Re: lug-bg: ip spoofing?!

[Vesselin Kolev <vlk@xxxxxxxxxxxxxxxxx>]

Peter Pentchev wrote:

> [snip остатъка от превъзходното обяснение]
>
> Мдаааа.. сега на теория бих могъл да се измъкна и да кажа, че, разбира
> се, това ми е било много добре известно и е покрито от въпроса ми дали
> изходът на 'route print' е *правилен*, и че под "правилен" съвсем не съм
> имал предвид само default gateway, ами и всичко останало... но, разбира
> се, това няма да е вярно :)  Изобщо не бях се сетил за анонси на
> мрежички и подмрежички, а наистина е възможно...
>
> Само че.. това няма ли също да се види с 'route print' или съответно
> 'netstat -rn'? :)
>
>  
При късмет може и да го видиш. Т.е. можеш да го видиш, ако анонса е още 
активен. Ако някой прави периодични измами:) ще тренираш изпълнение на 
route print до полуда. Иначе, ако някой иска да бъде гадняр, ще прави 
епизодични анонси:) освен, ако не е глупак и не иска да бъде засечен от 
раз. Примерно, ясно е, че няма защо да ти мами всеки пък направлението 
към POP3 хоста, след като ти си проверяваш пощата през интервал по доста 
пъти за ден и час. За нeговите цели е достатъчно да направи една измама 
на направление в момента, в който ти правиш заявка за сесия и паролата и 
името за пощенския му акаунт са при него:) После спира анонсите и си 
прави лошите действия. Единичният проблем с достъпа до една услуга е 
много по-трудно забележим, отколкото многократно повтаряшия се проблем и 
това е прекрасна основа за прикриване на атаката по метода на социалното 
инженерство. Същото е със SMTP. Може да иска да накара хората да 
направят удостоверяване и да договори с клиента plain text auth и да 
стане голямо веселие:) Е, ако клиентът е съобразителен ще забрани този 
вид удостоверяване, но .. опита ми сочи, че това не се случва за мой 
ужас. Т.е. срещу периодично използвани услуги най-сигурна е периодичната 
атака.
Друг мръснишки номер от чувала с гадостите... Анонси по RIP от типа 
Peer-to-Peer по 520/udp само до жертвата. Един своебразен unicast връх 
на гаднярството. Така, ако слушаш за multicas пакети, нищо няма да 
хванеш. Също така няма да хванеш и broadcast-а. Щото нали схемата на 
инжектиране на лошите маршрути е unicast.
Тук веднага някой ще каже "а, ще ползваме SSL и всичко ще е наред". 
Хаха:) жестока заблуда. Представяме си, че администраторът на пощенските 
услуги е много голям фен и е пуснал POP3S и SMTP/TLS. Всичко е 
прекрастно. Утре идва един още по-голям фен и по метода на социалното 
инженерство кара кака Пена да сложи CA сертификат в браузъра 
си/пощенския си клиент (все едно дали е Mozilla (оттам в Mozilla Mail) 
или IE (оттам в Outlook Express) - последния не работи със SMTP/TLS, но 
POP3S има). После прави сертификат за пощенския сървър, който каката 
ползва, подписва го със своя CA сертификат и го слага на машина-измамник 
при себе си. След това анонсира измамната машина като хост по описаната 
по-горе схема и почва да разиграва пълно шоу. Каката се връзва към 
машината-измамник, има валиден сертификат.. но пак нищо не е наред 
въпреки, че не се забелязва. Басирам се, че всички ще са в транс от 
факта, че хем има удостоверяване (клиента на каката няма да протестира, 
че сертификата на хоста не е верен, щото ще има проверка на валидността 
с подхвърления CA сертификат, хем ще има измама, щото никой няма да се 
сети да види, че този сертификат е подписан от удостоверител дето не 
трябва да му се вярва:) Това съм го показвал на доста хора и ме кефи да 
видя потреса в очите им. Никой почти не прави труда да види кой точно е 
подписал сертификата на хоста, до който се прави връзката:) 
Администраторите ходят, слухтят за MAC адреси, чудят се какво става.. 
изобщо весело е. Назначават се среднощни оперативки, изпиват се кофи 
кафе и се изговарят часове глупости.
Е, пак не казвам, че това е причината :) но може да се помисли над това.

 Поздрави
   Весо




============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================