cwbe coordinatez:
101
1
102
617302
619027

ABSOLUT
KYBERIA
permissions
you: r,
system: moderated
net: yes

neurons

stats|by_visit|by_K
source
tiamat
commanders
polls

total descendants::0
total children::0
show[ 2 | 3] flat


 





   ::::::::::. :::::::..   :::.,::::::   :::         ...     .        :   

    `;;;```.;;;;;;;``;;;;  ;;;;;;;''''   ;;;      .;;;;;;;.  ;;,.    ;;;  

     `]]nnn]]'  [[[,/[[['  [[[ [[cccc    [[[     ,[[     [[,[[[[, ,[[[[, 

      $$$""     $$$$$$c    $$$ $$""""    $$'     $$$,     $$$$$$$$$$$"$$$ 

      888o      888b "88bo,888 888oo,__ o88oo,.__"888,_ _,88P888 Y88" 888o

      YMMMb     MMMM   "W" MMM """"YUMMM""""YUMMM  "YMMMMMP" MMM  M'  "MMM

   

   prielom #6, 28.4.98, prielom(at)hysteria.sk, http://hysteria.sk/prielom/

obsah



intro

000 000 111 - dvojiti agenti

bezpecnost novell netwaru

niekolko krokov k zvyseniu bezpecnosti linuxu slackware 3.4

unix logy

hackeri - sexualny idol informacneho veku







intro



tento vikend som sa uchylil na chatu na severe slovenska. natiahol som si
predlzovacku vonku do zahrady, vyvalujem sa na slnku a sledujem suseda
koncertovat na cirkularke... jeho manzelka, drobna sympaticka zienka,
volaco sadi v zahrade. pripada mi to take divne premyslat tu o negroponteho
uvahach o internetovskych agentoch-programoch s umelou inteligenciou, zda
sa mi to teraz byt take odtrhnute od reality, ked sa tu predo mnou odohrava
boj o prezitie. na buduci vikend sa chystam do prahy do terminal baru,
tam aspon v tej komunitke inet nadsencov nebudem citit tu potrebu ist
ponahadzovat kompost na zahradu namiesto snivania o buducnosti internetu.



som rad ze na moju vyzvu v minulom cisle reagovalo zopar ludi. dohodol som
sa na spolupraci s niekolkymi velmi zaujimavymi ludmi a pripravuje sa
zopar zaujimavych clankov a prekladov. stay tuned.



pajkus, lazy pod makytou, 26.4.98





000 000 111 - dvojiti agenti



Ked za Vas niekto pokosi travnik, umyje Vam auto, alebo vycisti oblek,
v hre je velmi malo sukromia. Ked vsak odovzdate manazment Vasich zdravotnych,
pravnickych, alebo financnych zalezitosti do ruk inemu cloveku, zalezi to
na Vasej ochote odhalit svoje velmi osobne a sukromne veci. Aj ked
prisahy a pravo ochranuju niektore osobne informacie, v skutocnosti neexistuju
regulacie proti uniku intimnych informacii tretimi osobami - ludskymi asistentami.
Vsetko je zalozene iba na dovere a vzajomnom respekte.



V digitalnom svete sa takato ohladuplnost a skutocna dovera dosiahe omnoho
tazsie, ak vezmeme do uvahy absenciu skutocnych alebo odvodenych hodnot v
pocitacovom systeme. Navyse spolocnost elektronickych agentov bude moct
komunikovat omnoho efektivnejsie ako zbierka ludskych kucharov, upratovaciek,
soferov a masiarov. Klebety sa stavaju faktami a siria sa rychlostou svetla.



Pretoze stale tvrdim vo svojich clankoch a prednaskach ze inteligentni agenti
su jednoznacna buducnost informacnych technologii, vzdy sa ma pytaju na otazku sukromia.
Avsak ludia tuto otazku kladu bez toho aby plne chapali aka je sukromie dolezita
vec. Casto prednasam na seminaroch urcenych pre manazerov v drahych
hoteloch a obcas ohlasim na prednaske tymto manazerom (vacsinou muzom), ze som sa dohodol
s manazmentom hotela, ze mi daju zoznam filmov ktore si na hotelovej izbe
predoslu noc pozerali. Ked v prednaskovej hale zbledne polovicka tvari, priznam
sa ze zartujem. Ale nikto sa nesmeje. Je to dost vystizne, ale ani nie tak vtipne.



Z nicoho nic nase najmensie aktivity zanechavaju digitalne stopy. Zatial su tieto "bit-stopy"
izolovane utrzky velmi malych casti nasho zivota. Ale casom ich pribudne, prekryju sa a
budu navzajom komunikovat. Video-pozicovna, banka, alebo telekomunikacna firma budu zrazu moct
vytiahnut svoje bity a par udermi do klavesnice mozu o Vas velmi vela zistit.
Toto je iba zaciatok: kazdy nakup cez kreditnu kartu, kazda platba v obchode s potravinami,
kazda postova zasielka sa moze pridat do tejto rovnice. Extrapolujte si
tuto predstavu do buducnosti a, skor ci neskor, budete iba priblizna podoba Vaseho
pocitacoveho modelu. Vadi Vam to ?



Hermes a hermetika



Mne to nevadi a vysvetlim preco. Informacie o tom komu som telefonoval,
co som pozeral, alebo kde som sa bol najest nie su az tak zaujimave v porovnani
s informaciami preco som to spravil a s informaciami nasledujucimi moj cin
(Jedlo mi chutilo, mojmu hostovi chutilo, alebo nikomu nechutilo, ale nechceme
to priznat). Skutocnost ze som sa bol niekde najest je takmer bezhodnotna, pokial
je neznamy dovod a vysledok mojho skutku. Ciel, dovod a nasledne pocity
su omnoho dolezitejsie ako samotny skutok alebo rozhodnutie. Zanecham iba
par digitalnych omrviniek pre spolocnosti s direct-marketingom, tym ze odhalim
skutocnost, ze som sa bol napriklad najest v nejakej restauracii.
Zajumive data su uchovane agentom, ktory mi rezervoval stol v restauracii
a ktory sa ma potom neskor spytal ako mi chutilo.



V sucastnosti sa marketingovi odbornici snazia zrekonstruovat proces rozhodovania
zakaznikov a zistit na zaklade coho sa rozhodol. Reklamne agentury luskaju
statisticke data aby zistili preco som si kupil prave tento druh mydla a nie nejaky
iny. Toto sa v buducnosti zmeni. Budeme moct povedat pocitacovemu agentovi
co chceme, kedy to chceme a tym vlastne aj ako postavit model nas samych -
zbierku rozhodnuti z minulosti, pritomnosti a z buducnosti (tak daleko ako
my sami vieme). Takyto agenti budu moct sledovat a filtrovat informacie
a anonymne dat digitalnemu obchodnemu svetu najavo, ze nieco hladame.



V takomto sceneriu budu existovat dva druhy agentov: jeden zostane doma
(na Vasom zapasti, vo Vasom vrecku, alebo vo Vasom radiu) a jeden zostane
na Internete, surfovat namiesto Vas, prenasat informacie tam a spat.
Do isteho stupna budu takyto agenti hermeticky uzavreti. Budu citat tok
bitov o produktoch a sluzbach ktore budu vysielane na kablovych a bezdratovych
kanaloch. Z tohoto mora informacii vyselektuju specialne data na zaklade
Vasich osobnych zaujmov a preferencii - cinnost tak jednoducha ako napriklad
vyber informacie o cene akcie, ktoru vlastnite, a az tak zlozita ako
napriklad vybratie pre Vas zaujimavej casti televizneho serialu. Tito
agenti budu "same ucho".



Informacni agenti budu zlozitejsi. Budu fungovat tak ako my fungujeme dnes, ked
surfujeme Net a hladame zaujimave veci a ludi. Teraz sme v takom stadiu ze si
mnohi ludia myslia ze Netscape a ostatne browsery su jedinou buducnostou Internetu.
Nie su. Uz aj dnes ludia ktori surfuju Net musia mat na to vela casu. V
buducnosti bude surfovat Net menej ludi ako dnes chodi do kniznice. Budu to
za nas robit agenti.



Ked hovorime o sukromi, najviac by sme sa mali obavat takychto Internetovskych
agentov. Budu musiet byt nedotknutelni a nehacknutelni. Musime vyvinut
technologie ktore zabrania moznemu uniku informacii od takychto agentov.
Znie to smiesne ? Pockajte ked sa zacnu na sudoch hadat o tom ci takyto
pocitacovi agenti mozu proti nam svedcit.



Clipper lode



Bezpecnost a sukromie su hlboko prepletene. Vlada chce aby sme sa plavili v
oceane informacii, ale chce mat moznost kedykolvek naskocit na nasu (Clipper)
lod. Toto rozculuje ludi a vznikla z toho obrovska debata. Ja iba zivam.
Vysvetlim preco.



Sifrovanie nie je obmedzene na jednu vrstvu. Ak chcem poslat niekomu
tajny odkaz, slubujem ze to dokazem, bez akehokolvek rizika ze by to niekto
dokazal desifrovat. Jednoducho pridam jednu sifrovaciu vrstvu, pouzitim
neprelomitelneho kodu. Taketo kody nemusia byt genialnymi vytvorami matematikov,
alebo vysledky masivnej elektroniky, ale mozu byt jednoduche ale bezpecne.



Na dokaz tohoto som dal 105 riadkov dvanastich bitov do tiraze svojej knizky,
Being Digital. Tieto bity obsahuju odkaz. Stavim sa ze nikdy ho nedokazete
dekodovat. Ak to chce skusit trebars aj cely rocnik ostrych studentov matematiky,
nech sa paci. Wired casopis Vas bude dlho ospevovat. Ani zdaleka to nie je
take jednoduche, ako dekodovat nazov tohoto clanku: James Bond.


nicholas negroponte, nicholas(at)media.mit.edu

preklad pajka(at)hysteria.sk



navrat na obsah




bezpecnost novell netwaru



Tak jsem se rozhodl napsat clanek o (ne)bezpecnosti NetWare,
protoze 99% siti, ktere jsem videl maji zavazne bezpecnostni nedostatky (a
supervisitori s tim nechteji nic delat, jsou vetsinou BFA) -
KATASTROFA.
Nemyslim si, ze netware je nebezpecny system, prave naopak, ale musi
byt dobre nakonfigurovany. Tento clanek jiz vysel v Netmagu (http://netmag.cz/),
toto je jeho upravena verze. Cele je to jedna velka slatanina, tak mi
za to prosim nenadavejte. Pokud vas z toho cokoliv zajima, muzu se o tom
trochu rozepsat. Pokud mate o neco zajem nechte mi nekde vzkaz.



Nejvice der je vzdycky v pristupovych pravech. Mylne si spravci
mysli, ze prava write k .exe souboru nikdo nezneuzije (neb to ON
neumi). Omyl. Nemusi se ale v zadnem pripade jednat jen o spustitelne
programy,
"patchnout" se da prakticky cokoliv, treba i neskodne vypadajici
(opravdu jen vypadajici) .bgi soubor (chcete to predvest?).
Dalsi chybka je v povoleni
prava modify & write do mail directory (sys:mail), ve kterem je
ulozen take
login script (u 3.x), takze neni problem ho supervisorovi zmenit, aby
treba sejmul cely SYS:. Nezapomente taky kazdemu novemu userovi vyrobit
Login Script, protoze do SYS:MAIL maji useri pravo Create, z cehoz vypliva,
ze kdokoliv muze login script vyrobit.



K (ne)velkemu prekvapeni se data prenaseji po siti (jako obvykle) v
nekodovane podobe. Z toho plyne, ze jakmile user odchyti pakety, ve
kterych prenasite dulezity soubor, ma ho taky <g>. To je ale moc
namahave, takze je jednodusi si nejak pridelit prava. Treba tak, ze
prijde k serevru a naloaduje NLMko, ktere ho udela adminem, nebo kdyz
nema pristup k serveru, tak odchytne packet s heslem na rconsoli
(ktere je velmi jednoduse kodovane...). Dalsi metoda jak se udelat
superuserem je poslat na server packet s prikazem s falesnou IPX
adresou - a to adresou prave prilogovaneho supervisor-equivalenta. Tato
feature se da nastesti na serveru vypnout, ale defaultne vypnuta neni, takze to
jde v 99% pripadu ;(. Mimochodem, uz na to existuje pekna radka programu -
treba BLogout, hacknet, ... (vzdyt je to tak jednoduche, podporuje to
sam IPX driver...)



Dalsi zastavka bude u Bindery a NDSky. Zacneme bindery, ktera je
starsi. Prvni dira se vyskytuje u nekterych revizi NW 3.12, NW
server v urcitych situacich neprepise blok pameti, ve kterem mel
ulozene rozkodovane heslo. V cem je problem? Kdyz se vytvari user,
tak se mu nastavi heslo a identification, takze se obcas pouzije
buffer s heslem ... a to se za vlastni identification zapise ;((.
Mimochodem, tato chyba je pomerne oblibena na CVUT v Dejvicich. V
bindery je (stejne jako v NDSce) samozrejme mozne schovat nejakeho
uzivatele, takze ho nikdo neuvidi. Dalsi moznosti, jak zjistit neci
heslo je ziskat soubory s bindery (treba zalohy, .oldy,...) a ty
potom slovnikem nebo brute-force dekodovat. Taky by nemel byt problem
odchytit packety s NDSkou, kdyz se synchronizuje, ale niky jsem to
nezkousel. Snad ani nemusim podotykat, ze format bindery a NDSky je
crackery VELMI dobre zdokumentovany, stejne jako algoritmy kodovani
hesel (Viz Bindery scalpel, Pandora, atd)...



Nikdy nedavejte server do mistnosti pristupne userum, jak jsem psal
vyse, je velmi jednoduche si pres nej pridelit superv. prava. Obcas
je konzole serveru zaheslovana z monitor.nlm, ale odheslovat takovyto
server je prace na par vterin (treba z debuggeru,...). Je stale jeste
moznost prikazem SECURE CONSOLE server trochu vice
zabezpecit, takze user bude znacne omezen. Problem je ale v tom, ze bude omezen
znacne i spravce serveru ;( Nicmene i takto zabezpecena konzole se da
odheslovat... A kdyz jsme byli u toho debuggeru, tak taky neni problem napriklad
"upravit" server, aby nekontroloval hesla. Rozhodne nedoporucuji pouzivat
rconsoli a jine zcela bezpecne nastroje na spravu serveru a uzivatelskych
stanic. Mezi tyto zcela bezpecne utility radim vsechny ty exacy, hini, remote mgmt,
...etc. Velmi jednoduse se vetsina z nich da cracknout ipx spoofingem.



Oblibene utility mezi crackery jsou take ruzne sledovace klavesnice,
zapisovace hesel, atd. Utilit tohot druhu je prilis mnoho a tak se
pomerne hojne pouzivaji. Velmi produktivni byla skupina YTMAR, ktera napsala
nejmene 3 kousky (ty znam a vim o nich, urcite jich ale bude jeste vic). Ty
nejjednodussi "spioni" hesla nechavaji v pameti, takze si je musite
vyzvednout. Dalsi varianta je posilat hesla pres IPX/SPX. SPY + NSPY
pracuji tak, ze chycena hesla zapisuji do 0. stopy hard disku. A ty
"nejinteligentnejsi" je zapisuji nekam do souboru. Existuje taky
patchnuty login.exe, ktery zapisuje hesla do bindery; to pouzitelne ale pouze,
kdyz je nw cracknuty. Vsechny tyto programy pracuji 100% na NW3.12. Pokud
je pouzijete u 4.x verze, vetsina z nich prestane chodit. IMHO to je ale
jedno, protoze takovyto postup je velmi slozity a neefektivni, takze
ho pouzivejte az ve stavu opravdove nouze. Vzdyt server jde ve vetsine
pripadu cracknout mnohem jednoduseji :-)).



Dalsim problemem je, ze supervisori doufaji, ze useri neziskaji
ovladace a klienta k NetWare, aby prekonali ochrany. Neni nijak
neobvykle, ze pri bootu se natahuje plno bezpecnostnich programu (napriklad zamek
floppydisku, sledovatko cinnosti, ...) a supervisor tise doufa, ze se
nikomu nepodari nabootovat z diskety a pripojit se na server, aby prekonal
ty zabezpecovatka.
Nebo se ochrana muze volat z login scriptu (co tak se prilogovat bez
login scriptu?). Ne, toto neni cesta vedouci k uspechu.



Nakonec se podivame na jinou vec (ktera s bezpecnosti nema nic
spolecneho) - kradeni licenci k NetWare.
vzhledem k tomu, ze netware neni zrovna nejlevnejsi, tak je pomerne
caste. U NW4.x je lze dokonce skladat, u NW3.x muzeme pouzit pouze tu
nejvyssi. Verze 3.x ma licenci ulozenou primo v server.exe, z cehoz
vyplyva
predchozi. NW 4.x je ma ulozene v adresari SYS:_NETWARE
(popripade na licencni diskete). Tento adresar je pro crackery velmi
zajimavy - je v nem ulozena hromada uzitecnych informaci: vyse
jmenovane
licence, soubory NDSky, ...etc. Do SYS:_NETWARE se dostanete pouze ze
serveru (A ani na nem ho neuvidite v dirlistu SYS:). Ze stanice nemate
vubec narok. Pokud jej budete proskoumavat, doporucuji si stahnout
mc.nlm,
jcmd.nlm, nwshell.nlm, popripade nejaky dalsi shell. Muzete se do nej
taky podivat z rconsole (verze 4.x a vyse), ale neni to prilis efektivni.




Do ted' jsem popisoval jak bourat netware "zevnitr", tzn musite mit
pocitac s ipx routovatelnym primo k NetWare. Nebylo by ale jednodussi to bourat
treba pres internet? Jiste, i tato moznost tu je. IPX packety lze
"zabalit" do UDP, takze no problem. Na protejsim serveru musi byt nastaveny
tzv. IP tunell a mate vyhrano. Pokud je nejaka komunikace jiz "established",
muzete ji napr. prebrat. To udelate tak, ze reknete nejakemu routeru aby
neroutoval packety tam kam by se melo ;). IP TUNELL muze byt
samozrejme kodovany, ale neznam nikoho, kdo to pouziva. Vice informaci naleznete
v RFC, konkretne rfc1234 (hezke cislo, co?). IP TUNELL pouziva UDP port 213,
takze si muzete nmapnout nejakou sit a hned vidite, kde muzete zacit
s bouranim.



Timto samozrejme seznam bezpecnostnich "problemu" NetWare nekonci,
ale myslim si, ze jsem ty nejznamejsi vypsal. Dalsim zajimavym materialem, ze
ktereho se da nacerpat spousta napadu jak sit zabezpecit (a cracknout) je
Novell NetWare Hacking FAQ od Simple Nomada. Takze ted' je jen na Vas,
spravcich serveru, zda budou site nadale derave jak jsou, nebo to crackerum
trochu stizite. Hodne stesti :-)


mhi, mhi(at)hysteria.sk


navrat na obsah






Niekolko krokov k zvyseniu bezpecnosti Linuxu Slackware 3.4



Za bezpecnost budem v tomto clanku povazovat subor opatreni zabezpecujucich,
ze nikto neziska kontrolu nad mojim pocitacom, neznefunkcni ho ani
ho nepouzije k utoku na iny system.

Tento clanok je zamerany na Slackware 3.4, vacsina krokov, ktore teraz
uvediem, sa netyka len Slackware, ale Linuxu vseobecne.


Slackware je jedna z najznamejsich a najpouzivanejsich distribucii Linuxu
udrziavany na Walnut Creek. Jeho domáci archív je na ftp.cdrom.com a ma
mnozstvo mirrorov. Zakupit sa da na www.cdrom.com, www.lsl.com,
www.cheapbytes.com. Na poslednách dvoch stojí len 2 - 3 doláre, avsak
s postovnym a clom sa moze predrazit aj na viac ako 500 Sk. Zazrel som aj
Slackware na Linux 6CD za cca 1200 Kc u www.aps-brno.cz, ktorej týmto robím
nezasluzenu reklamu.


1) Prva pomoc


- Nastavenie rootovho hesla. Toto je velmi dolezite, pretoze jeho vlastnik ma
uplnu kontrolu nad systemom. Heslo by malo mat prinajmensom 6 znakov, odporucam
vsak 8, malo by obsahovat velke, male pismena, cisla a vhodny je aj nejaky
nealfanumerický znak. Nemalo by to byt ziadne zrozumitelne slovo ani rodne cislo.


Hackerske slovniky a programy sa takisto vedia vyrovnat aj so substituciami typu
L - 1, E - 3, O - 0 a podobne.



- Odstranenie bugov dodavanych v distribucii. Slackware 3.4 sa dodava
s bugovym dillon crontab / crond. Po instalacii hned nahradime cely balik bin.tgz
za novy patchnuty z adresy



ftp://ftp.cdrom.com/pub/linux/slackware-3.4/slakware/a2/bin.tgz.

Ak mienime vyuzivat pop3, je vhodne namiesto dodavaneho pouzit nejaky iny,
dobre skusenosti mam s qpopper-om, ktory sa da najst na adrese
http://www.eudora.com/freeware/qpop.html .


- Vyhodenie zbytocne spustanych daemonov z /etc/rc.d/rc.*


Obzvlast sendmail a sietovi daemoni v rc.inet2 .
Co naozaj nepotrebujeme, to nema zmysel spustat a ochranime sa aj pred
rizikom, ze niekedy v buducnosti sa objavi exploit prave na nasu verziu
daemonov. Zaroven aj setrime pamat servera.


- To iste pre sluzby a daemonov v /etc/inetd.conf . Sluzby, ktore sme
ponechali, by mali byt okliestene pomocou /usr/sbin/tcpd TCP wrappera.


- Nastavenie sietovych pristupovych prav pre sluzby, ktore sme nechali
v /etc/inetd.conf . Robi sa to pomocou suborov /etc/hosts.allow a
/etc/hosts.deny , ktore su konfiguracne subory tcpd . Cim menej pocitacom
alebo sietam povolime pristup, tym menej ludi ma prilezitost na nas utocit.


- Okamzity prechod na kernel aspon 2.0.33. Predchadzajuce verzie obsahuju
bugy v TCP/IP implementácii, ktoré umoznuju hocikomu zo siete zhodit linux
a tym mu znemoznit poskytovat sluzby (Denial Of Service Attack). Co sa tyka
kernelu, nezmenit nastavenie Drop Source-routed Packets, ktore chrani ostatne
pocitace od utokov cez nas pocitac.


- Instalacia najnovsej verzie sendmailu z www.sendmail.org . Obzvlast dolezite,
pretoze sendmail je velmi komplexny program plny bugov. Napriek tomu je vsak casto
nutne ho pouzit, preto je dolezite mat nainstalovanu poslednu verziu.


- Instalacia ssh alebo ineho programu zabezpecujuceho, ze hesla ani ziadna
komunikacia nejde po sieti nezasifrovana.


2) Druha pomoc


- Odstranenie identifikacnych znakov Linuxu. Ak neprezradime, ze pouzivame
linux, vyhneme sa utokom typu: "je novy exploit na linux, vyhladajme vsetky
linuxy na dosah a hacknime ich". Ako sa da najst Linux: Pomocou login bannerov
v /etc/issue.net, pomocou SNMP, sendmail, ftpd atd.,
pomocou hrdych bannerov "Linux inside" na WWW
strankach a hlavne podla mena servera, ako napriklad "linux.na.univerzite.sk",
co umoznuje skutocne masove automaticke hladanie linuxov.


3) Trvalo udrzatelna bezpecnost

- Nainstalovat software, ktory pravidelne (z cronu) kontroluje bezpecnost
systemu. Napriklad kontrolu setuid programov, privilegii a vlastnictva
systemovych suborov vykonava cops. Dobry program na kontrolu zmien roznych
parametrov suborov, ako casu vytvorenia, poslednej zmeny, posledného pristupu,
dlzky, zmeny obsahu atd. zabezpeci tripwire (obidva na www.cert.org). Tripwire
treba nakonfigurovat aby monitoroval tie súbory ktoré potrebujeme. Databázu
kontrolnych suctov si treba skopirovat na nejaky iny pocitac, aby hackeri po
zmene suborov nevykonali update databazy. Pravidelne kontrolovat hesla
uzivatelov pomocou programu crack. Napisat si alebo pohladat nejaku kontrolu
/var/log/syslog na zle pokusy o su, /var/adm/wtmp na nestandardne adresy.


- Sledovat diskusne skupiny a mailing listy zamerane na bezpecnost, napr.
bugtraq, linux-security, CERT advisories, SNI advisories, L0pht advisories


- Nedavat SUID bit programom, ktore ho nepotrebuju alebo bez ktorych sa
zaobideme.


- Ucit sa ucit sa ucit sa, stale je nieco nove. Nenechat sa ukolisat pocitom,
ze sme spravili vsetko a ze sme dobri (tusim som zasiel do ideologie).


4) Paranoia



Ak mate temne tusenie, ze to stale nestaci a nemozete sa zbavit pocitu,
ze niekto ide po vas, mozte napriklad preventivne upravit svoj kernel:



- Vyhodit z drivra sietovej karty kod prepinajuci do Promiscuous Mode, ktory
umoznuje odchytavat z ethernetu packety, takto dost stazite niekomu, kto hackol
vas pocitac pouzivat ethernet sniffer, a teda obmedzite utoky na dalsie pocitace pomocou zachytenych hesiel.


- Vyhodit pouzivanie modulov.



- Nastavit v kerneli kvoty na pocet procesov, uzivatelov, proces/uzivatel,
pamät/proces atd., aby nam uzivatelia nemohli zhodit system obycajnym programom
alokujucim pamat alebo procesy.



- Vykonat zopar patchov (napady podla Phracku 52 - http://www.phrack.com/52/ ):



- Znemoznit userom vidiet info o procesoch (dobry napad)



- Znemoznit exec inych fajlov ako boli explicitne povolene (dost restriktivne)


- Ochrana pred utokmi s pretekajucim bufferom


- Rozvrstvenie pravomoci na niektore operacie (potom netreba root privs) vytvorenim
specialnych groups na bindovanie na port < 1024, vytváranie raw socketov.


simkes, stefan(at)eunet.sk


navrat na obsah




unix logy



rec bude o unixovych logoch, o tom ako spravca unixu zabezpeci aby
jeho logy vierohodne a bezchybne zaznamenvali cinnost na serveri, ale aj
o tom ako moze hacker odrbat systemove logy a zmazat stopy po svojich
aktivitach. ako obvykle, snazim sa pisat z pohladu obidvoch stran sachovnice.
"hackeri" a admini su jedna banda, vacsina dobrych a security-uvedomelych
adminov v minulosti trosku robili sarapatu hackovanim... v kazdom pripade
ked chce niekto dobre zapezpecit svoj server, je velmi dolezite poznat pracu
obidvoch protipolov.


syslogd



spravu systemovych logov zabezpecuje na unixoch daemon syslogd. tento program je
stary peknych par rokov, a za poslednych 4-5 rokov sa takmer vobec nezmenil. vdaka
tomu je syslogd takmer identicky na vsetkych komercnych aj nekomercnych odrodach
unixov, vsetky vychadzaju zo starych BSD zdrojakov. rozdiel je vsak v defaultnej
konfiguracii. ked si nainstalujete cerstvy AIX alebo Solarix, syslogd je nakonfigurovany
tak ze neloguje takmer nic, komercne UNIX stanice sa totiz stale vacsinou pouzivane viacej pre vnutropodnikove
ucely na lokalnych sietiach, a nie ako Internetovske servery. avsak pokial sa aj pouzivaju ako inet servery,
admini si ich casto-krat neprekonfiguruju. chyba. distribucie linuxu a freebsd su zvycajne
vcelku dobre defaultne nastavene. "vcelku dobre" vsak vacsinou nestaci, nasleduje niekolko moznosti
ako zvysit bezpecnost logovania :


logovanie na remote server



ked syslogd spustite s "-r" flagom, umoznuje
forwardovanie logov na externy stroj. do /etc/syslogd.conf treba potom
pridat riadok 




*.*		@loghost


a voila, vsetky logy sa ukladaju aj na masinu "loghost".
cize ak niekto hackne vas stroj a zmaze
logy, vy si mozete pozriet logy na tom druhom (dufajme ze nehacknutom) stroji.
pokial je vo vasej lokalite viacej unixovych serverov, ako to byva bezne trebars u
inet providerov, je dobre spravit osve masinu iba na ukladanie systemovych logov.
tato masinka moze byt trebars nejaka vyradena 386ka a mala by byt totalne
zabezpecena - trebars vobec na nu neumiestnit ziadne daemony, proste ziaden
dialkovy pristup, ziadna posta, vobec nic okrem pristupu cez konzolu.
takyto jednoduchy system je nielen dokonale bezpecny, ale navyse je to aj
vcelku prakticke mat vsetky logy pokope, ked sa treba vramci beznych administratorskych
povinnosti hrabat v logoch viacerych masin.



logovanie na konzolu


zmazat subor dokaze hocijaky luzer, moze vas vsak zachranit
vypis na obrazovke, nehovoriac o tom ze je to tiez super prakticke mat vypis na obrazovke.
na linuze sa to docieli trebars riadkom :




*.*		/dev/ttyp12


je pravda ze to nie je tazke odrbat - staci po hacknuti stroja editnut logy,
vymazat stopy a potom spravit nieco ako 'tail -100 messages > /dev/ttyp12'
a root si nic nevsimne. ale povedzme si, v dnesnej dobe ked je inet plny
lamerskych wannabe hackerov ktori sa nekukaju do /etc/syslogd.conf, je dost
pravdepodobne ze si logovanie na konzolu podpriemerny hacker ani nevsimne. bezny luser ktory
vie iba spustit exploit z rootshellu sa da dokonca oklamat aj tak, ze proste
zmenite syslogd.conf tak, aby logoval do nejakeho neobvykleho adresara.
da sa vlastne vo vseobecnosti povedat ze pokial si svoj server prekonfigurujete
na nepoznanie od defaultnych nastaveni, hackera to dokaze riadne zmiast a
dokazete ho okabatit. treba predvidat utok a dopredu sa takto prichystat.
pre hackerov zase plati ze okamzite po hacknuti masiny sa treba popozerat
po /etc adresari a precitat si vsetky dolezite konfiguraky, aby sa ziskala
predstava o danom stroji. predpokladat defaultne konfiguracie sa moze stat
osudnou chybou.


uprava kernelu



na linuxe je moznost upravit kernel tak, aby sa nastavili niektore subory,
ktore nie je mozne mazat ani editovat, je mozne iba appendovat do nich.
tato vecicka je vo forme kernel patchu popisana v poslednom phracku (www.phrack.com)
v daemon9ovom clanku.



syslogd s podporou sifrovania ?



uz dlhsi cas uvazujem nad verziou syslogd, ktory by kryptoval logy
a ukladal ich zasifrovane. nie je to tazke spravit, staci pouzit nejake
bezne DES kniznice trebars.. neverim ze som jediny koho to napadlo, zatial
vsak aspon ja osobne neviem o tom ze by existovala takato verzia syslogd. ludia z cZertu
o tom viac krat premyslali, ale nepodarilo sa mi nazhromazdit take mnozstvo
piva aby som presvedcil dvorneho C-eckara cZertu dusheena aby to spravil
(heh a tymto ho zase k tomu verejne vyzyvam a provokujem).



cistenie



ok, teraz par slov o mazani stop v logoch vyprodukovanych syslogd. pre
hackera je najjednoduchsie otvorit si textovy log v editore a vymazat
"svoje" riadky. avsak castokrat su logy na masine obrovske subory a
ked ich otvorite v nejakom editore typu pico, moze nastat katastrofa.
bol som svedkom takehoto dosraneho utoku na masinu - chalan hackoj stroj,
hned sa vrhol do /var/log aby zmazal stopy, a otvoril messages v picu.
ten subor vsak mal okolo 200Mb a chudak linuxik so 16Mb RAM cely
zamrzol a uz to nevykryl. rano prisiel k nemu root, rebootol ho a zvedavy
sa mrkol do syslogd, kde samozrejme nasiel stopy po tom hackerovi. buum.


na editovanie takychto velkych suborov pouzite grep, sed, awk, take cosi.
cize trebars grep -v evil.hacker.sk messages > temp ; mv temp messages.
pozor, neprepisujte stary subor pomocou 'cp', totiz potom syslogd prestane
do toho suboru zapisovat a musi sa restartnut.



samozrejme nie je problem cely
tento proces zautomatizovat scriptom,
ja som svoj primitivny scriptik zverejnil na arxive (hysteria.sk/arxiv).
cistenie logov je strasna otrava, nastastie na linuxy existuje "patchnuta"
verzia syslogd, ktory sa nachadza tiez na arxive, a ktory sa da tak
nakonfigurovat, aby nelogoval riadky s vopred zadefinovanym stringom.


jedna vec je logy zapisovat, druha vec je samozrejme ich sledovat a citat.
ked mate syslogd nakonfigurovany tak paranoidne ako ja, nie je problem aj na malej
masine mat 1Mb logov denne. obcas ma ukludnuje ked si rano ku kave pustim
pred ocami vypis z logov a pol hodinu na ne meravo civim. pokial vsak
nepatrite k alkoholikom co si rano po opici potrebuju pol hodinu pri kave meravo
civiet na unix logy, mate problem. riesenim je potom nejaky program, ktory
vam z logov povybera "zaujimave" riadky. existuje na to kopu programov,
par som si aj nainstaloval, ale kedze neznasam citanie manualov a trpim
nervozitou, po desiatich minutach bezradneho tapania v tme som ich
hystericky vymazal. napisal som si vlastny scriptik, ktory vy-grep-uje
z logov zaujimave riadky na zaklade stringov ako je trebars "fail", "root",
"changed" a podobne, takyto vycuc za predosly den si davam vzdy o polnoci posielat
e-mailom na pop server.



este jedna vec, trochu o inom. ja mam syslogd nakonfigurovany tak, ze mi
loguje vsetko a este k tomu viacnasobne, avsak absolutne nikam nelogujem
prichodziu a odchodziu postu. podla mna roota nic nie je do toho kam si
uzivatelia posielaju postu a odkial ju dostavaju. protiargument je sice
"ochrana" pred spam mejlami, ale ja na take blbosti kaslem.


tolko k syslogd.


binarne logy



druha kapitola su binarne logy, cize utmp, wtmp, lastlog a acc. utmp
(vacsinou /var/run/utmp) obsahuje informacie o momentalne pripojenych
uzivateloch. wtmp (vacsinou /var/log/wtmp) obsahuje info o tom kto bol
odkial a ako dlho v minulosti pripojeny. lastlog (/var/log/lastlog) obsahuje
zaznam o poslednom pripojeni kazdeho usera. acc (/var/log/acc) obsahuje
zaznam o vsetkych spustenych programoch. subory su binarne, strukturu si
mozete nastudovat v manuali ku kazdemu suboru (t.j. man utmp), na takmer
vsetky platformy vsak uz existuju cistice. este stale dost administratorov
dost veri na tieto binarne logy, vela z nich dokonca ani nevie ze su
editovatelne. preto ked sa vymazete z tychto binarnych logov, oblafne
to nejedneho roota.



falosne stopy



co sa tyka psychologie administratorov, je podla mna ovela lepsie naraficit
falosne stopy, ako kompletne ich zmazat. na to je genialny napriklad
bebetov wtkil, ktory umoznuje pridavat zaznamy do wtmp. zoberte si totiz
takyto pripad - hacknete stroj a zmenite WWW stranku. root pribehne zhrozeny
k serveru a zacne sa vrtat v stroji. pokial ste po sebe dokonale zahladili
vsetky stopy, neda mu to spat a proste bude hladat a hladat a hladat az
kym nebodaj nieco nenajde. preto je z psychologickeho hladiska omnoho lepsie
"spravit" falosne logy do /var/log/wtmp, messages, .bash_history, atd.. vsetko
samozrejme musi krasne spolu sediet. pri takomto hacku kludne nechajte na
serveri svoje "nastroje", pomocne subory, atd. root najde stopy a uspokoji sa,
alebo zacne hladat tym smerom ktorym ho nasmerujete. idealne je napriklad
spravit falosne stopy veduce niekam na opacnu stranu krajiny na nejaku
univerzitu na PCko umiestnene niekde v pocitacovom labaku do ktoreho
maju studenti verejny pristup. root si vymeni zopat e-mailov s bezmocnym
spravcom daneho labaku a mate to v suchu. tiez je dobre nasmerovat
stopy niekam uplne do paze, trebars na nejaku dial-up-ovu adresu k nejakemu
gigantickemu americkemu Inet providerovi (AT&T, america online a pod.)
pokial sa totiz root hacknuteho stroja rozhodne silou mocou vypatrat vynnika a
kontaktovat spomenute spolocnosti, narazi na neprekonatelny mur americkej
podnikovej byrokracie. pokial sa rozhodnete nechat na hacknutej masine
falosny .bash_history log, doporucujem spravit ho tak, aby ste vyzerali ako
totalny lamer :) dajte tam primitivne opakujuce sa prikazy, ktore vas vykreslia
ako totalneho dementa ktory nasiel niekde na webe exploit a chcel ho vyskusat.
totiz je to obrovska vyhoda ked vas protivnik podcenuje.



shell history



ale to uz som sa zamotal do vselijakych ideologii hackerskych metodik, podme
naspat k suchym technickym veciam :) z hladiska bezpecnosti je dobre pre admina
nastavit uzivatelom defaultne logovanie aspon 500 riadkov history. history
totiz moze admin pouzit ako zdroj informacii v pripade utoku. totiz nie kazdy
hacker vie ako vypnut logovanie history. robi sa to najelegantejsie tak, ze
okamzite po lognuti na hacknutu masinu zmenite hodnoty shellovych premennych
tak aby nelogovali history - napriklad v bashi prikazom



export HISTFILE=/dev/null



po pripade zmenou premennych HISTSIZE, alebo HISTFILESIZE. pre blizsie info
sa mrknite do "man bash" alebo "man tcsh".


snooping



celkom zabavny sposob logovania je snooping, cize monitorovat v realnom
case telnetove pristupy na vas server. na linuxe je na to daemon
telnetsnoopd, ktory treba nahradit za klasicky telnetd daemon, tento
genialny program je dokonca standardnou vybavou slackware distribucie, ale
trebars do redhatu ho mozete dohodit jednym rpm-kom. existuje tiez aj
kernelovy modul ktory umoznuje snoopovanie, da sa najst na arxive.



pre hackera predstavuju tieto programy na snoopovanie obrovsky zdroj
srandy. totiz vacsina beznych uzivatelov a kopu adminov ani nevie ze taketo
nastroje existuju. preto ked pocas telnetoveho pristupu nejakeho bezneho
uzivatela mu "skocite" do terminalu a zacnete mu pisat na obrazovku priamo
do jeho shellu, bude vas pokladat za ultra-genialneho hackera a klesne
mu sanka o pol metra od prekvapenia. existuje nespocetne mnozstvo humornych
prihod ktore sa viazu na snoopovanie, moja najoblubenejsia je ked som
skocil do telnetu svojmu priatelovi ktory prave irc-ckoval z unixoveho okna
a chvilu som iba sledoval jeho konverzaciu s jeho byvalou priatelkou. po chvilke
moj kamos oznamil na irc ze si ide na pol hodinku odskocit od pocitaca. vtedy som
sa ujal klavesnice a stihol som sa ukrutne romanticky dat naspat dokopy s tou
jeho byvalou kamoskou tak, aby nevedela o tom ze to pisem ja. vecer ked chudak
nic netusiaci prisiel na internatnu izbu, cakala ho tam cela zhava a nedockava
a privitala velkou pusou, on bol z toho totalka mimo.



ine logy



sakra, slubil som suche technicke informacie, co ? ok, ok. okrem syslogd
a binarnych logov existuje nespocetne dalsich programov ktore zabezpecia
sledovanie unixoveho systemu. osobne oblubujem napriklad cZert sniffer
"czniff", ktory sniffuje traffic na ethernete. da sa nastavit tak, aby
logoval vsetky pripojenia na masinu a sifroval data do suboru. da sa to
pouzit ako super logger, DES zasifrovany a schovany subor vam totiz
ziadny hacker needitne.



za vsetky dalsie programy spomeniem iba program real secure 4.2 od
firmy Internet Security Systems. je to sice komercny a velmi drahy soft,
da sa vsak stiahnut na warez serveroch, alebo prinajhorsom jemne limitovanu
demo verziu z ich domacej stranky (www.iss.net). real secure 4.2 je
komplexny sniffer, ktory analyzuje traffic na sieti a ktory by sa mal
umiestnit hned za routerom (firewallom). real secure dokaze rozpoznat
bezny traffic od hackerskeho utoku. ked napriklad spusti clovek bezny telnet,
je to v pohode. ked ale real secure detekuje 50 telnetovych pripojeni
za minutu, okamzite dokaze spoznat ze sa jedna o utok. takisto dokaze spoznat
vsetky bezne typy externych exploitov, scannovanie hesiel cez verejne sluzby,
desiatky typov denial of service utokov, floodovanie, atd. tieto data
zobrazuje na konzolu a zapisuje do suborov. kedze by mal byt na osve masine,
je nehacknutelny a neviditelny. je genialne konfigurovatelny. a dokaze
nielen hackersky utok detekovat, ale aj nan upozornit (e-mailom, vytocenim
telefonneho cisla napriklad na operator (pager), alebo zaslanim SMS-ky na
GSM teflon), ale dokonca aj dokaze na utok restriktivne reagovat. napriklad
dokaze okamzite po detekcii utoku zakazat vsetky pripojenia z utocnikovej
masine. fakt genialna vec.



real secure dalej umoznuje mat jednu spracovavatelsku stanicu, kam chodia
data a logy z viacerych snifferov. osobne tu vidim do buducnosti moznu
komercnu aktivitu na internetovskom trhu - a to jest internetovsku obdobu civilnej
bezpecnostnej sluzby. predstavujem si to tak, ze by mohla existovat firma ktora
by zamestnavala 24 hodin "straznika", ktory by sedel za pocitacom s real secure,
ktory by tahal logy zo sieti viacerych klientov (banky, vladny sektor, armada..)
a ktory by dokazal okamzite zareagovat na hackersky utok, tak isto ako normalny
straznik v banke sedi a cumi na monitory napojene na bezpecnostne kamery.



no dobre, dobre, to mozno bude v buducnosti, ked bude nevyhnutne pripojit
aj banky a vladny sektor kompletne na internet a ked "hackeri" nebudu
iba unudeni studenti prechlastani z irc sessionov s balikom stiahnutych exploitov.. vratme sa do reality k
nasim amaterskym internet providerom. v kazdom pripade je podla mna aj
v dnesnej dobe potrebny mat system, ktory nastavi pasce pre hackerov, stacia
na to male upravy a drobne scriptiky. klasickym pripadom je spravit si
napriklad falosny phf script (viz arxiv), ktory je castym tercom utokov hackerov, a ktory
dost vela hackerov otestuje pri pokuse o prienik.



access time atributy suborov



bezpecnost internetovskych serverov ide milovymi krokmi do predu, v dnesnej
dobe uz aj na slovensku a v cechach existuju institucie ktore zamestnavaju
odbornikov na bezpecnost a ktorych neodrbete len tak lahko zmazanim stop z
/var/log/wtmp a /var/log/messsages. pri mazani stop treba mysliet na
kazdy sebamensi detajl. prikladom su access time atributy suborov. po utoku
je treba nastavit (viz "man touch") access time atributy vsetkych suborov, ktore
ste precitali alebo prekopirovali. plati to zvlast pokial
utocite na masinu za cielom ziskat informacie ulozene na danom serveri.
administrator sa moze po vasom utoku presvedcit o tom ci ste informacie
ziskali tak, ze si pozrie access time atribut danych suborov (ls -lau) a
takto dokazete zakryt fakt, ze ste si precitali dane informacie.


pre administratora zase access time atributy suborov predstavuju dolezity
zdroj informacii po utoku. pokial ako administrator mate podozrenie ze
bolo hacknute konto nejakeho uzivatela, ale vobec to nevidiet v syslogd alebo
wtmp logoch, skuste sa pozriet na access time suborov v jeho domacom adresari
(trebars .cshrc, .bash_login a pod). pokial wtmp ukazuje ze uzivatel sa naposledy
logol pred tyzdnom, ale jeho .cshrc bol citany vcera v noci, je jasne ze nieco
nie je v poriadku.



outro



pokial si hacker-zaciatocnik, vedz ze vycistenie /var/log/wtmp a /var/log/messages
vobec nie je dokonale zmazanie logov. uvedom si ze na internete uz davno nefunguje
anarchia divokeho zapadu, kde je mozne beztrestne robit bordel. pokial hacknes nejaky stroj, je
mozne ze pouziva nejaku z vyssie popisanych logovacich metod a ze ta admini odhalia a roznosia na kopytach.
pokial si admin, islo mi o to naznacit
ze nie vzdy treba slepo verit logom, a ze pokial potrebujes vieryhodny a stabilny zdroj
informacii o diani na tvojom serveri, v ziadnom pripade nestaci mat defaultne
nastaveny syslogd a binarne logy.



pajka, pajka(at)hysteria.sk


navrat na obsah





Hackeri - sexualny idol informacneho veku



Som presvedceny o tom ze zeny miluju hackerov a mam to podlozene
Darwinovou teoriou, zeny totiz preferuju tych najsilnesich a
najschopnejsich. V minulosti slo o to mat schopnost zabit medveda
jednym uderom tomahawku a priniest zene medvedie labky k nedelnemu
ohnu a zavesit kozusinu na stenu jaskyne, avsak tieto vlastnosti sa
stavaju coraz menej dolezitymi. Prichadzajuca era informacnej
revolucie nam prinasa tri jasne rozdielne smery evolucie homo
sapiens:



Prvy evolucny typ su hackeri - expertni znalci pocitacov a
informacnych sieti. Tento typ homo sapiens sa postupne prepracuje na
veduce miesta nasej spolocnosti a bude vladnut svetu. (Vynimkou su
unix administratori a tech support, ktori sa obcas svojvolne nazyvaju za
"hackerov starej generacie", oni su vsak odsudeni na zivot v tupej
nevedomosti)



Druhy typ su bezni pocitacovi (l)useri, to je ten typ ludi co sa
tvari ze ovlada MS Excel ale pritom potajme maju v sufliku
pracovneho stola kalkulacku a vzdy si radsej vsetko rucne
prepocitaju. Je to aj ten typ co sedi s pootvorenymi ustami nad
novou verziou DOOMa, neovlada cheat kody a bedzuchu klika cely den
do tlacitka CTRL. Tento evolucny typ postupne vyhynie na svoju
vlastnu blbost.


No a finalne tu je tretia vyvojova kategoria homo-sapiens - luzeri - ludia
nepouzivajuci pocitace. Tym postupne narastie srst a chvost a budu
umiestneni do ZOO kam sa na nich budeme chodit pozerat a krmit ich
bananmi.


Takze je samozrejme ze zena si vyberie evolucne najsilnejsi typ -
hackera s potencialom stat sa svetovym vladcom.


Zeny miluju muzov co dokazu pocuvat. Inteligencna a vyzivna hodnota
toho co sa muz snazi povedat zene nema na nu ziadny vplyv. Zena ma
najradsej ked moze ona trepat a muz iba pocuva. A povedzte mi, kto
ma najvacsiu schopnost sledovat obrazovku pocitaca cele hodiny a
hodiny bez toho aby povedal co len jedno slovko ? No predsa hackeri
! Preto je pre zenu hacker uplne idealny partner.


No a zoberte si ozonovu vrtsvu. Pravda, kedysi boli v mode opaleni
svalovci v ciernych plavkach ktori obletovali dievcata na mestskom
kupalisku. Ale vazeni, pri dnesnom stave ozonovej vrtvsy budu tito
opaleni svalovci uskvareni zaziva ako spekacky a umru v pekelnych
mukach. Ti co neumru budu v klietkach v ZOO a my sa na nich budeme
chodit smiat (a krmit ich tymi bananmi).
Preto zeny miluju muzov ktori sa zatvaraju na 24 hodin denne doma
pri pocitaci.


Henry Kissinger napisal ze moc je ten najsilnejsi afrodiziak. A Bill
Clinton povedal ze mudrost je najsilnejsia moc. Z toho logicky
vyplyva, podla prehlasenia vlady Spojenych Statov, ze mudrost je
nasilnejsi afrodiziak. Pre tych co by chceli proti tomuto
argumentovat - pozrite sa ja som iba zasrany binarny schizofrenik -
ale toto tvrdi vlada USA, tak to sakra akceptujte. Nezabudnite ze
vlada USA ma pod kontrolou distribuciu a dane na cigarety, alkohol a
drogy - takze maju dobre skusenosti ohladne uspokojovania zien.



Dievcata, vsak si uvedomte (citaju vobec Prielom aj nejake dievcata ???
ako ano, ozvite sa ! zalozte 'fan club prielom' ! napisem vam clanok o tom ako
na linuxoch robili ten film "Titanic" !) ake romanticke je to sediet
v tmavej izbe osvetlenej iba jemne nevtieravou ziarou 17" SVGA monitora
- je to vrcholne intimna atmosfera (sviecky patria do ery lovu na medvedov).



navrat na obsah


There are currently 9861 K available in
2nd Guild's K-treasury.




get 1 🦆 for 5 🐘
get 1 🐘 for 1 🦆