[FreeBSD] binarisok olvashatosaga... miert?

[Adam Szilveszter]

Hali,

On Thu, May 03, 2001 at 11:03:15AM +0000, Gabor Zahemszky wrote:
> Hat ez nekem szol, en valaszolok ra. 

Nem, nem (csak) neked szolt. Elegge sokan exponaltak magukat ebben a
threadben. Ami nem is baj, csak nem ereztem sok ertelmet.

> Szoval nem cool, csak esetleg kellhet.
> Az eddigiek elmeletieskedesek voltak.  Nem kellett meg olyan shell-szervert
> csinalnom, amit ennyire kellene vedeni, nem veletlen, hogy azt irtam:
> _maganban_ szivesen tanulok.  Szerintem kicsit ez olyan, mint a keresztrejtveny.
> Van aki szeret rejtvenyt fejteni (en pl.), mast meg faraszt, vagy esetleg
> nem is fekszik neki, pedig _amugy_ okos, ertelmes, de nem all ra az agya.

:-) Udvariasan csomagolt kritika eszlelve. Na most itt szerintem kettonk
kozott csak hangsuly beli kulonbseg van. En azt mondom, hogy nem erdemes
sok idot forditani "alarcoskodasra", sokkal inkabb arra, hogy
vegiggondoljam, milyen veszelyek vannak es hogy vedekezzek ellene. Abbol
kiindulva, hogy elobb utobb minden kiderul. Semmi akadalya egy-egy jo
feladvanynak, tanulasnak meg plane nem.

> Vannak enberek, akik szerint mezesbodont (honey-pot) odaadni a kekeckedoknek
> jo dolog, azzal szivozzon, ne a valodi rendszerrel.  Van aki szerint folosleges
> belefeccolni a faradsagot.  En itt most egy ilyen mezesbodon felepitesehez
> kertem otleteket.

Aha. Ez szerintem elkerulte a figyelmemet. Na most en erre ugyanazt mondom,
amit a HoneyNet project (http://project.honeynet.org), hogy ti ha
hivatasszeruen foglalkozik valaki biztonsagtechnikaval, konzultan stb akkor
megerheti a dolog. Ha "csak" annyi a cel, hogy megvedjen rabizott
eroforrasokat, akkor nem biztso, mert egy mezesb. megepitese karbantartasa
es folyamatos figyelese elegge "egesz emberes" feladat, ami elegge sok
tapasztalatot es ismeretet igenyel. A Honeynet project tagjai igazi
security guruk, erdemes elolvasni a nevsort es hogy ki hol dolgozik, de meg
ok is azt mondjak, hogy allando megfigyeles mellett sem zarhato ki, hogy
egyszer csak valami varatlan tortenik, ami azonnali kozbeavatkozast
igenyel. Pedig ok tenyleg igyekeztek mindent kiepiteni a "jarokaban" hogy
csak a racsokon belul lehessen tombolni. Ha valaki nem eleg top ehhez vagy
csak egyszeruen nincs eleg ideje ra (pl mert valodi rendszeradminisztraciot
is kell vegeznie:-) akkor nem vart kovetkezmenyek allhatnak be, es nem csak
azert, mert esetleg "tovabbterjed" a dolog a vedendo eroforrasokra is,
hanem mert azert pl te vagy a felelos, ha valaki a te mezesb.-et hasznalja
mas gepek megtamadasara, vagy DDoS-ra. Erdemes elolvasni a white
paper-juket a mezesb. epitesrol (es nem csak maganban, nyilvanosan is
erdemes:-)

> Hm.  Nalam se fut sok szerver, de az ipfw/ipf peldaul nagyon jol jott, mikor
> kiderult, hogy a _neha_ a FBSD-re dugott WinCE-s palmtopon levo Java VM
> kedvesen szeretne kommunikalni a gyartoval, es jelezne a regisztracios vagy
> milyen igenyet.  Csodalkoztam am rendesen.

Vannak meglepetesek:-) Es ebben igazad van. Mas kerdes, hogy nalam
nincsenek nem engdelyezett halozati forgalmat produkalo progik... de
tenyleg erik az embert meglepetesek.

> Bocs, rossz az alapallas.  _Soha ne bizz senkiben_!  Ha kell shell
> hozzaferest adnod, akkor kell.  Es nem azon mulik, hogy valakit Te
> okostojasnak tartasz, vagy nem.  Az az alapertelmezes, hogy a felhasznalok
> _csinalnak_ olyasmit, amit nem kene.  Meg ha esetleg akaratlanul is.

Az akaratlan hibazas ellen lehet vedekezni eleg jol. Meg amit
kifelejtettem, hogy az oktatas is nagyon fontos(:-) hogy pl miert tre
otlet, ha kolcsonadjak a jelszavukat masnak, vagy hogy miert ne
hasznaljanak telnetet sehonnan se lehetoleg.

> (Kedvenc esetem: ket hetes okitas nagy szallitmanyozo ceg Jujnikszain,
> helyben.  Hulyen kialakitott belepesi mechanizmus.  Az egyik aranyos kislany
> kerdi, hogy lehet a Jujnikszos jelszavakat visszafejteni.  Kifejtem, hogy
> sehogy, legfeljebb torni.  Erre O: de arra jottunk be valamelyik nap, hogy a
> Jozsi terminaljan ott van mindenkie.  Erre kicsit jobban megneztem a
> rendszert, es kiderult, hogy Jozsi ugyesen kihasznalta az abnormalis
> bejelentkezesi procedurat, es egy elegans trojaival gyujtogette a
> jelszavakat.  Eloadom a dolgot, nagy csodalkozas.  Jozsi pedig a ket het
> soran vegig ott ult az orrom elott, es az nem derult ki rola, hogy kepes egy
> bonyolultabb ls parancsot kiadni.  Ennyi. (C) Sziami.)

Miert akkor meg egesz 3l33t volt a srac. Azt hittem egy sima nem shadow-olt
passwd file-t toltott le es azt crackelte meg. Vagy meg rosszabb, rajott,
hogy mindenkinek defaultbol a szuletesi datum a jelszava es az emberek nagy
resze eppen annyira kevesse valtoztatta meg, mint a mobil hangpostajanak a
kodjat... pedig miket lehetne ottan malackodni... pl:

"Lebuktunk! Uldoznek a zsaruk! El kell tunnom." mint bejelentkezo uzenet
sokat tehet valaki jo hire erdekeben.

> Ezzel teljesen egyetertek, de ez mit sem valtoztat azon a tenyen, hogy
> leteznek.  Es nem kell oket leszarni sem, de valamilyen modon _illik_
> (esetleg kotelezo) vedenem a rendszeremet toluk. 

Igy van. Csak en pl preferalom a homaly keltes helyett az atgondolt
biztonsagi intezkedeseket. Attol, hogy tudja, hogy ez egy FreeBSD, meg nem
fogja tudni, hogy van-e kola a hutoben vagy elfelejtettem betenni, magyaran
a helyszint meg mindig en ismerem a legjobban. Szerintem egy tamadot jobban
frusztral az, ha egy ismert platformot talal, amin azonban latszik, hogy
rendben tartjak, figyelnek ra, (esetleg folyamatosan figyelnek? lehet hogy
le kene lepni mert mar eszre is vettek?) es at van gondolva, hogy tobb
retegu biztonsagi intezkedesek vedik, amiket kovetkezetesen be is tartanak.
Ebbol a szempontbol egy 404 vagy egy Forbidden oldal pl sokat jelenthet egy
web szerveren: "Igen, tudjuk, hogy van ez a problema, de tettunk rola",
sokkal tobbet, mintha megprobalnad neki szimulalni, hogy mukodott a dolog.
A legtobbjuk erre keres valami erdekesebb es gyorsabb sikert.

Ha ellenben kodositesz, akkor azt kockaztatod, hogy benne is felkelted a
kivancsisagot, hogy jobban utananezzen a dolognak, es akkor kiderulhet,
hogy azt a bizonyos trukkot csak akartad megcsinalni, de mar nem jutott ra
idod.

> Lehet ugy, hogy altaluk 
> ismeretlen oprendszert hasznalok, 

Hat itt a sima BSDk barmelyike jo esellyel jatszik:-)

> lehet ugy, hogy ritkan hasznalt (esetleg
> enaltalam irt) webszervert futtatok, mindegy. 

Ha te irtad, az szuper. Akkor (elvileg) tudod, milyen problemakkal lehet
szamolni, o meg nem. De csak azert, mert valamit nem olyan sokan
hasznalnak, meg nem jelent valami nagy biztonsagot. Pl az ncftpd se biztos,
hogy olyan biztonsagos, csak eppen kevesen hasznaljak es ezert nincsenek
security advisoryk. 

> Es esetleg ugy is
> vedekezhetek, hogy olyan shell kornyezetet kap, amiben az oreganyjat se
> ismeri meg, nem hogy azt, mi van az orra elott.

Haaat. Egyreszt a shell userek egy reszenek kell tudnia, ezert van ott
(forditani kell rajta) masreszt nem biztos, hogy kell tudni ahhoz, hogy
erdekes dolgokat csinalj. Probalgatni meg kulonben is mindig lehet.
 
> OK, az egyetemi gepeden rendben van, de van itt nehany ember, aki nem maga
> adja az accot, hanem kapja fontrol, hogy ki kell adni, es a repules is
> kicsit lassabban megy, mint kene. 

Jo en is tudom, hogy a vilag nem mindig gombolyu, de azert en biztos, hogy
ragaszkodnek hozza, hogy ha en vagyok a felelos a biztonsagert, akkor en is
dontom el, hogy azt hogyan vedem meg. Kedvenc varazsigem: 

"Ebben a feladatkoreben nem utasithato"

vagyis munkavallalokent igen, de felelos szemelykent nem. 

Az mas kerdes, hogy  pl a fenti
peldaban emlitett ipsenek en azonnali hatallyal fel is mondtam volna, mert
a passwordok logolasa megserteset jelenti annak az egyuttmukodesi
kotelezettsegnek, amelyre munkatarsaival szemben koteles, masreszt pedig
olyan fajta durva kotelessegszeges "kenyerado gazdajaval" szemben is, amely
utan mar a munkaviszony fenntartasa nem varhato el. Senki se potolhatatlan.
Puszi. 

> (Arrol nem is beszelve, hogy mi modon is
> veszed eszre, hogy tilos dolgot csinal?) 

Folyamatos megfigyeles automatikus eszkozokkel is, amely bizonyos
hatarertekek elterese eseten pl kuld egy SMS-t a mobilomra. A
halokapcsolatoknal a fentebb mar emlegetett IDS nem csak kivulrol befele,
hanem forditva is hasznos. Identd, fakeident opcio nelkul. SNMP:-)

Nalunk pl a gep elerhetoseget monitorozzuk egy kulso geprol, es ha nem
stimm, megy az SMS. Es mellesleg logolunk elegge sok mindent. Segit pl egy
ot mp-enkent keszitett top snapshot abban, hogy lassuk, mi f****-tol
fagyott le a gep mar megint, igy ui kristalytisztan latszik, hogy az utolso
pillanatban az egyik programozo tojas programkezdemenye probalkozott futni
nagyjabol mindenki mas kiszoritasaval. Ezt most csak egy peldanak mondtam
(ami azonban nalunk mar mukodik) de lehetne meg finomitani.
 
> Ujabb pelda: egyik felsooktatasi
> intezmenyben hallottam: nalunk a szabalyzat szerint tilos a halot sniffelni,
> tehat ha valakit rajtakapunk, akkor nincs gond, a szabalyzat szerint repul.
> Es mi modon figyelitek?  Haaat ...

A mi szegmensunkon fut egy IDS, igy mar ugyis sniffelunk. Akkor mar nem
nagy mac. egy olyan progit is bevezetni, ami ellenorzi, hogy sniffel-e meg
valaki. Ha igen, az nem rendeltetesszeru.:-) Termeszetesen ez is
vollautomatisch. De ez nem segit a szamitokozponton, viszont az segithet,
ha a felelosok rendszere az intezmeny/ceg teruleten jol tisztazott,
megbizhatosaguk biztositott es igy jelentik ha valami gyanusba botlanak.

Udv:
Sz.
-- 
-------------------------------------------------------------------------------
* Adam Szilveszter * JATE Szeged * email: sziszi at petra.hos.u-szeged.hu *
* Honlap : nincs * alternativ email: sziszi at bsd.hu *
* PGP kulcs: Fingereld a sziszi at petra.hos.u-szeged.hu cimet! *
* FreeBSD: tisztabb, szarazabb, biztonsagosabb erzes...! *