Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

O script kiddiots - zagrożeniu niestety ignorowanym

W dzisiejszym wpisie, postanowiłem poruszyć temat script kiddies, a raczej script kiddiots. Czyli zagrożenie, które co jak co, ale jest bardzo poważne, a często przez nas ignorowane.

Dzisiaj, którykolwiek zainteresowany informatyką głębiej, na usłyszane słowo script kiddies - śmieję się, bądź uśmiecha (ale to prawie to samo :)

Aczkolwiek, jak dobrze wiadomo, dzisiaj włamać sie komuś na konto pocztowe, facebook'owe, nk'owe - nie jest trudno. Wystarczy umieć czytać ze zrozumieniem.

Niestety !!!! 0.0

Dlatego każdego początkującego użytkownika (i nie tylko), z którym rozmawiam uświadamiam o zagrożeniach czychających w Internecie.
Wystarczy drobna nieuwaga z naszej strony, chwilowe zagapienie, bądź nieprzemyślany krok i już możemy liczyć się z nieprzyjemnymi konsekwencjami.

Ale najpierw, dla tych, którzy dalej nie wiedzą kto to script kiddies ?

Script kiddie – w żargonie komputerowym – niedoświadczony (cracker - NIE - to niedoświadczony prymitywny amator !), który używa programów i skryptów napisanych przez innych bez dogłębnej znajomości zasad ich działania, po to jedynie aby uzyskać nieuprawniony dostęp do komputerowych kont użytkowników, plików lub żeby przeprowadzać ataki na systemy komputerowe np. poprzez tzw. DoS. Script kiddie nie potrafi sam tworzyć takich programów.

Zazwyczaj ogranicza się do skanowania komputerów podłączonych do sieci w poszukiwaniu podatnych celów.(by wiki)

czyli, coś takiego:

Najczęściej Script Kiddies nazywamy (mówię z punktu widzenia Polski) uczniów podstawówki, albo raczej gimnazjów.

gbm, nie sadź farmazonów, przecież to tylko dzieci - co one mogą potrafić ?

nic bardziej mylnego...

...korzystając np. z gotowych exploitów, które tak naprawdę są na wyciągnięcie ręki - owi script kiddiots potrafią włamać się na kogoś komputer, to naprawdę nie jest trudna sprawa. A kurde może za sobą nieść bardzo poważne skutki.

Script kiddies powstają głównie w wyniku:

@ Zemsty (kumpel odbił mi maniurę, a sie men"""" odwdzięcze)

@ Negatywnych emocji (ta sz"""" dała mi laskę z majcy ? Ja jej pokażę...)

@ Zazdrości (on ma w tibii większy level, skubaniec ! trzeba mu usunąć postać)

@ Głupoty ( Panie władzo, ale ja nie wiedziałem że nielegalne jest włamanie się komuś na pocztę i wysyłanie wiadomości innym znajomym [wersja łagodna ;])

(w nawiasach, obnażyłem także potoczny tok myślenia script kiddiots ;)

Efekty ? Oto przykłady:

Efektem zemsty może być na przykład sytuacja gdy pewnego dnia wejdziemy na naszą stronę internetową i zamiast tego co zwykle, zobaczymy zielony napis "Hacked" na czarnym tle.

Albo kiedy pewnego ładnego dnia, wejdziemy sobie spokojnie na portal społecznościowy, a tu nagle taki psikus zrobiony nam przez "kolegę/koleżankę"

A więc !:

Suma sumarum, zjawiska takiego jakim są script kiddiots nigdy się nie pozbędziemy, więc nie można ignorować tego zagrożenia. Jest ono bardzo poważne,
wystarczy popatrzeć na dzisiejsze gimnazjum, każdy z nich może być potencjalnym wandalem komputerowym.

Możemy tylko zwalczać je. Jak ? Po prostu, edukując się i tanio skóry nie sprzedawać :)

Wystarczy być na bieżąco z tematyką bezpieczeństwa komputerowego - ot co, i nie mówię tu o dziale "Nowe technologie" na interii, tylko o poważnym portalu
owej tematyki np. Niebezpiecznik.pl albo Bothunters.pl.

Pozdrawiam,
gbm

PS. Z racji zbliżających się wakacji, chciałbym oznajmić że niestety będę zmuszony pisać na blogu z mniejszą częstotliwością. Ale do normalnego toku pisania, powinienem wrócić na przełomie sierpnia/września. Aczkolwiek może mi się uda chociaż jeden-dwa wpisy napisać w ciągu wakacji.
Tymczasem pozdrawiam, i życzę miłych wakacji :)
 

Komentarze

0 nowych
  #1 29.06.2011 20:54

Czyli kolejny morał - uważaj w necie bo ktoś może działać na Twoją szkodę.

.slaw   4 #2 30.06.2011 11:21

Ten po prawej to nie Bill Gates?

przemo_li   11 #3 30.06.2011 12:20

Tekst bardzo dobry.

Ale Scriptkid to nie tylko osoba nie umiejąca nic oprócz kliknięcja Dale -> Dalej (a tylko tyle wystarczy, aby wykasować Tobie dysk do cna), ale również potocznie osoba lubiąca korzystać ze skryptów w przeciwieństwie do cichego zabójcy-snajpera-samuraja, po cichu rozpracowującego komputery pentagonu.

Hiperbola celowa aby było łatwiej uchwycić różnicę.

Scriptkid - masowa łapanka "łatwych" celów.
Hacker - nic się nie ostoi gdy obierze cel.
Cracker - robi to dla korzyści majątkowych.

Znaczenie trzech słów w kontekście łamania zabezpieczeń bez pozwolenia.

GBM MODERATOR BLOGA  20 #4 30.06.2011 12:32

Też nie do końca z tym Crackerem, to u nas w Polsce zachodzi taka definicja tego słowa.
Cracker - to osoba która zajmuje się zabezpieczeniami
(a raczej łamaniem tychże) anty-pirackimi, tj. po prostu osoba która tworzy cracki.
Zaś osoba, która łamie zabezpieczenia jest po prostu cyberprzestępcą bądź wandalem komputerowym.

A sam Haker, tu cytuje:
"...Haker to ekspert w swojej dziedzinie. Mówię o specjaliście, który swoją branżę zna od podszewki, tworzy
w niej rzeczy nowe, własne i niepowtarzalne, i dzieli się swoją wiedzą z innymi. Każdy, kto go posądza o
wandalizm, jest w błędzie. Prawdziwi hakerzy nie wykorzystują swojej wiedzy w celu zaszkodzenia innym..."

Źródła niestety teraz nie mogę sobie przypomnieć, ten cytat miałem zapisany w notatce w zeszycie. Jeśli tylko sobie przypomnę to od razu napiszę tutaj :)

Można oczywiście jeszcze szufladkować (według mnie niepotrzebnie, że black hat, to ci źli, a white hat to ci dobrzy) Ale to wszystko na jedno wychodzi.

  #5 30.06.2011 12:39

Sam kiedyś byłem takim skriptkidies (czy jak to tam się pisze). W gimnazjum się naczytało o sławnych crackerach i się chciało być tacy jak oni - ściągało się jakieś konfiguratory trojanów, które wyrządziły więcej krzywdy mi niż moim "ofiarom" :D Na szczęście się wyrosło z tego.
Wydaje mi się, że to skripkidjes to w pewnym stopniu jakiś etap rozwoju informatyka...

RubasznyRumcajs   6 #6 30.06.2011 13:49

no, jestem ciekaw- kto jest glupszy- owe scripkids czy ludzie, ktorzy nie lataja swoich kompow?

GBM MODERATOR BLOGA  20 #7 30.06.2011 14:03

@RubasznyRumcajs: Hmm, zależy. Scriptkids wszystkie swoje ruchy robią specjalnie, po części wiedzą że są to nielegalne praktyki, aczkolwiek brak im wyobraźni o skutkach swoich działań.

Zaś ludzie, którzy w większości nie łatają swoich kompów - większość z nich nawet nie wie że trzeba aktualizować. Wynika to z nieświadomości, i właśnie naszym podstawowym zadanie (mówię o informatykach w ogólnym tego słowa znaczeniu) jest uświadamianie tych ludzi o niebezpieczeństwach i praktykach mających na celu minimalizowanie zagrożenia.

Wolfgar   7 #8 30.06.2011 14:14

Też miałem taki niechlubny epizod w swoim życiu. Włamywałem się do for na phpbb2 używając błędu nie zmieniającego hashu administratora. Wystarczyło w swoim linku umieścić hash admina i już się zdobywało jego konto. Strat nie wyrządziłem, żadnych postąpiłem bardziej jak haker i napisałem do właścicielki forum o tym incydencie. Na szczęście nie czekała z aktualizacją skryptu. :) Ale nadal nie uważam, żebym mógł być z tego jakoś dumny.

  #9 30.06.2011 14:27

A mnie strasznie śmieszy, że w definicji (SK) jest kładziony taki nacisk, że "(...)używa programów i skryptów napisanych przez innych (...)nie potrafi sam tworzyć takich programów."

Jak by każdy BlackHat miał tworzyć swoje wszystkie narzędzia od podstaw to by się zestarzał za nim by coś złamał.

Ciekawy czy każdy admin jest w stanie napisać swojego Nmap-a? :)

Umiejętność posługiwania się narzędziami też jest dużo warta - oczywiście, wiedza na temat ich działania jest przydatna ale nie niezbędna.

Żeby być dobrym malarzem w cale nie musisz umieć robić własnych pędzli i farb.

matzu   5 #10 30.06.2011 15:59

@GBM
"Też nie do końca z tym Crackerem, to u nas w Polsce zachodzi taka definicja tego słowa.
Cracker - to osoba która zajmuje się zabezpieczeniami
(a raczej łamaniem tychże) anty-pirackimi, tj. po prostu osoba która tworzy cracki.
Zaś osoba, która łamie zabezpieczenia jest po prostu cyberprzestępcą bądź wandalem komputerowym. "

Możesz to podeprzeć jakimś źródłem? Sugerujesz, że cracker to nie jest cyberprzestępca, czy też wandal komputerowy? Przejrzyj sobie może ten link http://en.wikipedia.org/wiki/Hacker_definition_controversy#Hacker_definition_con... . Zacytuję może dwa istotne zdania:
odnośnie terminu haker - In the computing community, the primary meaning is a complimentary description for a particularly brilliant programmer or technical expert. (For example, "Linus Torvalds, the creator of Linux, is considered by some to be a hacker.")
odnośnie terminu cracker - In reaction to the increasing media use of the term exclusively with the criminal connotation, the computer community began to differentiate their terminology. Alternative terms such as "cracker" were coined in an effort to distinguish between those adhering to the historical use of the term "hack" within the programmer community and those performing computer break-ins.

O co chodzi ? O to, że terminy takie jak cracker, cyberprzestępca, black hat itd. powstały po to, żeby odróżnić tych ludzi od hakerów. Nie ma znaczenia jak będziesz ich dokładnie nazywał. Problem występuje w telewizji/radiu/internecie. Często się słyszy hakerzy włamali się tam i ukradli to, hakerzy zaszkodzili temu i tamtemu. Choć ostatnio zauważyłem, że to się zmienia (szczególnie w wiadomościach w telewizji publicznej zaczęto używać terminu cracker).

Być może Wikipedia nie jest w tym wypadku najlepszym źródłem, ale ja podpisuję się pod tymi wnioskami obiema rękami i nogami.

Teraz odnośnie samego artykułu:
Terminu script kiddie raczej staram się nie używać. Całkowicie zgadzam się z tym co napisał ~nikt (niezalogowany). Czy jeśli cracker korzysta z gotowych edytorów plików binarnych (http://en.wikipedia.org/wiki/Hex_editor), to już oznacza, że jest script kiddie?

"owi script kiddiots potrafią włamać się na kogoś komputer, to naprawdę nie jest trudna sprawa"
To mnie rozbawiło :)

pilarek   5 #11 30.06.2011 16:16

Ja podstawiałem "formularz kontaktowy" pod panel logowania na stronce Metina i naciągałem dzieci :D

.slaw   4 #12 30.06.2011 20:30

Dokładnie jak ~nikt napisał. Skrypty i narzędzia są po to by ich używać. Script kiddies nie są tak elastyczni jak hacker, le trzeba mieć solidne podstawy sieci, oprogramowania, systemów, nawet programowania aby owe skrypty sobie dopasować. Polecam "Sztukę podstępu" Mitnicka który głównie używał socjotechniki i zewnętrznych narzędzi.

  #13 02.07.2011 00:19

~nikt i .slaw
bez urazy ale nie do konca wiecie co piszecie. Mylicie narzedzia z gotowymi exploitami, typow script kiddiots nie uzywa programow a gotowe exploity, przy ktorych faktycznie nie trzeba miec nawet pojecia o dzialaniu sieci, zwyke wystarczy podac 2-3 parametry by skrypt zrobil wszystko za nich i o tym wlasnie pisze GBM

  #14 02.07.2011 11:09

Trzeba PODKREŚLIĆ, że na takie skrypty narażeni są użytkownicy Firefoxa i IE. Opera jak i Chrome są bezpieczne.

GBM MODERATOR BLOGA  20 #15 02.07.2011 19:58

@nikt, .slaw, matzu: 0xXpunchXx0 napisał dokładnie to co ja miałem zamiar Wam opisać. Głównym narzędziem, które script kiddies używają to exploity.
Zaś to właśnie hakerami nazywa się takich ekspertów, którzy potrafią skorzystać z własnych, zrobionych przez siebie narzędzi. To są prawdziwi hakerzy, z krwi i kości oraz programu :)

@Pan Myijagi: Niekoniecznie, nie mam w 100% bezpiecznego programu. Może być on bezpieczny tylko przez chwilę, a może i nie :)

.slaw   4 #16 04.07.2011 14:18

@Pan Myijagi chcesz być w 100% bezpieczny? Odłącz komputer od sieci. ;)

  #17 04.07.2011 15:10

Mam wrazenie, ze ten wpis probuje w prosty sposob przestraszyc czytelnika bez jakiejkolwiek argumentacji. Wiekszosc tresci to wysmiewanie jakiegos grona, ktore wydaje sie byc stworzone jedynie na potrzeby tekstu(poniewaz jest tak strasznie przerysowane). Nastepnie dowiadujemy sie, ze mimo ich mozgow nie rozniacych sie wiele od przelacznika do swiatla, moga bezproblemowo dobrac sie do naszej strony,konta na portalu spolecznosciowym, dysku twardego i pewnie spluczki w toalecie rowniez. Sadze ze prawdziwym problemem sa ludzie udostepniajacy publicznie narzedzia pozwalajace na atakowanie popularnych systemow. Podsumowujac - z postu nie dowiedzialem sie praktycznie niczego poza tym, ze powinienem bac sie gimnazjalistow (bo aktualizacja oprogramowania to tylko jeden z bardzo malych krokow, szczegolnie w przypadku aplikacji webowych).

  #18 05.07.2011 21:37

Wiecie co? Paradoksalnie pożywką na skrypciarskich gówniarzy są portale typu Niebezpiecznik czy hcsl.pl Na nich właśnie często pojawiają się artykuły 'Znaleziono lukę w... Nazywa się...' albo Test penetracyjny krok po kroku' (oczywiście z intencją 'żebyście mogli się bronić').
W zeszłym semestrze (studia informatyczne) prowadzący zajęcia wymyślił sobie, że na zaliczenie mam przetestować zabezpieczenia systemu Win XP == włamać się z jednej do drugiej maszyny wirtualnej. Początkowo sam się załamałem, bo o zagadnieniu nie miałem pojęcia (ani mi w głowie poznawanie zawartości cudzych komputerów), ale po zapoznaniu się z tymi blogami wiedziałem już, jakich użyć programów i jak je konfigurować, gdzie szukać luk, itp., itd. Potem nawet średnio inteligentny gimnazjalista ze skillem w google-fu dostałby 5 na zaliczenie...

  #19 11.07.2011 16:31

"potrafią włamać się na kogoś komputer"
Powinno być na czyjś komputer - tak brzmi poprawnie.