Jump to content

ROOT KITS - The Ultimate Challenge

teckV

By teckV,
in Segurança e Redes

 Share

Recommended Posts

teckV void

teckV

Posted
Posted

sem comentários... uma das caracteristicas dos Root Kits é alterar o sistema vitima para que as ferramentas de segurança não os detectem e enganem os administradores alterando o output... por exemploo netstat pode ser alterado para não mostras as ligações usadas pelo cracker... o admin pensa que sabe o que está a acontecer no seu sistema mas...  ?

e os especialistas de spyware estão a introduzir técnicas de root kit nos seus devastadores programas...

será a segurança informática uma ilusão??? vejam por voçes...  :smoke:

http://www.usenix.org/publications/login/2004-12/pdfs/spyware.pdf

teckV

Link to comment
Share on other sites
teckV void

teckV

Posted
  • Author
Posted
\

não tenhas dúvida que é uma ilusão.

ao que o dinheiro nos leva...

não percebi a tua posição.. podes ser mais especifico...nomeadamente no assunto do topico.... os root kits... pareceu-me que estás a dizer que não existem "root kits" mas de certeza que percebi mal... podes explicar melhor essa posição???

tas a negar os milhões de euros em prejuizo todos os anos devido a problemas de segurança informática??? e problemas de de todos os niveis desde perca de informação confidencial estratégica, perca de nivel de serviço e facturação, etc, etc...

isto não é real????

este mundo está mesmo a ficar estranho...

teckV

Link to comment
Share on other sites
vbmaster boolean user

vbmaster

Posted
Posted

Spyware é uma ameaça terrível, não suportamos que quebrem a nossa privacidade, mas linhas de código destas corrompem-na sem o próprio user ter a noção (o que tem vindo a ser optimizado até um ponto que ainda estamos para descobrir), ao ponto de haver redes mundias de pcs zombie, uma autentica legião pronta a atacar qualquer alvo à simples ordem de quem a detem.

Tal como diz no documento .pdf, um sistema windows torna este tipo de ataques estupidamente mais simples (devido a haver um único nível de utilizador). Aliando isto aos "comportamentos de risco" normais dos iliterados na informática, temos um belo computador cheio de spyware. Isto porque até agora o spyware vem normalmente associado a programas que através da inclusão deste tipo de programas nos seus setup's recebem dinheiro, ou sites na net que também ao incluir anúncios falsos que levam à instalação de spyware no sistema, recebem fundos.

No entanto, se o spyware começar a ser uma ameça que já não é dependente de comportamentos de risco por parte do utilizador, mas sim algo gratuito na net (lembro-me de numa nova instalação do xp ligar à net para sacar o meu FreeAV e entretanto fiquei com 4 Trojans no pc), torna-se verdadeiramente algo preocupante, algo que vai requer e muito a nossa atenção se queremos verdadeiramente ter um sistema windows seguro*.

Resta apenas esperar que os programas de detecção de este tipo de programas evoluam da mesma maneira que as ameaças, dificultando-lhes a vida.

* Falo de windows pois não tenho muito feedback de problemas destes noutro tipo de SO's, mas por acaso gostaria de saber como está o estado da situação em GNU/Linux e mac...

Link to comment
Share on other sites
ruben void

ruben

Posted
Posted

Queria adicionar o meu graõzinho com o que acho do spyware em linux.

Neste aspecto, é tudo muito mais limitado, visto o software que instaldo é tudo Open Source, logo há maior confiança no código. Segundo, como nunca corro Linux em root, limito ainda mais, visto toda a gente correr o windows com permissões de administrador (por falar nisso, aconselho a leitura deste post no blog do pedro santos: http://weblogs.pontonetpt.com/pre/posts/8914.aspx ). O que impede a propagação de spyware.

Para mim, spyware em linux = rootkit. Logo, se há rotokit houve hack, se houve hack então há re-install da máquina 😛

Já agora, muito do spyware em windows poderia ser evitado se toda a gente usasse Firefox...  A questão do adware é uma questão de fundo... O problema não está apenas no utilizador, mas como está principalmente no sistema operativo 😛

Link to comment
Share on other sites
teckV void

teckV

Posted
  • Author
Posted
Para mim, spyware em linux = rootkit.

ok... começo a perceber... o ppl está mesmo muito mal a nivel de conhecimentos de segurança... sem ofensa.. a serio... eu tento passar o maximo de info mas temos de ser serios e honestos...

o que é um rootkit???

chama-se rootkit a uma serie de procedimentos implementados numa box (Linux ou windows, custuma ser mais em Linux porque é onde custumam funcionar o serviços que se querem comprometer)... dizia que um rootkit é garantir sempre o acesso conquistado e sem que os admins da maquina possam visualizar esse acesso.. a primeira coisa é ganhar permissões de root, usando um exploit ou não (há tantos para Linux como para windows)... depois de aplicado o exploit que dá root altera-se os comandos de sitema como o Netstat ou qualquer outro que forneça info sobre o uso do sistema, para que o admin não consiga ver a intrusão... cvonsiste em esconder ferramentas de hacking e alterar os comandos para o interesse do hackerr.. .é a isto que se chama um RootKit e não a um spyware.. é mesmo muito dieferente e vai uma grande confusão nos debates...

começo a perceber o porque de certaas posições e sem querer ofender ninguem digo que é por falta de conhecimentos... mas enquanto não se assumir essa falta de conhecimentos nunca os vão adquirir porque pensam que não precisam... depende de cada um o que fazer com isso

tenho reparado que para a maior parte do ppl pensa que segurança informática é "VIRUS" ou qualquer outro malware... pois... é muito muito muito muito mais do que isso

vou-vos dizer o que é problemas de segurança sérios:

1 - Acesso a dados confidenciais altamente estratétigicos - (investigações muito caras, segredos industriais, dados de facturação, dados de empregados, dados de clientes, estratégias, etc)

2 - Quebra de serviço - mandar a baixo serevidores estratégicos das empresas - São alvos todos os serviços e programas que as empresas precisam para funcionar. O impacto destes ataques já custou muitos milhões de dolares e estragaram a imagem de grandes empresas.

3 - Abuso de serviços - através das aplicações de serviço das empresas pode-se "abusar" "usar sem permissões" todos os serviços dessas emprresas, seja a compra sem pagar de serviços ou produtos, seja qualquer actividade nos serviços que "prejudiquem" a mesma empresa

portantos, como podem ver, as questões mais serias de segurança NÃO ESTÃO DIRECTAMENTE RTELACIONADAS COM O SISTEMA OPERATIVO OU APLICAÇÃO mas sim com a capacidade do Cracker de "contornar" os mecanismos de defesa

os virus e spywares e tretas dessas são bastante simples de criar, muitos dos virus estão ao alcançe de qualquer programador... a questão é.. porque perder tempo a criar um virus se nesse tempo podia estar a trabalhar num exploit?

para este tipo de situações, que se aquilo que realmente devemos de chamar de "hacking"... o hacking está tradicionalmente relacionado com "own the box".. .ou seja... capurar a box... capturar  a bandeira.. ganhar previlegios root no alvo... e como sabem... explorando este mundo e os exploits relacionados vemos que isso não tem a ver com o windows... têm si a ver com informatica...

é incrivel a ideia errada que a maior parte das pessoas têm nesta area... e sabem porque??' poque o ppl em vez de querer realmente aprender quer é "estar na onda"... mas sinceramente estar na onda sem perceber os verdadeiros mecanismos por detras das coisas é apenas...

quero com isto dizer que a segurança informática não é um problema do windows... é um problema da informática e das más técnicas de programação e também das más configurações...

um windows bem configurado é seguro e qualquer Linux ou Unix mal configurado é inseguro... e nos nossos dias as coisas andam em torno dos serviços e aplicações e não dos SO´s em si... portanto se houver um problema com o MySQL ou com o Apache ele tanto existe em windows como em Linux...

outra coisa.. reparo que invocam muitas vezes o sistema de funcionamento dos useres em windows como uma falha... pois se usarem mal a conta "root" em linux é igual... o prob não está no sistema mas na forma como o usam..

em windows TAMBEM se deve usar no dia a dia uma conta sem previlégios... devem criar contas especificas para cada serviço, exactamente como no Linux.. quando se ataca um serviço pode-se executar codigo com a conta do mesmo... basta que usem contas de previlegios menores em windows... exactamente como no Linux

ambos os sistemas de users baseiam-se em tabelas de permissões... o modo de operar para o user é identico.. configura-se os previlegios de grupo ao detalhe e depois associam-se users a esses grupo.. é igual em ambos os SO´s

eu já disse variass vezes que o meu SO preferido é o linux e muito especialmente a distro "Red Hat"/"fedora" mas o meu amor ao Linux não precisa se basear em informação e ideias erradas sobre o windows... não é por o windows ser bom ou mau que gosto do Linux... eu gosto do Linux porque gosto do Linux

teckV

Link to comment
Share on other sites
vbmaster boolean user

vbmaster

Posted
Posted

Fiquei esclarecido quanto a este tipo de ameaças nos sistemas operativos que tinha referido, obrigado.

Mas by the way, o sistema de permissões do windows não é só, aquando da criação de utilizadores, poder definir entre conta de administrador e conta limitada?

Não sei porquê mas o sistema parece-me tosco... 😛 (mas isto é só a minha opinião não fundamentada, de alguém que nunca usou uma conta limitada em windows)

from http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/ua_c_account_types.mspx

Limited account

The limited account is intended for someone who should be prohibited from changing most computer settings and deleting important files. A user with a limited account:

Generally cannot install software or hardware, but can access programs that have already been installed on the computer.

Can change his or her account picture and can also create, change, or delete his or her password.

Cannot change his or her account name or account type. A user with a computer administrator account must make these kinds of changes.

Can manage his or her network passwords, create a reset password disk, and set up his or her account to use a .NET Passport.

Link to comment
Share on other sites
ruben void

ruben

Posted
Posted

ok... começo a perceber... o ppl está mesmo muito mal a nivel de conhecimentos de segurança... sem ofensa.. a serio... eu tento passar o maximo de info mas temos de ser serios e honestos...

Hehehe, confesso que não esperava que o meu exagero provocasse um post tão grande.... E com tanta qualidade. Se O meu exagero for proporcional a qualidade das tuas respostas, para a próxima digo algo de muito mais pior grave 😛

Deixando a brincadeira parte (e não estou a falar da qualidade da tua resposta. Foi mesmo bem escrito, e muito claro!), é obvio que um spyware não é == rootkit. Há um mundo entre os dois. No entanto, na minha visão de administrador uma máquina linux não corre firefox. Nem tem qualquer tipo de dispositivo para desktop (ok, ok, pode ter mas não se utiliza). Logo, se a minha máquina tiver um spyware, é que há rootkits.. Logo aquela lógica toda.

Infelizmente já me aconteceu uma vez, mas não feriu a minha sensibilidade visto ter aconcido numa máquina que tinha acabado de começar a administrar (maldito joomla :|).

Volto a dizer, a minha resposta não foi um tutorial, ou uma explicação. Apenas a minha opinião um pouco imoderada.

Mas ainda bem que assim foi, assim permitiu aumentar a qualidade deste tópico com uma explicação muito clara do que o que é spyware, rootkit virus etc....

😄

Por isso, quem quiser saber o que é um spyware ou rootkit não leiam o meu post anterior, no entanto se quiserem saber a minha opinião (que também nao tem muita relevância) sempre podem dar uma vistinha de olhos 😛

um abraço

Link to comment
Share on other sites
thranduil void

thranduil

Posted
Posted

ele ta a dizer ke e mesmo uma ilusao, e o que o dinheiro leva os criadores dos virus a fazer, foi isso que percebi, e tenho a mesma opiniao

eu estava a a dizer aquilo no sentido que, provavelmente, até são as próprias empresas que fazem os programas só para terem justificação dos dados terem sido roubados. depois vê-se que também o dinheiro é roubado.

está tudo encaixado. e tenho pena que o homem esteja a estragar aquele que desde há muito tempo é ou era o lugar mais livre que existe..

é mesmo uma pena..

sry double post..

Link to comment
Share on other sites
teckV void

teckV

Posted
  • Author
Posted
Mas by the way, o sistema de permissões do windows não é só, aquando da criação de utilizadores, poder definir entre conta de administrador e conta limitada?

neste momento a M$ está no negocio de servidores... estar no negocio de servidores OBRIGA a certas questões técnicas.. a M$ foi obrigada a IMPLEMENTAR segurança no sseus SO´s

é por isto que tenho mantido esta posição... eu não defendo a M$... eu vejo é que há um enorme desconhecimento em relação aos sistemas operativos M$...

estudem os links que vos dei... estudem no tecknet da M$... há muita coisa na M$ agora a nivel de segurança....

existem MUITOS grupos predefinidos no windows com muitas permissões destintas mas podes tu tambem criar GRUPOS PERSONALIZADOS com permissões personalizadas... foi por isso que falei nos Plocicy editors... podes editar politicass de grupo, com um detalhe enorme, tipo, estes useres não se pdoem logar remotamente ou não podem mover o spool da printer ou sei lá... podem alterar a conta admin...

poddes definir todo o tipo de contas e previlégios...

a M$ tem tambem mecanismos de ACL´s, ACE, DACL´s e tudo o mais... só estudanto...

eu tenho na agenda a criação de um artigo para o moodle sobre isso .. sobre segurança avançada em windows

há mesmo muitas coisass de segurança ou nunca a M$ poderia entrar no mercado de servidores... a AD é o directorio e repositorio da M$

a sério.... o ppl desconhece completamente e aconcelho a quem quer fazer carreira na IT a estudar isso...

a M$ tem muita informação on-line e podem começar pelo portal de segurança em windows.. procurem por webcasts e podem estar sentadinhos com uma cerveja na mão a ouvir as explicações... temos de nos actualizar

http://www.microsoft.com/technet/security/default.mspx

quando chegarem a uma empresa vão ter de trabalhar com o windos e obviamente, com as questões de segurança...

Logo, se a minha máquina tiver um spyware, é que há rootkits.. Logo aquela lógica toda.

não concordo... um root kit é algo muito avançado... não é spuware... temos de chamar as coisas pelos nomes ou é uma confusão...

root kit é alterar um SO para que se possa aceder sempre remotamente e sem que o admin consiga ver... altera-se o kernel, alteram-se os comandos... é muito à frente e só é acessivel aos pros...

tenho visto root kits que são autenticas obras de arte  😛 ? :smoke:

há... por  acaso há uma coisa interessante em relação à M$... UM ZERO DAY EXPLOIT

http://seclists.org/bugtraq/2006/Sep/0075.html

divirtam-se mas com cuidado... os logs não enganam... mas... aquela miuda bem que as merece... h3h3h3h3

just for fun - dont crash

teckv

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share
Go to topic listing
×
×
  • Create New...

Important Information

By using this site you accept our Terms of Use and Privacy Policy. We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.

  I accept