Titkosítás, biztonság, privát szféra

Tegnap jelent meg Daniel E. Coletti cikke (HOWTO) a Linux Journal-on, amely a Linuxos IPSec implementáció, a FreeS/Wan telepítését, beállítását ismerteti.A FreeS/Wan beállítása nem tartozik a legegyszerűbb dolgok közé, de néhány okos tanáccsal működőképessé lehet tenni, és egy nagyszerű eszköz lehet olyan helyen, ahol kritikus adatokat kell az "internet káosza" közepette eljuttatni egyik helyről a másikra.

A HOWTO-t megtalálod itt.

Megjelent Bruce Schneier havi biztonsági hírlevele, a Crypto-Gram júliusi száma. A tartalomból: magánadatok védelme a széles körben elterjedt biztonsági pánik közepette, mire jó a vörösbor az étteremben és a pénzérme a jégpályán, a túl sok hamis riasztás visszaüt, valamint további érdekességek.

Adore, Ark, apachebd, b0sttKis, Knark, Irk5, Q 2.4, T0rnkit

Mondanak neked valamit a fenti nevek? Ha nem, akkor vagy szerencséd volt eddig, és azért nem találkoztál velük, vagy nem volt szerencséd, és ott vannak a gépeden, csak nem tudsz róluk. A fent említett programok ún. rootkit-ek.

A rendszerekre való betörés után a crackerek előszeretettel hagynak maguk után valamilyen hátsó bejáratot, amelyen keresztül vissza tudnak jutni az áldozat gépére. Sajnos a rootkiteket nagyon könnyű használni, és ez megnöveli a potenciális rizikó faktort (script kiddie-k). A másik probléma, hogy rootkit-et majd' minden operációs rendszer alá léteznek. Léteznek olyanok, amelyek a rendszer binárisait cserélik le egy speciálisan "megpatkolt" verzióra. Például olyan gyakran használt binárist, mint az ls, top, stb. A program látszólag úgy működik, mint az eredeti de annál sokkal többet csinál. Van amelyik az sshd-t, httpd-t cseréli le. Léteznek betölthető kernel modulok. Egyetlen közös van bennük, mindegyik ártó szándékkal készült.

Egy nagyon részletes leírást találsz a rootkit-ekről itt.

Folytatódik Marcel Gagné OpenSSH gyorstalpalója a Linux Journal oldalain. Ebben a cikken a nyilvános kulccsal (public key) történő authentikációt tárgyalja a szerző.

Nos, ismét update, lehet töltögetni :)

grsecurity-1.9.11-2.4.21.patch

grsecurity-2.0-rc1-2.4.21.patchMi változott?


A news oldalról:


June 23, 2003

grsecurity 1.9.11 and 2.0-rc1 have been released today. grsecurity 1.9.11 contains a build fix for sparc32, a fix for an ACL inconsistency, PaX updates (one to make the mprotect feature more consistent, the other a parisc update), as well as a bugfix for sysctl support. The first release candidate of grsecurity 2.0 includes the new learning code discussed below, as well as several bugfixes. The new learning code is more complete and advanced than what any other security system, free or proprietary, offers. This release marks a milestone in the grsecurity project: the ability to create a full least-privilege system with no configuration. Enjoy.

grsecurity-1.9.11-2.4.21.patch

grsecurity-2.0-rc1-2.4.21.patch

Port kopogtatás - avagy engedjük be magunkat a zárt tűzfalon keresztül a saját gépünkre

A tűzfal adminisztrátoroknak annak a kihívásnak kell megfelelniük, hogy egyensúlyozniuk kell a rugalmasság és a megbízhatóság közötti vékony ösvényen. A jó tűzfalnak védelmet kell nyújtania a "rossz fiúkkal" szemben, viszont a megbízható felhasználóknak lehetővé kell tennie, hogy azok kapcsolódhassanak. Sajnos nem elegendő az, hogy a "rossz fiúk" IP címeit szűrjük, mert az IP cím nem minden esetben határozza meg a kérdéses felhasználót (dinamikus IP címről jön (ISP), NAT mögött van, esetleg a rosszindulatú támadó egy spoofolt IP címet használ, stb.). A "rossz fiúk" jöhetnek a megbízhatónak gondolt (trusted) IP címekről is. A nyitott portok sebezhetőek maradnak, lehetővé teszik a támadóknak, hogy kapcsolódhassanak hozzájuk, és szerencsétlen esetben akár a támadás kapuivá is válhatnak. Akkor mit lehet tenni? - kérdezhetnénk. Van egy technika, amelyet ebben az esetben alkalmazni lehet. A neve a port kopogtatás (port knocking), amely lehetővé teszi a megbízhatónak minősített felhasználók számára, hogy kapcsolódhassanak a lezárt portokhoz, és manipulálhassák a tűzfal szabályokat ezeken a lezárt portokon keresztül.Tulajdonképpen, a felhasználók kapcsolatot képesek felépíteni a lezárt portokon keresztül. A hibás kapcsolatokat a szerver oldali csomagszűrő rögzíti, és egy dæmon ezeket monitorozza. A kulcsszerepet a zárt portokra érkező csomagok szekvenciája játssza az authentkációs folyamatban. Ha egy megfelelően formázott "kopogtató" csomagsorozat (knock sequence) érkezik a zárt porthoz, akkor a zárt porton keresztül a felhasználónak lehetősége nyílik arra, hogy a tűzfal rule-okat módosítsa. Ez a felhasználó-alapú authentikációs rendszer egyben robosztusabb, mintha csak a kernel-beli csomagszűrőt használnánk, és titkosabb, hiszen egy esetleges portscan nem képes felderíteni a nyitott portokat (mivel nincsenek). A port kopogtatási technológia nem igényel egyetlen nyitott portot sem.

Érdekel a folytatás? Olvasd el itt.

1996-ban John Gilmore egy olyan Internetről álmodott, ahol az összes kommunikáció titkosítottan zajlik a siteok között. John támogatta a FreeS/WAN projektet amely az IPSEC-et használja az IP forgalom titkosítására. A FreeS/WAN csapat most kiadta a Linux FreeS/WAN 2.00-át, az első kiadást, amely az opportunista (alkalmazkodó?) (Opportunistic Encryption) (OE) titkosításra van optimalizálva. A telepítése után a hostokon *semmilyen* konfigurációra nincs szükség ahhoz, hogy az OE-t ki tudjuk használni.Azok a Linux gépek amelyek a FreeS/WAN 2.00-át használják, titkosítani fogják az egymás között zajló IP csomagokat. Ennek egyetlen feltétele van: publikálnod kell a kulcsot, és az IPSEC átjáró (gateway) információit a DNS szerveren! keresztül.

[forrás] [FreeS/WAN projekt] freeswan-2.00 CHANGES]

A The Security Technologies csoport - amely a San Diego Supercomputer Center-nél (SDSC) tevékenykedik - bejelentette a "SDSC secure syslog" első teljes, nem beta kiadását, amely alternatívaja lehet a hagyományos Linux/UNIX syslog daemon-nak. Az SDSC syslog fejlesztésének céljai között szerepelt a nagy teljesítmény, és a nagyfokú biztonság.A készítők azoknak az siteoknak ajánlják a használatát amelyek nagymennyiségű syslog tranzakciót produkálnak, ez mellett fontos szempont számukra a kiemelt biztonság, és a kompatibilitás új auditálási szabványokkal. Az 1.0 bejelentése 2003. 05 01-én volt, a licenc típusa BSD licenc.

A SDSC syslog honlapja itt.

"A csapda, angol szakszóval honeypot (honeypot: szó szerint mézescsupor) egy olyan számítógépes rendszer, melynek feladata a “gyanútlan betörő” felderítése és kizárása a hálózatból. A csapda abból az alapvető feltételezésből indul ki, hogy bármely támadó, aki a mi rendszerünket szeretné megtámadni, megpróbálja teljes rendszerünket felderíteni és minden támadható pontot megvizsgálni. A csapda gyakorlatilag egy IDS eszköz, melynek rendeltetésszerűen feltörhetőnek kell lennie.""A csapda egy olyan számítógép, amely látszólag fontos adatokat tartalmaz, látszólag hibás, feltörhető. Amikor azonban a rosszindulatú támadó megpróbál egy ilyen csapdaszámítógépre betörni, vagy – az ő szemszögéből – végre is hajt egy betörést, akkor a berendezés illetve a hálózat további elemei ezt észlelik és riasztásokkal, ellenlépésekkel teszik ártalmatlanná a behatolót. A behatoló úgy hiszi, hogy sikeres betörést hajtott végre egy kiegészítő szolgáltatásokat nyújtó gépünk ellen, ám valójában pont ezzel a lépésével azonosítja magát: Tevékenységét dokumentálhatjuk, megnézhetjük honnan jött és mit akart, majd az általunk (vagy a megfelelő eszköz által automatikusan) kiválasztott időpontban a rendszerből kitiltjuk számítógépét, semmilyen más – akár legitim – kérést sem fogadunk el ezekután a betörést végző személy számítógépéről. Csapdákat jelenleg csak elszórva, néhány helyen használnak, azonban már megjelentek az első hivatalos termékek is. A csapda ugyanakkor bármikor elkészíthető, csak egy hozzáértő rendszergazdára, és némi leleményre van szükség. Egy csapdával a biztonság jelentősen növelhető, valamint a betörések felderíthetősége is növekszik. További előnye a csapdának, hogy az egyszerű tiltáson kívül engedi, hogy ismereteket szerezzünk a betörő tevékenységéről. “Ismerd meg ellenséged!” – tartja a mondás. Ebben a tekintetben egy csapda segítségével regiment olyan adat gyűjthető, amely nemcsak egy védett számítógép-hálózat rendszergazdájának nyújthat segítséget, de más rendszerek gazdáinak is nyújthat információkat arról, hogy egy betörő milyen (akár még nem ismert) módszerekkel kísérletezett egy adott rendszer feltörésekor."

Egy cikksorozatot találsz a témában a Securityfocus oldalon. A cikksorozatot Lance Spitzner vezeti, aki az "Ismerd meg az ellenséged" című könyv szerzője.

A cikkek:

Open Source Honeypots, Part One: Learning with Honeyd

Open Source Honeypots, Part Two: Deploying Honeyd in the Wild

Honeypots: Simple, Cost-Effective Detection

További források:

The HoneyNet Project

SecurityFocus Honeypot Mailing List

Know Your Enemy: Honeynets

Az aktív védekezés arzenálja

A te DNS szervered érzékeny a "Birthday Attack" típusú támadásra? Teszteld le!

A fenti címmel jelent meg egy érdekes, cikk a Securityfocus-on. A DNS gyorsítótár mérgezés (DNS cache poisoning) egy régi rákfenéje a DNS szervereknek.

"1993-ban Christoph Schuba kiadott egy dokumentumot a A Domain Name System Protocol címzési gyengeségei címmel, amelyben számos sebezhetőségre hívja fel a figyelmet, köztük a DNS cache poisoning-ra. A korai inkarnációkban lehetőség volt arra, hogy a DNS válaszcsomagot (reply packet) extra információkkal lássa el a támadó, amely extra információkat a DNS daemonok cache-eltek. Ezzel lehetővé vált a támadók számára, hogy fals információkat "nyomjanak" bele a DNS szerverek gyorsítótáraiba, amellyel lehetőségük nyílt a 'man-in-the-middle' és más típusú támadások kivitelezésére."A cikk ismerteti a DNS poisoning történelmét, a DNS szerverek ellen inditott támadások leggyakoribb példáit (The Birthday Attack, Phase Space Analysis Spoofing, stb.), egy scriptet ad, amellyel letesztelhetjük, hogy a DNS szerverünk érzékeny-e a "Birthday Attack" típusú támadásra. Érdemes elolvasni!

A cikket megtalálod itt.