gildot

Topo
Sobre
FAQ
Tópicos
Autores
Preferências
Artigos
Sondagens
Propor artigo


8/3
gildicas
9/30
jobs
10/9
perguntas
10/25
press

 
Temos medo da Internet? Ainda não vimos nada ...
Contribuído por BladeRunner em 03-06-01 9:31
do departamento raw-sockets-and-IP-spoofing-on-the-fly
Microsoft jamaica escreve "Como não sou bom a dar descrições, apenas queria alertar-vos para o perigo iminente que se chama...
...Windows Xispe.

A página do famoso Gibson que tanto bem tem feito em prol da comunidade dos verdadeiros users da net.

Página

Só espero que esta sugestão não caia em /dev/null roto .. =)

Site ao Fundo! | Livro sobre Programação 3d em linux  >

 

gildot Login
Login:

Password:

Referências
  • Página
  • Mais acerca Microsoft
  • Também por BladeRunner
  • Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário.
    Por mais que eu deteste a MS... (Pontos:2)
    por Dehumanizer em 03-06-01 10:52 GMT (#1)
    (Utilizador Info)
    ... estão a criticá-la por passar a ter (mais) uma coisa que o Unix têm há décadas?


    "Ford, you're turning into a penguin. Stop it." - Arthur Dent
    Re:Por mais que eu deteste a MS... [sarcasmo] (Pontos:1)
    por mlopes em 04-06-01 10:49 GMT (#16)
    (Utilizador Info)
    QQ dia a Microsoft ainda se lembra de inovar tanto que o Windows começa a vir com o "vi" instalado, acho que nunca ninguém se lembrou de distribuir um SO com o "vi" instalado de origem.
    Tem noção (Pontos:1)
    por Dowd em 05-06-01 1:55 GMT (#19)
    (Utilizador Info)
    O que de discute aqui é o facto do Windows XP (que é dedicado aos home-users) suportar RAW Sockets. Sim, claro, UNIX já faz isso há muito, mas só o superuser tem acesso (e um admin que se preze não vai correr qualquer aplicação na maquona). Isto não acontece no Windows onde um simples executável dumina a maquina toda, e onde até há bastante pouco tempo era possível alterar o running kernel "ON-THE-FLY".


    -Dowd

    Tiros ao ar (Pontos:1)
    por Lamego em 03-06-01 11:23 GMT (#2)
    (Utilizador Info)
    Com tantas coisas péssimas que estão para vir proprietáriamente da MS e vamos agora culpabilizá-los pela possibilidade de utilização de IP ao nível que foi especificado. As falhas que foram referidas existem a nível do protocolo em si, o que não tem nada a ver com a MS.
    Concordo com a posição da MS neste ponto de utilização de RAW SOCKETS apesar dos "perigos" que lhe são conhecidos. Caso contrário nasceria mais um (MS)protocolo qualquer, afirmando uma melhoria de segurança (típicamente vã) na tentativa de monopolizar as redes MS.
    Não percebo... (Pontos:2)
    por Gamito em 03-06-01 11:25 GMT (#3)
    (Utilizador Info)
    Também não vejo a novidade e por isso mesmo submeti o artigo. Pode ser que alguém veja.

    A não ser os problemas de não ser open-souce para que o código possa ser livremente auditado e a tradição que vem de longe da má segurança da Microsoft, aliada ao Windows ser um SO(?) de massas/nerds.
    (Se calhar já respondi a mim próprio :P)
    Mas aí, só compra quem quer e quem pirateia não tem direito a reclamar.

    "Windows applications will be able to forge their "return address" "
    Aqui, a não ser que me esteja novamente a escapar algo, também não percebo a novidade.
    AFAIK, o culpado não é o Windows, mas o TCP/IP.

    Mário Gamito
    educação, ensino
    Re:Não percebo... (Pontos:1)
    por flipoide em 03-06-01 11:41 GMT (#4)
    (Utilizador Info)
    Acho que a questão aqui não é sobre os Raw Sockets, mas sim alguem que faz um virus para windows e este pode usar os Raw Sockets para fazer ataques Denial of Service FACILMENTE (isto claro, assumindo que o winXP Home é da mesma "qualidade" que os win9X).
    Flip
    Dumb thing? Onde? (Pontos:1)
    por zhp em 03-06-01 11:59 GMT (#5)
    (Utilizador Info) http://random.sh/zhp.html
    Temos presente, sem dúvida, uma discrepância: como o próprio site diz, os sistemas UNIX já há décadas que suportam alterações a nível do header de qualquer pacote, incluindo o source address spoofing ao qual o Gibson se refere.

    Embora concorde que a inclusão de scripting em emails tenha sido uma idiotice, o mesmo já não posso dizer no que toca à implementação de raw sockets. Aliás, ainda mais: mandar raw packets em Win32 já nem é uma novidade. O API IP_HDRINCL apenas irá facilitar. E, posso estar a ver mal, mas neste caso não culpo a Microsoft; se é que se pode culpar alguém esse alguém será o protocolo TCP/IP em si.

    --JRS
    76hpJJEmLJPD.

    beware of the mighty ddos (Pontos:2, Esclarecedor)
    por peyote em 03-06-01 13:00 GMT (#6)
    (Utilizador Info)
    para compreenderem o medo do gibson em a microsoft implementar um ip stack standardizado no windows xp leiam este artigo do mesmo, em que ele explica que a vulgarização de um sistema operativo com possibilidades de syn flooding e source-spoofing e sem seguranças contra zombie-trojans (usado para distributed denial-of-service) pode piorar o actual problema de sites serem atacados com udp e icmp packets por milhares de ligações cable e adsl infectadas, para ataques baseados em syn floods (muito piores)...


    peyote

    ---
    'God is as real as I am', the old man said. I was relieved since I knew Santa wouldn't lie to me...
    Re:beware of the mighty ddos (Pontos:1)
    por Strange em 03-06-01 21:18 GMT (#10)
    (Utilizador Info) http://strange.nsk.yi.org/

    Também, como pode esse sr. dizer que apenas pôde filtrar os pacotes devido a serem originados de máquinas windows?? Será que fazia ele filtering por source IP? Não seria mais fácil banir todo o tráfego UDP destinado à porta 666? Ou até todo o tráfego UDP?

    E como outros já disseram, não é impossível criar pacotes forjados com os Windows actuais. A Microsoft apenas está a responder a pedidos dos consumidores (programadores), para que siga os padrões (da API sockets) e disponibilize a interface RAW.

    hugs
    Strange

    Re:beware of the mighty ddos (Pontos:1)
    por peyote em 04-06-01 9:02 GMT (#13)
    (Utilizador Info)
    por acaso até foi isso que ele fez: pediu ao provider dele que filtrasse todos os icmp e udp packets (ou seja, de maneira a poder manter apenas comunicações tcp) num router antes das duas linhas t1, para nao afogá-las com tráfego...


    peyote

    ---
    'God is as real as I am', the old man said. I was relieved since I knew Santa wouldn't lie to me...
    Re:beware of the mighty ddos (Pontos:1)
    por Strange em 04-06-01 12:28 GMT (#17)
    (Utilizador Info) http://strange.nsk.yi.org/

    Pelo que deduzo da leitura de todo o artigo, o q ele fez foi pedir o bloqueio dos ips, e por isso se regojiza que as maquinas atacantes sejam windows, pois nao podem forjar o ip...

    hugs
    Strange

    Re:beware of the mighty ddos (Pontos:1)
    por peyote em 04-06-01 18:58 GMT (#18)
    (Utilizador Info)
    por acaso eu acho que ele tava mais preocupado com ligações incompletas (ou seja, mandar tcp packets com o syn bit ligado e depois nao responder aos syn-ack com um ack) que nas quantidades massivas em que ele recebeu e enviadas para uma porta onde ele está a correr um serviço (neste caso, a porta 80) chacinavam completamente o ip stack ;)


    peyote

    ---
    'God is as real as I am', the old man said. I was relieved since I knew Santa wouldn't lie to me...
    Ja nao era sem tempo (Pontos:1)
    por eddie em 03-06-01 13:27 GMT (#7)
    (Utilizador Info)
    Sim... ja nao era sem tempo de a microsoft ter um SO com acesso a raw sockets.
    E se acham isso mal entao tao simplesmente a apoiar a politica geral da microsoft que é achar q deve ser ela a determinar o que e q nos podemos ou nao fazer, ou o que e ou nao melhor para o mundo.
    Raw sockets e liberdade. E quem tem computador tem de ser responsavel, da mesma forma que se tiver um cao e o cao morder a alguem o dono tem de ser responsabilisado.
    só para avizar.. (Pontos:2)
    por buffer em 03-06-01 13:33 GMT (#8)
    (Utilizador Info) http://www.coders-pt.org
    que se esqueceram de fechar o a href ..
    -- what was my problem with man You ask? No.. I ask you what was man's problem with me..
    One word: Libnet (Pontos:1)
    por [WaR] em 03-06-01 20:39 GMT (#9)
    (Utilizador Info) http://www.GenHex.org/
    What's new ? A eeye portou a libnet para windows Nt há séculos...

    http://www.eeye.com/html/Research/Tools/libnetnt.html

    Nao percebi qual é a questao.. seja por raw sockets ou por outro método qualquer, a possibilidade de criar packets ip arbitrários sempre existiu...

    Há ppl sem nada para fazer..

    -- [WaR]
    Erm ... (Pontos:1)
    por Ludos em 03-06-01 22:54 GMT (#11)
    (Utilizador Info)
    Boas, eu sou lame e como tal não faço ideia do que são raw sockets, se alguem quiser perder algum tempo a escrever algo esclarecedor sobre o assunto agradeço :-)
    -------- Some man see things as they are and say, Why ? E dream things that never were and say, Why not ??
    Re:Erm ... (Pontos:1)
    por Eraser em 04-06-01 10:24 GMT (#15)
    (Utilizador Info)
    Vamos lá ver se te posso ajudar. Os sockets IP costumam ser dividos em três catogorias:
    - stream - tipicos sockets tcp/ip utilizados pelos browsers por exemplo para aceder aos sites.
    - datagram - para pacotes udp muito utilizado por alguns chats e software ludico interactivo via internet (Quake rula!).
    - raw - permitem criar pacotes IP contruidos por ti. Podes manipular qq campo. São utilizado para fazer spoofing e outras técnicas de DDOS e passagem de firewals (por fragmentação de pacotes por exemplo),etc.

    Espero ter esclarecido a tua dúvida. Se quiseres mais informação arranja um bom livro que fale de programação avançada de sockets em C. :)

    Fica bem!
    JP

    Reverso da medalha (Pontos:2)
    por Gimp em 04-06-01 8:39 GMT (#12)
    (Utilizador Info)
    Umm...não posso dizer que não foi uma medida boa da Micro mas, e há sempre um mas, também desconfio de tudo o que vem de lá. Lembro-me por exemplo da implementação do Kerberos que a micro fez, e, se bem se lembram, foi ma implementação muito "sui generis", leia-se novas "features"...
    Os meus 2 Paus zZzZz
    Não é novidade, mas o argumento não é bem esse :) (Pontos:1)
    por mduarte em 04-06-01 9:06 GMT (#14)
    (Utilizador Info)
    Ver em The Register
    (...) Why, if Windows 2000 and all machines running on Unix can already spoof packets, do we need worry about Windows XP allowing the same thing? Simple: Windows XP is a consumer OS and so will be taken up by a huge number of technically illiterate consumers.
    These are precisely the people that hackers will target due to their limited understanding of security issues.
    They will allow Trojans, Zombie and other types of malicious program on their PCs, they will remain unaware of them and they won't be able to remove it, even if they do discover them.
    (...)

    save the wales, feed the poor, free the mallocs

     

     

    [ Topo | FAQ | Editores | Contacto ]