Ce este un exploit? Exploiturile sunt programe scrise in principal in: c, perl, php, pascal, c++, python si prolog. Un exploit foloseste vulnerabilitatile cunoscute ale aplicatiilor sistemelor operative pentru a urmari un program sau un cod. Dintre codurile exploit, care achizitioneaza ilegal controlul unei caracteristici al unui program sau al unui sistem operativ pentru scopuri proprii, in acest mod e posibila urmarirea automata al codului sistemului, text/criptarea unui fisier prezent in hard sau a avea accese ilegale. Tipurile! Exista variate tipuri de exploit: root, remote, local. Aceste tipuri de multe ori pot fi legate pentru ca un exploit nu trebuie sa fie neaparat doar root sau remote, mai pot fi imperechiate. Acum sa facem o buna distinctie intre aceste caracteristici. Root: Exploit care foloseste o vulnerabilitate pentru a capta accesul de administrator (root) al computerului. Remote: Exploit care foloseste o vulnerabilitate venind de la un computer din afara, care nu va mai avea acces la computer. victima Local: Exploit care se foloseste de o vulnerabilitate a servarului local. Acest exploit este utilizat din interiorul computerului respectiv si pentru a il utiliza este suficient un minim de acces user la computer. Cum functioneaza serviciul RPC? Un serviciu RPC se autoconfigureaza in registrul intregului sistem cu un ID universal unic (UUID) - Universally Unique Identifier, similar cu un identificator unic global (GUID) Globally Unique Identifier. UUID sunt ID-uri stas, unice, pentru fiecare serviciu si comun pe toate platformele. Cand este pornit un serviciu RPC obtine o poarta inalta libera si o inregistreaza cu UUID. Unele servicii utilizeaza porti inalte ocazionale, altele icearca sa utilizeze aceleasi porti inalte de fiecare data (daca sunt disponibile). Insusirea portilor e stabila pentru toata durata serviciului. Cand un client trebuie sa comunice cu un singur serviciu RPC, nu poate anticipa poarta cu care va fi executat serviciul. Va fi stabilita o conexiune al serviciului de localizare al portilor servarului (prin poarta 135) si se solicita serviciul dorit utilizand UUID al serviciului. Localizatorul portilor restituie numarul portii corespunzatoare al clientului si inchide conexiunea. La sfarsit, clientul urmareste o noua conexiune la server utilizand numarul portii primit de la localizatorul portilor. Nu este posibila anticiparea portii respective care va fi folosita de un serviciu RPC, firewall-ul trebuie sa aiba in vedere folosirea tuturor portilor inalte. Serviciul RPC este eliminat! ...analizand de aproape. Avantaje: Mai sigur de apelul RPC dinamic, doar o poarta inalta deschisa. Dezavantaje: Modificarea registrului sistemului in toate server-ele. Acest scenariu furnizeaza siguranta majora dar sunt necesare modificari al registrului de sistem in toate domain controller. E posibila creearea unui script pentru modificarea Registrului de sistem cu instrumente prezente in Microsoft Win 2000 Resource Kit, in asa fel pentru a elimina erorile din configuratie. E necesar a indica un numar de porti predefinit pentru replica RPC. Autoritatile IANA (Internet Assigned Numbers Authority) a rezervat intervalul de la 49152 la 65535 pentru utilizarea de insemnari private si dinamice. Cu editorul de registii din sistem selectionand urmatoarea cheie de sistem: HKEY_LOCAL_MACHINESYSTEM currentControlSetServices NTDSParameters Adaugand o noua valoare DWORD definit TCP/IP Port (inclus in spatiu). Aplicand datele valorii peste numarul portii ce se doreste a fi utilizat. Inainte insa modificand baza valorii vizualizate in zecimale inainte de punerea datelor. Executati aceasta operatiune pe toate server-ele Active Directory. E necesar apoi restartarea lor pentru a deveni operative modificarile. In acest punct configurarea firewall-ului pentru consimtamant cat si indicativul de urmarit: Serviciul [Poarta/Prot.]
