INDICE:
[B01-W][9x] SilkRope? E che d'e'?
[B02-W][9x] Cos'e' Aggressor?
[B03-W] Un bug di mIRC
[B04-W] Che rischi corro usando ICQ?
[B05-W] Cosa sono le scansioni invisibili?
[B06-W] Ho ricevuto un messaggio e-mail con un allegato, ma quando tento
di leggerlo il mio Outlook va in crash.
[B07-W] Come vedo se ho il protocollo NetBIOS su TCP/IP installato? Che
rischi corro?
[B08-W] Senza programmi come Bo o NetBus e' possibile "entrare" nel computer
di qualcuno?
[B09-W] Le porte UDP 137 e 138 sono un rischio? E perche'?
[B10-W][95] Ho notato che ogni volta che mi connetto a internet si aprono
automaticamente queste due porte 137 e 138. Io ho la versione OSR2
di win95, e' un problema di questa versione ?
[B11-W][NT] Da un account NT in pratica senza nessuna autorizzazione, e'
possibile scovare la password dell'Administrator?
[B12-W][NT] E' possibile diventare amministratore sotto Windows NT?
[B13-W][NT] Avendo il diritto di installare ed eseguire programmi,
cosa posso fare?
[B14-W] In cosa consiste di preciso il "TearDrop Attack"?
[B15-W] Come sono belli i messaggi di posta e news formattati, con
tutte quelle belle applet ed effetti speciali!!!
[B16-W][NT] Perche' e' meglio chiudere la porta 53 sotto NT?
[B17-W] E' possibile camuffare un eseguibile come un file di tipo
diverso?
[B18-W][9x] Ancora sul NetBIOS: puo' BO usare le sue porte?
[B19-W] Puo' un attacco sfuggire a Nuke Nabber?
[B20-W] Cos'e' Portfuck?
[B21-W] Alcune cosa da sapere su mIRC...
[B22-W] Quando su un sito che visito appare il contenuto del desktop
cosa vuol dire? Mi devo preoccupare oppure e' normale?
[B23-W] Come ha fatto questo tipo a trovarmi? Basta usare ICQ?
[B24-W] Se Netstat mi dice che non ho porte aperte posso stare davvero
sicuro? (le DLL ponte)
[B25-W] Come ci si potrebbe connettere alle porta 137, 138 o 139?
[B26-W] Ho qualcosa in ascolto sulla porta 110 TCP...
[B27-W] Perche' dopo l'aggiornamento del sistema netstat non fa
vedere le stesse cose di prima?
[B28-W] Perche' su irc ricevo dal firewall molte richieste di
collegamento sulla porta 1080?
[B29-W] Cosa fa Frontpage che rende il sito hackerabile???
[B30-W][9x] Si puo' decriptare la/le password di Windows da programma?
[B31-W][2000] Disconnettendomi, rilevo attiva la sola porta 500: cos'e'?
[B32-W][9x] Come blocco le richieste verso 224.0.0.2 (multicast)
che si presentano all'inizio di ogni connessione?
[B33-W] E' possibile nascondere un allegato in una e-mail?
[B34-W] Un bug IIS che permette di vedere certi tipi di file (codice ASP,
global.asa)
[B35-W] Il modem chiama da solo!
[B36-W][9x] Si puo' scoprire se qualcuno ha acceso il pc in un dato
intervallo di tempo?
[B37-W][9x] E' possibile accedere anche a risorse non esplicitamente
condivise?
[B38-W] Ho blindato (in qualche modo) il desktop di Windows. E' sufficiente
per impedire di navigare nelle cartelle del disco?
[B39-W] The Bat! ha problemi di sicurezza?
[B40-W] Javascript e Preferiti, Javascript e Bookmark
[B41-W] Attenzione alle installazioni automatiche (MS Active Setup)
[C01-W][9x] Come si configura correttamente il Nuke Nabber?
[C02-W][9x] Le componenti di rete, ovvero: cosa tengo e cosa tolgo?
[C03-W][9x] Ma se tolgo il Client per reti MS non mi memorizza piu' la
password!!!
[C04-W][9x] Quali porte controllare con NukeNabber?
[C05-W][9x] Password mantenute in cache
[C06-W] Ho il programma WinTOP dei Kernel Toys. Serve a qualcosa?
[C07-W] E' vero che si possono far eseguire dei programmi dannosi
allegandoli a un messaggio e-mail?
[C08-W][9x] Posso proteggere un file o una directory sotto Windows da
accessi indesiderati?
[C09-W] Ho installato NukeNabber per controllare le porte "sensibili".
Sono al sicuro?
[C10-W] Si puo' vedere se ho un file "Silkroppato"?
[C11-W] Si puo' creare un file di log per netstat?
[C12-W] Ho saputo che posso proteggere il mio computer con un programma
chiamato Conseal. Quando e' utile o inutile questo programma?
[C13-W] Si puo' disabilitare la funzione di autorun per tutte le unita'?
[C14-W][NT] Come impedisco ad altri di amministrare il server NT?
[C15-W] Come posso impostare il firewall per utilizzare ICQ?
[C16-W] Come si puo' impostare ICQ per renderlo un po' piu' sicuro?
[C17-W][NT] E' possibile "chiudere le porte" da NT?
[C18-W][NT] E' possibile impedire il login da parte di piu' client su
di un NT server utilizzando lo stesso user?
[C19-W] Ho chiuso e disabilitato l'impossibile, ma questo "DCOM" continua
a connettersi...
[C20-W] Un avvio "quick'n'dirty" in DOS.
[C21-W] Come chiudere il relay attraverso un server Exchange.
[C22-W] Alcuni settaggi di AtGuard (>= 3.20).
[C23-W] Alcuni aggiornamenti INDISPENSABILI per Internet Explorer
[C24-W][NT] Come corazzare (per quanto possibile :), un server NT
destinato come macchina web, da intrusioni esterne?
[D01-W] Ho installato un firewall fra il computer e la rete e Nuke
Nabber non vede piu' gli attacchi.
[D02-W] Ho un programma antiBo o anti-NetBus, e NukeNabber mi segnala
la backdoor!
[D03-W] Perche' bisogna avere da parte delle versioni particolari di
netstat e tracert?
[D04-W] Come faccio a divertirmi un po' con i pingatori senza troppa
fatica?
[D05-W] A chi volesse contrattaccare usando BO.
[B01-W][9x] SilkRope? E che d'e'?
[KEYWORDS:silkrope:eseguibileantivirus]
Dati due programmi a 32 bit li fonde in un unico programma che quando
viene eseguito lancia i due originari. Il programma in se' non e'
pericoloso, dato che esso puo' fondere due eseguibili a 32 bit
qualunque. In tutti i casi in cui sull'hard disk e' presente un
eseguibile formato da due programmi uniti con SilkRope, un controllo
antivirus potrebbe dare comunque l'allarme, anche se i due programmi
sono perfettamente innocui.
[B02-W][9x] Cos'e' Aggressor?
[KEYWORDS:aggressor:exploit:pacchetto:spoofing]
E' un exploit generator. Esso genera pacchetti anomali, che sfruttano
delle pecche specifiche di ogni sistema operativo. Per esempio, un
pacchetto con una sesta word tale che, in AND con 0x0FE0, ti da' un
valore diverso da zero, non gestito da Windows. L'utilizzatore gli da'
un IP a cui inviare i pacchetti strani, e il PC della vittima subisce
malfunzionamenti vari (si blocca, si resetta, ecc..). Per ovviare al
fatto che, sotto Windows, non si possono inviare pacchetti "raw",
Aggressor implementa un proprio sistema di controllo del flusso di dati.
In Aggressor, fra l'altro, si puo' specificare il Source IP: vuol dire
che l'attacco sembra arrivare dall'IP specificato e non dal proprio,
ossia ogni pacchetto IP che venisse loggato o ispezionato dal remoto,
avrebbe quell'indirizzo invece di quello effettivo di provenienza.
[B03-W] Un bug di mIRC
[KEYWORDS:mirc:irc:dcc]
Sembra che la versione 5.4 di IRC 5.4 abbia un bug che causa il blocco
del computer attraverso il DCC. Il problema si puo' risolvere con il
seguente script che funziona *solo* con mirc 5.4; il bug dovrebbe essere
risolto nella versione 5.41.
phixme {
%ip = $rand( ?phixer-cut? )
raw -q privmsg $1 : $+ $chr(1) $+ DCC SEND $r(1,99) $+ .txt %ip
$r(113,9000) $+ $chr(1) $+ $lf $+ privmsg $1 : $+ $chr(1) $+ DCC
RESUME $r(1,99) $+ .txt $+ $chr(1)
}
Versione obsoleta. Aggiornare, SCHNELL!!!
[B04-W] Che rischi corro usando ICQ?
[KEYWORDS:icq:porta:backdoor]
La prima cosa da sapere e' che ICQ, come tutti i programmi basati su
TCP/IP, utilizza delle porte, attraverso le quali passano i dati che
inviate e ricevete. In particolare, ICQ apre una porta per ogni utente
con cui state comunicando, quindi le conclusioni restano all'intuito del
lettore di questa FAQ...
Puo' essere in teoria possibile che un programma si camuffi da ICQ e
quindi faccia uso delle porte che l'utente di ICQ apre per dialogare con
un utente remoto (c'e' qualcuno in grado di confermare o smentire?).
Esistono anche dei programmi che permettono di usare ICQ come backdoor
(avviso ai lamer: non li conosco, quindi non scrivetemi per chiedermi dove
sono ^__^).
E' quindi buona norma anche per l'utente di ICQ (come il sottoscritto...
sigh!) controllare sempre il PC alla ricerca di presenze sospette.
[B05-W] Cosa sono le scansioni invisibili?
[KEYWORDS:scansione:invisibile:netstat]
E' possibile sapere se sono state effettuate delle "stealth scan" standard
anche sotto Windows 95. Bisogna aprire un prompt MS-DOS e dare il comando:
C:\WINDOWS\Desktop>netstat -snap tcp
TCP Statistics
Active Opens = 245
Passive Opens = 8
Failed Connection Attempts = 9
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Il valore della riga sottolineata corrisponde al numero di porte aperte
scansionate dall'esterno (solo per le porte aperte e' possibile sapere se
sono state scansionate). In particolare, il valore indicato e' il numero
di scansioni "invisibili" avvenute in successione su porte che ha trovato
(NON, come in Linux, il totale delle scansioni che ha tentato).
Per esempio, se abbiamo una sola porta aperta e quello scansiona sei volte
tutto l'intervallo da 1 a 1024, il valore di "Failed Connection Attempts"
e' 6. Se invece scansiona tutto l'intervallo TRANNE quell'unica porta aperta,
il valore sarebbe 0.
Per completezza, il significato delle altre due voci e' il seguente:
Active Opens = connessioni aperte da noi: noi ci siamo collegati a
qualcuno, abbiamo originato noi la connessione
Passive Opens= connessioni aperte da altri: altri si sono collegati a noi,
cioe' hanno iniziato loro la connessione
[B06-W] Ho ricevuto un messaggio e-mail con un allegato, ma quando tento
di leggerlo il mio Outlook va in crash.
[KEYWORDS:outlook:email:allegato:buffer:overflow]
"..questo bug affligge sia Outlook 98 sia Outlook Express compreso
l'ultimissimo Outlook 4.01 SP1 fornito con Microsoft Internet Explorer. In
pratica, quando il client e-mail riceve un messaggio con un attachment dal
nome lunghissimo puo' bloccarsi.
.....un hacker preparato puo' preparare ad hoc un attachment il cui nome
contiene codice eseguibile con risultati imprevedibili"
Fonte: "Internet news", novembre 98
*** Nota del curatore: (C) Leonardo Serni per le seguenti spiegazioni ***
L'exploit e' possibile perche' la ricezione del nome dell'attachment non
controlla se la lunghezza vada oltre il buffer designato ad ospitare il
nome stesso. Oltretutto, la parte di codice che verrebbe eseguita dopo lo
scarico sembra essere pericolosamente vicina a questo buffer. Di conseguenza
la parte finale del nome viene messa in esecuzione poco dopo lo scarico.
Ci sono due casi: se si ha a disposizione i sorgenti del programma che si
vuole attaccare in questo modo, con uno strumento di debug si guarda dove va
a cadere l'esecuzione dopo lo scarico dell'allegato; a questo punto, in
quella posizione basta scrivere una istruzione di salto all'indirizzo del
buffer dove si trova il programmino (che costituisce la parte finale del nome
dell'allegato) e il gioco e' fatto.
Se i sorgenti non ci sono, il gioco si fa piu' difficile, si va per tentativi
/intuizioni, debug non simbolico ma la sostanza non cambia.
[B07-W] Come vedo se ho il protocollo NetBIOS su TCP/IP installato? Che
rischi corro?
[KEYWORDS:protocollo:servizio:netbios:condivisione]
Basta andare in Pannello di Controllo / Rete / Protocolli e controllare la
lista. I rischi che si corrono sono che e' possibile entrare nel computer
inserendo il suo IP in Avvio/Trova/Computer, se si ha Accesso Remoto
aggiornato. Naturalmente bisogna avere attivato delle condivisioni di
risorse su alcune unita'/directory del computer. Se questo e' necessario,
almeno proteggerle con password.
[B08-W] Senza programmi come Bo o NetBus e' possibile "entrare" nel computer
di qualcuno?
[KEYWORDS:condivisione:file:stampanti:unita:rete:servizio:netbios]
Alcune versioni di Windows 95, di serie (o quasi), consentono l'accesso da
Internet al disco. Win95 OSR2 se ne accorge all'installazione di Internet
Explorer 4.0, e propone di chiudere l'accesso. Si ricorda che se nel computer
e' attivata la condivisione di file e stampanti, magari senza password, e'
possibile, conoscendo il suo indirizzo IP, vederlo come unita' di rete da
Gestione Risorse. Quando si installa Windows o quando si compra il computer
con Windows preinstallato, controllare ed eventalmente disattivare ogni
condivisione. Ricordo che Windows 95/98 offre servizi di rete senza avere
quelle caratteristiche di sicurezza (permessi associati ai file, password)
che hanno invece i sistemi multiutente come gli Unix, concepiti anche
pensando a tali problematiche.
Un esempio di attacco a un computer con condivisioni attive e non protette:
basta mettere il comando opportuno nell'AUTOEXEC.BAT, ed alla successiva
accensione (che puo' essere anche dopo 30 secondi - perche' basta mandare
un nuke, il PC si pianta, e il riavvio e' necessario) esso verra' eseguito,
con quali risultati dipende dal comando. Se per esempio il comando e' un bel
format /autotest...
[B09-W] Le porte UDP 137 e 138 sono un rischio? E perche'?
[KEYWORDS:protocollo:servizio:netbios:137:138:winnuke:attacco:oob]
Sono porte dedicate al NetBios, che consiste nei File/Print/Disk
Services di Windows via protocollo SMB/NetBEUI; in pratica, serve per
condividere file/stampanti/dischi (vedi [B07-W], [B08-W], [B10-W]).
La porta 137 e' dedicata al NetBios Name Service, la 138 al NetBios
Datagram Service. Fanno parte delle cosiddette "well known ports", i
cui indirizzi sono stati assegnati dallo IANA (Internet Assigned Numbers
Authority), che attualmente gestisce le assegnazioni delle porte nel
range 0-1023. Possono essere soggette ad attacchi DoS (Denial of Service).
Anche il semplice WinNuke, con il suo invio di dati OOB, puo' risultare
efficace sulle porte 137 e 138, sebbene in prima istanza l'attacco OOB
venne concepito sulla porta 139 (NetBios Session Service).
Riguardo al WinNuke, Microsoft ha rilasciato delle patch sul suo sito Web.
*** (C) Paolo Monti ***
[con adattamenti]
[B10-W][95] Ho notato che ogni volta che mi connetto a internet si aprono
automaticamente queste due porte 137 e 138. Io ho la versione OSR2
di win95, e' un problema di questa versione ?
[KEYWORDS:protocollo:servizio:netbios:137:138:accesso]
Potrebbe esserlo se ti attaccassero su quelle porte sfruttando bug dello
stack TCP/IP di MS o semplicemente i limiti insiti in tutti i protocolli
basati sul TCP/IP (vedi alla voce "SYN flooding"). Per impedire l'apertura
delle due porte suddette, basta eliminare il supporto per il NetBios nelle
risorse di rete. Il supporto del NetBios su TCP/IP (NBT) diventa
particolarmente pericoloso se hai anche le "shares" (condivisioni di file
e/o stampanti) impostate senza password, fatto che si verifica comunemente
in almeno il 5% degli utenti Windows. In quel caso, chi localizza il tuo
IP sulla rete puo' entrare nel tuo computer come un falco, usando
semplicemente il comando NET o l'Esplora Risorse.
*** (C) Paolo Monti ***
[B11-W][NT] Da un account NT in pratica senza nessuna autorizzazione, e'
possibile scovare la password dell'Administrator?
[KEYWORDS:password:administrator:privilegio]
Forse si', sfruttando un bug nella gestione delle librerie... in
pratica, anche un utente normale ha una serie di processi che girano
con maggiori privilegi, e in teoria non sarebbero influenzabili.
Il guaio e' che alcuni di quei processi usano codice non privilegiato,
e quel codice e' accessibile a tutti, anche in modifica. Quindi,
teoricamente, E' possibile. Come farlo in pratica, non so (e' vero,
non lo dico per evitare richieste).
Questo vuole solo essere un incentivo per che gestisce un sistema NT
a porre la massima cautela a dove vengono riposti i dati "strategici"
per la vita del sistema.
[B12-W][NT] E' possibile diventare amministratore sotto Windows NT?
[KEYWORDS:administrator:diritti:esecuzione:scrittura]
Purtroppo si'. A causa di un baco nel sistema operativo, certe
funzioni a livello supervisore non controllano bene i puntatori
passati. Come conseguenza, e' possibile modificare una serie di
variabili nel kernel, senza essere amministratore.
E, siccome il livello di sicurezza (utente, amministratore, Dio,
figlio di nessuno) sta in una variabile, ti puoi immaginare il resto...
Naturalmente, bisogna avere a disposizione un login, ed il diritto
di eseguire un eseguibile che avremo installato (quindi, diritto di
scrittura). Non e' poco.
*** (C) Leonardo Serni ***
[con adattamenti]
[B13-W][NT] Avendo il diritto di installare ed eseguire programmi,
cosa posso fare?
[KEYWORDS:diritti:esecuzione:scrittura]
Per esempio, scrivere un programma che acceda alle funzioni che non
controllano i puntatori (vedere [B12-W]) e passargli un indirizzo
illegale corrispondente ai dati da modificare.
[B14-W] In cosa consiste di preciso il "TearDrop Attack"?
[KEYWORDS:teardrop:frammentazione:pacchetto]
Nell'inviare un pacchetto IP scorretto, cioe' frammentato in un modo
non valido. Tentando di riassemblarlo, quasi tutti gli stacks TCP-IP
ottengono indici negativi ed indirizzi di memoria scorretti, dal che
si ottengono magni inchiodamenti. Il protocollo usato e' ICMP.
[a voler essere piu' precisi, e' la semplice accoppiata IP+UDP, (per
evitare le noie dei numeri di sequenza nel caso di spoof) TNX invy].
Naturalmente, la patch (consistente nell'aggiungere "...e' un indice
negativo? Se si', butta via il pacchetto e incazzati fortemente") e'
disponibile per Linux da un pezzo.
Windows 95 e' ancora vulnerabile (esistono vari modi di creare rogne
con il metodo teardrop), Windows NT parzialmente (solo ai nuovi TD e
non al teardrop originale).
I sockets di Windows pero' non consentono il raw socketing, e quindi
non esiste teardrop per Windows. Il teardrop e' un attacco che parte
solo da sistemi Unix, dove l'acher ;-) deve essere root.
Volendo si puo` modificare il datagram a mano prima che esso venga
inviato.
[B15-W] Come sono belli i messaggi di posta e news formattati, con
tutte quelle belle applet ed effetti speciali!!!
[KEYWORDS:html:java:javascript:visualbasic:outlook:posta:news]
Disabilitare i messaggi in formato HTML! Immediatamente!!! La
ricchezza espressiva consentita dall'HTML e dalla possibilita' di
incorporare in esso delle funzioni JavaScript e/o delle applet Java
non vale la sicurezza del proprio computer. Un esempio "innocuo" e'
dato dal seguente codice:
[nota: un messaggio che includeva questo e' stato veramente postato
in alcuni gruppi della gerarchia it.*]
Innocuo significa che non causa danni alla macchina, ma comunque e'
fastidioso e per terminarlo occorre ammazzare il programma di posta.
"Regalini" come questi sono particolarmente subdoli se si usa il
programma Outlook Express di Microsoft, che riesce a eseguire il
formato HTML senza bisogno di "aiuti" esterni, con il risultato che
non chiede nulla prima di visualizzare un tale messaggio, applet e
script compresi. Se questi contengono del codice "malizioso", che per
esempio sfrutti dei bug della JVM del browser, i danni causati
dipendono solo dall'altruismo del loro mittente...
In OEx si puo' disabilitare l'esecuzione degli script intervenendo in
Strumenti/Opzioni/Protezione/Impostazioni personalizzate; in ogni caso
basta cliccare su Strumenti/Opzioni/Area Internet/Personalizzato/ e
qui scegliere che cosa si deve eseguire automaticamente e che cosa no.
[B16-W][NT] Perche' e' meglio chiudere la porta 53 sotto NT?
[KEYWORDS:porta:53:servizio:dns:ntcrash]
La porta 53 e' destinata al servizio DNS. I sistemi Windows NT sono
vulnerabili a un programma chiamato NTCrash, che e' uno script che
mette fuori combattimento il server DNS di NT, se presente. E' quindi
saggio, se non necessario, disabilitare tale servizio sul proprio
sistema NT.
[B17-W] E' possibile camuffare un eseguibile come un file di tipo
diverso?
[KEYWORDS:eseguibile:tipo:file:estensione:win.ini]
In linea di principio si', e anche in pratica. Per esempio, se in
Gestione Risorse (Esplora Risorse) e' disabilitata la visualizzazione
delle estensioni per i tipi di file registrati, un file di nome
PIPPO.BMP.EXE viene mostrato in G.R. come PIPPO.BMP; se l'infame che
l'ha mandato gli ha dato l'icona di una bitmap e il file sta da solo
nella sua cartella, si puo' restare ingannati e non accorgersi subito
che e' un file eseguibile. In tal caso, si puo' essere indotti a
tentare di "visualizzarlo" con un doppio click, e quest'azione in
realta' lancia il programma che puo' compiere le sue buone azioni...
Ulteriore pericolo e' dato dal fatto che quando si cambiano le
associazioni delle estensioni nel file win.ini, Windows non deve
ripartire per rileggerle, ma lo fa sul momento.
[B18-W][9x] Ancora sul NetBIOS: puo' BO usare le sue porte?
[KEYWORDS:porta:137:138:139:protocollo:servizio:netbios:backorifice]
Bisogna distinguere alcuni casi: se rileviamo connessioni UDP sulle
porte 137 *E* 138, allora il responsabile e' sicuramente NetBIOS
(oppure DUE Orifices), e in quel caso BO *deve* dare errore di bind(),
dato che non e' possibile tenere aperti due socket sulla stessa porta.
Pero' e' possibile avere una connessione *TCP* su 137 e una UDP sempre
su 137: gli spazi TCP e UDP sono separati.
Praticamente, se su un computer e' installato il NetBIOS, sarebbe molto
insolito che BO si potesse mettere in ascolto sulla porta 137 o 138.
Attenzione anche alla presenza della porta 139: NetBIOS usa 137 e 138
UDP e 139 TCP, mentre Back Orifice puo' usare qualsiasi porta UDP
*chiusa*, aprendola lui. Se uno ha NetBIOS ha 137 e 138, ma, se avesse
SOLO 137, allora quel 137 non e' NetBIOS.
[B19-W] Puo' un attacco sfuggire a Nuke Nabber?
[KEYWORDS:nukenabber:portscan:spreadspectrum]
Cerrrrrrrtoo! Per esempio, vari portscanners lo lasciano del tutto
indifferente. Anche perche' Nuke Nabber non riesce a monitorare le
porte a livello di sistema operativo, percio' un portscanning tipo
"stealth" (fatto bene), o il neonato "Spread Spectrum", sono in grado
di passargli sotto il naso senza problemi. Nel secondo caso, senza
neanche lasciare tracce su quale IP ha l'attaccante.
[B20-W] Cos'e' Portfuck?
[KEYWORDS:portfuck:dos:flood:connessione:netbuster:bospy]
Portfuck e' un programma DoS usato per floodare porte TCP aperte. E'
simile ad un flood SYN. Il suo uso principale e' bloccare servizi come
Telnet o FTP. In pratica Portfuck stabilisce molte connessioni ad
un'unica porta TCP di un host remoto. Stabilita una connessione,
essa viene chiusa immediatamente e ne viene aperta un'altra. Esistono
addirittura dei programmi che sono fatti apposta per causare errori
critici a NetBuster. Dopo tale attacco il netbuster si blocca, con un
effettivo rischio per la stabilita' del sistema. Anche BoSpy puo' essere
bloccato inviandogli pacchetti UDP molto grandi.
Per questi motivi e' sconsigliabile aprire porte normalmente chiuse sul
sistema, quindi anche l'uso del netbuster.
[B21-W] Alcune cosa da sapere su mIRC...
[KEYWORDS:irc:mirc:dcc:ricezione:file]
Un uso/settaggio imprudente di mIRC puo' portare a buchi di sicurezza
sul proprio computer. Gli errori piu' classici in tal senso riguardano
la ricezione di file da altri utenti IRC:
* il fileserver attivato che usi C:\ come root;
* l'opzione di accettazione di file via DCC regolata sull'accettazione
automatica;
* come sopra, con la finestra pure minimizzata;
* sovrascrittura automatica senza conferma di un file esistente dallo
stesso nome di quello che si sta per ricevere.
Di default mIRC non e' impostato cosi', ma basta installare uno script da
guerra che abbia il "regalino" che di nascosto gli setti queste opzioni.
[B22-W] Quando su un sito che visito appare il contenuto del desktop
cosa vuol dire? Mi devo preoccupare oppure e' normale?
[KEYWORDS:html:visualizzazione:desktop:link:explorer:form]
Significa solo che sulla pagina web che stai visitando, nel codice HTML,
che puoi vedere anche da Explorer visualizzando il sorgente della pagina,
c'e' un richiamo ad un istruzione tipo questa:
Il tuo desktop
che apre un link al tuo desktop. Quando lo clicchi Explorer ti si
trasforma in Gestione Risorse e ti mostra il contenuto del tuo desktop
che appunto dovrebbe stare sotto C:\windows\desktop .. se Windows e'
installato in un'altra directory ti da' errore ovviamente.
Se invece parte automaticamente e appare un form interno alla pagina col
tuo desktop vuol dire che c'e' sempre nel codice html un TABLE, ovverossia
un luogo dove mettere certi dati ricavati dal tuo sistema. Ma non e' che
il webmaster 'li conosce', te li fa solo vedere e solo tu li vedi; se
un'altra persona chiamasse quella pagina vedrebbe il proprio desktop!
Esempio pratico. Creare col Notepad un file di testo PROVA.HTM contenente
queste righe:
Salvarlo ed eseguirlo. Si aprira' una pagina su Explorer con dentro un form
table contenente appunto il tuo desktop.
*** (C) Master ***
[B23-W] Come ha fatto questo tipo a trovarmi? Basta usare ICQ?
[KEYWORDS:icq:indirizzo:ip:winipcfg:sweep]
Perche' qualcuno possa provare a connettersi al tuo PC la prima condizione
e' che conosca l'indirizzo IP con cui navighi, che sia statico o dinamico
non importa. Per conoscere il proprio indirizzo IP bisogna eseguire il
programma WINIPCFG dopo aver lanciato la connessione. Una volta che
l'estraneo conosce anche lui questa informazione, puo' tentare connessioni
con o senza backdoor.
Ma la domanda era: come fa lui a conoscerlo? ICQ non e' indispensabile, ma
certo aiuta chi cerca una persona ben precisa. Basta che inserisca l'UIN
della vittima nella sua lista di contatti, ed ecco che viene comodamente
informato quando questa e' online. Pero' non e' necessario avere un nemico
telematico che ci venga a cercare, basta che un rompipalle caciarone
decida di spazzare (sweeping in gergo) la sottorete che ci ospita, e ci
trovera'. In questo caso il tipo non cercava proprio noi, ma chiuque
fosse nella sottorete.
Esempio. Io ho questo bellissimo programma per nukkare ecc., e voglio
provarlo sul primo tapino che mi capita a tiro. Allora prendo una
sottorete su cui sono sicuro di trovare qualcuno e provo tutti i suoi
indirizzi (con un programma apposito, o anche con lo stesso programma di
cui sopra, se prevede questa... hihihi... feature). Diciamo che provo da
212.216.1.1 a 212.216.254.254 (che mi causera' anche una lettera di
ringraziamento da Telecom per l'aumento del fatturato e l'intestazione di
una quota azionaria). Se tu sei, per esempio, 212.216.13.147, prima o poi
ti arriva il ping, anche se io sedicente "acher" non so neanche che sei tu.
[B24-W] Se Netstat mi dice che non ho porte aperte posso stare davvero
sicuro? (le DLL ponte)
[KEYWORDS:netstat:porta:dll:inetmib1]
Ancora una volta la risposta e' no.
Netstat, cosi' come i programmi piu' diffusi per il monitoraggio delle
porte aperte, si serve di alcune funzioni esportate dalla libreria
INETMIB1.DLL che si trova nella dir di windows. Il codice vero e proprio
per interrogare lo stato delle porte e' quindi posto interamente in questa
DLL. Supponiamo adesso di aver installato una backdoor nel pc di un amico
e di volergli nascondere in qualche modo l'apertura di una porta.
Non sappiamo quale utility usera' per fare questa operazione ma sappiamo
che molto probabilmente i risultati (rappresentati in una forma piu' o
meno user-friendly) verrano ricavati effettuando delle chiamate sempre
alla stessa libreria.
A questo punto possiamo percorrere diverse strade ma la piu' ovvia,
semplice ed immediata e' quella di sostituirsi alla inetmib1.dll e falsare
i dati di ritorno. Non abbiamo certamente i sorgenti di questa libreria e
non possiamo compilarne una nuova da zero, quindi con ogni probabilita' la
nostra dll funzionera' da ponte tra l'applicazione che effettua la chiamata
e la vera inetmib1.dll (che avremo rinominato ad esempio inetmib1.dev).
Nota: i nomi e gli esempi usati non sono casuali ma ricalcano il
comportamento di una dll ponte esistente scritta ed utilizzata
proprio per nascondere l'apertura di alcune porte.
Approssimativamente la situazione sara' la seguente:
--------------------------------------------------------------------------
Programma DLL Ponte DLL Originale
--------------------------------------------------------------------------
Richiesta: NETSTAT o simili ----> INETMIB1.DLL ----> INETMIB1.DEV
Risposta: NETSTAT o simili <---- INETMIB1.DLL <---- INETMIB1.DEV
--------------------------------------------------------------------------
La DLL ponte in pratica non fa altro che passare le richieste alla DLL
originale e restituire al programma che effettua la chiamata il risultato
di tali richieste. Apparentemente quindi il funzionamento sarebbe identico
a quello precedente (c'e' in realta' un leggero rallentamento ma e' a dir
poco impercettibile) se non fosse per il fatto che quando la libreria
originale ci restituisce dei valori questi passano attraverso un filtro
che eventualmente ne blocca il ritorno al programma richiedente (piu'
precisamente dopo la chiamata alla funzione SnmpExtensionQuery).
Inutile dire che il filtro che abbiamo inserito nella DLL ponte non fa
altro che controllare che il numero della porta aperta restituito non sia
quello che abbiamo deciso di rendere invisibile e quindi ignorare la
chiamata.
Nell'esempio e' stato descritto molto grossolanamente il funzionamento di
una libreria che inganna netstat e programmi simili ma quello che bisogna
tenere a mente e' il concetto semplice ed efficace secondo cui anche
l'applicazione di cui ci fidiamo di piu' potrebbe fallire....
Per tirarvi un po' su di morale voglio solo ricordarvi che qualsiasi
chiamata, anche quelle fatte alla carissima DLL Winsock, puo' essere
ingannata efficacemente attraverso un uso avanzato di questa antica ma
attualissima tecnica.
Adesso avete qualcosa in piu' di cui preoccuparvi ;)
.....Leonardo De Luca......
[Post Scriptum by Firebeam]
Questa situazione dovrebbe spingerci a tenere a portata di mano delle
copie sicuramente pulite e affidabili di programmi e DLL di sistema, come
winsock.dll, wsock32.dll, la succitata inetmib1.dll, nonche' netstat.exe,
explorer.exe e cosi' via. Il modo? Floppy protetti da scrittura, o meglio
ancora un CD-RW da leggere all'occorrenza esclusivamente dal lettore (non
dal masterizzatore, se si hanno tutti e due).
[B25-W] Come ci si potrebbe connettere alle porta 137, 138 o 139?
[KEYWORDS:porta:137:138:139:netbios:nbtstat:net:lmhosts]
Per le prime due, con NBTSTAT.EXE, mentre per la terza con NET.EXE.
La domanda successiva e': servirebbe un applicativo che introdotto
l'ip di una macchina si collegasse all'host remoto attraverso questa
porta, riuscendo a vedere le risorse condivise di quel computer. E'
possibile una cosa del genere?
Si', _SE_ quel computer ha il NetBIOS-over-TCP, _SE_ ha risorse di
tipo condiviso, _SE_ la linea non e' ingorgata 8-) Si deve mettere la
mappatura nome/IP nel file LMHOSTS. Windows di serie ha un file
campione ("LMHOSTS.SAM").
*** (C) Leonardo Serni ***
[B26-W] Ho qualcosa in ascolto sulla porta 110 TCP...
[KEYWORDS:porta:110:norton:antivirus:scansione:posta:servizio:pop3]
...e quel qualcosa e' il Norton Antivirus, se impostato per scannare anche
la posta. Lui si nomina POP server _LOCALE_, comunicando lui col tuo vero
POP server e inoltrando la posta ricevuta (e scannata) al tuo programma di
posta, le cui impostazioni vengono modificate di conseguenza. Come risultato
hai un POP server in ascolto in locale per connessioni da locale (*), e se
guardi le impostazioni del tuo Outlook non dovresti piu' avere il POP server
di TIN ma 127.0.0.1 (cioe' la macchina locale).
Riprendendo uno schema che qualcuno ha postato giorni fa:
___________________
| |
| Netscape Messenger | ____________
| Eudora | | |
| Elm |/_________| Tua posta |
| Pine |\ |____________|
| Outlook Express |
| Pegasus | POP SERVER
|____________________| ||
||
TUO COMPUTER ||
\||/
\/
____________________
| |
| (Mail User Agent)<-+<---+
| ___________\|____| _______________
| | /| | |
| Norton AV<------+<--------+-- Tua posta |
|____________________| |_______________|
TUO COMPUTER POP SERVER
(*) Il casino potenziale e' questo:
____________________
| |
| (Mail User Agent)<-|
| ___________\|____\ Paraculo esterno...
| | /| / _______________
| | | | |
| Norton AV<------+<--------+-- Tua posta |
|____________________| |_______________|
TUO COMPUTER POP SERVER
[B27-W] Perche' dopo l'aggiornamento del sistema netstat non fa
vedere le stesse cose di prima?
[KEYWORDS:netstat:visualizzazione:connessioni]
Che [qualcuno/un akerz/gli spiritologi/]
abbia manomesso le funzionalita' di netstat?
Assolutamente no. La soluzione e' semplice: le nuove versioni di
netstat non mostrano le connessioni che si trovano in stati "non
rassicuranti" per l'utente medio. I primi netstat mostravano nel
loro output delle linee relative a connessioni in stato SYN_SENT
o FIN_WAIT o simili. Questi sono stati normali, relativamente al
protocollo TCP, e indicano una connessione in corso di chiusura;
per vari motivi che non e' qui il caso di approfondire, talvolta
certe connessioni restano "appese" in uno di questi stati finali
in attesa del pacchetto di chiusura "definitiva", che le farebbe
rimuovere del tutto dalla lista. In realta', il pacchetto finale
non arrivera' mai, e la connessione viene chiusa automaticamente
dopo un timeout che pero' puo' essere alto; durante tutto questo
tempo la riga "fantasma" continua ad essere mostrata da netstat,
causando dubbi se chi ne legge l'output non sa come funziona una
connessione TCP, o anche preoccupazioni ("Cos'e' quella riga che
mi fa vedere netstat? Sara mica qualcosa di dannoso? Qualcuno mi
ha penetrato?"). Alla fine, il problema fu risolto nel modo piu'
ovvio (almeno per certe software house): invece di correggere le
situazioni ERRONEE in cui una connessione e' sospesa, aspettando
un pacchetto che non arrivera' mai, e' stato modificato netstat,
non facendogli piu' mostrare le connessioni "ibernate", che sono
sempre li' ma l'utente non le vede ed e' contento.
[B28-W] Perche' su irc ricevo dal firewall molte richieste di
collegamento sulla porta 1080?
[KEYWORDS:irc:mirc:proxy:porta:1080:socks:relay]
E' la porta standard utilizzata dai Socks server. Un irc user
tenta una connessione a quella porta per vedere se c'e' un socks
server (malconfigurato, ndr) che lui potrebbe utilizzare come
relay su irc. Se il giochetto gli riuscisse si presenterebbe con
l'indirizzo di quella macchina e non il suo.
Se tu non hai installato un proxy puoi stare tranquillo, al limite
ti puoi divertire scrivendo un falso socks server 8-)
[B29-W] Cosa fa Frontpage che rende il sito hackerabile???
[KEYWORDS:frontpage:estensioni:server:web]
Il sito, per supportare Frontpage, deve avere le estensioni
Frontpage, che non sono un toccasana per la sicurezza.
Il problema e' dei server che hanno tali estensioni. Ovviamente,
scrivendo le pagine con Frontpage, e poi caricandole in altri modi
(cioe' ftp), allora non ci sono problemi.
Dal lato client (cioe' di chi lo usa come editor di pagine web),
non c'e' problema con Frontpage in se', ma e' il server che vuole
installare (PWS, Personal Web Server) che non e' una ventata di
sicurezza.
[B30-W][9x] Si puo' decriptare la/le password di Windows da programma?
[KEYWORDS:password:decriptare:api]
Si', c'e' una comoda API che fa tutto lei, WNetEnumCachedPasswords che
comunque non va in NT e derivati.
[B31-W][2000] Disconnettendomi, rilevo attiva la sola porta 500: cos'e'?
Se il sistema e' Windows2000 e' presto detto. ISAKMP/Oakley, per lo
scambio chiavi in ambiente IPSec, che Win2k supporta. In modo becero direi,
visto che non capisco cosa serva tenere tale porta aperta, se l'utente non
ne ha bisogno.
[B32-W][9x] Come blocco le richieste verso 224.0.0.2 (multicast)
che si presentano all'inizio di ogni connessione?
Una "feature" di Windows 98 e Windows 95+winsock 2. Per disabilitarla
puoi editare il registry, creare una DWORD di nome
"PerformRouterDiscovery" e porne il valore a 0 sotto ogni chiave
HKLM\System\CurrentControlSet\Services\Class\NetTrans\000X
(dove al posto della X ci sara' un numero) rappresentante i binding
TCP/IP. Per scoprire quali sono prova a vedere se all'interno
contengono entrambi i valori stringa "DriverDesc" = TCP/IP e "InfPath"
= NETTRANS.INF
Tutto cio' da HOWTO di Microsoft.
[B33-W] E' possibile nascondere un allegato in una e-mail?
Va be', uno si da un'occhiata al protocollo b64, scrive un programmillo che
codifica l'exe in b64 e lo mette in una variabile di script nel messaggio
html. Poi lo script fa il cammino all'indietro, ricodifica come base256,
scrive sul disco fisso l'exe con un noto activex, poi lo lancia o mette le
chiavi nel registro. Chiaro che l'exe se e' sospetto viene preso dall'av al
momento di essere scritto sull'hd, e se uno ha le protezioni medie gli
activex non girano. Io ho provato il tutto con il charmap.exe e funziona,
viene scritto sul desktop e lanciato. Peccato che vbscript sia dannatamente
lento e ci metta quasi 30 secondi sul mio 200 per decodificare 13-14k,
naturalmente con outlook bloccatissimo nel frattempo :-)
*** (C) Dario Corti ***
[B34-W] Un bug IIS che permette di vedere certi tipi di file (codice ASP,
global.asa)
Un bug di una dll di IIS 4 e 5: scrivendo dopo il nome di un file asp
si potrebbe vedere il codice della pagina cosi', semplicemente aggiungendo
"+.htr" dopo il nome della pagina.:
http://www.miosito.it/pagina.asp+.htr
Il bug dovrebbe essere legato ad un problema noto gia` da tempo. Bisogna
disabilitare in IIS il mapping per l'estensione .htr (cosa peraltro
raccomandata nella Security checklist di IIS), oppure se e` proprio
indispensabile usare gli htr installare la patch di cui parla anche
http://neworder.box.sk/showme.php3?id=2279
[B35-W] Il modem chiama da solo!
E' il wingate che hai installato. Quando si accede alla rete col protocollo
NetBeui da macchine con Win9x scatta un DNS search sul protocollo TCPIP che
innesca la chiamata telefonica.
La soluzione e' lanciare REGEDIT, andare a:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\MSTCP
e settare
"EnableDNS"="0"
[B36-W][9x] Si puo' scoprire se qualcuno ha acceso il pc in un dato intervallo
di tempo?
Se il presunto "accenditore" e' abbastanza novellino lo puoi beccare
cosi': modifichi il file autoexec.bat e gli aggiungi le seguenti
righe:
echo off
echo *************** accensione pc >> c:\acc.log
echo.|date >> c:\acc.log
echo.|time >> c:\acc.log
echo on
oppure queste (o uno o l'altro dei due sistemi funziona, almeno con
dos & win 9x, con nt non ho provato ma dovrebbe andare)
echo off
echo *************** accensione pc >> c:\acc.log
ver | date >> c:\acc.log
ver | time >> c:\acc.log
echo on
tutte le volte che viene eseguito c:\autoexec.bat (ossia a tutti gli
avvii) andra' a scrivere data e ora nel file c:\acc.log e tu potrai
cosi' controllartelo lunedi' mattina.
*** (C) Nebbia ***
N.d.F.: A partire da WinME autoexec.bat non exegue piu' comandi, ma
solo inizializzazioni di variabili d'ambiente. Usare winstart.bat.
Soluzione piu' BOFH:
Prendere un bell'HD estraibile (come le autoradio di una volta) da portar via
e lasciare inserito al suo posto un hard disk da 20 (venti) Mb con su il DOS
3.1 come ai bei tempi degli 8088.
*** (C) Giovanni ***
[B37-W][9x] E' possibile accedere anche a risorse non esplicitamente
condivise?
Se nel sistema e' installata una stampante, cercando //nomecomputer/printer$
si puo' accedere alla directory \windows\system. ATTENZIONE: Questo puo'
provocare la disclosure di informazioni confidenziali o comunque personali,
come il contenuto del file OEMINFO.INF (se presente) che comprende, fra
l'altro, l'intestatario della licenza Windows e il gruppo di lavoro in cui
e' inserito il PC.
[B38-W] Ho blindato (in qualche modo) il desktop di Windows. E' sufficiente
per impedire di navigare nelle cartelle del disco?
Attenzione, l'uso di software che restringono l'accesso a file/directory e/o
alle operazioni che si possono compiere su di essi puo' essere aggirato. Per
esempio, potrebbe essere ancora possibile aprire Esplora Risorse da Internet
Explorer, tramite il menu' file/open/browse (file/apri/sfoglia), e digitando
per esempio c:\ come nome file, ottenendone la visualizzazione del contenuto
in barba a tutto.
Anche le restrizioni sull'esecuzione di certi programmi (p.e. command.com, o
cmd.exe) sono aggirabili, per esempio copiando altrove il file suddetto. Non
sempre, naturalmente, dato che nuove versioni del software e/o di IE possono
aver corretto il problema, ma l'uso di un software di restrizione di accesso
puo' dare un falso senso di sicurezza e far si' che l'aggiornamento costante
del software e del sistema sia tralasciato, "tanto e' tutto bloccato, e c'e'
pure il firewall".
Attenzione anche all'help: "start/Guida in linea", e digitate qualsiasi cosa
nella casella di ricerca. Se si tratta di software configurabile da Windows,
avrete a disposizione un link, che visualizzera' il wizard di configurazione
a dispetto di eventuali restrizioni al pannello di controllo.
Altro punto dolente: i MIME-type. Si possono configurare per far eseguire un
programma esterno, per esempio per visualizzare file grafici o eseguire file
multimediale, o per... lanciare explorer.exe!
Inoltre (orrore e raccapriccio): VBA (Visual Basic for Application, l'editor
di macro incluso in Office, non e' limitato alla gestione di documenti Word,
Excel e simili, ma e' un ambiente di sviluppo completo, con cui si puo' fare
di tutto, compreso un editor del Registry, un gestore di processi o anche un
trojan... tutto nascosto in un documento Word da tenersi su un floppy pronto
all'uso. Se i lettori di floppy sono stati disabilitati, basta che il nostro
cracker carichi la sua "creatura" nel proprio spazio web (all'occorrenza, se
ne puo' sempre procurare uno gratuitamente su migliaia di siti che mettono a
disposizione questo servizio, non e' piu' un problema ormai), e ne faccia il
download come per qualunque altro file.
Ancora: lanciate WordPad, poi scegliete il menu' Inserisci/Oggetto (se avete
la versione inglese: Insert/Object), scegliete "Crea dal file" ("Create from
file") e digitate il percorso del programma che volete eseguire (per esempio
"C:\windows\command.com").
Attenzione anche a Winzip, si possono lanciare eseguibili contenuti dentro i
file .zip...
[B39-W] The Bat! ha problemi di sicurezza?
Si' purtroppo, che deriva(va)no dall'header "X-BAT-FILES" aggiunto dal
programma ai messaggi in arrivo contenenti allegati. The Bat! elimina i
file allegati dal corpo del messaggio e li memorizza separatamente, e
l'header aggiunto contiene il percorso completo del file cosi' salvato:
X-BAT-FILES: c:\documenti\bat\attachment.doc
In questo modo, un forward del messaggio rivelera' la collocazione fisica
dei file in ingresso dell'utente di The Bat!, un'informazione utile in
vista di un futuro attacco.
Inoltre, The Bat! non controlla la presenza di questo header nei messaggi
in arrivo. Se il mittente inserisce "X-BAT-FILES: c:\windows\user.dat"
nel messaggio, il file c:\windows\user.dat appare come attachment e in
caso di forward lo stesso file verra' inviato, sempre come attachment
(indovinate cos'e'? Un pezzo del registro di Windows, pieno di tante
informazioni interessanti e probabilmente anche sensibili). Se invece il
messaggio viene cancellato, e The Bat! e' impostato per la cancellazione
anche dell'allegato, questa avviene (nel nostro esempio, con buona pace
del registro di sistema).
Infine, nei vecchi sistemi Windows, e' possibile sfruttare il cosiddetto
bug "con/con", creando un header del tipo:
X-BAT-FILES: c:\con\con
provocando il crash del sistema. I nomi riservati che e' possibile usare
per questo attacco sono AUX, CLOCK$, CON, CONFIG$, NUL, anche combinati
fra loro. Se avete Windows 9x, aggiornate oppure scaricate dal sito di
Microsoft la patch che corregge questo (grave) bug ereditato dal DOS.
Articolo originale apparso su Bugtraq il 2 marzo 2000.
Message-ID: <200003021443.RAA31070@adm.sci-nnov.ru> e relativo thread.
L'articolo in questione faceva riferimento alla versione 1.39 di The Bat!,
non so se questa vulnerabilita' (allora segnalata al produttore) e' ancora
presente, comunque vale ancora e sempre la regola di aggiornare il software
all'ultima versione disponibile...
[B40-W] Javascript e Preferiti, Javascript e Bookmark
Internet Explorer 5.0, 4 per Win9x (le versioni per NT sembrano immuni) e
Netscape Communicator 4.51 per Win95 (probabilmente tutte le versioni 4.x)
sono vulnerabili riguardo alla loro gestione dei bookmark, se l'utente
salva (aggiunge ai Preferiti/Bookmark) e successivamente richiama un'URL
"javascript:" appositamente confezionata. In tal caso, il codice JavaScript
viene eseguito nel contesto (stesso dominio e protocollo) del documento
aperto prima di scegliere il bookmark. Quindi il codice JavaScript code ha
accesso a documenti nello stesso dominio; scegliendo il bookmark quando il
documento attivo e' un file locale (protocollo "file:"), il codice JavaScript
ha accesso ai file e directory locali. Ecco alcune vulnerabilita':
Internet Explorer 5.0:
Leggere file locali se il nome del file e' noto
Leggere file nel dominio del documento attivo (anche se il server web e'
bloccato da un firewall);
Leggere link nel documento attivo e in documenti nello stesso dominio;
Web spoofing di documenti nel dominio del documento attivo.
Dimostrazione al link: http://www.nat.bg/~joro/favorites.html
Netscape Communcator 4.51:
Sfogliare directory locali;
Leggere file locali nella directory del documento attivo;
Leggere link nel documento attivo e in documenti nello stesso dominio;
Web spoofing di documenti nel dominio del documento attivo.
Dimostrazione al link: http://www.nat.bg/~joro/bookmarks.html
Per evitare questo problema bisogna purtroppo disabilitare Javascript oppure
evitare di bookmark-are pagine non fidate.
*** Da un post di Georgi Guninski su Bugtraq ***
*** http://www.nat.bg/~joro ***
*** http://www.whitehats.com/guninski ***
(N.d.F.: Aggiornare, aggiornare il software!)
[B41-W] Attenzione alle installazioni automatiche (MS Active Setup)
MS Active Setup e' un controllo Active X che fa parte di Internet Explorer,
usato per installare pacchetti software firmati digitalment da Microsoft.
Il problema e' che cio' avviene senza interazione con l'utente, permettendo
quindi, ipoteticamente, l'installazione di una versione di uno dei suddetti
pacchetti, con bug conosciuti tali da permettere l'attacco della macchina
cosi' "addomesticata", sia tramite web (Internet Explorer) che mail (Outlook
Express).
Messaggio originale apparso su BugTraq:
Message-ID: <002701bf7abe$86a071e0$647ee381@home>
From: "Juan Carlos Garcia Cuartango"
To:
Subject: Software back door
Date: Sat, 19 Feb 2000 10:48:15 +0100
Elias,
I have found something IMO very serious. Could you post this issue to Bugtraq ?
There is a MS ActiveX component called MS Active Setup, this component delivered with IE 4 and 5 is intended to provide remote software installation over the Internet. The component will only install signed software (authenticated software).
The issue is : Under regular circumstances the software will ask the user about the software manufacturer asking him before start the installation , but if the software manufacturer is Microsoft the user is not warned and the software will be silently installed.
This open a big privacy hole, MS is able to silently perform any action in our Windows systems whenever we are visiting a WEB page or by opening an e-mail.
I have prepared a demo in http://www.angelfire.com/ab/juan123/iengine.html
Active Setup documentation can be found at http://msdn.microsoft.com/library/periodic/period98/vbpj0798.htm
Regards,
Juan
____________________________________________________________
[C01-W][9x] Come si configura correttamente il Nuke Nabber ?
[KEYWORDS:nukenabber:porta:log]
Come gia' indicato sono necessarie le winsock 2.x per utilizzare tutte le
funzioni dello stesso (per incisio, se lo si utilizza su di un sistema
winNT, oppure in rete locale con macchine UNIX e' possibilie configurare
le attivita' di logging rispettivamente nell' event monitor oppure verso
il demone syslogd).
Vi sono due filosofie d'utilizzo di questo sw:(a) Permettergli di
controllare tutto il controllabile, (b) Sintonizzarlo solo ed
esclusivamente dove e' utile; la seconda serve ad evitare che il sistema
sia vittima di attachi che richiedono "porte aperte" e che il Nabber non
e' in grado di gestire.
Quando il Nabber controlla una porta, questa viene lasciata aperta (vedi
sez. TCP/IP), dovrebbe esistere una patch per effettuare una chiusura
preventiva [[dove ?????]], solo dopo uno scan e/o attacco questa viene
chiusa.
Configurare il Nabber, in File -> Options -> General almeno due opzioni
devono essere selezionate: "Block port scan" (chiude le porte dopo uno
scan) e "Disable port for....." (evita di riaprirle per X secondi). Poi,
in File -> Options -> Advanced si possono controllare le attivita' di
monitoring sulle porte.
Se si decide per (a) (vedi sopra) indicare le porte segnate con (a) alla
voce monitoring nell'elenco presente in [PORT-Appendice] e riportate
anche qui per brevita'.
NukeNabber di default controlla le seguenti porte: 5001 (tcp), 5000 (tcp),
1080 (tcp), 1032 (tcp), 1029 (tcp), 1027 (tcp),
- 139 (tcp), 138 (tcp), 137 (tcp),
Queste devono restare, ma disinstallando NetBIOS o installando
WinNuke95 e selezionando "Patch against Nuke", le si puo' togliere.
- 129 (tcp), ma non e' un servizio standard.
- 53 (tcp),
si puo' togliere, a meno di non avere un DNS sul PC, accessibile
dall'esterno.
- 19 (udp).
su Windows 95 non c'e' il servizio chargen corrispondente alla porta.
Su WinNT, va elimitato, dal pannello di controllo "Small TCP Services",
perche' si puo' indurre NT a cortocircuitare le proprie porte 19 e 53,
con risultati non proprio esaltanti. Con Windows 95/98 no (non c'e' il
servizio).
Vanno aggiunte invece le seguenti:
- 31337 (udp), Porta di default del Bo.
- 61466 (tcp), 50505 (tcp)
- 12345 (tcp), 12346 (tcp), porte utilizzate da NetBus.
Se si segue la filosofia (b) ci si
limitera' a:
ICMP / 139 (TCP) / 19 (UDP)
Si tenga comunque presente che
- gli scan alla ricerca di backdoor/server vari non sono
pericolosi in quanto tali
- il Nabber e' veramente essenziale solo se si utilizza IRC, dal
momento che ci sono persone che attaccano sistematicamente tutti
quelli che si affacciano su di una canale
[C02-W][9x] Le componenti di rete, ovvero: cosa tengo e cosa tolgo?
[KEYWORDS:protocollo:servizio:netbeui:ipx/spx:accesso:remoto:\
condivisioni:client:microsoft]
Anzitutto, se possibile. togliere assolutamente i protocolli NetBEUI e
IPX/SPX, o almeno il binding con Accesso Remoto (se si ha Windows).
Questi servono per reti locali e non per Internet; nel caso di un computer
a casa collegato a Internet con modem e accesso tramite provider su linea
telefonica, nelle proprieta' della Rete dovrebbe esserci solo Scheda di
Accesso Remoto e TCP/IP in binding con essa. Eliminare se possibile anche
il client per reti Microsoft.
Condivisioni: eliminare o, se necessarie, proteggere con password le
directory condivise. I protocolli NetBEUI e IPX/SPX non devono comunque
essere associati ad Accesso Remoto ma solo al driver della scheda di rete.
[C03-W][9x] Ma se tolgo il Client per reti MS non mi memorizza piu' la
password!!!
[KEYWORDS:client:microsoft:password:pwl]
Meglio!!! ^__^ Ogni informazione memorizzata nell'hard disk e' a
disposizione dell'hacker oppure lamer di turno. Almeno gli si renda la
vita piu' difficile non facendogli trovare bello e pronto quel che
cercano. I file .pwl di Windows, poi, dove vengono memorizzate le
password, non sono certo difficili da decifrare (vedi patch per la
sicurezza che Microsoft ogni tanto emette). Ricordo che se qualcuno vi
frega la pass di accesso a Internet poi si puo' connettere e per il
provider (E PER L'AUTORITA' GIUDIZIARIA) sarete voi a esservi connessi e
ad aver commesso eventuali atti illeciti. A meno che riusciate a
dimostrare di essere stati craccati (della serie, campa cavallo...).
[C04-W][9x] Quali porte controllare con NukeNabber?
[KEYWORDS:nukenabber:porta:servizio]
NukeNabber di default controlla le seguenti porte:
- 5001 (tcp), 5000 (tcp), 1080 (tcp), 1032 (tcp), 1029 (tcp), 1027 (tcp),
Queste possono essere cancellate: le >1024 sono aperte in outbound.
- 139 (tcp), 138 (tcp), 137 (tcp),
Queste devono restare, ma disinstallando NetBIOS o installando
WinNuke95 e selezionando "Patch against Nuke", le si puo' togliere.
- 129 (tcp),
129 non e' un servizio standard.
- 53 (tcp),
si puo' togliere, a meno di non avere un name server sul PC,
accessibile dall'esterno.
- 19 (udp).
su Windows 95 non c'e' il servizio chargen corrispondente alla
porta. Su WinNT, va elimitato, dal pannello di controllo "Small TCP
Services", perche' si puo' indurre NT a cortocircuitare le proprie
porte 19 e 53, con risultati non proprio esaltanti. Con Windows
95/98 no (non c'e' il servizio).
Vanno aggiunte invece le seguenti:
- 31337 (udp),
Questa e' la porta di default del Bo.
- 61466 (tcp),
Master Paradise
- 50505 (tcp),
icqtrogen
- 12345 (tcp), 12346 (tcp).
Su queste porte puo' arrivare una connessione a NetBus.
Attenzione che NukeNabber e' un programma di monitoraggio e non una
protezione vera e propria. Esso consente di sapere se le porte sotto
controllo sono sotto attacco, ma non e' efficace contro attacchi
tipo Land, Boink, Teadrop I e II, Ssping ecc...
[C05-W][9x] Password mantenute in cache
[KEYWORDS:password:cache]
Un piccolo suggerimento per tutti: e' possibile evitare l'uso delle
cached password modificando una chiave nel Registry. Basta impostare al
valore 1 la seguente chiave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\
Network\DisablePwdCaching
[C06-W] Ho il programma WinTOP dei Kernel Toys. Serve a qualcosa?
[KEYWORDS:wintop:kernel:toys:processo:sistema:terminare]
Si'. WinTOP (che si puo' lanciare da Avvio[Start]/Esegui, scrivere
wintop.exe) mostra un elenco di tutti i processi attivi nel
computer, con la possibilita' per ognuno di essi di avere l'elenco dei
thread generati. A differenza della finestra che appare premendo CTRL-
ALT-DEL, in WinTOP viene mostrato tutto quello che e' in esecuzione, e
quindi si possono individuare cose "non regolari".
Idle, kernel32, msgsrv32, mprexe, mmtask, explorer, rundll32 sono task
di sistema. Per vedere i dettagli di un processo, cliccate con il tasto
destro e scegliete Properties: qui in due schede sono mostrate, appunto,
le proprieta' del processo. Quello che interessa e' la seconda, dove puo'
essere presente un bottone "Terminate process now", che permette appunto
di uccidere il processo. Il bottone e' disponibile sui processi
contrassegnati dalla finestra, mentre quelli contrassegnati dalla ruota
dentata non possono essere terminati in questo modo.
Attenzione: WinTop non permette di effettuare la chiusura dei processi
con caratteristiche di servizi di sistema, mentre con AVP System Watch e'
possibile fare anche questa operazione.
[C07-W] E' vero che si possono far eseguire dei programmi dannosi
allegandoli a un messaggio e-mail?
[KEYWORDS:email:allegato:programma:eseguibile:macro:virus:trojan:\
backdoor]
Dipende da cosa si intende dire. In generale, una mail e' costituita da
una sequenza di caratteri ASCII, che vengono mostrati in una finestra del
programma di posta elettronica, ma non sono eseguiti. La mail puo' pero'
contenere un allegato di tipo qualunque, e ai fini della sicurezza del
sistema interessano due classi di file: eseguibili (.exe, .com) e binari
creati da applicazioni che hanno un certo livello di programmabilita'
per mezzo di macrolinguaggi (documenti Word o Excel, per esempio). Il testo
della mail non e' pericoloso, al contrario di quel che dicono dei messaggi
terroristici che periodicamente spammano i newsgroup.
Il discorso cambia per gli allegati suddetti. Un file di Winword puo'
contenere una macro che in realta' e' un macrovirus, e la sua apertura CON
WINWORD puo' infettare il computer col virus stesso. Un file eseguibile puo'
anch'esso essere infetto. Non si proseguira' qui sul discorso dei virus,
esistendo un newsgroup dedicato ad essi, cioe' it.comp.sicurezza.virus, e
le relative FAQ.
I pericoli che possono nascondersi negli eseguibili non sono pero' finiti.
Un eseguibile puo' nascondere un trojan o una backdoor, ed eseguendolo
vengono installati questi ultimi. Qui il trucco non sta solo nell'avere
programmi antivirus e di monitoraggio aggiornati e sofisticati, ma
soprattutto in un settaggio furbo del programma di posta. Questo deve
essere impostato in modo che gli allegati "sensibili" non vengano aperti
direttamente cliccandoci sopra, ma salvati su disco per poterli passare
con comodo all'antivirus e agli altri controlli. In poche parole, un .jpeg
puo' essere automaticamente aperto, un documento Word NO, NO, NO, NO, NO
(ripetere n volte, con n->oo) e neppure un eseguibile.
[C08-W][9x] Posso proteggere un file o una directory sotto Windows da
accessi indesiderati?
[KEYWORDS:file:impedire:accesso:fat:pctools]
Certo. Naturalmente, a causa della natura intrinsecamente insicura di
Windows (TUTTE le versioni dal 98 in giu') dovuta al fatto che si tratta
di un sistema sostanzialmente monoutente, questo e' impossibile in
maniera nativa, e i programmi che si possono trovare sono tutti piu' o
meno aggirabili (basta un boot da dischetto per accedere al sistema,
anche se da DOS puro, a meno di disabilitarlo dal BIOS).
Se la partizione in cui si trova il file/directory da proteggere e'
formattata FAT-16 (cosa facilmente verificabile con un click destro sulla
unita', scegliendo Proprieta'/Generale e controllando la presenza o meno
della dicitura FAT-32 accanto alla riga Tipo: Disco locale), c'e' pero'
un trucco semplice, che necessita di un programma come il buon vecchio
PC-tools.
Per facilitare le cose, si mettano i file in un'unica directory, chiamata
ad esempio "VARIEK". Riavviare in Modalita' MS-DOS (NON il prompt!!!),
lanciare PC-tools, localizzare la directory VARIEK e sostituire la K con
ALT+255; questo e' un carattere che sembra lo spazio, e l'effetto e' di
rendere la directory inaccessibile sia da DOS che da Windows. Per entrarvi,
occorre utilizzare di nuovo PC-tools e rimpiazzare ALT+255 con un carattere
alfanumerico. La cosa puo' sembrare macchinosa, ma e' possibile scrivere
un programma che faccia il cambio in automatico, cosicche' per entrare
nella directory e accedere ai file contenuti basta lanciare il programmino
e una volta finito rieseguirlo per compiere l'operazione opposta. Stessa
cosa per i nomi dei singoli file, per esempio per creare in dos dei file
con spazi inframezzati, o in Windows (3.1 o anche 95) scrivere file che
windows non puo' rileggere se non dopo accurata modifica del nome.
[C09-W] Ho installato NukeNabber per controllare le porte "sensibili".
Sono al sicuro?
[KEYWORDS:nukenabber:DoS:attacco]
Con Nuke Nabber installato, ti possono straziare la macchina usando, per
esempio, Teardrop, Newdrop, Fraggle e Nestea. Per quanto ne so. E non so
se funziona anche Jolt, un altro attacco simile. C'e' un paio di note in
FAQ, http://www.linuxvalley.com/~lserni/glossary.cgi?ITEM=attacks, pero'
sono "in fieri" e lontanissime dall'essere complete. Mi raccomando, dite
se ci sono errori o inesattezze.
[C10-W] Si puo' vedere se ho un file "Silkroppato"?
[KEYWORDS:silkrope:backorifice:compressione]
Dipende da come e' stato fatto il lavoro: se uno usa silkrope e basta,
gli antivirus attuali ti dicono che il file e' infetto da BO. Se,
invece, dopo Silkrope passi il tutto ad un compressore di eseguibili,
l'antivirus non vede niente. Attenzione: comprimere un eseguibile
ottenuto in questo modo potrebbe comprometterne la funzionalita'.
[C11-W] Si puo' creare un file di log per netstat?
[KEYWORDS:netstat:log]
Dipende da cosa si intende per log. Si puo' fare in modo che l'output
di netstat venga scritto su un file piuttosto che sul video, basta
usare il pipe ">" o ">>". Per esempio potresti scrivere
netstat -na 30 > c:\dir\log.txt
oppure
netstat -pa TCP 30 > c:\dir\log.txt
scegliendo i parametri che vuoi passare al netstat e poi, invece di
mandare i risultati a video, ci si crea un bel file di log.
Bisogna fare attenzione a 2 cose:
1. il singolo ">" fa in modo che il log venga sovrascritto ogni volta
che si esegue il comando, mentre il doppio ">>" fa si' che i risultati
vengano di volta in volta aggiunti nel file in coda ai precedenti
(occhio alle dimensioni del file log!).
2. se si imposta un intervallo di tempo molto breve, e' sicuro che non
sfugge nulla ... o quasi ;-), ma si rischia di ritrovarsi con un log
immenso!
Poi si puo' scrivere un piccolo file batch in modo da non doverlo
digitare ogni volta: aprite il notepad, scrivete il comando in una
riga, sceglere Salva con nome (nella lista dei tipi dei file scegliere
"tutti i file") chiamandolo "nome_che_vuoi.BAT".
Poi per cercare qualcosa si va di grep... si apre con Wordpad
e con +F si cerca, per esempio, "31337" (che originale!!!),
usando F3 per trovare tutte le connessioni loggate con la sottostringa
cercata.
*** (C) x-hacker
[con adattamenti]
[C12-W] Ho saputo che posso proteggere il mio computer con un programma
chiamato Conseal. Quando e' utile o inutile questo programma?
[KEYWORDS:conseal:firewall]
---*** Vedere la sezione Conseal - SFAQ-cfw.txt ***---
Conseal viene fornito con un semplice insieme di regole, o ruleset,
che impedisce gli attacchi piu' comuni. Le restrizioni devono essere
adattate caso per caso per avere un'efficacia piu' sicura, e l'help
del programma e' come al solito una lettura d'obbligo per avere
maggiori informazioni. Esiste anche il sito Internet
http://www.betatesters.com/firewall
dove si possono trovare utili indicazioni e consigli, fra cui varie
configurazioni del ruleset tutte documentate.
Un timore che si puo' avere e' che qualcuno dall'esterno possa in
qualche modo manomettere le regole impostate nel firewall. Ebbene,
questo non e' possibile farlo da remoto, a meno che ovviamente non
si possa entrare nel sistema con i soliti mezzi: backdoor, porte
aperte in eccesso (cioe' servizi attivi non necessari), condivisioni
magari non protette da password, IE4 bacato, ...
E' quindi importante assicurarsi di non avere un sistema aperto,
controllando prima tutto il controllabile di cio' che e' stato citato
nel paragrafo precedente, poi si installera' il Conseal configurando
il tutto secondo le specifiche necessita', dopodiche' si puo' stare
relativamente tranquilli in relazione alla configurazione adottata.
In altre parole, per tutte le porte che per necessita' devono restare
aperte bisogna accertarsi che non possano venire attacchi da quella
direzione, per esempio aggiornando sempre il software e lasciando
il meno possibile del sistema visibile al mondo.
[C13-W] Si puo' disabilitare la funzione di autorun per tutte le unita'?
[KEYWORDS:unita:autorun:registro:regedit]
La chiave del registry che ci interessa si trova nella gerarchia
HKEY_CURRENT_USER che ha le impostazioni dell'utente di default (se
no si cerchi la gerarchia dell'utente interessato). In particolare,
il percorso e' il seguente:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
Explorer\"NoDriveTypeAutoRun"
(si cerchi con Regedit, Avvio -> Esegui -> regedit.exe).
Il valore per disabilitare l'autorun su tutti i tipi di unita' e'
"FF, 0, 0, 0". Ogni bit del primo byte rappresenta un certo tipo di
unita', se il bit e' impostato a 1, allora l'autorun e' disabilitato
per quel tipo di unita' cui il bit fa riferimento.
[C14-W][NT] Come impedisco ad altri di amministrare il server NT?
[KEYWORDS:administrator:diritto:privilegio]
Per definizione, l'amministratore di un computer NT e' che ha i diritti di
amministratore. Se la macchina NT fa parte di una rete, e' possibile che piu'
utenti abbiano un account su quella macchina. Per accedere alle funzioni di
amministrazione, pero', quegli account ne devono avere i diritti, perche' a un
utente normale l'accesso viene negato. Per evidenti ragioni, e' sconsigliato
dare i privilegi di amministratore a tutti gli utenti della stazione NT. Invece,
usando la sicurezza di NT, se si vuole essere gli unici a mettere le mani sulle
funzioni delicate, bisogna fare in modo di essere gli unici amministratori.
D'altra parte un amministratore ha diritto ad avere accesso al server in ogni
condizione (per definizione), e se non si e' gli unici con tali prerogative non
si ha il diritto di bloccare il sistema in modo totalmente esclusivo e NT non lo
permette. Se quindi non e' possibile essere gli unici amministratori, non e'
possibile nemmeno bloccare l'accesso a certe funzioni.
[C15-W] Come posso impostare il firewall per utilizzare ICQ?
[KEYWORDS:icq:firewall:regola]
Il problema e' che icq cambia porta ogni volta... lasciando il learning
mode del firewall, quando arriva un msg da icq vuole aprire una porta
dall'ip remoto (il mittente) verso il tuo (destinatario). Tu gli dici si'
e lui crea la regola per *quegli* indirizzi e *quelle* porte. Al secondo
messaggio, magari, la porta cambia, e di nuovo non incontra piu' alcuna
regola (quella di prima era per una porta diversa!!!), e cosi' si ferma
ancora... e alla fine ci si crea una regola per ogni messaggio!!
Tutto quello che ti serve e' una regola (anzi due) cosi' composta:
Service ICQ
Protocol: UDP
Direction: inbound/outbound (entrambe "checked")
Remote address: 205.188.252.0 (che e' il server di icq)
Remote mask: 255.255.255.0
Remote port: 4000
Local address: my address (imposta automaticamente anche la mask)
Local port: temp range (*)
La seconda regola e' identica, solo che il remote address deve essere
205.188.254.0 (altro server di icq). Si deve ovviamente aprire una regola
per il tcp/ip (se non e' gia' aperto):
Service: ICQ
Protocol: TCP/IP
inbound/outbound allow
Remote address: all address
Remote ports: 1024-65535
Local address: my address
Local port: temp range (*)
Questo per permettere di scambiare eventi come msg, file o altro. I
TCP/IP sono infatti i pacchettini di dati.
(*) = attenzione, con icq99 diventa tutto piu' complicato, perche' icq99
continua a usare per certi segnali delle porte "alte" (in particolare il
segnale di online/offline per la gente in contact list). Le prime build
erano un totale disastro, perche' instradavano pure tutti i dati sulle
porte alte, quindi era una tragedia. Questo significa che con ICQ 98, la
local port puo' essere temp range (1024-5000) normalmente, con il 99
invece bisogna aprire 1024-65535, perdendo ovviamente ogni sicurezza
perche' e' proprio sulle porte alte che arrivano il 99% delle eventuali
aggressioni... in questo caso meglio fare a meno del firewall.
Viceversa, per tenere in conto di chi puo' avere icq99, bisogna impostare
il remote address del tcp come 1024-65535 anziche' temp range (1024-5000),
perche' chiaramente se uno ha icq99 potrebbe mandarti dei dati DALLA sua
porta (es.) 26535 sulla nostra (sempre es.) 1046. La nostra 1046 e' nel
temp range (perche' abbiamo icq98), ma la sua e' fuori dal temp range...
[C16-W] Come si puo' impostare ICQ per renderlo un po' piu' sicuro?
[KEYWORDS:icq:impostazioni:ricezione:file:dcc]
Bisogna ignorare tutto quello che non arriva dagli account che hai nella
lista dei contatti. Poi si deve disattivare il server Web che ha ICQ,
che apre una porta di ingresso sul PC. Poi bisogna disabilitare la
ricezione automatica di file, che potrebbe permettere a qualcuno di
installarti un programma "spia".
In soldoni (io ho ICQ2000a, build 3140, impostato in advanced mode):
** Menu' ICQ, Security & Privacy.
***** Scheda General:
Contact List Authorization: My authorization is required...
Web Aware: Allow others... va DISABILITATA (aka SENZA spunta).
***** Scheda Direct Connection:
Allow Direct Connection with users listed on Contact List
** Menu' ICQ, Preferences.
***** Scheda Web Page:
Automatically open all incoming Web Addresses va DISABILITATA
***** Scheda File Transfer:
Show File Request... va spuntata.
Automatically refuse File Transfer requests by users non on
Contact list va spuntata.
[C17-W][NT] E' possibile "chiudere le porte" da NT?
[KEYWORDS:porta:filtro:rras]
Installate RRAS (Routing and Remote Access Server). Si puo', per
ogni interfaccia, sia Dial-Up che permanente, impostare tutti i
filtri che si vuole sia in entrata che in uscita e per qualsiasi
protocollo TCP, UDP ICMP e chi piu' ne ha piu' ne metta.
Che grado di protezione fornisce? RRAS, che viene aggiornato con
le SP di NT, e' solo router con funzioni di packet filter, e come
tale se configurato bene fornisce un ottimo livello di sicurezza.
A differenza dei router classici non si configura tramite telnet.
[C18-W][NT] E' possibile impedire il login da parte di piu' client su
di un NT server utilizzando lo stesso user?
[KEYWORDS:login:multiplo:username]
Assegnare ad ogni username l'accesso ad una sola macchina; ci puo'
essere solo una macchina con quel nome... altimenti bisogna scrivere
un prg in c++ o altro o acquistare un prg tipo RasTraker.
Con i tool standard, poi, in particolare da User Manager, si puo'
forzare un utente a collegarsi da una o piu' stazioni predefinite.
[C19-W] Ho chiuso e disabilitato l'impossibile, ma questo "DCOM" continua
a connettersi...
[KEYWORDS:dcom:ole:enableremoteconnect]
"Distributed COM" non ha nessuna chiave che lo avvia dal registro, ne' in
RUN o RUNONCE e neppure RUNSERVICE o RUNSERVICEONCE. Prova invece a cercare
la chiave HKEY_LOCAL_MACHINE\Software\Microsoft\OLE e assicurati che
EnableRemoteConnect valga "N".
[C20-W] Un avvio "quick'n'dirty" in DOS.
[KEYWORDS:dos:batch:autoexec]
Si fa la copia su dischetto dei seguenti file (tutti in una cartella
separata "backup"):
c:\command.com
c:\config.sys
c:\autoexec.bat
c:\windows\win.com
c:\windows\rundll32.exe
c:\windows\win.ini
c:\windows\system.ini
poi si fa un batch sul dischetto cosi':
@echo off
a:
cd\backup
copy command.com c:\
copy config.sys c:\
copy autoexec.bak c:\
copy win.com c:\windows
copy rundll32.exe c:\windows
copy win.ini c:\windows
copy system.ini c:\windows
Poi si controllano un po' di attributi, ora non ho proprio voglia di pensare
anche a quelli.
*** (C) Dario Corti ***
Ricordate che in Windows ME autoexec.bat contiene solo variabili di ambiente
e non comandi DOS (N.d.F.).
[C21-W] Come chiudere il relay attraverso un server Exchange.
In Exchange Administrator:
Internet Mail Service ===> Routing ===> Routing Restrictions ===>
Flaggare: Host and client with these IP addresses.
Inserire gli IP della tua rete con relativa Mask
N.d.F.: Lo spamming non e' strettamente un problema di sicurezza, ma
comunque un server di posta mal configurato e' sempre una porta lasciata
aperta a ospiti non autorizzati.
[C22-W] Alcuni settaggi di AtGuard (>= 3.20).
Nella chiave HKEY_LOCAL_MACHINE\Software\WRQ\IAM\firewallState puoi
creare i seguenti valori binari (tutti con valore "01"):
IcmpFilterEnabled per poter creare rules relative a ICMP
BlockIGMP per bloccare pacchetti IGMP
BlockIPFragments per bloccare pacchetti frammentati
[C23-W] Alcuni aggiornamenti INDISPENSABILI per Internet Explorer
(glubrix - Gianluca Lubrano)
Fonte: http://windowsupdate.microsoft.com/R423/V31site/
Patchs:
1)Aggiornamento della protezione dei Preferiti
È possibile scaricare questa patch per eliminare due problemi di
protezione di Internet Explorer. Il primo e' l'esecuzione di codice non
autorizzato nel computer. Il secondo, la lettura del disco rigido da
parte di utenti non identificati.
2)Aggiornamento 1 della protezione per Windows, 29 novembre 1999
Questo aggiornamento consente di eliminare il problema di
vulnerabilita' "Spoofed Route Pointer" riscontrato in Microsoft Windows®
98. Tale problema potrebbe consentire a utenti malintenzionati di
ottenere l'accesso alla rete o ad altre informazioni eseguendo
l'origine di routing tramite il computer in uso, anche se tale origine
e' stata disabilitata. L'installazione di questo aggiornamento eliminera'
i problemi di vulnerabilita' e fornira' un ulteriore controllo
sull'origine di routing.
3)Aggiornamento della protezione di Internet Explorer, 8 dicembre 1999
L'installazione di questo aggiornamento consente di eliminare il
problema di vulnerabilita' relativo al reindirizzamento del riferimento
di pagina lato server rilevato in Internet Explorer e impedisce a
sviluppatori di siti Web malintenzionati la lettura di file nel
computer dell'utente. Per poter leggere i file dell'utente eventuali
malintenzionati dovrebbero conoscere i nomi dei file e le cartelle in
cui sono situati. Questo aggiornamento include l'aggiornamento
rilasciato in precedenza relativo al problema di protezione
dell'importazione/esportazione dei Preferiti. Se l'aggiornamento
relativo al problema di protezione dell'importazione/esportazione dei
Preferiti non e' ancora stato installato, l'installazione di questo
aggiornamento risolve entrambi i problemi di vulnerabilita'.
4)Aggiornamento relativo ai problemi di protezione nei controlli
ActiveX "Scriptlet.typlib" e "Eyedog"
Questo aggiornamento consente di eliminare i problemi di protezione
relativi a due controlli ActiveX: Scriptlet.typlib e Eyedog. Senza
questo aggiornamento, tali controlli potrebbero essere utilizzati per
eseguire procedure illegali sui PC degli utenti.
5)Aggiornamento relativo al problema di vulnerabilita' per il client
Telnet di Windows 98
Questo aggiornamento risolve un problema di vulnerabilita' del client
Telnet distribuito insieme a Windows 98. Tale problema potrebbe causare
un'azione dannosa nel computer dell'utente che ha visitato la pagina
Web.
6)Aggiornamento della protezione per Internet Explorer, 20 ottobre 1999
Questo aggiornamento consente di eliminare i problemi di
protezione "IFRAME ExecCommand" e "Download Behavior" riscontrati in
Internet Explorer. La relativa installazione impedira' a sviluppatori di
siti Web malintenzionati la lettura di file nel computer e/o nella rete
Intranet locale senza autorizzazione da parte dell'utente. NOTA: questo
aggiornamento e' stato sottoposto a revisione in data 3 novembre 1999.
Installare la versione piu' recente
7)Aggiornamento relativo alla protezione per Microsoft virtual machine
Questo aggiornamento consente di eliminare il problema di protezione
relativo al "controllore della virtual machine" riscontrato in
Microsoft virtual machine (Microsoft vm). Senza tale aggiornamento, una
applet Java potrebbe essere utilizzata in modo illecito in una pagina
Web per leggere, implementare o eliminare file nel computer degli
utenti che hanno visitato quella pagina.
8)Aggiornamento della protezione per Internet Explorer, 17 novembre
1999
L'installazione di questo aggiornamento consente di eliminare il
problema di vulnerabilita' del reindirizzamento Javascript in Internet
Explorer e impedisce a sviluppatori di siti Web malintenzionati la
lettura di file nel computer dell'utente senza autorizzazione.
9)Aggiornamento della protezione per Internet Explorer, 8 novembre 1999
L'installazione di questo aggiornamento consente di eliminare il
problema di vulnerabilita' del "controllo Installazione" e impedisce che
un utente esterno utilizzi un particolare controllo ActiveX per
eseguire automaticamente un file allegato di posta elettronica dannoso
salvato nel computer dell'utente. Outlook e Outlook Express sono tra le
applicazioni di posta elettronica interessate da tale problema.
I bugs di Explorer attualmente permettono sia la scrittura che la
lettura.
Ma basta anche un bug in lettura per accedere alle tue password e
sputtanarti shell, bots, homepages e chi + ne ha + ne metta :)
Ribadisco: Irc + Internet Explorer senza patch = o cocchi belli son qua
tutto vostro.
[C24-W][NT] Come corazzare (per quanto possibile :), un server NT
destinato come macchina web, da intrusioni esterne?
Chiudi le porte 137 138 139 per iniziare e se puoi metti la tua rete interna
su una scheda diversa, rimuovi gli utenti everyone e guest modificando anche
le autorizzazioni e cambia il nome dell'Administrator... per iniziare.
________________________________________________________
[D01-W] Ho installato un firewall fra il computer e la rete e Nuke
Nabber non vede piu' gli attacchi.
[KEYWORDS:nukenabber:firewall:log]
Significa che il firewall sta facendo il suo dovere. Se i nuke e i
tentativi di connessione non arrivano piu' al NN, vuol dire che sono
stati giustamente neutralizzati. Sappi che con questa configurazione
Nuke Nabber e' "ridondante", in quanto i suoi compiti (monitorare la
connessione su certe porte) sono svolti dal firewall, che fa anche
dell'altro; in particolare, il log di NN sara' sempre praticamente
vuoto. Per conoscere ugualmente eventuali attacchi, puoi far si' che
sia il firewall stesso a loggare i pacchetti che vengono intercettati,
l'effetto collaterale di questa configurazione sara' costituito da
eventuali DoS che ti faranno finire lo spazio su disco quando i
tentativi diventeranno troppo numerosi, e questi potrebbero essere
fatti proprio a questo scopo.
Con un firewall installato, Nuke Nabber puo' comunque essere utile,
infatti possiamo fargli monitorare la connessione con il firewall.
Perche'? Perche se NN dovesse vedere qualcosa nonostante il firewall
vuol dire che l'attaccante ha trovato il modo di crashare o bypassare
il firewall stesso arrivando fino alle tue porte, e a questo punto si
puo' gia' parlare di "intrusione" (anche ai sensi del codice penale).
[D02-W] Ho un programma antiBo o anti-NetBus, e NukeNabber mi segnala
la backdoor!
[KEYWORDS:nukenabber:backdoor:backorifice:netbus]
Tranquilli, non e' successo niente. Quei programmi sono a tutti gli
effetti dei server delle relative backdoor, che per funzionare devono
stare in ascolto sulle opportune porte. Se NukeNabber controlla quelle
porte anche lui, si accorgera' che c'e' "qualcosa" in ascolto e, come
deve fare, lo segnalera' diligentemente. La soluzione e' di togliere
il monitoraggio della porta segnalata da parte di NN; se c'e' gia' un
programma che l'ascolta e' inutile che ce ne sia un altro.
[D03-W] Perche' bisogna avere da parte delle versioni particolari di
netstat e tracert?
[KEYWORDS:netstat:tracert:netbus:backorifice:backdoor]
Perche', se si e' in caccia di intrusi telematici, e' necessario e
utile poter vedere che cosa dicono netstat e tracert. Niente di piu'
facile per questi figuri che impedire cio', rimpiazzando netstat e
tracert con due programmi che, per esempio facciano si' che la
connessione si interrompa appena vengono attivati (appena inizia la
caccia, in altre parole). Percio', anziche' usare netstat e tracert
del boserverizzato (per esempio), si usino i propri, che FORSE sono
sicuri.
[D04-W] Come faccio a divertirmi un po' con i pingatori senza troppa
fatica?
[KEYWORDS:backdoor:winsock:backorifice:nukenabber:netcat]
[Info tratte con adattamenti da un messaggio di Master e correzione di
L.Serni]
Se si ha un minimo di esperienza di programmazione, ci si puo' cimentare
nella creazione di un programma adatto all'uopo :-))
La libreria Windows che fa al caso nostro e' la winsock.ocx. Tutto quel
che si deve fare e' aprire un form con una connessione UDP, mettere il
programma in ascolto sulla porta 31337 UDP (nel caso in cui si voglia
intercettare i BO-seekers) con UDPserver.localport 31337 e ricevere i
dati. Ma come? Siamo sotto UDP, quindi non disponiamo di qualcosa tipo
UDPserver.listen. La soluzione consiste nel settare sempre remotehost
come se stessi (127.0.0.1, localhost) e localport 31337, e per la
lettura dei dati si usa udpserver.getdata , con p che punta a un
dato di tipo stringa associato all'evento DataArrival.
Alla ricezione di un ping su quella porta, basta che con la funzione
UPDserver.senddata si mandino sulla 31336 (la porta su cui riceve il
client... quella giusta si puo' comunque verificare) la stessa stringa
che invia il Boclient col ping, presa per esempio con un copia/incolla
dalla finestra di Nuke Nabber, seguita da un testo a piacere. Ricordiamo
che i caratteri strani che su vedono sul N.N. sono l'header del protocollo
di Back Orifice.
Quello sopra descritto e' il cuore del programma, che puo' essere dotato
anche di un'interfaccia piu' o meno ricca di opzioni (se gradite
trastullarvi con il Visual Basic). Un'alternativa e' costituita dall'uso
di netcat, in modo simile a quanto appena descritto: con un primo netcat
si ricevono i dati su udp e si registra l'ip del mittente, con un secondo
si inviano i messaggi. Per realizzare il tutto basta un file .bat, al
massimo due righe di un qualunque linguaggio per estrarre l'ip dalle
videate info di netcat che purtroppo stravolge il pipe 'normale' per suoi
specifici bisogni.
Per implementare il protocollo di Back Orifice si puo' usare un trucco.
Per prima cosa, si metta in ascolto Nuke Nabber sulla porta 31337 UDP,
oppure si fa la stessa cosa con netcat (netcat -l -u -v -v -p 31337),
oppure ancora si fa il il solito programmino in VB o in C con l'evento
DataArrival che, quando arrivano i dati del boclient, spedisce su una
casella di testo il contenuto della stringa che si grabba con UDP.GetData.
Ecco il trucco:
Far partire il boclient e settare ad esempio Process Spawn. Nei parametri
si metta una frase a piacere (suggeriva "OH ROTTO N'CULO! FINISCILA!"),
dopodiche' si da' SEND su nukenabber o sul programmino o su netcat (quello
usato, insomma) e viene fuori la frase gia' codificata. Nel caso in cui si
sia usato il winsock, su UDP.RemoteHostIp si avra' l'IP del tizio che ha
mandato roba col boclient (casualmente in questo caso sei tu, 127.0.0.1)
mentre su UDP.RemotePort e' settata la porta che ha usato il Boclient per
mandare il tutto.
Se tu adesso su UDP alla stessa porta, e settando
UDP.remoteHost = UDP.RemoteHostIp,
mandi con UDP.SendData quella stessa stringa, sul BoClient esce una
scritta come se si fosse fatto il ping ad un boserverizzato e quello
avesse risposto con
Pong .. ip found.. ecc..ecc..
-----------------------------------------------
OH ROTTO N'CULO! FINISCILA!
-----------------------------------------------
TRUCCHI BASTARDI:
Se al posto di si manda un bel
DO { UDP.SendData stringa } UNTIL (FALSE)
il nostro avra' di che meditare... :-DD
Ancora, dato che quello che scassa veramente l'anima e' lo scrolling
della finestra, il divertimento massimo consiste anche nel mandare una
sequenza di CR + LF fino alla saturazione del buffer. Tra l'altro si puo'
comprimere molto, e si trasmette non malaccio.
[D05-W] A chi volesse contrattaccare usando BO.
[KEYWORDS:backorifice:risposta]
Connessione a 192.168.0.119: "PONG!1.20!CHAPLIN" - SUCCESSO!
Connessione a 192.168.0.168: "PONG!1.20!TOWER" - SUCCESSO!
Se, connettendovi con BO a un computer remoto, ottenete una delle precedenti
risposte, desistete immediatamente dal tentativo.