::::::::::. :::::::..   :::.,::::::   :::         ...     .        :   
    `;;;```.;;;;;;;``;;;;  ;;;;;;;''''   ;;;      .;;;;;;;.  ;;,.    ;;;  
     `]]nnn]]'  [[[,/[[['  [[[ [[cccc    [[[     ,[[     \[[,[[[[, ,[[[[, 
      $$$""     $$$$$$c    $$$ $$""""    $$'     $$$,     $$$$$$$$$$$"$$$ 
      888o      888b "88bo,888 888oo,__ o88oo,.__"888,_ _,88P888 Y88" 888o
      YMMMb     MMMM   "W" MMM """"YUMMM""""YUMMM  "YMMMMMP" MMM  M'  "MMM
   
   prielom #6, 28.4.98, prielom(at)hysteria.sk, http://hysteria.sk/prielom/



obsah




intro

tento vikend som sa uchylil na chatu na severe slovenska. natiahol som si predlzovacku vonku do zahrady, vyvalujem sa na slnku a sledujem suseda koncertovat na cirkularke... jeho manzelka, drobna sympaticka zienka, volaco sadi v zahrade. pripada mi to take divne premyslat tu o negroponteho uvahach o internetovskych agentoch-programoch s umelou inteligenciou, zda sa mi to teraz byt take odtrhnute od reality, ked sa tu predo mnou odohrava boj o prezitie. na buduci vikend sa chystam do prahy do terminal baru, tam aspon v tej komunitke inet nadsencov nebudem citit tu potrebu ist ponahadzovat kompost na zahradu namiesto snivania o buducnosti internetu.

som rad ze na moju vyzvu v minulom cisle reagovalo zopar ludi. dohodol som sa na spolupraci s niekolkymi velmi zaujimavymi ludmi a pripravuje sa zopar zaujimavych clankov a prekladov. stay tuned.

pajkus, lazy pod makytou, 26.4.98



000 000 111 - dvojiti agenti

Ked za Vas niekto pokosi travnik, umyje Vam auto, alebo vycisti oblek, v hre je velmi malo sukromia. Ked vsak odovzdate manazment Vasich zdravotnych, pravnickych, alebo financnych zalezitosti do ruk inemu cloveku, zalezi to na Vasej ochote odhalit svoje velmi osobne a sukromne veci. Aj ked prisahy a pravo ochranuju niektore osobne informacie, v skutocnosti neexistuju regulacie proti uniku intimnych informacii tretimi osobami - ludskymi asistentami. Vsetko je zalozene iba na dovere a vzajomnom respekte.

V digitalnom svete sa takato ohladuplnost a skutocna dovera dosiahe omnoho tazsie, ak vezmeme do uvahy absenciu skutocnych alebo odvodenych hodnot v pocitacovom systeme. Navyse spolocnost elektronickych agentov bude moct komunikovat omnoho efektivnejsie ako zbierka ludskych kucharov, upratovaciek, soferov a masiarov. Klebety sa stavaju faktami a siria sa rychlostou svetla.

Pretoze stale tvrdim vo svojich clankoch a prednaskach ze inteligentni agenti su jednoznacna buducnost informacnych technologii, vzdy sa ma pytaju na otazku sukromia. Avsak ludia tuto otazku kladu bez toho aby plne chapali aka je sukromie dolezita vec. Casto prednasam na seminaroch urcenych pre manazerov v drahych hoteloch a obcas ohlasim na prednaske tymto manazerom (vacsinou muzom), ze som sa dohodol s manazmentom hotela, ze mi daju zoznam filmov ktore si na hotelovej izbe predoslu noc pozerali. Ked v prednaskovej hale zbledne polovicka tvari, priznam sa ze zartujem. Ale nikto sa nesmeje. Je to dost vystizne, ale ani nie tak vtipne.

Z nicoho nic nase najmensie aktivity zanechavaju digitalne stopy. Zatial su tieto "bit-stopy" izolovane utrzky velmi malych casti nasho zivota. Ale casom ich pribudne, prekryju sa a budu navzajom komunikovat. Video-pozicovna, banka, alebo telekomunikacna firma budu zrazu moct vytiahnut svoje bity a par udermi do klavesnice mozu o Vas velmi vela zistit. Toto je iba zaciatok: kazdy nakup cez kreditnu kartu, kazda platba v obchode s potravinami, kazda postova zasielka sa moze pridat do tejto rovnice. Extrapolujte si tuto predstavu do buducnosti a, skor ci neskor, budete iba priblizna podoba Vaseho pocitacoveho modelu. Vadi Vam to ?

Hermes a hermetika

Mne to nevadi a vysvetlim preco. Informacie o tom komu som telefonoval, co som pozeral, alebo kde som sa bol najest nie su az tak zaujimave v porovnani s informaciami preco som to spravil a s informaciami nasledujucimi moj cin (Jedlo mi chutilo, mojmu hostovi chutilo, alebo nikomu nechutilo, ale nechceme to priznat). Skutocnost ze som sa bol niekde najest je takmer bezhodnotna, pokial je neznamy dovod a vysledok mojho skutku. Ciel, dovod a nasledne pocity su omnoho dolezitejsie ako samotny skutok alebo rozhodnutie. Zanecham iba par digitalnych omrviniek pre spolocnosti s direct-marketingom, tym ze odhalim skutocnost, ze som sa bol napriklad najest v nejakej restauracii. Zajumive data su uchovane agentom, ktory mi rezervoval stol v restauracii a ktory sa ma potom neskor spytal ako mi chutilo.

V sucastnosti sa marketingovi odbornici snazia zrekonstruovat proces rozhodovania zakaznikov a zistit na zaklade coho sa rozhodol. Reklamne agentury luskaju statisticke data aby zistili preco som si kupil prave tento druh mydla a nie nejaky iny. Toto sa v buducnosti zmeni. Budeme moct povedat pocitacovemu agentovi co chceme, kedy to chceme a tym vlastne aj ako postavit model nas samych - zbierku rozhodnuti z minulosti, pritomnosti a z buducnosti (tak daleko ako my sami vieme). Takyto agenti budu moct sledovat a filtrovat informacie a anonymne dat digitalnemu obchodnemu svetu najavo, ze nieco hladame.

V takomto sceneriu budu existovat dva druhy agentov: jeden zostane doma (na Vasom zapasti, vo Vasom vrecku, alebo vo Vasom radiu) a jeden zostane na Internete, surfovat namiesto Vas, prenasat informacie tam a spat. Do isteho stupna budu takyto agenti hermeticky uzavreti. Budu citat tok bitov o produktoch a sluzbach ktore budu vysielane na kablovych a bezdratovych kanaloch. Z tohoto mora informacii vyselektuju specialne data na zaklade Vasich osobnych zaujmov a preferencii - cinnost tak jednoducha ako napriklad vyber informacie o cene akcie, ktoru vlastnite, a az tak zlozita ako napriklad vybratie pre Vas zaujimavej casti televizneho serialu. Tito agenti budu "same ucho".

Informacni agenti budu zlozitejsi. Budu fungovat tak ako my fungujeme dnes, ked surfujeme Net a hladame zaujimave veci a ludi. Teraz sme v takom stadiu ze si mnohi ludia myslia ze Netscape a ostatne browsery su jedinou buducnostou Internetu. Nie su. Uz aj dnes ludia ktori surfuju Net musia mat na to vela casu. V buducnosti bude surfovat Net menej ludi ako dnes chodi do kniznice. Budu to za nas robit agenti.

Ked hovorime o sukromi, najviac by sme sa mali obavat takychto Internetovskych agentov. Budu musiet byt nedotknutelni a nehacknutelni. Musime vyvinut technologie ktore zabrania moznemu uniku informacii od takychto agentov. Znie to smiesne ? Pockajte ked sa zacnu na sudoch hadat o tom ci takyto pocitacovi agenti mozu proti nam svedcit.

Clipper lode

Bezpecnost a sukromie su hlboko prepletene. Vlada chce aby sme sa plavili v oceane informacii, ale chce mat moznost kedykolvek naskocit na nasu (Clipper) lod. Toto rozculuje ludi a vznikla z toho obrovska debata. Ja iba zivam. Vysvetlim preco.

Sifrovanie nie je obmedzene na jednu vrstvu. Ak chcem poslat niekomu tajny odkaz, slubujem ze to dokazem, bez akehokolvek rizika ze by to niekto dokazal desifrovat. Jednoducho pridam jednu sifrovaciu vrstvu, pouzitim neprelomitelneho kodu. Taketo kody nemusia byt genialnymi vytvorami matematikov, alebo vysledky masivnej elektroniky, ale mozu byt jednoduche ale bezpecne.

Na dokaz tohoto som dal 105 riadkov dvanastich bitov do tiraze svojej knizky, Being Digital. Tieto bity obsahuju odkaz. Stavim sa ze nikdy ho nedokazete dekodovat. Ak to chce skusit trebars aj cely rocnik ostrych studentov matematiky, nech sa paci. Wired casopis Vas bude dlho ospevovat. Ani zdaleka to nie je take jednoduche, ako dekodovat nazov tohoto clanku: James Bond.

nicholas negroponte, nicholas(at)media.mit.edu
preklad pajka(at)hysteria.sk

navrat na obsah
co ty na to ? board



bezpecnost novell netwaru

Tak jsem se rozhodl napsat clanek o (ne)bezpecnosti NetWare, protoze 99% siti, ktere jsem videl maji zavazne bezpecnostni nedostatky (a supervisitori s tim nechteji nic delat, jsou vetsinou BFA) - KATASTROFA. Nemyslim si, ze netware je nebezpecny system, prave naopak, ale musi byt dobre nakonfigurovany. Tento clanek jiz vysel v Netmagu (http://netmag.cz/), toto je jeho upravena verze. Cele je to jedna velka slatanina, tak mi za to prosim nenadavejte. Pokud vas z toho cokoliv zajima, muzu se o tom trochu rozepsat. Pokud mate o neco zajem nechte mi nekde vzkaz.

Nejvice der je vzdycky v pristupovych pravech. Mylne si spravci mysli, ze prava write k .exe souboru nikdo nezneuzije (neb to ON neumi). Omyl. Nemusi se ale v zadnem pripade jednat jen o spustitelne programy, "patchnout" se da prakticky cokoliv, treba i neskodne vypadajici (opravdu jen vypadajici) .bgi soubor (chcete to predvest?). Dalsi chybka je v povoleni prava modify & write do mail directory (sys:mail), ve kterem je ulozen take login script (u 3.x), takze neni problem ho supervisorovi zmenit, aby treba sejmul cely SYS:. Nezapomente taky kazdemu novemu userovi vyrobit Login Script, protoze do SYS:MAIL maji useri pravo Create, z cehoz vypliva, ze kdokoliv muze login script vyrobit.

K (ne)velkemu prekvapeni se data prenaseji po siti (jako obvykle) v nekodovane podobe. Z toho plyne, ze jakmile user odchyti pakety, ve kterych prenasite dulezity soubor, ma ho taky <g>. To je ale moc namahave, takze je jednodusi si nejak pridelit prava. Treba tak, ze prijde k serevru a naloaduje NLMko, ktere ho udela adminem, nebo kdyz nema pristup k serveru, tak odchytne packet s heslem na rconsoli (ktere je velmi jednoduse kodovane...). Dalsi metoda jak se udelat superuserem je poslat na server packet s prikazem s falesnou IPX adresou - a to adresou prave prilogovaneho supervisor-equivalenta. Tato feature se da nastesti na serveru vypnout, ale defaultne vypnuta neni, takze to jde v 99% pripadu ;(. Mimochodem, uz na to existuje pekna radka programu - treba BLogout, hacknet, ... (vzdyt je to tak jednoduche, podporuje to sam IPX driver...)

Dalsi zastavka bude u Bindery a NDSky. Zacneme bindery, ktera je starsi. Prvni dira se vyskytuje u nekterych revizi NW 3.12, NW server v urcitych situacich neprepise blok pameti, ve kterem mel ulozene rozkodovane heslo. V cem je problem? Kdyz se vytvari user, tak se mu nastavi heslo a identification, takze se obcas pouzije buffer s heslem ... a to se za vlastni identification zapise ;((. Mimochodem, tato chyba je pomerne oblibena na CVUT v Dejvicich. V bindery je (stejne jako v NDSce) samozrejme mozne schovat nejakeho uzivatele, takze ho nikdo neuvidi. Dalsi moznosti, jak zjistit neci heslo je ziskat soubory s bindery (treba zalohy, .oldy,...) a ty potom slovnikem nebo brute-force dekodovat. Taky by nemel byt problem odchytit packety s NDSkou, kdyz se synchronizuje, ale niky jsem to nezkousel. Snad ani nemusim podotykat, ze format bindery a NDSky je crackery VELMI dobre zdokumentovany, stejne jako algoritmy kodovani hesel (Viz Bindery scalpel, Pandora, atd)...

Nikdy nedavejte server do mistnosti pristupne userum, jak jsem psal vyse, je velmi jednoduche si pres nej pridelit superv. prava. Obcas je konzole serveru zaheslovana z monitor.nlm, ale odheslovat takovyto server je prace na par vterin (treba z debuggeru,...). Je stale jeste moznost prikazem SECURE CONSOLE server trochu vice zabezpecit, takze user bude znacne omezen. Problem je ale v tom, ze bude omezen znacne i spravce serveru ;( Nicmene i takto zabezpecena konzole se da odheslovat... A kdyz jsme byli u toho debuggeru, tak taky neni problem napriklad "upravit" server, aby nekontroloval hesla. Rozhodne nedoporucuji pouzivat rconsoli a jine zcela bezpecne nastroje na spravu serveru a uzivatelskych stanic. Mezi tyto zcela bezpecne utility radim vsechny ty exacy, hini, remote mgmt, ...etc. Velmi jednoduse se vetsina z nich da cracknout ipx spoofingem.

Oblibene utility mezi crackery jsou take ruzne sledovace klavesnice, zapisovace hesel, atd. Utilit tohot druhu je prilis mnoho a tak se pomerne hojne pouzivaji. Velmi produktivni byla skupina YTMAR, ktera napsala nejmene 3 kousky (ty znam a vim o nich, urcite jich ale bude jeste vic). Ty nejjednodussi "spioni" hesla nechavaji v pameti, takze si je musite vyzvednout. Dalsi varianta je posilat hesla pres IPX/SPX. SPY + NSPY pracuji tak, ze chycena hesla zapisuji do 0. stopy hard disku. A ty "nejinteligentnejsi" je zapisuji nekam do souboru. Existuje taky patchnuty login.exe, ktery zapisuje hesla do bindery; to pouzitelne ale pouze, kdyz je nw cracknuty. Vsechny tyto programy pracuji 100% na NW3.12. Pokud je pouzijete u 4.x verze, vetsina z nich prestane chodit. IMHO to je ale jedno, protoze takovyto postup je velmi slozity a neefektivni, takze ho pouzivejte az ve stavu opravdove nouze. Vzdyt server jde ve vetsine pripadu cracknout mnohem jednoduseji :-)).

Dalsim problemem je, ze supervisori doufaji, ze useri neziskaji ovladace a klienta k NetWare, aby prekonali ochrany. Neni nijak neobvykle, ze pri bootu se natahuje plno bezpecnostnich programu (napriklad zamek floppydisku, sledovatko cinnosti, ...) a supervisor tise doufa, ze se nikomu nepodari nabootovat z diskety a pripojit se na server, aby prekonal ty zabezpecovatka. Nebo se ochrana muze volat z login scriptu (co tak se prilogovat bez login scriptu?). Ne, toto neni cesta vedouci k uspechu.

Nakonec se podivame na jinou vec (ktera s bezpecnosti nema nic spolecneho) - kradeni licenci k NetWare. vzhledem k tomu, ze netware neni zrovna nejlevnejsi, tak je pomerne caste. U NW4.x je lze dokonce skladat, u NW3.x muzeme pouzit pouze tu nejvyssi. Verze 3.x ma licenci ulozenou primo v server.exe, z cehoz vyplyva predchozi. NW 4.x je ma ulozene v adresari SYS:_NETWARE (popripade na licencni diskete). Tento adresar je pro crackery velmi zajimavy - je v nem ulozena hromada uzitecnych informaci: vyse jmenovane licence, soubory NDSky, ...etc. Do SYS:_NETWARE se dostanete pouze ze serveru (A ani na nem ho neuvidite v dirlistu SYS:). Ze stanice nemate vubec narok. Pokud jej budete proskoumavat, doporucuji si stahnout mc.nlm, jcmd.nlm, nwshell.nlm, popripade nejaky dalsi shell. Muzete se do nej taky podivat z rconsole (verze 4.x a vyse), ale neni to prilis efektivni.

Do ted' jsem popisoval jak bourat netware "zevnitr", tzn musite mit pocitac s ipx routovatelnym primo k NetWare. Nebylo by ale jednodussi to bourat treba pres internet? Jiste, i tato moznost tu je. IPX packety lze "zabalit" do UDP, takze no problem. Na protejsim serveru musi byt nastaveny tzv. IP tunell a mate vyhrano. Pokud je nejaka komunikace jiz "established", muzete ji napr. prebrat. To udelate tak, ze reknete nejakemu routeru aby neroutoval packety tam kam by se melo ;). IP TUNELL muze byt samozrejme kodovany, ale neznam nikoho, kdo to pouziva. Vice informaci naleznete v RFC, konkretne rfc1234 (hezke cislo, co?). IP TUNELL pouziva UDP port 213, takze si muzete nmapnout nejakou sit a hned vidite, kde muzete zacit s bouranim.

Timto samozrejme seznam bezpecnostnich "problemu" NetWare nekonci, ale myslim si, ze jsem ty nejznamejsi vypsal. Dalsim zajimavym materialem, ze ktereho se da nacerpat spousta napadu jak sit zabezpecit (a cracknout) je Novell NetWare Hacking FAQ od Simple Nomada. Takze ted' je jen na Vas, spravcich serveru, zda budou site nadale derave jak jsou, nebo to crackerum trochu stizite. Hodne stesti :-)

mhi, mhi(at)hysteria.sk

navrat na obsah
co ty na to ? board



Niekolko krokov k zvyseniu bezpecnosti Linuxu Slackware 3.4

Za bezpecnost budem v tomto clanku povazovat subor opatreni zabezpecujucich, ze nikto neziska kontrolu nad mojim pocitacom, neznefunkcni ho ani ho nepouzije k utoku na iny system.
Tento clanok je zamerany na Slackware 3.4, vacsina krokov, ktore teraz uvediem, sa netyka len Slackware, ale Linuxu vseobecne.

Slackware je jedna z najznamejsich a najpouzivanejsich distribucii Linuxu udrziavany na Walnut Creek. Jeho domáci archív je na ftp.cdrom.com a ma mnozstvo mirrorov. Zakupit sa da na www.cdrom.com, www.lsl.com, www.cheapbytes.com. Na poslednách dvoch stojí len 2 - 3 doláre, avsak s postovnym a clom sa moze predrazit aj na viac ako 500 Sk. Zazrel som aj Slackware na Linux 6CD za cca 1200 Kc u www.aps-brno.cz, ktorej týmto robím nezasluzenu reklamu.

1) Prva pomoc

- Nastavenie rootovho hesla. Toto je velmi dolezite, pretoze jeho vlastnik ma uplnu kontrolu nad systemom. Heslo by malo mat prinajmensom 6 znakov, odporucam vsak 8, malo by obsahovat velke, male pismena, cisla a vhodny je aj nejaky nealfanumerický znak. Nemalo by to byt ziadne zrozumitelne slovo ani rodne cislo.
Hackerske slovniky a programy sa takisto vedia vyrovnat aj so substituciami typu L - 1, E - 3, O - 0 a podobne.

- Odstranenie bugov dodavanych v distribucii. Slackware 3.4 sa dodava s bugovym dillon crontab / crond. Po instalacii hned nahradime cely balik bin.tgz za novy patchnuty z adresy

ftp://ftp.cdrom.com/pub/linux/slackware-3.4/slakware/a2/bin.tgz.

Ak mienime vyuzivat pop3, je vhodne namiesto dodavaneho pouzit nejaky iny, dobre skusenosti mam s qpopper-om, ktory sa da najst na adrese http://www.eudora.com/freeware/qpop.html .

- Vyhodenie zbytocne spustanych daemonov z /etc/rc.d/rc.*

Obzvlast sendmail a sietovi daemoni v rc.inet2 . Co naozaj nepotrebujeme, to nema zmysel spustat a ochranime sa aj pred rizikom, ze niekedy v buducnosti sa objavi exploit prave na nasu verziu daemonov. Zaroven aj setrime pamat servera.

- To iste pre sluzby a daemonov v /etc/inetd.conf . Sluzby, ktore sme ponechali, by mali byt okliestene pomocou /usr/sbin/tcpd TCP wrappera.

- Nastavenie sietovych pristupovych prav pre sluzby, ktore sme nechali v /etc/inetd.conf . Robi sa to pomocou suborov /etc/hosts.allow a /etc/hosts.deny , ktore su konfiguracne subory tcpd . Cim menej pocitacom alebo sietam povolime pristup, tym menej ludi ma prilezitost na nas utocit.

- Okamzity prechod na kernel aspon 2.0.33. Predchadzajuce verzie obsahuju bugy v TCP/IP implementácii, ktoré umoznuju hocikomu zo siete zhodit linux a tym mu znemoznit poskytovat sluzby (Denial Of Service Attack). Co sa tyka kernelu, nezmenit nastavenie Drop Source-routed Packets, ktore chrani ostatne pocitace od utokov cez nas pocitac.

- Instalacia najnovsej verzie sendmailu z www.sendmail.org . Obzvlast dolezite, pretoze sendmail je velmi komplexny program plny bugov. Napriek tomu je vsak casto nutne ho pouzit, preto je dolezite mat nainstalovanu poslednu verziu.

- Instalacia ssh alebo ineho programu zabezpecujuceho, ze hesla ani ziadna komunikacia nejde po sieti nezasifrovana.

2) Druha pomoc

- Odstranenie identifikacnych znakov Linuxu. Ak neprezradime, ze pouzivame linux, vyhneme sa utokom typu: "je novy exploit na linux, vyhladajme vsetky linuxy na dosah a hacknime ich". Ako sa da najst Linux: Pomocou login bannerov v /etc/issue.net, pomocou SNMP, sendmail, ftpd atd., pomocou hrdych bannerov "Linux inside" na WWW strankach a hlavne podla mena servera, ako napriklad "linux.na.univerzite.sk", co umoznuje skutocne masove automaticke hladanie linuxov.

3) Trvalo udrzatelna bezpecnost - Nainstalovat software, ktory pravidelne (z cronu) kontroluje bezpecnost systemu. Napriklad kontrolu setuid programov, privilegii a vlastnictva systemovych suborov vykonava cops. Dobry program na kontrolu zmien roznych parametrov suborov, ako casu vytvorenia, poslednej zmeny, posledného pristupu, dlzky, zmeny obsahu atd. zabezpeci tripwire (obidva na www.cert.org). Tripwire treba nakonfigurovat aby monitoroval tie súbory ktoré potrebujeme. Databázu kontrolnych suctov si treba skopirovat na nejaky iny pocitac, aby hackeri po zmene suborov nevykonali update databazy. Pravidelne kontrolovat hesla uzivatelov pomocou programu crack. Napisat si alebo pohladat nejaku kontrolu /var/log/syslog na zle pokusy o su, /var/adm/wtmp na nestandardne adresy.

- Sledovat diskusne skupiny a mailing listy zamerane na bezpecnost, napr. bugtraq, linux-security, CERT advisories, SNI advisories, L0pht advisories

- Nedavat SUID bit programom, ktore ho nepotrebuju alebo bez ktorych sa zaobideme.

- Ucit sa ucit sa ucit sa, stale je nieco nove. Nenechat sa ukolisat pocitom, ze sme spravili vsetko a ze sme dobri (tusim som zasiel do ideologie).

4) Paranoia

Ak mate temne tusenie, ze to stale nestaci a nemozete sa zbavit pocitu, ze niekto ide po vas, mozte napriklad preventivne upravit svoj kernel:

- Vyhodit z drivra sietovej karty kod prepinajuci do Promiscuous Mode, ktory umoznuje odchytavat z ethernetu packety, takto dost stazite niekomu, kto hackol vas pocitac pouzivat ethernet sniffer, a teda obmedzite utoky na dalsie pocitace pomocou zachytenych hesiel.

- Vyhodit pouzivanie modulov.

- Nastavit v kerneli kvoty na pocet procesov, uzivatelov, proces/uzivatel, pamät/proces atd., aby nam uzivatelia nemohli zhodit system obycajnym programom alokujucim pamat alebo procesy.

- Vykonat zopar patchov (napady podla Phracku 52 - http://www.phrack.com/52/ ):

simkes, stefan(at)eunet.sk

navrat na obsah
co ty na to ? board



unix logy

rec bude o unixovych logoch, o tom ako spravca unixu zabezpeci aby jeho logy vierohodne a bezchybne zaznamenvali cinnost na serveri, ale aj o tom ako moze hacker odrbat systemove logy a zmazat stopy po svojich aktivitach. ako obvykle, snazim sa pisat z pohladu obidvoch stran sachovnice. "hackeri" a admini su jedna banda, vacsina dobrych a security-uvedomelych adminov v minulosti trosku robili sarapatu hackovanim... v kazdom pripade ked chce niekto dobre zapezpecit svoj server, je velmi dolezite poznat pracu obidvoch protipolov.

syslogd

spravu systemovych logov zabezpecuje na unixoch daemon syslogd. tento program je stary peknych par rokov, a za poslednych 4-5 rokov sa takmer vobec nezmenil. vdaka tomu je syslogd takmer identicky na vsetkych komercnych aj nekomercnych odrodach unixov, vsetky vychadzaju zo starych BSD zdrojakov. rozdiel je vsak v defaultnej konfiguracii. ked si nainstalujete cerstvy AIX alebo Solarix, syslogd je nakonfigurovany tak ze neloguje takmer nic, komercne UNIX stanice sa totiz stale vacsinou pouzivane viacej pre vnutropodnikove ucely na lokalnych sietiach, a nie ako Internetovske servery. avsak pokial sa aj pouzivaju ako inet servery, admini si ich casto-krat neprekonfiguruju. chyba. distribucie linuxu a freebsd su zvycajne vcelku dobre defaultne nastavene. "vcelku dobre" vsak vacsinou nestaci, nasleduje niekolko moznosti ako zvysit bezpecnost logovania :

logovanie na remote server

ked syslogd spustite s "-r" flagom, umoznuje forwardovanie logov na externy stroj. do /etc/syslogd.conf treba potom pridat riadok

*.*		@loghost

a voila, vsetky logy sa ukladaju aj na masinu "loghost". cize ak niekto hackne vas stroj a zmaze logy, vy si mozete pozriet logy na tom druhom (dufajme ze nehacknutom) stroji. pokial je vo vasej lokalite viacej unixovych serverov, ako to byva bezne trebars u inet providerov, je dobre spravit osve masinu iba na ukladanie systemovych logov. tato masinka moze byt trebars nejaka vyradena 386ka a mala by byt totalne zabezpecena - trebars vobec na nu neumiestnit ziadne daemony, proste ziaden dialkovy pristup, ziadna posta, vobec nic okrem pristupu cez konzolu. takyto jednoduchy system je nielen dokonale bezpecny, ale navyse je to aj vcelku prakticke mat vsetky logy pokope, ked sa treba vramci beznych administratorskych povinnosti hrabat v logoch viacerych masin.

logovanie na konzolu

zmazat subor dokaze hocijaky luzer, moze vas vsak zachranit vypis na obrazovke, nehovoriac o tom ze je to tiez super prakticke mat vypis na obrazovke. na linuze sa to docieli trebars riadkom :

*.*		/dev/ttyp12

je pravda ze to nie je tazke odrbat - staci po hacknuti stroja editnut logy, vymazat stopy a potom spravit nieco ako 'tail -100 messages > /dev/ttyp12' a root si nic nevsimne. ale povedzme si, v dnesnej dobe ked je inet plny lamerskych wannabe hackerov ktori sa nekukaju do /etc/syslogd.conf, je dost pravdepodobne ze si logovanie na konzolu podpriemerny hacker ani nevsimne. bezny luser ktory vie iba spustit exploit z rootshellu sa da dokonca oklamat aj tak, ze proste zmenite syslogd.conf tak, aby logoval do nejakeho neobvykleho adresara. da sa vlastne vo vseobecnosti povedat ze pokial si svoj server prekonfigurujete na nepoznanie od defaultnych nastaveni, hackera to dokaze riadne zmiast a dokazete ho okabatit. treba predvidat utok a dopredu sa takto prichystat. pre hackerov zase plati ze okamzite po hacknuti masiny sa treba popozerat po /etc adresari a precitat si vsetky dolezite konfiguraky, aby sa ziskala predstava o danom stroji. predpokladat defaultne konfiguracie sa moze stat osudnou chybou.

uprava kernelu

na linuxe je moznost upravit kernel tak, aby sa nastavili niektore subory, ktore nie je mozne mazat ani editovat, je mozne iba appendovat do nich. tato vecicka je vo forme kernel patchu popisana v poslednom phracku (www.phrack.com) v daemon9ovom clanku.

syslogd s podporou sifrovania ?

uz dlhsi cas uvazujem nad verziou syslogd, ktory by kryptoval logy a ukladal ich zasifrovane. nie je to tazke spravit, staci pouzit nejake bezne DES kniznice trebars.. neverim ze som jediny koho to napadlo, zatial vsak aspon ja osobne neviem o tom ze by existovala takato verzia syslogd. ludia z cZertu o tom viac krat premyslali, ale nepodarilo sa mi nazhromazdit take mnozstvo piva aby som presvedcil dvorneho C-eckara cZertu dusheena aby to spravil (heh a tymto ho zase k tomu verejne vyzyvam a provokujem).

cistenie

ok, teraz par slov o mazani stop v logoch vyprodukovanych syslogd. pre hackera je najjednoduchsie otvorit si textovy log v editore a vymazat "svoje" riadky. avsak castokrat su logy na masine obrovske subory a ked ich otvorite v nejakom editore typu pico, moze nastat katastrofa. bol som svedkom takehoto dosraneho utoku na masinu - chalan hackoj stroj, hned sa vrhol do /var/log aby zmazal stopy, a otvoril messages v picu. ten subor vsak mal okolo 200Mb a chudak linuxik so 16Mb RAM cely zamrzol a uz to nevykryl. rano prisiel k nemu root, rebootol ho a zvedavy sa mrkol do syslogd, kde samozrejme nasiel stopy po tom hackerovi. buum.

na editovanie takychto velkych suborov pouzite grep, sed, awk, take cosi. cize trebars grep -v evil.hacker.sk messages > temp ; mv temp messages. pozor, neprepisujte stary subor pomocou 'cp', totiz potom syslogd prestane do toho suboru zapisovat a musi sa restartnut.

samozrejme nie je problem cely tento proces zautomatizovat scriptom, ja som svoj primitivny scriptik zverejnil na arxive (hysteria.sk/arxiv). cistenie logov je strasna otrava, nastastie na linuxy existuje "patchnuta" verzia syslogd, ktory sa nachadza tiez na arxive, a ktory sa da tak nakonfigurovat, aby nelogoval riadky s vopred zadefinovanym stringom.

jedna vec je logy zapisovat, druha vec je samozrejme ich sledovat a citat. ked mate syslogd nakonfigurovany tak paranoidne ako ja, nie je problem aj na malej masine mat 1Mb logov denne. obcas ma ukludnuje ked si rano ku kave pustim pred ocami vypis z logov a pol hodinu na ne meravo civim. pokial vsak nepatrite k alkoholikom co si rano po opici potrebuju pol hodinu pri kave meravo civiet na unix logy, mate problem. riesenim je potom nejaky program, ktory vam z logov povybera "zaujimave" riadky. existuje na to kopu programov, par som si aj nainstaloval, ale kedze neznasam citanie manualov a trpim nervozitou, po desiatich minutach bezradneho tapania v tme som ich hystericky vymazal. napisal som si vlastny scriptik, ktory vy-grep-uje z logov zaujimave riadky na zaklade stringov ako je trebars "fail", "root", "changed" a podobne, takyto vycuc za predosly den si davam vzdy o polnoci posielat e-mailom na pop server.

este jedna vec, trochu o inom. ja mam syslogd nakonfigurovany tak, ze mi loguje vsetko a este k tomu viacnasobne, avsak absolutne nikam nelogujem prichodziu a odchodziu postu. podla mna roota nic nie je do toho kam si uzivatelia posielaju postu a odkial ju dostavaju. protiargument je sice "ochrana" pred spam mejlami, ale ja na take blbosti kaslem.
tolko k syslogd.

binarne logy

druha kapitola su binarne logy, cize utmp, wtmp, lastlog a acc. utmp (vacsinou /var/run/utmp) obsahuje informacie o momentalne pripojenych uzivateloch. wtmp (vacsinou /var/log/wtmp) obsahuje info o tom kto bol odkial a ako dlho v minulosti pripojeny. lastlog (/var/log/lastlog) obsahuje zaznam o poslednom pripojeni kazdeho usera. acc (/var/log/acc) obsahuje zaznam o vsetkych spustenych programoch. subory su binarne, strukturu si mozete nastudovat v manuali ku kazdemu suboru (t.j. man utmp), na takmer vsetky platformy vsak uz existuju cistice. este stale dost administratorov dost veri na tieto binarne logy, vela z nich dokonca ani nevie ze su editovatelne. preto ked sa vymazete z tychto binarnych logov, oblafne to nejedneho roota.

falosne stopy

co sa tyka psychologie administratorov, je podla mna ovela lepsie naraficit falosne stopy, ako kompletne ich zmazat. na to je genialny napriklad bebetov wtkil, ktory umoznuje pridavat zaznamy do wtmp. zoberte si totiz takyto pripad - hacknete stroj a zmenite WWW stranku. root pribehne zhrozeny k serveru a zacne sa vrtat v stroji. pokial ste po sebe dokonale zahladili vsetky stopy, neda mu to spat a proste bude hladat a hladat a hladat az kym nebodaj nieco nenajde. preto je z psychologickeho hladiska omnoho lepsie "spravit" falosne logy do /var/log/wtmp, messages, .bash_history, atd.. vsetko samozrejme musi krasne spolu sediet. pri takomto hacku kludne nechajte na serveri svoje "nastroje", pomocne subory, atd. root najde stopy a uspokoji sa, alebo zacne hladat tym smerom ktorym ho nasmerujete. idealne je napriklad spravit falosne stopy veduce niekam na opacnu stranu krajiny na nejaku univerzitu na PCko umiestnene niekde v pocitacovom labaku do ktoreho maju studenti verejny pristup. root si vymeni zopat e-mailov s bezmocnym spravcom daneho labaku a mate to v suchu. tiez je dobre nasmerovat stopy niekam uplne do paze, trebars na nejaku dial-up-ovu adresu k nejakemu gigantickemu americkemu Inet providerovi (AT&T, america online a pod.) pokial sa totiz root hacknuteho stroja rozhodne silou mocou vypatrat vynnika a kontaktovat spomenute spolocnosti, narazi na neprekonatelny mur americkej podnikovej byrokracie. pokial sa rozhodnete nechat na hacknutej masine falosny .bash_history log, doporucujem spravit ho tak, aby ste vyzerali ako totalny lamer :) dajte tam primitivne opakujuce sa prikazy, ktore vas vykreslia ako totalneho dementa ktory nasiel niekde na webe exploit a chcel ho vyskusat. totiz je to obrovska vyhoda ked vas protivnik podcenuje.

shell history

ale to uz som sa zamotal do vselijakych ideologii hackerskych metodik, podme naspat k suchym technickym veciam :) z hladiska bezpecnosti je dobre pre admina nastavit uzivatelom defaultne logovanie aspon 500 riadkov history. history totiz moze admin pouzit ako zdroj informacii v pripade utoku. totiz nie kazdy hacker vie ako vypnut logovanie history. robi sa to najelegantejsie tak, ze okamzite po lognuti na hacknutu masinu zmenite hodnoty shellovych premennych tak aby nelogovali history - napriklad v bashi prikazom

export HISTFILE=/dev/null

po pripade zmenou premennych HISTSIZE, alebo HISTFILESIZE. pre blizsie info sa mrknite do "man bash" alebo "man tcsh".

snooping

celkom zabavny sposob logovania je snooping, cize monitorovat v realnom case telnetove pristupy na vas server. na linuxe je na to daemon telnetsnoopd, ktory treba nahradit za klasicky telnetd daemon, tento genialny program je dokonca standardnou vybavou slackware distribucie, ale trebars do redhatu ho mozete dohodit jednym rpm-kom. existuje tiez aj kernelovy modul ktory umoznuje snoopovanie, da sa najst na arxive.

pre hackera predstavuju tieto programy na snoopovanie obrovsky zdroj srandy. totiz vacsina beznych uzivatelov a kopu adminov ani nevie ze taketo nastroje existuju. preto ked pocas telnetoveho pristupu nejakeho bezneho uzivatela mu "skocite" do terminalu a zacnete mu pisat na obrazovku priamo do jeho shellu, bude vas pokladat za ultra-genialneho hackera a klesne mu sanka o pol metra od prekvapenia. existuje nespocetne mnozstvo humornych prihod ktore sa viazu na snoopovanie, moja najoblubenejsia je ked som skocil do telnetu svojmu priatelovi ktory prave irc-ckoval z unixoveho okna a chvilu som iba sledoval jeho konverzaciu s jeho byvalou priatelkou. po chvilke moj kamos oznamil na irc ze si ide na pol hodinku odskocit od pocitaca. vtedy som sa ujal klavesnice a stihol som sa ukrutne romanticky dat naspat dokopy s tou jeho byvalou kamoskou tak, aby nevedela o tom ze to pisem ja. vecer ked chudak nic netusiaci prisiel na internatnu izbu, cakala ho tam cela zhava a nedockava a privitala velkou pusou, on bol z toho totalka mimo.

ine logy

sakra, slubil som suche technicke informacie, co ? ok, ok. okrem syslogd a binarnych logov existuje nespocetne dalsich programov ktore zabezpecia sledovanie unixoveho systemu. osobne oblubujem napriklad cZert sniffer "czniff", ktory sniffuje traffic na ethernete. da sa nastavit tak, aby logoval vsetky pripojenia na masinu a sifroval data do suboru. da sa to pouzit ako super logger, DES zasifrovany a schovany subor vam totiz ziadny hacker needitne.

za vsetky dalsie programy spomeniem iba program real secure 4.2 od firmy Internet Security Systems. je to sice komercny a velmi drahy soft, da sa vsak stiahnut na warez serveroch, alebo prinajhorsom jemne limitovanu demo verziu z ich domacej stranky (www.iss.net). real secure 4.2 je komplexny sniffer, ktory analyzuje traffic na sieti a ktory by sa mal umiestnit hned za routerom (firewallom). real secure dokaze rozpoznat bezny traffic od hackerskeho utoku. ked napriklad spusti clovek bezny telnet, je to v pohode. ked ale real secure detekuje 50 telnetovych pripojeni za minutu, okamzite dokaze spoznat ze sa jedna o utok. takisto dokaze spoznat vsetky bezne typy externych exploitov, scannovanie hesiel cez verejne sluzby, desiatky typov denial of service utokov, floodovanie, atd. tieto data zobrazuje na konzolu a zapisuje do suborov. kedze by mal byt na osve masine, je nehacknutelny a neviditelny. je genialne konfigurovatelny. a dokaze nielen hackersky utok detekovat, ale aj nan upozornit (e-mailom, vytocenim telefonneho cisla napriklad na operator (pager), alebo zaslanim SMS-ky na GSM teflon), ale dokonca aj dokaze na utok restriktivne reagovat. napriklad dokaze okamzite po detekcii utoku zakazat vsetky pripojenia z utocnikovej masine. fakt genialna vec.

real secure dalej umoznuje mat jednu spracovavatelsku stanicu, kam chodia data a logy z viacerych snifferov. osobne tu vidim do buducnosti moznu komercnu aktivitu na internetovskom trhu - a to jest internetovsku obdobu civilnej bezpecnostnej sluzby. predstavujem si to tak, ze by mohla existovat firma ktora by zamestnavala 24 hodin "straznika", ktory by sedel za pocitacom s real secure, ktory by tahal logy zo sieti viacerych klientov (banky, vladny sektor, armada..) a ktory by dokazal okamzite zareagovat na hackersky utok, tak isto ako normalny straznik v banke sedi a cumi na monitory napojene na bezpecnostne kamery.

no dobre, dobre, to mozno bude v buducnosti, ked bude nevyhnutne pripojit aj banky a vladny sektor kompletne na internet a ked "hackeri" nebudu iba unudeni studenti prechlastani z irc sessionov s balikom stiahnutych exploitov.. vratme sa do reality k nasim amaterskym internet providerom. v kazdom pripade je podla mna aj v dnesnej dobe potrebny mat system, ktory nastavi pasce pre hackerov, stacia na to male upravy a drobne scriptiky. klasickym pripadom je spravit si napriklad falosny phf script (viz arxiv), ktory je castym tercom utokov hackerov, a ktory dost vela hackerov otestuje pri pokuse o prienik.

access time atributy suborov

bezpecnost internetovskych serverov ide milovymi krokmi do predu, v dnesnej dobe uz aj na slovensku a v cechach existuju institucie ktore zamestnavaju odbornikov na bezpecnost a ktorych neodrbete len tak lahko zmazanim stop z /var/log/wtmp a /var/log/messsages. pri mazani stop treba mysliet na kazdy sebamensi detajl. prikladom su access time atributy suborov. po utoku je treba nastavit (viz "man touch") access time atributy vsetkych suborov, ktore ste precitali alebo prekopirovali. plati to zvlast pokial utocite na masinu za cielom ziskat informacie ulozene na danom serveri. administrator sa moze po vasom utoku presvedcit o tom ci ste informacie ziskali tak, ze si pozrie access time atribut danych suborov (ls -lau) a takto dokazete zakryt fakt, ze ste si precitali dane informacie.

pre administratora zase access time atributy suborov predstavuju dolezity zdroj informacii po utoku. pokial ako administrator mate podozrenie ze bolo hacknute konto nejakeho uzivatela, ale vobec to nevidiet v syslogd alebo wtmp logoch, skuste sa pozriet na access time suborov v jeho domacom adresari (trebars .cshrc, .bash_login a pod). pokial wtmp ukazuje ze uzivatel sa naposledy logol pred tyzdnom, ale jeho .cshrc bol citany vcera v noci, je jasne ze nieco nie je v poriadku.

outro

pokial si hacker-zaciatocnik, vedz ze vycistenie /var/log/wtmp a /var/log/messages vobec nie je dokonale zmazanie logov. uvedom si ze na internete uz davno nefunguje anarchia divokeho zapadu, kde je mozne beztrestne robit bordel. pokial hacknes nejaky stroj, je mozne ze pouziva nejaku z vyssie popisanych logovacich metod a ze ta admini odhalia a roznosia na kopytach. pokial si admin, islo mi o to naznacit ze nie vzdy treba slepo verit logom, a ze pokial potrebujes vieryhodny a stabilny zdroj informacii o diani na tvojom serveri, v ziadnom pripade nestaci mat defaultne nastaveny syslogd a binarne logy.

pajka, pajka(at)hysteria.sk

navrat na obsah
co ty na to ? board



Hackeri - sexualny idol informacneho veku

Som presvedceny o tom ze zeny miluju hackerov a mam to podlozene Darwinovou teoriou, zeny totiz preferuju tych najsilnesich a najschopnejsich. V minulosti slo o to mat schopnost zabit medveda jednym uderom tomahawku a priniest zene medvedie labky k nedelnemu ohnu a zavesit kozusinu na stenu jaskyne, avsak tieto vlastnosti sa stavaju coraz menej dolezitymi. Prichadzajuca era informacnej revolucie nam prinasa tri jasne rozdielne smery evolucie homo sapiens:

Prvy evolucny typ su hackeri - expertni znalci pocitacov a informacnych sieti. Tento typ homo sapiens sa postupne prepracuje na veduce miesta nasej spolocnosti a bude vladnut svetu. (Vynimkou su unix administratori a tech support, ktori sa obcas svojvolne nazyvaju za "hackerov starej generacie", oni su vsak odsudeni na zivot v tupej nevedomosti)

Druhy typ su bezni pocitacovi (l)useri, to je ten typ ludi co sa tvari ze ovlada MS Excel ale pritom potajme maju v sufliku pracovneho stola kalkulacku a vzdy si radsej vsetko rucne prepocitaju. Je to aj ten typ co sedi s pootvorenymi ustami nad novou verziou DOOMa, neovlada cheat kody a bedzuchu klika cely den do tlacitka CTRL. Tento evolucny typ postupne vyhynie na svoju vlastnu blbost.

No a finalne tu je tretia vyvojova kategoria homo-sapiens - luzeri - ludia nepouzivajuci pocitace. Tym postupne narastie srst a chvost a budu umiestneni do ZOO kam sa na nich budeme chodit pozerat a krmit ich bananmi.

Takze je samozrejme ze zena si vyberie evolucne najsilnejsi typ - hackera s potencialom stat sa svetovym vladcom.

Zeny miluju muzov co dokazu pocuvat. Inteligencna a vyzivna hodnota toho co sa muz snazi povedat zene nema na nu ziadny vplyv. Zena ma najradsej ked moze ona trepat a muz iba pocuva. A povedzte mi, kto ma najvacsiu schopnost sledovat obrazovku pocitaca cele hodiny a hodiny bez toho aby povedal co len jedno slovko ? No predsa hackeri ! Preto je pre zenu hacker uplne idealny partner.

No a zoberte si ozonovu vrtsvu. Pravda, kedysi boli v mode opaleni svalovci v ciernych plavkach ktori obletovali dievcata na mestskom kupalisku. Ale vazeni, pri dnesnom stave ozonovej vrtvsy budu tito opaleni svalovci uskvareni zaziva ako spekacky a umru v pekelnych mukach. Ti co neumru budu v klietkach v ZOO a my sa na nich budeme chodit smiat (a krmit ich tymi bananmi). Preto zeny miluju muzov ktori sa zatvaraju na 24 hodin denne doma pri pocitaci.

Henry Kissinger napisal ze moc je ten najsilnejsi afrodiziak. A Bill Clinton povedal ze mudrost je najsilnejsia moc. Z toho logicky vyplyva, podla prehlasenia vlady Spojenych Statov, ze mudrost je nasilnejsi afrodiziak. Pre tych co by chceli proti tomuto argumentovat - pozrite sa ja som iba zasrany binarny schizofrenik - ale toto tvrdi vlada USA, tak to sakra akceptujte. Nezabudnite ze vlada USA ma pod kontrolou distribuciu a dane na cigarety, alkohol a drogy - takze maju dobre skusenosti ohladne uspokojovania zien.

Dievcata, vsak si uvedomte (citaju vobec Prielom aj nejake dievcata ??? ako ano, ozvite sa ! zalozte 'fan club prielom' ! napisem vam clanok o tom ako na linuxoch robili ten film "Titanic" !) ake romanticke je to sediet v tmavej izbe osvetlenej iba jemne nevtieravou ziarou 17" SVGA monitora - je to vrcholne intimna atmosfera (sviecky patria do ery lovu na medvedov).

navrat na obsah
co ty na to ? board