Milläs ne niitä tietokoneita kaappeilee?

[PKivireki]

Heijuu!

Tää ei koske pelkästään Applen tuotteita tämä kysymys. Keskusteltiin nääs eilisellä tuopillisen ääressä aiheesta "Tietoturva". Päädyttiin ajatukseen, että palomuurit ym. systeemit suojelee konetta ulkoapäin tulevalta pahalta, mutta samaan hengenvetoon kummasteltiin että;

Mitenkä ne konnat koneita kaappailee?

Ja suojaako palomuurit ja muut suojaukset verkossa olevia koneita? Ihan todella?

[Jamac]

Ommuuten hyvä kysymys.

Itse arvailen tähän malliin: MItä tahansa verkosta tulee tietokoneelle, pitää olla ohjelma (käyttiksen komponentti) mikä ottaa datavirran vastaan ja "maistaa" sitä jotta ohjelma voi tehdä päätöksen mitä se data on. "Maistaminen" sikäli kuvaa musta asiaa osuvasti siksi, että jos maistajan vatsa ei kestä, tulee ongelmia. Ohjelma kaatuu tai tulee puskurimuistin ylitystä eli vuotoa jne. Eli jos ihminen syö sopivalla tavalla tehtyä myrkkyä, tulee se ripulina ulos hallitsemattomasti muuttaen järjestelmän (kalsareiden) toimintaa. Kun suolisto menee myrkytystilaan, se ei pysty sulattamaan enää sapuskaa. Tällöin netistä voidaan ajaa tavaraa mikä menee suoraan suolistosta läpi, eli esimerkiksi haittaohjelma ja kone on vallattu.

[wanders]

Kun tuossa edellinen kivasti käyttää vertauskuvia, niin minä palauttaisin tuon ruoka - maistaminen tilalle perinteisemmän piikki - virus.

Netin pimeydestä iskevä "konna" ei millään voi nähdä, osuuko suuhun vai p**seeheen, mutta kovasti sieltä jotain seerumia työnnetään. Eli netti on täynnä koputtelijoita, joiden yritykset löytynevät Macinkin lokitiedostoista (Win-aikaan näitä oli aluksi kiva lukea palomuurin lokista). Kun piikki osuu mehukkaaseen paikkaan ja seerumi saadaan truutattua lihaan, niin sittenpä odotellaan pieni tovi alkaako annos tehota. Piikkejä voi tietysti iskeä koko ajan ja eri sekoituksilla.

Tällainen pumpattu tehobroleri on sitten valmista kamaa, eli sinne voidaan mennä isommilla työkaluilla - tai jättää sellaisenaan mätänemään. Piikityksen kestävä [Apple] kone ei ole näistä moksiskaan. Ei virusturvaakaan tarvita, kun piikit menevät ohi tai eivät pääse paksusta nahkakuoresta edes läpi. Tai sitten ovat muuten vaikuttamattomia.

[Jamac]

Mun nähdäkseni kaikki kulminoituu niiden ohjelmien laatuun jotka vastailevat ja ottavat vastaan verkosta tulevaa bittivirtaa (palomuurit, verkkoprotokollat yms.). Mikään muu ohjelmataho ei voi olla vastuussa netistä tulevista hyökkäyksistä koska niissä ei ole ohjelmoitua kontaktipintaa verkkoyhteyksiin. Olisi sama jos koittaisi laittaa lampunjalkaan ethernet-kaapelin ja siihen tulisi haittaohjelma.

Näissä ongelmia voi mun käsittääkseni aiheuttaa joko ohjelmoijan lähdekoodiin tekemä ohjelmointivirhe tai sitten kääntäjässä olevan virheen kautta. (Kääntäjä "kääntää" lähdekoodin prosessorin ymmärtämään 1001010011010101-tyyppiseen bittivirraksi.)

[wanders]

Mutta kyse on enemmän tai vähemmän paketoidusta tiedonsiirrosta. Ei postimies voi / saa tutkia jakamiensa kuorien ja pakettien sisältöä. Jos postinkantajalle annettaisiin kaikki vastuu ja velvollisuus mitä hän jakaa postilaatikkoon niin homma hidastuisi aika pahasti ja välillä neuvoteltaisiin ja etsittäisiin sitä toista neuvottelijaa ja kuvailtaisiin paketin sisältöä etc.

[Jamac]

Tietokoneessa ne paketi pitää purkaa jotta siitä olisi millekään muulle prosessille tai ohjelmalle mitään hyötyä. Siinä on se kohta mikä voi pettää.

[wanders]

Mun nähdäkseni kaikki kulminoituu niiden ohjelmien laatuun jotka vastailevat ja ottavat vastaan verkosta tulevaa bittivirtaa (palomuurit, verkkoprotokollat yms.). Mikään muu ohjelmataho ei voi olla vastuussa netistä tulevista hyökkäyksistä koska niissä ei ole ohjelmoitua kontaktipintaa verkkoyhteyksiin. Olisi sama jos koittaisi laittaa lampunjalkaan ethernet-kaapelin ja siihen tulisi haittaohjelma.

Tietokoneessa ne paketi pitää purkaa jotta siitä olisi millekään muulle prosessille tai ohjelmalle mitään hyötyä. Siinä on se kohta mikä voi pettää.

Pysytään vertauskuvissa. Postinkantaja tuo pernaruttoa sisältävän kirjekuoren postilaatikkoon. Sovitaan että hänellä on ehjät nahkasormikkaat ja kirjekuori on riittävän tiivis estämään ulkopuolisen saastumisen. Otat kuoren esille ja mietit kukahan se vielä lähettelee mukavia viestejä perinteisen postin kautta. Avaat kuoren joko siististi veitsellä tai innokkaasti repimällä, työnnät kätesi poimiaksesi kirjeen kuoresta. Pops! Käteesi tarttuu pernaruttoa sisältävää materiaalia ja olet saanut tartunnan.

Eli kuinka datapaketti voidaan yhtäaikaa tutkia ja olla suorittamatta sen sisältämää haittakoodia?

[spiidi78]

Social Engineering

[spiidi78]

Eli kuinka datapaketti voidaan yhtäaikaa tutkia ja olla suorittamatta sen sisältämää haittakoodia?

Käymällä paketin data läpi ennen kuin se suoritetaan (tai pikemminkin paketeista muodostuva kokonaisuus). Näin toimii vaikkapa virustorjuntasoftat

[wanders]

Eli kuinka datapaketti voidaan yhtäaikaa tutkia ja olla suorittamatta sen sisältämää haittakoodia?

Käymällä paketin data läpi ennen kuin se suoritetaan (tai pikemminkin paketeista muodostuva kokonaisuus). Näin toimii vaikkapa virustorjuntasoftat

Sittenhän tämä ongelma olikin jo ratkaistu.
Kukaan ei siis voi kaapata toisten tietokoneita ainakaan lähettämällä sinne nimettömiä postipaketteja.

[spiidi78]

Sittenhän tämä ongelma olikin jo ratkaistu.
Kukaan ei siis voi kaapata toisten tietokoneita ainakaan lähettämällä sinne nimettömiä postipaketteja.

No siis.. Joo missasin pointtis (pari iltabissee alkaa tehä vaikutukset)
Virustorjuntasoftat vaan käy läpi tiedostot löytyykö niistä sama pätkä koodia kun virustorjunnan tietokannassa, ei softan toimintaa voi mitenkään muuten arvata kattomalla läpi läjä bittejä. Eli ei sitä voida tutkia ajamatta...

En sit tiedä, mikä prosentuaalinen osuus koneen kaappauksista johtuu noista "haittasoftista". Erilaisten pakettisniffereiden käyttäminen huonosti suojattuissa / suojaamattomissa verkoissa on varmaankin aika yleinen tapa kerätä tietoa verkosta. Tai sit vaan social engineering.. En tiedä

[wanders]

Tsoukki tsoukki... ei kai tässä ketjussa niin kovin vakavasti ole yritetty löytää vastausta kysyjän ongelmaan, kuinka tietokoneita kaappaillaan. Mutta voihan se joskus hahmottua uudella tavalla, kun vähän irrottelee...

[spiidi78]

Tsoukki tsoukki... ei kai tässä ketjussa niin kovin vakavasti ole yritetty löytää vastausta kysyjän ongelmaan, kuinka tietokoneita kaappaillaan. Mutta voihan se joskus hahmottua uudella tavalla, kun vähän irrottelee...

Hehh. No ei tossa alotusviestissä varmaan mitään koneenkaappauksen how-to:ä haettu takaa Ihan hyvähän noista asioista on jossain määrin tietää. Mitä enemmän tietää, sen paremmin osaa suojautua. Pahin tietoturva-aukko jokatapauksessa on koneen käyttäjä

[JHA]

Mun nähdäkseni kaikki kulminoituu niiden ohjelmien laatuun jotka vastailevat ja ottavat vastaan verkosta tulevaa bittivirtaa (palomuurit, verkkoprotokollat yms.). Mikään muu ohjelmataho ei voi olla vastuussa netistä tulevista hyökkäyksistä koska niissä ei ole ohjelmoitua kontaktipintaa verkkoyhteyksiin. Olisi sama jos koittaisi laittaa lampunjalkaan ethernet-kaapelin ja siihen tulisi haittaohjelma.

Tosin tuon tason tietoturvalla ei ole paljakaan hyötyä jos onnistutaan iskemään siihen tieoturvan yleisimpään heikoimpaan lenkkiin joka sijaitsee selkänojan ja näppäimistön välisessä maastossa.

Porttien kolkuttelua ja aukkojen etsintää paljon tehokkaampaa on yrittää huijata pentti peruskäyttäjä asentamaan koneelleen uuden hieno video-codec:n / tms ohjelman joka tosiasiallisesti sisältää haittakoodin joka suorittuu sillä sekunnilla kun pentti p on ladannut paketin koneelleen ja käskee jotta "install" Verkon suuntaan kommunikoivien ohjelmien laatu on sitten toissijaisempaa jos käyttäjäpää vuotaa seulan lailla.

[puffeli]

Jonkinlaisia vastauksia tuolta tulikin jo, mutta tiivistetään vielä:

Palomuurit tarkkailevat sisään- ja ulospäin menevää liikennettä, eli siis tarkkailevat noita portteja ns. portinvartijoina. Koneenkaappauksessa käytetään hyväksi käyttöjärjestelmän haavoittuvuutta. Windowsin tapauksessa suurin osa haavoittuvuuksista johtuu koodareiden epäpätevyydestä ja C-kielen ominaisuuksista. Seuraava voi mennä ohjelmointia harrastamattomille hieman yli, mutta laitetaan kuitenkin.

C-kielessä ei kontrolloida tarpeeksi hyvin taulukoita. Oletetaan siis, että taulukossa on viisi alkiota. Kun päästään käsiksi taulukon yli meneviin alkioihin (esim. tässä tapauksessa kuudes alkio), saadaan ohjelma kaatumaan. Tässä piilee hyökkäysmahdollisuuksia käyttöjärjestelmiin. Esim. Javassa taulukoita kontrolloidaan paremmin ja suurin osa Windowsin virheistä olisi jäänyt tekemättä, jos koodauskieli olisi ollut "modernimpi". C-kielen ongelmana on siis se, että kokemattoman/varomattoman koodaajan käsissä koodista tulee reikäistä.

Kun puhutaan, että tarkkailemalla lähdekoodia voi tehdä hyökkäyksiä, tarkoitetaan juuri taulukoiden käsittelyn tarkkailua. Windowsin lähdekoodi on niin reikäistä johtuen huonoista ohjelmoijista, että sen paikkaaminen on mahdotonta. Onkin veikkailtu, että Vistan jälkeen Microsoft tekisi kokonaan uuden ja uundelaisen käyttöjärjestelmän, ehkäpä kolmiulotteisen.

EDIT: yhteenvetona siis palomuurit toimivat ennaltaehkäisevästi ja blokkaavat mahdollisien hyökkäyksien pääsyä porttiskannausta pidemmälle.

[PKivireki]

Jaaha, eli sellainen oletus osunee oikeaan, että toimimalla appiukkomaisesti - tuplaklikkaamalla kaikkea mitä "horny housewife" -sivustolta eteen pompsahtaa - avaa paraatioven konekaappareille ym. häiriköille. Ja sillon ei palomuurit auta mitään, jos haittaohjelmalla pääsee niitä sisält tumpuloimaan. Eikös tätä sanota troijalaiseksi.

Vaan palomuurikin on vaan ohjelma. Voikos sen murtaa, jos esim. reitittimen merkki on tiedossa?

[BlueTide]

Lisätään listaan:

Iso osa hyökkäyksistä voidaan kohdentaa myös ns servereihin, esim webbipalvelimiin ynnä muihin. Jos sivulla on esimerkiksi tekstikenttä sisäänkirjautumista varten, voidaan tuohon syöttää sopivasti muotoiltua javascriptiä ja/tai tietokantakyselyitä. Toki näitä estellään, mutta uskomaton määrä sivuja ei tarkista sisään syötyettyä merkkijonoa ollenkaan. Näiden hyökkäysten tekeminen olisi web-sivujen tekijöille liki triviaalia.

Toinen keino on heittää esim CGI ohjelmalle niin pitkä url että se kaatuu. Tällöin pienellä tuurilla voidaan tuon url:n osa muotoilla niin, että se on ajettavaa koodia. Jihaa... Urliin voidaan myös heittää esim komentotulkin nimi ja kokeilla kepillä jäätä. Hyvän listan eri hyökkäysmahdollisuuksista näkee katselemalla verkossa olevan Apachen lokitiedostoja. Tulee paljon yrityksiä tyyliin "c:\command.com".

Ylivimaisesti helpoin tapa on sosiaalinen hakkerointi.

Juu, ja palomuurinkin voi teoriassa saada alas, mutta tämä voi olla jo nykypäivän softilla enemmänkin teoreettista.

Kun puhutaan, että tarkkailemalla lähdekoodia voi tehdä hyökkäyksiä, tarkoitetaan juuri taulukoiden käsittelyn tarkkailua. Windowsin lähdekoodi on niin reikäistä johtuen huonoista ohjelmoijista, että sen paikkaaminen on mahdotonta.

Sen verran vaan, että Windowsin lähdekoodi on tutkitusti korkealaatuista verrattuna moneen muuhun koodipohjaan. Reikäisyys johtuu usein suunnitteluratkaisuista ja vaatimuksista olla taaksepäin yhteensopiva, jolloin joudutaan toteuttamaan myös vanhoja bugeja.

PS. Jamac, sulle on spostia.

[Jamac]

Ei oo sähköpostia tullu

[BlueTide]

Ei oo sähköpostia tullu

Privana.

Mutta, vielä tosta Windowsin koodin laadusta. Edellä oleva kommenttini perustui muisteloihin, mutta nyt kun en saanut lähdettä kaivettua, niin suhtautukaa varauksella. Kuitenkaan en nyt uskoisi niiden ohjelmoijin olevan mitään erityisen huonoja. Muistelen lukeneeni jostain vertailun vuotaneesta Windowsin lähdekoodista, mutta kuten sanottua, en enää saanut googlattua tuota.

[spiidi78]

Mutta, vielä tosta Windowsin koodin laadusta. Edellä oleva kommenttini perustui muisteloihin, mutta nyt kun en saanut lähdettä kaivettua, niin suhtautukaa varauksella. Kuitenkaan en nyt uskoisi niiden ohjelmoijin olevan mitään erityisen huonoja. Muistelen lukeneeni jostain vertailun vuotaneesta Windowsin lähdekoodista, mutta kuten sanottua, en enää saanut googlattua tuota.

http://www.baltimoremd.com/content/win2000source.html

Tos ois Win2k lähdekoodia 8) Nojoo..

Googlella löytää tosta Winukan koodin vuotamisesta paljon asiaa. En muista mitään vertailua tosin nähneeni

[BlueTide]

Googlella löytää tosta Winukan koodin vuotamisesta paljon asiaa. En muista mitään vertailua tosin nähneeni

Tuo on ihan hyvä naurattaja, mutta kovin vakavissaan sitä ei kannattane ottaa. Muisti ei kuitenkaan kokonaan pettänyt ja dösässä tuli googlattua vähän lisää:

http://www.kuro5hin.org/story/2004/2/15/71552/7795

Lainauksia:

"Comments like "UGLY TERRIBLE HACK" tend to indicate good code rather than bad:"

"Despite the above, the quality of the code is generally excellent. Modules are small, and procedures generally fit on a single screen. The commenting is very detailed about intentions, but doesn't fall into "add one to i" redundancy."

"However, not everything is so rosy. Some of the modules are clearly suffering from the hacks upon hacks mentioned earlier."

"From the comments, it also appears that most of the uglier hacks are due to compatibility issues: either backward-compatibility, hardware compatibility or issues caused by particular software"

Tähänkin on tietty hyvä suhtautua sekä varauksella että terveellä järjellä. Mitä sitten tulee C:n saloihin, niin muistetaan taas että Objective-C kärsii samoista potentiaalisista ongelmista.

Mä en nyt(kään) yritä varsinaisesti puolustella Microsoftia, mutta mielestäni sen kritiikin pitäisi olla asiallista eikä panettelua esim koodaajien älynlahjoista. Siitä järjestelmästä löytää ihan kiitettävästi asiallistakin ongelmaa.

Mutta palatakseen asiaan; yksi näistä Microsoftin vitsikkäistä ideoista oli, että Windows Meta Filet pystyivät sisältämään koodia siltä varalta että jokin ohjelma ei olisi pysynyt näyttämään kuvia "oikein" tai ollenkaan*. Noh, jossain vaiheessa joku älypää keksi että tuota voi käyttää väärin ja ajaa esim haittaohjelmaa. Tässä esimerkki hienosta suunnittelumokasta.

Toinen suunnittelumoka kulkee nimellä Active X. Tässä oli takana hieno idea, että webistä voitaisiin jakaa "rikkaampia" sovelluksia jotka ajettaisiin käyttäjien koneilla. HArmi vain että nämä eivät sitten toimineetkaan varsinaisesti hiekkalaatikossa...

* Joku muu saa täydentää detaljeja jos muistaa paremmin (ei liene vaikeaa).

[at]

Yleisesti kohdekoneita lähestytään kahdella eri tavalla.
1) Tutkitaan koneiden verkkoon tarjoamia palveluita. Esimerkiksi tarjoaako jokin kone vaikka ssh serveri palvelua. Jos sellainen on tarjolla, pyritään käyttämään jotain tunnettua tai tuntematonta heikkoutta jonka kautta päästään asentamaan koneelle oma ohjelmisto. Sen jälkeen koneella voidaan tehdä mitä halutaan.

2) Tarjotaan haittaohjelmaa jonkin sovelluksen kautta. Kuten sähköposti tai www-selain. Esimerkiksi joku korkkaa vaikka tämän saitin. Huomaa että käyttäjät käyttää mozilla pohjaisia www-selaimia. Sen jälkeen sivustoa muutetaan niin, että selain lataa taustalla jonkin scriptin, joka suoritetaan sitten käyttäjän koneella. Ensinmäisenä nämä haittaohjelmat pyrkivät hakemaan nipun muita ohjelmia netistä, asentaa ne kohdekoneelle ja sen jälkeen kone on vallattu. Sitten voidaan tautalla tehdä mitä huvittaa, ilman että käyttäjä tietää asiasta mitään.

Nykyisin rikolliset pyrkivät kohdentamaan hyökkäyksiä ja pyrkivät toimimaan hiljaa taustalla. Kyse on nykyisin aina rahallisen hyödyn tavoittelemisesta.

[mungiisi]

Mitenkä pystyisin omalla MacBookillani vartioimaan ettei kukaan "hyökkää"? Tämän ei kuitenkaan pitäisi olla mahdotonta, vaikka kyseessä Mac onkin.

[Jamac]

Console niminen ohjelma /Application/Utilities kansiossa ja sitten valitset palomuurin lokin. Tosin se näyttää vaan palomuurin tapahtumat, normaalitilanteessa vaikka palomuuri ei olisikaan päällä, niin lokissa olevista "yhteydenotoista" ei ole harmia koska mikään palvelu ei ole oletuksena niitä kutsuhuutoja vastaanottamassa.

[mungiisi]

Console niminen ohjelma /Application/Utilities kansiossa ja sitten valitset palomuurin lokin. Tosin se näyttää vaan palomuurin tapahtumat, normaalitilanteessa vaikka palomuuri ei olisikaan päällä, niin lokissa olevista "yhteydenotoista" ei ole harmia koska mikään palvelu ei ole oletuksena niitä kutsuhuutoja vastaanottamassa.

Millä nimellä palomuurin loki on tuolla? Secure.log?