Ondsindede web sites der inficerer maskinerne blot de besøger et web site florere i massevis på nettet. Oftest betjener de sig af sårbarheder i activeX komponenter til browser plugins som f.eks. komponenter til winzip, adobe acrobar reader, quicktime eller flash for blot at nævne nogle få af de mange der findes. Folk lokkes typisk ind på disse websites via spammails, spam posts på blogs eller posts i nyhedsgrupper eller via Instant Messenging, Internet Relay Chat eller en helt tredie form for Kommunikation.
I første omgang inficeres maskinen så den person eller gruppe der har sat “drive by serveren” med de ondsindede web sider op eller hacket et eksisterende web site og placeret ondsindet kode på det kan kontrollerer maskinen. Det kan være med spyware/key loggeres der er præ konfigureret til at opfange brugernavne, passwords, kontonumre, certifikater, det kan være mailers der bruges til at udsende spam mails, eller til at vedhæfte spam til brugerens egne mails og posts på web sites og det vil ofte være bagdøre til at kontrollerer maskinen med.
Hvordan kontrollerer hackeren tingene.
Ofte har hackeren sat en command and controle server op, så han kan kontrollerer sine Zombies fra en anden maskine end sine egne. Fast Fluxing er en teknik hvor hackeren bruger dele af sit botnet som proxies og dermed skjuler sin egen eksistens bag et kompliceret og konstant ændrende netværk af forskellige proxies (mellemmænd) og C&C servere. Internet Relay Chat er en meget brugt protokol til kontrol af botnets og fungerer næsten lige som normal IRC. Når brugeren starter sin inficerede maskine melder den sig automatisk på hackerens IRC kanal og logger ind i hackerens private Chatroom hvorfra hackeren kan udsende de ønskede kommandoer.
Hvad gør hackeren med den inficerede maskine.
Hvis han er meget avanceret vil han i løbet af kort tid have dit system katalogiseret. D.v.s. han har grupperet din maskine udfra hvor hurtig processoren er, hvor meget plads der er på diskene, hvor meget ram den har, hvor god din internetforbindelse er. Efter lidt længere tid kan han også grupperer din maskine efter hvor ofte og længe du er online og e.v.t. efter hvornår din lønudbetaling sker.
Det man skal huske er at hackeren oftest er ude på at tjene penge og hvis han bare tømmer din konto så hurtigt som muligt går han glip af en masse muligheder. I gamle dage var der blandt hackerne en vis etik. Hvis brugeren tydeligt ikke havde ret mange penge, så lod man ham, eller i hvertfald hans penge være, i dag venter man til lønningsdag og så tømmer man kontoen.
Hackeren ved at brugeren ofte opdager at kontoen er tømt relativt hurtigt og ofte også finder ud af at det er sket via hans computer, hvorefter han får den re installeret eller renset, hvorefter hackeren ikke længere har kontrol over tingene. Dette betyder ofte at han først vil bruge maskinen til andre ting som f.eks. at udsende en masse spam mail for at kunne inficerer flere maskiner. Han vil måske bruge maskinen som proxy i sit net eller han vil udnytte din maskine som C&C server eller drive by host.
Nogle gange er det ikke bankkontoen han er efter. Hvis du bruger maskinen til aktie handel, f.eks. for din pension, så kan det være den har går efter sådan indirekte. Hvis f.eks. en hacker har kontrol med 5.000 maskiner hvorfra han kan styre brugernes aktiekøb, så kan han selv købe nogle aktier der ikke er ret meget værd, så sætte sine 5.000 zombier til også at købe disse aktier, hvorefter værdien stiger kraftigt. Til sidst sælger han sine aktier og score gevindsten mens alle aktiekøberne efterlades med værdiløse aktier de ikke selv har købt og en tømt pensionsopsparing
Online gambling har også sine fare.
Online gambling bruges til at hvidvaske og overføre penge. Det foregår ved at hackeren spiller privat med et antal andre “spillere” og disse taber bevidst store penge til hackeren. Enten kan han overføre de penge har har “taget” fra din konto til en anden brugers konto, hvorfra han så “spiller dem op” til sig selv, eller hvis du allerede har en online gambling konto, så kan han jo bare spille med din.
Hvordan beskytter man sig
Uhaaa det er ikke let og der er ingen 100% løsning. Et rigtig godt antivirus program vil tage en del af det. En god firewall der er ordentligt sat op vil tage sin del. Opdatering og patching af alt software er meget vigtig. Fjernelse af programmer man ikke bruger og omtanke ved installation af nye, fjerne også muligheder fra hackeren. Brug af de heldigvis mange gode programmer der findes til bekæmpelse af malware og spyware hjælper også, men alle disse tiltag er på bagkant og vil kun fange det kendte, det nye og ukendte skal der andre ting til.
Omtanke, overvågenhed og evnen til at undre sig er næsten det vigtigste. Hvis links ser mistænkelige ud, så er de det næsten altid. Hvis du ikke kender personen der mailer til dig, så slet mailen uden at læse den. Hvis folk du ikke kender meget godt begynder at sende dig links til porno, online spil og andet ligende, så ignorer det. Lad være med at følge links i nyhedsgrupper med mindre du er helt sikker på at de er relevante fordet du læser.
Åben aldrig vedhæftede filer du ikke er helt sikker på du skal have. Installer aldrig programmer eller video codex for at kunne se en video online. Hvis der var meningen du skulle kunne se videoen, så havde de lavet dem med et codex der var almindeligt kendt og brugt.
Brug høje sikkerheds sættings i din browser, hav altid antivirus og firewall slået til, og er de pludselig slået fra, så er der noget galt. Det at undre sig er en god ting. Hvis der er noget der virker forkert, så undersøg det til bunds og lad vore med at affeje det som “det var nok intet alligevel”. Baselining, d.v.s det at vide hvordan ens computer ser ud og opfører sig når der intet er galt er en forudsætning for at kunne opdage når der er noget galt.
it sikkerhed
firewallTags: Drive by hacking, Firewall, Hacking, IT sikkerhed
