Novice » Varnost » Odkrit trojanec za Linux
jype ::
SeMiNeSanja> Vem za banko, kjer je uporabniška bančna aplikacija bazirana na X-ih.
In hkrati niti tega ne veš, da X strežnik ne teče na strežniku, temveč na odjemalcu?
In hkrati niti tega ne veš, da X strežnik ne teče na strežniku, temveč na odjemalcu?
SeMiNeSanja ::
SeMiNeSanja ::
SeMiNeSanja ::
Btw: V časih, ko so vsi uporabljali ASCII terminale, so tudi že obstajale sekvence, ki so lahko zablokirale terminale. Nekakšen antični Denial of Service napad.
-valvoline- ::
Prodajalci in developerji antivirusov so tisti ki v ozadju financirajo razvoj samih virusev in trojancev. Mislim da so kaspersky labs ze dobili pri takem pocetju.
krneki0001 ::
SeMiNeSanja je izjavil:
Za resnejšo vsakdanjo rabo (in ne za zbiranje statistik) dosti bolje služijo takšne požarne pregrade, ki imajo dinamične block liste. Na požarni pregradi definiraš običajna pravila, potem pa vse, kar krši ta pravila, mečeš za določen čas na block listo. Skeniranje takšne požarne pregrade je bistveno težje, saj avtomatsko zablokira vse IP range scan-e, kot tudi port scan-e - bistveno bolj učinkovito, kot navaden, še tako dobro integriran honeypot.
Meni je honeypot bolj uporaben, ker lovim še kodo, ki jo probajo inštalirat na mašino (imam tudi tako verzijo, da lahko udrejo in probajo kakega Trojanca nasložit).
Asrock X99 Extreme 4 | Intel E5-2683V4 ES | 64GB DDR4 2400MHz ECC |
Samsung 250GB M.2 | Asus 1070 TI | 850W Antec | LC Tank Buster
Samsung 250GB M.2 | Asus 1070 TI | 850W Antec | LC Tank Buster
SeMiNeSanja ::
krneki0001 je izjavil:
Meni je honeypot bolj uporaben, ker lovim še kodo, ki jo probajo inštalirat na mašino (imam tudi tako verzijo, da lahko udrejo in probajo kakega Trojanca nasložit).
Če nimaš zraven še nekega avtomatizma, ki bi preverjal signature za IPS/AV in jih po potrebi dopolnjeval, je tak honeypot uporaben bolj za 'raziskovalce' kot pa za produkcijska omrežja.
Sem pa mnenja, da imajo vsi AV/IPS ponudniki bistveno več resursov za analizo zbranih podatkov iz (večjega števila) honeypot-ov, kot jih lahko ti pa jaz spraviva skupaj. Poleg tega tudi ni ravno visoka verjetnost, da bi se ravno v tvoj honeypot ujelo nekaj, kar se še ni ujelo v nobenega od firm, ki se profesionalno ukvarjajo s tem.
Za firbcanje, učenje, kot zanimivost, je čisto ok, če poganjaš svoj honeypot. Za kakšno resnejšo rabo pri zaščiti lastne mreže pa povprečni Janez nima ne resursov, ne znanja, da bi zadeve spentljal skupaj - ob tem, da je takointako vprašljivo, če boš ujel kaj takega, kar tvoj AV/IPS ponudnik še ni zaznal in za to izdelal ustrezno signaturo.
Zato jaz raje stavim na kolikor toliko spodobno kombinacijo AV/IPS in če ti proračun dovoli, še sandbox sistema za odkrivanje škodoželjne kode.
Žal pa je to znanstvena fantastika za večino SLO podjetij, dokler kupujejo precenjeno železnino, da jim potem zmanjka za AV/IPS/....
To ti je tako, kot če kupuješ Mercedeza, pa zmanjka denarja za ABS, airbag,...., zimske gume. Toda točno to ti je stalna praksa pri nas.
BigWhale ::
SeMiNeSanja je izjavil:
Btw: V časih, ko so vsi uporabljali ASCII terminale, so tudi že obstajale sekvence, ki so lahko zablokirale terminale. Nekakšen antični Denial of Service napad.
A bejz no? :>
+++ATH
SeMiNeSanja ::
SeMiNeSanja je izjavil:
Btw: V časih, ko so vsi uporabljali ASCII terminale, so tudi že obstajale sekvence, ki so lahko zablokirale terminale. Nekakšen antični Denial of Service napad.
A bejz no? :>
+++ATH
To 'sabotira' modem, ne terminal... ('HangUp')
krneki0001 ::
SeMiNeSanja je izjavil:
krneki0001 je izjavil:
Meni je honeypot bolj uporaben, ker lovim še kodo, ki jo probajo inštalirat na mašino (imam tudi tako verzijo, da lahko udrejo in probajo kakega Trojanca nasložit).
Če nimaš zraven še nekega avtomatizma, ki bi preverjal signature za IPS/AV in jih po potrebi dopolnjeval, je tak honeypot uporaben bolj za 'raziskovalce' kot pa za produkcijska omrežja.
Sem pa mnenja, da imajo vsi AV/IPS ponudniki bistveno več resursov za analizo zbranih podatkov iz (večjega števila) honeypot-ov, kot jih lahko ti pa jaz spraviva skupaj. Poleg tega tudi ni ravno visoka verjetnost, da bi se ravno v tvoj honeypot ujelo nekaj, kar se še ni ujelo v nobenega od firm, ki se profesionalno ukvarjajo s tem.
Za firbcanje, učenje, kot zanimivost, je čisto ok, če poganjaš svoj honeypot. Za kakšno resnejšo rabo pri zaščiti lastne mreže pa povprečni Janez nima ne resursov, ne znanja, da bi zadeve spentljal skupaj - ob tem, da je takointako vprašljivo, če boš ujel kaj takega, kar tvoj AV/IPS ponudnik še ni zaznal in za to izdelal ustrezno signaturo.
Zato jaz raje stavim na kolikor toliko spodobno kombinacijo AV/IPS in če ti proračun dovoli, še sandbox sistema za odkrivanje škodoželjne kode.
Žal pa je to znanstvena fantastika za večino SLO podjetij, dokler kupujejo precenjeno železnino, da jim potem zmanjka za AV/IPS/....
To ti je tako, kot če kupuješ Mercedeza, pa zmanjka denarja za ABS, airbag,...., zimske gume. Toda točno to ti je stalna praksa pri nas.
Cel honeypot je narejen kot sandbox. Virtualka v VHD disku in potem imam čisto neokrnjeno kopijo tega, pa lahko primerjam, kaj se je spremenilo na dnevni bazi in katera koda je dodana.
Tega je sedaj že par let kar ta zadeva deluje in zbira IP-je in podobno. Sem pa to postavil nekoč v sodelovanju z eno slovensko firmo, ki se s tem ukvarja. http://www.hicsalta.si/ - Brane Vasiljevič, ko je še predaval na NT konferencah in podobnih dogodkih, ter javno kazal, kako se tem zadevam streže.
Asrock X99 Extreme 4 | Intel E5-2683V4 ES | 64GB DDR4 2400MHz ECC |
Samsung 250GB M.2 | Asus 1070 TI | 850W Antec | LC Tank Buster
Samsung 250GB M.2 | Asus 1070 TI | 850W Antec | LC Tank Buster
krneki0001 ::
In kaj je narobe s preverjanjem zunanjega omrežja?
Asrock X99 Extreme 4 | Intel E5-2683V4 ES | 64GB DDR4 2400MHz ECC |
Samsung 250GB M.2 | Asus 1070 TI | 850W Antec | LC Tank Buster
Samsung 250GB M.2 | Asus 1070 TI | 850W Antec | LC Tank Buster
SeMiNeSanja ::
@nebivedu - takšni 'individualni' honeypoti so morda bili zanimivi pred leti, ko nisi imel na razpolago tzv. 'reputation servisov' in raznoraznih drugih varnostnih storitev v oblakih.
Kdo razen raziskovalcev ima danes še čas ukvarjati se z analizo sprememb, ki so se zgodile na virtualnem sistemu? Če so se zgodile na virtualnem sistemu, so se verjetno tudi že zgodile na tvojem produkcijskem? V produkciji potrebuješ informacije čim prej, čim bolj avtomatizirano. Grožnjo je zaželjeno zaznati predenj lahko naredi škodo. Tega pa s pomočjo lastnega honeypota ne moreš doseči.
Poleg tega je danes naprednejši malware že tako pregnan, da zna ugotoviti, da ga poganjaš v virtualnem okolju in se temu ustrezno potuhne. Pri vsem tem pa je to le manjši del groženj, ki jih lahko prestrežeš na tak način. Večino uporabniki navlečejo sami s pomočjo spletnih brskalnikov, nekaj pride po mailu, ....
Večji smisel imajo omrežja honeypot-ov, ki so postavljeni kot nekakšni globalni senzorji. Taka omrežja poganjajo različni ponudniki varnostnih rešitev, pa tudi nekateri globalni ISP-ji (npr. http://sicherheitstacho.eu/). Taka omrežja potem napajajo različne varnostne storitve v oblakih, s pomočjo katerih lahko že ob vzpostavitvi povezave ocenjuješ, ali prihaja povezava s sumljive IP adrese in jo temu ustrezno blokiraš.
Problem teh oblačnih storitev pa je večinoma v tem, da niso brezplačne. Kadar gledaš raznorazne analize zanesljivosti zaščite požarnih pregrad, so vse te analize delane tako, da se za test vključi vse razpoložljive varnostne storitve, ki jih nek proizvajalec ponuja.
Potem pa gre tipični slovencelj kupovati rešitev za svoje podjetje, izbere rešitev znane blagovne znamke (ki se je solidno odrezala na testu) - a kupi zgolj železnino brez vseh varnostnih storitev. Kupi škatlo za 10k ali 20k€, ki dejansko ne premore ponuditi niti kančka več varnosti, kot navaden Mikrotik za 100€. Metanje denarja skozi okno. Mercedez brez ABS, brez airbagov, ....še celo brez avtoradija. Nebi bilo bolje vzeti npr. Forda z vso razpoložljivo opremo za isto ali celo nižjo ceno?
Kdo razen raziskovalcev ima danes še čas ukvarjati se z analizo sprememb, ki so se zgodile na virtualnem sistemu? Če so se zgodile na virtualnem sistemu, so se verjetno tudi že zgodile na tvojem produkcijskem? V produkciji potrebuješ informacije čim prej, čim bolj avtomatizirano. Grožnjo je zaželjeno zaznati predenj lahko naredi škodo. Tega pa s pomočjo lastnega honeypota ne moreš doseči.
Poleg tega je danes naprednejši malware že tako pregnan, da zna ugotoviti, da ga poganjaš v virtualnem okolju in se temu ustrezno potuhne. Pri vsem tem pa je to le manjši del groženj, ki jih lahko prestrežeš na tak način. Večino uporabniki navlečejo sami s pomočjo spletnih brskalnikov, nekaj pride po mailu, ....
Večji smisel imajo omrežja honeypot-ov, ki so postavljeni kot nekakšni globalni senzorji. Taka omrežja poganjajo različni ponudniki varnostnih rešitev, pa tudi nekateri globalni ISP-ji (npr. http://sicherheitstacho.eu/). Taka omrežja potem napajajo različne varnostne storitve v oblakih, s pomočjo katerih lahko že ob vzpostavitvi povezave ocenjuješ, ali prihaja povezava s sumljive IP adrese in jo temu ustrezno blokiraš.
Problem teh oblačnih storitev pa je večinoma v tem, da niso brezplačne. Kadar gledaš raznorazne analize zanesljivosti zaščite požarnih pregrad, so vse te analize delane tako, da se za test vključi vse razpoložljive varnostne storitve, ki jih nek proizvajalec ponuja.
Potem pa gre tipični slovencelj kupovati rešitev za svoje podjetje, izbere rešitev znane blagovne znamke (ki se je solidno odrezala na testu) - a kupi zgolj železnino brez vseh varnostnih storitev. Kupi škatlo za 10k ali 20k€, ki dejansko ne premore ponuditi niti kančka več varnosti, kot navaden Mikrotik za 100€. Metanje denarja skozi okno. Mercedez brez ABS, brez airbagov, ....še celo brez avtoradija. Nebi bilo bolje vzeti npr. Forda z vso razpoložljivo opremo za isto ali celo nižjo ceno?
krneki0001 ::
SeMiNeSanja je izjavil:
Potem pa gre tipični slovencelj kupovati rešitev za svoje podjetje, izbere rešitev znane blagovne znamke (ki se je solidno odrezala na testu) - a kupi zgolj železnino brez vseh varnostnih storitev. Kupi škatlo za 10k ali 20k€, ...
Ti pa res nimaš pojma o podjetjih, ane. Vsaj o slovenskih se ti ne sanja .
Namreč podjetja v sloveniji bi rada server za 100 evrov, delal naj bi pa kot super računalnik in imel najnovejši operacijski sistem gor, mail in sql server, pa še za backup naj bi skrbel in z antivirusnimi programi, firewallom in še in še...
Drugače pa nisi prej dobro prebral, da moj honeypot teče že nekaj let. Ja, takrat je bil zanimiv in zanimiv je zame še danes.
Asrock X99 Extreme 4 | Intel E5-2683V4 ES | 64GB DDR4 2400MHz ECC |
Samsung 250GB M.2 | Asus 1070 TI | 850W Antec | LC Tank Buster
Samsung 250GB M.2 | Asus 1070 TI | 850W Antec | LC Tank Buster
aleksander10 ::
Nebivedu se z honeypotom dotika samo zunanjih servisov, ki gledajo v svet, pa še glede tega je zelo omejen. Kot veš je večinoma napradov na nek servis internih. kaj boš z honeypotom naredil pri njih?
Varnost celotnega sistema je kompleksna zadeva in se dela celovito in ne samo na enem mestu. Kot je že Seminesanja rekel, vsaka naprava v omrežju je potencialna tarča in jo je potrebno zaščitiiti pred napadalci in učinkovito zaznati, kdaj je zadeva napadena. Ko zaznamo napad moramo imeti načrt, kako napad preprečiti. Kaj narediti takrat. Po napadu, pa je potrebno še enkrat vse preveit in popraviti luknje, ki so jih izkoriščali. In tako naprej in tako nazaj.
Najbolj so ranljivi sistemi zelo samozaverovanih adminov.
Varnost celotnega sistema je kompleksna zadeva in se dela celovito in ne samo na enem mestu. Kot je že Seminesanja rekel, vsaka naprava v omrežju je potencialna tarča in jo je potrebno zaščitiiti pred napadalci in učinkovito zaznati, kdaj je zadeva napadena. Ko zaznamo napad moramo imeti načrt, kako napad preprečiti. Kaj narediti takrat. Po napadu, pa je potrebno še enkrat vse preveit in popraviti luknje, ki so jih izkoriščali. In tako naprej in tako nazaj.
Najbolj so ranljivi sistemi zelo samozaverovanih adminov.
Aleksander
"A friend is someone who gives you total freedom to be yourself. (J.M.)"
"A friend is someone who gives you total freedom to be yourself. (J.M.)"
krneki0001 ::
aleksander10 je izjavil:
Nebivedu se z honeypotom dotika samo zunanjih servisov, ki gledajo v svet, pa še glede tega je zelo omejen. Kot veš je večinoma napradov na nek servis internih. kaj boš z honeypotom naredil pri njih?
Varnost celotnega sistema je kompleksna zadeva in se dela celovito in ne samo na enem mestu. Kot je že Seminesanja rekel, vsaka naprava v omrežju je potencialna tarča in jo je potrebno zaščitiiti pred napadalci in učinkovito zaznati, kdaj je zadeva napadena. Ko zaznamo napad moramo imeti načrt, kako napad preprečiti. Kaj narediti takrat. Po napadu, pa je potrebno še enkrat vse preveit in popraviti luknje, ki so jih izkoriščali. In tako naprej in tako nazaj.
Najbolj so ranljivi sistemi zelo samozaverovanih adminov.
Zato ker notranjih uporabnikov ni na honeypotu. Kaj naj tam varujem, če je pa to namensko postavljeno, da lovi zunanje IP-je s katerih se vdira ali poizkuša vdirat in kjer se lovi kodo, ki jo nekdo hoče naložit na server?
Asrock X99 Extreme 4 | Intel E5-2683V4 ES | 64GB DDR4 2400MHz ECC |
Samsung 250GB M.2 | Asus 1070 TI | 850W Antec | LC Tank Buster
Samsung 250GB M.2 | Asus 1070 TI | 850W Antec | LC Tank Buster
SeMiNeSanja ::
Postavi se v kožo pravega hackerja, ki te je vzel na piko.
Kateri sistem boš napadel? Tistega, ki je produkcijski, ali nekega XY, ki nima ne veljavne spletne strani, ne DNS zapisov, da se na njemu nahaja nekaj 'resnega' (npr. DNS ali mail server)?
Ali je honeypot 1:1 preslikava tvojega dejanskega spletnega strežnika, da ti analiza omogoči odkrivanje dejanskih ranljivosti produkcijskega strežnika? Če to ni, potem ti honeypot ne služi ničemur drugemu kot firbcanju, kaj se 'tam zunaj' dogaja - nima pa neke resnejše praktične vrednosti za zaščito produkcijskega sistema. To, s čemer se bo napadalec načrtno lotil tvojega produkcijskega strežnika, bo popolnoma nekaj drugega kot to, kar boš našel na honeypotu.
Za 'firbcanje' (ali če temu rečeš raziskovanje) čisto cool - če imaš čas, da se ukvarjaš s tem. Povprečni admin ga nima.
Za zaščito omrežja pa rabiš kaj drugega.
Kateri sistem boš napadel? Tistega, ki je produkcijski, ali nekega XY, ki nima ne veljavne spletne strani, ne DNS zapisov, da se na njemu nahaja nekaj 'resnega' (npr. DNS ali mail server)?
Ali je honeypot 1:1 preslikava tvojega dejanskega spletnega strežnika, da ti analiza omogoči odkrivanje dejanskih ranljivosti produkcijskega strežnika? Če to ni, potem ti honeypot ne služi ničemur drugemu kot firbcanju, kaj se 'tam zunaj' dogaja - nima pa neke resnejše praktične vrednosti za zaščito produkcijskega sistema. To, s čemer se bo napadalec načrtno lotil tvojega produkcijskega strežnika, bo popolnoma nekaj drugega kot to, kar boš našel na honeypotu.
Za 'firbcanje' (ali če temu rečeš raziskovanje) čisto cool - če imaš čas, da se ukvarjaš s tem. Povprečni admin ga nima.
Za zaščito omrežja pa rabiš kaj drugega.
SeMiNeSanja ::
Ti pa res nimaš pojma o podjetjih, ane. Vsaj o slovenskih se ti ne sanja :)) .
Namreč podjetja v sloveniji bi rada server za 100 evrov, delal naj bi pa kot super računalnik in imel najnovejši operacijski sistem gor, mail in sql server, pa še za backup naj bi skrbel in z antivirusnimi programi, firewallom in še in še...
Nisem govoril o najbolj 'low end' segmentu trga. Poglej srednji segment in kaj se tam nabavlja in uporablja. Poglej javne razpise... prebrskaj javne nabave ASA požarnih pregrad in poglej koliko teh so kupovali skupaj s kakšnimi varnostnimi servisi. Če najdeš enega, kjer se omenja vsaj IPS, boš že frajer.
krneki0001 ::
SeMiNeSanja je izjavil:
Postavi se v kožo pravega hackerja, ki te je vzel na piko.
Kateri sistem boš napadel? Tistega, ki je produkcijski, ali nekega XY, ki nima ne veljavne spletne strani, ne DNS zapisov, da se na njemu nahaja nekaj 'resnega' (npr. DNS ali mail server)?
honeypot se javlja kot web server z obsežno bazo.
SeMiNeSanja je izjavil:
Ali je honeypot 1:1 preslikava tvojega dejanskega spletnega strežnika, da ti analiza omogoči odkrivanje dejanskih ranljivosti produkcijskega strežnika? Če to ni, potem ti honeypot ne služi ničemur drugemu kot firbcanju, kaj se 'tam zunaj' dogaja - nima pa neke resnejše praktične vrednosti za zaščito produkcijskega sistema. To, s čemer se bo napadalec načrtno lotil tvojega produkcijskega strežnika, bo popolnoma nekaj drugega kot to, kar boš našel na honeypotu.
Daleč od tega, meni je to zabava, dejanski serverji so zaščiteni tako kot morajo biti.
SeMiNeSanja je izjavil:
Za 'firbcanje' (ali če temu rečeš raziskovanje) čisto cool - če imaš čas, da se ukvarjaš s tem. Povprečni admin ga nima.
Za zaščito omrežja pa rabiš kaj drugega.
Jaz nisem admin, jaz sem uradno programer.
Asrock X99 Extreme 4 | Intel E5-2683V4 ES | 64GB DDR4 2400MHz ECC |
Samsung 250GB M.2 | Asus 1070 TI | 850W Antec | LC Tank Buster
Samsung 250GB M.2 | Asus 1070 TI | 850W Antec | LC Tank Buster
BigWhale ::
Taprav _hecker_ bo ugotovil, da ima zenska, ki dela za salterjem v banki smart card v citalcu na taksnem mestu, da ga lahko komot vzame, prebere in vtakne nazaj v reader medtem k ona isce neke papirje.
SeMiNeSanja ::
SeMiNeSanja ::
@nebivedu - pa saj ti to ves čas govorim, da je stvar čisto cool za 'raziskovanje'. Da kakšno stvar vidiš iz 'prve roke' in ne samo iz nekih suhoparnih blog zapisov, itd.
Čeprav meni osebno je še veliko bolj poučno gledati pod prste 'ethical hackerju', ki se preizkuša na mojem sistemu in potem glede na videno zadeve prilagoditi, da bo kakšen njegov malo manj etični kolega imel resne težave 'kam priti'. Če veš, kako hackerji delajo, jim lahko nastaviš pasti. Če tega ne veš.....
Čeprav meni osebno je še veliko bolj poučno gledati pod prste 'ethical hackerju', ki se preizkuša na mojem sistemu in potem glede na videno zadeve prilagoditi, da bo kakšen njegov malo manj etični kolega imel resne težave 'kam priti'. Če veš, kako hackerji delajo, jim lahko nastaviš pasti. Če tega ne veš.....
BigWhale ::
SeMiNeSanja je izjavil:
Taprav _hecker_ bo ugotovil, da ima zenska, ki dela za salterjem v banki smart card v citalcu na taksnem mestu, da ga lahko komot vzame, prebere in vtakne nazaj v reader medtem k ona isce neke papirje.
To je pa že James Bond varianta... seveda gresta potem še na večerjo....
Mal prestara je bila za vabit jo na vecerjo. Tisto steklo na desni strani, je bilo siroko kakih 20cm in odprto z leve strani. Ni bila samo lina ampak samo 20cm stekla. Smartcard reader je tam na desni v kotu. :) Za kaj vse uporabljajo tiste kartice, ne vem ampak ne bi bilo blazno tezko ugotoviti.
SeMiNeSanja ::
Vseeno bi jo moral povabiti še na večerjo, da bi ti izdala pin kodo za tisto kartico in morda še kakšno dodatno geslo, potem pa še omogočila priklop na njihovo mrežo.
V takem primeru se že skorajda bolj splača, da se kar z njo zmeniš, da bosta skupaj izpeljala 'podvig', potem pa zbežala nekam v eksotične kraje, saj bi pustila preveč sledi, da vaju nebi dobili pri taki zlorabi.
Zagotovo pa to ni najbolj optimalno mesto za 'nastaviti' čitalec pametnih kartic.
V takem primeru se že skorajda bolj splača, da se kar z njo zmeniš, da bosta skupaj izpeljala 'podvig', potem pa zbežala nekam v eksotične kraje, saj bi pustila preveč sledi, da vaju nebi dobili pri taki zlorabi.
Zagotovo pa to ni najbolj optimalno mesto za 'nastaviti' čitalec pametnih kartic.
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Equation Group razvil hujše metode kot Stuxnet (strani: 1 2 )Oddelek: Novice / Varnost | 33784 (27567) | Iatromantis |
» | Programi z Download.com oviti v dve plasti namestitve (strani: 1 2 )Oddelek: Novice / Omrežja / internet | 15950 (13268) | MrStein |
» | "zlata" bronasta Petra (strani: 1 2 )Oddelek: Loža | 10389 (8792) | JayKay |
» | Dark BASIC...Oddelek: Programiranje | 1208 (973) | Ellesar |
» | profesionalni zvok na računalniku (ali vsaj blizu)Oddelek: Kaj kupiti | 2569 (2072) | Manson |