Hlavní navigace

Vlákno názorů k článku Největší hrozby internetu? Trojské koně, phishing a sociální sítě od D.A.Tiger - Zdravím, nejprve díky za pěkný a zajímavý článek. Zhruba...

  • Článek je starý, nové názory již nelze přidávat.
  • 17. 2. 2010 18:09

    D.A.Tiger

    Zdravím, nejprve díky za pěkný a zajímavý článek.

    Zhruba před rokem jsem si koupil knihu Bezpečnost v Linuxu, kde v kapitole o špionážních programech (mám na mysly např. spyware) byl popsán triviální prográmek v jazyce C na několik řádků. Byl schopný získat informace jako např. jméno a IP počítače, seznam aktivních uživatelů, včetně jejich UID, GID a domovské složky, o systému a pod., vše zabalil do úhledného mailu a odeslal na určenou adresu…

    Ze zvědavosti jsem si program přeložil, vyzkoušel a nechal jej prověřit baterii antivirů (nejprve Avast, potom AVG a nakonec Clam AntiVirus) a byl jsem nemile překvapen tím, že žádný na něj ani neupozornil…

    Zajímavé na tomto prográmku je že, – o proti běžně vžité představě – téměř nic nedělal přímo on sám. Opravdu, žádné složité vlámání do systému. Buď využíval běžně dostupných (= nepotřebuje k jejich volání práva roota) funkcí ze systémových knihoven, nebo programů, které jsou dostupné na drtivé většině distribucí, popř. se automaticky instalují základem systému. pravděpodobně proto se antivirům asi nezdál nijak podezřelý…

    Nejsem žádný odborník takže mě osobně z této zkušenosti vyplynuly alespoň tři (jednoduše pouze vypadající) pravidla, která by mohla alespoň snížit pravděpodobnost úspěchu takového útoku :
    1) Snažit se zabránit tomu, aby se takový program dostal do počítače
    2) Pokud možno, co nejvíce minimalizovat mrtvý kód a programy které nejsou nijak využívány.
    3) Sledovat co a od koho odchází z počítače ven.

    Na tenhle pokus jsem si vzpomněl, když jsem četl výrok pana Pikáleka „Jakmile je schopen antivir takový kód odhalit, ten už dávno svou úlohu splnil…“ a napadlo mě zda existují (a jak jsou úspěšné) metody, které takovýto zlovolný program umějí odhalit, nebo se na ně přijde většinou tak, že jej nahlásí nešťastný uživatel/správce?

  • 17. 2. 2010 19:14

    Palo (neregistrovaný)

    Ale toto nie je ziadny spyware. Toto je obycajny program. Na to aby ste nieco taketo zistili dokonca nepotrebujete ani prekladac. Staci obycajny shell script. Chranit sa da viacerymi sposobmi. Zakaz emailovu komunikaciu smerom von, zakazat +x priznak pre HOME adresare, … . Ale v principe nie je co odhalovat. Je vasa vec co komu posielate.
    Heslo k systemu, administratorsky zaujimave udaje neziskate.

  • 18. 2. 2010 19:02

    D.A.Tiger

    Máte pravdu, je to jen obyčejný program (a navíc pouze demonstrující určité principy – „profesionální cracker“ by si s tím dal asi trochu víc práce. Navíc si myslím, že u shellového skriptu je vyšší riziko jeho odhalení). Mě však zarazila jednoduchost a zákeřnost celého toho problému.

    „Ale v principe nie je co odhalovat. Je vasa vec co komu posielate.“ Jj. to je sice pravda. Zas na druhou stranu je to trochu alibistické mávnutí rukou. Jde o to, že tenhle prográmek geniálním způsobem zneužívá naprosto neškodně vyhlížejících aplikací, určených pro normální práci uživatele a (samozřejmě) bez jeho vědomí. Navíc tím, že spoustu práce přenechá na jiných programech se (dle mého názoru) docela snižují možnosti odhalení jeho nekalé činnosti.

    „Heslo k systemu, administratorsky zaujimave udaje neziskate…“
    Zatím, ne, ale… Představte si, že takovýto obyčejný program „nějak“ propašujete na cizí, neznámý počítač. Pak už se ty informace zas tak bezvýznamné nezdají. IP a jméno počítače Vám stroj lokalizují v síti. Seznam uživatelů poskytne např. vodítko k pokusům o získání hesla, atd… jakmile prolomí jeden, jediný účet, je už otázkou času kdy zlomí celý systém.

  • 18. 2. 2010 21:18

    Palo (neregistrovaný)

    IP adresy a mena strojov zistite uplne jednoducho. Mena ludi sa daju tiez zistit vzdialene a nie je to ziadna utajovana infomacia (napr. z mailov, finger). Heslo mozete rovno hladat pre uzivatela ROOT. Nemusite hladat ziadne ine ;-).

    Binarny program je vzdy podozrivy. Co robi u uzivatela. Shell script mozete spustit aj presmerovanim obycajneho textoveho suboru, nehovoriac ze vytvaranie spustitelnych programov moze byt zakazane takze shell script je ovela vyhodnejsi.

    Znovu ale – ake informacie ste ziskali? Nic pouzitelne. Nemozete sa dostat k systemovym castiam ktore by narusili chod. Mozete si pokafrat maximalne svoj account. Nemozete spionovat ostatnych uzivatelov. Naviac este stale ste nerozriesili zahadu ako by sa ten program dostal na vas pocitac ak by ste si ho tam sami nedali. Proste NIC. Unixy su ochranene aj proti utokom zvnutra systemu od nahlaseneho uzivatela vdaka dlhorocnej historii multiuzivatelskych systemov.