Přinášíme vám dobrovolné přiznání "hodného" hackera

Jude prozkoumal svou síť pomocí stažených hackerských nástrojů a zůstal neodhalen. Minulý týden jsem strávil vět...


Jude prozkoumal svou síť pomocí stažených hackerských nástrojů a zůstal
neodhalen.
Minulý týden jsem strávil většinu času instalováním Linuxu a několika
"hodných" (white hat) aplikací z hackerského Webu: Firewalk, Nmap, Sniffit,
Swatch a Tripwire. Tento týden jsem měl možnost si s nimi konečně trochu
pohrát. Označení "bílé klobouky" ("white hat") mě poněkud spletlo, když jsem ho
poprvé slyšel. White hat je docela běžný termín pro lidi, kteří nabourávají
systémy legitimně bezpečnostní pracovníci, výzkumníci aj. Naproti tomu black
hat hackeři se nabourávají do systémů se zlými úmysly. V podstatě, "bílé
klobouky" jsou dobří hoši, "černé klobouky" jsou zlí hoši. "Šedé klobouky"
(gray hats) jsou někde mezi těmi dvěma, a nikdo neví, kam do toho všeho vlastně
patří "červený klobouk" (Red Hat Linux). Bylo mi řečeno, že tyto termíny
pocházejí ze starých westernů. Protože filmy byly černobílé, scény s honičkami
byly poněkud zmatené, dokud někdo nerozhodl dát dobrým hochům bílé klobouky a
zlým hochům černé klobouky. Nicméně, zpět k Linuxu. Parádičky a nadšení Nmap mě
zaujal. Je jednoduchý, je mocný, a dělá přesně to, co tvrdí, že dělá: Mapuje
vaši síť. Autor, který je znám pouze pod jménem Fyodor, dokonce začlenil
krátký, ale dobře napsaný HTML manuál, který lze zvolit z pěti jazyků. Program
je freeware, takže můžete bez zátěže pro svou (nebo zaměstnavatelovu) peněženku
snadno obdivovat množství práce, kterou do něj vložil. Nmap posílá ping
příkazy, aby zjistil, jaké stroje jsou připojeny k vaší lokální síti, spouští
skenování portů, aby zjistil, jaké služby každý stroj provozuje, a TCP/IP
fingerprint, aby zjistil, jaký operační systém běží na každém z nich. Výsledkem
je log-soubor, který vám dává přiměřeně kompletní seznam toho, co je ve vaší
síti a co to dělá. Jsou to užitečné informace jak pro bezpečnostního manažera,
tak pro jakéhokoli hackera. Také provozujeme Internet Scanner od Internet
Security Systems (ISS) z Atlanty. Internet Scanner může dělat přesně to, co
může dělat Nmap a mnohem více. Velký rozdíl mezi těmito nástroji bez ohledu na
fakt, že Nmap je zdarma a Internet Scanner zcela jistě není je pohled, kterým
každý z nich pohlíží na tyto funkce. Nástroj ISS poskytuje mnohem přátelštější
grafické uživatelské rozhraní (GUI), ohlašuje svou přítomnost každému, kdo je
skenován atd. Je jasně navržen tak, aby se hodil do podnikového prostředí.
Nmap, na druhou stranu, je navržen pro technické pracovníky, kteří se chtějí
obejít bez parádiček: Je mnohem rychlejší, a je navržen tak, aby běžel ve
"skrytém módu", takže obchází možnost detekce softwarem pro detekování průniků.
Rozhodně oklamal radar našeho softwaru pro detekci průniků RealSecure od ISS.
To je něco, co musíme vyřešit. Čenichání útoků Další na řadě byl Sniffit,
síťový paketový sniffer. Paketové sniffery ("čuchače") jsou především zajímavě
nazvané kusy softwaru, které monitorují síťový provoz. Pod mnoha síťovými
protokoly jsou data, která přenášíte, rozdělována do malých segmentů, neboli
paketů, a IP adresa cílového počítače je zapsána do hlavičky každého z nich.
Tyto pakety jsou potom předávány pomocí směrovačů a ty tvoří jejich cestu do
síťového segmentu, kde se nachází cílový počítač. Když paket cestuje přes
cílový segment, síťová karta na každém počítači v segmentu prověřuje adresu v
hlavičce. Je-li adresa určení paketu stejná jako IP adresa počítače, síťová
karta shrábne paket a nasměruje ho na svůj hostitelský počítač. Tak nějak si
myslím, že to funguje. Jsem si jist, že existuje mnoho síťových inženýrů, kteří
se chystají vysvětlovat množství subtilních, ale důležitých chyb, které jsem
udělal (pokud vám nevadí angličtina, nebojte se vstoupit do mého diskuzního
fóra na Computerworlds online Security Watch Community
www.computerworld.com/security), ale na rovinu, zdá se mi, že tento malý model
alespoň pro mě docela dobře funguje. Promiskuitní síťové karty Paketové
sniffery pracují poněkud odlišně. Namísto pouhého sbírání paketů, které jsou
jim adresovány, nastavují své síťové karty na tzv. "promiskuitní mód" a sbírají
kopie každého paketu, který kolem prochází. To jim umožňuje vidět veškerý
datový provoz na síťovém segmentu, ke kterému jsou připojeny totiž jsou-li dost
rychlé, aby zvládly zpracovat veškeré množství dat. Síťový provoz často
obsahuje velice zajímavé informace pro útočníky, jako jsou identifikační čísla
uživatelů a hesla, důvěrná data cokoliv, co není nějakým způsobem šifrováno.
Tato data jsou také užitečná pro další účely síťoví inženýři používají paketové
sniffery např. k diagnostice síťových poruch, a my v oblasti bezpečnosti je
zase používáme pro náš software detekující průniky. Tento způsob využití je
skutečným tabulkovým příkladem nasazení proti útočníkům: Hackeři používají
paketové sniffery ke zjišťování důvěrných dat; my používáme paketové sniffery
ke zjišťování hackerských aktivit. To má v sobě jistou eleganci.
Věděl jsem o paketových snifferech několik let, a hovořil jsem o nebezpečích,
která vznikají jejich používáním útočníky, při mnoha konzultačních úkolech, ale
jako mnoho konzultantů, nikdy jsem předtím žádný skutečně nepoužil. Jedním z
důvodů pro to je jednoduše obava nepřipadám si natolik technicky znalý, abych
znal celou záplavu všech typů síťového žargonu a dokázal vyřešit všechny
vzniklé problémy. A neměl jsem žádnou chuť běhat za našimi pracovníky síťové
podpory. Cítil jsem se dost v rozpacích, že se nedokážu dostat přes koncepci
subnetových masek, takže nechci ukazovat svou větší ignoranci, když to mohu
případně obejít. Věc, která mě u Sniffitu nejvíce trápila, byla jeho snadná
instalace. Vyžadovalo to asi 3 příkazy a 3 minuty na jeho nainstalování a
spuštění na mém linuxovém stroji. Dokonce má GUI (ne nijak zvlášť půvabné, ale
hurá vždyť je přece zadarmo). Stejně jako Nmap se i Sniffit velice snadno
používá a dělá přesně to, co tvrdí, že dělá: Čenichá po vaší síti a ukazuje
vám, jaké druhy dat po ní procházejí. Doporučuji vám instalovat paketový
sniffer a podívat se, jaký druh dat můžete vidět na vaší lokální síti. Ještě
raději pak získejte jednoho z vašich síťových inženýrů, aby jej pro vás
nainstaloval. Pravděpodobně znají lepší, mnohem profesionálnější sniffery a
budou schopni hovořit o některých datech, která uvidíte procházet sítí. Je to
zajímavý pohled, co přesně se na vaší síti děje. Firewalk, Swatch a Tripwire mě
zatím porazily. Ještě nevím, co dělám špatně, ale nedaří se mi je korektně
nainstalovat. Možná, že se k tomu nevrátím, protože můj dlouho očekávaný
přenosný počítač konečně dorazil. Nyní se mohu vrátit ke všem těm projektům,
které bylo nutné o několik minulých týdnů pozdržet. Tento text napsal skutečný
manažer pro bezpečnost firemního informačního systému. Jméno "Jude Thaddeus",
stejně jako další údaje.

Slovník a odkazy
Software pro detekci průniků: Specializované bezpečnostní programy, které
monitorují pokusy o přihlášení, bezpečnostní logy a ostatní informace a snaží
se detekovat neautorizované pokusy o přístup do firemní sítě. TCP/IP
fingerprinting: Proces analyzování TCP/IP protokolového zásobníku (protocol
stack) cílového hostitelského počítače na síti s cílem odhalení jeho operačního
systému a verze. Ping: Tato utilita TCP/IP sítě posílá dotazovací paket na
cílovou síťovou adresu uživatele nebo hostitelského počítače a čeká na odpověď
potvrzující jeho přítomnost na síti.
Odkazy:
PacketStorm Web (packetstorm.security.com) se prezentuje jako on-line
bezpečnostní knihovna. Právě odtud si můžete stáhnout program Firewalk.
Navštivte hackerský Web www.insecure.org, pokud si chcete stáhnout program Nmap.
Adresa www.symbolic.it/Prodotti/sniffit.html vás zavede k paketovému snifferu
Sniffit, který nabízí firma Proditti Network Security z Itálie.
Navštivte i www.nmrc.org/files/ sunix/, kde si můžete stáhnout analyzátor logů
Swatch a Tripwire kontrolující integritu souborů.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.