Nenehni napadi na porte

Snort je Pripomoček (z veliko začetnico). Tako kot je izvijač pripomoček. Ko gre zadeva skozi firewall, kar sploh ni težko doseči, lahko s snortom zaznaš sumljivo dogajanje in ali pravočasno ukrepaš ali pa če je škoda že storjena, na podlagi zaznave, zadevo "saniraš." Sam po sebi Snort ni "za inštalirat."

Snort ti lahko npr. po petih spodletelih poskusih prijave na določen servis zapre dostop za izvorni naslov IP, ali pa z analizo podatkov v paketih ustavi znane vektorje napada na določen servis.

k4vz0024> No, pa še kako se ga uporablja.

vim /etc/snort/snort.conf
... (popraviš nastavitve, da ti ustrezajo, morda še kak ruelset skopiraš sem in tja)

/etc/init.d/snort start

Pa je.

Hvala.

blackclw> čiz nič bat če približno ve kaj lahko klika.

Povprečni uporabnik niti približno ne ve, kaj sme klikat.

fiction> "Tudi za uporabo požarnega zidu je treba imeti nekaj pojma, da ne govorimo da tudi
znanje o TCP/IP-ju ni odveč. Večina ljudi pa sedaj samo vzame firewall in reče OK
zdaj sem varen, kar pa ni res. Ker seveda program, ki samo piše log ali še tega ne, ni
zanimiv, se mora na vsake toliko časa malo oglašati. V stilu "OMG blocked a hacking
attempt!!!111". Neke hude konfiguracije od uporabnika se itak ne zahteva, ker to ne bi
imelo smisla.
Ko potem to skombiniraš s Hollywoodskimi filmi, ni čudno da večina ljudi začne z
"ojoj ta pa ta me heka, kako bi ga nazaj" in podobno otročjimi vprašanji. :)"


Se ne strinjam glih z vsem... Ja, šur, da je treba imeti nekaj splošnega znanja o računalnikih in omrežjih. Danes ljudje, ki so zrasli z računalniki mislijo, da ne potrebujejo računalniškega izobraževanja. Pa izgleda, da bo vseeno treba tukaj malo več poudarka dajat. Po eni strani me preseneča, da ljudje, ki so mlajši od 35 let, tako malo vedo o principih delovanja računalnikov ter omrežij. Po drugi strani pa povsem pričakovano, da se množice ne poglabljajo dlje od tega, da če pritisneš črko "A", se na zaslonu mora prikazat. (Če se pa ne, je pa že panika... Mogoče Word ravno nima fokusa...).

Da bi pa moral vsakdanji uporabnik imeti kaj dosti pojma o TCP/IP protokolu...?! Tega pa ne sprejmem. Firewalli, naj bodo SW ali HW, morajo biti dummy-proof. Tako kot za vožnjo avtomobila ne potrebuješ detajlnega znanja o tem, kaj se dogaja pod pokrovom, tako za uporabo računalnika res ni treba poznati skrivnosti TCP paketa. Programi morajo biti narejeni tako, da vsakdanji uporabnik lahko nastavi neke privzete nastavitve, ki so primerne za to katergorijo ljudi. Če potrebuješ bolj detajlne nastavitve, pokličeš strokovnjaka; če si Power user, si pač zrihtaš FW, ki omogoča nastavljanje vsega mogočega.

Povprečni uporabnik pa ne potrebuje, da mu nekaj stalno "žmiga", ko novoletna jelka. Prav tako je neumno, da bi moral imeti kakršnokoli napredno znanje o TCP/IP-ju. Pod splošno izobrazbo bi moralo spadati dejstvo, da je IP(v4) naslov sestavljen iz štirih števil med 0 in 255, ločenih s piko. Prav tako bi moral vsak uporabnik na nivoju ideje poznati razliko med javnimi in zasebnimi interenet omrežji ter vedeti, da mora vsaka naprava, priključena na javno omrežje, imeti unikaten IP naslov. Iz tega potem izhaja tudi dejstvo, da mora poznati vlogo default gatewaya.

To je stvar 1 ure razlage. Zadeva, ki jo lahko omenijo na vsakem začetniškem računalniškem tečaju. In zadeva, ki bi jo moral vsak srednješolec slišati pri pouku informatike. To so zares osnove in brez tega ni internetne povezave.

Vse ostalo (protokoli, porti, NAT, port forwarding, access rule, WEP, WPA, VPN...) so pa zadeve, s katerimi se lahko geeki ukvarjajo(mo) ljubiteljsko oz. zaradi strokovnih in službenih zahtev. Lepo prosim, ne bluzit, da bi jih moral poznati Janez Povprečnik, ki je ravno nabavil router in bi rad po navodilih zrihtal priklop dveh računalnikov na mrežo.

In tako Janez Povprečni postane zombi, kateri po internetu naredijo precej škode: od spama, avtomatskega skeniranja portov do denial of service napadov. In se tega sploh ne zavedajo.

blackclw> Za routerjem si pred takimi stvarmi 100% varen brez kakršnegakoli dodatnega software FW, če ne poklikaš ravno vseh linkov ki se ti prikažejo v smislu "click here to see nude pictures of ______".

To ne drži. Drži sicer, da tudi z dodatnim programjem, ki opravlja funkcijo požarnih zidov, nisi 100% varen, vendar to ne spremeni dejstva, da obstaja en kup vektorjev omrežnega napada na računalnik, pred katerim sedi "stateful filtering firewall", ki običajno izvaja tudi NA(P)T.

blackclw> Z Janezom Povprečnim se noben ne bo dosti ukvarjal tako da je router brez odprtih portov načeloma dovolj.

To ne drži. Računalnik Janeza Povprečnega bodo okužili roboti in bo praviloma postal del večjega botneta.

blackclw> Če ga bo sam naložu na komp potem verjetno res, drugače pa ne.

Kako pa naj ve, če ga je sam namestil?

Gre na znano in pogosto obiskano spletno stran, na katero je nekdo uspešno izvedel XSS napad. Kaj pa Janez ve, kaj je XSS?

Ali pa po e-mailu dobi od osebe, ki jo pozna, link na .exe datoteko s prikupno, a brezvezno čestitko. Kako naj ve, da je to dejansko zla koda?

Imago: Jaz se s teboj načeloma strinjam, ampak vseeno je pa zelo neumno zanikati nevarnosti, ki se dogajajo v tako velikem obsegu. blackclw pa te nevarnosti očitno zanika, ali si namerno zatiska oči, ali pa ne pozna problematike. Le kako naj uporabnik računalnika - Povprečni Janez - ve, da je zombi? Dandanes niso več tako neumni, da ti kar zafilajo povezavo (ali CPU) 24/7. Lahko do dormant več mesecev in med tem časom kradejo osebne podatke, za katere je bandwidth tako minimalen, da ne boš opazil.

Targeted napadi na Povprečnega Janeza so res malo verjetni, a morda je zlodej v računalniku med drugim zadolžen za prepoznavo bančnih storitev in slej ko prej bo Lojze Povprečni imel na računu večjo količino denarja, ki bo izginila, za katero se bo sled ob pravilnem napadu - man in the middle - izgubila.

Mi tukaj ne širimo splošne panike, tako tudi razumem Jureta in Blue, ampak razlagamo, kako je preprosto postati žrtev, brez da bi se tega zavedali.

Samo router z zaprtimi, stealh porti, ni dovolj, da se to prepreči, kot namiguje blackclw. Je pa vsaj dvonivojska začita: router in OS.

Vista ima UAC, ki je bolj v fazi 0.0.1-586i alpha, kot pa nek resen pripomoček, ki je večini ljudi nadležen in ga takoj izklopijo. Ampak spet je tu še en layer zaščite. Za UAC pogrešam samo bolj sofisticirana pravila, da jih admin pravilno nastavi.

Tako na Povrečnemu PCju Janeza poskrbimo za osnovno zaščito, ki uspešnost auto scanov zelo zmanjša.

Ko Admin postavi zadevo, je pa na vrsti uporabnik sam. Temu je potem potreno razložiti, kako naj prepozna, čemur naj se izogiba, kot si, Imago, opisal zgoraj.

Sedaj smo pa že res na minimumu okužne. Ni pa zadeva bullet proof - opisal Blue in Jure.

Bullshit!

Zombi je servis/proces (pri MSjevi platformi), ki je večino časa dormant, nič ne dela, ne kuri CPUja, pokuri zelo malo rama, ter ne obremenjuje linije. Sedaj je večina takšnih.

Ko se pa upravljalec botneta odloči za akcijo (pošiljanje spama, DDOS), pa uporabnih občuti rahlo upočasnitev računalnka za nekaj časa, kar ni nič neobičajo. Janez Povprečni nikakor ne pomisli, da je z njegovim računalnikom karkoli narobe. Mogoče, ampak res mogoče, ga celo resetira.

Avtomatski scani po omrežju pa tudi ne potrebujejo veliko bandwidtha, ker gre po en paket na vsak port od 65535. In ker je tako veliko okuženih računalnikov, niti ni potrebno, da bi en sam računalnik Janeza porabil veliko pasovne širine.

Dandanes so zombi računalniki napredovali, ker če bi linijo totalno zafilali, bi tudi Janez Povprečni sumil, da je nekaj narobe. Tega pa upravljali botnetov nočejo. Tudi ob DDOSu na neko stran, gre od vsakega zombija kvečejmu nekaj odstotkov njegove pasovne širine, tako niti ne more posumiti, da je kaj narobe.


Pa ko tako poudarjaš "če ve kaj ne sme Janez klikati," naj ti povem, da so današnji napadi takšni, da niti ne rabiš karkoli klikniti: samo obiščeš določeno internetno stran.

Ti nimaš pojma o čem govoriš!

blackclw> Sicer pa da prideš na tako stran moraš že poklikat napačne stvari,

Mhm, recimo na google.si se odpraviš, pa si že tam.

Vsak smrkovc ma lahko botnet, pa to ne pomeni, da razume koncepte varnosti računalnikov in omrežij.

blackclw> Sploh pa ima tudi google neko bazo nevarnih strani in ti teži če klikneš na tak link.

Mislil sem na možnost, da je prva stran googla okužena. Niti ni tako malo verjetno, glede na zgodovino z DNS povezanih incidentov pri naših internetnih ponudnikih.

Lepo, da si nas obvestil.

Dobiš čebelico v zvezek.

Ja sej pravim da se ne hvalim Drugače pa (spet) malo pretiravaš. S par tisoč boti se niti nobenmu ne da zajebavat.

Par tisoc botov je pomoje cisto dovolj velika mreza za izvajanje raznoraznih pizdarij (od DoS napadov,
posiljanja spama itd). Sicer pa zakaj bi bila velikost pomembna - ce v trgovini ukrades zemljo je to isto
kot ce bi vzel kaj drazjega. In s tem se res ni treba hvaliti (tudi ce zraven omenis kako sosedov Janez
se veliko bolj krade kot ti). Da ne govorimo o tem, da to tudi ni referenca, ce hoces postati varnostnik v
Mercatorju ;)

Samo tukaj ne govorimo o 1 kaznivem dejanju ampak o 1000-ih. In ze zaradi enega vdora, se splaca
zajebavati! Problem je samo v tem, da tisti, ki se jim to zgodi ponavadi nimajo dovolj znanja, da bi
vedeli kako morajo ukrepati. To, da se tudi bolj izkusenim ljudem ne da oz. nimajo casa ukvarjati je
zaskrbljujoce. Kot je opazil Badb0y se stalno dogajajo poskusi vdora - zato ker se nobeden nima casa
ukvarjati je tega cedalje vec. Posledicno se nam zdi cisto normalno, ce nekdo naredi portscan nad naso
masino. Seveda velika vecina tega je avtomatizirana in prihaja iz nekega shekanega racunalnika,
ampak vseeno.

Pyr0

fiction, če maš par tisoč nekih recimo azijskih botov se v bistvu nič ne more zgodit. Noben se nav ukvarju s tem, ne tm ne tuki. Še znotraj EU je to bol redka stvar, mislim da sem slišu samo za en mal večji primer. V glavnem o nekih kaznivih dejanjih in težkih kaznih se lahko pogovarjamo samo če se dogaja vse znotraj iste države.

Errr, da naredimo zadevo še malo bolj konkretno: CVE-2008-2992.

Danes sem nekje potrdil, da je prišlo do okužbe računalnika preko te ranljivosti. Stvar pa sploh ne bi bila zanimiva, če ne bi bil edini simptom okužbe vztrajno poskušanje povezovanja procesa svchost.exe na medmrežje. Uporabnik računalnika pa je to opazil zaradi vztrajnega opozarjanja požarnega zidu. Če ne bi uporabljali požarnega zidu, ki sledi vzpostavljanje odhodnih povezav, bi bila okužba odkrita šele kdo ve kdaj, tako pa je bila odkrita v roku 2 dni.

Pri nadaljnji analizi pa se je pokazalo še sledeče:

Malware se je poskušal povezovati na Amazonov S3 servis, od koder smo med raziskovanjem incidenta naknadno pobrali datoteke, ki so vključevale nove komponente potrebne za vnovčevanje okužbe. Amazon je bil obveščen (dostop do datotek več ni možen), ravno tako pa tudi registrar in nosilec DNS strežnikov za DNS domene, ki se jih je pri zlorabi uporabljalo. Narava delovanja pa je onemogočila, da bi na glavnem požarnem zidu za to omrežje karkoli storili, saj bi s tem preprečili dostop do množice servisov, ki za shranjevanje slik in video posnetkov uporabljajo storitev Amazon S3. Pri preiskavi smo ugotovili, da je okužbo sprožil PDF dokument, do katerega je kazala povezava, ki je bila prejeta preko elektronske pošte. Izvor sporočila je bil po vseh verjetnosti že okužen računalnik v tujem omrežju, o čemer smo tudi obvestili upravljalca omrežja, če bo želel kakorkoli ukrepati.

Znan in v povprečju dobro ocenjen protivirusen produkt, ki so ga uporabljali, te zlonamerne kode ni zaznal, pri preverjanju pa se je izkazalo, da ne bi zaznal tudi drugih delov kode, s katerimi se je virus poskušal "nadgraditi". Zato smo vse zbrane podatke in datoteke posredovali proizvajalcem, s katerimi imamo vzpostavljen kontakt za tovrstno obveščanje. V enem izmed naslednjih nadgradenj podpisov bo tako verjetno zanana tudi ta nevarnost.

Po moji ceni ni šlo za usmerjen napad, temveč na splošno izkoriščanje ranlivosti za novačenje računalnikov, preko katerih bi storilci opravljali dejanja, ki bi jim prinašala finančne koristi. Primerki programov, ki smo jih našli, kažejo na visoko strokovnost storilcev - v tem primeru običajen znak kariernih kriminalcev, ki izkoriščajo tovrstne ranljivosti. Ugotovili smo tudi s katero kriminalno skupino se bi moral računalnik povezati, da bi postal del takšnega profitnega omrežja. Tudi ti podatki so bili posredovani ustreznim organim v tujini, ki se ukvarjajo s pregonom tovrstnega kriminala.

Na žalost takšnih stvari kar noče in noče zmanjkati... V podjetjih je za varnost že dokaj dobro poskrbljeno, zaradi česar se vedno več takšnih stvari odkrije in ustavi, še preden pride do kakšne večje škode. Domači uporabniki (Janezi Novaki) pa potrebnih znanj, izkušenj in kanalov za pomoč nimajo ravno na pretek, da bi se lahko uspešno odzivali na vedno bolj iznajdljiv in učinkovit kriminal, ki jih zlorablja. To je bil samo en svež primer sveže ranljivosti. Še vedno pa najdemo ogromno okužb, ki vlečejo sledi v ranljivost nepopravljene Adobe Flash komponente, ker popravki (nevede - pomankanje znanja) niso bili nameščeni še niti leto po odkritju napake.

blackclw> Ni pa to nekaj na kar naletiš vsakih 15 minut.

Je pa znotraj par magnitud od tega intervala.

Sovražnik ne spi!

Nastavi blokiraj ves vhodni promet, nastavi da te za port scann ne obvešča in to je to. Svet je en velik jebeni boot net, tako da če ravno nisi neka pomembna riba, si nepomemben...

Dejansko si z dobrim FW in pametnim nacinom brskanja po straneh (NOScript) zasciten pred virusi in podobno nesnago.
Vsake kvatre ko se odlocim skenirati mi na sistemu ne najde okuzbe, kar potrjuje ucinkovitost metod.

AV je pa najvecji virus in bloatware dalec naokrog, System resource Hog :)

Če maš spodoben operacijski sistem, potem res ni nobenega razloga, da bi imel nameščen antivirus - je pa kljub temu vljudno imeti kakšnega, saj tako veš, kdaj si prejel zlo kodo in je ne pošiljaš naprej.

Jst> Ja, za MacOS in *nix načeloma ne potrebuješ antivirusa.

No, saj pri tem sem poudaril, da ni nič narobe, če ga imaš - tvoji kolegi z Windows še vedno lahko naokoli trosijo viruse. Pri tebi ti virusi ne bodo naredili ničesar, bo pa kakšen kolega eventuelno prinesel tvoje podatke na Windows mašino in tako staknil virus.