Security FAQ 3.0

B17-W Come vedo se ho il protocollo NetBIOS su TCP/IP installato? Che rischi corro?

Basta andare in Pannello di Controllo / Rete / Protocolli e controllare la lista. I rischi che si corrono sono che e' possibile entrare nel computer inserendo il suo IP in Avvio/Trova/Computer, se si ha Accesso Remoto aggiornato. Naturalmente bisogna avere attivato delle condivisioni di risorse su alcune unita'/directory del computer. Se questo e' necessario, almeno proteggerle con password.

[Sommario]

B18-W Senza programmi come Bo o NetBus e' possibile "entrare" nel computer di qualcuno?

Alcune versioni di Windows 95, di serie (o quasi), consentono l'accesso da Internet al disco. Win95 OSR2 se ne accorge all'installazione di Internet Explorer 4.0, e propone di chiudere l'accesso. Si ricorda che se nel computer e' attivata la condivisione di file e stampanti, magari senza password, e' possibile, conoscendo il suo indirizzo IP, vederlo come unita' di rete da Gestione Risorse. Quando si installa Windows o quando si compra il computer con Windows preinstallato, controllare ed eventalmente disattivare ogni condivisione. Ricordo che Windows 95/98 offre servizi di rete senza avere quelle caratteristiche di sicurezza (permessi associati ai file, password) che hanno invece i sistemi multiutente come gli Unix, concepiti anche pensando a tali problematiche.
Un esempio di attacco a un computer con condivisioni attive e non protette: basta mettere il comando opportuno nell'AUTOEXEC.BAT, ed alla successiva accensione (che puo' essere anche dopo 30 secondi - perche' basta mandare un nuke, il PC si pianta, e il riavvio e' necessario) esso verra' eseguito, con quali risultati dipende dal comando. Se per esempio il comando e' un bel format /autotest...

[Sommario]

B19-W Le porte UDP 137 e 138 sono un rischio? E perche'?

Sono porte dedicate al NetBios, che consiste nei File/Print/Disk Services di Windows via protocollo SMB/NetBEUI; in pratica, serve per condividere file/stampanti/dischi (vedi [B17-W], [B18-W]).
La porta 137 e' dedicata al NetBios Name Service, la 138 al NetBios Datagram Service. Fanno parte delle cosiddette "well known ports" i cui indirizzi sono stati assegnati dallo IANA (Internet Assigned Numbers Authority), che attualmente gestisce le assegnazioni delle porte nel range 0-1023. Possono essere soggette ad attacchi DoS (Denial of Service). Anche il semplice WinNuke, con il suo invio di dati OOB, puo' risultare efficace sulle porte 137 e 138, sebbene in prima istanza l'attacco OOB venne concepito sulla porta 139 (NetBios Session Service). Riguardo al WinNuke, Microsoft ha rilasciato delle patch sul suo sito Web.
*** (C) Paolo Monti
[con adattamenti]

[Sommario]

B20-W [W95] Ho notato che ogni volta che mi connetto a internet si aprono automaticamente queste due porte 137 e 138. Io ho la versione OSR2 di win95, e' un problema di questa versione ?

Potrebbe esserlo se ti attaccassero su quelle porte sfruttando bug dello stack TCP/IP di MS o semplicemente i limiti insiti in tutti i protocolli basati sul TCP/IP (vedi alla voce "SYN flooding"). Per impedire l'apertura delle due porte suddette, basta eliminare il supporto per il NetBios nelle risorse di rete. Il supporto del NetBios su TCP/IP (NBT) diventa particolarmente pericoloso se hai anche le "shares" (condivisioni di file e/o stampanti) impostate senza password, fatto che si verifica comunemente in almeno il 5% degli utenti Windows. In quel caso, chi localizza il tuo IP sulla rete puo' entrare nel tuo computer come un falco, usando semplicemente il comando NET o l'Esplora Risorse.
*** (C) Paolo Monti

[Sommario]

B21-W [NT] Da un account NT in pratica senza nessuna autorizzazione, è possibile scovare la password dell'Administrator?

Forse si', sfruttando un bug nella gestione delle librerie... in pratica, anche un utente normale ha una serie di processi che girano con maggiori privilegi, e in teoria non sarebbero influenzabili.
Il guaio e' che alcuni di quei processi usano codice non privilegiato, e quel codice e' accessibile a tutti, anche in modifica. Quindi, teoricamente, E' possibile. Come farlo in pratica, non so (e' vero, non lo dico per evitare richieste).
Questo vuole solo essere un incentivo per che gestisce un sistema NT a porre la massima cautela a dove vengono riposti i dati "strategici" per la vita del sistema.

[Sommario]

B22-W [NT] E' possibile diventare amministratore sotto Windows NT?

Purtroppo si'. A causa di un baco nel sistema operativo, certe funzioni a livello supervisore non controllano bene i puntatori passati. Come conseguenza, e' possibile modificare una serie di variabili nel kernel, senza essere amministratore.
E, siccome il livello di sicurezza (utente, amministratore, Dio, figlio di nessuno) sta in una variabile, ti puoi immaginare il resto...
Naturalmente, bisogna avere a disposizione un login, ed il diritto di eseguire un eseguibile che avremo installato (quindi, diritto di scrittura). Non e' poco.
*** (C) Leonardo
[con adattamenti]

[Sommario]

B23-W [NT] Avendo il diritto di installare ed eseguire programmi, cosa posso fare?

Per esempio, scrivere un programma che acceda alle funzioni che non controllano i puntatori (vedere [B27]) e passargli un indirizzo illegale corrispondente ai dati da modificare.

[Sommario]

B24-W Come possono interagire telnet e BO?

Per quanto riguarda una sessione telnet, la si può aprire, ma dal client Bo. Il comando è App Add, si deve scrivere nella finestra exe.location Command.com e scegliere una porta a piacere come listen port. Poi si fa telnet all'indirizzo ip target sulla porta appena scelta... E' una vera e propria shell.
Per quanto riguarda invece il comunicare col server del BO tramite telnet, cioe' collegarsi alla sua 31337 (o qualunque altra porta abbia configurato) con telnet, non si puo' fare. Il motivo e' che BO usa UDP, mentre telnet usa TCP.

[Sommario]

B25-W In cosa consiste di preciso il "TearDrop Attack"?

Nell'inviare un pacchetto IP scorretto, cioe' frammentato in un modo non valido. Tentando di riassemblarlo, quasi tutti gli stacks TCP-IP ottengono indici negativi ed indirizzi di memoria scorretti, dal che si ottengono magni inchiodamenti. Il protocollo usato e' ICMP.
[a voler essere piu' precisi, e' la semplice accoppiata IP+UDP, (per evitare le noie dei numeri di sequenza nel caso di spoof) TNX invy]. Naturalmente, la patch (consistente nell'aggiungere "...e' un indice negativo? Se si', butta via il pacchetto e incazzati fortemente") e' disponibile per Linux da un pezzo.
Windows 95 e' ancora vulnerabile (esistono vari modi di creare rogne con il metodo teardrop), Windows NT parzialmente (solo ai nuovi TD e non al teardrop originale).
I sockets di Windows pero' non consentono il raw socketing, e quindi non esiste teardrop per Windows. Il teardrop e' un attacco che parte solo da sistemi Unix, dove l'acher ;-) deve essere root.
Volendo si puo` modificare il datagram a mano prima che esso vengainviato.

[Sommario]

B26-W Come sono belli i messaggi di posta e news formattati, con tutte quelle belle applet ed effetti speciali!!!

Disabilitare i messaggi in formato HTML! Immediatamente!!! La ricchezza espressiva consentita dall'HTML e dalla possibilita' di incorporare in esso delle funzioni JavaScript e/o delle applet Java non vale la sicurezza del proprio computer. Un esempio "innocuo" e' dato dal seguente codice:
<script language=VBscript>
do
msgbox ("MANGIATE STRONZI !!!")
loop

[nota: un messaggio che includeva questo e' stato veramente postato in alcuni gruppi della gerarchia it.*].
Innocuo significa che non causa danni alla macchina, ma comunque e' fastidioso e per terminarlo occorre ammazzare il programma di posta. "Regalini" come questi sono particolarmente subdoli se si usa il programma Outlook Express di Microsoft, che riesce a eseguire il formato HTML senza bisogno di "aiuti" esterni, con il risultato che non chiede nulla prima di visualizzare un tale messaggio, applet e script compresi. Se questi contengono del codice "malizioso", che per esempio sfrutti dei bug della JVM del browser, i danni causati dipendono solo dall'altruismo del loro mittente...
In OEx si puo' disabilitare l'esecuzione degli script intervenendo in Strumenti/Opzioni/Protezione/Impostazioni personalizzate; in ogni caso basta cliccare su Strumenti/Opzioni/Area Internet/Personalizzato/ e qui scegliere che cosa si deve eseguire automaticamente e che cosa no.

[Sommario]

B27-W [NT] Perche' e' meglio chiudere la porta 53 sotto NT?

La porta 53 e' destinata al servizio DNS. I sistemi Windows NT sono vulnerabili a un programma chiamato NTCrash, che e' uno script che mette fuori combattimento il server DNS di NT, se presente. E' quindi saggio, se non necessario, disabilitare tale servizio sul propriosistema NT.

[Sommario]

B28-W E' possibile camuffare un eseguibile come un file di tipo diverso?

In linea di principio si', e anche in pratica. Per esempio, se in Gestione Risorse (Esplora Risorse) e' disabilitata la visualizzazione delle estensioni per i tipi di file registrati, un file di nome PIPPO.BMP.EXE viene mostrato in G.R. come PIPPO.BMP; se l'infame che l'ha mandato gli ha dato l'icona di una bitmap e il file sta da solo nella sua cartella, si puo' restare ingannati e non accorgersi subito che e' un file eseguibile. In tal caso, si puo' essere indotti a tentare di "visualizzarlo" con un doppio click, e quest'azione in realta' lancia il programma che puo' compiere le sue buone azioni...
Ulteriore pericolo e' dato dal fatto che quando si cambiano le associazioni delle estensioni nel file win.ini, Windows non deve ripartire per rileggerle, ma lo fa sul momento.

[Sommario]

B29-W Corro rischi ad usare Netbuster per beccare intrusi?

Con il Netbuster basta un PortFuck (SYN flood) sulla porta 12345 per avere il sistema bloccato. Per la precisione, Portfuck e' un programma DoS usato per floodare porte TCP aperte. E' simile ad un flood SYN. Il suo uso principale e' bloccare servizi come Telnet o FTP. In pratica Portfuck stabilisce molte connessioni ad un'unica porta TCP di un host remoto. Stabilita una connessione, essa viene chiusa immediatamente e ne viene aperta un'altra.
Esistono addirittura dei programmi che sono fatti apposta per causare errori critici a Netbuster. Dopo tale attacco il netbuster si blocca, con un effettivo rischio per la stabilita' del sistema. Anche BoSpY puo' essere bloccato inviandogli pacchetti UDP molto grandi.

[Sommario]

B01-M E' possibile far piantare il Mac tramite la rete?

L'unica cosa che manda in bomba il System 8.1 con l'ultimo OpenTpt e' se sta collegandosi (attivamente) a un server DDP e il server crasha. Resta per un po' confuso, poi si pianta il Finder e tocca riavviare. Anzi, una volta su cinque tocca pure resettare la P-RAM.
Il problema sembra essere piu' grave utilizzando una scheda di rete Dayna 10/100, evidentemente non molto affidabile. Un dispositivo comunque nonApple.

[Sommario]

B01-X Nella mia macchina Linux ho attivo il servizio di finger. E' vero che ci sono rischi?

Forse. In realta' era un bug di vecchie versioni, che potevano essere "indotte" a concedere una shell verso un client remoto se questo gli inviava una particolare stringa, contenente quelli che finivano per essere interpretati come comandi. Se il demone girava con diritti di root, l'operatore all'altro capo della connessione aveva a disposizione una shell con i diritti di root... In maniera piu' pedestre, il server poteva essere fatto crashare mandando una stringa molto lunga.
In ogni caso, le versioni attuali non dovrebbero piu' essere affette da questo problema. Il consiglio, pero', e' quello di disabilitare i servizi che non sono necessari, come puo' essere il finger in una Linux box per uso "domestico".

[Sommario]

B02-X Con X-Window attivo netstat rileva qualcosa sulla porta 6000.

Facciamo un esperimento: da console (non come terminale di X-Window, ma proprio in "modo testo") diamo il comando
    netstat -a | grep LISTEN\\b | cut -f2 -d':'
un possibile risultato e':
    auth *
printer *
Sulla stessa macchina, dando lo stesso comando da KDE, si ottiene:
     auth *
     printer *
     6000 *
L'entita' misteriosa in ascolto sulla porta 6000 e' proprio il server X-Window, che di default e` gia` chiuso agli estranei (vedere la pagina di manuale relativa, comando "man xhost"). Si ricorda che a differenza di Windows, il sistema grafico X-Window funziona secondo il paradigma client-server, anche se abbiamo un semplice PC stand-alone.

[Sommario]

BO3-X Ho sentito parlare di PHF, ma cos'e'? Una backdoor?

No, e' un CGI installato con Apache. A causa di un bug, se gli si domandava con garbo, per esempio
http://www.victim.com/cgi-bin/phf?...
ti restituiva il contenuto di QUASI qualsiasi file del sistema, compreso il file delle passwords di Unix.
Il "bug" consisteva nel FIDARSI che la richiesta inviata al PHF fosse buona e lecita, e nel non elaborarla con la dovuta cautela.
<ESEMPIO NON FUNZIONANTE>
     Diciamo che io prendo un parametro dall'esterno
     QUERY=...(parametro)...
     e poi costruisco una query formattata come
     echo "<PRE>" $QUERY "</PRE>"
     ...se qualche furbacchione mi manda come query
     QUERYLEGITTIMA; cat /etc/passwd; echo
     il comando diventa, all'interno del CGI,
     echo "<PRE>" QUERYLEGITTIMA; cat /etc/passwd; echo "</PRE>"
     ...che significa: "Invia la query normalmente. Invia anche
     tutte le passwords di sistema. Grazie" ;-)
</ESEMPIO NON FUNZIONANTE>

Attualmente, il PHF standard controlla se la richiesta e' lecita... e se lo e' risponde normalmente, altrimenti fa qualcos'altro (non saprei cosa; come minimo logga l'accaduto).
Esistono stringhe di test che si possono usare con i vari CGI per vedere se sono "sicuri" da questo punto di vista.
*** (C) Leonardo

[Sommario]

BO4-X Corro rischi ad ascoltare musica in formato MP3 sul mio sistema Linux?

I files .MP3 possono contenere, con _alcuni_ lettori MP3, un exploit per sistemi Linux su piattaforma x86. E' stato presentato un mini virus realizzato con script bash, che si propaga via MP3, a patto di eseguire il lettore del file con diritti di "root".
L'attacco avviene con un giro un po' complicato. Si basa su un exploit di Erikson, un programma in C che crea un file MP3 bacato. Il baco fuziona solo su Linux, solo su Intel x86. Secondo la descrizione del programma, contenuta nel suo header, esso crea un file MP3 che esegue un programma se suonato con il programma mpg123 versione 0.59k (mentre la versione 0.59o sembra non affetta da questo problema). Il suo autore dice che sarebbe anche possibile inserire del codice che crei un nuovo account e far saltare l'esecuzione all'inizio diquel codice.
Qualcuno e' riuscito ad eseguire una system(), che esegue uno script ESTERNO, che di per se' sarebbe privo di diritti. Lo script contiene dei commenti su come sarebbe possibile, a questo punto, compromettere la sicurezza del sistema e propagare script ed MP3 impestato. Naturalmente, un sistema dove root esegue file MP3 ha gia' problemi di sicurezza, quindi in un caso del genere sarebbe da rivedere la politica con cui viene gestito...
Per inciso, lo script di cui sopra non prevede l'infezione di altri files MP3, ma forse cio' non sarebbe affatto difficile, vista la natura dell'exploit.
<PROGRAMMATORI C> L'exploit si basa sul seguente bug contenuto nel file "common.c":
if(newhead == ('R'<<24)+('I'<<16)+('F'<<8)+'F') {
      char buf[40];
     fprintf(stderr,"Skipped RIFF header\n");
     fread(buf,1,68,filept);
      goto read_again; }

In sostanza, il vettore buf e' lungo 40 bytes, ma la fread() legge 68 bytes. La soluzione? Il buffer dovrebbe essere lungo 68, non 40. I programmatori di mpg123 se ne sono gia' accorti, e l'ultima versione e' quindi pulita.
</PROGRAMMATORI C>
[Adattato da un messaggio di L. Serni]

[Sommario]

Fonte...Massimiliano Baldinelli...it.faq

-->

Sicurezza informatica - By Carlo Carmagnini