Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2014-05-05 06:09:51

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Szpiegowanie na podstawie tcp_timestamps

Tak sobie weryfikuje po kolei te ustawienia kernela co tam któregoś dnia Jacekalex wkleił i doszedłem do tcp_timestamps . Szukałem jakiegoś konkretnego info za co tak naprawdę ten parametr odpowiada i znalazłem tego oto linka: http://nfsec.pl/security/2306 a w nim min. poniższą informacje:

Niestety – dzięki opcji timestamp jesteśmy też w stanie bardzo prosto obliczyć uptime, czyli jak długo maszyna pracuje w sieci bez restartowania, a tym samym dowiedzieć się np. czy zostały na nią nałożone aktualizacje bezpieczeństwa wymagające restartu całego systemu.
...
Patrząc na tą sytuację od strony komputera klienckiego – dzięki znacznikom czasu różne programy i urządzenia w Internecie mogą odczytywać, obliczać i tworzyć indywidualne profile (służące do śledzenia aktywności) tzw. przesunięć czasowych impulsów zegarowych (ang. clock skew) naszego komputera – w ten sposób nasza maszyna jest oznaczona „sprzętowo – programowym” ciasteczkiem już na poziomie warstwy transportowej (a nie aplikacji).

Ta opcja jest włączona w debianie domyślnie i z info w podanym linku wynika, że tymi numerami sekwencyjnymi można się dopiero przejmować przy 1Gbit necie.

Co sądzicie o włączeniu/wyłączeniu tego ficzera?

Offline

 

#2  2014-05-05 07:08:18

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Szpiegowanie na podstawie tcp_timestamps

724

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 00:51:11)

Offline

 

#3  2014-05-05 08:41:28

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Szpiegowanie na podstawie tcp_timestamps

Działanie stosu TCP jest ustandaryzowane przez dokumenty RFC, także nie bardzo rozumiem, co tu jest do łatania w Grsec.
Z resztą Grsec nie służy ukrywaniu systemu w sieci, tylko maksymalnemu zabezpieczeniu hosta w kontekście ataku sieciowego.

To są dwie różne kategorie działań.

Parametry sieciowe kernela konfiguruje się przez sysctl, i Grsec nie tworzy osobnego podsystemu sieciowego, żeby coś tu znacząco zmieniał.

W ogóle się zastanawiam, czy czasem nie masz mrówek w kompie :D
W każdym razie to nie jest żaden błąd, a jak ktoś che obliczać uptime maszyny na podstawie tcp.timestaps, żeby sprawdzić, kiedy pobierała aktualizacje bezpieczeństwa, to ja mu życzę przyjemnej zabawy.
Cały "straszny problem" jest trochę z dooopy wzięty.
W każdym razie, jak to będzie straszliwa dziura, to załatają ją Developerzy kernela.

W praktyce nie ma się czym martwić za bardzo.

Ostatnio edytowany przez Jacekalex (2014-05-05 08:51:24)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#4  2014-05-05 08:52:45

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Szpiegowanie na podstawie tcp_timestamps

725

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 00:51:12)

Offline

 

#5  2014-05-05 09:14:55

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Szpiegowanie na podstawie tcp_timestamps

W zasadzie tak, jednak w praktyce atakujący musi być między systemem, a routerem brzegowym dostawcy? nawet nie, raczej bliżej kompa, żeby coś "wstrzyknąć".

W dodatku można tcp.timestamps wyłączyć, i póki nie ma się do czynienia z prędkościami rzędu 1Gbit, to nie powinno być problemu?
Prędkości rzędu 1Git i większe, to już nie są miejsca, gdzie używa się jakichś podatnych systemów, takie zazwyczaj działają routery i switche, a w internecie najczęściej już BGP, który ma sam tyle  słabych punktów, że timestamps nic tu nie zmienia.

Także afera z podatnością jest jak zwykle mocno przesadzona, a piłeczka w dziedzinie dozbrojenia mechanizmu jest u Developerów kernela.
Nawet jest ku temu niezła okazja, bo przepisują cały podsystem sieciowy,
w ramach zmiany iptables|arptables|ebtables => nftables.

Także piszcie na LKML jak to takie dla Was takie ważne, albo "na Berdyczów" w przeciwnym wypadku.

Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2014-05-05 09:19:55)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#6  2014-05-05 09:19:54

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Szpiegowanie na podstawie tcp_timestamps

W każdym razie to nie jest żaden błąd, a jak ktoś che obliczać uptime maszyny na podstawie tcp.timestaps, żeby sprawdzić, kiedy pobierała aktualizacje bezpieczeństwa, to ja mu życzę przyjemnej zabawy.

A to jakiś problem? W tym linku nawet dali linijkę do nmapa, sprawdziłem i wypluł ładnie uptime. xD

Z resztą Grsec nie służy ukrywaniu systemu w sieci, tylko maksymalnemu zabezpieczeniu hosta w kontekście ataku sieciowego.

A jak zaatakować coś czego nie widać? xD Po co się maluje tanki na kolor trawy? xD

Jacekalex — mi gdzieś tam w linkach mignęło, że jeden z devów kernela chciał to fixnąć ale za mało wazeliny było i nie dało oporu pokonać. xD

Offline

 

#7  2014-05-05 09:25:25

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Szpiegowanie na podstawie tcp_timestamps

Grsec zazwyczaj zabezpiecza hosty, które widać, bo udostępniają różne usługi w necie.
Dlatego kwestia "ukrywania hosta" to nie jest target Grsec.

Grsec, to z resztą jest dodatkowa warstwa pancerza na Linuxa, ale nie decyduje o kolorze "farby" którą ten pancerz jest pomalowany.

Jak komuś zawadza timestamps, to sobie go może wyłączyć, albo wywalić Linuxa, i postawić OpenBSD.
Technicznie nie ma z tym problemu, prawda?

Myślę, że o ile przydałoby się dozbrojenie mechanizmu, jednak to nie jest  jakaś niezwykle ważna i nie cierpiąca zwłoki sprawa.

Ostatnio edytowany przez Jacekalex (2014-05-05 09:51:18)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#8  2014-05-05 09:35:56

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Szpiegowanie na podstawie tcp_timestamps

Technicznie nie ma z tym problemu, prawda?

Nie ma, ja sobie to wyłączyłem póki co i zobaczę czy się coś będzie psuć, póki co działa.

jednak to nie jest  jakaś niezwykle ważna i nie cierpiąca zwłoki sprawa.

Cierpiąca zwłoki może i nie jest ale ten art ma chyba 4 lata już, xD

Offline

 

#9  2014-05-05 10:04:30

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Szpiegowanie na podstawie tcp_timestamps

morfik napisał(-a):

Technicznie nie ma z tym problemu, prawda?

Nie ma, ja sobie to wyłączyłem póki co i zobaczę czy się coś będzie psuć, póki co działa.

jednak to nie jest  jakaś niezwykle ważna i nie cierpiąca zwłoki sprawa.

Cierpiąca zwłoki może i nie jest ale ten art ma chyba 4 lata już, xD

Należy też pamiętać, że od co najmniej 4 lat zaczyna brakować adresów IP, miało to rozwiązać IPv6, który działa mocno inaczej, ma wbudowanego Ipseca, także zakładam, że tam to będzie zupełnie inaczej wyglądało.
Oczywiście będzie, jak się zacznie katastrofa, bo póki jakoś to działa, to się czeka na cud.
Co najmniej połowa routerów brzegowych musiałaby być wymieniona z powodu Ipv6, dlatego zbyt prędko go nie zobaczymy, bo to są miliardowe koszty.

Co nie zmienia faktu, że żeby skutecznie ukryć hosta w sieci w Polsce, to trzeba go tak spreparować, żeby wyglądał w sieci jak Windows.
Wtedy, zgodnie z zasadą, że w oceanie nie znajdziesz konkretnej kropli wody, host jest w miarę ukryty.
Raczej BSD wtedy łatwiej rozpoznać, z powodu jego losowego znacznika początkowego tcp.timestamps. ;)

Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2014-05-09 13:51:31)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#10  2014-05-09 13:47:31

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Szpiegowanie na podstawie tcp_timestamps

738

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 00:51:29)

Offline

 

#11  2014-05-09 13:52:57

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Szpiegowanie na podstawie tcp_timestamps

Ciekawe, czy kiedy Brad  go dorzuci do łatki Grsec.

Ostatnio edytowany przez Jacekalex (2014-05-09 13:55:43)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#12  2014-05-09 15:45:56

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Szpiegowanie na podstawie tcp_timestamps

Ja tylko jeszcze dodam, że aktywacja tego timestamp powoduje dodanie 12bajtów do nagłówka każdego pakietu i przy wolnych sieciach wyłączenie tego ficzera może trochę poprawić przepustowość łącza. Tak wyglądają staty pakietów przy standardowym przeglądaniu sieci:

http://i59.tinypic.com/2nlzbsn.jpg

Choć w sumie te pakiety 1280-1500 to zaczęły nabijać ostro po włączeniu filmu na yt co jest zrozumiałe ale przy przeglądaniu stronek, liczba tam osylowała na poziomie 25% i niżej. Jak widać pakietów 40-79 jest w cholerę i dodanie tam 12 bajtów to dopiero ssie. xD Nie wiem czy gdzieś jeszcze jest limitowany net ale jeśli ktoś używa to -12bajtów da niezłego kopa. xD

Offline

 

#13  2014-05-10 18:27:21

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Szpiegowanie na podstawie tcp_timestamps

739

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 00:51:30)

Offline

 

#14  2015-06-28 17:22:09

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Szpiegowanie na podstawie tcp_timestamps

Chyba jednak fixneli ten problem już:

Kod:

Uptime guess: 197.261 days (since Sat Dec 13 09:51:44 2014)

# date
Sun Jun 28 17:21:06 CEST 2015
# uptime
 17:21:09 up 15 min,  9 users,  load average: 0.82, 0.41, 0.32

xD

Offline

 

#15  2015-06-28 20:29:49

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Szpiegowanie na podstawie tcp_timestamps

2022

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:19:39)

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Możesz wyłączyć AdBlock — tu nie ma reklam ;-)