Zabawy ze stosem, czyli Linux udaje innego Linuksa
Newsroom IDG.pl/Łukasz Bigo
5 lipca 2006 12:38
Korzystacie z Ubuntu i wydaje wam się, że jesteście bezpieczni? A nie przeraża was fakt, że w systemie nie został uruchomiony firewall? Nawet jeśli nie macie otwartych portów, istnieją sposoby na sprawdzenie poprzez Sieć, z jakiego OS-a korzystacie. Niemal bez ingerencji w Wasz komputer i niemal bez śladu w plikach logów. Poradzi sobie z tym nawet script kiddie, naprawdę. Nie boicie się, że najpierw Was "obmaca", a po chwili wejdzie na odpowiednią stronę, pobierze exploita i spróbuje was zaatakować? A co z dziurami, które nie zostały jeszcze wykryte? A co z tymi wszystkimi aktualizacjami, których nie zdążyliście zainstalować?
Ubuntu, SuSE, Fedora Core, Debian - to wszystko całkiem dobre i popularne dystrybucje systemu spod znaku pingwina. Każdy jednak, kto potrafi się posługiwać skanerem bezpieczeństwa, może was zdalnie zbadać i sprawdzić, z której konkretnie wersji kernela korzystacie. Zresztą - rzecz oczywista - problem nie ogranicza się Linuksów. Praktycznie każdy system podłączony do sieci może zostać obejrzany i obsłuchany. Wystarczy uruchomić NMapa z odpowiednimi przełącznikami i gotowe...
Problemem jest tutaj stos TCP/IP, czyli fragment systemu operacyjnego odpowiadający za komunikację programów i jądra ze światem.
Badanie "odcisków palców" stosu TCP/IP
Angielski termin "TCP/IP stack fingerprinting" doskonale oddaje to, co robią aplikacje znane skanerami zabezpieczeń. Stos TCP/IP każdego OS-a na rynku jest odrobinę inny, optymalizowano go z myślą o konkretnych zastosowaniach. Linuksy różnią się od Windows, systemy Windows różni się od systemów BSD, systemy BSD różnią się od systemów zarządzających routerami czy punktami dostępowymi itd. Ba, na tym nie koniec: optymalizacje wzajemnie się przenikają i wpływają na indywidualne zdolności konkretnych OS-ów.
Parametry stosu TCP/IP w Windows schowane są w Rejestrze
Jeśli podłączymy do sieci Windows ME i Windows 2000, potencjalny cyberprzestępca odróżni je bez większych problemów. Nie myślcie, że jesteście bezpieczni, bo "takich jak was użytkowników neostrady tp z Windows 98 są miliony"! W trakcie automatycznego skanowania sprawdzanych jest średnio ok. 200 komputerów na sekundę - wiele zależy od szybkości łącza po naszej i "tamtej" stronie - zatem momentalnie można wychwycić tych, którzy nie zdołali się zabezpieczyć.
Zapewniamy was, sześciominutowy "impuls" - zakładamy, że łączycie się przez modem dial-up - zwykle wystarczy, żeby wychwycić wasz komputer w sieciowym bloku liczącym 10 tysięcy maszyn.
Komentarze
Redakcja PC World nie ponosi odpowiedzialności za wypowiedzi Internautów opublikowane na stronach serwisu oraz zastrzega sobie prawo do redagowania, skracania bądź usuwania komentarzy zawierających treści zabronione przez prawo, uznawane za obraźliwie lub naruszające zasady współżycia społecznego. Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną.
- ocena:
2
- IP: 83.24.133.137
- 05-07-2006, 18:16
Nie rozumiem intencji autora. Ten art wygląda tak jakby autor chciał pokazać jak oszukać potencjalnego napastnika, ale wiedzy mu zabrakło, albo ma nieaktualną. Jest to zapis działań, które koniec końców nie przynoszą spodziewanych rezultatów.
Czyżby zadziałała zasada "wyszło - nie wyszło, co za różnica, wrzucamy, bo trzeba zapchać dziurę"?
Szkoda czasu na czytanie.
- ocena:
5
- IP: 83.145.181.135
- 05-07-2006, 18:32
@WielebnyK: Zauwaz, ze autor sam napisal, ze to nie powinnismy ufac tylko temu sposobowi na zabezpieczanie sie w sieci. Prawda jest taka, ze nie pomoze nam to w 100% ukryc sie przed napastnikami, ale na pewno mozemy sie dzieki temu czuc bezpieczniej - domorosli hakerzy na pewno nas nie zaatakuja, bo nagle zabraknie im wiedzy - i o to chodzi, bo to oni glownie sa winowajcami uszkodzen systemow operacyjnych, a nie zaawansowani hakerzy, ktorym zazwyczaj zalezy na zawieszaniu serwerow firm lub wykradaniu danych!
Jak dla mnie art jest b. dobry. Sam czesto korzystam z Linuksa i powiem, ze na pewno wyprobuje tej metody, aby choc troche ukryc sie przed natretami!
- ocena:
2
- IP: 83.31.232.160
- 05-07-2006, 19:30
Ł. Bigo, brawo, sezon ogórkowy w pełni. Takiego grafomaństwa nie widziano to od miesiąca :)
Jak już za dydaktykę się bierzesz, to możesz zalecić użytkownikom włączenie firwalla (kto ma niewłączonego, może po prostu Ty?) i włączenie autoaktualizacji (jest to np. w SUSE od razu). A tutaj uprawiasz jakieś voodoo, którym wystraszyssz tylko ludzi. Nie podajesz co to jets okno TCP, itp. terminów. Wikipedia się kłania. Stąd te artykuły są mało użyteczne i złoszczą niektórych.
Miejmy nadzieję, że nie przejdą do wydania drukowanego...
- ocena:
brak oceny
- IP: 83.144.110.188
- 05-07-2006, 19:52
a ja nie rozumiem poniższych komentarzy. Technika fingerprintingu ma ogromne znaczenie, a jej przeciwdziałanie (w przeciwieństwie do stosowania firewalla) jest mało rozpropagowane.
dobrze, że ktoś o tym napisał w takim, w gruncie rzeczy, popularnym pisemku/portalu.
- ocena:
brak oceny
- IP: 213.238.125.166
- 05-07-2006, 20:07
ooo śliczny linux też nie jest bezpieczny??o jaka szkoda.Wreszcie coś co mówi o wadach nie zaletach linuxa.A swoją drogą nakopane macie bezpieczeństwo w domowych kompach...... po kiego diabła?? boicie się że ktoś wam zwinie cv albo podanie o pracę???
- ocena:
brak oceny
- IP: 217.116.100.229
- 05-07-2006, 20:18
Źle jest, kiedy autor musi mówić, o czym jest tekst. Ale spróbuję. :)
Kiedy obejrzycie Państwo artykuły/wypowiedzi w Internecie dotyczące fingerprintingu, przekonacie się, że większość z nich skupia się przy artykule Fyodora z 1998 roku (tak, 1998!) i kernelach Linuksa z linii 2.0, czasem 2.2 i 2.4.
Wiele opisywanych u Fyodora "megawypaśnych" technik dziś stanowi niszę (np. FTP-bounce), bo wszyscy już dawno o nich wiedzą. Tak samo Xmas Tree i cała reszta.
Moja propozycja wynikła z chęci 1) przedstawienia czegoś tak fenomenalnego jak /proc, 2) zaprezentowania, że w 6 czy 7 linijkach można sprawić, że Ubuntu jest rozpoznawane jak system sprzed paru lat.
I tylko tyle. Proste, przyjemne, do wieczornej zabawy.
Nie chciałem wgłębiać się w możliwości netfiltra, IDS-y i modyfikacje stosu na tyle poważne, by zakłóciły pracę systemu operacyjnego. Konia z rzędem, kto ma serwer rozpoznawany jako Windows za zupełną darmochę (tj. bez płacenia dodatkowymi cyklami procesora). Chętnie poczytam o takim rozwiązaniu.
@Kapłon: jeśli korzysta Pan z Ubuntu, to proponuję jednak zainstalowanie firewalla - domyślnie w systemie go nie ma. W SuSE, Fedorze, Mandrivie, Windows XP SP2 - oczywiście jest. (ale zgadł Pan, nie używam firewalla w systemach alternatywnych)
Pozdrawiam, miłego wieczoru,
Ł
- ocena:
brak oceny
- IP: 217.144.192.102
- 05-07-2006, 20:34
W systemach 64bitowych maksymalny rozmiar okna tcp jest dwa razy większy, możnaby o tym fakcie wspomnieć.
- ocena:
brak oceny
- IP: 217.76.116.12
- 05-07-2006, 21:09
Fajny artykuł. Dzisiaj do poduszki czytam dokumentację /proc :)
- ocena:
4
- IP: 217.172.255.245
- 05-07-2006, 21:47
Gdy się nie udostępnia nic na zewnątrz można doprowadzić do sytuacji gdy na wszelkie próby z nmap-a będzie jeden komunikat. "Host seems down".
- ocena:
2
- IP: 83.31.232.160
- 05-07-2006, 22:08
@ŁB:
"Nie chciałem wgłębiać się w możliwości netfiltra, IDS-y i modyfikacje stosu na tyle poważne, by zakłóciły pracę systemu operacyjnego."
Hmm, jeszcze tego by brakowało do zaciemnienia artykułu. Mówiłem o tym, że nie używasz odnośników w swoim artykule. Operujesz takimi pojęciami jak /proc, okno TCP (mówisz o tym po prostu "okno"). To żenada. Zasłaniasz się chęcią "przedstawienia czegoś tak fenomenalnego jak /proc". Świetnie, tylko nie widzę u Ciebie znajomości zasad pisania tekstu - operowania terminami po uprzednim ich wyjaśnieniu.
Jak na razie postawiłęś na sensację, wiele Twych tekstów wprowadzających do artykułów straszą lub są kontrowersyjne.
"Konia z rzędem, kto ma serwer rozpoznawany jako Windows za zupełną darmochę (tj. bez płacenia dodatkowymi cyklami procesora). Chętnie poczytam o takim rozwiązaniu. "
Kolejny raz - offtopic. Skaczesz Pan z tematu na temat, coś tam piszesz o dziurach, "obmacywaniu" itp. A co już mnie rozłożyło, wywyższasz praktykę z której się śmieją ludzie od bezpieczeństwa: "security by obscurity".
Czy w IDG ludzie na urlopach i zostali tylko szeregowi?
(Mam zastrzeżenia do formy i treści, nie do osoby)
Pozdrowienia
- ocena:
brak oceny
- IP: 83.13.176.42
- 05-07-2006, 22:08
kelog coś tak skomplikowanego jak system operacyjny mam błędy z definicji, tyle że pod Linuksem są one łatane natychmiast a nie kiedyś tam i potem jeszcze czekanie na 2-gi wtorek miesiąca. zresztą w domu instaluje sie firewalla, nie udostępnia nic na zewnątrz (no i poco?i jest spokój. a włamać sie jak najbardziej mogą, ale w charakterze przystanku. czyli włamuje sie do ciebie, od ciebie na serwer i właśnie na twojego kompa (a nie faktycznego sprawcy) wskażą ślady pozostawione w logach serwera. pozatym jest jeszcze rozsyłanie spamu, ataki dos, oraz rozsyłanie wirusów (czyli włączenie kompa niczego nieświadomego użytkownika do botnetu)
- ocena:
brak oceny
- IP: 83.13.176.42
- 05-07-2006, 22:13
zapomniał bym o phisingu, czyli wykradaniu loginów i haseł do systemów aukcyjnych (potem sobie za zwrot konta i nie wystawianie na nim rzeczy których po otrzymaniu kasy nie wyśle stosownie policzy) banków internetowych oraz płatności on-line (coraz częściej używa sie do tego trojanów, na emaila z prośbą o zalogowanie się korzystając z dołączonego odnośnika coraz mniej ludzi reaguje )
GPS
FOTOGRAFIA
