Agora
Media
Libraria Byblos



AgoraNews  





PC Magazine Ro  




NET Report   




Ginfo   




agora ON line   





PC Concrete   





Liste de discuții   




Cartea de oaspeți   




Mesaje   





Agora   








Clic aici
PC Report - ultimul numar aparut


IPRO - PC Magazine Romania, Martie 2004
SOLUȚII PENTRU PROGRAMATORII ȘI DESIGNERII WEB

Securitatea Rețelei [6] - Atacul de la distanță

Alexandru Ioan Lazăr

Să presupunem că avem de-a face cu o rețea, nici prea mică, nici prea mare: să zicem, 15 calculatoare. Tu ai misiunea de a transforma grămada de fire, mufe și stații într-o rețea sigură.

O rețea poate fi penetrată prin două tipuri de atacuri: atacurile locale și atacurile de la distanță (remote). Atacurile locale vin dintr-o stație aflată în rețeaua privată - și vizează, de obicei, iritarea unui coleg recalcitrant sau, de ce nu, accesul la e-mailurile șefului. Rareori atacurile locale sunt făcute în alte scopuri decât simpla distracție. De obicei nu sunt destructive, dar atenție! Asta nu înseamnă că nu trebuie tratate cu seriozitate maximă.

Vom categorisi drept atac de la distanță orice atac asupra unei ținte la care nu există acces fizic, asupra căreia nu există nici un control inițial (mmm…ce savant sună ☺). Ca să clarificăm, iată ce înseamnă aceste lucruri. Absența accesului fizic înseamnă că atacatorul nu este prezent, fizic, în fața mașinii pe care o atacă.

El lansează atacul prin intermediul mașinii sale - aflată la doi kilometri sau de partea cealaltă a oceanului. De unde o serie de limitări, dar și o foarte mare exigență din partea atacatorului. El nu are nici un control asupra mașinii. Nu poate folosi o dischetă de boot pentru a avea acces nerestricționat la linia de comandă. De fapt, la început, atacatorul nu are decât o adresă IP - care va fi punctul de pornire.

Deja am studiat două cazuri de atac de la distanță - mailbombing-ul și atacurile DoS. Dar acestea două sunt cele mai simple. De fapt, ele nu furnizează informație, și de obicei nici nu necesită foarte mult efort, motiv din care sunt evitate de experți. Excepție fac atacurile DoS care sunt necesare în alte atacuri: în cazul unui atac prin imitare IP, cracker-ul va încerca să imite IP-ul unei mașini din rețea. De aceea, proprietarul de drept al adresei va fi redus la tăcere printr-un un atac DoS.

Atacurile profesioniștilor au drept obiectiv obținerea accesului la informația de pe mașina țintă. Cei mai buni reușesc să obțină acces ca root - utilizator suprem.

Utilizatorul root este cel care are drept de viață și de moarte pe un calculator. Operațiile sale sunt nerestricționate: poate șterge și citi orice fișiere, executa programe și poate șterge alte conturi de utilizator. Termenul de root este generalizat deja: numele de root este tipic pentru sistemele Unix (în cazul Windows, de exemplu, numele său implicit este Administrator).

,,Puterea unui Jedi…

…este în mintea, și nu în sabia să (mmm… StarWars). La fel este și pe Internet: puterea unui hacker nu are nici o legătură cu sistemul său. Cei care spun că de pe un sistem cu Windows XP nu se poate lansa cu succes un atac ar trebui să se gândească la cei care spărgeau rețelele de pe Commodore64. E drept însă că nimeni nu poate sparge o rețea dacă nu are instrumentele necesare. Dar mai înainte de instrumente, contează inventivitatea celui care atacă. De-a lungul timpului, s-au dezvoltat nenumărate tehnici de a strânge informații despre o țintă. Despre unele am vorbit deja într-un număr anterior. Să presupunem că atacatorul va dori să obțină acces la o mașină dintr-o rețea. Primul lucru pe care îl va face va fi lansarea unor interogări host și finger.

Prin host și finger, el poate obține informații cruciale, ca:

  • hartă (poate chiar completă!) a conturilor de utilizator mai importante, precum și a serviciilor care rulează.
  • detalii despre mașinile din rețea. În cazuri extreme, el ar putea obține chiar detalii despre sistemele de operare de acolo. (dacă nu le va obține prin host, el poate folosi scanner-ul nmap).
  • prin analizarea informațiilor de mai sus, detalii despre topologia rețelei (în care nu va avea însă foarte multă încredere, deoarece aparențele pot fi înșelătoare. Când te paște închisoarea, nu e bine să-ți asumi riscuri prea mari).

Oricum, informațiile de mai sus îi vor furniza măcar o imagine aproximativă despre rețea. Să presupunem că a aflat de existența în rețea (să luăm și un domeniu fictiv target.ro) a unei mașini cu numele ftp.target.ro. În principal, ftp nu este un termen atât de general încât să botezi câinele și mașinile de prin rețea cu numele acesta. Probabil este un server ftp. Deci cracker-ul va lansa o conexiune prin ftp.

Să presupunem atunci că eu (administratorul) am încercat să-l fac să renunțe, și la lansarea serviciului ftp, va fi întâmpinat de următorul mesaj:

ftp 192.168.141.129
Trying 192.168.141.129...
Connected to 192.168.141.129.
Escape character is Ž^]Ž.
220 ftp.target.ro FTP server on VAX/OpenVMS
   Tue Dec 30 05:54:50 EDT 2000) ready
530 Please login with USER and PASS.

După cum vezi, am vrut să întimidez atacatorul, făcându-l să creadă că are de-a face cu o mașină VAX rulând OpenVMS (pentru moment să ignorăm faptul că suntem în România unde probabil nu există nici un VAX… vreau, de fapt, să arăt cât de inventiv poate fi un cracker). OpenVMS este una din cele mai sigure platforme - este foarte greu de spart. Un amator ar da înapoi. Dar iată ce va face un cracker cu experiență:

telnet 192.168.141.129
Trying 192.168.141.129...
Connected to 192.168.141.129.
Escape character is Ž^]Ž.
login:

Probabil te întrebi ce mare brânză a făcut un cracker cu o conexiune telnet. Atunci pot să pun pariu că nu ai lucrat niciodată cu un VAX, nu? (eu am folosit un emulator…).

VAX și sistemul de operare al acestor calculatoare, OpenVMS, sunt aproape complet necunoscute la noi în țară așa că nu trebuie să te simți prost ☺. Dar cracker-ul își va da seama că nu e vorba de un sistem VAX, deoarece acesta ar trebui să afișeze următorul prompt:

Username:

Promptul login: este categoric al unei mașini Unix. Dacă mai are încă dubii, cracker-ul va continua, folosind programul nmap (un scanner foarte… ,,capabil" ☺).

Cum se mai pot afla informații despre mașina mea?

În primul rând, cracker-ul poate încerca să afle dacă nu cumva există un cont specific pentru serviciul de e-mail. [Sfat intercalat: niciodată să nu rulezi servicii ca servere de e-mail, servere web sau ftp într-un cont root. Crează un cont separat, cu restricții severe privitoare la fișiere. Un server web nu trebuie să citească/scrie alte fișiere decât cele strict necesare]. Apoi poate folosi sendmail ca să afle câte ceva: o versiune foarte nouă de sendmail este o veste nu foarte bună (poate chiar paradoxal). Evident, o versiune nouă este și foarte vulnerabilă - dar dacă versiunea e prea nouă, gama de vulnerabilități cunoscute și exploatabile este prea mică. Apoi, poate încerca folosirea uucp (Unix-to-Unix CoPy, un serviciu ce permite transferul de fișiere între mașini Unix, rămășită din Evul Mediu al calculatoarelor) pentru a transfera fișiere periculoase. Legat de fișiere periculoase, am întâlnit următoarea situație: un administrator tânăr și foarte conștiincios - dar cu puțină experiență - ținea jurnale regulate cu acțiunile sale, pe care le arhiva. Aceste jurnale conțineau inclusiv copii ale fișierului .bash_history (un fișier care consemnează toate acțiunile făcut de bash) Gafa lui? Nu a fost atent unde a pus arhiva cu fișierele menținute… un hacker a obținut acel fișier printr-o combinație deosebită de tehnici și a avut în față toate măsurile de securitate luate de administrator. Morala? Mare atenție cu fișierele din care se pot afla informații.

De asemenea, un cracker va încerca să vadă care din conturile predefinite (neprotejate prin parolă) sunt active. Nu râdeți, asta chiar se întâmplă uneori. Conturi ca ftp, lp sau games pot fi neprotejate și active, dintr-o greșeală a administratorului sau a producătorului sistemului. Acesta a fost un caz celebru în urmă cu câțiva ani, pe stațiile SGI Webforce, care aveau contul lp (imprimanta de rețea) neprotejat prin parolă.

Continuând, el ar putea verifica dacă folosesc NFS (și de ce) prin comanda showmount. Folosind rezulatul acestei comenzi, el ar putea chiar să facă prezumții despre relațiile de încredere dintre calculatoarele rețelei.

Morală

Am văzut deja cum poate un utilizator să afle informații despre rețeaua mea. Simpla prezență a acestor informații nu poate face rău însă. Exploatarea lor este mult mai dificilă și mai periculoasă decât adunarea lor. Vom discuta despre tehnicile folosite în numerele viitoare.

Ca sfat desprins din ce am enumerat până aici: dezactiveazăi orice serviciu care nu este necesar. Mai multe servicii înseană mai multe informații care se pot afla!

Tratează atacurile de la distanță cu cea mai mare seriozitate. Unui atacator local îi va fi mai ușor să șteargă urmele, deci nu va face economie de tehnici și, dacă este prins, în cel mai rău caz își va pierde locul de muncă. Un atacator de la distanță este preocupat, înainte de toate, de problema legii. Dacă este prins, poate pierde mult mai mult decât locul de muncă. De aceea, un atac de la distanță este atât de periculos: în disperare de cauză, un cracker nu va ezita să distrugă date importante pentru a-și scăpa pielea.

Cu acestea, închei pentru ziua de azi, și aștept idei, sugestii, întrebări, comentarii, înjurături și treziri cu fața la cearceaf ☺ la adresa [email protected].

Mult noroc!


PC Magazine Ro | CD ROM | Redactia | Abonamente | CautareArhive

Copyright © 1999-2004 Agora Media.

[email protected]

LG - LifeŽs Good

www.agora.ro

deltafri

Concurs de Grafica Digitala si Web Design

www.agora.ro

www.agora.ro