Hacking? Hvad er det? og hvordan gøres det?

Der er fra tid til anden nogle læsere som skriver til mig vedr. hacking, hvordan det gøres, og om det er lovligt eller ulovligt.
Lad mig allerførst sige, at det kommer helt an på hvad du vil bruge hacking til.

Hvis du vil bruge det til at hacke dig ind hos skattevæsnet for at pille, rode og rage i dine eller andre folks selvangivelser mv., så er det naturligvis ulovligt – ligesom hvis du påtænker at bruge det overfor din netbank 🙂

Denne “korte” post er både for at du kan få en ide om hvad hacking er, hvad du kan bruge det til, hvordan du gør (via et relativt harmløst eksempel) og ligeledes en indikator på hvorledes du beskytter dig mod hacking.

Hacking er selvfølgeligt en trussel, og den er det for os alle.

Hackere findes i flere forskellige afskygninger, fra de uskyldige hackere, som blot gør det for udfordringens skyld, og for at teste deres evner, over til crackere som decideret begår større eller mindre ulovligheder.

Hackere søger som regel oplysinger, og da vi lever i et informations-samfund, hvor information er essentiel. (se blot KONTANTS program fra uge 6 hvor de eks. viste hvor let det var at “stjæle” en identitet). Information kan være hvad som helst, ligefra navnene på en virksomheds ansatte, som kan være interessant, over dine bankoplysninger og PIN koder. Disse varierer selvfølgeligt i graden af sikkerhed.

At få fat i selve informationen, kan jo også variere fra det ultra-simple til det hardcore komplekse.
Brugernavne er lettere end psswords. Bankoplysninger er også lette at få fat i, men så mangler du PIN koden etc.

Jeg var i tidernes morgen også overbevist om, at hacking selvfølgeligt fandtes derude, men dog ikke havde noget med mig at gøre, og da jeg jo som bekendt kører mac, er jeg mindre sårbar overfor diverse vira, orme mv. (sådan har det ihverttilfælde været indtil videre) Det er dog relativt nemt at hacke iSights (webcam’et) på en mac, men det er en hel anden historie…

Et meget let eksempel, som ikke har at gøre med, om du er mac eller pc-bruger, er eksempelvis at hacke en adsl-forbindelse og snuppe brugernavn og password.

Alt hvad du behøver, er en IP-adresse-scanner, en mus og en lille smule grundlæggende computerviden.

IP-scanners er næsten essential for enhver der har med netværk at gøre, så de fleste som måske har en lille smule interesse i netværk, har sikkert også en IP-scanner på deres computer.

En IP-scanner, scanner netværk for IP-adresser og spytter så en rapport ud med en række oplysninger.
Du kan også sætte en IP scanner til at scanne internettet for åbne porte – altså en “dør” til trafik.

Når scanningen er færdig, og du har fundet en række IP adresser som er live (altså online) og har Port 80 åben, taster du denne IP adrese ind i en browser, og dette skulle således gerne give dig login-skærmen til routeren.

Det viser sig foruroligende nok, at de fleste mennesker ikke ændrer deres fabriksindstillede brugernavn og passwords på deres router, og de fleste steder på nettet kan du finde oplysninger om div. brugernavn og passwords på de forskellige routere (ZyXel, NetGear mv.)

Når du så har indtastet IP adressen og sidder med login-skærmen til ruteren foran dig, prøv således det fabriksindstillede brugernavn og password.
Hvis dette virker, har du dermed logget ind på en andens adsl-router.

Når først du er inde på routeren, akn du gå til eks. “Account Setup” (de hedder naturligvis noget forskelligt alt efter routerens fabrikat, men skulle være pænt nemt at finde), og den vil således vise dig brugernavnet og en række stjerner: ******* og hvad gør du så?
Du højreklikker et sted på siden og vælger “vis kildekode”. På denne måde for de html-koden over hele siden. Tryk CTRL+F (eller bare Søg… fra menulinjen) og indtast det brugernavn du lige har fundet (eks. bruger@stofa.dk). Dette vil vise dig hvor i koden brugernavnet står skrevet. Lige under dette brugernavn (eller i næheden af det) vil du se noget i retning af <password=”etellerandetpassword”>… dette er passwordet for dette brugernavn.

Nu kan du således indtaste dette brugernavn/password i din router og trykke på connect. Når du har gjort dette, kan du kalde dig hacker for første gang, og påbegynde din kriminelle løbebane.

Sværere er det ikke.
(På router-indstillingssider som bruger frames, er det naturligvis i selve “framen” du skal få vist kildekoden, da hele sidens kildekode blot vil give dig oplysninger om de forskellige “frames” og ikke indholdet i dem).

Der findes selvfølgeligt langt mere langhårde metoder som brute-force hacking, phishing osv. men disse kræver en smule mere viden omkring kodning og muligheden for at få folk til at logge ind på eks. en webside hvor du har opstillet dit “phishing-site”, men eks. “phishing” er en ting du kan lære på en eftermiddag, og det kan så bruges til endnu flere ting end blot det at hacke en router.

En anden ting, er det man kalder “Social engineering”, og en langt mere sofistikeret metode.

Vi har allesammen set TV eller film, hvor en hacker har noget kode til at stå og flimre på en monitor som til sidst viser noget i retning af “ACCESS GRANTED!”. Hackeren sidder derefter med et smøret grin og ser ret veltilfreds ud – sådan er virkelighedens verden bare ikke.

Det er jo ikke spændende at vise en hacker som bruger timevis på telefonopkald og udgive sig for at være en eller anden service-teknikker som ringer dig op ifbm. service på din forbindelse, eller en fyr som roder en container igennem efter kasserede papirer eller små sedler med brugernavne og passwords som det udsete firma har smidt ud.
Man ser ham heller ikke luske rundt i området og vente på at en eller anden hopper på hans historie og lukker ham indenfor. Det ville naturligvis ikke være særligt glamorøst at være den slags hacker, men i virkelighedens verden, er dette faktisk mere undtagelsen end reglen at denne form er den benyttede.

“Social Engineering” er det slang som hackere bruger, og som betyder “at hacke folk” istedetfor at hacke maskiner. Et eksempel er “Tiger Team”-historien fra USA.
Her drejede det sig om et IBM-system som man ikke kunne hacke, og hvad gør man så?Jo, man skriver sin egen software og lokker en sys.admin. til at installere dette.
Men hvad var deres ultimative våben? noget stjålet IBM-brevpapir, så det hele kunne se officielt ud!

Den moderne afart af dette, er det man kalder “phishing”/”phishing scams”.
Hvis du har haft med eks. facebook, PayPal eller eBay at gøre, har du sikkert på et tidspunkt modtaget en mail der fortæller dig at der er et problem med din konto på websiden, og at du er nødt til at logge ind og ordne problemet med noget indstillinger eller lign.
I denne mail finder du et link, og det link er rent faktisk hverken til facebook, PayPal eller eBay, men til en side sat op til “phishing”-formålet. Den ligner layout-mæssigt PayPals eller eBays side, men ER hverken PayPals eller eBays sider… lidt a’la formålet med det stjålne IBM-brevpapir som fik sys.admin’en til at tro det var et officielt IBM-patch.

En artikel fra ARS Technica om “PEBKAC” beskriver, at de fleste problemer findes mellem tastaturet og stolen… Med andre ord:
Du kan have alverdens firewalls, krypteringsbeskyttelse og super-veldefinerede passwords med 32 bogstaver iblandet store og små bogstaver og tal, men hvad hjælper det, hvis Else, receptionisten, har en post-it note til at sidde på sin monitor med sit brugernavn og password, som kan ses gennem vinduet, og hvis hun dagligt smider udprintede dokumenter ud med følsomme data istedetfor at makulere dem først???

Du kan søge efter “Social Engineering” på wikipedia. Der ligger nogle rimeligt gode artikler som du måske burde læse og stille dig selv spørgsmålet om, hvor godt DU er beskyttet.

Og husk: TÆNK DIG OM, FØR DU BEGYNDER DIN HACKER-KARRIERE…
Den KAN få alvorlige følger for din fremtid!

Reklamer
Hacking? Hvad er det? og hvordan gøres det?