Pentoo Linux. Открытая Безопасность

Антон Большаков

Обо мне

Консультант компьтерной безопасности

Тестирование на уязвимости

Анализ исходников

Открытые системы

Сингапур

2/22

Тема для обсуждения Как мы храним свои утилиты

Как вы обновляете эту коллекцию

Как это работает в открытой среде

Типы лицензий

Pentoo Linux

Pentoo трюки

Будущее Pentoo

3/22

1994. Времена MS-DOS. Так выглядела моя коллекция

4/22

А к 2004-му году

под Windows

это была одна большая

директория

5/22

Самое главное – это утилиты

Как вы содержите свою коллекцию?

Очень много программ

Нужно следить за всеми новостями

Тяжело обновлять

Проблемы с Freeware программами:

Могут перестать работать через пару лет

Часто: бесплатно -> бесплатно с не нужными

функциями -> фунции “про” -> не бесплатно

Я начал искать выход в открытых решениях

6/22

Открытые системы

Ваш собственный дом,

а не ежегодняя аренда

Инвестиция (кто-то должен написать)

Узнаваемость, Репутация, Прозрачность

Зачастую лучше качество кода (без спешки)

Легко адаптировать к изменившимся условиям

Обьединение специалистов в каждой области

Все общее, все мое

Ричард Столлман на конференции

«Почему будущее за свободным ПО»

7/22

Проблемы в существующих проектах Утилиты по безопасности часто нужно корректиривать

Что делать, если утилита не работает?

Как обновлять, патчить, добавлять новые?

Где исходный код, конфиги для сборок?

Каждый раз разные команды

8/22

Я нашел Pentoo

На основе Gentoo, сборка из исходников

Деревья оверлеев, перекрытия

Моя коллекция “sectools”

- 100 уникальных посещений в день

- стали присылать исправления

- и опять все не успеть!

Pentoo тоже оверлей

”Если не можете победить - присоединяйтесь”

9/22

Pentoo Linux

Кто за этим стоит:

Grimmlin, освнователь

Zero_Chaos, aircrack

blshkv ;-)

Другие

Pentoo живет, хоть и официально не было релизов с 2009:

Идет работа с разрабочиками утилит

К нам присоединяются (ikelos из Gentoo)

Постоянные изменения на сайте

http://trac.pentoo.ch/timeline

10/22

Pentoo в примерах

Freeradius WPE : Ломаем корпоративный WiFi

Wifi клиент -> HostAPd (фиктивная wifi точка) -> freeradius

Начальная весия от WillHackForSushi, Shmoocon 4,

2008

Обновленно на http://www.opensecurityresearch.com/ ,

сентябрь 2011

Улучшено в Pentoo в ноябре ;-).

11/22

Pentoo в примерах 2

HostAPd: Тестируем защищенность WiFi эффективней!

Wifi клиент -> HostAPd (фиктивная беспроводная точка)

Правим точку доступа HostAPd!

Foofus 0.7.2 patch: Karma (no more madwifi!) +

PEAP/MSCHAPv2 log auth attempts, March 2011

Обновлено в Pentoo до 0.7.3, May 2011

Теперь у нас есть выбор!

12/22

Тестируем WiFi используя Pentoo

Новый способ через исправленный HostAPd

Требования:

Pentoo ;-) (наше ядро, драйвера)

Беспроводная карта должа поддерживать режим “точка

доступа”

Наш патч для HostAPd с функциями Karma + запись

попыток авторизации

Let's stop for a moment and try to do understand our rights and obligations

13/22

Тестируем WiFi используя Pentoo 2

Ловим попытку соединения с нашей фиктивной точкой: [karma] Authentication Request - Username: anon_ident Vendor: 0 Method: 0

[karma] Authentication Request - Username: my_id Vendor: 0 Method: 0

[karma]my_id:::2C3D2F370FF0B0058D9ACDD07C7846C4:3025EBE588A5D8F9

A9C5FFC800439D812B152998763A2872:D7D75DC7FCD6AEDD7A97EC4597E8

5073

А где же пароль?

Парни из Foofus сделали дополнительный патч для JTR

(теперь в jumbo) для взлома путем перебора MSCHAPv2

14/22

Что есть в Pentoo

Традиционные утилиты для

Тестирвоания сетевой безопасности

Тесирования приложений

Утилиты для компьютерные расследоня

Но нет

Малого известного TCP сканера под BSD лицензией

Далее: про права и обязанности

15/22

Лицензии открытых систем

Существует очень много лицензий и

их вариаций. Давайте рассмотрим две:

BSD - Berkley Software Distribution

Полностью открытая, почти без никаких ограничений

GPL - General Public License

Открытая, но адаптирована к современному миру:

гарантирует открытость следущих версий

16/22

Взаимодействие Pentoo с другими поектами

Наши наработки в upstream (libewf) - libewf 20110828 fails to compile with libbfio-0.0.20110625

- ssltest (friendly cipher message)

Наши в патчи bugs.gentoo.org (warvox, openvas, w3af)

Официальная ссылки с Medusa, DFF

Metasploit обновления, добавлены модули из Redmine и

GitHub-Comminity

Общее колличество исправлений превышает 200

17/22

Использовать Pentoo Linux не сложно

Пакеты настраиваются автоматически с помощью Portage (ebuild), а это все лишь очень гибкий конструктор:

Не обязательно быть программистом

Скрипты ebuild это сценарий как собирать пакет:

o Загрузка, правка, настройка, компилирование и

установка

Можно создать и локальную копию для своих настроек

Для сборки Chrome OS тоже используют Portage!

18/22

Подстраивайте Pentoo ”под себя”

Есть три уровня стабилизации

• [M] hardmasked

• [~] unstable

• [N] stable

Многие утилиты не включены в LiveCD либо из-за

ограниченного места, либо совсем новые.

Любая утилита инстолируется командой:

"emerge <new package>"

19/22

Будущее Pentoo Linux. Pentoo 2012 Beta version:

http://dev.pentoo.ch/~grimmlin/isos/

Планируется добавления

- LiveUSB (беспроводное тестирование, снятие

образов для компьютерных расследований)

- Полностью настроенный Виртуальный Образ

(vmware/virtualbox/kvm)

- ARM/N900 mobile version

20/22

Pentoo поддержка

Сообщите об ошибке: https://trac.pentoo.ch/pentoo/

Подайте идею http://forums.pentoo.ch/

Общайтесь в онлайн: irc #pentoo

linkedin.com @pentoo

21/22

Заключение

Открытость – залог развития

Pentoo – удобная среда для обьединения

Pentoo - это не копия Backtrack

Настройки проверенны на практике

Легко исправить, даже если не работает

Обновляется еженедельно

В команде – профессионалы и их колличество растет

Вопросы, пожалуйста!

22/22