Ordner cracker-demo for å selge sikkerhetsvare

Mikael Albrecht fra F-Secure vandrer Norden rundt med sine demonstrasjoner av nettilgjengelig crackervare - og smiler bredt hver gang han får potensielle kunder til å gispe.

Før måtte crackere være hackere. De måtte beherske kryptiske verktøy, og mobiliserte avanserte kunnskaper for å bryte gjennom sperrer opprettet av motstandere like innsiktsfulle som dem selv.

I den nye tid er to ting endret. Motstandernes sperrer bærer ikke alltid preg av innsikt eller kunnskap, mens crackerne disponerer så mange fritt tilgjengelige verktøy spesielt tilpasset deres behov, at de ikke lenger trenger å ha status som hackere.

Albrecht er opptatt av at disse verktøyene er enkelt å anskaffe, og at de er gjerne tilpasset bruksmønstre der festninger angripes fra innsiden av brannmuren.

- Vil du ta rede på andres passord? Vil du lese andres e-post ubemerket fra din egen maskin? Vil du kontrollere andres PC-er og bruke dem til å spionere på deres arbeid eller avlytte deres kontorer? Ferdige verktøy finnes.

Først ute i Albrechts demonstrasjon er L0phtCrack, en brukervennlig passordknekker fra hackergruppen L0pht Heavy Industries.

- Dette verktøyet samler brukernavn og hash-kodene til passordene til de som bruker systemet. Alt framstilles i en oversiktlig tabell. Det er umulig å regne seg tilbake til et passord på grunnlag av en hash-kode. Men innebygget i L0phtCrack er den samme algoritmen som Windows NT bruker til å framstille hash-kode. Metoden er følgelig å prøve passord systematisk, helt til den finner et som svarer til en hash-kode i systemet. L0phtCrack gjør dette automatisk. Du kan velge mellom å prøve ut alle tenkelige kombinasjoner av tegn, og den mer subtile "ordbok"-metoden, der verktøyet lager hash-kode av alle ord i en gitt liste.

Med den primitive metoden og en standard PC, tar det en times tid for L0phtCrack å prøve ut samtlige passord opptil sju tegn. Det tar omtrent like lang tid å prøve alle tenkelige passord i en liste på rundt 30.000 ord. Albrecht kjører begge metoder noen få minutter, og begge finner fram til passord assosiert med flere av de rundt tretti brukernavn på listen. De korteste og de mest åpenbare passord avsløres først. Moral: Den praktiske beskyttelsen til korte passord og til passord som består av vanlige ord, person- eller stedsnavn, er svært begrenset.

Nest ute er "sniffere", det vil si verktøy som fanger opp signaler på nettet. Brukere på et datanettverk deler som regelen "linjen" sin med andre, og det er ikke vanskelig å hindre et nettkort fra å luke ut det som ikke er beregnet på en selv.

- Sniffere betegner en rekke legitime verktøy som brukes for i daglig vedlikehold og administrasjon, forteller Albrecht, og viser et program som først og fremst konsentrerer seg om "headerne" i datapakkene, det vil si der det lagres informasjon om hvor pakken kommer fra og hvor den skal. - Her får man fram innholdet i en pakke, men det er ingen mulighet å samle meldinger som er spredd på flere pakker.

Snifferverktøyet AbirNet er derimot beregnet på tyvtitting. Skjermbildet til dette programmet gir ingen informasjon om headers. Derimot samler den pakker og gjenoppretter de opprinnelige meldingene og filene. Følgelig gis det en trestruktur til venstre med oversikt over løpende e-post mellom forskjellige brukere, mens meldingene kan leses i sin helhet omtrent som i Outlook.

- Internt i en organisasjon går det mest i klartekst på lokalnettet. Raffinerte filtre gjør det mulig å luke ut uinteressant post, og konsentrere seg om det essensielle, for eksempel informasjon som har med lønn, aksjekurs, kontrakter og liknende følsomme emner.

Trojaneren NetBus er blant de verktøyene Albrecht morer seg mest over å demonstrere. Den er i samme klasse som BackOrifice, bare noe mer avansert. NetBus krever at du installerer en "tjener" på en maskin i nettverket. Dette er et lite program som kan smugles inn gjennom e-post. Albrecht viser en av metodene: Du hekter NetBus-tjeneren på et program som tilsynelatende gjør noe helt annet, og sender den som vedlegg til e-post. Du gir den et spesielt navn, for eksempel "julehilsen.jpg" pluss et stort antall ordmellomrom før den egentlige filendelsen ".exe". Navnet er for langt til å vises på vanlig måte i e-posten, og det eneste du ser er "julehilsen.jpg ...". De fleste legger ikke merke til de tre ekstra punktene. Når du klikker, får du gjerne et bilde i forgrunnen, mens fandenskapen skjer ubemerket.

Når tjeneren er installert, kjører du NetBus-klienten på din egen maskin. Nå har du full kontroll over den andre maskinen, og det er en rekke såkalt morsomme funksjoner. Blant de som ærlig er merket "spy", er skjermfangst, tastaturavlytter og lydopptaker.

- Skjermfangst lar deg følge med i alt som skjer på den andre skjermen. Velger du tastaturavlytting, kommer passord som tastes inn på den andre skjermen, fram i klartekst. Velger du lydopptak, hører du alt som mikrofonen på den andre maskinen greier å fange opp. Vår erfaring er at de færreste tenker på PC-en når de får mistanke om skjulte mikrofoner på et kontor.

Albrecht avslutter med en advarsel: Hensikten med demonstrasjonen er ikke å oppmuntre noen til å prøve disse verktøyene i praksis, men å vise hvor viktig det er at man holder seg til nødvendige sikkerhetstiltak i det daglige.

Les mer om cracking og hacking:


Kevin Mitnick løslatt
Hackermiljøet fra innsiden
Paven slo ned crackerangrep
Advarer mot å ansette crackere
Amerikansk børs angrepet av crackere
Crackere angrep USA mens NATO bombet Milosevic

Til toppen