[linux] "Cage"

Peter Surda shurdeek na panorama.sth.ac.at
Pátek Prosinec 8 15:29:01 CET 2000 

On Fri, Dec 08, 2000 at 02:14:46PM +0100, Matus fantomas Uhlar wrote:
> -> Neni to take iste. Ked sa binarky budu spravat nedeterministicky tak jak
> -> to checknes ked nevies co je ten system v skutocnosti zac? Okrem toho to
> -> chcem na blbych nie na mudrych.
> pre blbych nebude lepsie nahodou normalne tu masinu zabezpecit?
No jasne ale ked sa furt rozni debili snazia ku mne natelnetit (dostanu
hlasenie ze "hahaha") nie je dobry napad skusit zistit co by robili keby sa
tam dostali?

> -> > Co tak pouzit vmware?
> -> No ty brdo na pretazenom P166/48M.
> ak je to pretazene radsej zabudni na zvlastne prostredie pre hackerov...
Preco? Urcite sa to da nejak spravit.

> -> Jak detekovat? Binarny CMP nepojde ked si to skompilujes sam. Reverse
> -> engineeringom? Vsak ten polovirtualny OS moze checkovaciemu programu
> -> vratit hocijake blbosti. Binarky ktore tam hacker da nemusi vobec spustit
> -> (vrati nejaku vymyslenu chybu) a tie na servri budu hackera iba oblbovat.
> "strings binarka|less" alebo prinajhorsom "less binarka" mozu ukazat ze tam
> nieco nie je v poriadku
Kua ty ma asi nepocuvas. Kto tvrdi ze strings/less tam
- bude
- bude vraciat to co tam ma byt?

Mohla by sa rovno spravit kniznica, ktoru by pouzivali vsetky programy co
pracuju so streamami alebo subormi a ta by otestovala stream a vratila by
zmenene data.

> -> No ked tak rozmyslam, mozno by stacilo spravit nejaky hrozne pomaly
> -> pocitac s nejakou distribuciou mierne napasovanou a robit portforwarding.
> -> Aj tym dobrym to potrva par minut kym zistia co sa deje a potom sa na to
> -> vyseru a ti blbi budu furt skusat "triky" ktore tam vobec nepojdu :-)
> ak bude deravy demon na danom porte
Deravy telnet demon? Co to ma s cim spolocne?

> , vsaka portforwardingu (alebo tcpforwardingu) ti hacknu masinu na ktorej
> bezi ten skutocny
Tam nijaky skutocny demon nebezi, preto chcem zistit co by robili keby tam
bol.

> , bez ohladu kolko je tam firewallov ktore spojenia forwarduju...
Co s tym ma portforwarding, o com to hovoris?

> (to je pre tych ktori si myslia ze firewall vyriesi vsetko za nich)
Hmm si si isty ze rozumies co hovorim?

Takze zopakujem: spojenia na port napr. 21 budu forwardovane (ipmasqadm) na
pocitac ktory bude mat mierne napasovanu nejaku distribuciu a nebude sa s nim
dat robit vobec nic rozumne az na to ze vsetko bude dakam logovat. Napr. nahovori
hackerovi ze je root a pritom vobec root nebude. Ze sa s tym naozaj nebude dat
nic rozumne robit mozeme utvrdit
- maskaradou (zvonka sa nebude dat konektit)
- vhodnym firewallom (napr. ze router nebude routovat pakety ktore idu z ineho
  portu na tom cagi ako 21 smerom do internetu (potom nemoze naviazat spojenie
  ani druhym smerom), a smerom do intranetu a na seba z neho nebude routovat
  vobec nic (takze sa nemoze nikam hacknut))
- fyzickym zapojenim napr. cez crosspatch kabel priamo na jeden port routra,
  potom sa nemoze priamo napojit na ine pocitace
- programy ktore na to cagi budu budu vracat nezmysly, popripade ked to niekto
  dobre naprogramuje budu hackera inteligentne oblbovat
- programy/skripty/hocico co tam da ten hacker nebudu fungovat vobec (skratka
  vypise nejake chybove hlasenie)
- iste adresare budu namountovane read only, kompletny system bude bezat iba z
  CD/writeprotectnutej flopyny a nebudu tam ziadne harddisky.
- "login" bude chrootnuty a bude mat neprivilegovane uid ale bude tvrdit ze je
  root
- logovat bude po sieti specialny demon ktory treba ako clienta spustit s
  nejakym klucom pricom na pocitaci kde sa to bude zapisovat sa po zruseni
  spojenia automaticky vygeneruje novy a napr. ho posle administratorovi, t.j.
  logovanie moze zapnut iba admin. Potom ten "logserver" este treba delaymi
  ochranit pred DoS a brute force attackom, ...
- napr. init skripty (na read-only mediu) si vypytaju ten kluc a nebudu chciet
  nabootovat kym admin nenatuka na klavesnici spravny (teda kym "logserver"
  nepotvrdi spojenie)

atd, skratka layer za layerom robit prekazky a oblbovat. Ked bude nahodou moc
dobry a podari sa mu z toho chrootu vyklznut a ziskat uid0, tak nemoze
napachat prakticky nic zle, ani DoS, bude mat malo pamate a cpu, nebude moct
nikam zapisovat, ...

Kym to bude pouzitelne to asi nejaky cas potrva, ale teoreticke prekazky tam
nevidim.

S pozdravom,

Peter Surda (Shurdeek) <surda na bigfoot.com>, ICQ 10236103, +4369910964300

--
                       There's no place like ~
------------- další část ---------------
Netextová příloha byla odstraněna...
Jméno: [žádný popis není k dispozici]
Typ: application/pgp-signature
Velikost: 232 bytes
Popis: [žádný popis není k dispozici]
Url : http://lists.linux.sk/pipermail/linux/attachments/20001208/d05de1fb/attachment.bin

Další informace o konferenci linux