יום רביעי, מרץ 31, 2010

safenet עוד מערכת "הגנה" לכיס של המשתמש.

קפצתי לחבר שיש לו חיבור לבזק בן לאומי והחלטתי לבדוק מה יש לpack_storm לספר.
מה רבה היתה הפתעתי לגלות את הצילום הבא בגלישה לאתר אבטחה (מערכת ההגנה SafeNet):







נעזוב לרגע את הנושא שהם סוגרים את הגישה לאתר אבטחת מידע, מה הלאה יסגרו את גישה לרשימות תפוצה ? IRC ? לזה אני קורא רשת מחוררת, זה לא שSafeNet מאבטחים את הגישה הם פשוט נועלים רשימת שרתים שאפשר לגשת אליהם.זה לא שsafenet תעבוד בצורה של whitelist למעשה מדובר ברשת מצונזרת. בגלל שהבן אדם רוצה את השירות לא שיניתי דבר במערכות שלו, אלא שניתי במחשב האישי שלי (נייד).

הדבר הראשון שחשבתי עליו הוא משחקי DNS לכן ניגשתי לי להגדרת שרתי הDNS והכנסתי DNS יותר נחמד (8.8.8.8).
מנסה שוב פעם לגשת לדף , ושוב פעם אותה התוצאה אוקי מדובר ביותר מDNS. הנושא התחיל להיות מעניין האם יש פה התעסקות ביותר מאשר רשומות DNS, גישה זריזה לשרת באמצעות telnet מגלה נושא מעוד מעניין :

boris@foobar:~$ telnet 66.227.17.19 80
Trying 66.227.17.19...
Connected to 66.227.17.19.
Escape character is '^]'.
GET / HTTP/1.0
host: 66.227.17.19

HTTP/1.1 200 OK
Date: Wed, 31 Mar 2010 10:36:36 GMT
Server: Apache
Accept-Ranges: none
Vary: Accept-Encoding
Connection: close
Content-Type: text/html; charset=UTF-8

<html>

<head>
<title>.:[ packet storm ]:. - http://packetstormsecurity.org/</title>
<meta name="description" content="Information and computer security full disclosure web site">
<meta name="keywords" content="computer security, exploits, advisories">
<link rel="stylesheet" href="/images/p.css" type="text/css" />


מה שאנו רואים פה שאם אנו עובדים רק עם IP אין שום הגנה, אבל מה עם אני מקשה טיפה את הנושא ומבקש את השרת הנכון בבקשת הhost:

boris@foobar:~$ telnet 66.227.17.19 80
Trying 66.227.17.19...
Connected to 66.227.17.19.
Escape character is '^]'.
GET / HTTP/1.0
host: packetstormsecurity.org

HTTP/1.0 303 See Other
Content-Type: text/html
Location: http://safenet0708.bezeqint.net/page.html
Content-Length: 0
Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache, no-store


Connection closed by foreign host.

האם אני מבין נכון ? למעשה אין חסימה לשרת עצמו, יש חסימה רק לשם שמתקבל מהDNS. לא הצלחתי להבין איך המערכת מטפלת בנושא אם אני משתמש בשרת DNS אחר. אבל לא נורא.

זה התחיל להיות מעניין והתחלתי לבדוק עוד -

טוב נו מרים תקשורת לשרת בחוץ ועושיםtunnel (נפלאות ה ssh) והכל עובד חלק.
טוב זה לא מפתיע שהוא לא מצליח להתגבר על SSH אבל מה כן הולך לעבוד על השרות בלי בעייה ?

שימוש בגישה באמצעות כתובת IP: עובד חלק.
שימוש בproxy: עבד בלי בעייה.
בדקתי עם ipsec: טוב ,זה לא מפתיע שזה עבד בלי שום בעיה.

אני די מאמין שכמעט כל טריק שהדגמתי בזמנו יעבוד. השאלה הנשאלת למה שהורה ירצה לשים לילדיו "מערכת הגנה" כה פשוטה. הרי שלוקח בין 5 ל 10 דקות לעקוף אותה לאתר שרת proxy חינם או סתם להזכר בכתובת של שרת שיכול לספק שירותי ssh gateway. אבל בכול זאת היה מעניין לראות שהמערכת לא מגינה כמעט נגד שום דבר פרט לאוסף החסימות. ואם אתה מכניס את כתובת ה IP לוקח את הזמן שלוקח לך לחשוב על להכניס את הכתובת ישר.

וזה עוד לפני הגישה לנתב - עד כמה שאני מבין שינוי של שם המשתמש יוציא את המשתמש מהקבוצה רק אני ממש לא רוצה לשנות שום דבר אצל חברים (אני מכיר אנשים שהם לא מבינים במחשבים). לכן עד כמה שאני מבין שירות זה (safenet) של בזק בן לאומי הוא הגנה עבור ההרגשה האישית של ההורה. למעשה כל ילד ואני מופתע שלא כל הורה יודע לעשות חיפוש על איך למצוא ולהגדיר proxy / tunnel ומה לא. ואני די בטוח שיש פתורנות פשוטים יותר.למעשה מערכת זו איננה מגינה על דבר.

זה מזכיר לי את פרק ב raising the bar על הורה שנתבע על פדופיליה, לאחר שהעלה את תמונת בנו לרשת חברתית כלשהיא.גם שם ההורה לא מבין את יכולות הטכנולגיה ובאמת מאמין שפירסום תמונות ילדיו זה רק לחבריו האישים (ראו את הגדרות הפרטיות בפייסבוק). האמת אני עדיין מופתע שאין תביעות של המדינה נגד הורים שמעלים תמונות של ילדיהם לרשתות חברתיות ועד כמה שאני יודע במדינות מסויימות (ארה"ב , אוסטרליה ועוד ) פרסום תמונות (ערום) של ילדים מתחת לגיל מסויים אסורות. הרי שגם פה אני לא באמת מבין את המשמעות של שירות זה. זה לא שזה ימנע גישה לכל מני חומרים (כי זה לא), זה רק יקשה במעט את הצורך לגשת לאתרים "אסורים". טוב אני חייב למצוא מישהוא עם חיבור "כשר"...



Here is the beginning of my post. And here is the rest of it.

תגובה 1: