| |
Фонд свободного ПО сообщил о выявлении активности, связанной с проведением совместной операции спецслужб США, Канады, Великобритании, Австралии и Новой Зеландии по созданию полной базы всех серверов сети.
Операция проводится под именем HACIENDA и упоминается в ряде документов, раскрытых Эдвардом Сноуденом. Целью операции является проведение полного сканирования портов всех серверов в 27 странах и создание базы данных, отражающей такие параметры каждого сервера, как используемая операционная система и открытые сетевые порты. Используя данную базу спецслужбы смогут определить потенциально уязвимые системы для получения контроля над ними в случае проведения спецопераций. В процессе работы HACIENDA применяются перехваченные гражданские компьютеры, которые используются для получения вычислительных ресурсов или скрытия следов.
В ответ на выявление подобной активности, группа разработчиков свободного фреймворка для построения безопасных P2P-сетей GNUnet, разработала технологию скрытия предоставляемых сетевых сервисов, которая получила имя TCP Stealth. Рабочий прототип с реализацией TCP Stealth для клиентских и серверных соединений подготовлен в форме патча для ядра Linux (включается в приложении через опцию сетевого сокета TCP_STEALTH) и библиотеки libknockify, позволяющей обеспечить поддержку TCP Stealth в любом клиентском или серверном приложении без его пересборки (libknockify через LD_PRELOAD подменяет системные вызовы для установки соединения).
Метод TCP Stealth относится к категории "port knoсking", т.е. подразумевает открытие заданного сетевого порта только после прохождения скрытой аутентификации. В отличие от классических методов подобной аутентификации, таких как последовательное обращение к набору портов или отправка специально оформленного пакета, в TCP Stealth применяется штатный процесс установки TCP-соединения, с передачей признака через поле TCP SQN.
В частности, традиционный случайный номер последовательности TCP (TCP SQN) в первом пакете TCP SYN подменяется на специально сгенерированный маркер, который аутентифицирует запрос клиента. Генерация маркера осуществляется на основе заранее сгенерированного владельцем сервера ключа аутентификации (доступ к серверу могут получить только клиенты, знающие серверный ключ). Маркер генерируется как хэш на основе ключа и таких параметров, как IP-адрес и порт отправителя, что исключает определение ключа методом подбора.
Подобный подход позволяет организовать работу и при обращении через NAT, так как большинство реализаций NAT не меняют TCP SQN. TCP Stealth также может применяться для гарантирования целостности первого сегмента передаваемых данных, защищая данные от подмены в результате MITM-атак (для подтверждения целостности используется известный только серверу и клиенту ключ). В будущем TCP Stealth планируется интегрировать в GNUnet и организовать возможность запуска пиров в стелс-режиме, позволяющем скрыть для внешних наблюдателей факт запуска узла GNUnet. Ожидается, что интерес к обеспечению поддержки представленной техники также могут проявить такие проекты как Tor и OpenSSH.
|
|
- Главная ссылка к новости (http://www.fsf.org/blogs/community/gnu-h...)
- OpenNews: Релиз GNUnet 0.10, фреймворка для построения безопасных P2P-сетей
- OpenNews: Выпущен GNUnet 0.9.0, фреймворк для построения безопасных P2P-сетей
- OpenNews: Проведено сканирование портов всех IPv4-адресов с использованием ботнета из маршрутизаторов
- OpenNews: Представлен ZMap, инструмент для глобального сканирования Сети
| Тип: К сведению | Ключевые слова: gnunet, nmap, (найти похожие документы) | При перепечатке указание ссылки на opennet.ru обязательно | Реклама |
id=adv>
| |
|
1.1, A.Stahl, 14:39, 22/08/2014 [ответить] [смотреть все] [к модератору]
| +1 +/– |
Разжуйте пожалуйста.
Т.е. получается, что приконнектиться к какому-то порту возможно лишь после отсылки на какой-то другой порт специального пакета и получения ключа?
Так?
| | |
| 4.53, Аноним, 19:16, 22/08/2014 [ ^] [ ответить] [ смотреть все] [ к модератору] +5 +/–Здесь не классический Port Knocking, а что-то близкое к нему Ни на какие дополн... весь текст скрыт [ показать] 2.66, Аноним, 21:46, 22/08/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] [ к модератору] +/–Это одна из технологий, позволяющая тебе секьюрно заходить на свой сервачок Вро... весь текст скрыт [ показать] [ показать ветку] 3.94, Аноним, 18:58, 23/08/2014 [ ^] [ ответить] [ смотреть все] [ к модератору] +/–При том что его автор - специалист своего дела ... весь текст скрыт [ показать] 2.91, Кевин, 12:47, 23/08/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] [ к модератору] +/–это как тайные стуки в дверь если три длинных вда коротких и один звонок, то всё... весь текст скрыт [ показать] [ показать ветку]
1.2, qqq, 14:41, 22/08/2014 [ответить] [смотреть все] [к модератору] –3 +/– без таких людей жизнь была бы скучна c ... весь текст скрыт [ показать]
1.3, Аноним, 14:41, 22/08/2014 [ответить] [смотреть все] [к модератору] +/–А как клиенты будут подключаться к серверу, у которого 80 порт отвечает только п... весь текст скрыт [ показать]
1.6, Dan Dare 3, 14:52, 22/08/2014 [ответить] [смотреть все] [к модератору] –14 +/–а не проще ли будет закрыть входящие icmp deny icmp from any to any in icmptype... весь текст скрыт [ показать]
|
2.8, EuPhobos, 14:56, 22/08/2014 [^] [ответить] [смотреть все] [показать ветку] [к модератору] | +16 +/– |
> а не проще ли будет закрыть входящие icmp?
> deny icmp from any to any in icmptypes 8
> allow icmp from any to any out icmptypes 8
> allow icmp from any to any in icmptypes 0
Мда.. как всё печально..
Для начала почитай для чего нужен icmp и о его полезностях в глобальной сети..
|
| | 6.27, Slav, 15:48, 22/08/2014 [ ^] [ ответить] [ смотреть все] [ к модератору] +2 +/–Книжки читаешь Это здорово Токма когда читаешь, получше вникай в смысл темы ил... весь текст скрыт [ показать] 5.20, Аноним, 15:25, 22/08/2014 [ ^] [ ответить] [ смотреть все] [ к модератору] +/–Стандартный бсдшник Nobrainer в чистом виде ... весь текст скрыт [ показать] 5.40, anonymous, 17:14, 22/08/2014 [ ^] [ ответить] [ смотреть все] [ к модератору] +/–Так много где делают, на самом деле Не только в случае фаерволлов Делают, не з... весь текст скрыт [ показать] 5.43, sorrymak, 17:17, 22/08/2014 [ ^] [ ответить] [ смотреть все] [ к модератору] +/–Всегда так делаю ... весь текст скрыт [ показать]
4.68, Аноним, 21:53, 22/08/2014 [ ^] [ ответить] [ смотреть все] [ к модератору] +/–Книги устаревают еще до поступления на прилавок Угрозы развиваются стремительно... весь текст скрыт [ показать] 4.105, Hammer, 08:08, 24/08/2014 [ ^] [ ответить] [ смотреть все] [ к модератору] +/–
А почему Вы думаете, что автор поста не может быть умней авторов книги по FreeBSD
2.14, Аноним, 15:15, 22/08/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] [ к модератору] +3 +/–Как поможет запрет ICMP если при переборе всех ip-адресов диапаозонов будет прои... весь текст скрыт [ показать] [ показать ветку] 4.21, Аноним, 15:26, 22/08/2014 [ ^] [ ответить] [ смотреть все] [ к модератору] +/–Предлагаю тебе покурить самому и еще прочитать как устанавливается соединение по... весь текст скрыт [ показать] 2.17, Аноним, 15:23, 22/08/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] [ к модератору] +3 +/– 2.18, Аноним, 15:24, 22/08/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] [ к модератору] +/– 2.37, Нанобот, 16:35, 22/08/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] [ к модератору] +1 +/– 2.86, Dan Dare 3, 08:58, 23/08/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] [ к модератору] –1 +/–подводя итоги, следует, что ни один г0внo-комментаторов не смог расшифровать эти... весь текст скрыт [ показать] [ показать ветку] 3.93, metallica, 18:30, 23/08/2014 [ ^] [ ответить] [ смотреть все] [ к модератору] +/–У тебя достаточно было бы закрыть исходящие ICMP, если бы целевую ОСь определяли... весь текст скрыт [ показать] |
6.106, anonymous, 09:37, 24/08/2014 [^] [ответить] [смотреть все] [к модератору] | +/– |
>[оверквотинг удален]
>
>
> goto out_rcu_unlock;
>
> /* Send an ICMP "Fragment Reassembly
> Timeout" message. */
>
> icmp_send(head, ICMP_TIME_EXCEEDED, ICMP_EXC_FRAGTIME, 0);
> out_rcu_unlock:
> [/code]
Тут большая часть кода вообще не к месту, а то, что более-менее к месту - отключается через sysctl, и даже файрволл трогать не надо. И вообще будет действовать в "сильно некоторых" случаях.
| | |
|
7.109, metallica, 16:48, 24/08/2014 [^] [ответить] [смотреть все] [к модератору] | –1 +/– |
> Тут большая часть кода вообще не к месту, а то, что более-менее
> к месту - отключается через sysctl, и даже файрволл трогать не
> надо. И вообще будет действовать в "сильно некоторых" случаях.
Его привёл как пример того, как ICMP может включаться при TCP/IP
взаимодествиях. Его не надо отключать через sysctl, достаточно
формировать корректные заголовки, что в некоторых техниках
определения удалённой ОС, заведомо не производится. И, наконец, про sysctl,
скажите, как таким образом отключить, например, тот icmp_send, что в ip_local_deliver_finish,
ну так, чтоб при некорректном значении поля protocol в IP заголовке, icmp_send
не срабатывал?
| | | 6.115, Аноним, 23:50, 24/08/2014 [ ^] [ ответить] [ смотреть все] [ к модератору] +/–Может, но это далеко не единственный метод А у половины кулсисопов к тому же на... весь текст скрыт [ показать] 3.96, Аноним, 19:24, 23/08/2014 [ ^] [ ответить] [ смотреть все] [ к модератору] +/–Куда уж нам, дypaкам, чай пить Там же целая теория всего , с форумалами на три... весь текст скрыт [ показать] 2.111, Dan Dare 3, 20:21, 24/08/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] [ к модератору] –1 +/–
я вот никак не пойму, почему никто не обсудил данные 3 строчки файрвола:
>deny icmp from any to any in icmptypes 8
>allow icmp from any to any out icmptypes 8
>allow icmp from any to any in icmptypes 0
смысл их в том, что они запрещают пинговать меня(8й флаг протокола ICMP), для удаленной машины моя отключена, а я могу пинговать
|
5.126, arisu, 08:52, 25/08/2014 [^] [ответить] [смотреть все] [к модератору] | –1 +/– |
как ты ненавязчиво поставил себя выше огромного количества людей в MIT. действительно, дети какие-то, не то, что серьёзный ты. ну и что, что ты дурак? зато серьёзный.
| | |
1.7, EuPhobos, 14:55, 22/08/2014 [ответить] [смотреть все] [к модератору] +4 +/–
Почему бы просто не создать какой ни будь сервис или демон на отдельно стоящем сервере в компании, и перенаправлять туда всё что не касается сканируемых серверов компании, а этот сервис/демон пусть отвечает как нам надо на все запросы/сканы спец.служб.
Напрмиер:
Сканируют 80-ый порт, которого нет на сервере, но спецслужбам идёт ответ что там установлен ISS какой ни будь старой версии.
Сканируют 445 на сервере, идёт ответ что там винда XP с сервис паком 1
И т.д. по всем более менее важным портам.
Таким образом засрать базу данных этих самых спец.служб так, что они потом не разберутся, где и у кого реально есть уязвимости.
А то как-то усложняют себе жизнь этим TCP Stealth ..
2.24, Случайный гость, 15:41, 22/08/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] [ к модератору] +/– 4.90, Аноним, 09:36, 23/08/2014 [ ^] [ ответить] [ смотреть все] [ к модератору] +/–Тут предлагают некий deceiverd, который будет принимать соединения на всех интер... весь текст скрыт [ показать] 2.29, _KUL, 15:49, 22/08/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] [ к модератору] +/–Смотрим на ripe net диапазоны спецслужб и блочим их Есть же геоайпи, так нужно ... весь текст скрыт [ показать] [ показать ветку] 4.58, Аноним, 19:32, 22/08/2014 [ ^] [ ответить] [ смотреть все] [ к модератору] +/–Ну то-есть чуваки внаглую отбабахали или отжали ботнет, промышляют сканами, а ... весь текст скрыт [ показать] 2.31, Andrey, 15:58, 22/08/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] [ к модератору] +/–Политика агронома из анекдота нехай этот суслик подавится Уверяю вас это поро... весь текст скрыт [ показать] [ показать ветку] 2.124, Аноним, 03:50, 25/08/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] [ к модератору] +/–
1.10, Нанобот, 15:06, 22/08/2014 [ответить] [смотреть все] [к модератору] +/–
а если бы использовали TCP_MD5SIG, можно было бы добиться аналогичного результата без необходимости патчить йадро
1.15, Аноним, 15:20, 22/08/2014 [ответить] [смотреть все] [к модератору] +/–На секундочку, в 2014 году любой овощ может запустить zmap на серваке с гигабитн... весь текст скрыт [ показать]
1.32, Аноним, 16:07, 22/08/2014 [ответить] [смотреть все] [к модератору] +1 +/–Спецслужбы выявляют как раз уязвимый, годами непропатченный софт А не любителей... весь текст скрыт [ показать]
1.38, Аноним, 16:44, 22/08/2014 [ответить] [смотреть все] [к модератору] +1 +/–Т е спецслужбы занимаются кибер-терроризмом ... весь текст скрыт [ показать]
1.39, дл, 16:50, 22/08/2014 [ответить] [смотреть все] [к модератору] +/–
SQN 32 бита, коллизий не боятся?
1.45, Аноним, 17:29, 22/08/2014 [ответить] [смотреть все] [к модератору] +1 +/–про port knocking стук в порты здесь http www ibm com developerworks ru libr... весь текст скрыт [ показать]
1.47, Аноним, 18:02, 22/08/2014 [ответить] [смотреть все] [к модератору] +/–-A INPUT -p tcp -m tcp -j TARPIT ... весь текст скрыт [ показать]
1.48, вои и аноним подкрался, 18:06, 22/08/2014 [ответить] [смотреть все] [к модератору] +/–
а не проще держать порты закрытыми на системе. если сервак публичный ничего не попишешь, но если он внутренний то в чем проблема. определил список имеющих разрешение на подключение и все. а за публиным следить особо просто. чтоб дыры вовремя патчить и все. на крайняк выставить ответный скан на незаконных подключенцев))) если возникнут проблемы с законом из-за них выдать логи спецам пусть смотрят кто накуролесил через ваш сервак. в мандриве была такая фишка открывать ответный скан на запрещенные подключения.
1.85, Адекват, 08:48, 23/08/2014 [ответить] [смотреть все] [к модератору] +2 +/–
Мне кажется это очень изящный способ выстрелить себе в ногу, результатом которого будет то, что вы сами не сможете подключиться на свой сервер, который находиться в другом часовом поясе например.
Не вижу ничего страшного в том, чтобы открыто светить свой ssh-порт хоть на 22, хоть на 22222 порту.
Кроме того, порты задумывались как штука, к которой смогут подключиться все кто захочет, а для всех остальных есть всякие ВПН, ключи и сертификаты.
1.101, lucentcode, 20:43, 23/08/2014 [ответить] [смотреть все] [к модератору] +/–
Идея годная, посмотрим на реализацию.
|
3.110, pavlinux, 18:18, 24/08/2014 [^] [ответить] [смотреть все] [к модератору] | –1 +/– |
Реализация вроде правильная, всё по феншую, по API.
Но поверхностный просмотр кода оставляет впечатление, что написано по заказу,
либо посаны для себя бэкдор оставили (либо просто чайники и этого не видят). :)
|
| |
Ваш комментарий
Read more |