Page 1 of 2

Del Paraboles LAN tinklu saugumo

Posted: Tue Oct 18, 2005 8:15 am
by steponas
2005-10-17 "Lietuvos ryte" yra straipsnis "Pro apsaugos skyles plūsta slapti duomenys ".
Straipsnį padėjau į ftp://ftp.parabole.lt/incoming/Temp/Steponas/
Siūlau visiems paskaityti jį ir šia tema padiskutuoti - kiek mums tai yra aktualu, nes aš vis gaunu skundų dėl portų skanavimo.
Kadangi Lietuvos rytas į archyvus kitą dieną jau neįleidžia priverstas straipsnį talpinti čia.
Lietuvos rytas wrote:Pro apsaugos skyles plūsta slapti duomenys (67)
„Lietuvos rytas“ įsitikino: į svetimus kompiuterių tinklus patekti nesunku

Paulius Jakutavičius
„Lietuvos ryto“ korespondentas


Bevielis ryšys – prieinamas

Vilniaus bendrovių ir organizacijų bevielio ryšio kompiuterių tinklai – pavojingai skylėti.

Paprastai šie tinklai veikia kelių šimtų metrų spinduliu, neretai prie jų galima prisijungti netgi būnant lauke ir imti pumpuoti slaptus duomenis.

Tai „Lietuvos ryto“ žurnalistui pademonstravo vienas informacijų technologijų (IT) saugumo specialistas.

Plinta įvairūs apgaulės būdai

Neseniai šalį sudrebino bankininkų ir teisėsaugininkų pareiškimai, jog sparčiai daugėja mėginimų apgaulės būdu išgauti slaptus kodus, kuriais pasinaudojus galima per internetą prisijungti prie svetimos banko sąskaitos.

Vienas tokių apgaulės būdų yra vadinamas „Phishing“. Apsimesdami banko atstovais nusikaltėliai klientus bando įkalbėti prisijungti prie suklastotos interneto svetainės ir įvesti savo internetinės bankininkystės kodus.

Taip pat daugėja slaptų programų, kurios fiksuoja, ką kompiuteriu daro jo savininkas, kokius klavišus spaudžia. Ši informacija perduodama tam tikrais interneto adresais.

Tačiau, kaip tvirtina patyrę IT saugumo specialistai, šie būdai, palyginti su tuo, ko gali imtis daugiau patirties turintys kompiuterių įsilaužėliai, kelia tik šypseną.

Prisijungti pavyko greitai

„Lietuvos ryto“ eksperimentas prasidėjo Vilniaus centre įsėdus į specialisto automobilį.

Įranga – nešiojamasis kompiuteris su specialia programine įranga ir bevielio ryšio antena. Ji nestandartinė – kiek galingesnė ir, kompiuterininkų žargonu kalbant, „mato“ tinklus, esančius net už kelių kilometrų.

Informacijų technologijų saugumo specialistui prijungus anteną, speciali programa vieną po kito eteryje aptiko keliolika bevielio ryšio tinklų.

„Nuvažiuosime ant Tauro kalno, tada pamatysi“, – pažadėjo jis. Iš tiesų atsivėrus sostinės centro panoramai kompiuterio ekrane sumirgėjo keliasdešimt tinklų sąrašas. Nemažai jų – be jokios apsaugos.

Išsirinkęs vieną atvirą tinklą, kurio ryšio signalas buvo stipriausias, specialistas prie jo prisijungė.

Mes – jau organizacijos tinklo viduje. Visa informacija, keliaujanti jos kompiuterių tinklu, kad ir kokia ji slapta būtų, tapo pasiekiama ranka.

Paleidus programą, skirtą stebėti ir išrinkti norimus duomenis iš viso jų srauto, ekrane pasipylė prisijungimo prie tarnybinių stočių slaptažodžiai, kuriuos naudojant galima perskaityti visų darbuotojų elektroninį paštą, prisijungti prie jų darbo kompiuterių.

Anot „Lietuvos ryto“ pašnekovo, kiek ilgiau stebint tinklą tikrai būtų galima gauti ir prisijungimo prie bankų internetinių sistemų slaptažodžius, duomenų bazių administratoriaus kodus.

Organizacija, prie kurios tinklo prisijungėme, kaip teigė pašnekovas, valdiška įstaiga, valdanti dideles duomenų bazes, kuriose sukaupta informacija apie įmones, gyventojus.

Randa spragų ir apsaugoje

Pirmasis bandymas buvo paprastas, nes tos organizacijos bevielis tinklas visai nebuvo apsaugotas.

Geriausiu atveju tokiais tinklais naudojasi žmonės, kurie tiesiog nori nemokamai naudotis internetu. Blogiausiu – vagiama informacija iš organizacijos arba jais pasinaudojant rengiamas įsilaužimas į kitus tinklus.

Vis dėlto jau nemažai vartotojų savo bevielio ryšio tinkluose įdiegia apsaugas. Norint prisijungti reikalingi slapti raktai. Bet ir šios spynos pasiduoda.

„Lietuvos ryto“ pašnekovo teigimu, prireikia valandos ar dviejų, kad tam tikros programos, naudodamos šifravimo algoritmuose esančias spragas, suskaičiuotų ir pateiktų prisijungimui reikalingus raktus.

Pasinaudoja žmonių neatidumu

Trečioji demonstracijos dalis – kaip renkami prisijungimo prie banko sistemos kodai.

Kadangi realiomis sąlygomis reikia tykoti, kol kas nors mėgins prisijungti, „Lietuvos ryto“ žurnalistui visa tai buvo pademonstruota kompiuterių laboratorijoje.

Bankai nuolat pabrėžia, kad jų internetinėse sistemose naudojami itin saugūs prisijungimo būdai. Tai yra tiesa.

Kaskart klientui prisijungus prie vadinamojo banko internete, tarp jo kompiuterio ir banko tarnybinių stočių sudaromas saugus duomenų perdavimo kanalas.

Juo siunčiama informacija yra šifruojama tokio ilgio raktu, kurį ir galingiausiems pasaulio kompiuteriams atspėti užtruktų ne vienerius ir ne dvejus, o tūkstančius metų.

Bet ir čia yra galimybė įveikti saugumo užkardas, nes žmonės anksčiau ar vėliau padaro klaidų.

Pasirodo, ir vėl – viskas paprasta. Svarbiausia – patekti į tinklą.

Po to speciali programa, pastebėjusi mėginimus prisijungti prie saugios banko svetainės, perima šį ryšio seansą.

Įsilaužėlio kompiuteris tampa tarpininku, IT saugumo specialistams gerai žinomu „man in the middle“ (žmogumi viduryje).

Klientas paprastai net neįtaria, kad kažkas gauna visus jo bankui siunčiamus duomenis, taip pat ir prisijungimo kodus, nes programa užmezga ryšį ir su banku, kuris perduoda visas komandas. Banko klientas gali dirbti su savo sąskaitomis, pervesti pinigus.

Tik vienas perspėjimas pasirodo tuo metu, kai įsilaužėlio programa mėgina perimti ryšį. Tačiau čia, IT specialisto teigimu, dažniausiai suveikia žmonių neatidumas: „Beveik visi, kuriems tai demonstravau, nekreipė dėmesio į šį įspėjimą“.

Įrankiai – visiems prieinami

Įsilaužimas pasinaudojant bevieliu ryšiu, pasirodo, tiktai vienas būdų.

Nepatikimas, piktų kėslų turintis darbuotojas gali į darbą atsinešti mažą bevielio ryšio įtaisą ir įjungti jį į nuošalų kompiuterinio tinklo kištukinį lizdą. Tokiu būdu visa laidais keliaujanti informacija tampa pasiekiama ir gatvėje esančiam įsilaužėliui.

Pasaulinė statistika rodo, kad bene daugiausia įsilaužimų, duomenų vagysčių arba informacijos sunaikinimo atvejų įvyksta ne iš išorinių tinklų, o iš organizacijų vidaus.

Be to, tokiems įsilaužimams, kokie buvo pademonstruoti „Lietuvos ryto“ žurnalistui, reikalinga įranga yra prieinama bet kam.

Didesnio galingumo, bet leistina naudoti Lietuvoje antena kainuoja kelis šimtus litų. Be abejo, reikia ir nešiojamojo kompiuterio.

Kodai – piktiems tikslams

Žinoma, vieną kartą pažiūrėjus, ką daro patyręs specialistas, iškart pakartoti to nepavyktų.

Tačiau po kelių bandymų save jau galėčiau vadinti turinčiu įgūdžių įsilaužėliu.

Anot „Lietuvos ryto“ pašnekovo, kol kas negirdėti, kad kas nors mėgintų užsiimti tokiu įsilaužimu rimtai.

Tačiau IT saugumo specialistas perspėjo, kad organizuotai grupei įsilaužėlių būtų vieni niekai per ilgesnį laikotarpį susirinkti daugybę informacijos, slaptų kodų, prisijungimo slaptažodžių, kuriuos galima panaudoti piktiems tikslams.

Specialistams trūksta žinių

Saugos bendrovės Ekskomisarų biuro viceprezidentas Alius Sadeckas labai nenustebo, išgirdęs apie tokio eksperimento rezultatus.

Esą užsienyje jau senokai buvo pastebėtas šis didelis bevielių kompiuterių tinklų apsaugos trūkumas – kiekvienas patekęs į jo veikimo zoną gali perimti ryšio signalą.

„Daugiau nei pusė bevielį ryšį naudojančių organizacijų blogai konfigūruoja įrangą – nenaudoja šifravimo arba neuždraudžia neautorizuotų prisijungimų“, – teigė A.Sadeckas.

Pasirodo, nemažai šalies kompiuterinių tinklų administratorių dar neturi pakankamai žinių, įgūdžių dirbti su bevieliais tinklais.

Be to, daug organizacijų nesuvokia, kad informaciją galima apsaugoti tiktai panaudojant kelių priemonių kompleksą.

„Teko matyti įmonių, prisipirkusių brangių kompiuterių tinklo apsaugos sistemų ar antivirusinių programų, bet neskiriančių dėmesio administravimui.

Kas nori gali patekti į patalpas, išsinešti kompiuterius, persikopijuoti duomenis į nešiojamas informacijos laikmenas, sekretorė telefonu pasakoja apie slaptažodžius“, – dėstė A.Sadeckas.

Vadovų dėmesys – per menkas

Ekskomisarų biuro viceprezidentas atkreipė dėmesį ir į tai, kad dažnai administratoriai, bijodami, kad bus aptiktas jų darbo brokas, neskatina auditų ir vadovus nuteikia prieš tokias priemones. Taip vadovui susidaro klaidingas gerovės įspūdis jo organizacijoje.

Tą patį sakė ir „Lietuvos rytui“ saugumo spragas pademonstravęs specialistas. Jis yra atlikęs kelis auditus didelėse įmonėse.

Jų administratoriai vadovams net nepranešė apie įsilaužimus, kurie buvo atlikti audito metu.

IT specialisto teigimu, per tris dienas jam pavyko gauti daugiau nei 500 vartotojų slaptažodžių, informacijos iš buhalterinių sistemų, duomenų apie prisijungimus prie banko sąskaitų.

Konsultacijų ir paslaugų bendrovės „Alna Intelligence“ atlikta kelių dešimčių didelių šalies bendrovių vadovų apklausa irgi parodė, kad informacinių sistemų apsauga jiems mažai rūpi.

Posted: Tue Oct 18, 2005 8:27 am
by Hamann
nu nesuprantu, tai tegul skanuoja , negi gaila,jei jau kas nesugeba savo pc pasirupint tai to uz ji nieks nepadarys.

Posted: Tue Oct 18, 2005 8:54 am
by dasi
Didziausia problema, tai manau virusai visokie, gyvenantys dideliais kiekiais nieko neytarianchiu sheimininku kompuose. O kad tokiu yra nemazhai matosi ish logu apie bandymus pasijungti y populiarius portus. Ir kaip bebutu gaila shiuo atveju nelabai tinka posakis "skestanchiuju gelbejimas - ju pachiu reikalas" nes tokie "zombiai" generuoja bereikalinga trafika, ko pasekoje kenchia visi...

Posted: Tue Oct 18, 2005 9:12 am
by steponas
Labai įdomūs kai kurie komentarai http://www.lrytas.lt/index.asp?data=200 ... d=2&view=3
Aš žinojau, kad pro Win XP saugumo skyles patenkantys virusai gali ištempti info iš tavo kompo ir suryja daug trafiko.
Dėl trafiko rijimo ir įdiegėme automatinę virusais užkrėsto kompo atjungimo nuo LAN sistemą, bet negi situacija yra tokia beviltiška :?

Posted: Tue Oct 18, 2005 9:28 am
by MINDEz
na nera ir nebus 100% saugumo. taip pat neuzdrausi juk narsyt po tinklapius is kur platinasi virusai. tuo paciu neimanoma ikalt i galva zmonems, kad pastu is nepazystamo zmogaus atsiustas archyvas gali bu virusas ir t.t. vistiek atsiras tokiu, kurie sugebes pasigaut virusiuka, o virusas lane vistiek atras pazeidziamu kompu...
ner problemos sprendimo. tie kas sugeba, saugosi patys, o tie kas ne... ribot ju kanalo pralaiduma reiktu ar dar kaip, ir ispet emailu

Posted: Tue Oct 18, 2005 10:50 am
by Ar
straipsnis apie bevielį ryšį, ant vielinio truputį sudėtingiau, bet irgi įmanoma info nusnifinti,
o portų skenavimas buvo, yra ir dar ilgai bus, kartais tai reikia iš reikalo atlikti (FTP, 21 portas), o be to pas daugelį Windows OS, o ten skylių pilna, tad .... :mrgreen:

Posted: Tue Oct 18, 2005 11:43 am
by |5zU1RaW|
Na as irgi nesupratau, kuo cia aktualu Parabolei. Taigi ten apie bevieli rysi snekama. O portai/virusai/spywaras tai cia jau paciu vartotoju kalte/nezinojimas/bukumas ir tai manau visai atskira tema...

Posted: Tue Oct 18, 2005 12:46 pm
by dasi
Ponas, Steponai, jus kogero esate teisus, ir jusu blokavimo sistema veikia efektyviai.
Panashu, kad praktishkai visi prisijungimai eina ish lauko. Nors ish pradziu galvojau
kad 84.32.* tai 100% bus paraboles. Pasirodo, kad paraboles adresu ten arba ishvis nera
arba labai minimaliai. 84.32.* adresu tai pilna - ir kaip pazhiurejau dauguma ju telekomo
DSL'ai visokie. Taip pat paskaichiavau, kad vidutinishkai eina 1 bandymas per 1.5 minutes.
Gal ir nedaug ishtikro - jei parabole turi ~1000 IP adresu(nesvarbu naudojamu ar nia) -
tai sudaro kazkur 11 pps ish ishores/44kbps imant vidutiny paketo dydy 500B. Nu ir dar
kazkiek vidui prisideda - ARP, ICMP ir pan. Nu vien zho - del shito kogero jaudintis
nereikia, juo labiau, kad nelabai ka chia ir padarysi :)

Posted: Tue Oct 18, 2005 8:39 pm
by ShadowMan
Sveiki. Visu pirma, manau kad pries jungdamasis i internet'a, zmogus pats turi pasirupinti tiek sistemos atnaujinimais, tiek antivirusais tiek ir IDS programomis.
Paraboles administratoriai manau turi darbo ir be vaiku darzelio prieziuros. Svarbiausia, kad yra antivirusu apsauga. Pastatyti automatine IDS, kad blokuotu kiekviena itartina prisijungima yra pakankamai sunku. Uztektu tik uzlogint tokius bandymus, kad reikalui esant galima butu issiaiskint kenkejus. Tiesa pasakius, pries jungdamasis prie paraboles, buvau prastesnes nuomones, taciau kai prisijungiau, kolkas esu patenkintas paslaugom.

Posted: Wed Oct 19, 2005 10:34 am
by steponas
ShadowMan wrote:Sveiki. Visu pirma, manau kad pries jungdamasis i internet'a, zmogus pats turi pasirupinti tiek sistemos atnaujinimais, tiek antivirusais tiek ir IDS programomis.
Paraboles administratoriai manau turi darbo ir be vaiku darzelio prieziuros. ...
Pilnai su tuom sutinku, bet tai daro geraiusiu atveju apie 5 ... 10% abonentų :!:

Posted: Wed Oct 19, 2005 11:08 am
by Bolik
steponas, mano nuomone tai ju problemos (bet tai tik mano nuomone) :mrgreen:

Posted: Wed Oct 19, 2005 11:50 am
by steponas
Bolik wrote:steponas, mano nuomone tai ju problemos... :mrgreen:
Sutinku, kad jų prablemos, bet jie skambinėja į abonentinį skyrių, į serviso tarnyba ir registruoja kaip gedimus :roll:
Mūsų meistrai dėl jų turi bėgioti, o kai kuriais atvėjais ir tas jų problemas spręst - tvarkyti kompus , konfiginti ir t.t :cry:

Posted: Wed Oct 19, 2005 1:34 pm
by Rafarin
uzh gedimus ne del paraboles kaltes reik imt pinigus, per telefona reik ishkart pasakyt, kai paskambina, kad jei gedimas ne del paraboles kaltes, teks uzh tvarkyma moket... manau nors dalej skambinusiu atshoks mintis skambinet...

Posted: Wed Oct 19, 2005 2:37 pm
by latras
Sutinku, už gedimų, kilusių ne dėl parabolės kaltės, sutvarkymą turėtų būti imami pinigai. Tačiau pats iškvietimas turėtų likti nemokamas.

Posted: Wed Oct 19, 2005 3:21 pm
by Javac
Rafarin wrote:uzh gedimus ne del paraboles kaltes reik imt pinigus, per telefona reik ishkart pasakyt, kai paskambina, kad jei gedimas ne del paraboles kaltes, teks uzh tvarkyma moket... manau nors dalej skambinusiu atshoks mintis skambinet...
Na taip tu teisus, bet kartais nustatyt kad problema butent tavo kompiuteryje yra sudetinga, siandien turejau situacija kad Windows XP DNS klientas eme ir uzluzo, visi pozymiai rodo jog ISP DNS servas gryba pjauna, bet faktas jog windowze sugrybavo (like 40 kompu lane veikia), vakare dar reiks vaziuot tvarkyti :)

O saugumas hmm keblus reikalas, LAN salygomis visada yra galimybe nusniffint kaimyna, todel ir yra sugalvotas ssl :)
ssl gal ir nera 100% saugumas, gal ir yra kokia nors galimybe periimti sertifikata, bet issifruot 1024 bitu rakta tai beprasmiska :)

o del tu keyloggeriu, visokiu viruseliu ir t.t. tai manau patys kompiuteriu savininkai turi atsakyti, ir tai yra cia ju paciu problema, o tinkla floodinanciu klientu atjungimas manau yra visiskai gera praktika

O pats straipsnis sakyciau kiek perdetas, tikrai taip lengvai nepasivazinesi su loptopu po miesta ir neprisirinksi 5000 slaptazodziu, tik neprofesionalios programos siuncia slaptazodzius nekoduotus, nors valstybines istaigos daznai tokias naudoja. Kaip pvz galime imti MOBIS bibliotekos apskaitos programa, atvirai pasakius tiek bugu vienoje programoje dar neesu mates :)
Tik e-mail'as tai problema, ne visi pop3 ir smtp servai palaiko ssl rysi