qual policy? aqui onde estou no momento tem uma politica super severa no windows, não dá para fazer nada... ainda sim consegui carregar o software, visto que é um .exe + dll que não precisa registrar. ~

Qual é a sugestão de politica de segurança para impedir isso? Não vale "os usuarios não podem instalar...." pois o malfeitor do usuario não precisa nem instalar.

alias, roda de disquete tb.

Olá,

Exitem várias maneiras de fazer o serviço _ao menos dificulta-las_.

Uma razoavel para o seu caso é voce impedir que binarios que não sejam de utilização do sistema (windows, aplicativos da empresa, etc) não sejam capazes de utilizar funções de rede (socket(), listen(), bind(), accept(), etc ). Interessante tambem que os usuario rodem com um privilegio baixo para que eles não "passem a manobra" atraves de maniputalçaoi em modo raw (apesar de voce poder setar policy para os mesmos tambem).

Essa medida simples acaba tendo um impacto interessante em vários tipos de ataque.

ps.: Pelo visto seu policy não é tão restrito assim ...

T+

[ ]'s

pois é, eu testei com um usuário super restrito, mas ainda sim dá para carregar o tunel. interessante, não?

que polices voce conhece para fazer a restrição que vc mencionou? não achei nada no Windows...

Olá


Como eu ja havia dito não vai adiantar as _super restrições_ do windows.

Voce vai ter que criar um policy (tem uma release BETA da Mcaffe que tem funções parecidas, mas so vai ser lançada ano que vem eu acho), mas de qlq forma, acredito que os universitarios saibam programar na kernel-space.

Não precissa de mais do que 20 linhas do codigo em si pra fazer o trabalho de forma rustica (sem interface com usuario e tal)...

Se voce não tem ideia de por onde começar clique aqui


T+

[ ]'s

---

Wendel Guglielmetti Henrique - a.k.a dum_dum
http://www.h2hc.com.br - Hackers 2 Hackers Conference
http://ws.hackaholic.org - Página Pessoal

EDIT: no seu primeiro post, vc não explicitou que era um desenvolvimento novo e não um "policy" do windows, visto que policy é um termo usado para as politicas de segurança que vem com Windows. Daí a confusão /EDIT

sua idéia até que é boa, mas creio que vai precisar de mais de 20 linhas de código...

seu eu entendi direito, voce sugere que se crie uma "barreira" que filtre os programas que podem abrir/ouvir portas.... seria como um firewall (tipo NIS)... ops! e não é isso?
não daria então para fazer com um firewall pessoal?
problemas (com um "feito-em-casa" ou com um comprado)
a) saber todos os programas que podem rodar na máquina e "escutar" alguma porta. imagine o trabalho que dá.
b) saber em qual endereço ele vai escutar - parece mais fácil - ou é 127.0.0.1 ou é no endereço da placa (facil de pegar). ainda sim, seria fácil filtrar na "placa de rede", mas já o loopback é mais manhoso, visto que tem um monte de conexões lá do windows.

talvez restringir para alguns determinados paths... sei não... parece que vai ser muito bugado..
para fazer em casa um programa desse, o programa deve estar em modo privilegiado, visto que ele tem fazer "hooks" no S.O. para interceptar as conexões. Provavelmente um driver e um serviço. Não é tão trivial assim...

quanto o problema de raw packets em modo de usuário vai ser resolvido no sp2, mas não sei se este programa usa esta funcionalidades..

mas para fazer o que o programa faz, não precisaria fazer em raw, dá usar direto com o proprio suporte do windows


(tá vendo, universitário tambem sabe alguma coisa.....

---

Só sei que nada sei.
"For the Horde"

Olá,

ps.: Pra mim policy não é apenas do OS, tanto é que existem vários patchs para várias plataformas que passam a dar suporte a policys. hehehe

Não é apenas uma ideia. O mesmo funciona. Tenho uma versão com algumas outras funcionalidades incluidas e outras ideias que pretendo implementar, tenho intenção de solta-la na selva (internet) ano que vem pela FTS & CDM.

Como eu disse, uma versão rustica se faz com 20 linhas de codigo (exceto o esqueleto do programa em si que eu não contei), a minha primeira versão de teste tinha aproximadamente isso.

Vamos a suas questões.

* Não é bem um firewall tendo em vista que fw visa filtrar o trafego em si, a ideia trabalha diretamente em cima de quem manipula as chamadas no sitema operacional (antes do fw ou o que seja). Se voce trabalhar o bloqueio em um fw voce terá um sucesso menor (sendo generoso e supondo que o seu fw lhe de uma opção de associar portas a aplicações o que definitivamente não é comum). Esqueça o conceito de fw nesse caso, voce vai acabar escrevendo um IDS pensando por esse lado..! E nos vemos as falhas que eles tem apresentado nos utlimos anos. hehehe

* Uma ideia similar foi implementada em uma velha versão do GRsec onde era possivel falar quais UIDs não poderiam bindar portas, etc.

* Restringir a PATH's pode aumentar a segurança ou acabar com ela. Apenas com caminhos voce falhará, mas voce pode criar associações (como inode number, size, etc) para binarios especificos e para dificultar hashea-las com SHA-1 ou algo do tipo... Ahh, a questão de como voce usa o PATH influencia drasticamente no sistema, tem um efeito similar com politicas de firewall "ACCEPT, DROP, etc".

* Sim, o mesmo tem que estar em modo privilegiado, o link do DDK que te passei é para escrever drivers para windoze. Qaunto a trivialidade, vai da fluencia no ambiente ...

* Sobre os Raw Sockets esse programa não o utiliza, eu apenas levantei a possibilidade pois é uma das formas de quebrar algumas dessas regras, então ja que é para dificultar ... hehehe! Quanto ao SP2 voce realmente acredita que essas medidas teram eficacia contra atacantes avançados ? A M$ na sua tentativa de evitar overflows foi um fiasco, quando _desabilitou_ WriteProcessMemory() não obteve muito sucesso e voltou a mesma no SP4 para win2k, etc.

ps.: Obvio que nenhum sistema é perfeito, mas dificulta bastante o ataque.

T+

[ ]'s

---

Wendel Guglielmetti Henrique - a.k.a dum_dum
http://www.h2hc.com.br - Hackers 2 Hackers Conference
http://ws.hackaholic.org - Página Pessoal

quando mencionei um fw tipo NIS, parece muito com o que vc está descrevendo (não estou defendo o norton aqui)
um programa que "intercepte" (hook) as aberturas de portas e verifique se o programa está autorizao. é o que este produto (Nis) faz por exemplo.
a ideia do path é para não ter que autorizar um a um, tipo "tudo que estiver no system32 pode abrir uma porta". Se a segurança do windows estiver bem configurada, o usuário nao poderá gravar nada lá, e um malware não se instalaria neste path.
O NIS faz tambem um "checksum" dos programas que voce já autorizou. Assim se o programa for alterado de algum modo, ele reconhece e pede uma re-autorização.

O que voce descreveu é o que um firewall pessoal faz. aí meu lado comercial iria para "comprar pronto" em vez de "fazer do zero", visto que isso pode ser muito bugado (talver pair programming como o MM perguntou resolva :P ), e trazer mais problemas que soluções. Hooks de S.O. são sempre manhosas em qualquer S.O; qualquer c... e o S.O. trava.


voce está pensando em firewall em um conceito "netfilter", mas eu estou pensando em algo mais abrangente. Afinal, conceitualmente, o netfilter é um filtro de pacotes, não um firewall completo...

quando ao raw packets, estavamos discutindo o problema de raw packets em modo de usuário. O SP2 retira esta possibilidade (que era ridícula). Claro que um programa em modo privilegiado pode escrever em modo raw (duhh). Veja que o nosso amigo de nmap teve que fazer uma gambiarra por cause desta alteração. Todos viram com bons olhos essa correção de uma burrada anterior (a liberação dos raw packets)

---

Só sei que nada sei.
"For the Horde"

Olá,

Realmente algums sistemas de proteção pessoal (norton, zonealarm, etc) implementam algumas medidas que foram criadas baseadas em TP (Trusted Path) o que não é bem o que eu fiz. Eu não sou a favor de re-inventar a roda, mas os modelos utilizados e implementações desse tipo de software deixam um pouco a desejar, no meu ponto de vista até mesmo gerando falsa segurança. Alguns pontos relevantes:

* Algumas dessas belezas criam hooks na userspace.

* Não monitoram processos contra hook em memoria.

* Alguns utilizam MD5 (recentemente vemos a possibilidade de _quebra-lo_)

* Não se auto-protegem (o que poe o sistema por agua abaixo).

* Varios monitoram funções como bind(), listen(), etc, mas deixam passar send(), recv(), read(), write(), etc que podem ser utilizadas de forma cross para criar um convert-channel.

* Devemos lembrar que um executavel PE (windows) quando é executado e vira um processo não tem referencia direta com o executavel (exceto que voce sete um lock ou algo parecido no executavel) o que gera alguns problemas em alguns "firewall's pessoais" que associam Processos X porta X binario.

Bom, existem vários problemas. A unica solução comercial que eu vi que começa a se focar nesses detalhes é a da Mcafee que sai no proximo ano (que é de teste, tem algumas incompatibilidades, eh versão pro futuro).

Outro detalhe importante que eu me atentei so agora é que fugimos um pouco do topico original, devemos ainda lembrar que esses programas comerciais citados acima (pelo menos os que eu ja tive contato) NÃO trabalham com politica de regras e SIM com interação do usuario, ou seja, se no caso original descrito pelo MM o funcionario quiser executar o cliente ou server do http-tunnel ele não terá problema algum, ele simplesmente encontra uma msg como "O programa XXXX.exe está sendo executado [Permitir|Negar] ?". Ele simplesmente clica no Permitir e ....

ps.: Eu não tenho a presunção de fazer algo inquebravel ou imune de falhas, so acho que os padrões atuais são REVOLTANTES!

Bom, quanto a conceito de fw, na minha opinião até um DIP é função de um fw, mas tem muita gente que começa a colocar função de IDS, IPS, etc em fw e ai vira Brazil

T+

[ ]'s

---

Wendel Guglielmetti Henrique - a.k.a dum_dum
http://www.h2hc.com.br - Hackers 2 Hackers Conference
http://ws.hackaholic.org - Página Pessoal

é possivel fazer uma conecção hhtp sem passar pelas restrições do squid, por exemplo acessar paginas que foram bloqueadas, configurando o server para redirecionar para um proxy anonimo?

Sim, por exemplo: http://www.pimpmyip.com

---

Contribua para a reputação dos usuários.
Contribua para a avaliação dos tópicos.

Neste caso o próprio pimpmyip, ou outro equivalente, deve estar liberado no proxy local.

A questão é se vale a pena burlar as regras da rede da instutuição/empresa, correndo o risco de ser pego e sofrer as sanções cabíveis.

Seria possivel fazer essa conecção através do htc? configurando o server hts para redirecionar todas conecções da porta 8000 para um ip de um proxy anônimo na porta 80, e assim acessar paginas, sem passar pelo squid

como configuro para fazer uma conecção ftp?

>:-|

Vc se esqueceu de citar em qual sistema?

Em geral existem muitos programas pela rede que são utilitários de conexão com um Servidor de trasferencia de arquivos o chamado FTP... Porem eu... não uso nenhum e indo direto ao que vc perguntou em um SHEll ou CMD... já estando logado na maquina e com diretrivas que lhe dêem tal permissão vc pode fazer...

digite ftp
depois
open
depois vc digita o endereço da maquina na qual vc quer acessar pode ser um protocolo de internet ou o nome de um site depende ...

Virá uma tela de logim e senha (óbvio como não poderia ser diferente...rs )

Veja como ficaria abaixo

root@saturno:/# ftp
ftp> open
(to) ftp.debian.org
Connected to ftp.debian.org.
220 saens.debian.org FTP server (vsftpd)
Name (ftp.debian.org:root): anonymous
331 Please specify the password.
Password:
230-
230-This site is just another one in a worldwide array of Debian mirrors.
230-It is not the "primary Debian FTP site" -- it is merely an official
230-mirror that is in the United States of America.
230-
230-If you are connecting from outside the USA, please consider using another
230-official Debian mirror, one that is closer to you. This will likely help
230-you by speeding up your downloads, and it will help us by lessening the
230-load on this machine.
230-
230-Current list of Debian mirrors is at http://www.debian.org/mirror/list
230-
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> quit
221 Goodbye.
root@saturno:/#


Lembrando que o FTP do debiam é passivamente gratuito e que não vá fazer bobagens nem pensar burradas...

Apenas um exemplo e leia mais na web tem muita coisa por la util... mas tb que nao presta por não ser usada com responsabilidade.


É isso...