martes, 23 de noviembre de 2010

NeoPwn Multiboot

Para los fanaticos del nokia n900, estas son instrucciones que encontraran muy útiles a la hora de instalar neopwn de forma multiboot:

OJO: estas instrucciones asumen que todavía no han instalado el neopwn de ninguna otra forma y su celular está todavia default.


- Desde un Terminal:
  1. sudo gainroot  
  2. apt-get install multiboot multiboot-kernel-maemo multiboot-kernel-power kernel-power-bootimg  
  3. apt-get install kernel-power kernel-power-settings
El ultimo paso instala el kernel-power.

Reiniciar para verificar que pueden bootear dos kernels distintos. Al reiniciar deberia salir un menu para seleccionar el kernel vanilla y el kernel-power. En este momento ya estan listos para instalar de forma controlada el neopwn. Seleccionar la opcion 1 para bootear el kernel vanilla y luego (desde un terminal):
  1. dpkg -i kernel-power_2.6.28-maemo40-wl1_armel.deb  
  2. dpkg -i kernel-power-modules_2.6.28-maemo40-wl1_armel.deb  
  3. dpkg -i kernel-power-flasher_2.6.28-maemo40-wl1_armel.deb
El ultimo paso en efecto flashea encima de nuestro kernel-power recien instalado. Dañando completamente el kernel-power, pero dejando en su sitio el kernel-power-wl de neopwn. Ahora es tiempo de extraer la imagen del paquete .deb y crear un item en el menu del multiboot:

Luego en un PC o en el telefono y desde donde han puesto el archivo: kernel-power_2.6.28-maemo40-wl1_armel.deb ejecutar:
  1. mkdir kernel_tmp  
  2. dpkg -x kernel-power_2.6.28-maemo40-wl1_armel.deb kernel_tmp  
  3. cd kernel_tmp/boot  
  4. flasher-3.5 -F zImage-2.6.28-maemo40-wl1.fiasco -u  
  5. mv zImage vmlinuz-2.6.28.10power40-wl1
Con esto ya tenemos la imagen que hay que colocar en el multiboot. Desde el telefono (y desde un terminal) ejecutar:
  1. mv vmlinuz-2.6.28.10power40-wl1 /boot/multiboot/ 
finalmente crear el archivo para el menu multiboot:
  1. cat > /etc/multiboot.d/02-Neopw.item  
  2. ITEM_NAME="Neopwn"  
  3. ITEM_KERNEL=2.6.28.10power40-wl1  
  4. ITEM_MODULES=ext3  
  5. [Ctrl-D]   
De esta forma se puede disfrutar del kernel de neopwn sin comprometer completamente el telefono.

domingo, 14 de noviembre de 2010

Amenaza Inminente. Parte I

La Internet es un lugar muy hostil.

Exactamente cuán hostil es algo no muy bien cuantificado. Decidí hacer una pequeña prueba empírica de cuantos ataques recibe mi computador personal utilizando el fabuloso cortafuegos de Linux Iptables.

Agregue a mi configuración de iptables la siguiente simple instrucción, justo antes de mi regla de DROP por defecto (todos usamos una regla de DROP por defecto, ¿cierto?):

-A INPUT -j LOG --log-prefix "Default DROP rule"

Con esta simple instrucción, rapidamente empece a recibir alertas de hosts que intentan conectarse conmigo sin ningun tipo de justificación posible. Despues de sanitización simple mis logs se ven algo asi:

Default DROP SRC=186.88.90.140 DST=My.IP LEN=48 TTL=123 ID=19866 DF PROTO=TCP SPT=3706 DPT=445 WINDOW=16384 RES=0x00 SYN URGP=0
Default DROP SRC=186.88.90.140 DST=My.IP LEN=48 TTL=123 ID=20012 DF PROTO=TCP SPT=3757 DPT=445 WINDOW=16384 RES=0x00 SYN URGP=0
Default DROP rule SRC=186.88.87.171 DST=My.IP LEN=48 TTL=123 ID=398 DF PROTO=TCP SPT=1254 DPT=445 WINDOW=16384 RES=0x00 SYN URGP=42629
Default DROP rule SRC=186.88.87.171 DST=My.IP LEN=48 TTL=123 ID=617 DF PROTO=TCP SPT=1254 DPT=445 WINDOW=16384 RES=0x00 SYN URGP=37615

¿Cómo sabemos que estos intentos de conexión son ilegítimos? simplemente porque mi sistema no es Windows y no ejecuto ningún servicio SAMBA, mucho menos hacia el Internet. Sin embargo, todas estas conexiones tienen puerto destino 445, comúnmente asociado al servicio SMB sobre TCP de Microsoft.

Despues de acumular estos datos por una semana, podemos cuantificar el nivel de amenaza al que estamos expuestos:

[root@nowhere ~]# grep DPT=445 /var/log/messages | awk '{ print $11}' | cut -d "=" -f 2 | sort -u | wc -l
2087
[root@nowhere ~]# grep DPT=445 /var/log/messages | awk '{ print $11}' | cut -d "=" -f 2 | uniq > hostile.unque.ips

2087 Direcciónes IPs únicas iniciando conexiones ilegítimas en una semana. Esto quiere decir que aproximadamente 12 nuevas direcciones IP cada hora intentan una conexión ilegal a mi computador personal, o lo que es igual, recibo alrededor de un atacante nuevo cada 6 minutos.

Otras estadísticas interesantes son posibles a partir de estos datos extraidos de forma tan simple con un ordenador personal y el firewall de linux. Estas estadisticas serán el tema de próximas entregas.