A cura di:
Nota: E' permessa la pubblicazione di questa guida su altri siti lasciando intatto il contenuto, questa nota e il link al nostro sito.
III PARTE
--------------------------------------------------------------------------------
Cari amici, bentornati al nostro consueto appuntamento settimanale.
Questa settimana, parleremo di come si possa ottenere informazioni da un sistema remoto e di come si possa sfruttarle per ottenere un accesso ad una macchina remota.
Come sempre, ci sono alcune premesse da fare.
Premesso che in un server web alcuni servizi possono essere dannosi (per un amministratore di sistema che tenga al suo posto di lavoro ovviamente), in alcune occasioni, anche il più diligente dei sistemisti, non può fare a meno di installare e configurare alla meno peggio, alcuni di questi servizi di cui sopra.
Avete mai trasferito una serie di file su Internet sfruttando il protocollo FTP?
Personalmente credo di si, tuttavia, sono certo che la maggior parte di voi, ignora, che il protocollo che avete sfruttato (bhe stiamo parlando di un semplicissimo FTP, non di un SFTP....) sia assolutamente insicuro.
Vediamo un pochetto di cosa stiamo parlando.
Quando ci colleghiamo ad un server remoto, trasmettendo il nostro nome utente e la nostra password, con il protocollo FTP, lo facciamo "in chiaro".
È verissimo, che la maggior parte di voi a questo punto dirà qualcosa come: - fosse vero, avremmo già hackerato tutti i server della terra -, ma è anche vero, che la maggior parte di coloro che l'hanno pensato, devono terminare di leggere per poter capire.
Esistono in giro per Internet, una serie di programmi detti "SNIFFER", assolutamente gratuiti e soprattutto molto utili se volete provare a capire, sperimentando di persona quanto stiamo dicendo.
Questi programmini, molto piccoli per dimensione, hanno la grandiosa capacità di SNIFFARE, restare in ascolto, su un determinato indirizzo IP, sino a quando qualcuno, non cercherà di accedere a quel sistema. A questo punto, il nostro programma, riporterà le lettere che si stanno scrivendo da una postazione remota, verso il server sul quale siete rimasti in ascolto.
Non è una cosa semplice, richiede tempo e soprattutto, non garantisce il risultato (come dici?????), certo, perchè, se l'amministratore del sistema su cui siamo in ascolto, ha attivato un servizio di SFTP (dove la S iniziale sta a significare SECURE), allora tutto ciò che riceveremo, saranno semplici caratteri criptati.
Perchè questa premessa? Perchè voi sappiate che alcune azioni sono pericolose e qualora vi trovaste ad amministrare un server web, non diate l'avvio a pericolose iniziative.
Altro protocollo alquanto insicuro (che vi sconsiglio vivamente di attivare su una vostra macchina) è il telnet, anche questo servizio infatti, invia in chiaro (senza cioè criptare nulla) password e login di chi si collega.
Negli anni si sono avute diverse evoluzioni, portate avanti da parte di alcuni hackers (hackers = quelli buoni!!!! leggete la distinzione nella prima settimana), quindi l'FTP (che ancora esiste e, non chiedetemi perchè) è stato affiancato dall'SFTP, mentre il telnet, è stato affiancato dall'ssh (via che questo protocollo lo avete sicuramente sentito nominare....).
Cos'è la criptazione? Bhe, possiamo immaginare, che (giusto per fare un esempio) una frase del tipo: - buona giornata - venga criptata con una serie di caratteri ASCII, del tipo - @@![]###ùr=??^-z -.
vero che non ci capite nulla? Bhe certo, era soltanto un esempio e non poteva in alcun modo corrispondere ad una vera forma crittografica (alcuni parlano di crittografia, altri di criptografia, il risultato non cambia).
Conclusa la nostra premessa, in cui abbiamo fatto conoscenza con due possibili punti deboli di un sistema, analizziamo il perchè ne abbiamo parlato: per poter condurre un attacco, un cracker avrà bisogno di sapere quali servizi siano attivi sul vostro server e, non avrà una grande difficoltà a sapere quali servizi siano attivi.
Un modo per sapere immediatamente se sia attivo un servizio, su un server, è chiaramente provare ad accedere a quel servizio direttamente (ad es. cercando di accedere addiritttura tramite il vostro browser sul sito
Bhe allora come risolvere questo problema? Con una scansione delle porte di comunicazione, si potrebbe dare un avvio al processo.
Dunque, siate cauti quando trovate troppi PING (ad esempio), sul vostro server e, siate cauti soprattutto, perchè potrete modulare le risposte a queste richieste di informazioni, qualunque sia la vostra piattaforma (Linux, Unix, Win NT ecc...) facendo in modo che l'eventuale aggressore non sia immediatamente in grado di capire cosa vede.
L'immediatezza spesso, concede all'avversario un vantaggio incredibile. Pensate di avere un server sotto attacco durante la notte (indovinate quando avviene la maggior parte degli attacchi???? indovinato??? di mattina! Proprio sotto i vostri occhi! Se ci avete creduto, cambiate immediatamente lavoro, vi prego), non avrete modo di difendervi se non siete li a monitorare la cosa. Tuttavia, se avete bloccato a suffienza gli accessi alla vostra macchina, avrete modo di ritardare il vostro avversario, capire quale strada stia seguendo e, nella maggior parte delle occasioni, prevenirlo e dunque bloccarlo (ma dovete leggere i log di sistema per sapere cosa succede!!! non pensiate di arrivare in ufficio, bere un caffe e dare una pacca al server per dargli coraggio! Ci sarà da lavorare!).
Ricordiamo che le informazioni date nell'arco di queste lezioni non vogliono servire come guide all'hacking (meglio cracking eh? Vedo che siete attenti), quanto piuttosto una guida sommaria, per capire come operano i nostri avversari e come difenderci.
Avrete sicuramente avuto modo di leggere che a mio parere sono da considerarsi "sicuri" sia sistemi basati su Win*, sia quelli basati su Unix. Con questa affermazione, non ho assolutamente voluto offendere Linuxiani (tra cui mi riconosco appieno da almeno 20 giorni, il documento che state leggendo è stato infatti originariamente steso con StarOffice 5.2) o gli amanti della semplicità dei sistemi Windows, voglio soltanto affermare quella che scoprirete presto essere una grande verità: indipendentemente dal S. utilizzato, quello che conta è al bravura e l'attenzione del Sistemista (o amministratore che dir si voglia), che sarà comunque in grado di difendere il proprio “territorio”.
A questo punto, mi auguro che sia chiaro un principio su cui si basano le nostre lezioni settimanali, ovvero, che un qualunque individuo che cerchi di accedere ai vostri sistemi, per poterlo fare ha bisogno di due cose:
INFORMAZIONI
Un accesso di tipo root (o Administrator per gli utenti Win NT-2000)
Ovvio a questo punto che la maggior parte del suo lavoro volgerà alla ricerca di informazioni su qualunque cosa riguardi voi, le vostre macchine e la vostra azienda.
Ricordate che minori saranno le notizie messe in giro, maggiri probabilità avrete di conservare intatti i vostri dati.
I banner (non parliamo qui dei banner pubblicitari ma di informazioni che sono contenute nel vostro computer e che lo riguardano da vicino) sono una fonte inesauribile di informazioni per i crackers, ma alcuni punti deboli delle vostre macchine potrebbero dare ben altro impulso.
Pensate ad esempio ai motori di ricerca, all'interno di questi giganteschi database, si conserva una miniera di informazioni su qualunque server sia collegato ad Internet.
Alcuni motori di ricerca (non sono tutti dei motori di ricerca, almeno, non secondo la definizione ufficiale: Yahoo non appartiene infatti ai motori di ricerca, in quanto il suo funzionamento è completamente diverso rispetto a questi, sebbene il risultato sia uguale - basti pensare durante un acquazzone alla funzione protettiva che possono avere un ombrello ed un balcone, pur proteggendoci entrambi, non sono la stessa cosa!) contengono informazioni che solitamente vengono incluse nel codice html e che dunque non dovrebbe apparire (un es. potrebbe essere il nome del titolare dell'azienda, ma spesso possono essere contenute anche delle password [so che non ci credete, ma alcuni webmaster includono a volte anche quelle all'interno del codice).
Occhio dunque a quello che inserite, pubblicate, ma occhio soprattutto a ciò che fate. Spesso, senza rendervene conto, potreste attivare dei servizi che sulla vostra macchina non hanno alcun senso e, dopo aver fatto delle semplici prove, potreste scordarvi di disattivarle.
Una buona (diciamo pure ottima) regola, per evitare di dar facile accesso a chiunque, è inserire delle password decenti!
Cosa voglio dire con questo? Che spesso amministratori di sistema (!) lasciano che la password di root (amministratore) sia vuota....
Che importa, direte voi? Come possono accedere in locale a quel computer che magari è stato anche avviato con il nome utente di un'altra persona?
Bhe, l'interesse di qualcuno a prendere possesso del vostro computer, non parte dall'avere una vita facile... nel senso che una qualunque persona può accedere liberamente al vostro server e successivamente identificarsi come proprietari (Administrator o root), per fare della vostra macchina tutto quello che vogliono.
Se avete prestato attenzione alle poche righe di questa settimana, avrete capito che ci sono molti rischi e molti modi in cui ci si può difendere. So bene che non siamo ancora arrivati al nocciolo del problema. So bene che molti di voi vorrebbero una immediata soluzione alla domanda che tutti prima o poi si pongono nella vita: - come si fa ad entrare in una macchina remota e a prenderne possesso??? -
Bhe posso dirvi sin da ora, che resterete amaramente delusi dalla risposta (di cui parleremo la prossima settimana) e, vi accorgerete di quanto sia stupida questa domanda, che purtroppo mi sono posto anch'io all'inizio della carriera, in quanto la risposta è in parte contenuta nella domanda!
Perfavore,
Entra
oppure
Registrati
per vedere i Link!
Nota: E' permessa la pubblicazione di questa guida su altri siti lasciando intatto il contenuto, questa nota e il link al nostro sito.
III PARTE
--------------------------------------------------------------------------------
Cari amici, bentornati al nostro consueto appuntamento settimanale.
Questa settimana, parleremo di come si possa ottenere informazioni da un sistema remoto e di come si possa sfruttarle per ottenere un accesso ad una macchina remota.
Come sempre, ci sono alcune premesse da fare.
Premesso che in un server web alcuni servizi possono essere dannosi (per un amministratore di sistema che tenga al suo posto di lavoro ovviamente), in alcune occasioni, anche il più diligente dei sistemisti, non può fare a meno di installare e configurare alla meno peggio, alcuni di questi servizi di cui sopra.
Avete mai trasferito una serie di file su Internet sfruttando il protocollo FTP?
Personalmente credo di si, tuttavia, sono certo che la maggior parte di voi, ignora, che il protocollo che avete sfruttato (bhe stiamo parlando di un semplicissimo FTP, non di un SFTP....) sia assolutamente insicuro.
Vediamo un pochetto di cosa stiamo parlando.
Quando ci colleghiamo ad un server remoto, trasmettendo il nostro nome utente e la nostra password, con il protocollo FTP, lo facciamo "in chiaro".
È verissimo, che la maggior parte di voi a questo punto dirà qualcosa come: - fosse vero, avremmo già hackerato tutti i server della terra -, ma è anche vero, che la maggior parte di coloro che l'hanno pensato, devono terminare di leggere per poter capire.
Esistono in giro per Internet, una serie di programmi detti "SNIFFER", assolutamente gratuiti e soprattutto molto utili se volete provare a capire, sperimentando di persona quanto stiamo dicendo.
Questi programmini, molto piccoli per dimensione, hanno la grandiosa capacità di SNIFFARE, restare in ascolto, su un determinato indirizzo IP, sino a quando qualcuno, non cercherà di accedere a quel sistema. A questo punto, il nostro programma, riporterà le lettere che si stanno scrivendo da una postazione remota, verso il server sul quale siete rimasti in ascolto.
Non è una cosa semplice, richiede tempo e soprattutto, non garantisce il risultato (come dici?????), certo, perchè, se l'amministratore del sistema su cui siamo in ascolto, ha attivato un servizio di SFTP (dove la S iniziale sta a significare SECURE), allora tutto ciò che riceveremo, saranno semplici caratteri criptati.
Perchè questa premessa? Perchè voi sappiate che alcune azioni sono pericolose e qualora vi trovaste ad amministrare un server web, non diate l'avvio a pericolose iniziative.
Altro protocollo alquanto insicuro (che vi sconsiglio vivamente di attivare su una vostra macchina) è il telnet, anche questo servizio infatti, invia in chiaro (senza cioè criptare nulla) password e login di chi si collega.
Negli anni si sono avute diverse evoluzioni, portate avanti da parte di alcuni hackers (hackers = quelli buoni!!!! leggete la distinzione nella prima settimana), quindi l'FTP (che ancora esiste e, non chiedetemi perchè) è stato affiancato dall'SFTP, mentre il telnet, è stato affiancato dall'ssh (via che questo protocollo lo avete sicuramente sentito nominare....).
Cos'è la criptazione? Bhe, possiamo immaginare, che (giusto per fare un esempio) una frase del tipo: - buona giornata - venga criptata con una serie di caratteri ASCII, del tipo - @@![]###ùr=??^-z -.
vero che non ci capite nulla? Bhe certo, era soltanto un esempio e non poteva in alcun modo corrispondere ad una vera forma crittografica (alcuni parlano di crittografia, altri di criptografia, il risultato non cambia).
Conclusa la nostra premessa, in cui abbiamo fatto conoscenza con due possibili punti deboli di un sistema, analizziamo il perchè ne abbiamo parlato: per poter condurre un attacco, un cracker avrà bisogno di sapere quali servizi siano attivi sul vostro server e, non avrà una grande difficoltà a sapere quali servizi siano attivi.
Un modo per sapere immediatamente se sia attivo un servizio, su un server, è chiaramente provare ad accedere a quel servizio direttamente (ad es. cercando di accedere addiritttura tramite il vostro browser sul sito
Perfavore,
Entra
oppure
Registrati
per vedere i Link!
, saprete se a quel determinato dominio è associato un servizio ftp). Tuttavia, le porte di comunicazione, sono molte (come spero ricordiate) e, analizzare soltanto se il servizio sia attivo, spesso non porta a nulla, se non sappiamo su quale porta è in ascolto, inoltre, non potremo sapere se si tratta di un semplice FTP o di un SFTP, non trovate? Bhe allora come risolvere questo problema? Con una scansione delle porte di comunicazione, si potrebbe dare un avvio al processo.
Dunque, siate cauti quando trovate troppi PING (ad esempio), sul vostro server e, siate cauti soprattutto, perchè potrete modulare le risposte a queste richieste di informazioni, qualunque sia la vostra piattaforma (Linux, Unix, Win NT ecc...) facendo in modo che l'eventuale aggressore non sia immediatamente in grado di capire cosa vede.
L'immediatezza spesso, concede all'avversario un vantaggio incredibile. Pensate di avere un server sotto attacco durante la notte (indovinate quando avviene la maggior parte degli attacchi???? indovinato??? di mattina! Proprio sotto i vostri occhi! Se ci avete creduto, cambiate immediatamente lavoro, vi prego), non avrete modo di difendervi se non siete li a monitorare la cosa. Tuttavia, se avete bloccato a suffienza gli accessi alla vostra macchina, avrete modo di ritardare il vostro avversario, capire quale strada stia seguendo e, nella maggior parte delle occasioni, prevenirlo e dunque bloccarlo (ma dovete leggere i log di sistema per sapere cosa succede!!! non pensiate di arrivare in ufficio, bere un caffe e dare una pacca al server per dargli coraggio! Ci sarà da lavorare!).
Ricordiamo che le informazioni date nell'arco di queste lezioni non vogliono servire come guide all'hacking (meglio cracking eh? Vedo che siete attenti), quanto piuttosto una guida sommaria, per capire come operano i nostri avversari e come difenderci.
Avrete sicuramente avuto modo di leggere che a mio parere sono da considerarsi "sicuri" sia sistemi basati su Win*, sia quelli basati su Unix. Con questa affermazione, non ho assolutamente voluto offendere Linuxiani (tra cui mi riconosco appieno da almeno 20 giorni, il documento che state leggendo è stato infatti originariamente steso con StarOffice 5.2) o gli amanti della semplicità dei sistemi Windows, voglio soltanto affermare quella che scoprirete presto essere una grande verità: indipendentemente dal S. utilizzato, quello che conta è al bravura e l'attenzione del Sistemista (o amministratore che dir si voglia), che sarà comunque in grado di difendere il proprio “territorio”.
A questo punto, mi auguro che sia chiaro un principio su cui si basano le nostre lezioni settimanali, ovvero, che un qualunque individuo che cerchi di accedere ai vostri sistemi, per poterlo fare ha bisogno di due cose:
INFORMAZIONI
Un accesso di tipo root (o Administrator per gli utenti Win NT-2000)
Ovvio a questo punto che la maggior parte del suo lavoro volgerà alla ricerca di informazioni su qualunque cosa riguardi voi, le vostre macchine e la vostra azienda.
Ricordate che minori saranno le notizie messe in giro, maggiri probabilità avrete di conservare intatti i vostri dati.
I banner (non parliamo qui dei banner pubblicitari ma di informazioni che sono contenute nel vostro computer e che lo riguardano da vicino) sono una fonte inesauribile di informazioni per i crackers, ma alcuni punti deboli delle vostre macchine potrebbero dare ben altro impulso.
Pensate ad esempio ai motori di ricerca, all'interno di questi giganteschi database, si conserva una miniera di informazioni su qualunque server sia collegato ad Internet.
Alcuni motori di ricerca (non sono tutti dei motori di ricerca, almeno, non secondo la definizione ufficiale: Yahoo non appartiene infatti ai motori di ricerca, in quanto il suo funzionamento è completamente diverso rispetto a questi, sebbene il risultato sia uguale - basti pensare durante un acquazzone alla funzione protettiva che possono avere un ombrello ed un balcone, pur proteggendoci entrambi, non sono la stessa cosa!) contengono informazioni che solitamente vengono incluse nel codice html e che dunque non dovrebbe apparire (un es. potrebbe essere il nome del titolare dell'azienda, ma spesso possono essere contenute anche delle password [so che non ci credete, ma alcuni webmaster includono a volte anche quelle all'interno del codice).
Occhio dunque a quello che inserite, pubblicate, ma occhio soprattutto a ciò che fate. Spesso, senza rendervene conto, potreste attivare dei servizi che sulla vostra macchina non hanno alcun senso e, dopo aver fatto delle semplici prove, potreste scordarvi di disattivarle.
Una buona (diciamo pure ottima) regola, per evitare di dar facile accesso a chiunque, è inserire delle password decenti!
Cosa voglio dire con questo? Che spesso amministratori di sistema (!) lasciano che la password di root (amministratore) sia vuota....
Che importa, direte voi? Come possono accedere in locale a quel computer che magari è stato anche avviato con il nome utente di un'altra persona?
Bhe, l'interesse di qualcuno a prendere possesso del vostro computer, non parte dall'avere una vita facile... nel senso che una qualunque persona può accedere liberamente al vostro server e successivamente identificarsi come proprietari (Administrator o root), per fare della vostra macchina tutto quello che vogliono.
Se avete prestato attenzione alle poche righe di questa settimana, avrete capito che ci sono molti rischi e molti modi in cui ci si può difendere. So bene che non siamo ancora arrivati al nocciolo del problema. So bene che molti di voi vorrebbero una immediata soluzione alla domanda che tutti prima o poi si pongono nella vita: - come si fa ad entrare in una macchina remota e a prenderne possesso??? -
Bhe posso dirvi sin da ora, che resterete amaramente delusi dalla risposta (di cui parleremo la prossima settimana) e, vi accorgerete di quanto sia stupida questa domanda, che purtroppo mi sono posto anch'io all'inizio della carriera, in quanto la risposta è in parte contenuta nella domanda!