Pobočka Praha

V Praze pořádáme přednášky pro vývojáře a administrátory se zaměřením na technologie společnosti Microsoft. Současně připravujeme novou sérii přednášek pro datové specialisty ve spolupráci se společností DataBrothers.

VÍCE O POBOČCE

Kontakt na organizátory

Pokud máte jakýkoliv dotaz na organizátory této akce, prosím neváhejte nás kontaktovat na e-mailu:

praha@wug.cz

Moje registrované akce

Pro zobrazení Vašich registrací na akce se prosím přihlašte.

Nejbližší konané akce

  • Aktuálně nepřipravujeme žádnou akci

Další informace o akci

Zabezpečení prostředí MS Windows sítí

Datum a místo konání:

10.2.2005 od 17:30 do 21:00
pobočka: Praha
přednášející: Bohuslav Frk, Jan Vondrák

Registrace na akci

0
ze 100
potvrzených registrací
0
na čekací listině
0
zamítnutých registrací

Ohlédnutí za akcí

 

Viry jsou zákeřné mrchy, což jako admini dobře víme. Ani naši přednášející, ani část pořadatelů neaktualizovala včas své antivirové řetězce, čehož tyto zákeřné potvory využily, takže průměrná teplota pořadatelů i přednášejících dosáhla 39 stupňů Celsiovy škály. Trochu se to možná odrazilo na obsahu a podání přednášky, přesto je potřeba poděkovat oběma přednášejícím za hrdinství, které prokázali při tomto útoku tím, že nedošlo ke zhroucení jejich systému ani k odmítnutí služby (DoS).

Sonorním hlasem zavirovaného pořadatele proběhlo přivítání účastníků (klasické plky a fňukání o pomoc s organizací meetingů) a poté se za pultík dobelhal první přednášející (Slávek Frk). Zamrzelo, když sdělil, že na přípravu přednášky neměli moc času a prezentace tomu tak trochu odpovídala. Ve velice stručném úvodu nejdříve zmínil, že nebude řešit obecnou problematiku zabezpečení Windows sítí pro BFU (možná myslel BFA), pak se dotkl problematiky aktualizací, nástroje MBSA, řekl pár vět o GPO a aplikaci template security. Ještě chvíli mluvil, následně se odpotácel od pultíku, zhroutil se do křesla a lehce blouznil v horečkách. 

Nastoupil druhý z dvojice (Jan Vondrák), evidentně v lepší kondici a s teplotou zhruba o 0,1 stupně nižší. Zatímco jeho zhroucený bratr se se mnou pral o Paralen, předváděl Honza praktickou ukázku hackingu webu využitím trochu staršího exploitu. Začal průzkumem serveru, běžících služeb a informací, které na sebe server napráší např. v banneru, pak ukázal použití a využití Telnet clienta, seznámil s prací v rámci některých použitelných nástrojů např. NMapWin (http://sourceforge.net/projects/nmapwin), URLScan (a vůbec, vygooglete si to), velice šikovného NetCat (to taky), pak předvedl přemístění „potřebných“ souborů na vzdálený stroj do adresáře scripts a celé toto extempore skončilo převzetím kontroly nad vzdáleným strojem. Během přednášky se našli jedinci, zuřivě si opisující syntaxi již delší dobu nepoužitelných Double Decode a Unicode Decode znaků a jejich využití v URL adrese stránky, se zjevnou snahou „otestovat“ jiné nežli vlastní systémy (na druhou stranu – pokud se najdou admini, na jejichž stroje toto ještě bude fungovat, dobře jim (mi?) ;-) tak). Dále se v rámci praktické ukázky i mimo ni hovořilo o metodách povyšování privilegií do kontextu systému, SQL injection, back doors, rootkitech, DDoS útocích, ale to už ke mně doléhalo z mlhy a „druhého břehu“, neboť boj o Paralen jsem s mladším a hbitějším protivníkem prohrál.

Ale určitě Honza mluvil o tom, že pokud používáte WWW server, měli byste alespoň jej provozovat na jiném než systémovém disku, logovat na jiný server, změnit výchozí nastavení (pokud jej ještě nedejbože máte) adresářů Inetpub a Inetpub/scripts na něco rozumnějšího než Everyone – Full Control, můžete-li se vyhnout provozu FTP na stejné lokaci, tak se mu taky vyhnout, odebrat Write a Execute pro Everyone a Users na webovém serveru, odstranit nevhodné ISAPI aplikace, atd., ale hlavně – update, updaTE, upDATE, UPDATE!!!

Jelikož jsem nebyl moc při smyslech, nevím přesně o čem se mluvilo, ale předpokládám, že se určitě přednášející otřeli o to, jak se vyvíjelo použití File System Traversal od dob IIS v.2 a vyšších (http://www.lousknuto.cz/../../../../../winnt/system32/cmd.exe?+/c+dir+c:\), pak při použití hexaznaků %2F za "/", %5C za "\" a %20 za mezeru po odstranění zmíněné chyby v jiné variantě téhož (http://www.lousknuto.cz/..%2F..%2Fwinnt/system32/cmd.exe?+/c+dir+c:\), že v IIS 5.0 před SP2 pro W2K se s úspěchem dalo použít UNICODE vyjádření %C0%AF pro "/" a %C1%9C pro "\", takže výpis rootu se dal zase zvládnout (http://www.lousknuto.cz/scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir%20c:\), že po SP2 se uteklo třeba k variantě http://www.lousknuto.cz/scripts/..%255c..%255cwinnt/system32/cmd.exe?/c+dir+c:\ , atd., atd. 
A abyste neměli pocit, že na vás kašleme, doplním i pár věcí (nejsou z mé hlavy, to abych se zase nechlubil cizím peřím), které tam třeba nezazněly, nebo pokud ano, tak už v mém bezvědomí. Pro alespoň jistou míru bezpečnosti svého webu můžete podniknout, kromě výše uvedeného, třeba: 
orientační průzkum systému na existenci rootkitů (Rootkit Revealer – www.sysinternals.com), 
navštívit alespoň občas stránky www.metasploit.com a něco si o tom přečíst 
pokud jste hračičkové stáhnout si ze stejného místa Metasploit Framework a zkusit si, jak je jednoduché pro scripting kids či jiné lamy získat třeba příkazovou řádku neopatchovaného vzdáleného systému využitím některého ze známých exploitů (bez jakékoli hlubší znalosti systému, chyb, atd.), 
navštěvovat třeba www.packetstormsecurity.org kvůli informacím o chybách a exploitech právě vytažených z trouby :-)
Snad vám uvedené informace alespoň částečně nahradí chybějící prezentaci.
Ať žije paranoia!!!
Pavel -TA-

Fotky z akce

© 2024 WUG |  Úvod |  O nás |  Přednášející |  Záznamy |  Kontakt