En scriptkiddie er et øgenavn for en hacker, som ønsker at få root-adgang på
den lettest tænkelige måde. Begrebet hacker opstod allerede i 1961. Hackerne
var med fra starten i udviklingen af Internet. De kan programmere
og kender til flerbrugersystemer. I modsætning til crackere. Når man taler
om scriptkiddies minder de måske mere om crackere end om hackere.
Det er
ikke nødvendigt for en scriptkiddie at kunne programmere, da det er andres
(hackere, programmører eller fejljægere) opdagelser som udnyttes til at
gennemføre angreb. Det kan dog ikke udelukkes at en scriptkiddie og en
cracker er en og samme ting ligesom en scriptkiddie i og for sig også kan
være en hacker. Et er dog sikkert: "der er langt flere scriptkiddies end
hackere" og godt for det!
Men scriptkiddies er også en alvorlig trussel mod
den "almindelige" systemadministrator" eller den private bruger med ADSL
forbindelse. Der bliver altså flere scriptkiddies og der er desværre ikke
noget som tyder på, at denne trend i angreb er til at bremse.
Systemadministratorer og systemansvarlige må være deres opgave voksen og
kende deres modstander ligesom private brugere må indse at sikkerhed er en
interesse som ikke kan overses.
I Danmark er tendensen tydelig. Esec, et dansk sikkerhedsfirma, har i de
seneste måneder udgivet et såkaldt hack-o-meter. Dette hack-o-meter
understøtter Virus112, som i sidste uge offentliggjorde en pressemeddelelse
omkring dårlig sikkerhed hos diverse uddannelsesinstitutioner.
Pressemeddelelsen blev modtaget med blandet kritik.
ESec´s hack-o-meter fra august 2000 peger tydeligt
i retning af, at en bølge af disse scriptkiddies har travlt med at udføre
deres ulovlige handlinger fra Danmark. I rapporten står der bl.a. "I august
måned kom næsten en tredjedel af angrebene fra .dk domænet, det er næsten
udelukkende dial-up konti hos forskellige udbydere der er tale om."
Scriptkiddies scanner hele Internettet for at finde sårbarheder som kan
udnyttes. Som regel udvælges der ikke noget specifikt mål, men et mål, som
er sårbart overfor et simpelt exploit. Exploitkoder er nemt tilgængelige for
enhver og flere hacker sites har lavet værktøjer, som automatisk søger at
udnytte disse huller. Mange af disse værktøjer, som dagligt frigives af
hackere, kører automatisk og kræver meget lidt teknisk indsigt - ligesom de
hverken kræver yderligere specifikation/definitioner/parametre for at køre.
I de fleste tilfælde scannes en lang række IP-adresser (såkaldte IP-sweeps)
for at finde en bestemt sårbarhed. Når potentielle mål konstateres opføres
disse i en database, som scriptkiddien kan anvende når exploitet skal
gennemføres. Ofte byttes disse opdagelser scriptkiddies imellem.
En sårbarhed i en ældre version i Imap kan give root/rodadgang og er derfor
et yndet mål (se blot esec´s hackometer). Det er også nemt at finde servere
som kører en exploitable version af denne service. Men allerførst skal
scriptkiddien finde maskiner som kører Linux. Dette kan gøres ved hjælp af
programmet nmap, som vedligeholdes af Fyodor og som ligger tilgængelig for
enhver.
De fleste ved at sådanne portscanninger laver en masse "støj", men
desværre vil de fleste webadministratorer aldrig opfange denne støj. Enten
pga. manglende tid til at løb de endeløse logs igennem og fordi mange slet
ikke ved at de findes.
Der er forskel på scriptkiddies ligesom der er forskel på de "rigtige"
hackere (whitehats/blackhats). Den mere ondsindede og sofistikerede slags
hackere installerer trojanere (bagdøre), således at de på et vilkårligt
tidspunkt kan genoptage kontrollen med det kompromitterede website. Når
denne overtagelse har fundet sted, er det praktisk taget umuligt for en
systemadministrator at spore hackeren, idet adgang via en bagdør, ikke
fortegnes i en logfil.
Fra websitet har hackeren nu fundet et "hideout",
hvorfra han kan scanne andre potentielle ofre og dette anonymt. Alle spor
peger nemlig på det kompromitterede website. Denne proces fortsætter indtil
hackeren har overtaget så mange sites, at han f.eks. kan indlede et reelt
angreb
mod større kommercielle sites som ikke er ligetil at hacke. Web-servere
kommer derfor til at fungere som servere - og kan tidsindstilles til at
indlede angreb. Tidsindstilling kan gøre det svært for selv de mest hærdede
at spore disse hackere.
Det var på den måde, at Ebay og CNN, Yahoo, Amazon
m.fl. i februar mistede deres web-service under et massivt DDoS angreb.
Værktøjer til at gennemføre sådanne angreb udvikles hver dag og bliver mere
og mere sofistikerede og vanskelige at gardere sig imod.
Når man nu ser dette i et større perspektiv, kan man måske lettere forstå,
at Virus112 finder dette problem alvorligt. Det kan koste store websites
mange timers downtid (store økonomiske tab til følge), ligesom ethvert
kompromitteret website næppe fremstår troværdigt overfor mulige kunder som
besøger "udstillingsvinduet". Det er også usikkert om et dårligt beskyttet website kan anklages
for uagtsomhed i forbindelse med deltagelse i et DDoS angreb.
Hvis vi herefter antager (lidt vovet), at langt de fleste hackere er
scriptkiddies og scriptkiddies pr. definition hopper over, hvor gærdet er
lavest, kan vi forebygge ved at vedligeholde de enkelte web-services. Det
kræver ikke de store ressourcer og det kan ikke bortforklares, hvorfor disse
ikke bliver vedligeholdt! En anden måde er, at begrænse services, som kører
på web-serveren, til et absolut minimum. Vurder hvor væsentlig en service er
i forhold til den risiko den udgør (risikoberegning).
Med udbredelsen af ADSL løsninger til den private bruger bliver ansvaret
mere udpenslet og alvoren malet på væggen. Nu laves der faste IP adresser
til private brugere og dette forstærker muligheden for at ondsindede
personer med held kan plante bagdøre på PC´ere og til enhver tid vende
tilbage for at udnytte dette. Med udbredelsen af Netbanker har vi næppe set
omfanget af de risici, som det kan medføre for den enkelte bruger. Enhver
bør vedligeholde sit system med patches, som lapper for sikkerhedshuller.
Samtidig kan enhver downloade og installere en såkaldt firewall. Enkelte af
disse løsninger er tiltænkt personer uden den store tekniske indsigt ligesom
bl.a. Zonealarm er gratis for private brugere. Det
anbefales, at man gennemlæser den medfølgende manual inden man begynder, at
gå i paranoia over meddelelser, som kommer fra et sådan produkt.
Zonealarm
laver alarmer af detaljer og ubetydeligheder og for at tyde (loggen) bør man
gennemlæse manualen, inden man kontakter sin ISP (Internet udbyder), eller
andre med ekspertviden. Hver dag oversvømmes NG´s med spørgsmål, som bør og
kan findes i enhver manual.
Det er også sund fornuft at installere et antivirus produkt. Der er flere
gratis løsninger. Samtidig (og det er sagt 1000´er af gange) så man får lyst
til at råbe: undlad at åbne og kører vedhæftede filer hvis indhold eller
formål man ikke kender! Selvom en vedhæftet fil kommer fra en person som
man kender godt bør man vide at ondsindede brugere vil forsøge at udnytte
denne tillid. Derfor kontakt afsenderen og spørg til formålet og indholdet
af filen. Scan filen med et antivirus program.
