Toti stim ca in cazul unui atac, atacatorul prefera sa atace un computer cu windows, si mai putin unul cu linux. Nu e nici un dubiu: Windows prin natura sa este un parc de distractii pentru rau intentionatii Internetului, ce pot schimba exploiturile folosite in atac cum schimbati dvoastra hainele de la un anotimp la altul. Mai devreme sau mai tarziu un exploit care sa functioneze vor gasi.
Asta pentru ca deja in momentul alegerii computerului victima, e foarte usor de aflat ce sistem de operare ruleaza, analizandu-se caracteristicile pachetelor TCP/IP.
Deci daca vreti sa dormiti linistiti noaptea cand lasati computerul la descarcat, cel mai bine este sa duceti in eroare eventualul atacator, facandu-l sa creada ca pe computerul nostru ruleaza un alt sistem de operare, divers de cel real. 

In principiu... Programe precum Nmap, Ettercap sau NetworkMiner sunt capabile sa recunoasca sistemul de operare datorita setarilor TCP/IP ale acestuia. Mai precis, cand intalneste o anume secventa TCP/IP va sti ca este specifica unei masini Windows sau Linux sau BSD. Ragionamentul e simplu: daca schimbam modul in care pachetele TCP/IP trimise de computerul nostru vin citite din exterior,este probabil ca programul folosit penru a ne spiona, va confunda sistemul nostru de operare cu un altul, ori nu va fi capabil sa-l detecteze.
Aceasta modificare trebuie sa fie facuta insa cu atentie, pentru a nu strica registri sitemului de operare.
 

Manual sau Automat?

Modificarile se pot face manual in registri, sau mai simplu folosind un utilitar care va face totul penru noi cu doar 1-2 clickuri.

Manual

Faceti un backup registrului windows folosind utilitarul ERUNT (il puteti descarca de la adresa aceasta). Daca aveti un alt computer in aceeasi retea, veti putea scana computerul de modificat cu Nmap inainte sa ii modificati amprenta sistemului de modificare.
Deschideti Regedit (din Start/Run/regedit.exe). Valorile pe care le vom shimba sunt salvate in HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters si sunt urmatoarele:

DefaultTTL
Tcp1323pts
EnablePMTUDiscovery
TcpUseRFC1122UrgentPointer
TcpWindowSize
SackOpts
Interfaces*MTU

Nu putem introduce volori intamplatoare, pentru ca astfel sistemul de operare nu va mai functiona, dar si pentru ca noi vrem sa pacalim atacatorul ca sistemul nostru de operare e divers de cel real. Va trebui deci sa gasiti informatii despre cum sunt setati acesti parametrii in sistemul de operare pe care vrem sa il simulam. O buna sursa de informatii este manualul Nmap de la adresa http://nmap.org/book/toc.html. In special capitolul 8 e complet dedicat individualizarii sistemului de operare.

Automat cu Osfuscate

Calea mai usoara este de a folosi un program (se numeste Osfuscate) care face aceste schimbari. Trebuie doar sa rulezi acest program (il poti descarca de AICI), sa alegi sistemul de operare care va fi imitat si sa faci click pe Apply.
 

Insa ... nu ati terminat

Dupa ce am facut aceste schimbari, vom fi in siguranta la o scanare ocazionala, dar nu la o scanare profunda care va intra mult mai in detaliu. NetworkMiner si Satori sunt in grad sa descopere sistemul nostru de operare si dupa amprenta DHCP transmisa in retea. Nu sunt suficiente schimbari in registri pentru modificarea amprentei DHCP, pentru ca informatiile se gasesc in un dll din windows (dhcpcsvc.dll).
Autorul programului Osfuscate ne da o mana de ajutor si acum: in aceeasi arhiva zip gasim programul “dhcpcsvc patcher.exe” facut in acest scop. Inainte sa folosesti acest patcher trebuie sa dezactivezi sistemul de restaurare al Windowsului; daca nu-l dezactivezi, la urmatorul restart al computerului te vei trezi din nou cu versiunea dll originala. dhcpcsvc patcher redenumeste fisierul dll original dandu-i numele patched-dhcpcsvc.dll, iar apoi inlocuieste originalul cu un dll modificat. Daca in caz vrem sa revenim la dll-ul original nu ne ramane de facut decat sa folosim un cd bootabil precum BartPE care permite scrierea NTFS si sa facem modificarile corespunzatoare.

Un ultim avertisment: orice modificare care o faceti sistemului dvstra de operare, o faceti pe riscul dvoastra. Daca gresiti ceva si nu veti obtine rezultatele corespunzatoare, nu ne asumam noi responsabilitatea. Spor la lucru! :P

 

Osfuscate