Security FAQ 3.0

C01-ALL Proteggere il sistema - Info generali

La prima regola fondamentale e' di non eseguire __MAI__ alcun file che non sia di provenienza piu' che accertata. Questo ancor di piu' se si e' soliti, per esempio, chattare con mIRC o ICQ e qualche interlocutore vi spedisca dei file. Non eseguiteli, neanche se promettono di farvi materializzare dal modem una Pamela Anderson nuda e disponibile :-)) Il pericolo puo' essere maggiore di quello costituito da un virus "tradizionale". In ogni caso, poiche' prevenire e' meglio che curare, due programmi di utilita' sono:

tucows.iol.it

VOLftp.tin.it

www.avp.it/utility

Il primo e' un antinuke che pero' ha il difetto di aprire le porte per controllarle; dovrebbe esistere pero' una patch che serve a chiuderle. Il secondo e' un anti-BO/monitor di sistema, freeware, scritto da Paolo Monti (l'autore e' reperibile su it.comp.irc). Per utilizzare NukeNabber bisogna avere Winsock 2 o superiori (attualmente siamo alla 2.2), se si hanno versioni precedenti l'aggiornamento e' scaricabile come al solito dal sito Microsoft o da vari archivi ftp (con VOLftp si va tranquilli); la versione 2 o superiore del Winsock e' necessaria per la scansione ICMP.
Questo introduce un'altra regola di base, che e' quella di tenere costantemente aggiornato il sistema nelle sue componenti vitali come lo stack TCP/IP, per evitare di esser vittime di vecchi bug corretti da versioni successive del software.

[Sommario]

C01-W Come si configura correttamente il Nuke Nabber ?

Come gia' indicato sono necessarie le winsock 2.x per utilizzare tutte le funzioni dello stesso (per incisio, se lo si utilizza su di un sistema winNT, oppure in rete locale con macchine UNIX e' possibilie configurare le attivita' di logging rispettivamente nell' event monitor oppure verso il demone syslogd).
Vi sono due filosofie d' utilizzo di questo sw:(a) Permettergli di controllare tutto il controllabile, (b) Sintonizzarlo solo ed esclusivamente dove e' utile; la seconda serve ad evitare che il sistema sia vittima di attachi che richiedono "porte aperte" e che il Nabber non e' in grado di gestire.
Quando il Nabber controlla una porta, questa viene lasciata aperta (vedi sez. TCP/IP), dovrebbe esistere una patch per effettuare una chiusura preventiva [[dove ?????]], solo dopo uno scan e/o attacco questa vienechiusa.
Configurare il Nabber, in File -> Options -> General almeno due opzioni devono essere selezionate: "Block port scan" (chiude le porte dopo uno scan) e "Disable port for....." (evita di riaprirle per X secondi). Poi, in File -> Options -> Advanced si possono controllare le attivita' di monitoring sulle porte.
Se si decide per (a) (vedi sopra) indicare le porte segnate con (a) alla voce monitoring nell' elenco presente in [PORT-Appendice] e riportate anche qui per brevita'.
NukeNabber di default controlla le seguenti porte: 5001 (tcp), 5000 (tcp), 1080 (tcp), 1032 (tcp), 1029 (tcp), 1027 (tcp),
- 139 (tcp), 138 (tcp), 137 (tcp),
     Queste devono restare, ma disinstallando NetBIOS o installando WinNuke95 e selezionando      "Patch against Nuke", le si puo' togliere.
- 129 (tcp), ma non e' un servizio standard.- 53 (tcp),
si puo' togliere, a meno di non avere un DNS sul PC, accessibile dall'esterno.- 19 (udp).
     Su Windows 95 non c'e' il servizio chargen corrispondente alla porta.
     Su WinNT, va elimitato, dal pannello di controllo "Small TCP Services", perche' si puo' indurre NT a cortocircuitare le proprie porte 19 e 53, con risultati non proprio esaltanti. Con Windows 95/98 no (non c'e' il servizio).

Vanno aggiunte invece le seguenti:

- 31337 (udp), Porta di default del Bo.- 61466 (tcp), 50505 (tcp) - 12345 (tcp), 12346 (tcp),porte utilizzate da NetBus.
Se si segue la filosofia (b) ci silimitera' a:
ICMP / 139 (TCP) / 19 (UDP)
Si tenga comunque presente che
- gli scan alla ricerca di backdoor/server vari non sono pericolosi in quanto tali
- il Nabber e' veramente essenziale solo se si utilizza IRC, dal momento che ci sono persone che attaccano sistematicamente tutti quelli che si affacciano su di una canale

[Sommario]

C02-W Le componenti di rete, ovvero: cosa tengo e cosa tolgo?

Anzitutto, se possibile. togliere assolutamente i protocolli NetBEUI e IPX/SPX, o almeno il binding con Accesso Remoto (se si ha Windows). Questi servono per reti locali e non per Internet; nel caso di un computer a casa collegato a Internet con modem e accesso tramite provider su linea telefonica, nelle proprieta' della Rete dovrebbe esserci solo Scheda di Accesso Remoto e TCP/IP in binding con essa. Eliminare se possibile anche il client per reti Microsoft.
Condivisioni: eliminare o, se necessarie, proteggere con password le directory condivise. I protocolli NetBEUI e IPX/SPX non devono comunque essere associati ad Accesso Remoto ma solo al driver della scheda di rete.

[Sommario]

C03-W Ma se tolgo il Client per reti MS non mi memorizza piu' la password!!!

Meglio!!! ^__^ Ogni informazione memorizzata nell'hard disk e' a disposizione dell'hacker oppure lamer di turno. Almeno gli si renda la vita piu' difficile non facendogli trovare bello e pronto quel che cercano. I file .pwl di Windows, poi, dove vengono memorizzate le password, non sono certo difficili da decifrare (vedi patch per la sicurezza che Microsoft ogni tanto emette). Ricordo che se qualcuno vi frega la pass di accesso a Internet poi si puo' connettere e per il provider (E PER L'AUTORITA' GIUDIZIARIA) sarete voi a esservi connessi e ad aver commesso eventuali atti illeciti. A meno che riusciate a dimostrare di essere stati craccati (della serie, campa cavallo...).

[Sommario]

C04-W Quali porte controllare con NukeNabber?

NukeNabber di default controlla le seguenti porte:

Vanno aggiunte invece le seguenti:

- 31337 (udp), Questa e' la porta di default del Bo.
- 61466 (tcp), Master Paradise
- 50505 (tcp), icqtrogen
- 12345 (tcp), 12346 (tcp).
Su queste porte puo' arrivare una connessione a NetBus.

Attenzione che NukeNabber e' un programma di monitoraggio e non una protezione vera e propria. Esso consente di sapere se le porte sotto controllo sono sotto attacco, ma non e' efficace contro attacchi tipo Land, Boink, Teadrop I e II, Ssping ecc...

[Sommario]

C05-W Cosa uso per controllare l'attivita' di rete del mio computer?

DOS

tracert
ping
netstat
-
-
-
-
-
-
route
-
fdisk
-
-
pov

WIN 95

tracert
ping
netstat
nbtstat
NukeNabber
-
NukeNabber (?)
-
-
route (1)
aggressor
fdisk
win
office
pov32

Linux

traceroute
ping
netstat
nbtstat
tcplogd
tcpd
icmpd
strobed
-
route
aggressor
fdisk
startx
staroffice
povray

(1) Non funziona bene.
(2) Children, DO NOT DO THIS AT HOME

[Sommario]

C06-W Password mantenute in cache

Un piccolo suggerimento per tutti: e' possibile evitare l'uso delle cached password modificando una chiave nel Registry. Basta impostare al valore 1 la seguente chiave:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ Network\DisablePwdCaching

[Sommario]

C07-W Ho il programma WinTOP dei Kernel Toys. Serve a qualcosa?

Si'. WinTOP (che si puo' lanciare da Avvio[Start]/Esegui, scrivere wintop.exe) mostra un elenco di tutti i processi attivi nel computer, con la possibilita' per ognuno di essi di avere l'elenco dei thread generati. A differenza della finestra che appare premendo CTRL- ALT-DEL, in WinTOP viene mostrato tutto quello che e' in esecuzione, e quindi si possono individuare cose "non regolari".
Idle, kernel32, msgsrv32, mprexe, mmtask, explorer, rundll32 sono task di sistema. Per vedere i dettagli di un processo, cliccate con il tasto destro e scegliete Properties: qui in due schede sono mostrate, appunto, le proprieta' del processo. Quello che interessa e' la seconda, dove puo' essere presente un bottone "Terminate process now", che permette appunto di uccidere il processo. Il bottone e' disponibile sui processi contrassegnati dalla finestra, mentre quelli contrassegnati dalla ruota dentata non possono essere terminati in questo modo.

Attenzione: WinTop non permette di effettuare la chiusura dei processi con caratteristiche di servizi di sistema, mentre con AVP System Watch e' possibile fare anche questa operazione.

[Sommario]

C08-W E' vero che si possono far eseguire dei programmi dannosi allegandoli a un messaggio e-mail?

Dipende da cosa si intende dire. In generale, una mail e' costituita da una sequenza di caratteri ASCII, che vengono mostrati in una finestra del programma di posta elettronica, ma non sono eseguiti. La mail puo' pero' contenere un allegato di tipo qualunque, e ai fini della sicurezza del sistema interessano due classi di file: eseguibili (.exe, .com) e binari creati da applicazioni che hanno un certo livello di programmabilita' per mezzo di macrolinguaggi (documenti Word o Excel, per esempio). Il testo della mail non e' pericoloso, al contrario di quel che dicono dei messaggi terroristici che periodicamente spammano i newsgroup.

Il discorso cambia per gli allegati suddetti. Un file di Winword puo' contenere una macro che in realta' e' un macrovirus, e la sua apertura CON WINWORD puo' infettare il computer col virus stesso. Un file eseguibile puo' anch'esso essere infetto. Non si proseguira' qui sul discorso dei virus, esistendo un newsgroup dedicato ad essi, cioe' it.comp.sicurezza.virus, e le relative FAQ.

I pericoli che possono nascondersi negli eseguibili non sono pero' finiti. Un eseguibile puo' nascondere un trojan o una backdoor, ed eseguendolo vengono installati questi ultimi. Qui il trucco non sta solo nell'avere programmi antivirus e di monitoraggio aggiornati e sofisticati, ma soprattutto in un settaggio furbo del programma di posta. Questo deve essere impostato in modo che gli allegati "sensibili" non vengano aperti direttamente cliccandoci sopra, ma salvati su disco per poterli passare con comodo all'antivirus e agli altri controlli. In poche parole, un .jpeg puo' essere automaticamente aperto, un documento Word NO, NO, NO, NO, NO (ripetere n volte, con n->oo) e neppure un eseguibile.

[Sommario]

C09-W Posso proteggere un file o una directory sotto Windows da accessi indesiderati?

Certo. Naturalmente, a causa della natura intrinsecamente insicura di Windows (TUTTE le versioni dal 98 in giu') dovuta al fatto che si tratta di un sistema sostanzialmente monoutente, questo e' impossibile in maniera nativa, e i programmi che si possono trovare sono tutti piu' o meno aggirabili (basta un boot da dischetto per accedere al sistema, anche se da DOS puro, a meno di disabilitarlo dal BIOS).

Se la partizione in cui si trova il file/directory da proteggere e' formattata FAT-16 (cosa facilmente verificabile con un click destro sulla unita', scegliendo Proprieta'/Generale e controllando la presenza o meno della dicitura FAT-32 accanto alla riga Tipo: Disco locale), c'e' pero' un trucco semplice, che necessita di un programma come il buon vecchio PC-tools.

Per facilitare le cose, si mettano i file in un'unica directory, chiamata ad esempio "VARIEK". Riavviare in Modalita' MS-DOS (NON il prompt!!!), lanciare PC-tools, localizzare la directory VARIEK e sostituire la K con ALT+255; questo e' un carattere che sembra lo spazio, e l'effetto e' di rendere la directory inaccessibile sia da DOS che da Windows. Per entrarvi, occorre utilizzare di nuovo PC-tools e rimpiazzare ALT+255 con un carattere alfanumerico. La cosa puo' sembrare macchinosa, ma e' possibile scrivere un programma che faccia il cambio in automatico, cosicche' per entrare nella directory e accedere ai file contenuti basta lanciare il programmino e una volta finito rieseguirlo per compiere l'operazione opposta. Stessa cosa per i nomi dei singoli file, per esempio per creare in dos dei file con spazi inframezzati, o in Windows (3.1 o anche 95) scrivere file che windows non puo' rileggere se non dopo accurata modifica del nome.

[Sommario]

C10-W Ho messo sotto controllo la porta 31337. Sono al sicuro?

Non direi. Pe default, il BO apre in listening una sola porta TCP/UDP: la 31337 (in realta' sono due, dal momento che le porte TCP sono diverse da quelle UDP, anche se hanno lo stesso indirizzo). Volendo e' possibile impedire/monitorare il flusso di dati da certe porte, i firewall servono proprio a questo (ad es., Conseal o Green Dog). Il problema e' che il BO puo' essere configurato per "ascoltare" anche da porte diverse da quella di default.
[P.Monti]

[Sommario]

C11-W Ho installato NukeNabber per controllare le porte "sensibili". Sono al sicuro?

Con Nuke Nabber installato, ti possono straziare la macchina usando, per esempio, Teardrop, Newdrop, Fraggle e Nestea (*). Per quanto ne so. E non so se funziona anche Jolt (*), un altro attacco simile. C'e' un paio di note in FAQ, href=http://www.linuxvalley.com/~lserni/glossary.cgi?
ITEM=attacks , pero' sono "in fieri" e lontanissime dall'essere complete. Mi raccomando, dite se ci sono errori o inesattezze.
(*)Cercarli!!! Anche Land, Boink, Ssping.

[Sommario]

C12-W Back Orifice - Server: configurazione ed installazione

Nota: questo paragrafo non vuole essere un incitamento alla boserverizzazione dei computer altrui. Dato che e' comunque bene conoscere i propri nemici per poterli meglio sconfiggere, l'ho ugualmente inserito nella FAQ. Potrete fare cosi' degli esperimenti sul vostro PC (utilizzando l'indirizzo 127.0.0.1 sul BoClient) o su quello di un vostro amico CONSENZIENTE ed INFORMATO DI TUTTI I PERICOLI, che verra' IMMEDIATAMENTE RIPULITO DAL SERVER al termine degli esperimenti.

Il server Back Orifice si puo' installare semplicemente lanciando il file boserve.exe; una volta avviato, questo file copia il server (vero e proprio) nella directory SYSTEM di Windows 95, aggiunge una chiave nel registro di configurazione ed infine si cancella dalla directory da cui e' stato lanciato.

Il BO server può essere configurato (prima di essere installato) per impostare il nome dell'eseguibile del server, la porta su cui deve ascoltare, la password, etc. ma funziona anche senza una particolare configurazione utilizzando le seguenti impostazioni di default:

Nome eseguibile del server: " .exe" <spazio>.exe
Porta: "31337"
Password: (nessuna)

Per configurarlo, invece, va usata l'utility boconfig.exe nel seguentemodo:

Dopo aver estratto il pacchetto BO in una directory, dal prompt di MS-DOS, posizionarsi in questa directory e digitare:

boconfig boserve.exe [Invio]
Ora viene chiesto di specificare le varie opzioni di configurazione:

Runtime executable filename: e' il nome con cui verra' chiamato il file eseguibile del server; non e' necessario specificare l'estensione .exe, ma se non lo si fa, BO non la aggiunge automaticamente;

Exe description in registry: e' il nome che si vuole dare alla chiave che verra' creata nel registro di Windows 95 per far si' che il server venga lanciato automaticamente ad ogni avvio del sistema. Questa chiave si trova in:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices.

Se non si specifica un nome, il riferimento al server verra' creato nella chiave "(Predefinito)";

Server port: e' la porta su cui sara' attivo il server;

Encryption password: e' la password usata per la criptazione. Si puo' anche scegliere di non usarla, digitando semplicemente Invio;

Default plugin to run on startup: qui va specificato un plugin da lanciare all'avvio. La sintassi e' la seguente:

nome_plugin.dll:_funzione

Per ulteriori informazioni riguardo i plugin di BO, leggi il file plugin.txt incluso nel pacchetto e visita il sito cDc. Se non si vuole usare nessun plugin digitare Invio.

Argument for plugin: qui vanno specificati gli argomenti da passare al plugin. Se hai scaricato dei plugin da Internet, questi parametri li trovi nella loro documentazione;
File to attach: qui va inserito il percorso di un file che si vuole attaccare al server. Questo potrebbe essere un plugin per BO, che puo' essere attivato automaticamente. Se non si vuole attaccare nessun file, digitare Invio;

Write file as: se si e' specificato di attaccare un file al server, bisogna ora specificare il nome che si vuole dare al file attaccato.

A questo punto il file boserve.exe e' stato modificato per queste impostazioni.

Nota: se vuoi fare un'altra configurazione, non usare il file boserve.exe già configurato: cancellalo ed estrailo di nuovo dall'archivio compresso.

×-h4ck3r - SPP member
Liberamente tratto dal sito di x-hacher
(by M.D'Itri)

[Sommario]

Dipende da come e' stato fatto il lavoro: se uno usa silkrope e basta, gli antivirus attuali ti dicono che il file e' infetto da BO. Se, invece, dopo aver fatto silkrope passi il tutto ad un compressore di eseguibili, l'antivirus non vede niente.

[Sommario]

C14-W Si puo' creare un file di log per netstat?

Dipende da cosa si intende per log. Si puo' fare in modo che l'output di netstat venga scritto su un file piuttosto che sul video, basta usare il pipe ">" o ">>". Per esempio potresti scrivere:

netstat -na 30 > c:\dir\log.txtoppure
netstat -pa TCP 30 > c:\dir\log.txt

scegliendo i parametri che vuoi passare al netstat e poi, invece di mandare i risultati a video, ci si crea un bel file di log.

Bisogna fare attenzione a 2 cose:

1. il singolo ">" fa in modo che il log venga sovrascritto ogni volta che si esegue il comando, mentre il doppio ">>" fa si' che i risultati vengano di volta in volta aggiunti nel file in coda ai precedenti (occhio alle dimensioni del file log!).
2. se si imposta un intervallo di tempo molto breve, e' sicuro che non sfugge nulla ... o quasi ;-), ma si rischia di ritrovarsi con un logimmenso!

Poi si puo' scrivere un piccolo file batch in modo da non doverlo digitare ogni volta: aprite il notepad, scrivete il comando in una riga, sceglere Salva con nome (nella lista dei tipi dei file scegliere "tutti i file") chiamandolo "nome_che_vuoi.BAT".

Poi per cercare qualcosa si va di grep... si apre con Wordpad e con +F si cerca, per esempio, "31337" (che originale!!!), usando F3 per trovare tutte le connessioni loggate con la sottostringacercata.

[Sommario]

C15-W Ho saputo che posso proteggere il mio computer con un programma chiamato Conseal. Quando e' utile o inutile questo programma?

(cercare info su Conseal)

Conseal viene fornito con un semplice insieme di regole, o ruleset, che impedisce gli attacchi piu' comuni. Le restrizioni devono essere adattate caso per caso per avere un'efficacia piu' sicura, e l'help del programma e' come al solito una lettura d'obbligo per avere maggiori informazioni. Esiste anche il sito Internet

www.betatesters.com/firewall

dove si possono trovare utili indicazioni e consigli, fra cui varie configurazioni del ruleset tutte documentate.
Un timore che si puo' avere e' che qualcuno dall'esterno possa in qualche modo manomettere le regole impostate nel firewall. Ebbene, questo non e' possibile farlo da remoto, a meno che ovviamente non si possa entrare nel sistema con i soliti mezzi: backdoor, porte aperte in eccesso (cioe' servizi attivi non necessari), condivisioni magari non protette da password, IE4 bacato, ...
E' quindi importante assicurarsi di non avere un sistema aperto, controllando prima tutto il controllabile di cio' che e' stato citato nel paragrafo precedente, poi si installera' il Conseal configurando il tutto secondo le specifiche necessità, dopodiche' si puo' stare relativamente tranquilli in relazione alla configurazione adottata. In altre parole, per tutte le porte che per necessità devono restare aperte bisogna accertarsi che non possano venire attacchi da quella direzione, per esempio aggiornando sempre il software e lasciando il meno possibile del sistema visibile al mondo.

[Sommario]

Fonte...Massimiliano Baldinelli...it.faq

CarCar SICUREZZA - By Carlo Carmagnini - http://carcar.ztl.it (precedentemente www.tccity.net/carcar )