[NTG] Jaki fire-wall?

RoMan Mandziejewicz napisał(a):

Ej, co to znaczy nieopatrznie ? Chcesz aby nastały czasy softu myślącego za usera ? Skoro udostępniłeś zasób - to po co FW miałby blokować do niego dostęp ? Chrońcie mnie wszyscy święci od softu wyręczającego mnie w myśleniu.

Nie zgadzam się, ale muszę stwierdzić, że właśnie do takiej grupu userów adresuje się firewalle. Tzn jak czegoś nie wiesz, to zainstaluj nasz soft. Efekty widać w sieci - np. problemy z elekcją masterbrowsera które mam na codzień (i WinS niewiele pomaga). Winą są własnie FW które OOTB konfigurowane są w tybie "paranoic".

Ponadto co to za dłubanie: nawet rejestru nie trzeba edytować a jedynie kliknąc z 5 razy.

Szkoda, bo jak wsiada do samochodu to musi znać kodeks i potrafić jedzić. A komputerem też może zrobić innym kuku choć może w innej skali.

Hmmm... jesli mówimy o małych łaczach typu modem to zgodzę sie ze każdy bajt jest cenny i tu podzielam twoje zdanie o wyłaczaniu wszelkich zbędnych rzeczy. Jednak zdecydowana wiekszośc userów jest wpięta do lepszej czy gorszej ale w miare przepustowej sieci lokalnej i to o nich cały czas pisze. Ty jesteś dinozaurem ;)

Jesteś marginesem a nie typowym Kowalskim. Zezwalam na korzystanie przez Ciebie z FW w drodze wyjątku ;)

OK, znowu nie piszę do Ciebie, tylko do przeciętnego Kowalskiego.

Nie masz racji. Zeby sie upewnic wlasnie rozmawialem ze specem od windowsow (trener microsoftu). Pomimo tego, ze oba procesy beda chodzic z konta system (bo o to zapewne ci chodzilo) odwolania do systemu plikow beda sie odbywac za posrednictwem systemu operacyjnego, a wiec beda ich dotyczyly zalozone przez uzytkownika ograniczenia. Jedyna mozliwoscia jest przejecie uprawnien do pliku z konta administracyjnego, z tym, ze uzytkownik nie powinien dzialac z takiego konta, a wiec uruchamiane przez niego aplikacje rowniez. Ergo, jesli w systemie nie ma bledow to takie dzialanie nie jest mozliwe.

Wyslalem sprostowanie, pozniej zauwazylem ta niejednoznacznosc.

Chodzilo o idee, tak jak z tym ping of death, na ktory solucja jest od dawna.

A dlaczego ruch mialby przechodzic przez niego? Przeciez atak MITM mozna przeprowadzic takze wtedy kiedy ruch nie przechodzi bezposrednio przez twoj komputer.

Ok, koryguj, ale tak, zeby nie robily sie kolejne;)

[...]

A potem takich specjalistów-klikaczy trzeba ratować, bo sami nie wiedzą, co naklikali. Ja już naprawdę wolę, żeby _nie_ klikali gdzie nie trzeba.

Pomiędzy znać kodeks a umieć naprawiać i tuningować samochody jest duża różnica. Z Twoich słów wynika, że sam sobie naprawisz telewizor, instalację elektryczną, hydraulikę w domu, pralkę, lodówkę i obowiązkowo samochód. No bo jak uzytkownik tych rzeczy może się na nich nie znać?

SDI, dokładnie.

Znam swój wiek i nie musisz mi go przypominać ;-P

[...]

T.M.F. napisał(a):

później zauważyłem to sprostowanie, więc już nie wysyłałem sprostowania do mojego postu, bo nic dodać, nic ująć.

pisałeś w czasie teraźniejszym, tak jakby te wszystkie zagrożenia czychały nadal na przeciętnego Kowalskiego bez firewalla, dlatego się przyczepiłem. jeśli chodziło o idee,

,,podręcznikowa'' definicja MITM mówi o możliwości odczytu, modyfikacji i przesyłania dalej pakietów. jak to zrobić inaczej, gdy ruch nie idzie przez komputer atakującego? jeśli masz pod ręką jakieś teksty na ten temat to chętnie poczytam -- a nuż przez te parę lat definicja zdążyła się zmienić.

staram się najlepiej jak mogę ;)

w.

A potem ja musze kombinować jak postawić sieć na nogi, bo specjaliści-instalacze śmieci z CoverCD naistalowali jakiegoś softu (FW głównie) sami nie wiedzą jakiego i uszkodzili mi otoczenie sieciowe. To ja już wole klikaczy.

Hmmm.. wiesz mamy inną skalę. Dla mnie jesli ktoś chce usunąc NetBIOS na konkretnej karcie, to po prostu wyłacza jeden ptaszek w odpowiednim miejscu. A to dlatego że skoro ma taką potrzebę*, to zna się na komputerach więcej niż gadanie przez GG. To nie jest żadna magia, a komputery nie są dla totalnych idiotów. Nie porównuj wyłaczenia jednego dobrze opisanego ptaszka do naprawiania pralki czy samochodu. Jeśli ktoś nie potrafi właczyć klimatyzacji w samochodzie przyciskiem na desce to nie oferuj mu w zamian wakacji na grenlandii. Można prościej.

[*] Jesli nadejdzie dzień w którym systemy operacyjne zostają sprowadzone do okienka z przyciskami "Napisz podanie o podwyżkę","Napisz pozew do sądu na sąsiada","Puść jakiś film","Nudzi mi się wymyśl coś" to ja WYSIADAM i zajmuje się zbieraniem kapsli albo innym rozwojowym hobby. Komputery NIE SĄ przeznaczone dla osób nietechnicznych i dyskucja że kowalski nie musi czegoś wiedzieć nie ma sensu - kowalski ma OBOWIĄZEK coś wiedzieć bo inaczej narobi bałaganu sobie i innym. Z niecierpliwością oczekuje odpowiednika prawa jazdy na komputer w szczególności obserując zachowania moich userów. Reszta może się zająć innymi zajęciami byle daleko od informatyki. Takie mam smutne przemyslenia ...

W czym nie mam racji ? W tym, że usługi chodzą z uprawnieniami użytkownika "system", czy w tym, że użytkownik ten ma domyślnie pełną kontrolę nad wszystkimi plikami i katalogami na dysku ?

Ja nie rozmawiałem z trenerem microsoftu, za to sprawdziłem z jakimi domyślnymi uprawnieniami chodzą usługi systemowe (większość ma uprawnienia użytkownika "system"), a następnie sprawdziłem jakie uprawnienia ma ten użytkownik choćby w katalogu systemowym ("pełna kontrola"). Wniosek z tego jest bardzo prosty, ale widać w materiałach szkoleniowych pominięto ten szczegół :->

Ja mówiłem o koncie "system", które ma o wiele większe uprawnienia niż konto administracyjne. Dowód ? Spróbuj z konta administratora ubić jakikolwiek proces użytkownika "system". Za to z konta "system" nie ma żadnego problemu z ubiciem jakiejkolwiek usługi.

No ba.

Sygate Personal Firewall

(darmowy na jedno niekomercyjne stanowisko)

sword

W tym, ze ten uzytkownik ma pelna kontrole nad plikami i katalogami.

Ale co to ma do rzeczy? Po pierwsze - zlosliwy kod musi byc odpalony w kontekscie konta system, a jesli jestes zalogowany jako zwykly uzytkownik to nie ma takiej mozliwosci - odpali sie w twoim kontekscie. Uruchamiajac program nawet z najwyzszymi uprawnieniami ciagle dostep do dysku jest mozliwy WYLACZNIE za posrednictwem sterownika NTFS, a wiec z respektowaniem wszystkich ograniczen nalozonych na pliki.

Wlasciwie nie ma roznicy z ktorego z tych kont odpalasz program, bo admin ma prawo odpalania procesow w kontekscie local system.

Ok, wiem, ze chodzilo ci o konto system. Niemniej jednak nawet z tego konta dostep do dysku odbywa sie za posrednictwem SO, a wiec z respektowaniem zalozonych ograniczen. Wyobraz sobie sytuacje - jestes zalogowany jako zwykly uzytkownik, odpalasz zlosliwy kod - na systemie FAT kod ten ma dostep bez ograniczen do calego dysku, na NTFS wylacznie do plikow uzytkownika. I to mialem na mysli piszac, ze NTFS jest bezpieczniejszy. Zeby uzyskac dostep do plikow systemowych kod musi byc wykonany z konta administracyjnego lub system. Podobnie w celu uzyskania dostepu do plikow uzytkownika innego niz zalogowany.

Pakiety nie musza fizycznie przechodzic przez twoj komp, w sensie, ze nie musisz byc gatewayem dla atakowanego kompa, wystarczy, ze bedziesz z nim w jednej podsieci. Inna sprawa, tez raczej historyczna to komunikaty icmp_redirect i wymuszenie zmiany trasy routingu, podobny problem przy dynamicznym routingu. Inne mozliwosci to DNS spoofing/poisoning, DHCP spoofing, PROXY attack itd. Takze skuteczny atak MITM mozesz przeprowadzic z kompa z zupelnie innej sieci.

T.M.F. napisał(a):

tyle że wtedy nie jesteś ,,in the middle''.

tak czy inaczej, nie udało mi się znaleźć jakiejkolwiek poważnej[1] próby definicji MITM, która potwierdzałaby którąś z wersji, więc nie będę się dalej o to spierać.

w.

[1] Wikipedia raczej nie jest wyrocznią w sprawie bezpieczeństwa, więc nie będę się na nią powoływać ;)

To wytłumacz mi czemu użytkownik ten ma ptaszek "pełna kontrola" przy prawach dostępu w każdym katalogu i pliku systemowym.

Przypomnę ci twoją własną wypowiedź:

"Niestety skoro cos udostępnia to odpala sie caly szereg usług w których jeśli znajdzie sie blad to fakt jaki zasób sie udostępnia nie ma znaczenia, szczególnie jeśli używa sie systemu plików, który nie ma żadnych zabezpieczeń, jak np. FAT."

Teraz kojarzysz ? Chodzi o zagrożenie związane z atakiem na usługę, a nie uruchomienie złośliwego programu przez użytkownika. NTFS z "fabrycznymi" prawami dostępu nie daje w tym przypadku żadnej przewagi i od samego początku o tym mówiłem.

Powiedz to blasterowi.

Z przytoczonego przeze mnie cytatu wynika, że pisałeś to w kontekście usług, a nie uruchamiania złośliwych programów przez użytkownika. Kręcisz jak rasowy polityk :->

Nie kazdym. W katalogu windows owszem, ale juz w innych nie. Np. w documents&settings u mnie tylko wlasciciel pliku ma pelna kontrole.

Jednak bedzie przewaga. Przy NTFS oprocz ataku na usluge musi przeprowadzic (juz z nowymi uprawnieniami) atak na NTFS, czyli jest to dodatkowe utrudnienie. W przypadku FAT ma od reki wszystko.

Nie krece, po prostu temat jest skomplikowany i wielowatkowy;) Udany atak na usluge nawet dzialajaca w koncie local system nie daje ci jeszcze pelnych uprawnien w systemie. W tym sensie bede sie upieral, ze NTFS jako oddzielny podsystem z wlasnymi uprawnieniami zawsze daje ci dodatkowa przewage nad FAT.

Właśnie sprawdziłem na kilku komputerach (2k i xp) i na wszystkich "system" miał pełną kontrolę także w tych katalogach. Zresztą z punktu widzenia włamywacza jest to nieistotne, bo jeśli:

1. Jest spamerem, który próbuje z twojej maszyny zrobić zombi, to nie potrzebuje dostępu do katalogów prywatnych, wystarczy mu systemowy.
2. Chce wykraść fotki z ostatnich imienin u cioci, to mając uprawnienia systemowe ma uprawnienia administratora, więc może przejąć potrzebne katalogi na własność i bez problemu dobierze się do danych.

Powtórzę jeszcze raz: po udanym ataku na usługę masz uprawnienia systemowe (czyli nawet wyższe niż root) i pełny dostęp do dysku (czy jak się upierasz tylko do katalogu systemowego). Ten pełny dostęp nazywasz utrudnieniem ?

Nie wiem na czym opierasz swoje stwierdzenie. Użytkownik system ma pełną kontrolę nad wszystkimi uruchomionymi procesami i katalogami systemowymi na dysku, więc po włamaniu przez dziurawą usługę ma wszystko co jest mu potrzebne do szczęścia.

Ależ one nie było kłopotliwe. Po prostu okazało się, że cześć grupy używa FW tylko dlatego, żeby czuć się bezpiecznie w imie jakiejś rozmu\ytej i niejasnej ochrony przed mitycznymi hakerami. I obawiam się, że w ich wypadku efekty psychologiczne sa jedynym plusem używania FW.

:) W tym miesiącu przymierzam się własnie do pierwszego nieśmiałego projektu ATMega+ethernet ... :)

Marek Dzwonnik napisał(a):

Outpost Firewall(wersja darmowa) - czasami głupieje i przy próbie nawiązania połączenia przez Mirandę pluje się, że "program Miranda32.exe nie jest tym samym programem, który otrzymał zezwolenie na połączenie". A tymczasem w samej Mirandzie nic się nie zmieniło...