» »

Vdor v Ubuntu; kaj naredi Tor?

Vdor v Ubuntu; kaj naredi Tor?

Matjaž Lojen ::

Sumim, da so mi nekako vdrli v sistem (Ubuntu 12.04). Mislim, da ima prste vmes moj ISP. Kaj lahko ISP vidi in nadzoruje? Ali lahko v real-timeu gleda in blokira kar trenutno prenašam iz interneta?

Preskeniral sem sistem z ClamTK, in ta je našel 8 sumljivih datotek, od katerih sem jih 7 dal v karanteno oziroma jih zbrisal, enega pa nisem mogel niti dati v karanteno, niti zbrisati!

Inštaliral sem Tor (Tor Bundle, v katerem je poleg Tora tudi Firefox Browser in Tor Button), tako da zdaj surfam po netu preko Tor omrežja.

Zanima me, kaj dejansko naredi Tor? Ali sedaj, ko brskam preko Tora, ISP ali kdorkoli pač mi je vdrl v sistem, ne more več videti in nadzorovati, katere strani gledam in kaj downloadam? Imam kabelski modem, na katerega je vezan router. Ali naj spremenim DNS serverje v routerju na npr. Arnesove ali Siolove?

Spremeniti nameravam tudi vsa gesla (root password, email password...).
Pero je močnejše od meča.

bluefish ::

ISP nima prav nič s tem.

mihec87 ::

Spremljanje prometa(če se to izvaja) ISP-ja na tvojem ip naslovu nebi ravno definiral kot vdor v računalnik...

technolog ::

Sumim, da so mi nekako vdrli v sistem


Dosti več od tega nakladanja stvari, ki nimajo nič veze raje povej, zakaj sumiš tako.

Ubuntu je varen sistem, doker nameščaš samo iz ubuntu software centra ti ne more bit nič. To niso windowsi.

Preskeniral sem sistem z ClamTK, in ta je našel 8 sumljivih datotek, od katerih sem jih 7 dal v karanteno oziroma jih zbrisal, enega pa nisem mogel niti dati v karanteno, niti zbrisati!


In katerega tipa so bile datoteke - to zveš z ukazom file v terminalu. Morda .exe?

Jasno je da datotek izven svojega home direktorija ne moreš brisat, bereš jih pa lahko. To ni razlog za preplah.

Zgodovina sprememb…

satfinder ::

Za start: hiter test pozarnega zidu:

Code
https://www.grc.com/x/ne.dll?bh0bkyd2

Hiter test pozarnega zidu:
ShieldsUP! > Proceed > All Service Ports [oz. ...] > ...
Result > Text Summary: ...

[oz. se vpise st. porta/ portov pod:
"You may select any service from among those listed above . . .”,
in se klikne: User Specified Custom Port Probe]


Pri meni pride nekako takole [OS: W7]:

Result:

Passed

GRC Port Authority Report created on UTC: 2012-08-13 at 16:48:55

Results from scan of ports: 0-1055

0 Ports Open
0 Ports Closed
1056 Ports Stealth
---------------------
1056 Ports tested

All ports tested were found to be: stealth.

TruStealth: passed - all tested ports were Stealth,
- no unsolicited packets were received,
- no ping reply (ICMP Echo) was received.
Korak do konca in Naprej :).

Zgodovina sprememb…

  • spremenilo: satfinder ()

NeMeTko ::

Od kod ti sploh ideja, da bi ti ISP vdrl v računalnik? Verjemi, da ima ISP kaj bolj pametnega (in zakonitega) za počet, kot vdirat v računalnike svojih uporabnikov!
To, da si našel neke kvazi sumljive datoteke, pa še nikakor ni znak, da ti je nekdo vdrl v računalnik. Sumljive datoteke si uporabniki ponavadi kar lepo sami navlečejo spotoma, ko brskajo po spletu. Ko pa se koda v teh datotekah enkrat začne izvajat, pa res lahko pričneš gostiti kakšnega nepovabljenega gosta na svojem računalniku.

Kar se tiče TOR omrežja, pa upam, da ga zlorabljaš za download kakšnih torrentov in podobno. TOR omrežje je namenjeno anonimizaciji - uporabiš ga, če greš na neko spletno stran, kjer nebi želel, da se vidi tvoj IP naslov - si želiš ostati anonimen.

Kaj točno dela TOR, si lahko prebereš na njihovih straneh. Načeloma ti šifrira promet, potem pa ga pelje preko treh bolj ali manj naključnih vozlišč, tako da na koncu nihče več ne ve, od kod je prišel nek določeni promet. Šele na zadnjem vozlišču, se potem dešifrira in potuje naprej, kot bi sicer s tvojega računalnika. Včasih se je dalo s pomočjo TOR-a gledati kakšen video, ki so ga sicer blokirali, ker nisi iz določene države, danes pa ponavadi takšni servisi blokirajo tudi TOR uporabnike.

ClamTK je drugače bolj 'preprost' antivirus in mu nebi vedno na slepo zaupal, da je res vse kar je našel, škodljiva koda. Stvar bi preveril še s kakšnim drugim AV orodjem.

Drugače pa provider načeloma lahko vidi ves tvoj promet, vendar ti že sama logika pove, da ne bo nihče gledal prometa nekaj tisoč uporabnikov v podrobnosti. Spremlja se statistika obremenitev, ne pa posamezne URL-je in druge povezave.

Če pa si sumljiva oseba in zganjaš čudne reči, potem pa ti takointako lahko prisluškujejo telefonu, spremljajo internetni promet,....

Zgodovina sprememb…

  • spremenil: NeMeTko ()

satfinder ::

Virus Total @ max. 32MB/file
https://www.virustotal.com/

"VirusTotal is a free service that analyzes suspicious files
and URLs and facilitates the quick detection of viruses, worms,
trojans, and all kinds of malware."
Korak do konca in Naprej :).

Zgodovina sprememb…

  • spremenilo: satfinder ()

NeMeTko ::

technolog je izjavil:


Ubuntu je varen sistem, doker nameščaš samo iz ubuntu software centra ti ne more bit nič. To niso windowsi.


Kdaj boste že enkrat razumeli, da varnega sistema ni?

VSAK operacijski sistem ima svoje ranljive točke. Če ga sproti ne osvežujemo z zadnjimi popravki, imamo VEDNO opravka z ranljivim sistemom. Če nanj nameščamo programe pa ranljivost operacijskega sistema nadgradimo še z ranljivostmi, ki se skrivajo v posameznih programih.

Poganjaj karkoli hočeš, Mac-a, FreeBSD, Linux, Windows - VSAK sistem ima znane luknje. Za nekatere obstajajo popravki, za nekatere pa 'workaroundi'. Tudi routerji, pa celo požarne pregrade znanih proizvajalcev imajo varnostne luknje in ranljivosti!

Zato PROSIM, da NIKOLI več ne rečeš da je nek sistem, pa ne glede na to, kako se imenjuje - VAREN.

Roadkill ::

>> Sumim, da so mi nekako vdrli v sistem

Zakaj? Brez odgovora na to vprašanje je vsa nadaljnja debata nesmiselna.
Ü

Matjaž Lojen ::

technolog je izjavil:

Sumim, da so mi nekako vdrli v sistem


Dosti več od tega nakladanja stvari, ki nimajo nič veze raje povej, zakaj sumiš tako.



Recimo, ponoči se je sam od sebe ugasnil računalnik, kabelski modem in router. Ti trije so vezani na eno skupno vtičnico preko podaljška, vendar je zraven na isti podaljšek vezan tudi TV, za katerega nisem ziher, ali se je ugasnila tudi standby lučka od TVja ali ne.

OK, to lahk pripišem morebitnemu izpadu elektrike.

Potem dalje je bilo to, da sem želel poslati po gmailu dve 15MB priponki, in vsakič, ko sem pritisnil SEND, je napisalo gmail is unreachable. To se je zgodilo na obeh računalnikih, ki sta vezana na isti router in imata isti operacijski sistem (Ubuntu 12.04). To se je zgodilo večkrat zaporedoma.

Potem večkrat se je zgodilo, da so se nekateri filmčki na youtubu in porn straneh loadali izredno počasi, in so se naloadali šele ko sem večkrat zaporedoma stisnil refresh (F5).

Situacija je bila ista v Windowsih (Win7 - MSDNAA varianta, torej originalni), ker imam dual boot, tam sem že pravzaprav pozabil, kaj se je dogajalo.
Pero je močnejše od meča.

Matjaž Lojen ::

satfinder je izjavil:

Za start: hiter test pozarnega zidu:

Code
https://www.grc.com/x/ne.dll?bh0bkyd2

Hiter test pozarnega zidu:
ShieldsUP! > Proceed > All Service Ports [oz. ...] > ...
Result > Text Summary: ...

[oz. se vpise st. porta/ portov pod:
"You may select any service from among those listed above . . .”,
in se klikne: User Specified Custom Port Probe]


Pri meni pride nekako takole [OS: W7]:

Result:

Passed

GRC Port Authority Report created on UTC: 2012-08-13 at 16:48:55

Results from scan of ports: 0-1055

0 Ports Open
0 Ports Closed
1056 Ports Stealth
---------------------
1056 Ports tested

All ports tested were found to be: stealth.

TruStealth: passed - all tested ports were Stealth,
- no unsolicited packets were received,
- no ping reply (ICMP Echo) was received.


Moji rezultati so takšni:

GRC Port Authority Report created on UTC: 2012-08-13 at 17:42:42

Results from scan of ports: 0-1055

0 Ports Open
1 Ports Closed
1055 Ports Stealth
---------------------
1056 Ports Tested

NO PORTS were found to be OPEN.

The port found to be CLOSED was: 21

Other than what is listed above, all ports are STEALTH.

TruStealth: FAILED - NOT all tested ports were STEALTH,
- NO unsolicited packets were received,
- NO Ping reply (ICMP Echo) was received.

To je v redu, ne?
Pero je močnejše od meča.

NeMeTko ::

Jejejej, kje si pa tega GRC najdu? A ga niso pred leti enkrat na nekih forumih malodane raztrgali?

Kokrkolže, bi se jaz 'pentestinga' lotil malo drugače - imaš veliko boljša orodja kot tale GRC, ki takointako ne more preko routerja testirati, kaj imaš na računalniku odprtega. Poleg tega ni problem samo to, kar je od vzunaj odprto, temveč tudi to, kar imaš od vznotraj odprto (menda ne misliš, da trojanci sedijo na sistemu pa čakajo, da jim odpreš port?).

Glede na to, da sumiš providerja, da ti je pogasil router in računalnike, ker samo z upočasnjevanjem prenosa pornografije ni dosegel ustreznih učinkov (da bi nehal to gledat), bi na tvojem mestu poskusil, da šest mesecev ne dostopaš do tovrstnih vsebin oz. site-ov. Morda se ti bo potem rating popravil in se ne bodo računalniki več čudežno ugašali? (pa si ziher da ti ni fotr šteker ven potegni? hahahaha)

Matjaž Lojen ::

Gledal sem normaln porn, nič abotnega. Pa to je itak vse virtualno in nima veze. Z normalnim pornom ni nič narobe, je treba vsake toliko pogledat.

Sam me boli kurac za porn, problem je ko rabiš komp za resne zadeve (recimo mail) pa ne dela,,,

Če te pa zanima, kaj je dober pron, ti pa lahk pošljem na ZS:D
Pero je močnejše od meča.

Zgodovina sprememb…

Icematxyz ::

Matjaž Lojen je izjavil:

technolog je izjavil:

Sumim, da so mi nekako vdrli v sistem


Dosti več od tega nakladanja stvari, ki nimajo nič veze raje povej, zakaj sumiš tako.



Recimo, ponoči se je sam od sebe ugasnil računalnik, kabelski modem in router. Ti trije so vezani na eno skupno vtičnico preko podaljška, vendar je zraven na isti podaljšek vezan tudi TV, za katerega nisem ziher, ali se je ugasnila tudi standby lučka od TVja ali ne.

OK, to lahk pripišem morebitnemu izpadu elektrike.

Potem dalje je bilo to, da sem želel poslati po gmailu dve 15MB priponki, in vsakič, ko sem pritisnil SEND, je napisalo gmail is unreachable. To se je zgodilo na obeh računalnikih, ki sta vezana na isti router in imata isti operacijski sistem (Ubuntu 12.04). To se je zgodilo večkrat zaporedoma.

Potem večkrat se je zgodilo, da so se nekateri filmčki na youtubu in porn straneh loadali izredno počasi, in so se naloadali šele ko sem večkrat zaporedoma stisnil refresh (F5).

Situacija je bila ista v Windowsih (Win7 - MSDNAA varianta, torej originalni), ker imam dual boot, tam sem že pravzaprav pozabil, kaj se je dogajalo.


Tukaj načeloma ne vidim nič nenavadnega. Se pravi seveda je takšne sume potrebno jemati resno, ampak tukaj ne vidim ravno podlage za sum prej kakšna težava na nivoju omrežja, kjer ti v vseh treh OS torej občasno "pade povezava", če te prav razumem in bi morda moral preveriti to.

dragana ::

Ko sumiš, da se dogaja kaj nenavadnega v terminal vpiši ukaz: who in stisni enter. Prikazane boš imel vse uporabnike, ki so prijavljeni na tvojem računalniku v tem trenutku. Če dobiš kaj podobnega:

dragan@dragan-GA-MA785GM-US2H:~$ who
dragan tty7 2012-08-13 17:52
dragan pts/1 2012-08-13 20:42 (:0.0)


potem je vse OK:)

Icematxyz ::

Glede Tor pa grobo rečeno, gre za "anonimno brskanje" da, ampak če ti kdo vdre v računalnik Tor spet na grobo rečeno ne pomaga je pa seveda zelo možno, da opažaš počasnejšo delovanje omrežja prav zaradi Tor.

Matjaž Lojen ::

Ja, sem probal ukaz "who", pa je v redu. AMPAK - celo ko se povežem preko Tora na Gmail, mi napiše Oops. Your chat connection may have been interrupted. Help
Pero je močnejše od meča.

Icematxyz ::

Če pa izključiš Tor pa deluje normalno?

Matjaž Lojen ::

Spet to dela, da Gmail pade!

Icematxyz je izjavil:

Če pa izključiš Tor pa deluje normalno?


To sekundo prav sedaj dela, sam bo ziher spet padlo.
Pero je močnejše od meča.

Zgodovina sprememb…

NeMeTko ::

dragana je izjavil:

Ko sumiš, da se dogaja kaj nenavadnega v terminal vpiši ukaz: who in stisni enter. Prikazane boš imel vse uporabnike, ki so prijavljeni na tvojem računalniku v tem trenutku. Če dobiš kaj podobnega:

dragan@dragan-GA-MA785GM-US2H:~$ who
dragan tty7 2012-08-13 17:52
dragan pts/1 2012-08-13 20:42 (:0.0)
potem je vse OK:)


To so zgolj interaktivni userji. Če stakneš kakšnega zlodja, preko katerega ti kdo na glavo postavlja sistem, ga boš redko odkrila med interaktivnimi uporabniki.
Tudi če boš s ps pregledovala procese, ga ne boš našla. Morda kaj najdeš pod netstat, pa tudi za to moraš dobro poznat OS, da veš, kateri procesi smejo komunicirat, oz. čakati na komunikacijo. Lahko ti podtaknejo modificiran daemon, ki ima isto ime kot normalni, celo port pustijo ta pravi, pa nimaš šans, da ga potem najdeš na tak preprost način.

Matjaž Lojen ::

Ma, v glavnem dela, gmail občasno pade (well, skoz pada) in to je to.
Pero je močnejše od meča.

Icematxyz ::

Glej, če sumiš vdor izključi vse računalnike in poženi le na enem Ubuntu LiveCD in obišči Gmail, kjer izvedi testiranje in če se težava ponovi potem se obrni na tehnično pomoč ISP, ker gre za težavo na njihovi strani in naj ti svetujejo, oziroma sam najprej preveri delovanje z alternativnim usmerjevalnikom/modemom, če je na voljo.

P.S. Težave z "omrežjem" ali "počasno delovanje" pri uporabi Tor pa niso nič nenavadnega!

Zgodovina sprememb…

NeMeTko ::

Ajoj... Če pričakuješ, da bo preko Tora komunikacija enako hitra, kot brez, potem si se pa krepko zmotil. Sem ti napisal gor, kako deluje TOR, da gre čez TRI vozlišča. Ta se nahajajo na računalnikih, ki so jih prostovoljci dali na razpolago TOR omrežju. Vsak ima neko drugo hitrost dostopa do interneta, ponavadi pa uporabniki še omejijo, koliko bodo dovolili TOR omrežju, da jim zasede.
Ker se TOR povezave vzpostavljajo random, se ti lahko zgodi, da imaš vmes kakšen node, ki dovoljuje zgolj 10kilobit/s. Na koncu si moraš teh 10 kbit deliti še z desetimi drugimi uporabniki.....

Poleg tega lahko vsak uporabnik na svojem TOR vozlišču blokira določene porte, ki se mu zdijo vprašljivi....

Lahko urajmaš, da se ti vzpostavi circuit, ki je hiter pa se neka stran relativno hitro naloži, lahko pa imaš eno gnilo jajce vmes, pa zadeva ne bo šla nikamor.

Malo se da na vse skupaj vplivati v konfiguraciji TORa, ampak to je že višja matematika zate.

Zgodovina sprememb…

  • spremenil: NeMeTko ()

Matjaž Lojen ::

Ma ne, težave so ble preden sem inštaliral Tor. Ravno zaradi tega sem Tor inštaliral, da bi se izognil virusu ali težavam. Vem, da preko Tora deluje vse bolj počasi.

Tudi recimo ko po Slo-Techu surfam, se mi zadnji post ne prikaže takoj, ampak moram stisniti F5 (refresh) da se pokaže moj zadnji post.
Pero je močnejše od meča.

Zgodovina sprememb…

Matjaž Lojen ::

Probal sem pogledat z netstat -ta , ampak nimam pojma kaj te zadeve tam pomenijo.

doainda
Pero je močnejše od meča.

Zgodovina sprememb…

NeMeTko ::

TOR ne ščiti pred virusi. Če si se ga spravil uporabljati zaradi tega, ga lahko kar takoj izklopiš.

Matjaž Lojen ::

Tor sem zinštaliral z namenom, če bi slučajno za nedelovanje gmaila bilo krivo manipuliranje s strani ISPja.

Torej:

-zamenjal sem vse passworde
-zinštaliral sem TorBundle
-prečekiral sem za viruse s ClamTK

No, v glavnem dela, ne vem zakaj jebe gmail.
Pero je močnejše od meča.

gslo ::

TOR-a sploh ni priporočljivo uporabljat za obiskovanje strani, kjer vpisuješ gesla. prestrezanje prometa preko TOR-a (bad nodes) in podobne nečednosti se redno dogajajo. gmail preko tora? pa se ti hecaš, še nick imaš RL ime. zakaj bi googlu hotel skriti, da se prijavljaš na svoj račun?

TOR za nevednega uporabnika je prej varnostna luknja kot varnostni dodatek.

Icematxyz ::

Oops. Your chat connection may have been interrupted.


A small number of users are experiencing the 'Oops. Your chat connection may have been interrupted' error in Gmail chat. While we work to fix this issue, disabling outbound Google Voice calling should correct the issue. You can do this by signing into Gmail and

Clicking 'Settings' in the top right corner of Gmail.
Click the 'Chat' tab and select the 'Disable outbound voice calling' in the 'Call Phones' section.

We appreciate your patience and apologize for any inconvenience this may have caused.

Matjaž Lojen ::

Ni zablokiral samo chat, ampak sploh nisem mogel pošiljati mailov. To se je kar nekaj časa dogajalo. No, sej ni kaj naredit, upam da bo zdej delalo.
Pero je močnejše od meča.

Roadkill ::

Ne uporabljat TORa za gmail in podobne stvari. To ti piše v navodilih uporabe TORa.
Možnost, da kdo želi kaj slabega storiti tvoji povezavi je na TORu precej večje, kot na tvojem ISPju.


To, kar si napisal, da se ti dogaja gre prej pripisati elektro podjetju in ISPju. Pokliči jih in povej, da ti povezava slabo deluje.
Pa brez panike, če imaš približno popatchan sistem, te nima kaj bat, da bi bil tarča napadov.

Če uporabljaš TOR, si na večini spletnih straneh obravnavan kot terorist. Na google/facebook/youtube ipd moraš kar naprej izpolnjevat Captche in dokazovat, da nisi skripta....

Poleg tega je pa povezava preko TORa tako počasna, da velikokrat timeouta.
Ü

Zgodovina sprememb…

  • spremenil: Roadkill ()

technolog ::

NeMeTko je izjavil:

technolog je izjavil:


Ubuntu je varen sistem, doker nameščaš samo iz ubuntu software centra ti ne more bit nič. To niso windowsi.


Kdaj boste že enkrat razumeli, da varnega sistema ni?

VSAK operacijski sistem ima svoje ranljive točke. Če ga sproti ne osvežujemo z zadnjimi popravki, imamo VEDNO opravka z ranljivim sistemom. Če nanj nameščamo programe pa ranljivost operacijskega sistema nadgradimo še z ranljivostmi, ki se skrivajo v posameznih programih.

Poganjaj karkoli hočeš, Mac-a, FreeBSD, Linux, Windows - VSAK sistem ima znane luknje. Za nekatere obstajajo popravki, za nekatere pa 'workaroundi'. Tudi routerji, pa celo požarne pregrade znanih proizvajalcev imajo varnostne luknje in ranljivosti!

Zato PROSIM, da NIKOLI več ne rečeš da je nek sistem, pa ne glede na to, kako se imenjuje - VAREN.


Logično je, da moraš nameščat popravke :)


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Tails - Varnostni Sistem

Oddelek: Operacijski sistemi
348632 (4224) OrkAA
»

Ali si z vpn pro res anonimen na netu (strani: 1 2 3 )

Oddelek: Pomoč in nasveti
12126670 (24363) poweroff
»

Predstavljen nov način napada na anonimizacijsko omrežje Tor

Oddelek: Novice / Varnost
155144 (4211) poweroff
»

Novosti na področju anonimizacije

Oddelek: Novice / Zasebnost
275426 (4346) B-D_
»

Ali firewall sploh vpliva na varnost računalnika?

Oddelek: Omrežja in internet
292521 (1969) Poldi112

Več podobnih tem