SPIS TREŚCI

jest wydawany przez Software Press Sp. z o.o. SK NARZĘDZIA

Prezes wydawnictwa: Paweł Marciniak 8 Linksys WRT54GH
Redaktor naczelny: Katarzyna Dębek
katarzyna.debek@software.com.pl
9 UserGate Mail Server
Redaktor prowadzący: Tomasz Przybylski

Kierownik produkcji: Andrzej Kuca

ATAK
andrzej.kuca@software.com.pl

Okładka: Agnieszka Marchocka, Łukasz Pabian

Dział reklamy: adv@software.com.pl
12 Ataki na serwery DNS
Wyróżnieni betatesterzy: PAWEŁ BASZKOWSKI
Krzysztof Piecuch, Rozróżniamy ataki na serwery DNS różnego rodzaju.
Maksymilian Arciemowicz
Wszystkie mają na celu dokonanie jak największych
utrudnień w ruchu sieciowym np. poprzez zablokowanie czy
DTP: Tomasz Kostro www.studiopoligraficzne.com
przeciążanie go.

Wydawca:
Software Press Sp. z o.o. SK

OBRONA
ul. Bokserska 1, 02-682 Warszawa, Polska
Tel. +48 22 427 36 77, Fax +48 22 244 24 59
www.hakin9.org

Osoby zainteresowane współpracą prosimy o kontakt:

cooperation@software.com.pl
18
Redakcja dokłada wszelkich starań, by publikowane
w piśmie i na towarzyszących mu nośnikach informacje
i programy były poprawne, jednakże nie bierze
odpowiedzialności za efekty wykorzystania ich; nie
gwarantuje także poprawnego działania programów
shareware, freeware i public domain.
Wszystkie znaki firmowe zawarte w piśmie są własnością
odpowiednich firm i zostały użyte wyłącznie w celach
informacyjnych.
30
Do tworzenia wykresów i diagramów wykorzystano
program firmy
Redakcja używa systemu
automatycznego składu
Tunele sieciowe
DANIEL SUCHOCKI
Wygoda, która związana jest ze zdalnym podłączeniem do
Sieci współczesnej organizacji niesie ze sobą duże ryzyko
przechwycenia niejawnych informacji. Można się opierać na
bezpieczeństwie fizycznym dostępu do sieci firmowej, jednak
taka koncepcja całkowicie nie ma zastosowania chociażby
w sieciach bezprzewodowych.
Bezpieczeństwo komunikacji VoIP
PRZEMYSŁAW ŻARNECKI
W świetle coraz to bardziej rosnącej popularności telefonii
VoIP, warto przyjrzeć się czy jest to technologia całkowicie
bezpieczna. W końcu bazuje całkowicie na rozwiązaniach
internetowych, które z definicji niosą za sobą pewne
zagrożenia.

hakin9 ukazuje się w następujących krajach:

BEZPIECZNA
Hiszpanii, Argentynie, Portugalii, Francji, Belgii,
Luksemburgu, Kanadzie, Maroko, Niemczech,
Austrii, Szwajcarii, Polsce.

UWAGA!
Techniki prezentowane w artykułach mogą być
używane jedynie we własnych sieciach lokalnych.
Redakcja nie ponosi odpowiedzialności za
niewłaściwe użycie prezentowanych technik
ani spowodowaną tym utratę danych.
FIRMA
38 Przyszłość bezpiecznego Linuksa
SYLWESTER ZDANOWSKI
Powszechnie pojawia się opinia, iż bezpieczeństwo
Linuksa wynika z jego małej popularności. Łączy się z tym
przekonanie, iż wzrost jego popularności sprowadzi go do
poziomu innych systemów. Zobaczmy więc jak sytuacja
ma się teraz i jak może wyglądać, gdy Linux zyska na
popularności.

4 HAKIN9 6/2010
 SPIS TREŚCI
PRAKTYKA STAŁE
44 Fail test, czyli na ile antywirus jest skuteczny
URSZULA HOLIK
Proaktywna ochrona, zaawansowana heurystyka, doskonałe wyniki
RUBRYKI
w testach dynamicznych. To tylko kilka wskaźników, które internauci 6 Aktualności
traktują jako wyznacznik skuteczności oprogramowania antywirusowego. Przedstawiamy garść najciekawszych
Okazuje się jednak, że w dobie rosnącej popularności polimorficznych wiadomości ze świata bezpieczeństwa
zagrożeń, nawet antywirus klasy Advanced + może okazać się systemów informatycznych i nie tylko.
nieskuteczny. Oto kilka z nich:

50 Usługi przetwarzaniaw chmurze •

•
Routery w zestawie z kartą N
Nowości w SUSE Linux Enterprise
ALEKSANDER ĆWIKLIŃSKI
Server 11
Zgodnie z prognozami Gartnera przetwarzanie w chmurze (Cloud
• Dlaczego wymieniamy waluty przez
Computing) staje się jedną z wiodących technologii w informatyce.
internet?
O zagospodarowanie tego obszaru toczy się walka gigantów.

60 Felieton
Miara bezpieczeństwa

WYWIAD Próba pomiaru bezpieczeństwa może

prowadzić w korporacyjnym świecie
do różnych aspektów bezpieczeństwa.
54 Pokaż mi swoje logi a powiem Ci kim jesteś Dlatego tak jak w przeszłości musi być
Rozmowa z Andrzejem Karpiszem Inżynierem ds. Systemów sieciowych ono traktowane oddzielnie, lecz spójnie
w firmie ZSK – szczególnie przez różne wydziały ds.
bezpieczeństwa rzadko komunikujące
się ze sobą (IT, fizycznego,

KLUB TECHNICZNY
zapobiegania oszustwom itp.). Dzisiaj
bezpieczeństwo jest bardziej dziedziną
sztuki niż naukowym podejściem.
Osadzone w postrzeganiu jako dobre
56 NETGEAR ProSecure – zabezpieczenia i złe zabezpieczenia
Profesjonalne zabezpieczenia dla MSP koncentruje się bardziej wokół
PRZEMYSŁAW NAREWSKI możliwości i paranoi, niż analizie
Nie ulega wątpliwości, że sieci firmowe są szczególnie narażone na i rzeczywistym pomiarze.
zagrożenia pochodzące z zewnątrz. Odpowiedzialna organizacja Patryk Krawaczyński
potrzebuje profesjonalnych zabezpieczeń, które zagwarantują
pełne bezpieczeństwo plikom, danym i poczcie elektronicznej. Takie
bezpieczeństwo sieci firmowej zapewnią urządzenia z serii STM ProSecure
oraz UTM ProSecure.

6/2010 HAKIN9 5
W SKRÓCIE
ROUTERY W ZESTAWIE Z KARTĄ N
W kwietniowej ofercie Linksys by Cisco
pojawiły się trzy zestawy routerów
z kartami USB, oferowane w promocyjnych
cenach. Obejmują produkty ze średniej
półki: WAG120n, WRT120n i WRT160n.
Zestawy przeznaczone są dla
osób, które chcą zbudować domową
sieć bezprzewodową i podłączyć do
niej komputer stacjonarny przy użyciu
bezprzewodowej karty sieciowej na USB.
Początkujący użytkownicy sieci uzyskają
wsparcie przy instalacji urządzeń,
dzięki oferowanemu wraz z routerami
programowi Network Magic w języku
polskim.
Oferta obejmuje następujące modele
Linksys by Cisco:
• WRT120n + wusb100n, czyli
podstawowy model routera
w standardzie „N lite” wraz z kartą
sieciową USB, przepustowość do 150
Mbps – cena 199 zł z VAT
• WAG120n + wusb100n, czyli router
z bramką ADSL o parametrach j.w.
– cena 299 zł z VAT
• WRT160n + wusb600n, czyli
router w pełnym standardzie N,
z dwuzakresową kratą sieciową USB,
przepustowość do 300 Mbps – cena
399 zł z VAT
Promocyjne zestawy dostępne
u autoryzowanych sprzedawców
i w sklepach internetowych.
NOWOŚCI W SUSE LINUX
ENTERPRISE SERVER 11
Novell przygotował obszerny zestaw
usprawnień i poprawek zwiększających
możliwości systemu SUSE Linux
Enterprise
6 HAKIN9 6/2010
Warszawa, 20 kwietnia 2010 r.
– Novell poinformował o przygotowaniu
pierwszego pakietu serwisowego dla
systemu SUSE Linux Enterprise Server 11.
Service Pack 1 zawiera wszelkie poprawki
wprowadzone od chwili udostępnienia
aktualnej wersji systemu, a także
obszerny zestaw ulepszeń – nowych lub
rozbudowanych funkcji. Należą do nich:
• Obsługa najnowszego sprzętu
certyfikowana przez dostawców,
obejmująca: wszystkie najnowsze
platformy Intel64, w tym Nehalem-EX,
wszystkie najnowsze procesory AMD,
IBM POWER 7, maszyny mainframe:
IBM System z: z9, z10, Itanium
• Skalowalność: do 4096 procesorów
w architekturach AMD64/Intel64;
przetwarzanie ogromnych ilości danych
w pamięci RAM, np. w hurtowniach
danych i systemach ERP dzięki
obsłudze 16 TB (i więcej) pamięci RAM
na certyfikowanym sprzęcie
• Wirtualizacja: zaktualizowana wersja
hipernadzorcy Xen 4.0, SR-IOV, OVF
1.0. obsługa hipernadzorcy KVM,
sterowniki open source dla maszyn
typu gość (ang. guest) VMware ESX
i Microsoft Hyper-V
• Niezawodność: Obsługa sprzętowych
funkcji RAS daje systemom AMD64/
Intel64 możliwości tradycyjnych
systemów RISC
• Zarządzanie systemami: Nowe,
wykorzystujące przeglądarkę
narzędzie do zarządzania systemami
(WebYaST) ; stos aktualizacji (ZYPP)
obsługuje teraz wiele zainstalowanych
jąder systemu, co sprzyja większej
niezawodności
• Zgodność interoperacyjna: obsługa
NFSv4.1, usprawnienia obsługi IPv6,
planowana recertyfikacja; integracja
z Windows 7 Active Directory za
pomocą aktualizacji Samby do 3.4.x;
obsługa wirtualnych gości Windows 7
• Bezpieczeństwo: Nowy,
specjalizowany moduł „Security
Center & Hardening” w konsoli
zarządzania YaST
• Nowy model asysty technicznej,
zapewniający klientom elastyczność
przy zachowaniu pełnej kontroli nad
obsługiwanymi serwerami
Pełna lista zmian dostępna jest na
pierwszym nośniku z oprogramowaniem
i po udostępnieniu systemu na rynku
będzie opublikowana pod adresem
http://www.novell.com/linux/releasenotes/.
Rozszerzenia
Aby zwiększyć możliwości SUSE Linux
Enterprise Server 11 w odznaczających
się podwyższoną dyspozycyjnością
instalacjach klastrowych, jednocześnie
z pakietem serwisowym dla SUSE
Linux Enterprise Server 11 Novell
przygotował pierwszy pakiet serwisowy
dla SUSE Linux Enterprise High
Availability Extension 11. Więcej informacji
można znaleźć pod adresem http://
www.novell.com/products/highavailability/.
SUSE Linux jest popularny jako
platforma dla oprogramowaniach innych
firm – certyfikowano pod jego kątem
już 5000 aplikacji. Dla niezależnych
dostawców oprogramowania (ISV)
i użytkowników opracowujących własne
oprogramowanie przygotowano
uaktualniony pakiet programistyczny
(Software Development Kit). SUSE Linux
Enterprise Software Development Kit 11
Service Pack 1 można będzie pobrać
bezpłatnie spod adresu
http://download.novell.com/.
Ceny i dostępność
SUSE Linux Enterprise Server 11
z pakietem Service Pack 1 zostanie
udostępniony w kanale sprzedaży
19 mają br. Klienci posiadający
aktualny abonament będą uprawnieni
do pobrania i użytkowania pakietu
serwisowego bez dodatkowych opłat.
Obrazy ISO pierwszego pakietu
serwisowego dla SUSE Linux Enterprise
Server 11 zostaną udostępnione pod
adresem http://download.novell.com/.
Pod tym samym adresem dostępna
będzie również dostępna minimalna
instalacja SUSE Linux Enterprise Server 11
Service Pack 1 zwana JeOS (Just enough
Operating System) mająca postać
gotowych obrazów maszyn wirtualnych dla
najbardziej popularnych hipernadzorców.
Ceny rocznego abonamentu na
SUSE Linux Enterprise Server 11 dla
platformy x86 i x86_64 zaczynają się od
290 euro. Szczegółowy cennik dostępny

jest na stronie http://www.novell.com/
products/server/pricing_euro.html
Szczegółowe informacje o systemie
Novell SUSE Linux Enterprise Server
znajdują się na stronie produktu
http://www.novell.com/products/server
DLACZEGO WYMIENIAMY WALUTY
PRZEZ INTERNET?
Polacy wymieniający waluty w sieci robią
to głównie dla pieniędzy i wygody –
wynika z ankiety przeprowadzonej wśród
użytkowników serwisu Walutomat. Co
czwarty z ponad 700 badanych deklaruje,
że dokonuje transakcji internetowych
licząc na uzyskanie lepszego kursu.
Użytkownicy wysoko cenią także
wygodę jaką daje internet. Tę cechę
sieciowych narzędzi wymiany uważa za
najważniejszą ok. 25 proc. respondentów.
Bezpieczeństwo i szybkość transakcji to
priorytety dla co piątej osoby.
Co trzeci internauta, obracający
walutami w sieci, wymienia w ten sposób
swoje wynagrodzenie lub zdobywa
waluty potrzebne podczas podróży. Co
czwarty użytkownik kupuje w internecie
waluty na spłatę rat kredytów. Internauci
chcą również zarabiać na wymianie. Co
piąty dokonuje transakcji walutowych
w celach inwestycyjnych. Jeden na
siedmiu ankietowanych potrzebuje
walut do międzynarodowych rozliczeń
biznesowych lub z powodu chęci
dokonania zakupów zagranicą.
Poszukiwanie korzystnego kursu
powoduje, że ankietowani poza siecią
korzystają głównie z kantorów, które są
bardziej opłacalne niż banki. Nastawienie
na zyski sprzyja także alternatywnym
rozwiązaniom internetowym, takim jak
kantory działające online lub Walutomat
będący społecznościową platformą
wymiany - mówi Adrian Łaźniewski z serwisu
Walutomat. – Możliwość uzyskania
atrakcyjnego kursu przyciąga do nas coraz
więcej nowych użytkowników i powoduje, że
dzienne obroty Walutomatu przekraczają
czasami nawet 1 mln. złotych – dodaje.
Nadal jednak dość dużą
popularnością wśród internautów
AKTUALNOŚCI
wymieniających waluty cieszą się
tradycyjne usługi banków, z których można
korzystać online. Najpopularniejszymi
sposobami wymiany walut wśród
badanych użytkowników Walutomatu
jest także bankowość elektroniczna,
z której korzysta 53 proc. badanych, oraz
usługi kantorów dokonujących transakcji
bezgotówkowych przez internet (18 proc.).
Popularnością cieszą się także internetowe
platformy pozwalające na handel na rynku
Forex, z których korzysta co ósmy badany,
oraz bankowe internetowe systemy
walutowe umożliwiające wymianę po
kursach z rynku międzybankowego.
Ok. 66 proc. badanych wymienia
waluty o wartości do 5 000 złotych
miesięcznie. Co czwarty mieści się
w przedziale 5 001 – 25 000 złotych.
Jeden na stu ankietowanych wymienia
co miesiąc więcej niż 0,5 mln złotych.
W sieci wymieniane są najczęściej
euro, potem dolary amerykańskie, funty
brytyjskie i franki szwajcarskie. Ponad
połowa użytkowników wymienia waluty
raz na miesiąc, kolejne 38 proc. raz na
kilka miesięcy, a ok. 8 proc. przynajmniej
raz w tygodniu.
W sondażu wzięło udział 727 osób,
które posiadają konta w Walutomacie,
czyli internetowej platformie wymiany
walut. Wśród przebadanych przeważali
mężczyźni, których było 89 proc., oraz
ludzie młodzi. Ok. 38 proc. ankietowanych
ma od 18 do 30 lat, wiek co trzeciego
mieści się w przedziale 31 – 40. Tylko
co dziesiąta osoba przekroczyła
pięćdziesiątkę.
W grupie użytkowników najwięcej jest
mieszkańców dużych miast. Trzy czwarte
ankietowanych pochodzi z miejscowości
mających powyżej 100 tys. mieszkańców.
Bardzo rzadko na wymianę walut online
decydują się mieszkańcy wsi, których
było tylko 6 proc.. Są to najczęściej osoby
zatrudnione (60 proc.) lub posiadające
własne firmy (25 proc.). Pojawiają się też
studenci, których jest ok. 7 proc..
Walutomat to społecznościowy system
wymiany walut pomiędzy użytkownikami
internetu, który pozwala na eliminację
pośrednictwa banków i kantorów. Waluty
wymieniane są po kursie średnim, bez tzw.
spreadu, co pozwala na oszczędności
rzędu 2-3 proc. wartości transakcji.
6/2010 HAKIN9 7
NARZĘDZIA
WRT 54GH
Decydując się na kupno routera
czeka nas bardzo ciężki wybór.
Na rynku mamy szeroki wybór
sprzętu sieciowego do podziału sygnału
internetowego dla domu czy też firmy.
Powszechnie przyjęło się, że tego rodzaju
sprzęt jest trudny w konfiguracji i trzeba
nie lada wiedzy, aby poprawnie go
skonfigurować. Z racji tego, iż przeciętny
śmiertelnik nie posiada zaawansowanej
wiedzy informatycznej, lider na rynku
domowych rozwiązań sieciowych, firma
Linksys (od 2003 roku filia Cisco Systems
- jednego z największych przedsiębiorstw
Producent informatycznych na świecie) zdaje się wyjść
Linksys by Cisco naprzeciw temu problemowi wprowadziło
Typ do sprzedaży model o symbolu WRT54GH,
Router czyniąc konfigurację domowej lub firmowej
Strona producenta sieci najprostszą jak to tylko możliwe.
www.linksys.pl
Recenzent Wygląd oraz zawartość
Kamil Malinowski zestawu
W pudełku z routerem oprócz samego
urządzenia znajdziemy dwunasto-woltowy
zasilacz, płytę CD, kabel do podłączenia sieci
Ethernet oraz ulotkę z numerami telefonów
pomocy technicznej dla poszczególnych
krajów, w tym Polski. Zdziwienie może
natomiast spowodować brak papierowej
instrukcji, zamiast niej producent umieścił
na płycie jej cyfrową wersję w formacie PDF,
niestety instrukcja nie jest w języku polskim.
Obudowa koloru czarnego WRT54GH
w kształcie prostopadłościanu prezentuje się
całkiem zgrabnie, szczególnie dlatego, że
nie widać żadnej wystającej atenki, ponieważ
takową producent wbudował wewnątrz
urządzenia. Wymiary stanowią 110 mm
na 32 mm na 110 mm, co czyni Linksys’a
jednym z najmniejszych urządzeń tego typu
na rynku. Warto wspomnieć, że konstrukcja
waży jedynie 170 gramów. Całość zdobiona
jest z czterech stron malutkimi, okrągłymi
OCENA otworami. U góry routera widnieje logo
««««« Cisco. Na przednim panelu znajduje się
8 HAKIN9 6/2010
siedem zielonych diod sygnalizujących pracę
urządzenia. Pod każdą znajduje się ikona
symbolizująca, czego dotyczy. I tak: pierwsze
cztery odpowiadają za pracę portów LAN,
piąta za sieć bezprzewodową, kolejna
sygnalizuje łączność z Internetem, a ostatnia
zaś zasilanie. Na lewej ściance jest czerwony
przycisk Reset. Jak to zwykle przy takich
przyciskach bywa, jest zabezpieczony przed
przypadkowym wciśnięciem i znajduje się
we wgłębieniu. Żeby go wcisnąć należy
użyć czegoś cienkiego, np. wykałaczki.
Krótkie przyciśnięcie tego guzika spowoduje
zresetowanie urządzenia, natomiast dłuższe,
trwające około pięciu sekund przywróci
ustawienia fabryczne. Z tyłu WRT54GH są
cztery porty LAN służące do podłączenia
urządzeń sieciowych za pomocą kabla, port
WAN do podłączenia sygnału internetowego
do urządzenia. Obok znajduje się włącznik
oraz wejście, w które podłączamy dołączony
do zestawu zasilacz sieciowy. Urządzenie
może pracować stojąc na czterech
gumowych nóżkach zabezpieczających
przed przesuwaniem lub jeśli tylko chcemy
możemy router powiesić na ścianie wieszając
go dzięki slotom znajdującym się na dole
urządzenia.
Specyfikacja techniczna
i funkcjonalność
Kompaktowa konstrukcja, mniejsza niż
opakowanie płyty CD, może zwieść. Tak

małe urządzenie posiada wszystko,
czego można oczekiwać od tego typu
sprzętu. I tak, mamy wsparcie dla
standardów IEEE 802.3, IEEE 802.3u,
IEEE 802.11g, IEEE 802.11b. Jednak
brak wsparcia dla standardu IEEE
802.11n, tak więc maksymalna prędkość
dla komunikacji bezprzewodowej
wynosi 54 Mb/s, dla komunikacji
przewodowej zaś to 100 mb/s. Nad
bezpieczeństwem sieci czuwa zapora
SPI, która chroni przed większością
ataków internetowych, filtracja adresów
MAC a przed niepożądanym dostępem
do sieci bezprzewodowej zabezpiecza
szyfrowanie WEP (64 i 128), WPA lub
WPA2 do wyboru. Pozostałe funkcje
routera to: strefa zdemilitaryzowana
(DMZ), MAC address cloning, NAT,
routing statyczny i dynamiczny, serwer
oraz klient protokołu dynamicznego
konfigurowania węzłów (DHCP).
Wszystkie te funkcje pozwolą nam
stworzyć bezpieczną, stabilną
i efektywną sieć dostosowaną do
naszych potrzeb.
NARZĘDZIA
Instalacja i zarządzanie
Linksys WRT54GH to nie tylko prosty
wygląd. To także prostota konfiguracji
routera nieprzysparzająca problemów
nawet osobom, które nie mają pojęcia
na temat technologii sieciowych. Dzięki
dołączonej płytce w prosty sposób,
za pomocą paru kliknięć myszą
skonfigurujemy naszą sieć. Cały proces
sprowadza się do włożenia płyty do
napędu i podążania za wskazówkami
pojawiającymi się w trakcie instalacji
(również w naszym rodzimym języku).
Prościej chyba się nie da. W trakcie
procesu konfiguracji program poprosi
nas o wybranie hasła i sposobu
zabezpieczenia sieci bezprzewodowej
przed niepowołanym dostępem osób
trzecich. Zaawansowana konfiguracja
możliwa jest przez panel sterowania
dostępny poprzez przeglądarkę
internetową. Tam właśnie możemy
zmieniać szereg opcji, jednak ten
sposób dedykowany jest tylko dla
bardziej doświadczonych użytkowników.
Początkujący powinni skorzystać ze
wspomnianego wcześniej programu
umieszczonego na załączonej do
zestawu płyty CD.
Podsumowanie
Jeżeli potrzebujemy prostego routera do
podzielenia łącza internetowego w domu
lub w firmie na kilka komputerów warto
zastanowić się nad opisywanym tutaj
modelem. Kompaktowa konstrukcja,
niewygórowana cena, atrakcyjne
parametry techniczne i przede wszystkim
prostota instalacji sprawiają, że WRT54GH
zdaje się nie mieć wad. Szczególnie biorąc
pod uwagę fakt, iż produkt firmy Linksys to
stabilny, niezawodny i wart zaufania sprzęt,
na którym z pewnością można polegać.
6/2010 HAKIN9 9
NARZĘDZIA
UserGate Mail Server
UserGate Mail Server jest dobrym
systemem umożliwiającym
zarządzanie kontami
e-mail w przedsiębiorstwie. Podstawowymi
oferowanymi funkcjami są możliwość
zarządzania domenami i kontami. W pakiecie
jest również klient WEB, obsługa list dystrybucji
oraz usługi katalogowe dodatkowo istnieje
możliwość zdalnego zarządzania kontami
oraz obsługa LDAP i elastyczny system
reguł. W systemie doskonale zadbano
o odpowiedni poziom bezpieczeństwa dzięki
zastosowaniu protokołów SSL, POP3 i IMAP
w celu zapewnienia bezpiecznego połączenia
Producent z kontami online.
Entensys W serwerze zastosowano specjalny plik
Typ pem (Private Enhanced Mail), służący do
Serwer poczty email połączeń z wykorzystaniem SSL. Administrator
Strona producenta ma na bieżąco podgląd do używanych
www.entensys.com certyfikatów, które może tworzyć/usuwać,
Strona dystrybutora a także importować i eksportować. Aby
www.tts.com.pl zapewnić wysoki poziom zabezpieczeń serwer
Recenzent pocztowy wyposażony został w dwa moduły
Inż. Mariusz Gibki antywirusowe Kaspersky Lab i Panda Security.
Obydwa moduły skanują ruch pocztowy i
mogą być wykorzystywane razem lub osobno.
W produkcie zadbano również o problem
spamu. Poza standardowymi funkcjami ochrony
przed spamem (białe i czarne listy), UserGate
OCENA
««««
10 HAKIN9 6/2010
Mail Server wykorzystuje także dwa dodatkowe
moduły – Commtouch (płatny) i SpamAssassin
(bezpłatny). Serwer oferuje również funkcję
tworzenia kopii zapasowych. Zadania
tworzenia kopii zapasowych uruchamiają się
automatycznie i mogą być planowane przez
administratora systemu. W konfiguracji można
określić częstotliwość tworzenia pełnych
i różnicowych kopii zapasowych, wybrać folder,
w którym będą składowane kopie zapasowe
oraz określić ich ilość. Wszystkie wcześniejsze
kopie zostaną automatycznie usunięte. Pełna
kopia zapasowa serwera pocztowego utworzy
wiele plików o następującej zawartości: zrzut
bazy danych, (PostgreSQL), plik instrukcji SQL,
plik konfiguracyjny i folder z bazą danych
skrzynek pocztowych użytkownika. Raport kopii
zapasowej (włącznie z czasem, typem pliku i
nazwą pliku) jest zapisywany jako specjalny plik
XML.
Podsumowując, UserGate Mail Server
doskonale sprawdzi się w roli firmowego
serwera służącego do obsługi poczty e-mail.
Twórcy uwzględnili wszystkie elementy, jakie
powinny znaleźć się w tego typu aplikacji,
dbając w szczególności o bezpieczeństwo.
Samo administrowanie serwerem również nie
sprawia większego kłopotu, dzięki zastosowaniu
poręcznego i przejrzystego interfejsu programu.
 www.hakerzy.net www.ccns.pl www.antynet.pl www.hcsl.pl www.i-slownik.pl
Strony rekomendowane

Strony rekomendowane
www.mgibki.wordpress.com www.osdev.pl www.ochronainformacji.pl www.topsec.pl www.hackme.pl
 ATAK
PAWEŁ BASZKOWSKI
Stopień trudności
Z ARTYKUŁU
DOWIESZ SIĘ
o protokole DNS,
o typach ataków na serwery
DNS,
o tym jak ograniczyć
niebezpieczeństwo ataku.
CO POWINIENEŚ
WIEDZIEĆ
znać technologie sieciowe,
na czym polega rozwiązywanie
adresów sieciowych.
12 HAKIN9 6/2010
Ataki na
serwery DNS
Rozróżniamy ataki na serwery DNS różnego rodzaju.
Wszystkie mają na celu dokonanie jak największych
utrudnień w ruchu sieciowym np. poprzez zablokowanie czy
przeciążenie go.
P
oniżej prezentuję kilka typów ataków na
serwery DNS. Dodatkowe opisy pojęć
w sekcji Terminy.
Zatruwanie DNS (ang. cache poisoning) to
technika phishingu polegająca na wysłaniu do
serwera DNS fałszywego rekordu kojarzącego
nazwę domeny z adresem IP. Serwer DNS
zapamiętuje go na pewien czas (do kilku
godzin) i zwraca klientom zapamiętany adres
IP, czego skutkiem jest przeniesienie na
fałszywą stronę.
Cache poisoning może być zastosowany
do uzyskania danych dotyczących np.
logowania do serwisu aukcyjnego czy banku.
Poprzez przekierowanie na identycznie
wyglądającą stronę po wpisaniu nazwy
użytkownika i hasła nic się nie dzieje, tak to
odbieramy. W rzeczywistości dane te zostają
zapisane na komputerze sprawcy, który może
ich użyć na prawdziwej stronie i dokonać
transakcji (np. przelew internetowy) w naszym
imieniu.
DNS spoofing – jest to atak na
serwer DNS, który posiada bazę danych
przechowującą numery IP dla poszczególnych
adresów mnemonicznych. Atak DNS
spoofing polega na ingerencji w tablicę DNS
i modyfikacji poszczególnych wpisów tak, aby
klient zamiast do komputera docelowego
kierowany był do komputera atakującego.
Głównie wyróżnia się trzy ataki związane
z fałszowaniem DNS:
• Atakujący włamuje się do serwera DNS,
podmieniając odwzorowanie nazw URL
na adresy IP. Zapytanie o dany adres URL
zostaje odesłane do maszyny, która będzie
kontrolowana przez atakującego.
• Atakujący może fałszować odpowiedź
z serwera DNS przez kontrolę pomiędzy
klientem, a serwerem nazw. Umożliwia
to bezpołączeniowy charakter protokołu
UDP. Numery sekwencyjne są zwiększane
o jeden, co pozwala bardzo łatwo
przewidzieć ich kolejność. Jeżeli atakujący
potrafi odczytać wymianę pakietów
z serwerem DNS, może przewidzieć
numerowanie sekwencji.
• DNS cache może zostać zatruty, jak
opisane wyżej, poprzez przesłanie fałszywej
strefy z dużą wartością pola TTL. Atak jest
wykonywalny przy założeniu, że zdalny
serwer nazw jest kontrolowany przez
atakującego.
DNS Amplification to odmiana ataku DDoS,
polegająca na wysłaniu zapytań do serwerów
DNS ze sfałszowanym adresem zwrotnym
(spoofing). Najczęściej wykorzystuje się do tego
sieć przejętych przez agresora komputerów
(np. duży botnet). Serwery DNS, w odpowiedzi
na dziesiątki lub nawet setki tysięcy zapytań
kierowanych z komputerów agresora, wysyłają
odpowiedzi na jeden komputer, cel ataku
włamywacza, zapychając jego łącze, pamięć

i moc obliczeniową do granic możliwości.
Atakowany ma małe możliwości obrony
przed takim atakiem, gdyż odfiltrowanie
odpowiedzi od DNS na odpowiedzi
na zadane i na niezadane pytanie jest
praktycznie niemożliwe.
W maju 2006 w ten właśnie sposób
zostało zaatakowane i doprowadzone do
upadku przedsiębiorstwo Blue Security,
które walczyło ze spamem.
DRDoS (ang. Distributed Reflection
Denial of Service) – jedna z nowszych
odmian ataku odmowy dostępu DoS.
Powstała w wyniku połączenia metody
zalewania żądaniami synchronizacji
pakietów SYN (SYN flood) i metod
wykorzystywanych przy rozproszonych
atakach odmowy dostępu DDoS.
Polega na generowaniu specjalnych
pakietów SYN, których adres źródłowy
jest fałszywy – jest nim adres ofiary.
Następnie duża liczba takich pakietów
jest wysyłana do sieci. Komputery, do
których one docierają, odpowiadają
pakietami SYN/ACK kierowanymi
na adres pochodzący z fałszywego
nagłówka. W wyniku czego ofiara jest
zalewana olbrzymią ilością pakietów
z wielu hostów.
W porównaniu do tradycyjnego
ataku typu DDoS utrudnia to wykrycie
rzeczywistego źródła ataku.
SYN flood to jeden z popularnych
ataków w sieciach komputerowych.
Jego celem jest głównie zablokowanie
usług danego serwera (DoS). Do
przeprowadzenia ataku wykorzystywany
jest protokół TCP.
Luka w protokole DNS
Luka wykryta przez specjalistę ds.
bezpieczeństwa sieciowego Dana
Kaminsky'ego, umożliwia przejęcie
kontroli nad serwerami nazw. Problem
dotyczy protokołu DNS, na atak podatne
są wszystkie serwery niezależnie od
platformy. Atakujący dzięki wykorzystaniu
luki może przejąć kontrolę i przekierować
ruch w inne miejsce.
Okazało się, że wysłanie do serwera
DNS serii odpowiednio przygotowanych
zapytań może spowodować
automatyczne przekierowanie ofiary
z bezpiecznej witryny na niebezpieczną.
Co ważne, cała operacja będzie dla
atakowanego internauty zupełnie
niezauważalna. Taka technika
przestępcza nazywana jest zatruwaniem
DNS (DNS poisoning) – do tej pory
przestępcy korzystali jednak z niej raczej
dzięki różnym lukom w aplikacjach
instalowanych na komputerze. Tym razem
problem jest znacznie poważniejszy,
ponieważ luka dotyczy oprogramowania
odpowiedzialnego za funkcjonowanie
sieci WWW.
Atakujący mogą bez użycia phishingu
przekierować ofiary na oszukańcze
witryny. Przy lepszym przygotowaniu
nie tylko strony, ale znaczna część
ruchu może zostać przekierowana, co
spowoduje uzyskanie dostępu do wielu
poufnych danych.
Luka wykryta przez Kaminsky'ego
dotyczy sposobu jak serwery uzyskują
informacji od siebie nawzajem. Gdy
serwer DNS nie posiada informacji,
próbuje ją uzyskać od innego serwera.
Luka pozwala wysłać tak spreparowane
dane, że serwer DNS uznaje je za
prawidłowe.
Metodologia
dokonanych ataków
Ataki bazują na 2 głównych kwestiach.
Po pierwsze mimo wykrycia
luki w systemie informatycznym
administratorzy i tak nie aktualizują
systemów. Jak informuje NASK, który
dokonał takiego sprawdzianu analizy
ponad 150 mln zapytań DNS do
serwerów domeny .pl okazało się, że
blisko 70% resolverów (znajdujących się
w polskich klasach adresowych) jest nadal
podatna na atak typu cache poisoning.
Listing 1. Określenie pola TTL
domena.com: type A, class inet, addr 212.77.100.102
Name: domena.com
Type: Host address
Class: inet
Time to live: 15 minutes
Data length: 4
Addr: 212.77.100.102
domena.net: type A, class inet, addr 192.168.1.5
Name: domena.net
Type: Host address
Class: inet
Time to live: 1 day, 15 hours, 38 minutes, 29 seconds
Data length: 4
Addr: 192.168.1.5
ATAKI NA SERWERY DNS
Po drugie, ataki bazujące na tym
fakcie wykorzystują znane mechanizmy
ataku. I tak atak SYN flood polega
na wysyłaniu dużej ilości pakietów
z ustawioną w nagłówku flagą
synchronizacji (SYN) i najczęściej ze
sfałszowanym adresem IP nadawcy (IP
spoofing). Pakiety TCP z ustawioną flagą
SYN służą do informowania zdalnego
komputera o chęci nawiązania z nim
połączenia. Podczas takiego ataku serwer,
który otrzymał pakiet z flagą SYN na port,
który jest otwarty, odpowiada na każdy
pakiet zgodnie z zasadami protokołu TCP
wysyłając pakiet z ustawionymi flagami
synchronizacji (SYN) i potwierdzenia
(ACK) do komputera, który w tym
wypadku nie istnieje, istnieje, ale nie
zamierzał nawiązywać połączenia
z atakowanym hostem lub jest to
komputer atakowanego, który specjalnie
nie odpowiada. Powoduje to przesyłanie
dużych ilość danych i obciąża łącze
sieciowe.
Oprócz odpowiedzi na pakiety SYN
atakowany komputer zapisuje w tablicy
stanów połączeń informację, że nastąpiła
próba połączenia i wysłano potwierdzenie
(pakiet z flagami SYN i ACK). Tablice te
są przechowywane w pamięci RAM, a ich
wielkość jest ograniczona. Jeżeli taki
atak będzie powtarzany a liczba takich
pakietów będzie bardzo duża, w pewnym
momencie nastąpi przepełnienie tablicy
połączeń atakowanej maszyny co
spowoduje, że ów komputer nie będzie
akceptował następnych przychodzących
połączeń. Serwer wówczas będzie cały
czas w stanie oczekiwania na pakiety
ACK, które nigdy nie nadejdą.
6/2010 HAKIN9 13
ATAK
Ciągły atak SYN flooding Przykład ataku pochodzącą z pamięci podręcznej, czyli
powoduje zaprzestanie odpowiadania na serwer DNS z informacji podstawionych przez intruza.
na nowe zapytania. Jak również Przykładowy atak przy użyciu DNS W ten sposób intruz nie musi znać
spowalnia obsługiwanie otwartych spoofing. Spróbujemy dokonać dokładnego czasu, w którym atakowany
połączeń poprzez znaczny wzrost ingerencji w tablicę DNS i modyfikację serwer DNS będzie zadawał pytanie.
zapotrzebowania na zasoby komputera poszczególnych wpisów tak, aby klient A co z identyfikatorem odpowiedzi?
(przede wszystkim pamięć). W skrajnym zamiast do komputera docelowego Jeśli używane jest oprogramowanie
przypadku może spowodować skierowany był do komputera BIND, identyfikator odpowiedzi jest
zawieszenie systemu. atakującego. liczbą losową i określenie jej jest
Atak z wykorzystaniem DNS Każdy serwer DNS posiada swoją praktycznie niemożliwe. Musiałby wysyłać
spoofing polegać będzie na podszyciu własną pamięć podręczną, gdzie pakiety wraz ze wszystkimi możliwymi
się pod stronę np. banku, co w efekcie przechowuje informacje na temat wartościami.
doprowadzi do uzyskania dostępu do ostatnio przeprowadzonych mapowań. Jeśli serwer DNS będzie działał na
konta ofiary. Może być dokonany też na Czas przechowywania informacji określa platformie Windows (NT lub nowszej
stronę WWW dużej korporacji, czego pole TTL danego komunikatu DNS. Server 2003 i wzwyż) to okazuje się
efektem będzie przejęcie klientów. Oznacza to, że jeśli intruzowi udałoby że generowane są identyfikatory pytań
Dla serwera FTP podszycie się przesłać serwerowi spreparowaną (przewidywalne, bo każde kolejne
spowoduje przejęcie danych wysłanych przez siebie informację to zostałaby zapytanie ma identyfikator większy
na serwer przez ofiarę lub podstawienie ona zapamiętana i użyta przy każdym o jeden w porównaniu do poprzedniego).
własnych w przypadku, gdy pobierane są następnym zapytaniu. Wiadomo też, że Przewidzenie więc prawidłowego
jakieś pliki. każdy serwer DNS nasłuchuje na porcie identyfikatora nie będzie skomplikowane.
Ciekawy sposób to podszywanie 53 i jest gotowy przyjąć jakiekolwiek Potrzebny jeszcze adres źródłowy.
się pod systemy automatycznego zapytanie pochodzące od dowolnego Wydając odpowiednie polecenie
sprawdzania najnowszej wersji komputera w Internecie. Intruz może więc dowiemy się ile serwerów nazw obsługuje
oprogramowania. Gdy intruz podszyje wykorzystać te dwie cechy serwerów daną domenę. To, z którego skorzystać
się pod serwer, z którego korzysta DNS na potrzeby ataku, gdyż dzięki atakowanym serwerem DNS, można
ofiara może spowodować instalowanie nim sam może zadać serwerowi DNS określić przez pole TTL. Na Listingu 1.
oprogramowania podstawionego dowolne zapytanie i w odpowiedzi, prezentowany jest tego przykład.
i obejście zabezpieczeń opartych na którą na nie wyśle w polu TTL wpisać Pole TTL (Time to live:) zawiera
dostępie z wybranych komputerów, maksymalną wartość. Po tym zabiegu informację na temat przechowywania
puli adresowej lub poprzez inne każdy, kto zada serwerowi DNS takie danych w pamięci podręcznej. Oznacza
obostrzenia. samo pytanie, otrzyma odpowiedź to, że po 15 minutach informacja
dotycząca serwera domena.com
Tabela 1. Przykładowy scenariusz ataku zostanie usunięta z pamięci podręcznej.
Etapy Opis Czas od rozpoczęcia Dla porównania informacja o domena.net
1 Odpytywany jest serwer o domenę domena.com. ok. 5 sekund będzie przechowywana znacznie dłużej,
Informacje zostają zapamiętane w pamięci bo ponad 1 dzień.
podręcznej. Przykładowy scenariusz ataku czy
2 Rozpoczęcie ataku DoS przeciw serwerowi 10 – 15 sekund przetestowania próby ataku na serwer
autoryzacji. To spowoduje zapchanie go, nie będzie DNS wykonamy przy użyciu komputera
w stanie odpowiadać na żadne zapytanie. intruza (hack.int.pl). Celem będzie
3 Intruz zadaje serwerowi zapytanie o IP komputera 15 minut spowodowanie, by po wydaniu polecenia
domena.com telnet domena.com komputer użytkownika
połączył się z komputerem intruza.
4 Zaczyna się wysyłanie serwerowi podstawionych 15 minut i 5 sekund
odpowiedzi z adresem źródłowym komputera Szczegółowy scenariusz postępowania
autoryzacji z ustawioną maksymalną wartością znajduje się w Tabeli 1.
TTL, która zawiera informację o komputerze Taki atak ma duże szanse na
domena.com jako hack.int.pl. Jest to łącznie 65535 powodzenie.
pakietów, każdy z identyfikatorem odpowiedzi. Kilkanaście sekund między
5 Zakończenie wysyłania podstawionych pakietów. 15 minut i 25 sekund rozpoczęciem a zakończeniem wysyłania
Teraz serwer ma w swojej pamięci podręcznej podstawionych pakietów (punkty 4 i 5)
podstawione dane dotyczące komputera to czas wystarczający na przesłanie do
domena.com
atakowanego serwera 65535 pakietów.
6 Nieświadomy użytkownik wydaje polecenie telnet 30 minut Stwierdzone jest, że długość każdego
domena.com i zostaje połączony z hack.int.pl z tych pakietów wynosi około 100 bajtów.

14 HAKIN9 6/2010
 ATAKI NA SERWERY DNS

W opisywanym scenariuszu zakładamy
intruza w tej samej podsieci i łączem
10 Mbps. Wystarczyłoby nam kilka
sekund, ale dla pewności wykonujemy to
w kilkanaście. Ze względu na wydajność
urządzeń aktywnych i gotowość do
przyjęcia ilości pakietów.
Te kilka sekund wyliczamy ze wzoru:
(iP*dP)*8/1024*1024/S=T
T – czas potrzebny na wysłanie
pakietów (sek),
IP – ilość danych (pakietów) do
wysłania,
DP – długość każdego pakietu,
S – prędkość łacza (Mbps),
(65535*100)*8/1024*1024/10 = 5 sek.
Jak się obronić
przed atakami?
Jednym ze sposobów na zapobieganie
atakom (np. typu SYN flood) jest

Terminy
BIND (Berkeley Internet Name Domain, poprzednio: Berkeley Internet Name Daemon) jest popularnym serwerem (demonem) DNS. Został stworzony
przez Paula Vixie w roku 1988 podczas jego pracy w DEC. BIND jest jednym z najpopularniejszych serwerów DNS wykorzystywanym w systemach
Linux i Unix. BIND stanowi niezmiernie ważny składnik, zapewniający poprawne działanie systemu nazw w Internecie. Wielu użytkowników globalnej
sieci bezwiednie korzysta z serwera BIND, kiedy ich przeglądarka WWW odpytuje o adres IP komputer udostępniający żądaną stronę.
Nowa wersja BIND 9 została napisana od zera, aby rozwiązać część problemów z architekturą poprzednich wydań tego programu, gdzie
każda była kontynuacją poprzedniej i ulepszając ją zawierała również jej słabości. W wersji 9 zapewniono obsługę rozszerzeń bezpieczeństwa
(DNS Security Extensions), dodano obsługę rekordów TSIG (uwierzytelnianie kryptograficzne), powiadomień DNS, nsupdate (ułatwiona aktualizacja
rekordów DNS), IPv6, czyszczenie rekordów rndc (rndc flush), widoków, pracy wieloprocesorowej oraz poprawiono poziom przenośności kodu
między różnymi platformami.
BIND był rozwijany od wczesnych lat 80-tych XX wieku w ramach projektów DARPA. W połowie dekady prace nad serwerem przejęła
korporacja DEC. Jednym z jej pracowników biorących udział w projektowaniu BIND-a był Paul Vixie, który kontynuował swoją pracę po opuszczeniu
tej firmy. Potem stał się jednym z założycieli ISC (Internet Software Consortium), organizacji zarządzającej standardami Internetu, która przejęła
prace nad dalszym rozwojem BIND-a.
BIND 9 powstał podczas realizacji kilku komercyjnych oraz wojskowych projektów. Firmy wykorzystujące Unix chciały zapewnić, by BIND był
ciągle konkurencyjny (bezpieczniejszy) względem serwerów DNS oferowanych przez Microsoft. Rozwój protokołu DNSSEC był wspierany przez
wojsko USA, które chciało zwiększyć bezpieczeństwo systemu nazw.

DNS (Domain Name Service) to hierarchiczny system nazw domenowych dla urządzeń zainstalowanych w Internecie. Pozwala na rozwiązywanie
nazw konkretnych hostów na ich adresy IP. Podstawowa zasada DNS to fakt nie posiadania jednego centralnego serwera, a przynajmniej kilku,
przechowujących nazwy domen i ich adresów IP. Jest to zabezpieczenie przed awarią jednego, tak by drugi z serwerów mógł przejąć jego rolę jako
zapasowy serwer DNS. Kilkanaście głównych serwerów (root) nie utrzymuje pełnej listy adresów, które możemy znaleźć w Internecie, a listę innych
serwerów DNS, które znają drogę do danego adresu.

DoS (Denial of Service) to atak na system komputerowy lub usługę sieciową w celu uniemożliwienia działania poprzez zajęcie wszystkich wolnych
zasobów.

DDOS (Distributed Denial of Service) – atak na system komputerowy lub usługę sieciową w celu uniemożliwienia działania poprzez zajęcie wszystkich
wolnych zasobów, przeprowadzany równocześnie z wielu komputerów (np. Zombie).

DNSBL jest to oparta na DNS, usługa wykorzystywana do publikowania czarnych list adresów IP nadawców spamu. Jest wykorzystywana w wielu
programach antyspamowych.

Phishing – w branży komputerowej, oszukańcze pozyskanie poufnej informacji osobistej, jak hasła czy szczegóły karty kredytowej, przez udawanie
osoby godnej zaufania, której te informacje są pilnie potrzebne. Jest to rodzaj ataku opartego na inżynierii społecznej. Termin został ukuty w połowie
lat 90. przez crackerów próbujących wykraść konta w serwisie AOL (America On Line). Atakujący udawał członka zespołu AOL i wysłał wiadomość do
potencjalnej ofiary. Wiadomość zawierała prośbę o ujawnienie hasła, np. dla zweryfikowania konta lub potwierdzenia informacji w rachunku. Gdy ofiara
podawała hasło, napastnik uzyskiwał dostęp do konta i wykorzystywał je w przestępczym celu, np. do wysyłania spamu. Termin phishing jest niekiedy
tłumaczony jako password harvesting fishing (łowienie haseł). Inni utrzymują, że termin pochodzi od nazwiska Briana Phisha, który miał być pierwszą
osobą stosującą techniki psychologiczne do wykradania numerów kart kredytowych, jeszcze w latach 80. Jeszcze inni uważają, że Brian Phish był
jedynie fikcyjną postacią, za pomocą której spamerzy wzajemnie się rozpoznawali. Dzisiaj przestępcy sieciowi wykorzystują techniki phishingu w celach
zarobkowych. Popularnym celem są banki czy aukcje internetowe. Phisher wysyła zazwyczaj spam do wielkiej liczby potencjalnych ofiar, kierując je
na stronę w Sieci, która udaje rzeczywisty bank internetowy, a w rzeczywistości przechwytuje wpisywane tam przez ofiary ataku informacje. Typowym
sposobem jest informacja o rzekomym zdezaktywowaniu konta i konieczności ponownego reaktywowania, z podaniem wszelkich poufnych informacji.
Strona przechwytująca informacje – adres do niej był podawany jako klikalny odsyłacz w poczcie phishera – jest łudząco podobna do prawdziwej,
a zamieszanie było często potęgowane przez błąd w przeglądarkach, który pozwalał zamaskować także rzeczywisty adres fałszywej strony. Innym
sposobem było tworzenie fałszywych stron pod adresami bardzo przypominającymi oryginalny, a więc łatwymi do przeoczenia dla niedoświadczonych
osób – np. www.alegro.pl, zamiast www.allegro.pl.

Spoofing polega na podszywaniu się pod inny autoryzowany komputer. Cel pozostaje ten sam, oszukanie systemów zabezpieczających. Tradycyjnie,
podszywanie oznaczało działanie atakującego, polegające na przeprowadzeniu procesu autoryzacji z jednego komputera do drugiego poprzez
sfałszowanie pakietów z zaufanego hosta. Ostatnio podszywaniem określa się dowolną metodę łamania zabezpieczeń autoryzacyjnych opartych na
adresie lub nazwie hosta. Rodzajami spoofingu jest: ARP spoofing, DNS spoofing, IP spoofing, Route spoofing, Non-blind i Blind spoofing.

6/2010 HAKIN9 15
ATAK
wdrożenie do systemu firewalli, które
limitują ilość pakietów SYN przesyłanych
do danego serwera lub implementują
mechanizm SYN cookies.
Kolejny ze sposobów to sprawdzenie,
czy serwer DNS, z którego korzystamy,
jest podatny na atak, można użyć w tym
celu narzędzia DNS Checker. Na uwagę
zasługuje także zróżnicowany test,
który sprawdza przypadkowość portów
źródłowych i identyfikatorów transakcji,
stworzony przez DNS-OARC.
Przed DNS spoofing ochronić może
wyłączenie obsługi pamięci podręcznej
przez serwery DNS. W ten sposób intruz
nie będzie mógł wprowadzić do pamięci
nieprawdziwych danych. Nie wyeliminuje
w pełni, ale zmusi do przewidzenia, kiedy
ofiara zleci serwerowi DNS zmapowanie
danego adresu IP czy nazwy komputera.
Wprowadzi to do scenariusza ataku
dodatkowe przeszkody i zwiększy
prawdopodobieństwo nieudanego ataku.
Rozwiązanie nie jest idealne, ostatnio
używane dane nie będą w pamięci
podręcznej, więc zwiększony będzie
nieco ruch sieciowy. Mimo to, jest to
skuteczna metoda zwiększenia poziomu
bezpieczeństwa protokołu.
Czynnikiem powodującym tak duże
zagrożenia przy korzystaniu z DNS
jest fakt wykorzystywania przez niego
bezpołączeniowego protokołu UDP.
Najrozsądniejszym wyjściem z sytuacji
wydaje się więc zastosowanie w jego
miejsce protokołu TCP. Oprogramowanie
BIND używa w pewnych warunkach TCP
– dzieje się tak np. wtedy, gdy komunikat
DNS ma długość większą niż 512 bajtów.
Gdyby przerobić oprogramowanie BIND
w taki sposób, aby cały czas korzystało
ono z TCP, problem podrabiania
odpowiedzi DNS zostałby rozwiązany.
Obecnie trwają prace związane
z wdrożeniem w Internecie protokołu
DNSSEC. Jest on zaprojektowanym
praktycznie od początku
odpowiednikiem DNS, jednak w trakcie
jego projektowania główny nacisk
położono na bezpieczeństwo. Podczas
mapowania adresów wykorzystuje
on infrastrukturę klucza publicznego
serwerów oraz odpowiednie certyfikaty
potwierdzające autentyczność
odpowiedzi. Jest to oczywiście bardzo
16 HAKIN9 6/2010
bezpieczne rozwiązanie, posiadające
jednak pewną istotną wadę – nie jest
kompatybilne ze starszą wersją DNS.
Wymaga, aby wszystkie serwery DNS
w Internecie korzystały z DNSSEC, co
oczywiście znacznie utrudni szybkie
jego upowszechnienie. Bardzo ważnym
krokiem, poczynionym przez twórców
BIND-a, było zaimplementowanie
obsługi DNSSEC w najnowszej wersji
ich oprogramowania. Oznacza to, że
poszczególne serwery DNS mogą
pracować jednocześnie ze starszą
i nowszą wersją protokołu. Na pewno
przyspieszy to upowszechnienie
się DNSSEC, jednak stopień
skomplikowania konfiguracji potrzebnej
do prawidłowego działania nowego
protokołu nie wróży mu w najbliższej
przyszłości lawinowego przypływu
nowych użytkowników.
Wielorakość usług świadczonych
w Internecie uniemożliwia sporządzenie
szczegółowego wykazu wszystkich
sytuacji, w których bierne korzystanie
z protokołu DNS jest niebezpieczne.
Są też niestety usługi, które do
swojego działania wymagają DNS-u,
nie może więc próbować obejść tego
i wpisywać np. bezpośrednio adresu IP.
W takim przypadku nie ma oczywiście
możliwości rezygnacji z tego protokołu.
Jednym z najważniejszych przykładów
jest tu usługa poczty internetowej, która
swoje działanie opiera w dużym stopniu
na DNS.
Jeśli mówimy o DdoS, to nie ma
takiego łącza, którego nie da się
zapchać ruchem – ataki powyżej 20
GB/s czy 20 mln pakietów na sekundę
już się zdarzają. W świecie połączeń
internetowych o przepływnościach 2, 10,
34, 100, 155, 622 czy nawet 1000 MB/s
taka wartość robi wrażenie.
Dostawcy usług oraz dostawcy
sprzętu tworzą filtry ruchowe.
Wydzielają adresację IP urządzeń
przenoszących ruch. Pozwala to na
łatwe odfiltrowanie na brzegu własnej
sieci ruchu kierowanego do urządzeń
sieciowych, a tzw. tranzytowego do lub
z hostów wewnątrz sieci. Realizuje się to,
wydzielając interfejsy osobno do ruchu
zewnętrznego i wewnętrznego. Kolejny
krok to MPLS do ukrycia własnej sieci
przed zewnętrznymi atakami z Internetu
i przenoszenie ruchu w sposób
niepozwalający na odkrycie wewnętrznej
struktury połączeń. Wdrażane są też
konkretne mechanizmy, jak zalecenia
związane z ograniczaniem ruchu do
serwerów głównych systemu DNS
i nakłanianiu albo przekierowywaniu
zapytań do serwerów własnych.
By stwierdzić i zatrzymać atak
DdoS, warto obserwować ruch sieciowy
na interfejsach urządzeń. Obciążenia
procesorów sprawdzimy za pomocą
protokołu SNMP.
Przydatne są wszelkie urządzenia
IPS (Intruder Prevention System)
znanych firm specjalizujących się
w zabezpieczaniu ruchu sieciowego.
Są tam wdrożone algorytmy i dzięki
temu urządzenia te są w stanie wykryć
anomalie.
Dodatkowo wszelkie zmiany
używanych standardowych portów na
inne są również skuteczne. Dla przykładu
DNS jednej z popularnych przeglądarek
nie używa standardowego numeru portu
odpowiedzi 53 (UDP), lecz dla każdego
zapytania losuje inny numer portu
(używając 15 bitów, które pozwalają na
wykorzystanie około 32 000 losowych
numerów portów). System radzi sobie
też z usuwaniem zduplikowanych
zapytań, nie pozwalając na więcej niż
jedno żądanie dla tej samej nazwy, typu
oraz docelowego IP.
Podsumowanie
Zawsze należy systemy informatyczne
łatać i aktualizować by były
zabezpieczone oraz kierować się także
zdrowym rozsądkiem, szczególnie
w przypadku wszelkich operacji
dokonywanych w Internecie. Pamiętajmy,
że w Internecie nie jesteśmy anonimowi,
wszelkie działania elektroniczne są
rejestrowane.
Paweł Baszkowski
Właściciel i założyciel IT Studio, inżynier informatyk
z wieloletnim doświadczeniem w branży IT. Zarzadzał
i zarządza sieciami i telekomunikacją (m.in. w logistyce,
bankach, automatyce przemysłowej). Kierowal
i uczestniczył w wielu wdrożeniach i projektach
informatycznych. Jest absolwentem MBA, uwielbia
pracę techniczną.
Kontakt z autorem: pbaszkowski@it-studio.pl,
(www.it-studio.pl ).
 Przyłącz się do naszego Klubu PRO

Jedna edycja Klubu PRO obejmuje 12 miesięcy, czyli 12 kolejnych numerów pisma. Jak wygląda
reklama?
W naszym magazynie będą pojawiały się strony z reklamami firm, które skorzystają z naszej
wyjątkowej oferty. Każda strona podzielona będzie na moduły.
Każda firma ma na wyłączność jeden moduł. Zawiera on: logo firmy, 300-400 znaków na temat
oferty firmy oraz kontakt do niej.
Magazyn Hakin9 wychodzi w nakładzie 6000 egzemplarzy – jest to więc znakomita okazja na
promocję za naprawdę niewielką cenę.

Aby poznać szczegóły naszego Klubu napisz do:

katarzyna.debek@software.com.pl
22 427 36 77

CCNS
Działalność firmy skoncentrowana jest wokół hasła zapewnie-
nia pełnego bezpieczeństwa funkcjonowania Klienta w realiach
współczesnej gospodarki. Jako Expert Partner firmy WatchGu-
ard Inc. oferujemy kompleksowe rozwiązania bezpieczeństwa sie-
ci i systemów informatycznych obejmujące nowoczesne urzą-
dzenia typu Unified Threat Management, niezawodny serwis
i szeroki wachlarz szkoleń.
www.ccns.pl

Sokra-NET
Działa od roku 2002, specjalizuje się w szeroko pojętym bezpie-
czeństwie informacji. Posiada wykwalifikowany specjalnie do tych
celów zespół inżynierów którzy przy współpracy z naszymi klien-
tami maksymalizują bezpieczeństwo danych, audytując i dobezpie-
czając. Wykonujemy testy penetracyjne, analizy kodów źródłowych,
testy wydajnościowe aplikacji i ich środowisk teleinformatycznych.
Wdrażamy polityki bezpieczeństwa. Wspomagamy naszych partne-
rów merytorycznie.

www.sokra.net

TTS Company Sp. z o.o.

Sprzedaż i dystrybucja oprogramowania komputerowego. Import
programów na zamówienie. Ponad 200 producentów w standar-
dowej ofercie.
Chcesz kupić oprogramowanie i nie możesz znaleźć polskiego do-
stawcy?
Skontaktuj się z nami – sprowadzimy nawet pojedyncze licencje.

www.OprogramowanieKomputerowe.pl
 OBRONA
DANIEL SUCHOCKI

Tunele
sieciowe
Stopień trudności
Wygoda, która związana jest ze zdalnym podłączeniem do
Sieci współczesnej organizacji niesie ze sobą duże ryzyko
przechwycenia niejawnych informacji. Można się opierać na
bezpieczeństwie fizycznym dostępu do sieci firmowej, jednak
taka koncepcja całkowicie nie ma zastosowania chociażby
w sieciach bezprzewodowych.

Z ARTYKUŁU
DOWIESZ SIĘ
co to są tunele sieciowe,
jak skonfigurować proste tunele
za pomocą SSH,
jak łączyć w tunele sieciowe
różne systemy operacyjne,
jak skonfigurować sieci VPN.
CO POWINIENEŚ
WIEDZIEĆ
powinieneś mieć podstawowe
pojecie na temat protokołu
TCP/IP,
powinieneś swobodnie
poruszać się w środowisku
systemu Linux, FreeBSD i
Windows,
mieć pojęcie na temat
kompilacji oprogramowania w
systemie Linux i FreeBSD,
posiadać umiejętność
konfiguracji protokołów
sieciowych w systemach Linux,
FreeBSD i Windows.
I
stnieją jednak nieskomplikowane
rozwiązania zwiększające bezpieczeństwo
przesyłu informacji firmowych zarówno
w sieciach kablowych, jak również
bezprzewodowych. Można zastosować
technikę szyfrowania pakietów podczas
transmisji pomiędzy komputerami. Ogólna
zasada działania polega na zaszyfrowaniu
pakietów w innych przejrzystych pakietach.
Gwarantuje to nadawcy i odbiorcy informacji,
że jedynie w miejscu docelowym będzie
możliwe rozszyfrowanie i obejrzenie
oryginalnego pakietu. Do szyfrowania
transmisji można wykorzystać wiele narzędzi
dostępnych w Internecie. Artykuł ten jest
poświęcony przedstawieniu kilku przydatnych
konfiguracji zwiększających bezpieczeństwo
poprzez szyfrowanie połączeń w niezaufanych
sieciach. Kilka przykładów będzie opartych
o małe programy z niewielką konfiguracją,
które będą zapewniały bezpieczeństwo i
szyfrowanie mechanizmu transportowego.
Zostaną również przedstawione sposoby
przybliżające czytelnikowi tworzenie
wirtualnych sieci prywatnych VPN.
Rozgrzewka
Większość programów i sposobów
opisanych w tym artykule będzie korzystało
z protokołu SSL. Jest to protokół stworzony
przez firmę Netscape Communications
Corporation i jego zadaniem jest
zapewnienie poufności i integralności
transmisji danych. Opiera się na szyfrach
asymetr ycznych oraz certyfikatach standardu
X.509, a jego główną zaletą jest fakt, że
działa na warstwie TCP, dlatego można
go łatwo zastosować do zabezpieczenia
protokołów warstwy aplikacyjnej. Zanim
zaczniemy budować sieci pr ywatne
oparte o szyfrowanie transmisji musimy
przygotować specjalne klucze (pr ywatne oraz
publiczne). Do generowania kluczy, wniosków
i certifikatów użyjemy najpopularniejszej
biblioteki na świecie openssl. Jako
środowisko do generowania potrzebnych
plików użyjemy systemu Linux Debian,
ale nic nie stoi na przeszkodzie, aby był
to jakikolwiek inny system operacyjny. Na
początek należy w wydać polecenie # apt-get
install openssl, które zainstaluje potrzebne
oprogramowanie. Aby wstępnie przygotować
środowisko do generowania certyfikatów
należy przejść do katalogu stworzonego
przez aplikację ssl (domyślnie jest to katalog
/etc/ssl), a następnie wydać polecenie:
# mkdir private certs crl oraz touch
index.txt: echo 00 >
serial
które stworzy katalogi private certs crl
i wstępnie przygotują miejsce na przyszłe
klucze. W pierwszej kolejności należy

18 HAKIN9 6/2010

wygenerować klucz pr ywatny CA
poleceniem:
# openssl genrsa –des3 –out provate/
cakey.pem 1024
następnie podać hasło do
wygenerowanego klucza. W drugiej
kolejności potrzebny będzie certyfikat
CA, który generuje się poleceniem:
# openssl req –new –x509 –days 365
–key private/cakey.pem
–out cacert.pem
Rysunek 1. Podgląd konfiguracji programu Putty do ustawienia szyfrowanego tunelu
z programem pocztowym
Rysunek 2. Zestawiony tunel pomiędzy Windows i Linux na porcie 110
wykorzystując wcześniej stworzony
klucz. Podczas tworzenia certyfikatu
należy uzupełnić dane, o które zostajemy
poproszeni. Dane dotyczą min. nazwy
kraju, województwa, miasta, nazwę firmy,
dla której jest generowany certyfikat
oraz adres e-mail. Posiadając urząd CA
można generować klucze oraz certyfikaty
dla serwera VPN, którym będziemy
się zajmować w późniejszym czasie
oraz poszczególnych użytkowników
z nim łączących. Generowanie klucza
prywatnego dla serwera VPN odbywa się
za pomocą polecenia:
TUNELE SIECIOWE
# openssl genrsa –des3 –out provate/
server.pem 1024
Mając klucz prywatny serwera należy
stworzyć wniosek o wystawienie
certyfikatu poleceniem:
# openssl req –new –key provate/
serverkey.pem –
out serverreq.pem
oraz wypełnić formularz, który zostanie
wyświetlony podczas procedury tworzenia
wniosku. Wygląda on identycznie jak
poprzedni formularz podczas tworzenia
certyfikatu CA. Kolejnym krokiem
jest podpisanie wniosku przez CA
poleceniem:
# openssl ca –notext –in
serverreq.pem
–out
servercert.pem
podając hasło do wcześniej
wygenerowanego klucza prywatnego
CA (cakey.pem). W analogiczny sposób
należy stworzyć klucze oraz certyfikaty
dla poszczególnych użytkowników,
którzy będą mieli dostęp do łączenia się
z firmą za pomocą tuneli VPN. Dobrym
pomysłem jest ściągnięcie hasła z klucza
prywatnego serwera poleceniem:
# openssl rsa –in provate/
serverkey.pem
–out provate/
serverkey.pem_
brak_hasla
Dzięki takiemu zabiegowi serwer VPN
będzie startował jako usługa, nie prosząc
6/2010 HAKIN9 19
OBRONA
za każdym razem o hasło, co znacznie
zautomatyzuje pracę serwera. Jeśli
tego nie zrobimy przy każdym restarcie
serwera, będzie on czekał na podanie
hasła podczas startowania usługi,
przez co proces podniesienia maszyny
nie dojdzie do skutku i stracimy z nią
zdalną łączność. Nie zaleca się jednak
ściągania haseł z kluczy użytkowników,
gdyż w razie utraty komputera stanowią
one zabezpieczenie przed dostępem do
Rysunek 3. Podgląd konfiguracji programu Putty do ustawienia szyfrowanego tunelu
z pulpitem zdalnym - I koniec tunelu (komputer firmowy)
Rysunek 4. Schemat szyfrowanego tunelu (pulpit zdalny)
20 HAKIN9 6/2010
danych firmowych. Uzbrojeni w klucze
publiczne i prywatne możemy przystąpić
do konfiguracji programów i szyfrowania
transmisji w sieci.
Coś na początek
Każdy administrator zdalnie zarządzający
serwerami zna najbardziej popularny
program SSH. Jednak nie każdy wie,
że za pomocą tego narzędzia można
stworzyć całkiem przyzwoity szyfrowany
tunel. Jedynym mankamentem jest
fakt, aby zestawić taki tunel z odległym
serwerem, musimy posiadać na
nim konto z możliwością zdalnego
logowania. Jest to jeden z najprostszych
implementacji szyfrowanych tuneli,
dla których nie trzeba specjalnie
przygotowywać plików konfiguracyjnych
lub żmudnie spędzać godziny na
czytanie różnorodnych poradników.
Mimo prostoty jest to wygodny sposób
zabezpieczania ruchu np. pocztowego,
WWW czy każdego innego, który
powinien zostać niewidoczny, aż do
drugiego końca tunelu. Sama zasada
pracy SSH jest stosunkowo prosta.
Program przekazuje ruch, poprzez
powiązanie z lokalnym portem, szyfrując
go (ruch) i wysyłając na drugi koniec
połączenia ssh. Następnie odszyfrowuje
go i wysyła do wskazanego portu na
komputerze zdalnym.
Jednym z przykładów często
wykorzystywanym jest stworzenie takiego
połączenia na potrzeby komunikacji
z programem pocztowym. Taki przypadek
może zostać wykorzystany np. podczas
częstych wyjazdów pracowników
handlowych, którzy będąc podłączeni
w sieciach nieznanych, muszą być
na bieżąco w sprawach firmowych
i odbierają pocztę np. w sieci hotelowej.
Najczęściej tacy handlowcy mają
skonfigurowane programy pocztowe typu
np. Outlook czy Thunderbird, a ogólnie
widomo, że takie programy pocztowe
podczas połączenia wysyłają login
i hasło jawnym tekstem, co w nieznanej
nam sieci może doprowadzić do
 TUNELE SIECIOWE

podsłuchania tych danych, a co to
oznacza każdy z nas wie. Wiec idąc dalej
tym przykładem stworzymy tunel, który
będzie łączył się serwerem w firmie
handlowca tak, aby pobrać pocztę,
jednak aby cały ten ruch był niewidoczny
i niemożliwy do podsłuchania. Aby
zestawić taki tunel w systemie Linux,
należy wydać polecenie:
# ssh nazwa_użytkownika@numer_ip_
serwera –L 34542:
127.0.0.1:110
Takim poleceniem zestawiliśmy tunel,
podając nazwę użytkownika oraz numer
IP lub nazwę serwera z lokalnym portem
34542 (opcja –L) z odległym serwerem
z portem 110 (POP3). Na uwadze należy
mieć fakt, iż w systemach unikowych
próba uruchomienia usługi nasłuchującej
na porcie niższym niż 1024 wymaga
uprawnień administracyjnych (root).
Każde zestawienie tunelu przez zwykłego
użytkownika na porcie niższym niż 1024
zostanie zwrócone komunikatem Privileged
ports can only be forwarded by root. Jeśli
chcemy zestawić taki tunel z w systemie
Windows należy użyć do tego dobrze
znany program Putty. Odpada również
ograniczenie używania wysokich portów,
gdyż w systemie Windows można śmiało
używać portów poniżej 1024 jako zwykły
użytkownik. Rysunek 1. przedstawia
miejsca. Natomiast opcja –n informuje,
aby proces nie wykonywał polecenia
na zdalnym końcu tunelu, a jedynie
przekazywał ruch. Dodatkowo
zastosowano opcję sleep 600. Jest
to zwykłe polecenie systemowe, które
będzie nakazywało zestawienie tunelu na
pewien określony czas, po czym proces
zostanie wyłączony i tunel zniknie.
Innym bardzo przydatnym sposobem
wykorzystania SSH, który otwiera port
po stronie serwera tak zwany remote
forward. Dość często zdarza się sytuacja,
iż nie zdążymy wykonać jakiś czynności
w pracy na firmowym komputerze, a nie
mamy za bardzo czasu, żeby siedzieć po
godzinach. Być może znajdzie się parę
sekund wieczorem. Dobrze by było wtedy
coś dopisać – poprawić. Jednak polityka
bezpieczeństwa sieci w firmie nie pozwala
na przekierowanie portów na zewnątrz,
a firewall firmowy jest tak skonfigurowany,
że o pulpicie zdalnym możemy całkowicie
zapomnieć. I w tym miejscu z pomocą
przychodzi protokół SSH. Jedynym
minusem tego sposobu jest fakt, iż
musimy posiadać konto shellowe na
Listing 1. Przykładowa konfiguracja programu VTun po stronie serwera
options {
port 5544;
ifconfig /sbin/ifconfig;
route /sbin/route;
syslog auth;
pośredniczącym serwerze unikowym po
to, żeby zestawić połączenie tunelowe
i uzyskać połączenie pulpitu zdalnego
z komputerem będącym za NAT-em.
Na początek z komputera firmowego
należy stworzyć połączenie z serwerem
pośredniczącym. W tym celu posłużymy
się wcześniej opisywanym już programem
Putty. W zakładce Tunnels ustawiamy
Source port na 12345 natomiast
opcję Destination na 127.0.0.1:3389
i zaznaczamy opcję Remote. Opisaną
konfigurację przedstawiono na Rysunku
3. Source port jest portem, który zostanie
otwarty na serwerze pośredniczącym po
nawiązaniu połączenia przez komputer
firmowy. W tym miejscu należy podać
dowolny port większy niż 1024 (wcześniej
opisano zasadę przydzielania portów),
natomiast Destination to końcówka
naszego tunelu. Po poprawnym
nawiązaniu połączenia zostanie ustawiony
tunel pomiędzy portem 12345 interfejsu
127.0.0.1 (localhost), a usługą Windows
zdalny pulpit. Schemat połączonego
tunelu przedstawia Rysunek 4. Teraz
należy zadbać o stworzenie drugiego

wstępną konfigurację programu do

default {
ustawienia szyfrowanego tunelu. Po compress no;
nawiązaniu połączenia zostanie zestawiony speed 0;
tunel pomiędzy portem 110 maszyny }

lokalnej (Windows) a portem 110 na

home {
maszynie zdalnej (Linux). Na Rysunku 2. type tun;
przedstawiono podgląd zestawionego proto tcp;
stat yes;
tunelu pomiędzy maszyną Windows i Linux
łączącego porty 110. Bardziej estetycznie pass <jakies hasło>
będzie zadbanie o to, żeby podczas
połączenia tunel przeszedł w tło na up {
ifconfig "%% 200.123.123.32 pointtopoint 200.123.123.33";
serwerze i nie blokował konsoli. Taki wynik
program /sbin/arp "-Ds 200.123.123.33 %% pub";
można uzyskać dzięki poleceniu: program /sbin/arp/ "-Ds 200.123.123.33 eth0 pub";
route "add -net 10.10.0.0/16 gw 200.123.123.33";
# ssh –f –n nazwa_użytkownika@numer };

_ip_serwera –L
down {
34542:127.0.0.1: program /sbin/arp "-d 200.123.123.33 -i %%";
110 sleep 600 program /sbin/arp/ "-d 200.123.123.33 -i eth0";
route "del -net 10.10.0.0/16 gw 200.123.123.33";
};
Opcja –f nakazuje przejście w tło }
i tunel nie będzie zajmował zbędnego

6/2010 HAKIN9 21
OBRONA
odcinka tunelu pomiędzy serwerem
pośredniczącym, a naszym komputerem
domowym. W takim wypadku należy
zaznaczyć opcję przekazywania lokalnego
local forward pomiędzy lokalnym portem
naszego komputera domowego, a
już wcześniej wykorzystanym portem
zdalnym na serwerze pośredniczącym
12345. W programie Putty należy jako
Rysunek 5. Podgląd konfiguracji programu Putty do ustawienia szyfrowanego tunelu
z pulpitem zdalnym - II koniec tunelu (komputer domowy)
Rysunek 6. Podłaczenie pulpitu zdalnego
22 HAKIN9 6/2010
Source port ustawić port np. 33389,
natomiast w polu Destination wpisać
127.0.0.1:12345 oraz zaznaczyć opcję
Local. W tym przypadku pole Source port
oznacza lokalny port komputera, z którym
będzie podłączony tunel, natomiast
Destination jest to adres docelowy
naszego tunelu. Opisaną konfigurację w
programie Putty przedstawia Rysunek 5.
Po zestawieniu połączenia SSH
możemy połączyć się z komputerem
firmowym poprzez usługę zdalnego
pulpitu w systemie Windows (mstsc.exe),
korzystając z adresu 127.0.0.1:33389,
jak pokazano na Rysunku 6. Całość
zestawionego tunelu przedstawiono na
Rysunku 7. Dzięki prostemu rozwiązaniu
można omijać (niektóre) firewalle
firmowe i bez przeszkód logować się
do komputerowych firmowych nawet po
godzinach pracy.
Kolejnym bardzo praktycznym
przykładem wykorzystania narzędzia
SSH jest sytuacja, która zapewne
zdarzyła się niejednemu użytkownikowi.
Załóżmy, że korzystamy z Internet wpięci
w sieć osiedlową. Minusem takiego
rozwiązania jest fakt comiesięcznego
opłacania abonamentu i czasem zdarzy
się nam zapomnieć lub przekroczyć
termin zapłaty. Wtedy administrator
blokuje nam ruch zewnętrzny na
porcie 80 oraz np. 8080, dzięki czemu
nasza przeglądarka przestanie z nami
współpracować. Mając jednak dostęp
do konta shellowego na serwerze
linuksowym możemy stworzyć tunel,
który ominie blokadę nałożoną
przez administratora. Krótko mówiąc
stworzymy z serwera SSH Proxy
dla własnych potrzeb. Mogłoby się
wydawać, że jest to niemożliwe, gdyż
w poprzednich przypadkach końcami
tunelu zawsze był jeden stały ustawiony
port. Natomiast sieć WWW jest tak
ogromna, że takie rozwiązanie nie może
zostać wykorzystane. Jednak twórcy
SSH stworzyli tunele dynamiczne dzięki
czemu został rozwiązany problem i nie
musimy się martwić o zestawianie
kolejnych połączeń. Logujemy się za
pomocą protokołu SSH, tak jak to
robiliśmy w poprzednich przypadkach,
jednak dodatkowo używamy przełącznika
–D, który jest odpowiedzialny za
implementowanie tuneli dynamicznych.
# ssh nazwa_użytkownika@numer_ip_
serwera –D 8080
Jeśli chcemy dokonać takiego
połączenia tunelowego w systemie
Windows musimy użyć programu Putty,
zaznaczyć opcję Dynamic oraz podać

port 8080. Konfigurację w programie
Putty przedstawia Rysunek 8. Po
wydaniu tego polecenia na naszym
komputerze zostanie otwarty port 8080,
który musimy wykorzystać jako Proxy
protokołu SOCKS, wpisując go w naszej
przeglądarce w zakładce konfiguracji
serwera pośredniczącego. Dzięki takiemu
rozwiązaniu wszystkie dane przekazywane
portem 8080 będą w pierwszej kolejności
przesyłane tunelem do serwera SSH, a w
kolejnym kroku do serwera docelowego,
czyli tego, który zostanie podany w
adresie przeglądarki. Jak widać protokół
SSH, który na co dzień jest używany do
całkowicie innych zadań może świetnie
sprawdzić się jako budulec silnych
szyfrowanych tuneli.
Oprócz własnej implementacji
i możliwości tworzenia połączeń protokół
można wykorzystać jako dodatkowe
zabezpieczenie podczas tworzenia tuneli
za pomocą innego oprogramowania.
Takim oprogramowaniem, z którym
można połączyć SSH jest VTun.
Jest to serwer tunelu, który działa
w przestrzeni użytkownika wykorzystując
standardowy sterownik tunelowania tun.
Jest to dobre rozwiązanie, jeśli myślimy
o zabezpieczeniu się szyfrowanym
ruchem IP, przemieszczając się np.
w sieciach bezprzewodowych. Program
jest darmowy i uniwersalny, jeśli chodzi
o systemy operacyjne. Obecnie działa
pod Linuxem, BSD oraz Mac OS X. Zanim
przystąpimy do pracy należy wyposażyć
się w program VTun. Jest on obecny
w większości systemów operacyjnych
posiadających własne repozytoria oraz
upewnić się, że w jądro systemu jest
wbudowany sterownik tun. Jeśli sterownik
Rysunek 7. Zestawiony tunel (pulpit zdalny) pomiędzy komputerem firmowym, a komputerem domowym
został wkompilowany w jądro należy
wydać polecenie (warto zadbać, aby
i serwer i klient posiadali te same wersje
jąder, aby wyeliminować błędne działanie
sterownika tun):
# modprobe tun
Kolejnym krokiem jest przygotowanie
konfiguracji na serwerze VTun oraz
stacji klienckiej. Listing 1. przedstawia
przykładową konfigurację po stronie
serwera. Do najważniejszych opcji w pliku
konfiguracyjnym należy ustawienie
portu, na który ma nasłuchiwać usługa,
typ interfejsu, jaki ma być wykorzystany
podczas połączenia, oraz opcje
ustawienia sieci, które posłużą do
konfiguracji połączenia tunelowego.
Listing 2. przedstawia przykładową
konfigurację na stacji klienckiej. Plik
konfiguracyjny nie różni się bardzo od
poprzedniej konfiguracji z tą różnicą,
że opcje ustawienia sieci (ifconfig
pointo point) są ustawione odwrotnie
oraz dodano opcję route. Tak wstępnie
przygotowany program VTun jest gotowy
do pracy. Na serwerze należy wydać
polecenie:
# vtund –s
natomiast na stacji klienckiej:
# vtund –p <ip_lub_nazwa_klienta>
<ip_lub_nazwa_
serwera>
I to cała trudność. Właśnie ustawiliśmy
szyfrowany tunel pomiędzy serwerem,
a komputerem klienckim. Program
TUNELE SIECIOWE
VTun ustawił nową trasę domyślną,
prowadzącą przez drugi koniec
tunelu. Taka konfiguracja oznacza, że
wszystkie procesy działające na stacji
klienckiej dostępne będą pod adresem
ustawionym w pliku konfiguracyjnym
(200.123.123.33). Aby sprawdzić jak
prezentuje się konfiguracja na nowym
interfejsie wyfraczy wydać polecenie: #
ifconfig tun0 oraz # route
Aby zerwać połączenie i wyłączyć
ustawiony tunel wystarczy zabić proces
vtund, który działa na stacji klienckiej,
po czym wszystkie ustawienia sieciowe
wrócą do pierwotnych ustawień. Jak
wcześniej zostało wspomniane, aby
bardziej zabezpieczyć taki tunel można
wykorzystać połączenie programu VTun
z protokołem SSH. Nie trzeba za bardzo
się wysilać, gdyż VTun wykona prawie
całą robotę za nas, a za pomocą SSH
przekierujemy jedynie port 5544 klienta
do tego samego portu na serwerze. Aby
przekserować port należy po stronie
klienta wydać polecenie:
# ssh –f –N –c blowfish –C –L5544:
localhost:5544
numer_ip_serwera
oraz uruchomić program VTun
poleceniem:
# vtund –p <ip_lub_nazwa_klienta>
localhost
Używając połączenia programu VTun
oraz SSH dobrym pomysłem będzie
zablokowanie ruchu z zewnątrz na
porcie 5544 serwera dla niepowołanych
gości. Aby tego dokonać, należy
6/2010 HAKIN9 23
OBRONA
przekonfigurować zaporę filtrującą
wydając poleceniem:
# iptables –A INPUT –t filter –i eth0
–p tcp –dport
5544 –j DROP
Tak ustawiony firewall pozwala na
połączenia lokalne, więc przed
zaakceptowaniem połączenia tunelowego
za pomocą program VTun musi być
włączony tunel SSH z serwerem. Jak
widać ustawianie tuneli sieciowych
za pomocą programu VTun jest dość
prostym zadaniem, a w połączeniu
z protokołem SSH można jeszcze
bardziej wymusić bezpieczeństwo takiego
zdalnego połączenia z odległą maszyną.
Program SSH posiada także bardzo
ciekawą opcję ProxyCommand. Jest ona
stosunkowo rzadko używania, niektórzy
nawet nie wiedzą o jej istnieniu, jednak
dzięki niej możemy określić program,
przez który będą przekazywane
połączenia. Poprawne użycie tej
opcji spowoduje, że SSH stworzy
szyfrowany tunel i cały ruch będzie
Listing 2. Przykładowa konfiguracja programu VTun po stronie klienta
options {
port 5544;
ifconfig /sbin/ifconfig;
route /sbin/route;
default {
compress no;
speed 0;
} program, który potrafi przetłumaczyć
home {
type tun;
proto tcp;
keepalive yes;
kierowany na standardowe wejście
i wyjście programu. Idąc tym tropem
dalej, możemy wykorzystać protokół
SSH, program, który potrafi łączyć
się z dowolnego rodzaju serwerem
Proxy oraz sieć TOR-a do stworzenia
całkiem interesującego tunelu. Wynikiem
takiego połączenia będzie szyfrowane
połączenie zapewniające całkowitą
anonimowość osobie, która połączy
się z jakimkolwiek zdalnym serwerem.
Aby użyć ogromnej sieci serwerów
wchodzących w skład sieci TOR-a,
należy w systemie linuksowym wydać
polecenie (Debian):
# apt-get install tor
Programem, który potrafi łączyć się
z serwerem proxy jest np. connect.c
dostępne pod adresem https:
//savannah.gnu.org/maintenance/
connect.c. Po pobraniu programu ze
strony w pierwszym kroku należy go
skompilować poleceniem:
# gcc –o connect connect.c
Mając skompilowany program connect
oraz zainstalowany program TOR,
możemy przystąpić do uruchomienia
szyfrowanego, anonimowego tunelu
sieciowego. Aby uruchomić tunel należy
wydać polecenie:
# ssh –o ProxyCommand=”/home/user/
connect –S
localhost:9050 %h
%p” <ip_serwera>
Oczywiście należy zwrócić uwagę, aby
w miejsce localhost wpisać adres lub
nazwę hosta, na którym pracuje TOR, jeśli
nie jest on uruchomiony na komputerze
lokalnym. Opcje %h oraz %p określają
nazwę użytkownika oraz port, a program
SSH zmieni je odpowiednio na takie jakie
są aktualnie używane na komputerze
lokalnym. Dzięki takiemu rozwiązaniu
sposób przekazywania połączeń jest
bardzo elastyczny. Najważniejszym
krokiem jest fakt, że w poleceniu na
końcu zawsze musi znaleźć się numer IP
serwera, z którym ma zostać nawiązane
połączenie. Dzięki takiemu rozwiązaniu ssh
nie będzie musiało translatować nazwy
serwera na adres IP przed przesłaniem tej
informacji do programu connect. Gdyby do
tego doszło całe połączenie nie miałoby
sensu, ponieważ TOR nie chroni transmisji
tłumaczenia nazw i przez to zdradzilibyśmy
naszą lokalizację. Jednak ten słaby punkt
sieci TOR jest nadrabiany pewną sztuczką.
W pakiecie TOR-a znajduje się pewien
nazwę serwera na numer IP, przesyłając
odpowiednie zapytanie DNS właśnie
przez swoją sieć. Używanie programu

pass <jakies hasło> Listing 3. Przykładowa konfiguracja

programu STunnel po stronie serwera
up {
ifconfig "%% 200.123.123.33 pointtopoint 200.123.123.32 arp"; chroot = /var/run/stunnel
route "add <IP_serwera_zewnętrzne> gw <IP_bramy_wenętrzne>"; pid = /stunnel.pid
route "del default"; setuid = stunnel
route "add default gw 200.123.123.32"; setgid = stunnel
}; debug = 3
output = /var/log/stunnel.log
down {
route "del default"; [sql]
route "del <IP_serwera_zewnętrzne> gw <IP_bramy_wenętrzne>"; accept = 12345
route "add default gw <IP_bramy_wenętrzne>"; connect = 192.168.1.25: 3050
}; cert = /etc/stunnel/server.pem
} CAfile = /etc/stunnel/cacert.pem
verify = 2

24 HAKIN9 6/2010

jest bajecznie proste wystarczy podać
jako parametr nazwę serwera z którym
chcemy nawiązać połączenie oraz adres
i port, na którym nasłuchuje nasz TOR:
# tor-resolve www.serwer.pl
localhost:9050
Dzięki temu poleceniu ujrzymy numer IP,
który w dalszej kolejności możemy użyć
do skonstruowania anonimowego tunelu.
Opuszczając krainę możliwości
bardzo popularnego programu SSH (który
dla niektórych od dziś będzie posiadał
Rysunek 8. Podgląd konfiguracji programu Putty do ustawienia dynamicznego
szyfrowanego tunelu
Rysunek 9. Zestawiony tunel z dostępem do programu bazodanowego
znacznie większe możliwości) zajmiemy
się tworzeniem tuneli za pomocą innych
narzędzi stworzonych specjalnie na takie
potrzeby. Bez wątpienia takim programem
jest Stunnel. Jest on dostępny na licencji
GNU i służy do tworzenia połączeń
TCP z uwierzytelnianiem certyfikatów
SSL X.509. Tak więc w tym przypadku
przydadzą się nam klucze, które
wygenerowaliśmy na samym początku.
Program Stunnel wykorzystamy do
stworzenia tunelu TCP, który umożliwi
nam szyfrowany dostęp do aplikacji
bazodanowej mieszczącej się w sieci
TUNELE SIECIOWE
wewnątrz organizacji. Instalacja programu
jest dość prosta, gdyż znajduje się on
w większości popularnych systemu Linux.
Aby zainstalować Stunnel w systemie
Linux Debian należy wydać polecenie:
# apt-get install stunnel
Jest jednak mała różnica, gdyż program
Stunnel do poprawnego działania
potrzebuje klucza prywatnego oraz
certyfikatu w jednym pliku. Aby scalić dwa
wcześniej przygotowane pliki w jeden,
należy przejść do katalogu, który zawiera
pliki i wydać polecenie:
# cat private/serverkey.pem_bezhasla
> private/
server.pem
# echo “ “ >>private/server.pem
# cat servercert.pem >> private/
server.pem
Pliki przygotowane w ten sposób można
przegrać na komputer, który będzie
pełnił rolę serwera do łączenia się
w tunel z innymi jednostkami. W tym
momencie istnieją dwa sposoby na
dalszą konfigurację programu, gdyż
należy sobie zadać pytanie czy będziemy
potrzebowali certyfikatów i klucze
dla klientów łączących się z usługa
programu Stunnel? Odpowiedź na to
pytanie jest proste. Wszystko zależy od
konkretnego przypadku, w jakim chcemy
użyć naszego szyfrowanego tunelu.
Jeśli byłaby to usługa pozwalająca się
łączyć z serwerem POP3, tak jak to było
w przypadku z szyfrowanym tunelem
SSH opisanym wyżej, to zapewne takie
certyfikaty nie są nam potrzebne, nawet
nie mają większego sensu. W naszym
6/2010 HAKIN9 25
OBRONA
przypadku jednak wystawienie na
widok publiczny aplikacji bazodanowej,
której dostęp powinien być jak najlepiej
zabezpieczony i ograniczony dla osób
niepowołanych, takie certyfikaty powinny
się znaleźć. Choćby z prostej przyczyny
należy wziąć pod uwagę, że takie
aplikacje mogą paść celem różnorodnych
ataków typu np. SQL Injection. W naszym
przykładzie połączymy się z sieci
Rysunek 10. Główne okno programu
Hamachi
Rysunek 11. Profram Hamachi
podłaczony do sieci
26 HAKIN9 6/2010
hotelowej z siecią firmową, w której
wewnątrz pracuje aplikacja bazodanowa.
Serwer, na którym nasłuchuje program
Stunnel podłączony jest w jednej sieci
wraz z serwerem bazodanowym.
Posiadając już potrzebne klucze
i certyfikaty oraz zainstalowany program
Stunnel należy przejść do następnego
kroku, czyli przygotowania konfiguracji
serwera. Przykładową konfigurację po
stronie serwera przedstawia Listing 3.
Do najważniejszych opcji użytych w pliku
konfiguracyjnym należą min. chroot – jest
to opcja, określająca katalog, w którym
uwięziony zostanie proces programu po
inicjalizacji. Jest to doskonała metoda
na uwięzienie użytkownika w określonym
katalogu nawet w przypadku, gdy znajdzie
on krytyczną lukę i wykorzysta ją, aby
zaatakować serwer. Taki użytkownik nie
będzie posiadał prawa wyjścia poza
katalog, w którym został uwięziony.
Kolejna ciekawą opcją jest opcja debug,
która określa poziom szczegółowości
logowania. Opcja output to nic innego
jak określenie pliku, do którego mają
odkładać się logi. Jeśli chodzi o drugą
część pliku konfiguracyjnego to opcjami,
które należałoby opisać jest na pewno
opcja akcept , która jest odpowiedzialna
za wskazanie portu, na którym będzie
nasłuchiwał serwer Stunnel. Opcja
connect określa adres IP oraz port
Rysunek 12. Droga wędrującego pakietu pomiędzy interfejsem wirtualnym,a fizycznym
przekazany po poprawnym połączeniu
z serwerem Stunnel. Ostatnią ważną
opcją jest verify, która odpowiada za
weryfikacje certyfikatów (1 – weryfikuj,
jeżeli został przedstawiony, 2 – weryfikuj
certyfikat przez lokalne CA, 3 – weryfikuj
z lokalnie zainstalowanym certyfikatem
drugiej strony). Należy również pamiętać,
aby umożliwić zaporze sieciowej
przepuszczanie ruchu na określonym
porcie. Jeżeli używany do ochrony iptables
należy wydać polecenie:
# iptables –I INPUT –i eth0 –p tcp
–d <IP_ROUTERA>
--dport 12345 –j
ACCEPT
Ostatnim krokiem jakim należy wykonać
jest instalacja programu Stunnel na
stacji klienckiej oraz przygotowanie
pliku konfiguracyjnego. Przykładowy
plik konfiguracyjny przedstawiono na
Listingu 4. Po podłączeniu tunelu musimy
pamiętać, aby zmienić adres IP serwera,
na którym pracuje program bazodanowy.
Należy zastąpić adres IP adresem
127.0.0.1. Dzięki prostemu programikowi
Stunnel możemy uzyskać dostęp do
dużych aplikacji ERP, CRM, a nawet
wewnętrznych platform e-learningowych,
które z zasady są stworzone, aby
korzystać z nich wewnątrz organizacji.

Taki tunel w bezpieczny i szyfrowany
sposób pozwoli nam na dostęp do
danych z każdego miejsca na świecie.
Stworzony tunel obrazuje Rysunek 9.
Aby nie przechylać wartości
artykułu wyłącznie na stronę systemów
UNIX, jako kolejny program, który
doskonale sprawdza się w połączeniach
szyfrowanych tuneli jest Hamachi.
Hamachi umożliwia stworzenie sieci
wymiany plików pomiędzy komputerami
bez względu czy znajdują się za NAT-em.
Dzięki specjalnej technologii możliwe jest
nawiązanie połączenia z komputerami
z wewnętrznym adresem IP lub tymi, które
mają zainstalowany firewall. Program
poprzez ustawienie haseł strzeże
dostępu do stworzonej sieci dzięki czemu
wymiana plików jest dość bezpieczna.
Obsługa programu jest bajecznie prosta,
a dodatkowo pracę ułatwia kurs obsługi
który wyświetla się wraz z pierwszym
uruchomieniem. Użytkownik uzyska
z niego wszystkie niezbędne informacje.
Każdy komputer podłączony do sieci
ma swój unikalny adres hamachi,
nick oraz klucz dostępu. Dodatkowo
należy zwrócić uwagę na szybkość
działania aplikacji. Po zainstalowaniu
aplikacji pojawi się nam okno programu
przygotowane do włączenia za pomocą
przycisku w górnej części. Główne okno
Rysunek 13. Schemat łączenia klienta z odziałem firmy za pomocą tunelu VPN
programu przedstawia Rysunek 10. Po
załączeniu programu uzyskamy nasz
unikatowy numer IP oraz będziemy mogli
stworzyć nową sieć lub podłączyć się
już do istniejącej. Aby podłączyć się do
istniejącej sieci musimy znać jej nazwę
oraz hasło broniące dostępu do niej.
Po podłączeniu się do sieci zobaczymy
jej nazwę oraz wszystkich innych
użytkowników do niej podłączonych.
Rysunek 11. przedstawia okno programu
Hamachi podłączone do sieci. Teraz
komputery odległe od siebie o tysiące
kilometrów mogą wymieniać się między
sobą plikami tak, jakby były w jednej
sieci lokalnej. Program Hamachi jest
wykorzystywany obecnie na setki
równych sposobów. Używają go gracze,
którzy łączą się w wielkie sieci i trenują
swoje zmagania w grach sieciowych,
używają go administratorzy, którzy
dzięki tak prostej konstrukcji są w stanie
zarządzać swoimi serwerami poprzez np.
protokół RDP (pulpit zdalny), jak również
wykorzystywany jest przez zwykłych
użytkowników to prostej wymiany zdjęć
czy plików tekstowych.
Jeśli chodzi o małe aplikacje do
tworzenia tuneli z szyfrowaną transmisją
to mamy ogromne pole do popisu.
W artykule znalazły się jedynie wybrane
sposoby oraz programy, gdyż miejsce
TUNELE SIECIOWE
na tekst jest ograniczone. Ale szyfrowane
tunele to nie tylko małe programiki. Dzięki
zaawansowanym oprogramowaniom
można tworzyć duże sieci firmowe łączące
swoich pracowników, a nawet filie czy
inne ogromne korporacje w jedną całość
oczywiście zważając w dalszym ciągu
na bezpieczeństwo transmisji danych
wewnątrz tego wirtualnego świata.
Coś większego
Do budowy dużych sieci z szyfrowaną
transmisją danych można wykorzystać
darmowy projekt o nazwie OpenVPN.
OpenVPN działa w parciu o protokół
SSL, czyli będą nam potrzebne klucze,
które zostały stworzone na początku
artykułu. Został on stworzony przez
Jamesa Yonana i obecnie jest silnie
rozwijany przez gronu ludzi z całego
świata. Posiada ogromną zaletę
dzięki, której jest szanowany i chętnie
wybierany przez użytkowników – jest
dostępny i konfigurowalny na wszystkich
platformach takich jak Linux, Windows
200/XP, OpenBSD, FreeBSD NetBSD,
Mac OS oraz Solaris. OpenVPN realizuje
tunelowanie za pomocą działającego
w systemie operacyjnym wirtualnego
urządzenia TUN/TAP. Dzięki temu
możliwe jest stworzenie w systemie
wirtualnego interfejsu sieciowego, który
6/2010 HAKIN9 27
OBRONA
jest wykorzystywany przez OpenVPN do
utworzenia połączenia między klientem
a serwerem. Cały ruch sieciowy nie
jest wysyłany i odbierany przez interfejs
wirtualny, tylko przez program, który
działa w przestrzeni użytkownika. Gdy
dane trafiają do interfejsu wirtualnego
przekazywane są do procesu openvpn,
który w pierwszej kolejności je szyfruje,
a następnie wysyła do procesu
openvpn, działającego na drugim końcu
szyfrowanego tunelu. Gdy informacja
trafi już na drugi koniec tunelu do
procesu openvpn lokalnej maszyny
zostają odszyfrowane i przekazane na
interfejs wirtualny, gdzie są traktowane
jak każda inna informacja, która trafia
na interfejs fizyczny. Sposób i droga
pakietu wędrującego między wirtualnym
interfejsem, a fizycznym przedstawia
Rysunek 12. OpenVPN oferuje bardzo
wydajny i skalowalny tryb pracy serwera
zarówno z jednym, jak i wieloma klientami,
wykorzystując tutaj zasadę serwera
DHCP, przypisując i pilnując adresacje
swoich klientów.
Konfiguracja programu OpenVPN
nie jest stosunkowo trudnym zadaniem.
Większość systemów z rodziny *UNIX
posiada źródła tego oprogramowania
w swoich repozytoriach, natomiast
dla systemów z rodziny Windows
istnieją darmowe odpowiedniki
w postaci instalacyjnych pików exe. Do
przedstawienia zasady działania oraz
konfiguracji połączeń VPN zbudujemy
sieć firmową, wewnątrz której pracują
OS X będą chcieli podłączyć się do
sieci wewnątrz firmy, aby funkcjonować
tak jakby byli obecni na swoich
stanowiskach. Przykładowy schemat
łączenia się klienta z odziałem firmy
za pomocą tunelu VPN przedstawiono
na Rysunku 13. Budowę naszych tuneli
rozpoczniemy od instalacji i konfiguracji
serwera VPN. Aby zainstalować program
OpenVPN na serwerze Linux Debian,
należy wydać polecenie apt-get install
openvpn. System automatycznie dowiąże
potrzebne oprogramowanie do stabilnej
pracy. Przed rozpoczęciem konfiguracji
programu należy przegrać do katalogu
z konfiguracją programu OpenVPN
uprzednio przygotowane pliki (certyfikat
i klucz prywatny serwera, certyfikat
wystawcy CA, plik dh1024.pem). Mając
przygotowane klucze i certyfikaty dla
serwerów i użytkowników (zrobiliśmy to
na początku artykułu) można przejść do
konfiguracji samego oprogramowania
OpenVPN. Następnie należy przygotować
plik konfiguracyjny serwera VPN.
Przykładowy plik konfiguracji programu
Listing 5. Przykładowa konfiguracja programu OpenVPN po stronie serwera
dev tun
local <ip_zew_serwera>
proto udp
port 1190
user nobody
group nobody
ca /etc/openvpn/certs/cacert.pem
cert /etc/openvpn/certs/vpncert.pem
key /etc/openvpn/certs/private/vpnkey.pem
dh /etc/openvpn/certs/dh1024.pem
OpenVPN po stronie serwera został
przedstawiony na Listingu 5. Tak
przygotowany plik jest wystarczający do
prawidłowej pracy serwera VPN. Ważne,
aby nie zapomnieć o prawidłowym
skonfigurowaniu zapory sieciowej, która
powinna przepuszczać transmisje na
porcie, który został wskazany w pliku
konfiguracyjnym. Na uwadze należy
mieć także fakt, iż klasa adresowa,
z której będą przydzielane adresy IP
użytkownikom łączącym się tunelami
VPN, musi być inna niż adresacja
używana wewnątrz sieci firmowej. Wynika
to z działania protokołu IP, gdyż router
VPN nie może mieć takich samych
klas IP na dwóch różnych interfejsach
(fizycznej karcie eth0 oraz wirtualnej tun0).
Routing między sieciami będzie możliwy
dzięki opcji push "route 192.168.0.0
255.255.255.0". Plik konfiguracyjny
należy umieścić w głównym katalogu
program OpenVPN, a usługę uruchomić
poleceniem openvpn –config /etc/
openvpn/plik_konfiguracyjny.conf.
Następnie zajmiemy się instalacją

komputery z różnymi systemami

server 192.168.100.0 255.255.255.0
operacyjnymi. Wewnątrz sieci pracuje
serwer VPN oparty o system Linux ifconfig-pool-persist /etc/openvpn/ipp.txt
Debian. Z zewnątrz czterech handlowców client-config-dir ccd
keepalive 10 120
(klientów VPN) z systemem Windows
comp-lzo
XP, Linux Fedora, FreeBSD oraz Mac

Listing 4. Przykładowa konfiguracja Listing 6. Przykładowa konfiguracja programu OpenVPN po stronie klienta
programu STunnel po stronie klienta
dev tun
debug = 3 client
output = /var/log/stunnel.txt remote <IP_ZEW_SERWERA>
proto udp
[sql] port 1190
accept = 127.0.0.1: 3050 nobind
connect = 83.13.67.765: 12345 ca /etc/openvpn/certs/cacert.pem
client = yes cert /etc/openvpn/certs/usercert.pem
cert = /etc/stunnel/client.pem key /etc/openvpn/certs/private/userkey.pem
CAfile = /etc/stunnel/cacert.pem comp-lzo
verify = 2 verb 3

28 HAKIN9 6/2010

i konfiguracją oprogramowania OpenVPN
po stronie klienta. Zasada działania
programu jest na każdym systemie
operacyjnym taka sama, jedyna różnica
polega na etapie samej instalacji. Aby
zainstalować OpenVPN należy wydać
polecenie:
# yum install openvpn
Wszystkie ważne biblioteki zostaną
dowiązane automatycznie. Aby
zainstalować program w systemie
FreeBSD, mamy dwie możliwości.
Można pobrać port lub zainstalować
sam pakiet. Dla przykładu zainstalujemy
program używając opcji port:
# cd /usr/ports/security/openvpn
# configure
# make
# make install
# make clean
Instalacja w systemie Windows
jest bajecznie prosta. Program
instalacyjny stworzy i skonfiguruje
wszystko co potrzebne do prawidłowej
i bezkonfliktowej pracy. System zostanie
wyposażony w biblioteki OpenSSL,
biblioteki LZO, sterownik TUN/TAP oraz
oczywiście w sam program OpenVPN.
Instalacja w systemie Mac OS X dzięki
Tunnelblick jest tak samo prosta jak
w systemie z rodziny Windows. Wystarczy
Rysunek 14. Okno dialogowe programu
OpenVPN w Windows
W Sieci
• http://openvpn.net – strona główna programu OpenVPN,
• http://www.macupdate.com/info.php/id/16969 – projekt Tunnelblick,
• http://www.openssl.org – strona główna projektu OpenSSL,
• https://savannah.gnu.org/maintenance/connect.c – program connect,
• http://www.procertiv.pl – Laboratorium Kryminalistyki Informatycznej.
pobrać plik z witryny Tunnelblick.
Po otwarciu obrazu należy kliknąć
dwukrotnie na plik z rozszerzeniem
.mpkg.
Teraz należy stworzyć plik
konfiguracyjny po stronie użytkownika,
który będzie klientem VPN. Każdy
plik po stronie klienta bez względu
na system operacyjny będzie
wyglądał identycznie. Przykładowy plik
konfiguracyjny programu OpenVPN
po stronie klienta przedstawiono na
Listingu 6. Do katalogu, w którym
zainstalowano program OpenVPN
należy przegrać certyfikat oraz klucz
prywatny użytkownika, jak również plik
konfiguracyjny klienta i certyfikat urzędu
CA. W systemie Mac OS X należy
jeszcze dokończyć nasze wcześniejsze
operacje. Po zakończeniu instalacji
(kliknięcie w plik z rozszerzeniem .mpkg),
należy przejść do folderu Applications
i odnaleźć plik o nazwie Tunnelblick,
po czym go uruchomić. Program
Tunnelblick poprosi nas o utworzenie
pliku konfiguracyjnego i otworzy okno,
do którego będziemy mogli skopiować
nasze ustawienia. Plik zostanie zapisany
w katalogu ~/Library/openvpn. Tutaj
także skopiujmy przygotowane pliki
kluczy i certyfikatów. Ostatnim krokiem
jest odnalezienie w menu ikonki
przedstawiającej tunel i kliknąć Connect.
Jeśli wszystko zrobiliśmy dobrze
program powinno działać prawidłowo,
łącząc się automatycznie z naszym
serwerem. Aby nawiązać połączenie
w systemie Windows, należy kliknąć
w ikonę programu w pasku zadań
prawym przyciskiem myszy i wybrać
opcje Connect . Na ekranie pojawi
się okno dialogowe nawiązywania
połączenia szyfrowanego
z serwerem VPN. Przykładowe okno
dialogowe zostało przedstawione
na Rysunku 14. Jeśli połączenie
zostało poprawnie nawiązane
TUNELE SIECIOWE
powinien pojawić się wirtualny
interfejs oraz możliwość pingowania
adresu, który został wpisany w pliku
konfiguracyjnym serwera. Wszystko
można zaobserwować wpisując w oknie
cmd komendę ipconfig / all. Aby
wywołać program OpenVPN w systemie
Linux, przechodzimy do katalogu,
w którym zapisaliśmy plik konfiguracyjny
i wydajemy polecenie:
# openvpn plik_konfiguracyjny.ovpn
Jeśli program ma problemy w połączeniu
lub w prawidłowej pracy, należy sprawdzić
ustawienia ip_forward. Opcja musi być
ustawiona na 1. Aby to uczynić musimy
wydać polecenie:
# echo 1 > /proc/sys/net/ipv4/ip_
forward
Na koniec, aby wywołać połączenie z
klienta system FreeBSD należy wydać
polecenie:
# kldload bridge
# kldload if_tap
# openvpn –config plik_
konfiguracyjny.ovpn
Podsumowanie
Dzięki prostemu rozwiązaniu stosowania
szyfrowanych tuneli transmisji, ruch
sieciowy jest całkowicie niewidoczny dla
potencjalnych intruzów podsłuchujących
lokalną sieć współczesnej organizacji,
co odwzorowuję się znacznie
bezpieczniejszą wymianą danych
między mobilnymi pracownikami,
a odziałem firmy. Zadaniem artykułu
było przedstawienie kilku z kilkuset
różnych metod jak za pomocą
prostych rozwiązań można zwiększyć
bezpieczeństwo firmy i zminimalizować
utratę poufnych, często strategicznych
informacji współczesnego
przedsiębiorstwa.
Daniel Suchocki
Ekspert kryminalistyki informatycznej, jest dyrektorem
laboratorium kryminalistyki informatycznej
w firmie ProCertiv, uczestnik wielu konferencji na
temat bezpieczeństwa, wykładowca tematyki
cyberprzestępczości, interesuje się ściśle pojętym
bezpieczeństwem systemów głównie z rodziny Linux.
Kontakt z autorem: d.suchocki@procertiv.pl
6/2010 HAKIN9 29
 OBRONA
PRZEMYSŁAW
ŻARNECKI
Stopień trudności
Z ARTYKUŁU
DOWIESZ SIĘ
jakie zagrozenia czyhają na
nas w sieciach VOIP
jakie są podstawowe
zabezpieczenia sieci
telekomunikacyjnych
jak sprawdzić, czy nasza sieć
jest bezpieczna
jak zwiększyć stopień
bezpieczeństwa sieci
w jaki sposób intruzi mogą
wykorzystać nasze konto VOIP
CO POWINIENEŚ
WIEDZIEĆ
telefonia internetowa jest
w Polsce bardzo popularna
rozwój infrastruktury nie nadąża
za popularnością sieci
nie wszyscy dostawcy VOIP
dbają o bezpieczeństwo
swoich klientów – łatwo to
zweryfikować
brak zabezpieczeń sieci może
narazić nas/firmę na poważne
straty finansowe
w przypadku VOIP lepiej
nie korzystać bezpośrednio
z komputera. Najlepszym
rozwiązaniem jest używanie
bramek/telefonów VOIP,
które działają niezależnie od
komputera i są jak na razie
odporne na wirusy i inne
zagrożenia
30 HAKIN9 6/2010
Bezpieczeństwo
komunikacji
VoIP
W świetle coraz to bardziej rosnącej popularności telefonii
VoIP, warto przyjrzeć się czy jest to technologia całkowicie
bezpieczna. W końcu bazuje całkowicie na rozwiązaniach
internetowych, które z definicji niosą za sobą pewne
zagrożenia.
V
oice over Internet Protocol – jak
sama nazwa mówi to telefon przez
Internet. W praktyce to po prostu
przesyłanie dźwięku przez Internet. Istnieje
przynajmniej kilka standardów przesyłania
danych dźwiękowych przez Sieć. Do
najpopularniejszych należą m.in. SIP, H.323
oraz IAX. Znaczna część statystyk pokazuje,
że zwłaszcza ten pierwszy cieszy się
dużą popularnością. Wzrost popularności
telefonii internetowej, przynajmniej w Polsce,
notuje się przez ostatnie lata. Wydaje się,
że do popularyzacji technologii przyczynił
się w dużej mierze sukces komunikatora
Skype, który korzysta z całkowicie osobnego
i zastrzeżonego protokołu. Niemniej jednak jego
podstawowy sens, czyli rozmowa poprzez Sieć
jest w zasadzie taki sam.
Zarówno technologia, jak również łącza
internetowe są w zasadzie do tego stopnia
rozwinięte, że VoIP umożliwia komfortową
rozmowę telefoniczną za kwotę często o wiele
mniejszą niż w przypadku klasycznej telefonii
stacjonarnej. Konkurencja jest na tyle duża,
że nawet duże firmy telekomunikacyjne
wprowadzają do swojej oferty usługi VoIP.
Oczywiście zdarzają się sytuacje, kiedy jakość
połączenia jest daleka od ideału. Pomimo
swojego zaawansowania technologicznego,
VoIP nie posiada jeszcze rozwiązania, które
umożliwiałoby utrzymanie stałego, minimalnego
przesyłu danych. Zdarza się czasem, że
jak spada jakość/szybkość połączenia
internetowego, to pojawiają się różnego rodzaju
zakłócenia. Na szczęście coraz rzadziej, bo
i jakość naszych łączy internetowych się
poprawia. Mimo wszystko QoS, czyli minimalny
stały przesył danych to technologia jeszcze
dla wielu niedostępna, głównie ze względu na
swoją cenę.
Jeżeli chodzi o przyłączenie, to koszty nie
są wielkie. Telefon internetowy, który podłączymy
do komputera to niewielki wydatek. Trochę
więcej musimy zapłacić za fakt, żeby telefon
działał niezależnie od komputera. Musimy kupić
bramkę VoIP, do której podłączamy nawet
najtańszy i najstarszy z naszych telefonów
stacjonarnych. Poprawnie skonfigurowana
bramka przetwarza sygnał internetowy na
klasyczny telefoniczny. W międzyczasie
wybieramy dostawcę usług. I już za chwilę
możemy korzystać. Krytycy VoIP zwracają
uwagę na fakt, że nie można przez taki telefon
skorzystać z telefonu alarmowego. To prawda.
Wynika to z tego, że wybrać możemy przecież
dowolny numer telefonu, kompletnie niezależny
od naszego miejsca pobytu. Idea centrów
alarmowych polega z kolei na tym, aby
automatycznie przekierować dzwoniącą osobę
do najbliższej jednostki alarmowej. Czy to jakiś
większy problem? Niekoniecznie. Po pierwsze
możemy wbić sobie do telefonu miejscowe
numery alarmowe. Po drugie większość z nas
dysponuje komórkami.

Przejdźmy jednak do zasadniczej
części artykułu, czyli bezpieczeństwa.
Korzystając z VoIP korzystamy de
facto z Internetu, a więc jesteśmy
narażeni na dokładnie takie same
zagrożenia, jak chociażby przeglądając
strony internetowe. Niestety wiele firm
świadczących usługi VoIP zupełnie
pomija ten aspekt, zarówno w sferze
medialnej, jak również konkretnych
działań. W wielu przypadkach zdarza się
bowiem, że niska cena usługi wynika np.
właśnie zaniedbań ze
strony operatora sieci. Jakie
podstawowe rodzaje ryzyka niesie za
sobą VoIP?
Rysunek 1. Może i najprostsze
rozwiązanie, ale co nam po nim...
Rysunek 2. Przykład rozbudowanej sieci VoIP, do której zostały włączone nawet telefony komórkowe!
BEZPIECZEŃSTWO KOMUNIKACJI VOIP
Zagrożenia dla sieci VoIP
Pierwszym i bodajże najważniejszym
elementem, który może stać się obiektem
ataku jest serwer VoIP. Zacznijmy od tego,
że przechowywane są na nim wszystkie
dane klientów i nie tylko. Ktoś, kto włamie
się na serwer VoIP, poza zwykłą kradzieżą
naszych danych, może zrobić o wiele
więcej.
W myśl m.in. Dyrektywy 2006/24/WE
oraz pomysłów Unii Europejskiej z kwietnia
2009 r. dostawcy Internetu, ale również
świadczący usługi łączności elektronicznej,
mają obowiązek rejestrować kontakty
swoich klientów w Sieci. Co to dla nas
oznacza? Na serwerze na pewno znajdą
się dane o wszystkich wykonanych przez
nas połączeniach, Ponadto na serwerze
prawie na pewno będę znajdować się
zapisane dane głosowe, chociażby
z poczty głosowej. Ale również z wielu
naszych rozmów.
Najważniejszy jest jednak dostęp do
naszej usługi. Co to da napastnikowi? Po
pierwsze może skorzystać z niej zamiast
nas. Mając dostęp do serwera intruz
może dowolnie wykonywać połączenia
na koszt klientów firmy. Zanim ktokolwiek
się zorientuje może wykonać dużą ilość
połączeń. Nawet jak się firma zorientuje,
to co potem? Namierzanie, policja itp.
Przy dużym rachunku to całkiem możliwe.
Jednak zawsze pozostanie kwestia
oddzielenia telefonów wykonanych przez
intruza od tych rzeczywiście przez klienta.
Da się to zrobić i może nie jest to nie
wiadomo jak trudne, niemniej jednak na
pewno czasochłonne.
Skoro intruz dostał się na serwer
może zrobić jeszcze jedną, potencjalnie
niebezpieczną dla nas rzecz. Mianowicie
podsłuchać nasze rozmowy!
Poniżej omówię najważniejsze
zagrożenia, jak również metody ochrony
przed nimi. Zagrożenia te tyczą się
zarówno naszych kont i danych
dostępowych, ale również funkcjonowania
całego serwera VoIP.
Vishing
Skoro VoIP opiera się bezpośrednio na
technologii internetowej, to i ataki są
w zasadzie takie same jak tradycyjne
sieciowe. Weźmy pierwszy, czyli vishing.
Pełna nazwa – VoIP Phishing. Jest to
klasyczny rodzaj ataku o charakterze tak
naprawdę socjotechnicznym. Atak ten
polega na wyłudzeniu poufnych informacji,
6/2010 HAKIN9 31
OBRONA
w tym przypadku danych dostępowych
do serwera (od administratorów), od nas
zaś danych do naszego konta. Nie ma on
nic wspólnego z jakimiś wyrafinowanymi
technologiami internetowymi. Wykorzystuje
on po prostu naszą słabość, bazuje na
określonym zaufaniu itd. W zasadzie, aby
się przed nim obronić trzeba po prostu
wiedzieć, że jest on w ogóle możliwy i pod
żadnym pozorem nie podawać nikomu
w żadnej sytuacji danych dostępowych.
Na pewno żaden administrator nigdy
nie poprosi nas o żadne hasło. W końcu
jako administrator ma wgląd do systemu.
Odrobina zdrowego rozsądku nigdy
jeszcze nikomu nie zaszkodziła. Musimy
uważać, bowiem na co dzień zalewa nas
cała fala spamu. Co rusz kontaktują się
z nami przedstawiciele banków, różnych
firm itp. Na pewno nie można nikomu nic
podawać. A na pewno nie wierzmy linkom
przesyłanym przez nieznane nam osoby.
Adres do panelu naszej usługi jest zawsze
Rysunek 3. Przykładowy komunikat z ataku DOS
Rysunek 4. Przykład schematu sieci VoIP w domu lub firmie
32 HAKIN9 6/2010
na głównej stronie operatora. Uważajmy,
bo dość powszechne jest wysyłanie
maili podszywających się np. pod strony
banków. Nic nie stoi na przeszkodzie, aby
spreparować takiego maila ze stroną
operatora telefonii VoIP.
W przypadku tego typu ataków
na światło dzienne wychodzi jedna
z najstarszych zasad związanych
z bezpieczeństwem. Mówi ona, że
najsłabszym ogniwem byli, są i będę
ludzie. Niezależnie od technicznego
zaawansowania systemów
bezpieczeństwa, wszystko (mówiąc
obrazowo) szlag trafia, jeżeli zawodzą
ludzie. Tyczy się to w zasadzie całokształtu
naszej obecności w Sieci. Dane np. z USA,
mówią o tym, że zdecydowana większość
włamań do kont bankowych, systemów
pocztowych, czy wreszcie opisywanej
technologii VoIP, wynika z niefrasobliwości
użytkowników. Przejawia się ona
w podawaniu naszych danych obcym
osobom. Osobiście nie wyobrażam sobie
podania numeru karty debetowej, czy
PINu do konta VoIP komuś przez telefon.
Nie ma takiego tygodnia, żebym nie
dostał przynajmniej kilku maili z prośbą
o aktualizację danych mojego konta
bankowego z ładnym linkiem do strony
banku (aczkolwiek nigdy nie zdarzyło się,
żeby był to któryś z moich banków. Jeden
jedyny raz dostałem maila od banku
polskiego z prośbą o aktualizację danych).
Problem nie jest więc jakiś marginalny.
Biorąc pod uwagę fakt, że Polska należy
do ścisłej czołówki krajów, jeżeli chodzi
o popularność VoIP (na skalę światową),
trzeba się spodziewać coraz to większego
poziomu zagrożenia. Zwłaszcza dla
sektora małych i średnich przedsiębiorstw,
ale i nie tylko.
Jeżeli będziemy o tym pamiętać,
to z całą pewnością poziom naszego
bezpieczeństwa wzrośnie o te
kilkadziesiąt parę procent.
Phreaking/Phising/Vishing
Przez wielu bywa nazywany kradzieżą
osobowości – usługi. W ogólnym
zarysie, atak ten polega na złamaniu
zabezpieczeń sieci, w celu skorzystania
z darmowej usługi, ewentualnie w skrajnej
formie ma to na celu przerzuceniu na
kogoś kosztów np. rozmowy. W zasadzie
klasyczny phreaking związany jest
Rysunek 5. Jedno z najczęściej
wykorzystywanych w Polsce urządzeń,
zwłaszcza w warunkach małej firmy lub
domowych
 BEZPIECZEŃSTWO KOMUNIKACJI VOIP

z wykonywaniem darmowego połączenia W praktyce po prostu podsłuchuje. sprawdzać, czy to nam umożliwia.
z budek telefonicznych. Popularne to było Samo podsłuchiwanie to po prostu Czasem warto dać 1 czy 2 grosze
zwłaszcza w Stanach Zjednoczonych, klasyczny snooping. Skoro rozmowa więcej za minutę. Bezpieczeństwo ma
jednakże nawet i w Polsce (np. w czasach to nic innego jak transmisja danych, to swoją cenę. Wreszcie jak mamy taką
starych automatów na żetony, bądź za pomocą (chociażby wspomnianych możliwość powinniśmy obowiązkowo
monety) wiele osób potrafiło dzwonić wyżej) oprogramowania można je po z niej skorzystać.
za darmo z publicznego automatu. prostu skopiować, a więc najzwyczajniej Zaleca się, aby w miarę możliwości
W odniesieniu do VoIP idea wprawdzie w świecie nagrać – podsłuchać. korzystać przynajmniej z protokołu
jest podobna, niemniej oczywiście Przed podsłuchiwaniem można się szyfrowania TLS (Transport Layer
całkiem inne są środki i metody. jak najbardziej bronić. Nie zawsze będzie Security). Może się również zdarzyć,
W większości przypadków wdrażania to 100% bezpieczna ochrona, niemniej że do wyboru będziemy mieli protokół
protokołu SIP nie stosuje się szyfrowania. dająca przynajmniej przyzwoity poziom SSL. Jest to w zasadzie starsza wersja
W tym momencie uzyskanie danych zabezpieczeń. TLS. Można o niej rzec również wiele
uwierzytelniających użytkowników nie Na wstępie trzeba zwrócić uwagę dobrego, ale też i to, że sprawi wprawdzie
wydaje się zadaniem trudnym. na szyfrowanie rozmowy. Taka mała potencjalnemu intruzowi jakieś tam
Najczęściej stosowaną, przy rzecz, a już potrafi pomóc. Wybierając problemy. Niekoniecznie wielkie. SSL jest
kradzieży danych dostępowych techniką, usługodawcę powinniśmy obowiązkowo już mocno przestarzały oraz zawiera
jest podsłuchiwanie. Z angielskiego
nazywane czasem eavesdropping.
Aczkolwiek większość metod można
zakwalifikować do klasycznego sniffingu,
czyli przechwytywania krążących w Sieci
informacji. Skoro jest to w zasadzie
klasyczna metoda, to warto wymienić
najpopularniejsze aplikacje, dzięki którym
można przechwycić ruch w Sieci. Część
z nich pełni również całkowicie odwrotną
rolę – może wykryć próby takiego
przechwytywania:

• tcpdump,
• sniffit,
• ettercap
• dsniff,
• wireshark (wcześniejsza nazwa:
etheral),
• snort.

Jest to oczywiście katalog otwarty. Co

rusz pojawiają się nowe mniej lub bardziej
funkcjonalne programy. Techniki te stosują
również organy ścigania prawa czy nawet
służby specjalne. Z tym, że wykorzystują
raczej specjalistyczne oprogramowanie
napisane specjalnie na ich potrzeby, a nie
powszechnie dostępne i często darmowe
aplikacje. Aczkolwiek darmowe nie
oznacza tutaj bynajmniej złe.
W związku z przechwyceniem naszej
transmisji danych istnieją dwa konkretne
zagrożenia.
Atak o nazwie man-in-the-
middle polega na tym, że osoba,
która przechwyci naszą transmisję
danych staje się jej pośrednikiem. Rysunek 6. VoIP w domu

6/2010 HAKIN9 33
OBRONA
zbyt dużą ilość powszechnie znanych
luk bezpieczeństwa, co by go polecać.
U niektórych operatorów możemy się
spotkać np. z protokołem SRTP (Real-
time Transport Protocol). Wydaje się on
jeszcze bardziej bezpieczny od TLS, ale tak
naprawdę niewielu polskich operatorów
jest przygotowanych technicznie na jego
przyjęcie. Wśród interesujących technologii
jest również IPsec, czyli Internet Protocol
Security. Jest to dający naprawdę duże
możliwości, jeżeli chodzi o konfigurację,
szkielet oparty w całości na otwartym
standardzie. Jego głównym zadaniem jest
stworzenie modelu bezpieczeństwa, który
umożliwia zabezpieczenie komunikacji
w sieci peer to peer (taką niewątpliwie
jest połączenie VoIP). Wykorzystuje
w swym działaniu m.in. uwierzytelnianie
użytkowników na poziomie sieci,
uwierzytelnianie samego źródła danych,
kodowanie danych dla zapewnienia
poufności, czy wreszcie również ochronę
ponownego odczytu danych.
Jeżeli mamy do czynienia z siecią
korporacyjną, to prawdopodobnie
spotkamy się również ze standardem,
AES-256 (w różnych odmianach).
Powszechnie uważa się go za
jeden z najsilniejszych kluczy
PSTN
Internet
Corporate Corporate
Firewall IPS
Rysunek 7. Zabezpieczenia korporacyjnej sieci VoIP. Oryginalne studium przypadku
34 HAKIN9 6/2010
kryptograficznych. Do tego stopnia, że
wiele międzynarodowych organizacji
i instytucji zajmujących się kwestiami
bezpieczeństwa, zaleca go jako
powszechny standard bezpieczeństwa.
Jest to bardzo zaawansowany
algorytm, przez wielu uważany za
niemożliwy do złamania. W 2006 r. po raz
pierwszy stwierdzono, że jest to możliwe
za pomocą metody XLS. Z tym, że nie
warto za bardzo rozwijać tego tematu
chociażby z racji, że równocześnie
przyznano, że nie wiadomo ile zajmie to
czasu. W 2009r. udało się przeprowadzić
kilka ataków o bardzo ograniczonym
zasięgu. Naukowcy przeprowadzili próby
na różnych zredukowanych wariantach
szyfru. Sukcesem udało się złamanie
algorytmu bazującego na 9 rundach
szyfrujących (podczas gdy pełna wersja
szyfru to 14 rund, tytułowe AES 256
bitów). Wg opublikowanej dokumentacji
złamanie takiego ograniczonego szyfru
daje się opisać w złożoności czasowej
na poziomie 239, . Czy to dużo, czy mało
to już kwestia subiektywna. Na pewno
jednak leży to w granicach możliwości
przeciętnego współczesnego komputera
domowego. Stopniowe zwiększanie
ilości rund (przy szyfrowaniu), znacząco
Corporate VoIP Network
IP PBX/Softswitch/
PRI / BRI / Call
Analog Lines Manager
IP PBX/Softswitch/
VIPS/Anti-SPIT Call
Manager
VIPS/VNAC
Corporate Data Network
Departmental
IPS/NAC
Departmental
IPS/NAC
Departmental
IPS/NAC
zwiększa te granice czasowe. Przy
jedenastu rundach mamy już 270, przy
czternastu atak wydaje się niemożliwy.
W praktyce bardzo trudno, w zasadzie
niemożliwe, jest złamać już AES w wersji
128-bitowej, nawet z najkrótszymi
kluczami. Nie jest to łatwiejsze, nawet
od 256-bitowego szyfrowania. Wydaje
się to pozornie nielogiczne. Osobiście
pamiętam z zajęć, że im więcej bitów,
tym bezpieczniej. Wielu specjalistycznych
pozycji – gazety, prasa, różne biuletyny
bezpieczeństwa – wbijają nam do głowy,
że im więcej bitów, tym bezpieczniej
i trudniej do złamania. Owszem to prawda.
Ale jak w życiu zawsze istnieje druga
strona medalu. Wielu matematyków
zwraca uwagę na fakt, że tak naprawdę
im dłuższy klucz, tym większe pole do
popisu dla kryptologów. Wprawdzie długie
klucze niby trudniej złamać, ale z faktu,
że są długie wynika coś jeszcze – że
mają o wiele więcej elementów, a więc
istnieje możliwość znalezienia większej
ilości elementów o matematycznych
powiązaniach. Inaczej mówiąc, im więcej
elementów, tym większa możliwość
znalezienia w nich słabych punktów.
Jest w związku z tym wiele propozycji
usprawnienia istniejących już długości
VIPS/VNAC
Enterprise
VoIP VoIP
Network Phones
SIM
PCs/VoIP
Soft Phones
Cells
Data

kluczy. I tak dla przykładu proponuje się,
żeby w przypadku 128-bitowych kluczy,
zwiększyć ilość rund szyfrujących do
16, 192 do 20. Natomiast w przypadku
do AES-256 postuluje się zwiększenie
rund szyfrujących z 14 do 28. Powstaje
jednak jedno zasadnicze pytanie. Na ile
taka operacja wpłynęłaby negatywnie
na wydajność szyfrowania? Tego
prawdopodobnie nikt nie wie. Natomiast
pewne jest, że im bardziej skomplikowane
zabezpieczenia tym mniejsza wydajność
sieci. Stąd na opisane powyżej
zabezpieczenia mogą pozwolić sobie
duże firmy, zwłaszcza korporacje,
które dysponują wyjątkowo szybkimi
połączeniami (zwłaszcza w obrębie sieci
korporacyjnej).
Reasumują, tradycyjny phreaing,
został zastąpiony nowoczesnymi
metodami podsłuchiwania (w zasadzie
przechwytywania transmisji). Biorąc
pod uwagę, że uzyskując nasze dane
dostępowe, złodziej jest w stanie
wyrządzić nam naprawdę wiele złego,
powinniśmy zwrócić większą uwagą na
to, żeby nasze rozmowy były przynajmniej
w podstawowym zakresie zabezpieczone.
Atak typu DoS
Denial of Services to jeden z najbardziej
klasycznych ataków komputerowych.
Najczęściej są one zagrożeniem dla
Rysunek 8. Przykładowy schemat aktywności ataków na jeden z windowsowych portów – 445/tcp
BEZPIECZEŃSTWO KOMUNIKACJI VOIP
serwisów internetowych czy systemów
komputerowych. Jego zasadniczym
celem jest uniemożliwienie działania
systemu poprzez zajęcie absolutnie
wszystkich wolnych zasobów. W praktyce
chodzi o takie przeciążenie systemu,
które uniemożliwia jego poprawne
działanie. W skrajnej formie doprowadza
do całkowitego paraliżu systemu. System
można przeciążyć na różny sposób.
W przypadku klasycznych aplikacji
komputerowych wystarczy czasem
znalezienie jakiejś luki w systemie, której
wykorzystanie przeciąża procesor,
czy zajmuje całą wolną pamięć
ram. Czasem nieświadomy niczego
użytkownik zastanawia się, dlaczego
komputer pracuje tak wolno. Przecież
w danym momencie korzysta np.
tylko z sapera. W przypadku sieci
takie ataki mogą być o wiele bardziej
uciążliwe. Wyobraźmy sobie, że w
wyniku ataku zostają zajęte wszystkie
gniazda dla serwera ftp czy WWW.
Serwis internetowy nie może poprawnie
funkcjonować. Taki atak realizuje się,
zalewając, zarówno w przenośni jak
i dosłownie, docelowy host taką ilością
danych, która przepełnia wszystkie
możliwe pasma. Całkowicie uniemożliwia
to naszą obecność w sieci.
W przypadku telefonii VoIP jest to
bardzo realne zagrożenie, niosące za
sobą często również daleko idące skutki
finansowe. Przynajmniej potencjalne.
Wyobraźmy sobie, że posiadamy małą
firmę, która aby obniżyć koszty, korzysta
właśnie z telefonu internetowego.
Całkowite zablokowanie serwera oznacza
odcięcie firmy od telefonu i kontaktu
z klientami. Ilu klientów zrezygnuje
z usług firmy, bo nie będzie się mogło
do niej dodzwonić. O ile wzrosną
rachunki telefoniczne, bo w trakcie awarii
właściciele i pracownicy będą zmuszeni
korzystać np. z telefonów komórkowych.
Jeżeli chodzi o serwer, to ochrona
przed tego typu atakiem spoczywa
całkowicie na naszym operatorze. Tak
naprawdę bardzo trudno jest się przed
nim bronić. Po pierwsze trzeba mieć
dużą przepustowość łącza. Im jest ona
większa, tym po prostu napastnikowi
trudniej zablokować serwer. Poza tym
administratorzy muszą stale monitorować
przepustowość swoich łącz. W razie
nagłego skoku transmisji z określonego
źródła (czy jednocześnie z wielu
– wówczas atak nosi miano Distributed
Denial of Service, czyli DDoS), której nie
da się uzasadnić np. wzrostem ilości
użytkowników w danym momencie,
konieczna jest natychmiastowa reakcja.
Przede wszystkim wyśledzenie źródła ataku
i następnie zablokowanie go. Jest to trochę
wyścig z czasem, bowiem napastnik może
6/2010 HAKIN9 35
OBRONA
za chwilę zaatakować z innego miejsca,
zwłaszcza, jeżeli znalazł jakiś słaby punkt
w systemie. Wyeliminowanie wszystkich
znalezionych słabostek, luk itp. to po prostu
podstawa. Administrator na pewno musi
dbać o używanie bezpiecznego systemu/
serwera, w ramach którego będzie mógł
reagować szybko na wszelkie przejawy
zagrożeń.
Czyli po prostu tak naprawdę ważne
jest, aby administrator dbał o serwer,
regularnie go kontrolował i zdawał sobie
sprawę z jego realnej mocy obliczeniowej.
Nie istnieje na pewno jakieś proste
rozwiązanie, które w 100% uchroni serwer
przed atakiem. Trzeba jednak zwrócić
uwagę, że na szczęście przeprowadzenie
takiego ataku nie jest aż tak prostą
sprawą. Po pierwsze dość prosto można
zlokalizować klasyczny atak DoS. W końcu
to jedna maszyna. Administrator lokalizuje
IP po czym przekazuje we właściwe ręce.
Poza tym jedna maszyna niekoniecznie
może być w stanie zablokować
działanie całego serwera (chyba, że
nieodpowiedzialni administratorzy
zostawią jakieś otwarte furtki). Chyba, że
wykorzysta się jakąś lukę w systemie. Tych
czasem niestety nie brakuje.
Osobną sprawą jest wspomniany
DDoS, czyli atak z wykorzystaniem
wielu maszyn. Procedura ataku jest
przynajmniej w teorii dość prosta
i logiczna. Składa się z czterech głównych
elementów. Numer jeden to główny
atakujący (to nie musi być, szczerze
mówiąc, nawet jeden konkretny komputer,
raczej chodzi o wydanie polecenia),
z którego pada hasło do rozpoczęcia
ataku. Następnie występują jakieś węzły
pośredniczące, do których bezpośrednio
wysyła się polecenie ataku. One z kolei
dają sygnał jednostkom, które zaatakują
system bezpośrednio. W specjalistycznej
terminologii takie jednostki określa się
jako deamon node. W żartobliwym
(zależy dla kogo) żargonie to po
prostu żołnierze. Atak może przybierać
naprawdę rozmaite formy. Może dojść
do sytuacji, że np. jednocześnie 5, 10, 15
tysięcy, a nawet więcej maszyn, zażąda
wyświetlenia jednej i tej samej strony
internetowej. Nie każdy serwer sobie
z tym poradzi. Może to być kilkadziesiąt
tysięcy poleceń typu ping, wysyłanych
36 HAKIN9 6/2010
jednocześnie przez dłuższy czas, czy
wreszcie jakieś inne zapytania. Istotne
jest to, że właściciel atakującej maszyny
nie musi sobie zdawać nawet sprawy, że
pomaga w jakimś niecnym celu. Sam
może być ofiarą np. złośliwego wirusa
komputerowego, którego zadaniem jest
wykorzystanie jego maszyny do ataku.
Taki wirus może wykorzystywać tak
niewielką ilość zasobów systemowych,
że użytkownik nie ma nawet szans
zorientować się, że jest do czegoś
wykorzystywany. Z tym, że ilość takich
nieświadomych ofiar pośredniczących
może sięgać nawet setek tysięcy. Stąd
apel do nas, żebyśmy również mieli
zabezpieczone maszyny.
Nie muszę jednak mówić, że
przygotowanie tak skomplikowanego
ataku wymaga naprawdę specjalistycznej
wiedzy i przynajmniej wielomiesięcznego
przygotowania. Hakerów geniuszy, rodem
z filmów amerykańskich, którzy potrafią
w ciągu kilku minut intensywnego męczenia
klawiatury przejąć prawie cały Internet
wielu nie ma. O ile naprawdę istnieją.
W rzeczywistości takie ataki są nakierowane
na jakieś konkretne instytucje, raczej
finansowe, po to, aby wielomiesięczna
praca, zazwyczaj jakiegoś większego
zespołu przyniosła konkretne korzyści
finansowe. Z tym, że raczej operatorzy VoIP
nie zabezpieczają się tak mocno jak banki,
więc i atak nie musi być tak staranny.
Puenta powinna być taka, że te
ataki są całkiem realne, niemniej na
tyle rzadkie, że możemy spać raczej
spokojnie, niemniej jednak nasi
operatorzy nie powinni problemu
lekceważyć. Jeśli tak się stanie, myślę, że
możemy naprawdę spokojnie korzystać
z usług operatora.
Zagrożenia komputerowe
Istnieje wiele różnych zagrożeń związanych
bezpośrednio z naszymi komputerami.
Po pierwsze dość niebezpieczny jest sam
fakt wykorzystywania komputera w telefonii
internetowej. Do całej procedury dochodzi
bowiem jeszcze jeden i to nie oszukujmy
się, słaby, element. Aplikacje, działające
w systemie użytkownika, narażone są
bowiem na dodatkowe zagrożenia
(głównie wirusy). Poza szyfrowaniem
połączenia, dobrym serwerem, pojawia się
na pewno konieczność systematycznego
dbania o zabezpieczenia naszego
komputera. Ponadto istnieje również
niebezpieczeństwo użytkowania jakiejś
niesprawdzonej aplikacji, mającej (czy to
przypadkowo, czy to specjalnie) znaczną
ilość luk umożliwiających atak.
Najprostszą metodą na
zabezpieczenie komunikacji z naszej strony,
jest całkowita rezygnacja z użytkowania
komputera. Nawet najtańsza, kosztująca
ok. 250 zł bramka VoIP, daje nam
przyzwoity poziom bezpieczeństwa.
Nie martwimy się o wirusy. Bramka
jest kompletnie niezależna od systemu
operacyjnego, a więc i od jego słabości.
Oczywiście również ona powinna być
odpowiednio zabezpieczona. Na nic
nam szyfrowanie, jeżeli pozostawimy
podłączoną do Internetu bramkę, bez
żadnego hasła, zwłaszcza jeżeli w użytku
jest sieć bezprzewodowa. Niewątpliwym
atutem bramki (czy specjalnego telefonu
VoIP) jest to, że działa nawet po wyłączeniu
komputera.
Jakie jeszcze ataki i zagrożenia na
nas czyhają?
W zasadzie poza atakiem typu DoS
pozostałe zagrożenia związane były ze
zdobyciem danych do usługi, aby z niej
korzystać całkiem za darmo, jak również
na czyjś koszt. Zresztą atak DoS można
również wykorzystać do osłabienia
systemów zabezpieczeń. W wielu
przypadkach przeciążenie systemu
powoduje np. wyłączenie zabezpieczeń.
Są jednak zagrożenia, na szczęście
jeszcze dość rzadkie, które mogą
po prostu nieco umilić nam życie.
Wyobraźmy sobie spam poprzez VoIP.
Może dość nietypowe, ale coraz bardziej
prawdopodobne. To zagrożenie ma już
nawet swoją nazwę – SPIT, od jakże
oryginalnego Spamming over Internet
Technology. Na czym ono polega? Za
pomocą telefonii internetowej można
przesyłać np. wiadomości głosowe.
Każde konto VoIP ma na serwerze swój
adres IP. Jeżeli ktoś zdobędzie chociażby
te adresy, to już ma potężne narzędzie.
Po pierwsze może wysłać klasycznie
rozumiany spam. Tysiące przez nikogo
niechcianych wiadomości. Samo w sobie
irytujące. Co więcej, wyobraźmy sobie,

że w tych wiadomościach spamer może
podszyć się pod np. centrum obsługi
klienta i przeprowadzić atak typu phishing
– zdobycie jakiś poufnych informacji.
Nie można lekceważyć również tego,
że w wiadomościach głosowych
można ukryć niebezpieczny kod (np.
wirusy), które już przy odtwarzaniu
przez odpowiedni program mogą nam
przysporzyć kłopotów (kolejny argument
za niewykorzystywaniem komputera do
komunikacji głosowej).
Kolejnym utrudnieniem jest atak
o nazwie Call tampering. Mając dostęp
do samej transmisji danych, niekoniecznie
do nich samych, intruz może próbować
zakłócać trwającą rozmowę. Przejawiać
się to będzie czy to jakimiś przerwaniami,
czy chociażby zwykłymi szumami czy
trzaskami. Mamy super szybkie łącze,
nikt w domu, czy firmie nic nie ściąga,
ewidentnie wszystko chodzi dobrze,
dostawca zaufany, a jednak coś jest nie
tak. To może być właśnie objaw ataku
trwającej rozmowy. Przykładowo, atakujący
może do strumieni głosowych dodawać
zbędne dane, powodując szum i trzaski.
Może również wstrzymywać dostarczanie
pakietów, co będzie przejawiać się długi
okresami ciszy.
Podsumowanie
Rozwój telefonii internetowej niesie za sobą
wiele korzyści, ale jak wynika z artykułu,
również zagrożeń. Wspomniałem już
w jaki sposób można wykorzystać
Reklama
BEZPIECZEŃSTWO KOMUNIKACJI VOIP
źle zabezpieczoną sieć VoIP. Warto Pewne jest jedno, że bezpieczeństwo
wspomnieć o jeszcze jednym, jak na naszych rozmów wymaga stałego
razie na szczęście dość teoretycznym dozoru. Poza tym na szczęście większość
zagrożeniu. Istnieje bowiem możliwość z omówionych zagrożeń pozostaje
wykorzystania naszej usługi VoIP w w sferze teoretycznej. Niemniej wysoce
naprawdę niecnych celach. Wyobraźmy prawdopodobnej.
sobie, że jeżeli ktoś zdobędzie hasła
dostępowe do naszej usługi, to może
za jej pomocą wysyłać sprytnie ukryte
wiadomości. W tym miejscu trzeba
wspomnieć o botnetach, czyli sieciach
komputerów przejętych przez crackerów.
Włączenie VoIP do botnetów dałoby
przestępcom naprawdę potężne
narzędzie do ręki. Jeżeli nasze dane
zostałyby wyłudzone, nie zaś wykradzione
z zabezpieczonej sieci, to intruz dostaje do
ręki możliwość wysyłania zabezpieczonych
wiadomości. Kilku specjalistów zwróciło
uwagę, że gdyby hasła do ataku były
dawane np. poprzez zaszyfrowany protokół
Skype, to późniejsze wyśledzenie sprawcy
byłoby w zasadzie niemożliwe.
Poza pojedynczymi przypadkami,
nie ma jednoznacznej recepty na pełne
zabezpieczenie systemów obsługujących
rozmowy, jak również samej transmisji.
Przemysław Żarnecki
Autor jest dziennikarzem, freelancerem ale również i przedsiębiorcą. Swoją przygodę z piórem zaczynał
kilka lat temu, współtworząc liczne poradniki o OpenOffice. W międzyczasie związał się z wydawnictwem
Software oraz Wiedza i Praktyka. Czasami pisuje również do innych redakcji.
Autor prowadzi również niewielką firmę informatyczną, oferując głównie różne usługi informatyczne,
tworzenie stron, ale również audyty bezpieczeństwa. Związany jest także z branżą szkoleniową i edukacyjną.
Prowadzi zajęcia zarówno z dorosłymi, jak również z młodzieżą licealną.
Specjalizuje się w rozwiązaniach linuksowych i sieciowych. Nie stroni jednak od tematyki bezpieczeństwa.
Na ogół stara się przybliżyć trudno strawne dla przeciętnego Kowalskiego tematy w sposób nieco bardziej
przyjazny, niż właściwy typowym tekstom specjalistycznym. Przy okazji stara się promować rozwiązania
nietuzinkowe, wykraczające poza grono najpopularniejszych. Często korzystniejsze dla zwykłego zjadacza
chleba. Kontakt z autorem: p.zarnecki@favor.linuxpl.com
 BEZPIECZNA FIRMA
Przyszłość
SYLWESTER
ZDANOWSKI
bezpiecznego
Stopień trudności
Linuksa
Powszechnie pojawia się opinia, iż bezpieczeństwo
Linuksa wynika z jego małej popularności. Łączy się z tym
przekonanie, iż wzrost jego popularności sprowadzi go do
poziomu innych systemów. Zobaczmy więc jak sytuacja
ma się teraz i jak może wyglądać, gdy Linux zyska na
popularności.
N
a początek, jakie znaczenie ma
bezpieczeństwo. Znakomity cytat
Howarda Schmidta przytacza Dan
Raywood w Security focus should be on
vulnerabilties rather than on patching, SC
Magazine 2009-03-03.
Cała idea bezpieczeństwa w informatyce
uległa dramatycznej zmianie przez ostatnie
pięć lat. Kiedyś chodziło o technologię, teraz
chodzi o informacje. Informacje są złotem,
srebrem i diamentami współczesnego świata,
a Ty musisz je mieć natychmiast.
Spójrzmy co mówią specjaliści dziedziny
bezpieczeństwa, będący sceptykami
linuksowych zabezpieczeń. Simson Garfinkel
w The Coming Linux Plague, SecurityFocus
2000-03-15; zaprezentował nam ciekawy
artykuł odnośnie przyszłości. Autor twierdzi,
iż wirus mógłby rozprzestrzeniać się jako
łata jądra lub przez modyfikację popularnych
programów jak ls czy emacs.
Autor daje również szansę atakom na
Z ARTYKUŁU słabości usług, które oferują systemy. Na
DOWIESZ SIĘ wszystkie te nieszczęścia jest tylko jedna
jak bezpieczny jest Linux, obrona, niskie zainteresowanie systemem.
jak bezpieczny Linux będzie. Kolejnym czarnowidzem był Scot
Grennman Linux vs. Windows Viruses,
CO POWINIENEŚ SecurityFocus 2003-10-02; zaprezentował
WIEDZIEĆ
perspektywę Linuksa sprowadzonego do
czym różni się Linux od
Windowsa poziomu sera szwajcarskiego. W artykule
jakiego poziomu
znajdziemy cytat menadżera McAffe Jacka
bezpieczeństwa potrzebujesz Clarcka Prawdopodobnie łatwiej jest napisać
38 HAKIN9 6/2010
wirusa dla Linuksa przez dostępność do
otwartego kodu. Będziemy więc widzieć więcej
wirusów wraz z upowszechnieniem się tego
systemu.
Jeszcze ciekawsze są słowa, które
wypowiada Raimond Genes – Jest to stabilny
system, ale nie jest bezpieczny – mowa
o Linuksie.
Mamy rok 2010 i całość powyższych
opinii możemy włożyć na jedną półkę z paniką
wywołaną świńską grypą. Zupełnie inny
rodzaj wirusa, ale w obu przypadkach firmy
zarabiające na panice postarały się o jej
wywołanie.
Co nas chroni
Wiemy już jaki Linux jest dziurawy, słaby
i zawodny pod względem bezpieczeństwa.
Zobaczmy dlaczego jest dość popularnym
wyborem dla serwerów i dlaczego pisząc ten
artykuł nie muszę walczyć z kolejną plagą
wirusów.
Zaczynamy od instalacji systemu.
W najprostszym wariancie instalujemy wszystko
na jednej partycji. Pod koniec procesu,
instalator zmusza nas do wymyślenia nazwy
zwykłego użytkownika i hasła. Wymuszenie
hasła przy instalacji nie jest zasadą
przestrzeganą przez wszystkie dystrybucje.
Już w tym momencie mamy jedno
zabezpieczenie i jeden słaby punkt. Utworzenie
zwykłego użytkownika z ograniczonymi

uprawnieniami ogranicza również
możliwość działania procesów. Program
chcący usunąć pliki innych użytkowników,
czy samego systemu musi najpierw
uzyskać uprawnienia dostępu.
Oczywiście możliwe jest wykonanie
przez użytkownika programu
z uprawnieniami roota. Jednak root
nie mogąc uruchomić środowiska
graficznego, nie może stanowić
narzędzia podstawowego. Uruchomienie
programu z maksymalnymi
uprawnieniami wymaga tym samym
dodatkowych czynności, co daje
nadzieję na zadziałanie funkcji
myślowych użytkownika.
No dobrze, użytkownik uruchomił
niesforny program ze swoimi
uprawnieniami. Co się stanie
z systemem? Z systemem nie stanie się
absolutnie nic. Ograniczone uprawnienia
użytkownika pozwolą na zniszczenie
jedynie jego własnych plików.
Wszystko wygląda pięknie, chociaż
wspomniałem już o słabości. Jeżeli cały
system znajduje się na jednej partycji
bez dodatkowych ograniczeń zasobów,
użytkownik może zapełnić cały dysk
twardy.
Do zabezpieczenia się przed taką
sytuacją wystarczy w czasie instalacji
utworzyć osobną partycję dla katalogu
domowego.
Jeżeli robaczek zużywa wszystkie
zasoby pamięci RAM czy mocy
obliczeniowych, może to dopiero
zrobić po uruchomieniu, co wymaga
zalogowania użytkownika.
Przeszliśmy przez instalację
widząc zagrożenia. Co dalej prócz
podziału dysku i uprawnień dostępu?
Na pierwszej linii stoją programy
wykorzystujące łącze internetowe,
przeglądarka, klient poczty oraz
wszelakie drogi dostępu do zasobów
systemu, takich jak samba.
Do przeprowadzenia ataku
konieczna jest znajomość słabości,
którą można wykorzystać. W systemie
Linux sytuację komplikuje różnorodność
oprogramowania. Nasz rozrabiaka może
trafić na Evolution, SeaMonkey czy Kmail.
Aby zachować skuteczność, wirus musi
zidentyfikować program i wykorzystać
znaną lukę. Ponadto programy te nie
PRZYSZŁOŚĆ BEZPIECZNEGO LINUKSA
pozwalają, aby cokolwiek stało się bez
wiedzy użytkownika.
Znany i popularny komercyjny klient
poczty wymaga dodatkowej konfiguracji
w celu zwiększenia bezpieczeństwa.
Tymczasem wymienione wcześniej
programy nie wymagają dodatkowych
czynności. Posiadają one dodatkowe
możliwości, związane raczej
z zachowaniem poufności wysyłanych
wiadomości, niż bezpieczeństwem
klienta poczty.
Powyższa różnica każe postawić
pytanie, gdzie podziała się czarna magia
potrzebna do wykorzystywania Linuksa.
Okazuje się, iż jest ona niezbędna do
zabezpieczania innych systemów.
W każdym programie zdarzają
się luki, wówczas żadna konfiguracja
nie pomoże. Tutaj ratuje nas cecha
charakterystyczna Linuksa. Z racji na
rozdział pomiędzy rozwojem programów
niezależnych od dystrybucji i samych
dystrybucji, błędy są poprawiane na
wielu szczeblach. Jeżeli oryginalny
program zawiera lukę, jest ona często
poprawiana przez twórców dystrybucji.
Programy komercyjne przechodzą
przez cykl produkcyjny, który powinien
wyeliminować luki bezpieczeństwa.
Poziom skuteczności tej procedury jest
powszechnie znany. Czas udostępniania
aktualizacji jest również dłuższy
w przypadku produktów komercyjnych.
Skoro jesteśmy przy szybkości
poprawiania luk w programach, co
z możliwością ich wprowadzania do
otwartego kodu. W zeszłym roku pojawiła
się informacja o wygaszaczu ekranu,
który bynajmniej nie był tym, czego
spodziewał się użytkownik. Wygaszacz
ten został szybko przeanalizowany dla
ustalenia jego rzeczywistych działań.
Przede wszystkim mógł on służyć do
wykonania ataku DoS przeciwko innej
maszynie. Usunięcie skutków instalacji
wygaszacza wymagało wpisania kilku
poleceń odwracających zmiany.
Wszelakie niepożądane działania
pakietów w analogiczny sposób
są szybko wychwytywane dzięki
dostępności kodu. Uniknąć zetknięcia
z takimi pakietami można przez
ograniczenie się do wykorzystania
jedynie źródeł będących pod
kontrolą twórców dystrybucji.
Mechanizm udostępniania i instalacji
oprogramowania utrudnia możliwość
wykonania jakichkolwiek niepożądanych
zmian.
W ostatecznym rozrachunku,
wystarczy, aby zwykły użytkownik nie
obniżał bezpieczeństwa jakie daje
system Linux. Dla systemów desktop
niepotrzebna jest instalacja i konfiguracja
dodatkowych zabezpieczeń.
Serwer
W przypadku serwerów wymienione
wcześniej zagrożenia tracą znaczenie.
Poczta odczytywana jest na
komputerach klienckich. Administratorzy
dobrze wiedzą z jakich źródeł i co
instalują. Problemem są inne zagrożenia.
Przede wszystkim konieczna jest
ochrona świadczonych usług jak poczta
czy serwer Apache. Naturalnym celem
ataku są luki w usługach i słabe hasła.
W przypadku haseł jako zabezpieczenie
wystarczy nam wymuszenie długości
podawanych haseł.
Każda usługa udostępniona na
serwerze stanowi jednak potencjalne
niebezpieczeństwo. Poprawki pojawiają
się w niedługim czasie po wykryciu luki.
Pozostawia to jednak wystarczające
okno czasowe pomiędzy odkryciem
problemu, a jego załataniem przez
administratorów.
Sytuację ratują liczne rozwiązania
pozwalające zabezpieczyć system
wieloma warstwami, jak cebule.
Na początek chronimy połączenie
z sieciami i użytkownikami, znajdującymi
się poza siecią lokalną. Dzięki VPN i SSH
można tworzyć bezpieczne połączenia
na odległość. Dalej, nasz serwer
chronimy ścianą ogniową.
Dalsze zabezpieczenia nie są
widoczne z zewnątrz. Przede wszystkim
ograniczenie uprawnień usług. Często
omawianym zabezpieczeniem jest
więzienie dla oferowanych usług.
Działający w takowym wiezieniu Apache,
w przypadku ataku, nie da możliwości
wyrządzenia większych szkód.
Atakowanie usług niezbyt
doświadczonego użytkownika można
utrudnić przez zmianę informacji jakie
usługi podają o sobie. Dzięki temu
6/2010 HAKIN9 39
BEZPIECZNA FIRMA
napastnik nie będzie pewien z czym ma
do czynienia.
Skoro jednak dopuszczamy
możliwość skutecznego wykorzystania
luki w usłudze, musimy o tym wiedzieć.
Wykrywaniu zdarzeń służą programy
IDS (ang. Intrusion Detect System).
Do dyspozycji mamy narzędzia AIDE
(ang. Adwenced Intrusion Detection
Enviroment ) czy Tripwier. AIDE na
licencji GPL tworzy bazę danych na
podstawie pliku konfiguracyjnego.
Uruchomienie programu powoduje
porównanie istniejących plików z bazą
danych. Raportowane są wszystkie
zmiany nieprzewidziane w konfiguracji
programu. W podobny sposób można
wykorzystać Tripwire, przy czym jest on
podzielony na wersję o kodzie otwartym,
dla serwerów i dla korporacji.
Spójrzmy jeszcze na pewien
scenariusz. Włamywacz wykorzystuje
lukę serwera samby, ma uprawnienia
użytkownika samba i bardzo chce
podmienić kilka plików konfiguracyjnych
tej usługi. Mógłby uzyskać dostęp do
pożądanych przez siebie informacji.
Jeżeli użyliśmy wcześniej flagi immutable
na plik smb.conf i smbpasswd, nasz
napastnik nie zdziała absolutnie niczego.
Przynajmniej do czasu uzyskania
uprawnień roota.
Flaga immutable uniemożliwia
zmianę pliku, ustawić i zlikwidować ją
Rysunek 1. Poziom działania LMS
40 HAKIN9 6/2010
może tylko root. W oczywisty sposób
jej użycie może komplikować proces
aktualizowania konfiguracji. Jak długo
jednak napastnik nie ma dostępu do
konta roota, plik jest bezpieczny.
W nieco innym scenariuszu możliwe
byłoby zainstalowanie rootkita, którego
można wykryć zarówno przez IDS, jak
i programy typu Rootkit Hunter.
Prócz zagrożeń, które można
zaliczyć do technicznych, mamy
jeszcze socjotechniki. Szczególnie
administratorzy w dużych
przedsiębiorstwach muszą się
zatroszczyć o ujawnianie jak
najmniejszej ilości informacji o pracy
całego systemu. Poczynając od
mówienia wszystkim Hej, szukamy do
pracy fachowców od ścian ogniowych.
Mamy z tym kłopot , kończąc na
informacjach jakie można wyszukać
przez wyszukiwarki czy samego
tracerout.
Przyszłe zagrożenia
Na samym początku przytoczyłem
niezbyt trafione przewidywania odnośnie
plagi wirusów. Próby przewidywania
sytuacji po upowszechnieniu się
systemu Linux w dużej mierze zależą
od źródła finansowania autora i jego
ideologii. Zobaczmy jednak co nie tylko
może, ale prawdopodobnie będzie się
działo po upowszechnieniu Linuksa.
Przede wszystkim, skąd biorą się
obecne zagrożenia w postaci wirusów,
koni trojańskich itd. Jakie cele mają te
programy, komu one służą? Te pytania
pozwolą przenieść obecny problem na
grunt powszechności Linuksa.
Do dalszych rozważań weźmy trzy
cele ataków. Po pierwsze niszczenie
– wirus uruchomiony na komputerze
prowadzi do unieruchomienia systemu
operacyjnego. Wszystkie zasoby
obliczeniowe, jak i pojemność pamięci
zostają zużyte. Co gorsza próby
usunięcia wirusa nie przynoszą skutków.
Pozostaje jedynie wgranie systemu
i ustalenie jakie pliki są zarażone, aby
uniknąć powtórki.
Po drugie tworzenie zombie –
z komputerem zasadniczo nie dzieje
się nic niezwykłego. Możliwa jest
praca, nieco wzrosło użycie zasobów.
Jednak co jakiś czas sieć odmawia
posłuszeństwa. Drobny program wysyła
wielkie ilości danych na nieznany adres
IP. Setki takich komputerów w sieci
powodują załamanie serwera.
Po trzecie szpiegowanie – praca
z komputerem nie jest utrudniona.
Program po cichu loguje działalność
użytkownika z hasłami włącznie.
Konkurencja wie wszystko o działalności
firmy.
Aby zobaczyć powszechność tych
zagrożeń w popularnych systemach
komercyjnych wystarczy zajrzeć na
dowolne popularne forum internetowe
poświęcone tematyce. Na wielu z nich
zwykli użytkownicy szukają pomocy
krok po kroku jak poradzić sobie
z robaczkami. Dla systemu Linux
mieliśmy już przykład wygaszacza
ekranu wchodzącego do drugiej
grupy celów ataku. Istnieją również
wirusy jak Linuks/Rst-B, wykryty w
2002 r. Należy uważać, gdyż wirus ten
ma kilka minimalnie różniących się
nazw, zależnie od firmy zajmującej się
oprogramowaniem antywirusowym.
Przy niewielkiej popularności systemu
można go było uniknąć poprzez
ostrożność. Upowszechnienie
systemu jest równoznaczne z jego
wykorzystaniem przez osoby, których
pojęcie rozsądku nie dotyczy. Wielu
użytkowników po prostu chce mieć
tapety, wygaszacze, gry itp. nie patrząc na to skąd są one
pobierane.
Powszechne staną się konkretne przeglądarki
internetowe wykorzystywane w Linuksie. Być może będzie
to Epiphany czy Iceweasel. Ataki zostaną skierowane
przeciwko ich słabościom. Pojawią się dodatki podobne do
dostępnych dla SeaMonkey czy Firefoxa. Okienka proszące
o zgodę na instalację dodatku na najróżniejszych stronach,
czasem będą miały szczęście trafić na kogoś, kto się
zgodzi. Od tego momentu przeglądarka zaczyna pracę dla
napastnika.
Oprogramowanie do przeglądania poczty również nie
będzie bezpieczne. Podobnie jak do tej pory inne rozwiązania
były atakowane, tak wszyscy będą polować na słabości
Evolution. Dla powszechnie używanego systemu popularne
staną się udogodnienia i skrypty. Załącznik pobrany
z poczty od znajomego zawierające grę ze skryptem, który
przeprowadzi instalację. Udogodnienie sprawi, iż wystarczy
ściągnąć plik i nacisnąć dwa razy na plik skryptu. Tak samo
jak obecnie na każdy katalog, przecież po co męczyć się
z linią poleceń. Otrzymujemy grę, a wraz z nią prezent rozsyła
się do wszystkich w książce adresowej i zaczyna logowanie
naszych działań. Innym razem taki sam prezent pozbawia
konto wszystkich plików. W końcu ktoś znajdzie lukę, dzięki
której bombowe prezenty będą wstanie unieruchomić cały
system.
Na pewnym etapie problemem staną się ułatwienia
w obsłudze systemu dla zwykłych użytkowników
oraz socjotechniki. Obecnie na problemy te cierpi
najpopularniejszy system operacyjny.

Serwer
Upowszechnienie systemu Linux będzie miało znacznie
mniejsze znaczenie dla serwerów. Administratorzy
obecnie muszą się liczyć z atakami obliczonymi na
uzyskanie informacji lub spowodowanie odmowy dostępu.
Po upowszechnieniu systemu w dalszym ciągu będą
instalować minimum niezbędnego oprogramowania
z zaufanych źródeł.
Z pewnością pojawi się większa ilość narzędzi dla
script-kidis, które zwiększą nieco ilość logowanych informacji.
Jednak realne zagrożenie dla serwerów nie będzie znacząco
wyższe.
Patrząc na wcześniejsze przewidywania, sytuacja
komputerów klienckich będzie niemal identyczna z obecną.
Dla uczciwości warto uwzględnić zwiększenie udziału
systemu Linux jako rozwiązania dla serwerów. Tutaj również
trafią się administratorzy, którzy będą uczyli się w bolesny
sposób.

Przyszłe rozwiązania
Wiemy już czego się spodziewać przy wykorzystaniu
mechanizmów, obecnie zapewniających bezpieczeństwo.
Pytanie brzmi, co można z tym zrobić. Żartobliwie można
powiedzieć, iż wystarczy unikać upowszechnienia Linuksa.

6/2010 HAKIN9 41
BEZPIECZNA FIRMA
W rzeczywistości obecnie istnieje
wiele rozwiązań, które nie zawsze
wykorzystywane są nawet na serwerach.
Wirus z załącznika poczty, kiedy zostanie
uruchomiony, bez problemu może
narozrabiać na koncie nierozważnego
użytkownika. Wówczas kasujemy konto
ze wszystkimi plikami i tworzymy nowe.
Jednak wystarczy zainstalować wcześniej
program antywirusowy, jak Clam AntiVirus.
W najgorszym wypadku system i kopie
zapasowe przetrwają. W najlepszym,
wirus zostanie wychwycony zanim narobi
jakichkolwiek szkód.
Pójdźmy dalej, antywirus nam nie
wystarcza, potrzebujemy narzędzia
większego kalibru. W sukurs przychodzi
GRSecurity. Narzędzie to obecnie
można zainstalować jako łatę jądra.
Dla zwykłego użytkownika w przyszłości
rozwiązanie to będzie musiało zostać
uproszczone. Po nauczeniu naszego
strażnika co jest normalne w naszym
systemie, nie dopuści on do wykonania
żadnej nieprzewidzianej czynności.
Również proces nauki, o ile obecnie
dość prosty w obsłudze, będzie
wymagał dostosowania.
Posiadając GRSecurity ograniczamy
możliwość wykonania ataków dowolnego
typu. Wirus nie będzie mógł od tak
zarażać plików, ataki przepełnienia
bufora również znajdą się pod kontrolą.
Istnieje oczywiście SELinux,
rozwiązanie najlepiej implementowane
w dystrybucjach RedHat i Fedora. W innych
dystrybucjach jego obsługa będzie
wymagała uproszczeń. Jednak nawet
wówczas w zestawieniu z GRSecurity jest
to rozwiązanie częściowe.
Ponadto w opinii twórcy GRSecurity
wykorzystywany przez SELinux LSM
stanowi niebezpieczeństwo dla
bezpieczeństwa. Z założenia jest to
W Sieci
• http://www.securityfocus.com/columnists/188 – Scott Greneman,
• http://www.securityfocus.com/news/2 – Simson Garfinkel,
• http://www.v3.co.uk/vnunet/news/2116855/linux-lined-virus-target ,
• http://www.scmagazineuk.com/security-focus-should-be-on-vulnerabilities-rather-than-
on-patching/article/128174/ ,
• http://www.grsecurity.net/ – GRSecurity,
• http://www.nsa.gov/research/selinux/index.shtml – NSA o SELinux.
42 HAKIN9 6/2010
interfejs wykorzystywany do kontroli
pracy systemu. Jeżeli w systemie
zostanie zainstalowany program,
korzystający z LMS, przejmie kontrolę
nad systemem. Tymczasem GRSecurity
instalowany jako łata nie daje możliwości
przejęcia kontroli przez inny program.
Można również wprowadzić
rozwiązania zintegrowane. Obecnie
GRSecurity i SELinux w swojej
funkcjonalności pokrywają się na
poziomie uprawnień użytkowników. Prócz
antywirusa Clamav istnieją programy jak
Rootkit Hunter. Pod kontem przeciętnego
użytkownika komputera wszystkie
te narzędzia wymagają integracji,
prostej instalacji, bez potrzeby ręcznej
konfiguracji, która tylko pogorszyłaby ich
działanie.
Integracja narzędzi i uniwersalizacja
domyślnej konfiguracji musi jednak
doprowadzić całość do utraty
optymalnej pracy. Uzyskanie optymalnie
pracującego środowiska wymaga jego
dostosowania. Tymczasem będziemy
mieli do czynienia z konfiguracją
działającą u każdego, ale u nikogo
w sposób zadowalający.
Ochrona przed
użytkownikiem
W naszym obrazie przyszłości mamy
już zintegrowane narzędzia chroniące
przed atakiem z zewnątrz. Dla
zachowania bezpieczeństwa systemu
w powszechnym użyciu, konieczne
stanie się projektowanie mechanizmów
ochrony przed błędami użytkowników.
Mechanizmy tego rodzaju należą
do najtrudniejszych w projektowaniu
i implementacji.
Koniecznością będzie jasne
informowanie użytkownika w formie
graficznej o wszystkich niepokojących
zdarzeniach. Wszelakie dotychczasowe
mechanizmy logowania należy w takiej
sytuacji uznać za nieefektywne.
Kolejnym problemem w dużej
mierze związanym z polityką
producentów, są sterowniki sprzętu.
Wszelakie instalacje muszą być
wykonywane w sposób który nie
będzie mógł zaszkodzić systemowi.
Idąc dalej również wszystkie opcje
kontroli zachowania systemu muszą
zostać przeniesione do środowiska
graficznego. Ostatnim elementem
zabezpieczenia przed użytkownikiem
powinien być prosty i skuteczny
mechanizm przywracania systemu.
Bez powyższych rozwiązań
zaprojektowanych z myślą o użytkowniku,
który będzie wolał przejść przez
niekończące się drzewo ikon i list opcji.
Bez wykonania interfejsu w sposób, który
użytkowników konsoli przyprawi o ból
głowy, największym niebezpieczeństwem
dla systemu będzie sam użytkownik.
Przyszłość serwer
Co jednak z przyszłością
bezpieczeństwa serwerów. Jest
to bardziej kwestia naturalnej
ewolucji zabezpieczeń niż wzrost
popularności systemu. Stopniowo
coraz więcej serwerów będzie
pracowała z wykorzystaniem SELinux
czy GRSecurity. W tym przypadku
integracja narzędzi w proste pakiety traci
znaczenie. Upowszechni się również
stosowanie bardziej podstawowych
rozwiązań, jak więzienia usług czy port-
knocking. Oczywiście istnieją bardziej
finezyjne rozwiązania, pozwalające na
zmylenie napastnika jak honey pot.
Drugim zagadnieniem jest
chronienie klientów przez serwery. W tej
chwili niezależnie od wykorzystywanych
systemów, Clamav pozwala na
skanowanie poczty na serwerze.
Rzadko spotykanym rozwiązaniem jest
monitorowanie komputerów w sieci za
pomocą NAGIOSa. Narzędzie to może
monitorować również system Windows.
Jego upowszechnienie pozwoli na
szybkie alarmowanie administratorów
sieci o niepokojącym zachowaniu
pojedynczych komputerów pod ich
nadzorem.

Podsumowanie
Wielu przepowiadało już upadek Linuksa
pod kontem bezpieczeństwa, cóż wielu
również prorokowało koniec świata.
Obecnie dla zwykłego użytkownika
systemu wystarczy nie dotykanie
domyślnych mechanizmów chroniących
środowisko. W przyszłości, w przypadku
jego upowszechnienia z pewnością
konieczne będzie wykorzystanie
dodatkowych narzędzi. Są one
jednak już gotowe i będą stanowiły
jedynie wsparcie dla najważniejszego
Reklama
PRZYSZŁOŚĆ BEZPIECZNEGO LINUKSA
fundamentu, jakim są uprawnienia
chroniące system przed nierozwagą
jednego użytkownika.
Zabezpieczenia w ich przypadku są
wynikiem wyścigu szczurów pomiędzy
krakerami a administratorami. Celowo
piszę o krakerach nie hakerach zgodnie
z definicją anonimowego autora książki
Internet Agresja i Ochrona.
Największym problemem będzie
sprostanie ludzkiej skłonności do
działania, zamiast myślenia. Zachowanie
równowagi między zmuszeniem
użytkownika do myślenia, a pytaniem
o każdy krok. Z pewnością tak jak
do tej pory wszystkie dystrybucje
Linuksa poprawiały bezpieczeństwo
i funkcjonalność, tak i ten problem
powszechnego użytkownika zostanie
rozwiązany na drodze ewolucji.
Sylwester Zdanowski
Autor książki: Debian Linux. System operacyjny dla
każdego. Pierwsze starcie. Programista freelancer,
obecnie poszukuje osób chętnych do współpracy nad
nowym projektem na licencji GNU. Informace w dziale
PHP pcpomoc.infolan.net.
Kontakt z autorem: sylwesterzdanowski@o2.pl
6/2010 HAKIN9 43
 PRAKTYKA
URSZULA HOLIK
Stopień trudności
Z ARTYKUŁU
DOWIESZ SIĘ
na czym polega polityka
testowania oprogramowania
antywirusowego,
w jaki sposób wyniki
testów wykorzystywane są
przez twórców złośliwego
oprogramowania,
na ile wyniki rankingów
antywirusów są wiarygodne,
dlaczego antywirus nie
jest w stanie zabezpieczyć
komputera przed wszystkimi
zagrożeniami występującymi
w Sieci.
CO POWINIENEŚ
WIEDZIEĆ
jak samemu ocenić
skuteczność pakietu
antywirusowego,
w jaki sposób można obejść
mechanizmy ochrony
i wykrywania antywirusa,
jakie formy ataków dominują
obecnie na rynku online.
44 HAKIN9 6/2010
Fail test, czyli
na ile antywirus
jest skuteczny
Proaktywna ochrona, zaawansowana heurystyka, doskonałe
wyniki w testach dynamicznych. To tylko kilka wskaźników,
które internauci traktują jako wyznacznik skuteczności
oprogramowania antywirusowego. Okazuje się jednak, że
w dobie rosnącej popularności polimorficznych zagrożeń,
nawet antywirus klasy Advanced + może okazać się
nieskuteczny.
P
olityka testowania już od dłuższego czasu
uważana jest za najbardziej gorący
temat wśród użytkowników Internetu.
Z założenia stanowi ona skomplikowany proces
technologiczny, polegający na infekowaniu
systemu za pomocą próbek złośliwego
oprogramowania, rzeczywiście występującego
w Sieci. Baza malware na bieżąco
aktualizowana jest przez niezależne instytuty
badawcze, które za pomocą różnych narzędzi
dokonują symulacji potencjalnych ataków.
Próbki złośliwego oprogramowania jakie udaje
się pobrać na specjalnie stworzone w tym
celu skrzynki e-mail, czy wykryć za pomocą
multiskanerów, posiadają zdolność rekompilacji
kodu, nawet co kilkanaście minut. Oznacza to,
że w przypadku pojedynczego zagrożenia może
istnieć nawet kilka wektorów potencjalnej infekcji.
Metodyka sporządzania testów stosowana
przez różne organizacje i instytuty badawcze
różni się od siebie w niektórych aspektach.
W przypadku AV –Test, jakość oprogramowania
ocenia się za pomocą co najmniej
6 integralnych modułów, których celem
jest między innymi rozpoznanie zdolności
antywirusa do blokowania zainfekowanych
witryn WWW, wykrywania i neutralizowania
exploitów oraz dynamicznej ochrony za
pomocą firewall. Wraz z rozwojem technologii
Cloud Computing, coraz większego znaczenia
nabiera także ochrona statyczna, a więc
zdolność rozpoznawania i blokowania nowych,
nieznanych zagrożeń oraz szybkość aktualizacji
sygnatur blokujących między innymi rootkity.
Wszystkie wymienione wyżej parametry są
kluczowe w ocenie antywirusa pod względem
zapewnienia użytkownikowi proaktywnej
ochrony. Jeżeli w sytuacji pojawienia się w Sieci
nowego malware, dla którego nie zostały
jeszcze udostępnione bazy sygnatur, jeden
z modułów nie zadziała, to cały system okaże
się nieskuteczny.
W ocenie internautów wielokrotnie
padają zarzuty dotyczące samej jakości
polityki testowania. Wydawało się, że wszelkie
kontrowersje powstałe wokół tego tematu uda
się rozwiązać dzięki utworzeniu Anti-Malware
Testing Standards Organization (AMTSO),
mającej za zadanie ustalenie wspólnych
standardów i metodologii testów w zakresie
zwalczania szkodliwego oprogramowania.
Efekty prac tej instytucji stanowią główny punkt
zainteresowania nie tylko wśród producentów
antywirusów, ale także twórców szkodliwego
oprogramowania, którzy teraz skoncentrowani
są w szczególny sposób na znalezieniu
sposobów obejścia mechanizmów ochrony.
Chociaż narzędzia oraz próbki malware,
wykorzystywanego podczas sporządzania
rankingu, różnią się w poszczególnych
organizacjach, to jednak ogólna metodologia
przeprowadzania testów jest podobna.
Zarówno wśród producentów dostarczających
oprogramowanie antywirusowe, jak również
 FAIL TEST, CZYLI NA ILE ANTYWIRUS JEST SKUTECZNY
członków instytutów badawczych, panuje
zgoda co do tego, że w przypadku
testów dynamicznych błędne jest
koncentrowanie się tylko i wyłącznie
na współczynnikach wykrywalności,
nie uwzględniając jednocześnie
mechanizmów bezpieczeństwa
antywirusa
Kryterium oceny poszczególnych
etapów skupia się na odsetku skutecznie
zablokowanych adresów URL oraz
powiązanych z nim plików, a także na
ustaleniu wartości procentowej wykrytych
i zneutralizowanych ataków w stosunku
do wszystkich poddanych badaniu
próbek wirusów. Testy dynamiczne,
opierając się między innymi na systemie
behawioralnym, wykorzystują w badaniu
najbardziej popularne formy ataku, jak na
przykład drive – by – download, phishing
czy rozsyłanie wiadomości SPAM. Pod
uwagę bierze się również tak zwane testy
retrospektywne, weryfikujące zdolność
ochrony przed nieznanymi atakami
(zero-day attack) na niezaktualizowanym
produkcie. Test pozwala sprawdzić
skuteczność pakietów działających
w modelu cloud computing na podstawie
analizy rozpoznawalności wektorów
infekcji. Biorąc pod uwagę różnorodność
i wielość wykorzystywanych w badaniu
próbek, całkowicie naturalnym
zjawiskiem są niewielkie wahania
wyników poszczególnych programów
antywirusowych, które łatwo zauważyć
w czołówce rankingu.
Faktyczna skuteczność
antywirusa
Okazuje się, że wynikami testów
dynamicznych żywo zainteresowani są
nie tylko producenci oprogramowania
chroniącego system, ale także twórcy
szkodliwych programów. Ujawnienie
szczegółowych informacji na temat
zbioru wykorzystywanych w badaniu
próbek, w zestawieniu z końcową ocena
oprogramowania antywirusowego,
stanowi doskonałą informację zwrotną
na temat skuteczności nowego malware.
W przypadku największych organizacji
badawczych, jak na przykład AV-
Comparatives, AV-TEST, czy Virus Bulletin
nazwy szkodliwego oprogramowywania,
które brało udział w teście nie są
ujawniane, co chociaż ogranicza
zasięg informacji na temat malware
przekazywanej cyberprzestępcom, to
również w prosty sposób przekłada się
na niewiedzę Internautów.
Rankingi oprogramowania
antywirusowego tworzone są na
podstawie długoterminowych testów,
biorących pod uwagę skuteczność
wszystkich zastosowanych w danym
produkcie mechanizmów ochrony.
Wiodące instytuty badawcze zajmujące
się testowaniem programów chroniących
system, jako jeden z podstawowych
wyznaczników w rankingach, biorą
pod uwagę funkcję blokowania
stron zainfekowanych złośliwym
oprogramowaniem. Wykorzystując znane
formy ataków, jak na przykład drive-
by dowload, badana jest skuteczność
antywirusa, mierzona za pomocą
odsetka zablokowanych ataków. Niewielu
internautów zdaje sobie jednak sprawę
z tego, że w tym przypadku liczy się
nie tylko prawidłowa identyfikacja
zagrożenia, ale również czas, w jakim
to nastąpi. Chociaż antywirus w testach
dynamicznych osiąga wysoki wynik, to
jednak stosunkowo łatwo obejść jego
mechanizm bezpieczeństwa. Dzieje
się tak dlatego, że oprogramowanie
rozpoznaje i blokuje malware dopiero
wtedy, gdy skompresowany plik został
już pobrany do sieci lokalnej. Co
więcej oprogramowanie nie usuwa
archiwum zawierającego już ściągnięte
wirusy. W przypadku polimorficznego
zagrożenia, którego kod ulega
rekompilacji co kilkanaście minut, a sam
proces instalacji rozłożony jest na kilka
z pozoru bezpiecznych etapów, nawet
ochrona za pomocą oprogramowania
klasy Advanced + może okazać się
nieskuteczna. Problem ten w szczególnym
stopniu dotyczy jednego ze znanych
w Polsce producentów antywirusów.
Wiele zarzutów podnoszonych jest
również wobec testów statycznych
– obiektywne zbadanie skuteczności
antywirusa, wymagałoby zainfekowania
systemu każdą pojedynczą próbką
szkodliwego kodu występującego w Sieci.
Nadal rzadko stosuje się również podział
próbek testowych na odpowiednie
podzestawy. Zaledwie niewielka część
instytutów badawczych tworzy osobne
rankingi potwierdzające skuteczność
antywirusa, zarówno w walce z robakami,
wirusami, jak również trojanami. Wynik
badania zawiera zbyt ogólne informacje,
by mogły one przyczynić się do
ulepszenia poszczególnych modułów
w oprogramowaniu antywirusowym.
Wyjątek od tej reguły stanowią testy
sprawdzające skuteczność wykrywania
przez oprogramowanie antywirusowe
polimorficznych zagrożeń.
Niewiarygodne testy
Wiele zarzutów można podnieść wobec
samej polityki testowania. Nie zawsze
oprogramowanie wysoko ocenione
w testach porównawczych, będzie
posiadało takie funkcje, jak spodziewaliby
się tego użytkownicy Internetu. Główny
problem polega na tym, że instytuty
badawcze stosują przestarzałe
narzędzia, które dziś nie przystają już do
rzeczywistości. Natomiast w przypadku
standardowych użytkowników Sieci,
rzadko kiedy mamy do czynienia
z sytuacją, gdy baza wirusów jest
aktualizowana co kilka minut. Jeżeli
oprogramowanie antywirusowe nie
opiera się na rozwiązaniach typu cloud,
to nawet świetny wynik w testach nie
potwierdzi jego faktycznych możliwości.
100-procentowa wykrywalność nie
jest adekwatna do 100-procentowej
skuteczności. Idealny model ochrony
użytkowników zapewnia jedynie
połączenie mechanizmów ochrony
lokalnej z rozwiązaniami technologii
cloud, lecz tego typu system nie jest jak
na razie popularnym rozwiązaniem na
rynku antywirusów.
Równie niepokojące są wszelkie
informacje dotyczące manipulacji
w przeprowadzanych testach. Głośnym
echem odbiły się wydarzenia sprzed
2 miesięcy, kiedy to prezes firmy Alwil
Software, producenta oprogramowania
Avast, oskarżył Symantec, o kupowanie
testów. Zarzuty dotyczące nieuczciwych
praktyk rynkowych stosowanych przez
Symantec, podnosił również miesiąc
wcześniej producent oprogramowania
McAfee. Chociaż wysnute oskarżenia nie
zostały formalnie udowodnione, to jednak
takie informacje znacząco zwiększyły
6/2010 HAKIN9 45
PRAKTYKA
sceptycyzm internautów w odniesieniu do
rzetelności i niezależności testów.
Kontrowersje wokół
proaktywnej ochrony
W dziedzinie bezpieczeństwa IT duże
nadzieje pokładano również w nowej
technologii opartej o rozwiązania Cloud
Computing, która jako jedyna miała mieć
zdolność blokowania nowych zagrożeń
w sytuacji, gdy dla nieznanego dotąd
malware nie zostały jeszcze udostępnione
bazy sygnatur. Oznacza to, że proaktywny
model ochrony powinien w idealnym
przypadku zadziałać jeszcze przed
pobraniem złośliwego oprogramowania,
na podstawie samej analizy
prawdopodobnych wektorów infekcji.
Jak się później okazało, sama struktura
systemu stanowiła główną barierę testów
antywirusów opartych na modelu ochrony
w chmurze. W przypadku Cloud Security
bazy sygnatur są stale aktualizowane,
w związku z czym niemożliwe staje się
przeprowadzenie weryfikowalnego testu
oceniającego skuteczność na nowe,
nieznane zagrożenia. Innymi słowy bazy
wirusów umieszczone na zewnętrznych
serwerach, co sekundę wzbogacają
się o kilka próbek skażonego kodu.
Problem w przypadku technologii Cloud
pojawia się w momencie, gdy komputer
będzie miał odcięty dostęp do Internetu,
a nowe zagrożenie zostanie przeniesione
za pomocą dysków zewnętrznych.
Inna możliwość skażenia systemu to
ściągnięcie wirusa, który zainfekuje
systemową bibliotekę DNS lub po prostu
podmieni wpisy do pliku hosts. Zważywszy
na to, że sam model Cloud Security
nie posiada mechanizmów lokalnej
ochrony, obejście systemu wykrywania
Rysunek 1. Warning
46 HAKIN9 6/2010
jest trywialnie proste – wyjaśnia Tomasz
Zamarlik z G Data Software.
Jak przechytrzyć
antywirusa?
Do zbadania skuteczności własnego
wirusa, twórcy szkodliwego
oprogramowania mają cały repertuar
narzędzi. Największym powodzeniem już
od dłuższego czasu cieszą się tak zwane
multiskanery, działające w trybie online,
jak np. populany Virus Total. Podobne
możliwości daje av-check.com, który
sprawdza bezpieczeństwo pliku w oparciu
o rozwiązania stosowane przez 22
programy antywirusowe, takie jak Avast,
AVG, F-secure, Kasperski, NOD 23 oraz
Panda. Wykorzystując tego typu aplikacje,
cyberprzestępcy w łatwy i szybki sposób
uzyskują kompletną informację na temat
wykrywalności własnego malware.
Tak przeprowadzony test daje niemal
natychmiast jednoznaczną odpowiedź
na pytanie, czy nowy szkodnik potrafi
uniknąć wykrycia, a co za tym idzie
obejść mechanizm bezpieczeństwa
antywirusa. Wynik jest o tyle wiarygodny,
iż multiskanery wykorzystują maksymalne
możliwości mechanizmów identyfikacji
złośliwego oprogramowania, które
są stosowane w wielu popularnych
programach antywirusowych.
Rysunek 2. Długoterminowy test VB
W przypadku AV – Check wynik testu to
jednoznaczna odpowiedź na pytanie,
czy malware zostanie rozpoznane przez
najpopularniejsze mechanizmy ochrony
stosowane przez użytkowników Sieci.
Największe zagrożenie stanowią tu
skompresowane pliki zawierające próbki
trojanów, których proces instalacji składa
się z kilkunastu etapów. W przypadku
tak skonstruowanego zagrożenia ciężko
jest przewidzieć potencjalny mechanizm
infekcji systemu.
Reklamowa manipulacja
Należy pamiętać, że skuteczność
antywirusa może być oceniana tylko
w odniesieniu do wyników kilkunastu
współpracujących ze sobą modułów.
Szumnie promowana w ostatnich
miesiącach zaawansowana heurystyka,
to coś więcej niż wysoki odsetek
zablokowanych ataków. O rzeczywistej
skuteczności oprogramowania
decydowała będzie kompatybilna
współpraca wszystkich warstw antywirusa.
To właśnie drobne niuanse różniące
poszczególne pakiety mają krytyczne
znaczenie dla realnego bezpieczeństwa
użytkowników Internetu. Nic więc
dziwnego, że niewiedza internautów jest
od lat narzędziem manipulacji, skutecznie
wykorzystywanym przez twórców
 FAIL TEST, CZYLI NA ILE ANTYWIRUS JEST SKUTECZNY

oprogramowania antywirusowego.
Przykłady tego typu działań można
mnożyć. Najczęstszą formą jest tu
zastępowanie końcowych wyników
testów, wynikami z poszczególnych
modułów. W oficjalnych komunikatach
niejednokrotnie informuje się o 100-
procentowej skuteczności pakietu,
podczas gdy długoterminowe testy
wskazują na zupełnie inne wyniki.
Należy jednak pamiętać, że chociaż
skuteczność wykrywania zagrożeń np.
in – the – wild w odniesieniu do danego
programu jest wysoka, pakiet możne
uzyskać znacznie gorsze wyniki w testach
proaktywnych. Natomiast oficjalne
informacje, zamieszczone na stronie
producenta, rzadko kiedy wskazują, że
certyfikat Advanced + uzyskany w testach
porównawczych odnosił się zaledwie
do jednego modułu. Manipulacja
informacyjna w tym przypadku jest o tyle
łatwiejsza, że internauci najczęściej nie
znają metodologii przeprowadzania
testów, obranej przez niezależne instytuty
badawcze.
Ryzyko w sieci
Jak wskazują obserwacje, dokonywane
między innymi przez CERT, nie zawsze
zabezpieczenie się odpowiednim
antywirusem jest skuteczną metodą
na uniknięcie zagrożenia. Wiele błędów
i luk, niemal codziennie wykrywanych
w popularnych aplikacjach internetowych,
rodzi poważne zagrożenie dla
użytkowników Sieci. Chociaż wszyscy
producenci między innymi przeglądarek,
za podstawowy czynnik budowania
swojej rynkowej pozycji uważają
jeden kluczowy parametr, jakim jest
bezpieczeństwo, to jednak coraz częściej
można usłyszeć o nowych, krytycznych
błędach. Korzystny efekt wywiera w tym
względzie wojna przeglądarek – walka
o zwiększenie udziałów w rynku, idzie
w parze z badaniami nad stabilnością
i udoskonalaniem poszczególnych
narzędzi. Wraz z tym, zwiększa się
również wybór możliwości dostosowania
oprogramowania do indywidualnych
wymagań i potrzeb internautów.
Poszczególne rozwiązania stosowane
w starych wersjach, które nie zdały
egzaminu ulegają ciągłym zmianom
i ulepszeniom. Nie da się jednak
zaprzeczyć, że wciąż wielu internautów
pracuje na niezaktualizowanym systemie,
dodatkowo wyłączając opcje skanowania
stron, które dostępne są w pakietach
antywirusowych. W tym przypadku,
kierowanie się wydajnością systemu jako
sprawą priorytetową oznacza rezygnację
z ochrony za pomocą jednego
z najważniejszych mechanizmów
bezpieczeństwa danego produktu.
Na znaczne niebezpieczeństwo
narażają użytkowników Internetu
także aplikacje wykorzystywane na
co dzień przez wielomilionowe grono
internautów. Systemy przechowujące
oraz przetwarzające prywatne danych
użytkowników, już od dłuższego
czasu są narzędziem chętnie
wykorzystywanym przez phiserów.
Rosnące zainteresowanie rodzą
zarówno portale społecznościowe,
jak na przykład Facebook, ale także
komunikatory. W przypadku Google ma
to kolosalne znaczenie, bowiem marka,
nazywana przez niektórych Wielkim
Bratem Internetu, przetwarza miliardy
terabajtów danych, wyszukiwanych
co dnia przez użytkowników Sieci. Jak
zauważa Eric Schmidt, CEO Google,
w jednym z swoich wywiadów, informacje
przechowywane w Internecie są
ogólnodostępne. Często to właśnie
one umożliwiają zidentyfikowanie
użytkownika, przez określenie jego
behawioralnego portretu, co niestety
coraz częściej wykorzystywane jest przez
cyberprzestępców.

������������ ������������������

����������������
������������������������
������������������� ����������������
�������������������

���������������� ��������������������
������������������������ ��������������������� ������������������
��������

����������������� �������������������������
������������ ������������

�����������������
������������������������� ������������������������
�������������
�������������
����������������
���������������������������� ��������������������������
������������������������� �������������������

�������������������� ����������������������������
����������������� ����������������������������
�������������������

���������������
���������������������

Rysunek 3. AV test – moduły

6/2010 HAKIN9 47
PRAKTYKA
(Nie) szkodliwe zagrożenia
Chociaż nie można zaprzeczyć, że
świadomość internautów jest coraz
większa, to jednak niepokojące jest
zjawisko, że nadal znaczny odsetek
użytkowników Sieci pada ofiarą
popularnych form ataku. Obecnie
do kradzieży cennych informacji
wykorzystywane są najczęściej konie
trojańskie, które przekazywane są
w formie pozornie nieszkodliwych plików
– dokumentów, animacji, wygaszaczy
ekranu, czy odpowiednio spreparowanych
programów antywirusowych. Podstawowy
błąd polega na mylnym przekonaniu, że
największe zagrożenie stanowią wirusy
komputerowe. Tymczasem coraz częściej
do infekowania systemu wykorzystywane
są aplikacje nowego typu, jak na przykład
skażone oprogramowanie, w tym miedzy
innymi fałszywe programy antywirusowe,
antyszpiegowskie lub antyadware.
Tego typu aplikacje wykorzystywane
są najczęściej do kradzieży informacji,
jak również przestępstw finansowych.
Precyzja twórców szkodliwego
oprogramowania jest w tym przypadku
zdumiewająca. Aplikacje typu rogueware
stanowią niemałe zagrożenie ze
względu na dwa podstawowe czynniki.
Po pierwsze oprogramowanie blokuje
niemal całkowicie dostęp do aplikacji
i dokumentów, by w ten sposób wymusić
na użytkowniku zakup fałszywej licencji, po
drugie internauta jest mylnie przekonany,
że jego system chroniony jest za pomocą
skutecznego programu antywirusowego.
Zarówno layout strony internetowej, jak
również elementy graficzne zamieszczone
na witrynie, z której pobrać można
zainfekowany plik, są do złudzenia
podobne, do tych znanych na przykład
z centrum zabezpieczeń systemu
Windows. Błędem jest również pokładanie
nadmiernego zaufania w bezpiecznych
technologiach. Chociaż znakomita
część zagrożeń dotyczy w szczególności
użytkowników systemu Windows, to jednak
na stale rosnące ryzyko narażeni są
również posiadacze systemu Linux czy
Mac.
Podstawowe błędy, których
można było uniknąć
Większość błędów związanych
z bezpieczeństwem zarówno domowego
komputera, jak również firmy, to często
wynik prostych zaniedbań, których
stosunkowo łatwo można uniknąć.
Znany już dziś trojan conflicker,
pozwalający na przejęcie kontroli nad
komputerem, nie rozprzestrzeniłby
się tak szybko, gdyby administratorzy
sieci zadbali o aktualizację systemu
Windows. Wielu użytkowników skłonnych
jest również twierdzić, że sam fakt
posiadania antywirusa rozwiązuje
wszelkie problemy dotyczące ochrony
systemu. O ile w przypadku modeli
proaktywnych udało się wyeliminować
problem nieaktualnej bazy sygnatur,
to w przypadku klasycznych pakietów
internauta powinien co jakiś czas
aktualizować bazy wirusów. Pominiecie
tego obowiązku może skutkować
obniżeniem skuteczności rozpoznawania
i wykrywania zagrożeń, co w praktyce
czyni program bezużytecznym. Nie od
dziś wiadomo bowiem, że ulubionym
narzędziem cyberprzestępców
są niezałatane luki w popularnych
programach, a problem ten dotyczy
w takim samym stopniu systemów
operacyjnych oraz starszych wersji
przeglądarek internetowych. Wśród
twórców złośliwego oprogramowania
rosnącym zainteresowaniem
na przełomie 2009 i 2010 roku
cieszyły się produkty firmy Adobe.
Ku zaskoczeniu wielu okazało się, że

Tabela 1. Złośliwe oprogramowanie 2009

Kategoria 1 poł 2009 udział 2 poł 2008 udział 1poł 2008 udział różnica 1 poł
roku roku roku 2008 – 1 poł
2009
Konie trojańskie 221.610 33,60% 155.167 26.90% 52.087 16,40% 425,00%
Oprogramowanie 104.224 15,70% 125.086 21,70% 75.027 23,60% 139,00%
typu backdoor
Programy 147.942 22,10% 115.358 20,00% 64.482 20,30% 229,00%
pobierające
Programy 97.011 14,60% 96.081 16.70% 58.872 18,50% 165,00%
szpiegowskie
Adware 34.813 5,30% 40.680 7,10% 32.068 10,10% 109,00%
Robaki 26.542 4,00% 17.504 3,00% 01.10.27 3,20% 260,00%
Virusy Tools 01.11.13 1,60% 01.07.27 1,30% 01.12.03 3,80% 94,00%
Rootkit 01.12.29 1,90% 01.06.59 1,20% 01.01.25 0,40% 858,00%
Exploity 01.02.79 0,30% 01.01.41 0,30% 01.01.13 0,50% 141,00%
Dialery 01.01.53 0,20% 01.01.13 0,20% 01.04.60 1,50% 24,00%
Virusy 143 0,00% 167 0,00% 327 0,10% 44,00%
Inne 01.04.93 0,70% 01.08.19 1,50% 01.05.70 1,60% 89,00%
Razem 663.952 100,00% 576.002 100,00% 318.248 100,00% 209,00%

48 HAKIN9 6/2010
 FAIL TEST, CZYLI NA ILE ANTYWIRUS JEST SKUTECZNY
dotąd bezpieczne pliki PDF mogą
również zawierać skażone kody. Jeżeli
luka nie została zaktualizowana, to
otwarcie zainfekowanego pliku groziło
zainstalowaniem konia trojańskiego
na komputerze. Tego typu ataki coraz
częściej opierają się na metodzie
drive-by download, czyli takiej, która nie
wymaga żadnej aktywności po stronie
ofiary.
Chociaż znakomita większość
internautów ma świadomość tego,
że korzystanie z oprogramowania
antywirusowego jest niezbędne, to równie
często można spotkać się z opinią,
że klasyczny pakiet antywirusowy jest
narzędziem, które skutecznie zabezpieczy
komputer przed wszystkimi zagrożeniami
występującymi w Sieci. Internauci, nadal
chętnie korzystający z darmowych
rozwiązań antywirusowych, zazwyczaj
nie przykładają uwagi do tego, by
skuteczność programu chroniącego
system wzmocnić dodatkowo zaporą
firewall. W sytuacji, gdy wielu phisherów,
dla uwiarygodnienia swoich działań,
wykupuje certyfikaty bezpieczeństwa
SSL oraz korzysta z mechanizmu
URL redirection, ważne jest, by główny
filar ochrony systemu opierał się na
specjalnie przeznaczonym do tego
oprogramowaniu, wzmocnionym
modułami antyphising oraz webfilter.
Niezależne badania pokazują, że
większość produktów dostępnych na
rynku posiada luki w zabezpieczeniach.
W przypadku źle chronionego\
systemu, atak przeprowadzony
przy użyciu fałszywej domeny jest
wyjątkowo niebezpieczny i precyzyjny.
Przekierowanie na skażoną złośliwym
kodem stronę, niejednokrotnie odbywa
się również za pomocą wcześniej
zainstalowanego konia trojańskiego,
dzięki któremu cyberprzestępcy mogą
na przykład manipulować wszystkimi
wpisami adresów w przeglądarce.
Jeżeli zainstalowany przez użytkownika
antywirus nie posiada wbudowanych
filarów antyphishingowych, analizujących
kontent otrzymywanych przez internautów
wiadomości, to w przypadku ataku
dokonanego za pomocą certyfikowanej
domeny ofiara pozostaje niemal
bezbronna.
Podsumowanie
W przypadku najczęściej stosowanych
zabezpieczeń wśród użytkowników
Sieci, nadal popularne są darmowe
programy antywirusowe. Tego typu
oprogramowanie, ze względu na
swoją formę składa się zazwyczaj
z podstawowych modułów
dostosowanych do komputerów
o standardowych parametrach
technicznych. Tego typu aplikacje
niemal nigdy nie posiadają wzmocnień
w postaci dodatkowych modułów
w postaci ochrony proaktywnej czy
ściany ogniowej. W związku z tym, sam
zainstalowany program nie jest w stanie
zabezpieczyć przed nieautoryzowanym
dostępem do informacji. Ze względu na
brak modułów działających w systemie
chmury, oprogramowanie tego typu
nie sprawdza się również w przypadku
polimorficznych zagrożeń, których nagły
wzrost w Sieci odnotowano w ubiegłym
roku. Inne często wykorzystywane metody
to stosowanie skanerów online, które
sprawdzają bezpieczeństwo systemu
oraz umożliwiają identyfikację skażonych
plików. Rozwiązanie takie, chociaż
pozwala na skuteczną identyfikację
niebezpiecznych składników, jest
jednak połowiczne. Pomimo, że silniki
tego typu aplikacji są dostarczane
przez producentów oprogramowania
zabezpieczającego system, to jednak
sam skaner nie jest w stanie usunąć
z archiwum pliku zawierającego złośliwe
oprogramowanie. W tym przypadku,
o infekcji internauta dowiaduje się ex
post, czyli w momencie, gdy skażony kod
zagnieździł już się w systemie. Nie jest to
więc metoda pozwalająca na ochronę
systemu, lecz co najwyżej sprawdzenie
skuteczności już wykorzystywanych
mechanizmów ochrony.
Paradoksalnie, przeprowadzanie
ataków umożliwiają również nowe
rozwiązania technologiczne. Nadal
popularna jest metoda podszywania
się pod serwisy bankowe, korzystając
z domen IDN czy usługi skracania
adresów URL. W obu przypadkach
cyberprzestępcy ukrywają się za
pomocą łącza, które standardowemu
użytkowników Sieci kojarzy się
z zaufaną i bezpieczną domeną.
Tymczasem internauta zamiast na
stronę banku, zostaje przekierowany
na witrynę, której świadomie nigdy by
nie otworzył. Na rynkach zachodnich
już upowszechnił się proceder
wykorzystywania specjalistycznego
oprogramowania, w celu identyfikowania
luk w zabezpieczeniach banków.
W przypadku przedsiębiorstw, błędy
pojawiają się również na poziomie
rozwiązań technologicznych – bardzo
niewielki odsetek firm inwestuje
w zintegrowane systemy ochrony,
skupiając się głównie na instalowaniu
klasycznych antywirusów, które nie
są rozwiązaniem przeznaczonym dla
przedsiębiorstw, korzystających zazwyczaj
z rozbudowanej sieci heterogenicznej.
Wszechstronne zabezpieczenie
systemu są w stanie zapewnić jedynie
pakiety zabezpieczające, które oprócz
klasycznego antywirusa zawierają
jeszcze dodatkowe moduły, takie jak
filtr antyspamowy, Webfilter, firewall,
wykrywacz ataków typu phising oraz
panel ochrony przeciw atakom dnia
zerowego. W ocenie internautów tego
typu zabezpieczenia, wielokrotnie
odbijają się na wydajności systemu
– skanowanie stron internetowych
powoduje, że witryny zawierające
rozbudowane galerie będą wczytywały
się dłużej, niż miało to miejsce do tej
pory. Chociaż nie da się odmówić
słuszności tej opinii, to jednak należy
pamiętać, że tego typu system
daje większą możliwość ochrony.
W przypadku pakietu zabezpieczającego
wszystkie warstwy oprogramowania
są ze sobą kompatybilne, dzięki
czemu skuteczność mechanizmów
bezpieczeństwa wzrasta. Zastosowanie
aplikacji wykrywających spam, czy
aktywnego firewalla, który odetnie
dostęp do Internetu w momencie
stwierdzenia ataku złośliwego
oprogramowania, przyniesie lepszy
efekt niż wykorzystywanie klasycznego
antywirusa wzbogaconego tylko
i wyłącznie o osobną ścianę ogniową.
Urszula Holik
Specjalista ds. PR w Someday Interactive, autorka
artykułów o tematyce dotyczącej Internetu
i bezpieczeństwa w sieci.
Kontakt z autorem: ula.holik@someday.pl.
6/2010 HAKIN9 49
 PRAKTYKA
Usługi
ALEKSANDER
ĆWIKLIŃSKI

przetwarzania
Stopień trudności
w chmurze
Zgodnie z prognozami Gartnera przetwarzanie w chmurze
(Cloud Computing) staje się jedną z wiodących technologii
w informatyce. O zagospodarowanie tego obszaru toczy się
walka gigantów.

Z ARTYKUŁU
DOWIESZ SIĘ
jakie rodzaje usług oferowane
są w chmurze,
co oferują dostawcy
przetwarzania w chmurze,
jak skonstruowana jest umowa
o świadczeniu usług,
jakie wyzwania stoją przed
menadżerami,
C
hmury to sieć serwerów w świecie, które
dostarczają infrastrukturę informatyczną
(IaaS), zapewniają oprogramowanie
(SaaS) lub udostępniają platformy (PaaS).
Firmy, by przetrwać na rynku, będą musiały
proponować nowy zestaw usług dla chcących
skorzystać z tej technologii. Doprowadzi to do
dalszej optymalizacji wykorzystania zasobów
informatycznych i pozwoli zlikwidować działy
zajmujące się dotychczas informatyką.
Korzystanie z infrastruktury w chmurze może
także przyczynić się do skrócenia czasu
potrzebnego na zorganizowanie nowej usługi.
Zmiany te będą wzmagane globalnym
kryzysem, w którym większość musi szukać
oszczędności i rywalizować z konkurencją.
Globalizacja usług prowadzić będzie do unifikacji
oraz dalszego wzrostu znaczenia rozwiązań
otwartych. Internet odgrywa tu kluczową rolę,
jako medium umożliwiające wprowadzenie
tych rozwiązań. Nastąpi również pełniejsze
klientów. Na przykład, można w chmurze
uruchamiać gry, które wymagają dużej mocy
obliczeniowej, warunkiem jest posiadanie
szybkiego łącza internetowego. Obraz przesyłany
jest wówczas w formie gotowego strumienia i nie
są wymagane super wydajne karty graficzne.
Co prawda dzisiaj trudno uzyskać zadawalającą
szybkość, w szczególności gdy serwer znajduje
się za oceanem. Producenci gier wolą jednak
rozwijać ten model dostępu, bo zyskują na
lepszej kontroli licencji oraz łatwo im zapewnić
kontrolę wersji oprogramowania.
Rysunek 1 przedstawia reklamę dostawcy
usług salesforce.com, który zachęca swoich
potencjalnych klientów do używania jednej
aplikacji w chmurze, zamiast budowania
własnych przez każdą z firm. Sumaryczne koszty
utrzymania jednej aplikacji powinny być mniejsze
niż koszty rozwoju podobnych aplikacji przez
każdą z firm oddzielnie.

o kierunku zmian
w infrastrukturze informatycznej,
na co zwrócić uwagę przy
testowaniu usługi.
CO POWINIENEŚ
WIEDZIEĆ
znać zagadnienia związane
ze świadczeniem usług
informatycznych,
rozumieć problematykę
związaną z rozwojem
oprogramowania.
wykorzystanie istniejącej już infrastruktury
informatycznej.
Rozróżnia się chmury publiczne i prywatne.
Chmury publiczne są przeznaczone dla
masowych odbiorców i oferują z zasady
aplikacje oraz dostęp do dysków za darmo lub
za opłatą. Chmury prywatne przeznaczone są
dla firm, którym zależy na bardziej profilowanej
obsłudze i większej kontroli swoich danych.
Przetwarzanie w chmurze zmniejsza
wymagania na moc obliczeniową komputerów
Przykłady
Nie zdajemy sobie sprawy jak często korzystamy
z technologii Could Computing. Ma to miejsce,
gdy wchodzimy na stronę http://google.pl czy
http://facebook.com.
Rozpoczęcie korzystania z usług wymaga od
nas zgody i wiąże się zazwyczaj z przeczytaniem
kilku stron, które przypominają kontrakt.
Jest to umowa świadczenia usługi (SLA),
porozumienie między dostawcą i odbiorcą
usług. Warunki korzystania z serwisów spółki

50 HAKIN9 6/2010
 USŁUGI PRZETWARZANIA W CHMURZE

Google można przeczytać na stronie http:
//www.google.com/accounts/TOS?hl=pl.
Ciekawostką jest to, że użytkownik,
akceptując warunki umowy, wyraża zgodę
na poddanie się wyłącznej jurysdykcji
sądów angielskich w celu rozwiązania
wszelkich kwestii prawnych – zapewne
mało kto je zna. Prawo angielskie, tak jak
i amerykańskie, oparte jest na precedensie
(common low), natomiast w Polsce
i w wielu krajach europejskich dominuje
prawo cywilne, w którym precedensy
jedynie je uzupełniają.
Rysunek 2. przedstawia platformę dla
programistów oferowaną przez serwis
force.com
W Tabeli 1. przedstawiłem niektórych
dostawców dostarczających przetwarzanie
w chmurze.
opisanym w COBIT v 4.1, nazywanym
optymalnym. Stan ten cechuje
się stosowaniem dobrych praktyk
i automatyzacją procesów.
Wyzwania menedżerskie
Ponieważ przetwarzanie w chmurze
to rodzaj usługi, dlatego firmy powinny
zmienić podejście do wprowadzanych
zmian. Należy patrzeć na usługę jako
całość, która powinna zawierać wszystkie
niezbędne elementy i w pełni działać.
Tradycyjne podejście projektowe wymaga
więc rewizji, by wyeliminować z niego
silosowe patrzenie na zakres.
Dostawcy powinni uelastycznić
swoją infrastrukturę poprzez wirtualizację.
Powinni przygotować się na skalowanie
swoich systemów i zapewnić odpowiednie
bezpieczeństwo danych oraz ich
archiwizację. Porażka w tym zakresie
może oznaczać koniec dalszego
funkcjonowania. Nie możemy zapomnieć
o regularnym wgrywaniu łat, by zmniejszyć
prawdopodobieństwo złamania
bezpieczeństwa.
Usługobiorcy powinni oszacować
obecne ryzyko i porównać je z ryzykiem
oraz dojrzałością ofert dostawcy. Decyzję
o przejściu z przetwarzaniem w chmurę

Zarządzanie usługą
W celu właściwego zarządzania
usługą warto odwołać się do standardów
takich jak ITIL (opracowanego przez OGC)
czy COBIT (opracowanego przez ISACA i IT
Governance Institute).
Standardy te kładą nacisk na
zarządzanie usługą na poziomie całej
firmy zgodnie z potrzebami biznesowymi.
Takie rozwiązanie pomaga zwiększyć
efektywność w zarządzaniu wydatkami.
W zarządzaniu usługą istotne staje
się wspieranie innowacji. IT powinno
pełnić rolę strategicznego partnera
biznesu. Następuje ewolucja roli IT
w zarządzaniu usługami z roli dostawcy Rysunek 1. Reklama Salesforce zachęcająca do korzystania z aplikacji w chmurze
technologii, poprzez dostawcę usług
do zostania partnerem strategicznym
w kompleksowym zarządzaniu usługami.
Zgodnie z ITIL wspólnym celem IT
i biznesu jest spełnienie celu usługi (fit for
purpose) i zapewnienie jej użyteczności
(fit for use). ITIL w wersji trzeciej został
opisany w pięciu głównych książkach
opublikowanych przez OCG: Service
Strategy, Service Design, Service Transition,
Service Operation oraz Continual Service
Improvement.
Pozyskiwanie klientów będzie
wymagało zapewnienia, że firma
świadcząca usługi uczestniczyć będzie
w procesie ciągłych doskonaleń.
Przedsiębiorstwo powinno podążać
w kierunku najwyższego poziomu
dojrzałości organizacji (maturity model) Rysunek 2. Platforma dla programistów oferowana przez serwis force.com

6/2010 HAKIN9 51
PRAKTYKA
należy dobrze przemyśleć. Powrót Firmy powinny starać się zapoznać innymi zabezpieczyć przesyłane oraz
może okazać się bardzo trudny i warto z najlepszymi praktykami w zakresie gromadzone dane przez wybranie
zawczasu się zastanowić, z czym się optymalnych obszarów zastosowań dla bezpiecznych rozwiązań transmisji jak SSL
to mogłoby wiązać. W wyniku wyboru chmury (jak np. web serwisy), stosowania czy VPN i wybór odpowiedniego systemu
modelu przetwarzania w chmurach metod (jak np. automatyzacja) oraz zabezpieczeń. Należy też uwzględnić
będzie trzeba dokonać odpowiednich sposobów minimalizacji negatywnych czas oczekiwanej dostępności systemu,
zmian organizacyjnych. W zależności od skutków (jak bezpieczeństwo danych) tolerancję błędów i dopuszczalną ilość
wybranego modelu może okazać się wdrożenia nowej technologii. Potrzebne awarii.
konieczne dostosowanie systemów do jest także zapewnienie koordynacji
nowej technologii. Należy także podjąć działań biznesu i IT. W celu monitorowania Architektura
decyzję, czy i jakie dane klientów mogą efektywności usługobiorcy potrzebne i infrastruktura
być gromadzone w chmurze. Ewentualne będzie zdefiniowanie mierników Dostawcy usług w chmurze będą
zaniedbania w ochronie danych mogą efektywności (KPI) i porównywanie ich oferować rozwiązania w systemach
zakończyć się bezpowrotną utratą zaufania. z parametrami świadczenia usługi (SLA). otwartych, z drugiej strony wirtualizacja
Niezbędne może okazać się przełamanie Ukoronowaniem decyzji powinno pozwoli na dostosowanie systemów pod
oporów przed zmianą, gdyż pracownicy być wynegocjowanie umów świadczenia potrzeby klientów.
mogą czuć się zagrożeni utratą pracy. usług (SLA). Umowy te powinny między Dostawcy usług będą budować coraz
większe centra obliczeniowe. Przykładowo
Tabela 1. Lista niektórych dostawców dostarczających przetwarzanie w chmurze firma Google zbudowała do poprzedniego
Firma Profil roku globalną sieć około 36 centrów
z liczbą serwerów szacowaną na około
http://google.pl Aplikacje Google zapewniają usługi w zakresie poczty
dwa miliony. Firma Apple obecnie buduje
elektronicznej, kalendarza, dokumentów, wideo i
publikacji witryn. w USA (w Południowej Karolinie) centrum
obliczeniowe wartości około miliarda
http://webex.com Umożliwia organizowanie konferencji wideo w
dolarów. Tak duże moce obliczeniowe
dowolnym czasie, w dowolnych lokalizacjach i na wielu
platformach sprzętowych. Ułatwia organizację spotkań, wynikają z założenia, że centra przejmą
prezentacji oraz interaktywnych szkoleń. ciężar przetwarzania danych. W miejsce
wydajnych komputerów osobistych
http://amazon.co.uk Amazon S3 umożliwia backupy i archiwizację danych,
Amazon EC2 udostępnia platformę dla programistów używane będą lżejsze urządzania, jak
służącą tworzeniu aplikacji. netbooki i coraz częściej będziemy
korzystać z aplikacji instalowanych na
http://www.rackspace.com Cloudsites umożliwia załadowanie strony do chmury
i zapewnia automatyczne skalowanie zasobów do telefonach komórkowych, które będą
aktualnych potrzeb, korzystać z możliwości centrów.
Cloudfiles pozwala na załadowanie plików do chmury
oraz udostępnianie tych danych innym. Testowanie usługi
http://www.salesforce.com Sales Cloud™2 dostarcza aplikację służącą sprzedaży, Z racji udostępnienia usługi zazwyczaj
Service Cloud™2 zapewnia system obsługi klienta, szerokiemu gronu użytkowników jednym
Custom Cloud™2 umożliwia budowanie i udostępnianie z ważniejszych aspektów stają się
aplikacji, testy wydajnościowe. Ich celem jest
Chatter dostarcza platformę i aplikacje społecznościowe.
sprawdzenie zachowania systemu pod
http://www.zoho.com Strona z programami sieciowymi dla małego obciążeniem poprzez symulację wielu
przedsiębiorstwa.
wirtualnych użytkowników. Do tego celu
możemy użyć narzędzi komercyjnych
jak np. HP LoadRunner lub rozwiązań
Słowniczek otwartych jak Apache JMeter, OpenSTA, czy
COBIT – Control Objectives for Information and related Technology
ApacheBench dla serwerów HTTP Apache.
http – Hypertext Transfer Protocol
ISACA – Information Systems Audit and Control Association Ważna pozostaje kontrola
ITIL – Information Technology Infrastructure Library bezpieczeństwa serwisów, a do
KPI – Key Performance Indicator/Kluczowy wskaźnik efektywności cyklicznego jego sprawdzania pomocne
OCG – Office of Government Commerce będą narzędzia takie jak W3AF, Peach
PaaS – Platform as a Service/Platforma jako usługa Fuzzing Platform lub Metasploit Framework.
SaaS – Software as a Service/Oprogramowanie jako usługa
Można także skorzystać z wtyczek do
SLA – Service Level Agreement/Umowa świadczenia usługi
SSL – Secure Socket Layer
przeglądarki Firefox dostępnych pod
VPN – Virtual Private Network/Wirtualna Sieć Prywatna adresem: https://addons.mozilla.org/en-
US/firefox/collection/webappsec.

52 HAKIN9 6/2010
 W zakresie testów funkcjonalnych pozostaje nam
wykonywanie testów manualnych w przypadku testowania
nowych funkcjonalności, bądź automatyzacja testów
powtarzalnych przy wsparciu narzędziami jak Watir, Selenium
lub Sahi. Narzędzia te będą za nas klikać na linki i przyciski,
wypełniać formularze oraz sprawdzać czy wyniki są zgodne
z oczekiwaniami.

Podsumowanie
Przetwarzanie w chmurze będzie coraz bardziej
obecne w naszym życiu i zarówno zarządzający małym
przedsiębiorstwem, jak i korporacjami powinni cyklicznie
weryfikować czy zakres wykorzystania nowej technologii jest
właściwy. Przy podejmowaniu decyzji o wejściu w przetwarzanie
w chmurze trzeba będzie wybrać prywatny lub publiczny
model korzystania z usługi. Ponadto istotne będzie określenie
zakresu korzystania, czy zależy nam wyłącznie na infrastrukturze
informatycznej, czy
chcemy korzystać
z gotowych aplikacji,
czy może korzystać
z platformy do tworzenia
programów. Będzie
możliwy szybszy start dla
nowych firm, które nie
będą musiały budować
działów informatyki.
Świat IT się zmieni
– w związku z rozwojem
przetwarzania w
chmurze nastąpi jeszcze
większa globalizacja
– będziemy mieli coraz
częściej wspólne IT.

Aleksander Ćwikliński
Aleksander T. Ćwikliński (http://pl.linkedin.com/in/alexcwiklinski) ukończył studia
informatyczne na Wydziale Elektroniki Politechniki Warszawskiej. Ponadto zdobył
dyplom Candian MBA w Szkole Głównej Handlowej w kooperacji z Université du
Québec a Montréal. Uzyskał między innymi certyfikat PMP z zakresu zarządzania
projektami oraz certyfikat ITIL Foundation z zakresu zarządzania usługami.
Posiada doświadczenie w rozwoju systemów informatycznych oraz kontroli jakości
w obszarach obsługi klienta, rozliczeń bilingowych, bankowości, podatków oraz
finansów. Zajmował się również zarządzaniem projektami i wydaniami w ramach
zespołów międzynarodowych.
Od kilkunastu lat pracuje w firmie Polkomtel S.A . na stanowisku menedżerskim. Do
jego głównych obowiązków należy kontrola jakości systemów informatycznych oraz
wsparcie procesu wdrożeń. Wcześniej zaangażowany był bezpośrednio w rozwój
tych systemów.
Interesuje się wsparciem informatycznym podejmowania decyzji w zarządzaniu
firmą. Ponadto śledzi zagadnienia związane z marketingiem, a ostatnio
w szczególności marketingiem przychodzącym (inbound marketing). Chciałby
zastosować te metody w realizacji swoich planów.
W pracy zawodowej, realizując zadania, stara się znajdować balans pomiędzy
oczekiwaniami firmy a wymaganiami zespołów oraz indywidualnymi potrzebami
pracowników. Zwraca przy tym uwagę na znaczenie komunikacji dla sukcesu tych
przedsięwzięć. Poszukuje rozwiązań, które zwiększą ilość wolnego czasu. Odzyskany
czas chciałby poświęcić na znajdowanie nowych pomysłów, ich dopracowywanie
oraz wypoczynek.
W drodze do pracy słucha książek audio lub podcastów z zakresu zarządzania,
psychologii lub ekonomii – w języku angielskim, czasem niemieckim. W ten sposób
rozwija swoją wiedzę w obszarach zainteresowań.
Wolny czas spędza z rodziną, majsterkuje lub pracuje w ogrodzie. Kibicuje zespołowi
Renault w Formule 1, w szczególności naszemu kierowcy Robertowi Kubicy.
Kontakt z autorem: aleksander.cwiklinski@gmail.com

6/2010 HAKIN9 53
WYWIAD
Pokaż mi swoje
logi a powiem Ci
kim jesteś
Proszę powiedzieć kilka słów
o sobie.
Andrzej Karpisz – w ZSK pracuję na
stanowisku Inżyniera ds. Systemów
sieciowych, zajmuję się między innymi
konfiguracją urządzeń sieciowych
i rozwiązań zabezpieczających struktury
sieciowe. Wolny czas staram się
spędzać jak najdalej od komputera
– podróże, góry i różne sporty, im bardziej
ekstremalne tym lepsze.
Opowiedz nam o szpiegostwie
komputerowym w kontekście
Chinese backdoor.
Jak najbardziej jest to realne
i potwierdzone. Sprawa tzw. Chinese
backdoor jest sprawą ostatnio
nagłośnioną, ale trochę mylnie
interpretowaną. Sprawa zaczęła się od
informacji, jakie pojawiły się w Internecie,
że wszystkie urządzenia sieciowe
pochodzące z Chin mają wbudowane
mechanizmy, umożliwiające wejście
na urządzenie i poznanie informacji na
temat użytkownika. Rząd chiński twierdzi,
że najbardziej realną wojną przyszłości
będzie wojna w Sieci, ponieważ we
współczesnych czasach wszystko
opiera się na Internecie i dokonanie
zmasowanych ataków na kluczowe
organizacje, banki i serwery może
doprowadzić do finansowego bankructwa
państwa, a co za tym idzie zniszczenia go.
54 HAKIN9 6/2010
Jednak ten problem nie dotyczy
jedynie urządzeń sieciowych
produkowanych w Chinach, ale większości
rozwiązań oferowanych na rynku. Niektóre
kraje takie jak: Wielka Brytania, Szwecja,
czy USA dąży lub już ma wprowadzone
prawo umożliwiające władzy zrobienia
tylnych furtek w celu możliwości zbierania
danych o użytkownikach z kluczowych
urządzeń, serwerów jak zarazem
wymuszenie na firmach typu Microsoft,
Google sposobności dostępu do danych
użytkowników pod pretekstem walki
z miedzynarodową przestępczością
zorganizowaną.
Ostatnio pojawiło się dużo artykułu
na temat Stanów Zjednoczonych, które
kontrolują konta pocztowe użytkowników
Gmail (na szczęście tylko w USA). Jest
to na zasadzie sczytywania nagłówków
e-maili i w momencie istniejącego
zagrożenia możliwość zdobycia nakazu
na przekazania dostępu do poczty w celu
znalezienia organizacji. W Polsce jak na
razie nie jest to prawnie dozwolone, ale
też są takie plany, co uważam za łamanie
naszych praw demokratycznych.
Pokaż mi swoje logi a powiem
Ci kim jesteś – czy Polacy są
świadomi zagrożeń związanych
z użytkowaniem Internetu.
Znaczna większość społeczeństwa nie
zdaje sobie sprawy z niebezpieczeństw
czyhających w Internecie, a jeżeli już
jest tego faktu świadoma to ogranicza
się do zainstalowania darmowego
oprogramowania antywirusowego
pobranego z Internetu, które nie zapewnia
odpowiedniej ochrony. Jednak dzięki
nagłaśnianiu przez media oszustw
dokonywanych w Internecie z roku na
rok świadomość wśród użytkowników
w Polsce wzrasta.
Social engineering – przeżytek,
czy w dalszym ciągu skuteczna
technika pozyskiwania informacji?
Co Pan sądzi w tym temacie.
Jest to nadal wykorzystywana i bardzo
skuteczna metoda łamania haseł
i struktur sieciowych czy uzyskania
dostępu do kont, jak wiadomo najbardziej
zawodnym ogniwem w całej strukturze
jest najczęściej człowiek. Fakt ciągle
skutecznej metody zdobycia haseł
poprzez socjotechnikę wynika z tego,
że natury człowieka nie zmienimy.
Z analiz wykonywanych przez różne
organizacje wynika, że nadal spora
liczba użytkowników posada takie
samo hasło dostępu do poczty czy
komputera czy na portal społeczności
owy typu Nasza-klasa.pl, a co gorsza
hasło jest najczęściej synonimem
bliskiej osoby użytkownika, czy jego
rodziny. Hasło najczęściej składa się
z kombinacji znaków wywodzących się
 POKAŻ MI SWOJE LOGI A POWIEM CI KIM JESTEŚ
z daty urodzenia, imienia czy ulubionego
zwierzaka czy hobby, więc poznanie
dobrze osoby może znacznie ułatwić
odgniecie hasła.
Cyberterroryzm – realne
zagrożenie czy literacka fikcja?
Cyberterroryzm jak najbardziej jest
realny. Jednym z przykładów może być
przygotowywanie się rządu chińskiego
czy USA do tego rodzaju terroryzmu.
Jak wiemy we współczesnych czasach
wszystko oparte jest o rozwiązania
sieciowe i komputery. Nie ma dziedziny,
w której by nie używało się komputera,
zaatakowanie neuralgicznych serwerów
punktów w państwie może doprowadzić
do utraty stabilności – wyobraźmy
sobie atak na serwery kluczowych
banków – uniemożliwienie wykonania
transakcji prze okres dłuży niż 4 godziny
doprowadzić może do jego upadku!!!
Powszechna informatyzacja sprawiła, że
większość przestępców przeniosło się
z realnego świata do Sieci.
Jak wiadomo wiele firm wdraża
NAC (Network Access Control)
– pytanie czy technologia się
przyjmuje z powodzeniem i czy na
chwile obecną są określone jakieś
standardy.
Standard,zaproponowany przez firmę
Microsoft w współpracy z innymi
producentami, jest rozwijany. Uważam,
że technologia się sprawdza i przyczynia
się do podniesienia poziomu
bezpieczeństwa – szczególnie urządzeń
mobilnych. Zmusi także użytkowników
o dbanie o aktualizacje oprogramowania
znajdującego się na komputerze
– co podnosi poziom bezpieczeństwa
użytkownika przy podłączeniu do Sieci.
Czy istnieją rozwiązania
monitorujące prace użytkownika
oraz zabezpieczenia przed
instalowaniem programów na
urządzeniach mobilnych.
Na rynku można spotkać wielu
producentów rozwiązań monitorujących
prace użytkownika, a zarazem
zabezpieczających jego dane oraz
urządzenie, na którym pracuje i łączy
się z Internetem. Praktycznie większość
vendorów sieciowych, zajmujących
się bezpieczeństwem, posiada w swej
ofercie rozwiązania typu ENDPOINT,
które pozwala na kontrolę tego, co
użytkownik otwiera i co instaluje na
swoim komputerze.
Czym różnią się switche warstwy
3 od routerów, czy potrafią także
obsługiwać protokoły routingu,
czy jak zwykłe switche wpływają
tylko na domenę kolizji, czy także
na domenę rozgłoszeniową ?
Switch warstwy 3, jeżeli chodzi o obsługę
protokołów, może się praktycznie być
taki sam jak router. Jednak jak sama
nazwa mówi switch, czyli przełącznik,
jego główną rolą jest jak najszybsze
przesyłanie pakietów miedzy adresem
źródłowym, a docelowym, a zarazem
wykonywanie segmentacji sieci w celu
uniknięcia kolizji pakietów. Główną
różnicą pomiędzy routerem a switchem
warstwy trzeciej (L3) jest możliwość
przechowywania wielkości tablicy
routingu i adresów MAC, która jest
znacznie większa niż w przypadku
przełączników warstwy trzeciej. Nie
możemy również zapominać, że
przełącznik musi obsłużyć średnio od
12 do 48 portów, natomiast router tych
portów posiada zaledwie kilka.
Jak odpowiednio zabezpieczyć
się przed "podsłuchem" w sieci
VOIP, tudzież przechwytywaniem
pakietów? Czy jest w ogóle
możliwe tunelowanie pakietów do
serwera voip-owego?
W celu zabezpieczenia przed
podsłuchem VOIP najbardziej sensowną
metoda jest zastosowanie przełącznika
umożliwiającego tworzenie VLAN-ów,
czyli obsługującego protokół 802.1Q.
Przy wykorzystaniu protokołu 802.1Q
należy utworzyć VLAN dedykowany
dla ruchu VOIP, co oddzieli ruch VOIP
od reszty ruchu w sieci, a zarazem
zapewni nam segmentacje, co powinno
korzystnie wpłynąć na poprawę jakości
rozmów. Inną metodą zabezpieczeń jest
szyfrowanie rozmów VOIP pomiędzy
rozmówcami, jednak jak na specyfikę
tej technologii nie jest to szyfrowanie na
wysokim poziomie.
Jak to jest z szyfrowaniem
w VOIP-ie?
Jest to pewien rodzaj utrudnienia
dostępu do rozmów, ale nie jest to
zabezpieczenie ponieważ szyfrowanie
zastosowane w technologii VoIP jest
na niskim poziomie i jest łatwe do
złamania.
Szyfrowanie zawartości dysków
w trosce o bezpieczeństwa danych,
a może lekarstwo na biegłych
sądowych...
Jest to istotny aspekt
zabezpieczenia komputerów,
szczególnie przenośnych, które mogłyby
trafić do osób niepowołanych, jest to
zabezpieczenie przed dostaniem się do
dokumentów firmowych i prywatnych
danych.
O kryptografi w kontekście
informacji na temat złamania 768-
bitowego klucza RSA.
Obecnie klucz RSA 768-biotowy nie
jest zabezpieczeniem. Został złamany
w przeprowadzonych zawodach przez
firmę RSA Challange – naukowcom
zajęło to ok. 2,5 roku i nie uważa się
go już za zapewniający wysoki poziom
zabezpieczenia. Z przeprowadzonych
badań wynika, że złamanie klucza 1024
nastąpi w ciągu najbliższych 10 lat, więc
zaleca się do roku 2014 wycofanie się
z jego użytkowania.
Co Pan sądzi o naszym piśmie?
Jest to pismo profesjonalnie,
opisujące nowości w informatyce
i telekomunikacji. Godne źródło
konkretnych informacji.
6/2010 HAKIN9 55
 KLUB TECHNICZNY
NETGEAR ProSecure
– Profesjonalne
zabezpieczenia dla MSP
Nie ulega wątpliwości, że sieci firmowe są szczególnie narażone na zagrożenia
pochodzące z zewnątrz. Odpowiedzialna organizacja potrzebuje profesjonalnych
zabezpieczeń, które zagwarantują pełne bezpieczeństwo plikom, danym i poczcie
elektronicznej. Takie bezpieczeństwo sieci firmowej zapewnią urządzenia z serii STM
ProSecure oraz UTM ProSecure.

W
raz z postępem technologii
i nowymi programami
zabezpieczającymi komputer
i sieć, rozwijają się metody ataków
sieciowych często wykorzystujące nie
tylko oprogramowanie, ale również
metody socjotechniczne. To wszystko
powoduje, że zagrożenia związane
z korzystaniem z Internetu są wielokrotnie
większe, niż jeszcze kilka lat temu.
Nawet najnowocześniejsze programy
antywirusowe czasem nie są w stanie
zagwarantować pełnego bezpieczeństwa,
zwłaszcza w większej firmie.
Dlatego warto zaopatrzyć się
w urządzenie, dzięki któremu sieć
firmowa nie będzie narażona na
zagrożenia wewnętrzne oraz zewnętrzne.
Takie bezpieczeństwo gwarantują
urządzenia zabezpieczające z serii
STM oraz UTM. STM to trzy urządzenia:
STM150, STM300 oraz STM600. Liczba
w nazwie określa ilość użytkowników,
dla której rekomendowane jest dane
urządzenie. STM nie wymaga licencji na
użytkowników, a jedynym ograniczeniem
jest wydajność samego urządzenia.
Dzięki współpracy NETGEAR z doskonale
znaną na świecie firmą Commtouch,
urządzenia STM UTM wyposażone są
w szereg najwyższej klasy zabezpieczeń:
Recurrent Pattern Detection (RPD), czyli
system wykrywania powtarzających
się wzorców, GlobalView – technologię
filtrowania adresów URL oraz niechcianej
poczty. Najważniejszą cechą tej funkcji
jest baza, która jest aktualizowana za
pomocą sond analizujących ponad
5 mln źródeł pod względem różnego
rodzaju zagrożeń. Warto również
wspomnieć o ilości sygnatur wynoszącej
1,6 mln. Jest to wartość trzykrotnie
większa od wartości, którą deklaruje
najbardziej zbliżony konkurent.
W urządzeniach z serii STM
zastosowano silnik antywirusowy firmy
Kasperski, który według wielu niezależnych
testów plasuje się na pierwszym
miejscu pod względem skuteczności.
Zastosowanie silnika Kasperski daje
dostęp do jednej z największych baz
sygnatur szkodliwego oprogramowania.
Jedną z najważniejszych technologii
zaimplementowaną w produktach z serii
ProSecure jest strumieniowe skanowanie,
które pozwala na kontrolę pakietów
przychodzących oraz wychodzących pod
względem szkodliwego oprogramowania

56 HAKIN9 6/2010
NETGEAR PROSECURE – PROFESJONALNE ZABEZPIECZENIA DLA MSP
przy zachowaniu efektywności łącza
na poziomie 93%. W odróżnieniu od
rozwiązań konkurencyjnych skanowanie
strumieniowe skanuje określaną
porcję danych, a nie całe pliki,
wprowadzając niepotrzebne opóźnienie.
Zaimplementowany mechanizm
skanowania jest odpowiedzią na
zmieniające się zagrożenia, które
częściej napływają z sieci Internet,
gdzie przesyłanie danych również
odbywa się w sposób strumieniowy.
Technologia skanowania strumieniowego
jest do 5 razy szybsza od technologii
wykorzystywanych w rozwiązaniach
konkurencyjnych. NETGEAR ProSecure
nie bazuje na oprogramowaniu open
source, co w znacznym stopniu utrudnia
złamanie zabezpieczeń urządzenia. Jest
to bardzo istotne, biorąc pod uwagę
fakt, że dostęp do kodu open source
posiadają nie tylko osoby rozwijające
dany kod, ale również osoby stanowiące
zagrożenie.
Seria UTM poza funkcją skanowania
poczty oraz filtra antyspamowego
posiada funkcję routingu. W zależności
od modelu urządzenie obsługuje do
5, 10 lub 25 użytkowników. Posiada
wszystkie technologie zaimplementowane
w rozwiązaniach STM, takie jak
strumieniowe skanowanie. Jest to
efektywne kosztowo rozwiązanie
przeznaczone dla mniejszych firm, które
wymagają równie wysokiego poziomu
zabezpieczeń, co duże organizacje
zatrudniające kilkuset pracowników.
Zarówno seria STM, jak i u UTM
posiadają mechanizmy umożliwiające
ochronę sieci wewnętrznej przed atakami
socjotechnicznymi wykorzystującymi
aplikacje powszechnie dostępne.
Administrator sieci za pomocą kilku kliknięć
może zablokować porty odpowiedzialne za
funkcjonowanie aplikacji takich jak Skype,
GG, BitTorrent czy też pocztę zawierającą
potencjalne zagrożenie zawarte w treści
maila. Administrator ma również możliwość
zablokowania stron internetowych,
których treść może wpłynąć nie tylko
na bezpieczeństwo firmy, ale także na
efektywność pracy organizacji.
Urządzenia z serii STM300 oraz
STM600 posiadają również dedykowany
port umożliwiający zarządzanie oraz mogą
pracować w trybie baypass, dzięki czemu
w przypadku awarii sieć lokalna nie traci
dostępu z do sieci zewnętrznej. Jest to
bardzo użyteczna funkcja przy założeniu
ze urządzenie znajduje się w miejscu, które
uniemożliwia przełączenie urządzenia.
Niezależnie od wersji urządzenia z serii
ProSecure można zakupić w komplecie
z licencjami na antywirus, antyspam, oraz
opieką serwisową na rok lub na trzy lata.
Klient ma również możliwość zakupienia
urządzenia bez licencji oraz dokupienie
licencji, która jest mu najbardziej potrzebna.
Elastyczność rozwiązania pod
względem licencjonowania oraz pod
względem funkcjonalności plasuje
linię urządzeń ProSecure w czołówce
światowych liderów w cenie do tej pory
nieosiągalnej dla tej klasy rozwiązań. Na
końcu warto wspomnieć, że urządzenia
STM oraz UTM są certyfikowane przez
organizację ICSA Labs organizację
specjalizującą się w testowaniu rozwiązań
antywirusowych.
6/2010 HAKIN9 57
FELIETON

Miara
bezpieczeństwa
Próba pomiaru bezpieczeństwa może prowadzić w korporacyjnym świecie
do różnych aspektów bezpieczeństwa. Dlatego tak jak w przeszłości musi być
ono traktowane oddzielnie, lecz spójnie – szczególnie przez różne wydziały ds.
bezpieczeństwa rzadko komunikujące się ze sobą (IT, fizycznego, zapobiegania
oszustwom itp.). Dzisiaj bezpieczeństwo jest bardziej dziedziną sztuki niż
naukowym podejściem. Osadzone w postrzeganiu jako dobre zabezpieczenia i złe
zabezpieczenia koncentruje się bardziej wokół możliwości i paranoi, niż analizie
i rzeczywistym pomiarze.

W
czasach, w których środki
budżetowe są ograniczane,
a zagrożenia pochodzące
z Internetu ciągle rosną – ważne
jest dla organizacji, by inwestować
w zabezpieczenia sieci, które nie tylko
zapewniają dużą funkcjonalność, ale
także szybki zwrot z poczynionych
inwestycji. W większości firm IT
sukces tego rodzaju inwestycji
zazwyczaj obliczany jest poprzez
efektywność, wykorzystanie zasobów
i, co najważniejsze, jak szybko
inwestycje mogą być zwrócone.
W celu prawidłowego obliczenia ROI
(ang. return on investment – zwrot
z inwestycji) technologii informatycznych,
organizacje najczęściej mierzą
oszczędność kosztów w stosunku
do zwiększenia zysków od momentu
pierwszej realizacji/implementacji
projektu. Dodatkowo zwrot z inwestycji
może również bazować na ogólnym
wpływie inwestycji na produktywność
pracowników, jak i całego środowiska
roboczego firmy. Dokonywanie
błędnych decyzji w tym zakresie
może doprowadzić do wyczerpania
zasobów lub wymogu wprowadzenia
nadzoru w poszczególnych obszarach
wymagających ochrony. Ze względu
na potencjalnie wyniszczające
i kosztowne do pokrycia naruszenia
bezpieczeństwa. Aby uniknąć takiej
sytuacji, konieczne jest, aby wszystkie
organizacje zainwestowały w solidną
i elastyczną infrastrukturę z miejscem
na przyszłe ekspansje. Ponadto
wykorzystanie rozwiązań Open Source
może konsekwentnie zapewnić większy
ROI, znacznie zwiększyć bezpieczeństwo
i zapewnić większą elastyczność.
Oczywiście takie inwestycje będą
zasadniczo zmieniać postać
zarządzania informacją i prezentacji
wyników metrycznych.
W odniesieniu do zakupów
związanych z bezpieczeństwem
IT znacznie trudniej jest zmierzyć
dokładny ROI. Na przykład, jeśli chodzi
o zabezpieczenia sieci dużej firmy
korporacyjnej, staje się niemożliwe do
przypisania dokładnej kwoty wyrażonej
w złotówkach do osiągniętego poziomu
bezpieczeństwa niezbędnego do
utrzymania firmy z dala od rosnących
zagrożeń z Internetu. Sieci różnych maści
stały się niezbędne do funkcjonowania
różnych firm, laboratoriów, uczelni
wyższych czy instytucji rządowych.
Ponieważ w dalszym ciągu rozwijane
są pod względem wielkości i złożoności
– ich bezpieczeństwo stało się jedną
wielką obawą. Regularnie odkrywane
luki w aplikacjach są wykorzystywane
w każdym etapie cyberataków. Dlatego
nie ma do końca obiektywnej metody
pomiaru bezpieczeństwa w sieci
firmowej, a utrzymanie lub zwiększenie
środków bezpieczeństwa wymaga
określenia świadczeń na konkretne
przedsięwzięcie. By je uzyskać należy
przejść przez liderów biznesu, którzy
w głównej mierze bazują na pomiarach
wydajności oraz opłacalności;
sprzedawców dla których liczą się
tylko zyski; administratorów sieci
odpowiedzialnych za gwarantowany
uptime czy pracowników działu
obsługi klienta oceniających
satysfakcję z dostarczanych usług.
Bez przedstawienia przez specjalistów
ochrony informacji konkretnych
pomiarów, wymiernych standardów
i profitów dla wkładu organizacji
– przeforsowanie naprawy niektórych
luk bezpieczeństwa w większych
firmach nie ma szans powodzenia.
Zawsze wspierać można się wynikami
przeprowadzonych audytów, których
wyniki służą do oceny gotowości
i ustalenia środków, które mogą być
zastosowane w celu zwiększenia

58 HAKIN9 6/2010
efektywności naszych działań na polu
bezpieczeństwa informacji. Na przykład
audyt IT organizacji przed wdrożeniem
konkretnego standardu (programu)
bezpieczeństwa może wynikać z ośmiu
etapów bezpośrednio związanych
z wykrytymi lukami. Jeśli kolejne etapy
przeprowadzane po określonym czasie
wykażą, że poprzednio wprowadzone
procedury czy mechanizmy wśród
etatowych pracowników zmniejszyły
Reklama
liczbę luk i uchybień z 30% do 15%
– będzie to mocny argument na
zwiększenie środków przeznaczonych
na bezpieczeństwo IT. Pokazuje to
również, jak można użyć liczby i stopnia
stwierdzonych braków w tych audytach
jako miara skuteczności wdrożenia
bezpieczeństwa. Jednak należy
pamiętać, że nadal jest to tylko miara
skuteczności mierzona w konkretnych
warunkach i przez konkretnych ludzi.
W efekcie bardzo trudno jest
nam odpowiedzieć na takie pytanie
czy jesteśmy bardziej bezpieczni
niż wczoraj? lub jak inwestować
nasze ograniczone zasoby do
poprawy bezpieczeństwa? czy
jaki wpływ ma ta luka na ogólne
bezpieczeństwo mojego systemu?
Poprzez zwiększanie wydatków
na bezpieczeństwo IT organizacja
może zmniejszyć ryzyko związane
6/2010 HAKIN9 59
FELIETON
z naruszeniem bezpieczeństwa.
Jednak do wykonania takiej analizy
potrzebne są kwantyfikacyjne
modele bezpieczeństwa zamiast
wszechobecnych modeli
jakościowych. Dlaczego? Ponieważ luki
w zabezpieczeniach są nieokiełznane.
CERT (ang. Computer Emergency
Response Team) raportuje około
stu nowych luk bezpieczeństwa
w każdym tygodniu. Gdzie teraz nie
staje się coraz trudniejsze zarządzanie
bezpieczeństwem sieci firmowej
(z setkami hostów oraz różnych
systemów operacyjnych i aplikacji na
każdym hoście) w obecności tylu luk
w oprogramowaniu, które mogą być
w każdej chwili wykorzystane? Dodajmy
do tego bezpieczną konfigurację
całego systemu, która już dla
pojedynczego hosta potrafi być bardzo
złożona. Trudno jest skonfigurować
sieć większego przedsiębiorstwa
i wszystkie jego elementy, w celu
spełnienia większości wymogów
bezpieczeństwa. Także instalacja
komponentów oprogramowania
nawet wielu komercyjnych dostawców
w domyślnej konfiguracji tworzy często
luki. Administratorzy systemów często
popełniają błędy w konfiguracji systemu,
co powoduje ułatwienia w potencjalnym
włamaniu. Bez kwantyfikacyjnych
modeli bezpieczeństwa trudno jest
porównać konfigurację jednej sieci
60 HAKIN9 6/2010
z drugą. Przynajmniej, ze względu
na fakt, że agresorzy coraz częściej
uruchamiają na masową skalę
kompleksowe, wieloetapowe ataki.
Ataki takie wymierzone w wiele
hostów mogą stopniowo przenikać
do sieci wewnętrznej i ostatecznie
skompromitować krytyczne zasoby.
Bezpieczeństwo IT zawsze było
gorącym tematem, ale zazwyczaj
skupiającym swoją uwagę na jego
„Bezpieczeństwo można rozpatrywać na różne
sposoby przez różnych ludzi”
Naukowiec z National Institute of Standards and Technology.
braku. W porównaniu z bardziej
dojrzałymi działami IT, metrologia
bezpieczeństwa jest wciąż niedojrzałą.
Kwestia ta jest na tyle skomplikowana,
że bezpieczeństwo oznacza różne
rzeczy dla różnych osób i organizacji.
Bezpieczeństwo może być ryzykiem,
jak i polityką zależną od punktu
widzenia organizacyjnego. Na
przykład zastosowane na tej samej
platformie wypełnionej danymi o tym
samym poziomie wrażliwości, ale
w dwóch różnych firmach, może
zostać uznane za odpowiednie
dla jednej, a niewłaściwe dla
drugiej. Oznacza to, że ustalenie
tak potrzebnych, kwantyfikacyjnych
modeli bezpieczeństwa, które
mogłyby być użyte do systemu
sensownych porównań między
różnymi organizacjami czy firmami
jest niezwykle trudne do osiągnięcia.
Tak samo nie ma standardowych
terminów dla opisu zjawiska
bezpieczeństwa czy możliwości
usunięcia podmiotowości z tego
zjawiska. Środki bezpieczeństwa mogą
być właściwie wdrażane, ale nie zawsze
skuteczne. Skuteczność mechanizmów
bezpieczeństwa wymaga ustalenia,
jak dobrze komponenty wymuszające
bezpieczeństwo wiążą się ze sobą
oraz współpracują synergicznie. Innymi
słowy: co jest skuteczne dla jednego
systemu, może nie być dla innego.
Na przykład FISMA (ang. Federal
Information Security Management
Act ) opisuje kryteria do klasyfikacji
systemów jako niski, średni czy wysoki.
W pewnych warunkach podział taki
może być subiektywny, ponieważ
przypisując systemom ranking
liczbowy można zatrzeć rozróżnienie
pomiędzy środkami jakościowymi
i ilościowymi. Więc czy kwantyfikacyjne
modele bezpieczeństwa są
osiągalne? Tak, ale nie spełniają one
wszystkich warunków, które byśmy
chcieli. Brakuje obiektywnych dróg
Wayne Jansen
umożliwiających skuteczne zmierzenie
bezpieczeństwa. Istnieją na przykład
różne pomiary jakości kodu dla
programistów czy procesy wdrażania
systemu i jego utrzymania przez
użytkowników. Zaobserwowano szereg
działań zmierzających do ustalenia
metrycznych systemów bezpieczeństwa,
w tym CCITSE (ang. Common Criteria
for Information Technology Security
Evaluation lub po prostu Common
Criteria), TCSEC (ang. Trusted
Computer System Evaluation Criteria
lub Orange Book) czy ISSEA SSE-CMM
(ang. Inernational Systems Security
Engineering Assocition's Systems
Security Engineering Capability
Maturity Model), gdzie w każdym
z nich uzyskano jedynie częściowy
sukces odnoszący się do konkretnego
aspektu bezpieczeństwa. Za przykład
wyprofilowanych, ogólnodostępnych
standardów można podać ASVS
(ang. Application Security Verification
Standard) projektu OWASP (ang. Open
Web Application Security Project )
odnoszący się tylko do sektora aplikacji
webowych czy FIPS 140 (ang. Federal
Information Processing Standardization
140 ), opisujący standardy dla modułów
kryptograficznych. Dlatego nie można
bazować tylko na jednym systemie
miar bezpieczeństwa ze względu na
konieczność zwrócenia uwagi na różne
elementy bezpieczeństwa oddzielnie.
Patryk Krawaczyński
Kontakt z autorem: patryk.k@nfsec.pl
Słowo
kończące
Drodzy Czytelnicy,
Oddaliśmy właśnie w Państwa ręcę pierwsze wydanie hakin9, które udostępniamy za pomocą naszej strony WWW
całkowicie za darmo!!!

Mam nadzieję, że ten pomysł przypadnie Państwu do gustu i ochoczo będziecie ściągać nasze wydania co miesiąc.
Wystarczy, że klikniecie w nasze nowe pismo...a magazyn w formacie pdf znajdzie się na Waszych komputerach.

Zapraszamy także osoby chętne do współtworzenia naszego pisma w nowej formie.

Jeżeli chcesz napisać ciekawy artykuł lub recenzować produkty to zgłoś się do nas.

Pozdrawiam
Katarzyna Dębek

Aktualne informacje o najbliższym numerze znajdziesz na naszej stronie

www.hakin9.org/pl.

Następny numer dostępny on-line

na początku czerwca 2010
Redakcja zastrzega sobie prawo zmiany zawartości pisma.

62 HAKIN9 6/2010