Soluţii - PC Magazine Romania, Iulie 2004

Securitatea Reţelei [9]

Chasing shadows: Analiza unui sistem spart

Mircea Scărlătescu

Există zeci de moduri în care îţi poţi da seama că reţeaua ta a fost spartă. Ceea ce vei citi este cât se poate de real: aşa lucrez eu când trebuie să văd ce s-a întâmplat "peste noapte".

Trebuie să încep prin a spune că analiza decurge, în mare, la fel, atunci când ai de-a face cu Windows2000/XP/NT, cu unele excepţii (fişiere ca .bash_history). Motivul pentru care am fost, azi, ceva mai Linux-centric decât de obicei este că am vrut să vă prezint o situaţie reală. Şi realitatea este că staţiile din reţeaua pe care am examinat-o aveau Linux instalat…

Parcă mergea mai repede…

Există mai multe lucruri care ar trebui să te îngrijoreze. Nu are nici un sens să fii paranoic şi să începi să verifici fiecare staţie din reţea imediat ce ajungi la lucru.

Lucrurile se schimbă radical pe o staţie spartă. Un atacator vrea să facă următoarele lucruri: să pătrundă în reţea, să-şi acopere urmele, şi să lase o "poartă" deschisă, în caz că va dori mai târziu să reia atacul. De aceea, el trebuie să modifice foarte serios staţia pe care a obţinut acces.

Cele mai evidente probleme sunt întârzierile mari de la logare şi rezultatele ciudate cauzate de comenzile uzuale. Aceste două simptome apar din cauza aplicării unor patch-uri asupra utilitarelor de sistem (/bin/*), pentru a servi mai bine cracker-ului.

În cazul meu, am întâlnit o întârziere abia perceptibilă la logarea staţiei 192.168.141.5 Iiată completă cu maşinile din reţea :

192.168.141.1 - router, Linux Red Hat 5.2
192.168.141.2 - firewall, Linux Slackware 8.1
192.168.141.3 - staţie Linux Slackware 8.1 cu XFree
192.168.141.4 - staţie Linux Red Hat 9.0 cu XFree
192.168.141.5 - staţie Linux Slackware 8.1, fără XFree
192.168.141.6 - staţie Windows 3.1/DOS (pentru cursul de arheologie J)
192.168.141.7 - staţie Linux Red Hat 7 cu XFree
192.168.141.8 - statie beOS, rulând în reţea, serverul pentru Intranet
192.168.141.9 - server de fisiere, Linux Debian, fără XFree
192.168.141.10 -....
192.168.141.11 -....
192.168.141.12 -....
192.168.141.13 -....
192.168.141.14 -....
192.168.141.15 -....

Ea ar fi trebuit să fie un server www, dar nu avusesem timp să instalez sistemul de operare seara şi, pentru că era prima dată când trebuia să configurez apache, am lăsat maşina pornită, am tipărit câteva documente pe imprimanta de reţea (instalasem demonul, dar nu îl configurasem) şi cam atâta.

A doua zi, sistemul era instalat, dar era oarecum mai lent decât mă aşteptam pentru un Slackware. M-am gândit un moment că pornisem prea multe procese, sau că aveam vreo greşeală de configurare. Sincer, numai din curiozitate am trecut la 192.168.141.3 şi am folosit finger. Rezultatul m-a cam întors pe dos:

root@ad: finger @192.168.141.5
Login: root
Name: (null)
Directory: /root Shell:
/bin/bash
On since Sun Mar 15 04:40
(EET) on tty1
No plan

La ora aceea nimeni, dar nimeni nu putea să se logheze ca root. În plus de asta, eram cât se poate de sigur că nu lăsasem maşina pornită logat ca root - ar fi fost o sinucidere curată!

Am trecut deci la treabă. Citind fişierele din /var/log (locaţia fişierelor-jurnal sub Linux), am întâlnit următoarea linie:

MAR 15 02:32:31webserver
Invalid password for ´root´ 
on ´tty1´

Asta nu e de la mine! Păi ia stai aşa…

MAR 15 02:32:32webserver
Invalid password for 
´operator´ 
on ´tty1´
MAR 15 02:32:32webserver
Invalid password for 
´admin´ on ´tty1´
MAR 15 02:32:34
webserver
Invalid password for ´games´ 
on ´tty1´
MAR 15 02:32:34webserver
Invalid password for 
´news´ on ´tty1´
MAR 15 02:32:36
webserver
Invalid password for 
´mail´ on ´tty1´
MAR 15 02:32:38
webserver
Invalid password for 
´www´ on ´tty1´

"Ceva" a luat la rând tot fişierul /etc/passwd încercând o parolă - nu ştiu exact care. Un moment, m-am temut că atacatorul a reuşit să-mi fure fişierul cu parole, dar n-a reuşit să le spargă - în schimb, având o hartă cu numele de utilizatori, putea găsi unul neprotejat. M-am speriat degeaba - contul ´operator´, de exemplu, ştiam sigur că nu a existat niciodată pe acea maşină. Probabil că ar mai fi încercat mult şi bine prin bruteforce, dacă n-ar fi întâlnit contul lp (imprimanta de reţea), pe care, în grija mea de a configura apache, nu l-am protejat cu parolă L.

Acesta a fost momentul în care toată securitatea reţelei mele a fost compromisă. Dar asta nu explică totul. S-a logat user-ul lp, dar cum a ajuns root?

Am aruncat o privire în /etc/passwd şi am intrat în directorul home al user-ului "lp". Nimic în neregulă, am crezut eu:

root@ad:/var/spool/lpd# ls
\ ./
\ ../

Ba chiar m-am bucurat văzând că atacatorul nu se luase de fişierul meu cu alias-uri (de fapt, prin ´ls´ eu vroiam să se-nţeleagă ´ls -a´, care arată şi fişierele ascunse). Am continuat cu tot ceea ce ştiam că e logic: fişierele-jurnal care nu fuseseră şterse (unele fuseseră). Marele meu noroc a fost că cel care mă atacase nu şi-a dat seama că maşina mea consemnează şi logările eşuate (logarea ca ´lp´ nu fusese eşuată… deci nu a fost consemnată, dar eu ştiam că lp nu e protejat prin parolă!).

După vreo două ore de săpat printre fişiere, am văzut totuşi că e ceva în neregulă. Unele din alias-urile mele nu mergeau. De fapt, nu mergea cam nici unul. Şi totuşi, cum se face că îmi arătase fişiere ascunse "." şi ".." de mai sus?

Abia atunci mi-am dat seama: fişierele acelea nu erau ascunse! Nu mă credeţi? Ia mai uitaţi-vă un pic:

root@ad:/var/spool/lpd# ls
\ ./
\ ../

Cam multe slash-uri pentru gustul meu. Aşa că am încercat:

root@ad:/var/spool/lpd# ls -a
. /
.. /
\ ./
\ ../

Dacă nu vă daţi seama imediat din cauza fontului folosit, încercaţi aşa: "." este ascuns şi înseamnă "directorul curent". În schimb, "." ("[spaţiu]." ) este un director creat de altcineva!

În cadrul lui se aflau câteva fişiere şi anume un patch pentru fişierele din /bin şi un exploit scris, probabil, în ASM. Exploit-urile sunt programe mici care permit obţinerea anumitor privilegii prin tehnici avansate de programare. Se pare că privilegiile fuseseră foarte mari J de vreme ce atacatorul obţinuse acces ca root.

Iată, pe româneşte, ce s-a întâmplat: eu am lăsat maşina pornită seara. Greşeala mea, mai ales că, încercând să configurez apache pentru a folosi cgi şi php, uitasem să adaug o parolă pentru contul lp (serverul pentru imprimantă era "pe butuci" şi a trebuit să improvizez). Atacurile prin bruteforce au reuşit, în sensul că atacatorul a găsit un cont neprotejat. A intrat, şi a folosit exploit-ul pentru a deveni root şi a patch-ui fişierele din /bin ca să-şi ascunde urmele. Mai târziu, am descoperit chiar că adăugase un cont cu username ´Root´ (diferit, în Linux, de ´root´ - Linux e case sensitive) şi o parolă pe care n-am reuşit s-o sparg. Oricum, am şters contul.

Apoi…

Evident, se punea problema ce voi face cu staţia? Era un pericol potenţial, poate că nu descoperisem toate "găurile". Iată ce trebuie făcut, în ordine, pentru a reintegra în reţea o maşină care a fost spartă.

Mai întâi, deconectează imediat masina din reţea. Nu poţi ştii niciodată când va avea loc următorul atac. După ce ţi-ai dat seama cum a avut loc penetrarea reţelei, crează imagini ale disk-ului şi pune-le undeva la păstrare. Dacă vei avea vreo discuţie cu Poliţia, aceste imagini pot constitui dovezi!

Apoi salvează toate documentele importante care nu pot conţine viruşi sau exploit-uri - documente, imagini sau MP3-uri. Acestea le vei păstra pentru reinstalarea de după. În nici un caz să nu refoloseşti programe, script-uri cgi/bash, pentru că ar putea fi potenţiale porţi pentru alţi crackeri. Formatează hard-disk-ul şi reinstalează sistemul de operare. Reconfigurează-l, având grijă să acoperi poarta tocmai descoperită. Abia acum poţi reconecta maşina în reţea.

N-ai terminat! Ai grijă, dacă o maşină a fost spartă, e posibil să fii fost şi altele. Verifică şi celelalte staţii pentru intruziuni similare. Abia după ce te-ai asigurat că totul e în ordine şi acolo, poţi fii liniştit. Ai scăpat şi de data asta!

A mai trecut de-atunci ceva…

Şi cu asta se încheie ultimul articol din serie. Eu voi continua să scriu despre acest subiect, dar asta nu este suficient (sau, oricum, n-ar trebui să fie suficient pentru tine). Pentru mine nu e niciodata…J. La fel ca în toate numerele, închei prin a te încuraja să te informezi cât mai bine, pe cât mai multe căi.

Grupurile USENET (poţi folosi serviciul Google Groups dacă nu vrei să te chinui prea mult cu newsreadere şi alte asemenea) sunt surse excelente de informaţii. Nu ezita să postezi pe forumuri, ţi se va răspunde mereu la întrebări dacă ştii cum să le pui. Internetul e plin de hackeri wannabe care se vor ofusca la o întrebare mai amatoricească ("trebuia să ştii deja", "hacker eşti tu sau ce?"), dar hackerii şi administratorii adevăraţi îţi vor răspunde dacă le arăţi respect.

Securitatea este un domeniu foarte complex. Nu poţi învăţa nimic dacă nu faci decât să citeşti şi să întrebi. Dacă nu ai o reţea "serioasă", fă rost de Virtual PC sau de VMWare Workstation, care îţi vor permite să foloseşti o reţea virtuală pe un singur calculator. Încearcă orice afli nou pe reţeaua asta, astfel nu vei intra în conflict cu legea. Ceea ce nu vrea

să-nsemne că, atunci când vei ştii mai multe, e cazul să o faci. Reţine că graniţa între un hacker şi un cracker este foarte subţire. Hackerii au adus numai beneficii lumii TI (inventariem? TCP/IP, Internet-ul deci, www, C/C++, Linux, Python…), dar crackerii doar au tras-o în jos. Primii sunt apreciaţi pentru ceea ce fac, iar faptul că nu totdeauna fac lucruri tocmai legale nu este un impediment pentru autorităţi (decât în cazuri rare). Crackerii nu sunt tocmai apreciaţi, iar condamnarea lor mi se pare mai mult decât îndreptăţită.

Cu asta se încheie ultima parte din Securitatea Reţelei. Dar, cum spuneam, I´ll be back for more…