Nejen v rukách hackerů

En Garde Systems, firma, která se u počítačové veřejnosti proslavila především svým volně šiřitelným nástrojem ...


En Garde Systems, firma, která se u počítačové veřejnosti proslavila především
svým volně šiřitelným nástrojem pro monitorování sítě TTY-Watcher, ohlásila
nový softwarový balík nazvaný T-sight, který je opět
určen k monitorování sítí a hledání jejich bezpečnostních děr.
Stejně jako TTY-Watcher
i T-sight koncepčně vychází ze softwaru IP-Watcher, který slouží ke sledování
přenášených dat mezi účastníky IP-spojení. Nabízí však navíc řadu možností v
oblasti sledování podezřelých akcí a následném vyvolávání poplachů a v
grafickém zobrazení hustoty provozu v síti.
IP-Watcher
Vraťme se ale ještě ke zmíněnému produktu IP-Watcher, který v průběhu minulého
roku vyvolal několikrát zděšení v řadách správců sítí. Resp. nejednalo se přímo
o IP-Watcher, ale o jeho volně šiřitelnou variantu TTY-Watcher, která je
primárně určena k předvedení schopností IP-Watcheru. S tímto záměrem je také
volně šířena prostřednictvím Internetu.
A co tedy IP-Watcher vlastně umí? Především je schopen monitorovat všechna
spojení v síti na libovolném TCP portu a v reálném čase zobrazovat jejich
průběh administrátorovi. IP-Watcher vidí všechen provoz, který jde po tom
segmentu sítě, na kterém je nainstalován tedy provoz sem přicházející, odtud
odcházející, ale samozřejmě také ten, se kterým tato část sítě nemá nic
společného kromě toho, že tudy jen prochází dál.
IP-Watcher ovšem může spojení nejen monitorovat, ale také do nich aktivně
zasahovat. K tomu používá techniku nazvanou "IP-Hijacking", která zachycuje
pakety na úrovni IP protokolu za tímto účelem ho lze provozovat na libovolném
stroji v síti. Mimochodem zde je rozdíl oproti již zmíněnému oblíbenému
nástroji hackerů TTY-Watcheru, který používá vlastní "TTY-Hijacking",
vyžadující vlastnictví účtu na některém serveru sítě.
IP-Watcher je schopen zrušit jakékoli navázané spojení, poslat klientovi
vlastní hlášení, ale také kompletně převzít navázané spojení. To může být velmi
užitečné v boji proti potenciálním útočníkům, protože je možno sledovat
podezřelá spojení a v případě potřeby od nich útočníka odstřihnout, případně mu
je "upravit", např. zakázat přenos souborů, které jsou předmětem utajení.
Prostřednictvím zmiňovaného nástroje je také možno odfiltrovat TCP provoz od
jednoho, nebo skupiny počítačů, tj. dočasně zastávat funkci firewallu. Přičemž
filtrování lze provádět podle typu služby nebo adresy zdroje. Veškeré informace
o vyžadovaných spojeních se zapisují do log-souboru, který je posléze možno
použít k další anylýze.
Pro snadnou orientaci v sesbíraných údajích nabízí IP-Watcher řadu voleb
určujících, která spojení se zobrazovat mají a která jsou naopak z hlediska
bezpečnostní anlýzy bezcenná. Lze také nastavit postupné automatické vymazávání
zobrazených neaktivních spojení, přičemž čas, po který musejí být neaktivní,
lze nastavit v rozmezí 0 a 600 s.
Z hlediska hackera
Jak už bylo uvedeno, IP-Watcher byl původně vytvořen za účelem sledování
provozu v síti a aby usnadnil odhalování případných nekalých praktik. Vzhledem
k faktu, že je ale schopen zobrazovat všechny přenášené informace mezi
účastníky libovolného spojení, tedy např. i hesla, může posloužit i druhé
straně tohoto odvěkého (ve věku počítačů) konfliktu.
Je-li např. třeba zjistit heslo nějakého uživatele, může útočník přerušit jeho
spojení a přinutit jej k novému přihlášení. Protože přerušení spojení
nepovažují uživatelé za nic neobvyklého, bez rozmýšlení se znovu přihlásí a
útočník heslo odposlechne.
Z již dříve uvedeného ovšem vyplývá, že v podstatě ani není nutné získat heslo
jak už bylo popsáno, lze také prostě spojení přímo převzít. Takže k zajištění
bezpečnosti sítě už nestačí nechat uživatele při přihlášení prokázat svou
totožnost, ale je nutné se průběžně stále dokola přesvědčovat "jsi to ještě
stále ty?". A nebo posílat všechna data šifrovanými kanály.
A pokud jde o již zmíněný volně šiřitelný TTY-Watcher? Ten je prý v rukou
hackera působícího mimo vnitřní síť nebezpečný jedině v případě, že zná
administrátorské heslo systému. Protože pak může libovolně disponovat se
spojeními uživatelů vnitřní sítě. Otázkou (patrně snadno zodpověditelnou) ovšem
je, zda není nebezpečné už samo získání takového hesla.
8 0307 / pen









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.