LinuxNu e nici o ndoial c Linux este un sistem de operare sigur. Cu toate acestea, nimic nu este perfect. Milioane de linii de cod sunt rulate n fiecare secund i este nevoie de o singura gre eal de programare pentru a deschide o u n sistemul de operare.

Vulnerabilitate=slabiciune a unui sistem hardware sau software care permite utilizatorilorneautorizati sa obtina acces asupra sa . -numarul vulnerabilitatilor este in crestere: in 2010, CERT raporta 8.064 vulnerabilitati descoperite, in crestere cu 26% fata de anul precedent, -numarul creste an de an numarul de publicatii din 2011 referitoare la vulnerabilitati este in crestere cu 32% fata de anul precedent -se acorda o importanta din ce in ce mai mare securitatii informatice

Introducere. Cat de importanta este securitatea informatica-tehnologiile informatice si infrastructurile de comunicatii devin din ce in ce mai integrate in structurile organizatiilor -utilizarea Internetului in domenii vitale si in scopuri comerciale a crescut potentialul de risc al informatiilor -protejarea informatiilor a devenit o activitate foarte importanta

Tendinte actuale Linux-se observa o scadere semnificativa a utilizarii Windows in favoarea Linux, pentru servere, in special pentru servicii Internet - marii producatori au renuntat chiar la a oferi Windows ca alternativa pentru anumite modele de servere unul dintre motive este ca platforma Linux ofera securitate sporita

Tendinte actuale atacuri ale sistemelor Linuxajutorul honeypoturilor, se pot realiza statistici privind atacurile numarulde atacuri impotriva sistemelor Linux, iar perioada de rezistenta a acestora a crescut y timpul de rezistenta a sistemelor Windows este in continua scadere, cu toate y imbunatatirile aduse in domeniul securitatii cu cat versiunea de distributie Linux este mai recenta, cu atat perioada de rezistenta (= grad de securitate) este mai mare y unelevversiuni de distributie Linux nu au fost afectate de perioada efectuarii testelor y unele dintre sistemele Windows au fost atacate cu succes dupa doar cateva minute! y Motivele acestor rezultate sunt, in principal: y y

1. numarul mare de probleme de securitate ale sistemelor Windows 2. raspandirii mare a acestor sisteme Atacuri indreptate nu impotriva sistemului Linux, dar avand ca suport serverul de Linux: y viermi(worms) y virusi trimisi prin email y atacuri de tip phishing y atacuri de tip spam Aceste atacuri pot fi combatute prin: y programe antivirus pentru serverul SMTP (Clamav, BitDefender etc.) y filtrarea emailurilor (SpamAssassin etc.) Atacuri indreptate nu impotriva sistemului Linux, dar avand ca suport anumite servicii de pe serverul Linux: y atacuri impotriva serverelor Web y Denial Of Service (DoS) pentru diferite servicii de retea (DNS, Samba etc.) Rootkituri y evolutie a conceptului de cal troian y este un pachet de utilitare sistem de tip cal troian, programe aditionale (snifere etc.) si module nucleu (extrem de periculoase) pot fi descarcate de pe Internet Rootkituri y isi poarta numele nu pentru ca permit spargerea contului root, ci pentru ca ajuta la mentinerea accesului la acest utilizator y sunt greu de depistat fiindca se bazeaza pe increderea administratorului in utilitarele sistem y sunt alcatuite, de obicei, din programe precompilate si scripturi de instalare y alte rootkituri contin insa fisiere in format sursa Utilizarea honeypoturilor pentru detectia si prevenirea atacurilor y sunt mecanisme pentru detectia, respingerea si prevenirea incercarilor de utilizare neautorizata a sistemelor informatice y are natura unei capcane care deruteaza atacatorul y au si rol de studiere a atacurilor Utilizarea SSL/TLS pentru securitatea informatiilor vehiculate de aplicatii Criptarea informatiilor, inclusiv a intreg continutului sistemelor de fisiere Utilizarea GPG/PGP pentru protejarea emailurilor Realizarea de retele private (VPN) pentru a asigura securitatea datelor vehiculate in cadrul organizatiilor. Utilizarea de VPNuri si firewalluri pentru retelele wireless (care conecteaza numeroase dispozitive mobile, in multe organizatii).

Au aparut numeroase dispozitive care ruleaza Linux, dar care nu ofera un nivel adecvat de securitate y routere, multifunctionale, centrale telefonice, PDAuri y multe asemenea dispozitive utilizeaza versiuni vechi de distributii Linux y in configuratia initiala au probleme mari de securitate Exista solutii integrate de securitate pentru organizatii (hardware/software)

Programe folosite pentru securitatea Linux: 1. NmapNmap Network Mapper este, probabil, cel mai cunoscut si mai utilizat port-scanner. Nmap este capabil sa descopere detalii importante despre sistemele din retea cum ar fi:y y y y

aplicatii si porturi TCP/UDP deschise, utilizate de respectivele aplicatii versiunile exacte ale serviciilor si aplicatiilor active sistemele de operare: Nmap poate recunoaste de la distanta tipurile si versiunile sistemelor de operare, aceasta tehnica fiind numita OS Fingerprinting.

Descriere Nmap ( Network Mapper) este un instrument open source pentru explorarea retelelor de securitate A fost proiectat sa scaneze repede retele mari, cu toate ca functioneaza bine si la scanarea unui singur host. Nmap foloseste pachete IP in forma bruta intr-un mod inovator pentru a determina ce calculatoare sunt disponibile in retea, ce servicii (numele aplicatiei si versiunea) ofera acestea, ce sistem de operare (si versiune) ruleaza, ce tipuri de filtre de pachete/firewall sunt utilizate si o multime de alte caracteristici. Nmap este folosit in mod curent in procesul de audit al securitatii, dar este folosit si de administratorii de retea pentru rutinele de inventariere a retelei, managementul upgradeurilor si monitorizarea calculatoarelor sau a perioadelor de uptime pentru servicii. Rezultatul generat de Nmap este o lista de tinte scanate, cu informatii secventiale despre fiecare in functie de optiunile utilizate. O parte cheie a informatiilor furnizate este tabela de porturi. Aceasta tabela contine numarul portului si protocolul, numele serviciului si starea. Starea poate fi open (deschis), filtered (filtrat), closed (inchis), sau unfiltered (nefiltrat). Deschis (open) inseamna ca aplicatia de pe masina tinta asculta la portul respectiv, asteptand conexiuni. Filtered (filtrat)inseamna ca un firewall, filtru sau alt obstacol in retea blocheaza respectivul port astfel incat Nmap nu poate spune daca este deschis sau inchis. Porturile inchise nu au nici o aplicatie care sa astepte conexiuni, cu toate ca ele se pot deschide in orice moment. Tabela de porturi mai poate include versiuni ale softwareului cand detectia versiunii a fost solicitata. In plus fata de lista de porturi interesante, Nmap poate furniza si alte informatii despre tinte, incluzand aici

nume obtinute prin reverse DNS, poate ghici sistemul de operare, tipul hardwareului si adresele MAC.

Examplu:

2.Nessus

Nessus este un scanner de vulnerabilitati extrem de raspandit, fiind utilizat de peste 90.000 organizatii la nivel mondial. Nessus este capabil sa identifice de la distanta potentialele vulnerabilitati de pe sisteme. Pe langa vulnerabilitati, Nessus poate identifica si problemele de configurare care pot duce la propagarea unor probleme de functionalitate ale sistemelor si ale retelelor.

Nessus este un excelent instrument proiectat pentru a automatiza testarea i descoperirea unor probleme de securitate cunoscute. De obicei pe cineva, un grup de hacker, o companie de securitate, sau un cercet tor descoper un mod specific de a viola securitatea unui produs software.Descoperirea poate fi accidental sau printr-o cercetare. Nessus este proiectat pentru a

ajuta la identificarea i rezolvarea acestor probleme cunoscute, nainte ca un hacker sa profite de ele. Nessus este un instrument de mare cu o mul ime de capabilit i.

Exemplu:

3. WiresharkWireshark, cunoscut in trecut cu numele Ethereal, este un utilitar de tip packet sniffer ce poate fi utilizat pentru interceptarea comunicatiilor din retea. Wireshark permite analiza in timp real a comunicatiilor din retea, fiind similar ca si functionalitate cu tcpdump, totusi Wireshark fiind mai prietenos datorita interfetei GUI. Wireshark este disponibil pe mai multe platforme, atat Linux / Unix cat si Windows sau Mac OS X. Wireshark este cel mai popular analizator de retea din lume. Aceasta unealta foarte puternica furnizeaza informatii despre datele capturate in retea si in straturile superioare ale protocoalelor. La fel ca majoritatea pogramelor de retea, Wireshark foloseste libraria de retea pcap pentru a captura pachete. Putere Wireshark vine din: - simplitatea in instalare. - simplitatea in folosirea interfetei GUI. - numarul foarte mare de functii oferite. Wireshark a fost numit Ethereal pana in 2006 cand dezvoltatorul principal a decis sa schimbe acest nume din motive de copyright deoarece copania de la care a plecat in 2006 a inregistrat acest nume. Exemplu:

4. EttercapEttercap este un alt utilitar de tip packet sniffer capabil sa intercepteze traficul din retea si sa filtreze traficul sensibil, capturand astfel parole transmise in clar (necriptate) cum ar fi cele ale comunicatiilor E-Mail POP3, IMAP sau ale sesiunilor Telnet. Ettercap poate fi rulat atat in consola, in mod text, cat si in mod grafic. Ettercap are capacitatea de a intercepta traficul pe o re ea, captura parole, i conduce ascultare activ mpotriva protocoale comune. Ettercap este o unealt creat de c tre Alberto Ornaghi(ALoR) i Marco Valleri(NaGA), o suita software ce poate fi utilizat pentru atacuri de tip man in the middle n interiorul unei re ele locale (LAN). Pentru cei care nu sunt familiariza i cu linia de comand , programul con ine o interfa prietenoas . Cu ajutorul Ettercap se pot conduce atacuri mpotriva protocolului ARP, prin pozi ionarea logica pe post de intermediar, i o dat pozi ionat poate: - infecta, nlocui, terge datele transmise n timpul unei conexiuni - descopere parole pentru protocoale ca FTP, HTTP, POP, SSH1, etc... - oferi certificate HTTPS SSL false eventualelor victime. De notat sunt urm toarele informa ii despre comportamentul ettercap: - de cte ori porne te ettercap, forwarding-ul IP n kernel este dezactivat i aceast func ie este preluat . - poate sc dea performan a re elei ntre cele dou ma ini din cauza timpilor de procesare a pachetelor. - ettercap necesit privilegii de root pentru a deschide socket-uri Link Layer. Dup ini ializare, privilegiile de root nu mai sunt necesare i ettercap le substituie cu UID = 65535 (nobody). Pentru c ettercap trebuie s scrie(creeze) fi iere log trebuie s fie executat n interiorul unui director cu permisiuni potrivite.

5. Dsniff Dsniff este un alt utilitar de tip packet sniffer ce poate fi utilizat pentru interceptarea informatiilor sensibile ce traverseaza reteaua cum ar fi: nume utilizatori si parole, pagini Web ce au fost accesate de catre utilizatori, continutul mesajelor E-Mail etc. Dsniff este un pachet de instrumente de analiz de trafic concepute pentru mai multe incercari. Aceasta se concentreaz pe HTTP, POP, LDAP, rlogin, NFS, Citrix ICA, Sniffer NAI, Microsoft SQL protocoale, OSPF, RIP, Telnet i FTP.

6. Metasploit Framework Metasploit Framework este o platforma de testare si utilizare a exploiturilor. Metasploit Framework contine o colectie impresionanta de exploit-uri ce pot fi utilizate pentru testarea intruziva a vulnerabilitatilor din retea. Proiectul Metasploit este bine cunoscut pentru instrumente anti-medico-legale i a evaziunii fiscale. Ca multe unelte de securitate a informa iilor, Metasploit pot fi insa utilizat si pentru activit i legitime i neautorizate.

7. NiktoNikto este un scanner de vulnerabilitati Web, capabil sa identifice cateva mii de potentiale vulnerabilitati ale aplicatiilor si serverelor Web. Nikto este, de asemenea, capabil sa identifice atat versiunea serverului Web scanat cat si modulele / extensiile Web active ca de exemplu: mod_ssl, mod_perl, mod_rewrite, WebDAV etc Nikto este un open source ,un server web scanner care efectueaz teste cuprinz toare mpotriva serverelor de web pentru mai multe elemente, inclusiv peste 3200 de fi iere poten ial periculoase / CGIs, versiuni pe mai mult de 625 servere, precum i probleme specifice pe versiunea peste 230 de servere. Nikto nu este conceput ca un instrument extrem de ascuns. Acesta va testa un server web in cea mai scurta perioad de timp posibila, i este destul de evident n fi ierele jurnal Nu orice verificare este o problem de securitate, de i majoritatea sunt. Exist unele elemente care sunt doar controale tipice care caut elemente care nu pot avea un defect de securitate, dar despre care inginerii de securitate nu pot s tie daca sunt prezente pe server. Aceste elemente sunt, de obicei, marcate corespunz tor n informa iile tip rite Versiunea 2 adauga multe accesorii, inclusiv: y y y y y y y Amprentarea servere de web prin intermediul fi ierelor favicon.ico Verificarea erorilor pentru fiecare tip de fi ier Scan pentru a include sau exclude clase ntregi de controale vulnerabilitate Utilizeaza LibWhisker 2, care i are propria list lung de mbun t iri Un "single", modul de scanare care v permite creearea unei cereri HTTP manual Motorul de baz ablon, astfel nct rapoartele HTML pot fi cu u urin personalizate O baz de cuno tin e experimentale pentru scan ri, care va permite rapoarte regenerate

8. Rootkit HunterRootkit Hunter este un utilitar usor de folosit ce ruleaza pe sisteme UNIX / Linux si are scopul de a detecta prezenta rootkit-urilor si a altor unelte nedorite.

Un rootkit este un software care permite accesul privilegiat a continuat la un calculator, n timp ce ascunde prezen a sa n mod activ de la administratori. Odat ce un rootkit este instalat, permite unui atacator pentru a masca intruziune active i pentru a avea acces privilegiat la un calculator prin ocolirea autentificare normal i mecanisme de autorizare.

rkhunter este un script care efectueaz diverse controale pe sistemul local pentru a detecta rootkit-uri cunoscute i malware. Acesta efectueaz , de asemenea, verific ri pentru a vedea dac nu cumva comenzile au fost modificate, sau daca fi ierele de sistem de pornire au fost modificate, i verific ri cu privire la diverse interfe e de re ea, inclusiv controale pentru aplica ii de ascultare. rkhunter a fost scris pentru a fi la fel de generic a a cum este posibil, i a a ar trebui s ruleze pe majoritatea sistemelor Linux si UNIX. Acesta este prev zut cu ni te script-uri de sprijin ar trebui s fie lipsesc anumite comenzi din sistem, iar unele dintre acestea sunt scripturi Perl. rkhunter are

nevoie de anumite comenzi s fie prezent pentru ca acesta s fie capabil s execute. n plus, unele teste necesit comenzi specifice, dar n cazul n care acestea nu sunt prezente, atunci testul va fi omise. rkhunter trebuie s fi rulat n cadrul unui shell-ul Bourne-tip, bash de obicei sau KSH. rkhunter poate fi rulat ca un loc de munc cron sau de la linia de comand 9. Snort Snort este o aplicatie de tip Network Intrusion Prevention/ Detection System (IPS/IDS) capabila sa analizeze in timp real traficul din retea identificand atacurile indreptate impotriva sistemelor, cum ar fi cele de tip buffer-overflow/stack-overflow, SQL Injection, scanarea de porturi si chiar atacurile de tip DoS/DDoS. Snort este, fara indoiala, cel mai raspandit sistem de detectie si prevenire a atacurilor. Snort captur de pachete n linie de comand . IDS/IPS. Snort este un software open-source folosit pentru a filtra traficul i a detecta tiparele de trafic ce pot reprezenta o amenin are pentru o re ea de calculatoare. De i cunoscut ca unul din cele mai populare IDS uri (Intrusion detection System), snort a fost la origini un sniffer de pachete, nu foarte diferit de tcpdump. De fapt, att tcpdump ct i snort folosesc biblioteca open-source libpcap, care permite analiza pachetelor pe un sistem Linux. Aplica ia are trei moduri de func ionare: Modul simplu de captur de pachete n acest mod snort captureaz traficul definit ca trafic interesant Modul de captur de pachete cu jurnalizare snort poate s stocheze captura ntr-un fi ier pe disc n diferite formate: text, binar. Modul IDS/IPS n acest mod, snort permite definirea de reguli de identificare a unui tipar de trafic i generare de alerte, invocarea de alte programe, etc.

y y y

10. netcat / nc

Netcat is a computer networking service for reading from and writing network connections using TCP or UDP. Netcat is designed to be a dependable back-end device that can be used directly or easily driven by other programs and scripts. At the same time, it is a feature-rich network debugging and investigation tool, since it can produce almost any kind of correlation you would need and has a number of built-in capabilities. Netcat is often referred to as a "Swiss-army knife for TCP/IP." Its list of features includes port scanning, transferring files, and port listening, and it can be used as a backdoor.

Netcat is a simple Unix utility which reads and writes data across network connections, using TCP or UDP protocol. It is designed to be a reliable "back-end" tool that can be used directly or easily driven by other programs and scripts. At the same time, it is a feature-rich network debugging and exploration tool, since it can create almost any kind of connection you would need and has several interesting built-in capabilities. Perhaps some equivalent to netcat, or "nc" should have been written and distributed ten years earlier as another one of those cryptic but fundamental Unix tools that we all use daily without even thinking about it. netcat este un utilitar folosit pentru transmiterea (citire/scriere) datelor in cadrul retelelor, prin protocolul TCP/IP. Netcat de securitate Netcat este un utilitar care este capabil s scrie i s citeasc date n ntreaga re ea TCP i UDP . Netcat poate fi folosit ca scaner de porturi, un backdoor, un redirector port, un ascult tor port i o mul ime de alte lucruri .

13. John the Ripper John the Ripper este un utilitar de tip password cracking ce poate fi folosit pentru extragerea parolelor din hash-uri MD5, blowfish, DES, Windows LM si nu numai. Descoperirea parolelor se face prin metode de tip bruteforce si prin utilizarea dictionarelor de parole. John the Ripper este foarte util pentru extragerea parolelor din fisiere de parole (ex: fisierul /etc/shadow) ce au fost obtinute in urma compromiterii unor sisteme John the Ripper este un instrument software gratuit de cracare parola. Dezvoltat initial pentru sistemul de operare UNIX, n prezent, ruleaza pe cincisprezece platforme diferite ( DOS, Win32, BeOS, i OpenVMS). Acesta este unul dintre cele mai populare programe de testare / spargere parole , deoarece autodetects tipuri de parol de dispersie, i include un cracker personalizabil..

.

14. Tripwire

Tripwire este un utilitar pentru monitorizarea integritatii sistemului de fisiere de pe servere sau statii de lucru. Tripwire poate atentiona administratorii atunci cand fisierele importante au fost modificate, corupte sau inlaturate. Tripwire controleaza toate fi ierele binare esen iale, care ruleaz pe sistemul de operare. Fiecare fi ier are parte de un control complet unic. n cazul n care un singur bit de date sufera modificari , rezultatul generat va fi complet diferit. Aceste controale nu poate fi sparte sau duplicate, deoarece ele se bazeaz pe o metod de ncercat i testat de criptare. Folosindu-se de baza de date , Tripwire va verifica periodic valoarea fiec rui fi ier binar n baza sa de date. n cazul n care vreunul dintre fi iere a fost modificat, este declansata o alarm . Acest sistem este incredibil de eficient, deoarece primul lucru pe care il face un hacker, atunci cnd are acces la sistemul dvs ,este sa inlocuiasca fi ierele de sistem importante, cu propria lor versiune. Acest lucru este cunoscut ca un "rootkit", i nseamn c hacker poate accesa sistemul dvs. ntotdeauna - chiar i dup ce g si i i rezolvati problema de securitate.

15. Backtrack Este o distributie Linux in care sunt inglobate majoritatea uneltelor amintite mai sus, plus multe altele. Backtrack este o distributie Linux dedicata analizei de securitate si a testelor de penetrare / penetration testing. Backtrack contine o colectie mare si variata de unelte de securitate ce pot fi folosite pentru identificarea, analiza si exploatarea propriu-zisa a vulnerabilitatilor din cadrul retelelor. Cea mai aclamata distribu ie Linux de securitate de date este Noul BackTrack 5 BackTrack este un Linux bazat pe testarea arsenal de penetrare c ajutoarele de profesioni tii de securitate n capacitatea de a efectua evalu ri ntr-un mediu pur nativ dedicat hacking. BackTrack este destinat pentru toate tipurile de audien de profesionisti de securitate de la cei mai pricepu i la noii veni i pentru domeniul securit ii datelor. BackTrack promoveaz un mod rapid i u or pentru a g si i actualiza cea mai mare baza de date de colectare instrument de securitate . Hacking wireless, exploatarea servere, de nv are, care efectueaz o evaluare aplicatie web, sau social-engineering un client, BackTrack este un program pentru toate nevoile dumneavoastr de securitate.