February 2007 - Posts

 

Jedno od mnogobrojnih bezbednosnih poboljšanja u Visti je Windows Integrity Control (WIC).

Odličan članak kao uvod u WIC, možete pročitati na adresi:

http://www.securityfocus.com/infocus/1887

 

 

Pre nekoliko dana sam održao predavanje na temu „Bezbednost informacionih sistema" za partnere kompanije Cisco Systems. Predavanje je informativnog tipa, dakle bez hard-core detalja. Prezentaciju u pps formatu možete preuzeti iz dodatka ovog posta.

 

Tema je statistika (ničim izazvanih) napada na moj kućni računar u poslednja 4 meseca.
Na grafikonu su prikazani samo oni portovi koji su istrpeli više od 70 pokušaja neovlašćenog pristupa u navedenom vremenskom intervalu.

 

  • Prosečno vreme rada: 6 dana u nedelji, 8 sati dnevno.
  • 55486 hitova za 4 meseca, od toga polovina ka portu TCP 445
  • Oko 450 hitova dnevno
  • Više od jednog hita po minutu

Ako vas zanima šta je to toliko interesantno na portu 445, u pitanju je MS Direct Hosting SMB over TCP servis uveden u Windows 2000 generaciji, a napad vrše varijacije AGOBot i SDBot malwarea koji sa zaraženih mašina (zombija) pokušavaju da se prošire na druge ranjive mašine. Sadržaj paketa izgleda ovako:

Ovaj veliki broj "A" karaktera predstavlja pokušaj Buffer Overflow napada (o tome drugom prilikom). Nakon uspešnog BoF-a, slede FTP instrukcije kojima napadnuti računar preuzima malware sa udaljenog servera, instalira ga i pokreće (sve automatski) i konektuje se na neki od unapred određenih IRC servera da bi primio komande od svog "mastera" . Komande mogu biti razne, npr. skeniraj opseg, izvedi Denial of Service napad (DoS) i jos mnogo toga.

 

Pozdrav!

 

 

 

Izmena fizičke (MAC) adrese mrežne kartice nije moguća osim ukoliko rešite da menjate čipove na istoj. Čemu onda ovaj post? Iako nije moguće promeniti adresu na samoj kartici, ipak se operativnom sistemu može objasniti (čitaj: prevariti ga) da je MAC adresa promenjena, a da on ne primeti izvesno neslaganje sa realnom fizičkom adresom na mrežnom adapteru.

Da krenemo redom...
MAC (Media Access Control) adresa je 48-bitni, jedinstveni identifikator mrežne kartice. Sastoji se iz dva dela: prva 24 bita koji su identifikacija proizvođača, a određeni su od strane IEEE (www.ieee.org)  i druga 24 bita kojima raspolaže proizvođač po sopstvenij volji . Ne postoje, ili bar ne bi trebale da postoje, dve mrežne kartice sa istom MAC adresom. Fizičku adresu svoje kartice/kartica možete videti komandom:

ipconfig / all
ili još bolje: ipconfig / all | findstr "Physical "

Adresa je prikazana u heksadecimalnom obliku. 

Pri instalaciji operativnog sistema, ili pri ugradnji kartice, OS pročita MAC adresu i upiše je u Registry bazu. Ukoliko promenimo podatke u Registry, OS će verovati da je to validna MAC adresa i koristiće je u mrežnoj komunikaciji.

 

 

Manuelna promena MAC adrese

Važna napomena: Promene u Registry bazi mogu negativno uticati na rad sistema ili ga čak onesposobiti u potpunosti. Pre bilo kakve izmene, neophodno je izvršiti backup Registry baze, odnosno ključeva koji se menjaju. Autor ovog posta ne snosi nikakvu odgovornost za nestručne izmene Registry baze i eventualne nastale posledice!

Dakle, na posao! Traženje onoga što nam treba u Registry bazi ide ovako:

  • Prvo nam treba GID kartice:

wmic nicconfig where (macaddress="xx:xx:xx:xx:xx:xx") get caption, macaddress, settingid

GID je označen vitičastim zagradama.

  • Pretražujemo Registry po GID-u

 Start -> Run -> Regedit -> HKLM -> System -> CurrentControlSet, idemo na Find i pastujemo GID.

Proverimo da li je ime ključa (foldera u kojem smo trenutno) isto kao i vrednost koju smo dobili pod caption u gore navedenoj komandi.

  • Dodamo REG_SZ

 Dodamo REG_SZ  pod imenom NetworkAddress i upišemo novu MAC adresu i to bez razmaka ili povlaka između brojeva.

  • Deaktiviramo karticu / aktiviramo karticu

 Proverimo sa ipconfig / all. Trebalo bi da vidimo novu MAC adresu. Ukoliko želite da se vratite na originalnu adresu, samo obrišite REG_SZ koji ste kreirali i opet deaktivirajte/aktivirajte karticu.

 

Naravno, postoje i mnogo lakši, automatizovani i bezbedniji  načini da se izmeni adresa kartice.
Moja preporuka je alat etherchange, sajt www.ntsecurity.nu

Do skorog blogovanja!