Ville det funket slik Stieg Larsson beskriver?

[Gjest medlem-82119]

Har lest Stieg Larssons "menn som hater kvinner" boka, og det skrives endel om ulike hacker teknikker der.

Ja, jeg vet at det er en bok men det hadde vært moro å vite hvor nær sannheten han skriver.

I en beskrivelse foregår følgende:

 

En fyr har utviklet et klips som klipses rundt/på telefonlinja/adsl-linja og klipset er istand til å lese data som sendes gjennom linja....i praksis på samme måte som et tangamperemeter.

Så sendes data via klipset inn på linja, små bits og bytes som "henger seg på" data som lastes når brukeren surfer på nett og mottar epost.

Etterhvert har 3 Mb blitt overført slik, og de utgjør et program som gjør følgende:

 

Når brukeren restarter maskinen legger programmet seg som en lik kopi (utseendemessig) av internet explorer slik at når brukeren tror han bruker explorer brukes isteden programmet.

Denne explorerkopien sender en nøyaktig kopi av hele hardisken til en annen server, og når alle data er overført redirectes brukeren til den nye kopien av sin egen harddisk og bruker den som om det var sin egen.

De som har satt igang dette har da full kontroll på alle filer og hele innholdet av brukerens harddisk.

 

Tilsvarende triks med å klipse dingser til en linje for å lese dataene gjennom den er vist i mange filmer også.

antar det er mange hull i fremgangsmåten, men i prinsippet...kunne en som har veldig veldig gode kunnskaper gjort noe lignende?

[Giddion]

<snip>

En fyr har utviklet et klips som klipses rundt/på telefonlinja/adsl-linja og klipset er istand til å lese data som sendes gjennom linja....i praksis på samme måte som et tangamperemeter.

Dette går helt fint.

 

Så sendes data via klipset inn på linja, små bits og bytes som "henger seg på" data som lastes når brukeren surfer på nett og mottar epost.

Det er mulig å få ting til å henge seg på andre data, men det at dingsen som skal gjøre det er på størrelse med en klips gjør det ikke veldig sansynlig. Det hjelper ikke at dataene er på maskina når de ligger spredt, man må ha et program som setter dette sammen, altså må man ha et program som kjører før sendingen starter og da er det mulig... men rar fremgangsmåte for å legge inn en trojan på en maskin.

 

Etterhvert har 3 Mb blitt overført slik, og de utgjør et program som gjør følgende:

Når brukeren restarter maskinen legger programmet seg som en lik kopi (utseendemessig) av internet explorer slik at når brukeren tror han bruker explorer brukes isteden programmet.

Det er mye enklere å lage et program som gjør det samme men som kjøre uten et vindu.

 

Denne explorerkopien sender en nøyaktig kopi av hele hardisken til en annen server, og når alle data er overført redirectes brukeren til den nye kopien av sin egen harddisk og bruker den som om det var sin egen.

De som har satt igang dette har da full kontroll på alle filer og hele innholdet av brukerens harddisk.

 

Når et program har full tilgang til en maskin kan man gjøre så å si alt man kan tenke seg. Men når man har full tilgang hvorfor holder ikke det?

 

Brukeren vil nesten garantert merke at all lesing/skriving på hardisken går over internett.

 

Tilsvarende triks med å klipse dingser til en linje for å lese dataene gjennom den er vist i mange filmer også.

antar det er mange hull i fremgangsmåten, men i prinsippet...kunne en som har veldig veldig gode kunnskaper gjort noe lignende?

En som hadde veldig veldig gode kunnskaper ville ikke gjort det på samme måte.

Hvis det du skriver er skildringen helt detaljert så ville det ikke godt siden det ikke finnes et program på maskinen til å sette samme de bytes og bitsene som klipsen sender, ser man vekk fra det så går det vel, men en rar måte å gjøre det på.

[Zeph]

Først av alt, kva slags utstyr klarer å hente data ut frå ein nettverkskabel utan fysisk kontakt? Det må i så fall være noko som les data frå magnetfeltet.

 

Korleis skal denne dingsen klare å endre signalene som går gjennom kabelen? Den må på same måte lage eit magnetisk felt som endrer heile signalet i kabelen.

[aklla]

hvorfor i all verden skal du lage en kopi av harddisken som offeret skal bruke?

hvis målet er å få tilgang til harddisken er det så uendelig mye lettere med en trojan

det som jeg syntes er mer praktisk er avlytting av all nettverkstrafikk via en slik.

gjerne sende det til en trådløs enhet i nærheten som lagrer/sender det videre til de som vil ha det.

[Giddion]

Først av alt, kva slags utstyr klarer å hente data ut frå ein nettverkskabel utan fysisk kontakt? Det må i så fall være noko som les data frå magnetfeltet.

 

Korleis skal denne dingsen klare å endre signalene som går gjennom kabelen? Den må på same måte lage eit magnetisk felt som endrer heile signalet i kabelen.

 

Vel du svarer på dine egne spørsmål.... er det spørsmål?

Vanlige tangampermeter (som trådstarter nevner) kan gjøre jobben... nå snakker vi om veeeeeldig svake strømmer, men det er mulig... bare ikke veldig sansynlig.

 

Det å sende inn data signaler er mye mye vanskligere.... men ikke helt umulig i teorien. Man må ta hensyn til de underliggende protokollene og mye annet dette må skje fort som bare det.

[sygard]

Først av alt, kva slags utstyr klarer å hente data ut frå ein nettverkskabel utan fysisk kontakt? Det må i så fall være noko som les data frå magnetfeltet.

 

Korleis skal denne dingsen klare å endre signalene som går gjennom kabelen? Den må på same måte lage eit magnetisk felt som endrer heile signalet i kabelen.

 

Jeg må si meg enig i zeph her. Hvilket utstyr skal klare denne oppgaven? Hvordan skal en enhet som ikke er direkte koblet til en (eller flere) ledere i en kabel kunne stoppe, endre på, for deretter sende denne samme "endrede" pakken videre slik at mottakeren ikke merker noe? Husk at et signal over en kobberkabel reiser med tilnærmet lysets hastighet. Jeg tror ikke det finnes elektronikk i dag som kan gjøre denne jobben raskt nok slik at du kan erstatte ditt signal med det originale signalet som reiser over kabelen... Det kan fint lage en enhet som forstyrrer signalet på en slik måte at det ikke er slik det originalt ble sendt, men her vil nok mest sannsynligvis maskinvaren i nettverket kaste pakken og be senderen sende den på nytt. Så hvis du er ute etter å "ødelegge" signalet så er ikke dette i utgangspunktet noe problem, selv om det kanskje er enklere å klippe over kabelen med en saks.

 

Et annet poeng er at hvis du endrer på en pakke som sendes over et nett via f.eks. Internet Protocol family vil du måtte ha gode kunnskaper rundt protokollene som brukes og kanskje til å med applikasjonslagsprotokollen denne pakken hører til for vellykket kunne endre på en enkel pakke slik at den godtas av mottakeren som gyldig. Enda om du klarer dette, må du finne en svakhet i mottaker-applikasjonen slik at du kan få den til å kjøre en spesiell kode (en hack etc.) slik at du får til syvende å sist får kontroll.

 

Skal du på den andre siden, passivt overvåke et nett og kanskje sniffe informasjon som går gjennom, så er ikke dette store problemet. Gitt, du må jo utvikle en "binders" som kan sniffe signaler over 2 ledere (av 8 i cat.5) TX/RX ved å bruke de elektromagnetiske strålingene som kabelen gir ut, noe som jeg vil påstå ikke er helt trivielt, hvis, i det hele tatt mulig?

Nå, la oss si at du har laget denne "fiffige" enheten, òg du klarer å dumpe alle pakkene som blir sendt over kabelen, er det fortsatt hindringer som kan gjøre det vanskelig å få noe fornuftig ut fra disse dataene. Ta kryptering som et eksempel, hvis alle signalene som sendes over kabelen er krypterte, og kanskje også med en god krypteringsalgorimte, vil du i de aller fleste tilfellene ha problemer med å få ut interessante data, da denne krypteringen må brytes først.

På den andre siden kan du ha flaks og all informasjon som blir sendt, blir sendt i klartekst. Her har du f.eks. surfing gjennom normal http protokoll. Besøker brukeren sider som har dårlige rutiner rundt autentisering ved innlogging, kan/vil du klare å dumpe denne dataen og lese brukerens passord ut fra http-requesten i klartekst fra din dumpede data.

 

Nå har jeg ikke så veldig god peiling på mail-protokollene, men tidligere protokoller for pop og smtp sender din e-post i klartekst mellom sender og mottaker, noe som i det tilfellet heller ikke ville vært vanskelig i få tak i.

 

 

Når det kommer til det spørsmålet om at en identisk kopi av din harddisk blir lastet over til en ekstern server, så er ikke dette det største problemet. Har du først klart å få ondsinnet kode inn på en maskin tilkoblet internet, er det ikke vanskelig å skrive kode som i all hemmelighet sender all din data over til en 3dje part. Å få en brukers maskin til å kjøre ut fra denne kopien (lokalisert på en ekstern server) derimot, er et helt annet kapittel. For det første må du få maskinen til å boote fra nettverket, noe som krever at du aktiverer nettverkskortet's støtte for dette (gitt at den fornærmede har et slik nettverkskort), og som mest sannsynligvis ville bestå i en form for rootkit hack. Et rootkit er vanskelig i lage, og det kan ikke lages så generelt som et normalt virus/onsinnet kode som kjøres oppå et operativsystem. Du må vite nøyaktiv hvilken elektronikk som brukes og bytte ut eller endre koden som fysisk er lagret på "chip'ene" på hovedkortet/nettverkskortet/skjermkortet eller andre eksterne enheter som inneholder en ROM. Det andre er at et operativsystem ikke så enkelt kan endres på den måten at det kjøres fra en ekstern lokasjon. Se f.eks. på Win XP, det er ikke mange måneder siden det for første gang ble levert et produkt som muliggjør å kjøre XP fra en ekstern harddisk - over USB, og XP har vært på markedet i mange år allerede. Dette var da for USB, å kjøre hele operativsystemet over et nettverk, spesielt et ADSL nettverk innfører også en hel rekke andre problemer. Du har hastighetsspørsmål, integritet av data, etc. etc...

 

Men skal du kun kopiere data er ikke dette et stort problem, du må selvfølgelig vite hva du gjør, men det er ikke teoretisk vanskelig så fremt du har fått kontroll over en maskin på internett.

 

 

Jeg må si jeg liker å se filmer, serier eller andre former for fiksjon der en "skurk" bryter seg inn i et datanettverk. De får det til å se så enkelt og generelt ut, mens det i virkeligheten ikke er like trivielt som de skal ha det til. Men å se på en "skurk" som bruker flere uker på å finne svakheter i systemene til et "offer" er ikke spesielt god underholdning... Så de skal få den...

 

Men uansett, dette er et spennende tema!

 

/sygard.

[GeirGrusom]

Er ikke disse kablene både tvinnet og skjoldet mot ytre påvirkninger?

 

Ville det ikke da være billigere å bare betale fyren for bankkontonummeret hans enn å kjøpe utstyret som trengs for å lese så svake signaler, og skrive til kabelen etterpå?

[Gjest medlem-82119]

Forutsetningene i boka var en "dum" skurk som brukte sin laptop ganske åpent til å maile bl.a om torbedovirksomhet, lugubre transaksjoner, narkohandel osv osv og "heltene" i boka lånte slikt utstyr som var utviklet av en av de aller aller beste hackerne i verden som kunne "alt om alt" når det gjaldt pcer og nettverk.

Hensikten med å lage en slik kopi av hardisken var delvis å kunne sjekke aktiviteten i realtime etterpå ved å slippe å lese av innholdet via en trojaner og lignende og delvis å ha enkel tilgang til dataene for å kunne se bl.a når passord ble endret og å kunne slette data slik at brukeren mistet kontroll over emperiet sitt.

(De dataene som brukeren la til ble ikke lagret på sin egen harddisk, og når de valgte å koble fra brukeren igjen så var ingenting av de siste måneders arbeid lagret hos brukeren selv noe som vel er dumt når man skal holde orden på sitt eget inviklede imperium)

Hensikten med å ha en falsk explorer som brukeren brukte, var delvis å kunne lese hva brukeren søkte på, delvis å kunne legge til mer data til det innholdet brukeren lastet ned, og delvis ha den falske exploreren som en trojaner som gav tilgang til pcen.

Poenget er sånn sett ikke om den som utviklet dette kunna vite slike ting, men om det er teknisk mulig å gjøre det.

Det kritiske her er vel å få bits og bytes til å sette seg sammen til et program etter at det er laste ned.

Men teknisk sett er det vel ikke så ulikt torrent systemet og lignende?

Jeg vil jo anta at det ikke trengs så mange byte for å lage et program som setter sammen resten?

Uansett, noen artige tanker rundt dette som står i boka....

[sygard]

Jeg vil nok tro det meste her er mulig å få til. Men jeg vil holde fast på at det vanskeligste nok er å sniffe og endre på data i en cat5 kabel. Jeg er usikker på om det i det hele tatt er mulig.

 

La oss eksprementere. Du har en cat 5 kabel koblet til en switch i hver ende. Du kjører et 100Mb/s nettverk med full dubplex (noe som er det mest normalt i private og i stor grad i bedrift's nett).

Dette tilsier at begge enhetene kan i teorien sende data mellom hverandre nøyaktig samtidig.

 

Nå, la oss si at du bruker en elektromagnetisk føler for å fange opp signaler som går over kabelen, og her begynner problemene. Du kan fint måle magnetfeltet og derfor kunne sniffe data som går over en leder, alene, i en kabel. Hvis du har sett filmer der "heltene" kobler seg inn på eller henger seg på en coax-kabel som går fra et overvåknings-kamera til en skjerm, er dette en teknikk som fint kan brukes i "real-life", men husk at det da er analoge signaler som sendes i èn retning over 1 leder.

Du må i en cat 5 kabel kunne skille elektromagnetismen fra 8 forskjellige kabler og du må kunne skille om et signal går den ene, eller den andre veien.

 

Nå er jeg ingen ekspert på elektromagnetisme, men å finne ut hvilken retning elektroner forflytter seg over en kabel, er ikke spesielt vanskelig. Hvis vi sammenlikner en tvunnet parkabel med en spole, kan vi ved å bruke "tommelregelen" bestemme hvilken vei strømmen går. Nå, la oss si at dette fungerer, hvordan skal du kunne klare å skille en kabel fra de andre hvis det går signaler over flere ledere når du måler? Nå, hvis elektromagnetisk stråling har fellestrekk med lydbølger, kan det hende at hvis to ledere samtidig sender data over en ledning, og du måler den totale elektromagnetismen over begge lederne, vil du da kun kunne måle den kraftigste av de to? Hvis f.eks. prøver å høre forskjellen på to sinusbølger der den enes frekvens er nøyaktig to ganger så stor som den andre, vil du kun klare å høre den med høyest frekvens, da den andre vil drukne bak lyden av den første. Er det slik også med elektromagnetisme? Vil vi til en hver tid kun klare å oppfatte den sterkeste av de to?

Jeg tror det er her man vil slite mest når det gjelder det å avlytte kabelen.

 

Når det gjelder spørsmålet i å endre dataen som flyter i kabelen, så tror jeg dette er på grensen til hva som er mulig å ikke. Når jeg sier endre dataen så mener jeg ikke å forstyrre den slik at de er marginalt forskjellige når de kommer frem til mottaker enn det de var når de ble sendt fra avsender, men endre de på en slik måte at du faktisk kan bruke det til noe.

 

Det hadde vært artig å høre fra noen fysikere eller lignende om dette faktisk er mulig.

 

/sygard.

[Zeph]

Eg trur det er umogeleg. Du har 8 ledningar i kabelen som har kvar sin jobb, dvs, normalt har 4 av dei ein jobb. Denne dingsen sender altså ut magnetiske impulser enten sterke nok til å fullstendig overgå dei eksisterande og erstatte med sine eigne eller klare å påverke kvar enkelt ledning med riktig magnetisk impuls. Samtidig kan den kommunisere med ein PC fleire kilometer vekke. Alt dette i ein mansjettknapp utan straumtilførsel. Ha ha....

[sygard]

Eg trur det er umogeleg. Du har 8 ledningar i kabelen som har kvar sin jobb, dvs, normalt har 4 av dei ein jobb. Denne dingsen sender altså ut magnetiske impulser enten sterke nok til å fullstendig overgå dei eksisterande og erstatte med sine eigne eller klare å påverke kvar enkelt ledning med riktig magnetisk impuls. Samtidig kan den kommunisere med ein PC fleire kilometer vekke. Alt dette i ein mansjettknapp utan straumtilførsel. Ha ha....

 

Jeg må si meg enig i dette ja.

[Gjest medlem-82119]

Nå står det ikke noe om hverken størrelse eller noe på denne knappen, antar mansjetten/bindersen ble plassert i et telesentral i nærheten, og da er det ikke så mange størrelsesbegrensninger utover det at en montør som sjekker sentralen vil reagere hvis en diger klump er festet til en kabel.

Klumpen kan også være batteridrevet...så strøm er heller ikke noe problem.

 

Her er vel en dings man kan bruke?:

 

http://www.tracespan.com/2_2LI%20Monitoring.html

[Zeph]

Eg har ikkje boka her akkurat no, men eg er ganske sikker på at det sto "på nettverkskabelen i huset hans" eller noko sånt. Det sto og mansjett, hugsar ikkje om det sto "knapp", men det er normalt ikkje ein stor boks.

[tickinghd]

Selv om man har kontroll på datatrafikken så er det likevel ikke så trivielt å kapre maskinene som er tilkoblet nettverket. Selv om det ville være mulig å gjøre det slik som beskrevet i denne boken, så ville man nok i virkeligheten brukt metoder som er mer utbredte, dersom målet er å kapre maskinen!? Man kunne gjort bakgrunnsjekk på målet og sendt en epost/nettadresse/trojan som ikke ville blitt forvekslet som spam med litt "social engineering", dette er metoder som faktisk brukes.

Endret 7. mars 2009 av tickinghd

[Gjest medlem-82119]

Problemet i fremstillingen, såvidt jeg forstår: er å

1 -Hente ut data fra trafikken i linja

2 -Legge til bits og bytes til det som er hentet ut

3 -Sende det inn igjen på linja med de nye dataene, på en slik måte at brukeren ikke merker noe

4 -La dataene som er lagt til bli satt sammen til et program som innstalleres ved neste restart av maskinen

 

Et av poengene med denne metoden er jo at alt som brukeren gjør vil brukeren gjøre på en fjern server, og hvis f.eks dette foregår i f.eks 6 måneder vil de siste 6 måneders arbeid i praksis frmstå som ikke hendt når brukeren sendes tilbake til sin egen maskin.

Hvis absolutt all data og arbeid fra de siste 6 månedene forsvinner, og man kontrollerer et stort og komplisert nettverk av foretak så vil det være en katastrofe å miste så mye.

[aklla]

Problemet i fremstillingen, såvidt jeg forstår: er å

1 -Hente ut data fra trafikken i linja

2 -Legge til bits og bytes til det som er hentet ut

3 -Sende det inn igjen på linja med de nye dataene, på en slik måte at brukeren ikke merker noe

4 -La dataene som er lagt til bli satt sammen til et program som innstalleres ved neste restart av maskinen

 

Et av poengene med denne metoden er jo at alt som brukeren gjør vil brukeren gjøre på en fjern server, og hvis f.eks dette foregår i f.eks 6 måneder vil de siste 6 måneders arbeid i praksis frmstå som ikke hendt når brukeren sendes tilbake til sin egen maskin.

Hvis absolutt all data og arbeid fra de siste 6 månedene forsvinner, og man kontrollerer et stort og komplisert nettverk av foretak så vil det være en katastrofe å miste så mye.

 

fortsatt lettere å formatere pc`n om natten når offeret sover ved hjelp av en trojan, så er ALT mistet, ikke bare de siste 6mnd.

 

ser også for meg at det blir stor treghet på alt som bruker harddisken, problemer med å detektere nye enheter som blir koblet til pc`n(minnepenn, cd-rom osv).

og hva skjer når internett faller ned?

plutselig er alle endringer som er gjort siste tiden borte når internetten faller ut.

hvorfor gjøre det ufattelig vanskelig når man kan gjøre det lett?

[Gjest medlem-82119]

Igjen, om man formaterer og lignende mister man alt men ikke over tid.

Man kan få maskinen opp og gå igjen og fortsette som før, kanskje med en dags tapt oversikt.

Her er jo poenget at man skal sørge for at brukeren mister mest mulig over tid, og da er det vel nesten eneste måten å gjøre det på?

[aklla]

Igjen, om man formaterer og lignende mister man alt men ikke over tid.

Man kan få maskinen opp og gå igjen og fortsette som før, kanskje med en dags tapt oversikt.

Her er jo poenget at man skal sørge for at brukeren mister mest mulig over tid, og da er det vel nesten eneste måten å gjøre det på?

 

ikke over tid??

om du tar ut disken av pc`n, hva har du igjen da?

hva er verst for deg og din styring av ditt imperie, at jeg fjerner ALT du har på disken, eller setter deg tilbake 6mnd?

 

 

forresten, når jeg tenker på formatering er det ikke standard fjerning av index, men total overskriving av alt, bare for å ha det på det tørre.

så ingen kan komme å restore index på ett par timer.

[Terrasque]

Dette har like mye med virkeligheten å gjøre som supermann har..

 

Med meget godt (og dyrt, ikke minst) utstyr kan man overvåke trafikken på en leder, men det er alt.

[Gjest medlem-82119]

I linken jeg henviste til tidligere, så er det jo flere produkter som kan hente ut data via en klips på kabelen.

Det er nok ikke hyllevare hos elkjøp, men hvis man vil ha det så finnes det.

 

http://www.tracespan.com/2_2LI%20Monitoring.html

 

http://verint.com/communications_intercept...category_id=407

 

Jeg antar det finnes mange tilsvarende produkter, og har man peiling så klarer man sikkert å snekre sammen noe selv også.

Å legge til data er vel heller ikke teknisk umulig, sikkert ikke vanskelig heller.

 

Problemet er å mate dataene tilbake på linja, men logisk sett så burde det vært mulig å bare sende dataene til maskinen via bredbåndet...skulle ikke tro det var nødvendig å mate dem tilbake på samme sted som de ble hentet ut.

 

Resten er jo også grei skuring, er vel til syvende og sist snakk om å legge inn en trojaner i maskinen.

 

Man kan selvsagt diskutere om det er den beste metoden å gjøre det, men teknisk sett så er det jo mulig å leke seg med slike ting.