Ezt a pwd szorit nem hallottam, de jo. hehe :-)
BO ugyben meg nem azt vitatom, hogy mekkora problema. Csak azt mondom, hogy unix alapu rendszerekre is konnyu megcsinalni. Ha a nyuzer lama akkor azokra is ugyanakkora veszelyt jelent egy ilyen progi.
Átlag János:
Annyit javitottak ki, amennyit talaltak es nyilvanossa valt. Tobbet sajna nem tehetnek. De tobb kritikus programot viszont elore is atneztek a buffer overflow-ok lehetosegei utan kutatva, es igy elore kijavitottak ezeket.
Az nem szamit, hogy X uj komponens megjelenik. A komponenseknek csak egy kis resze jelent potencialis security veszelyt (felteve hogy az ember nem egyfolytaban root-kent van a gepben, de azt nem is illik). Pl. x11amp, mpg123, xcalc, stbstb felhasznaloi programokban hiaba is lenne exploit, nem nagyon tudna segitsegukkel root joghoz jutni a hacker.
Tovabba egy halozatra kotott gepen nagyon fontos az, hogy mar a gepbelepest is lehetoleg megakadalyozzuk, ezt eleg jol lehet szabalyozni a Linux Firewall beallitasaival (melyik portra engedjen befele csomagot, stb).
Ha biztonsag, akkor inkabb Debian, mint RedHat.
A Linux se nyujt tokeletes biztonsagot, de egyre jobban megkozeliti azt.
Sajnos hozzanemerto rendszergazda es nem karbantartott rendszer eseten igenis mukodnek olyan tamadasok, amelyek mondjuk fel eve javitott biztonsagi lyukat hasznalnak ki. (Ez sajna tobb Sulinetes gepre jellemzo/volt.)
Amugy anno a Datanettol volt aki siman lelopta a /etc/passwd file-t valami egyszeru, akkor meg kevesbe ismert es kesobb javitott trukkel, igy szert tehetett sok dialup jelszora. A gep amugy valami Unix volt, nem Linux.
Ja, es hogy a BO mekkora problema, egy masik esetben, es a jelenben az a helyzet, hogy ha korbesweepelsz a dialupos ip cimekre, akkor eleg sok embernel fut a BO (foleg Matavneteseknel). Ugy hallottam hogy valaki igy tett szert egy adag 'ingyen' dialup nev/jelszora...
Nem hiszem, hogy bárki is újságban akarná híresztelni, hogy meghackelték a szerverét. Ez 1 dolog. A másik igenis folyamatosan hackelik a linuxokat. Illetve próbálkoznak vele. Lényegtelen a setup, hogy néz ki, lefagy e konfiguráláskor a rendszer. A lényeg abban van, ha kész konfigurált rendszered van, az hiba nélkül működjön. Ez a 2. dolog.
Lama juzer nem használ Linuxot ! Legalábbis nem éles internet szerverként. Ez a 3. 1ebként igazat John Zeronak. A Linux hibákat igyekeznek mihamarabb kijavítani, lehet hogy 20 millió van benne, de abból kevés az ismert, ha meg ismerté válik 1ből javítják. Windowsnál csak az ismertek száma nő nagy ütemben, a javítottaké már sokkal kevésbé
John Zero2, trunkolas stimmel. Es pont azt mondtam, hogy ilyen volt a hackeles 20 evvel ezelott.
Milyen adatokra alapozod, hogy a linuxban egyre kevesebb a hiba. Arra, hogy parat kijavitottak? (ez biztos igaz minden masra is) Es hany uj komopnenst adtak a rendszerhez? A RedHat szep setupja, etc. Azok mind helybol hibatlanok? Aligha.
A BO meg mint irtam egy socket alapu server. Semmi perc alatt lehet linuxra is csinalni. Es ha a lama uzer letolti es elinditja a linuxan ugyanugy mindent megcsinal. A hiba a lama userben van - minden rendszeren lehet hulyeseget csinalni.
Hackereknek celpont a linux? Hany ujsagokban tullihegett linux attack-rol hallottal?
Átlag János:
Igen, most mar remlik a 2600, olvastam rola doksit par eve, persze mar akkor is elavult volt a modszer. Azt hiszem tronkolesnek is hivtak.
A Linux sem tokeletes, de egyre kevesebb hiba van benne. Miert?
Mert ha a Windowsban talalsz egy hibat akkor mi van? Semmi. TALAN kijavitjak. A Linuxban meg ha fatalis akkor orakon belul kijavitjak, de amugyis. A hackereknek inkabb cel a Linux, pont ezert csokkentek mara a biztonsagi lyukak benne.
Jelenleg kb. 10-12 millio Linuxos gep van a vilagon uzemben, ez azert nem annyira kis szam. Persze a Windows mogott van.
Amugy Windowsosok 'ellen' meg azt is lazan el lehet jatszani, hogy kirakok egy homepagera mondjuk egy feltort, keresett programot, az installalojahoz pedig BO-t csatolok, es szerintem a lama userek 90%-a lefuttatja lazan a dolgot.
Sot, meg azt is el lehetne jatszani, hogy emailben kuldesz ismeretlennek egy BOakarmi.EXE-t, es melleirod, hogy ez egy virusirto, azonnal futtassa le, es szerintem lenne aki tenyleg lefuttatna ;-)
Vacskamati, eszpee kozel jart hozza. Valoban telefon hackelesre (phreaking) volt hasznalatos. A telefonteszteles pontatlan. Tulajdonkeppen egy vezerlokod ami egy kozpontok soran atmeno hivas eseten az utso kozpontot utasitja, hogy bontsa a kapcsolatot az utso kozpont es a cel mellekallomas kozott. Innentol aztan mas vezerlokodokkal valoban lehetett ingyenes telefonalast jatszani. Most azert ne izguljatok fel, ez ma mar igy nem mukodik. Csak azert hoztam fel, hogy aki errol nem tudja micsoda az ne meseljen arrol, hogy mit jelentett a hackeles husz evvel ezelott :-) Ja es a legregibbi, legismertebb hacker magazinnak is ez a neve.
A Linuxban meg pont annyi hiba van mint barmi masban, csak sokkal kevesebben hasznaljak igy aztan kisebb esellyel talalodnak meg. Meg a hackereknek sem annyira celpont, szinten mivel sokkal kevesebb van belole. (kicsi a return on investment) :-)
tudom, hogy ez nem világrekord így önmagában. Csak hát, ha egy olyan láma mint ő ki-be járkálhatott, akkor ezt bárki megtehette. Mellesleg mondott mást is, de azt nem írom le, mert törvénybe ütközik.
Itt nem csak a számítástechnikáról van szó. Sokkal inkább ámítástechnika. Magyarázom: Adott 1 bűnügy, amiben nem rendelkeznek (számítástechnikához kapcsolódik) 1 bizonyos fajta bizonyítékkal. A műsorban mégis bemutatják azt is a többi mellett. Csak 1 dolog, hogy számítástechnikával kapcsolatos volt az ügy. Ezek után a bemutatott riportok bármelyike! tartalmazhat csúsztatásokat, hogy legalább hír értéke legyen...
A hacker szó még a hőskorból (50-es évek végétől), az MIT-ről származik. Így hívták azokat a lelkes "kódfaragó"-kat, akik a saját és egymás kódjait lelkesen manuálisan optimalizálták. A szakmai tábor jelentős, igényes része a mai napig gondosan ügyel arra, hogy a hacker szó ne tartalmazzon negatív, destruktivitásra utaló jelentéstartalmat. A hacker tehát ügyes számtech emberke, aki nagy zsonglőre a programkódoknak és egyéb ravaszságoknak. A cracker valóban ennek a negtív tartalommal felruházott kiterjesztése.
Nyilvan fenntartasokkal kell kezelni a musort ilyen esetben, hiszen bunugyekrol szol, nem szamitastechnikarol. Eppen ezert nem is lehet elvarni, hogy reszletesen elmagyarazza a hacker a pornepnek, hogy most VBScriptben Winfos alatt lehet, Javaban nem lehet, Linux alatt nem lehet, stb. A musorban (ahogy irtad) a valosagmag volt a lenyeg, marmint az internetes betoresek elvi lehetosege, a tobbin el lehet vitatkozni a szakertoknek, pl. ebben a topicban.
Java-ban 99.9999% hogy nem lehet, az ActiveX viszont nem egy programozási nyelv, ActiveX "appleteket" bármilyen nyelven lehet írni. Innentől kezdve már csak fantázia és tudás kérdése a dolog.
ActiveX es Java között azért vannak nagy különbségek, főleg a security terén. Egyébként ajánlott olvasni a (z egyébként elég szar) Computer Panoráma új és előző számát, abban írnak konkrét HTML lapokba ágyazott VBScript vírusokról.
en mindazonaltal megnezem azt az embert, aki ActiveX-ben, vagy Javaban billentyuzet drivert (plane Windows alatt) megmachinal. (es akkor az offline/online problemarol nem is beszeltunk).
Az IE-nek olyan hibait hasznaljak ki a kulonbozo programok, mint pl. lokalis halozaton mindennemu security kikapcsolasa. Ez azert nem olyan dolog, hogy rosszindulattal ultetek valamit a gepre, mert ha a browser nem adna ra lehetoseget, akkor semmilyen indulattal nem lehetseges a betores.
A Win95/98 játszani való. Netezni használjatok akkor linuxot, elég kis helyen elfér, és nem lesz probléma a windowsos bug hegyek.
A topichoz: A kriminális mint olyan valóságtartalom ügyileg legjobban 1 legendához hasonlítható. Van valóságmagja, a többit úgy köríttik hozzá, mert 1ébként eladhatatlan a hír. Ebben persze nem biztos, hogy a Juszt Laci a hibás, mert neki jóformán csak az orra alá dugják az anyagot... Ergo az egész műsort illik legalábbis fenntartásokkal kezelni.
Akkor ez részletesen is érdekelne, mivel elég jól ismerem a Navigator-t és lehetőségeit.
Tehát akkor pontosan hogyan lehet ilyen dolgot művelni Netscape Navigator alatt? (Mondjuk hogy konkrét legyen a kérdés: tetszőleges file létrehozás a kliens winchesterén.)
Előrebocsátom: átlag user vagyok, és láttam már servert is. Előző munkahelyemen én voltam felelős a szám.tech. dolgokért (adminisztratív rész + szakemberekkel kapcsolattartás).
Amikor home-banking-ot kezdtünk használni, a banktól kértem egy nyilatkozatot egyrészt a Y2000 kompatibilitásról, másrészt hogy nem lehet majd betörni hozzánk ill. megszerezni a hozzáférést a számlánkhoz. (Éppen akkor volt egy cikk a bankok informatikai biztonságosságáról, ami szintén gyanakvásra adott okot.)
Nos, a lényeg az, hogy a Y2000-re adtak írást, másra nem, csak szóban homályos magyarázatokat. Tudom, hogy nem lehet 100%-os biztonsággal védekezni, de hogy semmi biztosítékot nem adnak, az elgondolkodtatott.
ribizli
A webes vírusokról: mint sok minden más áldást, ezt is a Microsofttól kaptuk. Nem volt elég nekik a Word által ránk szabadított AutoLoad lehetőség, amivel kiváló táptalajt teremtettek a makrovírusoknak, továbbléptek: az IE 4.xx-től kezdve a felhasználó megkérdezése nélkül feltelepített Windows Scripting Host segítségével a rendszer alkalmassá válik VisualBasic script programok futtatására, amik ugyebár sima HTML oldalba is ágyazódhatnak... a következményeket ki lehet találni. A kétségek eloszlatása végett minden ilyen programnak teljes írási joga van az egész vinyóra. Külön vidámság, hogy ez a rendszer (WSH) már integráns része a Win98-nak, és lesz is az összes ezentúl megjelenő Windows oprendszernek. Csak annyit tudok javasolni, hogy ne használjatok IE-t, a Netscape Navigator alatt legjobb tudásom szerint nem lehet VBScripteket futtatni.
Hacker témáról: a számteches világra szűkítés tényleg nem állja meg a helyét, imho az is hacker, aki "örökbérlettel" utazik a bkv-n.
2600: amennyire én tudom ez volt az a frekvencia, amit Amerikában a telefonszerelők használtak arra, hogy teszteljék a vonalat, tehát a bizonyos ideig ezzen a frekin szóló hang után ingyen lehetett telefonálni.
Dun Ringill, ez nem egy olyan nagy varazslat. Ha be tud kapcsolodni akkor egy halozathoz valamit erto ember pillanatok alatt megmondja hany gep van felaggatava. A fontos resz a hozzaferes korlatozasa.
John Zero2, ugyan en nem lattam a musort, de:
A szavak jelentese valtozik. Ha egy szot az elmult husz evben mindenki egy valamire hasznalt akkor tok mindegy mit jelentett korabban. Kulonben sem hiszem, hogy a Juszt annyira tajekozott lett volna, hogy szandekosan a 20 evvel ezelotti jelentest hasznalta volna. Inkabb azt tartom valoszinunek, hogy a "szakerto" aki felkeszitette se tudta mirol beszel.
A hacker/cracker szavak jelentese az elmult ugy tizenot evben:
hacker: Barki aki megprobal kiserleti uton felfedezni egy rendszerben levo lehetosegeket. Leggyakrabban szamitogepes rendszerek es halozatok a celpontok, de milyen mokas is volt amikor valaki a nyujorki metro elektromos hirdetotablajara kiirta, hogy 2600. A tabla infravorossel taviranyothato, innentol mar az ado osszetakolasa es a vezerlokodok kikiserletezese jopofa kis hack-eles. (ugye tudod honnan jon a 2600 ?)
cracker: Tdeak definicioja pontos.
Ha a Juszt nem ilyen ertelemben hasznalta a szavakat akkor osszevissza beszelt. Hackerbol pedig van artalmatlan es bunozo is.
Tdeak, A Netbus/BO-nak semmi koze a browserhez. Egyszeruen egy socket alapu szerver ami altalaban trojan-kent kerul a gepre. Aki mindenfele ismeretlen programokat elindit a halon logo gepen es meg csak a nyitott portokat se listazza ki es ellenorzi idonkent az magara vessen. ;-)
Én a közelmúltban dolgoztam kormányhivatalban, és beszéltem olyan barátommal, aki egy nap megmondta nekem, hány gép van hálózatra kötve nálunk. Sose járt benn, csak a gépén keresztül.
Nincs igazad!
A Kriminalisban kivetelesen eleg sok valodi dolog hangzott el.
1. hacker-cracker
Meglepo, de ok (is) jol hasznaltak! A fogalom meg boven az 1980-as evek elott is letezett mar, szamitogepes ertelemben is. Csak a C64, Amiga, stb. gepeknel cserelodott fel valamiert a fogalom.
2. kem-agent program...
Pl. ActiveX control... Melyik lama user nem fogja megnyomni a Yes-t?
Amugy van amikor nem is kell, mert a (pl.) Microsoft programokban talalhato hibakat is ki lehet hasznalni... JAVA, Javascript bug, Outlook Express bug, stb.
3. igen, a bankok szerintem nagyjabol biztonsagosak
4. az allami szfera szerintem nem annyira, talan ott nincs annyi penz ilyenekre... (na jo errol nem nagyon van informaciom)
Az altalam viszonylag nagyrabecsult Juszt Laci elegge lerontotta az indexet nalam a mai Kriminalisban a "hacker" bemutatasaval. Csak vazlatpontszeruen nehany suletlenseg/technikai keptelenseg a musorbol:
1. A "hacker" Juszt-fele definicioja : "joindulatu betoro a szamitogepes rendszerben", cracker : detto ua. mint az elozo, csak "lop csal hazudik" stb. Nos, amiota en a ket fogalmat ismerem, a "cracker" mindig is azokat jelentette akik a programok binaris kodjaban modositottak, vedelmet hatastalanitottak stb.
2. A "kem-agent" program - amelynek letezeserol mellesleg egyaltalan nem talaltam utalast a Web-en - amely "homepage-ek latogatasa alatt" - vagyis Web browseren keresztul letoltodik, "atirja valamelyik driver-t, pl. a billentyuzet-meghajtot es utana tovabbitja (????) az adatokat egy meghatarozott helyre" (offline??). Azontul, hogy pl. Javascriptben vagy Java appletben ezt szerintem elegge bonyolult modon lehetne megoldani, en csak egy ehhez hasonlo programrol tudok, a Netbus, amely browser bugokat hasznal ki, es ugy dolgozik. (kb. mint a Pcanywhere ugy, es teljesen eszreveheto a jelenlete)
3. A magyar bankok teljesen szeparalt halozatban vannak a Matav X.25-fele GIRO rendszerben. (Kulon rendszer van termeszetesen). Elegge nehez oda betorni. Ma Magyarorszagon egyedul az IEB ad valami webes feluletes szolgaltatast, de az is a 443-as https kodolt protokollal mukodik.
4. Igen nagyon nem hinnem, hogy a Magyar Allamkincstar barmi modon is elerhetove tenne az atutalasait az Interneten, vagy barmilyen nyilvanos forumon.
5. Az az ugymond 50 ember, aki ma Magyarorszagon kepes "ilyen" hackelesre, lehet, hogy igaz. Viszont aki a szo valodi ertelmeben vett hackelesre kepes, az minimum ennek a tizszerese.
Szoval akkor . . . ?
