STATO MAGGIORE DIFESA
Reparto Informazioni e Sicurezza
Ufficio Sicurezza Difesa
BOLLETTINO
DI
SICUREZZA
INFORMATICA
N°3
Agosto/settembre
2002
SISTEMI OPERATIVI : - I COOKIES;
- BACKDOORS.
SISTEMI APPLICATIVI: - UNA VULNERABILITA’ DI OUTLOOK;
- ANALISI DEL WORM “NIMDA”.
FOCUS ON….: PGP (PRETTY GOOD PRIVACY).
SICUREZZA DELLA RETE: - HOAX;
- LE VENTI VULNERABILITA’ PIU’ CRITICHE PER
LA SICUREZZA IN INTERNET (SECONDA PARTE).
PER CONTATTI : TEL. 06/46917156 – FAX 06/36000904
E-MAIL : [email protected]
I COOKIES
•
CHE COSA SONO :
“COOKIE” letteralmente significa “biscottino”.
La definizione ufficiale che Netscape dà del cookie è :
“Persistent Client-Side State information” che tradotto significa “informazione permanente
sullo stato del Client, il che peraltro, non chiarisce bene di che cosa si tratti; più
dettagliatamente Netscape definisce i cookie:
“…a general mechanism which server side connections (such as CGI script) can use to both
store and retrieve information on the client side of the connection. The addition of a simple,
persistent, client-side state significantly extends the capabilities of Web-based
client/server applications”. Praticamente un congegno utilizzato dalla maggior parte dei
server per raccogliere e immagazzinare informazioni riguardanti il client.
Fisicamente il cookie è un piccolo file di testo (cookies.txt nelle piattaforme Dos e
MagicCookies in quelle Macintosh), che viene inviato a un browser Web da un browser Web. In
pratica, insieme alla pagina richiesta il browser può ricevere, da parte del Web server, la
richiesta di memorizzare una determinata informazione per poterla poi recuperare
successivamente. Il browser conserva questa richiesta in un file, chiamato appunto cookie.txt,
fino a quando non si cambia sito o s’interrompe il collegamento. A questo punto il file viene
salvato sul disco rigido dell’utente e verrà inviato ad ogni successiva richiesta allo stesso
server che identificherà così il visitatore.
•
I
A CHE COSA SERVONO :
cookies sono utilizzati dai web designers e dai web mechants (commercianti sulla
rete) per diversi scopi :
1.
Programmi detti comunemente “carrelli della spesa” : nei numerosi negozi online, si vuole permettere all’acquirente di muoversi pagina per pagina, cercando,
leggendo le caratteristiche dei vari prodotti e scegliendo gli articoli che desidera
comprare o riponendo quelli che non gli interessano. Il cookie viene utilizzato come
un “carrello della spesa” digitale che segue il visitatore fino alla fine dell’acquisto,
mantenendo traccia dell’intera sessione, così che quando egli decide di passare alla
“cassa”, cioè di effettuare l’ordine vero e proprio, si può trovare la pagina per
l’ordine già compilata con l’elenco dei prodotti che si sono selezionati durante
l’intera navigazione.
2.
Siti a pagamento o ad accesso limitato : questi siti , di solito, chiedono agli
utenti di registrarsi con un’unica combinazione di username e password per essere
ammessi all’utilizzo del sito; di solito viene poi spedito un cookie, che verrà
riconosciuto ad ogni visita, contenente un codice che indica quali pagine il
visitatore è autorizzato a vedere. In questo modo egli non dovrà reinserire
username e password ogni volta che accederà ad una pagina nuova, durante la sua
visita.
Pagina 1
3.
Forms intelligenti : i siti Web che richiedono ai navigatori di riempire delle
form ogni volta che accedono alle loro pagine, possono evitare di richiedere
sempre le stesse informazioni visita dopo visita, utilizzando un cookie che
memorizzi quei dati nel disco rigido, in modo che alla visita successiva in quel
sito, il browser spedirà il cookie al Web server che non riproporrà la form.
4.
Pagine Web personalizzate : l’utilizzo di maggior effetto dei cookies è
quello che permette ai siti Web di personalizzare le pagine per ogni visitatore
che accede al sito. Memorizzando in un cookie le scelte effettuate, i siti più
visitati, i soggetti preferiti e altri dati dell’utente, è possibile poi
presentargli alla visita successiva una pagina di benvenuto con il suo nome e
contenente i suoi soggetti preferiti, i link ai siti da lui frequentati etc..
5.
Pubblicità mirata : i cookies vengono utilizzati da un sito Web che contiene
dei banner pubblicitari per ottenere informazioni sull’utente, cercando di
dedurre le sue preferenze e i suoi gusti, creando in questo modo un profilo
del visitatore (tenendo presenti quali banner ha visto e quali ha aperto), in
modo da presentare a ciascuno solo i banner che più gli interessano. Se ad
esempio, nella form di un motore di ricerca inseriamo la parola “diritto” molto
probabilmente siamo interessati, per lavoro o per altri motivi, alla materia.
Ecco allora che, immediatamente, ci vengono proposti banner relativi a
raccolte di leggi e codici su cd-rom e, se il nostro interesse verso il diritto
viene memorizzato in un cookie, la volta successiva che ci collegheremo allo
stesso motore di ricerca sarà individuata questa nostra propensione e saremo
accolti da appositi banner. Allo stesso modo, la navigazione tra alcune pagine
del sito di una società commerciale può dare informazioni sufficienti per
individuare le preferenze dal navigatore che, di conseguenza, al successivo
collegamento può trovarsi nella pagina iniziale un banner attinente
all’argomento dell’ultima visita o un link ad eventuali aggiornamenti di quelle
pagine. Utilizzando un cookie è quindi possibile anche effettuare una sorta di
ricerca di mercato, il che è di notevole interesse per coloro che inseriscono
banner nei siti Web e per i Web merchants.
6.
Gestione di un sito : i cookies servono inoltre a chi si occupa della gestione
e dell’aggiornamento di un sito per capire in che modo avviene la visita degli
utenti, ovvero che tipo di percorso fanno all’interno del sito, e soprattutto se
ritornano sul sito dopo una prima visita e quanto spesso. Questo permette
loro di rendere più attraente il sito, proponendo soltanto ciò che i visitatori
desiderano vedere e non quello che non è di loro interesse.
Pagina 2
• QUALI INFORMAZIONI POSSONO FORNIRE :
I cookies sono un piccolo documento della visita dell’utente in un particolare sito
e possono fornire al server soltanto poche informazioni :
- numero ID (che identifica l’utente);
- durata e le modalità (links visitati e percorso effettuato) dell’ultima visita a
quel sito Web;
- qualsiasi altra informazione l’utente abbia dato volontariamente (es. password o
indirizzo e-mail).
Qualsiasi altra informazione sul visitatore come :
- sistema operativo che utilizza;
- tipo e la versione del browser;
- indirizzo dell’ultimo sito Web visitato;
Può essere conosciuta dal sito Web anche senza usare il cookie !
Per esempio basta visitare i seguenti siti :
- www.anonymizer.com/cgi-bin/snoop.pl;
- www.junkbusters.com/cgi-bin/privacy;
- www.privacy.net/analyze.
 DIFESA DELL’UTENTE :
Con il diffondersi del movimento anti-cookies, Netscape e Microsoft hanno
aggiornato i loro browser inserendo un piano di difesa. Entrambi i browser
infatti, nelle loro più recenti versioni, permettono di controllare e monitorare
l’invio e la ricezione dei cookies:
 Microsoft Internet Explorer 4.0 permette di impostare la gestione dei
cookies tramite la voce Opzioni Internet….dal menù Visualizza; nella scheda
Avanzate sono previste tre possibilità :
1. Accetta sempre i cookies
(default);
2. Avvisa prima di accettare
i cookies;
3. Disattiva l’utilizzo di tuti i
cookies
Pagina 3
 Netscape Navigator 4.0 permette di effettuare le analoghe impostazioni tramite
la voce Preferenze…. del menù Edit, nella sezione Avanzate della finestra che viene
visualizzata.
La configurazione di default dei due browser prevede di accettare tutti i cookies, pertanto gli
utenti dovranno attivarsi se intendono gestirli diversamente; quindi se essi scelgono la terza
possibilità saranno avvertiti ogni volta che un sito invia un cookie; per poter scegliere se
accettarlo o rifiutarlo.
Cancellare i cookies :
Gli utenti, inoltre, possono cancellare i cookies già registrati, che possono trovare in una
directory diversa a seconda del tipo di browser :
gli utilizzatori di Netscape Navigator possono cancellare il file cookies.txt registrato
(solitamente) nella directory Programmi > Netscape;

gli utilizzatori di Internet Explorer troveranno i rispettivi cookies all’interno della
directory Cookies nella directory Windows.

Esistono infine, dei software che permettono una gestione più avanzata e selettiva dei
cookies, consentendo ad esempio di accettarli automaticamente solo da determinati siti o di
effettuare cancellazioni selettive dei cookies stessi:
Per Windows : Cookie Cruncher (per Windows), Cookie Master;
Per Macintosh: Cookie Cruncher (per Mac), Cookie Cutter.
Pagina 4
BACKDOORS
“Porta di servizio”, programmi con particolari caratteristiche che permettono di
accedere alla macchina dall’esterno con privilegi di amministratore, senza che nessun
altro utente ne venga a conoscenza.
Le backdoors più conosciute sono Back Orifice, NetBus e TeleCommando, ma ce ne
sono ancora altre. La backdoor più famosa in assoluto è Back Orifice (nel seguito :
BO). BO, il cui nome irride il pacchetto Back Office di Microsoft, è stato creato da un
gruppo di hacker noto come CDC, ossia Cult of the Dead Cow (il culto della mucca
morta), http://www.cultdeadcow.com.
Esso è stato creato per mettere in evidenza le lacune di Windows 9x per quello che
riguarda la sicurezza e, purtroppo, allo stato attuale sembra non sia neanche
perseguibile legalmente, poiché esso, ufficialmente, è definito come un "programma di
controllo a distanza". Per tale motivo gli autori di BO hanno potuto perfino mostrare
alla stampa il loro "prodotto" (esattamente ciò avveniva nell'estate del 1998) in segno
di protesta contro la Microsoft.
Esso per l'installazione sfrutta un programma che si chiama SilkRope.
Tale tool unisce due eseguibili a 32 bit in un unico file eseguibile e, nel momento in cui
si lancia quest'unico eseguibile, in realtà si lanciano entrambi gli eseguibili in esso
incapsulati. Appena installato, BO copia il file con cui è riuscito ad entrare nella
directory system di Windows con il nome .exe e, a meno che non sia stato configurato
in modo differente, esso si mette in "ascolto" sulla porta 31337. Da quel momento il
computer è un server BO. Ciò significa che, quando si è connessi in rete, un eventuale
client può chiedere lo svolgimento di un qualche servizio al server, cioè al computer
vittima. Perché ciò avvenga basta che chi manovra il client conosca alcune
informazioni: l’indirizzo IP, la porta ove BO è in ascolto (per default, come si diceva, è
la 31337) ed, eventualmente, la password usata per cifrare i pacchetti UDP. Infatti la
comunicazione fra client e server di BO avviene mediante pacchetti UDP.
UDP sta per User Datagram Protocol, ed è un protocollo che permette l’interscambio
di pacchetti di informazioni anche senza che il mittente ed il destinatario si siano
esplicitamente connessi fra loro (come invece avviene usando il protocollo TCP). I
pacchetti possono essere cifrati, con una password scelta a piacere. Ma tale password
non è detto che ci sia, pertanto il lavoro per l'hacker può anche essere ridotto al
conoscere soltanto l’indirizzo IP. Il client può chiedere al server una serie di possibili
operazioni, più o meno innocue. Si può infatti visualizzare o cancellare un qualunque
file, conoscere tutte le password che vengono digitate intercettando la tastiera
(funzione effettuata dal file windll.dll, che è una libreria di BO), memorizzare in un
file tutti i tasti premuti (tranne quelli premuti in finestre DOS), ottenere copie dello
schermo, bloccare il PC, riavviarlo, eseguire e chiudere applicazioni, far apparire
messaggi sullo schermo e tante altre cose che potrebbero essere di sicuro utili per il
controllo remoto del sistema a persone che, per lavoro, operano fuori sede e hanno
spesso bisogno di informazioni presenti sul PC che hanno a casa o in ufficio. Pertanto
di sicuro BO potrebbe essere utilizzato per tale scopo.
Pagina 5
Il problema sorge quando BO viene installato senza che l’utente se ne accorga da
parte di qualche malintenzionato che vuole accedere ad informazioni riservate. Già
lo stesso nome "Back Orifice" non fa passare inosservato tale pacchetto, ma anche
il fatto che esso viene subdolamente chiamato .exe fa pensare che esso non sia un
applicativo troppo legale. Eppure esso non può essere definito illegale proprio
perché pubblicizzato come applicazione per il controllo remoto, cosa del tutto
legale.
Quindi BO c'è, è una realtà e non possiamo neanche considerarlo illegale, e tanto
meno possiamo fare nulla per limitarne la diffusione. Allora dobbiamo
semplicemente fare attenzione a che esso non entri nel sistema. In pratica : o
dobbiamo prevenire l'installazione indesiderata di BO o, qualora esso sia già
presente nel sistema, si deve cercare di rimuoverlo. Per prevenire, come al solito, è
necessario usare dei buoni antivirus aggiornati. Vediamo piuttosto come
identificare e rimuovere BO, mentre per NetBus e TeleCommando viene data una
regola generale per l'individuazione , rimandando ad altri documenti, presenti in
rete le istruzioni per la rimozione. Per scoprire se il computer funge da server BO
si consiglia di usare un programma, AVP System Watcher (http://www.avp.it,
freeware), che controlla il sistema alla ricerca di BO. Una tecnica alternativa
potrebbe essere quella di eseguire il comando netstat -na mentre si è collegati e
vedere se c'è qualche connessione sulla porta 31337 ad opera di BO. Si ricorda,
comunque, che la porta 31337 è la porta di default, ma può cambiare. Una volta che
si è accertata la presenza di BO, è necessario rimuoverne il "motore", cioè il file
.exe.
Giacché tale nome può essere variato, sarebbe conveniente andare nel registro di
Windows e controllare le chiavi di registro :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunServicesOnce
dove ci sono i programmi lanciati all'avvio di Windows. Se si notano stringhe
sospette, occorre cancellarle. Per poter scoprire la presenza di un programma
client/server in generale, un metodo e' quello di installare il client e provare a
contattare il server, dando l'indirizzo IP 127.0.0.1 (localhost). Se il client ottiene
una risposta, essa è opera di un server sulla macchina e pertanto è opportuno
rimuoverlo.
Pagina 6
UNA VULNERABILITÀ DI OUTLOOK
Microsoft Outlook è probabilmente il più utilizzato client di posta
elettronica, essendo molto pratico e comodo. Il programma ha registrato
ultimamente problemi di sicurezza, risolti da Microsoft con opportune
“security patch”.
Poco tempo fa in Internet era stata scoperta una vulnerabilità
denominata: “Scriptlet.Typelib”. Quel worm aveva provocato allarme in
rete, ma prontamente era stata distribuita l'opportuna patch.
Ora ne è stata scoperta un'altra: la "Malformed E-mail Header", che
consente ad un utente malintenzionato di inviare una mail con un formato
speciale ad una vittima che, scaricando dal server tale mail, darebbe il
controllo del sistema all'utente malintenzionato. La
causa di tale
vulnerabilità è la libreria inetcomm.dll, che ha un buffer che può andare in
overrun per header della mail troppo lungo e questo può essere sfruttato
da un utente malintenzionato per eseguire codice non autorizato sul pc
vittima. Questo accade solo per protocolli POP3 (post office protocol
ver.3) o IMAP4 (internet mail access protocol ver.4). Mentre se si usano
solo servizi MAPI (mail application programming interface) non si risente
di questa vulnerabilità. La Microsoft ha diffuso una patch contro tale
vulnerabilità. Tale patch la si può trovare all'url:
www.microsoft.com/windows/ie/download/critical/patch9.htm
Le versioni di Outlook con tale vulnerabilità sono:
Microsoft Outlook Express 4.0
Microsoft Outlook Express 4.01
Microsoft Outlook Express 5.0
Microsoft Outlook Express 5.01
Microsoft Outlook 97
Microsoft Outlook 98
Microsoft Outlook 2000
Mentre Outlook Express 5.5 non ne risente ed infatti Microsoft ha
raccomandato di aggiornare la propria versione di Outlook Express alla
5.5 .
Pagina 7
ANALISI DEL WORM.NIMDA
Si tratta di un nuovo worm che si diffonde via Internet tramite e-mail infette, copiando se
stesso in cartelle condivise su rete locale e tramite siti Web che montano una versione di
IIS (Internet Information Services) vulnerabile a un certo tipo di attacco (vedere Pag.
10). Il worm e' in grado di infettare anche i file EXE come un virus: i file originali vengono
rimpiazzati da una copia del worm, che inserisce l'originale all'interno della propria tavola
delle risorse.
Tale worm è costituito da un programma a 32 bit di tipo PE (Portable Executable) per
Windows di circa 57 KB di lunghezza, scritto con il Visual C++ di Microsoft.
Al fine di esssere eseguito automaticamente dai messaggi di posta elettronica infetti, il
worm sfrutta una vulnerabilità nella sicurezza di Internet Explorer. Una volta lanciato sul
sistema, il worm esegue la propria routine di diffusione e si installa nel sistema.
Il worm contiene nel proprio codice la seguente stringa:
Concept Virus(CV) V.5, Copyright(C)2001 R.P.China.
Installazione
Quando il worm entra nel sistema, copia se stesso nelle seguenti cartelle:
- nella cartella Windows usando il nome MMC.EXE
- nella cartella di sistema di Windows con il nome RICHED20.DLL (sovrascrivendo così il
file RICHED20.DLL originale) e con il nome LOAD.EXE
Quest'ultimo file viene registrato all'interno del file SYSTEM.INI, al fine di essere
eseguito automaticamente all'avvio del sistema. La modifica apportata al file SYSTEM.INI
è la seguente:
shell=explorer.exe load.exe -dontrunold
[boot]
Inoltre, il worm copia se stesso nella cartella temporanea di Windows, usando nomi casuali:
MEP*.TMP e MA*.TMP.EXE. Ad esempio:
mepE004.TMP
mep01A2.TMP
mep1A0.TMP.exe
mepE002.TMP.exe
mepE003.TMP.exe
I file EXE (compreso il file LOAD.EXE) possiedono gli attributi nascosto e sistema.
A questo punto il worm esegue le routine di diffusione e di payload. A seconda della
versione di Windows, il worm modifica il processo di EXPLORER.EXE e può eseguire le sue
routine come un thread (processo leggero) confondendosi.
Pagina 8
Diffusione via e-mail:
Il worm, per infettare i messaggi, usa connessioni SMTP dirette (cioè non impiega
i client di posta elettronica). Per ottenere gli indirizzi e-mail dove spedire se
stesso, il worm deve impiegare due sistemi di ricerca:
1. scansione di file *.HTM e *.HTML
2. uso dei servizi MAPI (Messaging API) per connettersi ai client e-mail
configurati come MAPI server al fine di ottenere gli indirizzi di posta elettronica.
I messaggi infetti hanno formato HTML e si presentano in questo modo:
Oggetto:vuoto o generato casualmente
Corpo del messaggio: vuoto
Allegato: README.EXE
Il contenuto del campo oggetto, quando presente, viene prelevato dal nome di un
file selezionato casualmente dalla cartella il cui percorso è memorizzato in una
chiave nel Registro di sistema:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell
Folders\Personal
che di norma contiene il percorso della cartella "Documenti“.
Per essere eseguito automaticamente dai messaggi infetti, il worm usa la
vulnerabilità di sicurezza IFRAME, descritta da Microsoft nel seguente
bollettino:
Microsoft Security Bulletin (MS01-020): Incorrect MIME Header Can Cause IE
to Execute E-mail Attachment
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
Per prelevare la patch:
http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp
Pagina 9
Diffusione tramite rete locale/Internet :
il worm effettua una scansione dei drive locali e remoti presenti sulla rete usando diversi
metodi e infettando tutte le cartelle alle quali può accedere.
1. Il worm crea dei file .EML (nel 95% dei casi) o dei file .NWS (nel restante 5% dei casi)
che hanno nomi generati casualmente. I file EML e NWS creati dal worm sono molto
numerosi e in una rete locale se ne possono trovare a migliaia. Questi file contengono la
copia del worm in formato e-mail: un messaggio in HTML con il worm codificato sotto forma
di allegato MIME creato per sfruttare la vulnerabilità IFRAME descritta sopra. Su una
macchina vulnerabile, la semplice anteprima del messaggio può far eseguire
automaticamente il worm.
2. Il worm effettua una ricerca per una serie di combinazioni di nomefile+estensione:
*DEFAULT*, *INDEX*, *MAIN*, *README* + .HTML, .HTM, .ASP
(*NOME* significa che possono esistere delle sottostringhe nel nome del file).
Nel caso vengano trovati tali file, all'interno dei loro percorsi (file path) il worm crea una
copia di se stesso in formato e-mail usando il nome README.EML e appendendo alla fine del
file vittima (HTML o ASP) un programma in Javascript che ha il compito di aprire il file
README.EML quando viene letto il file HTML/ASP infettato, il tutto al fine di attivare il
worm sulle macchine vulnerabili.
E' importante notare che attraverso questa tecnica il worm può infettare delle pagine Web
e diffondersi nei computer di chi visita il sito Web infettato, se il browser del visitatore è
una versione di Internet Explorer che presenta la vulnerabilità IFRAME.
Diffusione attraverso attacco a IIS (Internet Information Server) :
Il worm effettua una scansione su indirizzi IP, ricercando dei server IIS che presentano
una vulnerabilità di sistema conosciuta come Web folder transversal vulnerability (usata
anche dal worm CodeBlue) e li infetta inviando una richiesta GET creata ad hoc. Attraverso
questa tecnica il worm ha l'effetto di inizializzare una sessione TFTP per inviare il file
ADMIN.DLL sulla macchina da infettare. Una volta memorizzato, il file ADMIN.DLL viene
eseguito provocando l'infezione del computer.
La patch di Microsoft utile all'eliminazione di questa vulnerabilita' puo' essere prelevata al
seguente indirizzo:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/
bulletin/MS01-044.asp
Pagina 10
La routine del payload :
Il worm crea delle condivisioni (share) per ogni drive locale usando la stringa %$
(dove % sta per il nome di ogni drive che viene condiviso). Sui sistemi Windows
9x/ME la condivisione viene configurata come full (lettura/scrittura) senza
password. Sui sistemi Windows NT/2000 all'account GUEST viene dato il
permesso di accedere alle share e viene aggiunto al gruppo ADMINISTRATORS e
GUESTS. Per la creazione di queste share è richiesto il riavvio del sistema.
Microsoft ha rilasciato un advisor riguardante l'applicazione delle patch utili per
eliminare le vulnerabilità di sistema sfruttate dal worm Nimda:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/
topics/Nimda.asp
Pagina 11
Pretty Good Privacy (PGP) di Phil Zimmerman è il programma di crittografia per
eccellenza.
Lo scopo principale di PGP é quello di permettere la trasmissione cifrata di messaggi di
posta elettronica e l’autentificazione degli utenti, attraverso Internet. In realtà le
operazioni possibili sono molteplici.
Il PGP utilizza due algoritmi di crittografia: il sistema a chiavi pubbliche RSA e quello
a chiavi private IDEA.
Il suo funzionamento é molto semplice: ammettiamo che l'utente A voglia spedire
all'utente B un messaggio. PGP cifra tale messaggio utilizzando l'IDEA e una chiave K
generata casualmente. Occorrerà spedire all'utente B la chiave K da utilizzare per
decifrare il messaggio (ricordiamo che l'IDEA é un algoritmo che utilizza la stessa
chiave per cifrare e decifrare il messaggio).
Il PGP risolve brillantemente il problema utilizzando l'RSA. L'utente A, infatti,
inserisce la chiave K nel messaggio cifrandola con la chiave Pubblica di B. In questo
modo solo B può, con la propria chiave Privata, recuperare la chiave K ed usarla per
leggere il resto del messaggio criptato con l'IDEA.
In teoria, si sarebbe potuto utilizzare direttamente l'RSA per cifrare l'intero
messaggio. In pratica però, la complessità dell'RSA é troppo elevata per permetterne
un uso intenso (i file da cifrare potrebbero essere molto lunghi), soprattutto se messo
in relazione con l'IDEA. Il sistema di cifratura IDEA-RSA di PGP é riassunto da
questo schema :
L'RSA, per come é stato definito, permette un'altra importante operazione :
l'autenticazione dell’utente. Se il messaggio viene cifrato utilizzando la chiave privata
S invece della chiave pubblica P, si ottiene un messaggio criptato che può essere
decriptato utilizzando soltanto la chiave pubblica P. Ma allora, se solo chi é in possesso
di S può aver cifrato il messaggio, possiamo star tranquilli che il messaggio é
autentico. E' come se l'autore del messaggio, cifrandolo con S, lo avesse firmato.
PGP prevede comunque la creazione di archivi pubblici elettronici che contengano le
chiavi pubbliche dei vari utenti. E' importante che si dia la massima diffusione alla
propria chiave pubblica, perché ciò evita che l'analista C possa frapporsi tra A e B
spedendo ad entrambi la propria chiave pubblica e facendo credere loro che si tratti
invece della chiave pubblica di A o di B. In questo modo C sarebbe in grado di
intercettare e leggere ogni messaggio spedito da A a B e viceversa.
Pagina 12
HOAX
(Falsi allarmi, scherzi e "catene di S. Antonio" via e-mail)
Da quando la posta elettronica si è affermata come uno dei principali strumenti di
comunicazione, è diventato frequente ricevere da amici o parenti comunicazioni e-mail
nelle quali si parla di fantomatici virus dalle potenzialità enormemente distruttive,
oppure di possibilità di ricevere omaggi od ottenere guadagni facili, semplicemente
inoltrando il messaggio stesso a più persone possibili. Nel 99% dei casi si tratta di
cosiddette hoax, che significa appunto "scherzo, burla".
Alcune volte il messaggio è solo oggetto di divertimento; tuttavia, molto più spesso
queste false comunicazioni inducono chi le riceve ad inoltrare in buona fede l'e-mail,
propagando così lo scherzo e generando una vera e propria "catena di S. Antonio". La
diffusione avviene sempre a mezzo di spedizioni "di massa" del messaggio il
quale, in genere, viene inviato a tutte le persone incluse nell'address book del
programma di posta elettronica; se la propagazione dell'hoax diviene eccessiva, si
hanno con grande
probabilità seri problemi di traffico e-mail, con eventuali
rallentamenti del servizio che causano quindi disagi a tutti quanti, senza che ci sia
alcun motivo valido. In questa sezione sono state raccolte le e-mail hoax che circolano
più spesso, cercando di includerne (quando possibile) la versione italiana. I messaggi
infatti solitamente vengono dall'estero e sono prontamente tradotti in italiano da
persone in buona fede o, forse, da "simpatici" burloni che si divertono a diffondere
falsi allarmi, senza sapere che anche loro stessi possono trarne noie.
Nell'archivio si troveranno solo le hoax relative a falsi allarmi di virus, false
comunicazioni di concorsi, vendite, omaggi o spedizioni monetarie di qualsiasi genere,
nonché comunicazioni riguardanti
falsi siti Internet o false petizioni. Non si
troveranno le varie
"leggende metropolitane" in circolazione; per quelle
rimandiamo ad altri siti specializzati, come UrbanLegends.com. La lista è in ordine
alfabetico; il nome dell'hoax ricalca più o meno il contenuto o l'argomento principale
dell'e-mail:
BadTimes Hoax
Be My Valentine Hoax
BonsaiKitten Hoax
Cancer Chain Letter
"Help" Hoax
I'm Your Shadow Hoax
Sistema di tracciamento e-mail Microsoft
SULFNBK.EXE Virus Hoax
Tre Nuovi Virus
Upgrade Internet 2
Virtual Card For You Hoax (Virus "Settore Zero")
Se si riceve un’e-mail sospetta, non presente tra quelle
appena elencate, e si ritiene che si tratti di un’hoax, inviarla
a noi.
Ogni nuova segnalazione è benvenuta.
Pagina 13
LE VENTI VULNERABILITA’ PIU’ CRITICHE
PER LA SICUREZZA IN INTERNET
(SECONDA PARTE)
G3 - Backup inesistenti o incompleti
G3.1 Descrizione:
Dopo il verificarsi di un incidente, per ritornare alle condizioni preesistenti sono
necessari backup aggiornati e metodi di ripristino dei dati di provata efficacia. Alcune
organizzazioni effettuano backup quotidiani, ma non verificano mai il loro effettivo
funzionamento. Altre invece creano policy e procedure per i backup, senza però
definire policy e procedure per il ripristino dei dati. Spesso tali mancanze vengono
evidenziate solamente dopo che i dati sono già stati distrutti o danneggiati da hacker
che si sono introdotti nei sistemi. Un secondo problema è dato dalla scarsa protezione
fisica dei supporti di backup. I backup contengono le stesse informazioni sensibili
presenti sul server, e quindi devono essere protetti in modo analogo.
G3.2 Sistemi interessati:
Tutti quei sistemi considerati “importanti”.
G3.3 Lista CVE (Common Vulnerabilities and Exposures):
Non applicabile.
G3.4 Come determinare se si è vulnerabili:
Deve essere creato un inventario di tutti i sistemi di importanza "critica". Deve
essere poi effettuata per ogni sistema un'analisi dei rischi e delle minacce
corrispondenti. Le policy e le procedure per il backup devono fare chiaro riferimento a
questi sistemi chiave. Dopo aver verificato i sistemi, è necessario verificare se:
1. Esistono procedure di backup per questi sistemi?
2. L'intervallo di backup è accettabile?
3. Il backup di ciascun sistema è effettuato secondo le procedure?
4. I supporti di backup sono stati controllati per garantire che i dati vengano salvati
correttamente?
5. I supporti di backup sono adeguatamente protetti sia all'interno dei locali sia
mediante servizi di archiviazione esterni?
6. Le copie dei sistemi operativi e delle utility per il ripristino (inclusi i codici per le
licenze) sono archiviate in sedi diverse?
7. Le procedure di ripristino sono state verificate e approvate?
Pagina 14
G3.5 Come proteggersi:
I backup devono essere effettuati con cadenza almeno settimanale. Il requisito per la
maggior parte delle organizzazioni potrebbe essere quello di effettuare un backup completo
ogni settimana e backup incrementali ogni giorno. Almeno una volta al mese il supporto di
backup deve essere verificato effettuando un ripristino su un server di prova per controllare
che la procedura utilizzata sia corretta. Alcuni enti effettuano backup completi ogni giorno
oppure diversi backup incrementali durante tutto l'arco della giornata. Le soluzioni di backup
di massimo livello sono costituite da reti totalmente ridondanti con capacità di recupero degli
errori (fail-over).
G4 - Numero elevato di porte aperte
G4.1 Descrizione:
Sia gli utenti legittimi, che gli intrusi, si connettono ai sistemi attraverso le porte aperte. Più
sono le porte aperte più possibilità vengono offerte a chi voglia collegarsi al sistema. È quindi
importante lasciare aperto solo il minimo numero di porte indispensabile perché il sistema
funzioni correttamente. Tutte le altre porte devono essere chiuse.
G4.2 Sistemi interessati:
La maggior parte dei sistemi operativi.
G4.3 Lista CVE:
(Nota: la lista sottostante non è una lista completa o esaustiva. Contiene solo esempi di alcune
delle vulnerabilità appartenenti alla categoria in questione).
CVE-1999-0189,
CVE-1999-0675,
CVE-2000-0179,
CVE-2000-0558,
CVE-1999-0288,
CVE-1999-0772,
CVE-2000-0339,
CVE-2000-0783,
CVE-1999-0351,
CVE-1999-0903,
CVE-2000-0453,
CVE-2000-0983
CVE-1999-0416,
CVE-2000-0070,
CVE-2000-0532,
G4.4 Come determinare se si è vulnerabili:
In locale può essere eseguito il comando netstat per determinare quali porte siano aperte, ma
un metodo più sicuro è dato dall'analisi del sistema effettuata con uno scanner esterno per
l'analisi delle porte. L'operazione fornirà l'elenco di tutte le porte in ascolto. Se i risultati di
netstat differiscono da quelli dati dall'analisi delle porte, si dovrà ricercarne il motivo.
Quando i due elenchi coincidono, è necessario verificare il motivo per il quale ogni singola
porta sia aperta e quale servizio sia in esecuzione su ciascuna porta. Le porte aperte che non
possono essere verificate o la cui apertura non è giustificata devono essere chiuse. L'elenco
definitivo deve essere salvato e utilizzato per effettuare procedure di controllo e verifiche
periodiche per evitare la presenza di porte estranee aperte.
Pagina 15
Tra i tanti scanner per l'analisi delle porte, il più diffuso è nmap. La versione per Unix
di nmap è disponibile presso: http://www.insecure.org/nmap/. Questa versione può
essere compilata anche su sistemi NT. La versione NT di nmap è disponibile presso:
http://www.eeye.com/html/Research/Tools/nmapnt.html. Si possono impiegare senza
problemi anche port scanner diversi da quelli elencati. Indipendentemente dallo scanner
utilizzato, SI DEVE effettuare la scansione sia delle porte TCP che delle porte UDP
per l'intero campo di distribuzione: 1-65.535.
Prima di effettuare scansioni complete delle porte sui sistemi all'interno di
un'organizzazione, si dovrà ricevere l’autorizzazione del responsabile. Alcuni sistemi
operativi, e in particolare i dispositivi con stack TCP/IP incorporati, possono presentare
comportamenti imprevedibili se sottoposti a scansione. Se non viene dato alcun
preavviso, la scansione può anche attivare sistemi interni di rilevazione delle intrusioni
o firewall e può essere interpretata come un attacco vero e proprio.
G4.5 Come proteggersi:
Dopo aver determinato quali porte sono aperte, è necessario identificare il
sottoinsieme minimo di porte che dovranno rimanere aperte affinché il sistema funzioni
in maniera efficace, e quindi chiudere tutte le altre porte. Per chiudere una porta
trovate il servizio corrispondente e disattivarlo o rimuoverlo.
Nei sistemi Unix molti servizi sono controllati da inetd e dal corrispondente file di
configurazione inetd.conf. Inetd.conf elenca i servizi in ascolto su una determinata
porta e può essere spesso utilizzato per chiudere le porte stesse. La rimozione di un
servizio da inetd.conf e il successivo riavvio di inetd fa in modo che la porta non sia più
aperta. Altri servizi sono avviati da script eseguiti durante la fase di avvio (come ad
esempio /etc/rc, /etc/rc.local, o gli script contenuti nelle cartelle /etc/rc*). Dal
momento che i dettagli per la disattivazione degli script variano a seconda della
versione di Unix, si deve consultare la documentazione del sistema per le specifiche
modalità di disattivazione. Per controllare e verificare le porte aperte sui sistemi Unix
si può utilizzare anche un programma chiamato lsof. Lsof può essere scaricato da:
ftp://vic.cc.purdue.edu/pub/tools/UNIX/lsof/lsof.tar.gz.
In Windows NT e 2000, per determinare i servizi/programmi in ascolto su una
determinata porta, può essere utilizzato un programma chiamato fport
(www.foundstone.com). In Windows XP, si può determinare quale programma sia in
ascolto su una porta eseguendo il comando netstat con l'opzione -o. Le informazioni così
ottenute consentiranno di disabilitare il servizio e, di conseguenza, di chiudere la porta.
Pagina 16