Mac-osoitteen spooffaaminen

[Changty]

Heipähei,
kyselisin tässä tulevan ibookin varalle että onnistuuko tavallisen lankaverkon verkkokortin mac-osoitteen spooffaaminen? ISP jakaa ip:eitä macin perusteella, ja sen vaihtaminen ISP:n tietokantaan kestää noin viikonverran, eikä tälläseen katkoon oikein olisi varaa.

Kiitoksia kaikille

[MacFinn]

Eikö reititin olis tohon kova sana. Eli reitittimen MAC osoite ISP:lle ja sen taakse koneet.

[Changty]

Olishan se tietenki, mutta ei pelkstään tommosta varten viittis :/

[fjonga]

Eiköhän samat arpspoof -työkalut ole tarjolla Macille kuin on muillekin *nix alustoille. Mutta... Joudut sitten päivittämään tota ARP taulukkoa jatkuvasti, nehän häviää (nollautuu) aika nopeasti. Näin ainakin lähiverkossa... Ainakin ettercap -työkalu on OSX:lle saatavilla. Kyse siis Macin MAC osoitteen spooffaamisesta, eiks je 0:)

[haukka]

Satuinpa vahingossa juuri eilen osumaan freshmeat:ia selaillessani tälläiseen maosx työkaluun:

http://osx.freshmeat.net/projects/shadowmac/

Varmaan juuri sellainen jota kaipailet.

-Marko

[Changty]

Kiitoksia, tämä näyttää hyvältä

[Jamac]

Eiköhän samat arpspoof -työkalut ole tarjolla Macille kuin on muillekin *nix alustoille. Mutta... Joudut sitten päivittämään tota ARP taulukkoa jatkuvasti, nehän häviää (nollautuu) aika nopeasti. Näin ainakin lähiverkossa... Ainakin ettercap -työkalu on OSX:lle saatavilla. Kyse siis Macin MAC osoitteen spooffaamisesta, eiks je

Hmm.. Edellisestä voisi päätellä että edellämainituilla systeemeillä voi tehdä jotain moraalisesti arveluttavaa..? Öh.. ihan vaan mielenkiinnosta, uskaltaako joku raottaa tiedonverhoa, ihan yleissivistyksen merkeissä..

[fjonga]

Edellisestä voisi päätellä että edellämainituilla systeemeillä voi tehdä jotain moraalisesti arveluttavaa..?

Jep. Lähiverkossa voi esimerkiksi saada selville lähestulkoon kaikki salasanat, myös SSH protokollaversion 1 salasanat, muokata tietoa, ohjata käyttäjiä vääriin osoitteisiin. Esim käyttäjä kirjoittaa http://www.google.com ja näillä tietyillä työkaluilla voidaan tuo kaveri ohjata mihin tahansa haluttuun osoitteeseen. Eli aika paljon pahaa voidaan saada aikaan lähiverkoissa (ja miksei toki myös Internetissä) helpostikin. Onneksi valveutuneissa yrityksissä esim arpwatch on toiminnassa ja IDS systeemit huomaa heti tuollaiset yritykset. Mutta jos on taitoa ja tietoa, voidaan hieman enempi low level apuvälineillä hoitaa samat asiat huomaamattomammin, jolloin myös IDS systeemit voidaan "kiertää". Monet yritykset tuudittautuu valheelliseen turvallisuuden tunteeseen esim vetoamalla "Tää meidän lähiverkko on kytkentäinen. Ei tähän kukaan pääse, ellei se o konehuoneessa" NOT. Oikeilla työkaluilla sisäverkon ja sovellusten penetrointi on minuuttien kyse ja kun on kyse ns. low level krakkeroinnista, jälkiäkään ei jää (arp -taulukot esim pyyhkityvät tyhjiksi 30 sekunnin päästä -> mitään jälkiä ei jää).

Jos ihan oikeasti halutaan tietoa suojata esim sisäverkoissa, yksi erinomainen tapa tähän on käyttää SSH protokollaversiota 2. IPSec VPNt ei sovellu sisäverkkokäyttöön ja tietyillä työkaluilla voidaan myös tehdä SSL proxy -hyökkäyksiä. Kuinka moni oikeasti tarkistaa SSLv3/TLS suojatun saitin varmennetta joka kerta loggatuessaan sisään (esim Nordean Solo palveluun?). Tai kuinka moni painaisi "accept" tms nappia vaikka SSL palvelinvarmenne olisikin muuttunut tai vastavuoroisesti kuinka moni soittaisi esim Nordeaan kysyäkseen "onks tää ihan oikeesti teidän varmenne. Tän fingerprint on 00 f1 ba hu bb aa bu bb aa."? Tällainen varoitus kun tulee jos varmenteen myöntäjän ns. root varmennetta ei ole jo selaimen oletusasetuksissa, luotettuna. Mutta entäpäs jos joku ostaisi esim Verisignilta oman SSL palveinvarmenteen, jolla puijata käyttäjää? Selain luottaa Verisigniin, joten tällaistakaan varoitusta ei tulisi...

Onko sinun yrityksesi lähiverkko turvallinen? Jos joku oikeasti haluaa tehdä pahaa, se on helppoa... Ehkä pelottavankin helppoa. Pari juttua auttaa

- PÄIVITÄ (paholainen)
- Tunne verkkosi, tiedä jos jotain on vähän "vinksallaan"
- Ethän käytä oletusastuksia, ethän? Esim tietokantapalvelimissa; käyttäjätunnus SQL, salasana DBA tms. Ethän, pliis...
- Tunne tietosi -> tiedä mikä on sinulle / yritykselle kriittistä tietoa ja suojaa se (luokittele tieto)
a) in storage -> levyllä, kryptattuna tai muuten hyvin suojattuna
b) in tranist -> sisäverkossa esim SSH2 tunnelin läpi, Internetin kautta esim IPSec tai SSH2 tunnelin läpi.
- Hallitse keskitetysti, älä anna kenenkään toimistopeelon muuttaa suoja-asetuksia
- ÄLÄ luota sisäverkkoosikaan. Perinteinen ulkokuorisuoja (palomuuri paikallaan, kaikki hyvin) on lentänyt jo ajat sitten roskakoriin kaikenmaailman partner yms verkkojen ja accessien takia

Hyvä esimerkki tietoturvasta ja siihen liittyvästä tietoudesta on esim Slammer mato. Slammer teki tutuksi tietyn haavoittuvuuden Windows käyttiksissä. Sitä ennen kuitenkin esim Warez piirit tiesivät kyseistä asiasta ja omasivat työkalut sen exploittaamiseen. Kuukausia ennen kyseistä matoa monia palvelimia käytettiin Waren levittämiseen, vasta Slammerin myötä aukot enimmilteen tukittiin.

Jaa-a. Minkäköhän takia mää käytän Macia? Tää ON turvallinen, verrattuna moniin muihin tarjolla oleviin vaihtoehtoihin (njoo on siinä muutankin, musantekokoneena tää ns. kicks ääs).