La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Interazione con GARR-CERT Roberto Cecchini GARR-CERT I servizi telematici per la comunicazione e la sicurezza delle informazioni Bologna, 23-24 Novembre.

Presentazioni simili


Presentazione sul tema: "Interazione con GARR-CERT Roberto Cecchini GARR-CERT I servizi telematici per la comunicazione e la sicurezza delle informazioni Bologna, 23-24 Novembre."— Transcript della presentazione:

1 Interazione con GARR-CERT Roberto Cecchini GARR-CERT I servizi telematici per la comunicazione e la sicurezza delle informazioni Bologna, Novembre 2000

2 Interazione con GARR-CERT Bologna, 23-24/11/2000I servizi telematici per la comunicazione e la sicurezza delle informazioni1 GARR-CERT Il servizio –istituito nel Marzo 1999, pienamente operativo da Giugno 1999; –7 unità: 1 a tempo pieno e 6 a tempo parziale, sede centrale a Firenze Gli utenti sono tutte le istituzioni afferenti alla rete GARR. I compiti –rispondere alle segnalazioni di incidenti, avvertire ed assistere gli utenti coinvolti e seguire gli sviluppi; riservatezza: nessuna informazione viene rivelata senza lesplicito consenso degli interessati –diffondere informazioni sulle vulnerabilità più comuni e sugli strumenti di sicurezza da adottare; –gestire corsi di aggiornamento tecnico; –provare strumenti esistenti, e svilupparne di nuovi per esigenze specifiche. Coordinamento con gli altri CSIRT Europei –Trusted Inroducer

3 Interazione con GARR-CERT Bologna, 23-24/11/2000I servizi telematici per la comunicazione e la sicurezza delle informazioni2 Chi siamo Membri –Roberto Cecchini –Claudio Allocchio –Paolo Amendola –Luca dell'Agnello –Francesco Gennai –Francesco Palmieri –Andrea Pinzani Le chiavi pgp sono reperibili su È disponibile anche una chiave di GARR-CERT con cui vengono firmate alcune pagine sul server web e utilizzabile per inviare informazioni in forma riservata

4 Interazione con GARR-CERT Bologna, 23-24/11/2000I servizi telematici per la comunicazione e la sicurezza delle informazioni3 I servizi (1/2) Server web –http://www.cert.garr.it/ Mailing list gli iscritti sono tutti i membri di GARR-CERT; posting libero; riceve anche i mail diretti ad chiunque può (e dovrebbe) usarla per segnalare incidenti. iscrizione aperta a tutti, posting ristretto diffusione di allarmi di sicurezza comunicazioni di interesse generale per iscriversi inviare un mail a con nel testo subscribe

5 Interazione con GARR-CERT Bologna, 23-24/11/2000I servizi telematici per la comunicazione e la sicurezza delle informazioni4 I servizi (2/2) Documenti (reperibili sul server web) –L. dell'Agnello, Guida alla configurazione sicura del router. –L. dell'Agnello, Installazione e configurazione di Berkeley sendmail su piattaforma Unix. –P. Amendola, Virus diffusi via . –P. Amendola, Uso e configurazione di Secure Shell –Presentazioni del II Incontro di GARR-B Security Alerts (P. Amendola) e tabelle riepilogative (A. Pinzani) Controllo vulnerabiltà (su richiesta dellAPM) Organizzazione incontri (per APM) Attività di sensibilizzazione utenza

6 Interazione con GARR-CERT Bologna, 23-24/11/2000I servizi telematici per la comunicazione e la sicurezza delle informazioni5 Procedura di gestione incidenti (approvata dallOTS GARR il 20/12/99) 1.GARR-CERT invia una comunicazione di apertura incidente ai responsabili locali coinvolti e allAPM; 2.se il problema non viene risolto GARR-CERT invia all'APM la richiesta di filtraggio sul router di connessione alla rete GARR; 3.se l'APM non interviene entro i tempi richiesti, GARR-CERT invia al GARR-NOC la richiesta di filtraggio sul router di accesso al GARR. Tempi di intervento richiesti: –open mail relay: 3 giorni; –nodi origine di azioni ostili (port scan, attacchi, ecc.): 1 giorno; –router utilizzati per attacchi DoS (ad es. smurf) perché erroneamente configurati: 1 ora.

7 Interazione con GARR-CERT Bologna, 23-24/11/2000I servizi telematici per la comunicazione e la sicurezza delle informazioni6 Tipi di attacchi Chiunque può diventare un hacker –sono disponibili in rete programmi già pronti che sfruttano le vulnerabilità note: non è richiesta nessuna competenza. Spesso i sistemi in rete sono mal gestiti o addirittura abbandonati. IPv4 non è stata progettata pensando alla sicurezza delle applicazioni (con IPv6 le cose dovrebbero andare meglio): –Spoofing; –Session hijacking; –Man-in-the-middle; –Denial of Service (DoS); SYN flood, mail bombing, ping flood, ecc. ecc. –Sniffing.

8 Interazione con GARR-CERT Bologna, 23-24/11/2000I servizi telematici per la comunicazione e la sicurezza delle informazioni7 Vulnerabilità scoperte (1/2) da

9 Interazione con GARR-CERT Bologna, 23-24/11/2000I servizi telematici per la comunicazione e la sicurezza delle informazioni8 Vulnerabilità scoperte (2/2) da

10 Interazione con GARR-CERT Bologna, 23-24/11/2000I servizi telematici per la comunicazione e la sicurezza delle informazioni9 Metodi più comuni di accesso Vulnerabilità più di moda (al momento): –ftpd; –rpc.statd (Sun, in particolare); –mountd; –bind; –imap/pop; –ftp anonimo (warez). Password rubate –una volta ottenuto laccesso, anche non privilegiato, è molto facile diventare root (e non solo su Linux!); –ben più della metà delle compromissioni segnalate sono state fatte così!!!

11 Interazione con GARR-CERT Bologna, 23-24/11/2000I servizi telematici per la comunicazione e la sicurezza delle informazioni10 Modus operandi (1/2) Compromissione: –da remoto: utilizzo di un exploit su un servizio (ad es. ftp) con ottenimento shell di root; –da locale: login con password legittima: scarico via rete programma di exploit (ad es. da ftp.technotronix.com); compilazione, esecuzione e ottenimento shell di root. installazione rootkit (e altre backdoor) –sostituzione prinicipali demoni e utility di sistema –shell suid in directory utente –… –i file di controllo spesso in /dev con nomi strani, ad es.,.., …, ecc.

12 Interazione con GARR-CERT Bologna, 23-24/11/2000I servizi telematici per la comunicazione e la sicurezza delle informazioni11 Modus operandi (2/2) cancellazione tracce: –ripulitura file di log –shell history in /dev/null attività preferite: –sniffer: interfaccia generalmente in modo promiscuo, ma non necessariamente –bot IRC: traffico di rete elevato attività apparentemente da nodi che non esistono –scansioni; –DoS: elevato traffico icmp –ponte per attacchi ad altri nodi (in special modo sulla stessa LAN).

13 Interazione con GARR-CERT Bologna, 23-24/11/2000I servizi telematici per la comunicazione e la sicurezza delle informazioni12 Mi hanno compromesso? Ho ricevuto segnalazioni di attività sospette proveniente dalla mia macchina. La macchina si comporta in modo strano: –molto lenta, ma top non segnala nulla di particolare; –uno o più fs sono pieni, ma non riesco a scoprire perché; –i file di log sembrano incompleti o sono addirittura scomparsi; –il traffico in rete è molto elevato; –ecc. ecc.

14 Interazione con GARR-CERT Bologna, 23-24/11/2000I servizi telematici per la comunicazione e la sicurezza delle informazioni13 Mi hanno compromesso! (1/2) Staccate la macchina dalla rete e lavorate in single user –potrebbe essere meglio staccare la corrente! –molto probabilmente ps, ls, find, netstat, ecc. non sono affidabili. Provate a seguire le tracce dellintruso (qualche volta si dimentica di ripulirle…): –messages, xferlog, wtmp, maillog, ecc. molto consigliabile che i file di log vengano salvati anche su unaltra macchina; –shell history file. Fate un backup il più completo possibile (anche a fini legali) –in alternativa smontate (e conservate) il disco.

15 Interazione con GARR-CERT Bologna, 23-24/11/2000I servizi telematici per la comunicazione e la sicurezza delle informazioni14 Mi hanno compromesso! (2/2) Cercate di scoprire come è entrato lintruso. Modificate tutte le password. Se lintruso è diventato root (cosa abbastanza probabile…): –reinstallate il sistema operativo (allultima versione e allultima patch!) è molto difficile altrimenti essere sicuri che non siano rimaste backdoor –controllate lesistenza di file suid/gid nelle directory utente; –attenzione a riutilizzare i vecchi file di configurazione. Quali altre macchine potrebbero essere state compromesse? –usavate.rhost (o simili)? –che accessi sulla rete locale sono stati fatti durante la compromissione?

16 Interazione con GARR-CERT Bologna, 23-24/11/2000I servizi telematici per la comunicazione e la sicurezza delle informazioni15 Tipologia incidenti segnalati a GARR-CERT

17 Interazione con GARR-CERT Bologna, 23-24/11/2000I servizi telematici per la comunicazione e la sicurezza delle informazioni16 Incidenti segnalati a GARR-CERT

18 Interazione con GARR-CERT Bologna, 23-24/11/2000I servizi telematici per la comunicazione e la sicurezza delle informazioni17 Perchè segnalare un incidente? Possiamo cercare di aiutarvi: –assistenza tecnica; –gestione incidente. Le vostre segnalazioni ci permettono di avere un quadro più chiaro di cosa sta succedendo sulla rete –possiamo aiutare meglio gli altri dando informazioni più precise. Informare i responsabili dei siti da cui è giunto lattacco è quasi sempre far loro un favore. È una delle regole di convivenza civile su internet: The Internet is a cooperative venture. The culture and practice in the Internet is to render assistance in security matters to other sites and networks. Each site is expected to notify other sites if it detects a penetration in progress at the other sites, and all sites are expected to help one another respond to security violations. Guidelines for the Secure Operation of the Internet (RFC1281)

19 Interazione con GARR-CERT Bologna, 23-24/11/2000I servizi telematici per la comunicazione e la sicurezza delle informazioni18 Come segnalare un incidente (1/2) Inviate un mail a (o riempite il modulo online) con: –data e ora (con la precisione del vostro clock); –descrizione dellincidente; –come essere contattati; –estratti dai log e eventuali altri file lasciati dallintruso: se oltre 500k non li spedite, limitatevi a dire che li avete: verrete richiamati per stabilire le modalità del trasferimento; –permesso (o diniego) di diffondere la vostra identità: la vostra identità viene sempre mascherata, viene fornita solo su esplicita richiesta della controparte e se avete data lautorizzazione.

20 Interazione con GARR-CERT Bologna, 23-24/11/2000I servizi telematici per la comunicazione e la sicurezza delle informazioni19 Come segnalare un incidente (2/2) Riceverete un mail di conferma apertura incidente e verrete tenuti aggiornati sugli sviluppi fino alla chiusura: –vi verrà comunicato un codice identificativo dellincidente (GARR-CERT- xxxxxx) che vi preghiamo di citare in tutta la corrispondenza successiva. Valutate lipotesi di una denuncia alla Polizia Postale (anche solo a fini cautelativi).


Scaricare ppt "Interazione con GARR-CERT Roberto Cecchini GARR-CERT I servizi telematici per la comunicazione e la sicurezza delle informazioni Bologna, 23-24 Novembre."

Presentazioni simili


Annunci Google