Vom continua în acest material seria în care vorbim despre IT security.

V-aţi întrebat vreodată care sunt motivaţiile unui individ care îşi zice hacker de a face ceea ce face? Sunt prea multe motive ca să le disecăm pe toate aici. Dar ce putem face este să le încadrăm în nişte categorii mai generale. Aşadar avem aşa:

-distracţie, fun, prostie: sunt cei care fac “prostii” pe net doar ca să se distreze sau să dovedească lor sau altora că sunt posesorii unor skill-uri mai speciale;

- bani: sunt cei care fac bani din această “meserie”. Aici sunt incluse şi activităţile de spionaj industrial sau corporatist, cum vreţi voi să îi ziceţi;

- răzbunare: clienţi nemulţumiţi, foşti angajaţi, competitori sau oameni care au ceva împotriva cuiva dintr-o companie.

Aş continua cu descrierea fiecărei categorii în parte, dar nu cred că are rost. Este destul de intuitiv pentru toată lumea presupun.

Un plan de securitate strong este unul conceput pe mai multe layere sau straturi, adică implică mai multe soluţii de securitate. În funcţie de fiecare organizaţie sau companie soluţiile diferă. Dar per total soluţiile de securizare se împart în două categorii: soluţii hardware şi soluţii software.

Ca să fim pregătiţi pentru ce va urma haideţi să enumerăm unele dintre cele mai cunoscute şi populare porturi TCP/UDP aşa cum sunt ele documentate în RFC 1700. Asignarea acestor porturi este făcută de către IANA (Internet Assigned Numbers Authority). În general, un serviciu foloseşte acelaşi număr de port UDP cât şi TCP…dar bineînţeles că există şi excepţii. Iniţial porturile erau curpinse în intervalul 0-255, dar mai târziu acest interval s-a extins de la 0 la 1023. Aşadar urmează o listă cu cele mai cunoscute porturi:

TCP/UDP port 20: FTP(data)
TCP/UDP port 21: FTP(control)
TCP/UDP port 23: Telnet
TCP/UDP port 25: SMTP
TCP/UDP port 53: DNS
TCP/UDP port 67: BOOTP server
TCP/UDP port 68: BOOTP client
TCP/UDP port 69: TFTP
TCP/UDP port 80: HTTP
TCP/UDP port 88: Kerberos
TCP/UDP port 110: POP3
TCP/UDP port 119: NNTP
TCP/UDP port 137: NetBIOS serviciul de nume
TCP/UDP port 138: NetBIOS datagram
TCP/UDP port 139: NetBIOS session
TCP/UDP port 194: IRC
TCP/UDP port 220: IMAPv3
TCP/UDP port 389: LDAP

Porturile din intervalul 1024-64535 sunt denumite registered ports şi nu sunt controlate de către IANA, ele fiind folosite de către procese şi aplicaţii. Bineînţeles, asta nu înseamnă că aceste porturi nu sunt ţinte ale atacurilor. De exemplu, portul 1433 folosit de SQL poate reprezenta interes pentru hackeri.

În total avem 65535 porturi TCP (acelaşi număr şi de porturi UDP). Ele sunt folosite de diverse aplicaţii şi servicii. Dacă un port este deschis, el răspunde de fiecare dată când un computer încearcă să-l acceseze prin reţea. Aplicaţiile ce scanează porturi, de tip Nmap, sunt folosite pentru a determina care porturi sunt deschise pe un sistem. Programul trimite pachete pentru o grămadă de protocoale, şi analizînd apoi ce răspunsuri primeşte şi ce nu, creează o listă cu porturile ce “ascultă” (listening ports) sau sunt deschise pentru sistemul ce este scanat.

Scanarea de porturi nu dăunează reţelei sau sistemului tău, dar asigură hackerului informaţii care pot fi folosite pentru atacuri. Potenţialii atacatori folosesc aceste scanere exact cum un hoţ intră într-o parcare şi ia fiecare maşină la rând, încercând fiecare uşă pentru a le găsi pe cele deschise. Aici puteţi găsi o listă de porturi care ar trebui închise, filtrate sau monitorizate din cauză că ele sunt folosite des de către programe tip Trojan sau programe de intruziune.

Atacul IP Half-Scan

Half scans (denumite şi half-open scans scanări de tip FIN) încearcă să evite depistarea lor trimiţînd doar pachetele iniţiale sau finale în locul iniţierii unei conexiuni complete. O scanare tip half porneşte procesul SYN/ACK cu un computer dar nu îl duce până la bun sfârşit. Software-ul care îndeplineşte acest gen de scanare ( gen Jakal) se mai cheamă şi stealth scanner. Multe detectoare de scanere eşuează în depistarea scanărilor de tip half.

IP Spoofing

Spoofing-ul de IP-uri implică schimbarea header-ului unui pachet astfel încât IP-ul real este ascuns în spatele unuia fals. Bineînţeles, cel fals este un trusted IP , altfel IP-ul real putînd fi filtrat de către un router sau firewall. Tehnologiile de firewall mai moderne, cum ar fi Check Point, oferă protecţie la spoofing. Spoofing-ul este folosit ori de câte ori este nevoie ca un computer să se “costumeze” în altul,şi în plus este deseori folosit în combinaţie cu alte tipuri de atacuri gen SYN flood attack, ping of death, teardrop şi altele.Dar nu vă speriaţi..cu un router “curajos” sau cu ajutorul unui firewall capabil se poate contracara destul de uşor spoofing-ul.

01:44 AM… şi este timpul ca subsemnatul să meargă la somn. Vom vontinua data viitoare.

Salutări!

Renumitul lanţ de hoteluri “The Best Western” a fost victima unei agresiuni online. Se spune că identităţile a peste 8 milioane de clienţi au fost furate.

Sunday Herald (ziar scoţian) a anunţat săptămâna trecută că hackerii (urăsc cuvântul ăsta ) au plasat un troian în sistemul de booking online al lanţului hotelier, obţinînd accesul la acest sistem de rezervări online. Apoi băieţii ar fi vândut “soluţia” de accesare a sistemului unor persoane din Rusia. Atacul a fost observat atunci când pe un forum underground a fost postată o ofertă de vânzare a bazei de date cu numele clienţilor hotelurilor Best Western cât şi numerele de cărţi de credit aferente.

The Best Western a răspuns deja la acest material, admiţînd că a avut loc o breşă, dar vineri acest entry point în sistemul lor a fost închis. De asemenea ei au negat că datele lor au fost compromise şi i-au asigurat pe clienţi că totul este în regulă.

Lanţul de hoteluri cuprinde mai mult de 4200 de hoteluri în 80 de ţări. Hotelierii susţin că acuzaţiile din ziarul scoţian nu sunt susţinute de devezi concludente. Ei au explicat cum funcţionează sistemul de booking. Datele de pe cardurile de credit sunt colectate şi rămân criptate în sistemul lor doar pe perioada cazării clienţilor, iar după părăsirea hotelului aceste detalii sunt şterse.

Noi pe cine să credem?

Concluzia este că trebuie să fim atenţi când şi unde trimitem detalii sensibile despre identitatea noastră, unde introducem detaliile cărţilor de credit…Este trist că atunci când vrem să ne cumpărăm o carte sau să ne aranjăm o vacanţă în Croaţia online, trebuie să stăm cu teamă că undeva în spatele unui router , sau sub un rack cineva este pregătit să primească salariul nostru.

Numit rootkit System Management Mode(SMM), programul rulează într-o parte protejată a memoriei PC-ului care poate fi încuiată şi prezentată ca şi invizibilă sistemului de operare, dar care poate da atacatorilor o imagine foarte clară despre ce se întâmplă în memoria unui calculator.

Rootkit-ul SMM vine cu software de keylogging şi comunicare şi poate fura date sensibile din calculatorul unei potenţiale victime. A fost dezvoltat de către Shawn Embleton şi Sherri Sparks, care conduce o companie în Florida, “Clear Hat Consulting”.

Conceptul acestui software va fi demonstrat public pentru prima dată la conferinţa de securitate Black Hat ce se va ţine în august la Las Vegas.

Rootkit-urile folosite de “hoţii” din ziua de astăzi sunt nişte programe foarte şmechere concepute în a-şi acoperi urmele în timp ce rulează. Rootkit-urile au lovit prima dată în 2005, atunci când Sony BMG Music a folosit tehnici de rootkit pentru a-şi ascunde software-ul anti-piraterie sau protejare la copiere. Ulterior compania a fost nevoită să retragă de pe piaţă milioane de discuri din cauza scandalului pornit.

În anii care au urmat cercetătorii au căutat să găsească căi pentru a rula rootkit-urile în afara sistemului de operare astfel fiind mult mai dificil de depistat. De exemplu, acum doi ani Joanna Rutkowska a dezvoltat un rootkit numit Blue Pill, care folosea tehnologia de virtualizare a chip-urilor AMD pentru a se ascunde. Ea a declarat că această tehnologie poate fi folosită pentru crearea de “produse” malware 100% nedetectabile.

“Rootkit-urile îşi îndreaptă atenţia din ce în ce mai mult spre partea hardware” a spus Sparks, care a scris acum trei ani încă un rootkit numit Shadow Walker. “Cu cât te adânceşti mai mult în sistem, cu atât mai multă putere deţii şi vei fi cu greu depistat”.

Blue Pill a profitat de pe urma noilor tehnologii de virutalizare care sunt acum adăugate microprocesoarelor, dar rootkit-ul SMM foloseşte o particularitate care este prezentă de foarte mult timp şi care poate fi găsită în foarte multe PC-uri. SMM datează de pe timpul procesoarelor Intel 386, unde a fost adăugat ca şi ajutor pentru producătorii de hardware în a repara diferite bug-uri din produsele lor cu ajutorul software-ului. Tehnologia este de asemenea folosită în sistemul de power management al PC-urilor(sleep mode, etc).

Din mai multe puncte de vedere, un rootkit SMM care rulează într-o parte încuiată a memoriei, este mai greu de detectat decât Blue Pill, a declarat John Heasman, director de cercetare în cadrul NGS Software, o firmă de consultanţă în domeniul securităţii.

Cercetătorii au fost suspicioşi mulţi ani că software-ul maliţios poate fi scris în aşa fel încât să ruleze în SMM. În 2006, Loic Duflot a demonstrat cum malware-ul SMM poate lucra. El a scris un mic agent SMM care a compromis modelul de securitate al sistemului de operare. Embleton a declarat: “Am dus ideea mai departe şi am dezvoltat un agent SMM mult mai complex care includea şi tehnici rootkit”.

Sparks şi Embleton au fost nevoiţi să scrie “driver code-ul” într-un limbaj assembly foarte greu de folosit. “Debugging-ul a fost partea cea mai dificilă” a spus Sparks.

Fiind separat de sistemul de operare, rootkit-ul SMM devine invizibil, dar asta presupune şi mai multă muncă din partea hackeri-lor, aceştia fiind nevoiţi să scrie codul driver-ului special pentru sistemul pe care îl atacă. “Nu îl văd ca pe un pericol larg răspândit pentru că este foarte dependent de partea hardware” a spus Sparks, “Este un atac bine plănuit împotriva unei ţinte bine stabilite dinainte”.

Dar va fi oare 100% nedectabil? Sparks spune că nu. “Nu spun că este de nedectat, dar va fi foarte greu să fie detectat”.

sursa: www.pcworld.com