27-01-2022, 15:35
1
(27-01-2022, 08:49)omkar napisał(a): Nie wmawiajcie ludziom, że zapora w Linuksie nic nie daje.
Tu nikt nikomu nic nie wmawia. Co ja ci poradzę, że w taki sposób odbywa się wymiana informacji przez sieć. Obecnie też nie mamy lat 80-90, gdzie wektory ataku były zupełnie inne niż obecnie z racji odmiennej rzeczywistości, w której ludzie żyli -- trzeba ten istotny fakt zrozumieć.
(27-01-2022, 12:40)SuperTux napisał(a): Z tego co wiem BitTorrent może działać na każdym porcie, tak samo jest z spyware, keyloggerami (Można stworzyć program, który ma tablicę portów i jak nie uda się nawiązać połączenia może próbować inicjować połączenie na następnym porcie.)
Do realizacji połączenia jest potrzebnych 5 rzeczy -- lokalny adres IP, lokalny port, zdalny adres IP, zdalny port i protokół. Każdy klient torrent korzysta z portów efemerycznych używanych do zestawiania połączenia -- generalnie to każda aplikacja kliencka z tych portów korzysta jeśli chce nawiązać połączenie sieciowe (to jest lokalny port). W qBittorrent można zakres tych portów sobie dodatkowo sprecyzować/zawęzić, np. 55000-56000 i tylko z tych portów ten klient torrent będzie próbował nawiązać połączenie. Niemniej jednak, te porty to są porty wychodzące, a nie przychodzące.
Port przychodzący jest z reguły jeden i też go w opcjach qBittorrent'a można określić i to na ten port będą przychodzić zapytania z sieci (jeśli mamy publiczny IP). Ten port możesz otworzyć na FW w INPUT i wtedy klienty torrent'a z prywatnych adresów IP (tych za NAT ISP) będą miały możliwość nawiązania połączenia z twoim "klientem" torrent'a, czego efektem będzie więcej peer'ów i szybszy transfer.
(27-01-2022, 12:40)SuperTux napisał(a): I teraz jest pytanie:
-Jak wykryć oprogramowanie szpiegujące? (Jedyny pomysł co mi przychodzi do głowy to monitor ruchu sieciowego. )
-Czy spyware będzie wyświetlało się w menedżerze zadań jako proces?
-Jak zlokalizować katalog z szpiegującym oprogramowaniem?
-Czy spyware może zaszyć się w oprogramowaniu układowym?
Opcji radzenia sobie z tymi problemami jest sporo, tutaj przykłady:
https://nfsec.pl/security/6386
https://nfsec.pl/security/6358
https://nfsec.pl/security/6336
https://nfsec.pl/security/6322
https://nfsec.pl/security/6314
https://nfsec.pl/security/6237
Generalnie to na nfsec jest sporo artów traktujących o analizie procesów.
(27-01-2022, 12:40)SuperTux napisał(a): Poza tym samo używanie serwera X.Org bez firejail jest niebezpieczne, bo otwiera furtkę właśnie dla oprogramowania szpiegującego.
A zanim użytkownik się zorientuje, że miał zainstalowane oprogramowanie spyware to program zdąży wysłać jakieś poufne dane.
Ja nie używam firejail, ino jadę na czystym apparmor i profil dla Xorg'a też mam ale to i tak zbyt wiele nie pomoże, bo xorg jest niebezpieczny sam w sobie -- appki mogą np. podglądać przyciskane klawisze i nie trza do tego uprawnień root. Generalnie żadna izolacja aplikacji na xorgu nie istnieje. Jeśli teraz jakiś syf ci się wgra, to przechwyci ci klawisze bez żadnego problemu i nawet o tym nie będziesz wiedział, bo to nie bug w linux, to ficzer.
Wayland ma to adresować. Tak czy inaczej, jeśli nie będziesz filtrował OUTPUT na FW, to te klawisze mogą zostać przesłane w świat przez ten proces, który nasłuchuje tych eventów i jest pozamiatane. Dlatego u mnie OUTPUT jest obowiązkowo filtrowany by nawet podczas takiej kompromitacji ograniczyć jej skutki.