STATO MAGGIORE DIFESA
Reparto Informazioni e Sicurezza
Ufficio Sicurezza Difesa
BOLLETTINO
DI
SICUREZZA
INFORMATICA
N°4/2002
FOCUS ON….: - W32.BUGBEAR@MM.
Pag. 1
SISTEMI APPLICATIVI: - USO DELLA POSTA ELETTRONICA :
L’importanza del campo BCC/CCN nei programmi di posta elettronica. Pag.4
SISTEMI OPERATIVI : - SPYWARE
Pag.9
SICUREZZA DELLA RETE: - LE VENTI VULNERABILITA’ PIU’ CRITICHE
PER LA SICUREZZA IN INTERNET
(TERZA PARTE).
Pag.16
PER CONTATTI : TEL. 06/46917156 – FAX 06/36000904
E-MAIL : [email protected]
W32.Bugbear@mm
A causa dell’aumento dei pc infettati da questo worm, scoperto il 30 settembre 2002,
il Symantec Security Response ha modificato il suo livello di gravità, portandolo da 3 a
4. Si tratta di un mass-mailing worm, ovvero di una minaccia che si distribuisce su
vasta scala tramite posta elettronica. Questo worm può propagarsi su condivisioni di
rete, può memorizzare ciò che viene digitato per mezzo di tastiera, può avere
funzionalità di backdoor, può tentare di interrompere i processi di numerosi programmi
antivirus e firewall. E’ possibile che il worm, non consente di gestire correttamente i
vari tipi di risorse di rete, per esempio impedisce l’uso corretto della stampante
creando così stampe sbagliate o comunque compromettendo il normale funzionamento.
Tipo:
Worm
Linguaggio:
Microsoft Visual C++ 6 - compresso mediante UPX v0.76.1-1.22
Altri nomi:
W32/Bugbear-A [Sophos], WORM_BUGBEAR.A [Trend],
Win32.Bugbear [CA], W32/Bugbear@MM [McAfee],
I-Worm.Tanatos [AVP], W32/Bugbear [Panda], Tanatos
[F-Secure]
Lung. infezione:
50.688 bytes
SO minacciati:
Windows 95, Windows 98, Windows NT, Windows 2000,
Windows XP, Windows ME
SO non minacciati: Macintosh, Unix, Linux
Riferimenti CVE:
CVE-2001-0154
N O T I Z I E
T E C N I C H E
Quando
è
in
esecuzione,
W32.Bugbear@mm
si
riproduce
come
file
%system%\????.exe, dove ? rappresenta una qualsiasi lettera dell’alfabeto, a scelta
del virus.
NOTE: %system% è una variabile. Il worm individua la cartella di sistema e vi si
insedia. Per impostazione predefinita tale cartella si trova sul percorso
C:\Windows\System (in Windows 95/98/ME), C:\Winnt\System32 (in Windows
NT/2000) e C:\Windows\System32 (in Windows XP).
Il worm si autoreplica sulla cartella\Esecuzione automatica, come file ???.exe, dove ?
rappresenta una qualsiasi lettera dell’alfabeto, a scelta del virus.
Ad esempio, può riprodursi:
•
•
come file C:\Windows\Avvio\Programmi\Esecuzione Automatica\Cuu.exe o
Cua.exe se eseguito su un sistema operativo di tipo Windows 95/98/Me,
oppure
come file C:\Documents and Settings\<nome utente in uso>\Menu avvio\
Programmi\Esecuzione automatica\Cti.exe se eseguito su un sistema
operativo di tipo Windows NT/2000/XP.
Pagina 1
W32.Bugbear@mm crea tre file .dll criptati all’interno della cartella %system% e due
file .dat criptati all’interno della cartella %windir%. Uno dei file .dll creati dal worm
viene utilizzato per installare procedure di “aggancio” all’interno di una catena, allo
scopo di controllare il sistema e registrare i messaggi inviati mediante tastiera e
mouse. Le procedure di aggancio con la tastiera elaborano i messaggi ed inoltrano le
informazioni al successivo anello della catena di aggancio. E’ così che il worm può
intercettare i segnali provenienti dalla digitazione sulla tastiera. Il file .dll installato ha
una dimensione di 5.632 byte e viene rilevato dagli antivirus Symantec con il nome di
PWS.Hooker.Trojan.
I file che non vengono rilevati dall’antivirus non sono pericolosi, ma vengono utilizzati
dal worm per registrare le informazioni di configurazione interna, sotto forma criptata.
Eliminare manualmente anche questi file. Il worm potrebbe, ad esempio, creare i
seguenti file:
•
%system%\Iccyoa.dll
•
%system%\Lgguqaa.dll
•
%system%\Roomuaa.dll
•
%windir%\Okkqsa.dat
•
%windir%\Ussiwa.dat
NOTE: %windir% è una variabile. Il worm individua la cartella Windows (che per
impostazione predefinita si trova sul percorso C:\Windows oppure C:\Winnt) e crea dei
file su questa cartella.
Crea il seguente valore:
<lettere a caso> <nome file del worm>
nella seguente chiave di registro
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunOnce
NOTA: il sistema operativo elimina di norma i valori contenuti in questa chiave, non
appena i programmi a cui essi si riferiscono vengono eseguiti all’avvio. Il worm, in questo
caso, ricrea il valore ogni volta, così che ad ogni avvio di Windows esso viene eseguito.
Tra i thread creati dal worm, il più significativo è un backdoor: apre la porta 36794 e
attende istruzioni dall’hacker. Grazie a tali istruzioni il worm è in grado di:
•
Eliminare file
•
Interrompere processi
•
Compilare un elenco di processi e inoltrarlo all’hacker
•
Copiare file
•
Avviare processi
•
Compilare un elenco di file e inoltrarlo all’hacker
•
Inviare all’hacker (sotto forma criptata) le informazioni digitate
dall’utente mediante tastiera. Alcune di queste informazioni possono
essere strettamente riservate, come password, login, ecc.
•
Inviare all’hacker informazioni sul sistema, nel seguente formato:
Pagina 2
o
o
o
o
o
o
User: <nome utente>
Processor: <tipo di processore utilizzato>
Windows version: <versione di Windows, numero di build>
Memory information: <quantità di memoria disponibile,
ecc.>
Unità locali e di che tipo (dischi rigidi/rimuovibili/dischi
RAM/CD-ROM, ecc.), nonché le loro caratteristiche
fisiche
Compilare un elenco dei vari tipi di risorse di rete e
inviarlo all’hacker.
Se il sistema operativo in uso è Windows 95/98/Me, il worm cerca di ottenere
l’accesso alla cache delle password. Le password contenute nella cache sono, ad
esempio, le password di accesso remoto, quelle relative agli indirizzi URL, quelle
condivise e molte altre. Il worm può accedere a tali password grazie ad una funzione
non documentata ufficialmente chiamata WnetEnumCachedPasswords, che esiste solo
nelle versioni per Windows 95/98/Me nel file Mpr.dll.
Le istruzioni che l’hacker può inviare al worm insediato all’interno del computer
consentono inoltre alla componente Trojan Horse del worm di trasmettere dati
tramite la porta 80 http. Il risultato di questa attività di accesso per backdoor può
apparire sotto forma di pagine HTML. Così, risulta molto semplice per l’hacker
osservare quali sono le risorse del computer infetto.
Un altro thread distribuisce il worm all’interno della rete. A questo scopo il worm
compila un elenco di tutte le risorse della rete; se rileva delle condivisioni
amministrative aperte tenta di replicarsi nella cartella Esecuzione automatica del
computer remoto. Ciò comporta il diffondersi dell’infezione fra i computer rete non
appena questi vengono riavviati.
Poiché il worm non gestisce correttamente i vari tipi di risorse di rete è possibile che
ingombri le risorse della stampante, provocando stampe sbagliate o comunque
compromettendo il normale funzionamento della stampante.
R I M O Z I O N E
La rimozione può avvenire tramite lo strumento di rimozione perW32.Bugbear@mm
Si tratta della modalità di rimozione più semplice: sono stati creati due strumenti di
rimozione specifica; per scaricarli cliccare su :
http://securityresponse.symantec.com/avcenter/FxBgbear.exe);
http://download.nai.com/products/mcafee-avert/stingersetup.exe .
E’ possibile anche operare una rimozione manuale, i cui passaggi principali sono i
seguenti:
NOTA: queste istruzioni sono valide per tutti gli antivirus Symantec, compresi i
prodotti delle linee Symantec AntiVirus e Norton AntiVirus.
1.
Aggiornare le definizioni dei virus
2.
Riavviare il computer in Modalità provvisoria
3.
Operare una scansione completa del sistema ed eliminare tutti i file
rilevati con il nome di W32.Bugbear@mm
4.
Eliminare il valore che il worm ha aggiunto alla chiave di registro
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current
Version\RunOnce
Pagina 3
USO DELLA POSTA ELETTRONICA :
L’IMPORTANZA DEL CAMPO BCC/CCN NEI PROGRAMMI DI
POSTA ELETTRONICA
Che cosa è il campo Bcc/Ccn?
I programmi di posta elettronica dispongono di tre distinti campi nei qual specificare
l'indirizzo dei destinatari dei singoli messaggi.
Il primo è il campo "Indirizzo", contraddistinto spesso dall'indicazione "A:" (in inglese: "To:");
questo campo specifica il destinatario principale del messaggio.
Il secondo è il campo "Per conoscenza", contraddistinto dall'indicazione "Cc:"; questo campo è
destinato ad accogliere la lista degli eventuali destinatari per conoscenza, cioè di coloro ai
quali intendiamo mandare una copia del messaggio, anche se questo non è indirizzato
direttamente a loro. I destinatari per conoscenza leggeranno nel messaggio ricevuto sia
l'indirizzo del o dei destinatari principali, che quello del o degli altri destinatari per
conoscenza. Questa opzione è utile quando ci si rivolge a persone che funzionalmente sono già
in contatto reciproco o che comunque si intende porre in contatto.
Il terzo è il campo dei "Destinatari per conoscenza nascosti", indicato come "Ccn:" (in inglese:
"Bcc"). In questo campo si mettono gli eventuali indirizzi di coloro ai quali vogliamo che il
messaggio giunga, ma che però intendiamo "nascondere" agli altri destinatari, nel senso che
non vogliamo che gli altri destinatari siano in grado di leggerne l'indirizzo nell'intestazione del
messaggio stesso. Chi riceve un messaggio sarà quindi in grado di leggere e riutilizzare gli
indirizzi scritti in chiaro, cioè quelli scritti nei campi indirizzo e in conoscenza, ma non quelli
scritti nel campo "Ccn:". Questi ultimi indirizzi rimarranno nascosti a tutti gli altri utenti
destinatari del messaggio.
Quando usare il campo Bcc/Ccn?
Il campo "Ccn:" o "Bcc:" va utilizzato sempre quando si diffonde un messaggio a una lista di più
indirizzi. Non si tratta tanto di un problema di privacy (evitare di diffondere indirizzi
senza il preventivo consenso degli interessati in effetti è una regola di buona
educazione), quanto di un problema di difesa dai virus. Da diversi anni ormai i virus
informatici si diffondono via e-mail sfruttando le rubriche di indirizzi di alcuni
programmi di posta elettronica particolarmente vulnerabili (tipicamente, Outlook
Express). Il meccanismo dell'infezione è estremamente semplice:
1.
l'utente riceve un messaggio infetto e attiva il virus (a seconda della gravità
dell'infezione ciò può richiedere che l'utente clicchi su un allegato, o, semplicemente,
che visioni il messaggio);
2.
il virus si installa nel sistema
3.
durante il successivo collegamento a Internet, il virus legge la rubrica degli indirizzi
dell'utente ed invia a un certo numero di destinatari in essa elencati (i primi dieci, i
primi cinquanta, tutti,...), a totale insaputa dell'utente.
Pagina 4
Il Bcc va usato perché le rubriche di indirizzi di certi programmi di posta elettronica
si appropriano di tutti gli indirizzi che ricevono in chiaro. Questo significa che se noi
inviamo un messaggio in chiaro a cento indirizzi,questi ultimi vengono condivisi tra i
destinatari.
Detto in altre parole, se gli indirizzi di ognuno di noi rimanessero solo nei PC delle
persone con le quali siamo effettivamente in contatto, le ondate di attacchi virali
sarebbero molto meno efficaci. La diffusione dei virus è favorita dal fatto che gli
indirizzi di ognuno di noi sono in decine di altri PC nei quali, di fatto, non dovrebbero
essere.
Dove si trova il campo Ccn/Bcc?
L'uso del campo Bcc è relativamente semplice: lo si usa come qualsiasi altro campo di
indirizzo, scrivendoci o incollandoci gli indirizzi o i "nickname", o trasferendoli
in esso dalla Rubrica del programma di e-mail. L'unica eventuale difficoltà
risiede nel fatto che in alcuni programmi di e-mail il campo Ccn/Bcc non è
immediatamente visibile. Di seguito illustriamo come individuarlo in alcuni dei
più diffusi programmi di e-mail.
1.
Eudora Light 3.0
2.
Microsoft Outlook Express 5
3.
Microsoft Outlook 2000
1.
Eudora Light 3.0 La figura seguente mostra la localizzazione del campo "Bcc:"
nel programma Eudora Light 3.0.
Pagina 5
Il messaggio verrà recapitato in copia a tutti i destinatari compresi nella lista di
indirizzi denominata "Hoax". Ognuno di essi sarà in grado di leggere nel messaggio
solo il proprio indirizzo e quello del mittente.
2. Microsoft Outlook Express 5
Anche in Outlook Express, come in Eudora, il campo "Ccn:" si trova sotto il campo
"Cc:". Tuttavia esso non è immediatamente disponibile per default. Per rendere
disponibile il campo "Ccn:", qualora non compaia nel vostro messaggio da inviare,
procedete come segue:
Nella finestra del nuovo messaggio selezionate "Visualizza->Tutte le intestazioni":
A questo punto il campo "Ccn:" sarà visibile
e potrete utilizzarlo come qualsiasi altro campo di indirizzi
Pagina 6
3. Microsoft Outlook 2000 Una delle caratteristiche di Microsoft Office 2000, risiede
nel fatto che in esso molte funzioni ritenute di uso meno frequente sono "nascoste"
all'interno dei vari menù e vengono attivate solo su esplicita richiesta dell'utente. Fra
queste funzioni vi è anche quella di attivare il campo "Ccn:". Di conseguenza, se,
procedendo in modo analogo a quello suggerito per Outlook Express 5, vogliamo rendere
disponibile il campo "Ccn:" agendo sul menù "Visualizza" della finestra del nuovo
messaggio di Outlook 2000, ci troveremo probabilmente di fronte a questa situazione:
Nel menù non compare la voce "Tutte le intestazioni", per cui sembrerebbe
impossibile rendere disponibile il campo "Ccn:". In realtà questa possibilità esiste,
ma è nascosta. Se portiamo il cursore sulla doppia freccia posta in fondo al menù
(evidenziata in rosso nella figura precedente) dopo pochi secondi il menù si
espanderà:
Pagina 7
rendendo disponibile l'opzione "Campo Ccn". Selezionandola, il campo in questione
sarà visibile nella finestra del nuovo messaggio:
e potremo procedere copiando o scrivendo all'interno di esso gli indirizzi dei
destinatari "nascosti".
Pagina 8
SPYWARE
Uno Spyware lo possiamo considerare come un miniprogramma che tiene traccia di tutto
quello che facciamo con il nostro computer. Il problema è che queste informazioni
vengono inviate su Internet. Per esempio lo spyware può segnalare i siti che visitiamo più
spesso per dare un’idea dei nostri gusti, tendenze, dei nostri contatti, ecc....Per fare un
altro esempio, se siamo spiati e cerchiamo spesso file musicali, la società che ci spia ci
considera come amanti della musica. Allora cosa succede? La società interessata ci
riconosce quando vediamo un loro sito e ci mostra i banner pubblicitari (nelle pagine che
abbiamo aperto) su argomenti che potrebbero interessarci. Il tutto avviene con una
tecnologia molto avanzata .
Spyware è un termine nato dalla combinazione di "spy e software" ed agisce di nascosto
nel sistema per catturare le informazioni personali. Il problema è che questi Spyware si
trovano in programmi che sono di utilità o altro, quindi non è un file a se stante che per
sbaglio lo abbiamo inserito nel nostro sistema, ma un file che possibilmente si trova in un
software che usiamo spesso. Il costruttore del software appunto ci spia.
Ma quali potrebbero essere questi programmi che ci spiano? Di solito sono programmi
gratuiti che vengono ripagati dalla distrubuzione di questi spyware di alcune società: uno
spionaggio commerciale a tutto campo.
Controlliamo il sistema
Per individuare gli spyware nel sistema ci serviremo di un programma: Ad-aware.
Ad- aware è un programma freeware per Windows 95/98/Me/2000/NT4/XP.
Scopo di questo programma è quello di trovare e rimuovere dei files "spyware" che
numerosi programmi (per lo più gratuiti) inseriscono nel nostro pc al momento della loro
installazione.
I programmi spyware sottraggono informazioni che riguardano il pc e il navigatore,
inseriscono file nelle parti vitali del nostro pc (come il registro) e da lì monitorano
costantemente il tutto inviando poi, via Internet questi dati. Questi files "spyware"
possono trasmettere informazioni riguardanti i i siti visitati, la permanenza su tali siti, i
file scaricati da questi siti, se qualche banner viene cliccato, eventuali acquisti fatti nel
web, la configurazione hardware, che software c’è sul nostro pc e molto altro. Alcuni
spyware modificano addirittura la pagina iniziale del vostro browser proponendone un
altra.
Alcuni ritengono che potrebbero vedere anche gli indirizzi di posta , tenendo presente
che nel registro di Windows c’è tutto , il vostro nome e cognome (qualora nell’istallazione
è stato inserito) i programmi installati e la loro configurazione, gli indirizzi email
di Outlook, e tutte le operazioni compiute con il pc.
Un lato negativo dello spyware è da ricercare nel fatto che rallenta moltissimo la
connessione Internet e spesso crea conflitti con altri programmi provocando blocchi o
crash di sistema !
Pagina 9
C'è chi paga aziende produttrici di software o programmatori perché lo facciano.
Le informazioni che se ne ricavano, vengono rivendute a chi si occupa di pubblicità .
Se sono stati installati programmi free che hanno anche banner pubblicitari,
probabilmente potrebbero essere stati annidati programmi spyware.
Per venire a conoscenza della presenza o meno di un programma spyware senza
installare il programma Ad-aware, è possibile consultare questi siti, dove in ordine
alfabetico sono presenti tutti i prg spyware noti.
- http://virgolamobile.50megs.com/spyware/spyware.htm
- http://www.spychecker.com/
Una volta lo spyware veniva inserito "di nascosto" nei programmi e molto spesso
rimaneva nel pc anche se il programma stesso veniva disinstallato. Oggi è probabile
che nel contratto che dobbiamo accettare al momento di installare un programma può
esservi scritto che vengono trasmesse a terzi eventuali informazioni. Ma quanti
leggono per intero tale contratto (prevalentemente in lingua straniera) al momento di
installare un software ?
Dove scaricare Ad-aware e cosa scaricare
Il sito ufficiale di Ad-aware è http://www.lavasoftusa.com
I mirror da cui scaricare il programma sono numerosi, la raccomandazione è quella
di prelevare il programma dalla pagina ufficiale.
Il programma Ad-aware subisce un continuo aggiornamento, questo perchè quella
dello spyware è una vera e propria guerra, I programmi spyware proliferano e ne
escono in continuazione di nuovi, inoltre appena Lavasoft inserisce nel database del
programma i files da scovare ed eliminare, i produttori fanno piccole modifiche ai
loro programmi con lo scopo che lo spyware non venga riconosciuto da Ad-aware.
Alla fine è esattamente come un antivirus che per essere efficace deve essere
aggiornato periodicamente altrimenti è inutile averlo sul computer, unica differenza
è che (per fortuna) gli aggiornamenti sono meno frequenti
ATTENZIONE
“Ad-aware” è un programma freeware e pertanto non è stato testato.
Si consiglia, quindi, di procedere con attenzione alla sua esecuzione.
Pagina 10
Periodicamente viene rilasciato un file (reflist) che contiene l'aggiornamento del
database, talvolta Lavasoft rilascia anche una nuova versione del programma, questo per
venire incontro a chi trova difficoltà a scompattare il contrenuto del reflist.zip nella
giusta directory, ma anche perchè il programma stesso subisce delle migliorie importanti
a livello di motore di scansione. Recentemente (primavera 2002) è uscita una versione
nuova, perchè era stato creato un programma spyware in grado di aggredire e
danneggiare Ad-aware stesso, così come fanno molti virus dell'ultima generazione, che
vanno ad attaccare e disabilitare antivirus e firewall.
Quindi, per quanto riguarda la sicurezza è consigliabile visitare il sito in modo da
controllare se ci sono aggiornamenti del programma o se è disponibile un file reflist che
aggiorna il database del programma. Quando viene rilasciata una nuova versione, essa
contiene già l'ultimo database disponibile ma può accadere che dopo qualche giorno ci
sia un aggiornamento e venga rilasciato un file reflist. In tabella è riportato l’ultimo
aggiornamento al momento.
Status
Ultima versione di Lavasoft Ad-aware:
Versione 5.83File reflist #042 con data 24 09 2002
Per installare o aggiornare il programma, si possono trovare due situazioni:
1) non è installato Ad-aware sul sistema;
2) è una vecchia e superata versione.
In tal caso si deve necessariamente disinstallare la vecchia versione prima di
installare la nuova.
Con Windows 98 o il Millennium - Pannello di Controllo, l'icona Installazione Applicazioni,
cliccando su di essa si ha l'elenco del software installato sul pc, selezionare Ad-aware
premere il pulsante Aggiungi/Rimuovi e seguire le indicazioni. Dopo averlo disinstallato il
riavvio non è obbligatorio ma solo consigliato, quindi procedere con l’istallazione.
Pagina 11
Dopo l'installazione appare l'icona di Ad-aware sul desktop e anche una cartella nel menù
Start Programmi. Cliccando sull'icona di Ad-aware si apre il programma.
In alto a destra è visibile la versione e la built del programma stesso
In basso la versione e la data di rilascio del reflist (029 -15.06.2002) Questo significa
che il programma è fornito del reflist #029 rilasciato in data....
Aggiornare Ad-aware
E' possibile che dopo l'uscita della versione xxx del programma sia stato rilasciato un
reffile che aggiorna ulteriormente il database, in tal caso è conveniente aggiornarlo , in
caso contrario Ad-aware potrebbe non riconoscere gli ultimi spyware conosciuti, trovate di
seguito le istruzioni per farlo.
Come si aggiorna il database ?
Scaricare il piccolissimo file reffile.zip (una volta si chiamava reflist.zip) dal sito :
http://www.lavasoftusa.com/downloads.html
Una volta scaricato il file zippato si deve estrarlo
nella directory di AD-aware:
Pagina 12
Dopo che si estrae il file zippato nella giusta
directory, una volta confermata la sovrascrittura del
file, si procederà alla sostituzione del precedente file
.awr con uno più aggiornato.
Importante !
Se si dispone di una precedente versione di Ad-aware, aggiornare il database potrebbe non
essere sufficiente a rilevare gli spyware più recenti, in quanto se si è in possesso di una
versione precedente alla 5.8 non si può più aggiornare il database dello spyware in quanto
alla versione 5.8 il file che aggiorna il database di Ad-aware cambia estensione da reflist.sig
a reflist.awr.Disinstallare quindi la vostra vecchia versione e installate quella attualmente
disponibile.
Fare una scansione con Lavasoft Ad-aware
Aggiornato il database fare doppio clic sull’icona presente sul desktop o nel menù StartProgrammi. Appare la finestra principale del programma, dove spuntare tutte le caselline
(tranne floppy) e poi premere il tasto Scan (scansione)
Pagina 13
Al termine della scansione apparirà una finestra di riepilogo con i file trovati (già
spuntati o da spuntare a seconda di come sono state impostate le opzioni ), se il segno
di spunta è già attivo cliccando su: Continue essi verranno rimossi. Altrimenti si devono
spuntare la caselline bianche a sinistra della selezione e poi cliccare su Continue.
Nel caso il pc fosse risultato "infestato" dallo spyware dopo aver rimosso i files
potrebbe essere necessario riavviare e dopo il riavvio eseguire una nuova scansione del
sistema fino a quando non si visualizzerà il messaggio sottostante, che indica che
nessun spyware è stato trovato.
Pagina 14
Esiste, inoltre, la possibilità di mandare in scansione il sistema in maniera automatica
operando nella sottostante schermata (nella parte Options) spuntando le due caselline:
Scan on windows startup (comoda in tal caso l'opzione Remove components automatically),
oppure agire nelle Opzioni del Browser per non accettare tutti i cookies o per accettarli solo
in modo temporaneo (sessione per sessione). Per esempio se avete Internet Explorer 5.5 SP2
potete aprirlo e andare in Strumenti - Opzioni - Protezione e nella parte Internet cliccare
Personalizza.
Nella parte "Consenti cookie memorizzati sul computer" spostate il pallino su disattiva.
Questo fa in modo che il cookie venga deposto ma subito rimosso quando si ritorna in locale, in
questo modo però si potrebberero presentare dei disagi, specie se vengono frequentati siti
che li richiedono come : Hotmail , Yahoo e tanti altri.
Pagina 15
LE VENTI VULNERABILITA’ PIU’ CRITICHE
PER LA SICUREZZA IN INTERNET
(TERZA PARTE)
G5 - I pacchetti non vengono filtrati per determinarne il corretto indirizzo in
ingresso e in uscita
G5.1 Descrizione:
Lo spoofing degli indirizzi IP (1) è un metodo comune utilizzato dagli aggressori per
nascondere le tracce del proprio attacco. Il celebre attacco "smurf", ad esempio,
sfrutta una proprietà dei router per inviare un flusso di pacchetti a migliaia di
macchine. Ogni pacchetto ha l'indirizzo sorgente contraffatto e sostituito da
quello di una vittima. I computer ai quali sono indirizzati i pacchetti saturano il
computer della vittima (flooding), spesso bloccando il computer o la rete. Un altro
livello di protezione può essere ottenuto filtrando il traffico in ingresso (ingress
filtering) e in uscita (egress filtering) dalla vostra rete. Le regole per il filtering
sono le seguenti:
1.
i pacchetti in entrata nella rete non devono avere un indirizzo sorgente
appartenente alla rete interna;
2.
i pacchetti in entrata nella rete devono avere un indirizzo di destinazione
appartenente alla rete interna;
3.
i pacchetti in uscita dalla vostra rete devono avere un indirizzo sorgente
appartenente alla vostra rete interna;
4.
i pacchetti in uscita dalla rete non devono avere un indirizzo di destinazione
appartenente alla rete interna;
5.
i pacchetti in entrata o in uscita dalla rete non devono avere un indirizzo sorgente
o di destinazione appartenente ad un indirizzo privato appartenente allo spazio
riservato RFC1918. Sono inclusi gli indirizzi 10.x.x.x/8, 172.16.x.x/12 o
192.168.x.x/16 e la rete di loopback 127.0.0.0/8;
6.
bloccare i pacchetti instradati alla sorgente (source routed packet) o i pacchetti
con il campo delle opzioni IP impostato;
7.
devono essere bloccati anche gli indirizzi riservati, quelli con auto configurazione
DHCP e Multicast:
0.0.0.0/8 - 169.254.0.0/16 - 192.0.2.0/24 - 224.0.0.0/4 - 240.0.0.0/4.
(1) Lo spoofing consiste nel falsificare l’indirizzo IP sorgente della connessione,
in modo da far credere di essere un altro host e poter quindi superare certe
difese o portare a termine tentativi deliberati di disturbo.
Pagina 16
G5.2 Sistemi interessati:
La maggior parte dei sistemi operativi e dispositivi di rete.
G5.3 Lista CVE:
(Nota: la lista sottostante non è una lista completa o esaustiva. Contiene solo
esempi di alcune delle vulnerabilità appartenenti alla categoria in questione).
CAN-1999-0528, CAN-1999-0529, CAN-1999-0240, CAN-1999-0588
G5.4 Come determinare se siete vulnerabili:
Provate ad inviare un pacchetto contraffatto ("spoofed") e controllate se viene
bloccato dal vostro firewall esterno o dal router. Il vostro dispositivo non
solo dovrà bloccare il traffico, ma dovrà anche annotare nel file di log che i
pacchetti contraffatti sono stati rifiutati. Notate comunque che quanto
descritto apre la porta ad un nuovo attacco - la saturazione (flooding) del
file di log. Assicuratevi che il sistema di generazione dei log possa gestire
grossi carichi, per evitare che sia vulnerabile ad attacchi DOS. Per
verificare la funzionalità di questo tipo di filtro possono essere utilizzati
programmi come nmap per l'invio di pacchetti esca o pacchetti contraffatti
(spoofed). Dopo aver impostato il filtro non datene per scontato il corretto
funzionamento. Verificatene spesso la funzionalità.
G5.5 Come proteggersi:
Per difendersi da questo tipo di attacco è necessario impostare delle regole per il
filtering sul vostro router o firewall esterno. Di seguito riportiamo le regole
d'esempio per un router Cisco:
1.
filtro in entrata o ingress filtering interface Serial 0 ip address 10.80.71.1
255.255.255.0 ip access-group 11 in access-list 11 deny 192.168.0.0
0.0.255.255 access-list 11 deny 172.16.0.0 0.15.255.255 access-list 11 deny
10.0.0.0 0.255.255.255 access-list 11 deny access-list 11 permit any
2.
filtro in uscita o egress filtering interface Ethernet 0 ip address 10.80.71.1
255.255.255.0 ip access-group 11 in access-list 11 permit <your internal
network>.
Pagina 17
G6 - Log inesistenti o non completi
G6.1 Descrizione:
Una delle massime della sicurezza è "L'ideale è prevenire, ma investigare è un dovere".
Il semplice fatto che consentiate al traffico di fluire tra la vostra rete e Internet vi
rende automaticamente vulnerabili ai tentativi di penetrazione nella vostra rete da parte
degli hacker. Ogni settimana vengono scoperte nuove vulnerabilità e ci sono ben pochi
metodi per difendervi da qualcuno che vi attacca sfruttando una vulnerabilità non ancora
nota. Dopo aver subito un'aggressione, se non disponete dei log, avete poche probabilità
di scoprire cosa abbiano fatto gli intrusi. Senza quelle informazioni la vostra
organizzazione può solo scegliere se ricaricare completamente il sistema operativo dal
supporto originale, e sperare che i backup dei dati siano integri, oppure correre il rischio
di continuare ad utilizzare un sistema che potrebbe essere ancora sotto il controllo di un
hacker.
Se non siete a conoscenza di cosa stia succedendo nella vostra rete, non potrete
riconoscere un attacco. I file di log forniscono i dettagli di quello che sta accadendo, dei
sistemi sotto attacco e di quelli danneggiati.
La registrazione delle attività nel file di log deve essere effettuata con regolarità per
tutti i sistemi di importanza cruciale; dovete inoltre effettuato un backup del file
registro, dato che non sapete quando potreste averne bisogno. La maggior parte degli
esperti raccomanda di inviare tutti i log ad un server centrale che scriva i dati su un
supporto di memorizzazione non riscrivibile, impedendo così che un intruso sovrascriva i
file registro per evitare di essere scoperto.
G6.2 Sistemi interessati:
Tutti i sistemi operativi e dispositivi di rete.
G6.3 Lista CVE:
CAN-1999-0575, CAN-1999-0576, CAN-1999-0578
G6.4 Come determinare se siete vulnerabili:
Esaminate i log di sistema di tutti i sistemi principali. Se i registri sono inesistenti o se
le operazioni di memorizzazione e backup non sono eseguite a livello centralizzato, allora
siete vulnerabili.
G6.5 Come proteggersi:
Impostate tutti i sistemi affinché registrino le attività su file registro locali che poi
invieranno ad un sistema remoto. Questa procedura assicura ridondanza e aggiunge un
livello di sicurezza. Poi confrontate i due file registro. Eventuali differenze tra i file
potrebbero indicare attività sospetta nel sistema. Questa operazione permette anche di
eseguire un controllo incrociato sui file di log. Una particolare riga in un file registro di
una singola macchina potrebbe non destare alcun sospetto, ma la stessa riga ripetuta per
50 server di un'organizzazione ad intervalli di un minuto può essere il segnale di un
gravissimo problema.
Quando possibile, inviate le informazioni dei registri ad un dispositivo che utilizzi un
supporto non riscrivibile.
Pagina 18