Archiwa kategorii: Wspiarcie techniczne

Wspiarcie techniczne

Orbit Downloader zagrożeniem dla komputerów

Podczas badań przeprowadzonych przez Eset okazało się, że jeden z najpopularniejszych programów do ściągania plików Orbit Downloader ma w sobie złośliwy kod. Przypomnijmy, że Orbit jest menadżerem do pobierania plików, który integruje się z przeglądarką internetową, program przyśpiesza pobieranie plików, oraz pozwala na zapisywanie na dysku strumieniowego przekazu multimedialnego (np. filmików z YouTube). Sama aplikacja cieszy się dużą popularnością i jest darmowa, choć jej producent zarabia pośrednio na wyświetlaniu reklam zarówno podczas instalacji jak i użytkowania programu. Eset standardowo kontroluje takie narzędzia by zapobiec samoistnemu (bez zgody użytkownika) wyświetlaniu reklam oraz instalowaniu fragmentów aplikacji (np. pasków narzędzi toolbar).

Dokładniejsza analiza wykryła, że w Orbit pomiędzy wersjami 4.1.1.14 a 4.1.1.15 dodano fragment złośliwego kody zaklasyfikowany jako Win32/DDoS.Orbiter.A.

Wspomniany komponent pozwala niezauważalnie dla użytkownika przeprowadzić z pomocą jego komputera atak DoS. Czyli komputer wysyła zapytanie do wskazanego servera pod fałszywym IP co powoduje zawieszenie połączenia. Jeśli przyjąć, że więcej zarażonych Orbitem komputerów zadaje identyczne zapytania w tym samym czasie to mówimy już o ataku DDoS. Z pomocą takiego ataku można doprowadzić do przeciążenia servera i zawieszenia działalności strony lub serwisu.

Program na własnym komputerze można dość łatwo wykryć oglądając obciążenie ruchu internetowego, ponieważ program generuje mocno obciążającą liczbę zapytań.

Poważna dziura w systemie Android

Jedna z firm zajmujących się bezpieczeństwem zgłosiła poważny błąd w oprogramowaniu Android.Najpopularniejszy system używany na urządzeniach mobilnych jest okazuje się być poważnie zagrożony. Problemy wykryto w wersji 1.6 , ale już wiadomo, że dotyczy także wszystkich wyższych wersji.

Sposób ataku jest dość niespodziewany, gdyż odbywa się z użyciem aplikacji, którą sami instalujemy na tablecie lub smartfonie. Hakerzy są bowiem w stanie zmienić kod APK bez konieczności zmiany podpisu cyfrowego, który używany jest często do uwierzytelnienia certyfikatu bezpieczeństwa. Możliwe są takie modyfikacje aplikacji, które sprawią, że urządzenie stanie się zoombie, a włamywacz będzie miał pełny dostęp do wszystkich kontaktów i danych zamieszczonych na zaatakowanym urządzeniu.

Co ciekawe podobno na ataki nie są narażone osoby, które instalują oprogramowanie z poza sklepu Google Play. Producenci urządzeń z Androidem podobno już pracują nad łatką do oprogramowania.

Serwery proxy dla Linuksa – funkcjonalność i szybkość

Bezpieczeństwo i prywatność w sieci to dwa aspekty, które są najistotniejsze w naszym surfowaniu po internecie. Wchodzimy na strony, których treść czasami jest dla nas kontrowersyjna bądź wstydliwa. Kto w takiej sytuacji chciałby pokazać, na jakich witrynach był? Wchodząc na stronę www, na przestrzeni dyskowej serwera zostawiamy czy chcemy tego czy nie nasz wirtualny ślad. Ślad ten, potocznie nazywany adresem IP, jest niejako znacznikiem, który pozostawiamy po sobie w sieci. Na podstawie tego znacznika, administrator danej strony doskonale wie, jakie są nasze preferencje, czego szukamy i tak dalej. Doskonałym rozwiązaniem, które eliminuje takie ślady jest zastosowanie serwera pośredniczącego, czyli serwera proxy. Jego zastosowanie jest bardzo sprytne, ponieważ sam posiada inny adres IP, przez co serwer docelowy identyfikuje jego, zamiast miałby zidentyfikować komputer bezpośredniego nadawcy. Serwery Proxy obsługują dosłownie każde połączenie internetowe. Mogą one obsługiwać serwery http, które są obecne podczas zwykłego otwierania witryn. Mogą też obsługiwać obecne przy katalogach wewnętrznych stron serwery ftp, a także obsługiwać serwery pocztowe POP 3, IMAP i tak dalej. Dlatego, gdy jesteśmy na przykładowo poczcie internetowej, nie możemy zobaczyć bezpośredniego adresu IP nadawcy, ale możemy zobaczyć IP serwera pośredniczącego. Serwery proxy mają wiele zalet. Poza tym, ze mogą filtrować nasz adres IP, mogą jeszcze na przykład blokować niechciane treści, bądź też przyspieszać otwieranie strony www, której odczytywanie nasz host rozpoczyna nie z serwera macierzystego, ale z serwera pośredniczącego – proxy.

Pierwszym serwerem, który może pełnić funkcję serwera proxy (dla protokołów HTTP oraz FTP), choć może też działać jako zwykły serwer HTTP jest bardzo popularny i zarazem najdłużej rozwijany) serwer Apache (dzięki temu posiada on tez bardzo bogata dokumentację). Jest to program open source. Aby mógł on działać jako serwer proxy potrzebne jest uruchomienie modułu mod_proxy. Usługa buforowania jest zaś dostępna dzięki modułowi mod_cache. Serwer Apache, może funkcjonować w podwójny sposób. Pierwszy, to tradycyjna konfiguracja serwera proxy, który jest zabezpieczeniem i buforem danych podczas tradycyjnych połączeń z siecią. Innym zaś zastosowaniem jest tak zwana brama. Jest to już bardziej skomplikowana konfiguracja, która pozwala na łączenie się komputerów znajdujących się w sieci wewnętrznej, z komputerami znajdującymi się poza firewallem, czyli notabene poza obrębem własnej sieci. Dzięki temu, komputer w zamkniętej sieci jest chroniony przed atakami z zewnątrz. Jego ślady są zacierane przez serwer proxy, który podaje dla serwera odbiorcy swoje dane, zamiast rzeczywistych danych komputera nadawcy. Jak na razie serwer Apache działa w sposób tekstowy. Widać to zresztą powyżej. Jest bowiem wzmianka o tym, że jego funkcje uruchamia się w trybie tekstowym. Zresztą, jest to standard w Linuksie. Wiele na przykład dystrybucji Linuksowych instaluje się wyłącznie w trybie tekstowym. Nawiasem mówiąc, nauka instalacji Linuxa Slackware w trybie tekstowym musi zająć parę godzin. Wracając jednak do Apache’a trwają prace nad jego uruchomieniem w trybie graficznym.

Kolejnym, najbardziej chyba popularnym (oczywiście po Apache’u) jest serwer Squid. Ten serwer proxy jest można by powiedzieć inteligentny. Gromadzi on informacje o stronach które odwiedzamy, ale nie po to, żeby się nimi chwalić w sieci innym użytkownikom, ale po to, żeby dzięki nim tworzyć hierarchiczne listy serwerów, których zawartość jest najczęściej wyszukiwana przez użytkowników. Taka funkcjonalność jest bardzo korzystna dla użytkowników ale też i dla serwerów. Jeśli chodzi o użytkowników, to Squid znacznie przyspiesza łączenie się z witrynami poszukiwanymi przez użytkownika. Jeśli zaś chodzi o serwery, to nie wysyła zapytań o całą ich zawartość, lecz wyszukuje jedynie tych informacji, które są mu najbardziej potrzebne. Zmniejsza to obciążenie sieci, a tym samym zmniejsza też obciążenie samych serwerów, które szybciej mogą udostępniać dane informacje dla chociażby innych użytkowników, którzy niekoniecznie z samego Squida korzystają.

Innym popularnym serwerem HTTP dla Linuksa,wydawanym na licencji BSD, mogącym również działać jako serwer proxy jest nginx. Jego cechą charakterystyczną jest to, że jest on bardzo szybki i może obsługiwać bardzo obciążone portale internetowe. Taka sytuacja jest możliwa właśnie dlatego, że nginx posiada dużą skalowalność. Polega ona na tym, że może on być rozbudowywany i demontowany bardzo szybko, w zależności od tego jakie jest zapotrzebowanie na obsługę tegoż serwera. Serwer ten może być użytkowany jako serwer proxy dla serwerów pocztowych, http i innych. Może być też używany jako odwrócone proxy, czyli wspomniane nieco wyżej zabezpieczenie sieci wewnętrznych korporacji.

Kolejnym bardzo szybkim, a zarazem zużywającym mało zasobów sprzętowych (głównie pamięci operacyjnej) serwerem HTTP, który posiada wsparcie dla proxy, jest serwer lighttpd. Podobnie jak nginx jest on wysoko skalowalny. Skalowalność była już wymieniona przy serwerze nginx, oznacza ona szybką możliwość takiego kształtowania serwera, iż może on bardzo szybko dostosowywać się do obciążenia danej witryny. Działa on również w sieciach, które są bardzo obciążone. Jeśli więc wykorzystamy go w ruchu pośredniczącym, będziemy mogli cieszyć się znacznie szybszym ładowaniem strony www.

Serwery proxy są bardzo użyteczne umożliwiając zarówno ukrycie swojej tożsamości, jak i znacznie optymalizując ruch sieciowy powodując mniejsze obciążenia poszczególnych serwerów i umożliwiają szybszy dostęp do zasobów sieci. Wśród nich są tez serwery bardzo wydajne, a wykorzystujące zarazem mało zasobów sprzętowych – przede wszystkim pamięci. Dzięki funkcji odwróconego proxy możliwa jest także ochrona serwerów, an przykład serwerów firmowych, które chcą udostępniać w sieci (poza zaporą ogniową) na przykład stronę internetową firmy. Dziki ich łatwej dostępności dla systemu Linux, który jest darmowy można je łatwo przetestować tworząc chociażby własny, niewielki serwer.

Cechy różnych serwerów SMTP pracujących pod Linuksem

Linux to w większości darmowy system operacyjny bazujący na systemie UNIX. Choć bardzo dobrze sprawdza się on w zastosowaniach desktopowych, to jego udział na rynku tych systemów operacyjnych jest stosunkowo niewielki. Jednak główny udział Linuksa przypada na zastosowania serwerowe, gdzie od lat ma on opinię stabilnego i bezpiecznego systemu. Na serwerach (w ujęciu sprzętowym) pracujących pod kontrola systemu Linux działa wiele dużych portali światowych oraz stron takich instytucji ,jak giełdy niektórych państw, czy strony dużych banków. Dzięki odpowiedniemu oprogramowaniu Linux może służyć też do obsługi poczty elektronicznej. Programy, które służą do obsługi poczty elektronicznej to tzw. serwery poczty elektronicznej (ang. Mail Transfer Agent, MTA) pozwalające na przesyłanie wiadomości elektronicznych do poszczególnych adresatów. Sposób przekazywania tych wiadomości opisują tak zwane protokoły komunikacyjne.

Powszechnie używanym protokołem komunikacyjnym jest SMTP (ang. Simple Mail Transfer Protocol). Dla systemu Linux istnieje przynajmniej klika programów, potrafiących obsługiwać proroków SMTP, które nazywa się serwerami SMTP. Warto się niektórym z nich przyjrzeć z bliska.

 

Jednym z najbardziej popularnych i najstarszych serwerów poczty elektronicznej, który obsługuje m.in. protokół SMTP jest Sendmail. Ten otwarto-źródłowy serwer poczty elektronicznej rozwijany jest od początku lat 70-tych. Swoja popularność w systemach linuksowych i innych uniksopodobnych zawdzięcza też w głównej mierze temu, że był on natywnym serwerem poczty w systemach takich jak Unix. Sendmail jest uważany za dość trudny w obsłudze, gdyż wymaga on sprawnego „poruszania się” po plikach konfiguracyjnych w poszczególnych katalogach, a także znajomości dużej liczby komend, co w ostatnich czasach wpłynęło na spadek jego popularności na rzecz innych programów. Wpływ na to też miała duża ilość wykrytych dziur w oprogramowaniu, a niemodułowa budowa lecz funkcjonowanie jako pojedynczy program ułatwiało ataki hakerskie. Możliwe jest skorzystanie z jego wersji całkowicie darmowej, jak i wersji komercyjnej z dodatkowym wsparciem technicznym.

 

Następnym z serwerów SMTP jest Exim (Experimental Internet Mailer). Program ten, tak jak wiele innych przeznaczonych dla Linuksa jest rozwijany przez Uniwersytet w Cambridge rozprowadzany na licencji GNU GPL. Klasyfikacja poczty w tym programie oparta jest na routerach określających reguły jej kierowania, a za pomocą tzw. transporterów jest ona przesyłana do zewnętrznego serwera, bądź też umieszczana w pliku lub katalogu na dysku, czyli w odpowiedniej skrzynce mailowej. Jeżeli zapis odbywa się w katalogu, to mówimy o formacie zapisu maildir, polegającego na tym, że do wiadomości zapisywane są w katalogu maildir (podkatalog katalogu home, czyli katalogu domowego w systemach linuksowych), w którym znajdują się standardowo 3 podkatalogi, w których grupowane są:

  • wiadomości odczytane (podkatalog cur)
  • wiadomości nieodczytane (podkatalog new)
  • wiadomości tymczasowe (podkatalog tmp)

Innym sposobem zapisu wiadomości jest tzw. mailspool, gdzie poszczególne wiadomości zapisywane są w jednym pliku (katalog /var/spool/mail/nazwa_użytkownika). Poszczególne wiadomości oddzielone są od siebie pustą linia, zaś kolejność zapisu wygląda tak,że najnowsze wiadomości są dopisywane na końcu pliku). Działanie Exima opiera się na zasadzie, że za przetwarzanie informacji odpowiedzialny jest w zasadzie jeden program, który może jednak współpracować z innymi, takimi jak filtr antyspamowy (np. SpamAssassin) oraz programy antywirusowe (np. linuksowy Calm-AV, mksvir, czy F-Secure). Możliwe jest tez korzystanie przez Exim z baz danych takich jak chociażby MySQL).

 

Kolejnym serwerem SMTP jest postfix. Jest to szybki, bezpieczny oraz łatwy w administrowaniu program. Jest on udostępniany na licencji IBM. Oprócz protokołu SMTP obsługuje on też m.in. protokoły IPv6, czy TLS Uważany jest za dobrą alternatywę dla innych tego typu programów, jak Sendmail czy Exim. Posiada ona bardzo wiele opcji konfiguracyjnych i jest zoptymalizowany pod kątem obsługi dużych ilości danych poczty elektronicznej. W przeciwieństwie do programu takiego jak Exim, postfix składa się z wielu tzw, demonów wykonujących określone zadania. Nie pracują one na uprawnieniach roota, ale na niższych, co pomaga w ochronie przed różnymi atakami hakerskimi. Możliwa jest tez współpraca z zewnętrznymi programami, takimi jak choćby filtr antyspamowy. Postfiks do zapisu wiadomości wykorzystuje formaty takie jak maildir, czy mbox, którego zasada działania jest podobna jak formatu mailspool (zapis w jednym pliku).Program ten jest dystrybuowany zarówno w postaci kodu źródłowego, który trzeba samodzielnie skompilować, a następnie zainstalować program. Wiele dystrybucji udostępnia jednak ten program także w swoich repozytoriach.

 

Ostatnim serwerem SMTP, któremu warto się dokładniej przyjrzeć jest qmail. Jego pierwsza wersja powstała w latach 90- tych. Podobnie jak wyżej opisany postfix program ten posiada modułową budowę i poszczególne moduły z kilkoma wyjątkami pracują z uprawnieniami zwykłego użytkownika, co znacznie utrudnia ataki hakerskie. Dodatkowym zabezpieczeniem jest możliwość „współpracy programu” z oprogramowaniem antywirusowym. Ponadto jest to program dobrze dopracowany, ze względu na rzadki cykl wydawniczy. Serwer ten posiada zabezpieczenie przed utratą i niedostarczeniem przesyłanych danych w postaci wiadomości (na przykład podczas awarii). Podobnie jak postfix serwer qmail jest wydajnym serwerem zdolnym do obsługi wielu wiadomości (nawet do kilku milionów dziennie). Od paru lat serwer ten jest dostępny na zasadach public domain, dzięki czemu można modyfikować kod źródłowy.

 

Spośród serwerów poczty SMTP dla Uniksa i pochodnych, czy li m.in. Linuksa można wybierać te, które okażą się najszybsze i najbardziej niezawodne oraz bezpieczne. Są to serwery, które wymagają niekiedy dużego wysiłku podczas konfiguracji i obsługi, jak na przykład Sendmail oraz nowsze, w których konfiguracja jest już znacznie łatwiejsza.

Problemy z routerami Linksysa

irma DefenseCode opublikowała video, w którym pokazuję jak zdalnie można przejąć kontrolę nad routerami firmy Linsysa WRT54GL (ale na atak podatne są także inne modele). Błąd podobno dotyczy wszystkich firm warów.

DefensCode wysłała do Cisco (producent Linksysa) informację o błędzie, zwrotnie Cisco poinformowało że problem usunięto, ale… jak sprawdzili specjaliści DefenseCode były to tylko słowa, Cisco nic nie zrobiło z Bugiem.

Szczegóły exploita mają być podane w ciągu tygodnia – to powinno zmotywować Cisco do działań

http://www.youtube.com/watch?v=cv-MbL7KFKE&feature=player_embedded

Nokia „podsłuchuje” dane, a Google czyta maile

Kiedyś książkę Georga Orwella traktowano jako paranoiczny wymysł, choć z pewnością stanowiłą, na swój spoósb, doskonałe odwzorowanie przekonań o dziłaniach z roku 1948 roku. Jej absurdalistyczny na one czasy przekaz, stał się dzisiaj chlebem powszednim. W zasadzie wielu osób już zupełnie nie dziwią doniesienia o tym, że Google czyta ich prywatną korespondecję, sami też chętnie „sprzedają” swoja prywatność na Facebooku. Niedawno jednak wszystkich zaelektryzowała wiadomość o działaności Nokii. Okazało się, że firma stosuje technikę, które ma służyć klientom, ale tak naprawdę możę stać się potem do fatalnej w skutkach. Nokia przejmuje połączenie HTTP i HTTPS przepuszczając je przez własny serwer szyfrując i rozkodowywując dane swoich użytkowników z pomocą własnego certyfikatu (zaufane CA) znajdującego sie w oprogramowaniu. Tym samym firma stosuje atak typu Man in the Middle. Wchodzi w ten sposób w posiadanie takich danych jak loginy, hasła, nasze dane do kont bankowych i inne. Szczytnym założeniem firmy miało być oszczędzanie pakietów przesyłania danych użytkowników. Działąnie ma na celu pobranie strony przez ultraszybki serwer Nokii, jej kompresję i szybkie przesłanie na urządzenie.

Okazuje się, żę podobnie zachowują się przeglądarki Opera Mini oraz Silk (by Amazon). Jesteśmy zatem permanentnie inwigilowani, a zbierane o nas dane mogłby z powodzeniem nas pogrożyć.

Co na to Nokia? Zastrzega, że dane przetwarzane są w sposób bezpieczny…no cóż wszędzie tam gdzie w grę wchodzi czynnik ludzki nie ma pewności, sami zatem możecie sobie odpowiedzieć na ile bezpieczne jest używania urządzeń mobilnych do poważnych zadań z użyciem poufnych danych.

Blokady dostępu do internetu

Od momentu kiedy internet stał się medium codziennego użytku powstał problem blokowania dostępu do internetu w miejscach pracy. Amerykanie w swoich badaniach na ten temat zaprzeczają sami sobie. Raz twierdzą, że niewielki dostęp do internetu w godzinach pracy wpływa na pracownika motywująco, pozwalając mu lepiej się organizować, a czasem odciążyć umysł z kolejnego prywatnego zadania które niewielkim nakładem udaje się załatwić w godzinach pracy. Inni snują teorie dotyczącą marnotrawienia czasu przez pracowników i starają się ograniczyć dostęp do internetu. W Polsce bywa z tym różnie, część instytucji i firm odcina dostęp ze względu na zasady bezpieczeństwa. Jeśli jednak zablokujemy tylko pojedyncze adresy możemy się spodziewać obejścia np. poprzez wpisanie adresu z www jeśli jego normalna forma nie zawiera tego przedrostka, lub podanie adresu IP strony. Można też korzystać ze stron niezablokowanych, które posiadają przekierowania np. zablokowanie Gmail.com nie ogranicza dostępu do poczty, bo wystarczy skorzystać z adresu mail.google.com. Sposobów jest jeszcze znacznie więcej, ale my się skupimy na aspekcie bardziej społecznym. Nk, Facebook, Allegro to jednak złodzieje czasu w pracy nic zatem dziwnego, że u naszych klientów blokujemy jakiekolwiek możliwości wejścia na te serwisy, są jednak i tacy, którzy idą znacznie dalej…..

To my chcielibyśmy dodać, że możemy zablokować linie lotnicze, pkp, pks, mpk i polski bus….ale Zucha jakoś przemycimy za ten jakże trafny komentarz.

Wnioski z audytów czyli zacznij od hasła

Nie będziemy Was zanudzali, szczegółami technicznymi, jednak do podawanego co roku rankingu najgorszych haseł dodalibyśmy kilka własnych, które znaleźliśmy podczas audytów.

NASI FAWORYCI:

haslo   bezhasla   gargamel   costam   wpiszcos   imie
login   brakhasla    admin      misio77   tygrysek   user
root    macho         klik         enter       „login”      ok
***** (tak tak to autentyk)

To wszystko jest jeszcze zabawne, gdy takie kwiatki odkrywają nasi audytorzy, ale zdecydowanie gorzej, gdy śmiech ogarnie potencjalnego włamywacza.

A oto oficjalna lista

1. password      2. 123456     3. 12345678     4. abc123         5. qwerty

6. monkey        7. letmein      8. dragon         9. 111111        10. baseball

11. iloveyou     12. trustno1   13. 1234567     14. sunshine     15. master

16. 123123      17. welcome   18. shadow      19. ashley       20. football

21. jesus         22. michael     23. ninja          24. mustang    25. password1
Kontrolujcie w Waszej firmie adminów przynajmniej tyle, jeśli nie chcecie poddać się audytowi…a może czasem rozważcie możliwość inwestycji zapewniającej Wam spokojniejsze podejście do tematu włamań z zakresu IT.