Free Hacking Zone

16. 9. 2002 | Michal Vymazal | Bezpečnost | 13620×

Ano, budeme si povídat o tzv. tréninkových serverech, kde si můžete (podotýkám, že legálně a se souhlasem jejich provozovatelů) vyzkoušet své schopnosti ohledně pronikání do cizích systémů. Ptáte se, k čemu je to dobré?

Obecně vzato, existuje řada postupů a metod, jak se naučit chránit vlastní informační systém (což může být i jeden jediný server). Budete pravidelně sledovat bezpečnostní konference, provádět pravidelné updaty, nainstalujete si IDS (Intrusion Detection System – např. Snort) apod. Jednou z dalších možností je zahrát si na průnikáře a podívat se, kudy vede cestička. Na jednu stranu se nejspíš budete dobře bavit, na stranu druhou se i něčemu přiučíte.

Tedy, aby bylo jasno – rozhodně nefandím takovému tomu podivnému sportu, kdy se řada nenechavců snaží doslova vlámat do cizích strojů (snad pouze v případě ohrožení života, ale to je dost těžká otázka), tréninku naopak fandím velmi. A aby nedošlo k mýlce, dovolil jsem si níže uvést odkazy na významy pojmů hacker a cracker. Pokud je nechcete číst, pak stačí si zapamatovat, že hacker je obyčejný domácí kutil (truhlář, zahrádkář, sběratel známek, fanda do počítačů apod.), kdežto cracker je právě onen průnikář. Pokud se tedy například dočtete, že linuxové jádro programují hackeři, pak je to v naprostém pořádku, kutilové svému koníčku obvykle rozumějí.

Nahlédněme tedy do žargonu:
http://www.tuxedo.org/~esr/jargon/jargon.html#cracker
http://www.tuxedo.org/~esr/jargon/jargon.html#hacker

Pokud vám tedy bude někdo něco povídat o bezpečnosti a bude přitom mluvit o škodách, které působí hackeři, určitě neuškodí pár kontrolních otázek. Třeba, jak máte nastavený paketový filtr, překládáte si jádro sami, jakou máte oblíbenou konferenci apod. Něco mi říká, že pokud se takto bude pravidelně ptát větší a větší část veřejnosti, pak se snad dočkáme i toho, že budeme nazývat věci a lidi pravými jmény

Jedná se o velmi zajímavý server (pokud vás udivuje posun časového pásma, nachází se v Soulu). Napřed vejděte na www.hackerslab.org (přes prohlížeč), vytvořte si účet a můžete začít. Mně osobně se osvědčilo následující desatero:

1. Jsem trpělivý člověk
2. Mám ve zvyku číst návody
3. Pokud se někde nacházejí diskusní stránky (sideboard), mám ve zvyku je pečlivě číst
4. Neuškodí dobrý cvik s www.google.com
5. Moc mě baví řádkové příkazy mého Linuxu/Unixu/BSD apod. (Jiné totiž mít nebudete)
6. Mám funkčního telnetového klienta
7. Umím pracovat s clipboardem (Hádejte, k čemu je PROSTŘEDNÍ tlačítko myši?)
8. Už jsem si vytiskl/vytiskla dokumentaci k mému oblíbenému editoru vi
9. Pro ty, kdo nejsou zvyklí – od teď už vždy jen ls -alF. Proč, to pochopíte rychle
10. Adresář tmp je velmi zajímavé místo (no né, ono je jich tam víc?)

Tušíte správně. Máte k dispozici telnetí připojení, hezky zadáte jméno uživatele (level0 až level17), heslo a jedem. Takže: Hezky si pomocí www prohlížeče zapište vaše uživatelské jméno a heslo do sekce View problems (tam totiž dostanete takové malé nakopnutí ke každému levelu, pak hezky telnet drill.hackerslab.org a dál už uvidíte.

Jakmile se vám podaří získat heslo uživatele nad vámi (například uživatel level0 bude usilovat o heslo uživatele level1, že), hezky toto heslo napište do sekce View Problems, dostanete pochvalu a nakopnutí pro další level. Nezapomeňte telnet odhlásit a znovu přihlásit pod novým uživatelem. Pokud by se někomu z vás podařilo vyskočit z celého toho virtuálního stroje (co jste čekali?), dejte určitě vědět.

Ze všech serverů, které jsem zatím navštívil, se mi Hackerslab zdá nejpropracovanější. Každopádně jsou věci, které po jeho absolvování (ano, prošel jsem všech 17 úrovní – nechtějte vědět, co to bylo za dřinu) už zásadně nedělám. Například jsem velkým nepřítelem zřizování uživatelských kont, která mají povolený shell

Ptáte se, co všechno se naučíte? Nebude toho málo. Něco málo věcí ohledně práv souborů a adresářů. Naučíte se používat pár řádkových příkazů (namátkově třeba ls, man, find apod.) Časem si pohrajete i s Jendou Ripperem, editorem vi, sem tam si něco přeložíte v C, trochu se pocvičíte s debuggerem. Každopádně úrovně zaměřené na Stack Overflow byly velmi poučné. Posledních pár úrovní je dosti náročných, buďte trpěliví. Každopádně – naučíte se číst (zejména sideboard) a to velmi podrobně.

Jako www prohlížeč doporučuji něco, co umí tabbed browsing, třeba Mozillu. Mně osobně přišla velmi praktická možnost několika záložek v jednom jediném okně s prohlížečem.

A ještě k těm mýtům: Ano, návod skutečně existuje. Jak ho najít, to pochopíte někde kolem 10. úrovně, ale ... Možná budete poněkud překvapeni a to hned několikrát. Umíte dobře španělsky?

Doufám, že se vám www.hackerslab.org líbil a něco jste se naučili. Já osobně jsem vystačil s těmito moudry (podotýkám, že nejsem programátor) :

1. Přečtu si sideboard.
2. Přečtu si manuál.
3. Podívám se na internetu (google.com) po návodech, manuálech apod.
4. Přečtu knihy.
5. Zeptám se v konferenci (tu čtu obvykle denně, že).
6. Zeptám se kamaráda, souseda apod.
7. Zpět k bodu 1

Mějte se krásně a příště si něco řekneme o www.slyfx.com.

Nástroje: Tisk bez diskuse