20. november 2002 - 22:19Der er
21 kommentarer og 2 løsninger
Hvordan fungerer spyware ??
Hei !
Det påstås at en del gratis Windows programmer inneholder "spyware" som sender ut informasjon om din datamaskin til en mottaker uten at du vet om det.
Dersom trafikken til Windows maskinen paserer gjennom en Linux firewall så skulle det kanskje være mulig å filtrere vekk denne uønskede trafikken ut til internett.
Er det noen som kjenner til eller som har opplysninger om hvordan slik "spyware" fungerer ? Ville vel tro at den benytter seg av "ikke standard porter" som man skulle kunne lukke eller filtrere vekk ?? (Helt eller delvis)
Spyware kan fungere på en lang række forskellige måder fra dem der er meget lette at opdage, til dem der ikke engang kan opdages med en firewall.
Et spyware program består generelt af 3 moduler.
Et indsamlingsmodul, der som navnet siger indsamler data. Dette modul kan være mere eller mindre inteligent og mere eller mindre specifikt. De intiligente moduler fanger en højere procent værdifulle informationer end de ikke så intilligente. De specifikke moduler er lavet til at gå efter helt bestemte informationer ud fra forskellige kriterier.
Et analyse modul. Dette modul findes kun i de mest professionelle spywar programmer. det lægger yderligere et lag af intilligens over udvælgelelses processen. Det kan f.eks. være et modul der analysere indholdet af det fangede og først starter udsendelsen når bestemte kriterier opfyldes. Da det ofte er under udsendelsen disse programmer fanges kan det være kritisk at få det rigtige sendt til rette tid.
Sidste modul er selve sende modulet. Disse moduler går fra at være simple mail moduler, der udnytter brugerens eget mail klient og mail konto til at sende informationer som e-mail over moduler der virker som en slags web/ftp server der streames fra til de mere avancerede der udnytter steganografiske teknikker hvor informationerne gemmes i den helt legitime data der normalt sendes fra og af brugeren.
De mest almindelige spyware programmer man kommer ud for via internettet er normalt af den simple ikke intilligente type, men de andre findes, de spiædes bare ikke på almindelige brugere der ikke har noget data af værdi liggende på deres maskiner. De bruges til forskellige former for spionage
Det som jeg tenker på det er å sette forward filtering chain retning ut fra lan i utgangspunktet bare åpen på de ordinære portene som port 25, 80, 110 osv. Videre så tenker jeg på å benytte "state established" for forward filtering retning inn til lan. Dette skulle stenge av for spyware dersom den forsøker å sette opp trafikk innefra på ikke orinære porter ?? (Hvis da ikke spyware benytter de samme ordinære portene.)
Hvad angår portene så kan man mig bekendt ikke sige noget generelt. Nogel anvender de normale porte, da de oftest er åbne, og forklæder så trafikken som helt legal trafik, andre anvender porte der normalt ikke anvendes, de er ofte lette at finde, da det hurtigt bliver kendt hvilke porte der skal lyttes på og dermed er de også lette at stoppe.
Dem man skal være bekymret for er dem der anvender de gængse porte. Hvis den f.eks. anvender port 80 kan du ikke stoppe den uden også at lukke for alt din http baserede trafik.
Endeligt er der den teoretiske mulighed (teknologien kendes fra militære radioer) at et spyware program kan anvende en masse porte til at sende den smalede datastrøm og så samle hele kommunikationen ved modtageren. Jeg ved dog ikke om denne teknologi har fundet vej til dette emne endnu
Siste kommentar var ment som en kommentar til dank sin kommentar.
bufferzone -> "Disse moduler går fra at være simple mail moduler, der udnytter brugerens eget mail klient og mail konto til at sende informationer som e-mail". Ja, det er noe jeg tenker på som en mulighet og da kan man kanskje ikke så lett lage noen filtrering. Benytter man der i mot web mail fra ens lokale Linux server i stedet for Outlook eller lignende så har man vel stoppet den muligheten.
"til at sende informationer som e-mail over moduler der virker som en slags web/ftp server der streames" Tja, mulig men hvis det dreier seg om "servere" hvordan vet da en eventuell "spionklient" hvor denne serveren finnes ? Hvordan kommer den forbi NAT funksjonen i Linux. Ville tro at denne typen trafikk, hvis den settes opp innefra vil kunne stanses via firewall ??
"fra til de mere avancerede der udnytter steganografiske teknikker hvor informationerne gemmes i den helt legitime data der normalt sendes fra og af brugeren." Nei, jeg pleier ikke "normalt" å sende ip pakker til en eller annen spyware eier, med mindre jeg besøker hans nettsted uten å vite om det. Det vil behøves en eller annen "mekanisme" for å sende disse ip pakkene til den ip adresse de skal sendes til. Er det ett eller annet "uvanlig" med disse pakkene eller et kjennetegn så vil man vel kunne filtrere dem vekk.
"Benytter man der i mot web mail fra ens lokale Linux server i stedet for Outlook eller lignende så har man vel stoppet den muligheten."
Igen kommer det helt an på hvor avanceret spywaren er, de mindst avancerede vil let kunne stoppes
"Nei, jeg pleier ikke "normalt" å sende ip pakker" Steganografi går ud på at data gemmes i din egen trafik. D.v.s når du sender en e-mail, så følger informationerne med denne e-mail uden at du kan se det. Det er kalrt at denne teknik kræver et system af maskiner der har spywaren installeret i forskellige varianter. Hvis du har godt styr på din sikkerhed men det er hos dig de vigtige informationer ligger, kan man bruge denne teknik til at få informationerne ud af din maskine og over på en maskine hvor sikkerheden ikke er sat så godt op, og så derfra videre til endemålet eller til endnu et par hops.
Denne teknik kan både anvendes til at få informationer ud at godt beskyttede systemer, men også til at sløre hvor informationerne skal hen
"Ville tro at denne typen trafikk, hvis den settes opp innefra vil kunne stanses via firewall"
Ja det har du ret i. Denne metode og mailen er meget anvendt bl.a. de første versioner
Flemming -> Takker for linken ! Her står jo noe interessant ja, Zone Alarm den kan vel settes opp til å si fra om eller stanse all trafikk ut (På window maskinen), mon ikke ? http://www.zdnet.com/products/stories/reviews/0,4161,2612053-3,00.html (Mon det skulle gå an å lage noe liknende for Linux, en slags løsning der man kunne sette firewall i en mode der den i utgangspunktet var stengt for all trafikk ut samtidig som alle forsøk på å sette opp trafikk ble logget. Slik kunne det jo for eksempel fungere "utenom kontortid". Da ville vel "automatisk trafikk" fra lan uansett gå i fella !!??(og ned i loggen))
bufferzone -> "Steganografi går ud på at data gemmes i din egen trafik. D.v.s når du sender en e-mail, så følger informationerne med denne e-mail uden at du kan se det" Jo, akkurat den varianten er faktisk ganske tenkelig. Vedlegg til mail som går sine egne veier hvis man benytter Outlook eller liknende pop3 klient det synes jeg høres ut som meget godt tenkbart. En del virus spres jo på måter som likner på denne.
Benytter man web mail så skulle man normalt være noe bedre beskyttet mot dette.
At pop3 benytter port 110 er jo kun den port der lyttes på.. klienten kan sagtens bruge en anden port."
Jo det er jo slik, men "statefull inspection" skal jo i noen grad, slik som jeg ser det, kunne holde styr på dette, mht avsender og mottaker porter, hva som er ny trafikk hva som er etablert trafikk, osv.
1. Utgående forwarding filtering chain settes opp slik at det blir maksimalt vanskelig å sende ut noe "uautoriser". Samtidig benyttes bare web mail. 2. Man setter opp en intranett startside med mulighet for å eksekvere et script via php (Tror dette er mulig). Desom man klikker på knappen "lukket" så blokkeres trafikken fra linux maskin ol til fra lan, samtidig som alle forsøk på å sette opp trafikk logges. Klikker man på knappen "åpen" så kjører alle ting som normalt.
Har ellers forsøkt å sette opp forskjellige firewall scripts som cron job, altså sikkerhetsniva a fra klokken til klokken, sikkerhetsnivå b fra til klokken osv. Dette ville faktisk ikke kjøre. Fant ikke ut hvorfor.
du kunne jo bruge din ide med at logge ind via ssh. her mener jeg da du snakkede om webmin. du skrev at webmin normalt var lukket, men når du loggede ind med specifik user, så startede den webmin via dens loginscripts.
oz2kas -> webmin - jo du husker rett. Laget et for en stykke tid siden en løsning der jeg gjennom "standard firewall script" bare gjør webmin/usermin tigjengelig på Lan. Når jeg har bruk for det så logger jeg med på eksternt via ssh og kjører det annet alternative firewall script som gjør webmin/usermin tilgjengelig via internet. Etterpå så blir firewall "stengt" ved at "normalt script" kjøres. Dette fungere så greit at jeg nå nesten ikke kan tenke meg noen annen måte å gjøre det på. Man kunne selvfølgelig stenge/åpne trafikk til lan og aktivisere eventuell loggføring på samme måte.
hele deres (dem der laver spyware) ide, er jo at kunne få informationerne ud, og som det så fint er blevet nævnt i dette spm. er der jo utallige metoder at gøre dette på.
helt sikker tror jeg aldrig du kan være. computeren er skabt af mennesker, og kan igen omgås af mennesker.
Ja - at være ansvarlig for en server park der bruger http:80, https:443, pop3:110, smtp:25 må have et strejf af selvpiner i sig. En sniffer er et velkendt og veludviklet stykke værktøj der er kommet udover børnesygdommene det kan være meget svært at finde spor når den først er kommet ind og har tilpasset sig serverens trafik-mønster.
Bare lige for at nævne det så havde vi igen en portscan ved 5 tiden her til morgen og vi har logget flere "An intrusion was attemted by an external user" og IP stammer fra et uddannelsesnetværk i Estland - hvad gør man så? sover dårligt!
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
