200 likes | 401 Views
STATO MAGGIORE DIFESA Reparto Informazioni e Sicurezza Ufficio Sicurezza Difesa. BOLLETTINO DI SICUREZZA INFORMATICA. N°4/2002. INDICE. FOCUS ON….: - W32.BUGBEAR@MM . Pag. 1. SISTEMI APPLICATIVI: - USO DELLA POSTA ELETTRONICA :
E N D
STATO MAGGIORE DIFESA Reparto Informazioni e Sicurezza Ufficio Sicurezza Difesa BOLLETTINO DI SICUREZZA INFORMATICA N°4/2002
INDICE • FOCUS ON….: - W32.BUGBEAR@MM. Pag. 1 • SISTEMI APPLICATIVI: - USO DELLA POSTA ELETTRONICA : L’importanza del campo BCC/CCN nei programmi di posta elettronica. Pag.4 • SISTEMI OPERATIVI : -SPYWARE Pag.9 • SICUREZZA DELLA RETE:- LE VENTI VULNERABILITA’ PIU’ CRITICHE PER LA SICUREZZA IN INTERNET • (TERZA PARTE). Pag.16 PER CONTATTI : TEL. 06/46917156 – FAX 06/36000904 E-MAIL : ris.s@smd.difesa.it
W32.Bugbear@mm • A causa dell’aumento dei pc infettati da questo worm, scoperto il 30 settembre 2002, il Symantec Security Response ha modificato il suo livello di gravità, portandolo da 3 a 4. Si tratta di un mass-mailing worm, ovvero di una minaccia che si distribuisce su vasta scala tramite posta elettronica. Questo worm può propagarsi su condivisioni di rete, può memorizzare ciò che viene digitato per mezzo di tastiera, può avere funzionalità di backdoor, può tentare di interrompere i processi di numerosi programmi antivirus e firewall. E’ possibile che il worm, non consente di gestire correttamente i vari tipi di risorse di rete, per esempio impedisce l’uso corretto della stampante creando così stampe sbagliate o comunque compromettendo il normale funzionamento. • Tipo:Worm • Linguaggio:Microsoft Visual C++ 6 - compresso mediante UPX v0.76.1-1.22 • Altri nomi: W32/Bugbear-A [Sophos], WORM_BUGBEAR.A [Trend], Win32.Bugbear [CA], W32/Bugbear@MM [McAfee], I-Worm.Tanatos [AVP], W32/Bugbear [Panda], Tanatos [F-Secure] • Lung. infezione:50.688 bytes • SO minacciati: Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows ME • SO non minacciati: Macintosh, Unix, Linux • Riferimenti CVE: CVE-2001-0154 • N O T I Z I E T E C N I C H E • Quando è in esecuzione, W32.Bugbear@mm si riproduce come file %system%\????.exe, dove ? rappresenta una qualsiasi lettera dell’alfabeto, a scelta del virus. • NOTE: %system% è una variabile. Il worm individua la cartella di sistema e vi si insedia. Per impostazione predefinita tale cartella si trova sul percorso C:\Windows\System (in Windows 95/98/ME), C:\Winnt\System32 (in Windows NT/2000) e C:\Windows\System32 (in Windows XP). • Il worm si autoreplica sulla cartella\Esecuzione automatica, come file ???.exe, dove ? rappresenta una qualsiasi lettera dell’alfabeto, a scelta del virus. • Ad esempio, può riprodursi: • come file C:\Windows\Avvio\Programmi\Esecuzione Automatica\Cuu.exe o Cua.exe se eseguito su un sistema operativo di tipo Windows 95/98/Me, oppure • come file C:\Documents and Settings\<nome utente in uso>\Menu avvio\ Programmi\Esecuzione automatica\Cti.exe se eseguito su un sistema operativo di tipo Windows NT/2000/XP. Pagina 1
W32.Bugbear@mmcrea tre file .dll criptati all’interno della cartella %system% e due file .dat criptati all’interno della cartella %windir%. Uno dei file .dll creati dal worm viene utilizzato per installare procedure di “aggancio” all’interno di una catena, allo scopo di controllare il sistema e registrare i messaggi inviati mediante tastiera e mouse. Le procedure di aggancio con la tastiera elaborano i messaggi ed inoltrano le informazioni al successivo anello della catena di aggancio. E’ così che il worm può intercettare i segnali provenienti dalla digitazione sulla tastiera. Il file .dll installato ha una dimensione di 5.632 byte e viene rilevato dagli antivirus Symantec con il nome di PWS.Hooker.Trojan. • I file che non vengono rilevati dall’antivirus non sono pericolosi, ma vengono utilizzati dal worm per registrare le informazioni di configurazione interna, sotto forma criptata. Eliminare manualmente anche questi file. Il worm potrebbe, ad esempio, creare i seguenti file: • %system%\Iccyoa.dll • %system%\Lgguqaa.dll • %system%\Roomuaa.dll • %windir%\Okkqsa.dat • %windir%\Ussiwa.dat • NOTE: %windir% è una variabile. Il worm individua la cartella Windows (che per impostazione predefinita si trova sul percorso C:\Windows oppure C:\Winnt) e crea dei file su questa cartella. • Crea il seguente valore: • <lettere a caso> <nome file del worm> • nella seguente chiave di registro • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ • RunOnce • NOTA: il sistema operativo elimina di norma i valori contenuti in questa chiave, non appena i programmi a cui essi si riferiscono vengono eseguiti all’avvio. Il worm, in questo caso, ricrea il valore ogni volta, così che ad ogni avvio di Windows esso viene eseguito. • Tra i thread creati dal worm, il più significativo è un backdoor: apre la porta 36794 e attende istruzioni dall’hacker. Grazie a tali istruzioni il worm è in grado di: • Eliminare file • Interrompere processi • Compilare un elenco di processi e inoltrarlo all’hacker • Copiare file • Avviare processi • Compilare un elenco di file e inoltrarlo all’hacker • Inviare all’hacker (sotto forma criptata) le informazioni digitate dall’utente mediante tastiera. Alcune di queste informazioni possono essere strettamente riservate, come password, login, ecc. • Inviare all’hacker informazioni sul sistema, nel seguente formato: Pagina 2
User: <nome utente> • Processor: <tipo di processore utilizzato> • Windows version: <versione di Windows, numero di build> • Memory information: <quantità di memoria disponibile, ecc.> • Unità locali e di che tipo (dischi rigidi/rimuovibili/dischi RAM/CD-ROM, ecc.), nonché le loro caratteristiche fisiche • Compilare un elenco dei vari tipi di risorse di rete e inviarlo all’hacker. • Se il sistemaoperativo in usoè Windows 95/98/Me, il worm cerca di ottenere l’accesso alla cache dellepassword. Le password contenute nella cache sono, ad esempio, le password di accesso remoto, quelle relative agli indirizzi URL, quelle condivise e molte altre. Il worm può accedere a tali password grazie ad una funzione non documentata ufficialmente chiamata WnetEnumCachedPasswords, che esiste solo nelle versioni per Windows 95/98/Me nel file Mpr.dll. • Le istruzioni che l’hacker può inviare al worm insediato all’interno del computer consentono inoltre alla componente Trojan Horse del worm di trasmettere dati tramite la porta 80 http. Il risultato di questa attività di accesso per backdoor può apparire sotto forma di pagine HTML. Così, risulta molto semplice per l’hacker osservare quali sono le risorse del computer infetto. • Un altro thread distribuisce il worm all’interno della rete. A questo scopo il worm compila un elenco di tutte le risorse della rete; se rileva delle condivisioni amministrative aperte tenta di replicarsi nella cartella Esecuzione automatica del computer remoto. Ciò comporta il diffondersi dell’infezione fra i computer rete non appena questi vengono riavviati. • Poiché il worm non gestisce correttamente i vari tipi di risorse di rete è possibile che ingombri le risorse della stampante, provocando stampe sbagliate o comunque compromettendo il normale funzionamento della stampante. • R I M O Z I O N E • La rimozione può avvenire tramite lo strumento di rimozione perW32.Bugbear@mm • Si tratta della modalità di rimozione più semplice: sono stati creati due strumenti di rimozione specifica; per scaricarli cliccare su : http://securityresponse.symantec.com/avcenter/FxBgbear.exe); • http://download.nai.com/products/mcafee-avert/stingersetup.exe . • E’ possibile anche operare una rimozione manuale, i cui passaggi principali sono i seguenti: • NOTA: queste istruzioni sono valide per tutti gli antivirus Symantec, compresi i prodotti delle linee Symantec AntiVirus e Norton AntiVirus. • Aggiornare le definizioni dei virus • Riavviare il computer in Modalità provvisoria • Operare una scansione completa del sistema ed eliminare tutti i file rilevati con il nome di W32.Bugbear@mm • Eliminare il valore che il worm ha aggiunto alla chiave di registro HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce Pagina 3
USO DELLA POSTA ELETTRONICA : L’IMPORTANZA DEL CAMPO BCC/CCN NEI PROGRAMMI DI POSTA ELETTRONICA Che cosa è il campo Bcc/Ccn? I programmi di posta elettronica dispongono di tre distinti campi nei qual specificare l'indirizzo dei destinatari dei singoli messaggi. Il primo è il campo "Indirizzo", contraddistinto spesso dall'indicazione "A:" (in inglese: "To:"); questo campo specifica il destinatario principale del messaggio. Il secondo è il campo "Per conoscenza", contraddistinto dall'indicazione "Cc:"; questo campo è destinato ad accogliere la lista degli eventuali destinatari per conoscenza, cioè di coloro ai quali intendiamo mandare una copia del messaggio, anche se questo non è indirizzato direttamente a loro. I destinatari per conoscenza leggeranno nel messaggio ricevuto sia l'indirizzo del o dei destinatari principali, che quello del o degli altri destinatari per conoscenza. Questa opzione è utile quando ci si rivolge a persone che funzionalmente sono già in contatto reciproco o che comunque si intende porre in contatto. Il terzo è il campo dei "Destinatari per conoscenza nascosti", indicato come "Ccn:" (in inglese: "Bcc"). In questo campo si mettono gli eventuali indirizzi di coloro ai quali vogliamo che il messaggio giunga, ma che però intendiamo "nascondere" agli altri destinatari, nel senso che non vogliamo che gli altri destinatari siano in grado di leggerne l'indirizzo nell'intestazione del messaggio stesso. Chi riceve un messaggio sarà quindi in grado di leggere e riutilizzare gli indirizzi scritti in chiaro, cioè quelli scritti nei campi indirizzo e in conoscenza, ma non quelli scritti nel campo "Ccn:". Questi ultimi indirizzi rimarranno nascosti a tutti gli altri utenti destinatari del messaggio. • Quando usare il campo Bcc/Ccn? • Il campo "Ccn:" o "Bcc:" va utilizzato sempre quando si diffonde un messaggio a una lista di più indirizzi. Non si tratta tanto di un problema di privacy (evitare di diffondere indirizzi senza il preventivo consenso degli interessati in effetti è una regola di buona educazione), quanto di un problema di difesa dai virus. Da diversi anni ormai i virus informatici si diffondono via e-mail sfruttando le rubriche di indirizzi di alcuni programmi di posta elettronica particolarmente vulnerabili (tipicamente, Outlook Express). Il meccanismo dell'infezione è estremamente semplice: • l'utente riceve un messaggio infetto e attiva il virus (a seconda della gravità dell'infezione ciò può richiedere che l'utente clicchi su un allegato, o, semplicemente, che visioni il messaggio); • il virus si installa nel sistema • durante il successivo collegamento a Internet, il virus legge la rubrica degli indirizzi dell'utente ed invia a un certo numero di destinatari in essa elencati (i primi dieci, i primi cinquanta, tutti,...), a totale insaputa dell'utente. Pagina 4
Il Bcc va usato perché le rubriche di indirizzi di certi programmi di posta elettronica si appropriano di tutti gli indirizzi che ricevono in chiaro. Questo significa che se noi inviamo un messaggio in chiaro a cento indirizzi,questi ultimi vengono condivisi tra i destinatari. Detto in altre parole, se gli indirizzi di ognuno di noi rimanessero solo nei PC delle persone con le quali siamo effettivamente in contatto, le ondate di attacchi virali sarebbero molto meno efficaci. La diffusione dei virus è favorita dal fatto che gli indirizzi di ognuno di noi sono in decine di altri PC nei quali, di fatto, non dovrebbero essere. • Dove si trova il campo Ccn/Bcc? • L'uso del campo Bcc è relativamente semplice: lo si usa come qualsiasi altro campo di indirizzo, scrivendoci o incollandoci gli indirizzi o i "nickname", o trasferendoli in esso dalla Rubrica del programma di e-mail. L'unica eventuale difficoltà risiede nel fatto che in alcuni programmi di e-mail il campo Ccn/Bcc non è immediatamente visibile. Di seguito illustriamo come individuarlo in alcuni dei più diffusi programmi di e-mail. • Eudora Light 3.0 • Microsoft Outlook Express 5 • Microsoft Outlook 2000 • Eudora Light 3.0 La figura seguente mostra la localizzazione del campo "Bcc:" nel programma Eudora Light 3.0. Pagina 5
Il messaggio verrà recapitato in copia a tutti i destinatari compresi nella lista di indirizzi denominata "Hoax". Ognuno di essi sarà in grado di leggere nel messaggio solo il proprio indirizzo e quello del mittente. 2. Microsoft Outlook Express 5 Anche in Outlook Express, come in Eudora, il campo "Ccn:" si trova sotto il campo "Cc:". Tuttavia esso non è immediatamente disponibile per default. Per rendere disponibile il campo "Ccn:", qualora non compaia nel vostro messaggio da inviare, procedete come segue: Nella finestra del nuovo messaggio selezionate "Visualizza->Tutte le intestazioni": A questo punto il campo "Ccn:" sarà visibile e potrete utilizzarlo come qualsiasi altro campo di indirizzi Pagina 6
3. Microsoft Outlook 2000 Una delle caratteristiche di Microsoft Office 2000, risiede nel fatto che in esso molte funzioni ritenute di uso meno frequente sono "nascoste" all'interno dei vari menù e vengono attivate solo su esplicita richiesta dell'utente. Fra queste funzioni vi è anche quella di attivare il campo "Ccn:". Di conseguenza, se, procedendo in modo analogo a quello suggerito per Outlook Express 5, vogliamo rendere disponibile il campo "Ccn:" agendo sul menù "Visualizza" della finestra del nuovo messaggio di Outlook 2000, ci troveremo probabilmente di fronte a questa situazione: Nel menù non compare la voce "Tutte le intestazioni", per cui sembrerebbe impossibile rendere disponibile il campo "Ccn:". In realtà questa possibilità esiste, ma è nascosta. Se portiamo il cursore sulla doppia freccia posta in fondo al menù (evidenziata in rosso nella figura precedente) dopo pochi secondi il menù si espanderà: Pagina 7
rendendo disponibile l'opzione "Campo Ccn". Selezionandola, il campo in questione sarà visibile nella finestra del nuovo messaggio: e potremo procedere copiando o scrivendo all'interno di esso gli indirizzi dei destinatari "nascosti". Pagina 8
SPYWARE Uno Spyware lo possiamo considerare come un miniprogramma che tiene traccia di tutto quello che facciamo con il nostro computer. Il problema è che queste informazioni vengono inviate su Internet. Per esempio lo spyware può segnalare i siti che visitiamo più spesso per dare un’idea dei nostri gusti, tendenze, dei nostri contatti, ecc....Per fare un altro esempio, se siamo spiati e cerchiamo spesso file musicali, la società che ci spia ci considera come amanti della musica. Allora cosa succede? La società interessata ci riconosce quando vediamo un loro sito e ci mostra i banner pubblicitari (nelle pagine che abbiamo aperto) su argomenti che potrebbero interessarci. Il tutto avviene con una tecnologia molto avanzata . Spyware è un termine nato dalla combinazione di "spy e software" ed agisce di nascosto nel sistema per catturare le informazioni personali. Il problema è che questi Spyware si trovano in programmi che sono di utilità o altro, quindi non è un file a se stante che per sbaglio lo abbiamo inserito nel nostro sistema, ma un file che possibilmente si trova in un software che usiamo spesso. Il costruttore del software appunto ci spia. Ma quali potrebbero essere questi programmi che ci spiano? Di solito sono programmi gratuiti che vengono ripagati dalla distrubuzione di questi spyware di alcune società: uno spionaggio commerciale a tutto campo. Controlliamo il sistemaPer individuare gli spyware nel sistema ci serviremo di un programma: Ad-aware. Ad- aware è un programma freeware per Windows 95/98/Me/2000/NT4/XP. Scopo di questo programma è quello di trovare e rimuovere dei files "spyware" che numerosi programmi (per lo più gratuiti) inseriscono nel nostro pc al momento della loro installazione. I programmi spyware sottraggono informazioni che riguardano il pc e il navigatore, inseriscono file nelle parti vitali del nostro pc (come il registro) e da lì monitorano costantemente il tutto inviando poi, via Internet questi dati. Questi files "spyware" possono trasmettere informazioni riguardanti i i siti visitati, la permanenza su tali siti, i file scaricati da questi siti, se qualche banner viene cliccato, eventuali acquisti fatti nel web, la configurazione hardware, che software c’è sul nostro pc e molto altro. Alcuni spyware modificano addirittura la pagina iniziale del vostro browser proponendone un altra. Alcuni ritengono che potrebbero vedere anche gli indirizzi di posta , tenendo presente che nel registro di Windows c’è tutto , il vostro nome e cognome (qualora nell’istallazione è stato inserito) i programmi installati e la loro configurazione, gli indirizzi email di Outlook, e tutte le operazioni compiute con il pc. Un lato negativo dello spyware è da ricercare nel fatto cherallenta moltissimo la connessione Internet e spesso crea conflitti con altri programmi provocando blocchi o crash di sistema ! Pagina 9
C'è chi paga aziende produttrici di software o programmatori perché lo facciano. Le informazioni che se ne ricavano, vengono rivendute a chi si occupa di pubblicità . Se sono stati installati programmi free che hanno anche banner pubblicitari, probabilmente potrebbero essere stati annidati programmi spyware. Per venire a conoscenza della presenza o meno di un programma spyware senza installare il programma Ad-aware, è possibile consultare questi siti, dove in ordine alfabetico sono presenti tutti i prg spyware noti. - http://virgolamobile.50megs.com/spyware/spyware.htm - http://www.spychecker.com/ Una volta lo spyware veniva inserito "di nascosto" nei programmi e molto spesso rimaneva nel pc anche se il programma stesso veniva disinstallato. Oggi è probabile che nel contratto che dobbiamo accettare al momento di installare un programma può esservi scritto che vengono trasmesse a terzi eventuali informazioni. Ma quanti leggono per intero tale contratto (prevalentemente in lingua straniera) al momento di installare un software ? Dove scaricare Ad-aware e cosa scaricare Il sito ufficiale di Ad-aware è http://www.lavasoftusa.com I mirror da cui scaricare il programma sono numerosi, la raccomandazione è quella di prelevare il programma dalla pagina ufficiale. Il programma Ad-aware subisce un continuo aggiornamento, questo perchè quella dello spyware è una vera e propria guerra, I programmi spyware proliferano e ne escono in continuazione di nuovi, inoltre appena Lavasoft inserisce nel database del programma i files da scovare ed eliminare, i produttori fanno piccole modifiche ai loro programmi con lo scopo che lo spyware non venga riconosciuto da Ad-aware. Alla fine è esattamente come un antivirus che per essere efficace deve essere aggiornato periodicamente altrimenti è inutile averlo sul computer, unica differenza è che (per fortuna) gli aggiornamenti sono meno frequenti ATTENZIONE “Ad-aware” è un programma freeware e pertanto non è stato testato. Si consiglia, quindi, di procedere con attenzione alla sua esecuzione. Pagina 10
Periodicamente viene rilasciato un file (reflist) che contiene l'aggiornamento del database, talvolta Lavasoft rilascia anche una nuova versione del programma, questo per venire incontro a chi trova difficoltà a scompattare il contrenuto del reflist.zip nella giusta directory, ma anche perchè il programma stesso subisce delle migliorie importanti a livello di motore di scansione. Recentemente (primavera 2002) è uscita una versione nuova, perchè era stato creato un programma spyware in grado di aggredire e danneggiare Ad-aware stesso, così come fanno molti virus dell'ultima generazione, che vanno ad attaccare e disabilitare antivirus e firewall. Quindi, per quanto riguarda la sicurezza è consigliabile visitare il sito in modo da controllare se ci sono aggiornamenti del programma o se è disponibile un file reflist che aggiorna il database del programma. Quando viene rilasciata una nuova versione, essa contiene già l'ultimo database disponibile ma può accadere che dopo qualche giorno ci sia un aggiornamento e venga rilasciato un file reflist. In tabella è riportato l’ultimo aggiornamento al momento. Status Ultima versione di Lavasoft Ad-aware: Versione 5.83File reflist #042 con data 24 09 2002 Per installare o aggiornare il programma, si possono trovare due situazioni: 1) non è installato Ad-aware sul sistema; 2) è una vecchia e superata versione. In tal caso si deve necessariamente disinstallare la vecchia versione prima di installare la nuova. Con Windows 98 o il Millennium - Pannello di Controllo, l'icona Installazione Applicazioni, cliccando su di essa si ha l'elenco del software installato sul pc, selezionare Ad-aware premere il pulsante Aggiungi/Rimuovi e seguire le indicazioni. Dopo averlo disinstallato il riavvio non è obbligatorio ma solo consigliato, quindi procedere con l’istallazione. Pagina 11
Dopo l'installazione appare l'icona di Ad-aware sul desktop e anche una cartella nel menù Start Programmi. Cliccando sull'icona di Ad-aware si apre il programma. In alto a destra è visibile la versione e la built del programma stesso In basso la versione e la data di rilascio del reflist (029 -15.06.2002) Questo significa che il programma è fornito del reflist #029 rilasciato in data.... Aggiornare Ad-aware E' possibile che dopo l'uscita della versione xxx del programma sia stato rilasciato un reffile che aggiorna ulteriormente il database, in tal caso è conveniente aggiornarlo , in caso contrario Ad-aware potrebbe non riconoscere gli ultimi spyware conosciuti, trovate di seguito le istruzioni per farlo. Come si aggiorna il database ? Scaricare il piccolissimo file reffile.zip (una volta si chiamava reflist.zip) dal sito : http://www.lavasoftusa.com/downloads.html Una volta scaricato il file zippato si deve estrarlo nella directory di AD-aware: Pagina 12
Dopo che si estrae il file zippato nella giusta directory, una volta confermata la sovrascrittura del file, si procederà alla sostituzione del precedente file .awr con uno più aggiornato. Importante ! Se si dispone di una precedente versione di Ad-aware, aggiornare il database potrebbe non essere sufficiente a rilevare gli spyware più recenti, in quanto se si è in possesso di una versione precedente alla 5.8 non si può più aggiornare il database dello spyware in quanto alla versione 5.8 il file che aggiorna il database di Ad-aware cambia estensione da reflist.sig a reflist.awr.Disinstallare quindi la vostra vecchia versione e installate quella attualmente disponibile. Fare una scansione con Lavasoft Ad-aware Aggiornato il database fare doppio clic sull’icona presente sul desktop o nel menù Start- Programmi. Appare la finestra principale del programma, dove spuntare tutte le caselline (tranne floppy) e poi premere il tasto Scan (scansione) Pagina 13
Al termine della scansione apparirà una finestra di riepilogo con i file trovati (già spuntati o da spuntare a seconda di come sono state impostate le opzioni ), se il segno di spunta è già attivo cliccando su: Continue essi verranno rimossi. Altrimenti si devono spuntare la caselline bianche a sinistra della selezione e poi cliccare su Continue. Nel caso il pc fosse risultato "infestato" dallo spyware dopo aver rimosso i files potrebbe essere necessario riavviare e dopo il riavvio eseguire una nuova scansione del sistema fino a quando non si visualizzerà il messaggio sottostante, che indica che nessun spyware è stato trovato. Pagina 14
Esiste, inoltre, la possibilità di mandare in scansione il sistema in maniera automatica operando nella sottostante schermata (nella parte Options) spuntando le due caselline: Scan on windows startup (comoda in tal caso l'opzione Remove components automatically), oppure agire nelle Opzioni del Browser per non accettare tutti i cookies o per accettarli solo in modo temporaneo (sessione per sessione). Per esempio se avete Internet Explorer 5.5 SP2 potete aprirlo e andare in Strumenti - Opzioni - Protezione e nella parte Internet cliccare Personalizza. Nella parte "Consenti cookie memorizzati sul computer" spostate il pallino su disattiva. Questo fa in modo che il cookie venga deposto ma subito rimosso quando si ritorna in locale, in questo modo però si potrebberero presentare dei disagi, specie se vengono frequentati siti che li richiedono come : Hotmail , Yahoo e tanti altri. Pagina 15
LE VENTI VULNERABILITA’ PIU’ CRITICHE PER LA SICUREZZA IN INTERNET (TERZA PARTE) • G5 - I pacchetti non vengono filtrati per determinarne il corretto indirizzo in ingresso e in uscita • G5.1 Descrizione: • Lo spoofing degli indirizzi IP (1) è un metodo comune utilizzato dagli aggressori per nascondere le tracce del proprio attacco. Il celebre attacco "smurf", ad esempio, sfrutta una proprietà dei router per inviare un flusso di pacchetti a migliaia di macchine. Ogni pacchetto ha l'indirizzo sorgente contraffatto e sostituito da quello di una vittima. I computer ai quali sono indirizzati i pacchetti saturano il computer della vittima (flooding), spesso bloccando il computer o la rete. Un altro livello di protezione può essere ottenuto filtrando il traffico in ingresso (ingress filtering) e in uscita (egress filtering) dalla vostra rete. Le regole per il filtering sono le seguenti: • i pacchetti in entrata nella rete non devono avere un indirizzo sorgente appartenente alla rete interna; • i pacchetti in entrata nella rete devono avere un indirizzo di destinazione appartenente alla rete interna; • i pacchetti in uscita dalla vostra rete devono avere un indirizzo sorgente appartenente alla vostra rete interna; • i pacchetti in uscita dalla rete non devono avere un indirizzo di destinazione appartenente alla rete interna; • i pacchetti in entrata o in uscita dalla rete non devono avere un indirizzo sorgente o di destinazione appartenente ad un indirizzo privato appartenente allo spazio riservato RFC1918. Sono inclusi gli indirizzi 10.x.x.x/8, 172.16.x.x/12 o 192.168.x.x/16 e la rete di loopback 127.0.0.0/8; • bloccare i pacchetti instradati alla sorgente (source routed packet) o i pacchetti con il campo delle opzioni IP impostato; • devono essere bloccati anche gli indirizzi riservati, quelli con auto configurazione DHCP e Multicast: • 0.0.0.0/8 - 169.254.0.0/16 - 192.0.2.0/24 - 224.0.0.0/4 - 240.0.0.0/4. (1) Lo spoofing consiste nel falsificare l’indirizzo IP sorgente della connessione, in modo da far credere di essere un altro host e poter quindi superare certe difese o portare a termine tentativi deliberati di disturbo. Pagina 16
G5.2 Sistemi interessati: • La maggior parte dei sistemi operativi e dispositivi di rete. • G5.3 Lista CVE: • (Nota: la lista sottostante non è una lista completa o esaustiva. Contiene solo esempi di alcune delle vulnerabilità appartenenti alla categoria in questione). • CAN-1999-0528, CAN-1999-0529, CAN-1999-0240, CAN-1999-0588 • G5.4 Come determinare se siete vulnerabili: • Provate ad inviare un pacchetto contraffatto ("spoofed") e controllate se viene bloccato dal vostro firewall esterno o dal router. Il vostro dispositivo non solo dovrà bloccare il traffico, ma dovrà anche annotare nel file di log che i pacchetti contraffatti sono stati rifiutati. Notate comunque che quanto descritto apre la porta ad un nuovo attacco - la saturazione (flooding) del file di log. Assicuratevi che il sistema di generazione dei log possa gestire grossi carichi, per evitare che sia vulnerabile ad attacchi DOS. Per verificare la funzionalità di questo tipo di filtro possono essere utilizzati programmi come nmap per l'invio di pacchetti esca o pacchetti contraffatti (spoofed). Dopo aver impostato il filtro non datene per scontato il corretto funzionamento. Verificatene spesso la funzionalità. • G5.5 Come proteggersi: • Per difendersi da questo tipo di attacco è necessario impostare delle regole per il filtering sul vostro router o firewall esterno. Di seguito riportiamo le regole d'esempio per un router Cisco: • filtro in entrata o ingress filtering interface Serial 0 ip address 10.80.71.1 255.255.255.0 ip access-group 11 in access-list 11 deny 192.168.0.0 0.0.255.255 access-list 11 deny 172.16.0.0 0.15.255.255 access-list 11 deny 10.0.0.0 0.255.255.255 access-list 11 deny access-list 11 permit any • filtro in uscita o egress filtering interface Ethernet 0 ip address 10.80.71.1 255.255.255.0 ip access-group 11 in access-list 11 permit <your internal network>. Pagina 17
G6 - Log inesistenti o non completi G6.1 Descrizione: Una delle massime della sicurezza è "L'ideale è prevenire, ma investigare è un dovere". Il semplice fatto che consentiate al traffico di fluire tra la vostra rete e Internet vi rende automaticamente vulnerabili ai tentativi di penetrazione nella vostra rete da parte degli hacker. Ogni settimana vengono scoperte nuove vulnerabilità e ci sono ben pochi metodi per difendervi da qualcuno che vi attacca sfruttando una vulnerabilità non ancora nota. Dopo aver subito un'aggressione, se non disponete dei log, avete poche probabilità di scoprire cosa abbiano fatto gli intrusi. Senza quelle informazioni la vostra organizzazione può solo scegliere se ricaricare completamente il sistema operativo dal supporto originale, e sperare che i backup dei dati siano integri, oppure correre il rischio di continuare ad utilizzare un sistema che potrebbe essere ancora sotto il controllo di un hacker. Se non siete a conoscenza di cosa stia succedendo nella vostra rete, non potrete riconoscere un attacco. I file di log forniscono i dettagli di quello che sta accadendo, dei sistemi sotto attacco e di quelli danneggiati. La registrazione delle attività nel file di log deve essere effettuata con regolarità per tutti i sistemi di importanza cruciale; dovete inoltre effettuato un backup del file registro, dato che non sapete quando potreste averne bisogno. La maggior parte degli esperti raccomanda di inviare tutti i log ad un server centrale che scriva i dati su un supporto di memorizzazione non riscrivibile, impedendo così che un intruso sovrascriva i file registro per evitare di essere scoperto. G6.2 Sistemi interessati: Tutti i sistemi operativi e dispositivi di rete. G6.3 Lista CVE: CAN-1999-0575, CAN-1999-0576, CAN-1999-0578 G6.4 Come determinare se siete vulnerabili: Esaminate i log di sistema di tutti i sistemi principali. Se i registri sono inesistenti o se le operazioni di memorizzazione e backup non sono eseguite a livello centralizzato, allora siete vulnerabili. G6.5 Come proteggersi: Impostate tutti i sistemi affinché registrino le attività su file registro locali che poi invieranno ad un sistema remoto. Questa procedura assicura ridondanza e aggiunge un livello di sicurezza. Poi confrontate i due file registro. Eventuali differenze tra i file potrebbero indicare attività sospetta nel sistema. Questa operazione permette anche di eseguire un controllo incrociato sui file di log. Una particolare riga in un file registro di una singola macchina potrebbe non destare alcun sospetto, ma la stessa riga ripetuta per 50 server di un'organizzazione ad intervalli di un minuto può essere il segnale di un gravissimo problema. Quando possibile, inviate le informazioni dei registri ad un dispositivo che utilizzi un supporto non riscrivibile. Pagina 18