Sta je spoofing ? - Spoofing mozemo opisati kao jednu naprednu tehniku gde jedan craker uspeva da se uloguje na odreredjenu masinu kroz upesno presretanje i falcifikovanje paketa sa "trusted" - verovane "source" -izvorne adrese (hosta)
Sta u stvari ovo znaci ? Da bi ovo shvatili treba da razjasnimo dva osnovna pojma u obezbedjenju networka: "Trust"- poverenje i autentikaciju.
"Trust" ili poverenje je vrsta relacije izmedju dva hosta/domeina koji mogu biti u network-vezi.
Autentikacija je procedura koji hostovi koriste da bi sebe identifikovali jedno drugom na networku.
Poverenje i autentikacija stoje u obrnutoj srazmeri: sto god vise hostovi “veruju" jedan drugom to je procedura autentikacije blaza i obrnuto.
Kao user svako ima iskustva autentikacije sa ispunjavanjem user-name i password-a .
Hostovi se cesto identifikuju izmedju sebe po IP-u i host-name-u (imenu hosta)- zasto se koriste najcesce tzv RHOST fajlovi.
U ovim fajlovima se navode koji useri sa kojih hostova imaju koju vrstu "trusted" accesa - tj direktog logovanja bez autentikacije (user-name passwd)
Fajlovi /etc/hosts.equiv i .rhosts sluze kao acces databaze za r-comande (remote) (rlogin, rcp, rcmd, remsh remcp) (vidi manual pages ) - u njima su navedeni externi hostovi koji su "trusted" tj useri sa hostova navedenih ih u ovim fajlovima mogu da se uloguju bez autentikacije (username -passwd ispunjavanje ...)
Redovi u /etc/hosts.equiv se odnose na celi sistem i napravljeni su od root-a i imaju dejstvo na celi sistem, dok su .rhosts fajlovi uglavnom usmereni prema odredjenim userima sa odredjenih hostova i imaju uticaja na odredjene direktorijume - zato je veoma bitno da se ne dozvoli userima da kreiraju svoje sopstvene .rhost fajlove u svojim home-direktorijumima, jer to kreira jako puno malih security rupa koje je lako iskoristiti od onoga koji zna kako. Strogo se preporucije pravljene proste scripte koja realtivno cesto (recimo svakih pola sata ) pretrazuje home direktorijume usera u brise svaki fajl pod imenom .rhost.
Naravno za two-way trust relaciju i ovi drugi hostovi koji su navedeni u ovim fajlovima moraju da imaju korespondirajuce RHOSTS files sa korespondirajucim entrijima.
E sad, verifikacija i identifikacija menju ovim trusted hostovima se bazira na IP-source adresi - gde zapravo i pocinje frka jer tu lezi slabost celog ovog sistema - jer ako craker uspe da falcifikuje IP-source adresu sa trusted hosta i ubedi host na koji hoce da se uloguje da je user sa verovanog hosta koji moze da se uloguje na datu masinu bez cekiranja user-name i passworda onda je na ovaj nacin zaobisao celokupnu proceduru oko krakiranja passworda, logovanja, otrkrivanja user-name-a itd ...
Medjutim ovo nije bas toliko prosto kao sto izgleda.
Sad ovde dolazi malo TCP/IP znanja. IP protokol je odgovoran za paket transfer podataka, medjutim ovaj transfer nije "siguran"- garantovan - tj IP samo salje podatke od tacke A na tacku B - ali ne garantuje i ne proverava da su oni stigli na odrediste - tj dali su zalutali ili ostecene prilikom transfera -to je posao TCP protokola koji kontrolise i verifikuje primanje paketa po sekvencijalnoj metodi i koji se brine da osteceni i zalutali paketi pudu isponova poslati time sto to trazi od hosta-posiljaoca na osnovu sekvencijalih brojeva paketa (jos uvek prati neko ovo ?! - )
E sad, da bi hostovi ostali u vezi i da bi spoofing napad uspeo, craker treba da resi dva problema - da otkrije i falcifikuje izvornu IP-adresu verovanog hosta i da odrzava i ne prekida dialog (paket-transfer) izmedju dva verovana hosta - sto je najtezi deo posla jer craker mora da odgovori korektnim sekvencijanim brojem paketa koji je poslat od hosta-cilja (nadam se da ovo ne postaje suvise komplikovano - ali ne moze mogo prostije od ovoga)
Recimo, craker zna da postoji trust relacija izmedju 201.132.0.13 i 198.170.190.8 - kako je ovo doznao - o tome drugom prilikom ...
- On hoce da provali u 201.132.0.13 i zato mora da se prestavi kao 198.170.190.8 i zbog toga mora da falcifikuje tu adresu.
E sad, problem se sastoji u tome sto je paket-transfer u stvarnosti odvija izmedju ova dva hosta (a ne preko crakerovog sistema ) sto znaci da craker mora da eliminise 198.170.190.8 iz network-sobracaja da bi zauzeo njegovo mesto.
Ovo se postize takozvanim syn-flood napadom kojime se prezasicuju buferi (redovi) za cekanje na network konekcije kod hosta 198.170.190.8 - zbog cega on privremeno ne prihvata dalje network-konekcije sto daje priliku crakeru da se umuva na njegovo mesto u komunikaciji izmedju dva trusted hosta.
Ovo uspeva zbog nacina na koji su zahtevi za network konekcije procesirani kod hostova. Svaki zahtev za network-konekciju se procesira po njegovom rednom broju gde host pokusava da napravi tzv trostruki handshake (rukovanje) – tako da ako se host preplavi sa stotinama zahteva za netwok –konekciju proci ce dosta vremena dok ik on sve ne preradi I bude spreman za sledecu network-konekciju sto crakeru daje potrebno vreme.
Znaci ukratko:
- Craker mora da identificira cilj-hostove koji su u “trusted”relaciji
- Mora da iskljuci host koji hoce da zameni
- Mora da falcifikuje IP-adresu hosta koji hoce da zameni
- Mora da napravi vezu sa hostom-ciljem I da imitira “trusted” host”
- Mora da “pogodi”pravi sekvencijalni broj paketa koji je pitan sa hosta-cilja
Kako se “pogadjaju “ sekvenijalni brojevi paketa ?
Zatrazi se network-konekcija sa ciljem-hostom
Cilj-host pri tome odgovori sa celom serijim sekvencijalnih brojeva paketa.
Ovi brojevi se pomno prostudiraju I pri tome se trudi da se nadje odredjeni partron-algoritam I da se on krakira (zasto postoje posebno napravljeni programi)
Ako se ovaj algoritam provali – sve je spremno za spoofing napad.
Cim je napad uspeo craker se pobrine da kreira rupu u obezbedjenju sistema da ne bih morao da isponova spoofuje ceo sistem – na primer modifikuje .rhost da bi mogao da se bez autentikacije loguje sa svog craker-hosta – I posao je gotov …
Ne svi hostovi I OS-ovi su ranjivi na spoofing napade – vecina Unix-verzija koja nudi odredjene services je ranjiva na ovakve napade
Nekoliko primera:
-Hostovi na kojima se vrte Sun RPC
-Network servisi sa IP –autentikacijom …
-X Windows sa MIT-a
-r-(remote) servisi …
Takodje Windows NT pa cak I Netbios I SMB konekcije mogu biti ranjive na ovu vrstu napada koja se bazira na pogadjanju – provaljivanju algoritma –redosleda sekvencijalnih brojeva network paketa.
Posto ste svi vi vredni I posteni clanovi drustva koji se za hakovanje zanimaju zamo iz obrazovnih razloga onda verovatno niste zainteresovani za linkove I tool-ove za ovakve vrste napada tako da ih ovde ne ostavljam – da vas ne bih nepotrebno dovodio u iskusenje I imao na savesti ako zaglavite zbog toga 
Pa, nadam se da je moje utroseno vreme na ovo nije bilo baceno uzalud I da se nesto moze nauciti iz ovoga kao I da cemo se dobro slagati ubuduce u razmeni znanja I posebno se nadam (zaista iskreno) da ste manji lameri od one bede na SC-u …
Sve vas puno pozdravlja Perun I do citanja …
". . . We pray to God Perun, the master of thunders and battles and fights,who will never stop the wheel of living creatures, to our leader in the battle and great trizna . . ."
From the "Vles book"
Iz “Vles knjige”
PS- Hm, mora se priznati da mi signature cool …)
Perun – Perun88@yahoo.com ICQ 22788651