Obrana paranoika před sledováním
Zaujal mě connecťácký článek Je to v háji, všechny nás sledují.
Citace:
Software, který si kupující pořídí, se umí jednoduše dostat do koncového zařízení uživatelů (nezáleží na operačním systému ani výrobci) a tam dělat různou neplechu – třeba odposlouchávat Skype hovory, vyzobávat kontakty, číst e-maily a IM komunikaci, nevědomky zapínat webové kamery a mikrofony, zaznamenávat stisknuté klávesy (keyloggery) a mnoho dalšího. Je jedno, zda se jedná o tradiční počítač nebo nové mobilní hračky.
A tak by mě zajímalo, zda se dá účinně bránit. Nemyslím tím mít PC odpojen od netu, od elektřiny a ještě ho vrazit do Faradayovy klece. Prostě klasický příklad: připojení od providera, doma router a na něj připojeno několik zařízení.
Jistě, doma nemůžu zabránit MITM útoku, nešifrované maily jsou prostě jako pohlednice. Také potenciálním možnostem odposlouchávat Skype, IM, VoiP se neubráním, pokud tyhle služby využívám.
Ale co přímý útok na router? Bude stačit zakázat remote control a Mikrotik zabezpečit silným heslem? Nepovolit domácí wifi a používat jen ethernet?
Keylogger, ano, pokud si ho člověk nainstaluje (či je mu vnucen v rámci nějaké oficiální aktualizace všeobecně rozšířeného softwaru), může údery do klávesnice krást. Netuším, zda je v silách pokročilého BFU jej odhalit, když může být schován za těch různými svchosty a ne přímo v keylogger.exe.
Co ty kamery a mikrofony? Předpokládám, že zapnout kameru bez rozblikání její ledky možné bude. Ale už mě nenapadá, jak se k ní zvenčí (pominu-li předchozí napadení PC spywarem) přes router dostat. Jo, napadá, třeba přes hypotetickou díru ve Skype, když momentálně neběží hovor, ale je jen shozen v liště.
Dostat někomu do PC malware a pak jej využívat, to problém být nemusí. Ale nějak moc nevěřím tomu, že lze z ničeho nic (bez předchozí "přípravy" PC napadeného) provést nějaký online útok na PC za zabezpečeným routerem. A kdyby to nakonec šlo, pořád lze mít imrvére spuštěn nějaký nástroj na sledování připojení v domácí síti, třeba v Mikrotiku DHCP Server s aktivními připojeními.
Třeba jsem naivní a vše je jinak. Třeba opravdu mohou kdykoliv, cokoliv.
Jak to tedy je? 
------------
Vůbec nepředpokládám, že by někdo (nějací třípísmenkoví agenti) měli zájem přímo o můj PC. Citlivých dat (klientů) tu sice mám spousty, ale ty mohou získat přímo u klientů, nebo třeba na FÚ, OSSZ. Policie, když bude chtít zjistit, zda si Lojza Votrčálek nedal do nákladů čtvery montérky, nepotřebuje se bourat do PC L-Corovi, ale vyřeší to formou kontroly votrčálkovic účetnictví prostřednictvím FÚ.
Zarazil mě poslední odstavec:
Že se nikdo nezajímá o Ruskou tajnou službu, ta je pro Evropu mnohem, mnohem větší hrozbou, akorát se tam těžko najdou nějací whistlebloweři. Jednak jsou výrazně ideologicky kovaní a také by to pro ně znamenalo jistou smrt. A nynější aféra odposlechů v Polsku má nepochybně původ právě tam.
Paranoia (kontrolovaná) je velmi dobrý sluha, ale nekontrolovaná je velmi zlý pán. Nejprve by sis měl odpovědět na otázku, co by daný "útočník-dodavatel SW" získal a ztratil. Třeba taková firma jako EA. Přes Origin mají jistě možnost získat spoustu dat a informací, a ty se určitě dají zpeněžit. Ale taky, pokud by se provalil nějaký průser (a on by se určitě jednou provalil) by to znamenalo ohrožení firmy hromadnými žalobami s nutností odškodnění nebo mimosoudního vyrovnání (v mld USD) a hlavně by to znamenalo i konec důvěry a možnosti prodávat SW. Což u EA je ortel smrti. A proti tomu budou jak jeho managoři, tak akcionáři. Takže ta kontrola běžných komerčních subjektů je dvojí - jak od veřejnosti, tak od vlastníků.
Daleko horší je to s různými komunitními projekty, ale hlavně různými jednorázovými SW, které produkují různí (polo)anonymní lidé. Čím obskurnější, tím horší, protože oni nic neriskují. Typický kvalitní producent freewaru je JaFi - dává svůj PSpad zdarma, ale pod svým jménem (tj. garantuje původ). Typický podezřelý výrobce SW jsou právě takové ty různé "nástroje" s podivným blikavým GUI a autorem/podporou pod nějakým nickem na stránkách ležících kdovíkde.
Mně nešlo až tak o společensko-ekonomické důsledky "distribuce" takového softwaru, spíše o technikálie. O tu proveditelnost popisovaných možností útočníka bez předchozí přípravy. Prostě mám daný software, teď si řeknu, že chci prošmejdit tačovi pevné disky, ťuk, ťuk - a už jsem u něj. Za routerem, za NATem, v ethernetové LANce, a on nic netuší.
To se mi právě moc nezdá, ta praktická proveditelnost.
technicky je možné vše. Podívej se např. na Teamviewer. Ten každé PC identifikuje jednoznačně, a pokud máš nějakou databázi, která bude identifikovat dané ID s určitým člověkem, tak máš prakticky neomezené možnosti.. TV umí běžet jako služba, má podporu VPN a přenosu souborů, takže jediná překážka jsou "hlasité hlášky" TV o tom, co se právě děje.
MIM sa da robit len lokalne, zabranis mu sifrovanim komunikacie. Skype je propietarny prokolo, cize zvonku sme mimo hru, IM su na tom podobne, akurat to VOIP je standard, ktory sa odpocuvat da.
Keylogger ja naozaj nebezpecna vec, hlavne tie komercne sofistikovane, ktore okrem klavesnice vedia robit videa alebo kazdu minutu spravia printscreen, takze mas dokonaly prehlad o tom, co sa na pc robi. Prednedavnom som riesil jeden o kamosky, ktoru sledoval vlastny manzel a pri prvom prezreti pc som keylogger prehliadol (hanba na 3 zimy).
Zapinanie kamier a mikrofonov na dialku? Scifi.
A hlavne si poloz otazku preco by niekto vynakladal enormne usilie na sledovanie tvojej malickosti. AK cche od teba info vytiahne ich sofitikovanejsie a strojovo (vyhladavanie google a pod).
MITM se dá dělat kdekoli. Stačí na to správně použité a nastavené nástroje. Taktéž šifrování není úplně všespásné, existuje SSLbumping.
L-Core, zatiaľ v celosvetových fórach som sa nedozvedel podľa presného návodu, akým spôsobom si má "záujmová" fyzická osoba pred imaginárnym útokom zabezpečiť svoje dáta uložené v PC. (napríklad kúpou predradeného hardvérového firewallu, usw.)
Nemám na mysli ochranu toku odoslaných či prichádzajúcich dát mimo môj skromný HW reťazec.
Dokáže mne, laikovi, niekto podať erudované vysvetlenie?
Ten hw firewall niekto vyrobil, myslis, ze ten niekto, hlavne ak je to americka firma tam nema nejaky backdoor?
A když je to Čínská/Ruská firma?
Tam to beriem, ze je to automaticky z nariadenia vlady;o).
Ja jen, že poměrně dlouho a hluboku pracuju s bezpečnostními zařízeními Juniper (Firewally, Routry) a vůbec nic ani náznakem, že by ta myšlenka měla nějaký reálný základ.
Pretoze rozumny clovek pouzije takyto backdoor len ked potrebuje. Cize u vas urcite nie.
Neverim, ze si firma len tak sama pre seba a svoju potrebu nespravi bypass na vsetko co kedy vyrobi.
Pokud má být backdoor k něčemu dobrý, tak musí být dostupný a to:
1) má neustále navázané spojení někam
během pár hodin by to bylo odhaleno
2) periodicky kontroluje nějaký cíl
to už by trvalo déle, ale i to by bylo odhaleno (záleží na frekvenci kontrol)
3) má otevřený přístup nějakým způsobem z venku a očekává spojení
Tohle by eventuelně bylo obtížené zjistit (v případě správně nastaveného firewallu by to neodhalil ani port-scan), ale zase by to vyžadovalo, aby permanentně dával vědět, na jaké adrese se nachází (viz. 2), v okamžiku, kdy mu předřadim jiný firewall, nebo NAT, pak je to totálně nepoužitelné.
4)
Třeba takový Total Commander kontroluje aktualizace - jak poznáš jako BFU, že jsou to aktualizace a ne odesílaná data?
S profi zařízeními, o kterých se tu bavím nepracují BFU a ty zažízení jsou podrobovány různým testům různými skupinami nadšenců u profíků. Ti by si toho zřejmě všimli.
PS: o BFU se bude zajímat málokdo, i když ty nejlevnější krámy jsou nejčastěji na přetřesu, že obsahují nějakou kritickou chybu
Normalne nepotrebujes odesilat prilis moc dat, vlastne staci ID instance. IP adresu si zjisti server z paketu, odkud mu prisel. Pokud se to maskuje jako test na update, tak bych to doplnil par dalsimi hodnotami jako cislem verze a dvema kontrolnimi soucty hlavnich souboru, ID bych bud nechal jako ID, nebo maskoval jako treti soucet. A testoval to treba jen jednou za mesic v pravidelnou dobu (treba prvni utery).
Pokud "test" projde, tak server vi, kde se mu toula ktera jednotka a to mu staci. V pripade potreby tu jednotku "aktivovat" proste posle zpravu o existenci updatu. Pokud bude kontrolni soucet updatu delitelny 11 (treba) tak jednotka prechazi do aktivniho rezimu, update netreba stahovat.
Podobnych mechanizmu se da vymyslet cela rada a v podstate nejsou jako takove odhalitelne, dokud nezacnou pusobit (treba streamovat ulozena data za minuly mesic), kdy uz je ale celkem pozde. (A samozrejme jako cil tech dat lze urcit predem nejaky zcela jiny server, se kterym se zatim nic nedelalo, takze vazba na puvodni firmu je podstatne hur viditelna).
Vy tu vytváříte ale teorie, které by se týkaly staticíců zařízení. Je vyločené, že by si toho opravdu nikdo nevšimnul (cílený sniffing, bezpečnostní audity, kaskádování firewallů). A stačil by jediný takový případ a vzhledem ke konkurenci v oboru by ta firma prostě přestala na trhu existovat. Jakmile totiž v oblasti bezpečnosti ztatí důvěru (nebavíme se o zařízeních pro BFU), tak už se do žádných vělkých projektů nedostanou a konkurence je sežere zaživa.
Mně se tvé zdůvodnění líbí a rád mu uvěřím. Proč ale pak Kaspersky & spol vedou takovéto řeči?
Aby bylo jasno, vůbec mi nejde o sledování mé maličkosti; dred jsem zakládal s úmysly čistě "edukativně-technikálními". Dobrat se toho, zda takovéto (všeobecné) sledování zvenčí je reálně proveditelné a úspěšně nasaditelné. Pokud ano, jak se mu jako BFU bránit.
Kaspersky se teď poměrně agresivně snaží urvat větší díl na trhu, zejména na západě (kde v tomhle oboru vedou Symantec, McAfee, NOD).
Tomu říkám slovo chlapa.
fleg, zase ma chytáš za slovo. HW Firewall bola marginálna otázka. Aj OS niekto vymyslel a vyrobil.
Microsoft "podprahovo", počas zavádzania alebo vypínania systému odsleduje svoj produkt prv, než za uvedie do funkčného stavu blokácia softvérového Firewallu od tretieho výrobcu.
Preto zdôrazňujem a upresňujem dopyt: Existuje softvérová ochrana, aby sa "záujmovej" osobe nehrabal záškodník v dátach (RAM-hdd) bez jeho vedomia?
Nechytam, len nerozumiem, co riesis.
si snáď Maďar?
mentál
Ten clanok je paranoidna slatanina inak
Tak jak se ti nekdo dostane pres router? Staci zakazat spravovani z venku, pokud je k administraci routeru pristup jenom z LAN site, tak se tam nikdo z venku jednoduse nedostane. Takze jedina moznost mit v routeru backdoor, ted zrovna se resilo, ze v nekterych routerech byl, ale muj je pravdepodobne bezpecny. A kdyz se dostane az do meho pocitace, tak porad potrebuje odeslat data, ale jak bude chtit neco odeslat, tak mi to Personal Firewall da ke zhodnoceni. Muselo by to byt zabudovano primo v systemu, u MS mozna, na linuxu uz by to nekdo nasel ve zdrojacich.
Ne, neverim, ze me nekdo sleduje, maximalne si ctou moji postu na Seznamu, to je pravdepodobne kvuli cilenemu spamu, at si to uzijou.
To je docela častý omyl. Jenže útok přichází v drtivé většině případů z vnitřku sítě. Např. z malwarem nakaženého PC.
A jde to tedy zvenčí? Bez žádné kooperace s nakaženým PC zevnitř? Nějakým způsobem i přes zákaz remote control se do správy routeru a následně do LANky dostat?
Ale samozrejme, ze ano, ale je len teoreticka moznost, pretoze tam musis splnat niekolko podmienok.
Napriklad:
- verejna IP adresa
- backdoor na routri
- neblokovana moznost zneuzitia
- znamost backdooru
atd.
Pride ti toto vsetko realne a uskutocnitelne?