La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

BOLLETTINO DI SICUREZZA INFORMATICA STATO MAGGIORE DIFESA Reparto Informazioni e Sicurezza Ufficio Sicurezza Difesa N°3/2003.

Presentazioni simili


Presentazione sul tema: "BOLLETTINO DI SICUREZZA INFORMATICA STATO MAGGIORE DIFESA Reparto Informazioni e Sicurezza Ufficio Sicurezza Difesa N°3/2003."— Transcript della presentazione:

1 BOLLETTINO DI SICUREZZA INFORMATICA STATO MAGGIORE DIFESA Reparto Informazioni e Sicurezza Ufficio Sicurezza Difesa N°3/2003

2 PER CONTATTI : TEL. 06/ –FAX 06/ SISTEMI OPERATIVI : - IL FILE HOSTS ANTISPYWARE Pag. 1 - LIMPORTANZA DEL COMANDO NETSTAT Pag. 5 - CONFIGURARE I FILTRI TCP/IP Pag. 8 FOCUS ON ….: - BUFFER OVERFLOW ALLINTERNO DI REALONE E REALPLAYER Pag. 9 - DOS VIA NETWORK AL 3COM RAS 1500 Pag. 9 SICUREZZA DELLA RETE: - LE VENTI VULNERABILITA PIU CRITICHE PER LA SICUREZZA IN INTERNET (SETTIMA PARTE). Pag. 10

3 Pagina 1 Il modo più semplice e rapido per evitare la fuga di informazioni dal proprio PC è quello di impedirne l'uscita modificando il file "HOSTS" (file senza estensione). E' un file di testo, che, anche se non ha l'estensione TXT puo' essere aperto con il Notepad (Blocco appunti). Il file e' in diversa posizione a seconda della versione del sistema operativo, in NT/2000 e' in WINDOWS/system32/drivers/etc/ (dove WINDOWS e' la directory principale di installazione, puo' essere ad esempio WINNT) nei sistemi Win95/98/ME dovrebbe essere nella directory di installazione stessa. Una volta trovato il file, e aperto con il notepad, si nota che oltre tante altre righe di commento (che iniziano con #) ci dovrebbe essere ALMENO UNA riga del tipo localhost Questa significa che il nome 'localhost' e' associato all'indirizzo IP , indirizzo di default del PC. Per capire meglio il concetto di indirizzo IP e come il PC rintraccia un server Web, vengono di seguito illustrati alcuni brevi concetti. Indirizzi IP. Le reti collegate ad Internet attraverso i protocolli TCP/IP utilizzano un indirizzo a 32 bit per individuare un computer e la rete nella quale è inserito. Il formato di tale indirizzo è: Indirizzo IP = Indirizzo di rete + Indirizzo di host L'indirizzo è rappresentato da 4 byte ognuno dei quali espresso in forma decimale da 0 a 255 e separato dagli altri con un punto. Ad esempio, un tipico indirizzo IP è: Sono consentiti quattro tipi di formati di indirizzo IP indicati con classe A, classe B, classe C e classe D. E' previsto un ulteriore formato per usi futuri indicato con classe E. IL FILE HOSTS ANTISPYWARE

4 Pagina 2 DNS (Domain Network Service). Poiché non è facile ricordare a memoria l'indirizzo IP numerico del server al quale ci si desidera collegare, si è pensato di utilizzare un indirizzo mnemonico da porre in corrispondenza biunivoca con l'indirizzo numerico IP attraverso una tabella. L'indirizzo mnemonico, denominato DNS (Domain Name System), non è del tutto casuale ma segue una logica che consente, seppur in minima misura, di riconoscere la natura del sito: università (edu), militare (mil), governativo (gov), commerciale (com), italiano (it), inglese (uk), svizzero (ch), ecc. e il tipo di protocollo: ftp (file transfert protocol), www (world wide web), mail, news, gopher, ecc. I vari nomi che compongono l'indirizzo sono separati tra loro da un punto. Ad esempio, i seguenti DNS individuano, rispettivamente: un server World Wide Web italiano di google. un server World Wide Web commerciale di nome microsoft. Dopo una breve panoramica sugli indirizzi IP e DNS torniamo al file HOSTS di Windows. Quando si scrive un indirizzo web sullapposita riga del pannello del Browser (es: il PC cerca il corrispondente indirizzo IP nel file HOSTS, se non trovato manda al server DNS del fornitore ISP (Internet Service Provider ad es: tin.it, libero.it, infinito.it, ecc) la richiesta di convertirlo in indirizzo IP. Il server DNS del provider dopo la conversione, prosegue instradando la richiesta al sito in questione comportandosi come un Router. Volendo intervenire possiamo fornire al sito SPYWARE (ad es: un indirizzo IP non valido. La particolarità consiste nell'inserire nel file HOSTS la seguente digitura: Oppure: e individuano il "LOCALHOST" ovvero l' HOST locale (il PC). Quindi quando il software SPYware tenta di inviare i dati al sito previsto, manda la richiesta di conversione dell'indirizzo al PC (al file HOSTS) che lo converte nell'indirizzo locale della nostra macchina con il risultato che i dati non vengono inviati nella rete. Modifica al File HOSTS. Si può reperire un file HOSTS per windows aggiornato con tutti i siti SPYware "cortocircuitati" a LOCALHOST all'indirizzo:

5 Pagina 3 Il file si presenta compresso con lestensione.zip, una volta scompattato si presenta come in figura con il nome di: Invalid.txt In questo file, che può essere aggiornato, sono elencati i siti web riconosciuti come probabili spyware; di conseguenza con un file HOSTS fatto in questo modo si può bloccare linvio di informazioni in partenza dal PC. SVANTAGGI. SE GLI INDIRIZZI DEL SOFTWARE SPYWARE VENGONO TRASMESSI COME INDIRIZZO IP IL FILE HOSTS MODIFICATO NON PUO' BLOCCARLI (se non avviene la trasformazione da indirizzo web a IP il metodo non funziona). Presupponiamo che l'utente conosca tutti gli indirizzi web (es:ads.doubleclick.com) a cui vengono inviati i nostri dati. Nel web sono stati creati dei database contenenti tutte le liste di indirizzi SPYware conosciuti per i siti americani conosciuti, per i siti pubblicitari italiani potrebbero esserci dei problemi. Nelle reti in cui è presente un Proxy Server può succedere che non sempre è possibile "bypassare" (scavalcare) il Proxy. Usando l'indirizzo , il comando "netstat" visualizza oltre ai servizi effettivi in ascolto anche tutti gli indirizzi posti a nel file HOSTS. Per eliminare questo inconveniente basta sostituire al posto di il Nel caso in cui non si riesca più a connettersi ad un sito web dopo la modifica del file HOSTS; si può risolvere il problema aprendo il file con un nomale editor di testi (es: BloccoNote) e inserire il carattere "#" all'inizio della riga contenete il sito in questione ("#" indica un commento). Ricordiamo che se quel sito a cui non si riesce ad accedere è presente nel file HOST, significa che il sito è a rischio.

6 Pagina 4 Vantaggi. Evitare la trasmissione di informazioni inutili significa disporre di più "banda" (maggiore capacità di trasmissione) per le altre applicazioni. I comuni software "AD-BLOCKING" bloccano solo le informazioni pubblicitarie che passano attraverso connessioni provenienti da server HTTP (porta 80). Tutte le altre connessioni non vengono "filtrate". Il metodo del file HOSTS permette di controllare tutte le connessioni da QUALSIASI PORTA. Possibilità di scegliere quali indirizzi possono "passare" e quali no!!

7 Pagina 5 Netstat è un programma che permette di ottenere informazioni sulle connessioni in corso rivelando se qualche estraneo si è inserito nella macchina. Per accedere a questo programma bisogna andare nel prompt dei comandi dos. Il programma Netstat, presente su ogni piattaforma che opera in rete, costituisce una risorsa preziosa in quanto è in grado di visualizzare informazioni sulle connessioni di rete: rilevando il protocollo su cui si basano (Tcp o Udp), l'indirizzo locale, quello remoto e lo stato della connessione stessa. Esamineremo il significato di ognuna di queste voci, oltre alle opzioni con cui l'applicazione può essere lanciata dal prompt dei comandi. Anche se l'attenzione è rivolta alla versione fornita da Windows, quanto riportato è generalmente valido per ogni sistema: i dettagli che contraddistinguono le varie implementazioni di questo programma sono infatti minime. Infine cercheremo di mettere in luce i suoi punti deboli, se usato come strumento d'analisi sulla sicurezza dei computer. Indirizzi e porte Un server può offrire molteplici servizi (invio e gestione posta, Web etc.), ma come fa a sapere di quale servizio il client vuole di volta in volta usufruire? Il "trucco" è quello di associare a ogni servizio disponibile una specifica porta, le cui caratteristiche sono ben definite, assieme alle descrizioni dei protocolli, in diverse documentazioni tecniche reperibili su Internet, come ad esempio le Rfc reperibili su In un ufficio postale di qualche anno fa esistevano vari sportelli, ognuno dei quali svolgeva un servizio ben determinato: uno per le raccomandate, uno per i pacchi,uno per i telegrammi, uno per vaglia e conti correnti, uno per il pagamento delle pensioni. Analogamente, una macchina connessa alla rete (l'"ufficio postale") ha una serie di porte (gli "sportelli"), ognuna delle quali ha un numero ed e' associata a un ben determinato servizio. La porta è un numero a 16 bit, compreso fra 0 e 2 16, ossia , le cosiddette well-knows ports (Servizi Ben Noti). I piu' usati sono il 21 per l'ftp,il 23 per telnet, il 25 per smtp (invio di posta), 80 (http, pagine web; molti server usano anche la porta 8080), il 110 per pop3(ricezione di posta), il 119 per nntp (le news). Il file services (in windows e' nella directory C:\ \System) li elenca in maniera piu' dettagliata.http://www.rfc-editor.org/. LIMPORTANZA DEL COMANDO NETSTAT

8 Pagina 6 Leggere Netstat Per ottenere le informazioni sulle connessioni in corso basta semplicemente digitare "netstat" dal prompt dei comandi DOS. Saranno visualizzate quattro colonne: "Proto", "Indirizzo locale", "Indirizzo remoto", "Stato". La prima indica il protocollo su cui si basa la connessione e può assumere i valori tcp o udp. Il Tcp garantisce che i dati non vadano persi lungo il percorso, perciò è largamente impiegato laddove l'affidabilità è il requisito preminente. Si preferisce l'Udp quando vi è la necessità di una connessione veloce (ad esempio durante le trasmissioni di stream audio/video), benché spesso questa differenza sia più teorica che reale. Nel campo "indirizzo locale" appare il proprio Ip o il nome host locale. L'indirizzo Ip è una specie di "targa" che identifica in maniera univoca un host. Connettendosi alla Rete via telefono con un modem se ne ottiene uno dinamico, diverso ad ogni collegamento, mentre i server ne possiedono uno statico. I dati riportati in questo campo sono riportati nella forma indirizzo IP porta. Lo stesso vale per il campo "Indirizzo remoto. Quando la porta e host non sono ancora definiti, compaiono rispettivamente un asterisco o l'indirizzo fittizio al loro posto. Se ad esempio un'applicazione è in ascolto su una porta, ossia è in attesa di connessioni, ovviamente l'indirizzo remoto non può essere già noto. Allo stesso modo, grazie a Netstat si possono controllare eventuali connessioni sospette, rilevatrici della possibile presenza di una backdoor, una porta di servizio aperta clandestinamente per "controllare" in qualche modo il nostro Pc. Molti di questi "troiani", se non specificato altrimenti dal "pirata", usano una porta predefinita: così, quando una di queste è aperta, si può sospettare di essere l'ospite inconsapevole di una di queste presenze indesiderate. Un elenco di queste porte lo si può trovare su : Infine, la quarta colonna indica lo stato attuale della connessione e può assumere i valori riportati nella tabella che segue.http://www.sans.org/newlook/resources/IDFAQ/oddports.htm

9 Pagina 7 I valori che può assumere una connessione : * ESTABLISHED: la connessione è stata stabilita. * LISTEN: un'applicazione è in ascolto sulla porta, in attesa di una connessione; * SYN_RECEIVED: inizializzazione della connessione in corso; * SYN_SEND: la porta sta tentando di avviare la procedura d'inizializzazione; * LAST_ACK: in attesa della conferma finale per la chiusura della connessione; * CLOSE_WAIT: la porta remota chiude la connessione e attende il messaggio di conferma finale; * FIN_WAIT_1: la porta è chiusa e la connessione è sul punto di terminare; * FIN_WAIT_2: la connessione è chiusa e la porta è in attesa della conferma dall'altra parte; * TIMED_WAIT: la porta è in attesa della conferma della conclusione della connessione; * CLOSED: connessione definitivamente chiusa. Netstat può essere lanciato con diverse opzioni che devono essere scritte, con uno spazio nel prompt dei programmi, come ad esempio netstat -a. Le opzioni di Netstat * -a: visualizza tutte le connessioni, anche quelle in stato listening, che normalmente non sono mostrate. * -n: visualizza porte e indirizzi in forma numerica. Altrimenti i nomi host compaiono al posto degli Ip e il nome del servizio (Http, Nntp e così via) in luogo della porta. * -e: visualizza le statistiche Ethernet. * -p proto: mostra le connessioni in corso tramite il protocollo specificato da proto. Proto può assumere i valori tcp o udp. * -s: visualizza le statistiche ordinate per protocollo. Di norma l'ordine è Tco, Udp, Icmp e Ip, ma usato in combinazione con l'opzione p può fungere da filtro per le informazioni: ad esempio "netstat -s -p udp" visualizza solo le statistiche relative al protocollo Udp. * -r visualizza la tabella di routing. * intervallo: ripete l'operazione ogni tot secondi. Per bloccare l'esecuzione si deve premere Ctrl+C (combinazione predefinita per la chiusura delle applicazioni in ambiente Ms-Dos). Ad esempio "netstat -a 5" visualizza tutte le connessioni ogni 5 secondi.

10 Pagina 8 CONFIGURARE I FILTRI TCP/IP Se non si dispone di un firewall o se non si è in grado di amministrare il router per qualsiasi ragione, si può far diventare il computer una sorta di firewall limitando le connessioni in ingresso ricevute. In Windows 2000, fare clic sul pulsante Start, scegliere Impostazioni, quindi Rete e connessioni remote, fare clic con il pulsante destro del mouse sulla scheda di rete connessa a Internet e scegliete Proprietà. Selezionare Protocollo Internet (TCP/IP) e scegliere il pulsante Proprietà, quindi il pulsante Avanzate e passare alla scheda Opzioni. Selezionare Filtro TCP/IP e scegliere il pulsante Proprietà. Verrà visualizzata una finestra di dialogo simile a quella illustrata nella figura. Da qui è possibile limitare le porte che accettano le connessioni in ingresso. Nell'esempio illustrato in figura, l'accesso è limitato in maniera tale che possano essere utilizzate solo le porte 80 e 443 per le connessioni HTTP e HTTPS (nel caso la macchina venga usata come web server).

11 Pagina 9 FOCUS ON…..: BUFFER OVERFLOW ALLINTERNO DI REALONE E REALPLAYER : DATA : ; VERSIONI INTERESSATE: RealOne Player, RealOne Player v2, RealPlayer 8, RealOne Enterprise Desktop Manager, RealOne Enterprise Desktop; DESCRIZIONE : Una vulnerabilità riconosciuta come buffer overflow è stata individuata nelle librerie che gestiscono le immagini PNG (Portable Network Graphics). Un remote user potrebbe costruire codici ad hoc pronti per essere eseguiti, sfurttando tale vulnerabilità; IMPATTO : Un remote user potrebbe creare un file PNG opportunamente modificato, il quale una volta caricato dalluser vittima, potrebbe dare luogo allesecuzione di codici arbitrari; SOLUZIONE : Per risolvere tale vulnerabilità la casa costruttrice consiglia di visitare il proprio sito al seguente indirizzo : DOS VIA NETWORK AL 3COM RAS 1500 DATA : ; VERSIONE INTERESSATA : 3Com Super Stack Remote Access System 1500; Firmware x2.0.10; DESCRIZIONE: Sono state riportate due vulnerabilità allappliance 3Com Super Stack RAS della serie 1500, tramite il quale un remote user potrebbe : - mandare in crash il device; - potrebbe recepire informazioni dalla configurazione del device. Il remote user per fare questo, crea e spedisce un pacchetto IP opportunamente modificato, in questo caso settando a zero il campo hlen (Header LENgth ), causando così il crash del sistema e sconnettendo tutti gli utenti collegati allinterfaccia PRI-ISDN. IMPATTO: Un remote user potrebbe mandare in crash il router, sconnettendo tutti gli utenti collegati per poi autoavviarsi.

12 Pagina 10 LE VENTI VULNERABILITA PIU CRITICHE PER LA SICUREZZA IN INTERNET (SETTIMA PARTE) W5 Accesso anonimo - Null session W5.1 Descrizione : Una connessione tramite Null session, nota anche come Accesso anonimo, è un meccanismo che consente ad un utente anonimo di ottenere informazioni attraverso la rete (come ad esempio nomi utente e condivisioni) o di connettersi senza autenticazione. Viene utilizzato da applicazioni come explorer.exe per enumerare le condivisioni sui server remoti. Nei sistemi Windows NT, 2000 e XP, molti servizi locali sono eseguiti con l'account SYSTEM, noto su Windows 2000 e XP come LocalSystem. L'account SYSTEM viene utilizzato per varie operazioni critiche di sistema. Quando una macchina ha bisogno di recuperare dati di sistema da un'altra, l'account SYSTEM apre una sessione nulla su questa seconda macchina. L' account SYSTEM possiede privilegi virtualmente illimitati e non richiede alcuna password, in modo che non ci si possa connettere normalmente come SYSTEM. A volte laccount SYSTEM ha bisogno di accedere ad informazioni presenti su altre macchine come ad esempio condivisioni disponibili, nomi utente e altre funzionalità tipiche delle Risorse di Rete. Poiché non può connettersi agli altri sistemi con UserID e password, utilizza per accedere una Sessione Nulla. Sfortunatamente anche gli aggressori possono connettersi utilizzando una Sessione Nulla. W5.2 Sistemi operativi interessati Tutte le versioni di Windows NT, 2000 e XP. W5.3 Riferimenti CVE CAN W5.4 Come determinare se siete vulnerabili Provate a connettervi al vostro sistema con una Sessione Nulla utilizzando il seguente comando: net use \\a.b.c.d\ipc$ "" /user:"" (dove a.b.c.d rappresenta l'indirizzo IP del sistema remoto). Se ricevete una risposta di "connessione non riuscita", il vostro sistema non è vulnerabile. Se non ricevete alcuna risposta significa che il comando è stato eseguito con successo e il vostro sistema è vulnerabile. Potete anche utilizzare lo strumento "Hunt for NT". Si tratta di un componente dellNT Forensic Toolkit reperibile presso

13 Pagina 11 W5.5 Come proteggersi I controller di dominio richiedono sessioni nulle per comunicare. Perciò, se state lavorando in un dominio di rete, potete limitare la quantità di informazioni che può cadere in mano agli aggressori, ma non potete fermarne del tutto la disponibilità. Per limitare la quantità di informazioni disponibili agli aggressori, modificate la seguente chiave di registro: HKLM/System/CurrentControlSet/Control/LSA/RestrictAnonymous=1 Ricordate che qualsiasi modifica al registro potrebbe provocare un malfunzionamento del vostro sistema. Effettuate quindi le opportune verifiche prima di renderle la modifica definitiva. Per semplificare il ripristino del registro, vi raccomandiamo di effettuarne sempre il backup (comando File - Esporta). Limpostazione di RestrictAnonymous su 1 permette ugualmente la disponibilità di alcune informazioni per gli utenti anonimi, ma la riduce al minimo. Questa è limpostazione più restrittiva possibile in Windows NT. In Windows 2000 e XP potete invece impostare il valore a 2. Questa azione bloccherà laccesso degli utenti anonimi a tutte le informazioni con permessi di accesso non esplicitamente assegnati allutente anonimo o al gruppo Tutti, il quale include anche gli utenti della sessione nulla. Se non avete bisogno della condivisione di file e stampa, svincolate il NetBIOS dal TCP/IP. Fate attenzione al fatto che la configurazione di RestricAnonymous sui controller di dominio e su altri server specifici può compromettere molte operazioni normali di rete. Per questa ragione si raccomanda di configurare questo valore solo per le macchine visibili da Internet. Tutte le altre macchine dovrebbero essere protette da un firewall configurato per bloccare NetBIOS e CIFS. L'accesso ai controller di dominio o ad altri computer non specificamente configurati per l'accesso esterno non dovrebbe essere mai consentito agli utenti Internet. Per fermare tale accesso, bloccate sul router esterno o sul firewall le porte TCP e UDP dalla 135 alla 139 e le porte 445 TCP e UDP.


Scaricare ppt "BOLLETTINO DI SICUREZZA INFORMATICA STATO MAGGIORE DIFESA Reparto Informazioni e Sicurezza Ufficio Sicurezza Difesa N°3/2003."

Presentazioni simili


Annunci Google