Category Archives: Ασφάλεια

Ασφάλεια, Οδηγοί/Ηοwtos

Προστασία στο Linux από rootkits

Μιας και επικρατεί πως το Linux/Unix style OS είναι το πιο ασφαλές λειτουργικό -κι όχι άδικα- θα θέλαμε να επισημάνουμε και κάποιους κινδύνους που εγκυμονούν από μια τέτοια σιγουριά. Είναι γεγονός ότι στο ελεύθερο λογισμικό-ανοικτού κώδικα, του οποίου η φιλοσοφία είναι απαλλαγμένη από το κέρδος και τις συνεχείς αναβαθμίσεις με σκοπό κυρίως το χρήμα, δεν υπάρχει μεγάλος κίνδυνος μόλυνσης από ιούς/rats κτλ σε σχέση με τα Windows. Υπάρχουν όμως γνωστά local exploits, backdoors, rootkits και malware που τρέχουν και στο Linux, πέρα από τα κατά καιρούς vulnerabilities/exploits που ανακαλύπτονται/δημιουργούνται αντίστοιχα, σε γνωστές εφαρμογές και services (Buffer Overflows για παράδειγμα). Άρα μια τυπική προστασία και έλεγχος θα πρέπει να υπάρχει πάντα. Επίσης να αναβαθμίζουμε τακτικά τις εφαρμογές μας και τη διανομή μας (ειδικά στην περίπτωση των servers).

Πάμε στο ψητό 🙂

Σ’αυτό το άρθρο θα παρουσιάσουμε την χρήση 2 βασικών προγραμμάτων/scanners για εντοπισμό γνωστών rootkits και όχι μόνο:

1) rkhunter [http://rkhunter.sourceforge.net]

2) chkrootkit [http://www.chkrootkit.org]

Γενικά βρίσκουν και εντοπίζουν πολλά worms, LKMs και rootkits. Μπορείτε να δείτε περισσότερα στις ιστοσελίδες που υπάρχουν ακριβώς από πάνω.

Εγκατάσταση: Σε debianοειδή (ubuntu κτλ) υπάρχουν έτοιμα τα πακέτα. Για παράδειγμα βεβαιωνόμαστε ότι υπάρχουν με την εντολή στο terminal:

sudo apt-cache search chkrootkit

Λογικά θα μας δώσει:

chkrootkit - rootkit detector
rkhunter - rootkit, backdoor, sniffer and exploit scanner

Είμαστε Ok λοιπόν! Άρα τα εγκαθιστούμε με το synaptic (gui για το apt) ή από την κονσόλα:

sudo apt-get install chkrootkit rkhunter

Σε άλλες διανομές κοιτάξτε στα αποθετήρια τους, αλλιώς κατεβάστε τα από τις παραπάνω ιστοσελίδες, οι οποίες έχουν και οδηγίες.

Μετά την εγκατάσταση ας τα τρέξουμε…

Scanning:

Πριν αρχίσουμε , καλό θα ήταν να δούμε τα man pages των εργαλείων μας ή και τα readme τους. Για τα man pages:

man chkrootkit

man rkhunter

Και τα δύο προγράμματα θέλουν root priviledges για να τρέξουν, οπότε πάμε με sudo ή ως root χρήστης:

Α) rkhunter:

Πρώτα κάνουμε και ένα update:

sudo rkhunter –update

Στη συνέχεια τo τρέχουμε με options: -c (check local system) και -sk (skip keypress για να μην χρειαστεί να πατήσουμε άλλα πλήκτρα κατά το scanning) για ένα γενικό scan στο σύστημά μας:

sudo rkhunter -c -sk

Μόλις τελειώσει, θα δούμε στην κονσόλα τα αποτελέσματα και ελπίζουμε να είναι θετικά χωρίς infections.

Υπάρχουν και άλλα modules στο rkhunter και όπως γράψαμε παραπάνω μπορείτε να ψαχτείτε στο man page!

B) chkrootkit:

Αντίστοιχα και για το chkrootkit, εκτελούμε στην κονσόλα:

sudo chkrootkit

Τα πάντα στο output θα πρέπει να λένε: nothing found!

Σημείωση: Τα εργαλεία αυτά δεν προλαμβάνουν κάποια rootkits, αλλά εντοπίζουν πιθανές μολύνσεις. Επίσης μετά από μια μόλυνση ίσως να χρειαστεί πλήρης εγκατάσταση από την αρχή της διανομής.

Αυτό ήταν. Happy rootkit hunting! 😉

 

Αναλύσεις, Ασφάλεια

Ίχνη που αφήνουν οι USB συσκευές και τι να κάνουμε με αυτά

Όταν συνδέουμε μια συσκευή USB σε έναν υπολογιστή Windows, καταγράφονται διάφορες πληροφορίες για την συσκευή οι οποίες μπορούν να αποδειχθούν είτε χρήσιμες είτε επικίνδυνες.Μερικά σενάρια είναι :

  • Κάθε USB χαρακτηρίζεται από ένα serial number, μοναδικό για κάθε συσκευή ενός κατασκευαστή. Επομένως σε περίπτωση που είτε ο υπολογιστής είτε το φλασάκι πέσουν στα χέρια των αρχών, το να ταυτοποιηθεί που έχει χρησιμοποιηθεί είναι αρκετά εύκολο.
  • Το να βάλει κάποιος ένα USB σε κάποιον υπολογιστή και να τραβήξει (ή να αφήσει δεδομένα) είναι ζήτημα δευτερολέπτων.Είναι καλό λοιπόν να γνωρίζουμε τι έχει συνδεθεί κατά διαστήματα στον υπολογιστή μας έτσι ώστε να προλαβαίνουμε δυσάρεστες καταστάσεις.

Τα παραπάνω μπορούν να γίνουν χρησιμοποιώντας το πρόγραμμα USBDeview, το οποίο παρουσιάζει τις πληροφορίες αυτές σε αναγνώσιμη μορφή.

 

 

Μερικές χρησιμες από αυτές είναι

  • το είδος της συσκευής
  • το serial number
  • πότε συνδέθηκε πρώτη και πότε τελευταία φορά στον υπολογιστή

Επίσης επιτρέπει την διαγραφή καταχωρήσεων  “εξαφανίζοντας” μια συσκευή από τον υπολογιστή, σαν να μην συνδέθηκε ποτέ.

Ασφάλεια, Οδηγοί/Ηοwtos

Απενεργοποίηση του autorun

Leave a comment

Το autorun είναι μία από τις “ευκολίες” που μας προσφέρουν τα Windows,επιτρέποντας σε εκτελέσιμα προγράμματα να τρέχουν κατά την σύνδεση του USB stick με τον υπολογιστή. Η δυνατότητα λειτουργεί όταν υπάρχει στο φλασάκι ένα αρχείο με όνομα autorun.inf. Αν τα Windows εντοπίσουν το αρχείο αυτό, το διαβάζουν και εκτελούν τις οδηγίες που δίνονται μέσα σε αυτό. Την δυνατότητα αυτή εκμεταλλεύεται ένα μεγάλο μέρος των ιών που κυκλοφορούν εδώ και χρόνια στο internet ώστε να εκτελούνται χωρίς εμείς να το παίρνουμε χαμπάρι. Για πλήρη προστασία από τέτοιου είδους κακόβουλα προγράμματα υπάρχουν δύο πράγματα που μπορούμε να κάνουμε :

1) να προστατεύσουμε το φλασάκι μας από την επεξεργασία του αρχείου autorun.inf από τρίτους

2) να προστατεύσουμε τον υπολογιστή μας, απενεργοποιόντας την λειτουργία autorun.

Και τα δύο βήματα είναι απαραίτητα γιατί το πρώτο δεν μας εξασφαλίζει από μόνο του ότι όλα τα φλασάκια που θα συνδεθούν στον υπολογιστή θα είναι “υγιή”, ενώ το δεύτερο από μόνο του δεν μας εξασφαλίζει ότι αν συνδέσουμε το φλασάκι μας σε κάποιον άλλο υπολογιστή αυτό δεν θα κολλήσει κάποιον ιό.

 

Προστασία του USB stick

 

1. Kάνουμε format το usb stick σε FAT32.Σε Windows αυτό γίνεται συνδέοντας στον υπολογιστή το φλασάκι και στο εικονίδιο που θα εμφανιστεί στο My Computer κάνουμε δεξί κλικ και επιλέγουμε Format.

2. Δημιουργούμε μέσα στο usb stick ένα κενό αρχείο με την ονομασία autorun.inf

3. Χρησιμοποιώντας έναν hex editor της αρεσκείας μας (en.wikipedia.org/wiki/Hex_editor) κάνουμε μια αναζήτηση μέσα στο usb stick για “AUTORUN” (χωρίς τα εισαγωγικά), οπότε το αποτέλεσμα που εμφανίζεται είναι:

41 55 54 4F 52 55 4E 20 49 4E 46 20
A   U  T   O   R   U  N       I    N   F

4. Με τον hex editor τροποποιούμε το παραπάνω ακολούθως:

41 55 54 4F 52 55 4E 20 49 4E 46 40
A   U  T   O   R   U  N        I   N   F  @

5. Κάνουμε save, αγνοώντας όποια προειδοποίηση ότι το usb stick θα υποστεί κάποια βλάβη, βγάζουμε το stick από τη θύρα και το επανασυνδέουμε.

Μπορούμε πλέον να δούμε το autorun.inf μέσα στο stick, αλλά είναι αδύνατη η διαγραφή του ή οποιαδήποτε τροποποίησή του. Ως συνέπεια αυτού, κανένας δε μπορεί να δημιουργήσει ένα νέο autorun μέσα στο usb stick. Και έτσι δε μπορεί να τρέξει καμία ενέργεια εν αγνοία μας ή να μεταδοθούν μέσω autorun λειτουργίας δεδομένα ή εντολές σε υπολογιστές στους οποίους θα συνδεθεί το usb stick.

 

Προστασία του υπολογιστή

 

α) Βάλτε linux 😛

Για Windows XP

  1. Πηγαίνουμε Start -> Run, γράφουμε Gpedit.msc στο κουτάκι Open και πατάμε OK.
  2. Στο Computer Configuration, επεκτείνουμε (πατώντας τον σταυρό) το Administrative Templates και κάνουμε κλικ στο System.
  3. Στο Settings panel, κάνουμε δεξί κλίκ στο  Turn off Autoplay και πατάμε το Properties.
  4. Κάνουμε κλίκ στο Enabled, και μετά επιλέγουμε το All drives στο κουτάκι Turn off Autoplay ώστε να απενεργοποιηθεί για όλες τις συσκευές.
  5. Πατάμε OK, κλείνουμε το παράθυρο και κάνουμε restart

Για WIndows Vista/ 7

  1. Πάμε Start, γράφουμε Gpedit.msc στην αναζήτηση και πατάμε  ENTER. Αν ζητηθεί κωδικός Administrator, τον γράφουμε και πατάμε Allow
  2. Στο Computer Configuration, επεκτείνουμε το Administrative Templates, επεκτείνουμε το Windows Components και κάνουμε κλικ στο Autoplay Policies.
  3. Στο Details pane κάνουμε διπλό κλικ στο Turn off Autoplay.
  4. Κάνουμε κλικ στο Enabled και επιλέγουμε το All drives στο κουτάκι Turn off Autoplay ώστε να απενεργοποιηθεί για όλες τις συσκευές.
  5. Κάνουμε restart