In questo articolo, riguarderemo le imprese fatte funzionare dai cracker. Inoltre guarderemo il SANS della lista critica di 10 la maggior parte del Internet minacce di sicurezza.
Il reconnaissance è vitale nella calcolare verso l'esterno che cosa è aperto e che cosa è chiuso. Il punto seguente per un cracker è realmente rodaggio ad una rete di calcolatore. I cracker fanno questo sfruttando le debolezze nei servizi dei sistemi operativi.
Ci sono molte imprese fuori là; l'individuazione dell'impresa giusta può essere un'emicrania. Non tutte le imprese sono uguale generato. Da questo, significo che la maggior parte delle imprese sono dipendente del sistema operativo. Solo perchè ci è impresa dello stampante di linea per Linux non significa che lavorerebbe a Solaris e viceversa.
Per contribuire a spiegare che cosa un'impresa è ed osserva come quando sta eseguenda, ho incluso in questo articolo l'uscita da un'impresa ed alcuni pacchetti hanno coinvolto nell'impresa. In primo luogo, una poca priorità bassa sull'impresa che ho deciso funzionare. Verso la fine del 2000, attività di sondaggio aumentata su orificio 515 (orificio dello stampante di linea). Ciò è stata collegata con un'impresa in rosso daemon del cappello 7.0 dello stampante di linea. Ai tempi di questa scrittura, ancora sto vedendo molte sonde per questo servizio della mia parete refrattaria.
|
|
Se desiderate vedere l'impresa che ho usato, può essere trovato a http://www.netcat.it.
Qui sono gli elenchi promessi con un certo gioco da gioco per ciascuno:
impresa a distanza di +++ www.netcat.it per LPRng/lpd
le informazioni di impresa di +++
vittima di +++: 192.168.1.25
tipo di +++: 0 - RedHat 7.0 - Guinesss
indirizzo di +++ Eip: 0xbffff3ec
indirizzo di +++ Shellcode: 0xbffff7f2
posizione di +++: 300
allineamento di +++: 2
immagine riportata 0 di +++
+++ che attaca 192.168.1.25 con la nostra stringa di disposizione
l'uomo di forza bruta di +++, si distende e gode il giro; >
Da questa uscita, sappiamo che l'impresa sta attacando lo stampante di linea rosso (tipo 0-RedHat7.0 - Guinesess) del cappello 7.0. Desideri vedere come il tcpdump osserva questo attacco?
18:34:19.991789 > 192.168.1.5.2894 > 192.168.1.25.printer: Vittoria di S 4221747912:4221747912(0)
32120 < mss 1460, sackOK, timestamp 4058996 0, nop, wscale 0 > (DF) (TTL 64, identificazione 11263)
4500 003c 2bff 4000 4006 8b4e c0a8 0105
c0a8 0119 0b4e 0203 fba2 c2c8 0000 0000
a002 7d78 8bb1 0000 0204 05b4 0402 080a
003d ef74 0000 0000 0103 0300
18:34:19.993434 < 192.168.1.25.printer > 192.168.1.5.2894: S 397480959:397480959(0) ack
4221747913 vittoria 32120 < mss 1460, sackOK, timestamp 393475 4058996, nop, wscale 0 > (DF) (TTL 64,
identificazione 3278)
4500 003c 0cce 4000 4006 aa7f c0a8 0119
c0a8 0105 0203 0b4e 17b1 13ff fba2 c2c9
a012 7d78 5ee7 0000 0204 05b4 0402 080a
0006 0103 003d ef74 0103 0300
18:34:19.993514 > 192.168.1.5.2894 > 192.168.1.25.printer: . 1:1(0) vittoria 32120 del ack 1 < nop,
nop, timestamp 4058996 393475> (DF) (TTL 64, identificazione 11264)
4500 0034 2c00 4000 4006 8b55 c0a8 0105
c0a8 0119 0b4e 0203 fba2 c2c9 17b1 1400
8010 7d78 8dac 0000 0101 080a 003d ef74
0006 0103
18:34:19.999662 < 192.168.1.25.printer > 192.168.1.5.2894: Vittoria 32120 di P 1:31(30) ack 1
< nop, nop, timestamp 393476 4058996 > (DF) (TTL 64, identificazione 3279)
4500 0052 0ccf 4000 4006 aa68 c0a8 0119
c0a8 0105 0203 0b4e 17b1 1400 fba2 c2c9
8018 7d78 3e5b 0000 0101 080a 0006 0104
003d ef74 6c70 643a 203a 204d 616c 666f
726d 6564 2066 726f 6d20 6164 6472 6573
730a
18:34:19.999686 > 192.168.1.5.2894 > 192.168.1.25.printer: . 1:1(0) vittoria 32120 del ack 31 < nop,
nop, timestamp 4058997 393476> (DF) (TTL 64, identificazione 11265)
4500 0034 2c01 4000 4006 8b54 c0a8 0105
c0a8 0119 0b4e 0203 fba2 c2c9 17b1 141e
8010 7d78 8d8c 0000 0101 080a 003d ef75
0006 0104
18:34:20.000863 < 192.168.1.25.printer > 192.168.1.5.2894: Vittoria 32120 di F 31:31(0) ack 1
< nop, nop, timestamp 393476 4058997 > (DF) (TTL 64, identificazione 3280)
4500 0034 0cd0 4000 4006 aa85 c0a8 0119
c0a8 0105 0203 0b4e 17b1 141e fba2 c2c9
8011 7d78 8d8b 0000 0101 080a 0006 0104
003d ef75
18:34:20.000878 > 192.168.1.5.2894 > 192.168.1.25.printer: . 1:1(0) vittoria 32120 del ack 32 < nop,
nop, timestamp 4058997 393476> (DF) (TTL 64, identificazione 11266)
4500 0034 2c02 4000 4006 8b53 c0a8 0105
c0a8 0119 0b4e 0203 fba2 c2c9 17b1 141f
8010 7d78 8d8b 0000 0101 080a 003d ef75
0006 0104
18:34:20.049095 > 192.168.1.5.2894 > 192.168.1.25.printer: Vittoria 32120 di P 1:424(423) ack 32
< nop, nop, timestamp 4059002 393476 > (DF) (TTL 64, identificazione 11267)
4500 01db 2c03 4000 4006 89ab c0a8 0105
c0a8 0119 0b4e 0203 fba2 c2c9 17b1 141f
8018 7d78 54c5 0000 0101 080a 003d ef7a
0006 0104 4242 ffbf f2ff del ffbf f1ff di f0ff
ffbf 5858 del ffbf f3ff 5858 5858 5858 5858
5858 5858 5858 5858 252e 3137 3675 2533
3030 246e 252e 3133 7525 3330 3124 6e25
2e32 3533 7525 3330 3224 6e25 2e31 3932
Guardiamo che cosa sta accadendo qui. In primo luogo, vediamo 192.168.1.5 e 192.168.1.25 che tentano di fare un collegamento usando il TCP stretta di mano a tre vie tipica. Nella serie di eventi seguente, vediamo 192.168.1.5 tentare di fare funzionare l'impresa contro 192.168.1.25. Per concludere, vediamo i 192.168.1.5 spingere 423 byte dei dati a 192.168.1.25. L'impresa continua questa per un istante fino a che non sia animale-forza in grado l'impresa.
Quando questa impresa funzionata, 192.168.1.25 forniti me delle coperture (non che le ho avute bisogno) ed io potrebbero fare che cosa ho desiderato mai.
Le imprese sono il senso che i cracker si rompono nei sistemi. Per proteggersi contro di loro, dovrete aggiornare il vostro sistema operativo con le zone. (questo va per tutti i sistemi.)
Le minacce di sicurezza del Internet più critiche del principale 10 di SANS è una lista delle imprese più comuni trovate sulle reti di calcolatore. Che cosa fa questa lista in modo da il valuable è il fatto che la sicurezza della rete della gestione del sistema del gruppo fornisce una lista delle entrate relative di CVE (vulnerabilità ed esposizioni comuni), di modo che una persona può fare più ricerca se necessario. Questa lista è stata compilata da SANS con l'aiuto di molti esperti di sicurezza e della Comunità di sicurezza.
La base di dati di CVE può essere trovata a http://www.cve.mitre.org/.
Per leggere più sul principale 10 di SANS, visiti http://www.sans.org/topten.htm.
La prima impresa ha elencato sui 10 principali è LEGATURA. La LEGATURA è un programma usato per gli assistenti di DNS (per contribuire a risolvere i nomi agli indirizzi) ed è usata durante il Internet. Durante gli anni scorsi delle coppie, i fori importanti sono stati trovati in molte versioni di LEGATURA. È vitale per chiunque che faccia funzionare la LEGATURA per continuare sempre sulle ultime vulnerabilità. Il 29 gennaio 2001, soci della rete incorporati ha annunciato che ha scoperto le più vulnerabilità concernente la versione 4 di LEGATURA e la versione 8 di LEGATURA. Le zone sono state liberate e possono essere trasferite dal Web site del vostro fornitore del sistema operativo.
Se voleste leggere la carta liberata da NAI, potete ottenerli qui: http://www.pgp.com/aboutus/press/pr_template.asp?PR=/PressMedia/01282001-A.asp&Sel=900 o voi può leggere il CERT consultivo a http://www.cert.org/advisories/CA-2001-02.html.
La seconda impresa nel principale 10 di SANS è programmi vulnerabili del cgi. Questi sono stati intorno per gli anni e sono il motivo principale per la maggior parte dei luoghi di fotoricettore dell'incisione che ricevono l'attenzione tradizionale.
Molti di questi programmi di CGI-BIN lasciano i programmi di campione dopo installazione che sono vulnerabili e che permettono che un utente cattivo ottenga l'accesso "della radice". Quando un attacker ottiene quel livello di accesso, può fare mentre soddisfa (includa cambiare il Web site). Ho fornito alcuni collegamenti per ottenere le più informazioni sugli attacchi di CGI-BIN. Questa lista non è completa; scavi prego un piccolo più ulteriormente se pensate che siate vulnerabili.
Le più informazioni possono essere trovate sugli attacchi di CGI-BIN da http://www.cert.org/advisories/CA-1997-24.html, da http://www.cert.org/advisories/CA-1996-11.html, o da http://www.cert.org/advisories/CA-1997-07.html.
La terza impresa è chiamate a distanza vulnerabili di procedura (RPCs). RPCs permette che i programmi in C Facciano la procedura invita altre macchine attraverso la rete. La maggior parte dei fornitori forniscono le zone ad aiuto stringono giù i servizi del RPC. Tuttavia, la politica migliore per quanto riguarda questo servizio è, se non lo avete bisogno, quindi lo uccide. Potete fare funzionare lo ps-ef-ef|il RPC del grep, trova l'identificazione di processo (PID) ed allora fa funzionare il 9 PID di uccisione. Potete anche inabilitare i servizi del RPC all'inizio sulla maggior parte dei sistemi operativi di UNIX cambiando la lima startup (situata a /etc/rc.d/) da una S (avvii in su) a K (uccisione). Potete scoprire che cosa i programmi del RPC stanno facendo funzionare usando il p di rpcinfo.
Le più informazioni possono essere trovate sugli attacchi del RPC da http://www.cert.org/incident_notes/IN-99-04.html.
L'impresa di quarto sulla lista del principale 10 di SANS è fori a distanza vulnerabili di sicurezza di servizio di dati in IIS. (per essere onesto, sono sorprendo che Microsoft non ha più vulnerabilità nei 10 principali.) Posso riassumere occuparsi di questa impresa realmente rapida. Rattoppi il vostro IIS.
Le più informazioni possono essere trovate sui fori di sicurezza di RDS da http://www.wiretrip.net/rfp/p/doc.asp?id=29&iface=2.
La quinta impresa è sendmail vulnerabile ed attacchi del MIME. Queste vulnerabilità sono collegate con i trabocchi dell'amplificatore come pure gli attacchi del tubo che permettono il compromesso immediato della radice. Ci sono lle coppie dei sensi assicurare questi settori problematici. Il primo deve effettuare le zone corrette per i vostri assistenti di sendmail/mail. Se non dovete funzionare neanche di questi servizi, potete inabilitarli (segua le stesse procedure dello spiegate di per il RPC).
Le più informazioni possono essere trovate sui fori di sicurezza del sendmail da http://www.cert.org/advisories/CA-97.05.sendmail.html.
La sesta impresa è sadmind e mountd vulnerabili. Questa vulnerabilità si applica alle macchine di Linux così come le macchine di Solaris.
Per le più informazioni sui fori di sicurezza del mountd e del sadmind, sulla chiamata http://www.cert.org/advisories/CA-99-16-sadmind.html o su http://www.cert.org/advisories/CA-1998.12.mountd.html.
La settima impresa nei 10 principali è lima globale che si ripartisce, usando gli orificii di NetBIOS 135.139). Ciò è probabilmente gli utenti di problema di sicurezza più grandi ha se sono collegati ad un modem di cavo o ad un DSL. La maggior parte non capiscono il concetto della lima che si ripartisce e non lasciano la compartecipazione della lima permessa. Un altro problema è Napster. Anche se Napster non è elencato qui, richiede alla gente di ripartire gli indici e quello può condurre a ripartire più allora necessario. Come lo correggiamo? Questi suggerimenti provengono dal luogo http://www.sans.org/topten.htm di SANS:
A. Nel ripartire gli azionamenti montati, accerti soltanto gli indici richiesti sono ripartiti.
B. Per la sicurezza aggiunta, concedi ripartirsi soltanto agli indirizzi specifici del IP perché i nomi di DNS possono essere spoofed.
C. Per i sistemi di Windows, accerti tutte le parti sono protetti con le parole d'accesso forti.
D. Per i sistemi di Windows NT, impedisca l'enumerazione anonima degli utenti, dei gruppi, della configurazione di sistema e delle chiavi di registrazione via "il collegamento di sessione nulla".
Ostruisca i collegamenti inbound al servizio di sessione di NetBIOS (tcp 139) al router o all'ospite del NT. Studii la possibilità di effettuare la chiave di registrazione di RestrictAnonymous per gli ospiti Internet-collegati negli ambienti autonomi o non-fidati di di dominio.
L'ottava impresa è parole d'accesso deboli. Opinione di bisogno I più? In tutta la forma della valutazione di rischio, una delle vulnerabilità che più comuni vedo è parole d'accesso deboli. Nel fornire una parola d'accesso, ricordisi di seguire questa guida di riferimento semplice:
- assicurisi che la parola d'accesso è otto caratteri di lunghezza.
- assicurisi che la parola d'accesso è una combinazione dei numeri, dei caratteri speciali e dei caratteri alfanumerici.
- selezioni una parola d'accesso che non è nel dizionario.
Per le più informazioni sulle resistenze di parola d'accesso, visiti http://www.cert.org/tech_tips/passwd_file_protection.html.
La nona impresa è le vulnerabilità di trabocco dell'amplificatore di SCHIOCCO e di IMAP o configurazione errata. Di nuovo, il senso migliore fissarsi da questi attacchi deve inabilitare il servizio se non lo avete bisogno. Inoltre, applichi le ultime zone (se dovete fare funzionare il servizio).
Per le più informazioni su sicurezza di SCHIOCCO e di IMAP visiti prego http://www.cert.org/advisories/CA-1998.09.imapd.html, http://www.cert.org/advisories/CA-1998.08.qpopper_vul.html, o http://www.cert.org/advisories/CA-1997.09.imap_pop.html.
L'impresa finale nel principale 10 di SANS è stringhe della Comunità dello SNMP di difetto regolate "a pubblico" e "riservate". Con le parole d'accesso deboli, questa vulnerabilità può essere controllata tramite la gestione di base.
Per le più informazioni sulle stringhe della Comunità e dello SNMP, veda http://www.cisco.com/univercd/cc/td/doc/cisintwk/ito_doc/snmp.htm#xtocid210315.
Tenga presente che queste non sono le uniche vulnerabilità sul fotoricettore. Un cracker può usare tutta l'impresa che ha nel suo sacchetto dei trucchi contro voi e la vostra rete.
Online: 770 users browsing the articles directory
|
|