Category Archives: Knowledge

Google Cache – Anonymity with caches / Google “predpomnjenje” – Anonimnost s “predpomnjenjem”

This article in English .pdf / .doc

Celo na nekaterih varnostnih seminarjih v Sloveniji sem večkrat slišal kako pravi “hackerji” uporabljajo Google cache za pregled spletne strani žrtve brez, da bi pustili sledi svojih IP naslovov na žrtvinem strežniku.
V resnici temu ni tako, saj Google Cache vseeno ne shranjuje vsega in ob povezavi na Googlov link “Cached” oziroma “Posnetek” se določeni paketki vsmerijo tudi na “online” različico spletne strani. To se lahko lepo vidi iz dveh primerov narejenih s programom tcpdump.

Izsek prometa – IP:port to IP:port
Na prvem primeru lahko vidimo povezave na vrata 80 – v prvih vrsticah prihaja do komunikacije s Googlovimi strežniki v peti vrstici pa vidimo povezavo na IP naslov spletne strani, ki smo jo želeli gledati skozi “posnetek” oziroma “cache”.

“TCP stream” HTTP izpis

Na drugem primeru pa lahko vidimo izsek HTTP prometa iz katerega je jasno razvidno, da tekstovno vsebino strani prejemamo iz Googlovih Cache strežnikov, slike pa vseeno pobiramo z “originalne” spletne strani. V tem koraku se lahko vprašamo o naši anonimnosti, saj se je v tem primeru na spletnem strežniku, kjer gostuje spletna stran, ki smo si jo želeli ogledati skozi Googlov “posnetek” zabeležil naš IP naslov v trenutku, ko smo iz njega začeli pobirati slike. Še huje! Med 6 in 12 vrstico je jasno videti da smo strežniku, ki gostuje “originalno” spletno stran poslali REFERER polje iz katerega je razvidno, da smo si spletno stran želeli ogledati preko Google “posnetka”.
Za ohranjanje aninimnosti torej Google Cache NI primerna rešitev, svetujem ogled spletne strani http://tor.eff.org/ projekta TOR – Anonymity online.

Eve – Real time 3D visual network surveillance

This article in English .pdf / .doc

Čisto po naključju sem naletel na spletno stran skupine Cult of the Dead Cow – CDC, kreatorjev nekoč zelo zanimivega “orodja” imenovanega BO – Back Orifice. Orodje je omogočalo povezavo prek porta 31337 na “okužen” računalnik na katerem si potem praktično počel karkoli. Tudi v Sloveniji se je okrog leta 1998 našlo kar precej takšnih računalnikov še posebej v šolah.
Na spletni strani skupine CDC sem našel zanimivo povezavo na spletno stran http://www.whitedust.com/eve, kjer sem našel še zanimivejše orodje – Eve realtime 3D visual network surveillance – program, ki nam v realnem času izrisuje prostorsko (3D) sliko (v resnici nekakšen video posnetek) omrežja.

Project web site

Project web site

Poleg te funkcije nam omogoča še vključitev grafa, ki nam v realnem času izrisuje 2D graf prometa ter tekstovnega izpisa povezav “od kod / kam” z IP naslovi ter vrati.
Najnovejša različica (v trenutku pisanja tega prispevka) 1.3.1 omogoča še nekaj zanimivih funkcionalnosti in sicer:

– v prostoru je omrežna oprema predstavljena kot: moder kvadratek (računalnik na katerem poganjamo Eve oziroma Eve Agent*), vijoličen kvadratek predstavlja računalnike ter ostalo omrežno opremo v lokalni mreži (tako si interpretira tudi računalnike na drugi strani VPN tunelov) ter rdeč kvadratek, ki ponazarja računalnike izven našega omrežja.

– promet, ki se pretaka pa je označen kot: zelena črta, ki je na določenih mestih odebeljena (siv krogec) predstavlja TCP “potoček” ali TCP stream. Siv krogec na tej zeleni črti pa predstavlja “skoke” ali HOP-e med usmerjevalniki v omrežju, nekakšna rdeča zvezdica predstavlja TCP paket, modra zvezdica predstavlja UDP paket, zelena zvezdica pa ICMP paket.

Ob prvem zagonu programa Eve moramo nastaviti nekaj osnovnih nastavitev in sicer ime mrežne kartice na kateri bomo “poslušali”, grafični gonilnik (DirectX, Software rendering …), širino in višino okna ter dodatno funkcionalnost naslov/ime ter uporabniško ime in geslo za dostop do MySQL baze v katero lahko program shranjuje celoten promet in si ga lahko na ta način kasneje predvajamo.
Ob zagonu programa se na ekranu pojavi le naš računalnik (moder kvadratek), privzeti prehod (gateway) ter DNS strežnik (lahko jih je tudi več). Takoj za tem pa se na podlagi prometa, ki se odvija na mreži začne izrisevati kopica kvadratkov.
Pozicije kvadratkov so izračunane na podlagi IP naslova tako, da se vam bodo določeni na primer strežniki vedno – ob vsakem zagonu pojavili na istem mestu.
V paketu dobite po novem tudi dva agenta, ki lahko tečeta tako na Windows kot tudi na Linux sistemu – slednja pa nam ne prikazujeta prometa v realnem času temveč ga samo zapisujeta v MySQL bazo. Promet lahko potem z Eve Viewerjem gledamo – v novi različici 1.3.1 je stvar poboljšana tako, da lahko sedaj določimo tudi natančen čas začetka predvajanja.

Project web site

Project web site

V trial različici programa Eve se imena na “kvadratkih” naključno izmenjujejo tako, da ne bo mogoče nikdar natančno ugotoviti kateremu kvadratku ustreza kateri IP naslov zato vam predlagam da projekt podprete s 25€ in iz Whitedust boste dobili registracijske podatke, ki jih nato vnesete v program. Registracija bo delovala na vseh novejših različicah (free updates for life, free support for life).

Kot registrirani uporabniki ob enem postanete tudi člani Eve Active Participation – bloga, foruma ali kakorkoli že, kjer lahko glasujete za “dobrote”, ki jih razvijalci Eve trenutno izdelujejo, objavite vaše predloge ali “listo želja”, berete kaj pišejo drugi uporabniki in spremljate na katerem koraku so razvijalci.
Sam sem imel možnost testirati tako “skoraj polnofunkcionalno” trial različico kakor tudi “full” version. Program deluje v redu, predvsem se mi zdi zanimiv v primeru, da ga pustimo par ur prisotnega na omrežju – sam sem ga pustil ob tem, da sem izvajal ARP poisoning (z drugim programom) stikala tako, da se je obnašalo kot hub – tako je Eve dobila kar največ informacij o omrežju ter komunikaciji med lokalnim omrežjem in internetom.

Program bi priporočal predvsem izobraževalnim ustanovam saj lahko z njim resnično lepo ponazorimo delovanje omrežja v realnem času. Prav tako je program primeren za IT strokovnjake – za razna testiranja, ugotavljanje šibkih členov in podobno.
Eve lahko poganjate tudi kot ohranjevalnik zaslona. 🙂

Hvala Marku Andersonu – Whitedust za testno licenco

Več informacij:
http://www.whitedust.net/eve/ – spletna stran projekta
http://www.whitedust.net/eve/media.php – video posnetki, zaslonske slike …

Delček članka “Vroče točke” iz zadnje Mladine

… Z brezplačnimi hot spoti je najdlje prišla Nova Gorica, saj je z brezplačnim brežičnim internetom pokrit skoraj ves center Nove Gorice oziroma Bevkov trg. Kiwi-fi Network je postavil pet dostopnih vročih točk, projekt pa je nastal v sodelovanju s klubom goriških študentov in Mostovno. Idejni vodja projekta Luka Manojlović pravi, da so se povezali tudi z nekaterimi lokali, ki so imeli ADSL priljuček uporabljali pa so ga le za za plačila preko POS terminalov. Priključki niso bili polno zasedeni, lastnike pa so prepričali, da del svojega dostopa do interneta delijo z drugimi. »Investicija v opremo je bila relativno majhen strošek, okoli 100.000 SIT,« pravi Manojlovič, ki dodaja, da se v njihovo omrežje lahko priključi vsak, obstaja pa nekaj omejitev zaradi varnosti. Sicer pa naj bi novogoriško omrežje v prihodnosti še naprej raslo. Kiwi-fi pa je tudi eden redkih slovenskih predstavnikov na seznamu Europe Free-hotspot.com. Na njihovem seznamu je trenutno že približno 1000 zastonjskih vročih točk po Evropi. …

Cerar G. (2.6.2007). Vroče točke. Mladina, (22), 54-55.

Več si preberite na:
http://www.mladina.si

Homework for attendees of my session at NT Konferenca 2007 / Domača naloga za udeležence mojega predavanja na NT Konferenci 2007

1.) Preglejte stanje svojih domenskih zapisov: http://www.dnsreport.com
2.) Preglejte, ali so vaši poštni strežniki že na kakšni od obstoječih črnih list: http://www.dnsstuff.com
3.) Preverite, da imate pravilne MX zapise ter A zapise. Preverite, da se ujema A zapis z PTR (reverse) zapisom (npr. posta.podjetje.si se razreši v 123.123.123.123 in nazaj iz 123.123.123.123 naj se razresi v posta.podjetje.si)
4.) Preverite server greeting z ukazom telnet posta.podjetje.si 25 odgovoriti vam mora z tromestno številko + A zapisom
5.) Veliko vprašanj se je nanašalo na scenarij:
Imam domeno podjetje.si ter domeno podjetje.eu. Kako nastavim poštni strežnik za obe domeni.
Poleg standardnih nastavitev Recipient policy na strežniku Exchange na DNS nivoju stvar uredimo takole:
Za podjetje.si naredimo A zapis posta.podjetje.si ter PTR posta.podjetje.si ter nastavimo MX zapis z utežjo 10 na posta.podjetje.si
Za podjejt.eu dodamo MX zapis, ki kaže na posta.podjetje.si – s tem načinom pravilno in po RFCju skonfiguriramo poštni strežnik tako, da bo sprejemal pošto za obe domeni.

si-whitelist.mostovna.com – sporocilo za javnost / public note

Pozdravljeni!

To sporocilo vam posiljam zato, ker ste tako ali drugace povezani informacijskimi tehnologijami.

V sklopu Multimedijskega centra Mostovna smo začeli s projektom izdelave seznama varnih slovenskih pošiljateljev – udelezba na tem seznamu vam omogoca, da bo posta z vasega streznika “preskocila” spam filtriranje na streznikih, ki bodo z nasim seznamom pregledovali veljavnost IP naslova posiljatelja. Prav tako pa vpis vasega streznika na seznam omogoca vasim partnerjem, da brez ovir prejemajo vasa postna sporocila.

Vpis ter uporaba seznama je brezplacna.

Vec informacij:

http://si-whitelist.mostovna.com
http://si-whitelist.mostovna.com/si-whitelist.mostovna.com-opis.pdf
http://si-whitelist.mostovna.com/si-whitelist.mostovna.com-opis.doc
http://si-whitelist.mostovna.com/si-whitelist.mostovna.com-opis.docx
http://mmc.mostovna.com

First Slovenian “white list” of safe mail servers / Prva slovenska “bela lista” varnih poštnih strežnikov

In MMC Mostovna we have started a new technological project. This is first Slovenian white list of (slovenian) safe/trusted mail servers. The white-list is freely available but in BETA phase for now. I hope it will be ready soon. For testing just enter the name: si-whitelist.mostovna.com in your mail server and allow records that get code 127.0.0.1. You can get more info by sending e-mail to info(AT)si-whitelist.mostovna.com / V MMC Mostovna smo začeli z novim tehnološkim projektom, prvo slovensko “belo listo” varnih (slovenskih) poštnih strežnikov. Lista je prosto dostopna vendar za enkrat v BETA fazi. Upamo, da bo kmalu opravljena faza testiranj. Za testiranje liste lahko v nastavitve vaših poštnih strežnikov vpišete naslov: si-whitelist.mostovna.com in eksplicitno dovoljujete vse zapise, za katere dobite odgovor 127.0.0.1. Za več informacij smo vam na voljo na info(AT)si-whitelist.mostovna.com.