Symulacja ataku

[Gość: Małgorzata]

Ostatnio znalazłam strony, na których można przeprowadzić symulację ataku
hackerskiego na swój komputer. Polecam wszystkim, przetestowanie, czy
komputer jest dobrze chroniony.Jak się firewall sprawuje. Przezorny zawsze
ubezpieczony :)



www.hackerwatch.org/probe
security2.norton.com/us
A może ktoś zna jeszcze inne tego typu strony? Chcę sobie jeszcze
potestować ;) Na razie wyszło mi, że wszystko jest w porządku.

[Gość: mgregor]

Tylko jesli masz internet przez telewizje kablowa albo np. siec osiedlowa i
jestes za firewallem/NAT'em providera to stestuje Ci jego zabezpieczenia a nie
Twoje. Provider moze zrozumiec to jako probe ataku i odciac ta strone na
firewallu. Wiec to nie jest do konca takie cacy.

ROTFL !!! :DDD

[gray]

Symantec Security Check is not compatible with your Web browser because:

Error 003

To run Security Scan, you must be using at least Internet Explorer 5.0, Netscape
4.5 or Safari 1.0.

no tak - w końcu on miał znaleźć dziury a ja nie używam IE :D

uauahahahaha ;-)

[Gość: mgregor]

Ciekawe, ciekawe...i smieszne...:-D

[e.111]

... a ja dostałem error 001(ciekawe ile tych errorów mają na składzie?)

Symantec Security Check is not compatible with your computer settings because:

Error 001

Security Scan and Virus Detection do not work with your operating system. To run
Security Scan and Virus Detection, you must be using Windows 98/ME, NT 4.0
Workstation/2000 Pro/XP, or Mac OS 8.1 or higher.

...mogli by chociaz zaimplementowac rozpoznawanie systemu,a nie takie coś.
Dobrze przynajmniej ze nie uzywam produktow tej firmy...

[broch]

No widzisz, a moj firefox na FreeBSD nie pokazal zadnego bledu. Co prawda
wirusow tez nie bylo.
Wynik:
-Hacker Exposure Check -> safe
-Windows Vulnerability Check - -> safe
(to mnie bardzo ucieszylo ze FBSD nie ma dziur jak windows).
-Trojan Horse Check -> safe
-Some checks did not complete:
-details = Antivirus Product check and Virus Protection Update Check require
ActiveX and Scripting enabled.

-Why these checks did not complete for you.
-Scripting is disabled in your browser settings.

Podobny wynik uzyskalem na drugiej maszynie z WinXP i IE 6 oraz Netscape.

Wole moj wynik, bo to znaczy ze strony przeznaczone dla IE nie beda pokazywaly
glupawych ostrzezen (firefox) oraz wscibstwo na IE jest ograniczone do minimum.

[Gość: JP]

U mnie tylko z firewallem Windows XP rezultat podobny.

The server was unable to obtain a connection or any traffic from your
computer. This generally indicates that your firewall blocked the traffic
successfully.

Wszystkie skanowane porty 21, 23, 25, 79, 80, 110, 139, 143, 443 - ten sam
rezultat.
This port is completely invisible to the outside world.


Scan page at DSL Reports:
Conclusion: Healthy Setup! We could detect no interesting responses from any of
the commonly probed TCP and UDP ports. It would be difficult for an attacker to
know where to start without further information.

Advanced Port Scanner at PCFlank.com
Results of Advanced Port Scanner:
Wszystkie skanowane porty - stealthed, jeden 12345 closed.

Symantec Security Scan. Uwaga, bez zainstalowanego programu antywirusowego!

Hacker Exposure Check:
Your computer appears safe from most common intrusions.

Windows Vulnerability Check:
Your computer's identity is secure.

Trojan Horse Check:
Your computer and data are not vulnerable to Trojan horse attacks.

Co jeszcze mam sprawdzic abyscie wreszcie uwierzyli ze Windows i Internet
Explorer jest bezpieczny?

[broch]

Niestety ja nie powiedzialbym ze system z windows i IE jest bezpieczny. Nawet za
firewall. IE ma dziury ktore MS na razie ignoruje.

"Symantec Security Scan. Uwaga, bez zainstalowanego programu antywirusowego!"
to znaczy ze masz ActiveX wlaczone. Tsyk, tsyk..

> Co jeszcze mam sprawdzic abyscie wreszcie uwierzyli ze Windows i Internet
> Explorer jest bezpieczny?

Wposc W32.Korgo.F, sassera lub blastera za sciane.

start -> cmd -> netstat -an

ktore porty otwarte?

Jesli masz otwarte porty (zaloze sie ze masz otwarte tcp445 i tcp135
przynajmniej), to jaka jest gwarancja ze nigdy zaden worm nie dostanie sie na
Twoj system?

[Gość: JP]

No oczywiscie, ze mam niektore porty otwarte. Korzystam przeciez w pelni z
dobrodziejstw internetu.
Jestem jednak swiadomym uzytkownikiem. Kontroluje w pelni wszystkie
Add-ons w IE i sam decyduje ktore activex, toolbary, browser extention beda
zainstalowane.

Chcialem ci zwrocic uwage ze MS zrobil ostatnio olbrzymie postepy w security i
jest to dla nich obecnie piorytetowy temat.
Nie wiem czy uzywasz SP2 ale wydaje mi sie, ze jest to jakis przelom w tym
temacie.

Nigdy jednak nie powiem, ze obecny Windows jest w pelni bezpieczny tak jak nie
powiem ze inny system na dzisiejszy dzien jest bezpieczny.

Przedstawilem jedynie rzetelnie wyniki prob ataku na moj komputer i wynik ten
jest bardzo dobry (pokrywa sie z twoim). Cieszyc sie czy martwic?

[broch]

z internetem nalezy byc ostroznym: Cieszyc ze je jest dostepny, nie ufac ze jest
sie bezpiecznym.

Workstation nie potrzebuje otwartych portow. Windows pozwala na zamkniecie
wszystkich portow ((*, Me, 2000, XP). Zaleta jest taka iz nigdy w przyszlosci z
hotfixami czy bez zaden worm nie bedzie w stanie dostac sie na Twoj komputer
przez otwarty port.
Zamkniete porty nie chronia przed wlamaniami i w wypadku WinXP przed
"dobrodziejstwami" scripting, ale uniemozliwiaja pewne dzialania co jest tylko z
korzyscia dla Ciebie.

Skanowanie jest pewnym wskaznikiem bezpieczenstwa. Innym bedzie instalacja MBSA
www.microsoft.com/technet/security/tools/mbsahome.mspx
Ktory poda podstawowe informacje dotyczace konfiguracji, i co zrobic aby te
konfiguracje poprawic. To jest kolejny krok w zabezpieczeniu systemu.

[Gość: JP]

MBSA instalowalem ok 2 miesiecy temu. Wykryl mi tylko koniecznosc aktualizacji
MS Office XP.

Niestety jak chcesz korzystac z P2P, PalTalk, Netmeeting i wielu innych
programow, porty musisz pootwierac. Sa programy jak np. Port Magic ktory
autoamtycznie otwiera wymagane przez dany program porty i zamykaja je po ich
zamknieciu. Wydaje mi sie to dobry pomysl. Port jest otwarty tylko wtedy gdy
jest potrzebny. Oczywiscie kazde otwarcie portu jest sygnalizowane i zaleznie
od konfiguracji uzytkownika, wymaga akceptacji.

[broch]

Cos nie tak, bo MBSA wykrywa takie rzeczy jak Netmeeting jako potencjalne
niebezpieczenstwo, dotyczy to wszelkich aplikacji serwerowych plus restrict
anonymous i wiele innych.
Nie uzywam gadgetow, trudno mi powiedziec co to warte. Jestem przeciwny
instalowaniu tysiaca niezwykle potrzebnych programikow.
Jako sciany uzywam dedykowanej starej maszyny z pf na FreeBSD. To praktycznie
zalatwia cala kwestie filtrowania. Nie ma nic lepszego niz pf. Minus jest taki
ze wymaga okreslonej wiedzy wiec nie polecam.

[gray]

pf jest bardzo intuicyjny (bardziej chyba niż linuksowe iptables) ale fakt -
trzeba tgrochę wiedzieć i trochę poczytać więc panu JP nie polecaj :)

[broch]

o ile sie nie myle pf ma zastapic iptables w nastepnej wersji kernela.

[Gość: JP]

broch napisał:

> Jesli masz otwarte porty (zaloze sie ze masz otwarte tcp445 i tcp135
> przynajmniej), to jaka jest gwarancja ze nigdy zaden worm nie dostanie sie na
> Twoj system?

Przyjzyj sie jakie porty sa wykorzystywane przez konie trojanskie.
www.glocksoft.com/trojan_port.htm
Wiem robak blaster uzyl TCP 135. Wogle najbardziej popularne porty to 135 do
139 i powinny byc ciagle blokowane. Ja mam router i on mnie dodatkowo
zabezpiecza.
Jezeli chodzi o port 445 to najlepiej nie uzywac protokolu NetBIOS przez TCP/IP
i zablokowac ten port.

Jak zablokowac port 445?
Regedit
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters

Po prawej stronie opcja TransportBindName
Podwojny klik na nia i usun wartosc tego klucza. Value data zostaw puste.
Zamknij Registry Editor.
Po restarcie mozesz sprawdzic "netstat -an" ze komputer nie nasluchuje juz tego
portu.

[gray]

Gość portalu: JP napisał(a):

> Jezeli chodzi o port 445 to najlepiej nie uzywac protokolu NetBIOS przez
> TCP/IP i zablokowac ten port.

a dlaczego nie używać? kontynuując tą logikę to najlepiej odłączyć komputer od
prądu - jak będzie wyłączony to nikt się na niego nie włamie i nawet windows się
nie zawiesi :D

trzeba zrobić tak, żeby usługa działała i była bezpieczna a wyłącza się ją wtedy
kiedy jest niepotrzebna.

[broch]

Najpierw JP:
Twoja metoda blokowanie tcp445 uniemozliwi pelne funkcjonowanie SMB. Wystarczy
zamknac tylko tcp445 bez ruszania tcp139, udp138 i udp137 (chyma ze nie
planujesz LAN)
Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters
Value: SmbDeviceEnabled
Type: DWORD value (REG_DWORD)
Content: 0 (to disable)
Zamyka tylko port tcp445

tcp135 tez jest latwy:

1. Zamknij DCOM

Key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
Value: EnableDCOM
Type: REG_SZ
Content: "Y" (to enable) or "N" (to disable)

2. zablokuj portmapper:
znajdz:
Key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc
Value: DCOM Protocols
Type: REG_MULTI_SZ
tupnij dwa razy na klucz i usun TYLKO!
ncacn_ip_tcp
czyli usun IP RPC transport przez TCP/IP

Popraw bledy MS (ktorych nie ma w2k) czyli wymus rondom dnscache dla kezdego
polaczenia:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters\
Value: MaxCachedSockets
Type: REG_DWORD
Content: 0

Ustawienie powoduje wlaczanie roznych DNS sockets dla kazdego rzadania DNS (tak
jak jest ustawione w w2k)

Zamkniecie portu 1025 nie wymaga edycji registry.

gray:
prosta zasada jest taka ze nalezy wylaczyc wszystkie nieuzywane porty. Moj WinXP
po skanowaniu nmap i skanerami z netu (bez firewall oczywiscie) pokazuje
wszystkie porty zamkniete. Zamkniete porty oznaczaja ze komputer nie dziala jako
serwer. Klient jest w pelni funkcjonalny. Zgodnie z Twoja logika po co w ogole
zabezpieczac komputer?
Jesli idzie o port tcp445 to jedynie w2k, winxp, win2003 i samba 3.x potrafia z
niego korzystac (mam na mysli protokol MS). Jednoczesnie wszystkie trzy
komunikuja sie przez tcp139 ze wzgledu z kompatybilnosc.

Zamkniecie portow zabezpiecza przd worms w na LAN: jesli ktos "wposci"
zmodyfikowanego sassera to ten zawsze sie dostanie na Twoj komputer poniewaz
potrafi ominac hotfix MS. Jesli zamkniesz port to i bez hotfix jestes
niewrazliwy na mutacje sasser.

[broch]

gray:
Twoje pytanie potraktowalem jako pretekst do wyjasnienia (malym stopniu)
dlaczego porty musza byc zamkniete, niezaleznie od firewall. Odpowiedz w
kontekscie pierwszego postu. Chyba ze sa to kontrolowane serwery.

[gray]

broch napisał:

> prosta zasada jest taka ze nalezy wylaczyc wszystkie nieuzywane porty.

dokładnie to samo napisałem:

trzeba zrobić tak, żeby usługa działała i była bezpieczna a wyłącza się ją wtedy
kiedy jest niepotrzebna.


> Moj WinXP po skanowaniu nmap i skanerami z netu (bez firewall oczywiscie)
> pokazuje wszystkie porty zamkniete.

mój podobnie z tym, że z firewallem.

> Zamkniete porty oznaczaja ze komputer nie dziala jak o serwer.

faktycznie można dojść do takiej konkluzji ;)

> Klient jest w pelni funkcjonalny. Zgodnie z Twoja logika po co w ogole
> zabezpieczac komputer?

nie wiem gdzie to wyczytałeś..

> Zamkniecie portow zabezpiecza przd worms w na LAN: jesli ktos "wposci"
> zmodyfikowanego sassera to ten zawsze sie dostanie na Twoj komputer poniewaz
> potrafi ominac hotfix MS.

a jeżeli ktoś chce mieć netbios w sieci lokalnej (np. kilka komputerów w domu)?
pisałem już o tym - jeżeli usługa jest zbędna to się ją wyłącza a jeżeli nie
jest zbędna to robi się tak żeby była bezpieczna.

> Jesli zamkniesz port to i bez hotfix jestes niewrazliwy na mutacje sasser.

o tym też już pisałem - jeżeli wyłączysz komputer to będziesz jeszcze bardziej
niewrażliwy na wszystkie wirusy.

[gray]

to niesłychane! firewall zablokował porty! najfajniej jest jak coś się dostanie
ZA firewall.

i jeszcze ps, do któregoś z twoich następnych postów - sasser i inne robaki nie
są najczęściej zarządzalne z poziomu explorera z SP2.

[Gość: dominik666]

apropo Attack and Penetration hehe :) jest taki programik,sam dobiera sploity
payload`y i daje ci shela do łapy - z tym że to już nie jest symulacja :b

www.coresecurity.com/products/coreimpact/console1.htm
cała zabawa polega na znalezieniu dziury i sposobu na jej wykorzystanie
(najczęściej buffer overflow) haker musi przeanalizować strukture programu,i
znaleść "słaby punkt" np. taki że niektóre switche po "zasypaniu" ich wieloma
adresami MAC "wieszają" się i przechodzą w tryb huba.

firewalle mają też mnóstwo "bug`ów"
www.securityfocus.com/archive/1/335830 na przykład,to prosty dość sposób
na rozwalenie ZA -
www.netsys.com/firewalls/firewalls-2003-03/msg00031.html jescze jeden ...

jeszcze raz mówie ze nie trzeba być hakierem żeby rozwalic te kupowate
firewalle - ZA i inne wynalazki to tylko zdzierstwo kasy od ludzi tak jak i ten
posrany norton :B

[gray]

Gość portalu: dominik666 napisał(a):

>
> apropo Attack and Penetration hehe :) jest taki programik,sam dobiera sploity
> payload`y i daje ci shela do łapy - z tym że to już nie jest symulacja :b

sam dobiera? sploity? sprzed ilu lat? :D

[Gość: dominik666]

Automatic Product Updates. Available updates are prominently displayed on
IMPACT’s welcome screen, so that
users can instantly see what new modules are available and can download
them with one simple click. New exploits
are released every week.

· Exploit Re-Use Connection Mechanism: CORE IMPACT exploits can now
automatically use this technique
employed by advanced attackers to minimize detection.

· Exploit Payload Library: Advanced users can use this new library to more
easily create custom attacks, taking
advantage of numerous pre-packaged payloads for a variety of platforms,
or writing their own.

[gray]

ahaa.. no i ile serwerów kosisz tym tygodniowo? :DDD uahahah :DDDDD

[Gość: dominik666]

gray napisał:

>
> ahaa.. no i ile serwerów kosisz tym tygodniowo? :DDD uahahah :DDDDD
>

po co servery :> ? :D

nie to wszystko żarty - tego programu nie da się zciągnąc kosztuje ponad 2K$
i za każdym razem wysyła raport do "domu"

[gray]

no pewnie, że się nie da. służy do sprawdzania zabezpieczeń we własnej sieci i
na pewno jest zamknięty.

[Gość: Shadow Security]

A ja znalazlem, takie cos w neciku; (przyznaje jeszcze nie probowalem ale moze to lepsze niz sprawdzenie ataku z jakiejs stronki?)
Shadow Security Scanner zawiera moduły do kontrolowania podatności na włamania różnych systemów i usług. Są to m.in.: NetBIOS, HTTP, CGI i WinCGI, FTP, DNS, wrażliwość na ataki DoS, POP3, SMTP, LDAP, TCP / IP, UDP, Rejestr, Usługi, Użytkownicy i Konta, "słabe" hasła, MSSQL, IBM BD2, Oracle, MySQL, PostgressSQL, Interbase, MiniSQL i więcej. Narzędzie zawiera unikalny algorytm analizujący bezpieczeństwo, który oparty jest na opatentowanym "intelektualnym rdzeniu"