Chat s hackerem na dial-up pripojenem pocitaci

[Dan Lukes]

Petr Lázňovský wrote:
 
> Vcera v noci mi stalo nasledujici:
> na pocitaci s Win 98 pripojenym dial-up na Volny, mi vyskocilo dialogove
> okno (ktere ovsem postradalo standardni disajn Win okna, predevsim
> nemelo nahore modry pruh) bylo nadepsano "Information", a bylo v nem
> vzdy nejake sdeleni a textbox na odpoved. Do neho se veslo asi 20-30
> znaku. Prostrednictvim tohoto se mnou rozmlouval jakysi hacker. Chvili
...
> jmeno na sit, jelikoz me s nim oslovil. Po restartu pocitace system
> vyhazuje okno nadepsane: "System 32v3" v okne je "Error 10048 in
> function bind, address already in use".

> 2. Mam k tomu hypotezu ze dotycny clovek nejakym zpusobem vlezl do meho
> compu, nainstaloval si tam programek,kterej hlida nejaky unix port,
> ktery mu umoznil komunikaci se mnou, a napriklad mu muze zahlasit,
> kdykoliv se pripojim na inet. Mohl by mi to nekdo objasnit podrobneji?

	Ta hypoteza je s nejvetsi pravdepodobnosti spravna. Program se tam mohl
dostat bud' primym kontaktem (nekdo ma k nemu pristup) nebo jako
virus/trojsky kun - ty se dnes siri nejen pomoci programu, ale i
dokumenty M$ Office nebo sikovne napsanymi scripty v ramci HTML stranek
- proste neopatrnosti uzivatele (nebo toho, kdo mu konfiguroval pocitac)
- bez urazky. Takovy program skutecne muze delat prakticky cokoliv,
vcetne toho hlaseni, ktere popisujete.

> 3. Pomuze nainstalovat Firewall (napr. BlackIce defender, ale to muze
> byt jako kladivo na komara)?

	Ano, pokud ho ovsem dokazete nakonfigurovat. Daleko lepsi je
nainstalovat nejakou kvalitni antivirovou ochranu (i kdyz nemusi zabrat
vzdy) a hlavne - bezpecne cizi program odstranit - i za cenu toho, ze
pocitac kompletne reinstalujete.

> 4. Lze system dale pouzivat bez preinstalace? Nemam na mysli funkcnost
> nybrz bezpecnost, a to alespon v mire jak tomu bylo pred utokem. Je mi
> jasne ze u Win 98 to s bezpecnosti neni buhvijake.

	U systemu jednou kompromitovaneho timto zpusobem uz jistotu neziskate
nikdy. Vam by paradoxne mohlo pomoci chybove hlaseni - zpusobene
pravdepodobne tim, ze program byl nainstalovan jeste jednou a pri druhem
spusteni jiz nemuze otevrit vybrany port. Pokud se vam podari najit co
se to dvakrat spousti a odstranite to, splnil jste nutnou nikoli vsak
nutne postacujici podminku pro ocisteni pocitace. Pomoci muze castecne
utilita "netstat" spoustena s parametrem "-a" - ta vypisuje m.j. na
jakych portech jest poslouchano. Nevim ale zda je standardni soucastni
instalace Win98.

> 5. hacker znal me ID. Je pravdepodobne, ze zna i me heslo, je treba
> zalozit si nove konto, nebo staci zmenit si heslo?

	Melo by postacovat zmenit heslo - samozrejme na neco, co odola alespon
beznym slovnikovym utokum.

> 6. Je treba (uzitecne) informovat providera?

	Spise nikoliv - v podstate mu nemate co rici. Pokud se vam podari
zjistit, z jakeho zdroje k vam nakaza pronikla a pokud se ukaze, ze
tento zdroj muze ISP ovlivnit nebo odstranit pak ano, ale samotne
hlaseni "byl jsem napaden, nevim odkud" nepomuze ani ISP, ani on nebude
moci nijak specificky pomoci vam.

					Dan


-- 
Dan Lukes            tel: +420 2 24102474, fax: +420 2 24102301
root of FIONet, KolejNET, webmaster of info.nic.cz, www.freebsd.cz
AKA: dan at nic.cz, dan at obluda.cz, dan at freebsd.cz, dan at kolej.mff.cuni.cz