anton bolshakov - joint anti-crime. open source security
DESCRIPTION
International Security Conference "ZeroNights 2011" - http://www.zeronights.org/TRANSCRIPT
Pentoo Linux. Открытая Безопасность
Антон Большаков
Обо мне
Консультант компьтерной безопасности
Тестирование на уязвимости
Анализ исходников
Открытые системы
Сингапур
2/22
Тема для обсуждения Как мы храним свои утилиты
Как вы обновляете эту коллекцию
Как это работает в открытой среде
Типы лицензий
Pentoo Linux
Pentoo трюки
Будущее Pentoo
3/22
1994. Времена MS-DOS. Так выглядела моя коллекция
4/22
А к 2004-му году
под Windows
это была одна большая
директория
5/22
Самое главное – это утилиты
Как вы содержите свою коллекцию?
Очень много программ
Нужно следить за всеми новостями
Тяжело обновлять
Проблемы с Freeware программами:
Могут перестать работать через пару лет
Часто: бесплатно -> бесплатно с не нужными
функциями -> фунции “про” -> не бесплатно
Я начал искать выход в открытых решениях
6/22
Открытые системы
Ваш собственный дом,
а не ежегодняя аренда
Инвестиция (кто-то должен написать)
Узнаваемость, Репутация, Прозрачность
Зачастую лучше качество кода (без спешки)
Легко адаптировать к изменившимся условиям
Обьединение специалистов в каждой области
Все общее, все мое
Ричард Столлман на конференции
«Почему будущее за свободным ПО»
7/22
Проблемы в существующих проектах Утилиты по безопасности часто нужно корректиривать
Что делать, если утилита не работает?
Как обновлять, патчить, добавлять новые?
Где исходный код, конфиги для сборок?
Каждый раз разные команды
8/22
Я нашел Pentoo
На основе Gentoo, сборка из исходников
Деревья оверлеев, перекрытия
Моя коллекция “sectools”
- 100 уникальных посещений в день
- стали присылать исправления
- и опять все не успеть!
Pentoo тоже оверлей
”Если не можете победить - присоединяйтесь”
9/22
Pentoo Linux
Кто за этим стоит:
Grimmlin, освнователь
Zero_Chaos, aircrack
blshkv ;-)
Другие
Pentoo живет, хоть и официально не было релизов с 2009:
Идет работа с разрабочиками утилит
К нам присоединяются (ikelos из Gentoo)
Постоянные изменения на сайте
http://trac.pentoo.ch/timeline
10/22
Pentoo в примерах
Freeradius WPE : Ломаем корпоративный WiFi
Wifi клиент -> HostAPd (фиктивная wifi точка) -> freeradius
Начальная весия от WillHackForSushi, Shmoocon 4,
2008
Обновленно на http://www.opensecurityresearch.com/ ,
сентябрь 2011
Улучшено в Pentoo в ноябре ;-).
11/22
Pentoo в примерах 2
HostAPd: Тестируем защищенность WiFi эффективней!
Wifi клиент -> HostAPd (фиктивная беспроводная точка)
Правим точку доступа HostAPd!
Foofus 0.7.2 patch: Karma (no more madwifi!) +
PEAP/MSCHAPv2 log auth attempts, March 2011
Обновлено в Pentoo до 0.7.3, May 2011
Теперь у нас есть выбор!
12/22
Тестируем WiFi используя Pentoo
Новый способ через исправленный HostAPd
Требования:
Pentoo ;-) (наше ядро, драйвера)
Беспроводная карта должа поддерживать режим “точка
доступа”
Наш патч для HostAPd с функциями Karma + запись
попыток авторизации
Let's stop for a moment and try to do understand our rights and obligations
13/22
Тестируем WiFi используя Pentoo 2
Ловим попытку соединения с нашей фиктивной точкой: [karma] Authentication Request - Username: anon_ident Vendor: 0 Method: 0
[karma] Authentication Request - Username: my_id Vendor: 0 Method: 0
[karma]my_id:::2C3D2F370FF0B0058D9ACDD07C7846C4:3025EBE588A5D8F9
A9C5FFC800439D812B152998763A2872:D7D75DC7FCD6AEDD7A97EC4597E8
5073
А где же пароль?
Парни из Foofus сделали дополнительный патч для JTR
(теперь в jumbo) для взлома путем перебора MSCHAPv2
14/22
Что есть в Pentoo
Традиционные утилиты для
Тестирвоания сетевой безопасности
Тесирования приложений
Утилиты для компьютерные расследоня
Но нет
Малого известного TCP сканера под BSD лицензией
Далее: про права и обязанности
15/22
Лицензии открытых систем
Существует очень много лицензий и
их вариаций. Давайте рассмотрим две:
BSD - Berkley Software Distribution
Полностью открытая, почти без никаких ограничений
GPL - General Public License
Открытая, но адаптирована к современному миру:
гарантирует открытость следущих версий
16/22
Взаимодействие Pentoo с другими поектами
Наши наработки в upstream (libewf) - libewf 20110828 fails to compile with libbfio-0.0.20110625
- ssltest (friendly cipher message)
Наши в патчи bugs.gentoo.org (warvox, openvas, w3af)
Официальная ссылки с Medusa, DFF
Metasploit обновления, добавлены модули из Redmine и
GitHub-Comminity
Общее колличество исправлений превышает 200
17/22
Использовать Pentoo Linux не сложно
Пакеты настраиваются автоматически с помощью Portage (ebuild), а это все лишь очень гибкий конструктор:
Не обязательно быть программистом
Скрипты ebuild это сценарий как собирать пакет:
o Загрузка, правка, настройка, компилирование и
установка
Можно создать и локальную копию для своих настроек
Для сборки Chrome OS тоже используют Portage!
18/22
Подстраивайте Pentoo ”под себя”
Есть три уровня стабилизации
• [M] hardmasked
• [~] unstable
• [N] stable
Многие утилиты не включены в LiveCD либо из-за
ограниченного места, либо совсем новые.
Любая утилита инстолируется командой:
"emerge <new package>"
19/22
Будущее Pentoo Linux. Pentoo 2012 Beta version:
http://dev.pentoo.ch/~grimmlin/isos/
Планируется добавления
- LiveUSB (беспроводное тестирование, снятие
образов для компьютерных расследований)
- Полностью настроенный Виртуальный Образ
(vmware/virtualbox/kvm)
- ARM/N900 mobile version
20/22
Pentoo поддержка
Сообщите об ошибке: https://trac.pentoo.ch/pentoo/
Подайте идею http://forums.pentoo.ch/
Общайтесь в онлайн: irc #pentoo
linkedin.com @pentoo
21/22
Заключение
Открытость – залог развития
Pentoo – удобная среда для обьединения
Pentoo - это не копия Backtrack
Настройки проверенны на практике
Легко исправить, даже если не работает
Обновляется еженедельно
В команде – профессионалы и их колличество растет
Вопросы, пожалуйста!
22/22