Nedívá se někdo? (2)

Nejdříve tu mám odkaz na předchozí článek k tomuto tématu pro ty, kteří jej nečetli. A teď už k věci.

Řekněme, že jsem obyčejný „domácí uživatel“, který poměrně často brouzdá po Internetu a rád by věděl, co vše by ho při tom mohlo potkat. Konkrétně, nemůže mi někdo třeba „okouknout“ data z počítače, případně získat nějaké to moje heslíčko (název čehosi, apod.)

Odpověď zní: Může.

A první varování zní: Nebuďte ani zoufalí, ani zbrklí. Skutečně může, ale jen za určitých okolností. Pokud budete opatrní, nic moc nezíská. Pokud budete bdělí, vyvzteká se a vůbec se nedostane dovnitř.

Tak tedy, pokud nechcete, aby si někdo „brouzdal“ pro změnu u Vás doma, zkuste to třeba takto. Napřed si problém rozdělíme na dvě oblasti – tzv. Obecné věci (nezávislé na platformě) a tzv. Závislé věci (ty již jsou vymezeny pro konkrétní platformy a po většinou se jedná o rozpisy konkrétních konfigurací, popisy problémů, FAQ, popisy chyb a jejich odstranění apod.)

Napřed k obecným věcem

1. Používejte služby, které znáte
2. Měňte pravidelně hesla
3. Nepoužívejte totéž heslo do více systémů
4. Hesla typu „liza“, „mama“, „majka“ apod. nejsou nic moc. Zkuste třeba „cervenysatec­kukolemsetoc“ „babiccino udoli“ nebo tak nějak. Jsou dostatečně dlouhá a „slovníky“ si s nimi většinou neporadí. Hesla typu „Xzcvx213Cr23!“ (což je čísi oblíbený kocour, Petře promiň) mají opravdu „binární“ podobu, ale… Asi si je budete muset někam napsat. Osobně bych si je asi nebyl schopen zapamatovat, a heslo by mělo být zapamatovatelné. Je to dobrá zásada.
5. Skutečně cenná data nemají co pohledávat na disku, který používáte „na hraní“.
6. Účinné řešení je obvykle jednoduché (přesněji, přinejmenším jeho princip bude jednoduchý). Viz. případ maminky, která svá data umístila na vyjímatelný disk (v rámečku) a pokud si děti chtěly hrát, šuplík vždy vyjmula a uzamkla do skříně. Dětičky se k datům na disku zkrátka nedostaly :-)))) (Dostaly, to když maminka zapomněla zamknout tu skříň). Vždy je to v lidech.
7. Smiřte se s faktem, že učit se budete denně :-)))))
8. Dobrá informace je taková, která připouští právě jeden výklad.
9. Sledujte pravidelně „Svět okolo Vás“. Mám na mysli konference, noviny, nástěnky apod.
10. Lepší je mít data třikrát, než ani jednou.
11. A málem bych zapomněl na pravidelné zálohování. Každá záloha je na samostatném médiu (třeba CDROM, když chcete) a čitelně a jednoznačně popsaná.
12. Zásadně nepřijímejte výzvy typu „Tak mi to dokažte a vloupejte se sem!“ Za prvé, ať to bude míněno jakkoliv, bude to nejspíš trestný čin (ponechávám do případné diskuse). Za druhé, obránce vás bude očekávat a moment překvapení bude v čudu :-))) Za třetí, jednoduše je to nemorální.

A teď k závislým věcem

1. Tady je dobré připomenout, že bývá dobrým zvykem vždy uvést čísla verzí např. kernelů, démonů, aplikací, operačních systémů apod. Ptáte se proč? Aby všichni hovořili o tom samém problému! Návrháři říkají, že dobrá informace je taková, která připouští právě jeden výklad.
2. Takže, abych vyhověl bodu 1: Momentálně tu mám Linux RedHat 6.2 CZ, kernel 2.2.14–6.0.1 Ano, vím – problém se setuid, máte pravdu. Takže se připravuji na kernel 2.2.16–30 – už jej tu mám v .rpm balíčku na disku. Ovšem, napřed si raději přečtu dokumentaci. Nerad bych zase byl bez zvukové karty:-))))
3. Po dlouhé diskusi (viz. První díl článku) jsem podlehl:-) a raději vyřadil celého démona inetd. Křížky v /etc/services u portů 23 (telnet) a 79 (finger) jsem ponechal rovněž. Pro jistotu, nemělo by to ničemu ublížit.
4. Tak a teď, jakpak se podíváme na naše nebohé PC poněkud blíže? Budu se držet těch portů, když dovolíte. Dobrým vodítkem je utilita nmap, velmi hezky je to popsáno zde: http://undergrou­nd.cz/clanek.html?id=392. K utilitě si samozřejmě můžete stáhnout i odpovídající grafické prostředí, ale stejně si raději vytiskněte celý manuál a přečtěte si jej. To rozhodně neuškodí. No ne, když jsem vyřadil démona inetd, tak nmap „nepoznal“ verzi mého jádra. Ale, ale! Ovšem, tohle byla verze 2.53. Jsou v zásadě dvě možnosti: buď to současnou technologií nejde a nmap se „nemá kde zeptat“, nebo to jedna z dalších verzí již umět bude:-))
5. Pokud jste fandové a máte doma jeden zbytečný počítač navíc (miláčku, víš na pračku už nezbylo :-))), pak zkuste Nessus. Popis najdete v recenzi zde na Rootovi a nebo na Undergroundu
   Jenom taková poznámka na okraj. Nessus umí „podrobit“ cíl velké škále možných útoků. Mimo jiné vás „seřve“ pokud se budou spuštění démoni hlásit svými pravými jmény a čísly verzí. (To je pro začátek dobrá trefa, nepodceňujte to). Ovšem sám Nessus bude jen tak účinný a aktuální, jak aktuální bude jeho databáze. Pokud chcete Nessus používat, nezapomínejte pravidelně sledovat jeho vývoj (hele, Obecná zásada číslo 9).
6. Do „okolního světa“ se můžete podívat třeba zde: http://kuda.un­derground.cz/in­dex.html Zase underground? No to mě teda podržte.
7. Hezký server je zde www.openwall.com. Doporučuji jeho návštěvu.
8. Nepodceňujte tu dokumentaci! Třeba k démonovi inetd jsme v minulém díle vedli dosti obsáhlou a horlivou diskusi. Dokumentace ale uvádí toto: Následující servery může startovat server inetd: bootpd, bootpgw, fingerd, ftpd, imapd, popd, rexecd, rlogind, rshd, talkd, telnetd a tftpd. Dále se tu píše: nesnažte se pomocí inetd startovat služby named, routed, rwhod, sendmail a listen ani žádné servery NFS. Konkrétně se jedná o knihu ‚Linux v kostce – Computer Press 1999‘ strana 465.
9. Řešení, popsané v prvním článku se jmenuje „na dva křížky“ a skutečně jej používají stavitelé firewallů. Nikoliv jako konečné řešení, ale pro ladění. Vše totiž zakážete v jednom místě (připomínám, že se bavíme o /etc/services) a nemusíte zdlouhavě přepisovat skripty ostatních služeb, či démonů (třeba přepisovat inetd.conf). Pak si jednoduše vezmete třeba nmap a podíváte se, zda jste na něco nezapomněli. Pokud jste ozaj nedůvěřiví (a to je dobře), můžete se „zeptat na druhé straně“ a zkuste třeba onen zmiňovaný www.grc.com. Jen připomínám, že to není scanner. Má pevně dané porty, které testuje a neumí (no, možná nechce) poznat, z jakého OS se hlásíte.
10. Mimochodem – jedna perlička. Pokud se inetd pokusí spustit službu, která vzápětí skončí chybou (protože nemá port – smůla či co :-))), pak tuto chybovou hlášku poslušně zapíše. Útočník to neví, ale vy ano. Jste ve výhodě protože víte, že to někdo zkusil. Na ‚dva křížky‘ v etc/services to docela ujde, co říkáte?
11. Pokud skutečně není zbytí, choďte na Internet jedině přes firewall. A tady doporučuji jediné – firewall se staví jako samostatné zařízení. Ne aby vás napadlo si nainstalovat na jeden počítač firewall, pak si tam dát StarOffice a v pohodě pracovat. Jednoho dne uděláte nějakou změnu, neuvědomíte si všechny důsledky a „vypeče“ vás třeba šestiletý špuntík. Prvotní chyba byla vaše.
12. Pokud děláte změny oproti standardní instalaci, pečlivě si je poznamenejte. Nejlépe si „vyjeďte“ všechny upravované soubory před úpravami a po úpravách. Připojte k nim své vlastní komentáře. Pomocí úprav v konfiguraci skutečně můžete docílit toho, že „křížky“ v /etc/services budou neúčinné. Jistěže, ale tohle by mělo zajímat spíše útočníka, co říkáte?
13. Neinstalujte nové věci, aniž si přečtete napřed dokumentaci. U přechodu na kernel 2.2.16–30 by to mohlo znamenat překvapení (zatr. Kde je ta dokumentace?. Proč to nehraje – halóóó). Jo, bylo to rukama, ufff:-))
14. Nebuďte zbrklí a nečiňte zbytečně rychlé úvahy. Několikrát jsem odpovídal na dotazy typu „proč restartujete inetd pomocí init 6“? Vtip byl v tom, že jsme se bavili o restartu celého Linuxu a ne jen o restartu démona inetd.

Jedna obecná moudrost závěrem. Pamatujte, že vše co člověk uzamkl, dokáže člověk zase odemknout. Je celkem obtížné tu říci, co k tomu „odemykání“ bude kdo potřebovat. Čas však budou potřebovat všichni. Nedejte útočníkovi dostatek času a odejde s nepořízenou.

Tak a to je pro dnešek vše. Mějte se.