جاسوسی همه جانبه

خبرهای مختلفی در مورد ابعاد و شنود اطلاعاتی که NSA از گروه‌ها و کشورهای مختلفی انجام داده است در حال انتشار است. مانند بسیاری از اخبار  مرتبط با حوزه امنیت اطلاعات، بخش زیادی از این اخبار زیاده‌گویی‌ها و شانتاژهای رسانه‌ای است که به زودی فروکش خواهند کرد.

49قسمت اندکی نیز، با قبول این واقعیت که دولت‌ها (به خصوص دولت فدرال آمریکا) سال‌هاست در حال جمع‌آوری اطلاعات هستند، در خصوص نحوه جمع‌آوری و حقوق متقابل دولت‌ها و شهروندان، در حال انتشار مطلب هستند. ماجراهای اسنودن بهانه‌ای شده است تا افراد زیادی در خصوص مطالبی که مدت‌هاست کمتر صحبت کرده‌اند، با خیال راحت‌تری صحبت کنند.

واقعیتی که پیشتر در نوشته‌های مورد عجیب اسنودن و همچنین واحد عملیاتی ۸۲۰۰ به آن‌ها اشاره کردم، در سطح عمومی جامعه هنوز به صورت مشخصی قبول نشده است. تمامی دولت‌ها چه به صورت مستقل و چه به صورت گروهی در حال جاسوسی ممتد از شهروندان و همچنین یکدیگر هستند. آقای اوباما به صورت رسمی پس از مشکلات علنی شدن جاسوسی از دولت آلمان این جمله را ذکر کرده است: تمام دولت‌ها از یکدیگر جاسوسی می‌کنند. این احتمالا اولین بار است که یک مقام حکومتی واقعیتی که سال‌هاست در حال رخ دادن است را در سطح عمومی بیان می‌کند.

در نمودار زیر، سعی کردم روش‌های مختلفی که برای جمع‌آوری اطلاعات مورد استفاده قرار داده می‌شود را نمایش دهم:

Intelligence

استفاده از kismet بر روی ubuntu

بعد از مدت ها پیوسته ننوشتن، نگارش درست من کمی زمان خواهد برد. شما بردبار باشید.

برای استفاده از kismet روی تمامی نسخه های اوبانتو از نسخه موجود در مخزن استفاده نکنید و برنامه را از سورس کامپایل کنید. بدون شرح:

$ su –
# apt-get install build-essential
# apt-get install libncurses5-dev
# apt-get install libpcap0.8-dev
# cd /opt/
# wget http://www.kismetwireless.net/code/kismet-2010-01-R1.tar.gz
# tar zxvf kismet-2007-01-R1b.tar.gz
# cd kismet-2010-01-R1
# ./configure
# make dep
# make
# make install

خودشان توصیه می کنند که با کاربری به جز root برنامه را راه اندازی کنید. من گوش نکردم.

کنترل ورم Conficker با استفاده از محصولات استارو

بعد از مدت تقریبا زیادی کار با محصولات شرکت استارو اطمینان خوبی به این محصولات پیدا کرده ام.
یکی از دلایل این اطمینان پیاده سازی این محصولات بر پایه خانواده لینوکس با یک ساختار قابل اطمینان و همراه با پشتیبانی ویژه تیم و جامعه کاربران حرفه ای استارو است.
با شیوع گسترده ویروس (ورم) Conficker و تبعات آن هر یک از محصولات امنیتی راه حلی برای مقابله با این ورم آماده کرده اند.

در مورد محصولات Astaro این ورم با افزودن Astaro Global Pattern Up2Date #9422 به موتور IPS محصولات استارو از اوایل ژانویه ۲۰۰۹ توانایی مقابله به Conficker ایجاد شده است.

برای اطلاعات بیشتر مراجعه کنید به : Astaro Patterns: Controlling Conficker Worm

محل استفاده از سامانه پیشگیری/تشخیص نفوذ (NIDS)


استفاده از
Network Intrusion
Detection System
با توجه به افزایش روزافزون مخاطرات ناشناخته و یا غیرقابل پیش
بینی (حمله هایی که سرمنشا داخلی دارند و یا zero-day ها) انتخاب عاقلانه و در برخی
موارد اجباری است. محل به کارگیری یک
NIDS بر اساس این سه عامل قابل بررسی است:

بودجه

حساسیت و محرمانگی

توانایی ها و قابلیت های موجود در سازمان

اگر بتوان با عامل بودجه مقابله کرد، استفاده از سناریوی زیر
به عنوان الگوی اولیه (برای ارتباطات LANبهWAN) همواره بهترین نقطه شروع برای شبکه
هایی با حساسیت متوسط و بالا است (شبکه های سازمانی، شبکه های مالی و شبکه های
نظامی_یا محرمانه_):

سامانه پیشگیری/تشخیص نفوذ خارجی (External NIDS)
– پوشش امنیتی اولیه که به صورت پیش فرض تمامی درخواست ها را با
حالت Deny پاسخ می دهد:
۱- Router
با الزمات امنیتی و Access Control Lists
۲- فایروال
۳-
پروکسی (Application
aware proxies
بسته به برنامه هایی که استفاده می شوند یا خواهند شد.)
– سامانه پیشگیری/تشخیص نفوذ داخلی (Internal
NIDS)
DMZ برای برنامه هایی که به صورت
عمومی استفاده خواهند شد.
– پیاده سازی سرویس های شبکه با دید امنیتی و به کار بردن شیوه
نامه های موجود
– سامانه پیشگیری/تشخیص نفوذ شبکه های بی سیم در صورت استفاده (Wireless
IDS/IPS)

چرا از سامانه پیشگیری/تشخیص نفوذ خارجی (External NIDS)
استفاده کنیم؟
NIDS خارجی به عنوان نقطه امنیتی صفر وظیفه تشخیص،
تحلیل و جمع آوری (و در برخی سناریوها پیشگیری) مخاطرات امنیتی که از سمت شبکه های
مبتنی بر IP خارجی (مانند اینترنت و شبکه های
WAN مشترک) روی می دهند را دارد. داده های جمع آوری شده
می تواند به صورت real-time تحلیل شود و همچنین برای
پیگیری های آینده مورد استفاده قرار بگیرد. همچنین این سامانه می بایست توانایی
تولید پیغام های خطر را پیش از بروز مشکل داشته باشد.  چهار هدف اولیه که منجر
به استفاده از NIDS خارج از محدوده شبکه
LAN در نقطه اتصال با WAN می
شوند، عبارتند از:

۱- تحلیل نفوذ با استفاده از داده های جمع
آوری شده در قبل
۲- تشخیص بی وقفه و real-time نفوذ
۳- جمع آوری مدارک (Evidence
gathering
) مستند
۴- جمع آوری آمار

اهمیت لاگ فایل‌ها

Anton Chuvakin معروفترین فرد حال حاضر در زمینه جمع آوری و پردازش لاگ فایل های کامپیوتری است. چندوقت پیش نوشته‌ای داشت با عنوان  ۱۱ دلیل برای پردازش و نگهداری لاگ فابل های کامپیوتری که قصد داشتم آن را اینجا بنوسیم، ولی کمی با واقعیت های موجود در ایران فاصله داشت. بیشتر علت هایی که ذکر کرده است با توجه به نیاز های PCI DSS الزامی هستند.

با جمع آوری لاگ فایل چه مزایایی خواهید داشت؟

  • در مواقعی که سیستم های شما مورد بازرسی قرار می گیرند، (از طرف داخل سازمان و یا بیرون از سازمان) حرفی مستدل برای گفتن دارید. اینکه کاربر فلانی، فلان ایمیل را از طریق میل سرور سازمان ارسال کرده است و یا فایل سرور شما از طرف چه کسی میزبان ۱۰ گیگابایت فیلم پورن شده است شاید زمانی بتواند دلیلی برای کوتاهی مدیر شبکه پیدا کند.
  • در هنگامی که مسول شبکه، در مورد سرعت کند فلان سرویس (پهنای باند، ایمیل و یا وب سرور) مورد نکوهش قرار می گیرد، لاگ فایل ها وسیله‌ای برای پیدا کردن سواستفاده کنندگان هستند.
  • در ایران چیزی که به مانند  FISMA و یا  PCI DSS اجبارهای امنیتی فراهم کند نداریم، در هر صورت اگر به فکر رعایت شیوه نامه های معروفی مانند آنچه ذکر شد هستید، نگهداری و پردازش و بررسی لاگ فایل ها از اهم واجبات است!

لاگ فایل، چگونه، چقدر و چی چیز!

  • هر چیزی را که تصور کنید، این روز ها لاگ فایل دارد. فایل سرور، وب سرور، MTAها، برنامه ها، انواع دیتابیس ها و تقریبا تمامی تجهیزات شبکه ای. به اندازه تمام این چیزها هم برنامه های مرتبط وجود دارد و تقریبا تمامی آن ها با syslog قابل لوله کشی هستند!
  • اگر دنبال این بهانه هستید که نگهداری لاگ فایل حجم زیادی اشغال می کند، جواب های کوبنده خوبی برای شما وجود دارد. نگهداری، دسته بندی و آرشیو کردن لاگ فایل با توجه به هزینه بسیار پایین رسانه های ذخیره سازی تمامی بهانه ها را برای شما از بین برده است.
  • البته این نظر شخصی است، شاید مخالف هایی داشته باشد. اکتفا کردن به لاگ فایل های تولیدی شاید به تنهایی کافی نباشد، بعضی وقت ها استفاده از ابزارهایی مانند  tcpdump ویا wireshark برای جمع آوری آنچه در حال اتفاق است بسیار می تواند موثر باشد. همینطور خروجی برنامه هایی مثل  Niktoو کلا  پویشگرهای آسیب پذیری می تواند به عنوان یک نوع لاگ فایل نگهداری شوند.

HotSpot در مهرآباد



صبح قبل از پرواز کمتر از ۱۰ دقیقه وقت بود و احساس کردم شاید  فرودگاه مهرآباد هم پیشرفت کرده باشد و  HotSpot قبل از پرواز  را راه اندازی کرده باشد. بنگ! و صفحه ورود هات اسپات داتک ظاهر  شد. به ظاهر از راه حل های  ChilliSpot برای کنترل استفاده می  کنند و سرعت در حد قابل قبولی برای کارهای معمولی موجود بود.  (البته در ساعت تقریبا خلوت شاید خیلی هم خوب نبود.) به هر حال، مطلبی که گفتنش  ضروری به نظر می‌رسد عدم وجود امنیت کافی در این سرویس بود. در اسکرین شات می  توانید مشاهده کنید به سادگی امکان اتصال به سایر کلاینت ها را داشتم و این موضوع به  خوبی قابل توجیه نبود.

از شبکه های WiFi دیگر فرودگاه مهرآباد هم شبکه ترانزیت و کیش ایر هر دوشون با WEP محافظت می شوند که تنها چند دقیقه و کمی حوصله برای آسیب پذیر شدن نیاز دارند.

    – مقدمه ای بر شبکه های بی سیم

    – Pars HotSpot

    – Wireless Hotspot Security

    – Cracking WEP and WPA Wireless Networks

راهنمای استفاده از OpenWRT

استفاده از access point های ارزان قیمت در بسیاری از دفاتر کوچک و منازل مسکونی رایج شده است. رنج وسیعی از این تجهیزات با استفاده از مشتقات لینوکسی (OpenWrt TableOfHardware) و به خصوص OpenWRT کار می کنند.
O’ReillyNet مقاله خوبی برای آشنایی با  OpenWRT منتشر کرده است که پیشنهاد می  کنم مطالعه کنید:



OpenWRT 101

OpenWRT is one of the key drivers
behind the Wi-Fi revolution. It got its start as an embedded Linux platform
for wireless routers, perhaps inspired by (while separate from) the GPL’d
Linksys code, and since 2004 it has been managed as an open source project.

There are currently three major
active branches of the OpenWRT platform: OpenWRT, FreeWRT, and DD-WRT.
OpenWRT is the original code base, which focuses on a minimal embedded Linux
platform with a number of modules to add various functionalities. FreeWRT is
a direct outgrowth of OpenWRT and focuses on providing an advanced platform
for experienced developers. DD-WRT started with Sveasoft Alchemy but
switched over to a WRT kernel to make use of commodity access points from
companies like Linksys and Netgear as opposed to high-end APs. DD-WRT has a
nice control panel and some other features for easy setup and use. (Ewrt is,
alas, no more, so I won’t describe it here).

یکی از نقاط قوتی که براین این به روز رسانی می توان در نظر گرفت، امکان استفاده از  ماجول های امنیتی علاوه بر استاندارد بسیار نامطمئن WEP است. با استفاده از راهنماهای  موجود WPA (و شاید  WPA2) در دسترس می باشند. همانطور که حتما می دانید  استاندارد  WEP به روش بسیار خوبی برای در اختیار قرار دادن اطلاعات شما به نفوذگران (lamerهای  خوش حال) تبدیل شده است.