Historicky prvý trojan, ktorý kradne heslá z Linuxu aj Mac OS X
Antivírusový program Doctor Web zachytil historicky prvý multiplatformný trojan, ktorý kradne heslá z Linuxu a Mac OS X. Posiela čo píšeme na klávesnici "keylogger" a kradne heslá z prehliadačov Opera, Firefox, Chrome, a Chromium. Taktiež kradne heslá uložené v aplikáciach ako Thunderbird, SeaMonkey, a Pidgin. Antivírus Doctor Web ho spoľahlivo detekuje a odstráni.
Pre pridávanie komentárov sa musíte prihlásiť.
Netwire.
Takže, neznámy antivírus zachytil program schopný spravovať počítač na diaľku. Niečo ako sú VNC, NoMachine NX, join.me a podobné produkty. Tento spôsob bulvárnej reklamy je dosť účinný, a používal ho MyEGO aj s jeho agentúrou F-ART.
Preto je tato informacia dobra aspon na to, ze upovedomi ludi o existencii takych programov a pre neschopnych aj info o tom, ze ani Linux neodola, ak je uzivatel debil. Ciastocne to bude na zamyslenie aj pre tvorcov antivirov - ci blokovat takyto SW alebo nie.
Takže, as far as You don't know.
Je pravda, že osveta sa má vykonávať. Ale, už nie je vhodné, keď si niekto robí reklamu vyhlásením že legitímny software je záškodnícky.
PS: Čo si myslíš, že sa stane keď napíšeš tento príkaz?
xhost +
VNC pomenovane vnc4server loguje (u mna do $HOME/.vnc/`hostname`:1.log), takze asi pouzivas len nieco VNC-compatible alebo mas menej schopneho packagera, co ma mozno staru verziu alebo odtial odstranuje logovanie.
Nemyslim si, ze porovnavanie spravy sedenia so vzdialenou spravou je mimo, kedze si myslim, ze aj SSHd by mohlo byt niekym vnimane ako backdoor (staci pridanie jedneho riadku do /etc/passwd, ale zase to vyzaduje roota).
Ad PS:
xhost + akurat povoli pristup kazdeho k mojim X-kam. Tym umozni logovat napisane pismena, ale stale to bude o nieco lepsie ako Netwire.
Netwire nielenze zobrazi prave pisany text, ale ho uklada aj ked nie je pripojeny ziadny "spion" pre neskorsiu analyzu.
Vzhladom k tomuto sa mi tento software nezda byt legitimny pri kazdom pouziti, tj. bol by som minimalne rad, keby mi antivirus oznamil existenciu niecoho takeho na mojom PC, lebo podla mna moze byt zaskodnicky (a nemusi sa sam ani skryvat medzi procesmi - take maskovanie pred vacsinou programov zvladne pomocou vlastnej LD_PRELOAD binarky aj script kiddie po 1 mesiaci C-cka).
A k tej domácej úlohe. Áno, ten príkaz naozaj povolí prístup každého k Tvojmu X Windows. Tým si ale zabezpečíš, že záškodníci nebudú potrebovať špeciálne programové vybavenie aby Ti mohli kompletne spravovať Tvoju grafickú stanicu. Postačia im nástroje ktoré sú bežnou súčasťou distribúcie.
Takže, suma sumárum. Tvoje ponímanie škodlivého a užitočného je v tomto prípade mimo misu.
Take it easy.
A podľa Tvojich slov som zas na vine ja.
Niekedy mám ten dojem, že sa v stĺpci správičiek úmyselne klame a hádže špina, len aby sa tu vykázala nejaká činnosť.
Nie, mne tu nikto neublížil a niesom plný nenávisti. Teda, možno len nemám rád klamstvo, provokácie a ohováranie pri plnom vedomí.
Nech tomu rozumiem lepsie, tak mi pls vysvetli, ako sa daju cez vzdialenu spravu session (VNC) odchytavat stlacene klavesy a ako sa da prijimat stlacene klavesy z X-iek cez program, ktory to nepodporuje, ale zhodou okolnosti posiela na Xka stlacenia klaves (keby som ja navrhoval VNC, tak by som to urcite nepodporoval a snazil by som sa branit odchytavaniu klaves).
Chcel by som vediet aj aktualnu verziu programu kde to funguje; idealne by mala byt v repo BFU distribucie ako je napr. Ubuntu, lebo ani s logovanim si napriklad ty nepocital a u mna to nejak funguje.
A to logovanie VNC, tak VNC loguje na stdout. Presmerovanie na disk má na starosti iný program ktorý je však nepovinný.
Inak, ohľadne odchytávania kláves, obrazovky a inej záškodníckej činnosti, tak nástroj a program sú dve rozdielne veci.
VNC u mna ako BFU usera loguje do suboru, bez nejakeho nastavovania. Mozno je to nepovinne, ale po nainstalovani vnc4server a zavolani pomocou vncserver mi to loguje a o viac sa nestaram. Ci to maju interne vyriesene inak, to je skor vec tvorcov VNC.
Kazdopadne je log v tvare $HOME/.vnc/host:display#.log spominany aj v manualovej stranke vncserver, takze sa pravdepodobne nepocita s tym, ze by niekto logovanie obchadzal.
Okrem toho sme sa bavili o tom, ci VNC loguje vystup alebo nie - a aj logovanie na stdout u nejakej exotickej implementacie by stacilo na to, aby neplatila veta o nelogovani.
nastroj - vec, ktora pomaha vykonaniu nejakej cinnosti
program - zapis algoritmu zrozumitelny pre pocitac, teda binarka (native alebo instrukcie pre VM) alebo skript; napriklad prakticky vsetko v /bin a /usr/bin okrem symlinkov (kedze mas radsej taxativne vymenovania, tak pripominam, ze programy sa mozu nachadzat aj inde ako v /bin a /usr/bin)
V PC svete si myslim, ze tieto 2 terminy splyvaju (aj ked na nieco sa viac pouziva 1 termin ako druhy):
nastroje su podmnozina programov, lebo vsetko co pocitac realizuje (aj ked to len niecomu pomaha) musi byt zapisane jemu zrozumitelnou recou (ci uz priamo alebo cez interpreter) a algoritmus je len postupnost krokov k vyrieseniu nejakej ulohy, co riesi kazdy nastroj
programy su podmnozina nastrojov, lebo kazdy program pomaha vykonaniu nejakej cinnosti (ostatne, prave na to tu mame pocitace)
Ak su 2 mnoziny sebe navzajom podmnozinami, tak musia byt ekvivalentne.
Ak to tak nie je a niekde som spravil chybu, tak napis kde.
Zdroj, na ktorý sa odkazuje táto správička hovorí že sa vyskytol trójsky kôň v multiplatformnom programe. Bolo to podchytené vyznačením kódu z dissasamblera aj s opravou ako to zablokovať.
Prvý problém je v tom, že zdroj vzorky na ktorej sa ten trojan vyskytol nebol uvedený. Takže ak zoberieme opis vlastností toho trojana, tak sa nápadne podobá na komerčný program netwire torý to má v produktovej špecifikácii. Podobné programy sa bežne používajú vo firmách na kontrolu zamestnancov, riešenie problémov s ich pracovnými stanicami a aj predchádzanie úniku údajov. Jedná sa o podobné programy ako som spomínal, i keď Ty z nich poznáš iba jeden. Ja som sa takými programami začal zaoberať pred cca 15 rokmi. Čiže, buď je to falošná správa ktorá má za úlohu urobiť reklamu neznámemu antivirusu ktorý sa chce presadiť aspoň na spomenutých OS Linux a MAC OS X keď už vo svete Windows mallware nemá šancu a robí to pomocou búrky v pohári vody, alebo sa jedná o informáciu o pozmenenom komerčnom programe ktorý nejaký cracker dal do sekcie warez download ako sa to bežne deje s kradnutým software. Nakoľko však tlačová správa nehovorí o pôvode, tak je málo pravdepodobné že by sa jednalo o warez s pribaleným prekvápkom. Takže z môjho pohľadu len antivírus Dr.Web ohovára komerčný produkt Netwire ktorý má všetky spomenuté vlastnosti v legálnom popise páce. Podobne, ako majú podobné vlastnosti mnou spomenutých programov podobného zaradenia.
Druhý problém je v tom, že Linux a MAC OS X majú odlišný formát spustiteľných súborov. Linux neumožňuje spustiť programy pre Apple MAC OS X. I keď na druhú stranu MAC OS X je založený na BSD systéme ktorý má možnosť spustiť Linuxové programy podobne ako sa v Linuxe dajú spustiť programy pre Windows cez Wine. Spojný bod (skript, java, alebo niečo multiplatformné, čo by stiahlo hlavný kód) nebol zverejnený. Takže keby sme zobrali do úvahy kľúčové slovo multiplatformný, tak by sme museli okamžite prehlásiť že na Linuxe je o 5 kusov zášodných programov viac ako na Windows. Predsa len, windows mallware sa dá spúšťať cez wine a 5 vírusov pre Linux už bolo preukázaných.
Ešte stále si myslíš, že je tá správa o bezpečnostnej diere a nie o snahe zviditeľniť produkt neschopnej antivírusovej firmy pomocou neúplných a zavádzajúcich informácií?
Myslim si, ze o pocet zaskodnickych programov to ani nejde. Ked niekto chce, tak si taky vytvori sam a statistiky takuto individualnu tvorbu aj tak nepocitaju, lebo sa to ani nedostane k analytikom.
Nikdy som si nemyslel a ani som nepisal, ze ide o spravu k bezpecnostnej diere a ani o tom, ze by dalsie informacie neboli zavadzajuce. Jednoducho je to featura programu, ale pisal som o tom, ze ak by som mal nejaky antivirus, tak by som chcel, aby ma (BFU) o tomto informoval, lebo to nemusi mat len legitimne pouzitie. Ostatne, tiez by som chcel aj informovat o niecom ako
while :; nc -l -p 12345 | sh; done
, lebo je to podla mna zaskodnicke. K takymto veciam, o ktorych by som chcel vediet, sa pocita aj vypnuta ochrana Xiek pomocouxhost +
, novo vytvoreny user s uid 0 alebo uzivatelia s jednoduchym heslom, suid bit na binarkach mimo whitelistu a vysnivany antimalware by mal vediet najst aj vsetky zranitelnosti jednotlivych aplikacii (tj. vsetky exploitovatelne diery), aj ked to je stale este len sen. Este by bolo napriklad dobre, keby ma informoval napriklad o prihlaseniach z krajiny mimo CZ/SK atd atd.To, ze by som to ja a urcite aj mnozstvo dalsich BFU ocenilo nehovori nic o tom, ci to moze byt niekedy legitimne. Pri tomto nazore mi je aj v podstate jedno, ze by ma urcite obvinili Ludia proti rasizmu z rasizmu, lebo by sa to chovalo inak pre CZ/SK a inak pre zbytok sveta. Jednoducho je informacia podla mna prinosna, aj ked za nejakych okolnosti moze byt uplne legitimne, ze sa ku mne cez SSH prihlasuje Cinan alebo Rus. Ja by som chcel byt o vsetkom informovany a urcite by som vedla info o Cinanoch a Rusoch neodmietol ani info o moznom keyloggeri.
Nie, nemyslim si ani som si nemyslel, ze ide o bezpecnostnu dieru v zmysle diery systemu - ked si blby uzivatel nieco nainstaluje sam, tak proti tomu nepomoze ziadny system (to som pisal niekde vedla).
Nemyslim si ani, ze to je regulerna nezavadzajuca reklama, vsak to som tiez nikde nepisal - ale myslim si, ze aj napriek forme reklamy a tomu, co to vlastne robi, moze tuto "featuru" niekto ocenit.
Reagoval som na Teba, len preto že si ignoroval jasné veci a odsudzoval komerčný produkt ktorý nepoznáš. To si už rovno mohol schváliť chovanie PR tej antivírusovej firmy ktorá širi FUD.
A to je dôvod, prečo si odporuješ. A tým pádom aj logicky klameš.
Neboj sa, pochopil som Ťa správne.
"Program Netwire / a.out je podla signatury program, ktory zaznamenava stlacene klavesy. [Povolit / Ignorovat] [Zabit program] [Zabit a zmazat program]"
alebo
"Program Netwire / sshd / X akceptuje pripojenia vzdialenych uzivatelov. [Povolit] [Zabit / kill] [Zabit nasilne / kill -9] [Zakazat spojenia]"
alebo
"Program Netwire / PasswordRecoveryXY sa snazi citat ulozene hesla weboveho prehliadaca. [Povolit] [Zakazat]"
alebo
"Program Netwire / CertifiedBackdoorXY / UnknownDriver sa snazi zmenit system-wide preload, co moze mat za nasledok nekorektne fungovanie systemu alebo jeho sucasti. [Povolit] [Zakazat] [Zmazat program]"
alebo na pri explicitnom zvoleni podla blacklistu mozno aj nieco ako
"Program killall / crack_and_netwire tu nemusi fungovat ako by sa mohlo cakat. [Pokracovat] [Zrusit]"
Vysvetli mi, comu by toto branilo a ako by to podporovalo FUD. Ja by som to ocenil.
Keď nemáš pocit že ti niekto ublížil, sršíš oheň a síru len tak, potom to bude stihoman, že po tebe niekto ide. Ja viem keď ti napíšem že nejde, tak som s nimi *)
Lepšie je tu rozkrikovať sa ako klamem a sám nespraviť nič, si buď tak blbý, alebo len nejaký zakomplexovaný provokatér? Nevieš sa zaregistrovať? Nedokáže to nikto z tvojho okolia. Alebo sa bojíš že aj ty by sa náhodou uklepol a už by si nebol ten neohrozený čo má stále pravdu?
Zamysli sa nad sebou a svojim správaním.
Ja som len pridal správičku, keď som narazil na niečo čo mi prišlo zaujímavé.
Namiesto zbytočného obviňovania zo záškodnickej činnosti, stačí objektívne vysvetliť, že to nieje pravda a aká je skutočnosť.
A osvetliť mu to nebolo treba. On jednoducho nebral do úvahy fakty na ktoré som sa odkazoval len preto, že mu bolo jednoduchšie prijať cudzí názor ktorý odsudzuje komerčný produkt. Kde som ja len také chovanie zaznamenal? Odborne sa tomu hovorí argumentum ad hominem.
Ono, preberanie informácií od agentúry JPP sa dá len v určitých typoch komunít. A aj to len pokiaľ od toho nezávisí hmotný majetok. Keď sa dostaeš do obchodu kde Ti budú kolegovci podhadzovať nesprávne informácie aby si sa sekol pri rozhodovaní, tak zbadáš prečo je dobré si niečo overiť. Zlé rozhodnutie má obvykle za následok finančnú újmu a to je čierny bod na hodnotení. Aj keby bola tá újma len nakladoch na človeka pri zrolovaní svojho rozhodnutia. Predsa len, počas toho zrolovania Ti stojí iná práca a meškajú termíny.
Áno čiastočne sa cítim ukrivdený, dal so ti za pravdu a mám pocit, že stále máš ešte potrebu ma doraziť. Keď som ti aj niekedy niečo ostrejšie napísal, to som ti len nastavil zrkadlo a čakal že to pochopíš.
Čiastočné podozrenie mi vnuklo aj to čo si ty spomínal, vôbec nieje uvedený konkrétny spôsob šírenia a ani ako to vlastne multiplatformne funguje. Tak pravda ale bola nakoniec niekde úplne inde ako som si myslel.
Zas na druhej strane, keď sa o tom nebude písať, tak ľudia na Linuxe budú žiť v nejak mylnej predstave že na Linuxe sa mi nemôže nič stať.
Ono, mylná predstava že je Linux nezraniteľný padne s prvou radou ako zrušiť autorizáciu. Krátko na to sa začnú diať zvláštne veci. A takých rád TU bolo habafúra. Potom tu boli otázky, prečo mi nejde google ktoré už odmietalo obsluhovať súčasť botnetu.
Vždy tu bude hranica medzi bezpečnosťou a user frendly.
Ja pokladam spravicku + komentare za lepsie riesenie (napriklad mi mozes vysvetlit, ako by si cez vzdialenu spravu sedenia (VNC) na zaklade architektury X servera logoval keystroky) ako ziadnu spravicku - preto ocenujem, ze sem nieco pise nielen bedna, ale aj dodoedo (a nevadi mi ani, ked sem pise Stano Hoferek, ak v zaujme objektivity nepise o Greenie).
Môžeš mi prosím Ťa povedať kde alebo kedy som písal, že VNC loguje stláčanie kláves?
Pokiaľ si spomínam, tak som tvrdil že Linux štandardne obsahuje nástroje umožňujúce vzdialenú správu grafickej stanice.
Ešte furt máš ten pocit že neklameš? Pretože si ho pred chvíľou znova vyvrátil.
Takze tam mi nejak unikla suvislost a preto som chcel vysvetlenie, ako to odpocuvanie chces realizovat, ked uz tak reagujes.
Stale mam pocit, ze "klamanie" je akurat snaha odviest pozornost od toho, aby si reagoval na mna. Ty si pisal Tu sa ukazalo, ze aspon v 1 pripade v defaulte loguje, tak si zacal zase kopu kecov o tom, koho odsudzujem (a neskor, ako klamem).
Preto by bolo mozno dobre citat aj moje komentare a nehovorit o klamani, ked ide o moj nazor na spravnu reakciu antiviru v pripade, ze by fungoval u mna.
Mimochodom, VNC je v dnešnej dobe protokol. Programy ktoré ho využívajú majú dlhší názov.
Ano, VNC je v dnesnej dobe hlavne protokol (asi ako ICQ), ale nie len. Existuje aj VNC® bez nejakeho privlastku - vydavatel tohoto programu je RealVNC. Taky nazov v repo beznych distribucii asi nenajdes, ale napr. spominane Ubuntu/Debian maju balicek vnc4server, inde je to napr. vnc-server
Prave z dovodu ® a uz existencie VNC serveru sa konkurencia casto oznacuje len ako VNC-compatible server, nie priamo ako VNC server a pod.
Takže sa už dostávame k jadru veci. Ty si písal o jednej z implementácii VNC ako o jedinej možnej. Asi si ešte inú nevidel. Takže sa môžeš zamyslieť aj nad ostatnými programami o ktorých som písal už v mojom prvom príspevku.
Možnosť existencie zneužitia ešte neznamená že sa tak stane. S Tvojím argumentum ad hominem už môžeš rovno tvrdiť že so znásilnil Kráľovnú Alžberu a Mikimauza. Vyrástol mi ten orgán. (prirovnanie z filmu Bony a klid).
Ta pomylenost mozno plynie z toho, ze si neviem predstavit, ako by sa nasledne veci mohli tykat protokolu, takze som reagoval primerane k tomu, ze ide o konkretny program:
Preposielanie znakov u VNC sa u mna vztahovalo k celemu povodnemu protokolu VNC (lebo prave to je volne dostupne) a prave tam som cakal nejake vysvetlenie (na strane custom implementacie mimo "protokolu VNC" ide urcite spravit aj toto).
To nikto nehovori, no ja a aj ostatni pouzivatelia antivirov by o moznosti asi radi vedeli. Ludia, co poznaju kernel a libc a ich fungovanie do takej urovne, ze by odhalili backdoor aj rucne, pricom nemaju radi BFU tooly nebudu pouzivat antivirus.
Nie nechcel, a nevkladaj mi Tvoje slová do úst.
>Preposielanie znakov u VNC sa u mna vztahovalo k celemu povodnemu protokolu VNC...
Zas sme pri tom, že berieš do úvahy iba jednu časť zo spomenutých produktov a úmyslene prehliadaš rozoverané veci.
>>Možnosť existencie zneužitia ešte neznamená že sa tak stane.
>To nikto nehovori
To hovorí pôvodná správa ktorú Ty schvaľuješ.
Takže jediný čo tu vkladá druhým cudzie slová do úst si Ty. A zrovna z toho obviňuješ druhých. Je mi jedno, či sa bojíš, Že Ti na to niekto príjde.
Aku 1 cast? Ked som pisal, ze VNC nepodporuje preposielanie stlacenych znakov, tak som tym myslel VNC (vtedy ako protokol), nie ine produkty a nie ine preberane veci. Preto aj spominam VNC a nie "vsetky programy na vzdialeny pristup". Alebo je to nakoniec s preposielanim inak?
Toto som uz vysvetloval a potom znovu.
Všimol som si. Ja som písal o niekoľkých podobných programoch, Ty o jednom. Od začiatku. A prisudzuješ mi Tvoje chovanie.
>Aku 1 cast?
Jednu časť zo spomenutých produktov z ktorých vidíš len jeden. Ostatné sú pre Teba neviditeľné. Asi máš nejakú poruchu vnímania.
>Alebo je to nakoniec s preposielanim inak?
Nie, nie je. Ako som už spomínal, tak keyboard sniffing sa dá urobiť v X Windows s bežne dostupnými nástrojmi ktoré sú v takmer každej distribúcii. Ale, to je fakt ktorý úmyselne prehliadaš.
>Toto som uz vysvetloval a potom znovu.
Na jednej strane vravíš, že je dobré upozorňovať na chovanie programov tak ako na to upozorňuje zdrojová správa a tým pádou s ňou súhlasíš, a na druhej strane tvrdíš že s ňou nesúhlasíš. Takže si odporuješ. Vceľku pochopiteľné chovanie.
Sniffovanie v X nepopieram a ako som pisal inde, bol by som rad informovany o tom, keby take nieco u mna bezalo - to aj keby islo o nastroje obsiahnute v distribucii. O samotnom behu X nepotrebujem byt informovany, lebo som o nom informovany dost tym, ze sa nieco graficke kresli u mna na obrazovke.
Ak umyselne prehliadam ine programy, tak je to teda u tebou menovanych VNC, Nomachine NX a join.me ine a umoznuju odposluchavat klavesnicu? Ak ano, tak by som o tom rad vedel - ked uz mi to neoznami antivirus, tak mi to mozes oznamit aspon ty.
Nesuhlasim s tym, ako je ta sprava napisana a s tym, ze ide vzdy o malware "dizajnovany na to, aby kradol hesla". Suhlasim s tym, aby antivirus informoval o takomto SW pomocou hlasky opisanej skor.
Ak Ťa veľmi zaujíma informácia že nejaký program robí podozrivé operácie, tak si zapni selinux. Tvoja paranoja bude milo prekvapená keďže ju začneš kŕmiť novými údajmi.
Jeden Ti prihodím:
Program ls lezie do súboru /etc/passwd. Už tam síce nie sú heslá (tie sa odsťahovali do /etc/shadow), ale sú tam iné zneužiteľné informácie ako telefónne číslo alebo dokonca reálne meno užívateľa.
Mna velmi zaujima, co robi aky program za operacie, preto mi bezi kernel s grsec patchom a trufam si povedat, ze jeho RBAC "nejaky" SElinux a ani AppArmor nesiaha ani po kotniky. A grsec patch poskytuje aj ovela viac veci mimo RBAC - napriklad upravy kernelu tak, aby bol chroot naozaj ochrana a nie len hracka pre falosny pocit bezpecnosti.
SElinux mi skor pripada ako "hybatko od mimozemstanov", u ktorych sa "ludia" vyjadruju uplne inak ako na Zemi. Napriek zlozitosti nastavenia nevidim realne prinosy pri porovnani s grsec patchom, ktory ma pomerne jednoduchu konfiguraciu - preto neviem, naco odporucas nieco taketo. Apparmor ma zase len minimum nastaveni a opisane nastavenia na ich wiki su vacsinou len navrh - aj tak si myslim, ze pre zaciatocnikov je to lepsia moznost ako SElinux. Vyhodu oproti grsec ma tu, ze je v distribucnych kerneloch.
Kto si dava do passwd zneuzitelne informacie, ten by mal pre ich ochranu radsej skusit pod rootom
rm -rf /*
. Ak mas napad, ako spravit uid->username lookup bez niecoho akogetpwuid()
, tak ho navrhni a budem to pouzivat vo svojich aplikaciach.A jeden ti prihodim ja (presmeroval som vystup do /dev/null, nech to neotravuje):
$ strace /bin/ls -l 2>&1 >/dev/null |grep pas
send(4, "\2\0\0\0\v\0\0\0\7\0\0\0passwd\0", 19, MSG_NOSIGNAL) = 19
DU: preco to asi nefunguje? (viem, ze toto nie je ochrana veci v passwd)
Tak to máš blbé. Ale, to má asi každý z nás.
>Mna velmi zaujima, co robi aky program za operacie
Tak sa pozri do logov z nejakého bezpečnostného systému.
>SElinux mi skor pripada ako "hybatko od mimozemstanov"
Nikto Ti ten pocit neberie.
>Kto si dava do passwd zneuzitelne informacie
Každá informácia sa dá využiť na dobré a aj na zlé účely. V tom druhom prípade sa jedná pochopiteľne o zneužitie.
>A jeden ti prihodim ja
Jednalo sa o príklad falošného poplachu. Keby si chcel byť informovaný o každom potencionálnom útoku, tak to na verejnom servri ani nestíhaš čítať. Ale, smelo do toho!
Mimochodom, keby si sledoval tento typ informácií, tak si spomenieš že podobne obvinili
skype
z kradnutia údajov. Jednoducho si pri inštalácii pozrelo reálne meno a nejaké doplnkové info o užívateľovi a predvyplnilo s tým formulár. A niekto to chovanie porovnal zrovna s chovanímls
.K tým falošným poplachom. Ku mňe sa snažia liezť kadejaký script kiddies a boti. Ázia, Amerika, a vôbec sa kôli tomu neznepokojujem. Rozmýšľam či sa mi oplatí nahodiť honeypot a kuknúť či aspoň vedia o čo sa snažia.
Prakticky v passwd nemusia byt ziadne citlive informacie (ak za take nepovazujes uid to username mapping). Ak je pre niekoho citlive jeho meno (napriklad adminuje server a majitelia o tom nevedia), potom si ho tam nemusi davat a nic sa nestane - akurat niektore programy nemusia meno spravne uhadnut, co je vlastne ziaduce.
Tak som asi zle polozil otazku - mne skor islo o to, ze si pisal nieco o citani z /etc/passwd, ale mam PC, kde pri ls -la necita /etc/passwd. Tym som chcel povedat akurat to, ze passwd nemusi byt v /etc/passwd.
Ide o mieru, nakolko je utok "potencialny". Ak je to aj nacitanie stranky z webserveru, tak potom by som asi naozaj nestihal cital.
Ked zoberiem len tie nacitania, kde boli nejake "divne" hlavicky alebo tam boli poziadavky pokusajuce sa zneuzit bezne webove zranitelnosti, tak pocet "utokov" po odfiltrovani hned blokovanych botov za den spocitam na jednej ruke - samozrejme po zoskupeni podla IP. To sa da dalej filtrovat tak, ze ide o jednotky utokov na web za rok, ktore je treba preverit. Toto by ani nebolo treba skumat, ale obycajne sa to hodi + ako dalsia vrstva to podla mna zvysuje bezpecnost serveru, aj ked su weby inak uplne izolovane od ostatneho.
Potom su este utoky na aplikacie - napriklad pokusy o slowloris, ktore u mna nefunguju a pod. To si len zvlast logujem, ale citanie tychto logov podla mna nema vyznam. Logujem aj dalsie veci, ktore nefunguju; naviac emailom oznamujem (a blokujem) aj mozne veci, ktore by mohli fungovat, ale ide len o heurestiku. Slowloris bol napriklad nedavno popularny a islo o jednotky utokov za den, teraz uz to neskusa skoro nikto.
Potom su tu este DDoS a utoky na system, kde si velmi nevyberiem. O tom sa informujem, ale tych nastastie vela nie je a zatial mam stastie, ze ma postihli len mensie DDoS, ktore si boli dost podobne (myslim si, ze islo skor o omyl alebo test). To islo len cca o 200-400Mbps UDP trafficu (nie DNS) pocas ~5 hodin, preto nastastie nikto okrem mna nic nepostrehol.
V praxi som sa teda nestretol s nicim, na co by sa zisiel honeypot (web je honeypot vlastne sam osebe). Je ale pravda, ze SSH mam povolene len pre moje IP a pochopitelne v logoch nemam ziadne utoky, vela ineho mi nebezi.
Výborne, dúfam že ho užiješ v zdraví.
> Tym som chcel povedat akurat to, ze passwd nemusi byt v /etc/passwd
Je úplne jedno, kde sú tie informácie. Ak ich máš v LDAP alebo hoci aj v MySQL DB, je to en na Tebe. Ale, bežné typy notebookov to majú lokálne aj po starom, pochopiteľne..
> To sa da dalej filtrovat tak, ze ide o jednotky utokov na web za rok, ktore je treba preverit.
V prípade že chceš byť informovaný, ako si hovoril, o všetkom, tak nepripadá do úvahy automatická filttrácia.
>V praxi som sa teda nestretol s nicim, na co by sa zisiel honeypot
Na jednu stranu máš nutkavú obsesiu pedantne konrolovať bezpečnosť systému, a na druhú stranu Ťa nezaujíma úroveň znalostí ľudí čo riešia útoky. To z môjho pohľadu nepripadá moc optimálny prístup, ale je to Tvoj voľný čas a Tvoja paranoja. A mimochodom, honeypot má aj iné využitie ako otestovanie úrovni znalodtí útočníka.
Je rozdiel "o vsetkom" (kazdy pristup) a "o vsetkom dolezitom". Automaticka filtracia a rozdelovanie ma vyznam napriklad pri SMS notifikaciach, aby SMS nechodili stale, ale aby som bol zaroven hned informovany o probleme. Ak requesty nemaju ziadny znak utoku a v podstate vsetky vyzeraju velmi podobne (az na par hlaviciek), tak podla mna nema zmysel ich podrobne logovat okrem klasickeho access logu.
Za znaky utoku povazujem napriklad velmi dlhe hlavicky (moznost buffer overflow), binarny "balast" a pod. Raz za cas rucne overujem aj stranky, ktore vratia status iny ako 200 - tam sa da tiez najst nieco ako utok, ale skor tak najdem chybny odkaz v niektorej z poskytovanych stranok. Zaujimave, ze ty ako zdroj utokov spominas hlavne miesta mimo Europu, ale na mna sa z takych miest utoci len "hlupo" na styl DDoS alebo mechanickeho vkladania ich URL do URL stranok na test neosetreneho php include(). Okrem toho este ide o masivne testovanie verejnych exploitov, coho sa az tak nebojim.
Naproti tomu boli u mna prakticky vsetky aspon trochu viac sofistikovane utoky vedene z CZ/SK alebo cez verejne proxy servery. Nemam sice velku vzorku, ale myslim si, ze o to ide hlavne pre lokalny vyznam prevadzkovanych webov, ktore su prakticky len v cestine a slovencine.
Dalsie info poskytuje system, co uz hovori o uspesnom utoku na web a prekonani jednej ochrany, co je dobre v pripade prekonania 1 vrstvy ochrany.
Mam sice snahu vsetko kontrolovat, ale nieco ine je "online" notifikacia - SMS, email - kam posielam prakticky len vazne podozrive veci okamzite, ked sa deju, nieco ine je log prakticky len ukladany a nieco ine je nejaky log po offline kontrole, ktoru sam pustim a dal by mi tam upozornenie na to, ze sa u mna nachadza keylogger / packet sniffer / existuje nejaky globalny preload / nieco ine. Ak som packet sniffer alebo keylogger pustil sam, tak to budem urcite ignorovat; ak nie, tak to bude pre mna signal, nech zistim zneuzitu dieru, docasne ju zaplatam a preinstalujem cim skor system.
Myslim si, ze nie ze ma nezaujima, ale to vidim z logovanych informacii aj bez honeypotu.
Ak niekto utoci na web beznymi technikami, tak sa vsetko najde v logu. Okrem toho vyhodnoteny utok blokujem (docasne aj vratane dalsich pristupov), logujem vsetky hlavicky a ukladam si cely uploadnuty subor. Viem, ze pri "klasickych zakaznikoch" by si toto nikto nemohol dovolit, ale u mna je to nieco ine. Moj filter sa nepodarilo zatial nikomu nijak obist (podla ostatnych logov, nemozem ale vylucit "featury" napadanej stranky) a false positive bolo par, pricom vsetky boli chyba autora webu v podstate priamo umoznujuce XSS tak, ze sa parameter pridaval priamo do stranky a autor si sam chcel vlozit zvyrazneny text pomocou tagu <b> (bohuzial to nemozem ukazat, lebo mi to sem nedovoli vlozit ani pri escapovani < pomocou <).
Ake napriklad okrem mozneho ziskania funkcnych exploitov, ktore ziskam aj tak vdaka sirsim logom?
Ja honeypot nechcem hlavne preto, lebo je to vela prace s otaznym ziskom. Logy mam aj tak a znalosti utocnika nebudu dobre otestovane, ked honeypot nebude doveryhodny. A doveryhodny honeypot by mal minimalne obsahovat Perl, mal by dovolit zakladny shell scripting, napriklad aj stahovanie suborov a mozno aj posielanie mailov a moznost pocuvat na niektorom porte. O vsetko toto sa pokusali utocnici na moj server, aj ked sa az k tomu samotnemu vlastne ani nedostali.
Ale rozmyslal som, ze ak by som niekomu poskytol vsetko toto, aj ked vnutri nejakeho sandboxu izolovane od dolezitych dat, tak by som stratil vlastne vela z toho, pred cim sa snazim server chranit. Dovolim utocnikovi mail - bude spamovat, dostanem sa na blacklisty. Dovolim mu pocuvanie na niektorom porte - spravi zo mna server botnetu alebo ma zapoji do botnetu. Dovolim mu shell scripting a jednoduchy wget - pusti niekolkokrat v cykle stahovanie nejakej stranky, cim DoS-ne nejaky server (staci mu takychto serverov par a ciel bude nedostupny, az pokedy si to admin cielu neuvedomi a nezozenie bloknutie tych par IP niekde po ceste). Perl je len kombinacia predchadzajucich moznosti s tym, ze este ma moze pouzivat pri bruteforci a vlastne pri lubovolnych dalsich utokoch.
A práve tu sa dostávame k môjmu prvému príspevku v tejto téme. Ja nepovažujem za dôležitú informáciu PR zápis antivírusovej firmy ktorej chýba zdroj pôvodu.
Ani by som sa nedivil, keby to PR vzniklo tak, že si biely kôň zakúpil licenciu na daný produkt a v tichosti anonymity to pribalil do torrentu. To by sa potom ozaj ľahko dokumentovali testy. Ale, ako to bolo mi je úplne jedno. Môj stroj čo mám pichnutý do von nemá x86/64 architektúru, takže by si mohli útočník aj s predajcom antivírusu trhnúť nohou aj keby sa náhodou jednalo o reálnu hrozbu. Ale, tomu neverím. PR bez detailov spadá vždy do kategórie "leštený prd".
Tvoj stroj s inou akou x86/64 architekturou ti IMHO nepomoze, len to oddiali teba o 1 krok (rovnako, ako keby ti tam bezala x86). Ak tam zvonku pocuva SSH s plnohodnotnym shellom, tak niekomu staci ziskat aj ucet obycajneho uzivatela a uz ma pristup aj dovnutra siete. Ak nie, tak tam moze bezat nieco ako Mikrotik RouterOS, na ktorom si moze ten utocnik po uspesnom utoku presmerovat porty a pristup ma v podstate tak isto. Uspesny utok sa statisticky podari skor ako na tvoj PC, lebo malokto aktualizuje svoj router, ale zato update pracovneho PC si robi pomerne vela ludi.
Ak tam zvonku nepocuva nic, tak to podla mna nie je vyrazne bezpecnejsie, ako keby tam sedel priamo tvoj PC a neposluchal by nikde.
A s tým ssh, tak to je dobrý vtip. Ako by asi tak ten prístup získal, hádaním hesla ktoré mám monitorované alebo tým že ma opije a poviem mu to? Zas nemusíš argumentovať blbosťami. Ten stroj mi beží v kuse skoro 10 rokov.
Akurat pisem, ze je o tom treba ludi upovedomit (mimochodom uplne rovnako ako o zruseni kontroly cez xhost, ale o tom tu teraz nie je rec) a to preto, lebo to umoznuje zaznamenavat klavesy, pricom to nie je vidiet. Xka su na tomto akurat relativne lepsie, lebo logovanie vyzaduje utocnika online. Bolo to porovnanie konkretnej cinnosti - offline keyloggingu, ktoru povazujem za nebezpecnejsiu ako online utok - preto je podla mna tato cinnost v niektorych pripadoch zaskodnicka; cim nehovorim nic o mojom nazore na online utoky..
Takze, suma sumarum. Tvoje porozumenie pisanemu textu je v tomto pripade dost slabe.
Hmmm, s takýmito programami som sa rekreačne zaoberal už pred cca 15 rokmi a stále sledujem ich vývoj. Na základe čoho mám podľa Teba problém porozumieť písanému textu, na základe toho že som používal viac programov ako Ty keďže máš skúsenosti len s jedným? To by potom vysvetlovalo kvalitu argumentácie.
Je jedno, kedy si sa nimi zaoberal - ja som sa pytal na konkretne odsudzovanie. To, ze existuju nelegitimne (zaskodnicke) pouzitia toho programu je podla mna konstatovanie, ktore je uplne regulerne a nic to neodsudzuje.
To, ze som sa o niecom inom tak nevyjadril neznamena, ze konkretne moznost nelegitimneho pouzitia neplati aj o nich. Povedane pravnickou recou, nejde o taxativne vymenovanie, lebo to by som musel poznat asi vsetky programy sveta a u kazdeho aj moznosti jeho pouzitia.
Je to podobné, ako keby si o vlastnej matke povedal že je vrahyňa keďže má v kuchyni nože ktorými dokáže zabiť človeka. A občas si to trénuje na kaprovi, sliepre, králikovi alebo aspoň na zelenine. Alebo keby si povedal o vyšetrovateľovi z protidrogového, že je dealer keďže cez jeho ruky tečú drogy. Alebo, ako keby si povedal o novinárovi, že je špión, keďže sa zaujíma o dianie v rôznych regiónoch a informácie zasiela na ústredie. Obvykle aj s fotodokumentáciou.
Jedna vec je náplň práce, a druhá vec sú skutky. Ty odsudzuješ zverejnenú náplň práce len preto, že je ľahšie prijať cudzí názor ako sa nad tým zamyslieť.
while :; nc -l -p 12345 | sh; done
a napriek tomu si nemyslim, ze je zaskodnicky moj shell alebo nc. Akurat sa mi nepaci konkretna featura pri konkretnom nastaveni, ak o tom uzivatel nevie a preto preferujem oznamenie tejto veci uzivatelovi, ktory je snad dost schopny na to, aby posudil ci ide o zamer a ci vobec ma ten program kupeny na to, aby ho sledoval.Nedavno, ked bola v sshd diera umoznujuca ziskat remote roota, by som jednoducho tiez viac ocenil, keby som sa dozvedel hned o vsetkych backdooroch, ktore do systemu mohol niekto stihnut nainstalovat. Jednoducho aj pri snahe o najlepsiu spravu niekedy moze byt admin zrovna na predlzenom vikende a tak mu to moze vsetko okolo nejak uniknut (ako v pripade tej diery v sshd, ktora sa objavila ako naschval prave v taky cas). Napriek tomu, ze sa neobjavi ziadny novy zapis v logu by som aj prave v takom pripade ocenil, keby mi antivirus oznamil aj podobne kupene programy pri vykonavani ich "regulernej" cinnosti.
Ja teda neodsudzujem samotnu napln prace, ale cisto egoisticky by som rad videl informaciu, ze nieco take u mna bezi a to radsej aj v pripade, ze to da niekedy falosny poplach (uzivatel to odignoruje) ako keby to nemalo informovat o moznom logovani klavesnice. Viac som opisal skor.
Takže k tomu upozorneniu nemá prečo dôjsť. Tvoje argumenty tým pádm padli.
Aj ked do toho niekto investuje peniaze, tak by som bol na to rad upozorneny. Pred vaznou dierou v sshd som sa vtedy ani ciastocne nechranil portknockingom a ani teraz sa vela ludi nechrani proti podobnemu utoku - napriklad fbi.gov aspon nedavno tiez nasluchal nejaky SSHd, takze to nie je len domena uplnych amaterov. Preto ma zmysel upozornovat aj na taketo programy - nie kazdy si ich tam musel nainstalovat sam.
... Russian anti-virus company Doctor Web is reporting ...
a dole v texte
... Doctor Web successfully detects and removes the backdoor ...
eMDi to môže kľudne napraviť, zato nemusíš používať slová ako fabulácia.
Mimochodom, z ktorého portálu si čerpal námet na tú správičku? Lebo dosť z nich použilo takmer identickú formuláciu ako Ty.
PS.: ai by bolo naozaj vhodné umožniť vypnúť zobrazovanie správičiek cez sušienky.
More Light Presbyterians - Seeking full participation of LGBT people?
Inak by som povedal, ze toto nie je "Mindless Link Propagation" - bez linku by sprava neopisovala skoro nic. Akurat nemusela obsahovat ten dodatok, co s tym spravi antivirus DrWeb.
Ten program sa chová ako vírus aj keď to v má v špecifikácií, takže pokiaľ mám v počítači Dr.WEB a zamestnáveteľ mi ho tam nainštaluje na sledovanie má smolu.