Biztonságról általában tudatlanul....

Flame

Hi all!
Szóval a témában eléggé tudatlan vagyok, és kellene egy kis felhomályosítás. Jelenlegi meglátásaim/kérdéseim lehet, hogy vitákat fognak okozni, ezért nyitottam ide. A kérdés lehet, hogy már érintve volt más topikokban, és ha konkrétan van ilyen, akkor elnézést - lehet törölni/ engem oda irányítani stb. A témában sem mélyedtem még el (google és társai). Meg régóta gondolkom már, hogy nyilvánosan hülyét csináljak-e magamból... de egyszer mindent el kell kezdeni :). Na sok a bevezető.
(Most hogy végigolvastam újra...hmm, kellett ez nekem ? :D )

Adott egy gép, oprendszertől (egyelőre) függetlenül. Van benne hálókártya, és "fent van a neten" (tud pingelni, ha indítunk böngészőt, akkor meg tudjuk nézni a kedvenc P0rnsite-unkat is :) stb.), de egyébként nem fut rajta semmi extra, a user pld. admirálisozik egész nap. (vagy hab a tortánként: TCP/IP-re felkonfigolt DOS -os gépen Duke Nukem-ezik :) ) Tűzfal nincs! Nincs semmi autofrissítés, igazából a gép nettel való kacsolata kimerül abban, hogy ha pingelik, akkor válaszol. Itt már persze jön a tudatlanságom: ezért vegyünk alap (default) telepítéseket. Xp itt megbukott, Linux - nincs még elegendő tudásom, 98 - hmm, fut esetleg olyan valami, amiről nem tudok? De tegyük fel, hogy nincs semmi más program, ami a net felé kacsingat a bamba user tudta nélkül.
Az "egyszerűség kedvéért" a user admin/root jogokkal kártyázik.

A kérdésem az, hogy ebben az esetben a gép csak úgy feltörhető? Minden oprendszer esetén feltörhető?

1.
Tehát teszem azt (és bocs, mert csak vagdalkozom), megvan az IP, és én arra az Ip-re valamelyik portra beküldök egy adatcsomagot, akkor az ott mindeféle beavatkozás nélkül lefut és pld. letöröl/elolvas egy állományt?
Ez így igaz lehet? Minden oprendszer esetén, vagy pld. az egyiknél nem, a másiknál lehet, stb?

2. Léptessük be a böngészést a képbe. Én alapvetően maradi vagyok, és néha úgy érzem, hogy az ujdonság nem feltétlenül hasznos is. Netprotkollok és társaik szintén homály számomra, így nem vagyok otthon benne, hogy egy "spéci" weblap milyen szinten garázdálkodhat a gépemen, de ha már szabad kezet ad a külső behatolónak, akkor az elsősorban a böngésző hibája nem? (és a szabványoké, amik mindenféle "földi jóval" el akarják halmozni az emberiséget, holott neki elég lenne maga az információ). Az, hogy a böngésző esetleg az oprendszer gyártójának a terméke, most mellékes (lenne :) )

3. Na ez meg aztán tuti béna kérdés lesz, mert a portok is távol állnak tőlem ilyen szinten. Tegyük fel, hogy a gépen csak a 80 port szabad, minden más blokkolva van. Ez jelent-e tuti biztonságot? Azaz a "spéci" weblapok nem a böngészőn (ezáltal a 80-s porton) keresztül küldik be nekem a szemetet? És tud-e két program ugyanazon a porton dolgozni, vagy az oprendszer ezt lekezeli (tehát ha a féreg pld. szintén a 80-s porton akar kommunikálni, akkor megteheti-e a böngészéssel egyidejűleg?) Ezt kérdem azért, hogy pld. egy portszűréssel lehet-e a gépen totál biztonságot csinálni, vagy kell egy komolyabb tűzfal is, ami nézi azt is, hogy mely alkalmazás akar az adott porton szórakozni?

Az egész téma azért merült fel bennem, mert sok helyen olvasható, hogy így legyen naprakész a rendszer, mindig frissítsünk, valamint ne admin jogokkal használjuk a gépet. Ebből nekem az jön le, hogy az 1. pont lehet igaz, tehát az oprendszer "csak arra vár" hogy valamelyik porton keresztül kapcsolatba léphessen a külvilággal, és a frissítések ezeket a portokat zárják le. Minek vannak egyáltalán nyitva? Vagy miért reagálnak. Majd én elindítom azt az alkalmazást, ami pld. 15487-s porton akar adatot fogadni vagy küldeni, nem? Szóval FIXME! Ilyen gáz a helyzet?

Vagy pedig az oprendszerekkel alapvetően nem lenne gond, csak a rajtuk futtatott programok "hibásak" ? (Tudom, itt az operációs rendszer fogalmával is gond van, mert mi tartozik bele és mi nem? Pld. XP alatt kimondottan rühellem, hogy az MSN messenger kiírthatalna pld. az Outlook Expressből - vagy el lehet valahogy intézni, hogy ne induljon el? Az outlook expresst is lehet szidni, de szerintem ha valaki kikapcsolja a betekintőt, és a gyanús leveleket szó nélkül törli, akkor teljesen mindegy, hogy egy őskori verziót használ, vagy a legújabbat. Vagy nem? Itt is lehet kiskapu, hogy már a levelező szerverről letöltve a levelet elindulhat valami ártalmas dolog egy speciális kódsorozat esetén? Ha igen, akkor nézem a telket birkatenyésztéshez... ez komoly, mert akkor a világ nagyon de nagyon rossz irányba halad. Most csak MS példákat hoztam, mert azokat jobban ismerem, de linux alatt is javasolják, hogy pld. a firefox legyen naprakész! Az ilyen bibi a firefox hibája vagy az oprendszeré? Egyáltalán a firefoxba is hogy kerül bele az a hiba? Vagy ez az egész a html(stb) szabvály hibálya, hogy túl sok mindent "akar megcsinálni" ezáltal egyre több "jogot követelhet" magának egy weblap a felhasználó gépén azért, hogy pld. korrekten megjelenjen?

Na hirtelen ennyi. Gondolom érezhető (és elnézést is kérek érte), hogy nagyon homályos az egész számomra, és ha valahol totális tévedésben élek, akkor légyszi korrigáljatok!
Köszi!

  • 2357 megtekintés

( Csigaa | 2008. 04. 26., szo – 12:18 )

1. NEM. Kifejezetten nem, neten kószáló adatcsomagokat nem "szipkáz be" így a rendszer, bármiféle adatátvitelhez kell egy adott porton figyelő alkalmazás, ami várja az adatot. Ha már felépült a kapcsolat, akkor is csak adott szoftver adott hibájának kihasználásával lehet ilyet elérni.
Más kérdés az ICMP-vel, ld még ping-of-death (meg OS hiba kihasználása)

2. ld előzőleg, adott szoftver adott hibájának kihasználására lehet kártékony kódot írni. Igen, a szoftver hibája (de ha ez a szoftver az OS elengedhetetlen része, nem csak valami felhasználói alkalmazás, akkor fújhatod :D) Itt jön be a képbe hogy az adott szoftvert admin jogú user futtatja-e, így mennyire van lehetősége kárt okozni/hozzáférni a rendszerhez. Többnyire ha letörli a dokumentum mappáját egy korlátozott usernek, az is komoly kár, de legalább (extrém példa) a kernelbe nem írja be magát.

3. a portok nem így működnek. Van kimeneti és bemeneti irány. Ha csak a távoli gépek 80-as TCP portjára irányuló kimenő kapcsolatokat engeded (webböngészés) és minden bejövő kapcsolatot ill. a többi kimenő kapcsolatot tiltod (valamint bonyolítsunk bele: a UDP, ICMP, IGMP protokollt is - overkill), akkor elvileg csak webböngésző által letöltött dolgok okozhatnak gondot. A múltkori "hogyan törjük fel az OS-eket" verseny flash sebezhetőségét viszont ez sem védi ki.

Egyéb:
Tudtommal a Win98 is keresgél a hálózaton gépeket broadcasttal, tehát elég rakoncátlan jószág alaphelyzetben

"Ebből nekem az jön le, hogy az 1. pont lehet igaz, tehát az oprendszer "csak arra vár" hogy valamelyik porton keresztül kapcsolatba léphessen a külvilággal, és a frissítések ezeket a portokat zárják le. Minek vannak egyáltalán nyitva? Vagy miért reagálnak." ez így teljesen zagyvaság :) Nem a portok a gonoszak, hanem azok a hibák, amikkel pl. egy letöltött, és xy media playerrel lejátszott (szándékosan ennek a kihasználására készült) AVI fileból akár merevlemezt formázó vírus is lehet (extrém példa), vagy e-mailben kapott scriptek, amik a levelezőprogramon keresztül jutnak "hatalomra" (persze itt is csak egy adott levelezőprogramra lehet egy scriptet írni) Ezen kívül a felhasználó is hibás lehet, ha pl. az MSN-ben ismeretlen embertől kapott *.jpg.exe linkre rákattint, ezzel gyk ÖNSZÁNTÁBÓL TELEPÍTI a vírust.

hatalmas FIXME.

UI: úgy látom az írásod alapján, magára az IP protokollra értelmezed a "biztonsági probléma" kérdéskörét, pedig ez alapvetően hibás: a távoli sebezhetőségek SZOFTVERHIBÁK, olyan szoftvereké, amelyek hálózati résszel is rendelkeznek (így rosszabb esetben rajtuk keresztül távolról átvehető a gép irányítása)

( kz86 | 2008. 04. 26., szo – 12:28 )

1. Igen igaz lehet, pl sp1 előtti xp-nél vagy win98-nál, tűzfal nélkül.
2. Egy weboldal nem turkálhat a kliens gépen. Csak active-x vezérlőkkel lehet megoldani, de azt neked kell telepíteni.
3. Ha csak a 80-as port szabad, akkor netezni se fogsz tudni. De elméletileg igen, biztonságban van a géped a távoli támadásoktól. Majdnem olyan mintha kihúznád a kábelt.

Igen, aztán tovább olvastam. A legjobban az tetszik, hogy mivel ez(ek) már nem supportált rendszerek, ezért vagy veszélyeztetve vannak vagy nem :) Illetve az jött le még, hogy tegyek fel egy Millenimot mert az meg védve van ez ellen :D (talán majd a halálos ágyamon, hogy elmondhassam odaát, hogy azt is használtam....)

OK. Komolyra fordítva: említetted a win98-t, és arra lettem volna kíváncsi, mivel jelenleg is azt használom és a dolgaimhoz elég (amihez meg nem (2 db játék), ott a mobilrack-ben egy XP Sp1, meg egy Debian partició). Ezért lehet megvetni/kinevetni/leköpni/stb. Ahhoz kicsi vagyok, hogy kiderítsem alapból elindítja-e a rendszer pld. az említett rpcss fícsőrt (gondolom a távoli segítségkérés/asztal stb. dolgok esetében van jeletősége ami - ha jól tudom - még nem szerves része a 98-nak (FIXME) ). (A Feladatkezelőben, Far Manager Task managerben nem látom nyomát) Persze a puding próbája az evés... majd átnevezem az rpcss.exe-t és megnézem, hogy elindul-e a rendszer :) )
Mivel semmi problémám nem volt még a win98-al, sosem kellett ujratelepítenem stb. azért érdekelt volna a dolog, hogy most csak szerencsém volt, vagy pld. emiatt nem kell aggódmom. (Egy visszatérő bibim van csak, a Counditon Zero:Deleted Scenes rendszeresen fagy kilépéskor, de ez szerintem a játék hibája, mert a normál CS:CZ csont nélkül fut.)
Na jó étvágyat! :D

( nyekhere | 2008. 11. 10., h – 12:06 )

Jelenleg egy hálózatra/gépre/stb-re belépéskor van a név és a jelszó (vagy titkosítva, vagy nem). Gondolt már rá valaki, hogy mi lenne, ha 2 jelszó kellene a belépéshez? Vagy vannak már ilyen rendszerek? Lehetne ezzel növelni a biztonságot vagy felesleges kavarás lenne ? (Vagy lőjem le magam? :) )

A júzerek nem szeretnek jelszót megjegyezni (lásd: böngészőkben bepipált jelszómegjegyzés esete). Szerintem sok júzer még a bankautomatán megnyomná a PIN kód megjegyzése gombot. ;-)
(Vagy ha mindenképp két jelszó kéne, akkor az ugyanaz lenne és/vagy kijelentené a júzer hogy az adott rendszer egy fos.)

Még anno egyetemista koromban nézegettem az algebra.com web-oldalt, és ott mindig voltak 1-2perc alatt megoldható feladatok. Persze gondolkodni, illetve logikusan gondolkodni is tudni kellett hozzá.

Na most mi lenne, ha a két jelszó közt egy algebrai kérdést feldobna a rendszer és egy szám a válasz, amit be kellene gépelni? (nem 4-5 lehetséges válasz közül válogatni!) Mondjuk a két jelszó közt? ;~))

Az algebra csak egy példa, meg a kedvencem volt anno, de tetszőleges témából kérdezhetne egy alapdolgot --> hogy ne csak agyunk 8%-át használjuk ;~))

/mazursky 

Love your job but never love your company!
Because you never know when your company stops loving you!

Hmm, a tetszőleges témát visszavontam, mert én se tudok belépni a fenti kérdésre... Szóval a felhasználó által beállítható legyen a témakör, és mint az érettségin, itt is lenne B kérdés.
Így jobb valamivel?

/mazursky 

Love your job but never love your company!
Because you never know when your company stops loving you!

Igazabol semmi ertelme, mert
- igy is lehet dupla olyan hosszu jelszot hasznalni
- ha egy jelszot le tudnak sniffelni/nezni/logolni, akkor valoszinuleg a 2. sem okoz nehezseget
- ahova a sima jelszo keves, oda lehet smartcardos-biometrikus authentikacios rendszert epiteni

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

( Dwokfur v | 2008. 11. 12., sze – 18:12 )

A távoli behatolás csak a l33t hax0r-ok privilégiuma! :)

Itt egy nagyon jó oldal, ahol bepillantást lehet nyerni a profik életébe:
Hacker weblap

Üdv,
Dw.

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."