CarCar > Sicurezza Informatica
D01-ALL
Un attacco sembra venire dall'indirizzo x.y.w.z. Posso essere sicuro
che provenga da veramente da li'? Non e' detto. E' possibile fare in modo che i pacchetti
trasmessi da un certo indirizzo IP sembrino arrivare da un altro; la
tecnica si chiama __spoofing__. Quando si riceve un tentativo di attacco
e il programma usato per monitorare la rete riporta un certo indirizzo
di provenienza, e' bene non passare direttamente al contrattacco, perche'
si potrebbe colpire qualcuno che non c'entra niente, rendendolo la seconda
vittima dell'attacco (il suo indirizzo IP potrebbe essere usato come
indirizzo di provenienza dell'attacco per vari motivi, non ultimo una
forma di "ritorsione" contro il proprietario di tale indirizzo).
2) Risponde a tono ai comandi piu' ovvi. 3) Se, come nel 75% dei casi (esperienza mia) arriva il comando di attivazione web server, dice di si'. 4) Quando arriva una connessione TCP da quell'indirizzo alla porta 80, _ALLORA_ l'identita' del tizio e' non dico SICURA, pero' insomma abbastanza PROBABILE. [Sommario] |
D02-ALL
Riesco a beccare un attaccante che usa ICQ? Pare che ICQ dia la possibilita' di nascondere l'IP.
In realta' si puo' usare il programma ICQ Sniffer, 85 Kb, per scoprire
l'IP inqualsiasi caso. |
D03-ALL
Ma e' proprio sicuro che l'IP che scopro e' quello dell'attaccante?
Basta che l'attaccante utilizzi un proxy dedicato, per
rendere inefficaci i tentativi di scoprire il proprio IP. In questo
caso, il programma utilizzato, come ICQ sniffer, riporterebbe l'indirizzo
IP del proxy invece di quello effettivo. Percio' vale anche qui la regola
di pensarci bene prima di rispondere al fuoco... |
D04-ALL
Ci sono programmi con cui mi posso difendere in maniera piu' "attiva"
e magari rispondere per le rime? >:-] La prima cosa che bisogna dire e' che se e' illegale
che qualcuno violi le nostre macchine, altrettanto lo e' rispondere
al fuoco, o meglio, lo e' se il nostro scopo e' quello di danneggiare
a sua volta l'attaccante. Cio' non vuol dire che non si possa "rispondere
al fuoco" in maniera innocua e lecita, ma tale da divertirci un po'
alle spalle dell'attaccante, cercando magari di fargli capire che forse
e' meglio che si cerchi altri svaghi. Come primo tentativo, ci si procuri
il client delle solite backdoor (Bo, NetBus, TeleKommando, 'r tegame
di su ma'). Piu' frequentemente di quel che si pensa, infatti, i lamerini
che vanno a caccia di backdoor hanno a loro volta anche il server installato,
o perche' fanno esperimenti su se stessi senza proteggersi, o perche'
hanno scaricato versioni "non proprio affidabili" delle backdoor da
siti non ufficiali, e queste installano il server a loro insaputa. Senza
procurare loro danni, si puo' fargli apparire sul desktop un messaggio
di "avvertimento", da rendere via via piu' "deciso" se i tentativinon
cessano. |
D01-W
Ho installato un firewall fra il computer e la rete e Nuke Nabber non
vede piu' gli attacchi. Significa che il firewall sta facendo il suo dovere.
Se i nuke e i tentativi di connessione non arrivano piu' al NN, vuol
dire che sono stati giustamente neutralizzati. Sappi che con questa
configurazione Nuke Nabber e' "ridondante", in quanto i suoi compiti
(monitorare la connessione su certe porte) sono svolti dal firewall,
che fa anche dell'altro; in particolare, il log di NN sara' sempre praticamente
vuoto. Per conoscere ugualmente eventuali attacchi, puoi far si' che
sia il firewall stesso a loggare i pacchetti che vengono intercettati,
l'effetto collaterale di questa configurazione sara' costituito da eventuali
DoS che ti faranno finire lo spazio su disco quando i tentativi diventeranno
troppo numerosi, e questi potrebbero essere fatti proprio a questo scopo. |
D02-W
Si puo', a chi usa NetBus, far vedere solo quel che voglio io? Si', con un programma chiamato NetBuster, che simula
il server netbus dando l'illusione di essere dentro un sistema. In realta'
quello che vedi e che fai e' solo un illusione, l'attaccante sta solo
vedendo e facendo cio' che vuole NetBuster, che in quel momento sta
monitorando tutto quel che avviene scrivendo le azioni compiute in un
file log insieme all'ip e ad altri dati. L'indirizzo e': |
D03-W
Esistono dei programmi che simulano Bo? Si', ne esistono diversi. Uno di essi e' NoBo che si
puo' trovare qui: |
D05-W
E' possibile bypassare la pasword di NetBus??? Fai un copia-incolla con queste stringhe: |
D06-W
E' possibile sfruttare nella direzione opposta la "connessione" da
parte di un BoClient? In effetti, il BO funziona nelle due direzioni e con
poca fatica si puo' risalire la connessione al contrario. Bisogna utilizzare
delle versioni "sicure" di netstat e tracert, per esempio prendendo
gli eseguibili dal CD-ROM di installazione di Windows e comprimendole
con appositi programmi (NON NEL SENSO DEL WINZIP!!!). Questo, per evitare
che il boserverizzatore possa toglierci due strumenti molto utili. Un
consiglio ulteriore, se si ha un masterizzatore o un amico che ce l'ha,
e' quello di preparare un CD-ROM contenente programmi di utilita' vari
come i due succitati, in modo da poterli ripristinare in caso di intrusioni
distruttive. |
D07-W
Perche' bisogna avere da parte delle versioni particolari di netstat
e tracert? Perche', se si e' in caccia di intrusi telematici, e'
necessario e utile poter vedere che cosa dicono netstat e tracert. Niente
di piu' facile per questi figuri che impedire cio', rimpiazzando netstat
e tracert con due programmi che, per esempio facciano si' che la connessione
si interrompa appena vengono attivati (appena inizia la caccia, in altre
parole). Percio', anziche' usare netstat e tracert del boserverizzato
(per esempio), si usino i propri, che FORSE sonosicuri. |
D01-X
E' possibile capire le intenzioni di chi pinga con BoClient? I comandi in arrivo da un Bo client si possono in effetti
riconoscere, cosa che fa il programma udplog v. 1.7 disponibile per
Linux. Esso distingue fra ping BO "classici" e "buoni samaritani". Risponde
come un PC boservizzato e sta a vedere se invii un codice 0x09 (gruppo
zero), 0x31/0x3F/0x26/0x2A/etc (gruppo uno) oppure 0x02,0x03,0x04 (gruppo
due). |
Fonte...Massimiliano Baldinelli...it.faq |
Sicurezza informatica - By Carlo Carmagnini