Agora Media


  Căutare pe situl Agora Media
    
Libraria Byblos



AgoraNews  





PC Magazine Ro  




NET Report   




Ginfo   




agora ON line   





PC Concrete   





Liste de discuţii   




Cartea de oaspeţi   




Mesaje   





Agora   








Clic aici
PC Report - ultimul numar aparut




IPRO - PC Magazine Romania, Martie 2004
 SOLUŢII PENTRU PROGRAMATORII ŞI DESIGNERII WEB

Securitatea Reţelei [6] - Atacul de la distanţă

Alexandru Ioan Lazăr

Să presupunem că avem de-a face cu o reţea, nici prea mică, nici prea mare: să zicem, 15 calculatoare. Tu ai misiunea de a transforma grămada de fire, mufe şi staţii într-o reţea sigură.

O reţea poate fi penetrată prin două tipuri de atacuri: atacurile locale şi atacurile de la distanţă (remote). Atacurile locale vin dintr-o staţie aflată în reţeaua privată - şi vizează, de obicei, iritarea unui coleg recalcitrant sau, de ce nu, accesul la e-mailurile şefului. Rareori atacurile locale sunt făcute în alte scopuri decât simpla distracţie. De obicei nu sunt destructive, dar atenţie! Asta nu înseamnă că nu trebuie tratate cu seriozitate maximă.

Vom categorisi drept atac de la distanţă orice atac asupra unei ţinte la care nu există acces fizic, asupra căreia nu există nici un control iniţial (mmm…ce savant sună ☺). Ca să clarificăm, iată ce înseamnă aceste lucruri. Absenţa accesului fizic înseamnă că atacatorul nu este prezent, fizic, în faţa maşinii pe care o atacă.

El lansează atacul prin intermediul maşinii sale - aflată la doi kilometri sau de partea cealaltă a oceanului. De unde o serie de limitări, dar şi o foarte mare exigenţă din partea atacatorului. El nu are nici un control asupra maşinii. Nu poate folosi o dischetă de boot pentru a avea acces nerestricţionat la linia de comandă. De fapt, la început, atacatorul nu are decât o adresă IP - care va fi punctul de pornire.

Deja am studiat două cazuri de atac de la distanţă - mailbombing-ul şi atacurile DoS. Dar acestea două sunt cele mai simple. De fapt, ele nu furnizează informaţie, şi de obicei nici nu necesită foarte mult efort, motiv din care sunt evitate de experţi. Excepţie fac atacurile DoS care sunt necesare în alte atacuri: în cazul unui atac prin imitare IP, cracker-ul va încerca să imite IP-ul unei maşini din reţea. De aceea, proprietarul de drept al adresei va fi redus la tăcere printr-un un atac DoS.

Atacurile profesioniştilor au drept obiectiv obţinerea accesului la informaţia de pe maşina ţintă. Cei mai buni reuşesc să obţină acces ca root - utilizator suprem.

Utilizatorul root este cel care are drept de viaţă şi de moarte pe un calculator. Operaţiile sale sunt nerestricţionate: poate şterge şi citi orice fişiere, executa programe şi poate şterge alte conturi de utilizator. Termenul de root este generalizat deja: numele de root este tipic pentru sistemele Unix (în cazul Windows, de exemplu, numele său implicit este Administrator).

,,Puterea unui Jedi…

…este în mintea, şi nu în sabia să (mmm… StarWars). La fel este şi pe Internet: puterea unui hacker nu are nici o legătură cu sistemul său. Cei care spun că de pe un sistem cu Windows XP nu se poate lansa cu succes un atac ar trebui să se gândească la cei care spărgeau reţelele de pe Commodore64. E drept însă că nimeni nu poate sparge o reţea dacă nu are instrumentele necesare. Dar mai înainte de instrumente, contează inventivitatea celui care atacă. De-a lungul timpului, s-au dezvoltat nenumărate tehnici de a strânge informaţii despre o ţintă. Despre unele am vorbit deja într-un număr anterior. Să presupunem că atacatorul va dori să obţină acces la o maşină dintr-o reţea. Primul lucru pe care îl va face va fi lansarea unor interogări host şi finger.

Prin host şi finger, el poate obţine informaţii cruciale, ca:

  • hartă (poate chiar completă!) a conturilor de utilizator mai importante, precum şi a serviciilor care rulează.
  • detalii despre maşinile din reţea. În cazuri extreme, el ar putea obţine chiar detalii despre sistemele de operare de acolo. (dacă nu le va obţine prin host, el poate folosi scanner-ul nmap).
  • prin analizarea informaţiilor de mai sus, detalii despre topologia reţelei (în care nu va avea însă foarte multă încredere, deoarece aparenţele pot fi înşelătoare. Când te paşte închisoarea, nu e bine să-ţi asumi riscuri prea mari).

Oricum, informaţiile de mai sus îi vor furniza măcar o imagine aproximativă despre reţea. Să presupunem că a aflat de existenţa în reţea (să luăm şi un domeniu fictiv target.ro) a unei maşini cu numele ftp.target.ro. În principal, ftp nu este un termen atât de general încât să botezi câinele şi maşinile de prin reţea cu numele acesta. Probabil este un server ftp. Deci cracker-ul va lansa o conexiune prin ftp.

Să presupunem atunci că eu (administratorul) am încercat să-l fac să renunţe, şi la lansarea serviciului ftp, va fi întâmpinat de următorul mesaj:

ftp 192.168.141.129
Trying 192.168.141.129...
Connected to 192.168.141.129.
Escape character is ´^]´.
220 ftp.target.ro FTP server on VAX/OpenVMS 
   Tue Dec 30 05:54:50 EDT 2000) ready
530 Please login with USER and PASS.

După cum vezi, am vrut să întimidez atacatorul, făcându-l să creadă că are de-a face cu o maşină VAX rulând OpenVMS (pentru moment să ignorăm faptul că suntem în România unde probabil nu există nici un VAX… vreau, de fapt, să arăt cât de inventiv poate fi un cracker). OpenVMS este una din cele mai sigure platforme - este foarte greu de spart. Un amator ar da înapoi. Dar iată ce va face un cracker cu experienţă:

telnet 192.168.141.129
Trying 192.168.141.129...
Connected to 192.168.141.129.
Escape character is ´^]´.
login:

Probabil te întrebi ce mare brânză a făcut un cracker cu o conexiune telnet. Atunci pot să pun pariu că nu ai lucrat niciodată cu un VAX, nu? (eu am folosit un emulator…).

VAX şi sistemul de operare al acestor calculatoare, OpenVMS, sunt aproape complet necunoscute la noi în ţară aşa că nu trebuie să te simţi prost ☺. Dar cracker-ul îşi va da seama că nu e vorba de un sistem VAX, deoarece acesta ar trebui să afişeze următorul prompt:

Username:

Promptul login: este categoric al unei maşini Unix. Dacă mai are încă dubii, cracker-ul va continua, folosind programul nmap (un scanner foarte… ,,capabil" ☺).

Cum se mai pot afla informaţii despre maşina mea?

În primul rând, cracker-ul poate încerca să afle dacă nu cumva există un cont specific pentru serviciul de e-mail. [Sfat intercalat: niciodată să nu rulezi servicii ca servere de e-mail, servere web sau ftp într-un cont root. Crează un cont separat, cu restricţii severe privitoare la fişiere. Un server web nu trebuie să citească/scrie alte fişiere decât cele strict necesare]. Apoi poate folosi sendmail ca să afle câte ceva: o versiune foarte nouă de sendmail este o veste nu foarte bună (poate chiar paradoxal). Evident, o versiune nouă este şi foarte vulnerabilă - dar dacă versiunea e prea nouă, gama de vulnerabilităţi cunoscute şi exploatabile este prea mică. Apoi, poate încerca folosirea uucp (Unix-to-Unix CoPy, un serviciu ce permite transferul de fişiere între maşini Unix, rămăşită din Evul Mediu al calculatoarelor) pentru a transfera fişiere periculoase. Legat de fişiere periculoase, am întâlnit următoarea situaţie: un administrator tânăr şi foarte conştiincios - dar cu puţină experienţă - ţinea jurnale regulate cu acţiunile sale, pe care le arhiva. Aceste jurnale conţineau inclusiv copii ale fişierului .bash_history (un fişier care consemnează toate acţiunile făcut de bash) Gafa lui? Nu a fost atent unde a pus arhiva cu fişierele menţinute… un hacker a obţinut acel fişier printr-o combinaţie deosebită de tehnici şi a avut în faţă toate măsurile de securitate luate de administrator. Morala? Mare atenţie cu fişierele din care se pot afla informaţii.

De asemenea, un cracker va încerca să vadă care din conturile predefinite (neprotejate prin parolă) sunt active. Nu râdeţi, asta chiar se întâmplă uneori. Conturi ca ftp, lp sau games pot fi neprotejate şi active, dintr-o greşeală a administratorului sau a producătorului sistemului. Acesta a fost un caz celebru în urmă cu câţiva ani, pe staţiile SGI Webforce, care aveau contul lp (imprimanta de reţea) neprotejat prin parolă.

Continuând, el ar putea verifica dacă folosesc NFS (şi de ce) prin comanda showmount. Folosind rezulatul acestei comenzi, el ar putea chiar să facă prezumţii despre relaţiile de încredere dintre calculatoarele reţelei.

Morală

Am văzut deja cum poate un utilizator să afle informaţii despre reţeaua mea. Simpla prezenţă a acestor informaţii nu poate face rău însă. Exploatarea lor este mult mai dificilă şi mai periculoasă decât adunarea lor. Vom discuta despre tehnicile folosite în numerele viitoare.

Ca sfat desprins din ce am enumerat până aici: dezactiveazăi orice serviciu care nu este necesar. Mai multe servicii înseană mai multe informaţii care se pot afla!

Tratează atacurile de la distanţă cu cea mai mare seriozitate. Unui atacator local îi va fi mai uşor să şteargă urmele, deci nu va face economie de tehnici şi, dacă este prins, în cel mai rău caz îşi va pierde locul de muncă. Un atacator de la distanţă este preocupat, înainte de toate, de problema legii. Dacă este prins, poate pierde mult mai mult decât locul de muncă. De aceea, un atac de la distanţă este atât de periculos: în disperare de cauză, un cracker nu va ezita să distrugă date importante pentru a-şi scăpa pielea.

Cu acestea, închei pentru ziua de azi, şi aştept idei, sugestii, întrebări, comentarii, înjurături şi treziri cu faţa la cearceaf ☺ la adresa std@cwazy.co.uk.

Mult noroc!

PC Magazine Ro | CD ROM | Redactia | Abonamente | CautareArhive

Copyright © 1999-2004 Agora Media.
webmaster@pcmagazine.ro

LG - Life´s Good

www.agora.ro

deltafri

Concurs de Grafica Digitala si Web Design

www.agora.ro

www.agora.ro