Många typer av skadlig programvara bildar stora botnät, med noder som samlar ihop eller skickar ut instruktioner till datorerna i botnätet. Med ett stort nät av keyloggers kan en hackare samla ihop stora mängder användarinformation.
Botnätet Pony spreds som en trojan och fungerade som keylogger som dessutom också letade efter lösenordsfiler lagrade på de angripna maskinerna och skickade informationen till en kontrollserver. Nyligen upptäcktes en rysk kontrollserver för Pony – den hade då samlat ihop 650 000 användarkonton under några få dagar.
Kommer över hashar
Skadlig kod behöver inte bara vara keyloggers, utan som vi tidigare nämnde kan man även söka efter olika typer av lösenordsfiler som finns lagrade på klientdatorer. Det man kommer över är ofta lösenordshashar.
Alla program lagrar dock inte lösenorden hashade, och det är inte ovanligt att det finns lösenord i klartext, vilket kan vara bekvämt för en användare om man har glömt bort lösenordet i fråga. Särkilt intressanta lösenordsfiler är webbläsarens lagrade lösenord, Windows SAM-databas och eventuellt andra intressanta lösenordsskyddade program som användaren har installerad på datorn.
Det är inte bara datorer som kan bli infekterade av skadlig kod. Ett intressant mål är också våra smarta telefoner, som vi i många fall använder på samma sätt som våra datorer. Vi gör bankärenden, loggar in på e-posten, kollar Facebook, Linkedin och allt annat som vi annars använder datorns webbläsare till.
Det finns alltså gott om lösenord att stjäla även där. Det är dock lite svårare att få sådana appar att fungera, då appar innesluts i så kallade sandlådor i telefonen, och som användare får man godkänna vilka behörigheter en app ska få.
Ibland kan det dock vara svårt att veta vad man installerar – ett nytt snyggt mjukvarutangentbord kan vara en keylogger. För att kunna agera tangentbord måste appen ju kunna registrera dina knapptryck, så i det fallet bör man tänka efter vad det egentligen är man installerar.
Rootade telefoner är en annan historia – då har användaren har tagit en medveten risk att låta appar ha högre behörigheter. Då skulle även appar som stjäl andra applikationers lösenordsfiler kunna installeras, vilket inte är möjligt om den vanliga sandlåde-inneslutningen begränsar appens behörigheter till operativsystemet.
Så här enkelt kan du hitta hashfiler på nätet:
Det kan vara väldigt enkelt att hitta lösenordshashar. Vi gjorde en snabb sökning efter de hashar som spreds efter angreppet mot Linkedin. Första Google-träffen med sökorden ”linkedin passwords file” gav en källa till en fil med samtliga hashar.
1:
2:
Innehållsförteckning
Skadlig kod försöker ibland stjäla lösenord som har lagrats i filer. Exempel på mappar som innehåller filer som skulle vara intressanta för den som vill få tag på lösenord på en Windows 7-dator är:
Internet Explorer: %APPDATA%\Microsoft\Credentials\
Chrome: %LOCALAPPDATA%\Google\Chrome\User Data\Default\
Firefox: %APPDATA%\Mozilla\Firefox\Profiles\<profilsträng>.default\
Windows SAM: %SYSTEMROOT%\System32\config\
botnät: Ett antal datorer som infekterats av skadlig kod och fjärrstyrs utan ägarens vetskap.
honeypot: Nätverksnod som är skapad med tydliga brister för att locka hackare. Notera att begreppet också används för wi-fi-hotspots som satts upp av hackare för att locka till sig intet ont anande surfare.
hook (krok på svenska): Typ av tillägg för ett befintligt program. Kallas ibland add-on.
injektionsbaserade attacker, sql-injektion: Ett sätt att utnyttja en säkerhetsbrist i ett webbgränssnitt eller program som arbetar mot en databas. Injektionen innebär att parametrar till en databasfråga skickas in, och då kan data hämtas från en underliggande databas på ett sätt som inte är tänkt.
Keykeriki: Sniffer för trådlösa tangentbord.
keylogger: Hård- eller mjukvara som spårar knapptryckningar.
man-in-the-middle-attack: När en tredje part spionerar på trafik mellan två noder.
phishing, nätfiske: Användning av falska webbsidor och e-post för att lura åt sig lösenord eller andra hemliga uppgifter.
psk, pre shared key: Hemlighet som delats tidigare. Används vanligen för wi-fi-kryptering med wep eller wpa där båda accesspunkten och klienter delar en nyckel, det vill säga wi-fi-lösenordet.
sandlåda (sandbox, sandboxing): En isolerad miljö som förhindrar exekverande program att påverka miljön utanför inneslutningen.
sniffer: Hård- eller mjukvara för att avlyssna datatrafik.
xss, cross site scripting: Sårbarhet i webbgränssnitt som gör det möjligt att injicera skript som körs på klienten, till exempel ett popup-fönster som visas eller en länk som inte finns på originalsidan.
