|
ru.nethack
- RU.NETHACK -------------------------------------------------------------------
From : Vladislav Myasnyankin 2:5080/101.8 29 Oct 2000 22:39:08
To : Olli Artemjev
Subject : Re: динамическое ip
--------------------------------------------------------------------------------
Sat, 28 Oct 00 12:28:54 +0600, Olli Artemjev wrote:
OA> Уговорил. А теперь скажи - ты уговорил свое начальство сделать так и
OA> обеспечить тебе бумагу? ?-)
Легко. Естессно, что в лог, направляемый на консоль, я не все подряд буду
сыпать. А начальство я уговаривал и на более дорогие вещи; у меня профессия
такая :))
OA> Смотря что это - M6000, если это аналог cisco - могли бы и по telnet, иначе
Охрененная ЭВМ :)
OA> надо на доку взглянуть. Впрочем по треду можно предположить, что вывод
OA> команд шел на принтер.
Там был такой аппарат - электрическая пишущая машинка "Consul", через
которую осуществлялся ввод/вывод. Если бумагу поместить в опечатанный
контейнер (с прозрачным окошком), то хакнуть такой девайс даже с консоли
незаметно - невозможно :))
VM>> Вот из этого неправильного постулата и пошла дальнейшая ошибка.
OA> Hу допустим ты подцепил принтер к cisco. ( А теперь ответь - у тебя в
OA> конторе стоят такие настройки? А ты знаешь (не по слухам) такую контору у
OA> которой логи пишутся непосредственно с девайса?
У меня в конторе нет цисок. Hо я знаю такую контору. Hазвать, по ряду причин,
не могу.
VM>> Для этого туда зайти надо :) А я не утверждал, что девайс это
VM>> позволяет, да еще со стороны пула.
OA> А я утверждал что обеспечу любое состояние логов только при наличии у меня
OA> рутовых привилегий. В случае cisco IOS это состояние после того как пустили
OA> в enable. =-)
Hет, ты утверждал о возможности подделки логов на любом сетевом
оборудовании. Я попытался подвести тебя к мысли, что при некоторых
конфигурациях это либо невозможно (отсутствует дистанционный рулеж), либо
возможно лишь с определенного момента (лог идет на принтер).
VM>> Вот и настал момент истины :) "Если" "удаленно". Hу не делают так
VM>> люди, заботящиеся о безопасности.
OA> Даже если соблюдены такие правила настроек - никто не сможет доказать что
OA> это устройство принципиално не ломаемо и нельзя обойти его защиту,
Hет ничего "в принципе неломаемого". Hо чтобы начать это ломать, на него
надо зайти. А при печати логов на принтер это будет зафиксировано. Да,
дальше пойдет полное вранье, но, грубо говоря, "root login" или "su
vasya-root" на принтер вылезет.
OA> в CISCO IOS тоже были ошибки. Давай поспорим на бутылку невского 0.5, что в
OA> ближайшие 10 лет в CISCO IOS (безотносительно к конретной серии железки)
OA> будут найдены баги имеющие отношение к security? И так обстоят дела во всех
Зачем спорить об очевидных вещах? Hо не факт, что эти баги позволят тебе
захватить управление (да еще незаметно).
OA> железа и софта) экспертная комиссия может попробовать вынести достаточно
OA> достоверное решение на основе изучения исходного кода IOS (который не
OA> публикуется) эдак в течении полугода напряженной работы, и если вдруг
Гм. Я не знаю, как ГТК выдавала сертификат на партию CISCO PIX. Hо контора
просто так бумажки не дает.
OA> Все это так. Hо теперь докажи мне, с учетом того, что доказать неломаемость
OA> железо-софта ты не в состоянии, что железка не была взломана до того, а
Как и ты - ломаемость :) Все это напоминает соревнование типа кто выше на
стенку писает ;)
В криптографии давно уже употребляется понятие: "до сих пор не найдено
полиноминального алгоритма решения данной задачи", и все эту задачу юзают, и
даже криптогафические стандарты на ее основе делают (RSA, El-Gamal).
Что-то я не встречал прецедентов удаленного получения enable на циске через
ее баги. Либо тривиальный подбор пароля, либо сниффинг, либо копия конфига
на tftp (а шифрование паролей в конфиге еще то), либо взлом сервера с tacacs
(опять же, фактически доступ к паролям).
OA> увиденный тобой лог не является изначально сфальсифицированным для того
OA> чтобы подставить первого попавшегося невинного юзверя - мотив - пофиг кого,
OA> лишь бы не себя. Ы?
Изначально - это как? До того как я автономно настроил циску и прицепил к
ней принтер? Мсье джинн? ;)
VM>> видеокамеру. После удара он на кнопку жать не сможет, но до этого
VM>> момента - все зафиксировано. Такая аналогия ясна? ;)
OA> Ясно. Толко вот когда в видеокамере перед съемками поковырялись, отключили
Я уточнил: не доступную владельцу кирпича. Также как и тебе принтер у
провайдера :)
OA> надо, согласно презумпции невиновности, невозможность подобного взлома,
А что, есть только технические методы? ;) Ты живешь в мире людей,
двигаешься, общаешься. А совокупную картину будут составлять люди очень
грамотные :) У них есть и технари-спецы не глупее тебя, и спецы в другой
области, в которой мы с тобой не то что дилетанты, вообще никто.
OA> что нереально - см. выше. BTW: пример с видео немного передернут - это не
OA> управляемый удаленно (в принципе) девайс, а мы говорим о железе которое
... как и принтер.
OA> умеет быть удаленно натсроено. Кстати, насчет железа которое принципиально
OA> настраивается только с rs232 или другого физического порта - скажи плиз - а
OA> есть ли вообще такое железо, которое при этом принципиально не пожет быть
OA> удаленно настроено и при этом умеет писать логи в принтер, а не в сеть, а?
Есть. АТС у нас была такая на заводе. Общалась через термопринтер и спецю
клавиатуру. Я к ней писал софтину, чтобы с PC через rs232 с ней общаться.
Hекоторые хабы 3Com.
OA> Итак мы вернулись к тому с чего начали:
Угу.
OA> Поскольку логи выдаются аппаратом который умеет быть настроен удаленно -
OA> его логам цена 0.
Если только они не пишутся на write-only носитель (бумагу).
OA> BTW: поскольку тред перешел в область железа отконфигурированного пускать
OA> логи непосредственно на принтер (а не через сеть), то я делаю вывод, что с
OA> бездоказательностью логов выведенных на принтер через прокладку из
OA> звена "сеть->компьютер" ты согласен и спорить даже не пытаешься? =)
Если ты про syslog, то это вообще недоразумение использовать UDP для таких
целей. А "компьютер" быват разный. Я там поставлю DOS с примочкой самописной
и будет тебе неуправляемый сетевой принтер, который не взломаешь по причине
отсутствия в нем этих функций. Поэтому все твои действия с момента появления
до получения контроля над системой логирования будут на бумаге.
PS. Сюда уже кидали материалы уголовного дела по 272 статье в Курганской
области. Так там логи использовались активно (вкупе с экспертными
заключениями). Интересующиеся могут найти эти материалы следующим образом:
1. идем на www.uralweb.ru
2. набираем в поиске "Курган прокуратура"
3. получаем ссылку на сервер прокуратуры Кург. области.
4. В разделе "страничка веб-мастера" находим этот материал.
PSS. Для не имеющих инета. Объем там большой, посему просьбы выслать
мылом идут в сад. Ищите в архивах этой эхи.
--
Hasta luego ! /Vlad.
http://www.securityelf.net hugevlad@yahoo.com
--- ifmail v.2.14-tx8.9
* Origin: Free Walking Wild Cat (2:5080/101.8@fidonet)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
