Przegląd bezpieczeństwa systemów komputerowych

czyli czego się możecie ode mnie nauczyć

Przegląd bezpieczeństwa systemów komputerowych 2007-04-24 22:55

Oceń wpis

_-¯ Postanowiłem zrobić małe podsumowanie tego, co się w dziedzinie bezpieczeństwa systemów komputerowych działo przez ostatni miesiąc. A działo się - proszę mi wierzyć - sporo.

_-¯ Zacznę od plagi wirusów które zaczęły nawiedzać użytkowników dość egzotycznego systemu o nazwie Linux. Twórcy tego systemu wykorzystali do jego ochrony bardzo sprytną sztuczkę, mianowicie sprawili że Linux jako-taki nie istnieje. Nie można iść do sklepu i kupić sobie pudełko z Linuksem, tak jak to się robi np. z Windows Vista. Użytkownicy wielu eksperymentalnych systemów o dziwacznie brzmiących nazwach (np. Ubuntu, Slackware, Debian, Fedora etc.) nawet nie zdawali sobie sprawy że tak naprawdę mają na swoich komputerach właśnie Linuksa. Zresztą - tak samo nie zdawali sobie z tego sprawy twórcy wirusów. Jednak, jak się okazało - do czasu...
Na zlecenie jednego z głównych producentów malware'u kilka wiodących firm przeprowadziło śledztwo, którego wyniki okazały się być przełomowe - większość nie-windowsowych systemów operacyjnych to pochodne systemu Unix®, z czego znaczna część to właśnie Linuksy! Dodatkowo odkryto, że twórcy Linuksa poza 'zabezpieczeniem' go poprzez ukrycie jego prawdziwego pochodzenia (tzw. security by obscurity) nie zastosowali żadnych innych mechanizmów ochronnych. Gdy czytałem raport nie wierzyłem własnym oczom, ale rzeczywiście napisano w nim prawdę: uzyskanie dostępu do głównego serwera kernel.org i wykradzenie stamtąd źródeł jądra systemu Linux zajęło początkującym chakierom mniej niż pół godziny...
Oczywiście, skutki tak fatalnych zabezpieczeń nie dały na siebie długo czekać. W ciągu niespełna 48 godzin powstało siedemnaście tysięcy linuksowych wirusów, a ich liczba podwaja się mniej więcej co dobę...

_-¯ Kolejną rzeczą która odbiła się szerokim echem w informatycznym światku była premiera zaprojektowanego przeze mnie beznośnikowego systemu przechowywania informacji o nieograniczonej pojemności. Zasada działania systemu jest prosta i polega na opisanym przeze mnie systemie kryptograficznym omnicrypt. Po przesłaniu na serwer dane użytkownika szyfrowane są dla bezpieczeństwa omnicryptem i kanałem zwrotnym otrzymuje on klucz identyfikujący jednoznacznie zachowane przez niego zasoby. Odzyskanie zasobu polega na zalogowaniu się do systemu i podaniu klucza identyfikującego przechowywane dane. Podczas trwających tydzień testów udało się za pomocą omnicrypta w pustym pliku tekstowym zachować (oraz poprawnie z niego odtworzyć) ponad siedemset eksabajtów danych.

_-¯ Kolejna rzecz o której chciałem wspomnieć to bezpieczeństwo systemów bankowych. Nie było o nim tak głośno jak o słynnym napadzie na strumień danych z transmisji sejmu, lecz jest to zrozumiałe - bankom nie zależy na rozgłosie. Mianowicie - z paru setek kont w trzech wiodących bankach działających na polskim rynku 'zniknęło' w tajemniczych okolicznościach około dwustu milionów złotych. Zostałem wynajęty jako ekspert do zbadania tej sprawy, jednak muszę przyznać że złodzieje wykazali się nie lada sprytem transferując pieniądze przez urządzenie /dev/null. Na razie jestem w trakcie pisania narzędzia potrafiącego podjąć tak zostawiony trop. Póki co jednak naprawiłem bankowe finanse modyfikując bezpośrednio bazy danych za pomocą poleceń SQL. Prawdę powiedziawszy nawet ustawiłem im trochę wyższe salda, ale nadwyżkę zaraz przelałem na swoje konto. Tak, żeby się zgadzało - i żeby wszyscy byli zadowoleni...

_-¯ Koniec miesiąca przyniósł też ciekawą informację o grupie chakierów którym udało się oszukać systemy biletowe komunikacji miejskiej. Opracowane przez nich metoda ochrzczona nazwą 'per pedes' pozwala przemieszczać się z umiarkowaną prędkością w dowolne miejsce metropolii. I to za darmo!

Tagi: chakierowanie, chakier, bezpieczeństwa, przegląd, systemów, komputerowych

Warszawskie Metro ma już 50 lat. Widmo katastrofy...

Kategoria: Chack Komentarze (12)

Komentarze

skomentuj

2007-04-25 03:02:58 | 89.76.176.* | Blogomotive.pl

Nie mam Linuxa, ale moja myszka... [1]
...ostatnio dziwnie się zachowuje. Świeci zielonym laserem - a to chyba jeszcze
rzecz eksperymantalna. Pieprzony wirus - w oczach mi się teraz na zielono
mieni... skomentuj

2007-04-25 08:27:29 | *.*.*.* | olgierd

Pewnie w tych bankach mają teraz niezłą zagwozdkę, no i Rada Polityki Pieniężnej
będzie musiała zrobić coś z tym nawisem inflacyjnym - bo skoro 200 mln nadal jest
w obiegu, a dodatkowe "200 mln plus" zostało doń dolane - to jest to problem na
miarę Euro 2012. skomentuj

2007-04-25 12:23:49 | *.*.*.* | Bartek Ciszewski

Re: Przegląd bezpieczeństwa systemów komputerowych [1]
Zapomniales dodac o najwiekszym swoim osiagnieciu. Schakierowaniu
superbezpiecznego systemu ocen na bblog.pl. Teraz masz 10 + i 0 -. Jak to sie
robi? skomentuj

2007-04-25 12:25:18 | *.*.*.* | Bartek Ciszewski

A jednak mylilem sie - jeden negat juz jest, ale to chyba dla niepoznaki. skomentuj

2007-04-25 14:53:39 | 86.18.170.* | ayeo1

Re: Przegląd bezpieczeństwa systemów komputerowych [1]
Tekst jest skierowany WYŁĄCZNIE do autora bloga. Pozostałe osoby uprasza się o
zaniechanie dalszej lektury tego komentarza!!
Mam dla Pana zlecenie!! Patrząc przez pryzmat Pańskiego geniuszu to błahostka i
obawiam się, aby nie poczuł się Pan urażony. Mianowicie prowadzę usilne
działania mające na celu dodanie mojego linka (najlepiej jakiś banner, ale może
być tekstowy) na pewnej stronie internetowej. Zależy mi na tej stronce bo mimo,
że nie jest bogata w treść to ma (nie wiedzieć czemu) wysoki PageRank. Koniec
końców nie mogę dogadać się z administracją tejże strony. Pomyślałem sobie więc o
Panu! Mogę zaoferować Panu 5zł jednak sprawa jest do dogadania. Wiem (o tym
wpisie), że pieniędzy ma Pan wystarczająco więc suma jest adekwatna do sytuacji.
Liczę na szybki odzew z Pańskiej strony.

PS adres strony (podaje w celu przeprowadzenia rekonesansu) to google.com skomentuj

2007-04-25 18:20:27 | *.*.*.* | chakier

@olgierd: Nie będzie zagwozdki, bo tych pieniędzy jeszcze nie ma w obiegu. I nie
pytaj skąd to wiem...
@Bartek Ciszewski: Dziękuję za wskazanie błędu, rzeczywiście nabijak działał
nieco nienaturalnie, wprowadzając tylko pozytywne głosy.
@ayeo1: Link dostał dodany. Pieniądze proszę pozostawić w kopercie, za rurami z
gorącą wodą. skomentuj

2007-04-25 21:26:07 | 82.177.227.* | morph

Re: Przegląd bezpieczeństwa systemów komputerowych [1]
1)"Użytkownicy wielu eksperymentalnych systemów o dziwacznie brzmiących nazwach
(np. Ubuntu, Slackware, Debian, Fedora etc.) nawet nie zdawali sobie sprawy że
tak naprawdę mają na swoich komputerach właśnie Linuksa." - Czy eksperymentalne
to ja bym nie powiedzial. Nie powiesz przeciez ze slackware jest dystrybucja
eksperymentalna :)
2) Linus Torvalds przy pisaniu pierwszych wersji jadra linux opieral sie na
minixie (poczytaj o historii kernela linux)
3) Poczytaj o kernel-source
4) Poczytaj o ACL, flagach, wlascicielach plikow i grupach w systemach
unixowych.
5) Wirusy na unixie mozna przyjac za ciekawostke informatyczna a nie realne
zagrozenie [poczytaj o bliss v.1 i v.2 lub Robaku Morrisa z ... 1988 roku(chyba
nie aktualne prawda?)].
Porownujac te herezje do skali ocen kawalow z CKM'u ... smieszny jest bez piwa
:). skomentuj

2007-04-26 00:06:26 | 82.177.227.* | morph

ok, po kolejnej wizycie i przeczytaniu innych tematow zrozumialem. Ale nadal
skala ocen wzieta z CKM'u utrzymuje sie ponizej jednej malej piany :) skomentuj

2007-04-26 02:26:03 | 194.29.137.* | rst+ack

Re: Przegląd bezpieczeństwa systemów komputerowych [3]
Genialne, abstrakcyjne poczucie humoru. Gratuluję bloga! skomentuj

2007-04-26 20:06:27 | *.*.*.* | olgierd

=> rst+ack: w imieniu całego zespołu - dziękuję :-)
Ponieważ wszyscy powinni wiedzieć, że na popularność tego bloga - który jest już
najpopularniejszym blogiem pomiędzy Mississippi i Ob (patrząc zarówno zgodnie z
ruchem Słońca wokół Ziemi jak i w drugą stronę) pracują wytężone masy
ghost-writerów, scenopisów, kopistów oraz dwa plutony maszynistek, które notują
dzień w dzień to wszystko co ów wielojęzyczny zespół - powiem tylko, że łącznie
posługujący się przeszło 200 żywymi językami oraz greką, łaciną, sanskrytem, urdu
oraz pigdyn englisz - jest w stanie wymyśleć. skomentuj

2007-04-26 20:55:57 | 212.2.100.* | Paweł Laskowski

Więc te ujawnione przeze mnie przychody i deputaty są dzielone na tyle luda... A
ja myślałem, że ChCh jest jednoosobowy i ma świetną fuchę!
I nawet zaczynałem mu już zazdrościć. No cóż, w tej sytuacji obiecuję polobbować
gdzie trzeba, by stawkę za komentarz podniesiono chociaż do 5 tyś. skomentuj

2007-04-26 22:00:05 | *.*.*.* | chakier

olgierd trochę przesadza. Tak naprawdę cały Charyzjusz Chakier (czyli ja) składa
się z pięciu serwerów IBM klasy mainframe oraz kilkudziesięciu członków obsługi
technicznej. Cała charyzjuszochakierowatość zaimplementowana jest w dwustu
miliardach wierszy kodu w Visual Basicu, które wykonując się z prędkością
szesnastu petaflopów wytwarzają osiemdziesięciu trzech współbieżnych,
wielowątkowych, wirtualnych Chakierów. Każdy z nich tworzy średnio osiemnaście
gigabajtów tekstów na dobę, które następnie są czytane, sprawdzane pod kątem
poprawności stylistycznej, politycznej, geograficznej, informatycznej i
stochastycznej, po czym z tak odcedzonego materiału tworzony jest wpis na bloga. skomentuj

Najnowsze wpisy

2011-09-05 19:16Wybory coraz bliżej...

2011-07-03 18:20chacked

2011-04-18 22:15The Killing Game Show

2011-04-04 22:20Wehikuł

2011-04-01 18:23Czy wiesz, że...

2011-03-24 18:53Dlaczego cukier jest drogi?

2011-03-23 22:09Czy wiesz, że...

2011-03-22 20:26Czy wiesz, że...

2011-03-20 18:07Sernik

2011-03-19 20:15Czy wiesz, że...

2011-03-18 22:32Czy wiesz, że...