[Digiface]

Chcialbym poruszyc w tym temacie sprawy bezpieczenstwa uzytkownikow Mac-kow. Ciekaw jestem Waszych doswiadczen w jaki sposob sie zabezpieczacie przed "kretami" intruzami itd. Gdzie czaja sie niebezpieczenstwa ? Co zrobic jak ktos atakuje Twoj computer , jak to sie objawia, jak to rozpoznac itd. Interesuje mnie czy spodkaliscie sie jako uzytkownic Mac z atakami na swoje compy, virusami itd. Jakie sa najlepsze zabezpieczenia softy itd. Gdzie szukac pomocy jesli stwierdzsz ataki na swoj komputer ??

[MacDada]

Nigdy nie miałem problemów z bezpieczeństwem na Maku. Nie używam żadnego antywirka, jedynie mam powyłączane nieużywane usługi (FTP, zdalne logowanie na konto, itp.). OS X 10.2. Jaguar

[tom_mac]

Popieram inicjatywę Digiface, było by miło jakby bardziej zaawansowani użytkownicy forum podzielili się swoim doświadczeniem w tym zakresie.

Zauważyłem że Digiface ma jeden znak zapytania, a Heidi już dwa, a ja chcę trzy

[PavelM]

Cytat:

Zauważyłem że Digiface ma jeden znak zapytania, a Heidi już dwa, a ja chcę trzy

Chowamy się za Firewallami? :wink:

[tom_mac]

no dobra, ale jak to zrobić?

[Heidi]

Program SafariStand posiada funkcję Site Alteration, której jednym ze składników jest zmiana parametru User Agent :wink: A wracając do tematu bezpieczeństwa sieciowego: jedną z najważniejszych umiejętności, które należy posiąść jest umiejętność czytania logów firewalla. Pozwala to reagować na rzeczywiste zagrożenia i nie rozsiewać wśród innych użytkowników fałszywych alarmów.

[tom_mac]

A troszeczkę jaśniej.... Daj się pociągnąć za język

[ Dodano: 02-11-2005, 19:16 ]
ooo!!!! ja teraz nie mam nic

[Heidi]

A troszeczkę jaśniej.... Daj się pociągnąć za język

W temacie?

[tom_mac]

jedną z najważniejszych umiejętności, które należy posiąść jest umiejętność czytania logów firewalla. Pozwala to reagować na rzeczywiste zagrożenia i nie rozsiewać wśród innych użytkowników fałszywych alarmów.

no to mam pytanie
- jakie zapisy można uznać za podejrzane?

oto kilka

Nov  2 19:21:09 tomekcalaimaczek ipfw: Stealth Mode connection attempt to TCP xxx.xxx.x.xxx:xxxxx from 84.92.161.4:10423

Nov  2 16:47:55 tomekcalaimaczek ipfw:  35000 Deny UDP 24.125.145.45:40614 xxx.xxx.x.xxx:xxxxx in via en0

w sumie w logu powtarzają się tylko te dwa rodzaje zapisów...

[Heidi]

Temat jest bardzo obszerny, ale spróbuję go ująć w kilku zdaniach.

Przyczyny ruchu wchodzącego z Internetu mogą być bardzo różne. Do podstawowych kategorii można zaliczyć:

1. próby zupełnie przypadkowego i omyłkowego połączenia
Ktoś, zupełnie przypadkowo lub omyłkowo wpisuje nasz adres IP w przeglądarce WWW, czy kliencie FTP i usiłuje dostać się do naszego komputera zamiast do właściwego odbiorcy.

2. źle skonfigurowane urządzenia sieciowe rozsyłające pakiety do przypadkowych odbiorców
Podobnie jak wyżej, połączenie jest inicjowane przypadkowo przez źle skonfigurowane urządzenie sieciowe gdzieś pomiędzy nadawcą a odbiorcą.

3. spadki dziedziczone po poprzednich użytkownikach adresu w sieciach z dynamicznym przydziałem IP
To sytuacja dosyć częsta w sieciach z dynamicznie przydzielanym IP, które często ulega zmianom, czyli na przykład połączenia dodzwaniane (dial-up), sieci DHCP. Jeżeli poprzedni użytkownik naszego IP korzystał, na przykład, z serwisów P2P, w których udostępniał jakieś pliki, serwery tych serwisów będą szukały pod tym adresem owych plików, powodując przy tym dużą ilość wpisów w logu firewalla.

4. wirusy przeszukujące określone porty
Spora część wirusów, wormów i trojanów rozprzestrzenia się wykorzystując znane luki w systemach operacyjnych i programach serwerowych. Często drogą do wykorzystania takiej luki jest połączenie się z ofiarą na określony, niezabezpieczony port. Właściciel komputer najczęściej nawet nie ma pojęcia, że jego komputer inicjuje jakiekolwiek połączenia.

5. próby włamania do systemu
Podobnie jak wyżej, z tą różnicą, że połączenie jest inicjowane przez człowieka, a nie przez program.

To, co jest w tym istotne, to odczytanie portu, na jaki wchodzi połączenie. Port to rodzaj oddzielnego kanału dla konkretnej usługi sieciowej, który oznacza się cyframi po adresie IP i dwukropku. Na przykład port 80 to port http, czyli port po którym następuje transmisja stron WWW, a port 21 to port usługi FTP, czyli port po którym następuje połączenie z serwerami tej usługi. W logu firewalla zobaczymy takie połączenia jako odpowiednio:
nasz_adres_IP:80 - dla portu http
nasz_adres_IP:21 - dla portu ftp.
Na stronie IANA można się zapoznać ze spisem typowych portów wykorzystywanych przez poszczególne usługi sieciowe.

Znajomość portu może dać nam pewne pojęcie o rodzaju usługi sieciowej, która jest poszukiwana na naszym komputerze. Teraz przyda się nam jeszcze pewna znajomość tych usług w odniesieniu do konfiguracji naszego systemu i samego systemu jako takiego, czyli które z tych usług rzeczywiście działają na naszym komputerze lub w ogóle mogą działać. Przyda się również obserwacja czasu "rzekomego" ataku.

[s@ntee]

A ja sugeruje: 1. Odpowiednia konfiguracje firewalla i pozamykanie niepotrzebnych portow. 2. Dla zestresowanych - programik DenyIP pozwalajacy na szybciutkie sprawdzenie czy ktos sie do nas "podlaczyl" i jesli wykryta zostanie niepozadana aktywnosc - zablokowanie IP wrednego szkodnika. 3. Pogladowo - Little Snitch: ktory poza innymi walorami unaocznia ile programow z naszego komputerka usiluje laczyc sie z sitami developwrow w roznorakich celach. Ataki DoS w chwili obecnej nie sa juz tak proste do przeprowadzenia jak kiedys. Kiedys wystarczylo stale lacze, zeby zapchac modemiarzowi porty pakietami, co skutkowalo wyleceniem delikwenta w kosmos. No dobrze, nawet nie trzeba bylo sie starac - do tej pory serwisy, w tym AIM maja ograniczenia dotyczace ilosci wysylanych do odbiorcy linijek, majace zapobiegac powstawaniu TextFlood, ktory kiedys, na wolnych modemowych polaczeniach byl rownie skuteczny co zdrowy Nuke. Przy dzisiejszych szybkich laczach, atak DoS jest malo skuteczny, bowiem szkodnik musi miec nieco lepsze lacze niz nasze. O SoFcIe nie wspominam nawet bo jak wiadomo jest wszedzie. Duzo skuteczniejszy jest atak DDoS, ale przeprowadzanie go w celu wywalenia prywatnego usera jest, delikatnie mowiac, irracjonalne. W przypadku duzego traffic sieciowego, moze oczywiscie zdarzyc sie, ze podczas skanowania portow, nawet porzypadkowego polaczenie zdechnie. Windozowe wirusy nagminnie wrecz wieszaja polaczenia przez generowany przez siebie ruch i jest to problem znany wiekszosci providerow;) Objawia sie to glownie zdechnieciem lacza w okresie nieaktywnosci, kiedy to da niepoznaki by nie alarmowac usera w czasie pracy zaraza rozpoczyna dzialanie. Ciekawostka - jedna z wersji SpyChata - klienta Chat serwisu Spymac, miala takiego buga, ze po wejsciu i zapodaniu jednego z fingerow robila sie petelka i tykany czlowiek wylatywal w kosmos. To rowniez sugeruje przyjrzenie sie uzywanym aplikacjom, zwlaszcza tym uruchomionym jednoczesnie z przegladarka;)

[PavelM]

W dzisiejszym raporcie opublikowanym na stronie Secunia, pojawiło się doniesienie o błędzie w aplikacji Apple QuickTime, pozwalającym na przejęcie kontroli nad zaatakowanym komputerem.
Secunia okreśła zagrożenie jako wysoce krytyczne.

[Heidi]

A zauważyłeś, że to dzisiejsze doniesienie mówi o błędzie, do którego łata (QuickTime 7.0.3 Update) dostępna jest od około miesiąca? :mrgreen:

[PavelM]

Zauważyłem, sam ściągnąłem poprawkę zaraz po tym jak się ukazała.
Dobra praktyka nakazuje przygotować łatę nim się publicznie poinformuje o szczegółach dziury (i nim powstaną exploity).
Fakt pozostaje faktem, że nie ma systemów doskonałych i za jak najbardziej celowe uważam utworzenie wątku poświęconego bezpieczeństwu. Nie każdy jest ekspertem od bezpieczeństwa, wielu userów może więc zadawać tu pozornie naiwne pytania i znajdować kompetentne odpowiedzi - posty Heidi i s@ntee najlepszym tego przykładem.

P.S. Pierwszy robak komputerowy powstał nie na system Billa Gatesa lecz na BSD (tatuś naszego Mac OSX) i choć wiele się od tamtego czasu zmieniło, temat "bezpieczeństwo w sieci" pozostaje aktualny.

[tomasz]

A dlaczego BSD? W 1988 roku istniał Windows 2.0, który o sieci mógł pomarzyć. Dopiero w 1993 roku wyszedł Windows 3.11 for Workgroups. Oczywiście wirusy istniały już na DOS od dawien dawna

[reeye]

PavelM, BSD powstało w 1975 - to chyba wiele tłumaczy

[PavelM]

Nie mam nic przeciwko BSD, jedziemy na tym samym wózku.