linux user group brescia

On Sat, Mar 03, 2001 at 05:08:22PM +0100, Luca Coianiz wrote:
> ----- Original Message -----
> From: marcoghidinelli <marcogh a atdot.org>
> > On Sat, Feb 24, 2001 at 01:28:32PM +0100, Luca Coianiz wrote:
> >> From: Luca Giuzzi <giuzzi a dmf.bs.unicatt.it>
> >>>> P.S.: E` cmq vero che e` quasi impossibile (o cmq molto, ma molto
> >>>>      difficile) tracciare quel che sta facendo un utente,  o  me
> >>>>      lo sono sognato?
> >>> Per root e' possibile farlo (a meno che il kernel non sia stato
> >>>  modificato in modo opportuno... [...]
> >>  Domanda: esiste un comando/utility/qualcosaltro che ti permette di
> entrare
> >> in "browse" sul flusso di dati che scorre in una tty ?
> > se ho ben capito quello che chiedi, le cose le puoi fare in due modi:
> > ci sono utility che ti permettono di vedere quello che fa una persona su
> > un terminale testuale (ttysnoop) e utility che permettono di vedere quello
> > che fa una persona quando c'e' x caricato (xtv o qualcosa del genere..)
> 
>  Diciamo che la mia attenzione era puntata soprattutto sui terminali
> testuali. Ad X non avevo molto pensato, anche perch? credo che un cracker
> "serio" usi cose tipo Telnet, FTP o soft (magari programmati in proprio)
> piuttosto "grezzi", senza andare a scomodare X (mah... magari sopravvaluto i
> cracker). :-)

il fatto e' che un cracker puo', anzi deve, tentare di usare __ogni__ mezzo 
per prendere possesso di un sistema. e a volte anche X puo' aiutare...
il fatto di aprire la propria macchina verso l'esterno (con un xhost +)
e' un gravissimo errore, e un cracker serio deve saper utilizzare anche questo..

>  Quindi per le tty vedr? cosa salta fuori da ttysnoop (magari prover? anche
> xtv... ma non subito).
> 
> >>  Non s?... mi viene in mente una specie di "splitter" logico (o sniffer,
> che
> >> dir si voglia) da lanciare sulla macchina locale [...]
> > il secondo modo e' appunto sniffando in rete i pacchetti che passano.
> > uno sniffer 'fenomenale' sotto linux e' l'ethereal...
> > prova a caricarlo e poi  a fare una sessione di telnet..
> > a quel punto seleziona uno dei pacchetti telnet che sono passati e
> seleziona
> > 'follow tcp stream'...
> > a quel punto puoi vedere tutto quello che passa in rete relativamente alla
> > sessione telnet, con password e comandi tutti in chiaro.
> 
>  Se ho ben capito Ethereal ? una specie di datascope capace sia di
> visualizzare tutto quel che passa oppure anche di fasarsi su una specifica
> sessione TCP (Telnet, FTP, ecc.).

esatto... pero' ti rendi conto di quanto veramente sia potente quando lo usi:
ti rendi conto che tutti i protocolli standard sono altamente insicuri:
telnet, ftp, pop, smtp, X, news...
non si salva nulla.
l'unico modo e' criptare, criptare e ancora criptare...

>  La cosa mi pare parecchio interessante, almeno per quanto riguarda la
> possibilit? di "vedere quel che succede".

e' veramente brutto rendersi conto che quando si fa un telnet uno nella nostra 
stessa rete puo' vedere passare __TUTTO__ quello che passa.. password
comprese... 

>  Grazie per i suggerimenti. In un secondo tempo penser? alle difese
> (passive... o attive). :-)

io sono fortemente portato alle difese passive, che si ottengono tenendosi 
informati e utilizzando il principio del minimo privilegio: se una cosa non c'e'
non puo' essere attaccata, quindi metti __solo__ le cose che ti servono.

in alcuni casi anche il semplice ls puo' essere inutile..
(fatto sul server ftp dell'universita' di milano anni addietro: o sapevi il nome
del file o non lo tiravi giu'.)