Me & My Linux

جلسه عصر روز جمعه، پنجم بهمن ۱۳۸۶ با حضور ۱۲ نفر برگزار شد.

در این جلسه کارهای زیر انجام گرفت:

۱- معرفی Sebek به عنوان یک honeynet از نوع rootkit – توسط بیژن هومند

۲- استفاده از ssh خالی برای tunneling و تغییر IP و گشت آزاد در اینترنت – توسط صادق نقاشزاده

۳- صحبت در مورد نحوه اداره جلسات، مسئولیتها، همیاری در مورد خرید شیرینی هر جلسه (!) و انتخاب لوگو

خوب اینم از عکس این جلسه که صادق زحمتشو کشید ، از سمت راست نفر اول خانم نیلیه ، نفر دوم رو نمی شناسم ، فرهاد معروف به فرهادیکس ، آقا صادق ، خودم ، بیژن ، محمد رضا و در آخر هم مهرداد عزیز

این پست ویرایش شد ، توضیحات کامل تر در ادامه متن

معرفی Sebek به عنوان یک honeynet از نوع rootkit

honey pot در لغت معنای خمره عسل است! هانی پات از نظر etymology (تاریخچه لغوی) به کارتون Winnie the Pooh بر می گردد، که در اونجا این خرس داستان که همیشه یک خمره عسل همراهش بوده، به خاطر عشق عجیبی که به عسل داشته است، راحت گول می خورده و به جاهایی کشانده میشده که نباید میشده است! البته معماری کندو زنبور عسل هم به قسمی هست که جاهایی را تعبیه می کنند برای به دام انداختن دشمن. دشمنها که برای تهیه عسل حمله می کنند، اگر اشتباهی وارد این قسمت کندو بشوند، با حمله زنبورها که خودشون را در دیگر خانه های ۶ ضلعی پنهان کردن روبرو می شوند و به امید خدا از بین قلع و قمع می گردند! honeypot در اصطلاح شبکه به کامپیوتری گفته می‌شود که مدیر شبکه آن را عمدا ضعیف می‌کند و اطلاعات به نظر ارزشمند را در آن قرار می دهد تا توجه نفوذگران را به آن جلب کند. وقتی نفوذگری یک honeypot را هدف قرار دهد، مدیر شبکه می‌تواند رفتار او را زیر نظر بگیرد و از روش حمله یا قصد نفوذگر اطلاعات بدست بیاورد و امنیت کامپیوترهای اصلی شبکه را تقویت کند. ضعیف سازی یک کامپیوتر کار ساده ایست و برای این کار نیازی به نرم افزار خاص وجود ندارد. ولی مساله اصلی در اینجا کنترل کردن این کامپیوتر است، چرا که با ساخت هانی پات هدف اصلی ما در واقع مانیتور کردن نفوذگر و فهمیدن قصد او از حمله و احیانا هویت اوست. به دلیل استفاده فوذگران امروزی از وسایل رمز نگاری، دیگر شما با گوش کردن به ترافیکی که از هانی پات خارج می شود، با ابزاری همچون ethereal نمی توانید که پی به کارهای نفوذگر ببرید. نفوذگر شما دیگر از telnet جهت استفاده با کامپیوترهای بیرونی استفاده نمی کند، او در وهله او ssh خود را run می کند. در ثانی بدون داشتن نرم افزار مانیتورینگ همچون sebekُ، پی به دستورات اجرایی این شخص درون کامپیوتر، دستوراتی که خروجی به شبکه ندارند، نخواهید برد. از این رو لازم است که نرم افزاری خاص در هانی پات نصب شود تا فعالیتهای نفوذگر را همچون تمام کلیدهایی که او تایپ کرده است و پروسس هایی که اجرا نموده است را به شما گزارش کند.

از طرف دیگر rootkitها برنامه‌هایی هستند که می توانند کنترل کامپیوتر شما را، بدون میل و اطلاع شما به دست بگیرند. با این تعریف trojan ها و ویروس ها نیز جزء rootkit تلقی می گردند. منتها چیزی که بیشتر مرسوم است، این است که یک rootkit در واقع برنامه ایست که با یک بار عوض کردن توابع کرنل، کل سیستم را برای همیشه در دست می گیرد. فرض کنید که شما در حال استفاده از ssh هستید. هنگامی که داده های شما توسط ssh رمز نگاری شدند، دیگر می توان گفت (!) هیچ راهی برای decrypt کردن داده ها به غیر از داشتن کلید خصوصی وجود ندارد. اما فراموش نکنید که هنگامی که دستور ssh اجرا می شود، این داده ها جهت رمزنگاری به کرنل می روند. حال اگر قبل از آن خط کدی که تابع رمزنگاری را صدا می زند، کسی یک خط کد مبنی بر ذخیره این داده های لخت (plain text) قرار داده باشد، در واقع قبل از عمل مچ شما باز شده است، بدون اینکه شما متوجه قضیه شوید. یک rootkit چنین کاری را انجام می دهد.

و ربط این دو موضوع به هم: نرم‌افزار sebek یکی از این rootkitهاست.وقتی این نرم‌افزار روی یک honeypot نصب بشه می‌تونه خودش رو از دید کاربر honeypot (نفوذگر) مخفی کنه و تمام فعالیت‌های او رو به مدیر شبکه گزارش بده. Sebek به صورت کلاینت/سرور طراحی شده، به صورتی که میتوان آن را روی چندین کامپیوتر نصب کرد، و یک سرور مرکزی جهت کنترل همه آنها داشت. به این مجموعه Honeynet می گویند.

اگر در یک شبکه واقعی و با کامپیوترهای فیزیکی قرار دارید،‌ به راحتی می توانید با آن کار کنید. اما اگر فقط یک PC دارید می توانید با نصب ماشین مجازی ساز همچون vmware و یا حتی استفاده از UML (این یکی واقعا جالبه!) آنرا به راحتی امتحان کنید. برای اطلاعات بیشتر می‌تونید به سایت این برنامه مراجعه کنید.

استفاده از ssh خالی برای tunneling و تغییر IP و گشت آزاد در اینترنت

در جلسه قبل صحبتی در مورد نرم‌افزار tor داشتیم و گفتیم که عیب بزرگ اون کند بودنش است. tor به دلیل استفاده از routing خاص خود سرعت بسیار پایینی دارد. منتها اگر شما دسترسی به کامپیوتری در دیگر کشورها دارید، مثلا شما وب سرور خود را در کانادا اجاره کرده اید، می توانید با استفاده از یک خط دستور ssh زیر و تنظیم درست مرورگر خود، تونل مناسب را برقرار کنید و کاری کنید که در واقع کامپیوتر واقع در کانادا مطالب سایتها را گرفته و شما از آن دریافت کنید! ببینید:

ssh -D 1234 yourUserName@FQDN_or_IP_of_foreign_computer

1234 پورتی بر روی کامپیوتر لوکال شماست. yourUserName@FQDN_or_IP_of_foreign_computer هم همانطور که مشخص است نام کاربری شما و آدرس دومین یا IP دستگاه خارجی شما (مثلا وب سرور موجود در کاناداست!). با انجام اینکار تونلی بین شما برقرار می گردد. تنها لازم است که به مرورگر خود، مثلا فایرفاکس رفته و در قسمت پراکسی، آنرا برای Socks و پورت ۱۲۳۴ (یا هر پورت دیگری که تعریف کردید) تنظیم کنید. قابل توجه دوستانی که وب سرور همراه با plesk دارند اینکه این نرم افزار ترافیکی که از اینجا حاصل میشود را جزء bandwidth شما حساب نمی کند! یعنی در واقع هر چیزی که دانلود کردید، رایگان است و محدودیتی وجود ندارد. اگر می خواهید از برنامه ای استفاده کنید که از Socks پشتیبانی نمی کند (همانند real) باید یک پراکسی سرور همچون Privoxy و یا اگر در ویندوز هستید real proxy نصب کنید تا در واقع تبدیل بین پروتوکلها را انجام دهد. برای مرور وب به همچین کاری نیاز نیست.

صحبت در مورد نحوه اداره جلسات، مسئولیتها، همیاری در مورد خرید شیرینی هر جلسه (!) و انتخاب لوگو

در مورد لوگوهای پیشنهادی تا بحال هم رای‌گیری شد و لوگوی فعلی یزدلاگ بیشترین امتیاز رو بدست آورد. و قرار شد که جلسه بعدی سوم اسفند ماه باشه. صحبتی هم شد که اگر کسی می‌تونه محل دیگه‌ای برای تشکیل جلسات پیشنهاد کنه، چون ممکنه نتونیم همیشه از دفتر سمپاد استفاده کنیم.

سنت رد و بدل کردن توزیع و پکیج هم مثل جلسات قبل برگزار شد، و سنت جدید گلریزون (جمع کردن پول بابت شیرینی!) رو هم به جمع سنتها (!) اضافه کردیم.
مشکل یکی از suseکاران برای استفاده از مودم داخلی نوت‌بوک هم با در این نشست حل شد.

دوستانی که در این جلسه حاضر بودند:

• خانمها: عظیمه بهشتی​‌زاده،فهیمه کاظمی​نژاد و گلناز نیلیه.

• آقایان: صادق نقاش‌‌زاده،بیژن هومند، مهرداد مومنی، علی وکیلی، محمدرضا حسن‌رضاییان، فرهاد باقری، صادق صادقیه، علیرضا طالبیان و عبدالرضا طالبیان.