Este aproape ora 00:42 AM, şi ca de obicei pe la ora asta mă apucă pe mine talentul să scriu pe blog.

Vom continua în acest material seria în care vorbim despre IT security.

V-aţi întrebat vreodată care sunt motivaţiile unui individ care îşi zice hacker de a face ceea ce face? Sunt prea multe motive ca să le disecăm pe toate aici. Dar ce putem face este să le încadrăm în nişte categorii mai generale. Aşadar avem aşa:

-distracţie, fun, prostie: sunt cei care fac “prostii” pe net doar ca să se distreze sau să dovedească lor sau altora că sunt posesorii unor skill-uri mai speciale;

- bani: sunt cei care fac bani din această “meserie”. Aici sunt incluse şi activităţile de spionaj industrial sau corporatist, cum vreţi voi să îi ziceţi;

- răzbunare: clienţi nemulţumiţi, foşti angajaţi, competitori sau oameni care au ceva împotriva cuiva dintr-o companie.

Aş continua cu descrierea fiecărei categorii în parte, dar nu cred că are rost. Este destul de intuitiv pentru toată lumea presupun.

Un plan de securitate strong este unul conceput pe mai multe layere sau straturi, adică implică mai multe soluţii de securitate. În funcţie de fiecare organizaţie sau companie soluţiile diferă. Dar per total soluţiile de securizare se împart în două categorii: soluţii hardware şi soluţii software.

Ca să fim pregătiţi pentru ce va urma haideţi să enumerăm unele dintre cele mai cunoscute şi populare porturi TCP/UDP aşa cum sunt ele documentate în RFC 1700. Asignarea acestor porturi este făcută de către IANA (Internet Assigned Numbers Authority). În general, un serviciu foloseşte acelaşi număr de port UDP cât şi TCP…dar bineînţeles că există şi excepţii. Iniţial porturile erau curpinse în intervalul 0-255, dar mai târziu acest interval s-a extins de la 0 la 1023. Aşadar urmează o listă cu cele mai cunoscute porturi:

TCP/UDP port 20: FTP(data)
TCP/UDP port 21: FTP(control)
TCP/UDP port 23: Telnet
TCP/UDP port 25: SMTP
TCP/UDP port 53: DNS
TCP/UDP port 67: BOOTP server
TCP/UDP port 68: BOOTP client
TCP/UDP port 69: TFTP
TCP/UDP port 80: HTTP
TCP/UDP port 88: Kerberos
TCP/UDP port 110: POP3
TCP/UDP port 119: NNTP
TCP/UDP port 137: NetBIOS serviciul de nume
TCP/UDP port 138: NetBIOS datagram
TCP/UDP port 139: NetBIOS session
TCP/UDP port 194: IRC
TCP/UDP port 220: IMAPv3
TCP/UDP port 389: LDAP

Porturile din intervalul 1024-64535 sunt denumite registered ports şi nu sunt controlate de către IANA, ele fiind folosite de către procese şi aplicaţii. Bineînţeles, asta nu înseamnă că aceste porturi nu sunt ţinte ale atacurilor. De exemplu, portul 1433 folosit de SQL poate reprezenta interes pentru hackeri.

În total avem 65535 porturi TCP (acelaşi număr şi de porturi UDP). Ele sunt folosite de diverse aplicaţii şi servicii. Dacă un port este deschis, el răspunde de fiecare dată când un computer încearcă să-l acceseze prin reţea. Aplicaţiile ce scanează porturi, de tip Nmap, sunt folosite pentru a determina care porturi sunt deschise pe un sistem. Programul trimite pachete pentru o grămadă de protocoale, şi analizînd apoi ce răspunsuri primeşte şi ce nu, creează o listă cu porturile ce “ascultă” (listening ports) sau sunt deschise pentru sistemul ce este scanat.

Scanarea de porturi nu dăunează reţelei sau sistemului tău, dar asigură hackerului informaţii care pot fi folosite pentru atacuri. Potenţialii atacatori folosesc aceste scanere exact cum un hoţ intră într-o parcare şi ia fiecare maşină la rând, încercând fiecare uşă pentru a le găsi pe cele deschise. Aici puteţi găsi o listă de porturi care ar trebui închise, filtrate sau monitorizate din cauză că ele sunt folosite des de către programe tip Trojan sau programe de intruziune.

Atacul IP Half-Scan

Half scans (denumite şi half-open scans scanări de tip FIN) încearcă să evite depistarea lor trimiţînd doar pachetele iniţiale sau finale în locul iniţierii unei conexiuni complete. O scanare tip half porneşte procesul SYN/ACK cu un computer dar nu îl duce până la bun sfârşit. Software-ul care îndeplineşte acest gen de scanare ( gen Jakal) se mai cheamă şi stealth scanner. Multe detectoare de scanere eşuează în depistarea scanărilor de tip half.

IP Spoofing

Spoofing-ul de IP-uri implică schimbarea header-ului unui pachet astfel încât IP-ul real este ascuns în spatele unuia fals. Bineînţeles, cel fals este un trusted IP , altfel IP-ul real putînd fi filtrat de către un router sau firewall. Tehnologiile de firewall mai moderne, cum ar fi Check Point, oferă protecţie la spoofing. Spoofing-ul este folosit ori de câte ori este nevoie ca un computer să se “costumeze” în altul,şi în plus este deseori folosit în combinaţie cu alte tipuri de atacuri gen SYN flood attack, ping of death, teardrop şi altele.Dar nu vă speriaţi..cu un router “curajos” sau cu ajutorul unui firewall capabil se poate contracara destul de uşor spoofing-ul.

01:44 AM… şi este timpul ca subsemnatul să meargă la somn. Vom vontinua data viitoare.

Salutări!