poniedziałek, 12 marca 2012

Rozpoznanie podejrzanych procesów w systemie Windows

Administratorzy dużych sieci są z pewnością wyczuleni na różnego rodzaju nowe programy instalowane w systemie. Ale czy ma sens szukanie konia trojańskiego w zwykłej kilkukilobajtowej gierce?  Może i ma, ale jest to znikome zagrożenie. Poszukajmy koni  trojańskich i backdorów   w aktualnie uruchomionych procesach.
Jak jednak ustalić, które procesy są: potencjalnie niebezpieczne?
Pomoże Ci w tym poniższe zestawienie cech, jakie wykazują trojany i backdoory.
-           wykorzystują znaczną część zasobów.naszego komputera,
-           posiadają dziwną nazwę lub uruchamiane są z podejrzanego folderu,
-           nie są widoczne na liście uruchomionych programów,
-           startują przy każdym uruchomieniu komputera,
-           operują na portach komputera,
-           nie są standardowo dostarczone z systemem lub nie są produktem Microsoftu lub nie należą do oprogramowania oferowanego producenta twojego sprzętu.
Niestety, podane powyżej cechy nie zawsze się sprawdzają. Istnieją przecież dobrze napisane trojany, które działają niemal niezauważalnie dla użytkownika i nie spowalniają pracy systemu. Jak w takim razie wykryć, które aplikacje mogą nam zagrażać?
Oto lista programów standardowo uruchamianych podczas każdego startu Windowsa. Programy te mogą być różne dla każdej wersji, dlatego podaję tylko te, które są zawsze obecne:
-           Explorer.exe,
-           Kernel32.dll,
-           Systray.exe.
Te aplikacje są zawsze uruchamiane. Bez pierwszych dwóch system operacyjny Windows w ogóle nie wystartuje natomiast startu trzeciej aplikacji nie da się wyłączyć.
Należy zwrócić jednak uwagę na to, że często zdarza się tak, że aplikacją, która zabiera dużą ilość zasobów systemowych oraz działa w ukryciu, jest monitor antywirusowy. Tego programu nie należy w żadnym wypadku wyłączać.
Nie zawsze nasz komputer będzie celem ataku. Może zdarzyć się, że będziemy tylko przystankiem dla hakera. Hakerzy, aby utrudnić wykrycie ich adresu IP, łączą się przez kilka serwerów, a nie bezpośrednio z serwerem docelowym. Należy uważać na takie sztuczki. Mogą one doprowadzić do komplikacji prawnych. Jeśli haker włamie się do jakiegoś ważnego komputera z naszego systemu, to możemy mieć przez to nieprzyjemności, bo to przecież nasz adres IP zostanie w dziennikach zdarzeń systemowych serwera. Tego typu wykorzystanie komputera przez hakera wymaga połączenia z komputerem, co oznacza, że haker musiałby się najpierw do niego włamać. Tak jednak nie jest! Użytkownicy często instalują programy typu WinGate, które pozwalają na swobodny dostęp do komputera jako bramki. Dzięki takim programom hakerzy i krakerzy mogą połączyć się z naszym systemem najczęściej bez podawania żadnego hasła. Program ten jest teoretycznie niegroźny dla nas, ale mogą na nim ucierpieć inne serwery, a wtedy możemy mieć kłopoty. Odradzam korzystania z programu WinGate i podobnych aplikacji.
Kolejnym błędem, jaki popełniają administratorzy, jest uruchomienie usługi tzw. zdalnej administracji. Umożliwia ona zdalne przeprowadzanie wszelkich operacji na plikach znajdujących się na dysku komputera z Windows NT. Z takiej luki może skorzystać każdy, kto posiada dowolną wersję systemu Windows. Możliwe jest również wniknięcie do systemu z platformy Uniksa lub Linuksa. W tym celu wykorzystywany jest tzw. klient samby.
Niektórzy administratorzy boją się udostępnić na swoim serwerze folder z możliwością zapisu plików. Myślą, że haker może zapisać tam wirusa, a następnie go uruchomić. Taka technika jest prawie niewykonalna. Programy uruchamiane przez użytkownika z sieci LAN są wykonywane na jego własnym komputerze, a nie na serwerze. Prawdą jest jednak, że można wykorzystać folder z opcjami zapisu, aby zaatakować serwer. Jeśli np. administrator nie ustawił przydziału dyskowego (tzw. quota), to można doprowadzić do zapchania dysku twardego przy użyciu dowolnego, odpowiednio dużego pliku. Jeśli rozmiar pamięci wirtualnej na atakowanym w ten sposób komputerze jest ustawiany dynamicznie, a my zajmiemy całe miejsce na dysku, może okazać się, że systemowi skończą się zasoby i nastąpi samoczynny reset, który w konsekwencji unieruchomi siec.
Istnieje jeszcze jeden sposób ataku, często wykorzystywany przez hakerów, gdy system udostępnia folder z możliwością zapisu. Atak ten polega na skopiowaniu do udostępnionego folderu dowolnego programu, który chcemy uruchomić, a następnie na wysłaniu odpowiednio spreparowanego e-maila automatycznie uruchamiającego ukrytą przez nas na dysku aplikację. Niektórzy pomyślą, że można by ukryć tą aplikację bezpośrednio w załączniku do listu, a następnie za pomocą odpowiedniego kodu uruchomić ją. Jest to jednak podejrzane. Sposób powszechnie wykorzystywany przez hakerów mniej rzuca się w oczy. Administrator dostaje do skrzynki pocztowej małą przesyłkę (kilka kilobajtów) bez załączników. Wygląda to bardzo wiarygodnie. Za pomocą specjalnych programów można spreparować nadawcę listu, przez co cały atak będzie praktycznie nie do wyśledzenia. Taki list można wysłać także ręcznie z dowolnego serwera udostępniającego usługę sendmail.
Administratorzy dużych sieci są z pewnością wyczuleni na różnego rodzaju nowe programy instalowane w systemie. Ale czy ma sens szukanie konia trojańskiego w zwykłej kilkukilobajtowej gierce?  Może i ma, ale jest to znikome zagrożenie. Poszukajmy koni  trojańskich i backdorów   w aktualnie uruchomionych procesach.
Jak jednak ustalić, które procesy są: potencjalnie niebezpieczne?
Pomoże Ci w tym poniższe zestawienie cech, jakie wykazują trojany i backdoory.
-           wykorzystują znaczną część zasobów.naszego komputera,
-           posiadają dziwną nazwę lub uruchamiane są z podejrzanego folderu,
-           nie są widoczne na liście uruchomionych programów,
-           startują przy każdym uruchomieniu komputera,
-           operują na portach komputera,
-           nie są standardowo dostarczone z systemem lub nie są produktem Microsoftu lub nie należą do oprogramowania oferowanego producenta twojego sprzętu.
Niestety, podane powyżej cechy nie zawsze się sprawdzają. Istnieją przecież dobrze napisane trojany, które działają niemal niezauważalnie dla użytkownika i nie spowalniają pracy systemu. Jak w takim razie wykryć, które aplikacje mogą nam zagrażać?
Oto lista programów standardowo uruchamianych podczas każdego startu Windowsa. Programy te mogą być różne dla każdej wersji, dlatego podaję tylko te, które są zawsze obecne:
-           Explorer.exe,
-           Kernel32.dll,
-           Systray.exe.
Te aplikacje są zawsze uruchamiane. Bez pierwszych dwóch system operacyjny Windows w ogóle nie wystartuje natomiast startu trzeciej aplikacji nie da się wyłączyć.
Należy zwrócić jednak uwagę na to, że często zdarza się tak, że aplikacją, która zabiera dużą ilość zasobów systemowych oraz działa w ukryciu, jest monitor antywirusowy. Tego programu nie należy w żadnym wypadku wyłączać.
Nie zawsze nasz komputer będzie celem ataku. Może zdarzyć się, że będziemy tylko przystankiem dla hakera. Hakerzy, aby utrudnić wykrycie ich adresu IP, łączą się przez kilka serwerów, a nie bezpośrednio z serwerem docelowym. Należy uważać na takie sztuczki. Mogą one doprowadzić do komplikacji prawnych. Jeśli haker włamie się do jakiegoś ważnego komputera z naszego systemu, to możemy mieć przez to nieprzyjemności, bo to przecież nasz adres IP zostanie w dziennikach zdarzeń systemowych serwera. Tego typu wykorzystanie komputera przez hakera wymaga połączenia z komputerem, co oznacza, że haker musiałby się najpierw do niego włamać. Tak jednak nie jest! Użytkownicy często instalują programy typu WinGate, które pozwalają na swobodny dostęp do komputera jako bramki. Dzięki takim programom hakerzy i krakerzy mogą połączyć się z naszym systemem najczęściej bez podawania żadnego hasła. Program ten jest teoretycznie niegroźny dla nas, ale mogą na nim ucierpieć inne serwery, a wtedy możemy mieć kłopoty. Odradzam korzystania z programu WinGate i podobnych aplikacji.
Kolejnym błędem, jaki popełniają administratorzy, jest uruchomienie usługi tzw. zdalnej administracji. Umożliwia ona zdalne przeprowadzanie wszelkich operacji na plikach znajdujących się na dysku komputera z Windows NT. Z takiej luki może skorzystać każdy, kto posiada dowolną wersję systemu Windows. Możliwe jest również wniknięcie do systemu z platformy Uniksa lub Linuksa. W tym celu wykorzystywany jest tzw. klient samby.
Niektórzy administratorzy boją się udostępnić na swoim serwerze folder z możliwością zapisu plików. Myślą, że haker może zapisać tam wirusa, a następnie go uruchomić. Taka technika jest prawie niewykonalna. Programy uruchamiane przez użytkownika z sieci LAN są wykonywane na jego własnym komputerze, a nie na serwerze. Prawdą jest jednak, że można wykorzystać folder z opcjami zapisu, aby zaatakować serwer. Jeśli np. administrator nie ustawił przydziału dyskowego (tzw. quota), to można doprowadzić do zapchania dysku twardego przy użyciu dowolnego, odpowiednio dużego pliku. Jeśli rozmiar pamięci wirtualnej na atakowanym w ten sposób komputerze jest ustawiany dynamicznie, a my zajmiemy całe miejsce na dysku, może okazać się, że systemowi skończą się zasoby i nastąpi samoczynny reset, który w konsekwencji unieruchomi siec.
Istnieje jeszcze jeden sposób ataku, często wykorzystywany przez hakerów, gdy system udostępnia folder z możliwością zapisu. Atak ten polega na skopiowaniu do udostępnionego folderu dowolnego programu, który chcemy uruchomić, a następnie na wysłaniu odpowiednio spreparowanego e-maila automatycznie uruchamiającego ukrytą przez nas na dysku aplikację. Niektórzy pomyślą, że można by ukryć tą aplikację bezpośrednio w załączniku do listu, a następnie za pomocą odpowiedniego kodu uruchomić ją. Jest to jednak podejrzane. Sposób powszechnie wykorzystywany przez hakerów mniej rzuca się w oczy. Administrator dostaje do skrzynki pocztowej małą przesyłkę (kilka kilobajtów) bez załączników. Wygląda to bardzo wiarygodnie. Za pomocą specjalnych programów można spreparować nadawcę listu, przez co cały atak będzie praktycznie nie do wyśledzenia. Taki list można wysłać także ręcznie z dowolnego serwera udostępniającego usługę sendmail.

Jak wykryć konia trojańskiego w systemie Windows

Najprostszą metodą wykrycia tego typu oprogramowania jest użycie programu antywirusowego. Niestety, programy hakerskie powstają bez przerwy, przez co producenci programów antywirusowych nie mogą nas zabezpieczyć przed wszystkimi ich odmianami.
Na początek jednak powinniśmy być pewni, że mamy zainstalowanego konia trojań­skiego. Jeśli taki program posiadamy, to z pewnością zauważymy spadek wydajności naszego komputera. Możemy sprawdzić, np. za pomocą Managera Procesów jakie apli­kacje działają w tle. Jeśli będzie na liście program, który nie powinien się tam znaleźć, to możemy go  wyłączyć.
Istnieje też druga technika wykrywania trojanów. Wystarczy skorzystać z wiedzy, ja­ką posiadamy o trojanach. Tak więc każdy trojan musi czekać na rozkazy na jakimś porcie komputera. Do sprawdzenia, które porty komputera są aktywne, możemy użyć polecenia: NETSTAT z parametrem -A. Polecenie będzie wyglądało więc tak: netstat -a. A jego rezultat przeprowadzony na komputerze z zainstalowanym koniem tro­jańskim prezentował się na przykład będzie następująco:

 C:\netstat -a
Aktywne połączenia


Protokół Adres lokalny
Obey adres
Stan
TCP
unknown:1298
0.0.0.0:0
LISTENING
TCP
unknown:1299
0.0.0.0:0
LISTENING
TCP
unknown:31887
0.0.0.0:0
LISTENING
| TCP
unknown:31889
0.0.0.0:0
LISTENING
TCP
unknown:1292
127.0.0.1:31887
TIME WAIT
TCP
unknown:1294
127.0.0.1:31887
TIME WAIT
TCP
unknown:1296
127.0.0.1:31887
TIME WAIT
TCP'
unknown:1299
127.0.0.1:31889
ESTABLISHED
| TCP
unknown:31889
127.0.0.1:1299
ESTABLISHED


Zwróć uwagę na oznaczone wiersze zwrócone przez program Netstat. W wierszu nr 7 jest wyraźnie napisane, że jakiś program w naszym komputerze nasłuchuje rozkazów na porcie nr 31889. Jest to najprawdopodobniej port konia trojańskiego. Szereg zer w rubryce obcy adres oznacza, że aktualnie nikt nie korzysta z tylnego wejścia w sys­temie. W wykazie tym często występuje słowo UNKNOWN. Jest to nazwa komputera, na którym uruchamiamy program. U każdego użytkownika może to być inna nazwa.
Kolejnym ciekawym miejscem jest drugi zaznaczony wiersz. Tym razem w rubryce obcy adres pojawia się tajemniczy numer IP. Jest to numer osoby, która próbuje się włamać do naszego komputera. Mając numer IP, możemy jednoznacznie zidentyfiko­wać osobę naruszającą bezpieczeństwo naszego systemu. Hakerzy łączący się przez nu­mer dostępowy TP S.A. mogą czuć się prawie bezkarni ze względu na fakt posiadania dynamicznego IP. Hakerzy najczęściej posiadają jednak stały dostęp do sieci, więc ich namierzenie nie powinno być trudne. Niestety, tak nie jest. Ludzie związani z podzie­miem (ang. underground) wypracowali wiele sposobów ataku uniemożliwiających ich wykrycie. Do sposobów takich należą:
-              łączenie się przez serwery proxy,
-              wykonywanie pętelki poprzez liczne darmowe serwery internetowe,
-              używanie programów do zmiany adresu IP.

czwartek, 8 marca 2012

Kopia zapasowa


Wszyscy wiemy, jak ważne i pomocne mogą się okazać kopie bezpieczeństwa cen­nych danych w przypadku np. włamania do systemu czy ataku wirusa; Zazwyczaj ko­pia ( utworzona przez przeciętnego użytkownika ) zawiera jedynie najważniejsze dokumenty i inne potrzebne pliki. Co jednak zrobić, gdy jesteśmy administratorami systemu? Nie możemy przecież skopiować jedynie plików, ale w naszej kopii powin­ny znaleźć się wszystkie ustawienia systemu operacyjnego. Można to zrobić na dwa spo­sobów: automatycznie lub ręcznie. Sposób automatyczny polega na użyciu specjali­stycznego oprogramowania, a ręczny wymaga od użytkownika odrobiny cierpliwości
dlatego opiszę sposób ręczny.
Najpierw musimy się zastanowić, co chcemy skopiować. Z mojego doświadczenia wy­nika, że najważniejsze elementy systemu, których kopie powinniśmy wykonać, to:
foldery użytkowników (np. dla systemu Windows XP),
ustawienia systemowe i konfiguracja programów,
kopie listów z naszego programu pocztowego,
książka adresowa.
Zapytasz pewnie, na jakim nośniku sporządzimy nasze kopie? Ja polecam płyty CD-RW
są bardzo wytrzymałe i tanie. Niestety, jak wiesz, płyta taka ma obecnie pojemność 650 — 800 MB —jest to dość mało. Zamożniejsi administratorzy mogą pokusić się o kup­no napędu taśmowego. Administratorzy małej sieci nie muszą jednak ponosić takich kosztów. Pozostaniemy przy nagrywarce CD-RW —jest to wydatek rzędu kilkuset złotych, ale jeśli nasz portfel świeci pustkami, możemy zdecydować się na tańsze mo­dele w cenie około 200 - 300 złotych. Jeśli mamy już odpowiednie urządzenie nagrywające pozostaje tylko kupić odpowiednie nośniki. Polecam kupno minimum dwóch płyt CD-RW. Posłużą nam one do wykonywania kopii bezpieczeństwa w następujący sposób: najpierw sporządzamy kopię na płycie nr 1. Następnie za ok. miesiąc sporzą­dzamy kopię na płycie nr 2 i kasujemy płytę nr 1. Po kolejnym miesiącu cały proces powtarzamy od nowa. Ważne jest, aby najpierw wykonać kolejną kopię, a dopiero póź­niej kasować poprzednią. Kolejną moją radą jest aby podczas tworzenia kopii odłączyć komputer od sieci lokalnej i Internetu, aby żaden użytkownik nie wprowadzał zmian podczas zgrywania danych na płytę. Po udanym procesie nagrania danych na płytę CD możemy komputer ponownie podłączyć do sieci.           : .
Zanim przystąpimy do działania, musimy utworzyć ha dysku C: folder o nazwie Kopia. Będziemy w nim umieszczać wszystkie elementy, które ostatecznie znajdą się na na­szej płycie CD-RW.
Teraz czas je zlokalizować. Najpierw zajmiemy się rejestrem. Wiemy dobrze, że rejestr systemowy przechowywany jest w dwóch plikach ukrytych w ka­talogu Windows. Są to user.dat i system.dat. Nie będziemy ich jednak kopiować. Bardziej poręczny będzie pojedynczy plik z rozszerzeniem REG, w którym zapiszemy zawartość całego rejestru. Plik taki utworzymy poleceniem:
regedit /e c:\ kopia.reg      .
Powyższe polecenie musimy wpisać w oknie, które się pojawi po kliknięciu Start i Uru­chom lub w trybie MS DOS. Po wpisaniu i wykonaniu polecenia musimy odczekać około trzy minuty — tyle bowiem zajmuje systemowi utworzenie kopii rejestru w pliku. Po tym czasie w katalogu głównym dysku C: zobaczymy plik kopia.reg. Zawiera on całą zawartość rejestru. Ten plik będziemy musieli nagrać na CD-RW — nie rób tego już teraz! Poczekaj ąż skompletujemy wszystkie dane do naszej kopii. Teraz zajmiemy się folderami użytkowników. Najpierw musimy je jednak zlokalizować. W zależności od wersji systemu są one położone w różnych częściach dysku. Oto tabelka, która pomo­że Ci je odnaleźć.
System óperacyjny
Ścieżka dostępu
Windows 95/95/ME
C:\windows\profiles\
WindowsNT
C:\Winnt\profiles\
Windows 2000/XP
C:\document and settings\
Linux / Unix
/etc/home
MS DOS
Nie posiada folderów użytkownika

Gdy już odnajdziemy na powyższej liście nasz system i zlokalizujemy folder z dany­mi, musimy go skopiować do folderu C:\Kopia\uzytkownicy— folder Kopia był już utworzony na początku, a podfolder użytkownicy musisz utworzyć właśnie teraz. Teraz ( w przypadku Windows 95/95/ME ) musimy dodatkowo skopiować wszystkie pliki z rozszerzeniem PWL znajdujące się w katalogu Windows. Skopiowane pliki możemy umieścić w nowym podkatalogu o nazwie SystemC:\Kopia\system. Teraz skopiujemy całą zawartość naszej skrzynki pocztowej. Nie będziemy oczywiście kopiować każdego listu oddzielnie, lecz przeniesiemy cały folder z listami i nie tylko. Przy okazji skopiujemy kilka innych przydatnych plików i ustawień. Skopiuj po prostu cały folder C:\windows\dane aplikacji do folderu C:\Kopia. Jak zapewne zauważyłeś, śledząc postęp kopiowania plików, w folderze Kopia mamy teraz całą skrzynkę nadaw­czą, odbiorczą, kopie robocze, a nawet elementy usunięte i książkę adresową. Dobrze, mamy już niemal wszystko. Musimy teraz dodać do naszej kopii kilka dodatkowych plików. Oto ścieżki dostępu do nich:
wszystkie pliki z rozszerzeniem INI z folderu C:\Windows,
C:\config.sys,
C:\autoexec.bat.
Teraz możemy nagrać płytę. Ilość danych może być różna i może przekroczyć pojemność płyty CD, ale tym się nie przejmuj. Jeśli jednak ilość zgromadzonych plików przekroczyła pojemność płyty, możesz je skompresować np. przy użyciu progra­mu WinRar lub WinZip. Gdy liczba danych będzie mniejsza od 650 - 700 MB, to mo­żesz przystąpić do nagrywania płyty CD.
Wiemy już, jak kopiować. Teraz czas je zlokalizować. Najpierw zajmiemy się rejestrem. Wiemy dobrze, że rejestr systemowy przechowywany jest w dwóch plikach ukrytych w ka­talogu Windows. Są to user.dat i system, dat. Nie będziemy ich jednak kopiować. Bardziej poręczny będzie pojedynczy plik z rozszerzeniem REG, w którym zapiszemy zawartość całego rejestru. Plik taki utworzymy poleceniem:
regedit /e c:\ kopia.reg
Powyższe polecenie musimy wpisać w oknie, które się pojawi po kliknięciu Siari i Uru­chom lub w trybie MS DOS. Po wpisaniu i wykonaniu polecenia musimy odczekać około trzy minuty — tyle bowiem zajmuje systemowi utworzenie kopii rejestru w pliku. Po tym czasie w katalogu głównym dysku C: zobaczymy plik kopia.reg. Zawiera on całą zawartość rejestru. Ten plik będziemy musieli nagrać na CD-RW — nie rób tego już teraz! Poczekaj aż skompletujemy wszystkie dane do naszej kopii. Teraz zajmiemy się folderami użytkowników- Najpierw musimy je jednak zlokalizować. W zależności od wersji systemu są one położone w różnych częściach dysku. Oto tabelka, która pomo­że Ci je odnaleźć.
System operacyjny
Ścieżka dostępu
Windows 95/95/ME
C:\windows\prpfiles\
Windows NT
C:\Wirint\profiles\
Windows 2000/XP
C:\document and settings\
Linux / Unix
/etc/home
MS DOS
Nie posiada folderów użytkownika

Gdy już odnajdziemy na powyższej liście nasz system i zlokalizujemy folder z dany­mi, musimy go skopiować do folderu C:\Kopia\uźytkownicy — folder Kopia był już utworzony na początku rozdziału, a podfolder użytkownicy musisz utworzyć właśnie teraz. Teraz — w przypadku Windows 95/95/ME — musimy dodatkowo skopiować wszystkie pliki z rozszerzeniem PWL znajdujące się w katalogu Windows. Skopiowane pliki możemy umieścić w nowym podkatalogu o nazwie SystemC: \Kopia\system. Teraz skopiujemy całą zawartość naszej skrzynki pocztowej. Nie będziemy oczywiście kopiować każdego listu oddzielnie, lecz przeniesiemy cały folder z listami i nie tylko. Przy okazji skopiujemy kilka innych przydatnych plików i ustawień. Skopiuj po prostu cały folder C:\windows\dane aplikacji do folderu C:\Kopia. Jak zapewne zauważyłeś, śledząc postęp kopiowania plików, w folderze Kopia mamy teraz całą skrzynkę nadaw­czą, odbiorczą, kopie robocze, a nawet elementy usunięte i książkę adresową! Dobrze — mamy już niemal wszystko. Musimy teraz dodać do naszej kopii kilka dodatkowych plików. Oto ścieżki dostępu do nich:
wszystkie pliki z rozszerzeniem INI z folderu C:\Windows,
C:\config.sys,
C:\autoexec.bat.
Teraz możemy nagrać płytę. Ilość danych w moim przypadku wyniosła 320 MB. U Cie­bie może to być nieco inna, ale tym się nie przejmuj. Jeśli jednak ilość zgromadzonych plików przekroczyła pojemność płyty, możesz je skompresować np. przy użyciu progra­mu WinRar lub WinZip. Gdy liczba danych będzie mniejsza od 650 - 700 MB, to mo­żesz przystąpić do nagrywania płyty CD.

W tym momencie ważne jest, aby odpowiednio skonfigurować program do nagrywa­nia płyt; Oto opcje, które muszą być włączone podczas nagrywania — podałem pol­skie nazwy ze względu na różnorodność programów nagrywających:
zaznasz opcję omijania wszelkich ograniczeń systemu ISO,
zezwalaj na stosowanie długich nazw pliku,
jako standard kodowania nazw plików ustaw ASCII,
możesz ustawić także dodatkowy deskryptor nośnika — Joliet.
Wszystko jest już gotowe do rozpoczęcia nagrywania. Teraz włóż do napędu pustą płytę CD-RW i rozpocznij nagrywanie. Po kilku minutach płyta będzie gotowa. Najlepiej umieścić ją w plastikowym opakowaniu, a na wewnętrznej stronie okładki  (w miejscu przeznaczonym na opis zawartości ) wpisać datę nagrania płyty. Dzięki temu bez tru­du zorientujemy się, kiedy robiliśmy ostatnią kopię oraz odróżnimy starą kopię od nowej.

Snifery


Sniffery to programy nasłuchujące pakiety w sieci. Nasłuchujące, czyli podglądające ich zawartość. Dlaczego takie programy nam zagrażają? Wystarczy zrozumieć, na jakiej zasadzie działa sieć. Wytłumaczy Ci to prosty spis instrukcji, jakie wykonuje komputer podczas logowania.
1) Komputer wyświetla okno z polem na login i hasło.
2) Hasło i login zostają pobrane z pół i wysłane siecią do serwera.
3) Serwer odbiera hasło oraz login i sprawdza, czy są poprawne.
4) Jeśli hasło i login są poprawne, użytkownik wpuszczany jest do sieci.
Login i hasło są przesyłane przez sieć, więc jeśli sniffer nasłuchuje wszystkie pakiety krążące po sieci, to przechwyci również pakiet z naszymi poufnyini danymi. Jak uchronić się przed snifferami? Można stosować firewalle i inne programy tego typu. Można też dzielić sieć na mniejsze podsieci i połączyć je przy uży­ciu  mostów. Sniffer nie jest w stanie przejść przez „most”, więc pakiety są poten­cjalnie bezpieczne. Ale najlepszym rozwiązaniem, jakie używane jest do zabezpieczenia sieci przed snifferami, jest szyfrowanie danych. Każdy ciąg znakowy przed przesłaniem jest szyfrowany specjalnym algorytmem i rozszyfrowywany dopiero na miejscu. Ważne jest, aby z danymi nie był transmitowany klucz ani żadne hasło rozszyfrowujące dane. To zmniejszyłoby skuteczność naszego zabezpieczenia.
Sniffery można podzielić na legalne i nielegalne. Te pierwsze dzielimy na darmowe i płatne. Sniffery legalne są używane przez administratorów i szefów firm do kontroli swoich podwładnych. Obecnie prawo ulega zmianie i szpiegowanie własnych pracow­ników ( nawet w dobrych intencjach ) staje się nielegalne.
Jak zdobyć sniffer? Program ten można ściągnąć z większości stron hakerskich dostęp­nych w Internecie. Aplikacja jest zazwyczaj stosunkowo mała. Zajmuje zaledwie od kilkunastu do kilkudziesięciu kilobajtów.
Sniffery mogą być instalowane w niemal każdym miejscu sieci. Jednak nie ma sensu instalować ich w tzw. martwych miejscach. Najczęściej są one instalowane w strategicz­nych miejscach sieci — tam, gdzie panuje stały ruch, czyli w pobliżu serwerów, ro­uterów i różnego rodzaju koncentratorów sieciowych. Sniffery instalowane są najczę­ściej w pobliżu komputerów spełniających rolę bramki sieciowej, na której poziomie następuje autoryzacja. To właśnie tam wysyłane są prżecież wszystkie loginy i hasła.

wtorek, 6 marca 2012

Program ifconfig w systemie Linux - ustawienia nietrwałe


Znajomość sposobu ręcznej konfiguracji sieci komputerowej (oraz innych systemów) jest bardzo istotna z dwóch powodów. Po pierwsze, serwery oparte ną systemie Linux są bardzo często budowane jako systemy minimalistyczne, bez zainstalowanego sys­temu X Window. Systemy tego rodzaju są najbardziej wydajne i najbezpieczniejsze. Administrator musi więc umieć wykorzystać narzędzia tekstowe. Po drugie, administrator systemu musi zrozumieć działanie serwera tak dokładnie, jak to możliwe. Stosowanie narzędzi tekstowych zmusza do poznania systemów sieciowych w znacznie większym stopniu, niż czynią to narzę­dzia graficzne.
W tym przykładzie skonfigurujemy serwer w pracujący pod kontrolą systemu Red Hat Linux o nazwie drov i adresie 192.168.1.250. Komputer ten stanowi serwer DŃS naszej sieci komputerowej oraz serwer pocztowy.
W celu utworzenia nietrwałej sieci komputerowej opartej na systemie Linux należy wykonać wymienione niżej czynnośęi. Spowodują one konfigurację interfejsu siecio­wego oraz tras, które będą działać do, czasu, gdy komputer zostanie ponownie uru­chomiony lub też działanie usług sieciowych zostanie wznowione przy użyciu skryptu /etc/init.d/network.
1) Zaloguj się do systemu jako użytkownik root.
2) Wyczyść istniejące konfiguracje internetowe, lecz nie usuwaj interfejsu pętli zwrotnej (127.0.0.1).
 ifconfig eth0 down
3) Teraz wyczyść wszelkie istniejące trasy, z wyjątkiem przeznaczonej dla lo
     route del -net 192.168.1.0
     route del default
4) Dodaj pierwszy i jedyny interfejs sieci Ethernet eth0 oraz ustaw na nim    adres IP.
    ifconfig eth0 192.168.1.1 up
   Jeśli trzeba, dodaj interfejs pętli zwrotnej: ifconfig lo 127.0.0.1.
5) Teraz dodaj trasę do lokalnej podsieci 192.168.1.0.
    route add -net 192.168.1.0 dev eth0
6) Następnie dodaj trasę do domyślnej bramki do sieci Internet.
    route add -net default gw 192.168.1.254    
7) W celu zwiększenia zabezpieczeń sieci upewnij się, że zostało wyłączone
przekazywanie pakietów IP.
     sysctl –w net.ipv4.ip_forward=0
8) Zmodyfikuj plik /etc/resolv.conf, tak aby zawierał następujące informacje:
    search paunchy.net
    nameserver 192.168.1.250             
9) Zmodyfikuj plik /etc/nsswitch.conf i usuń wszystkie odwołania do nisplus oraz nis. (Można do tego wykorzystać edytor vi oraz użyć podstawienia komendami : g/nisplus/s// oraz :g/nis/s//).
10) W dalszej kolejności możesz sprawdzić interfejsy sieciowe przez uruchomienie programu ifconfig bez parametrów. Zostaną wyświetlone informacje o interfejsach.
11) Na koniec wyświetl tablicę tras, używając polecenia route.

Należy zwrócić uwagę na różnicę między lokalnymi podsieciami a domyślną trasą. Te pierwsze używają nazwy urządzenia (opcji device). Po prostu cały ruch przeznaczony dla adresu docelowego lokalnej podsieci 192.168.1.0 jest przekierowywany do interfejsu Ethernet o nazwie eth0. Jednak w tym drugim przypadku musi zostać podany adres IP bramki. Gdy pojawią się pakiety z adresem docelowym, który nie pasuje do żadnej określonej trasy, są one przekierowywane do domyślnej bramki 192.168.1.254 (przez interfejs eth0).
To już cały proces. Jedyne ograniczenie powstaje, gdy jądro systemu nie może rozpo­znać, którego ładowalnego modułu wymaga karta sieciowa. W takiej sytuacji użyt­kownik może zostać zmuszony do zakończenia całego procesu ręcznie.

Polecenie ifconfig w systemie Linux - ustawienia trwałe



Trwała konfiguracja sieci komputerowej może zostać utworzona przez modyfikację kilku plików konfiguracyjnych systemu Red Hat Linux. Poniższe instrukcje opisują proces tworzenia trwałych ustawień sieci.
1) Zmień nazwę sieciową komputera. W celu zmiany nazwy na przykład na drov należy zmodyfikować plik     /etc/sysconfig/network:
HOSTNAME=drov
2) Zmodyfikuj plik /etc/sysconfig/network-scripts/ifcfg-eth0, tak aby wyglądał następująco:
DEVICE=eth0
BOOTPROTO=static
BROADCAST=192.168.1.255
IPADDR=192.168.1.250
NETMASK=255.255.255.0
NETWORK=192.168.1.0
ONBOOT=yes           :          
Informacje te są używane przez skrypt /etc/rc.d/init.d/network w celu konfiguracji pierwszego interfejsu Ethemet.
3) Zmodyfikuj plik /etc/sysconfig/network, aby zawierał następujące informacje:
NETWORKING=yes
HOSTNAME=drov.paunchy.net
GATEWAY=192.168.1.254
GATEWAYDEV=eth0
Informacje te są wykorzystywane przez skrypt /etc/rc.d/init.d/network w celu konfiguracji domyślnej trasy.
4) Teraz zmodyfikuj plik /etc/sysctl.conf  i upewnij się, że przekazywanie pakietów IP jest wyłączone.
net.ipv4.ip_forward = 0.
5) W tym momencie skonfiguruj plik konfiguracyjny służący do rozwiązywania nazw /etc/resolv.confv
6) Skonfiguruj plik /etc/nsswitch.conf
7) Wykonaj skrypt zatrzymujący i uruchamiający usługi sieciowe w systemie Red Hat Linux.
/etc/rc.d/init.d/network restart
8) Sprawdź, czy interfejs sieciowy został skonfigurowany poprawnie.
9) Sprawdź także, czy tabela routingu została skonfigurowana poprawnie.
Powyższe czynności zapewniają, że komputer z systemem Red Hat Linux, na którym zostaną one wykonane, będzie dysponować trwałymi ustawieniami sieci.

Program fdisk w systemie Linux

Wersja programu fdisk przeznaczona dla systemu Linux różni się od wersji DOS-owej, więc aby uniknąć pomyłek, dokładnie czytaj wszystkie wyświetlane komunikaty.
Jeśli nie wyszczególnisz nazwy dysku, fdisk przyjmie, że chodzi Ci o pierwszy dysk w syste­mie. Możesz oczywiście podać, który dysk zamierzasz dzielić na partycje, na przykład jeśli ma to być drugi dysk IDE, powinieneś wydać polecenie:
fdisk /dev/hdb

Dyski IDE, ESDI i RLL nazywają się /dev/hda, /dev/hdb itp., natomiast dyski SCSI /dey/sda, /dev/sdb itd. W systemie może być do siedmiu dysków SCSI, więc ostatni z nich nazywałby się /dev/sdg (niektóre karty kontrolerów umożliwiają obsługę jeszcze większej liczby urządzeń!).
Jak wspomniano wcześniej, polecenia linuxowego programu fdisk różnią się od polecenia w wersji DOS-owej. Najważniejsze z nich to:
d          usunięcie istniejącej partycji,
I          wyświetlenie wszystkich dostępnych typów partycji,
n          utworzenie nowej partycji,
p          wyświetlenie aktualnej zawartości tablicy partycji,
q          wyjście z programu bez zapisywania zmian,
t           zmiana typu partycji,
v          weryfikacja tablicy partycji,
w         zapisanie zmian i wyjście z programu.
Powinieneś najpierw przejrzeć aktualną zawartość tablicy partycji, aby upewnić się, że odpowiednie wpisy są prawidłowe. Jeśli posiadasz partycję systemu DOS, powinna być ona widoczna. Jeśli założyłeś wcześniej partycje linuxowe pod kontrolą systemu DOS, one również powinny być widoczne, choć będą miały niewłaściwy typ.

Nie powinieneś używać linuxowego programu fdisk do tworzenia partycji dla innych systemów operacyjnych. Partycje dla DOS-u utwórz DOS-owym programem fdisk, ponieważ utworzone przez wersję linuxową nie zosta­ną prawidłowo rozpoznane.