Majoritatea spargerilor de sisteme au ca faza initiala adunarea de informatie precum si testarea sistemului de securitate a retelei. Desigur, nu si in cazul in care ati scos o "super" programa de pe Net care "e de ajuns sa apesi un buton" pentru a sparge sistemul provider-ului. In acest caz sunteti nu altcineva decar inca un "script-kiddie" din imensa armata de lammeri care creste vazand cu ochii...
NOTA: Unora ar putea sa le para ca tot ce e descris mai jos seamana mult a "hacking activity", eu zic ca sunt prezentate doar niste modalitati de detectare a punctelor slabe a securitatii propriului sistem. In nici intr'un caz nu-mi asum responsabilitatea fata de modul in care va fi folosit aceasta informatie.
Scopul si motivatiile auditul unui sistem.
Prin auditul securitatii sistemului dvs se are in vedere testarea practica a modului in care un sistem este vulnerabil in fata tentativelor unui spargator.
Parca ii si aud pe unii: "Chiar ne trebuie?" Da, trebuie. De ce? Voi incerca sa prezint unele motive:
- exista cel putin un hacker la 100 de utilizatori.
- daca aveti o afacere, nu conteaza, mare/mica, sau chiar daca sunteti conectat la Net de acasa, doar faptul ca sunteti conectat la Net va cresc sansele de a fi "vizitat" de un hacker.
- problemele care apar in urma infiltrarii unui hacker pot fi imediate si cu urmari grave asa ca Denial of Service. Deasemenea pot avea efecte pe termen lung, ca urmare a unor schimbari subtile in bazele de date sau continutul paginelor de Web.
aveti ocazia de vedea in practica de ce sunteti in stare, in ceia ce priveste administrarea si intretinearea unui sistem.
Cam astea ar fi motivatiile.
Scopurile auditului ar fi depistarea vulnerabilitatilor sistemului, precum si a gaurilor in securitate. Deasemenea, ar trebui de stabilit daca in sistem nu ruleaza servicii inutile sau invechite, care intotdeauna ridica vulnerabilitatea sistemului.
Cum actioneaza un hacker.
Pentru a avea un sistem securizat, trebuie sa stim impotriva caror actiuni il aparam, nu? Modalitatile de lucru ale unui hacker sunt:
Scanarea host-urilor. Metoda de descoperire a calculatoararelor din retea, vor fi scanate un numar de adrese de Internet si, daca se primeste un raspuns, inseamna ca exista sisteme ce au adresele respective configurate, deci vor incerca sa le atace.
Scanarea port-urilor. Vor fi scanate, pentru a fi identificate, porturile deschise ale aplicatiilor, acestea urmand a fi exploatate pentru obtinerii accesului la sistemul respectiv.
DoS - are ca scop de a impiedica accesul la sistem persoanelor autorizate, schimbarea parametrilor sau configuratiei sistemului, blocarea serviciilor, pana la aducerea in daun a sistemului. Mai amanuntit - aici.
-
Modalitatile de audit a securitatii sistemului.
Ideia principala a auditului ar fi simularea metodelor utilizate de hackeri asupra sistemului pe care-l testati si studierea efectelor pe care le-au avut aceste simulari.
Pentru aceasta, incercati mai intai metodele de Denial of Service descrise la capitolele:
Metodele de atac intern si Metodele de atac extern. Exista posibilitatea ca sistemul dvs sa reactioneze pe departe normal, insa in acest caz veti sti unde sunt punctele slabe ale sistemului si veti avea posibilitatea de a incerca o eventuala coractare a erorilor.
Controlati in fisierul /etc/inetd.conf daca nu cumva rulati servicii si aplicatii de care nu este nevoie. Pentru a inchide un anumit servici, comentati-l punand simbolul "#" la inceputul randului. Daca intentionati sa oferiti acces la calculatorul dvs altor utilizatori prin retea sau Internet, nu folositi telnet-ul deoarece datele sunt transmise in format de text prin intermediul telnet-ului. O alternativa buna ar fi utilizarea SSH (secure shell) care cripteaza datele inainte de a le trimite, facand astfel sniffer-ele neputincioase.
Cercetati fisierele /etc/passwd si /etc/shadow daca nu au aprut utilizatori noi, mai ales cu UID-ul si GID-ul egale cu 0 (adica cu drepturi absolute.)
Alte metode ar fi scanarea port-urilor cu diferite portscanere. Insa despre aceaste in capitolul urmatorul.
Exista diferite utilitare de audit a securitatii cum ar fi:
SATAN (Security Administration Tool for Analysing Networks) - o programa care incearca diferite metode de atac asupra sistemului si comunica despre vulnerabilitatile descoperite. Este una din primele programe din aceasta serie.
SAINT (Habar nu am despre descfirare) - este o programa comerciala care face cam aceleasi chestii ca si SATAN.
Nessus - ultima realizare in domeniu. Indica vulnerabilitatile in sistem, precum si modalitatile de rezolvare a lor.
Toate aceste programe, precum si link-uri catre alte programe similare le puteti gasi la:
http://www.securityfocus.com
http://insecure.org
http://www.linux.org
http://astalavista.box.sk
http://linux.box.sk
Scanarea porturilor.
Deci, scanarea port-urilor. Nu exista atac care nu a avut ca faza initiala scanarea port-urilor. Cum am mai zis, scopul unei scanari ar fi identificarae porturilor deschise ale aplicatiilor, acestea urmand a fi exploatate pentru obtinerii accesului la sistemul respectiv.
Unul dintre cele mai bune port-scanere la aceasta ora este nmap (Network Exploration Tool and Security Scanner). Nmap face trei chestii:
- determina daca un anumit host este "alive" prin ping;
- scaneaza porturile host-ului pentru a determina daca sunt servicii care asteapta conexiune.
Porturile vor fi reflectate in trei stari:
OPEN - daca portul e deschis si accepta conexiune;
FILTERED - daca portul respectiv este acoperit de catre parafoc (firewall), filtru sau alt utilitar dereteacare nu permite ca nmp sa determine starea portului;
UNFILTERED - portul este inchis si nu este acoperit de nici un utilitar;
incearca sa determine ce sistem operational ruleaza sistemul scanat;
Pentru cei care sunteti interesati de acest scaner, aveti in vedere ca utilizarea lui asupra altor sisteme decat al dvs, ar putea fi privit ca "hacker activity" asa ca... ramane la responsabilitatea dvs.
Un alt scaner, de care sunt sigur ca ati auzit, este SATAN (Security Administrating Tool for Analyzing Networks).
Pana la aparatia nmap-ului, era cel mai raspandit tip de scaner.
_