – a, jak wiado-
mo, o gustach się nie dyskutuje. Zastanawiałem się nad
Kasperskim, ale, tak jak mówiłem wcześniej, bliższa jest
mi polska firma, a jeśli program nie odbiega skuteczno-
ścią od najlepszych, to wybór jest prosty.
72
Test Konsumencki
hakin9 Nr 9/2007
www.hakin9.org
Dominik Urbanowicz
Doradztwo finansowe
Dlaczego mks_vir? Intuicyjny, zupełnie nowy inter-
fejs, wysoka wykrywalność, tradycja, polska jakość, pol-
skie wsparcie techniczne, nowa heurystyka, duża baza
wirusów, niska cena i codzienna aktualizacja sprawiają,
że wybór antywirusa nie był dla mnie trudny. Od samego
początku używam mks_vira i jest on na tyle optymalnym
dla mnie rozwiązaniem, że nie poszukiwałem innych kon-
kurencyjnych produktów.
Komentarz
Jak widać po opiniach użytkowników naszych skanerów
bezpieczeństwa, produkty firmy MKS trafiają do klien-
tów poszukujących wysokiej jakości za niską cenę. Takie
właśnie warunki spełnia nasz pakiet bezpieczeństwa
mks_vir. Wiele osób zwróciło uwagę na nasze długolet-
nie doświadczenie. To prawda, od 20 lat program mks_vir
chroni komputery naszych klientów. Mnogość nagród i
wyróżnień dobitnie świadczy o pozycji na rynku, jaką zaj-
mujemy. MKS jest firmą w całości polską. Przy tworzeniu
naszego programu pracują specjaliści najwyższej klasy i
- co równie ważne – są to polscy specjaliści. Dzięki temu
jesteśmy w stanie bardzo szybko reagować na zagroże-
nia specyficzne dla naszej szerokości geograficznej. Na
to również zwracają uwagę nasi klienci. W wersji pro-
gramu mks_vir 2k7, naszego sztandarowego produktu,
zastosowaliśmy nowy moduł aktualizacji, dzięki czemu
skróciliśmy czas, jaki mija pomiędzy wykryciem nowego
wirusa przez nasze laboratorium a przesłaniem gotowej
szczepionki do klienta. W tej chwili kilka razy w ciągu dnia
aktualizujemy naszą bazę wirusów. Podwyższyło to znacz-
nie poziom wykrywalności zagrożeń przez nasz program, a
tym samym zwiększyło bezpieczeństwo samych użytkow-
ników. Aby wyjść naprzeciw oczekiwaniom naszych klien-
tów, program antywirusowy mks_vir 2k7 można zakupić w
4 podstawowych wersjach: z podziałem na klientów indywi-
dualnych (Dom i Dom PLUS) i firmy (Firma i Firma PLUS).
Pozwala to wybrać dla siebie optymalną wersję. Oferujemy
także tańsze licencje w postaci elektronicznej, gdzie klient
sam może pobrać program ze strony (www.mks.com.pl), a
od nas otrzymuje drogą mailową klucz licencyjny. Oferuje-
my także zniżki dla klientów, którzy kupują program powtór-
nie, w ramach kontynuacji.
mks_vir
Podsumowanie
Testy konsumenckie, które dla Państwa przeprowadzi-
liśmy, dotyczą antywirusów. Zestawiliśmy ze sobą pro-
dukty dwóch firm Kaspersky Lab i Mks_vir.
Kaspersky Lab Polska jest częścią międzynarodo-
wej korporacji Kaspersky Lab z siedzibą w Moskwie.
Firma Kaspersky Lab Polska jest polskim podmiotem
gospodarczym zajmującym się produkcją i dystrybucją
produktów Kaspersky Lab na terenie Polski.
Kaspersky Lab jest firmą produkującą szeroką
gamę oprogramowania komputerowego. Działalność
firmy skoncentrowana jest na tworzeniu i dystrybucji
technologii, i programów antywirusowych oraz służą-
cych do ochrony danych.
Firma MKS Sp. z o.o. powstała w 1996 roku.
Jest całkowicie polską firmą zajmującą się produk-
cją i sprzedażą programu antywirusowego mks_vir.
W ramach swojej działalności firma świadczy także
pomoc techniczną dla użytkowników programu. Działa-
nia mks_vir ukierunkowane są na dostarczenie swoim
klientom innowacyjnych i łatwych w użyciu rozwiązań.
Mks_vir jest polskim producentem z dużym doświad-
czeniem na naszym rynku. Interfejs skromny, nieskom-
plikowany, wręcz intuicyjny i prosty w obsłudze.
Chcieliśmy jako firma, także wydać opinię na temat jed-
nego z produktów. Na komputerach Wydawnictwa Softwa-
re Sp. z o.o. są już od dłuższego czasu zainstalowane anty-
wirusy firmy Kaspersky. Zdaniem naszego administratora
Macieja Sokołowskiego Kaspersky swoją wysoką pozycję
w testach antywirusów zawdzięcza dużej wykrywalności i
częstej aktualizacji bazy wirusów przy stosunkowo niskiej
cenie. Początkowe wersje dosyć mocno obciążały kompu-
ter, jednak szybko zostały ulepszone. Interfejs jest bardzo
funkcjonalny, bez zbędnych, na siłę dodanych, funkcji. Przy
dużej ilości stacji roboczych czasem pojawiają się proble-
my z konfiguracją i przeprowadzaniem aktualizacji opro-
gramowania, jednak Kaspersky oferuje możliwość aktuali-
zacji wszystkich stacji roboczych z lokalnego serwera ftp.
Producent posiada w swojej ofercie pakiet administracyjny,
co sprawia, że administracja Kaspersky Anti-virus staje się
bezproblemowa.
Robert Gontarski
Redakcja hakin9
Ocena
Kaspersky
«««««
Mks_vir
««««
«
JAK ZAOSZCZĘDZIĆ MILION
NA UTRZYMANIU ŁĄCZ
Wiele firm, w celu zapewnienia sobie komunika-
cji wewnętrznej o wysokim poziomie bezpieczeń-
stwa, do niedawna było skazanych na jej realizację
poprzez drogie sieci prywatne przy pomocy dzier-
żawionych łączy WAN. Wysokie koszty użytkowa-
nia takich łączy wiążą się z naliczaniem opłat na
podstawie odległości pomiędzy lokalizacjami. Po-
pularnym przykładem takich usług jest w Polsce
Polpak-T. Alternatywnym sposobem komunikacji
pomiędzy placówkami firmy jest realizowanie po-
łączeń za pomocą prywatnych sieci wirtualnych
(VPN) opartych na bazie sieci publicznych, np. In-
ternetu. Efektywnym kosztowo rozwiązaniem jest
w tym przypadku zintegrowanie łączy VPN z peł-
ną ochroną firewallową firmy. Takie możliwości za-
pewnia firewall korporacyjny phion netfence Secu-
rity Gateway z wbudowanym serwerem VPN oraz
podstawowymi serwisami sieciowymi (Mail Gate-
way, serwer http Proxy, DNS Server, DHCP Server,
itp.). Dzięki phion netfence możliwe jest korzysta-
nie z technologii VPN, w której komunikacja w sie-
ci publicznej odbywa się poprzez zestawiane tune-
le, którymi dane przesyłane są z jednego oddziału
firmy do drugiego w formie zaszyfrowanej. Co waż-
ne opłata miesięczna jest stała i niezależna od od-
ległości pomiędzy lokalizacjami. Połączenia mogą
być chronione systemem firewallowym phion net-
fence, który dodatkowo oferuje system zapobiega-
nia włamaniom (tzw. IPS), filtr antyspamowy oraz
opcjonalnie skaner antywirusowy i dynamiczny
filtr stron internetowych.
Korzyści ekonomiczne z wdrożonej poprzez
phion netfence technologii VPN prezentuje Tabela 1.
Przedstawia ona przykładowy koszt utrzymania
sieci modelowej firmy X z centralą w Katowicach
(do 250 użytkowników) i pięcioma oddziałami:
w Krakowie, Poznaniu, Warszawie, Gdańsku i Bia-
łymstoku (każdy do 25 użytkowników). Kalkulacja
obejmuje łącza dzierżawione (o przepustowości 64
kbps i 2 Mbps), łącza Polpak-T (o przepustowości
1 i 2 Mbps) oraz łącza dostępowe do sieci Internet
(frame relay i DSL o przepustowości 1 i 2 Mbps, w
przypadku DSL przepustowość od klienta wynosi
jedynie 256 kbps). Do kosztów łączy z siecią Inter-
net doliczono cenę oprogramowania firewalla kor-
poracyjnego phion netfence, niezbędnego do reali-
zacji komunikacji w technologii VPN.
Dla łączy o przepustowości 1 Mbps (64 kbps
dla łącza dzierżawionego) różnice w kosztach
użytkowania łączy tradycyjnych w porównaniu z
technologią VPN w okresie 3-letnim wynoszą od
ponad 70 tysięcy zł do ponad 270 tysięcy, a w
przypadku łączy o przepustowości 2 Mbps sięgają
nawet milionów. Jeszcze większe korzyści dotyczą
okresu 5-letniego, w którym różnice w kosztach
mogą wynieść do 4 milionów złotych!
W ramach wymienionych kwot firma, oprócz
samej ochrony firewalla i funkcjonalności serwe-
ra VPN, zyskuje szereg innych usług zawartych
w ramach produktu: bramka pocztowa z filtrem
antyspamowym, HTTP Proxy, DNS, DHCP, OSFP i
RIPv.2, bramki FTP i SSH, router SAP i obsługa pro-
tokołów VoIP (H.323, SIP, SCCP). Dodatkowo licen-
cja netfence dla 250 adresów IP zawiera 15 darmo-
wych klientów VPN Secure Connector, które posia-
dają zarządzane przez administratora osobiste za-
pory ogniowe (personal firewall) dla klientów mo-
bilnych.
Reklama
Łącza VPN zintegrowane z ochroną firewallową firmy – phion netfence
Security Gateway
Na temat phion netfence
phion netfence Security Gateway jest syste-
mem firewallowym z serwerem VPN, zinte-
growanym z podstawowymi serwisami sie-
ciowymi (Mail Gateway, serwer HTTP Pro-
xy, DNS Server, DHCP Server itp). Istnie-
je również możliwość podłączenia dodat-
kowych usług takich jak: skaner antywiruso-
wy, filtr antyspamowy, filtr stron URL – ad-
ministrowanych z tej samej konsoli graficz-
nej. Ponadto posiada możliwość zarządza-
nia ruchem przechodzącym przez system
– wykorzystując funkcje Quality of Service i
Traffic Intelligence. System netfence spełnia
wymagania normy ISO 15408/Common Cri-
teria, dla której uzyskał certyfikację na naj-
wyższym dostępnym poziomie EAL 4+.
Tabela 1. Koszty utrzymania tradycyjnych i wirtualnych sieci prywatnych dla przykładowej firmy
rozwiązanie
przepustowość koszty po roku koszty po 5 latach
łącze dzierżawione
(bez firewall'a)
64 kbps
164 375,00 zł
797 015,00 zł
2 Mbps
852 750,00 zł
4 195 950,00 zł
transmisja danych Frame
Relay tzw. Polpak-T
(bez firewall'a)
1 Mbps
136 842,00 zł
645 834,00 zł
2 Mbps
204 282,00 zł
966 234,00 zł
dostęp do Internetu Fra-
me Relay
z phion netfence
1 Mbit
154 508,00 zł
480 578,00 zł
2 Mbit
178 508,00 zł
590 978,00 zł
dostęp do Internetu DSL
z phion netfence
1Mbps/256 kbps 99 770,00 zł
206 672,00 zł
2Mbps/256
kbps
104 810,00 zł
231 872,00 zł
Wyliczenia zostały oparte na cennikach Telekomunikacji Polskiej S.A. z dnia 15 marca 2007r., zamieszczonych na stro-
nie http://www.tp.pl/prt/pl/klienci_biz/internet i w oparciu o kurs euro wynoszący 3,90 zł. Kalkulacja nie obejmuje kosz-
tów sprzętu niezbędnego do realizacji takiej komunikacji, a podane wartości są kwotami netto.
Dystrybucja w Polsce:
Dagma sp. z o.o.
Tel. 32 259 11 00
www.dagma.pl
Kontakt:
www.hakin9.org
hakin9 Nr 9/2007
74
Wywiad
h9:
Czym zajmuje się organizacja BSA i jakie
ma cele?
BW:
BSA zrzesza czołowych producen-
tów oprogramowania i działa w ponad 80 kra-
jach świata. Jest organizacją non–profit. Na-
sza aktywność obejmuje zasadniczo trzy sfe-
ry działania: ochrona praw przysługujących na-
szym członkom, edukacja użytkowników w za-
kresie bezpieczeństwa korzystania z oprogra-
mowania i z Internetu oraz znaczenia wartości
własności intelektualnej, a także konsultacje
społeczne w ramach procesów legislacyjnych
związanych głównie z prawem autorskim.
h9:
Mógłby Pan przedstawić główne cele
organizacji w obecnym 2007 roku?
BW:
Cele pozostają niezmienne: wszelkie
działania zmierzające do zmniejszenia ska-
li piractwa. Przypomnę, że obecnie – według
badań poziomu piractwa komputerowego na
świecie przeprowadzanych corocznie przez
IDC – skala piractwa komputerowego w na-
szym kraju szacowana jest na poziomie 57%.
To bardzo dużo w porównaniu ze średnią świa-
tową (35%) czy w Unii Europejskiej (36%), ale
cieszy fakt, że trzeci rok z rzędu w Polsce od-
notowaliśmy 1–procentowy spadek skali pirac-
twa. To pozytywna tendencja, którą mamy na-
dzieję nie tylko utrzymać, ale i rozwijać, i która
świadczy o pewnym stałym postępie. Z drugiej
strony, mamy świadomość jak dużo czeka nas
pracy, by zbliżyć się do poziomu piractwa no-
towanego u naszych południowych sąsiadów
– Czech (39%) czy Słowacji (45%). W polskich
realiach szczególną wagę mają działania edu-
kacyjne zmierzające do podniesienia poziomu
świadomości społecznej wagi problemu. Nie-
stety w naszym kraju nadal kradzież własności
intelektualnej – nie tylko w postaci oprogramo-
wania, ale także muzyki i filmów – traktowana
jest jak kradzież lżejszego kalibru. Tymczasem,
zgodnie z polskim Kodeksem karnym, uzy-
skanie programu komputerowego bez zgody
uprawnionego, czyli mówiąc potocznie posia-
danie programu bez licencji, jest takim samym
przestępstwem jak kradzież samochodu.
h9:
Jaki status prawny ma organizacja i ja-
kimi środkami wykonawczymi dysponuje?
BW:
Business Software Alliance jest zare-
jestrowane w Stanach Zjednoczonych. W Wa-
szyngtonie mieści się siedziba główna naszej
organizacji. Poza tym istnieją dwa biura konty-
nentalne: w Londynie oddział europejski (obej-
mujący także Bliski Wschód i Afrykę) oraz
w Singapurze azjatycki. Z uwagi na niekomer-
cyjny charakter naszej działalności i dążenie
do minimalizacji kosztów operacyjnych realiza-
Wywiad z Bartłomiejem
Wituckim, rzecznikiem BSA
Bartłomiej Witucki
Bartłomiej Witucki, lat 37, prawnik,
piąty rok pełni funkcję rzecznika
Business Software Alliance
w Polsce.
Wywiad
hakin9 Nr 9/2007
www.hakin9.org
75
cji naszego programu w ponad 80 krajach, działamy na
podstawie pełnomocnictw oraz umów z lokalnymi usłu-
godawcami. Przyjęty przez nas model działania jest opty-
malny pod względem zarówno kosztów, jak i efektywno-
ści działania.
h9:
Na czym polega współpraca BSA z firmami i in-
stytucjami?
BW:
Jeśli chodzi o bezpośrednią współpracę z fir-
mami, to staramy się wspierać rozwój usług audytu le-
galności oprogramowania i zarządzania zasobami infor-
matycznymi. Wsparcie to polega na udostępnianiu ma-
teriałów informacyjnych na ten temat, uczestnictwie w
konferencjach i szkoleniach organizowanych przez te
firmy, a także organizacji seminariów szkoleniowych dla
firm świadczących tego rodzaju usługi. W styczniowej
konferencji wzięło udział ok. 50 firm. Zarówno frekwen-
cja, jak i ocena wartości merytorycznej przez uczestni-
ków nie pozostawia wątpliwości, że impreza ta powin-
na mieć charakter cykliczny. BSA jest także współzało-
życielem i członkiem Koalicji Antypirackiej, w skład któ-
rej, obok BSA, wchodzą także organizacje reprezentu-
jące branżę muzyczną (Związek Producentów Audio Vi-
deo) i filmową (Fundacja Ochrony Twórczości Audiowi-
zualnej). Niektóre przedsięwzięcia Koalicji Antypirac-
kiej wspiera także Stowarzyszenie Autorów ZAiKS. Po-
nadto uczestniczymy w pracach działającego przy Mini-
strze Kultury Międzyresortowego Zespołu ds. Przeciw-
działania Naruszeniom Prawa Autorskiego i Praw Po-
krewnych.
h9:
Czy BSA kontroluje tylko firmy, czy także prywat-
nych użytkowników?
BW:
BSA nie przeprowadza żadnych kontroli legalno-
ści oprogramowania, ani w firmach, ani w mieszkaniach
prywatnych. Kontrole, a dokładniej przeszukania w rozu-
mieniu przepisów Kodeksu postępowania karnego, prze-
prowadza policja. Opowieści o kontrolach BSA są zatem
pewnym niezrozumiałym mitem, niemającym nic wspól-
nego z rzeczywistością.
h9:
Czy walka z piractwem nie przypomina walki z
wiatrakami?
BW:
Nie traktujemy tego zadania w kategoriach
mission impossible, jakkolwiek skuteczne zmniejsza-
nie skali piractwa komputerowego z pewnością nie
jest celem łatwym do osiągnięcia. Wymaga wszech-
stronnych działań, zarówno w zakresie bezpośredniej
ochrony praw, jak i szeroko rozumianej edukacji użyt-
kowników, a także współpracy z administracją rządo-
wą. Działania te wymagają systematyczności i… cierpli-
wości. Ważne jednak, że choć małymi krokami, to kon-
sekwentnie udaje się systematycznie zmniejszać ska-
lę zjawiska. O tym, że możliwy jest duży postęp, świad-
czy przykład Chin, gdzie w ciągu zaledwie 3 lat obni-
żono poziom piractwa o 10%. Osiągnięcie takiego re-
zultatu w Polsce – jak wynika z innych badań przepro-
wadzonych przez IDC – przyniosłoby wiele konkretnych
korzyści ekonomicznych w postaci większych przycho-
dów nie tylko firm z branży IT, ale i podmiotów ich ob-
sługujących, większych wpływów do Skarbu Państwa z
tytułu podatków, wzrostu PKB i – co chyba najważniej-
sze – powstanie ok. 32.000 nowych miejsc pracy. Trud-
no przecenić szczególnie ten ostatni efekt, zważywszy
że bezrobocie nadal pozostaje jednym z głównych pro-
blemów w naszym kraju.
h9:
W jaki sposób chce Pan przekonać wielu ludzi, że
warto wydać od kilkudziesięciu do kilkuset złotych na ory-
ginalne oprogramowanie? Przecież to samo można ścią-
gnąć za darmo z internetu...
BW:
Są oczywiście takie programy, które można le-
galnie ściągnąć z Internetu i zainstalować w kompute-
rze w celu korzystania na warunkach określonych w
ramach np. licencji freeware’owej czy shareware’owej.
Jeśli jednak mówimy o ściągnięciu programu i jego nie-
legalnej instalacji, to argumenty są dwa. Po pierwsze,
narażenie na instalację wraz z nielegalnym oprogra-
mowaniem złośliwych kodów w postaci wirusów, ro-
baków, trojanów czy oprogramowania szpiegującego,
których działanie może prowadzić do uzyskania dostę-
pu do naszego komputera przez osobę z zewnątrz lub
do utraty danych. Jeśli nawet uzyskane nielicencjono-
wane oprogramowanie nie zawiera takich złośliwych
elementów, to pozbawione jest dostępu do aktualiza-
cji. A brak aktualizacji w sposób istotny ułatwia dostęp
do naszych danych intruzowi z zewnątrz. Jeśli nato-
miast uzyskamy dostęp do aktualizacji oprogramowa-
nia wskutek użycia tzw. cracków, to także musimy się
liczyć z ryzykiem związanym z automatyczną instala-
cją złośliwych elementów. Koło się zamyka. Po drugie,
dokonując takiej instalacji, należy mieć świadomość,
że jest to przestępstwo i z tego tytułu grozi nam od-
powiedzialność karna i cywilna. Zagrożenie zatem nie
jest małe i należy się dobrze zastanowić, czy zaosz-
czędzenie kilkuset złotych jest warte podejmowania re-
alnego ryzyka związanego z korzystaniem z nielegal-
nego oprogramowania.
h9:
Bardzo dużo mówi się o legalności oprogramowa-
nia, o tym, że w firmach powinny być wykonywane audy-
ty legalności. Jednak na stronach BSA jest bardzo mało
informacji na ten temat. Dlaczego bezpłatne oprogramo-
wanie i opisy sposobów wykonania kontroli legalności są
tak trudno dostępne. Czy BSA nie powinna promować ta-
kich działań profilaktycznych?
BW:
Czy na pewno była Pani na naszej stronie i
przejrzała udostępnione tam informacje i narzędzia do-
tyczące audytu legalności oprogramowania i zarządza-
nia zasobami IT? Albo nie zrobiła Pani tego dokładnie, al-
bo ma Pani bardzo wysokie wymagania. Na naszej stro-
nie, oprócz podstawowych informacji na ten temat, moż-
na znaleźć poradniki dotyczące licencjonowania opro-
gramowania, zarządzania nim, interaktywny poradnik Po
prostu zapytaj Sama, wzór porozumienia pracodawcy z
pracownikiem, dostęp do darmowych trialowych wersji
polskojęzycznych narzędzi do przeprowadzenia samo-
hakin9 Nr 9/2007
www.hakin9.org
76
dzielnego audytu, a także do wykazu dostawców usług
w tym zakresie. Cały czas pracujemy nad rozszerzeniem
i rozwojem zasobów udostępnianych na naszej stronie,
ale zarzut, że aktualnie jest tego niewiele, uważam za
chybiony. Zapraszam do odwiedzenia naszej witryny pod
adresem: www.bsa.org/polska.
h9:
Jak BSA odnosi się do ostatnich doniesień o
aresztowaniach osób tłumaczących i udostępniających
polskie napisy do filmów?
BW:
Z tego, co wiem, to w tej sprawie nie doszło do
aresztowania, tylko do zatrzymania. Sprawa nie doty-
czy naruszenia praw producentów oprogramowania,
więc nie jestem właściwym adresatem pytania. Jeśli po-
pełniono przestępstwo, to – jako obywatel – cieszę się,
że policja zatrzymała sprawców, bo jest to dowód wła-
ściwej realizacji ustawowych zadań organów ścigania i
podstawowego celu kodyfikacji karnej, czyli nieuchron-
ności kary.
h9:
Czy legalny zakup oryginalnego filmu w obcym ję-
zyku (dodam: niedostępnego u polskich dystrybutorów),
a następnie ściągnięcie do niego polskich napisów jest
przestępstwem?
BW:
Sankcja karna przewidziana jest dla osób bez-
prawnie rozpowszechniających utwór. Dialogi są czę-
ścią utworu audiowizualnego. Można sporządzić ich tłu-
maczenie, ale już rozpowszechnianie tego tłumaczenia
wymaga zgody podmiotu majątkowych praw autorskich
do utworu pierwotnego, czyli producenta utworu audiowi-
zualnego. Ta sprawa dotyczy kwestii wykonywania tzw.
praw zależnych i jest jasno uregulowana w ustawie o pra-
wie autorskim i prawach pokrewnych.
h9:
Czy BSA planuje w najbliższym czasie jakieś
większe kampanie promujące legalne oprogramowanie,
np. w szkołach, na uczelniach?
BW:
Jesteśmy w ramach Koalicji Antypirackiej w trak-
cie kontynuacji projektu edukacyjnego Bądź oryginal-
ny adresowanego do młodzieży. W jego pierwszym eta-
pie wysłaliśmy do przeszło sześciu tysięcy gimnazjów
film pod takim samym tytułem, w którym twórcy i artyści
(między innymi Olaf Lubaszenko, zespół Sistars i Bartosz
Obuchowicz) opowiadają o tym, jak powstaje nagranie
muzyczne, film fabularny czy gra komputerowa. Chcieli-
śmy w ten sposób pokazać, ile czasu i wysiłku jak wie-
lu osób wymaga powstanie tego rodzaju utworów. Z opi-
nii uzyskanych ze szkół wynika, że film się bardzo podo-
bał. Obecnie kontynuujemy ten projekt w formie bezpo-
średnich spotkań z uczniami i nauczycielami, podczas
których mówimy o zagrożeniach związanych z korzysta-
niem z Internetu.
h9:
Czy BSA wpływa na politykę cenową określonych
produktów?
BW:
Polityka cenowa jest indywidualną decyzją każ-
dego z producentów. BSA nie ma wpływu na tę politykę.
h9:
Co dzieje się z pieniędzmi z kar nałożonych na
nieuczciwych użytkowników, firmy etc.?
Czy pieniądze te są inwestowane w zapobieganie i in-
formowanie o możliwości wykroczenia?
BW:
Część pieniędzy uzyskanych z odszkodowań
przeznaczona jest na finansowanie bieżącej działalno-
ści BSA, w tym na działalność edukacyjną, którą moż-
na traktować jako swego rodzaju prewencję ogólną. Zda-
rza się, że zobowiązujemy firmę, która dopuściła się na-
ruszenia praw naszych członków, do zapłaty części usta-
lonej kwoty na wskazany przez nas cel społeczny – naj-
częściej na rzecz domów dziecka.
h9:
Jak wygląda cała procedura, od podejrzenia o po-
siadanie nielegalnego oprogramowania do przeszukania?
BW:
Tryb postępowania wyznaczają przepisy Kodek-
su postępowania karnego. Nasza rola sprowadza się do
złożenia zawiadomienia o podejrzeniu popełnienia prze-
stępstwa lub wniosku o ściganie, jeśli okaże się, że po-
krzywdzonym wskutek przestępstwa jest któryś z na-
szych członków. Postępowanie przygotowawcze prowa-
dzą organy ścigania. Jeśli wskutek przeprowadzonego
postępowania prokurator decyduje się na wniesienie aktu
oskarżenia, to reprezentujący naszych członków prawni-
cy występują w procesie karnym, jako pełnomocnicy pod-
miotu lub podmiotów pokrzywdzonych.
h9:
Czy BSA prowadzi (lub zamierza) kontrole legal-
ności oprogramowania w domach prywatnych (oczywi-
ście we współpracy z policją)?
BW:
Tak, jak powiedziałem, BSA nie przeprowadza
żadnych kontroli legalności oprogramowania: ani w fir-
mach, ani w mieszkaniach prywatnych. Jeśli w ramach
jakiegoś postępowania, na przykład prowadzonego w
sprawie sprzedaży komputerów z nielegalnie preinstalo-
wanym oprogramowaniem, podejrzanym jest osoba pry-
watna, która nabyła sprzęt z nielegalnie zainstalowanym
oprogramowaniem, a skala naruszenia jest znikoma i nie
wiąże się z bezprawnym rozpowszechnianiem oprogra-
mowania, to najczęściej nie składamy wniosku o ściga-
nie – choć podkreślam: nie jest to zasada, bo każdy taki
przypadek podlega indywidualnej ocenie. Nasze działa-
nia kierujemy głównie wobec firm, wychodząc z założe-
nia, że większą szkodliwością obarczone jest korzystanie
z nielegalnego oprogramowania w ramach prowadzenia
działalności gospodarczej.
h9:
Czy BSA dba tylko o interesy swoich członków, czy
też interesuje się legalnością oprogramowania innych firm?
BW:
BSA zajmuje się ochroną praw członków zrze-
szonych w naszej organizacji. Nie mamy legitymacji do
występowania w imieniu innych firm. Z drugiej jednak stro-
ny, często w ramach zainicjowanego przez nas postępo-
wania, dochodzi do ujawnienia nielegalnego oprogramo-
wania producentów nie będących członkami BSA. W ta-
kiej sytuacji można rzeczywiście postawić tezę, że także
inni producenci są beneficjentami naszej działalności.
h9:
Jak wygląda współpraca BSA z policją? Czy ist-
nieje ścisła współpraca? Czy policja jest przygotowana
na skalę zjawiska piractwa? Czy możemy mówić o jakiejś
konkretnej polityce walki z piractwem i kradzieżą własno-
ści intelektualnej w Polsce (policja, rząd, instytucje pań-
stwowe)?. Czy jest to kwestia policjantów–zapaleńców,
doszkalających się na własną rękę?
Wywiad
BW:
Współpraca jest prowadzona w ramach to-
czących się postępowań. Często policja zwraca się do
producentów o opinię, czy dany program jest legalny,
czy jest na przykład podróbką. Czasem jakość takiej
podróbki jest tak wysoka, że wymaga specjalistycz-
nej ekspertyzy. Taka wysoka jakość podróbek świad-
czy o tym, że zainwestowano potężne pieniądze w wy-
posażenie odpowiednio zaawansowanej technologicz-
nie linii produkcyjnej, a to oznacza, że wielce prawdo-
podobne, iż zajmują się tym procederem zorganizo-
wane grupy przestępcze – te same, które zajmują się
nielegalnym handlem bronią, narkotykami czy ludź-
mi. Kupując zatem taką podróbkę – świadomie lub nie
– uczestniczymy w przestępczym łańcuchu i wspiera-
my zorganizowaną działalność przestępczą. Warto o
tym pamiętać.
Co do innych obszarów współpracy z policją, to sta-
ramy się – samodzielnie lub w ramach Koalicji Antypi-
rackiej – wspierać rozwój wiedzy funkcjonariuszy w za-
kresie przestępczości komputerowej i ich umiejętności
w jej zwalczaniu. Cyklicznie organizujemy szkolenia dla
jednostek policji – często także dla sędziów i prokurato-
rów. Szkolenia takie przeprowadzane są z udziałem, za-
równo funkcjonariuszy policji, jak i słuchaczy szkół po-
licyjnych w Szczytnie czy Słupsku. Biorąc pod uwagę
możliwości techniczne, finansowe i kadrowe policji, pra-
cę funkcjonariuszy oceniamy bardzo wysoko. Statysty-
ki policyjne wykazują coroczny stały wzrost wykrywal-
ności przestępstw związanych z naruszeniem praw au-
torskich. Postęp w tej sferze działalności policji jest re-
zultatem działania zespołów ds. przestępczości intelek-
tualnej utworzonych przy każdej komendzie wojewódz-
kiej, jak i wyraźnego wzrostu kompetencji policjantów
pracujących na terenie całego kraju. Od dziewięciu lat
Koalicja Antypiracka przyznaje specjalne symboliczne
nagrody – Złote Blachy – wyróżniającym się jednost-
kom. I tu mamy pewien kłopot. Nagrody są tylko trzy, a
kandydatur – z roku na rok – coraz więcej. Nie mam nic
przeciwko temu, by w następnych latach ten kłopot był
coraz większy. Jest to tym bardziej prawdopodobne, że
– tak jak Pani mówi – nie brakuje, co nas cieszy, poli-
cjantów–zapaleńców, których sukcesy zawodowe wy-
nikają z tego, że ich praca jest jednocześnie ich auten-
tyczną pasją.
Ma Pani także rację mówiąc o potrzebie systema-
tycznej polityki zwalczania przestępczości intelektualnej.
Opracowywaniem założeń strategicznych tego rodzaju
działań i kontrolą ich realizacji zajmuje się Międzyresorto-
wy Zespół ds. Przeciwdziałania Naruszeniom Prawa Au-
torskiego i Praw Pokrewnych, działający pod kierownic-
twem Ministra Kultury. Celem działania zespołu jest plano-
wanie i koordynacja działań podejmowanych przez mini-
sterstwa: Kultury, Spraw Wewnętrznych, Sprawiedliwości i
Finansów. BSA uczestniczy w pracach Zespołu nad opra-
cowaniem corocznej strategii i raportu z jej realizacji. Dzia-
łanie tego zespołu jest przykładem partnerstwa publicz-
no–prywatnego niezbędnego do skutecznego zwalczania
zjawiska kradzieży własności intelektualnej. Zjawiska wy-
soce szkodliwego nie tylko z punktu widzenia producen-
tów i innych podmiotów uprawnionych, ale i państwa oraz
– biorąc pod uwagę fakt, że piractwo nie sprzyja rozwo-
jowi innowacyjności czy bardziej dynamicznemu powsta-
waniu nowych miejsc pracy – także przysłowiowego Ko-
walskiego.
h9:
Dziękujemy za rozmowę.
BW:
Dziękuję.
R
E
K
L
A
M
A
hakin9 Nr 9/2007
www.hakin9.org
78
Felieton
B
yć bezpiecznym, czuć się bezpiecznie, bezpieczeń-
stwo. To ostatnie pojęcie wywołuje najczęściej dwie
pierwsze reakcje, występując w każdej dziedzinie
życia, gdyż to samo życie jest obszarem w największym
stopniu poddanym prawom rządzącym tym zjawiskiem.
Samych definicji bezpieczeństwa również jest bardzo wiele,
choć gdyby przyjrzeć się im wszystkim z bliska – posia-
dają one wspólne cechy, składające się na pewne etapy,
które wzajemnie się uzupełniają. Pierwszym takim etapem
jest analiza ryzyka oraz zagrożeń, która polega na symula-
cji różnych działań mających negatywnie wpłynąć na nasz
cel badań. W wielu przypadkach analiza taka dodatkowo jest
wspomagana przez doświadczenia uzyskane w przeszłości
– zakładając, że występowały one w tych samych lub bardzo
podobnych warunkach. W ten sposób wiele symulacji nie
musi być przeprowadzanych od nowa. Jeśli już z autopsji
wiemy, że ogień potrafi oparzyć, opierając się na własnych
i czyichś doświadczeniach i badaniach, to możemy opra-
cować zbiór procedur, zasad, zakazów i nakazów, których
należy bezwzględnie przestrzegać. Pozwoli to nam – i innym
– w przyszłości uniknąć błędów oraz zachować odpowied-
ni poziom bezpieczeństwa. Poziom ten jest stabilizowany
dzięki monitorowaniu (powodzenie monitoringu jest zależ-
ne od stopnia zaufania do systemu bezpieczeństwa). Etap
ten pozwala na obserwację skutków przestrzegania polity-
ki bezpieczeństwa, wyłapywaniu pojawiających się nowych
form naruszeń oraz – co najważniejsze – ich wykluczaniu,
a w przyszłości – przeciwdziałaniu. I tutaj koło się zamyka.
Na początku osiągamy założony poziom bezpieczeństwa,
obserwujemy go – jeśli nie zachodzą żadne nowe okolicz-
ności, to jest on utrzymywany, w innym przypadku wprowa-
dzane są modyfikacje tworzące nowy poziom, który należy
ponownie monitorować i w miarę potrzeb rozwijać.
Niebezpieczeństwo w procesie bezpieczeństwa poja-
wia się w momencie, w którym w wyniku przeprowadzenia
audytu bezpieczeństwa okazuje się, że nasze bezpieczeń-
stwo w którymś momencie stwarza niebezpieczeństwo.
Sytuacja jest dla nas korzystna, gdy niezależnego przeglą-
du prawidłowości przyjętych przez nasze procedury bezpie-
czeństwa dokonuje się za naszą wiedzą i na nasze zlecenie.
Wówczas nasz obszar bezpieczeństwa nie jest narażony na
realne zagrożenia. Wszystkie podatności wykryte poprzez
testy penetracyjne są dokładnie zbadane i raportowane przy
Być bezpiecznym
– wariacje na temat
użyciu kryteriów i sposobów tworzenia dokumentów zwa-
nych raportami bezpieczeństwa. Po otrzymaniu takiego
raportu możemy bardzo szybko zareagować na niedocią-
gnięcia w naszym zarządzaniu ryzykiem. Sprawa się nieco
komplikuje, jeśli testy penetracyjne wykonywane są przez
niezależny podmiot, który nie posiada zdefiniowanych inten-
cji. Wtedy nasza autentyczność, integralność danych i syste-
mu jest narażona na kompromitację (poziom kompromitacji
zależy od tego, w jaki sposób zostanie wykorzystana wrażli-
wa informacja uzyskana przez niepowołaną osobę.
Prawidłowością w bezpieczeństwie jest to, że im bardziej
dany obiekt uchodzi za bezpieczny, tym bardziej narażony
jest na atak sprawdzający słuszność stwierdzenia odnoszą-
cego się do jego poziomu zabezpieczenia. Można tu wysnuć
ciekawą analogię związaną z kwestią zaawansowania tech-
nologicznego zabezpieczeń – paradoksem jest fakt, że im
bardziej dany mechanizm jest skomplikowany, na tym więcej
sposobów można go obejść lub unieszkodliwić. Proces bez-
pieczeństwa podlega także zjawisku, które można porów-
nać do kultury masowej – coś, co jest dostępne dla wybra-
nej grupy społecznej, z czasem staje się standardem dla
wszystkich (lecz bez degradacji do poziomu kiczu), co
powoduje, że sami użytkownicy usług i produktów są coraz
lepiej zorientowani w zagrożeniach pojawiających się pod-
czas korzystania z nich. Ilość zabezpieczeń stosowanych w
systemie również posiada kluczowe znaczenie. Dzieje się
tak, ponieważ mniejszy efekt w rozwiązywaniu problemów
bezpieczeństwa odnosi się poprzez dodanie kolejnej tech-
nologii zabezpieczającej, niż dzięki odpowiedniemu wyko-
rzystaniu kombinacji już posiadanych procesów i technolo-
gii (nowe rozwiązania powinno się wprowadzać w przypad-
ku podnoszenia poziomu bezpieczeństwa. Z badań wynika
jednoznacznie, że termin bezpieczeństwo traktowany jest
jako problem tylko w działach IT, co powoduje tworzenie się
poważnych luk proceduralnych w innych sektorach świato-
wego rynku.
Zjawisko bezpieczeństwa towarzyszy nam na każdym
kroku, w każdej minucie. Istotną kwestią jest sposób, w jaki
je postrzegamy. Im mniej mamy je na uwadze, tym łatwiej
napotkać na naszej drodze niebezpieczeństwo. Opisa-
ne powyżej przypadki i definicje są tylko fundamentalnymi
środkami oraz wytycznymi, z którymi koniecznie należy się
zapoznać. l
Patryk Krawaczyński agresor@nfsec.pl
Tytuł
Ilość numerów
w roku
Ilość zamawianych
prenumerat
Od numeru pisma
lub miesiąca
Opłata w zł
z VAT
hakin9 (1 płyta CD)
Miesięcznik o bezpieczeństwie i hakingu
12
900
Dodatkowy drukowany egzemplarz
12
80
W sumie
(liczba prenumerat x cena)
Formularz zamówienia prenumeraty
Dane osoby / firmy zamawiającej
Imię i nazwisko
Stanowisko
ID kontrahenta*
* jeżeli jesteś już klientem firmy Software-Wydawnictwo Sp. z o.o. – wystarczy, że podasz swój numer ID kontrahenta; jeżeli nie posiadasz takiego numeru, podaj swe dane teleadresowe
Upoważniam firmę Software-Wydawnictwo Sp. z o.o. do wystawienia faktury VAT bez podpisu odbiorcy
Pieczęć firmy i podpis
Nazwa firmy
Dokładny adres
Telefon (wraz z numerem kierunkowym)
Faks (wraz z numerem kierunkowym)
Adres e-mail
Numer NIP firmy
Prosimy wypełnić czytelnie i przesłać faksem na numer:
(22) 887 10 11
lub listownie na adres: Software-Wydawnictwo Sp. z o.o.,
Bokserska 1, 02-682 Warszawa,
e-mail: pren@software.com.pl
Przyjmujemy też zamówienia telefoniczne:
(22) 887 14 44
UWAGA: Nadesłanie zamówienia jest jednocześnie zobowiązaniem do zapłaty.
w w w . b u y i t p r e s s . c o m . p l
Prenumerata korporacyjna hakin9 pozwoli Ci
na dowolne powielenie i rozpowszechnianie pisma
w obrębie Twojej firmy
Numer konta: NORDEA BANK POLSKA 46 1440 1299 0000 0000 0391 8238
W ramach prenumeraty korporacyjnej otrzymają Państwo:
1. Pismo w wersji elektronicznej
2. Dwa dodatkowe egzemplarze w wersji drukowanej
3. CD-ROM zawierający archiwum wszystkich numerów z 2006 roku
Zaprenumeruj swoje ulubione magazyny
i zamów archiwalne numery!
Już teraz w kilka minut możesz zaprenumerować swoje ulubione pismo.
Gwarantujemy:
- preferencyjne ceny
- bezpieczną płatność on-line
- szybką realizację Twojego zamówienia
Bezpieczna prenumerata on-line wszystkich tytułów Wydawnictwa Software!
www.buyitpress.com
zamówienie prenumeraty
Prosimy wypełnić czytelnie i przesłać faksem na numer:
(22) 887 10 11 lub listownie na adres: Software-Wydawnictwo Sp. z o.o.,
Bokserska 1, 02-682 Warszawa, e-mail: pren@software.com.pl. Przyjmujemy też zamówienia telefoniczne:
(22) 887 14 44
Imię i nazwisko............................................................................................ ID kontrahenta..........................................................................................
Nazwa firmy................................................................................................. Numer NIP firmy.......................................................................................
Dokładny adres....................................................................................................................................................................................................................
Telefon (wraz z numerem kierunkowym)................................................... Faks (wraz z numerem kierunkowym) ....................................................
E-mail (niezbędny do wysłania faktury)............................................................................................................................................................................
zamówienie prenumeraty
1
Cena prenumeraty rocznej dla osób prywatnych
2
Cena prenumeraty rocznej dla osób prenumerujących już Software Developer’s Journal lub Linux+
3
Cena prenumeraty dwuletniej Aurox Linux
Jeżeli chcesz zapłacić kartą kredytową, wejdź na
stronę naszego sklepu internetowego:
www.buyitpress.com
automatyczne przedłużenie prenumeraty
Suma
Tytuł
Ilość
numerów
Ilość
zamawianych
prenumerat
Od numeru
pisma lub
miesiąca
Opłata
w zł
z VAT
Software Developer’s Journal (1 płyta CD)
– dawniej Software 2.0
Miesięcznik profesjonalnych programistów
12
250/180
1
SDJ Extra
(od 1 do 4 płyt CD lub DVD)
– dawniej Software 2.0 Extra!
Numery tematyczne dla programistów
6
150/135
2
Linux+DVD (2 płyty DVD)
Miesięcznik o systemie Linux
12
199/179
1
Linux+Extra! (od 1 do 7 płyt CD lub DVD)
Numery specjalne z najpopularniejszymi dystrybucjami Linuksa
8
232/198
2
PHP Solutions (1 płyta CD)
Dwumiesięcznik o zastosowaniach języka PHP
6
135
hakin9, jak się obronić (1 płyta CD)
Miesięcznik o bezpieczeństwie i hakingu
12
199
1
/219
.psd (2 płyty CD)
Dwumiesięcznik użytkowników programu Adobe Photoshop
6
140
.psd numery specjalne
(.psd Extra + .psd Starter Kit)
6
140
Aktualne informacje o najbliższym numerze
http://www.hakin9.org/pl
Numer w sprzedaży na początku października 2007 r.
Redakcja zastrzega sobie prawo zmiany zawartości pisma.
hakin9
10/2007
w następnym numerze
między innymi:
Zapowiedzi
Modyfikacja kodu binarnego aplikacji
Z artykułu dowiemy się, w jaki sposób można zmienić działanie aplikacji
poprzez modyfikację binariów, tak aby wykonywał się dopisany kod. Dawid
Gołuński oparł cały temat na konkretnym przykładzie, a mianowicie – jak
zmodyfikować klienta usługi SSH PuTTY. Program po zmianach miałby
wysyłać do nas hasła, które użytkownicy wprowadzają podczas logowania.
Konfiguracja serwera IIS dla ASP.NET
z protokołem SSL
W artykule opisano, jak zainstalować serwer IIS 6.0 w systemie Windows XP
oraz jak dodać obsługę stron napisanych w technologii ASP.NET. Zostanie
wyjaśniony sposób dodania obsługi SSL oraz generowania certyfikatu SSL,
co na pewno będzie przydatne dla twórców witryn internetowych.
Hacking w majestacie prawa
Artykuł zawiera informacje dotyczące aktualnego stanu prawnego, regulują-
cego czyny zabronione związane z tym, co powszechnie uważa się za hac-
king&related. Tekst jest praktycznym omówieniem tematu: co w praktyce
wolno, a czego nie wolno. Autor przedstawia wiele ciekawych przykładów
realnych sytuacji.
NA CD:
• hakin9.live – bootowalna dystrybucja Linuksa,
• mnóstwo narzędzi – niezbędnik hakera,
• tutoriale – praktyczne ćwiczenia zagadnień poruszanych w artykułach,
• dodatkowa dokumentacja,
• pełne wersje komercyjnych aplikacji.
Atak
Obrona
Obrona
