WYKONYWANIE-ELEKTROINSTALACJI.PROCHOWICE.PL

Rozdzial 4
Porty standardowe oraz zwiazane z nimi uslugi
Podejrzewam, ze po przeczytaniu Rozdzialu 1. oraz Rozdzialu 3.
zaczynasz myslec, mowic, a moze nawet zachowywac sie jak haker.
Najwyzszy wiec czas, by zastosowac zdobyta wiedze dla poprawienia
bezpieczenstwa wlasnej sieci. W czesci tej przyjrzymy sie dokladniej
mechanizmom powodujacym, ze porty standardowe oraz odpowiadajace im
uslugi sa tak wrazliwe na roznego rodzaju ataki. Nastepnie, w
rozdziale 5., poznasz oprogramowanie, technike, oraz wiedze uzywana
przez hakerow i im podobnych.
Przeglad portow
Porty wejscia-wyjscia sa kanalami, przez ktore przeplywaja dane
pomiedzy roznorodnymi urzadzeniami i procesorem. Hakerzy poszukuja
otwartych, lub ,,nasluchujacych", a tym samym podatnych na atak portow,
aby nastepnie wykorzystac je do swoich celow. Narzedzia, takie jak np.
skanery portow (opisane dokladniej w rozdziale 5.) pozwalaja w krotkim
czasie przeszukac wszystkie z ponad 65 000 portow komputera.
Poszukiwania te skupiaja sie jednak glownie na pierwszych 1024 portach
nazywanych rowniez portami standardowymi. Porty te zarezerwowane sa
dla uslug systemowych, z tego tez powodu polaczenia wychodzace
realizowane sa poprzez porty o numeracji wyzszej niz 1023. Oznacza to
rowniez, ze wszystkie pakiety przychodzace poprzez porty ponad 1023.
sa odpowiedzia na wewnetrzne zadania.
        Skanowanie portow polega na zebraniu informacji o otwartych,
polotwartych oraz zamknietych portach komputera. Program tego typu
wysyla do kazdego przeszukiwanego portu zapytanie o jego status.
Komputer, nie majac zadnych dodatkowych informacji, automatycznie
wysyla zadana odpowiedx. Ofiara skanowania portow, bez zadnych
dodatkowych krokow, prawdopodobnie nigdy sie o tym nie dowie. W paru
kolejnych punktach skupie sie na opisaniu najbardziej znanych portow
standardowych wraz z odpowiadajacymi im uslugami i lukami przez nie
powodowanymi. Przyblize tez podstawowe techniki wykorzystujace zdobyta
wiedze.
Wiele portow uwazanych jest za wystarczajaco bezpieczne, by pominac je
w niniejszym opracowaniu. Zajmiemy sie wiec jedynie tymi, ktore moga
stanowic prawdziwe zagrozenie dla bezpieczenstwa systemu.
Porty TCP oraz UDP
Aby polaczenie pomiedzy dwoma komputerami moglo dojsc do skutku,
strona pragnaca nawiazac polaczenie musi znac numer portu gospodarza
do ktorego powinna sie polaczyc. Z tego powodu powstala specjalna
lista (opracowana przez IANA, a dostepna w RFC1700 oraz pod adresem
ftp://ftp.isi.edu/inotes/iana/assignments) wiazaca porty standardowe i
odpowiadajace im uslugi lub protokoly internetowe. Z kazdym portem
mozna sie komunikowac na wiele roznych sposobow nazywanych
protokolami. Istnieja dwa szczegolnie powszechne protokoly internetowe
- TCP oraz UDP (opisane odpowiednio w RFC793 i RFC768).
        Nalezy pamietac o tym, ze polaczenie przy pomocy protokolu TCP jest
realizowane w trzech stopniach pozwalajacych na dokladne
zsynchronizowanie strumienia pakietow wysylanych przez obie strony.
Taki sposob postepowania pozwala otrzymac pewny, stabilny,
zorientowany na polaczenie kanal informacji. Odmienna strategie
wykorzystuje protokol UDP. Nie inicjuje sie tutaj polaczenia, nie ma
tez pewnosci, ze datagramy beda przychodzic we wlasciwej kolejnosci.
Wynikiem takiego postepowania jest szybki, zorientowany na transmisje
kanal informacji.
        Tabele 4.1 oraz 4.2 zawieraja skrocona liste portow standardowych,
odpowiednio TCP i UDP, wraz z uslugami z nimi zwiazanymi (pelna lista
znajduje sie w Dodatku C na koncu tej ksiazki).
Tabela 4.1. Standardowe porty TCP oraz uslugi z nimi zwiazane
Numer portu     Usluga TCP             Numer portu     Usluga TCP
7       echo            115     sftp
9       discard         117     path
11      systat          119     nntp
13      daytime         135     loc-serv
15      netstat         139     nbsession
17      qotd            144     news
19      chargen         158     tcprepo
20      FTP-data                170     print-srv
21      FTP             175     vmnet
23      telnet          400     vmnet0
25      SMTP            512     exec
37      time            513     login
42      name            514     shell
43      whois           515     printer
53      domain          520     efs
57      mtp             526     temp
77      rje             530     courier
79      finger          531     conference
80      http            532     netnews
87      link            540     uucp
95      supdup          543     klogin
101     hostnames               544     kshell
102     iso-tsap                556     remotefs
103     dictionary              600     garcon
104     X400-snd                601     maitrd
105     csnet-ns                602     busboy
109     pop2            751     kerberos
110     pop3            752     kerberos-mast
111     portmap         754     krb_prop
113     auth            888     erlogin
Tabela 4.2. Standardowe porty UDP oraz uslugi z nimi zwiazane
Numer portu     Usluga UDP             Numer portu     Usluga UDP
7       echo            514     syslog
9       discard         515     printer
13      daytime         517     talk
17      qotd            518     ntalk
19      chargen         520     route
37      time            525     timed
39      rip             531     rvd-control
42      name            533     netwall
43      whois           550     new-rwho
53      dns             560     rmonitor
67      bootp           561     monitor
69      tftp            700     acctmaster
111     portmap         701     acctslave
123     ntp             702     acct
137     nbname          703     acctlogin
138     nbdatagram              704     acctprinter
153     sgmp            705     acctinfo
161     snmp            706     acctslave2
162     snmp-trap               707     acctdisk
315     load            750     kerberos
500     sytek           751     kerberos_mast
512     biff            752     passwd_server
513     who             753     userreg_serve
Luki w bezpieczenstwie zwiazane z portami standardowymi
Na potrzeby ksiazki opisy portow i uslug zostana przedstawione z
punktu widzenia hakera. Taka konstrukcja opisow ma za zadanie
uswiadomic, jakie szanse ma osoba postronna na przelamanie
zabezpieczen i na dostanie sie do naszego systemu, lub jego
uszkodzenie.
Numer portu: 7
Usluga: echo
Port ten wykorzystywany jest do analizowania biezacej kondycji
polaczenia internetowego. Zadaniem uslugi jest wysylanie do nadawcy
wszelkich otrzymanych od niego pakietow. Programem wykorzystujacym jej
wlasciwosci jest PING (Packet InterNet Groper). Podstawowy problem
dotyczacy tego portu zwiazany jest z niektorymi systemami
operacyjnymi, ktore dopuszczaja przetwarzanie pakietow o
nieprawidlowych rozmiarach. Najbardziej znanym sposobem wykorzystania
tej luki jest wyslanie do portu ofiary pojedynczego pakietu o
rozmiarach przekraczajacych 65 536 bajtow podzielonego na wiele
fragmentow. System operacyjny ofiary nie moze oczywiscie przetworzyc
czesciowo otrzymanego pakietu, oczekuje wiec na pozostala czesc.
Jezeli przydzielony jest statyczny bufor pakietu, powoduje to jego
przepelnienie, co w efekcie moze doprowadzic do zawieszenia dzialania
systemu, lub ponownego jego uruchomienia. Taktyka taka bardzo czesto
nazywana jest ,,Ping of Death". Innym powaznym zagrozeniem jest tzw.
,,Ping Flooding". Sposob ten polega na masowym wysylaniu w kierunku
portu ofiary pakietow PING. Poniewaz usluga odpowiada na kazdy pakiet,
moze to spowodowac wyczerpanie zasobow systemowych i sieciowych (np.
odciecie komputera od Internetu, lub spowolnienie jego pracy).
        Przyklad dzialania programu PING pokazany jest na rys. 4.1.
C:>ping task.gda.pl
Badanie task.gda.pl [153.19.253.204] z uzyciem 32 bajtow danych
Odpowiedx z 153.19.253.204: bajtow=32 czas=762ms TTL=247
Odpowiedx z 153.19.253.204: bajtow=32 czas=763ms TTL=247
Odpowiedx z 153.19.253.204: bajtow=32 czas=693ms TTL=247
Odpowiedx z 153.19.253.204: bajtow=32 czas=704ms TTL=247
Statystyka badania dla 153.19.253.204:
    Pakiety: Wyslane = 4, Odebrane = 4, Utracone = 0 (0% utraconych),
Szacunkowy czas bladzenia pakietow w milisekundach:
    Minimum = 693ms, Maksimum =  763ms, Srednia =  730ms
Rys. 4.1 Przyklad dzialania programu ping.
Numer portu: 11
Usluga: systat
Usluga ta zostala zaprojektowana do udzielania informacji o biezacych
procesach. Przy jej pomocy mozna wiec otrzymac informacje np. na temat
zainstalowanego w systemie oprogramowania, czy tez zalogowanych
uzytkownikow.
Numer portu: 15
Usluga: netstat
Podobnie do uslugi polaczonej z portem 11, netstat podaje informacje
dotyczace pracy systemu operacyjnego, takie jak np. informacje o
aktywnych polaczeniach, obslugiwanych protokolach, i wiele innych
rownie przydatnych z punktu widzenia atakujacego informacji. Typowy
wynik otrzymany z tego portu dla standardowego systemu Windows
przedstawiony jest na rys. 4.2.
Protokol  Adres lokalny         Obcy adres        Stan
TCP    pavilion:135          PAVILION:0             NASLUCHIWANIE
TCP    pavilion:1025         PAVILION:0             NASLUCHIWANIE
TCP    pavilion:1035         PAVILION:0             NASLUCHIWANIE
TCP    pavilion:1074         PAVILION:0             NASLUCHIWANIE
TCP    pavilion:138          PAVILION:0             NASLUCHIWANIE
TCP    pavilion:nbsession    PAVILION:0             NASLUCHIWANIE
TCP    pavilion:137          PAVILION:0             NASLUCHIWANIE
UDP    pavilion:1035         *:*
UDP    pavilion:1074         *:*
UDP    pavilion:nbname       *:*
UDP    pavilion:nbdatagram   *:*
Rys. 4.2 Informacje zdobyte przy pomocy portu uslugi netstat dla
standardowego systemu Windows.
Numer portu: 19
Usluga: chargen
Port numer 19, oraz zwiazana z nim usluga chargen wydaja sie byc
zupelnie nieszkodliwe. Jak sama nazwa wskazuje, dzialanie tej uslugi
polega na ciaglym generowaniu strumienia znakow przydatnym podczas
testowania polaczenia internetowego. Niestety, usluga ta jest podatna
na atak przy pomocy bezposredniego polaczenia telnetowego. Jesli
wygenerowany w ten sposob strumien znakow zostanie skierowany np. na
port 53 (DNS - Domain Name Service) moze to spowodowac blad ochrony w
usludze DNS, a w konsekwencji utrate zdolnosci systemu do tlumaczenia
nazw symolicznych na numery IP i odwrotnie.
Numery portow: 20, 21
Uslugi (w kolejnosci): FTP-data, FTP
Uslugi powiazane z portami 20 i 21 stanowia podstawe dzialania
protokolu FTP (File Transfer Protocol). Aby odczytac, lub zapisac plik
na serwerze FTP, musi zostac nawiazane rownolegle polaczenie sluzace
do transmisji danych. Tak wiec w typowej sytuacji port 21 sluzy
jedynie do wysylania rozkazow, oraz odbierania odpowiedzi, podczas gdy
rzeczywista transmisja danych odbywa sie poprzez port 20. Protokol FTP
umozliwia miedzy innymi na kopiowanie, usuwanie i zmiane plikow oraz
katalogow. W Rozdziale 5. omowione zostana dokladniej luki w
bezpieczenstwie powodowane przez serwery FTP, oraz techniki
pozwalajace atakujacemu niepostrzezenie kontrolowac system plikow
ofiary.
Numer portu: 23
Usluga: telnet
Usluga wlasciwa dla portu 23 jest powszechnie znanym protokolem
sluzacym do zdalnego logowania. Telnet dzialajac jako emulator
terminalu pozwala na logowanie sie, oraz uzywanie interpretera polecen
na zdalnym systemie. W zaleznosci od prekonfigurowanych ustawien
bezpieczenstwa, serwer ten moze pozwalac, i z regoly pozwala na
kontrole dostepu do systemu operacyjnego. Niestety, wykonanie
specjalnie zaprojektowanych skryptow przygotowanych dla konkretnych
wersji serwera potrafi doprowadzic do przepelnienia bufora, co w
niektorych wypadkach doprowadza do uzyskania pelnego dostepu do
systemu. Przykladem moze byc program TigerBreach Penetrator (rys.
4.3), ktory jest czescia pakietu TigerSuite (pakiet ten zamieszczony
zostal na CD dolaczonym do ksiazki, a jego dokladniejszy opis znajduje
sie Rozdziale 12.).
Rys. 4.3 TigerBreach Penetrator w akcji.
Numer portu: 25
Usluga: SMTP
Protokol SMTP (Simple Mail Transfer Protocol) jest glownie uzywany do
przenoszenia poczty elektronicznej. Standardowo serwery SMTP oczekuja
na przychodzaca poczte na porcie 25, zas odebrana poczte kopiuja do
odpowiednich skrzynek pocztowych. Jesli wiadomosc nie moze zostac
dostarczona, nadawcy zwracany jest komunikat bledu zawierajacy
poczatkowy fragment wiadomosci. Po uzyskaniu polaczenia poprzez
protokol TCP, komputer wysylajacy poczte (klient) czeka na komputer
odbierajacy poczte (serwer), aby wyslac wiersz tekstu identyfikujacy
klienta oraz informujacy, ze klient jest gotowy wyslac poczte. W
mechanixmie tym sumy kontrolne nie sa wymagane do nawiazania kontaktu
z powodu wewnetrznych mechanizmow kontrolujacych przeplyw danych w
protokole TCP. Kiedy poczta zostanie w calosci odebrana przez serwer,
polaczenie zostaje zwolnione. Podstawowymi problememi dotyczacymi
wymiany poczty elektronicznej sa m.in. ,,mail bombing" oraz ,,mail
spamming", ale nie brakuje rowniez wielu innych atakow typu DoS
(Denial of Service). Problemy te zostana dokladniej omowione w dalszej
czesci ksiazki.
Numer portu: 43
Usluga: whois
Usluga Whois (http://rs.Internic.net/whois.html) jest opartym na
protokole TCP serwerem dzialajacym na zasadzie ,,pytanie-odpowiedx"
pracujacym na niewielkiej liczbie specyficznych komputerow
centralnych. Jej zadaniem jest udostepnianie informacji o uslugach
dostepnych w sieci. Wiele domen utrzymuje swoje wlasne serwery Whois
zawierajace informacje o uslugach lokalnych. Serwisy tego typu sa
wykorzystywane przez hakerow i im podobnych podczas zbierania
informacji o potencjalnych ofiarach. Najpopularniejsze i najwieksze
bazy danych Whois dostepne sa na serwerze InterNIC (rys. 4.4).
Rys. 4.4 Na tej stronie mozna wysylac zapytania do uslugi Whois
polozonej na serwerze InterNIC.
Numer portu: 53
Usluga: domain
Nazwa domeny jest ciagiem znakow identyfikujacym jeden lub wiecej
adresow IP. Istnienie takiej uslugi jest uzasadnione chocby z tego
powodu, ze latwiej jest zapamietac nazwe symboliczna domeny, niz
cztero- lub szescioczlonowy adres IP. Zadaniem uslugi DNS (Domain Name
Service) jest tlumaczenie nazw symbolicznych na adresy IP i odwrotnie.
Tak jak to zostalo wyjasnione w poprzednich rozdzialach, datagramy
wedrujace poprzez siec Internet uzywaja adresow IP, dlatego tez
kazdorazowo gdy uzyty zostaje adres symboliczny, nalezy przetlumaczyc
go na odpowiadajacy mu adres IP. W uproszczeniu - kiedy uzytkownik
wprowadza adres symboliczny, na przyklad w przegladarce, nazwa
symboliczna wysylana zostaje do serwera DNS, ktory po odszukaniu
odpowiedniego rekordu w swojej bazie danych odsyla wlasciwy adres IP.
Niedawno prowadzono sledztwo w sprawie podmieniania adresow DNS.
Podmienianie datagramow wedrujacy od, lub do serwera DNS daje
atakujacemu, przykladowo, mozliwosc oszukania uzytkownika probujacego
polaczyc sie ze swoim serwerem pocztowym. Tak naprawde bedzie sie
probowal polaczyc do innego serwera, zdradzajac przy okazji haslo do
swojego konta pocztowego. Czeste sa tez przypadki roznego rodzaju
atakow typu DoS, powodujacych czasami niedostepnosc uslugi DNS.
Przyklad typowego zapytania DNS pokazany jest na rys 4.5.
Lista odpowiedzi:
Nazwa zasobu: tigertools.net
Typ: A  Klasa: IN
Adres IP: 207.155.252.47
Nazwa zasobu: tigertools.net
Typ: A  Klasa: IN
Adres IP: 207.155.252.14
Nazwa zasobu: tigertools.net
Typ: A  Klasa: IN
Adres IP: 207.155.248.7
Nazwa zasobu: tigertools.net
Typ: A  Klasa: IN
Adres IP: 207.155.248.9
Rys. 4.5 Typowa odpowiedx na zapytanie DNS.
Numer portu: 67
Usluga: bootp
Protokol bootp pozwala komputerom bez pamieci stalej na otrzymanie
wlasnego adresu IP. Serwer bootp rozpoznaje takie maszyny na podstawie
ich konfiguracji sprzetowej (najczesciej jest to adres MAC). Slabym
punktem protokolu bootp jest modul kernela, ktory podatny jest na
przepelnienia bufora, powodujace bledy systemu. Jakkolwiek wiekszosc
tego typu przypadkow jest wynikiem atakow z sieci lokalnej, starsze
systemy moga byc rowniez podatne na ataki z Internetu.
Numer portu: 69
Usluga: tftp
Protokol TFTP (Trivial File Transfer Protocol) jest uproszczona wersja
protokolu FTP sluzaca glownie do inicjowania i uaktualniania systemow
operacyjnych roznego rodzaju urzadzen sieciowych (glownie ruterow i
przelacznikow). TFTP zostal zaprojektowany tak, aby bylo mozliwe
zaimplementowanie go do pamieci ROM. Pozwala to wprawdzie na
inicjowanie urzadzen nie posiadajacych pamieci dyskowej, poniewaz
jednak urzadzenia tego typu nie moga sie posiadac wlasnej nazwy
uzytkownika i hasla, protokol ten nie posiada jakiejkolwiek kontroli
dostepu. Przy pomocy prostych sztuczek kazdy uzytkownik Internetu moze
skopiowac wazne dla bezpieczenstwa systemu pliki (np. /etc/passwd).
Numer portu: 79
Usluga: finger
Finger jest usluga podajaca informacje o kontach uzytkownikow.
Informacje udzielane przez ta usluge w duzej mierze zaleza od wersji i
konfiguracji serwera, oraz preferencji uzytkownika. Jednakze w
wiekszosci przypadkow mozna otrzymac co najmniej czesc informacji
sposrod takich, jak: pelna nazwa uzytkownika, adres, numer telefonu,
oraz informacje, czy uzytkownik jest w danym momencie zalogowany na
serwerze. Operacja otrzymywania informacji poprzez protokol finger
jest bardzo prosta: klient otwiera polaczenia do serwera i wysyla
odpowiednie zapytanie, po czym serwer przetwarza zapytanie, wysyla
odpowiedx i zamyka polaczenie. Przyklad danych otrzymanych przy pomocy
tej uslugi przedstawiony zostal na rys. 4.6. Czesc informacji zostala
zakryta dla zachowania anonimowosci uzytkownika.
Rys. 4.6 Przykladowa odpowiedx na zapytanie serwera finger.
Numer portu: 80
Usluga: http
Protokol HTTP (Hypertext Transfer Protocol) stanowi serce
ogolnoswiatowej sieci WWW (World Wide Web). Dzialanie serwera HTTP
polega na przyjmowaniu od klientow i wykonywaniu pojedynczych
rozkazow. Kazdy rozkaz jest wykonywany niezaleznie od pozostalych.
Dobrym przykladem dzialania serwera jest otwarcie dowolnej strony WWW
po wprowadzeniu w oknie przegladarki wlasciwego adresu URL. Powoduje
to wyslanie do serwera komendy inicjujacej pobranie z serwera
okreslonego przez URL pliku (strony WWW). Jednym z problemow
zwiazanych z serwerami HTTP sa przypadki podmieniania stron
udostepnianych na serwerach. Przyklad mozna znalexc na stronie
www.2600.com/hacked_pages (podmieniona strona Armii Stanow
Zjednoczonych - rys. 4.7).
Rys. 4.7 Podmieniona strona armii Stanow Zjednoczonych.
Numery portow: 109, 110
Uslugi (w kolejnosci): pop2, pop3
POP (Post Office Protocol) jest protokolem sluzacym do przenoszenia
poczty elektronicznej z serwera pocztowego na komputer uzytkownika. Z
historycznych powodow istnieja dwie wersje protokolu POP: POP2
(zaproponowany w dokumencie RFC937 z 1985 roku), oraz nowszy - POP3
(opisany w RFC1939). Podstawowa roznica pomiedzy nimi polega na tym,
ze korzystanie z protokolu POP2 wymaga uruchomionego serwera SMTP, w
przeciwienstwie do POP3, ktory moze samodzielnie odbierac poczte.
Protokol POP oparty jest na architekturze klient-serwer, w ktorej
poczte odbiera serwer pocztowy, a nastepnie przechowuje ja do momentu,
w ktorym uzytkownik zaloguje sie na serwerze i ja pobierze. Wiekszosc
wspolczesnych przegladarek internetowych posiada wbudowana obsluge
protokolu POP3 (naleza do nich m.in. produkty Netscape'a i
Microsoftu). Niedociagniecia w protokole pozwalaja na zdalne
zalogowanie sie na serwerze nawet wtedy, gdy zmienione zostalo haslo
dostepu do skrzynki pocztowej. Port uslugi POP3 jest rowniez podatny
na atak przy pomocy bezposredniego polaczenia telnetowego, mozliwe
jest wtedy uzyskanie niektorych waznych z punktu widzenia
bezpieczenstwa systemu informacji (rys. 4.8).
+OK.   XXX   POP3 server (Netscape Massaging Server - Version 3.6)
ready at. 26 Aug 2000 14:13:05-0500
Rys. 4.8 Bezposrednie polaczenie moze zdradzic wiele krytycznych dla
bezpieczenstwa systemu informacji.
Numery portow: 111, 135
Uslugi (w kolejnosci): portmap, loc-serv
Glownym zadaniem uslugi portmap jest tlumaczenie numerow
identyfikacyjnych RPC (Remote Procedure Call - system zdalnego
wywolywania procedur) na odpowiadajace im numery portow. Kiedy
uruchomiony zostanie serwer zgodny ze standardem RPC przekazuje on
swoj numer identyfikacyjny usludze portmap, ktora w odpowiedzi
przydziela mu wlasciwy numer, lub numery portow, ktore program moze
obslugiwac. Z tego powodu portmap musi znac kompletna liste
zarejestrowanych uslug i przydzielone do nich porty. Loc-serv jest
odmiana uslugi portmap uzywana w systemie operacyjnym Windows NT. Bez
nalezytej kontroli dostepu do uslugi portmap mozliwe jest
przechwycenie biezacej nazwy domeny NIS, co w pewnych okolicznosciach
moze pozwolic atakujacemu na skopiowanie pliku hasel (/etc/passwd).
Numery portow: 137, 138, 139
Uslugi (w kolejnosci): nbname, nbdatagram, nbsession
Usluga zwiazana z portem numer 137 (nbname), nazywana tez WINS lub
serwisem nazw NetBIOS, uzywana jest glownie w systemach opartych na
systemie operacyjnym Windows jako alternatywa dla uslugi DNS. Wezly
TCP/IP protokolu NetBIOS uzywaja pakietow UDP rozprzestrzenianych
przez komputery z portu numer 137 do rozpoznawania ich nazw. Wada tego
rozwiazania jest brak wlasciwej identyfikacji komputerow w sieci.
Kazdy komputer moze bowiem rozprzestrzeniac swoje wlasne pakiety
identyfikacyjne w imieniu innego komputera, lub w jego imieniu wysylac
odpowiedzi na zapytania, nim prawdziwy adresat zapytan bedzie w stanie
na nie odpowiedziec. W uproszczeniu: nbname jest uzywane do
rozprzestrzeniania nazw komputerow w sieci, nbdatagram - do
dystrybucji pozostalych informacji, nbsession sluzy zas do wlasciwej
komunikacji, i przesylania zasobow. Wykonanie komendy netstat -a
(przyklad na Rys. 4.9) na komputerze z uruchomionym systemem
operacyjnym Windows moze potwierdzic powyzsze informacje, a nawet
ujawnic potencjalne zakazenie koniem trojanskim.
C:>netstat -a
Aktywne polaczenia
  Protokol  Adres lokalny         Obcy adres        Stan
  TCP    ursa:epmap            ursa:0                 NASLUCHIWANIE
  TCP    ursa:microsoft-ds     ursa:0                 NASLUCHIWANIE
  TCP    ursa:1025             ursa:0                 NASLUCHIWANIE
  TCP    ursa:1027             ursa:0                 NASLUCHIWANIE
  TCP    ursa:netbios-ssn      ursa:0                 NASLUCHIWANIE
  UDP    ursa:epmap            *.*
  UDP    ursa:microsoft-ds     *.*
  UDP    ursa:1026             *.*
  UDP    ursa:microsoft-ns     *.*
  UDP    ursa:microsoft-dgm    *.*
  UDP    ursa:isakmp           *.*
Rys. 4.9 Przykladowy wynik wykonania polecenia netstat -a.
Numer portu: 144
Usluga: news
Usluga news (Network-extensible Window System) jest nakladka okienkowa
na system operacyjny UNIX opracowana przez Sun Microsystems. Jej jadro
stanowi wielowatkowy interpreter jezyka PostScript z mozliwoscia
obslugi grafiki ekranowej oraz nawet bardzo skomplikowanych zdarzen
wejsciowych. Istnieja powody, by obawiac sie atakow hackerow
skierowanych na ta usluge.
Numery portow: 161, 162
Uslugi (w kolejnosci): snmp, snmp-trap
Simple Network Management Protocol (SNMP) jest, w skrocie, protokolem
sluzacym do zarzadzania i monitorowania urzadzen sieciowych. Jego
dzialanie opiera sie na wysylaniu do roznych urzadzen sieciowych
(agentow) specjalnych wiadomosci. Urzadzenia te przechowuja bazy
danych informacji o sobie, za pomoca ktorych w razie potrzeby
udzielaja odpowiedzi na zapytania serwerow SNMP koordynujacych praca
sieci. Poniewaz poprzez protokol SNMP transmituje sie bardzo wazne dla
pracy sieci dane, porty te ciesza sie zainteresowaniem ze strony
hakerow, daja potencjalnie duze mozliwosci do naduzyc (takich jak np.
przekonfigurowywanie urzadzen sieciowych).
Numer portu: 512
Usluga: exec
Port numer 512 jest uzywany przez funkcje rexec() do zdalnego
wykonywania polecen. Jesli port bardzo czesto nasluchuje, lub jest
aktywny, moze to oznaczac ze serwer startuje automatycznie. W takich
przypadkach sugeruje to prace X-Windows. Jesli na dodatek port ten nie
jest w zaden dodatkowy sposob chroniony, mozliwe jest np. zdalne
robienie zrzutow ekranowych, przechwytywanie bufora klawiatury, a
nawet uruchamianie programow. Dla informacji - jesli usluga exec jest
dostepna w systemie, a dodatkowo port 6000 akceptuje polaczenia
telnetowe mozliwy jest atak DoS z mozliwoscia zawieszenia dzialania
systemu wlacznie.
Numery portow: 513, 514
Uslugi (w kolejnosci): login, shell
Porty 513 i 514 sa uwazane za uprzywilejowane, gdyz za ich pomoca
mozliwe jest zdalne wykonywanie polecen na systemach typu UNIX. Z tego
tez powodu porty te sa celem bardzo wielu roznego rodzaju atakow,
szczegolnie podmieniania pakietow. Port 514 uzywany jest przez usluge
rsh, dzialajaca jako interaktywna powloka, dostepna bez jakiejkolwiek
koniecznosci logowania. Identyfikacje przeprowadza glownie przy pomocy
adresu klienta (stad czeste przypadki ,,spoofingu"). Obecnosc tej
uslugi w systemie sugeruje aktywnosc serwera X-Windows. Korzystajac z
tradycyjnych metod, przy uzyciu jedynie telnetu mozliwe jest
nawiazanie polaczenia z usluga (rys. 4.10 - czesc danych zostala
zakryta dla zachowania anonimowosci celu ataku).
Trying XXX.XXX.XXX.XXX
Connected to XXX.XXX.XXX.XXX
Escape character is '^]'
Rys. 4.10 Przyklad udanego sprawdzenia statusu okreslonego portu (port
otwarty).
Numer portu: 514
Usluga: syslog
Jako czesc wewnetrznego mechanizmu rejestracji zdarzen, port 514 moze
byc celem atakow typu DoS. Podatnosc na ataki tego typu sprawdzic
mozna w prosty sposob przy pomocy skanera UDP.
Numery portow: 517, 518
Uslugi (w kolejnosci): talk, ntalk
Serwery talk sa interaktywnymi programami komunikacyjnymi zadaniem
ktorych jest umozliwianie konwersacji w trybie tekstowym i czasie
rzeczywistym pomiedzy dwoma uzytkownikami systemow UNIX. Calosc sklada
sie z serwera oraz klienta talk (nowsze serwery - ntalk - nie sa
kompatybilne z poprzednimi wersjami). Mimo, ze serwer wydaje sie byc
bezpiecznym, w rzeczywistosci tak nie jest - klient inicjuje
polaczenie z serwerem poprzez przypadkowy port TCP co daje pole dla
roznego rodzaju zdalnych atakow.
Numer portu: 520
Usluga: route
Proces wyznaczania tras pakietow pomiedzy dowolnymi dwoma komputerami
w Internecie realizowany jest przy pomocy ruterow, oraz specjalnego
protokolu, kontrolujacego przesyl danych o biezacej topologii sieci
pomiedzy sasiadujacymi ruterami. Chyba najczesciej uzywanym w takich
sytuacja protokolem jest RIP (Routing Information Protocol), uzywajacy
portu UDP numer 520. Rowniez wiele ruterow sprzetowych uzywa do
komunikacji tego samego portu. Dzieki programom przechwytujacym
pakiety w sieci mozna uzyskac bardzo wazne dane na temat topologii
sieci.
Numer portu: 540
Usluga: uucp
Protokol uucp (UNIX-to-UNIX Copy Protocol) wymaga zestawu programow do
transmisji plikow pomiedzy roznymi systemami UNIX-owymi lecz, co
wazniejsze, rowniez wykonywania polecen na zdalnych systemach. I mimo,
ze protokol ten zostal wyparty przez inne, bardziej uniwersalne i
poreczne, takie jak na przyklad FTP i SMTP, na wielu systemach dalej
spotyka sie aktywna usluge UUCP uzywana w celach administracyjnych. W
zaleznosci od systemu i wersji serwera istnieja rozne sztuczki
pozwalajace uzytkownikom kont UUCP na powiekszenie swoich uprawnien.
Numery portow: 543, 544, 750
Uslugi (w kolejnosci): klogin, kshell, kerberos
Uslugi powiazane z powyzszymi portami reprezentuja system
identyfikacji Kerberos. Glownym zalozeniem tego projektu jest
stworzenie srodowiska pozwalajacego na bezpieczna wymiane poufnych
informacji przy pomocy sieci publicznej. Metoda polega na
przydzielaniu kazdemu uzytkownikowi unikalnych kluczy lub tzw.
,,biletow". Nastepnie, dla identyfikacji i autentyfikacji, dane sa przy
pomocy tychze biletow szyfrowane. Nalezy jednakze filtrowac dostep do
tych portow, gdyz podatne sa one na roznego rodzaju ataki, wlaczajac w
to przepelnienia buforow, podmienianie pakietow, ukryte sesje i
podkradanie biletow.
Niezidentyfikowane uslugi
Roznego rodzaju programy hakerskie, ktorych celem jest przedostanie
sie do systemu ofiary, zwykle zaprojektowane sa do zainstalowania w
systemie tylnych drzwi lub innej luki w bezpieczenstwie. Nie zawsze
wprawdzie intencje atakujacego sa groxne, moze on jednak dzialac
zlosliwie i wyrzadzic powazne szkody. Oprogramowanie opisane w tej
czesci zaklasyfikowac mozna do jednej z trzech kategorii: wirusow,
robakow i koni trojanskich. Podzial ten zostanie dokladniej omowiony w
dalszych czesciach ksiazki. Na razie wystarczy wiedziec, ze:
-       wirusy sa programami rozprzestrzeniajacymi sie poprzez zarazanie
innych programow, uzytkowych lub tez systemowych,
-       robaki potrafia sie rozprzestrzeniac-         nie wymagajac przy tym
nosiciela, potrafia rowniez rowniez juz w momencie infekcji
kompilowac-     swoj kod, lub w inny sposob rozprzestrzeniac-        swoje
kopie, zachowujac w ten sposob cokolwiek duze tempo
rozprzestrzeniania,
-       konie trojanskie sa zwyklymi (lub wygladajacymi na zwykle)
programami, udajacymi czesto przydatne oprogramowanie, lecz
wykonujacymi pewne operacje bez wiedzy ich uzytkownika.
Wiekszosc programow opisanych w tej czesci ksiazki dostepna jest na
plycie CD dolaczonej do ksiazki, lub poprzez TigerTools Repository,
ktore jest rowniez dostene na plycie CD.
Numery portow: 21, 5400-5402
Programy: Back Construction, Blade Runner, Fore, FTP Trojan, Invisible
FTP, Larva, WebEx, WinCrash
Programy te (pokazane na rys. 4.11) uzywaja glownie portu 21,
funkcjonalnie stanowia zas serwery FTP. Dzieki temu atakujacy moze
kopiowac pliki na komputer ofiary, jak i w odwrotnym kierunku.
Niektore z tych programow posiadaja moduly serwera, jak rowniez
klienta, wiekszosc z nich uzywa kluczy Rejestru Systemowego.
Przykladowo, powszechne wersje programu Blade Runner uzywaja jako
punktu startowego nastepujacego klucza Rejestru:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
Rys. 4.11 Back Construction, Blade Runner oraz WebEx.
Numer portu: 23
Program: Tiny Telnet Server (TTS)
TTS jest emulatorem terminala pozwalajacym na zdalne wykonywanie
polecen tak, jak gdyby byly one wykonywane lokalnie na zainfekowanym
systemie. Wykonywane komendy maja uprawnienia administratora, lub
uzytkownika uprzywilejowanego. Program instaluje sie jako C:WINDOWS
windll.exe. Uzywa tez nastepujacego klucza Rejestru:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun -
windll.exe="C:WINDOWSwindll.exe"
Numery portow: 25, 110
Programy: Ajan, Antigen, Email Password Sender, Haebu Coceda, Happy
99, Kuang2, ProMail Trojan, Shtirlitz, Stealth, Tapiras, Terminator,
WinPC, WinSpy
Ukrywajac sie pod postacia dowcipu, lub ladnej grafiki programy te
przesylaja atakujacemu hasla systemowe, pozwalaja mu kontrolowac
skrzynki pocztowe uzytkownikow, przechwytuja sekwencje naciskanych
kawiszy, pozwalaja inicjowac ataki typu DoS, i stanowia zdalne lub
lokalne tylne wejscie do systemu. Kazdy z wyzej wymienionych programow
uzywa roznych nazw dla swoich plikow, roznych kluczy Rejestru i roznej
przestrzeni pamieci operacyjnej. Jedynym elementem wiazacym jest
wspoluzywany port TCP numer 25.
Numery portow: 31, 456, 40421-40426
Programy: Agent31, Hackers Paradise, Masters Paradise
Tego rodzaju zlosliwe programy, uzywajace portu 31 obejmuja swoim
dzialaniem zdalna administracje, jak na przyklad przekierowywanie
aplikacji i plikow czy edycje Rejestru Systemowego (na rys. 4.12
znajduje sie przyklad systemu zdalnej administracji z mozliwoscia
przegladania uslug zakazonego komputera). W wypadku zarazenia
atakujacy moze przejac pelna kontrole nad systemem swojej ofiary...
Rys. 4.12 Kontrolowanie ofiary przy pomocy portu 31 moze byc dla niej
wielce szkodliwe.
Numery portow: 41, 999, 2140, 3150, 6670-6671, 60000
Program: Deep Throat
Deep Throat posiada wiele funkcji, wlaczajac w to ukryty serwer FTP (z
mozliwoscia kasowania plikow, oraz kopiowania w obie strony). Z
pozostalych funkcji wymienie chocby mozliwosc zdalnego robienia
zrzutow ekranu, podgladania hasel, operowania przegladarka
internetowa, wylaczania komputera a nawet kontrolowanie obslugi
zdarzen innych uruchomionych programow.
Rys. 4.13 Panel kontrolny programu Deep Throat.
Numer portu: 59
Program: DMSetup
DMSetup zostal zaprojektowany, by udawac klienta mIRC. Raz
uruchomiony, instaluje sie w roznych miejscach drzewa katalogow
powodujac duze spustoszenia w plikach startowych i jednoczesnie
uszkadzajac pliki konfiguracyjne programu mIRC. W rezultacie zas
program stara sie rozprzestrzenic do wszystkich osob kontaktujacych
sie z zarazonym komputerem.
Numery portow: 79, 5321
Program: Firehotker
Program ten znany jest rowniez jako Firehotker Backdoorz.
Prawdopodobnie zostal zaprogramowany jako narzedzie sluzace do zdalnej
administracji systemem zainfekowanego komputera, lecz w wiekszosci
przypadkow jedynie zuzywa zasoby spowalniajac dzialanie systemu.
Program wystepuje pod postacia pliku server.exe nie uzywajac przy tym
kluczy Rejestru.
Numer portu: 80
Program: Executor
Ten bardzo niebezpieczny program, sluzacy do zdalnego wykonywania
polecen, powstal z mysla o zniszczeniu plikow systemowych i
konfiguracyjnych zaatakowanego komputera. (rys. 4.14). Serwer
instaluje sie jako plik sexec.exe uzywajac jednoczesnie nastepujacego
klucza Rejestru:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun -
Executer1="C:windowssexec.exe"
Rys. 4.14 Executor jest zawsze gotowy by zniszczyc twoje pliki
systemowe.
Numer portu: 113
Program: Kazimas
Kazimas jest robakiem rozprzestrzeniajacym sie pomiedzy uzytkownikami
mIRC-a. Wystepuje pod postacia pliku milbug_a.exe, o rozmiarach w
przyblizeniu 10 KB. Po zarazeniu kopiuje sie do nastepujacych
katalogow:
C:WINDOWSkazimas.exe
C:WINDOWSSYSTEMpsys.exe
C:icqpatch.exe
C:MIRCnuker.exe
C:MIRCDOWNLOADmirc60.exe
C:MIRCLOGSlogging.exe
C:MIRCSOUNDplayer.exe
C:GAMESspider.exe
C:WINDOWSfreemem.exe
        Program uszkadza pliki konfiguracyjne mIRC-a, i stara sie
rozprzestrzenic do wszystkich uzytkownikow komunikujacych sie z
zarazona maszyna.
Numer portu: 119
Program: Happy99
Happy99 ukrywa swoja destrukcyjna nature udajac nieszkodliwy program
wyswietlajacy okno i sekwencje ogni sztucznych. W tle zas instaluje
sie jako aplikacja udostepniajaca atakujacemu hasla systemowe, dostep
do poczty elektronicznej, obsluge atakow DoS, oraz tylne wejscie do
systemu operacyjnego ofiary.
Rys. 4.15 Happy99 ukrywajacy sie ukrywajacy sie pod postacia feerii
seerii bardzo efektownych ogni sztucznych.
Numer portu: 121
Program: JammerKillah
JammerKillah jest koniem trojanskim opracowanym i skompilowanym dla
unieszkodliwienia programu Jammer. Po wykonaniu odszukuje i
unieszkodliwia programy Back Orifice oraz NetBus.
Numery portow: 531, 1045
Program: Rasmin
Wirus ten, napisany w Visual C++, uzywa portu TCP numer 531 (normalnie
uzywany przez usluge konferencji). Chodza pogloski, ze serwer ten
pozostaje bierny do momentu otrzymania specjalnego rozkazu od swojego
tworcy. Badania wykazaly, ze ukrywa sie pod nastepujacymi nazwami
plikow:
Rasmin.exe
Wspool.exe
Winsrvc.exe
Inipx.exe
Upgrade.exe
Numery portow: 555, 9989
Programy: Ini-Killer, NeTAdmin, phAse Zero (na rys. 4.16), Stealth Spy
Glownym zadaniem tych programu, poza szpiegowaniem i kopiowaniem
plikow, jest zniszczenie zaatakowanego systemu. Nalezy wiec pamietac,
ze jedynym sposobem, by zarazic sie trojanem, jest jego uruchomienie.
Rys. 4.16 Niektore mozliwosci programu phAse Zero.
Numer portu: 666
Programy: AttackFTP, Back Construction, Cain&Abel, Satanz Backdoor
(rys. 4.17), ServeU, Shadow Phyre
Dzialanie AttackFTP ogranicza sie do zainstalowania serwera FTP z
pelnymi prawami do kopiowania w obie strony. Back Costruction zostal
omowiony przy okazji portu 21. Cain zostal napisany do przechwytywania
hasel, podczas gdy Abel jest serwerem umozliwiajacym pelny dostep do
plikow ofiary. Oba programy (Cain&Abel) nie potrafia sie replikowac.
Satanz Backdoor, ServeU i Shadow Phyre znane sa z tego, ze instaluja
serwery umozliwiajace zdalny dostep, zuzywajac przy tym bardzo
niewiele zasobow systemowych.
Rys. 4.17 Satanz Backdoor.
Numer portu: 999
Program: WinSatan
WinSatan jest programem potrafiacym laczyc sie do roznych serwerow
IRC, pozostawiajac polaczenia nawet po wlasnym zamknieciu. Program
uruchamia sie w tle, bez jakichkolwiek sladow w Menadzerze Zadan. Po
krotkiej obserwacji mozna zauwazyc, ze program jedynie rozprzestrzenia
sie, zuzywajac zasoby i powodujac chaos w systemie.
Numery portow: 1001
Programy: Silencer, WebEx
WebEx zostal juz opisany przy okazji portu 21. Silencer sluzy zas do
zdalnej kontroli zasobow, i jako taki ma bardzo ograniczone funkcje
(rys. 4.18).
Rys. 4.18 Silencer zostal napisany do zdalnej kontroli zasobow.
Numery portow: 1010-1015
Program: Doly Trojan
Ten trojan znany jest z umiejetnosci przejmowania calkowitej kontroli
nad zainfekowanym komputerem, z tego tez powodu uwazany jest za jeden
z najbardziej niebezpiecznych. Program uzywa roznych portow, potrafi
tez prawdopodobnie zmieniac nazwe swojego pliku. Do Rejestru
Systemowego dolaczany jest podczas instalacji Doly Trojan nastepujacy
klucz:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun -
tesk.exe
Rys. 4.19 Opcje programu Doly Trojan.
Numery portow: 1024, 31338, 31339
Program: NetSpy
NetSpy (rys. 4.20) jest kolejnym serwerem przeznaczonym do
szpiegowania zarazonego systemu. Program pozwala atakujacemu na zdalne
kontrolowanie nawet do 100 komputerow. NetSpy posiada m.in.
nastepujace mozliwosci:
-       pokazuje liste otwartych i zminimalizowanych okien,
-       pozwala zmieniac-       katalog roboczy,
-       pozwala na zdalna kontrole serwera (wlacznie z jego natychmiastowym
usunieciem),
-       pozwala uzyskac-        pelna liste plikow i katalogow,
-       pozwala uzyskiwac-      podstawowe informacje na temat systemu,
-       pozwala wysylac-       komunikaty uzytkownikowi zarazonego komputera,
-       pozwala ukrywac-        i pokazywac-   klawisz Start,
-       pozwala ukrywac-        pasek zadan,
-       pozwala wykonac-        (i ukryc-     ) dowolna aplikacje Windows lub DOS.
Rys. 4.20 Klient NetSpy.
Numer portu: 1042
Program: BLA
BLA jest serwerem, ktory po zainstalowaniu w systemie ofiary pozwala
atakujacemu m.in. na zdalne sterowanie, wysylanie pakietow ICMP,
zdalne wylaczenie komputera, oraz bezposrednie wysylanie wiadomosci
uzytkownikowi. BLA uzywa nastepujacych kluczy Rejestru:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun -
System=,,c:windowssystemmprdll.exe"
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun -
SystemDoor=,,c:windowssystemrundll argp1"
Rys. 4.21 Trojan BLA jest uzywany do wywolania zamieszania u ofiary.
Numery portow: 1170, 1509
Programy: Psyber Stream Server, Streaming Audio Trojan
Programy te zaprojektowane zostaly dla jednego celu - wyslania ofierze
strumienia audio. Po udanym zainstalowaniu programu, atakujacy moze
odtworzyc na glosnikach ofiary cokolwiek tylko zechce.
Numer portu: 1234
Program: Ultors Trojan
Ultors jest jeszcze jednym programem zaprojektowanym do umozliwienia
zdalnego uruchamiania programow i polecen systemowych, kontrolowania
uruchomionych procesow oraz wylaczania zarazonego komputera. Z biegiem
czasu jego mozliwosci zostaly poszerzone o zdolnosc do wysylania
komunikatow oraz wyswietlania komunikatow bledow.
Numery portow: 1243, 6776
Programy: BackDoor-G, SubSeven, SubSevenApocalypse
Programy te sa roznymi odmianami nieslawnego programu Sub7 (rys.
4.22). Po zarazeniu daja one atakujacemu za posrednictwem Internetu
nieograniczony dostep do komputera ofiary. Programy instalacyjne sa z
regoly zamaskowane jako roznego rodzaju dowcipy, glownie
rozprzestrzeniajac sie poprzez zalaczniki do poczty elektronicznej.
Wystepuja pod nastepujacymi nazwami plikow (ich nazwy moga sie
zmieniac):
C:WINDOWSnodll.exe
C:WINDOWS server.exe  lub  kernel16.dl  lub tez  window.exe
C:WINDOWSSYSTEMwatching.dll  lub  lmdrk_33.dll
Rys. 4.22 SubSevenApocalypse.
Numer portu: 1245
Program: VooDooDoll
VooDoo Doll jest polaczeniem mozliwosci swoich poprzednikow. Glownym
zadaniem programu jest spowodowanie jak najwiekszego zamieszania (rys.
4.23). Spolecznosc hakerska twierdzi, ze niektorzy rozprowadzaja go
wraz z dodatkowymi programami, znanymi z tego, ze po uruchomieniu
przez VooDoo Doll usuwaja nieodwracalnie zawartosc dysku (poprzez
zapisanie zawartosci oryginalnych plikow), niszczac czasem pliki
systemowe.
Rys. 4.23 Wybor funkcji VooDoo Doll.
Numer portu: 1492
Program: FTP99CMP
FTP99CMP jest prostym serwerem FTP uzywajacym nastepujacego klucza
Rejestru:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun -
windll_16
Numer portu: 1600
Program: Shivka-Burka
Ten kon trojanski udostepnia proste mozliwosci (kopiowanie i kontrola
plikow), i z tego pewnie powodu jest rzadko spotykany. Program nie
uzywa Rejestru Systemowego, ani tez portu innego niz 1600.
Numer portu: 1981
Program: Shockrave
Znana jest tylko jedna kompilacja tego programu, funkcjonalnie
bedacego ukrytym sewerem telnet. Podczas konfiguracji uzywany jest
nastepujacy klucz Rejestru:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
RunServices - NetworkPopup
Numer portu: 1999
Program: BackDoor
Jako jeden z pierwszych koni trojanskich instalujacych tylne wejscia
do systemow, BackDoor (rys. 4.24) zostal rozprzestrzeniony na calym
swiecie. Mimo, ze napisany w jezuku Visual Basic, serwer ten ma
calkiem spore mozliwosci, wlaczajac w to:
-       kontrole napedu CDROM,
-       kontrole kombinacji CTRL-ALT-DEL oraz CTRL-ESC,
-       wysylanie wiadomosci,
-       rozmowe z uzytkownikiem zaatakowanego komputera,
-       wyswietlanie listy uruchomionych aplikacji,
-       zarzadzanie plikami,
-       kontrole API Windows,
-       zamrazanie pozycji myszy.
Podczas konfiguracji uzwany jest nastepujacy klucz Rejestru:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun -
notps
Rys. 4.24 BackDoor jest jednym z pierwszych koni trojanskich
udostepniajacych opcje zdalnego sterowania.
Numery portow: 1999-2005, 9878
Program: Transmission Scout
Niemieckiej produkcji kon trojanski udostepniajacy zdalna kontrole.
Transmission Scout posiada wiele niebezpiecznych funkcji. Podczas
swojej instalacji uzywa klucza Rejestru:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun -
kernel16
Jakkolwiek program jest raczej rzadko spotykany, zostal uzupelniony
tak, by posiadac nastepujace funkcje:
-       restartowanie i wylaczanie komputera,
-       uzyskiwanie informacji o systemie,
-       reagowanie na wiadomosci ICQ i poczte przychodzaca,
-       uzyskiwanie hasel,
-       kontrola dxwieku,
-       kontrola myszy,
-       kontrola paska zadan,
-       kontrole otwartych okien,
-       wysylanie wiadomosci,
-       edycja Rejestru,
-       zmienianie zawartosci pulpitu,
-       wykonywanie zrzutow ekranu.
Numer portu: 2001
Program: Trojan Cow
Ten kon trojanski, tak jak wiekszosc innych, pozwala na zdalne
wykonywanie roznego rodzaju polecen. W zakres jego mozliwosci wchodza
m.in.:
-       otwieranie i zamykanie napedu CDROM,
-       wlaczanie i wylaczanie monitora,
-       usuwanie i przywracanie ikon pulpitu,
-       otwieranie i zamykanie menu Start,
-       ukrywanie i przywracanie paska zadan,
-       ukrywanie i przywracanie zegara,
-       zamienianie pozycjami klawiszy myszy,
-       zmiana tapety pulpitu,
-       uchwycenie wskaxnika myszy w rogu ekranu,
-       usuwanie plikow,
-       uruchamianie programow,
-       ukrywanie dzialania programow,
-       zamykanie systemu ofiary,
-       restartowanie komputera ofiary,
-       wylogowywanie sie z systemu,
-       wylaczanie komputera.
Podczas konfiguracji, program uzywa nastepujacego klucza Rejestru:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun -
SysWindow
Numer portu: 2023
Program: Ripper
Ripper jest jednym ze starszych programow. Jego zadaniem jest
rejestrowanie sekwencji nacisnietych klawiszy, glownie w celu
przechwytywania hasel. Ma jednak powazna wade, utrudniajaca jego
wykorzystanie - nie potrafi on mianowicie uruchomic sie po restarcie
systemu.
Numer portu: 2115
Program: Bugs
Serwer ten (rys. 4.25) jest jeszcze jednym udostepniajacym zdalny
dostep, z funkcjami pozwalajacymi miedzy innymi na zarzadzanie
plikami, oraz oknami programow. Podczas instalacji uzywany jest
nastepujacy klucz Rejestru:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun -
SysTray
Rys. 4.25 Interferjs uzytkownika programu Bugs.
Numery portow: 2140, 3150
Program: The Invasor
Invasor jest programem, ktory w zestaw swoich mozliwosci wlacza
przechwytywanie hasel, wysylanie komunikatow, kontrole dxwieku,
zmienianie rozdzielczosci ekranu oraz przechwytywanie jego zawartosci
(rys. 4.26).
Rys. 4.26 Wybor funkcji programu Invasor.
Numer portu: 2155, 5512
Program: Illusion Mailer
Programu Illusion Mailer pozwala atakujacemu wysylac poczte poslugujac
sie adresem IP ofiary (w szczegolnosci wysylac poczte w jej imieniu).
Poniewaz naglowek tak wyslanego listu zawiera adres ofiary, wiec
bardzo trudno jest odnalexc prawdziwego nadawce. Podczas instalacji
wykorzystywany jest klucz Rejestru:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
RunServices - Sysmem
Numer portu: 2565
Program: Striker
Glownym zadaniem tego programu jest zniszczenie systemu Windows. Na
szczescie program nie aktywuje sie wiecej po restarcie systemu, tak
wiec jego znaczenie jest raczej niewielkie.
Numer portu: 2583, 3024, 4092, 5742
Program: WinCrash
WinCrash pozwala przejac atakujacemu pelna kontrole nad systemem.
Posiada wiele mozliwosci, m.in. opcje powodujace znaczne obciazenie
systemu. Z tego powodu uwazany jest za stosunkowo niebezpieczny.
Rys. Narzedzia udostepniane przez program WinCrash.
Numer portu: 2600
Program: Digital RootBeer
Kolejny bardzo irytujacy program. W zakres jego mozliwosci wchodza:
-       wysylanie komunikatow, oraz mozliwosc-      prowadzenia rozmowy z
uzytkownikiem zaatakowanej maszyny,
-       kontrolowanie pracy urzadzen takich jak monitor, modem czy karta
dxwiekowa,
-       zatrzymywanie pracy systemu,
-       kontrolowanie okien aplikacji.
Podczas instalacji wykorzystywany jest nastepujacy klucz Rejestru:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
RunServices - ActiveX Console
Numer portu: 2801
Program: Phineas Phucker
Program ten (rys. 4.28), przysparzajacy uzytkownikom zaatakowanych
komputerow wiele problemow, posiada wiekszosc funkcji typowych dla
koni trojanskich umozliwiajacych zdalny dostep.
Rys. 4.28 Phineas Phucker.
Numer portu: 2989
Program: RAT
Program ten jest bardzo niebezpiecznym serwerem zdalnego dostepu,
poniewaz jego glownym celem jest zniszczenie zawartosci twardych
dyskow zaatakowanego komputera. Podczas instalacji uzywane sa
nastepujace klucze Rejestru Systemowego:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun -
Explorer="C:WindowsSystemmsgsvr16.exe"
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
RunServices - Default=" "
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
RunServices - Explorer=" "
Numery portow: 3459-3801
Program: Eclipse
Eclipse jest kolejnym ukrytym serwerem FTP. Po wykonaniu udostepnia
wszystkie pliki w systemie, zezwalajac nie tylko na odczyt i zapis,
ale rowniez na ich uruchamianie. Podczas instalacji programu uzywany
jest nastepujacy klucz Rejestru:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun -
Rnaapp="C:WindowsSystemrmaapp.exe"
Numery portow: 3700, 9872-9875, 10067, 10167
Program: Portal of Doom
Mozliwosci tego progamu (rys. 4.29) to miedzy innymi:
-       kontrola napedu CD-ROM,
-       kontrola urzadzenia dxwiekowego,
-       eksploracja systemu plikow komputera,
-       kontrola paska zadan,
-       kontrola pulpitu,
-       przechwytywanie hasel oraz naciskanych przez uzytkownika klawiszy,
-       zarzadzanie plikami.
Rys. 4.29 Mozliwosci programu Portal of Doom.
Numer portu: 4567
Program: File Nail
File Nail jest programem atakujacym i rozprzestrzeniajacym sie wsrod
uzytkowniko ICQ (rys. 4.30). Efektem dzialania programu jest
uszkodzenie klienta ICQ na zaatakowanym komputerze.
Rys. 4.30 File Nail zostal zaprojektowany do uszkodzenia serwerow ICQ.
Numer portu: 5000
Program: Bubbel
To jeszcze jeden program integrujacy w systemie tzw. ,,tylne drzwi"
posiadajacy mozliwosci podobne do programu Trojan Cow wlaczajac w to:
-       wysylanie wiadomosci,
-       kontrole pracy monitora,
-       kontrole okien programow,
-       zatrzymywanie pracy systemu,
-       kontrole pracy modemu,
-       mozliwosc-    prowadzenia rozmowy z uzytkownikiem opanowanego
komputera,
-       kontrole dxwieku,
-       przechwytywanie hasel i naciskanych klawiszy,
-       drukowanie,
-       kontrolowanie pracy przegladarki.
Numery portow: 5001, 30303, 50505
Program: Sockets de Troie
Sockets de Troie jest wirusem, ktory rozprzestrzeniajac sie integruje
w zaatakowanych systemach "tylne drzwi" sluzace do zdalnej
administracji systemem. Raz wykonany kopiuje sie do katalogu Windows
System jako plik mschv.exe, oraz modyfikuje Rejestr Systemu. Podczas
instalacji uzywane sa z regoly nastepujace klucze Rejestru:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
RunLoadMschv32 - Drv="C:WindowsSystemMSchv32.exe"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunLoad -
Mgadeskdll="C:WindowsSystemMgadeskdll.exe"
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunLoad -
Rsrcload="C:WindowsRsrcload.exe"
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
RunServicesLoad - Csmctrl32="C:WindowsSystemCsmctrl32.exe"
Numer portu: 5569
Program: Robo-Hack
Robo-Hack jest jednym ze starszych trojanow napisanych w jezyku Visual
Basic. Program nie potrafi sie samodzielnie rozprzestrzeniac, ani tez
nie uruchamia sie po ponownym uruchomieniu systemu. Jego ograniczone
funkcje (rys. 4.31) obejmuja:
-       monitorowanie pracy systemu,
-       edycje plikow,
-       restartowanie i wylaczanie systemu,
-       wysylanie komunikatow,
-       kontrolowanie pracy przegladarki,
-       otwieranie i zamykanie napedu CD-ROM.
Rys. 4.31 Ograniczone mozliwosci programu Robo-Hack.
Numer portu: 6400
Program: The tHing
The tHing jest malym, lecz niebezpiecznym, serwerem pozwalajacym
skopiowac na dysk komputera docelowego dowolny program, a nastepnie go
uruchomic. Podczas instalacji uzywany jest nastepujacy klucz Rejestru:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
RunServices - Default
Rys. 4.32 The tHing potrafi skopiowac na dysk komputera dowolny
program a nastepnie go uruchomic.
Numer portu: 6912
Program: Shit Heep
Ten dosyc powszechnie spotykany, napisany w jezyku Visual Basic, kon
trojanski probuje zamaskowac sie jako systemowy Kosz. Po zainfekowaniu
uzytkownik otrzymuje komunikat o rzekomym ,,uaktualnieniu Kosza" (rys.
4.33). Do ograniczonych mozliwosci tego programu naleza m.in.:
-       kontrola Pulpitu,
-       kontrola dzialania myszy,
-       wysylanie komunikatow,
-       zamykanie wybranego okna,
-       otwieranie i zamykanie napedu CD-ROM.
Rys. 4.33 Komunikat systemowy po zarazeniu programem Shit Heep.
Numery portow: 6969, 16969
Program: Priority
Pritority jest trojanem napisanym w jezyku Visual Basic pozwalajacym
na:
-       zamykanie i otwieranie napedu CD-ROM,
-       odtwarzanie na zaatakowanym komputerze dowolnych dxwiekow,
-       chowanie i przywracanie paska zadan,
-       kontrolowanie zawartosci pulpitu,
-       przechwytywanie naciskanych klawiszy i hasel systemowych,
-       zarzadzanie plikami,
-       zarzadzanie aplikacjami,
-       kontrolowanie przegladarki,
-       restartowanie systemu,
-       skanowanie portow.
Rys. 4.34 Priority charakteryzuje sie stosunkowo duzym wyborem
funkcji.
Numer portu: 6970
Program: GateCrasher
GateCrasher jest kolejnym programem pozwalajacym zdalnie sterowac
zarazonymi komputerami. Maskuje sie jako program rozwiazujacy problem
Y2k. Program posiada prawie kazda funkcje dostepna w innych programach
tego typu. Podczas instalacji uzywa klucza Rejestru:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
RunServices - Inet
Rys. 4.35 GateCrasher posiada prawie kazda funkcje spotykana w
trojanach udostepniajacych zdalny dostep.
Numer portu: 7000
Program: Remote Grab
Pogramu Remote Grab pozwala na zdalne wykonywanie zrzutow ekranu.
Podczas instalacji kopiowany jest plik WindowsSystemmprexe.exe.
Numer portu: 7789
Program: ICKiller
Serwer ten zostal zaprojektowany do przechwytywania informacji o
roznorodnych kontach internetowych. Program maskuje sie jako... kon
trojanski, sluzacy do atakowania uzytkownikow ICQ (rys. 4.36). Z tego
tez powodu program rozprzestrzenia sie glownie wsrod poczatkujacych
hakerow.
Rys. 4.36 ICKiller przechwytuje hasla, chociaz udaje narzedzie do
atakowania uzytkownikow ICQ.
Numer portu: 9400
Program: InCommand
InCommand zostal napisany na podobienstwo programow z serii Sub7. W
odroznieniu jednak od nich zawiera dodatkowo prekonfigurowany modul
serwera.
Numer portu: 10101
Program: BrainSpy
BrainSpy posiada funkcje dostepne w typowych trojanach umozliwiajacych
zdalny dostep i kopiowanie plikow. Dodatkowo, po uruchomieniu, program
stara sie uszkodzic zainstalowane skanery antywirusowe. Podczas
instalacji wykorzystywane sa nastepujace klucze Rejestru:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
RunServices - Dualji
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
RunServices - Gbubuzhnw
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
RunServices - Fexhqcux
Numer portu: 10520
Program: Acid Shivers
Trojan ten, oparty na usludze Telnet, ma zdolnosc do wysylania
atakujacemu komunikatow pocztowych powiadamiajacych go o uaktywnieniu
atakowanego systemu (rys. 4.37).
Rys. 4.37 Acid Shivers potrafi wysylac atakujacemu komunikaty.
Numer portu: 10607
Program: Coma
Jeszcze jeden kon trojanski napisany w jezyku Visual Basic,
udostepniajacy zdalne sterowanie atakowana maszyna. Jego mozliwosci
latwo wydedukowac z prostego interfejsu uzytkownika (rys. 4.38).
Rys. 4.38 Ubogie mozliwosci programu Coma.
Numer portu: 12223
Program: Hack'99 KeyLogger
Trojan ten jest typowym programem przechwytujacym kombinacje
przycisnietych klawiszy, w odroznieniu jednak od innych produktow tego
typu, potrafi on przekazywac atakujacemu przechwycone informacje w
czasie rzeczywistym (rys. 4.39).
Rys. 4.39 Hack'99 potrafi w czasie rzeczywistym wysylac przechwycone
kombinacje klawiszy.
Numery portow: 12345, 12346
Program: NetBus, NetBus2, NetBus Pro
NetBus, oraz jego poxniejsze wersje, jest jednym z najbardziej znanych
i rozpowszechnionych koni trojanskich udostepniajacych opcje zdalnego
sterowania i monitoringu. Program ten obsluguje m.in. protokoly telnet
oraz http. Za centrum dowodzenia programem NetBus uwazana jest domena
UltraAccess.net (wiecej informacji mozna znalexc na stronie www.UltraAccess.net).
Numer portu: 17300
Program: Kuang
Kuang jest mutacja prostego programu kradnacego hasla poprzez protokol
SMTP.
Numery portow: 20000, 20001
Program: Millennium
Millennium jest kolejnym prostym koniem trojanskim napisanym w jezyku
Visual Basic. Jego opcje zdalnego sterowania zostaly uaktualnione,
dzieki czemu potrafi m.in.:
-       wysuwac-        i chowac-      tacke napedu CD-ROM,
-       odgrywac-       na glosnikach zaatakowanego komputera dowolny dxwiek lub
utwor,
-       kontrolowac-    parametry pulpitu,
-       podkradac-      hasla,
-       monitorowac-    aktywnosc-    klawiatury,
-       kontrolowac-    dzialanie innych aplikacji,
-       kontrolowac-    przegladarke,
-       wylaczac-     i restartowac-         system,
-       skanowac-       porty.
Podczas instalacji uzywany jest nastepujacy klucz Rejestru:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
RunServices - millenium
Numer portu: 21544
Program: GirlFriend
Kolejny kon trojanski, ktorego glownym zadaniem jest przechwytywanie
hasel. Nowsze kompilacje zawieraja serwer FTP, oraz mozliwosc
wysylania ofierze komunikatow. Podczas konfiguracji wykorzystywany
jest nastepujacy klucz Rejestru Systemowego:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
RunServices - Windll.exe
Numery portow: 22222, 33333
Program: Prosiak
Trojan o dosyc standardowych mozliwosciach:
-       wysuwanie i chowanie tacki napedu CD-ROM,
-       kontrolowanie urzadzen dxwiekowych komputera,
-       kontrolowanie paska zadan,
-       kontrolowanie pulpitu,
-       monitorowanie klawiatury,
-       przechwytywanie hasel,
-       zarzadzanie plikami,
-       kontrolowanie pracy przegladarki,
-       wylaczanie i restartowanie systemu,
-       skanowanie portow,
Podczas instalacji uzywany jest nastepujacy klucz Rejestru
Systemowego:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
RunServices - Microsoft DLL Loader
Numer portu: 30029
Program: AOL Trojan
AOL Trojan zaraza DOS-owe pliki *.exe. Potrafi rozprzestrzeniac sie
poprzez sieci LAN, WAN, Internet oraz poprzez poczte. Po uruchomieniu
AOL Trojan natychmiast stara sie zainfekowac kolejne programy.
Numery potow: 30100-30102
Program: NetSphere
Ten potezny i bardzo niebezpieczny kon trojanski posiada w swoim
arsenale funkcje takie jak:
-       wykonywanie zrzutow ekranu,
-       wysylanie wiadomosci,
-       ukrywanie i przywracanie paska zadan,
-       kontrolowanie pulpitu,
-       mozliwosc-    prowadzenia rozmowy z uzytkownikiem zainfekowanego
komputera,
-       zarzadzanie plikami,
-       zarzadzanie aplikacjami,
-       kontrolowanie myszy,
-       zamykanie i restartowanie systemu,
-       odgrywanie na glosnikach dowolnego dxwieku,
-       monitorowanie wszelkich dostepnych informacji o systemie.
Podczas instalacji uzywany jest nastepujacy klucz Rejestru
Systemowego:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
RunServices - nssx
Numery portow: 1349, 31337, 31338, 54320, 54321
Program: Back Orifice
Back Orifice jest jednym z najgroxniejszych i najbardziej
rozpowszechnionych znanych koni trojanskich. Potrafi m.in. komunikowac
sie przy pomocy szyfrowanych pakietow UDP, co znakomicie utrudnia
wykrycie intruza. Potrafi rowniez korzystac z wtyczek, dzieki czemu
atakujacy moze wzbogacac juz zainstalowanego na komputerze ofiary
trojana o zupelnie nowe funkcje. Podczas instalacji wykorzystuje
nastepujacy klucz Rejestru:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
RunServices - bo
Numery portow: 31785-31792
Program: Hack'a'Tack
To jeszcze jeden powszechnie spotykany serwer udostepniajacy wszystkie
typowe opcje zdalnego sterowania (rys. 4.40). Podczas instalacji
uzywany jest nastepujacy klucz Rejestru Systemowego:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
RunServices - Explorer32
Rys. 4.40 Mozliwosci programu Hack'a'Tack.
Numer portu: 33911
Program: Spirit
Ten dobrze znany trojan posiada unikalna, bardzo niebezpieczna funkcje
- monitor burn. Jej dzialanie polega na ciaglym resetowaniu
rozdzielczosci ekranu, mozliwe jest tez, ze zmieniana jest rowniez
czestotliwosc odswiezania. Podczas instalacji uzywany jest klucz
Rejestru:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
RunServices - SystemTray="c:windowswindown.exe"
Numer portu: 40412
Program: The Spy
Program ten jedynie rejestruje sekwencje nacisnietych przez
uzytkownika klawiszy po czym natychmiast wysyla je atakujacemu. Jego
mozliwosci sa ograniczone, gdyz nie potrafi przechowywac sekwencji
klawiszy gdy, przykladowo, system jest odlaczony od Internetu. Klucz
Rejestru uzywany podczas instalacji:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
RunServices - systray
Numer portu: 47262
Program: Delta Source
Trojan Delta Source zostal napisany na wzor Back Orifice, w rezultacie
ma bardzo podobne mozliwosci. Podczas instalacji uzywa nastepujacego
klucza Rejestru:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
RunServices - Ds admin tool
Numer portu: 65000
Program: Devil
Devil jest jednym ze starszych koni trojanskich napisanych w jezyku
Visual Basic. Na szczescie nie uruchamia sie ponownie po restarcie
systemu. Ograniczone mozliwosci tego programu przedstawione zostaly na
rys. 4.41.
Rys. 4.41 Ograniczone mozliwosci trojana Devil.
Obeznani z problemami dotyczacymi portow i uslug rozpoczniemy teraz
odkrywanie tych dziedzin informatyki, ktorych doglebna znajomosc
pozwala hakerom dokonywac swoich "magicznych sztuczek". Jak to
wielokrotnie w zyciu bywa, przeciwnika mozna pokonac jego wlasna
bronia. Opanowanie tych umiejetnosci jest konieczne, by poprawic
bezpieczenstwo wlasnej sieci lub systemu operacyjnego oraz, by tworzyc
bezpieczniejsze oprogramowanie. Nalezy jednak pamietac, ze stosowanie
wiekszosci technik i programow opisanych w tej ksiazce bez wiedzy i
przyzwolenia osob nimi atakowanych jest niezgodne z prawem
obowiazujacym w Polsce, oraz wielu innych krajach. Ani autor, ani
wydawca nie moze ponosic odpowiedzialnosci za uzycie, lub
niezrozumienie informacji przedstawionych w tej ksiazce.
Co dalej?
Zadaniem tego rozdzialu bylo przekazanie podstawowej wiedzy dotyczacej
portow wejscia-wyjscia oraz uslug z nimi zwiazanych. Warunkiem
przejscia do kolejnego rozdzialu jest zdobycie umiejetnosci
pozwalajacych zidentyfikowac potencjalne niebezpieczenstwa zwiazane z
portami. W kolejnym rozdziale, zajmiemy sie technikami pozywajacymi
wykrywac niebezpieczne porty i uslugi, by umiec przygotowac system na
ewentualne proby atakow ze strony hakerow.
niniejszy artykol zostal opublikowany tylko w celach edukacyjnych
www.haker.magma-net.pl