A cura di:
Nota: E' permessa la pubblicazione di questa guida su altri siti lasciando intatto il contenuto, questa nota e il link al nostro sito.
IV PARTE
--------------------------------------------------------------------------------
Eccoci arrivati alla 4 lezione sulla sicurezza in rete.
Faremo una brevissima premessa per chiarire alcuni aspetti che abbiamo sino ad ora trattato e, che tratteremo di seguito, così da non creare confusione.
Tutti i sistemi Windows, hanno prediletto una maggiore semplicità di utilizzo (installazione e configurazione di molti servizi) a discapito della sicurezza.
Chiariamo, sino ad ora, quasi tutti i BUG più conosciuti sono stati risolti e, non è assolutamente scopo di questa guida, creare nuovi crackers o hackers, questa guida si propone di portare alla luce le possibili falle di tutti i sistemi più in uso, diffondendo (lo vedremo presto) anche l'operato degli assalitori.
Linux (e con lui tutti i Sistemi *BSD) è tanto decantato per la sua sicurezza; ovviamente, una comunità lavora maggiormente e con maggiore effetto rispetto ad una azienda, per quanto grande questa possa essere.
Negli ultimi anni la sicurezza è stata vista sotto i suoi principali punti (troppo spesso dimenticati da amministratori disattenti o incompetenti), questi sono riassumibili in:
•Password lunghe almeno 7 caratteri
•Nomi Utente che non diano luogo a facili interpretazioni da parte di chi accede da remoto (ad es. ciccio_admin, per un utente cui avete concesso privilegi da amministratore)
•Nomi Utente e password variate con cadenza mensile
•Verifica periodica dei log di sistema (quando qualcuno monitorizza la Vs rete avrete almeno una traccia di quello che sta per avvenire)
•Inserimento, quando possibile, di caratteri ASCII nella password di root (Administrator), questo, consente spesso di evitare che programmi di decodifica, possano giungere ad un carattere stampabile, qualora lo fosse, bosogna anche considerare che molto spesso i caratteri ASCII hanno un valore numerico diverso da quello che appare a video, dunque non sono ripetibili se non con quel codice.
Dunque, premesse concluse, passiamo a parlare del perchè e del per-come (mi si perdoni la licenza poetica) si debbano adottare queste strategie, troppo spesso scomode per un amministratore che debba tenere a bada 100 Pc, magari con diversi S.O. o debba amministrare una rete (Internet)con migliaia di utenti.
Innanzitutto, poniamo un assurdo, che in questo momento ci fa comodo per introdurre gli argomenti di cui sopra, ovvero che qualcuno abbia raccolto sufficienti informazioni sull’azienda, su di voi e sul S.O., sui servizi attivi sul vostro server e voglia dunque partire all’attacco vero e proprio, per conquistare la vostra rete.
Posto quindi l’assurdo, veniamo al punto: l’attaccante, dovrà attraversare degli ostacoli (un firewall almeno, se avete correttamente configurato la Vs rete) prima di giungere al possesso della macchina, giusto?
Spero di cuore che stiate rispondendo si, altrimenti stiamo perdendo tempo....
Bene, quale sarà il suo operato? Diciamo che il vostro firewall possa essere configurato alla perfezione, che quindi la sua architettura vi consenta di filtrare tutte le chiamate verso l’esterno, con un mascheramento degli IP e, viceversa, lasci passare all’interno soltanto le chiamate alla porta 80 e 8080 (c’è un motivo per cui si potrebbe ricorrere a questo stratagemma, ma lo analizzeremo nella sezione Linux, parlando del server Web Apache e in quella dedicata ai firewall).
Qualora aveste realizzato una struttura di questo genere, di certo non avete molto da temere (in realtà, la teoria ci insegna che non avete nulla (!)da temere!), purtroppo, non sempre le ciambelle riescono col buco.
Nelle piccole-medie aziende, la strategia più sbrigativa per gli amministratori di sistema è quella di inserire un filtro direttamente sul server. Dunque un aggressore per giungere alla vostra macchina più importante non farà molta strada...
N.B. Sconsigliamo vivamente di installare software direttamente sul server web (smtp o altro che sia) per qualche semplice motivo:
•è più semplicemente aggirabile
•spesso rende instabile il sistema
•se mal configurato può essere la migliore tra le porte lasciate aperte: voi infatti vi sentirete al sicuro, mentre un craker starà configurando il sistema a suo piacimento e magari riuscirà a mettervi nei guai senza che nemmeno lo sappiate.
Fate caso ad un piccolo particolare: ogni qual volta installate un programma su un sistema Windows, questi vi chiede di sostituire una qualche dll che lui ritiene scomoda. Deriva proprio da questo problema, la maggior parte delle volte, la debolezza dei sistemi di cui sopra.
Immaginate di dover abbattere un muro per entrare in una casa. Sarà sicuramente diverso sfondare un muro esterno, prima di giungere alla casa, piuttosto che tentare un’incursione direttamente verso un muro casalingo. Non vi pare ovvio?
Bhe ovvie eccezioni a parte, quanto appena enunciato rappresenta ad oggi la regola.
Torniamo dunque al nostro aggressore.
Pensiamo che sia riuscito a scavalcare il nostro firewall software installato direttamente sul nostro server, tramite un baco di programmazione (parleremo presto di attacchi del tipo: BUFFER OVERFLOW).
Cosa farà a questo punto?
Bhe è ovvio che non ha ancora il controllo della macchina, ma si trova in una apparente situazione di stallo, in cui purtroppo però, ha un vantaggio non da poco.
Per ottenere il pieno controllo della macchina(è a questo che si vuole arrivare no?), il nostro aggressore, deve ottenere un accesso root, ovvero deve potersi comportare da padrone di casa; questo implica che programmi che ora non può neanche vedere, debbano in seguito essere eseguiti.
In questo momento, allo stesso tempo però, se si dovesse trovare un amministratore di rete diligente, si avrebbe traccia del suo passaggio. Non è infatti ancora in grado di nascondere i suoi passi e, sino a quando non avrà ottenuto un accesso di tipo root, non potrà fare molto. Dunque in questo momento è alquanto possibile per chiunque abbia un minimo di buon senso, contrastare un attacco, prima che sia troppo tardi (okkio, non ci metterà un secondo a fare tutto quello che vuole, quindi in questo momento, sarete sotto controllo, probabilmente la vostra tastiera e i vostri log, saranno smistati verso il suo pc).
Quindi bando alle incertezze, potete fare qualcosa ma allo stesso tempo è pericoloso. Agire in questo momento rappresenta per lui una fonte di informazioni utili, ma per voi allo stesso tempo è indispensabile.
Cosa vuol dire che un aggressore può monitorare i nostri log? Vuol dire che su tutti i S.O. (Linux e *BSD compresi) viene generato un file all’interno del quale sono conservate tutte le password (spero per voi che siano almeno in forma criptata) ed in particolare, in Win NT-2000, esiste un file nel quale, le informazioni di questo tipo sono disponibili in chiaro, limitatamente agli ultimi 10 accessi.
Inoltre, nel registro di configurazione di Windows, sono contenute informazioni criptate circa username e password.
Non pensate che sia così semplice crackare un computer, la gente di cui stiamo parlando, è suffientemente esperta e potrebbe sfilarvi i lacci dalle scarpe senza slacciarli.
Come si fa dunque ad ottenere le ultime informazioni?
Abbiamo chiarito che ad un aggressore serve avere i privilegi da utente root, ma quindi cosa gli manca a questo punto, se è già riuscito ad entrare e sta leggendo i nostri log?
Ciò che manca a questo punto sono: nome utente (in Windows NT l’utente Administrator era quasi sempre lasciato in chiaro, quindi si aveva la certezza di avere almeno una parte del lavoro già realizzata) e, la password da utente root.
Come si può ottenerla dai log o dal registro di configurazione di Windows, se queste due notizie sono conservate in forma criptata?
Una delle risposte più in voga prima che la criptazione avesse “largo consumo”, era quella di tirare ad indovinare (che pensavate, che premendo un bottone entrassero nel Vs. server e ne prendessero il controllo???); ad oggi, con la crescente diffusione della pratica criptografica, vi sono due diverse strade da poter perseguire:
•la prima e, più diffile, comprende la conoscenza della programmazione e degli algoritmi di criptazione, con questi infatti (non è facile, lo so, ma non ho mai detto che lo fosse) l’aggressore potrebbe costruirsi un programmino che decripti i vostri log.
•la seconda, molto più agevole, è data dalla conoscenza di strumenti atti a decriptare questi stessi log e registri di configurazione e, che sono stati già belli e fatti, da alcune case, che li mettono in vendita.
Ovvio che un cracker non acquisterà mai nulla, cercherà al più di utilizzare un programma fatto da lui, ma per voi, miei accoliti, posso dire in tutta tranquillità, che esistono varianti molto economiche, che vi consentiranno di testare la sicurezza della vostra rete e dei vostri server. Di questi prog parleremo la prossima settimana, quando pubblicheremo in separata sede, una piccola appendice che li comprenderà.
Dunque, visto che abbiamo, coem premesso, un ladro in casa, dovremmo cercare di contrastarlo.
Durante un attacco, è bene aver chiari alcuni concetti, perchè si sappia a priori, che pur andando incontro a sacrifici, ogni problema è in toto o in parte, sempre risolvibile.
N.B.All’inizio di questa settimana abbiamo parlato di come sia possibile inserire all’interno di una password, un carattere ASCII, bene, questa procedura è disponibile anche per la condivisione di file e cartelle di Windows. Bhe, certo non è una grande sicurezza, ma si può fare in modo che alcuni dati non siano cancellabili neanche da parte dell’utente root (in quanto, i caratteri ASCII spesso non sono ripetibili se non nell’esatta sequenza, dunque il carattere / derivante da una pressione di tasti particolare, è diverso dal carattere / derivante dalla pressione del tasto corrispondente sulla tastiera. Quando andrete a fare delle prove di questo tipo, Windows, non troverà il file, in quanto per lui i caratteri sono diversi e, dunque non vi concederà di cancellarlo!). Questo vale per prevenzione, ma è necessario chiarire che è importante prevenire e non curare.
Qualora un attaccante sia riuscito ad avere accesso alla vostra macchina, vi restano tre speranze:
•che sia stato un colpo di fortuna da parte sua;
•che sia un tipo distratto;
•che non abbia pensato che potete contrastarlo.
Un attaccante che non abbia ancora avuto accesso completo alla vostra macchina, potrebbe tentare diverse strade, tuttavia, come abbiamo appena chiarito, in questo momento, è ancora rintracciabile.
Una strada potrebbe essere data da un programma che “ascolti" la vostra tastiera (che prenda quindi in memoria tutti i tasti che voi battete), filtrando questi dati, in base alla pressione dei tasti CTRL ALT Canc, potrà avere buone carte in mano.
Un’altra strada potrebbe essere data (su macchine Unix Like) dal caricamento in memoria di un modulo (eh lo so, questa è davvero difficile per comuni mortali e, per di più, sembra quasi impossibile ai semplici users), ad es. la scheda audio (di solito non è presente sui server), per poi eseguire nella cartella “Tal de’ Tali” un file midi e, attivare dunque il caricamento di quel modulo.
Altre strade ancora, sono date dai famosi programmi per crare Back Door, come “Back Orifice 2000", giusto per citarne uno. Ma questi ovviamente sono quasi l’ultima spiaggia, dovrebbe essere un aggressore disperato per fare una cosa del genere e, voi dovreste essere decisamente incompetenti per ricevere le vostre mail su un server.
Dunque abbiate sempre il buon senso di chiudere la porta di casa (!!!! ) prima di trovare spiacevoli sorprese al vostro ritorno.
Chiudiamo per il momento qui questa puntata e rimandiamo come al solito alla prossima, la discussione su BackDoor, utility per scovare i buchi della vostra rete ecc....
Perfavore,
Entra
oppure
Registrati
per vedere i Link!
Nota: E' permessa la pubblicazione di questa guida su altri siti lasciando intatto il contenuto, questa nota e il link al nostro sito.
IV PARTE
--------------------------------------------------------------------------------
Eccoci arrivati alla 4 lezione sulla sicurezza in rete.
Faremo una brevissima premessa per chiarire alcuni aspetti che abbiamo sino ad ora trattato e, che tratteremo di seguito, così da non creare confusione.
Tutti i sistemi Windows, hanno prediletto una maggiore semplicità di utilizzo (installazione e configurazione di molti servizi) a discapito della sicurezza.
Chiariamo, sino ad ora, quasi tutti i BUG più conosciuti sono stati risolti e, non è assolutamente scopo di questa guida, creare nuovi crackers o hackers, questa guida si propone di portare alla luce le possibili falle di tutti i sistemi più in uso, diffondendo (lo vedremo presto) anche l'operato degli assalitori.
Linux (e con lui tutti i Sistemi *BSD) è tanto decantato per la sua sicurezza; ovviamente, una comunità lavora maggiormente e con maggiore effetto rispetto ad una azienda, per quanto grande questa possa essere.
Negli ultimi anni la sicurezza è stata vista sotto i suoi principali punti (troppo spesso dimenticati da amministratori disattenti o incompetenti), questi sono riassumibili in:
•Password lunghe almeno 7 caratteri
•Nomi Utente che non diano luogo a facili interpretazioni da parte di chi accede da remoto (ad es. ciccio_admin, per un utente cui avete concesso privilegi da amministratore)
•Nomi Utente e password variate con cadenza mensile
•Verifica periodica dei log di sistema (quando qualcuno monitorizza la Vs rete avrete almeno una traccia di quello che sta per avvenire)
•Inserimento, quando possibile, di caratteri ASCII nella password di root (Administrator), questo, consente spesso di evitare che programmi di decodifica, possano giungere ad un carattere stampabile, qualora lo fosse, bosogna anche considerare che molto spesso i caratteri ASCII hanno un valore numerico diverso da quello che appare a video, dunque non sono ripetibili se non con quel codice.
Dunque, premesse concluse, passiamo a parlare del perchè e del per-come (mi si perdoni la licenza poetica) si debbano adottare queste strategie, troppo spesso scomode per un amministratore che debba tenere a bada 100 Pc, magari con diversi S.O. o debba amministrare una rete (Internet)con migliaia di utenti.
Innanzitutto, poniamo un assurdo, che in questo momento ci fa comodo per introdurre gli argomenti di cui sopra, ovvero che qualcuno abbia raccolto sufficienti informazioni sull’azienda, su di voi e sul S.O., sui servizi attivi sul vostro server e voglia dunque partire all’attacco vero e proprio, per conquistare la vostra rete.
Posto quindi l’assurdo, veniamo al punto: l’attaccante, dovrà attraversare degli ostacoli (un firewall almeno, se avete correttamente configurato la Vs rete) prima di giungere al possesso della macchina, giusto?
Spero di cuore che stiate rispondendo si, altrimenti stiamo perdendo tempo....
Bene, quale sarà il suo operato? Diciamo che il vostro firewall possa essere configurato alla perfezione, che quindi la sua architettura vi consenta di filtrare tutte le chiamate verso l’esterno, con un mascheramento degli IP e, viceversa, lasci passare all’interno soltanto le chiamate alla porta 80 e 8080 (c’è un motivo per cui si potrebbe ricorrere a questo stratagemma, ma lo analizzeremo nella sezione Linux, parlando del server Web Apache e in quella dedicata ai firewall).
Qualora aveste realizzato una struttura di questo genere, di certo non avete molto da temere (in realtà, la teoria ci insegna che non avete nulla (!)da temere!), purtroppo, non sempre le ciambelle riescono col buco.
Nelle piccole-medie aziende, la strategia più sbrigativa per gli amministratori di sistema è quella di inserire un filtro direttamente sul server. Dunque un aggressore per giungere alla vostra macchina più importante non farà molta strada...
N.B. Sconsigliamo vivamente di installare software direttamente sul server web (smtp o altro che sia) per qualche semplice motivo:
•è più semplicemente aggirabile
•spesso rende instabile il sistema
•se mal configurato può essere la migliore tra le porte lasciate aperte: voi infatti vi sentirete al sicuro, mentre un craker starà configurando il sistema a suo piacimento e magari riuscirà a mettervi nei guai senza che nemmeno lo sappiate.
Fate caso ad un piccolo particolare: ogni qual volta installate un programma su un sistema Windows, questi vi chiede di sostituire una qualche dll che lui ritiene scomoda. Deriva proprio da questo problema, la maggior parte delle volte, la debolezza dei sistemi di cui sopra.
Immaginate di dover abbattere un muro per entrare in una casa. Sarà sicuramente diverso sfondare un muro esterno, prima di giungere alla casa, piuttosto che tentare un’incursione direttamente verso un muro casalingo. Non vi pare ovvio?
Bhe ovvie eccezioni a parte, quanto appena enunciato rappresenta ad oggi la regola.
Torniamo dunque al nostro aggressore.
Pensiamo che sia riuscito a scavalcare il nostro firewall software installato direttamente sul nostro server, tramite un baco di programmazione (parleremo presto di attacchi del tipo: BUFFER OVERFLOW).
Cosa farà a questo punto?
Bhe è ovvio che non ha ancora il controllo della macchina, ma si trova in una apparente situazione di stallo, in cui purtroppo però, ha un vantaggio non da poco.
Per ottenere il pieno controllo della macchina(è a questo che si vuole arrivare no?), il nostro aggressore, deve ottenere un accesso root, ovvero deve potersi comportare da padrone di casa; questo implica che programmi che ora non può neanche vedere, debbano in seguito essere eseguiti.
In questo momento, allo stesso tempo però, se si dovesse trovare un amministratore di rete diligente, si avrebbe traccia del suo passaggio. Non è infatti ancora in grado di nascondere i suoi passi e, sino a quando non avrà ottenuto un accesso di tipo root, non potrà fare molto. Dunque in questo momento è alquanto possibile per chiunque abbia un minimo di buon senso, contrastare un attacco, prima che sia troppo tardi (okkio, non ci metterà un secondo a fare tutto quello che vuole, quindi in questo momento, sarete sotto controllo, probabilmente la vostra tastiera e i vostri log, saranno smistati verso il suo pc).
Quindi bando alle incertezze, potete fare qualcosa ma allo stesso tempo è pericoloso. Agire in questo momento rappresenta per lui una fonte di informazioni utili, ma per voi allo stesso tempo è indispensabile.
Cosa vuol dire che un aggressore può monitorare i nostri log? Vuol dire che su tutti i S.O. (Linux e *BSD compresi) viene generato un file all’interno del quale sono conservate tutte le password (spero per voi che siano almeno in forma criptata) ed in particolare, in Win NT-2000, esiste un file nel quale, le informazioni di questo tipo sono disponibili in chiaro, limitatamente agli ultimi 10 accessi.
Inoltre, nel registro di configurazione di Windows, sono contenute informazioni criptate circa username e password.
Non pensate che sia così semplice crackare un computer, la gente di cui stiamo parlando, è suffientemente esperta e potrebbe sfilarvi i lacci dalle scarpe senza slacciarli.
Come si fa dunque ad ottenere le ultime informazioni?
Abbiamo chiarito che ad un aggressore serve avere i privilegi da utente root, ma quindi cosa gli manca a questo punto, se è già riuscito ad entrare e sta leggendo i nostri log?
Ciò che manca a questo punto sono: nome utente (in Windows NT l’utente Administrator era quasi sempre lasciato in chiaro, quindi si aveva la certezza di avere almeno una parte del lavoro già realizzata) e, la password da utente root.
Come si può ottenerla dai log o dal registro di configurazione di Windows, se queste due notizie sono conservate in forma criptata?
Una delle risposte più in voga prima che la criptazione avesse “largo consumo”, era quella di tirare ad indovinare (che pensavate, che premendo un bottone entrassero nel Vs. server e ne prendessero il controllo???); ad oggi, con la crescente diffusione della pratica criptografica, vi sono due diverse strade da poter perseguire:
•la prima e, più diffile, comprende la conoscenza della programmazione e degli algoritmi di criptazione, con questi infatti (non è facile, lo so, ma non ho mai detto che lo fosse) l’aggressore potrebbe costruirsi un programmino che decripti i vostri log.
•la seconda, molto più agevole, è data dalla conoscenza di strumenti atti a decriptare questi stessi log e registri di configurazione e, che sono stati già belli e fatti, da alcune case, che li mettono in vendita.
Ovvio che un cracker non acquisterà mai nulla, cercherà al più di utilizzare un programma fatto da lui, ma per voi, miei accoliti, posso dire in tutta tranquillità, che esistono varianti molto economiche, che vi consentiranno di testare la sicurezza della vostra rete e dei vostri server. Di questi prog parleremo la prossima settimana, quando pubblicheremo in separata sede, una piccola appendice che li comprenderà.
Dunque, visto che abbiamo, coem premesso, un ladro in casa, dovremmo cercare di contrastarlo.
Durante un attacco, è bene aver chiari alcuni concetti, perchè si sappia a priori, che pur andando incontro a sacrifici, ogni problema è in toto o in parte, sempre risolvibile.
N.B.All’inizio di questa settimana abbiamo parlato di come sia possibile inserire all’interno di una password, un carattere ASCII, bene, questa procedura è disponibile anche per la condivisione di file e cartelle di Windows. Bhe, certo non è una grande sicurezza, ma si può fare in modo che alcuni dati non siano cancellabili neanche da parte dell’utente root (in quanto, i caratteri ASCII spesso non sono ripetibili se non nell’esatta sequenza, dunque il carattere / derivante da una pressione di tasti particolare, è diverso dal carattere / derivante dalla pressione del tasto corrispondente sulla tastiera. Quando andrete a fare delle prove di questo tipo, Windows, non troverà il file, in quanto per lui i caratteri sono diversi e, dunque non vi concederà di cancellarlo!). Questo vale per prevenzione, ma è necessario chiarire che è importante prevenire e non curare.
Qualora un attaccante sia riuscito ad avere accesso alla vostra macchina, vi restano tre speranze:
•che sia stato un colpo di fortuna da parte sua;
•che sia un tipo distratto;
•che non abbia pensato che potete contrastarlo.
Un attaccante che non abbia ancora avuto accesso completo alla vostra macchina, potrebbe tentare diverse strade, tuttavia, come abbiamo appena chiarito, in questo momento, è ancora rintracciabile.
Una strada potrebbe essere data da un programma che “ascolti" la vostra tastiera (che prenda quindi in memoria tutti i tasti che voi battete), filtrando questi dati, in base alla pressione dei tasti CTRL ALT Canc, potrà avere buone carte in mano.
Un’altra strada potrebbe essere data (su macchine Unix Like) dal caricamento in memoria di un modulo (eh lo so, questa è davvero difficile per comuni mortali e, per di più, sembra quasi impossibile ai semplici users), ad es. la scheda audio (di solito non è presente sui server), per poi eseguire nella cartella “Tal de’ Tali” un file midi e, attivare dunque il caricamento di quel modulo.
Altre strade ancora, sono date dai famosi programmi per crare Back Door, come “Back Orifice 2000", giusto per citarne uno. Ma questi ovviamente sono quasi l’ultima spiaggia, dovrebbe essere un aggressore disperato per fare una cosa del genere e, voi dovreste essere decisamente incompetenti per ricevere le vostre mail su un server.
Dunque abbiate sempre il buon senso di chiudere la porta di casa (!!!! ) prima di trovare spiacevoli sorprese al vostro ritorno.
Chiudiamo per il momento qui questa puntata e rimandiamo come al solito alla prossima, la discussione su BackDoor, utility per scovare i buchi della vostra rete ecc....