HACKER SCENARIO:
Det er en periode med borgerkrig. Rebel romskip, slående fra et skjult sted, har vunnet sin første seier mot den onde galaktiske imperiet. Under slaget, Rebel spioner klart å stjele hemmelige planene til Empire ultimate våpen, Dødsstjernen, en pansret romstasjon med nok kraft til å ødelegge en hel planet.
Gjennom påfølgende hendelser, to droider heter C3P0 og R2D2 finne seg i docking bay kontrollrommet av Dødsstjernen selv. Ved hjelp av en radio, kommuniserer C3P0 med sin herre, Luke Skywalker. Luke er også på Death Star, men er fanget i en søppel komprimator med prinsesse Leia, Han Solo og Chewie. De søppel komprimator veggene nærmer seg, squishing ikke bare søppel, men våre helter også. Bruke radioen, forteller Lukas C3P0 og R2D2 at de må stoppe komprimator, eller Luke og venner vil dø!
Fra kontrollrommet, R2D2 pluggene i Death Star hjelp av en nettverksplugg i veggen. Selv om pluggen ser fremmed, er det egentlig bare en fancy veggplate skjuler en Ethernet RJ-45 jack. Når han er fysisk koblet til Death Star interne IP-nettverk, R2D2 søker for søppel komprimator kontroller. Som han skanner nettverket, går noe fryktelig galt. R2D2 avgir en sekvens av høy-pitched squeals og bare stopper i hans spor. C3P0 gjenkjenner umiddelbart R2D2 er inntrenger varsellyd. Noen har hacket inn R2D2 fra Death Star nettverk!
" R2 ... Er du ok? Oh dear " roper C3P0. R2D2 reagerer ikke, men de trenger fortsatt å stoppe søppel komprimator. C3P0 unplugs R2D2 fra kontrollrommet nettverksplugg.
gjemt i kontrollrommet, finner C3P0 en gammel 13-tommers grønn fosfor terminal, med en seriell kontakt. Hans gylne metall hendene skjelver, C3P0 åpner et panel i kuppelen av R2D2 å avsløre en seriell port. C3P0 plugger skjermen og tastaturet i R2D2. I løpet av sekunder, er C3P0 stirrer på " login: " spør av R2D2. De færreste er klar over at alle R2-stil droider er egentlig Linux maskiner inne i en søppelbøtte på hjul. C3P0 logger seg R2D2 å begynne å se seg rundt. C3P0 utbryter, " Min godhet, R2, jeg er en protokoll droid, ikke en systemadministrator! Hvorfor kan ikke dette være et TCP /IP problem "
Mens du ser gjennom systemet, C3P0 konstaterer raskt at R2D2 loggene har en to-minutters mellomrom! Dette gapet tilsvarer kort tid etter R2 koblet til Death Star nettverk.
" 3P0! Skynd deg ... Aarrrgghh "!; roper Luke over radioen. C3P0 skjer å bære en CD-ROM som inneholder AIDE filsystemet integritet-sjekking verktøy (ikke alle?). Han setter denne CD inn i et spor på R2D2 og kjører verktøyet. AIDE skanner filsystemet, men oppdager ikke noen filendringer. Innloggings, du, ifconfig, ps, netstat, og andre kjør alle synes intakt. Deretter ser C3P0 i katalogen /home, og finner følgende filer: jar-jar-dør-die.jpg leia-desperate-plea.rm luke_I_am_your_father.wav Portman-picts ps purchase_counterhack.html
C3P0 utseende for uvanlige prosesser, men finner ikke noe uventet. Tilsvarende bruker netstat kommandoen, han ser ingen uvanlig portbruk. Deretter bruker C3P0 ifconfig kommandoen til å sjekke om R2D2 Ethernet grensesnitt er i promiskuøse modus, et sikkert tegn på en angriper å kjøre en sniffer. Men ifconfig ikke vise PROMISC flagget. Fordi han er den mistenkelige typen, C3P0 kjører tcpdump sniffer seg å tvinge grensesnittet i promiskuøse modus. Han løper deretter ifconfig igjen for å være sikker på at det ordentlig indikerer promiskuøse modus. Til hans overraskelse, ifconfig fortsatt ikke viser promiskuøse modus.
1) Hva slags verktøy kan angriperen har brukt på R2D2? 2) Hvordan ble angriperens verktøy feil? 3) Hvilke tiltak bør C3P0 ta å få R2D2 tilbake i aksjon raskt for å stoppe søppel komprimator og redde sine venner? 4) Etter først å få ham tilbake i aksjon for å stoppe søppel komprimator, hva mer langsiktige tiltak bør C3P0 ta å analysere R2D2?
HACKER LØSNING:
Ved R2D2 inntreden til nettverket, den snikende Darth Vader følte en forstyrrelse i Force (faktisk fikk han en melding en IRC-kanal at bakdør som ble plantet i døden Stjerne planer hadde blitt aktivert). Han hadde nå IP-adressen til den lille droid og var klar til å gjøre noen HAX0R triks! Ved hjelp av bakdøren at trojanized Death Star planer hadde installert på R2, Vader var i stand kopi passordfilen fra R2 er katalogen /etc, og dårlig R2 hadde ikke fått Rebel memo om at alle droids nå må bruke shadow passord. Vader deretter pisket ut sin trofaste kopi av John the Ripper og presterte å knekke R2 rot passord. På grunn av dårlig valg av passord på R2 del (en annen savnet Rebel memo skylden), ble root-passord sprakk i mindre enn ett minutt.
Vader vet nå hva alle virkelig gode hackere vet. Å ha rot er ikke nok. Han må finne en måte å beholde den. Og hva bedre måte å holde tilgang enn å installere en kjerne nivå root kit! Hva bedre verktøy å bruke når du prøver å unngå Tripwire eller AIDE? Så Vader går til arbeid.
Men Vader ikke skjønner at hans kernel nivå root kit har en liten feil. Når ifconfig er kjørt, blir root kit modul settes til alltid rapportere at Ethernet-grensesnitt er ikke i promiskuøse modus. Selv om dette er bra for å skjule sin egen sniffing, kan det lett bli oppdaget av C3P0 (og var).
Siden dette var en kernel nivå root kit. Nå som C3P0 vet at hans lille venn har vært R00Ted, må han jobbe raskt. C3P0 trekker ut en diskett med en oppstartbar Linux-kjernen og støvler R2 med det! Føler aldri så mye bedre R2 sparer da våre tapre helter fra pannekake byen! De gode gutta triumfere igjen! Etter retur til Rebel base, starter etterforskningen. Å vite at de må spare R2 nåværende harddisk for videre etterforskning, opprørs sysadmins finne deler fra noen R5 droider og rensker stasjonene (alle vet at delene for R5 enheter og R2 enheter er 100% kompatibelt som den eneste forskjellen er den ytre søppelbøtta og litt maling).
Flere kopier av R2 opprinnelige stasjonen er gjort, og originalen er lagret under tett sikkerhet i tilfelle det er nødvendig for å straffeforfølge den onde Vader.
Etter at etterforskningen opprørs sysadmins fastslå at alle R2 enhetene skal bygges med en monolittisk Linux-kjernen for å sikre at de små robotene vil ikke lenger være utsatt for modulen som gjør at en slik avskyelig root kit til å kjøre! Og så, går en annen memo ut ...
For flere hacker scenarier av Ed Skoudis, besøk vår Challenge of the Month forumet.