Sieć, ochrona, linux, socjotechnika

Antoni Wiech

paranacjonalista
Członek Załogi
3 666
5 072
Mam pytanie od amatora dla znawców sieci:

Na ile są zabezpieczone serwery w internecie, które słabiej, które bardziej?

Żeby dokonać (potencjalnego) włamania na ile trzeba znać system operacyjny, soft itp, a na ile znać się na socjotechnice (przez socjotechnikę rozumiem różne sztuczki poza techniczne typu wyłudzenie od kogoś hasła itp).

Na ile linux jest istotny do przeprowadzania (potencjalnego) ataku. Czy istnieje w ogóle możliwość zrobienia tego z Windowsa?

oraz wszystko co możecie jeszcze dopisać.

Jeśli wyraziłem się niefachowo to sorry, ale się nie znam.
 

father Tucker

egoista, marzyciel i czciciel chaosu
2 339
6 113
To prawda, strasznie ogólnie się zapytałeś.
1. Ogólnie nikt ci nie powie, który serwer jest bardziej, który mniej bezpieczny, bo nikt nie robi rankingów i nikt się nie przyzna do indolencji. Ogólnie większe instytucje są lepiej zabezpieczone od mniejszych, tak samo jak te operujące jakimiś danymi wrażliwymi (banki, bazy danych ludności itp. )
2. To lata nauki, plus nawet to, żeby wykorzystać socjotechnikę też musisz mieć wiedzę. ( DNS spoofing, email spoofing )
3. Chodzi ci, czy na serwerze jest linux? czy na twoim komputerze? to nieważne - i tak będziesz się łączył po ssh, telnet, interfejs webowy, albo jakkolwiek. Pamiętaj, że nie serwerowe systemy operacyjne to nie tylko linux lub windows. Jest Solaris, BSD, inne uniksy, itp, itd. Są jakieś systemy embedded. Poza tym każda szanująca się instytucja stara się utrzymać kilka warstw bezpieczeństwa opartych na róznych technologiach ( na wypadek sprzętowych backdoorów producenta, itp. )
 
Ostatnia edycja:

Mad.lock

barbarzyńsko-pogański stratego-decentralizm
5 148
4 830
Na ile linux jest istotny do przeprowadzania (potencjalnego) ataku. Czy istnieje w ogóle możliwość zrobienia tego z Windowsa?
Myślę, że systemy unixowe to podstawa hakerzenia.
Mój osąd opieram na:
- są specjalne dystrybucje linuksa do "testowania zabezpieczeń"
- sieci i włamania są starsze niż windows
- emacs i sendmail to programy na linuksa
 

NoahWatson

future vaxinista
1 147
2 674
Też jakimś wybitnym znawcą nie jestem, szczególnie profesjonalnych, rozległych sieci.

Na ile są zabezpieczone serwery w internecie, które słabiej, które bardziej?
Jeśli serwer stoi tak po prostu sam, (bez sieci komputerów o zdywersyfikowanym oprogramowaniu i komponentach, bez honeypotów, systemów IDS które są na bieżąco przez administratorów obserwowane) - to takie NSA jest w stanie się włamać do każdego. Które są bezpieczniejsze, a które mniej: z bezpiecznych systemów są OpenBSD oraz Linux z grsecurity oraz łatkami na kompilator gcc z projektu Pax. Tam są na prawdę potężne zabezpieczenia i gdyby coś poszło dla NSA nie tak i np. badacze bezpieczeństwa by przechwycili exploit potrafiący ominąć grsecurity (jeśli się da) a potem udostępnili go, to deweloper grsecurity mógłby zabezpieczyć przed tym atakiem swój kod - i to by przyniosło duże straty dla NSA. Dlatego też przeciwko tego typu zabezpieczeniom nie będą lekką ręką wysyłać eksploitów. Dodatkowo czym mniej kodu tym lepiej - większość jądra Linux to sterowniki i to do sprzętu, którego nie mamy. Jak się je wyrzuci podczas konfiguracji (przed kompilacją), wyłączy część podsystemów to nagle większość kodu Linuksa nie jest kompilowana - jeśli tam były furtki NSA to je wyrzuciliśmy. Podobnie z resztą systemu - czym mniej kodu (i od bardziej zaufanych projektów) tym bezpieczniej, a podczas kompilacji można sporo kodu wyrzucić. A do kompilacji nadaje się Gentoo Gnu/Linux, a dla bezpieczeństwa Gentoo Hardened Gnu/Linux.
Na OpenBSD się nie znam, ale oni też byli pionierami wielu zabezpieczeń.

Żeby dokonać (potencjalnego) włamania na ile trzeba znać system operacyjny, soft itp, a na ile znać się na socjotechnice (przez socjotechnikę rozumiem różne sztuczki poza techniczne typu wyłudzenie od kogoś hasła itp).
Atakujący ma szeroki wachlarz możliwości - od ataków w 100% socjotechnicznych do w 100% opartych na błędach w oprogramowaniu.

Na ile linux jest istotny do przeprowadzania (potencjalnego) ataku. Czy istnieje w ogóle możliwość zrobienia tego z Windowsa?
Tak, można napisać odpowiednie programy na Windowsa do przeprowadzenia ataków. Ale jednak w czasie ataku najbardziej efektywnym sposobem sterowania narzędziami jest linia poleceń, a nie graficzny interfejs użytkownika. Na Linuksa jest mnóstwo narzędzi sieciowych i do ataków, testów penetracyjnych itp projektowanych z myślą o command line interface, a wielu hakerów jest wychowanych na tych Linuksowych narzędziach. Poza tym na Linuksa te programy są open source, co dla hakera ma szczególne znaczenie, bo może je zmodyfikować, a że nie są jakoś szczególnie długie a haker z definicji ma odpowiednią wiedzę - więc to zdecydowanie zwiększa ich użyteczność.
 
C

Cngelx

Guest
Są ludzie co nie mają zbyt dużego pojęcia o komputerach, a mimo to potrafią wrzucić jakąś Baśkę na stronę rządową. Jak i są eksperci z wieloletnim doświadczeniem, którzy nie potrafią zchakierować prostego blogaska.
Na Linuksa jest sporo narzędzi i wiele serwerów jest na Linuksie. Ale z drugiej strony na biurkach królują Windowsy i również wypada je dobrze znać - umożliwić to może np. atak za pośrednictwem słabo zabezpieczonego kompa jednego z pracowników..
Jedne serwery są bardzo dobrze zabezpieczone, inne to żart. Zależy to m.in. od priorytetów firmy/instytucji.
Socjotechnika to raczej jedno z wielu narzędzi. Można się nie znać wcale, a można znać się prawie tylko na tym.

Nie zadałeś właściwych pytań, jasne odpowiedzi na zadane przez Ciebie pytania tak naprawdę nie istnieją. Jest bardzo różnie - ze wszystkim.
 

FatBantha

sprzedawca niszowych etosów
Członek Załogi
8 204
23 042

16.04.2021 10:06

@lukasz.michalik
Im więcej podłączonych do sieci urządzeń, tym większa szansa, że zabezpieczenia któregoś z nich zostaną złamane. Boleśnie przekonali się o tym właściciele kasyna – furtką, dzięki której skradziono ich dane okazało się bowiem akwarium z rybkami.
O ile w powszechnej świadomości laptop czy smartfon mogą być celem ataku cyberprzestępców, świadomość ta wydaje się znacznie niższa w przypadku mniej oczywistych urządzeń, jak tzw. "inteligentne" lodówki, termostaty czy nawet gadżety erotyczne. Nierzadko dotyczy to zarówno użytkowników, jak i producentów sprzętu, niekiedy traktujących kwestię bezpieczeństwa z karygodną nonszalancją.
Przykładem problemów, które mogą z tego wyniknąć, jest historia pewnego kasyna. Elementem wystroju wnętrza jaskini hazardu było akwarium, wyposażone w zaawansowany termometr. Podłączony do Internetu miernik temperatury okazał się podatny na atak – cyberprzestępcy z jego pomocą włamali się do wewnętrznej sieci kasyna, z której wykradli bazę z danymi klientów.
Historia ta nie jest nowa – włamanie miało miejsce w 2018, ale serwis Entrepreneur przypomniał ją niedawno w kontekście rosnącej popularności Internetu Rzeczy. Jak wynika z przewidywań analityków do 2025 roku na świecie będzie nawet 31 miliardów urządzeń podłączonych do Sieci, a tym samym potencjalnie zagrożonych atakiem.
Dotyczy to także tak krytycznych urządzań, jak choćby samolotowe silniki Rolls Royce’a, przekazujące dane o parametrach lotu czy produkowane przez koncern ThyssenKrupp zaawansowane windy, przesyłające informacje o swojej pracy. Zagrożenia te w wypowiedzi dla serwisu Security Info Watch skomentował Tim Erlin z firmy Tripwire, zajmującej się cyberbezpieczeństwem:
- Sektor przemysłowy stoi przed nowym zestawem wyzwań, jeśli chodzi o zabezpieczenie środowiska IT/OT. W przeszłości cyberbezpieczeństwo koncentrowało się na zasobach IT, takich jak serwery i stacje robocze, ale rosnąca liczba połączeń pomiędzy systemami wymaga, aby specjaliści ds. bezpieczeństwa przemysłowego poszerzyli wiedzę. Nie można chronić tego, czego się nie zna.


Myślę, że powoli zbliżamy się do chwili, w której wypada przyjąć ogólną zasadę, że jeśli coś nie musi być podłączone do internetu, ma nie być do niego podłączone. Zwłaszcza w epoce nadchodzącego 5G/6G.
 

kompowiec

Open Source Boy
1 928
1 856
skoro OP się nie popisał, to może jakiś redpill trza zrobić

tldr; twoje oprogramowanie, twój OPSEC się wypierdoli, to tylko kwestia czasu i tego jak dużym jesteś targetem.

Zgodnie z prawem linusa, myślę że nie ma czegoś takiego jak bardziej lub mniej bezpieczne Jest tylko oprogramowanie które jest popularne albo i nie. A gdy stanie się popularne to nawet najbardziej bezpieczny system (do ktorych należy m.in. android, nieironicznie jest bardziej bezpieczny od standardowego linuksa) przy odrobinie determinacji ludzi w końcu ktoś znajdzie jakąś lukę.

Może jakiś przykład - są to niezwiązane ze sobą programy ale różnią się popularnością: SSL vs. TempleOS

SSL jest używany wszędzie i mimo że trzymał się przez wiele lat to ludzie znaleźli w nim już kilka poważnych błędów. Natomiast TempleOS nikt nie używa, z wyjątkiem może tych kilku gaymerów którzy speedrunnowali te wbudowane gry i nigdy nie słyszałem żeby ktoś, ktokolwiek odkrył w nim jakąś lukę.

innymi słowy, nikt nie znajdzie błędów, jeśli nikt tego oprogramowania nie używa [rollsafe]

Nie jest to opinia w którą się w 100% zgadzam ale wierzę że coś w tym jest. No i z pewnością to nie wyklucza tego że warto dążyć do zwiększania bezpieczeństwa i OpenBSD jest chyba tego najlepszym przykładem jak należy uczyć się od najlepszych, czyli ludzi którzy są mentalnie crackerami. Jest tak dobre, że nawet FUD im nie zaszkodził.

Najważniejsze to IMO pamiętać przy projektowaniu wszystkich zabezpieczeń o tym

Żeby dokonać (potencjalnego) włamania na ile trzeba znać system operacyjny, soft itp, a na ile znać się na socjotechnice (przez socjotechnikę rozumiem różne sztuczki poza techniczne typu wyłudzenie od kogoś hasła itp).
Trzeba najlepiej się znać na każdym aspekcie pentestowania, to wymaga holistycznego podejścia. Błędem jest założenie że wystarczy się skupić tylko na aspekcie technicznym i powiedzieć że jest cacy. No nie. Cracking jest jak szukanie dziur w ścianie a pierwszym ogniwem od którego się zaczyna zawsze jest człowiek. Kevin Mitnick udowodnił w swoich książkach wielokrotnie jak odpowiednia bajera potrafi przełamać najbardziej wymyślne zabezpieczenia. Najciekawszym było chyba te w którym jakiś pracownik odbił swój własny identyfikator żeby taki intruz jak on, mógł wleść do środka pomieszczenia tylko dla pracowników. A sam był zwyklym kolesiem z ulicy.

Myślę, że powoli zbliżamy się do chwili, w której wypada przyjąć ogólną zasadę, że jeśli coś nie musi być podłączone do internetu, ma nie być do niego podłączone.
> sugerowanie że nie było tak od zawsze

właściwie to jest odwrotnie
- wszyscy krzyczą jaki to internet jest niebezpieczny
- chuj tam, podłączmy wszystko co się da.

Takie przynajmniej widzę jest myślenie korpo i ich nowych zabawek dla kosnumentów. Na przykład poza OpenAssistant nie widziałem żeby istniała wersja offline zabawek typu alexa. Nawet MyCroft wymaga neta.
 
Do góry Bottom