Ciberwar: Spoofing

Ciberwar : Spoofing

Sta je spoofing ? - Spoofing mozemo opisati kao jednu naprednu tehniku gde jedan craker uspeva da se uloguje na odreredjenu masinu kroz upesno presretanje i falcifikovanje paketa sa "trusted" - verovane "source" -izvorne adrese (hosta)

Sta u stvari ovo znaci ? Da bi ovo shvatili treba da razjasnimo dva osnovna pojma u obezbedjenju networka: "Trust"- poverenje i autentikaciju.

"Trust" ili poverenje je vrsta relacije izmedju dva hosta/domeina koji mogu biti u network-vezi.

Autentikacija je procedura koji hostovi koriste da bi sebe identifikovali jedno drugom na networku.

Poverenje i autentikacija stoje u obrnutoj srazmeri: sto god vise hostovi “veruju" jedan drugom to je procedura autentikacije blaza i obrnuto.

Kao user svako ima iskustva autentikacije sa ispunjavanjem user-name i password-a .

Hostovi se cesto identifikuju izmedju sebe po IP-u i host-name-u (imenu hosta)- zasto se koriste najcesce tzv RHOST fajlovi.

U ovim fajlovima se navode koji useri sa kojih hostova imaju koju vrstu "trusted" accesa - tj direktog logovanja bez autentikacije (user-name passwd)

Fajlovi /etc/hosts.equiv i .rhosts sluze kao acces databaze za r-comande (remote) (rlogin, rcp, rcmd, remsh remcp) (vidi manual pages ) - u njima su navedeni externi hostovi koji su "trusted" tj useri sa hostova navedenih ih u ovim fajlovima mogu da se uloguju bez autentikacije (username -passwd ispunjavanje ...)

Redovi u /etc/hosts.equiv se odnose na celi sistem i napravljeni su od root-a i imaju dejstvo na celi sistem, dok su .rhosts fajlovi uglavnom usmereni prema odredjenim userima sa odredjenih hostova i imaju uticaja na odredjene direktorijume - zato je veoma bitno da se ne dozvoli userima da kreiraju svoje sopstvene .rhost fajlove u svojim home-direktorijumima, jer to kreira jako puno malih security rupa koje je lako iskoristiti od onoga koji zna kako. Strogo se preporucije pravljene proste scripte koja realtivno cesto (recimo svakih pola sata ) pretrazuje home direktorijume usera u brise svaki fajl pod imenom .rhost.

Naravno za two-way trust relaciju i ovi drugi hostovi koji su navedeni u ovim fajlovima moraju da imaju korespondirajuce RHOSTS files sa korespondirajucim entrijima.

E sad, verifikacija i identifikacija menju ovim trusted hostovima se bazira na IP-source adresi - gde zapravo i pocinje frka jer tu lezi slabost celog ovog sistema - jer ako craker uspe da falcifikuje IP-source adresu sa trusted hosta i ubedi host na koji hoce da se uloguje da je user sa verovanog hosta koji moze da se uloguje na datu masinu bez cekiranja user-name i passworda onda je na ovaj nacin zaobisao celokupnu proceduru oko krakiranja passworda, logovanja, otrkrivanja user-name-a itd ...

Medjutim ovo nije bas toliko prosto kao sto izgleda.

Sad ovde dolazi malo TCP/IP znanja. IP protokol je odgovoran za paket transfer podataka, medjutim ovaj transfer nije "siguran"- garantovan - tj IP samo salje podatke od tacke A na tacku B - ali ne garantuje i ne proverava da su oni stigli na odrediste - tj dali su zalutali ili ostecene prilikom transfera -to je posao TCP protokola koji kontrolise i verifikuje primanje paketa po sekvencijalnoj metodi i koji se brine da osteceni i zalutali paketi pudu isponova poslati time sto to trazi od hosta-posiljaoca na osnovu sekvencijalih brojeva paketa (jos uvek prati neko ovo ?! - )

E sad, da bi hostovi ostali u vezi i da bi spoofing napad uspeo, craker treba da resi dva problema - da otkrije i falcifikuje izvornu IP-adresu verovanog hosta i da odrzava i ne prekida dialog (paket-transfer) izmedju dva verovana hosta - sto je najtezi deo posla jer craker mora da odgovori korektnim sekvencijanim brojem paketa koji je poslat od hosta-cilja (nadam se da ovo ne postaje suvise komplikovano - ali ne moze mogo prostije od ovoga)

Recimo, craker zna da postoji trust relacija izmedju 201.132.0.13 i 198.170.190.8 - kako je ovo doznao - o tome drugom prilikom ...

- On hoce da provali u 201.132.0.13 i zato mora da se prestavi kao 198.170.190.8 i zbog toga mora da falcifikuje tu adresu.

E sad, problem se sastoji u tome sto je paket-transfer u stvarnosti odvija izmedju ova dva hosta (a ne preko crakerovog sistema ) sto znaci da craker mora da eliminise 198.170.190.8 iz network-sobracaja da bi zauzeo njegovo mesto.

Ovo se postize takozvanim syn-flood napadom kojime se prezasicuju buferi (redovi) za cekanje na network konekcije kod hosta 198.170.190.8 - zbog cega on privremeno ne prihvata dalje network-konekcije sto daje priliku crakeru da se umuva na njegovo mesto u komunikaciji izmedju dva trusted hosta.

Ovo uspeva zbog nacina na koji su zahtevi za network konekcije procesirani kod hostova. Svaki zahtev za network-konekciju se procesira po njegovom rednom broju gde host pokusava da napravi tzv trostruki handshake (rukovanje) – tako da ako se host preplavi sa stotinama zahteva za netwok –konekciju proci ce dosta vremena dok ik on sve ne preradi I bude spreman za sledecu network-konekciju sto crakeru daje potrebno vreme.

Znaci ukratko:

- Craker mora da identificira cilj-hostove koji su u “trusted”relaciji
- Mora da iskljuci host koji hoce da zameni
- Mora da falcifikuje IP-adresu hosta koji hoce da zameni
- Mora da napravi vezu sa hostom-ciljem I da imitira “trusted” host”
- Mora da “pogodi”pravi sekvencijalni broj paketa koji je pitan sa hosta-cilja

Kako se “pogadjaju “ sekvenijalni brojevi paketa ?

Zatrazi se network-konekcija sa ciljem-hostom

Cilj-host pri tome odgovori sa celom serijim sekvencijalnih brojeva paketa.

Ovi brojevi se pomno prostudiraju I pri tome se trudi da se nadje odredjeni partron-algoritam I da se on krakira (zasto postoje posebno napravljeni programi)

Ako se ovaj algoritam provali – sve je spremno za spoofing napad.

Cim je napad uspeo craker se pobrine da kreira rupu u obezbedjenju sistema da ne bih morao da isponova spoofuje ceo sistem – na primer modifikuje .rhost da bi mogao da se bez autentikacije loguje sa svog craker-hosta – I posao je gotov …

Ne svi hostovi I OS-ovi su ranjivi na spoofing napade – vecina Unix-verzija koja nudi odredjene services je ranjiva na ovakve napade

Nekoliko primera:
-Hostovi na kojima se vrte Sun RPC
-Network servisi sa IP –autentikacijom …
-X Windows sa MIT-a
-r-(remote) servisi …

Takodje Windows NT pa cak I Netbios I SMB konekcije mogu biti ranjive na ovu vrstu napada koja se bazira na pogadjanju – provaljivanju algoritma –redosleda sekvencijalnih brojeva network paketa.

Posto ste svi vi vredni I posteni clanovi drustva koji se za hakovanje zanimaju zamo iz obrazovnih razloga onda verovatno niste zainteresovani za linkove I tool-ove za ovakve vrste napada tako da ih ovde ne ostavljam – da vas ne bih nepotrebno dovodio u iskusenje I imao na savesti ako zaglavite zbog toga 

Pa, nadam se da je moje utroseno vreme na ovo nije bilo baceno uzalud I da se nesto moze nauciti iz ovoga kao I da cemo se dobro slagati ubuduce u razmeni znanja I posebno se nadam (zaista iskreno) da ste manji lameri od one bede na SC-u …

Sve vas puno pozdravlja Perun I do citanja …

". . . We pray to God Perun, the master of thunders and battles and fights,who will never stop the wheel of living creatures, to our leader in the battle and great trizna . . ."

From the "Vles book"




Iz “Vles knjige”

PS- Hm, mora se priznati da mi signature cool …)

Perun – [email protected] ICQ 22788651

---

Good job.

Ko hoce jos predavanja ima na http://www.perun.cjb.net/ zajedno sa ovim.

---

Pa sve je to lepo i pumpa mi ego, ali ajde malo komentari, pitanja,predlozi argumenti,kontraargumenti, iskustva razmisljanja - pa ovo je security forum zar ne ...diskusija ?

---

Kojom metodom falcifikujes adresu ???????

Posto trusted host drzi njegovu adresu zauzetom kad je "up and running" i dok je u komunikaciji sa drugim hostom kada ga oboris sun-flodom onda moras da se meldujes pod njegovom IP adesom - tj da podesis svoju network-konfiguraciju da imitira oborenog trusted hosta i da se se meldujes na network sa falcifkovanom IP-adresom (njegovom) ukljucujuci default gateway i subnet mask (i naravno time da simuliras da se nalazis na istom subnetu (fizicki) - sto zahteva dosta pripremnog rada i ispitivanja- sto ce mozda da bude sledeca tema u ciberwar seriji jer je predugo da bi se ovako nabrzaka odgovaralo ...

---

U al ste svi navalili odjednom ... ajde jedan po jedan ...

---

trusted host da isklucis -> no frks.
da izmenis adresu -> no frks.

medjutim kolka je mogucnost da provalis pravi SEQ-Number?
kako da "detour" trafic koji je namenjen trusted hostu preko svog hosta?

greets
f0rtex

---

Ovo ti je source za pogadjanje SEQ-brojeva :


[Ovu poruku je menjao B o j a n dana 09.06.2002 u 10:56 PM GMT]

---

Spoofvanje za Unix to Unix platformu :


[Ovu poruku je menjao B o j a n dana 09.06.2002 u 10:58 PM GMT]

---

I naravno sve je ovo samo za obrazovne svrhe i proucavanje :

Uporeba programa je na sopstvenu odgovornost ...

---

Shta je hocesh na Chq da provalish a ? :) :) :) :)

Lepo je sve ovo perune ali ovde svi izigravaju hakere neke i tako te
tripove... malo je kreativnih ljudi (u pozitivnom smislu)

---

Pa negde mora da se pocne ...
Prvo zamisljas
onda izigravas ...
Pa onda postanes ...

Prvih 10-tak godina ide malo teze a onda je lako ...

Inace postoje kodovi za Linux i FreBSD takodje ...


Nego nesto mi pada u oci - preko 140 pregleda a niko ni da pisne - tako je bilo i sa ostalim delovima Ciberwar serije - tu mi nesto nesto ne stima - u cemu je fora ?

Ocemo da opalimo po politici ili sta ?

---

Mislim da je fora sto te malo njih razume. A i ovi sto razumeju ne smeju da su upuste u diskusiju.

Polako strpi se nisu jos svi procitali to ne posecuju svi forume svaki dan :)

Hm, znaci da je ipak onaj tip sa SC-a imao pravo kad mi rece da pisem nesto sto niko ne razume - a ja pojeba coveka do koske za djabe ...

Pa nadam se da ce ovde da bude bolje - ovo je elitni hakerski YU-sajt i ako me oni ne razumeju ko ce onda ;-)

---

Osim toga, mogli bi recimo da raspalimo o ribama - recimo NL-YU uporedjivanje - da se ljudi onako malo opuste i oslobode ... tu barem ne mozes da se izblamiras .... :-)))

---

Khm mi smo l33t nema ovde ribe/politika/etc ! :))

Inace za ovaj tvoj spoofing se pod linuxom uradi:



I nemo's ga vise spoofujes..

A ne - na linuxu se to radi ovako :

[Ovu poruku je menjao B o j a n dana 09.06.2002 u 11:00 PM GMT]

---

kao sto je perun reko. treba nekolko godina da se uci dok
se savlada materija koja je potrebna da se razumu te sources
i uopste computer security.
samo dok savladas tcp/ip ti treba dosta vremena.
ili koje su sve vrste scanninga samo preko icmp-a
moguce... to traj dugo dok se kapira. (barem kod mene je tako)
kompiliranje koda i stisnuti return nije tesko.
treba razumeti sta se radi.
a napisat dobar algoritmus to nije bas lako.
kad sam poceo da citam knuth "the art of computer programming" sam
shvatio da jos nemam pojma kako se efektivno programira.
(nadam se da ce to uskoro durgacije izgledati [poceo sam sa fakultetom:D IT])

na kraju krajeva je znanje cilj! zar nije tako?

perune tebi hvala za sources. analisa je pocela :)

zelim svima prijatno vece

f0rtex

p.s.: Consílio melius vinces quam iracundia. - Dobrim savetom
ces vise postici nego ljutnjom (ili flame-om ;-) )

---

Hej 210 pregleda i jos me niko nije popluvao i izvredjao -hm, mozda ipak ima nade za ovaj sajt ...

---

To samo moze da znaci da je txt dobar ....i citan L;))