Bezpieczenstwo List Dyskusyjnych i kont pocztowych/www: wersja prealfa czesc: 1/5 Copyright (c) NABS, Empire of Leblandia 2002 *** II II IIIIII IIIIII IIIIII *** III II II II II II II *** II III IIIIII IIIIII IIIIII *** II II II II II II II *** II II II II IIIIII IIIIII LEBLANDIA 2002 1. Podstawa sprawa przy prowadzeniu panstwa internetowego jest utrzymywanie trzech podstawowych uslug: konta pocztowego, strony, listy dyskusyjnej. Podstawowa zasada bezpieczenstwa jest uzywanie do kazdej z nich oddzielnego zestawu loginow/hasel. Niestety, ale czesto konto pocztowe powiazane jest ze strona (wp, onet, interia). Powoduje to, ze uzyskanie hasla do konta daje dostep do witryny (i na odwrot). Waznym czynnikiem jest tu bezpieczenstwo logowania - bezwzglednie nazezy wybierac te uslugi, ktore dokonuja tego przez protokol ssl czy ssh. Niestety, ale wiekszosc uslug w Polsce dokonuje tego otwartym tekstem (jesli konto pocztowe jest nawet obslugiwane przez ssl, to strona i dostep do nie przez ftp obslugiwany juz jest otwartym tekstem). Z moich osobistych doswiadczen wynika, ze uzywajac programu typu sniffer (do przegladania pakietow lecacych przez internet), jestem w stanie uzyskac dostep do praktycznie dowolnego konta pocztowego/strony internetowej (przy logowaniu otwartym tekstem) w ciagu okolo 15 minut po tym, jak wlasciciel konta odebral poczte, czy wszedl przez ftp na swoja strone celem np. aktualizacji. Juz to pokazuje, jak wazny jest dobor hasel i ich wykorzystanie (haslo nie powinno byc krotsze niz 10 znakow - nie moga one tworzyc rzeczywistych slow). Zdarza sie, ze haslem jest slowo - uzywajac programu typu code-breaker jestem w stanie zlamac takie haslo metoda slownikowa w czasie ok. 2 godzin - przy zalozeniu lacza 2MB i hasla bedacego slowem zawartym w slowniku WORDA, nie dluzszego niz 8 liter. Ale i haslo nie bedace slowem da sie zlamac - tak po prawdzie to wszystko da sie zlamac - liczy sie tylko czas! Metada brute force polega na tym, ze sprawdza sie wszystkie mozliwe kombinacje znakow - haslo do 5 liter da sie zamac szybko, ale juz dluzsze niz 8 znakow, to raczej poziom bezpieczny - tego juz sie nie lamie, ale pamietac nalzey o mozliwosci przechwycenia przez "sniffer" (patrz wyzej). Wirusy - patrz czesc 3. 2. Bezpieczenstwo List Dyskusyjnych Liste dyskusyjna mozna: przejac, zablokowac, zaspamowac. Przejecie - istnieja 2 dobre systemy list: yahoo i hydepark. Oba maja wady - np. hydepark loguje tylko otwartym tekstem. Sniffer ustawiony aby nasluchiwal ciagu pakietow: nazwalisty, xxxxxx - bedzie to robil. Gdy ktos wpisze "nazwalisty" sniffer zacznie nagrywac - i nagra te xxxxxx, ktore beda podanym otwartym tekstem haslem. Przypadki przejecia list juz sie w Polsce zdarzyly (dotyczyly tez i panstw internetowych). Przejeto w ten sposob np. liste dyskusyjna Cyberstanu. Z moich doswiadczen wynika, iz przejecie listy dyskusyjnej nie stanowi problemu o ile nasz sniffer wychwyci haslo, to mamy wlasciwie pelny dostep. Jako NABS jestesmy w stanie w krotkim czasie przygotowac sie i przejac liste dyskusyjna panstwa, ktore wypowie wojne Cesarstwu. Zablokowanie/Zaspamowanie - wyslanie duzej ilosci danych przez osobe bedaca juz zapisanym na liste spowoduje zapchanie skrzynek czlonkow listy - moze to spowodowac to, ze wypisza sie oni z listy (panstwa!). Nikt nie lubi otrzymac np. 25MB blikow ze zdjeciemi swin i krow czy tez 30.000 majli, a uzywajac mailbombera i szybkiego lacza wyslanie takiej ilosci majli zajmie okolo 15 minut... Wykonanie tego ataku jest proste ze wzgledu na mozliwosc w dowolnej chwili zapisania sie na liste. Jezeli po takiej "akcji" zostaniemy usunieci z listy, mozemy zapisac sie ponownie i znow zaatakowac. Mozemy tez przygotowac od razu kilka falszywych kont na takiej liscie, poniewaz moze byc i tak, ze po takiej "akcji" nie beda przyjmowac nowych. Korzystajac z juz uzyskanego wpisu na liste atakujemy, ale jako juz inna osoba. UWAGA: NABS informuje, ze wszelkie informacje tu podane dotycza wylacznie celow edukacyjnych wskazujac mozliwe zagrozenia i nie maja na celu przygotowan ataku. Wskazane tu potencjalne zagrozenia powinny byc znane dla kazdego obywatela/prowadzacego internetowe panstwo i dzialania jego powinny byc skierowane aby im przeciwdzialac. CDN.