CarCar > Sicurezza Informatica

Sommario Sicurezza


D01-ALL    Un attacco sembra venire dall'indirizzo x.y.w.z. Posso essere sicuro che provenga da veramente da li'?

Non e' detto. E' possibile fare in modo che i pacchetti trasmessi da un certo indirizzo IP sembrino arrivare da un altro; la tecnica si chiama __spoofing__. Quando si riceve un tentativo di attacco e il programma usato per monitorare la rete riporta un certo indirizzo di provenienza, e' bene non passare direttamente al contrattacco, perche' si potrebbe colpire qualcuno che non c'entra niente, rendendolo la seconda vittima dell'attacco (il suo indirizzo IP potrebbe essere usato come indirizzo di provenienza dell'attacco per vari motivi, non ultimo una forma di "ritorsione" contro il proprietario di tale indirizzo).

*** (C) Leonardo Serni ***
Se uno proprio vuole assicurarsi (nei limiti del possibile) di chi effettivamente ha fatto ping:

    1) Risponde
    2) Risponde a tono ai comandi piu' ovvi.
    3) Se, come nel 75% dei casi (esperienza mia) arriva il comando di attivazione web server, dice di si'.
    4) Quando arriva una connessione TCP da quell'indirizzo alla porta 80, _ALLORA_ l'identita' del tizio e' non dico SICURA, pero' insomma abbastanza PROBABILE.
*** fine (C) ***

[Sommario]


D02-ALL    Riesco a beccare un attaccante che usa ICQ?

Pare che ICQ dia la possibilita' di nascondere l'IP. In realta' si puo' usare il programma ICQ Sniffer, 85 Kb, per scoprire l'IP inqualsiasi caso.

[Sommario]



D03-ALL    Ma e' proprio sicuro che l'IP che scopro e' quello dell'attaccante?

Basta che l'attaccante utilizzi un proxy dedicato, per rendere inefficaci i tentativi di scoprire il proprio IP. In questo caso, il programma utilizzato, come ICQ sniffer, riporterebbe l'indirizzo IP del proxy invece di quello effettivo. Percio' vale anche qui la regola di pensarci bene prima di rispondere al fuoco...

[Sommario]



D04-ALL    Ci sono programmi con cui mi posso difendere in maniera piu' "attiva" e magari rispondere per le rime? >:-]

La prima cosa che bisogna dire e' che se e' illegale che qualcuno violi le nostre macchine, altrettanto lo e' rispondere al fuoco, o meglio, lo e' se il nostro scopo e' quello di danneggiare a sua volta l'attaccante. Cio' non vuol dire che non si possa "rispondere al fuoco" in maniera innocua e lecita, ma tale da divertirci un po' alle spalle dell'attaccante, cercando magari di fargli capire che forse e' meglio che si cerchi altri svaghi. Come primo tentativo, ci si procuri il client delle solite backdoor (Bo, NetBus, TeleKommando, 'r tegame di su ma'). Piu' frequentemente di quel che si pensa, infatti, i lamerini che vanno a caccia di backdoor hanno a loro volta anche il server installato, o perche' fanno esperimenti su se stessi senza proteggersi, o perche' hanno scaricato versioni "non proprio affidabili" delle backdoor da siti non ufficiali, e queste installano il server a loro insaputa. Senza procurare loro danni, si puo' fargli apparire sul desktop un messaggio di "avvertimento", da rendere via via piu' "deciso" se i tentativinon cessano.
Esistono poi dei programmi che simulano i server delle backdoor, in particolare NetBuster per NetBus e BoFake, BoSpy e NoBo per Back Orifice. Tali server (perche' server sono a tutti gli effetti) si mettono in ascolto sulle porte opportune, e all'arrivo di una richiesta di connessione rispondono, permettendo fra l'altro di loggare le azioni che l'attaccante richiede al server. E' possibile (nel caso di BoSpy) far anche apparire al client un sistema virtuale definito in appositi file di configurazione.
ATTENZIONE: L'USO DI TALI PROGRAMMI VA FATTO SOLO SE PERFETTAMENTE CONSAPEVOLI DEL LORO FUNZIONAMENTO. Inoltre il loro utilizzo potrebbe non essere lecito ai sensi delle leggi in vigore.

[Sommario]



D01-W    Ho installato un firewall fra il computer e la rete e Nuke Nabber non vede piu' gli attacchi.

Significa che il firewall sta facendo il suo dovere. Se i nuke e i tentativi di connessione non arrivano piu' al NN, vuol dire che sono stati giustamente neutralizzati. Sappi che con questa configurazione Nuke Nabber e' "ridondante", in quanto i suoi compiti (monitorare la connessione su certe porte) sono svolti dal firewall, che fa anche dell'altro; in particolare, il log di NN sara' sempre praticamente vuoto. Per conoscere ugualmente eventuali attacchi, puoi far si' che sia il firewall stesso a loggare i pacchetti che vengono intercettati, l'effetto collaterale di questa configurazione sara' costituito da eventuali DoS che ti faranno finire lo spazio su disco quando i tentativi diventeranno troppo numerosi, e questi potrebbero essere fatti proprio a questo scopo.
Con un firewall installato, Nuke Nabber puo' comunque essere utile, infatti possiamo fargli monitorare la connessione con il firewall. Perche'? Perche se NN dovesse vedere qualcosa nonostante il firewall vuol dire che l'attaccante ha trovato il modo di crashare o bypassare il firewall stesso arrivando fino alle tue porte, e a questo punto si puo' gia' parlare di "intrusione" (anche ai sensi del codice penale).

[Sommario]



D02-W    Si puo', a chi usa NetBus, far vedere solo quel che voglio io?

Si', con un programma chiamato NetBuster, che simula il server netbus dando l'illusione di essere dentro un sistema. In realta' quello che vedi e che fai e' solo un illusione, l'attaccante sta solo vedendo e facendo cio' che vuole NetBuster, che in quel momento sta monitorando tutto quel che avviene scrivendo le azioni compiute in un file log insieme all'ip e ad altri dati. L'indirizzo e':

fly.to/netbuster

E' possibile configurare il programma in modo tale che i lamers pensino che sia un vero NetBus.

[Sommario]



D03-W    Esistono dei programmi che simulano Bo?

Si', ne esistono diversi. Uno di essi e' NoBo che si puo' trovare qui:

web.cip.com.br/nobo/

pero' non ha le stesse funzioni del netbuster, infatti NOBO si limita a registrare cio' che fai dentro un sistema e ti consente di inviare dei messaggi all'intruso, ma non impedisce l'accesso al sistema come NetBuster (creando un sistema virtuale dove non possibile fare danni), ne' individua od elimina il server di BO. E' possibile avere informazioni sull'intruso (ottenibili anche con NukeNabber settato sulla 31337) ma non fornisce protezione contro attacchi vari. Secondo gli autori di NOBO e' possibile che il BO possa essere usato su una porta diversa dalla 31337 inficiando cosi' il controllo di NOBO. In ogni caso, versioni >1.2 permettono di scegliersi la porta.
Un altro programma e' BoSpy, che sta a Bo come NetBuster sta a Netbus. Con BoSpy si puo' loggare chiunque tenti di entrare dalla 31337; il programma crea un fake server in tutto e per tutto, simulando le varie risposte alle azioni del "visitatore", ed e' comodissimo per vedere che intenzioni ha l'intruso e agire di conseguenza. Molto carino e funzionale, supporta anche la funzione di invio messaggi, facendoti vedere ip e porta da cui arriva il ping.[TNX ChRoMe]

[Sommario]



D05-W    E' possibile bypassare la pasword di NetBus???

Fai un copia-incolla con queste stringhe:

    Password;1,Password

poi premi return, ti appare scritto

    Access;1.60 ServerPwd;Password

in questo modo setti la pass del netbus su "Password"; poi dal client del netbus, quando ti appare la richiesta inserimento password, metti quella pass li'. Naturalmente la parola Password dopo ServerPwd e' indicativa e la puoi cambiare a piacimento. Da questo momento puoi usare il client nel modo che vuoi. Si rinnova qui il consiglio, di non fare la carogna, e di limitarsi a mandareavvertimenti.

[Sommario]



D06-W    E' possibile sfruttare nella direzione opposta la "connessione" da parte di un BoClient?

In effetti, il BO funziona nelle due direzioni e con poca fatica si puo' risalire la connessione al contrario. Bisogna utilizzare delle versioni "sicure" di netstat e tracert, per esempio prendendo gli eseguibili dal CD-ROM di installazione di Windows e comprimendole con appositi programmi (NON NEL SENSO DEL WINZIP!!!). Questo, per evitare che il boserverizzatore possa toglierci due strumenti molto utili. Un consiglio ulteriore, se si ha un masterizzatore o un amico che ce l'ha, e' quello di preparare un CD-ROM contenente programmi di utilita' vari come i due succitati, in modo da poterli ripristinare in caso di intrusioni distruttive.
Se il PC che attacca ha determinate caratteristiche, si puo' dedurre che o e' un pirlone galattico, o e' un boserverizzato che fa da relay. Possibili indizi: shares aperte, Back Orifice installato, e simili... Con poca fatica si puo' (a) capire se c'e' Netbus o BO su quel PC, e (b) entrare nonostante password varie (Netbus: istantaneo; BO: pochi minuti).
Si lancia poi il NETSTAT sicuro sul PC boserverizzato, e si puo' scoprire (in poco tempo o subito, a seconda, se il boserverizzatore ha attivato servizi TCP) da quale IP viene controllato. Prima di tutto si fa saltare il BOSERVER in modo da bonificare quel PC; si prosegue nella catena nel caso si tratti di un BO multiplo, arrivando cosi' al boserverizzatore. E qui, come dice l'autore del messaggio originale, lo caa l'orso.

[Sommario]



D07-W    Perche' bisogna avere da parte delle versioni particolari di netstat e tracert?

Perche', se si e' in caccia di intrusi telematici, e' necessario e utile poter vedere che cosa dicono netstat e tracert. Niente di piu' facile per questi figuri che impedire cio', rimpiazzando netstat e tracert con due programmi che, per esempio facciano si' che la connessione si interrompa appena vengono attivati (appena inizia la caccia, in altre parole). Percio', anziche' usare netstat e tracert del boserverizzato (per esempio), si usino i propri, che FORSE sonosicuri.

[Sommario]



D01-X    E' possibile capire le intenzioni di chi pinga con BoClient?

I comandi in arrivo da un Bo client si possono in effetti riconoscere, cosa che fa il programma udplog v. 1.7 disponibile per Linux. Esso distingue fra ping BO "classici" e "buoni samaritani". Risponde come un PC boservizzato e sta a vedere se invii un codice 0x09 (gruppo zero), 0x31/0x3F/0x26/0x2A/etc (gruppo uno) oppure 0x02,0x03,0x04 (gruppo due).
Il gruppo zero sono i codici da buoni samaritani (appare la dialog box), il gruppo uno sono codici da curiosi e FORSE buoni samaritani. Il primo codice "gruppo due" che passa ti identifica per figlio di puttana e autorizza pure l'intervento della magistratura 8-D, cosa che il ping non fa.
*** (C) Leonardo Serni

[Sommario]



Fonte...Massimiliano Baldinelli...it.faq

 

Sicurezza informatica - By Carlo Carmagnini