web-dev-qa-db-ja.com

ハッカーは私のオペレーティングシステムを検出できますか?

VMを攻撃するためにBackTrackの使用をデモンストレーションする人々を見てきました。 BackTrackのコンポーネントの1つに、ターゲットのオペレーティングシステムが表示されます。 WindowsのサポートXPは間もなく終了するので、古いOSを使用していてその脆弱性を悪用していることを攻撃者が知ることができるかどうか知りたいのですが。

編集:攻撃者が私のオペレーティングシステムを知っている場合、それが問題になるかどうかも知りたいです。 MSEのような最新の定義のマルウェア対策製品では、私は安全であると思います。

編集2:私が収集したものから、脅威は本物です。個人的には、当分の間インターネットへのアクセスを遮断します。 4月から数ヶ月くらい待つ予定です。問題が発生した場合は、OSをアップグレードします。 WindowsについてのことXPは、それが非常に有能なOSであり、多くの人が使いやすいと感じていることです。

16
Jay

私の最初の2セント:

ここで実際の問題は何ですか?攻撃者は、脆弱なオペレーティングシステムを実行しているか、またはアップグレードしていないことを知っていますか?

今あなたの質問に関して。オペレーティングシステムのフィンガープリントに使用できるユーティリティは多数あります。人のブラウザとオペレーティングシステムに関する情報を取得できるJavaScriptライブラリがいくつかあります。

指紋をとることができるのはブラウザだけではありません。 SMB)のような他のサービスも(特定のバージョンをアドバタイズするため)使用して、マシンを攻撃することができます。基本的に、実行中のすべてのサービスを使用して、オペレーティングシステムを推測することができます。印刷をできるだけ低くするのに役立つガイド(グーグルをすばやく表示)。

また、通常の消費者の場合、NATルーターまたはファイアウォールの背後にいるため、インターネットからこれらのサービスのほとんどにアクセスできない可能性があります。

12
Lucas Kauffman

はい、これは非常に可能です。

実際、このサポートは、使用されている最も一般的なポートスキャンツールnmapに組み込まれています。この機能、OS検出は、-Oフラグをnmapツールに渡します。 nmapは、さまざまなTCPおよびUDPパケットをターゲットに送信し、応答を調べます。応答を既存のオペレーティングシステムのフィンガープリントのデータベースと比較することにより、nmapは、システム上で実行されているオペレーティングシステムを適切な精度で判断できます。

31
user10211

TL; DR:はい、攻撃者がシステムをフィンガープリントすることは可能であり、はい、攻撃者がシステムを攻撃するのに役立ちます。したがって、システムを正しく保護する必要があります(ウイルス対策では不十分です)。

指紋はどのように機能しますか?

指紋にはさまざまな種類があり、主にネットワークレベルとアプリケーションレベルの指紋です。

ネットワークレベル

オペレーティングシステムは、標準で正確に定義されていないユースケースに対して異なる回答をします。たとえば、TCPプロトコルによって許可されるさまざまなオプションがあり、各オペレーティングシステムはさまざまなオプションを使用します。そのため、ホストに送信されるカスタムパケットを生成することにより、アクティブにシステムをフィンガープリントすることができます。 (nmapツールを使用したインスタンス)またはパッシブ(p0fなどのツールを使用してパケットをリッスンすることにより)サーバーも考慮すると、サーバーはより複雑になり、フィンガープリントを無効にするためにいくつかのソリューションが開発されましたが、それらはしばしば複雑でほとんどが古くなっています( この記事 を参照)

アプリケーションレベル

サーバー側では、多くのサービスが非常に正確な情報をバナーで提供します(たとえば、Apache/2.0.48(Fedora)Server at 127.0.0.1 Port 80for aache Web server)これらのバナーを無効にするようにサービスを正しく構成するように注意してください(もちろん、無用なサービスを無効にします)。

クライアント側では、トラフィックの99%がそれを使用するため、最も重要なアプリケーションはWebブラウザーであり、ブラウザーのフィンガープリントは非常に簡単です。

  • ブラウザは、ユーザーエージェントパラメータを介して、各リクエストで彼の名前とバージョンを提供します。ブラウザのアドオンで変更できます
  • ユーザーエージェントがなくても、ブラウザーを介してシステムに関する多くの情報(画面サイズ、フォント、拡張機能など)を収集できます。 EFFは、そのアプリケーション panopticlick で、99%を超えるブラウザを一意に識別できることが証明されています

だから何 ?

このような情報は攻撃者に役立つだけであり、システムを危険にさらすことはできません。それは彼らにあなたの家の鍵ではなく住所を与えます。したがって、攻撃者が入手できる情報を可能な限り制限する必要がありますが、最初に、システムを正しく保護するように注意する必要があります

どのようにしてシステムを保護できますか?

アンチウイルスは本当に効率が悪く、マルウェアを修正して99%のアンチウイルスで検出されないようにするのは簡単です。攻撃を回避するには、ベストプラクティスのリストに従う必要があります。

  • システムとアプリケーションを更新します:これは#1ルールです! UNIXライクなシステムでは、パッケージシステムを利用できます。 Windowsでは、Secunia PSIなどのツールを使用すると、脆弱なソフトウェアを特定できます。最も重要なソフトウェアはブラウザとそのプラグイン(Flash、Java、Silverlight ...)なので、常に最新の状態に保ちます
  • 強力なパスワードを使用し、別のWebサイトには別のパスワードを使用します:現在、パスワードの漏洩が多いため、パスワードに注意する必要があります。パスワードを安全に保存するためのkeepassのようなツールが役に立ちます。可能な場合は2要素認証も使用する
  • パーソナルファイアウォールを使用する:ほとんどの場合、ホームファイアウォールの背後にいる必要がある場合でも、常に役立ちます
  • アンチウイルスを使用します:私の考えでは、お金をかけないでくださいが、Windowsには無料のアンチウイルスがあります
  • インターネットで賢く:奇妙なメール、奇妙なWebサイトに注意してください...

したがって、Windowsを引き続き使用することは間違いなく危険ですXP 2014年4月以降、アップグレード(または別のOSへの移行)を検討する必要があります。

7
Nibbler

つまり、攻撃者は通常、標準構成でオペレーティングシステムを検出できます。

通常、これはブラウジング中に発生し、ブラウザーはユーザーエージェント文字列で連絡するシステムにその情報を提供します(一部のブラウザーとプラグインでは、これは好きなように変更できます)。

また、@ terrychiaが注記しているように、システムにトラフィックを直接送信できる攻撃者(たとえば、自分と同じネットワーク上にいる場合)は、コンピューターへのリクエストへの応答に基づいてOSバージョンを悪用する可能性があります。

質問の最後のポイントに取り組むために、2つのこと。サポートされていないシステム(例:4月以降のWindows XP)を保護するためにAVだけに依存しない1つ、MSEの場合は特に、AFAIKはXPでのMSEの更新が4月以降になります。 (XPでのMSEのサポートは、XPのサポートが終了すると終了します)

7
Rory McCune

システムを強化しようとするよりも優れたソリューションです(もちろん、これは常に良いアイデアですが) http://portspoof.org/ のようなツールを使用することです。ページで説明されているように、これはリバースエクスプロイトフレームワークとしても利用できます。サーバーが既知の脆弱なサービスを使用しているように見せかけてから、攻撃者のエクスプロイトを使用します。いくつかの例が https://github.com/drk1wi/portspoof/blob/master/tools/portspoof.conf にあります

1
Kevin Qualters

Nmapを確認してください。これは、フィンガープリントを行うポートスキャン用のツールです(さまざまな答えを与える可能性のあるOSと、認識が成功する可能性のあるパーセンテージを識別します)。 ここ は情報へのリンクです。

インターネットに接続するルーターがあり、ISPから提供されます。その場合、ほとんどのルーターは、コンピューターポートへのすべての受信接続がブロックされた状態で事前構成されています。その場合、ポートをテストしているOSを特定することはできません。

しかし、その情報は非常に簡単に配布できます。 Webページへのすべての接続は、おそらくその情報を提供しています。 Webブラウザーのユーザーエージェントを確認してください ここ 。これは、使用しているOSを知る非常に簡単な方法であり、OSの既知の脆弱性に対する攻撃を、そのために特別に作成されたWebページから準備するためにも使用できます。これは、ユーザーエージェントを変更できるプラグインを使用するだけで変更できます。たとえば、現在Windowsマシンを使用していますが、ユーザーエージェントが次のように表示されます。

Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:21.0) Gecko/20130331 Firefox/21.0

だから私が接続するページは私の本当のOSを知らない、彼らはそれがLinuxだと思っている。これが原因で正しく機能しないページをまだ見つけていません。何かが発生した場合は、いつでも置換を無効にできます。

結論:はい、OSを推測することはできますが、その情報を非表示にする方法があります(ポートスキャンではなく、ルーターを使用している場合)これは適切に構成されているため、構成を変更しない限り、マシンは外部から直接アクセスできません。ただし、これを回避する方法はいくつかあります)

1
YoMismo

答えは、オペレーティングシステムの識別に関する質問に対する答えです。インターネットは、情報を極度に共有するために設計されました。設計上、それはノイズの多い/冗長な通信チャネルです。最近、人々はインターネットを介して交換されるデータを利用することによってこれを悪用し始めました。
お使いのコンピューターには、ポート番号を介してインターネット経由で通信するいくつかのサービスがあります。これらのサービスの多くは、いわゆるバナーを使用して自分自身を告知します。たとえば、Windows XPユーザーがIISを盲目的に有効にするたびに、Windows XPユーザーが有効で安全でないままにするSMTPサービスを例にとります。またはさらに悪いことにftpサービス。これらのサービスは、それら自体、それらがどのオペレーティングシステム上にあり、サービスパックがインストールされているかを通知します。
攻撃者がサービスパックのレベルを知っている場合、攻撃者はどのエクスプロイトがまだ開かれているかを知っているため、ハッキングの方法を知っています。自分のコンピュータから、自分のsmtpサービスを使用してメールを送信したことがある:-)私は、彼のftpが実行されていて、大量のポルノがあったことを知っていた。言うまでもなく、私は同じコンピューターにアカウントを持っている彼の母親として彼に手紙を書いた。私は彼にサービスとサービスの両方を数日で停止または確保したことを話しました。
解決策は、すべてのポートをブロックするクレイジーな妄想的なファイアウォールを使用して、必要なポートのみを開き、ブラウザに https-everywhere 拡張機能を追加して閲覧することです。それはあなたの足跡を減らすはずです。 シールドアップ は、フットプリントを測定するのに適したサイトです。
私は「はい」と「いいえ」を言います。なぜなら、誰もがあなたのコンピュータをフットプリントする方法やそのフットプリントをどうするかを知っているわけではないからです。
それは懸念事項ですか?あなたが用心深くないなら。

0
jake