Script kiddies mohou znít jako nezkušení mladíci, ale jejich pokusy o hackování vám mohou způsobit vážnou újmu.
Script kiddies může znít, jako by to byli jen zlomyslní teenageři, kteří nemají nic dobrého. I když tomu tak často bývá, script kiddies ve skutečnosti nemusí být mladíci se zlými úmysly. Mohou být i dospělí.
Přesto, ať už jsou mladí nebo staří, děti ze scénáře vám mohou způsobit skutečnou škodu, pokud si nedáte pozor.
Kdo jsou Script Kiddies?
Jednoduše řečeno, script kiddie je rádoby hacker, který nemá dovednosti ani znalosti k provádění sofistikovaných kybernetických útoků. Místo toho se spoléhají na předem napsané skripty a programy vyvinuté jinými, aby pronikly do sítí a systémů.
Vzpomeňte si na někoho, kdo si stáhne hotový hackerský nástroj a použije jej k získání neoprávněného přístupu k něčímu počítači. Nekódovali nástroj sami – pouze jej provedli. To je v podstatě to, co dělá dítě se scénářem.
Některé běžné vlastnosti script kiddies zahrnují:
- Malé až žádné znalosti programování: Nemohou od začátku kódovat své vlastní hackerské nástroje.
- Motivováno spíše pověstí než etikou: Hecují, aby se chlubili svými „dovednostmi“.
- Zaměřte se na snadné oběti: Skriptové děti jdou po nenáročném ovoci, jako jsou osobní webové stránky, spíše než po zvláště bezpečných a profesionálních sítích.
- Použijte techniky hrubé síly: Spoléhají na tupé hackerské programy, které prolomí hesla a zahltí systémy.
- Útok pro vyrušení: Spíše než finanční zisk hledají pozornost a kontroverzi prostřednictvím rušivých útoků.
I když postrádají propracovanost, script kiddies mohou stále způsobit škody prostřednictvím běžných škodlivých technik.
Společná taktika skriptu, který používají děti
Skriptovací děti sice nejsou příliš zručné, ale přesto mohou způsobit vážné bolesti hlavy s kybernetickými dováděním. Zde jsou některé z nejběžnějších taktik, na které spoléhají.
1. Denial-of-Service (DoS) útoky
Script kiddies používat útoky hrubou silou zahltit webové stránky a online služby tím, že je zahltí větším provozem, než jsou schopny zvládnout, a následně je zhroutí. Jsou velcí v používání nástrojů DDoS, jako je Low Orbit Ion Cannon (LOIC), High Orbit Ion Cannon (HOIC) nebo botnety, které samy nenakódovaly, aby zaplavily cíle nevyžádanými požadavky a převedly je do režimu offline.
Například hackerská skupina Lizard Squad, kterou tvoří 17letý Julius „zeekill“ Kivimaki, v roce 2014 zlikvidovala služby Xbox Live a PlayStation Network pomocí útoků DoS pomocí běžně dostupných nástrojů.
2. SQL Injection
Technika SQL injection zahrnuje hledání zranitelných webových stránek a vkládání škodlivých SQL databázových dotazů do vstupních polí, jako jsou přihlašovací formuláře nebo vyhledávací lišty. V případě úspěchu může útočník získat přístup k backendovým datům webu, upravit je nebo je odstranit.
Skriptové dítě potřebuje najít nezabezpečenou webovou stránku a zapojit injektážní kód SQL do jednoduchého pole formuláře.
3. Pokusy o phishing
Skript používají děti základní podvody sociálního inženýrství přimět nevědomé uživatele k předání hesel nebo citlivých informací. To zahrnuje spamování falešných přihlašovacích stránek pro běžné weby, jako je Google nebo Facebook. Nebo zasílání falešných e-mailů o pozastavení účtu, aby oběti zadaly své přihlašovací údaje na falešnou stránku útočníka.
I když je pro mnohé snadno rozpoznatelné, tyto pokusy o phishing stále přitahují méně technicky zdatné.
4. Prolomení hesla
Bez schopnosti psát své vlastní nástroje pro prolomení hesel se děti se skripty obracejí na programy jako Cain a Abel, aby zahájily slovníkové útoky hrubou silou. Budou také jednoduše uhodnout slabá hesla jako „123456“ nebo prolomit hašovaná hesla uniklá z výpisů databáze.
Využívají běžné lidské tendence, jako je používání jednoduchých hesel nebo jejich opětovné použití na různých webech.
5. Porušení webových stránek
Rychlé únosy za účelem nalepení podivných obrázků nebo urážlivých graffiti – například „Hacked by [jméno hackera]“ – na webových stránkách je vizitkou skriptovacích dětí, které chtějí trollovat a upoutat pozornost.
V jednom z největších řádění defacementu všech dob se skriptovému dítěti známému jako iSKORPiTX podařilo v květnu 2006 hacknout několik tisíc webů jediným útokem (podle Hacker News).
Jak vidíme, script kiddies spoléhají na rudimentární, ale někdy účinné techniky, které způsobují nepřiměřené narušení. Pochopení jejich taktiky je klíčem k ochraně proti těmto bezohledným, rádoby hackerům.
Jak se bránit útokům ze skriptů
Za prvé: vědět, proti čemu stojíte. Script kiddies jsou v podstatě začínající hackeři, kteří používají skripty a nástroje vyvinuté jinými k provádění kybernetických útoků. Často jdou za snadnými cíli, protože nemají schopnosti proniknout do sofistikovaných systémů.
Dobrou zprávou je, že jejich útoky obecně nejsou nijak zvlášť pokročilé. Špatnou zprávou však je, že existuje spousta bezplatných hackerských nástrojů, které si kdokoli může stáhnout a použít k tomu, aby se na vás zaměřil. Zde je návod, jak se chránit.
1. Používejte silná hesla
Slabá hesla, která lze snadno uhodnout, jsou vítanou podložkou pro děti se skripty, které chtějí proniknout do účtů hrubou silou. Místo „hesla 123“ vytvářet jedinečná hesla s až 15+ náhodnými znaky, čísly, velkými písmeny a symboly. Thinkpassphraseslik3Th!sL0ngJibberish.
Pokud jste na různých webech použili slabé heslo, jako je „baseball“, mohli by script kiddies najednou ohrozit vaše eBay, bankovní a e-mailové účty. (Z tohoto důvodu nedoporučujeme používat stejné heslo na mnoha webech.)
2. Povolit dvoufaktorové ověřování
SMS kódy, biometrické údaje a jednorázová upozornění mohou být nejhorší noční můrou hackera. I s heslem po ruce budou script kiddies zastaveni ve svých stopách, když je zapnuto 2FA.
Ať už jde o kód odeslaný do telefonu, skenování otisků prstů nebo upozornění na samostatném zařízení, druhý faktor zabraňuje neoprávněným přihlášením, i když hackeři získali odcizené heslo.
I když není zcela odolný proti sofistikovaným útokům, povolení 2FA výrazně zlepšuje zabezpečení a dělá život mnohem těžší pro běžné scénářové dětské taktiky.
3. Oprava a aktualizace softwaru
Aktualizace aplikací je jako získávání booster shots – chrání vás před nedávno nalezenými zranitelnostmi. Script děti hledají zastaralý software náchylný k jejich nástrojům, podobně jako chřipkové viry loví lidi, kteří přeskakují očkování proti chřipce. Automatizujte aktualizace, abyste na to nemuseli myslet.
Pamatujte si WannaCry ransomware, jeden z nejznámějších malwarových útoků vůbec? Většina jeho poškození pocházela ze zanedbání aktualizací systému Windows.
4. Použijte VPN a firewall
Většina útočných skriptů jako první krok vyčmuchává cílové IP adresy. Ale skrytí vaší IP adresy za VPN nebo blokování přístupu pomocí firewallu tento odkaz přeruší.
Podle maskování nebo omezení vaší veřejné IP adresy, script kiddies nejsou schopni určit vaši přesnou polohu a zařízení v síti. Služby VPN vám přiřadí jinou virtuální IP a zamaskují vaši skutečnou adresu.
Brány firewall vytvářejí pravidla pouze pro povolení připojení z důvěryhodných zdrojů. Oba mechanismy fungují jako překážky, které brání útočníkovi v počátečním průzkumu a činí skripty založené na IP neúčinné.
5. Zálohujte svá data
Ransomware a vymazané soubory mohou vést k trvalé ztrátě dat. Naplánujte si pravidelné zálohování takže můžete obnovit poškozená nebo zašifrovaná data, pokud váš počítač zasáhne útok skriptu.
Automatizovaná řešení zálohování, která běží denně nebo týdně na pozadí, vytvářejí bezpečné kopie vašich souborů na externích discích nebo cloudových úložištích.
Pokud by škodlivý skript zašifroval vaše data a požadoval platbu, můžete výkupné odmítnout s vědomím, že máte neporušené zálohy, ke kterým se můžete vrátit. Dokonce i útok, který nevratně odstraní nebo přepíše vaše soubory, lze obnovit stažením z vašich záloh.
S těmito bezpečnostními postupy buďte o krok napřed před křivkou skriptovacích dětí. Mohou to zkoušet dál, ale vy budete příliš tvrdý cíl.
Script Kiddies' Nedostatek dovedností není nedostatek rizika
I když se na první pohled nemusejí zdát jako hroziví protivníci, bezohledné používání útočných nástrojů script kiddies může vést ke skutečným škodám. Nemůžete si dovolit podceňovat tyto prohnané výtržníky.
Zůstaňte tedy v ochraně svých zařízení a neměli byste se příliš bát těchto nepříjemností ze světa hackerů.