Sugerując się pracami kilku osób stwierdziłem iż ja przetestuję exploita o którym tak głośno się teraz mówi…

Ściągnąłem jego źródła ze milw0rm’a. Skompilowałem następnie pobrane źródła poleceniem:
gcc exploit.c -o exploit
Otrzymałem w ów sposób binarkę którą mogę odpalić i sprawdzić jego działanie….

…i cóż się okazało ? Ów wcale nie działa - a to dziwne. W sieci taka panika - a u mnie ledwie rusza….
karol@karol-lap:~$ ./exploit
———————————–
Linux vmsplice Local Root Exploit
By qaaz
———————————–
[+] addr: 0xc011b810
[-] wtf
karol@karol-lap:~$ whoami
karol
karol@karol-lap:~$

Czy wiecie że wszyscy użytkownicy domen kończących się na “.pl” to ignoranci ? Tak przynajmniej zdecydował NASK blokując swoją usługę WHOIS na porcie 43….

Serwis rfc-ignorant.org to serwis w którym publikowane są informacje o dostawcach nie stosujących się do ogólnie przyjętych - oraz narzuconych norm RFC. Jak się okazuje - nasz pospolity NASK na własne życzenie został tam umieszczony, co jest paradoksem - przez własną przezorność. Wyłączając usługę WHOIS złamane zostały postanowienia reguł:

- http://www.faqs.org/rfcs/rfc1032.html
- http://www.faqs.org/rfcs/rfc3912.html

Dzięki takiemu postępowaniu wielu administratorów serwerów pocztowych boryka się obecnie z faktem, iż korespondencja wysyłana z ich mailserver’a trafia do /dev/null‘a na serwerze odbiorcy.

Co w tym dziwnego ? Zaskakującym jest fakt, iż główny dostawca takich usług w kraju, nie dbając o standaryzację swoich usług - tym samym nie dba o bezpieczeństwo oraz poziom usług w odniesieniu do swoich klientów.
Zamieszczam oczywiście link do owego listingu:

- http://www.rfc-ignorant.org/tools/lookup.php?domain=nask.pl

Czyż to nie wygląda pięknie ?

$ whois dns.pl
%
% Serwis WHOIS dzialajacy na porcie 43 zostal wylaczony.
% Serwis WHOIS jest dostepny na http://www.dns.pl/cgi-bin/whois.pl
%
%                           *  *  *
%
% Whois service listening on port 43 is disabled.
% Whois service is available at http://www.dns.pl/cgi-bin/en_whois.pl
%

Ostatnio coraz więcej czytam o “problemach” z serwisem Nasza-Klasa, i zaczynam się zastanawiać się czy nie jest to miejsce niebezpieczne.

NK - jak napisał autor bloga CoolCreation nie jest miejscem dobrze zabezpieczonym. Co prawda zaledwie kilka dni temu opublikowany został w znanym wszystkim serwisie artykuł mówiący o tym, że GIODO stwierdza - iż NK jest serwisem bezpiecznym. Mnie to jednak specjalnie nie przekonuje, biorąc pod uwagę fakt iż coraz szersze grona piszą o wadach tego serwisu. Co jest nie tak z tym portalem ? Aby odpowiedzieć sobie na to pytanie wystarczy w google wpisać nazwę serwisu, zaś ja ucieknę się od tłumaczeń. Ciekawym jest jednak ów właśnie fakt - że tak wiele osób wyraża się w tym temacie w krytyczny sposób.

Czy jest to zwykła zawiść - “oooo - komuś się udało, dlaczego to nie byłem ja”, czy dziwnie pojmowana - troska o społeczeństwo informatyczne ? W moim pojęciu jest to właśnie to drugie, ponieważ - jak pisze na swoim blogu ahri4Ha9dz - ów portal to istna kopalnia wiedzy o ludziach, ich zainteresowaniach i znajomościach. Przeglądając ów portal - możemy znaleźć niemal wszystko…

Pozwolę sobie zacytować “wyszukiwanie po gg i skype istny raj … wystarczy mi twój numer gg a powiem Ci jak wyglądasz“- więc czy wystarczy skrawek informacji aby zdobyć niemal wszystkie istotne dane Kogoś Jakiegoś ?

A może jest to pytanie o sens istnienia takich serwisów. Czy portale społecznościowe już w momencie tworzenia nie powinny być poddawane kontroli.

Wiem - pewnie sypną się głosy, iż dawałoby to pole do manipulacji i szantażowania… Ale jak cenne jest nasze bezpieczeństwo i tzw. “prywatność”….

Może jednak sami jesteśmy sobie winni ? Przecież zakładając konto w serwisach społecznościowych powinniśmy być świadomi czychających na nas zagrożeń…

Do Hiszpańskiego oddziału firmy dotarły wreszcie skonfigurowane przeze mnie serwery ! Cieszę się jak diabli, ale też troszkę obawiam czy ludzie którzy mają je podłączyć zrobią to dobrze.

Cóż - jeśli wszystko pójdzie dobrze, napewno napiszę o tym. Jeśli coś się sypnie, będę miał kolejne Case Study do opisania

Zdarza się - naprawdę - popełniać błędy. Jeden z problemów był niedopatrzeniem, drugi błędem. Długo szukałem rozwiązania na to aby Squid nie blokował stron hostowanych w różnych podsieciach.

Do rzeczy. Pracuję obecnie w infrastrukturze złożonej z kilku podsieci spiętych ze sobą poprzez IPSec’a, routowanych za pomocą Iptables etc, etc. Zupełnie niedawno w sieci lokalnej (czyli w tej w której się obecnie znajduję - 192.168.200.0/24) postawiłem na firewallu serwer proxy - Squid + Dansguardian.

Pierwszym zauważonym przeze mnie problemem był brak łączności na porcie 80 z resztą podsieci. Stosowałem wówczas taką oto regułkę w Iptables:
$IPTABLES -t nat -A PREROUTING -s 192.168.200.0/24 -d 0.0.0.0/0.0.0.0 -p tcp --dport 80 -j REDIRECT --to-port 8080

Prosta - prawda ? Oczywiście, że prosta - przekazuje cały ruch wychodzący z sieci 192.168.200.0/24 do firewall’a (192.168.200.254 - na nim właśnie stoi Squid).

Dość szybko okazało się że takie rozwiązanie nie jest zbyt dobre, ponieważ próbując się dobrać do serwera w sieci 192.168.1.0/24 dostawałem w przeglądarce komunikat mniej więcej o treści “(101) Network is unreachable” co, w istocie, wyjątkowo mnie irytowało.

Dziś rano jednak dokonałem - nazwijmy to odkrycia. Znalazłem w googlownicy rozwiązanie mojego problemu, poniekąd wspierając się narzędziem ipcalc…

Regułka w Iptables wygląda mniej więcej tak:
$IPTABLES -t nat -N PROXY1
$IPTABLES -t nat -I PROXY1 -s 192.168.200.0/24 -p tcp –dport 80 -j DNAT –to-destination 192.168.200.254:8080
$IPTABLES -t nat -A PREROUTING -d ! 192.168.0.0/16 -j PROXY1
$IPTABLES -t nat -A PREROUTING -d ! 192.168.0.0/16 -j LOG –log-level debug –log-prefix “PROXY: “

Zapewne zapyta ktoś dlaczego użyłem parametru “192.168.0.0/16″… Ano dlatego:

karol@karol-lap:~$ ipcalc 192.168.0.0/16
Address: 192.168.0.0 11000000.10101000. 00000000.00000000
Netmask: 255.255.0.0 = 16 11111111.11111111. 00000000.00000000
Wildcard: 0.0.255.255 00000000.00000000. 11111111.11111111
=>
Network: 192.168.0.0/16 11000000.10101000. 00000000.00000000
HostMin: 192.168.0.1 11000000.10101000. 00000000.00000001
HostMax: 192.168.255.254 11000000.10101000. 11111111.11111110
Broadcast: 192.168.255.255 11000000.10101000. 11111111.11111111
Hosts/Net: 65534 Class C, Private Internet