péntek esti filózás

Címkék: flame filó

2012.01.29. 17:52

Tartottam nem is olyan régen egy előadást "Security Awareness Training" címmel. Valahol az elején volt egy dia, amin mindenféle toolok logói, nevei, weboldalak voltak szemléltetés végütt hogy milyen is manapság a támadók eszköztára. Anno nem voltak ilyen mindentudó szarok, mindenki agyból vakarta ki hogy miből mit lehet kihozni, és saját maga a két kezével kloffolta puhára a targetet. Manapság már van egy halom tool, amit tényleg a legutolsó tudatlan vadbarom is tud használni ha képes elolvasni egy article-t vagy megnézni róla egy utube videót.

<Buherator> hat azert ez kb addig van igy, amig nincs egy waf vagy ips
<Buherator> lenyegesen egyszerubb a dolog az teny
<Buherator> de ha nem ertesz hozza azert szerintem ma se tudsz komoly dolgokat csinalni

Ez így igaz.

Filóztam rajta, és kiesett néhány gondolat, ezeket szeretném most megosztani. Először is leszögezném hogy az én szótáramban egyes az elnevezések nem feltétlenül egyeznek meg a média által összeturmixolt definíciókkal.

Az ősdefiníció szerint az a hacker aki egy problémát okosabban szebben jobban old meg, újabb és jobb módszereket fejleszt, és átlépi a technológia és a saját korlátait. Amikor mi kölykök voltunk akkor a cracker az volt aki a programok védelmét töri fel. Hackernek azt neveztük aki hálózatokat, számítógépes rendszereket tör fel. Aztán kettészedték blackhatre és whitehat-re, hogy elkülönüljön a "rossz" és a "jó". Innentől fogva a Blackhat az aki rendszereket tör fel, a Whitehat pedig aki felfedi a sérülékenységeket és segít. Phreaker pedig az volt aki a telefonközpontokkal és telefonrendszerekkel játszott.

Ez az én szótáram. Ha nem tetszik, nem kell használni.

Az én világomban ha valakit hackernek titulálnak, az a tisztelet jele.

A Blackhatekről...

Blackhatből módszertanilag 4 féle van:

  • A Suicid balfasz - Az abszolút lowprofile kiddo, az otthoni adslről nekimegy mindennek és előbb utóbb lekapcsolják, aztán a bíróságon próbálja elmagyarázni hogy "csak segíteni akartam", "whitehat vagyok", stb, szóval mákos ha felfüggesztettel megússza.
  • Az Assault - Géppuskája van, elég csak meghúzni a ravaszt, oda se kell nagyon nézni, valamelyik golyó biztos találni fog egy rést a pajzson, és nem kell ballisztikai szakértőnek lennie. Ha van egy kis esze akkor fedezékből lő, de nagyon hangos, könnyen észrevehető.
  • A Sniper - Tudja hogy mire mivel kell lőni, ismeri a puskáját, előre tervez, figyelembe veszi a szelet, vár a megfelelő pillanatra, céloz, és lő. Nem tudod hogy honnan lőtt, de amire észreveszed hogy lepuffantották a kutyádat már régen mindegy.
  • A Ninja - Nem tudsz róla hogy ott van, pedig ott van. Olvassa a leveleidet, látja hogy kivel mit chatelsz, hozzáfér az adatbázisaidhoz.

A [D]DoS-oló hülyegyerekek nem hackerek.
A botnetek üzemeltetői nem hackerek.
A spammerek sem hackerek.

A rendszerekről, és a védelemről...

  • 1-es szabály - Minden rendszert meg lehet törni. (Any box can be popped with the right resource - Doctor Raid - Nice Report c. dalocska ^_^)
  • 2-es szabály - Minden rendszer célpont. Az a hozzáállás hogy "miért támadná bárki is az én rendszerem", végtelenül naív. Egy otthoni felhasználó is ugyanúgy lehet célpont mint egy kkv, vagy egy nagyvállalat.
  • 3-as szabály - Minél nagyobb egy szervezet annál több rendszert üzemeltet, annál több komponense, annál több felhasználója van. Sok rendszeren sokféle szoftver fut, minden szoftver elkerülhetetlenül tartalmaz hibákat, és minden ilyen hiba egy potenciális támadási vektor. Ebből egyenesen következik hogy a támadási felület is nagyobb.

A legtöbb helyen az informatikai biztonság 3 komponensből áll: Tűzfal, Antivirus és a Policyk.

  • A tűzfal/IPS nem védi meg a rendszert. Minden vár bevehető, legyen bármilyen vastag is a fal. Trója is elesett.
    Egy fontos apróságot tudni kell a tűzfalakról: Enterprise környezetben nem tűzfal az, ami nem tud app layeren szűrni. Az Enterprise tűzfalaknak, IPS-eknek nagy és többnyire up-to-date adatbázisuk van, tele ismert támadási mintákkal, jó eséllyel megvédenek ismert exploitok/támadások ellen, de kivétel nélkül mind negatív security modell (tekintve hogy pattern matching alapúak). A tűzfalak nem védenek meg a 0dayektől, az alkalmazás logikai hibáitól, és mit sem érnek ha gyengék a jelszavak. Olyan ez, mint a drótkerítés a madarak ellen: Az alacsonyan repülő madarakat tényleg megfogja. (lásd fent: Assault, Suicid balfasz)
    ...és legvégül: A tűzfalak lehetőségei fölé kerekedik az emberi tudatlanság, felelőtlenség, és inkompetencia.
  • Az antivírus programok sem védik meg a rendszert 100%-ra. Ezek pontosan úgy működnek mint az immunrendszer. Lehet hogy be vagy oltva az influenza 100 különféle variánsa ellen, de a 101-es mutáció ellen nem.
  • A policy-k sem védik meg a rendszereket. Attól hogy van egy szabályzat még nem lesz biztonságosabb semmi, ezeket be is kell tartatni. Ha mindenki betartaná a KRESZ-t, nem lenne annyi baleset.

 

A "100%-os védelem" egy marhaság: Az üzletkötők és marketingesek dobálóznak ilyen nagy szavakkal hiszen nekik el kell adniuk valamit. Ők ebből élnek. Jól.

A bejegyzés trackback címe:

https://breach.blog.hu/api/trackback/id/tr993907481

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

detritus 2012.01.30. 10:04:03

Minden egyes karakterrel azonosulni tudok és ez volt a legjobban megfogalmazott hacker-definíció, amit olvastam.

Egy picit szeretném kiegészíteni. Semmi problémát nem látok abban, hogy a mai toolok jobbak és egyszerűbben kezelhetők, mint a 10 évvel ezelőttiek. Az lenne baj, ha nem így lenne. Ez egy evolúciós folyamat. A legeslegelső számítógépeket szó szerint nullák és egyesek tologatásával programozták. Aztán lett assembly, amivel elfedték ezt a réteget. Aztán mondjuk C, amiben már nem kellett assemblyvel vacakolni. Ma meg már Java, .Net, csicsalófasz, ahol például a memóriához közvetlenül hozzá se kell szólnod. A webről nem is beszélve. Pedig végeredményben még mindig nullákat és egyeseket tologatsz. Kiváló Java programozó haveromnak fogalma sincs, mi az EIP. De neki ezt nem is kell tudnia, ezért egyszerűbb a munkája. A biztonsági toolok is így fejlődnek, mindig egy absztrakciós réteget ugranak, így válik egyszerűbbé a kezelésük. Ezekkel is látványos dolgokat lehet művelni, de a legkirályabbak nyilván azok, akik értik azt is, mi folyik az alsóbb rétegekben :).