Zabawy ze stosem, czyli Linux udaje innego Linuksa

Korzystacie z Ubuntu i wydaje wam się, że jesteście bezpieczni? A nie przeraża was fakt, że w systemie nie został uruchomiony firewall? Nawet jeśli nie macie otwartych portów, istnieją sposoby na sprawdzenie poprzez Sieć, z jakiego OS-a korzystacie. Niemal bez ingerencji w Wasz komputer i niemal bez śladu w plikach logów. Poradzi sobie z tym nawet script kiddie, naprawdę. Nie boicie się, że najpierw Was "obmaca", a po chwili wejdzie na odpowiednią stronę, pobierze exploita i spróbuje was zaatakować? A co z dziurami, które nie zostały jeszcze wykryte? A co z tymi wszystkimi aktualizacjami, których nie zdążyliście zainstalować?

Ubuntu, SuSE, Fedora Core, Debian - to wszystko całkiem dobre i popularne dystrybucje systemu spod znaku pingwina. Każdy jednak, kto potrafi się posługiwać skanerem bezpieczeństwa, może was zdalnie zbadać i sprawdzić, z której konkretnie wersji kernela korzystacie. Zresztą - rzecz oczywista - problem nie ogranicza się Linuksów. Praktycznie każdy system podłączony do sieci może zostać obejrzany i obsłuchany. Wystarczy uruchomić NMapa z odpowiednimi przełącznikami i gotowe...

Problemem jest tutaj stos TCP/IP, czyli fragment systemu operacyjnego odpowiadający za komunikację programów i jądra ze światem.

Badanie "odcisków palców" stosu TCP/IP

Angielski termin "TCP/IP stack fingerprinting" doskonale oddaje to, co robią aplikacje znane skanerami zabezpieczeń. Stos TCP/IP każdego OS-a na rynku jest odrobinę inny, optymalizowano go z myślą o konkretnych zastosowaniach. Linuksy różnią się od Windows, systemy Windows różni się od systemów BSD, systemy BSD różnią się od systemów zarządzających routerami czy punktami dostępowymi itd. Ba, na tym nie koniec: optymalizacje wzajemnie się przenikają i wpływają na indywidualne zdolności konkretnych OS-ów.

Parametry stosu TCP/IP w Windows schowane są w Rejestrze

Parametry stosu TCP/IP w Windows schowane są w Rejestrze

Jeśli podłączymy do sieci Windows ME i Windows 2000, potencjalny cyberprzestępca odróżni je bez większych problemów. Nie myślcie, że jesteście bezpieczni, bo "takich jak was użytkowników neostrady tp z Windows 98 są miliony"! W trakcie automatycznego skanowania sprawdzanych jest średnio ok. 200 komputerów na sekundę - wiele zależy od szybkości łącza po naszej i "tamtej" stronie - zatem momentalnie można wychwycić tych, którzy nie zdołali się zabezpieczyć.

Zapewniamy was, sześciominutowy "impuls" - zakładamy, że łączycie się przez modem dial-up - zwykle wystarczy, żeby wychwycić wasz komputer w sieciowym bloku liczącym 10 tysięcy maszyn.