Jemi ne nje nga temat me * ketu ne albanianwizard.org, them me * sepse ky eshte nje koncept origjinal i patrajtuar me pare, koncepti eshte te kthejm Iptables firewall ne IPS (Intrusion Prevention System), dhe shkrimi eshte paksa i nje niveli te avancuar (kjo edhe pse jane koncepte te reja dhe jo diçka e perditshme) keshtu qe nese nuk  keni informacione se ç’fare jane:
buffer overflow
sql injection
CSS (XSS)
Local File Inclusion , RFI (remote file inclusion) dhe nuk keni te qarte –string te iptables atehere eshte me mire te kaloni ne teme tjeter pasi ne kete teme nuk do te sqarojm sulmet por metoden se si mund te “bllokohen” keto sulme, gje qe e kthen iptables ne nje IPS, por ky eshte thjesht nje koncept dhe shume sulme te alteruara mund te rezultonin te sukseshme edhe mbas metodave mbrojtese qe mund te aplikojm (e shohim me poshte), por kjo vetem ne rastet kur perdoret buffer overflow (stack\heap – overflow), ne rastet e tjera mbrojtja eshte shume efikase.

iptables VS buffer overflow
Sulmet me te rrezikshme sot, nuk jane ato qe i drejtohen sistemit, apo nje platforme por ato qe i drejtohen drejtpersedrejti vet aplikacionit ,  le te shohim sebashku dhe arsyen.
Nje firewall ne pergjithesi do te shkoj dhe do te monitoroj portat qe jane te mbyllura, apo te filtruara dhe do te anashkaloj monitorimin e portave 80\22\25 etj ku nje server ofron sherbimet e veta “duke ja lene ne dore” keshtu sigurine vet aplikacionit qe eshte duke perdorur porten. [gabim ky qe lejon shumicen e sulmeve qe ndodhin sot]
Kjo sjell qe keto sulme nga ana tjeter te jene te suksesshme dhe ne sisteme jo te rregulluara (not hardened) edhe te pakapshme.
Te shohim disa rregulla qe mund ti impostojm iptables kunder disa sulmeve normale.

Iptables VS buffer overflow

Ky edhe pse sulm goxha i vjeter ne ‘moshe’ eshte edhe ne kete moment shume i perdorur dhe tipik per nje root account.

Shfrytezohet nje aplikacion i koduar ne C\C++ zakonisht dhe nje funksion malloc()  strcat() scanf() , strcpy() i pa kontrolluar me ane te se cilit arrihet ne zona te memorjes qe nuk duhet te jene te aksesueshme, duke ber “rishkrim” te ketyre zonave ne RAM e rjedhimisht nese hyet ne zona te rezervuara te memorjes si ato te sistemit operativ atehere mund te modifikosh pid-t e proçeseve e keshtu dhe uid (root @ uid= 0) dhe sistemi kompromentohet.
Rasti tipik eshte nje reverse shell qe lidhet me makinen e sulmuar.
Keto lloj sulmesh jane shume te veshtira per tu kapur, edhe nese nje sistem ka firewall dhe antivirus nuk ka shance kunder nje exploiti 0-day. Nje zgjidhje ne keto raste do te ishte nje fwsnort i integruar me snort + iptables normalisht dhe te shpresonim qe sulmi te njihej nga snort, ose me sakt snort te kete te regjistruar ne db shellin qe eshte duke perdorur sulmuesi.
Po marrim nje rast se si mund te bllokojm nje te tille nga porta 443 ku dihet qe per te bere overflow e mbushim hapesiren e memorjes me karaktere ç’faredo pastaj kur jemi ne hapesiren e duhur perdorim shellcode (ku shumica e atyre qe perdoren jane ne db e snort)
iptables -I INPUT 1 -p tcp –dport 443 -m string –string “AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAA” -j DROP
Ne kete rast vihet re mire pjesa me “AAAA” e cila nuk do ishte e zakonshme, ne keto raste keshtu qe kjo lloj lidhjeje do te duhej te ndalohej.
Nje menyre per ta anashkaluar gjithsesi eshte qe ta mbushesh me BBBB ose CCCC ose me ABDEF… keshtu qe siç e thashe do te duhej nje snort i konfiguruar mire per tu marre me keto lloj sulmesh, por ne shumicen e rasteve kodi i exploitit perdoret nga worme, boote keshtu qe pjesa me siper mund te jete shume efektive.

iptables VS sql Injection

LoL, ne kete rast nuk kemi ç’fare te sqarojm, shkoni tek nje PKSH-crew dhe do jete gjeja e pare qe do u mesojn, ne keto raste duhet te evitojm string si “select, union, from, apo karaktere null”, dikush i zgjuar eshte duke menduar tani, se edhe nese ne bllokojm union, select etj etj duke njohur mire iptables mendon po sikur ti fus ne hexadecimal karakteret e sql injection?
Dhe ben mire te mendoj keshtu pasi mund ti behet evazion kesaj metode mbrojtese por per fat te mire iptables ka dhe opcionin –hex-string dhe per ta bllokuar nje null character ne hex do te ishte diçka e tille:
iptables -I INPUT 1 -p tcp –dport 1433  -m string –hex-string “‘|00|” –algo bm -m string –hex-string
“-|00|-|00|” –algo bm -j REJECT
Siç e shohim porta qe monitorohet eshte 1433, pra e mysql-s . Me sa me shume opcione gjithperfshirese, aq me pak do te ishin shanset per te pasur nje sulm te suksesshem, e ne kete rast duke marre parasysh nje server dhe 2000 website te hostuara ne te, do te ishte nje LAJM MADHESHTOR per klientet qe do e ndienin veten nen nje sherbim perfekt.

iptables VS Local File Inclusion

Ne keto raste, perdoret nje fail psh nje php dhe me ane te tij mund te aksesohet nje fail tjeter ne direktori, psh e zeme se faili yne skedari.php ka nje rresht ku shkruhet ky funksion:

 require("./../".$_GET["emriskedarit"]);

Duke pare thjesht me browser nje file te tille dhe duke perfituar nga ndonje funksion mund te shkojm direkt tek:

file.php?shko_tek=../../../../../../../etc/passwd%00
Ose mund te jete nje config.php, ose mund te jete nje /etc/shadow%00
Thame qe per keto perdorim browserin keshtu qe porta per tu monitoruar eshte 80 (web-server).
Keshtu qe:
iptables -I INPUT 1 -p tcp –dport 80 -m string –string “/etc/shadow” –algo bm -j REJECT
ose
iptables -I INPUT 1 -p tcp –dport 80 -m string –string “../../” –algo bm -j REJECT

iptables VS CSS (XSS) dhe RFI

Ketu besoj se imagjiononi vet…

shembull kunder Cross Site Scripting

iptables -I INPUT 1 -p tcp –dport 80 -m string –string “<>” –algo bm -j REJECT

Shembull kunder Remote File Inclusion
iptables -I INPUT 1 -p tcp –dport 80 -m string –string “=http://” –algo bm -j REJECT

Hellooooo
Gabimisht, dhe per kuriozitet isha duke eksploruar pak nje Windows 7 Ultimate, e vertet kane bere goxha pune ne krahasim me versionet e meparshme si stabiliteti etj por mbas instalimit pashe diçka shume interesante.
Porta 5357 qendronte gjith kohes ne Listening (ne TCP dhe UDP) dhe jo nga nje proçes dosido por nga vet sistemi
Ky vulnerabilitet na lejon qe te terheqim informacione dhe te dergojm informacione te rrezikshme sistemit, diçka e tille eshte e lejuar dhe nga firewalli i windowsit te pakten keshtu tregoi skanimi me nmap dhe lidhja me netcat e me browsera gjithashtu.
Meqenese porta menaxhohet nga System atehere informacionet qe mund te dergohen dhe merren mund te jene kritike.
Per momentin nuk ka zgjidhje nga Microsoft, dhe reportin ta bej ndonjeri nga ju qe po lexoni kete postim.
Nuk e mbajta priv8 pasi heret a vone do dilte, keshtu qe sorry nese po fyej ndonje blackhat.
(Ah, per ata qe po e perdorin keshillohet instalimi i nje firewalli te mire dhe filtrimi i portes, kjo do e zgjidhte problemin.)
Testimi u be ne nje Windows 7 Ultimate, por besoj se dhe versionet e tjera duhet te jene vulnerabel.
Ky vulnerabilitet mund te perdoret gjithashtu per te explotuar aplikacione qe gjenden mbas firewallit te instaluara ne sistem.

E keni degjuar ate shprehjen : “Asgje nuk mund ta ndaloj nje hacker”?

Eshte e vertet!
Perpara se te hyjm ne teme te shpjegojm pa diçka qe e kam thene ketu e 3 vjet ne nje forum underground, e sigurisht miqve te mi qe i pershendes e mbajn mend mire.
Fola per Kevin Mitnick qe nuk eshte Hacker dhe eshte thjesht nje bufon qe e ka vene ’shteti’ si dordolec per te perhapur dizinformimin tek njerezit, e si ai ka dhe te tjere si shume qe marrin pjese ne Defcon, Dan Kaminsky, rsnake, website si milp0rn me shoket e FBi-s e keshtu me rradhe.
Per ata qe sadopak jane ne brendesi te kesaj, e kuptojn shume mire ate qe kam shkruajtur me siper.
Kev, e ka ngrene edhe nga te tjere, per tu permendur Cyber-T qe ka hequr dhe koka te tjere perfshire irc.milp0rn qe ka qene aktive ne ate kohe, e gjithashtu dhe FBH, e te tjere qe nuk publikojn tek zone-h.
Nese nuk u mbushet mendja dhe jeni shume te mashtruar hidhini nje sy e zgjohuni:

http://www.zone-h.org/archive/ip=65.254.38.202

E Eldo, kisha te drejt xD? sp1d3r.. kisha te drejt?
Them dizinformim, sepse u mbushet mendja edhe atyre qe duan te behen ” HACKERA ”  me pallavra dhe asgje me shume, per tani eshte teme goxha e gjate per tu trajtuar, gjithsesi gjat leximit te kesaj e-zine qe ka publikuar autori i cili ka penetruar websitet e me poshtme:
mitnicksecurity.com (Kevin Mitnick)
0×000000.com (Ronald van den Heetkamp)
doxpara.com (Dan Kaminsky)
perlmonks.org (Perl Monks)
elitehackers.com/info (EliteHackers)
binrev.com (Binary revolution)
invisiblethingslab.com (Joanna Rutkowska)

Te gjithe keto shume te njohur si “hackera” apo gaboj?
Do thoni ju, ne baze te ligjit me siper i bie qe ç’do hacker mund te hakohet nga nje hacker tjeter, e vertet ashtu eshte, askush nuk eshte 100% i mbrojtur por ketu nuk eshte fjala per kete, ketu eshte fjala per dizinformimin qe kane perhapur keta persona me librat\videot\konferencat e tyre.

Po u le ne shoqerine e ketij e-zini shume te mire
http://albanianwizard.org/3z1n3s/zf05.txt

Lexim te kendshem !!
Ps, te rinjve shqiptar qe duan te merren me keto pune, realisht nje H te vertet e dalloni sepse:
A) Nuk njihet dhe askush nuk ka degjuar per te.
B) Websaiti i tij vizitohet nga nje numer i limituar personash
C) Nuk mburret dhe nuk tregon per aftesit e tij (eshte ne kundershtim me karakterin) dhe jane shume realist
Mesazhi perfundimtar, nese nuk ploteson keto kushtet qe citova ketu, dije se nuk je ne underground dhe undergroundi nuk eshte ai qe kujton ti

Pershendetje, shpresoj se po i kaloni mire pushimet
Ndoshta kjo teme mund te jete shume fitimprurese pasi do te trajtohet nje paper i gjat mbi temen “Owning Your Linux Box with Snort” .
Shpresoj qe kjo teme mos ti drejtohet vetem nje pakice siç i jane drejtuar tema te tjera si:
DRDOS – proof of concept (teknike e bazuar ne spoofing)
Teknika per Bypassimin e sistemeve mbrojtese me nmap
e te mos flasim per temat assembly .
Thash qe shpresoj te mos i drejtohet vetem nje pakice sepse realisht shumica e shqiptareve e sidomos ne,  nuk e perdorim linux e te mos flasim per konigurimet e IDS-ve dhe shnderrimet e tyre ne IPS , teknikat e mbrojtjes\sulmit.
Keshtu qe , nese doni te merrni vesh pak nga ato qe jane shkruajtur preferohet te keni njohuri mbi protokollin TCP\IP, IDS-t , dhe te keni intuite te mire.
Gjithsesi do te perpiqem ta trajtoj sa me kuptueshem qe te jete e mundur keshtu qe edhe ju qe nuk ja keni idene, gjat leximit do kuptoni shume shume shume gjera.

Permbajtja

1. Hello World
2. Instalimi dhe Konfigurimi i Snort
3. Plugins dhe Add-ons
4. Kunder Krakerit..?!
5. Snort Hardening – Snort si IPS?

1. Hello World

Realiteti Open-Source

Shumica e atyre qe kam pyetur se pse kane kaluar ne linux perveç motiveve te tjera eshte se ka egzistuar gjithmon tek ata deshira per ta njohur me themel sistemin operativ dhe shpesh me jane pergjigjur me:

“Duhet ta perdoresh ti sistemin dhe jo ai ty”

Ky per mendimin tim eshte çelesi me i fuqishem i filozofis open-source pasi te shohesh ate qe egzekutohet /kompilohet / interpretohet eshte me shume se liri, eshte Linux.

Por kjo perseri nuk na çon ne frazen qe sapo degjuam, kjo na çon thjesht ne ate qe ne e dime se ç’fare egzekutohet ne makinen tone dhe mund te kontrollojm dhe modifikojm gjithçka qe duam nese ne terminalin tone shkruhet ~#
Linux ne ndryshim nga windows ta jep pra mundesine per ta shfrytezuar, le ta shohim se a ka limite ky shfrytezim.

IDS (intrusion detection system)

Pse pikerisht nje teme rreth Intrusion Detection System?

Sot siguria eshte nje pik jetesore ne ardhmerine e nje biznesi dhe meqenese nuk mund te jete kurre 100% njerezit nuk mjaftohen kurre me te.

Keshtu qe , IDS-t jane nje pike shume e forte ne mbrojtjen e nje networku dhe ju jeni te interesuar ne mbrojtjen e networkut tuaj apo jeni nga ata qe thone “ajo qe nuk e di , nuk te vret?” e, nese jeni nga ata po u listoj motivet se pse nje intruder do te ishte i interesuar ne networkun tuaj.

1) Profit, vjedhje-shitje te dhenash themelore.

2) Konkurrenti juaj deshiron tju shohi down per nje kohe te mire, dhe ajo kohe qe ju jeni me probleme apo duke rregulluar probleme eshte lek i shkuar kot.

3) Ndonje kurioz, eshte duke testuar aftesite e tij ne networkun tuaj, dhe ka nga ata qe kujdesen qe te mos demtojn e ka nga ata te tjeret qe nuk e ka problem te japi nje rm -rf /

IDS-t ndahen ne 3 kategori:

NIDS – Network Intrusion Detection System nga vet emri monitoron segmentin e networkut dhe analizon trafikun e tij.

HIDS – Host Intrusion Detection System ne ndryshim nga NIDS mbron vetem hostin ne te cilin eshte instaluar, por ka avantazhet e veta ne aspektin e konsumit te proçesorit si dhe modifikimit te rregullave , psh nuk duhet analizuar nje host per exploite te DNS-ve kur ai nuk e ka ne egzekutim ate sherbim..

DIDS – Ketu behet fjale per networke te medhenj ku kemi shume NIDS\HIDS dhe DIDS eshte nje lloj menaxheri i cili te jep mundesine e kontrollit te centralizuar.

PO SNORT?

Tek http://www.snort.org lexojm:

Snort ® is an open source network intrusion prevention and detection system (IDS/IPS) developed by Sourcefire..

Por snort nuk eshte vetem aq, ai eshte dhe nje dhe packet sniffer dhe nje packet logger shume i mire.

Snort eshte si nje hapesire vakumi qe thith te gjitha paketat dhe te lejon ty te besh shume gjera me to,, ne nje fare menyre mund te personifikohej me :

Perveç kesaj, Snort jep lajmerime ne kohe reale per intruzione te mundshme duke i dhene ne kete menyre nje aspekt IPS ketij IDS-je tejet te kompletuar.

Ne pergjithesi, te gjith IDS-t kane nje packet sniffer me te cilin kapin paketat dhe i depozitojn diku pastaj nje packet logger i analizon paketat ne baze te disa rregullave dhe kushteve qe mund te kete, por ç’fare e bene SNORT nje IDS kaq popullor?

Arsyet se pse Snort eshte kaq popullor jane pikerisht kapacitetet e tij si IDS ne rregulloren e tij me ane te se ciles mund te dalloj shume shpejt nje malware, nje port-scaning, nje buffer overflow e keshtu me rradhe, gjithashtu dallohet sepse eshte nje IDS qe nuk kerkon shume resurse dhe nuk kerkon ndonje platform\server te posatshem per tu egzekutuar.

Per shak te minutazhit dhe limitimit se ky shkrim eshte nje paper dhe jo nje liber do perpiqemi ti permbledhim “cilesite” e SNORT i cili mund te jete nje solucion perfekt per networke te nje shkalle te vogel dhe mesatare.

Gjithsesi, SNORT ne fillim eshte publikuar ne packetstoormsecurity dhe ne vitin 1998, ka pasur vetem 2 faile dhe gati 1600 rreshta kodi, ishte ne ate kohe nje snifer i ndertuar siper libcap (u ndoq shembulli i tcpdump).
Le te shohim realisht ato qe e bene SNORT IDS-n # 1 open-soruce.

PIKAT E FORTA TE SNORT [ARKITEKTURA]

Te shohim nje figure imagjinare te arkitektures qe ka serveri SNORT.

SNIFERI – eshte software ose hardware i cili “troket” leht ne network duke kapur paketat, e ne rastin e SNORT sniferi eshte shume i kompletuar dhe ofron monitorim si ne TCP\UDP\ICMP etj.

PREPROÇESORI – eshte pjese e cila kryen filtrimin e paketave raw (kujto raw-socket) dhe ne baze te plugineve percakton nese nje pakete eshte normale ose jo, duke e kaluar tek ‘MOTORRI’ ose duke e hedhur (drop).

MOTORRI – ky eshte vet SNORT ne pake fjale, pra zemra e tij. Pasi ka marre paketat nga Preproçesori i krahason keto paketa me rregullat (te cilat axhornohen dita dites) dhe nese paketat perkojn me njera-tjetren (ato te kapurat me ato qe gjenden tek motorri) atehere SNORT rregjistron logun ne databaze dhe krijon nje alarm ne kohe reale.MOTORRI i krahason paketat me rregullat ne baze te 2 parimeve:

Rregullorja e Headerit (duke kontrolluar flamurin [flag] te paktes pra nese eshte SYN\ACK\FIN\URG\PUSH

Rregullojra e Opcionit nese permbajtja e paketes apo “firma” (signature) e saj eshte e njejte me ato qe jane tek RREGULLAT.
ALARMET DHE DATABAZA – ketu kemi mundesi te gjere zgjedhjeje midis plugineve te ndryshme, si dhe databazave.
Te gjith keto komponent permirsohen nga dita ne dite, dhe algoritmet per analizimin e paketave , permirsohet databaza e signaturave dhe shtohen performancat dhe opcionet.

Perfundoi pjesa e pare e Paperit.