Atak na vajrles ruter ili opusteno? - Strana 2

Petar Marić · 26. 02. 2011.

Nije u pitanju kućna, već SOHO mreža. Poverljivi podaci mojih klijenata su mi veoma bitni, ali pošto iznamljujem stan nisam u mogućnosti da bušim zidove na 5 mesta zarad žične mreže.

Plastični primer: klijent traži da se napravi sto koji ima nosivost 100kg (po specifikaciji). Neki bi testirali njegovu nosivost sa 105-110kg. Ako je neznatna razlika u ceni izrade (a koristeći KeePass ne postoji razlika između automatizovanog unosa lozinke od 10 ili 63 znaka) u zavisnosti od uslova korišćenja testirao bih nosivost sa 250-300kg. Ako sto ipak popusti tokom korišćenja visoka je šansa da su njegovi radnici koristili na taj sto stavili predmet značajno teži od maksimalno dozvoljene nosivosti.

Korišćenjem jakih algoritama enkripcije uz slučajno generisane dugačke ključeve sa rokom trajanja mogu klijentu odgovorno da tvrdim da sam preduzeo neophodne mere obezbeđenja njegovog (npr.) AdSense ili NameCheap naloga. Uz doslednu primenu i dokumentovanje celokupnog procesa značajno sam smanjio svoj udeo odgovornosti ukoliko ipak dođe do upada.

A mom trenutnom klijentu je bilo dovoljno kauboj-kodera u zadnjih 15 godina. Na početku naše saradnje sam odmah morao da saniram 2 potvrđena incidenta u njegovim web aplikacijama. Od tada sam tokom revizija postojećeg koda i konfiguracija servera uočio barem još 50 propusta koji su mogli dovesti do ozbiljnih posledica po njegovo poslovanje: izgubljeni klijenti, krađa kartica i poverljivih podataka, nehatno distribuiranje zlonamernog softvera ka preko pola miliona posetioca mesečno, itd.

Po ugovoru moram preduzeti sve mere da umanjim mogućnost bilo kakvog vida zloupotrebe na najmanju moguću razumnu meru.

Milos Micic · 24. 02. 2011.

Svaka cast ako koristis 63 random karaktera za sifru meni dosta 10 za klince sa backtrackom =). Elem malo cu da oftopikujem ali strucno =D. Recimo da masina moze da izgenerise 100k heseva u sekundi za punu sifru od osam karaktera u kojoj mogu da se nadju svi dozvoljeni karakteri bi ti trebalo 776 000 dana, distribuiraj ovo na 1000 masina = 2 godine za sifru od najmanjih mogucih 8 karaktera(wpa ne dozvoljava krace sifre). Nisam probao rainbow tabele, znam da su mogli da se skinu fajlovi od 500+ gb sve ukupno, ali tu se javlja drugi problem svaki hes je posoljen SSID-om tako da verovatnoca pogadjanja drasticno opada dodamo jos izbegavanje koriscenja TKIP-a i mreza je jako fino zasticena. Ja bi rekao da je wpa i dalje van domasaja smrtnika i da pruza dobru dozu zastite sve dok je kljuc dobro odabran (citaj random+specijalni).
Znaci 3banchi WPA(2)+AES + 9 ili 10 karaktera pametno izabranih za kljuc i klinci ce te obilaze u sirokom luku =).

Ivan · 26. 02. 2011.

O siframa: http://www.schneier.com/blog/archive...ng_passwo.html

Petar Marić · 26. 02. 2011.

Sve lozinke koje skladištim u KeePass (90+% lozinki) imaju izvestan rok važenja, nakon čega ih menjam novom random lozinkom. Stvar principa, osiguranja od odgovornosti, možda i paranoje

ivanhoe · 26. 02. 2011.

ja samo kazem matematicki gledano to sto je neko menja sifru svaki dan ili svakih mesec dana nece je uciniti nista otpornijom na neki konkrektni napad... a nece ni da ga smanji naravno, tako da ne skodi, sem sto mozda gubis vise vremena nego sto bi trebalo na administrativne zajebancije...

Petar Marić · 26. 02. 2011.

Znam da ste u pravu, ali ako klijent insistira (i plaća) da menjam sve svoje business/client/network/server lozinke svakih nekoliko meseci moje je da tako radim, ćutim i brojim pare

Na kraju svega, uvek je u pravu onaj koji drži kesu.

mileusna · 26. 02. 2011.

Dodatni načini zaštite WiFi mreže

- Onemogućiti SSID emitovanje. WiFi uređaji neće videti mrežu, moći će da mu pristupi samo neko ko zna naziv WiFi mreže.

- MAC filter. U filter ubaciti MAC adrese uređaja koji imaju pristup WiFi mreži, svi ostali se blokiraju.

Ovo su "proste" opcije koje poseduje gotovo svaki WiFi ruter na tržištu.

3banchi · 26. 02. 2011.

^ imam MAC filtere za sve uredjaje a probacu i da iskljucim SSID i preimenujem mrezu.
Nisam se bojao da ce mi neko uci u mrezu pored svega sto sam uradio, nego je problem bio u uredjaju nekog od komsija koji automatski pristupa mrezi koju nadje u rangu. To je generisalo veliki broj zahteva, a ruter ga isto toliko puta odbija...to je izazvalo da se srusi - nesto kao DDoS.
Sad si mi dao dobru ideju da sakrijem mrezu, to bi trebalo da odradi posao.
Hvala svima.

Petar Marić · 26. 02. 2011.

MAC adrese se dovoljno lako lažiraju.

mileusna · 26. 02. 2011.

Pa dobro, ali prvo treba da sazna MAC adresu mog notebooka da bi mogao da je lažir, zar ne?

I ako ćemo da sitničarimo, naravno da ne postoji 100% zaštita, ali svakim nivoom zaštite skine se veliki procenat potencijalnih napadača.

26. 02. 2011.	#1
Petar Marić Python Ambassador Master Datum učlanjenja: 06.06.2005 Lokacija: Novi Sad Poruke: 602 Hvala: 28 27 "Hvala" u 17 poruka	Nije u pitanju kućna, već SOHO mreža. Poverljivi podaci mojih klijenata su mi veoma bitni, ali pošto iznamljujem stan nisam u mogućnosti da bušim zidove na 5 mesta zarad žične mreže. Plastični primer: klijent traži da se napravi sto koji ima nosivost 100kg (po specifikaciji). Neki bi testirali njegovu nosivost sa 105-110kg. Ako je neznatna razlika u ceni izrade (a koristeći KeePass ne postoji razlika između automatizovanog unosa lozinke od 10 ili 63 znaka) u zavisnosti od uslova korišćenja testirao bih nosivost sa 250-300kg. Ako sto ipak popusti tokom korišćenja visoka je šansa da su njegovi radnici koristili na taj sto stavili predmet značajno teži od maksimalno dozvoljene nosivosti. Korišćenjem jakih algoritama enkripcije uz slučajno generisane dugačke ključeve sa rokom trajanja mogu klijentu odgovorno da tvrdim da sam preduzeo neophodne mere obezbeđenja njegovog (npr.) AdSense ili NameCheap naloga. Uz doslednu primenu i dokumentovanje celokupnog procesa značajno sam smanjio svoj udeo odgovornosti ukoliko ipak dođe do upada. A mom trenutnom klijentu je bilo dovoljno kauboj-kodera u zadnjih 15 godina. Na početku naše saradnje sam odmah morao da saniram 2 potvrđena incidenta u njegovim web aplikacijama. Od tada sam tokom revizija postojećeg koda i konfiguracija servera uočio barem još 50 propusta koji su mogli dovesti do ozbiljnih posledica po njegovo poslovanje: izgubljeni klijenti, krađa kartica i poverljivih podataka, nehatno distribuiranje zlonamernog softvera ka preko pola miliona posetioca mesečno, itd. Po ugovoru moram preduzeti sve mere da umanjim mogućnost bilo kakvog vida zloupotrebe na najmanju moguću razumnu meru. __________________ Python Ambassador of Serbia

26. 02. 2011.	#3
Ivan Psychedelictrance freak Wrote a book Datum učlanjenja: 04.06.2006 Lokacija: Srbija, Beograd Poruke: 1.008 Hvala: 325 933 "Hvala" u 34 poruka	O siframa: http://www.schneier.com/blog/archive...ng_passwo.html __________________ Testiranje bezbednosti web aplikacija

26. 02. 2011.	#4
Petar Marić Python Ambassador Master Datum učlanjenja: 06.06.2005 Lokacija: Novi Sad Poruke: 602 Hvala: 28 27 "Hvala" u 17 poruka	Sve lozinke koje skladištim u KeePass (90+% lozinki) imaju izvestan rok važenja, nakon čega ih menjam novom random lozinkom. Stvar principa, osiguranja od odgovornosti, možda i paranoje __________________ Python Ambassador of Serbia

26. 02. 2011.	#5
ivanhoe Ivan Dilber Sir Write-a-Lot Datum učlanjenja: 18.10.2005 Lokacija: Bgd Poruke: 5.320 Hvala: 104 2.344 "Hvala" u 583 poruka	ja samo kazem matematicki gledano to sto je neko menja sifru svaki dan ili svakih mesec dana nece je uciniti nista otpornijom na neki konkrektni napad... a nece ni da ga smanji naravno, tako da ne skodi, sem sto mozda gubis vise vremena nego sto bi trebalo na administrativne zajebancije... __________________ Leadership is the art of getting people to want to do what you know must be done.

26. 02. 2011.	#6
Petar Marić Python Ambassador Master Datum učlanjenja: 06.06.2005 Lokacija: Novi Sad Poruke: 602 Hvala: 28 27 "Hvala" u 17 poruka	Znam da ste u pravu, ali ako klijent insistira (i plaća) da menjam sve svoje business/client/network/server lozinke svakih nekoliko meseci moje je da tako radim, ćutim i brojim pare Na kraju svega, uvek je u pravu onaj koji drži kesu. __________________ Python Ambassador of Serbia Poslednja izmena od Petar Marić : 26. 02. 2011. u 12:41.

24. 02. 2011.	#2
Milos Micic magla diler Qualified Datum učlanjenja: 13.02.2007 Poruke: 168 Hvala: 69 18 "Hvala" u 13 poruka	Svaka cast ako koristis 63 random karaktera za sifru meni dosta 10 za klince sa backtrackom =). Elem malo cu da oftopikujem ali strucno =D. Recimo da masina moze da izgenerise 100k heseva u sekundi za punu sifru od osam karaktera u kojoj mogu da se nadju svi dozvoljeni karakteri bi ti trebalo 776 000 dana, distribuiraj ovo na 1000 masina = 2 godine za sifru od najmanjih mogucih 8 karaktera(wpa ne dozvoljava krace sifre). Nisam probao rainbow tabele, znam da su mogli da se skinu fajlovi od 500+ gb sve ukupno, ali tu se javlja drugi problem svaki hes je posoljen SSID-om tako da verovatnoca pogadjanja drasticno opada dodamo jos izbegavanje koriscenja TKIP-a i mreza je jako fino zasticena. Ja bi rekao da je wpa i dalje van domasaja smrtnika i da pruza dobru dozu zastite sve dok je kljuc dobro odabran (citaj random+specijalni). Znaci 3banchi WPA(2)+AES + 9 ili 10 karaktera pametno izabranih za kljuc i klinci ce te obilaze u sirokom luku =).

26. 02. 2011.	#7
mileusna Super Moderator Knowledge base Datum učlanjenja: 20.03.2006 Lokacija: Kragujevac Poruke: 1.878 Hvala: 291 1.345 "Hvala" u 355 poruka	Dodatni načini zaštite WiFi mreže - Onemogućiti SSID emitovanje. WiFi uređaji neće videti mrežu, moći će da mu pristupi samo neko ko zna naziv WiFi mreže. - MAC filter. U filter ubaciti MAC adrese uređaja koji imaju pristup WiFi mreži, svi ostali se blokiraju. Ovo su "proste" opcije koje poseduje gotovo svaki WiFi ruter na tržištu. __________________ Naslovi.net \| Gdestinacija.com \| I Shot The Sheriff \| @mileusna Poslednja izmena od mileusna : 26. 02. 2011. u 13:39.

26. 02. 2011.	#8
3banchi branislav mandic mando Wrote a book Datum učlanjenja: 30.10.2009 Lokacija: NS Poruke: 1.241 Hvala: 261 486 "Hvala" u 189 poruka	^ imam MAC filtere za sve uredjaje a probacu i da iskljucim SSID i preimenujem mrezu. Nisam se bojao da ce mi neko uci u mrezu pored svega sto sam uradio, nego je problem bio u uredjaju nekog od komsija koji automatski pristupa mrezi koju nadje u rangu. To je generisalo veliki broj zahteva, a ruter ga isto toliko puta odbija...to je izazvalo da se srusi - nesto kao DDoS. Sad si mi dao dobru ideju da sakrijem mrezu, to bi trebalo da odradi posao. Hvala svima. __________________ ... Ej, živote, teško ovo jebote, mani me se živote, ti ga nabijem!

26. 02. 2011.	#9
Petar Marić Python Ambassador Master Datum učlanjenja: 06.06.2005 Lokacija: Novi Sad Poruke: 602 Hvala: 28 27 "Hvala" u 17 poruka	MAC adrese se dovoljno lako lažiraju. __________________ Python Ambassador of Serbia