BOLLETTINO DI SICUREZZA INFORMATICA Agosto/settembre 2002 STATO MAGGIORE DIFESA Reparto Informazioni e Sicurezza Ufficio Sicurezza Difesa N°3.

Presentazione sul tema: "BOLLETTINO DI SICUREZZA INFORMATICA Agosto/settembre 2002 STATO MAGGIORE DIFESA Reparto Informazioni e Sicurezza Ufficio Sicurezza Difesa N°3."— Transcript della presentazione:

1 BOLLETTINO DI SICUREZZA INFORMATICA Agosto/settembre 2002 STATO MAGGIORE DIFESA Reparto Informazioni e Sicurezza Ufficio Sicurezza Difesa N°3

2 PER CONTATTI : TEL. 06/46917156 – FAX 06/36000904 E-MAIL : ris.s@smd.difesa.it E-MAIL : ris.s@smd.difesa.it SISTEMI OPERATIVI : - I COOKIES; - BACKDOORS. SISTEMI APPLICATIVI: - UNA VULNERABILITA DI OUTLOOK; - ANALISI DEL WORM NIMDA. FOCUS ON….: PGP (PRETTY GOOD PRIVACY). SICUREZZA DELLA RETE: - HOAX; - LE VENTI VULNERABILITA PIU CRITICHE PER LA SICUREZZA IN INTERNET (SECONDA PARTE).

3 Pagina 1 I COOKIES CHE COSA SONO : COOKIE letteralmente significa biscottino. La definizione ufficiale che Netscape dà del cookie è : Persistent Client-Side State information che tradotto significa informazione permanente sullo stato del Client, il che peraltro, non chiarisce bene di che cosa si tratti; più dettagliatamente Netscape definisce i cookie: …a general mechanism which server side connections (such as CGI script) can use to both store and retrieve information on the client side of the connection. The addition of a simple, persistent, client-side state significantly extends the capabilities of Web-based client/server applications. Praticamente un congegno utilizzato dalla maggior parte dei server per raccogliere e immagazzinare informazioni riguardanti il client. Fisicamente il cookie è un piccolo file di testo (cookies.txt nelle piattaforme Dos e MagicCookies in quelle Macintosh), che viene inviato a un browser Web da un browser Web. In pratica, insieme alla pagina richiesta il browser può ricevere, da parte del Web server, la richiesta di memorizzare una determinata informazione per poterla poi recuperare successivamente. Il browser conserva questa richiesta in un file, chiamato appunto cookie.txt, fino a quando non si cambia sito o sinterrompe il collegamento. A questo punto il file viene salvato sul disco rigido dellutente e verrà inviato ad ogni successiva richiesta allo stesso server che identificherà così il visitatore. A CHE COSA SERVONO : I cookies sono utilizzati dai web designers e dai web mechants (commercianti sulla rete) per diversi scopi : 1.Programmi detti comunemente carrelli della spesa : nei numerosi negozi on- line, si vuole permettere allacquirente di muoversi pagina per pagina, cercando, leggendo le caratteristiche dei vari prodotti e scegliendo gli articoli che desidera comprare o riponendo quelli che non gli interessano. Il cookie viene utilizzato come un carrello della spesa digitale che segue il visitatore fino alla fine dellacquisto, mantenendo traccia dellintera sessione, così che quando egli decide di passare alla cassa, cioè di effettuare lordine vero e proprio, si può trovare la pagina per lordine già compilata con lelenco dei prodotti che si sono selezionati durante lintera navigazione. 2.Siti a pagamento o ad accesso limitato : questi siti, di solito, chiedono agli utenti di registrarsi con ununica combinazione di username e password per essere ammessi allutilizzo del sito; di solito viene poi spedito un cookie, che verrà riconosciuto ad ogni visita, contenente un codice che indica quali pagine il visitatore è autorizzato a vedere. In questo modo egli non dovrà reinserire username e password ogni volta che accederà ad una pagina nuova, durante la sua visita.

4 Pagina 2 3. Forms intelligenti : i siti Web che richiedono ai navigatori di riempire delle form ogni volta che accedono alle loro pagine, possono evitare di richiedere sempre le stesse informazioni visita dopo visita, utilizzando un cookie che memorizzi quei dati nel disco rigido, in modo che alla visita successiva in quel sito, il browser spedirà il cookie al Web server che non riproporrà la form. 4. Pagine Web personalizzate : lutilizzo di maggior effetto dei cookies è quello che permette ai siti Web di personalizzare le pagine per ogni visitatore che accede al sito. Memorizzando in un cookie le scelte effettuate, i siti più visitati, i soggetti preferiti e altri dati dellutente, è possibile poi presentargli alla visita successiva una pagina di benvenuto con il suo nome e contenente i suoi soggetti preferiti, i link ai siti da lui frequentati etc.. 5. Pubblicità mirata : i cookies vengono utilizzati da un sito Web che contiene dei banner pubblicitari per ottenere informazioni sullutente, cercando di dedurre le sue preferenze e i suoi gusti, creando in questo modo un profilo del visitatore (tenendo presenti quali banner ha visto e quali ha aperto), in modo da presentare a ciascuno solo i banner che più gli interessano. Se ad esempio, nella form di un motore di ricerca inseriamo la parola diritto molto probabilmente siamo interessati, per lavoro o per altri motivi, alla materia. Ecco allora che, immediatamente, ci vengono proposti banner relativi a raccolte di leggi e codici su cd-rom e, se il nostro interesse verso il diritto viene memorizzato in un cookie, la volta successiva che ci collegheremo allo stesso motore di ricerca sarà individuata questa nostra propensione e saremo accolti da appositi banner. Allo stesso modo, la navigazione tra alcune pagine del sito di una società commerciale può dare informazioni sufficienti per individuare le preferenze dal navigatore che, di conseguenza, al successivo collegamento può trovarsi nella pagina iniziale un banner attinente allargomento dellultima visita o un link ad eventuali aggiornamenti di quelle pagine. Utilizzando un cookie è quindi possibile anche effettuare una sorta di ricerca di mercato, il che è di notevole interesse per coloro che inseriscono banner nei siti Web e per i Web merchants. 6. Gestione di un sito : i cookies servono inoltre a chi si occupa della gestione e dellaggiornamento di un sito per capire in che modo avviene la visita degli utenti, ovvero che tipo di percorso fanno allinterno del sito, e soprattutto se ritornano sul sito dopo una prima visita e quanto spesso. Questo permette loro di rendere più attraente il sito, proponendo soltanto ciò che i visitatori desiderano vedere e non quello che non è di loro interesse.

5 Pagina 3 QUALI INFORMAZIONI POSSONO FORNIRE : I cookies sono un piccolo documento della visita dellutente in un particolare sito e possono fornire al server soltanto poche informazioni : - numero ID (che identifica lutente); - durata e le modalità (links visitati e percorso effettuato) dellultima visita a quel sito Web; - qualsiasi altra informazione lutente abbia dato volontariamente (es. password o indirizzo e-mail). Qualsiasi altra informazione sul visitatore come : - sistema operativo che utilizza; - tipo e la versione del browser; - indirizzo dellultimo sito Web visitato; Può essere conosciuta dal sito Web anche senza usare il cookie ! Per esempio basta visitare i seguenti siti : - www.anonymizer.com/cgi-bin/snoop.pl;www.anonymizer.com/cgi-bin/snoop.pl - www.junkbusters.com/cgi-bin/privacy;www.junkbusters.com/cgi-bin/privacy - www.privacy.net/analyze.www.privacy.net/analyze DIFESA DELLUTENTE : Con il diffondersi del movimento anti-cookies, Netscape e Microsoft hanno aggiornato i loro browser inserendo un piano di difesa. Entrambi i browser infatti, nelle loro più recenti versioni, permettono di controllare e monitorare linvio e la ricezione dei cookies: Microsoft Internet Explorer 4.0 permette di impostare la gestione dei cookies tramite la voce Opzioni Internet….dal menù Visualizza; nella scheda Avanzate sono previste tre possibilità : 1. Accetta sempre i cookies (default); 2. Avvisa prima di accettare i cookies; 3. Disattiva lutilizzo di tuti i cookies

6 Pagina 4 Netscape Navigator 4.0 permette di effettuare le analoghe impostazioni tramite la voce Preferenze…. del menù Edit, nella sezione Avanzate della finestra che viene visualizzata. La configurazione di default dei due browser prevede di accettare tutti i cookies, pertanto gli utenti dovranno attivarsi se intendono gestirli diversamente; quindi se essi scelgono la terza possibilità saranno avvertiti ogni volta che un sito invia un cookie; per poter scegliere se accettarlo o rifiutarlo. Cancellare i cookies : Gli utenti, inoltre, possono cancellare i cookies già registrati, che possono trovare in una directory diversa a seconda del tipo di browser : gli utilizzatori di Netscape Navigator possono cancellare il file cookies.txt registrato (solitamente) nella directory Programmi > Netscape; gli utilizzatori di Internet Explorer troveranno i rispettivi cookies allinterno della directory Cookies nella directory Windows. Esistono infine, dei software che permettono una gestione più avanzata e selettiva dei cookies, consentendo ad esempio di accettarli automaticamente solo da determinati siti o di effettuare cancellazioni selettive dei cookies stessi: Per Windows : Cookie Cruncher (per Windows), Cookie Master; Per Macintosh: Cookie Cruncher (per Mac), Cookie Cutter.

7 Pagina 5 BACKDOORS Porta di servizio, programmi con particolari caratteristiche che permettono di accedere alla macchina dallesterno con privilegi di amministratore, senza che nessun altro utente ne venga a conoscenza. Le backdoors più conosciute sono Back Orifice, NetBus e TeleCommando, ma ce ne sono ancora altre. La backdoor più famosa in assoluto è Back Orifice (nel seguito : BO). BO, il cui nome irride il pacchetto Back Office di Microsoft, è stato creato da un gruppo di hacker noto come CDC, ossia Cult of the Dead Cow (il culto della mucca morta), http://www.cultdeadcow.com.http://www.cultdeadcow.com Esso è stato creato per mettere in evidenza le lacune di Windows 9x per quello che riguarda la sicurezza e, purtroppo, allo stato attuale sembra non sia neanche perseguibile legalmente, poiché esso, ufficialmente, è definito come un "programma di controllo a distanza". Per tale motivo gli autori di BO hanno potuto perfino mostrare alla stampa il loro "prodotto" (esattamente ciò avveniva nell'estate del 1998) in segno di protesta contro la Microsoft. Esso per l'installazione sfrutta un programma che si chiama SilkRope. Tale tool unisce due eseguibili a 32 bit in un unico file eseguibile e, nel momento in cui si lancia quest'unico eseguibile, in realtà si lanciano entrambi gli eseguibili in esso incapsulati. Appena installato, BO copia il file con cui è riuscito ad entrare nella directory system di Windows con il nome.exe e, a meno che non sia stato configurato in modo differente, esso si mette in "ascolto" sulla porta 31337. Da quel momento il computer è un server BO. Ciò significa che, quando si è connessi in rete, un eventuale client può chiedere lo svolgimento di un qualche servizio al server, cioè al computer vittima. Perché ciò avvenga basta che chi manovra il client conosca alcune informazioni: lindirizzo IP, la porta ove BO è in ascolto (per default, come si diceva, è la 31337) ed, eventualmente, la password usata per cifrare i pacchetti UDP. Infatti la comunicazione fra client e server di BO avviene mediante pacchetti UDP. UDP sta per User Datagram Protocol, ed è un protocollo che permette linterscambio di pacchetti di informazioni anche senza che il mittente ed il destinatario si siano esplicitamente connessi fra loro (come invece avviene usando il protocollo TCP). I pacchetti possono essere cifrati, con una password scelta a piacere. Ma tale password non è detto che ci sia, pertanto il lavoro per l'hacker può anche essere ridotto al conoscere soltanto lindirizzo IP. Il client può chiedere al server una serie di possibili operazioni, più o meno innocue. Si può infatti visualizzare o cancellare un qualunque file, conoscere tutte le password che vengono digitate intercettando la tastiera (funzione effettuata dal file windll.dll, che è una libreria di BO), memorizzare in un file tutti i tasti premuti (tranne quelli premuti in finestre DOS), ottenere copie dello schermo, bloccare il PC, riavviarlo, eseguire e chiudere applicazioni, far apparire messaggi sullo schermo e tante altre cose che potrebbero essere di sicuro utili per il controllo remoto del sistema a persone che, per lavoro, operano fuori sede e hanno spesso bisogno di informazioni presenti sul PC che hanno a casa o in ufficio. Pertanto di sicuro BO potrebbe essere utilizzato per tale scopo.

8 Pagina 6 Il problema sorge quando BO viene installato senza che lutente se ne accorga da parte di qualche malintenzionato che vuole accedere ad informazioni riservate. Già lo stesso nome "Back Orifice" non fa passare inosservato tale pacchetto, ma anche il fatto che esso viene subdolamente chiamato.exe fa pensare che esso non sia un applicativo troppo legale. Eppure esso non può essere definito illegale proprio perché pubblicizzato come applicazione per il controllo remoto, cosa del tutto legale. Quindi BO c'è, è una realtà e non possiamo neanche considerarlo illegale, e tanto meno possiamo fare nulla per limitarne la diffusione. Allora dobbiamo semplicemente fare attenzione a che esso non entri nel sistema. In pratica : o dobbiamo prevenire l'installazione indesiderata di BO o, qualora esso sia già presente nel sistema, si deve cercare di rimuoverlo. Per prevenire, come al solito, è necessario usare dei buoni antivirus aggiornati. Vediamo piuttosto come identificare e rimuovere BO, mentre per NetBus e TeleCommando viene data una regola generale per l'individuazione, rimandando ad altri documenti, presenti in rete le istruzioni per la rimozione. Per scoprire se il computer funge da server BO si consiglia di usare un programma, AVP System Watcher (http://www.avp.it, freeware), che controlla il sistema alla ricerca di BO. Una tecnica alternativa potrebbe essere quella di eseguire il comando netstat -na mentre si è collegati e vedere se c'è qualche connessione sulla porta 31337 ad opera di BO. Si ricorda, comunque, che la porta 31337 è la porta di default, ma può cambiare. Una volta che si è accertata la presenza di BO, è necessario rimuoverne il "motore", cioè il file.exe. Giacché tale nome può essere variato, sarebbe conveniente andare nel registro di Windows e controllare le chiavi di registro : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunServices HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunServicesOnce dove ci sono i programmi lanciati all'avvio di Windows. Se si notano stringhe sospette, occorre cancellarle. Per poter scoprire la presenza di un programma client/server in generale, un metodo e' quello di installare il client e provare a contattare il server, dando l'indirizzo IP 127.0.0.1 (localhost). Se il client ottiene una risposta, essa è opera di un server sulla macchina e pertanto è opportuno rimuoverlo.

9 Pagina 7 UNA VULNERABILITÀ DI OUTLOOK Microsoft Outlook è probabilmente il più utilizzato client di posta elettronica, essendo molto pratico e comodo. Il programma ha registrato ultimamente problemi di sicurezza, risolti da Microsoft con opportune security patch. Poco tempo fa in Internet era stata scoperta una vulnerabilità denominata: Scriptlet.Typelib. Quel worm aveva provocato allarme in rete, ma prontamente era stata distribuita l'opportuna patch. Ora ne è stata scoperta un'altra: la "Malformed E-mail Header", che consente ad un utente malintenzionato di inviare una mail con un formato speciale ad una vittima che, scaricando dal server tale mail, darebbe il controllo del sistema all'utente malintenzionato. La causa di tale vulnerabilità è la libreria inetcomm.dll, che ha un buffer che può andare in overrun per header della mail troppo lungo e questo può essere sfruttato da un utente malintenzionato per eseguire codice non autorizato sul pc vittima. Questo accade solo per protocolli POP3 (post office protocol ver.3) o IMAP4 (internet mail access protocol ver.4). Mentre se si usano solo servizi MAPI (mail application programming interface) non si risente di questa vulnerabilità. La Microsoft ha diffuso una patch contro tale vulnerabilità. Tale patch la si può trovare all'url: www.microsoft.com/windows/ie/download/critical/patch9.htm Le versioni di Outlook con tale vulnerabilità sono: Microsoft Outlook Express 4.0 Microsoft Outlook Express 4.01 Microsoft Outlook Express 5.0 Microsoft Outlook Express 5.01 Microsoft Outlook 97 Microsoft Outlook 98 Microsoft Outlook 2000 Mentre Outlook Express 5.5 non ne risente ed infatti Microsoft ha raccomandato di aggiornare la propria versione di Outlook Express alla 5.5.

10 Pagina 8 ANALISI DEL WORM.NIMDA Si tratta di un nuovo worm che si diffonde via Internet tramite e-mail infette, copiando se stesso in cartelle condivise su rete locale e tramite siti Web che montano una versione di IIS (Internet Information Services) vulnerabile a un certo tipo di attacco (vedere Pag. 10). Il worm e' in grado di infettare anche i file EXE come un virus: i file originali vengono rimpiazzati da una copia del worm, che inserisce l'originale all'interno della propria tavola delle risorse. Tale worm è costituito da un programma a 32 bit di tipo PE (Portable Executable) per Windows di circa 57 KB di lunghezza, scritto con il Visual C++ di Microsoft. Al fine di esssere eseguito automaticamente dai messaggi di posta elettronica infetti, il worm sfrutta una vulnerabilità nella sicurezza di Internet Explorer. Una volta lanciato sul sistema, il worm esegue la propria routine di diffusione e si installa nel sistema. Il worm contiene nel proprio codice la seguente stringa: Concept Virus(CV) V.5, Copyright(C)2001 R.P.China. Quando il worm entra nel sistema, copia se stesso nelle seguenti cartelle: - nella cartella Windows usando il nome MMC.EXE - nella cartella di sistema di Windows con il nome RICHED20.DLL (sovrascrivendo così il file RICHED20.DLL originale) e con il nome LOAD.EXE Quest'ultimo file viene registrato all'interno del file SYSTEM.INI, al fine di essere eseguito automaticamente all'avvio del sistema. La modifica apportata al file SYSTEM.INI è la seguente: [boot] shell=explorer.exe load.exe -dontrunold Inoltre, il worm copia se stesso nella cartella temporanea di Windows, usando nomi casuali: MEP*.TMP e MA*.TMP.EXE. Ad esempio: mep01A2.TMP mep1A0.TMP.exe mepE002.TMP.exe mepE003.TMP.exe mepE004.TMP I file EXE (compreso il file LOAD.EXE) possiedono gli attributi nascosto e sistema. A questo punto il worm esegue le routine di diffusione e di payload. A seconda della versione di Windows, il worm modifica il processo di EXPLORER.EXE e può eseguire le sue routine come un thread (processo leggero) confondendosi. Installazione

11 Pagina 9 Il worm, per infettare i messaggi, usa connessioni SMTP dirette (cioè non impiega i client di posta elettronica). Per ottenere gli indirizzi e-mail dove spedire se stesso, il worm deve impiegare due sistemi di ricerca: 1. scansione di file *.HTM e *.HTML 2. uso dei servizi MAPI (Messaging API) per connettersi ai client e-mail configurati come MAPI server al fine di ottenere gli indirizzi di posta elettronica. I messaggi infetti hanno formato HTML e si presentano in questo modo: Oggetto:vuoto o generato casualmente Corpo del messaggio: vuoto Allegato: README.EXE Il contenuto del campo oggetto, quando presente, viene prelevato dal nome di un file selezionato casualmente dalla cartella il cui percorso è memorizzato in una chiave nel Registro di sistema: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Personal che di norma contiene il percorso della cartella "Documenti. Per essere eseguito automaticamente dai messaggi infetti, il worm usa la vulnerabilità di sicurezza IFRAME, descritta da Microsoft nel seguente bollettino: Microsoft Security Bulletin (MS01-020): Incorrect MIME Header Can Cause IE to Execute E-mail Attachment http://www.microsoft.com/technet/security/bulletin/MS01-020.asp Per prelevare la patch: http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp Diffusione via e-mail:

12 Pagina 10 il worm effettua una scansione dei drive locali e remoti presenti sulla rete usando diversi metodi e infettando tutte le cartelle alle quali può accedere. 1. Il worm crea dei file.EML (nel 95% dei casi) o dei file.NWS (nel restante 5% dei casi) che hanno nomi generati casualmente. I file EML e NWS creati dal worm sono molto numerosi e in una rete locale se ne possono trovare a migliaia. Questi file contengono la copia del worm in formato e-mail: un messaggio in HTML con il worm codificato sotto forma di allegato MIME creato per sfruttare la vulnerabilità IFRAME descritta sopra. Su una macchina vulnerabile, la semplice anteprima del messaggio può far eseguire automaticamente il worm. 2. Il worm effettua una ricerca per una serie di combinazioni di nomefile+estensione: *DEFAULT*, *INDEX*, *MAIN*, *README* +.HTML,.HTM,.ASP (*NOME* significa che possono esistere delle sottostringhe nel nome del file). Nel caso vengano trovati tali file, all'interno dei loro percorsi (file path) il worm crea una copia di se stesso in formato e-mail usando il nome README.EML e appendendo alla fine del file vittima (HTML o ASP) un programma in Javascript che ha il compito di aprire il file README.EML quando viene letto il file HTML/ASP infettato, il tutto al fine di attivare il worm sulle macchine vulnerabili. E' importante notare che attraverso questa tecnica il worm può infettare delle pagine Web e diffondersi nei computer di chi visita il sito Web infettato, se il browser del visitatore è una versione di Internet Explorer che presenta la vulnerabilità IFRAME. Il worm effettua una scansione su indirizzi IP, ricercando dei server IIS che presentano una vulnerabilità di sistema conosciuta come Web folder transversal vulnerability (usata anche dal worm CodeBlue) e li infetta inviando una richiesta GET creata ad hoc. Attraverso questa tecnica il worm ha l'effetto di inizializzare una sessione TFTP per inviare il file ADMIN.DLL sulla macchina da infettare. Una volta memorizzato, il file ADMIN.DLL viene eseguito provocando l'infezione del computer. La patch di Microsoft utile all'eliminazione di questa vulnerabilita' puo' essere prelevata al seguente indirizzo: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/ bulletin/MS01-044.asp Diffusione tramite rete locale/Internet : Diffusione attraverso attacco a IIS (Internet Information Server) :

13 Pagina 11 Il worm crea delle condivisioni (share) per ogni drive locale usando la stringa %$ (dove % sta per il nome di ogni drive che viene condiviso). Sui sistemi Windows 9x/ME la condivisione viene configurata come full (lettura/scrittura) senza password. Sui sistemi Windows NT/2000 all'account GUEST viene dato il permesso di accedere alle share e viene aggiunto al gruppo ADMINISTRATORS e GUESTS. Per la creazione di queste share è richiesto il riavvio del sistema. Microsoft ha rilasciato un advisor riguardante l'applicazione delle patch utili per eliminare le vulnerabilità di sistema sfruttate dal worm Nimda: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/ topics/Nimda.asp La routine del payload :

14 Pagina 12 Pretty Good Privacy (PGP) di Phil Zimmerman è il programma di crittografia per eccellenza. Lo scopo principale di PGP é quello di permettere la trasmissione cifrata di messaggi di posta elettronica e lautentificazione degli utenti, attraverso Internet. In realtà le operazioni possibili sono molteplici. Il PGP utilizza due algoritmi di crittografia: il sistema a chiavi pubbliche RSA e quello a chiavi private IDEA. Il suo funzionamento é molto semplice: ammettiamo che l'utente A voglia spedire all'utente B un messaggio. PGP cifra tale messaggio utilizzando l'IDEA e una chiave K generata casualmente. Occorrerà spedire all'utente B la chiave K da utilizzare per decifrare il messaggio (ricordiamo che l'IDEA é un algoritmo che utilizza la stessa chiave per cifrare e decifrare il messaggio). Il PGP risolve brillantemente il problema utilizzando l'RSA. L'utente A, infatti, inserisce la chiave K nel messaggio cifrandola con la chiave Pubblica di B. In questo modo solo B può, con la propria chiave Privata, recuperare la chiave K ed usarla per leggere il resto del messaggio criptato con l'IDEA. In teoria, si sarebbe potuto utilizzare direttamente l'RSA per cifrare l'intero messaggio. In pratica però, la complessità dell'RSA é troppo elevata per permetterne un uso intenso (i file da cifrare potrebbero essere molto lunghi), soprattutto se messo in relazione con l'IDEA. Il sistema di cifratura IDEA-RSA di PGP é riassunto da questo schema : L'RSA, per come é stato definito, permette un'altra importante operazione : l'autenticazione dellutente. Se il messaggio viene cifrato utilizzando la chiave privata S invece della chiave pubblica P, si ottiene un messaggio criptato che può essere decriptato utilizzando soltanto la chiave pubblica P. Ma allora, se solo chi é in possesso di S può aver cifrato il messaggio, possiamo star tranquilli che il messaggio é autentico. E' come se l'autore del messaggio, cifrandolo con S, lo avesse firmato. PGP prevede comunque la creazione di archivi pubblici elettronici che contengano le chiavi pubbliche dei vari utenti. E' importante che si dia la massima diffusione alla propria chiave pubblica, perché ciò evita che l'analista C possa frapporsi tra A e B spedendo ad entrambi la propria chiave pubblica e facendo credere loro che si tratti invece della chiave pubblica di A o di B. In questo modo C sarebbe in grado di intercettare e leggere ogni messaggio spedito da A a B e viceversa.

15 Pagina 13 HOAX (Falsi allarmi, scherzi e "catene di S. Antonio" via e-mail) Da quando la posta elettronica si è affermata come uno dei principali strumenti di comunicazione, è diventato frequente ricevere da amici o parenti comunicazioni e-mail nelle quali si parla di fantomatici virus dalle potenzialità enormemente distruttive, oppure di possibilità di ricevere omaggi od ottenere guadagni facili, semplicemente inoltrando il messaggio stesso a più persone possibili. Nel 99% dei casi si tratta di cosiddette hoax, che significa appunto "scherzo, burla". Alcune volte il messaggio è solo oggetto di divertimento; tuttavia, molto più spesso queste false comunicazioni inducono chi le riceve ad inoltrare in buona fede l'e-mail, propagando così lo scherzo e generando una vera e propria "catena di S. Antonio". La diffusione avviene sempre a mezzo di spedizioni "di massa" del messaggio il quale, in genere, viene inviato a tutte le persone incluse nell'address book del programma di posta elettronica; se la propagazione dell'hoax diviene eccessiva, si hanno con grande probabilità seri problemi di traffico e-mail, con eventuali rallentamenti del servizio che causano quindi disagi a tutti quanti, senza che ci sia alcun motivo valido. In questa sezione sono state raccolte le e-mail hoax che circolano più spesso, cercando di includerne (quando possibile) la versione italiana. I messaggi infatti solitamente vengono dall'estero e sono prontamente tradotti in italiano da persone in buona fede o, forse, da "simpatici" burloni che si divertono a diffondere falsi allarmi, senza sapere che anche loro stessi possono trarne noie. Nell'archivio si troveranno solo le hoax relative a falsi allarmi di virus, false comunicazioni di concorsi, vendite, omaggi o spedizioni monetarie di qualsiasi genere, nonché comunicazioni riguardanti falsi siti Internet o false petizioni. Non si troveranno le varie "leggende metropolitane" in circolazione; per quelle rimandiamo ad altri siti specializzati, come UrbanLegends.com. La lista è in ordine alfabetico; il nome dell'hoax ricalca più o meno il contenuto o l'argomento principale dell'e-mail: BadTimes Hoax Be My Valentine Hoax BonsaiKitten Hoax Cancer Chain Letter "Help" Hoax I'm Your Shadow Hoax Sistema di tracciamento e-mail Microsoft SULFNBK.EXE Virus Hoax Tre Nuovi Virus Upgrade Internet 2 Virtual Card For You Hoax (Virus "Settore Zero") Se si riceve une-mail sospetta, non presente tra quelle appena elencate, e si ritiene che si tratti di unhoax, inviarla a noi. Ogni nuova segnalazione è benvenuta.

16 Pagina 14 LE VENTI VULNERABILITA PIU CRITICHE PER LA SICUREZZA IN INTERNET (SECONDA PARTE) G3 - Backup inesistenti o incompleti G3.1 Descrizione: Dopo il verificarsi di un incidente, per ritornare alle condizioni preesistenti sono necessari backup aggiornati e metodi di ripristino dei dati di provata efficacia. Alcune organizzazioni effettuano backup quotidiani, ma non verificano mai il loro effettivo funzionamento. Altre invece creano policy e procedure per i backup, senza però definire policy e procedure per il ripristino dei dati. Spesso tali mancanze vengono evidenziate solamente dopo che i dati sono già stati distrutti o danneggiati da hacker che si sono introdotti nei sistemi. Un secondo problema è dato dalla scarsa protezione fisica dei supporti di backup. I backup contengono le stesse informazioni sensibili presenti sul server, e quindi devono essere protetti in modo analogo. G3.2 Sistemi interessati: Tutti quei sistemi considerati importanti. G3.3 Lista CVE (Common Vulnerabilities and Exposures): Non applicabile. G3.4 Come determinare se si è vulnerabili: Deve essere creato un inventario di tutti i sistemi di importanza "critica". Deve essere poi effettuata per ogni sistema un'analisi dei rischi e delle minacce corrispondenti. Le policy e le procedure per il backup devono fare chiaro riferimento a questi sistemi chiave. Dopo aver verificato i sistemi, è necessario verificare se: 1. Esistono procedure di backup per questi sistemi? 2. L'intervallo di backup è accettabile? 3. Il backup di ciascun sistema è effettuato secondo le procedure? 4. I supporti di backup sono stati controllati per garantire che i dati vengano salvati correttamente? 5. I supporti di backup sono adeguatamente protetti sia all'interno dei locali sia mediante servizi di archiviazione esterni? 6. Le copie dei sistemi operativi e delle utility per il ripristino (inclusi i codici per le licenze) sono archiviate in sedi diverse? 7. Le procedure di ripristino sono state verificate e approvate?

17 Pagina 15 G3.5 Come proteggersi: I backup devono essere effettuati con cadenza almeno settimanale. Il requisito per la maggior parte delle organizzazioni potrebbe essere quello di effettuare un backup completo ogni settimana e backup incrementali ogni giorno. Almeno una volta al mese il supporto di backup deve essere verificato effettuando un ripristino su un server di prova per controllare che la procedura utilizzata sia corretta. Alcuni enti effettuano backup completi ogni giorno oppure diversi backup incrementali durante tutto l'arco della giornata. Le soluzioni di backup di massimo livello sono costituite da reti totalmente ridondanti con capacità di recupero degli errori (fail-over). G4 - Numero elevato di porte aperte G4.1 Descrizione: Sia gli utenti legittimi, che gli intrusi, si connettono ai sistemi attraverso le porte aperte. Più sono le porte aperte più possibilità vengono offerte a chi voglia collegarsi al sistema. È quindi importante lasciare aperto solo il minimo numero di porte indispensabile perché il sistema funzioni correttamente. Tutte le altre porte devono essere chiuse. G4.2 Sistemi interessati: La maggior parte dei sistemi operativi. G4.3 Lista CVE: (Nota: la lista sottostante non è una lista completa o esaustiva. Contiene solo esempi di alcune delle vulnerabilità appartenenti alla categoria in questione). CVE-1999-0189CVE-1999-0189, CVE-1999-0288, CVE-1999-0351, CVE-1999-0416, CVE-1999-0675, CVE-1999-0772, CVE-1999-0903, CVE-2000-0070, CVE-2000-0179, CVE-2000-0339, CVE-2000-0453, CVE-2000-0532, CVE-2000-0558, CVE-2000-0783, CVE-2000-0983CVE-1999-0288CVE-1999-0351CVE-1999-0416 CVE-1999-0675CVE-1999-0772CVE-1999-0903CVE-2000-0070 CVE-2000-0179CVE-2000-0339CVE-2000-0453CVE-2000-0532 CVE-2000-0558CVE-2000-0783CVE-2000-0983 G4.4 Come determinare se si è vulnerabili: In locale può essere eseguito il comando netstat per determinare quali porte siano aperte, ma un metodo più sicuro è dato dall'analisi del sistema effettuata con uno scanner esterno per l'analisi delle porte. L'operazione fornirà l'elenco di tutte le porte in ascolto. Se i risultati di netstat differiscono da quelli dati dall'analisi delle porte, si dovrà ricercarne il motivo. Quando i due elenchi coincidono, è necessario verificare il motivo per il quale ogni singola porta sia aperta e quale servizio sia in esecuzione su ciascuna porta. Le porte aperte che non possono essere verificate o la cui apertura non è giustificata devono essere chiuse. L'elenco definitivo deve essere salvato e utilizzato per effettuare procedure di controllo e verifiche periodiche per evitare la presenza di porte estranee aperte.

18 Pagina 16 Tra i tanti scanner per l'analisi delle porte, il più diffuso è nmap. La versione per Unix di nmap è disponibile presso: http://www.insecure.org/nmap/. Questa versione può essere compilata anche su sistemi NT. La versione NT di nmap è disponibile presso: http://www.eeye.com/html/Research/Tools/nmapnt.html. Si possono impiegare senza problemi anche port scanner diversi da quelli elencati. Indipendentemente dallo scanner utilizzato, SI DEVE effettuare la scansione sia delle porte TCP che delle porte UDP per l'intero campo di distribuzione: 1-65.535.http://www.insecure.org/nmap/ http://www.eeye.com/html/Research/Tools/nmapnt.html Prima di effettuare scansioni complete delle porte sui sistemi all'interno di un'organizzazione, si dovrà ricevere lautorizzazione del responsabile. Alcuni sistemi operativi, e in particolare i dispositivi con stack TCP/IP incorporati, possono presentare comportamenti imprevedibili se sottoposti a scansione. Se non viene dato alcun preavviso, la scansione può anche attivare sistemi interni di rilevazione delle intrusioni o firewall e può essere interpretata come un attacco vero e proprio. G4.5 Come proteggersi: Dopo aver determinato quali porte sono aperte, è necessario identificare il sottoinsieme minimo di porte che dovranno rimanere aperte affinché il sistema funzioni in maniera efficace, e quindi chiudere tutte le altre porte. Per chiudere una porta trovate il servizio corrispondente e disattivarlo o rimuoverlo. Nei sistemi Unix molti servizi sono controllati da inetd e dal corrispondente file di configurazione inetd.conf. Inetd.conf elenca i servizi in ascolto su una determinata porta e può essere spesso utilizzato per chiudere le porte stesse. La rimozione di un servizio da inetd.conf e il successivo riavvio di inetd fa in modo che la porta non sia più aperta. Altri servizi sono avviati da script eseguiti durante la fase di avvio (come ad esempio /etc/rc, /etc/rc.local, o gli script contenuti nelle cartelle /etc/rc*). Dal momento che i dettagli per la disattivazione degli script variano a seconda della versione di Unix, si deve consultare la documentazione del sistema per le specifiche modalità di disattivazione. Per controllare e verificare le porte aperte sui sistemi Unix si può utilizzare anche un programma chiamato lsof. Lsof può essere scaricato da: ftp://vic.cc.purdue.edu/pub/tools/UNIX/lsof/lsof.tar.gz. ftp://vic.cc.purdue.edu/pub/tools/UNIX/lsof/lsof.tar.gz In Windows NT e 2000, per determinare i servizi/programmi in ascolto su una determinata porta, può essere utilizzato un programma chiamato fport (www.foundstone.com). In Windows XP, si può determinare quale programma sia in ascolto su una porta eseguendo il comando netstat con l'opzione -o. Le informazioni così ottenute consentiranno di disabilitare il servizio e, di conseguenza, di chiudere la porta.