Názory k článku Sbíráme otisky: úvod
-
pht (neregistrovaný)...prilis "vulgarisation scientifique". uvital bych kdyby v dalsim dile sel autor clanku vic pod poklicku a vysvetlil ruzne triky, ktere se pri sledovani otisku vyuzivaji. (vsechno lze sice najit ve zdrojovem kodu programu xyz, ale precejen by tim clanek alespon ziskal nejakou pridanou hodnotu.)
-
anonymníObávám se že hledat podle fingerprintů jestli uživatel připojení sdíli je už dneska out. V době kdy máte na počítači třeba tři operační systémy a doma minimálně 2 počítačů. Pokud mi můj poskytovatel(a že si to hlídá) bude něco namítat, tak klidně pracovníky pozvu na kafe ať se podívají kolik lze do jednoho bytu narvat počítačů.
Doma jsem dospěl k počtu deseti počítačů v síti včetně staré 286 používané na regulaci a hw experimenty. A to nepočítám různé wireless bazmeky jako mobil nebo PDA. Taky nepočítám domáci spotřebiče na ethernetu. -
"Obávám se že hledat podle fingerprintů jestli uživatel připojení sdíli je už dneska out."
Ne nutne, muze to byt jedno z rady kriterii.
"V době kdy máte na počítači třeba tři operační systémy a doma minimálně 2 počítačů."
Spis nez to klidne v programech typu QEMU nebo VMware spustenych par dalsich virtualnich stroju s uplne jinym OS a to stale v ramci jednoho pocitace. -
anonymníPokud se hodnoti rada kriterii kde je hodne promennych a neni mozno tohle zpracovavat elektronicka(AI mozna?), je tedy nutne analyzovat toto clovekem. Nabizi se tedy otazka zda-li se to ISP vyplati. Ja myslim ze se to tezce nevyplaci.
ttl - jednoduchy oblbnout, muze byt i domaci sdileni, navic se prodavaji domu hodne routriky
fingerprint - neprukazny, jak tu nekdo psal sdileni v ramci jedny masiny
User Agent - i lama ze zive pouziva krom IE jeste Firefoxe a Operu, neprukazny
detekovana proxy - mam domaci server s proxy. A spusta ctenaru roota urcite taky
vysoky porty - neprukazny, NATuje se kdeco i jeden pocitac za routrikem
sledovani stranek a adres na ktere se koukam - mam siroky rozsah zajmu, krom toho je tu rodina zejo.
Proste cokoliv dalsiho je proste neprukazny. A treti osoba neni nijak specifikovana.
Sdilim na privatu s treti osobou(spolubydlici) abych priznal ze jsem ta udajna cerna duse ktery tohle vadi. Jestli nekomu prijde mesicni traffic 10GB hodne, tak at se podiva k p2p debilkum. 160GB mes jen to fikne.
Osobne by mi jako ISP bylo jedno jestli to nekdo doma sdili s babickou nebo pres to jede pulku mesta. Spis bych se zameril na inteligentni rizeni provozu. Ktery sice na urovni l7 matchovani a hazeni do qos classu muze zpocatku byt nakladny na stroje, ale porad je to levnejsi nez platit ty lidi. Kor pri soucasnych danich. Stejne to jednou bude muset ISP nasadit.
Sledovani sdilecstvi mi prijde na hlavu. -
anonymníSat.prijimac(PowerPC, os linux), hifi vez, ip telefon. Kafe si uvarim radsi sam. Skoda ze se k nam dovazeji analogovy vyprodejovy predrazeny smejdy televize. Taky bych nakou uvital na ethernet. S tim vytapenim to mam tak ze jsem odpojeny od topneho systemu protoze mi byt vytopi pocitac(e) a jako UTS(Uninteruptable Thermal Supply) mam wafky.
Nemam rad cokoliv mluviciho a te predstavy se stitim. -
Mikulas Patocka (neregistrovaný)Dalsi moznost, jak jde poznat NAT je, ze NATovana spojeni
maji cisla portu pouze v urcitem rozsahu, ktery pak neni
pouzivan pro bezna lokalni spojeni. Napr. normalni porty
se alokuji od 1024 vyse a NAT alokuje porty nekde kolem
60000.
Ten rozsah portu pro NAT jde nastavit, ale pouzivat stejny
rozsah pro NATovana a neNATovana spojeni nelze, takze tam
vzdycky bude moznost, jak na to prijit, ze se pouzivaji dva
rozsahy --- leda, ze by se z toho stroje s NATem nedelaly
ven bezna spojeni.
Dalsi moznosti, jak na to prijit:
Http user agent
jiz zmineny time to live
provider umyslne posle ping s adresou privatnich siti
10.x.x.x nebo 192.168.x.x --- pokud mu tvuj pocitac na
nektery neodpovi, tak je tam NAT. -
Honza Houštěk (neregistrovaný)No a když neodpoví na ping (tedy ICMP echo-request), tak třeba odpoví na arp who-has :-) Tohle funguje celkem spolehlivě, protože linux defaultně na takovéto arp requesty odpoví i na jiném rozhranní (tzv. loose multihoming). Dá se to sice vypnout nebo filtrovat v arptables, ale procento lidí, kteří to dělají, je mizivé.
-
Petr Ruzicka (neregistrovaný)Jednou z moznosti jak detekovat pocet klientu za NATem je zkoumat ID pole v hlavicce IP. Jsou operacni systemy, ktere to cislo generuji velice jednoduse, tj. velice nenahodne, jednoduse se navysuji apod.
Pokud je tedy napr. za NATem vic podobnych systemu, ktere takhle blbe funguji, lze na druhe strane NATu poslouchat a tim celkem snadno zjistit, kolik tam tech systemu je.
Ilustracne - kdyz je mozne videt, ze hodnoty v par paketech jsou 10,235,88,11,236,99,89,237,100,101,12 atp. tak je snadne z toho usoudit, ze tam jsou odhadem minimalne 4 hosti.
Pokud ta cisla jsou 34,1,15,48,13,101,5 tak to zas tak moc linearne nevypada.
Co se tyka tech BSD systemu a jejich moznosti mast - jo, pokud o to nekomu jde, tak direktiva "scrub" v konfiguraci OpenBSD/FreeBSD pf zmixuje a nahradi mimo jine i IP ID hodnoty. Jsou tam jeste jine moznosti, jako prave modifikace TTL, to ze na urcity ty pakety zrovna neodpovim tak jak si to nmap nebo jiny tool mysli apod.
Nedavne LIVE CD s OpenBSD ma pf nakonfigurovany tak, aby se to tvarilo jako MS Windows :o).
Jinak IMHO zadny fingerprint tool nenahradi pohled na tcpdump :o) -
Ty dva priklady s "legalnim vyuzitim" me docela dostaly, hlavne "Naopak pokud vás někdo chce získat jako administrátora Unixu a vy zjistíte, že všechny její servery jedou na MS Windows, je lepší vyklidit pole." - uz vidim jak firma hleda unixoveho administratora ke svym windowsovym serverum :-)))
Ale vazne - nejak se mi nedari vymyslet legalni vyuziti podobneho scanneru. Snad jen to hledani vetrelce v moji siti se mu priblizuje. Abyste mi rozumeli - ne ze bych proti nmapu a spol neco mel, to ne, sam ho obcas pouziju, ale ta legalni pouziti me nejak nenapadaji ;-) -
Mirek (neregistrovaný)Legalnich (a potrebnych) zpusobu POUZITI asi zas tak moc nebude, na druhou stranu ale pokud jste admin site, hodi se vam jakekoliv podrobnejsi informace o fungovani IP a predevsim jeho slabinach*.
Uz jenom takova blbost, jako je vypisovani banneru pri pripojeni - ma to ve zvyku squid, ssh, apache... To je ta nejjednodussi (a nejnebezpecnejsi) cesta, jak typ systemu zjistit. Admin by o ni mel vedet, aby byl schopen tuto pripadnou slabinu sveho systemu osetrit... apod.
----
* ano, i ja se primlouvam, aby serial sel (o hodne) vice do hloubky a zaroven dodavam, ze IMHO vsechny informace, ktere se hodi hackerum, by mel dobry admin alespon povrchne znat. -
Petr Ruzicka (neregistrovaný)Prave ta detekce vetrelce je asi nejvic smysluplna, napr. muzeme mit v bezpecnostni politice, ze se nesmi pripojit zadny jiny system nez ten, ktery nainstalovalo nase ET oddeleni. Protoze nase IT instaluje jenom M$ Windows, tak pokud mi p0f detekuje na siti BSD, tak to muze nabonzovat, jakoze bud vetrelec nebo si nekdo zkousi co nema.
-
JirkaV (neregistrovaný)Ja ho legalne vyuzivam. Pracuju jako clen tymu, ktery se zabyva penetracnimi testy v ramci nasi firmy. Vse je naprosto legalni a "posvecene". Nasim hlavnim ukolem je hacknout systemy za ucelem nalezeni nejzrejmensich bezpecnostnich der :)
Ale nmap a podobne aktivni fingerprintingy moc nepouzivame, jsou moc "hlasite" a IDS je docela slusne rozpoznavaji. To nic nemeni na faktu, ze je hodne dobre tyhle techniky znat.
ČLÁNKY DO MAILU