Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: petrous 13. 06. 2015, 07:35:06
-
Zdravim,
Je mozne aby slo nejak detekovat zda nekdo na svem pocitaci nabootuje z flasky nejaky linux? Na pocitaci normalne jede win. Je to pro IT oddeleni nemozne nebo se to da udelat?
Da se to pripadne zpetne zjistit?
Dekuji
-
V běžných podmínkách to to není možné detekovat.
-
Pokud se bude počítač připojovat do sítě, tak podle síťový komunikace by to mělo jít nějak poznat? Minimálně bude žádat o IP adresu, možná i kontrolovat automatický aktualizace,... Taky případně proskenování portů na nějaký linux only služby by snad mohlo něco odhalit.
Bude-li PC offline, tak těžko.
Nemožnost nabootování jiného systému, taky znemožnuje secure boot, ne?
A nebo prostě v BIOSu vypnout USB porty či bootování z nich.
-
Zakazat bootovanie zo vsetkeho a ponechat len bootovanie z hdd, odpojit dvd mechaniku?, zaheslovat bios, pravidelny scan jednotlivych ip na sluzby, nezrovnalosti sa ukazu. Nic viac asi nespravis. To sa tam toho linu bojite, alebo ode skor o predbezne opatrenie nech tam nikto nic nerozvrta.
-
To sa tam toho linu bojite, alebo ode skor o predbezne opatrenie nech tam nikto nic nerozvrta.
Opravdu si myslíš, že Linux v rukou záškodníka je bezzubý?
K otázce: Zrušit USB, zrušit CD/DVD mechaniky a stejně si nebudu jist, zda dotyčný nevymění HDD. Dokud existuje fyzický přístup k počítači, obrana neexistuje. Stačí kabel vedoucí ke klávesnici nebo k myši...
-
To sa tam toho linu bojite, alebo ode skor o predbezne opatrenie nech tam nikto nic nerozvrta.
Opravdu si myslíš, že Linux v rukou záškodníka je bezzubý?
A to ti ako vyplynulo z kontextu ze si nieco take myslim? Ja viem ze niekedy do cestiny veci zneju inak. Ale toto fakt nie.
-
Tak tedy, ano, možné to je.
Nastavit bootovací médium se ukázalo jako nedostatečné, bootmenu přes F12 je totiž trochu složitější zakázat a požadavek na DHCP chodí ze stejné MAC adresy jako normální PC.
Ale jsou čtyři velmi jednoduché cesty.
Ve zkratce Cisco ISE, skenování sítě sudo nmap -O 10.1.1.1 (tím poznáš běžící Linux), nebo DHCP fingerprinting a proxy browser checking.
Cisco ISE ti řekne, jestli tam jsou Widle nebo Linux.
NMAP ti řekne, jestli tam jsou Widle nebo Linux.
DHCP fingerprinting zjistí, jestli se něco změnilo a jestli si máš dát pozor.
Proxy ti Browser checking ti řekne, jestli tam jedou přes IE nebo přes něco jiného.
Pokud chceš detailnější rady, můžeme se domluvit, sazby máme od 200Euro za hodinu.
-
Dobre a co kdyz jsem fakt krysa a bootnu z USB Windowsy a z nich si pres virtualku bootnu Linux? :D
-
Nastartovaný linux jde pomocí výše uvedených postupů detekovat a je jedno, jestli ho nabootuješ z usb nebo připojíš Linuxový stroj do sítě.
Pak jsou ještě další pokročilejší možnosti, které bych nerad rozebíral, protože člověk si nějak musí vydělat na chleba.
-
To je zase diskuze, bylo by fajn, kdyby tazatel upřesnil svůj dotaz, proč ho to zajímá, a co se tím snaží dokázat. Libovolné zabezpečení lze nějak obejít, není jasné jestli jde o zabezpečení sítě, nebo dat na disku v počítači.
Jinak z mojí zkušenosti ze zabezpečení, 90% ajťáků si hraje s antiviry, firewally a já nevím co a uniká jim hlavní pointa - nejde o to splňovat nějaké tabulky, best practicies či teorie bezpečnosti, jde o to uvažovat jako útočník.
Když budu mít databázi o 100 zákaznících, a ajťák bude uvažovat o tom, jak to udělat, abych jí neodnesl (kontrolovaný mail, šifrovaný disk, zabezpečené zařízení, a já nevím co), tak Maruška od vedle si vezme foťák, otevře si tabulku, udělá 3 fotky monitoru a jóo, je to jednoduché a zrovna na tohle nikdo nemyslel 8)
Fígl je myslet trošku nekonvenčně a out-of-the-box, a místo zabezpečování databáze 100 zákazníků (což je nemožné), tam přidat jednoho fiktivního zákazníka s fiktivním mailem a čekat na honeypotu, kdo se chytne ;D Právě proto je vše velmi specifické a obecné rady neexistují
-
Zakázat boot menu je dostatečné, pokud to deska umí (má Boot order lock), ale ne všechny to umí. Lze zakázat legacy USB (podporu USB zařízení přes spuštěním OS) a USB disky se pak v boot menu ani neobjeví. Jen je potřeba mít někde klávesnici s PS/2, protože bez USB legacy se do BIOSu s USB klávesnicí nedá dostat. Tohle se tedy týká bootování přes BIOS.
Pokud tam máte UEFI, tak tam bývají možnosti ještě širší (zakázat bootování z USB, zakázat boot menu, secure boot s vlastními podpisy, …). Někdy tohle ale nejde nastavovat z menu po startu počítače a je potřeba program od výrobce desky.
Nicméně ani tohle vás neochrání od případu, kdy někdo přinese svůj notebook a připojí ho místo toho počítače.
Ale jsou čtyři velmi jednoduché cesty.
Ve zkratce Cisco ISE, skenování sítě sudo nmap -O 10.1.1.1 (tím poznáš běžící Linux), nebo DHCP fingerprinting a proxy browser checking.
Cisco ISE ti řekne, jestli tam jsou Widle nebo Linux.
NMAP ti řekne, jestli tam jsou Widle nebo Linux.
DHCP fingerprinting zjistí, jestli se něco změnilo a jestli si máš dát pozor.
Proxy ti Browser checking ti řekne, jestli tam jedou přes IE nebo přes něco jiného.
Čekal bych, že člověk, co si hodlá účtovat stovky € za hodinu, bude mít alespoň základní znalost toho, jak jsou všechny tyhle metody velmi nespolehlivé, a že zmíní alespoň jednu kryptografickou metodu.
Detekci OS lze snadno obelhat (https://nmap.org/misc/defeat-nmap-osdetect.html). Různé specializované linuxové USB obrazy se umí tvářit jako různé verze Windows, často si můžete volit při bootu verzi Windows.
DHCP fingerprinting je ještě jednodušší obejít, stačí poslat paket ve formátu, jaký odesílají ty Windows. DHCP sice podporuje autentizaci (RFC 3118), ale Windows to neumí. Anebo ještě jednodušeji stačí přečíst IP adresu z Windows a v Linuxu prostě DHCP nepoužívat.
To samé browser checking, změnit identitu prohlížeče je často jenom jeden klik.
Ze spolehlivých metod je třeba 802.1x, PANA, SEND nebo RADIUS.
-
Když budu mít databázi o 100 zákaznících, a ajťák bude uvažovat o tom, jak to udělat, abych jí neodnesl (kontrolovaný mail, šifrovaný disk, zabezpečené zařízení, a já nevím co), tak Maruška od vedle si vezme foťák, otevře si tabulku, udělá 3 fotky monitoru a jóo, je to jednoduché a zrovna na tohle nikdo nemyslel 8)
Právě, na spoustu útoků vůbec není nějaký Linux potřeba. Vhodné zabezpečení by mělo být takové, že je jedno, jestli útočník připojí do sítě Linux, protože tím nic nezíská. Vhodné je tedy spíš limitovat přístup podle oprávnění zaměstnanců. Pokud má Maruška přístup k databázi zákazníků, tak jí nikdo nedokáže 100% zabránit, aby ji neukradla.
-
Panove moc dekuji, jde hlavne o to, ze na pocitacich mame nastaveny vsechny usb porty jako read only, maily se monitoruji, programy jsou pevne dane, internet ma cloudy taky blokle a monitoruje se.
Jediny zpusob jak muze zamestnanec vynest data je skrz nabootovani jineho os pres usb, kde to teda blokovanane na urovni biosu nemame.
-
Hm, co kdyz si ten zamestnanec podle prinese scp pro Widle a ty data si nekam nakopiruje na ssh server? Mate zablokovane spousteni binarek odjinud, nez z adresaru s oficialne instalovanymi binarkami? A co kdyz si zamestnanec nekam na web hodi stranku, ktera bude vhodne rafinovanymi get pozadavky vynaset data? Vidim to tak, ze pro sichr budete muset kazdemu za zaa postavit policajta a to sklerotickeho, aby nevynasel data v pameti.
-
Tak pokud nekdo ma znalosti, urcite si poradi, uz treba jen vyndanim hdd a pripojeni k notebooku. Jde o to to co nejvice a nejjednoduseji znemoznit bfu.
-
Mna napadlo pouzivat dosky s Intel ATM. Nasledne kontrolovat PC a logy. Tusim, ze cez ATM by sa dalo odhalit, keby niekto bootoval z nieco ho ineho ako je standardne dane alebo bootoval iny OS.
Nevyhoda je, ze HW s podprou ATM je drahsi. Inac je to vyborna vec na spravu PC a v novsich verziach podporuje aj KVM. Je to v podstate desktopova nahrada serverovskeho IPMI.
-
Mna napadlo pouzivat dosky s Intel ATM.
Pokud ti stačí zabránit a ne zalogovat, tak nic takového není potřeba a prostě v BIOSu vypneš bootování z externích zařízení. Když se nastaví heslo do BIOSu, tak to uživatel nezmění (leda že by resetoval CMOS, ale to znamená, že už rozdělal počítač, a tedy může přípojit disk k USB-SATA převodníku třeba do svého mobilu).
Tusim, ze cez ATM by sa dalo odhalit, keby niekto bootoval z nieco ho ineho ako je standardne dane alebo bootoval iny OS.
Jenom aby potom nevynášelo data přímo AMT :) http://www.stewin.org/papers/dimvap15-stewin.pdf
-
Panove moc dekuji, jde hlavne o to, ze na pocitacich mame nastaveny vsechny usb porty jako read only, maily se monitoruji, programy jsou pevne dane, internet ma cloudy taky blokle a monitoruje se.
Jediny zpusob jak muze zamestnanec vynest data je skrz nabootovani jineho os pres usb, kde to teda blokovanane na urovni biosu nemame.
To zní fajn, teď data může ukrást jedině administrátor. Ááá, vlastně si takový případ pamatuji, dělal jsem ve firmě, kde zaměstnanci založili s IT administrátorem konkurenční firmu a on jim pomohl vynést všechna data, včetně zdrojových kódů CRM a dalších systémů :-)
Nebo jsem taky dělal ve firmě, kde se kradl celý hardware, uklízečka ho za pár korun vzala. Mimo jiné, i kdybys tam měl kamery nebo třeba bys mi špicloval za zadekí, tak ti tam přijdu, skloním se pod stůl, dám tam svoje Raspberry Pi s DHCP a Samba serverem, připojím k tomu počítač a zkopíruji si data po síti. A jsi v zadeki :D Teď začneš uvažovat jak zabezpečit tohle, ale upřímně, když ty data budu chtít, tak i kdybych tam měl chodit z HD kamerou v knoflíku od košile (ano, to se dá za pár korun v Číně koupit), tak je odtamtud dostanu.
-
BTW, USB porty se daji take uplne zakazat pomoci tavneho lepidla. :)
-
a neni lepsi se branit na perimetru
neco jako [port-security + tac/radius]
a pustit do lan jen toho kdo na to ma opravneni (key/login)
(pre login/nebo certifikat lokalni)
???
-
a neni lepsi se branit na perimetru
neco jako [port-security + tac/radius]
a pustit do lan jen toho kdo na to ma opravneni (key/login)
(pre login/nebo certifikat lokalni)
???
802.1x uz tu padlo