Příspěvky

8506

Server / Re:Hacknutý server - co dělat?

« kdy: 24. 04. 2012, 14:19:07 »

Date odkaz na eshop, kde je mozne kupit nieco, co bude nepozorovane zaznamenavat data prenasane cez USB tak, aby to zvladla zapojit aj upratovacka a nebolo to velmi napadne? (Velmi napadne = nie som uplne blby, aby som zapojil flashku do medzikusu)
Toto poskytuje odolnost proti jednemu konkretnemu typu utoku - proti pouzitiu upratovacky, ktora je schopna zapojit HW keylogger k lubovolne bezpecnemu systemu.

Ale o to prece vubec nejde, jak snadno se to da koupit. Dulezite je, ze si nikdy nemuzete byt jisty, ze k takovemu utoku nedoslo -> klic na flashce nijak nezvysi vasi JISTOTU.

A kluc na flashke je sice zneuzitelny dlhsie, ale bolo by treba, aby si ho niekto stihol skopirovat pocas par sekund

A to je nejaky problem, mit skript, ktery automaticky zkopiruje obsah kazde vlozene flashky? Takove softy existuji i pro windows.

Jeden z X komercne dostupnych HW USB analyzeru: http://www.totalphase.com/products/beagle_usb12/
Jeden z X dostupnych softwaru, kopirujicich flashku bez vedomi uzivatele: http://www.technize.com/usb-hidden-copier-v11-released/

8507

Server / Re:Hacknutý server - co dělat?

« kdy: 24. 04. 2012, 11:01:04 »

A jeste k tomu presunu na jiny port: jak rikam, mam praktickou zkusenost, ze boti skenovani portu s cilem najit ssh (zatim) nedelaji. Takze ssh na nestandardnim portu neni zaplaveno miliony pokusu script kiddies. Neni timpadem problem si hlaseni o neuspesnych pokusech o prihlaseni nechat posilat treba pres jabber -> clovek hnedka vidi, ze dochazi k nejakemu vaznejsimu utoku. Pri ssh na standardnim portu se takovyhle vaznejsi pokus o utok utopi v tech milionech stupidnich pokusu. A to je docela podstatny rozdil.

8508

Server / Re:Hacknutý server - co dělat?

« kdy: 24. 04. 2012, 10:45:27 »

To ale je lepsie v niektorych pripadoch (nie v tom mojom). Viz spominany HW keylogger (nevylucujem, ze je aj USB keylogger, ale boli by s nim problemy, ktore som opisal; mozete mi pripadne poslat adresu, kde sa da kupit?).

Pro me osobne (opet: muzete to hodnotit jinak) je dulezite, jestli ta dana metoda je vuci kompromitaci urciteho zdroje imunni nebo neni. Pokud imunni neni, musim mit alespon vysokou jistotu, ze k utoku nedoslo.

Klic na flasce proste neni imunni vuci pozmenenemu SW nebo HW uplne stejne jako proti nemu neni imunni heslo.

Jak rikam, jako standardni zpusob prihlaseni pouzivam smart card, u ktere mam temer 100%ni jistotu, ze mi klic nebude ukraden. Pokud ji pouziji na kompromitovanem pocitaci, vznika riziko zneuziti klice v dobe, kdy je tam ta SC pripojena. Mam ale rozumnou jistotu, ze mi klic z ni nebude odcizen. To je vyrazne zvyseni JISTOTY oproti pouziti hesla nebo klici na flasce.

Pokud mam navic duveryhodny zpusob, jak zjistit, ze ke zneuziti v te inkriminovane dobe nedoslo (napr. tak, ze kazde prihlaseni na ony ucty se mi hlasi na mobil - coz ja takhle mam), tak mam prakticky 100% JISTOTOU, ze ke zneuziti nedoslo.

Klic na flasce ale oproti samotnemu heslu neprinasi navic JISTOTU zadnou. Respektive jenom tu, kterou jsem napsal: kdyz nekdo odpozoruje heslo, ale neukradne klic, ke kompromitaci klice nedoslo.

A ako sa teda vypocita pocet pokusov, ked netusim nic o "nahodnosti" hesla? Keby som si nahodou zvolil heslo "Fckgwrhqq2", tak to tiez vyzera nahodne, ale bruteforcne to kde-kto.

Ja bych se na to dival z druhe strany: bruteforce spociva v prohledavani nejakeho stavoveho prostoru, ktery ma nejakou jasne danou velikost. Pokud ma utocnik nejakou znalost, ktera mu umozni stavovy prostor zmensit (napr. vi, ze heslo ma 6 znaku), pak je samozrejme prolomeni hesla snazsi. Utocnik muze pouzit spoustu poznatku z bezneho sveta (napr. vi, ze nejcastejsi jsou hesla typu "root","abcdef","123456", potom jenom mala pismena, potom mala i velka atd.), ale pokud tuhle znalost mam i ja, tak si takove heslo zamerne nezvolim.

A opet tady plati, ze nejucinejsi jsou casto ta nejjednodussi opatreni - napr. jednosekundova prodleva mezi vlozenim hesla a potvrzenim jeho spravnosti + omezeni poctu moznych soucasnych autentizaci -> vyrazne se zvysi doba potrebna pro prolomeni hesla a normalni uzivatele sekunda nezabije. (tohle je jenom priklad, v realu by to melo problemy)

8509

Server / Re:Hacknutý server - co dělat?

« kdy: 24. 04. 2012, 08:08:00 »

Suhlas; ako som pisal, je to podobne ako so zmenou portu SSH - tiez vas zachrani to, ze boty bezne nescanuju porty a neobstalo by to len u trochu zmeneneho utoku. O rovnakych prostriedkoch vo vseobecnosti pochybujem, viz opis dalej.

Já jsem ale netvrdil, že přesun na jiný port je lepší než něco jiného. Narozdíl od vás, který jste tvrdil, že klíč na flashce je lepší než (kvalitní) heslo.

Ak je naozaj silne, tak ano.

No to jsem rad, ze jsme se konecne shodli

OT: Ako otestovat silu hesla?

Vynasobit prumerny pocet pokusu potrebnych k uhadnuti hesla casem potrebnym na jeden pokus.

8510

Server / Re:Hacknutý server - co dělat?

« kdy: 23. 04. 2012, 23:17:48 »

Raz mi to "zachranilo zivot" pri SW keyloggeri na (predtym podla mna) doveryhodnom stroji.

Pokud je nedůvěryhodný stroj, přes který se přihlašuju, padá jakákoliv bezpečnost. Jinými slovy, nezachránil vás klíč, zachránilo vás to, že šlo jenom o keylogger a ne o upravené sshčko.

Okrem skoro nepomoze odchytenie hesla (odpocuvanie klavesnice; moze byt aj na HW urovni).

To je ten samý případ. Mám-li HW, který může číct klávesnici, můžu mít se stejnou námahou HW, který kopíruje obsah flashky.

Dalej to je bezpecnejsie proti bruteforce-ovaniu, kedze sa heslo nepouziva.

Myslím, že tady zaznělo z úst někoho jiného dostatečně jasně, že silné heslo je z praktického hlediska stejně neprolomitelné jako klíč.

A "rozkaz" pouzivat kluce pre vsetkych uzivatelov SSH zvysuje bezpecnost nielen moju, ale aj uzivatelov, na ktorych nemam taky priamy dosah a inak by si mohli dat aj heslo 123456.

Dohled nad hesly jiných uživatelů je úplně jiný problém.

cielenejsom utoku by toto neobstalo - je to niekde na urovni zmeny portu sshd.

Vůbec nejde o cílenější útok. Ono by to neobstálo u malinko jiného útoku stejnými prostředky. Je prostě náhoda, že ses setkal s útokem A a ne útokem B, protože oba vyžadují stejné prostředky.

Podarilo se mi vse eliminovat, ale chtel jsem tim rict ze ne vzdy dochazi k primemu prolomeni prez ssh. 

Ono hlavně v tomhle případě nejde o prolomení sshčka, ale o blbě zvolené heslo. Stejně tak se může bruteforcovat heslo klidně k imapu. Proto je alfou a omegou mít buď kvalitní heslo (což nic moc nestojí), nebo kvalitní ochranu proti bruteforce (což stojí hodně).

8511

Server / Re:Hacknutý server - co dělat?

« kdy: 23. 04. 2012, 19:01:37 »

2 Pavouk106
A jak se projevi na logu pokus o autentifikaci bota kdyz je vypnute prihlasovani heslem? Projevi se to nejak nebo je komunikace proste zahozena?

U normálního sshčka takhle:

Kód: [Vybrat]

debug1: No more authentication methods to try.

Když bot nedostane k dispozici autentizaci heslem, tak se nejspis hnedka odpoji, pokud není blbej. Ale kdoví

8512

Server / Re:Hacknutý server - co dělat?

« kdy: 23. 04. 2012, 18:34:04 »

Ja *osobne* zase hodnotim zaheslovany privatny kluc (AES sifrovanie) pri slusnom hesle + nutnost nieco mat (flashku alebo subor z nej) ako mensie riziko ako samostatne heslo. Ale hodnotenie je zase aj vasa vec.

Muzu se zeptat, proti jakemu typu utoku je takove reseni odolnejsi oproti samotnemu heslu?

Jedine, co me napada, je proste odkoukani zadavani hesla kamerou (bez dalsich kroku jako je zkopirovani flashky, to uz by bylo nastejno). Nic jineho me fakt nenapada.

8513

Server / Re:Hacknutý server - co dělat?

« kdy: 23. 04. 2012, 17:25:58 »

A co verejny / privatny kluc "na flashke"?

To povazuju za daleko nebezpecnejsi nez kvalitni heslo (flashka se da ukrast, nepozorovane zkopirovat, ... cokoli).

Ja *osobne* to hodnotim jako vyssi riziko. Jak to hodnotite vy, to je vase vec.

8514

Server / Re:Hacknutý server - co dělat?

« kdy: 23. 04. 2012, 17:00:39 »

Staci si pockat na nejaky 0day ssh exploit a potom zacne zabava (kludne staci aj nieco ako predictable random number generator z Debianu). Alebo mozno bude stacit len niekto schopnejsi a cieleny utok.

...anebo na 0day exploit pro Postfix. Takze asi zavedeme port-knocking pro port 25

To neviem, ale pisete

3. kvalitní heslo jako nouzovka když 2 nejde použít

(a taky pripad si nejak neviem predstavit)

Takovy pripad nastane napriklad tehdy, kdyz se prihlasuju ze stroje, ktery nemam pod spravou a tedy tam nemuzu pouzit smart card (neni podpora), ale zaroven spravci duveruju, ze mi nesnifuje heslo. Jiste je to riziko, ale v jistych situacich jsem ochoten ho podstoupit.

Jinak bych asi znovu zopakoval, ze jsem mluvil o tom, co pouzivam ja. Jini lidi maji jine potreby a tedy i jina reseni, ktere jim neberu.

Jinak bych doporucil ke cteni thread "Nekonecne dlouhy auth.log" http://www.freebsd.cz/listserv/archive/users-l/2008q4/thread.html#22906 a specialne Danuv prispevek: http://www.freebsd.cz/listserv/archive/users-l/2008q4/022935.html

8515

Server / Re:Hacknutý server - co dělat?

« kdy: 23. 04. 2012, 16:47:56 »

Inak k flamu tady: Presuvanie na iny port nema vyznam - kazdy aspon trochu schopnejsi bot oskenuje porty.

Ze zkušenosti můžu potrvdit opak. Na pěti serverech s sshčkem otevřeným do světa na nestandardním portu během několika let si nepamatuju žádnej útok. Předtím několik denně.

A vobec nechapem, preco by som mal mat povolene prihlasenie pomocou hesla.

A on tě někdo nutí ho mít povolené?

8516

Server / Re:Hacknutý server - co dělat?

« kdy: 23. 04. 2012, 16:21:34 »

Jinak k tomu flamu tady: nebylo by lepší než měnit porty říct které IP se mohou připojit? Zakázat všechny kromě... xxx.xxx.xxx.xxx

"Lepší" z hlediska čeho?

Já se třeba neustále pohybuju mezi X různýma sítěma, v některých z nich mají dokonce stanice veřejné IP adresy. O připojení z mobilu ani nemluvě. Takže pro mě osobně je daleko lepší použít:
1. nestandardní port
2. smart card jako standardní způsob přihlášení
3. kvalitní heslo jako nouzovka když 2 nejde použít

1 je ochrana proti otravujícím botům (hlavně mi vadilo přeplňování logu. zbytečná zátěž serveru a linky není zas taková trága). 2 a 3 je situaci-odpovídající ochrana proti cílenému útoku.

Pokud bych chtěl na tom mým způsobu něco vylepšovat, zvažoval bych one time passwords a delay pro neúspěšná přihlášení. Zatím ale nevidím důvod.

Takhle to vyhovuje mým potřebám, tvoje potřeby můžou být úplně jiné, takže úplně jiné může být i jim odpovídající řešení. Pokud chceš třeba útoky zkoumat, nebo útočníky prudit, můžeš si na port 22 umístit falešné sshčko s nějakým honeypotem Fantazii se meze nekladou, záleží jenom na tom, čeho chceš dosáhnout.

8517

Server / Re:Hacknutý server - co dělat?

« kdy: 23. 04. 2012, 13:41:14 »

neb to nemá cenu

Souhlasim.

8518

Server / Re:Hacknutý server - co dělat?

« kdy: 23. 04. 2012, 13:14:23 »

tudíž ani změna portu k ničemu nevede atd. atd.

Jisteze vede: presun na jiny port eliminuje celou jednu skupinu utoku a to jsou utoky botu.

VPN ale [skoro] nic neprinasi, protoze jenom pridava druhou vrstvu s uplne stejne silnym zabezpecenim. S trochou nadsazky je to asi tak jako kdyz k jedne FABce pridas druhou, uplne stejnou. Temer shodneho efektu muzes dosahnout zdvojnasobenim delky klice.

8519

Server / Re:Hacknutý server - co dělat?

« kdy: 23. 04. 2012, 13:02:26 »

SSH na jiný port nemusíš dávat je to zbytečné, nastav si přihlašování přes klíče a pokud můžeš tak jen přes VPN /není podmínkou/ .

Neni to zbytecne. Jakmile bot najde otevreny ssh port, zacne ho bombardovat pokusy - to vede minimalne k zbytecnemu zahlceni pripojeni. Zakazovani podle IP v dnesni ere botnetu nema moc smysl - tabulka zakazanych IP bobtna a utoky pokracuji.

Pristup k ssh pres vpn je uz uplny nesmysl. Napr. OpenVPN ma stejne silnou autentizaci jako ssh, takze to zadny vyznamny narust bezpecnosti neprinasi, jenom to komplikuje pristup.

8520

Server / Re:Hacknutý server - co dělat?

« kdy: 23. 04. 2012, 09:10:51 »

Sken portů a tohle úžasné bezpečnostní opatření zdrží útočníka o půl minuty.

To neni opatreni proti cilenemu utoku, ale proti botum.