[Sipi-]

Idézet: Jahno - Dátum: 2008. jún. 10., kedd - 11:23

végül is magam ellen dumálok, de otthonra egy logmein, aztán kész, használod az otthoni géped. Ez sima webes ssl forgalom, de sok helyen szûrik.

Vagy otthonra valami titikosítós VPN, aztán azon keresztül netezni.

Vagy otthonra egy ssh szerver és ssh tunnelen keresztül nyomni. (vagy ssh tunnel az otthoni gépre és azon keresztül remote desktop)

[Eleanor]

Idézet: Jahno - Dátum: 2008. jún. 10., kedd - 12:29

Fene sem akar ilyennel foglalkozni, mikor már egy csomó weboldal https.

Ha pizzafutárnál dolgozol, tényleg nem is annyira érdekes...

[Jahno]

Idézet: Eleanor - Dátum: 2008. jún. 10., kedd - 15:07

Ha pizzafutárnál dolgozol, tényleg nem is annyira érdekes...

De most tényleg, tegyük fel, hogy egyik gép webes ssl forgalmaz valami site felé, ami elsõ ránézésre nem is konkrét hackersite, meg nem is az OTP weboldala. Oszt akkor?

[Eleanor]

Idézet: Jahno - Dátum: 2008. jún. 10., kedd - 15:25

De most tényleg, tegyük fel, hogy egyik gép webes ssl forgalmaz valami site felé, ami elsõ ránézésre nem is konkrét hackersite, meg nem is az OTP weboldala. Oszt akkor?

És netán a bank, ahol dolgozol, az önkormányzat összes adatát tudja... 

[duzzadtch]

Idézet: Warrior - Dátum: 2008. jún. 10., kedd - 9:07

fõleg nem úgy, hogy nem nagy a hálózati tudás. Persze az is lehet, hogy tapasztalt h@xor vagy, csak minket szívatsz. 

Warrior egy - két dologban már tapasztalt vagyok, de a h@xorhoz semmi közöm, és nem szivatok senkit.

[Warrior]

Mondjuk van némi ellentmondás a hekkelés tekintetében. Az a baj, hogy ha valaki jó tapasztalatot szerez, azt bizony illik el is mélyíteni. Ehhez szinte kizárt, hogy ne tegyen olyat, amivel nem ártHAT másnak. Kérdés, hogy az õ fejében ezek a dolgok meddig válnak szét, mikortól lesz egy cselekedet "rossz".
Aki tapasztalt hekker, az simán megcsinálhat tehát olyasmit, amivel simán árthat másoknak, akár nagyobb vagyonra is szert tehet. De meg is kell csinálnia, ki is kell próbálnia magát, sõt folyamatosan fejlõdnie kell, különben max. elméletben lesz szaki, az meg semmit sem ér.
Csak az a kérdés tehát, hogy mire s hogyan használja a tudását.

Van ismerõs, aki azt mondta: folyamatosan dolgoznak, mindig figyelnek, aktívak, láthatatlanok. Azt is mondta, hogy a userek 99%-a másképp képzeli a valóságot, mint amilyen. Hamis biztonságérzetben élnek. A zömük nem lát az orránál tovább, s azt gondolja, hogy az általa használt "fegyverek", szoftverek biztonságosak. Azt is mondta, hogy szép dolog a bizalom, de a technikát nem igazán érdekli. Csak teszi a dolgát. Igazándiból még elõny is, hogy sokszor láthatatlanok az akciók, mert így nincsenek felesleges meg zavaró bulvárhírek, pletykák. Az emberek sokmindenre képesek, ha valaminek híre megy, még akkor is, ha az elmondottakhoz a valóságnak semmi köze.

A tapasztalatot nem kérdõjelezem meg, de annyi igaz: nem könyvekbõl születik az igazi hacker.

Milyen tekintetben vagy tapasztalt?

[sysmaster]

Idézet: Warrior - Dátum: 2008. jún. 11., szerda - 9:18

Mondjuk van némi ellentmondás a hekkelés tekintetében. Az a baj, hogy ha valaki jó tapasztalatot szerez, azt bizony illik el is mélyíteni. Ehhez szinte kizárt, hogy ne tegyen olyat, amivel nem ártHAT másnak. Kérdés, hogy az õ fejében ezek a dolgok meddig válnak szét, mikortól lesz egy cselekedet "rossz".
Aki tapasztalt hekker, az simán megcsinálhat tehát olyasmit, amivel simán árthat másoknak, akár nagyobb vagyonra is szert tehet. De meg is kell csinálnia, ki is kell próbálnia magát, sõt folyamatosan fejlõdnie kell, különben max. elméletben lesz szaki, az meg semmit sem ér.
Csak az a kérdés tehát, hogy mire s hogyan használja a tudását.

Van ismerõs, aki azt mondta: folyamatosan dolgoznak, mindig figyelnek, aktívak, láthatatlanok. Azt is mondta, hogy a userek 99%-a másképp képzeli a valóságot, mint amilyen. Hamis biztonságérzetben élnek. A zömük nem lát az orránál tovább, s azt gondolja, hogy az általa használt "fegyverek", szoftverek biztonságosak. Azt is mondta, hogy szép dolog a bizalom, de a technikát nem igazán érdekli. Csak teszi a dolgát. Igazándiból még elõny is, hogy sokszor láthatatlanok az akciók, mert így nincsenek felesleges meg zavaró bulvárhírek, pletykák. Az emberek sokmindenre képesek, ha valaminek híre megy, még akkor is, ha az elmondottakhoz a valóságnak semmi köze.

A tapasztalatot nem kérdõjelezem meg, de annyi igaz: nem könyvekbõl születik az igazi hacker.

Milyen tekintetben vagy tapasztalt?

Létezik ethical hcking is: nem feltétlenül kell a támadási/auditálási technikákat harmadik félen gyakorolni, erre remek pentest livecd-k vannak, virtuális vagy valós gépekbõl labort lehet összerakni...

A netes anonymitással kapcsolatban csak annyit, hogy az anonym proxyk használatát megette a fene, ha van a szolgáltatónál IDS vagy transzparens proxyt használ. Már logolódnak is az adatok.

Melóhelyrõl kerülõúton kifelé kapcsolódni: IDS pillanatok alatt kiszúrja, hogy protokoll anomália van a hálózaton.

Akkor már inkább egy virtuális gép + egy web'n'walk stick vagy 3G szappantartó saját számláról fizetve a megoldás, ha mindenáron át kell hágni a policyt.

Szerkesztette: sysmaster 2008. 07. 13. 22:54 -kor

[Jahno]

Idézet: sysmaster - Dátum: 2008. júl. 13., vasárnap - 23:53

Melóhelyrõl kerülõúton kifelé kapcsolódni: IDS pillanatok alatt kiszúrja, hogy protokoll anomália van a hálózaton.

Oszt ha ssl web? Csókolom, mindent mégsem lehet szûrni, ha meg tényleg van IDS, akkor a kutya nem bírja elemezni, vagy szép sorban azon is átengedjük a jövõ hetet, ami nem logolódik. Vagy éppen munka szempontjából használhatatlan lesz az egész hóbelebanc.

Köztes állapot nem mindig mûxik, üzemeltetés szopik, munka nem halad, kész.

[sysmaster]

Idézet: Jahno - Dátum: 2008. júl. 13., vasárnap - 23:20

Oszt ha ssl web? Csókolom, mindent mégsem lehet szûrni, ha meg tényleg van IDS, akkor a kutya nem bírja elemezni, vagy szép sorban azon is átengedjük a jövõ hetet, ami nem logolódik. Vagy éppen munka szempontjából használhatatlan lesz az egész hóbelebanc.

Köztes állapot nem mindig mûxik, üzemeltetés szopik, munka nem halad, kész.

A vállalat szempontjából pont az a cél, hogy mindent szûrni kell.

Egyes nIDS-ek, pl. ISS képesek SSL forgalomba is belenézni. Szomorú, de ez van.

Az IDS reportok elemzésére szokott lenni ember. Megnézik a top 10 violatort és szépen elbeszélgetnek velük.

Persze kis zsebvállalatoknál, ahol nincs pénz infrastruktúrára, simán ki tudsz menni ssh-n tcp/22-n és azt tunnelezel ki-be amit csak akarsz.

[Jahno]

Idézet: sysmaster - Dátum: 2008. júl. 14., hétfõ - 0:27

Persze kis zsebvállalatoknál, ahol nincs pénz infrastruktúrára, simán ki tudsz menni ssh-n tcp/22-n és azt tunnelezel ki-be amit csak akarsz.

Mondjuk én pont olyan cégeknek melózom, ahol a webes ssl, ssh, meg ssl tcpbe csomagolt UDP packetek azok alapvetõ forgalomnak számítanak. Innentõl nyilván dupla szopó, de akkor sem bírom átlátni, csomó durva cégnél fogják, oszt szûrnek szó nélkül (mittomén, 100ezer+ domain júzer) és kész, vagy szépen lukasra csinálják a tûzfalat, mert éppen a kisnagyfõnöknek kell valami, vagy maga az IT nem bír melózni.

Itt kicsiben is elõször ezt kattintottuk ki az IDSben, aztán azt, aztán ezért se szóljon, aztán elemzi a sok vackot manuákisan a kutya. Vagy ha valami van, akkor napi többezer levél is bedõlhet mindenfélérõl, am ijóformán plusz pár droidot kívánna sokórásban.

Kérdés, aki ennyire ért a hálüzathoz, az eljönne-e droidmelóban logot elemezni? Innentõl szintén fene megette, gép meg nem bírja oldani.

[sysmaster]

Idézet: Jahno - Dátum: 2008. júl. 14., hétfõ - 0:19

Mondjuk én pont olyan cégeknek melózom, ahol a webes ssl, ssh, meg ssl tcpbe csomagolt UDP packetek azok alapvetõ forgalomnak számítanak. Innentõl nyilván dupla szopó, de akkor sem bírom átlátni, csomó durva cégnél fogják, oszt szûrnek szó nélkül (mittomén, 100ezer+ domain júzer) és kész, vagy szépen lukasra csinálják a tûzfalat, mert éppen a kisnagyfõnöknek kell valami, vagy maga az IT nem bír melózni.

Itt kicsiben is elõször ezt kattintottuk ki az IDSben, aztán azt, aztán ezért se szóljon, aztán elemzi a sok vackot manuákisan a kutya. Vagy ha valami van, akkor napi többezer levél is bedõlhet mindenfélérõl, am ijóformán plusz pár droidot kívánna sokórásban.

Kérdés, aki ennyire ért a hálüzathoz, az eljönne-e droidmelóban logot elemezni? Innentõl szintén fene megette, gép meg nem bírja oldani.

én meg olyan cégnek dolgozom, ami ügyelek IDS-IPS rendszereit üzemelteti, last level supporton. A reportot mi állítjuk elõ, az ügyfél cégnél pedig van ember, aki a reportot átolvassa. (jó esetben:-)
ezt mondjuk nem nevezném droid melónak.

nem mindenhol gyakorlat az, hogy lyukat ütök a tûzfalon / kivételt állítok be az IDS-en csak mert a vezetésnek kell egy forgalom. meg a belsõ IT-nak, ez fõleg nem jellemzõ. komoly helyeken legalábbis nem.

[kroozo]

Idézet: sysmaster - Dátum: 2008. júl. 14., hétfõ - 0:27

Egyes nIDS-ek, pl. ISS képesek SSL forgalomba is belenézni. Szomorú, de ez van.

Erre egy szigurauan elmeleti ketsorost tudnal rittyenteni, hogy megis hogyan? Nem kell hosszan fejtegetni, meg fogom erteni, csak hirtelen nem latom a modszert

[Jahno]

Idézet: kroozo - Dátum: 2008. júl. 15., kedd - 12:02

Erre egy szigurauan elmeleti ketsorost tudnal rittyenteni, hogy megis hogyan? Nem kell hosszan fejtegetni, meg fogom erteni, csak hirtelen nem latom a modszert

Szerintem nem a konkrét összetételre mondja, meg magára az adatra, hanem a technológiára. Mittomén, ssl tunnelen keresztüli torrentet, vagy hasonlót az ki lehet szûrni.

[sysmaster]

Idézet: kroozo - Dátum: 2008. júl. 15., kedd - 11:02

Erre egy szigurauan elmeleti ketsorost tudnal rittyenteni, hogy megis hogyan? Nem kell hosszan fejtegetni, meg fogom erteni, csak hirtelen nem latom a modszert

Végzõdteti a nevedben az SSL csatornát, a certificate-et lemásolja a szervertõl, azt feléd a szerver nevében felajánlja, a böngészõd persze tiltakozik, hogy certificate error, de te azt mondod rá, hogy OK, menjen csak, nem érdekel a certificate error és kész is van.

pont mint egy man-in-the-middle attack.

tehát: szerver|---SSL (eredeti cert)--->| ids/proxy inspection |----SSL (hamis cert)---->| browser

Szerkesztette: sysmaster 2008. 07. 15. 15:48 -kor

[Jahno]

Idézet: sysmaster - Dátum: 2008. júl. 15., kedd - 16:46

pont mint egy man-in-the-middle attack.

Az szép is lenne aztán, hogy erroros ssl-el kontaktáljunk, azért ez nem teljesen üzemszerû, mert aztán júzernek fejébe vered, hogy el kell fogadni a hibásat, késõbb meg ott is elfogadja, ahol nem kellene.

Szerintem ezt a fajta megoldást inkább ne erõltessük.

[sysmaster]

Idézet: Jahno - Dátum: 2008. júl. 15., kedd - 16:17

Az szép is lenne aztán, hogy erroros ssl-el kontaktáljunk, azért ez nem teljesen üzemszerû, mert aztán júzernek fejébe vered, hogy el kell fogadni a hibásat, késõbb meg ott is elfogadja, ahol nem kellene.

Szerintem ezt a fajta megoldást inkább ne erõltessük.

Ez nem erõltetés kérdése: Senki sem tart pisztolyt a user fejéhez, hogy fogadja el a megváltozott certificate-et...

[Jahno]

Idézet: sysmaster - Dátum: 2008. júl. 15., kedd - 20:37

Ez nem erõltetés kérdése: Senki sem tart pisztolyt a user fejéhez, hogy fogadja el a megváltozott certificate-et...

Azé ez elég hülye koncepció.

[Warrior]

Idézet: Jahno - Dátum: 2008. júl. 15., kedd - 22:00

Azé ez elég hülye koncepció.

Attól függetlenül - ha mûködik - sebezhetõség. A kiképzett user nem biztos, hogy bedõl, de tuti lesznek, akik igen. Fõleg, akiknek gõzük sincs, mi is az a tanúsítvány. Meg lehet kérdezni, hány user ismeri eme misztikus fogalom jelentését. Elég kevés. Meg ha lát valami aláírtat is, azt se tudja, milyen cégrõl szól, oszt kattint simán.
A hasonlat helyes: "man" in the middle. A középpontban az ember, mert emberi sebezhetõség.

Szerkesztette: Warrior 2008. 07. 16. 06:30 -kor

[sysmaster]

Idézet: Warrior - Dátum: 2008. júl. 16., szerda - 6:08

Attól függetlenül - ha mûködik - sebezhetõség. A kiképzett user nem biztos, hogy bedõl, de tuti lesznek, akik igen. Fõleg, akiknek gõzük sincs, mi is az a tanúsítvány. Meg lehet kérdezni, hány user ismeri eme misztikus fogalom jelentését. Elég kevés. Meg ha lát valami aláírtat is, azt se tudja, milyen cégrõl szól, oszt kattint simán.
A hasonlat helyes: "man" in the middle. A középpontban az ember, mert emberi sebezhetõség.

Az a jó, ha a user nem dõl be és nem néz encryptáltan/tunnelen, akárhogy saját privát webmailt munkaidõben a cég pénzén meg még ki tudja még mit.
Ez arról szól, hogy tudja (mert aláírta), hogy ellenõrzik és kész. Ennyi. Ha mégis elfogadja a hibás tanusítványt, magára vessen.

A userek nevelésérõl: van vállalat - nem is egy, ahol az intranet illetve az OWA szerver tanusítáványa lejárt, régi, más hostnévrõl szól, stb. A userek napi szinten fogadják el az érvényetelen tanusítványt...
Egyébként sem pedagógusok vagyunk, hogy neveljünk.

[Jahno]

Idézet: sysmaster - Dátum: 2008. júl. 16., szerda - 9:17

Az a jó, ha a user nem dõl be és nem néz encryptáltan/tunnelen, akárhogy saját privát webmailt munkaidõben a cég pénzén meg még ki tudja még mit.

Cserébe a céges alkalmazások meg más egyéb is sebezhetõ lesz. Meg úgy egyáltalán nem tartom elfogadhatónak, hogy https: oldalak tanúsítványra errorozzanak, ez nagyjából nonszensz.