STATO MAGGIORE DIFESA
Reparto Informazioni e Sicurezza
Ufficio Sicurezza Difesa
BOLLETTINO
DI
SICUREZZA
INFORMATICA
N° 1
GIUGNO
2002
SISTEMI
OPERATIVI
Windows nt/2000 :
migliorare la sicurezza
PROBLEMI (E SOLUZIONI)
DI WINDOWS XP
SISTEMI
APPLICATIVI
2 exploit per
internet explorer
SICUREZZA
DELLA RETE
Password policy
Consigli pratici sulla
sicurezza nella rete
locale
L’importanza di
avere un IDS……..
PER CONTATTI: TEL. 06/46917156
FAX.06/36000904
WINDOWS NT/2000 : MIGLIORARE LA SICUREZZA
L'utilizzo di un antivirus rappresenta sicuramente un primo passo decisivo per rafforzare la sicurezza
di un sistema informatico, ma in alcuni casi può non essere del tutto sufficiente. Per questo motivo
diventa opportuno affiancare ad un prodotto di questo tipo, altri strumenti complementari.
Dal momento che stiamo parlando di codice nocivo è bene sottolineare che in un sistema operativo
Windows, tre sono le componenti a più alto rischio che occorre tenere sotto controllo: il file system,
il registro di configurazione ed i processi.
Per quanto riguarda il primo aspetto la misura precauzionale più efficiente consiste nel creare ad
intervalli regolari una lista di directory e di file da confrontare con elenchi generati precedentemente
e memorizzati su supporti removibili conservati in luoghi sicuri.
A tal proposito nei sistemi Windows NT/2000 è assolutamente necessario usare strumenti in grado di
individuare la presenza nei file dei flussi di dati alternativi (ADS o Alternate Data Streaming)
Il file system NTFS presenta infatti una interessante funzionalità, che permette di aggiungere ad un
file esistente degli ulteriori flussi, cioè dei dati di qualsiasi genere, senza per questo modificare gli
attributi ed il contenuto originario del file stesso: per esempio se ad un file di testo viene aggiunto,
sotto forma di ADS, un eseguibile contenente un cavallo di troia il file di testo continuerà ad essere
visualizzato correttamente ma, purtroppo, il cavallo di troia potrà essere eseguito dall'interno dello
stesso file, rimanendo completamente nascosto, a meno che non vengano utilizzati per l'appunto
strumenti specifici.
Un altro rimedio che aiuta nella identificazione di attività sospette aventi per oggetto il file system,
può inoltre consistere nell'abilitazione delle attività di auditing (Windows NT/2000) e/o nell'utilizzo
di altre applicazioni dirette a garantire l'integrità dei file.
L'adozione di questi accorgimenti vale per tutti i sistemi, compresi quelli Windows 2000, anche se
questi ultimi mettono a disposizione un nuova funzionalità chiamata WFP (Windows File Protection)
che dovrebbe garantire un certo livello di protezione dei file di sistema da possibili operazioni di
modifica e manomissione ma che ha evidenziato in alcune ipotesi dei comportamenti anomali.
Anche il registro di configurazione di Windows necessita di un controllo continuo poichè esso
rappresenta purtroppo uno dei punti deboli più critici sotto il profilo della sicurezza.
Nel caso specifico l'attività di monitoraggio deve riguardare soprattutto una serie di chiavi e cioè:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run;
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce;
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx;
utilizzate per memorizzare informazioni relative
ad applicazioni che devono essere avviate in
modo automatico durante il boot del sistema
(per gli stessi motivi occorre anche verificare
periodicamente il contenuto della cartella
Esecuzione Automatica nonchè i file win.ini e
system.ini).Infine un’altra misura cautelare
è data dal monitoraggio dei processi attivi,
che dovrebbe essere compiuto possibilmente con
strumenti in grado di identificare
per ogni processo, anche l'eventuale porta TCP/UDP
utilizzata.
Pagina.1
PROBLEMI (E SOLUZIONI) DI WINDOWS XP
Masterizzazione CD
Outlook Express
Può accadere che i CD che vengono scritti
tramite Windows XP risultino illegibili oppure
che manchino dei file quando vengono
utilizzati sui riproduttori di MP3.
Scaricare la patch dal sito
windowsupdate.microsoft.com.
Durante la fase di importazione dei dati da
una precedente versione vengono perse delle
informazioni e sono cambiate alcune
impostazioni degli account già presenti.
Scaricare la patch dal sito
windowsupdate.microsoft.com.
Sicurezza in Internet Explorer
All’interno di Internet Explorer 6 sono stati
scoperte diverse vulnerabilità.
Scaricare la patch dal sito:
www.microsoft.com/windows/ie/downloads/cri
tical/q316059/download.asp
Spegnimento
Durante la fase spegnimento può avvenire un
blocco del computer.
Scaricare la patch dal sito
windowsupdate.microsoft.com.
Supporto Java
Internet Explorer 6 non consente l’esecuzione
di determinati applet Java.
Scaricare la patch dal sito
www.sun.com/download/api.javatech.html
Windows Messenger
Sicurezza in Windows XP
Qualche disturbo all’audio. Problemi con la
chat voce e video.
Scaricare dal sito
http://messenger.microsoft.com/it/ la nuova
versione di Messenger
Il servizio Universal Plug and Play,attivo per
default nel sistema operativo, consente di
accedere al computer dll’esterno quando
collegati in Internet.
Scaricare la patch dal sito :
Windowsupdate.microsoft.com oppure dal
sito
http://www.microsoft.com/downloads/release.
asp?ReleaseID=34951
Pagina.2
2 Exploit per….
In questa sezione, quando sarà possibile,
verranno indicati eventuali bug dei più
conosciuti sistemi applicativi, indicando,
se disponibili, patch dei produttori e
come trovarli in Rete.
In questo bollettino vienen presentata
una lista di buchi di Internet Explorer
con relative correzioni, sempre
scaricabili eclusivamente (per il
momento) via Internet.
Il problema più importante per quanto
riguarda i bug, consiste nel troppo tempo
che intercorre tra la scoperta dell’exploit
e la pubblicazione delle patch sui siti
appositi delle case produttrici. Per chi
preferisce scaricare singolarmente i file,
la descrizione e la localizzazione della
patch cumulativa denominata 28 marzo
2002 sono disponibili all’indirizzo:
http://www.microsoft.com/technet/securit
y/bulletin/MS02-015.asp.
Il file da circa 2,4 MB denominato
Q319182.EXE e mantiene lo stesso nome
pur essendo disponibile in versioni
differenti per Internet Explorer 6 e
Internet Explorer 5.5 Service Pack 1 e 2.
Il sito da visitare per essere sempre
aggiornati sui problemi di sicurezza dei
prodotti Microsoft è :
http://www.microsoft.com/technet,
sezione SECURITY.
Il rilascio di una patch cumulativa da
parte di Microsoft è invece una buona
idea, perché elimina la necessità di
cercare ed installare tutte le patch singole
ormai rilasciate con cadenza quasi
settimanale.
La patch cumulativa garantisce un
miglior controllo di compatibilità da
parte di Microsoft: all’utente basta
controllare nella finestra
?/INFORMAZIONI SU INTERNET
EXPLORER la serie di patch da
Il primo dei due buchi sistemati nella
patch cumulativa del 28 marzo,
riguarda la possibilità di eseguire una
script inserita in un innocuo cookie
dove, invece di essere gestita con un
livello di sicurezza usato da siti web,
potrebbe girare indisturbata come se
fosse un file locale.
Anche il secondo bug permette ad un
sito remoto di lanciare codice eseguibile
presente sul pc dell’utente, utilizzando
una pagina HTML scritta in modo
particolare. Riassumendo, la sicurezza
di Internet Explorer resta un concetto
molto vago e raggiungibile nella pratica
aprendo la finestra delle impostazioni di
protezione e disattivando tutte le opzioni
contenenti la voce ACTIVE nella
propria descrizione, cioè script e oggetti
activeX. Si consiglia di visitare la
pagina: http://www.fuck.org/~ max/xp_rules.jpg, che è un sosfisticato
aiuto, per riavviare un pc dotato di
Windows XP (attenzione: qualunque
programma aperto perderebbe i dati) a
cui non sono state applicate le patch
prima descritte.
Anche la tecnologia Java, generalmente
più sicura di quella activeX, deve
registrare i suoi bug , l’ultimo dei quali è
classificato critico su Windows Update e
richiederebbe l’aggiornamento della
Java Virtual Machine, non più collegata
a Internet Explorer dalla versione 6.
Date le sue dimensioni meglio passare
alla JVM Sun, disponibile
gratuitamente.
Pagina.3
PASSWORD POLICY
La “password policy” consiste nell’impostazione di una serie di una password idonee a resistere
ai vari tentativi di intrusione da parte di client indesiderati, oppure da parte di sniffer che
esistono in commercio, i quali hanno la facoltà di “cracckare” una password in tempi
limitatamente brevi, se la password scelta è una parola sotto i 6 caratteri, oppure una parola di
senso compiuto. Ogni amministratore di sistema per eliminare questa vulnerabilità deve
assicurarsi che le password scelte, devono essere comunque un insieme di lettere numeri e segni
speciali. Se si scelgono password “complicate” sarà probabilmente difficile ricordarle
puntualmente quando vengono richieste, ma comunque implicano una maggiore sicurezza, e
rendono difficile gli attacchi da parte dei tools in commercio.
SECAN, ente della NATO che valuta i sistemi suggerisce, che la policy sia impostata secondo la
seguente tabella:
- Tempo massimo di vita della password : 90 giorni
- Tempo minimo di vita della password : 1 giorno
- Lunghezza minima della password :
12 caratteri
- Lunghezza massima della password :
24 caratteri
Di seguito si riportano alcune politiche generali relative alle password, da applicare per l’uso di
Internet :
- le password e l’identificazione (ID) dell’utente nella domanda di collegamento, dovranno essere
uniche per ciascun utente autorizzato;
- le password dovranno essere composte da un minimo di 12 caratteri alfanumerici (nessuna frase
o nome comune). Dovrebbero esserci elenchi controllati dal computer di norme relative alle
password bandite e si dovrebbe effettuare un controllo periodico (tramite i tools in commercio)
per identificare qualsiasi debolezza della password;
- le password dovranno essere mantenute private, cioè, non condivise, codificate in programmi o
annotate;
- le password dovranno essere cambiate almeno ogni 90 giorni. La maggior parte dei sistemi
può far rispettare il cambio di password con una scadenza automatica, impedendo la ripetizione o
il reimpiego di password già usate in precedenza;
- l’accesso dell’utente dovrà essere bloccato dopo 3 tentativi falliti di collegamento. Tutte le
entrate errate di password dovranno essere registrate in una lista di verifica per una successiva
ispezione ed azione secondo le esigenze;
- le sessioni dovranno essere sospese entro 15 minuti di inattività e si dovrà reintrodurre la
password per la riconnessione.
Pagina.4
LA SICUREZZA SULLA RETE LOCALE
In questa sezione si riportano una serie di consigli pratici per migliorare la sicurezza della
vostra LAN, in , ove è possibile, la rete Ethernet utilizzando apparecchiature come gli
Switch al posto degli Hub (ove è possibile): si riscontreranno dei significativi vantaggi sia
in termini di prestazioni (assenza di collisioni; canali non condivisi), sia di sicurezza
(resistenza allo sniffing);
1.
considerare la possibilità di disattivare l’utilizzo del protocollo Snmp ove non strettamente
necessario. Ove non sia possibile evitare di utilizzare questo protocollo, cambiare nome agli
identificativi predefiniti di comunità e rendere accessibili in sola lettura i Mib (Snmp
Management Information Base);
2.
considerare la necessità di installare nei punti chiave della rete software capace di
identificare quali interfacce di rete siano utilizzate in modalità promiscua, segno tipico
dell’attività di software di sniffing
-
IMPOSTAZIONI LOCALI
1.
Disabilitare eventuali driver per interfacce di rete non utilizzate: usare a questo scopo
l’applet Devices del pannello di controllo di Windows NT. Evitare inoltre di effettuare il
binding alle interfacce di rete per tutti i protocolli che non si intende utilizzare: selezionare
il menù Properties di Netword neighborhood e accedere al folder Bindings.
-
IMPOSTAZIONI LOCALI E DI DOMINIO
1.
Cambiare nome all’account Administrator usando il tool User Manager
(Start/Programs/Administrative Tools)
(Common)/User Manager); selezionare l’utente Administrator, poi la voce Rename dal
menù User;
2.
controllare i diritti di accesso ai sistemi usando il tool User Manager sulle workstation.
(Start/Programs/Administratives Tools (Common)/User Manager) e User Manager
forDomains sui controller di dominio e sui server standalone
(Start/Programs/Administrative Tools (Common)/User Manager for Domain. Selezionare la
voce User rights dal menù Policies. Eliminare ogni accenno al gruppo Everyone: sostituirlo
con il gruppo, ad esempio, Network Users che dovrà contenere tutti gli utenti abilitati al
browsing della rete. Si presti inoltre particolare attenzione agli utenti abilitati ad effettuare
il login alla console locale (Log on locally): sui server e sui controller gli utenti regolari non
dovrebbero godere di questo privilegio. Si eviti di dare diritti Backup files and directories,
Manage auditing and security logs e take ownership or other object ad altri utenti che non
siano gli amministratori.
Pagina.5
-
IMPOSTAZIONI DI DOMINIO
1.
Creare due account per gli utenti che hanno compiti di amministrazione: uno privo di ogni
privilegio, utilizzato per il lavoro di routine; l’altro dedicato esclusivamente a svolgere i compiti di
amministratore che verrà utilizzato solo se strettamente necessario;
2.
utilizzare il tool syskey.exe disponibile per Windows NT a partire dal Service Pack 2 per cifrare il
Sam (database degli account) e proteggerlo con una password. Selezionare la voce Run dal menù
Start di Windows NT; digitare syskey; attendere la comparsa della finestra, poi selezionate
Encryption Enabled. Per proteggere il database con una password, premere su Update e quindi
selezionare System Generated Password. Si potrà salvare la chiave d’avvio sul sistema locale
oppure su un floppy disk. Si noti che per impostazione predefinita in Windows 2000 il database
risulta già cifrato;
3.
valutare l’opportunità di rafforzare la complessità delle password, abilitando sul controller primario
di dominio l’uso della libreria passfilt.dll. Verranno così rifiutate le password di lunghezza inferiore
ai 6 caratteri e che non soddisfino almeno tre dei seguenti quattro requisiti: la password deve
contenere caratteri alfabetici minuscoli, maiuscoli, caratteri numerici e caratteri non alfanumerici
(come ad esempio segni di punteggiatura). Si noti che il filtro per controllare la robustezza delle
password agisce solo sulle richieste di cambiamento, che giungono dalla rete e non sugli accessi
diretti al Sam effettuati dall’amministratore con il tool User Manager for Domain.Per abilitre l’uso
della libreria passfilt.dll occorre installare il Service Pack 3 o successivi, lanciare il Registry Editor
di Windows NT selezionando la voce Run dal menù Start e digitando regedt32; individuare la
chiave HKEY_LOCAL_MACHINE|SYSTEM|Current-ControlSet\Control\lsa; selezionare la voce
Add value dal menù Edit per inserire, qualora non fosse già presente, il valore Notification
packages di tipo REG_MULTI_SZ; effettuare un doppio click sulla chiave Notification Packages e
aggiungervi il valore PASSFILT. Premere OK e uscire dal Registry Editor. Riavviare il sistema per
rendere effettive le modifiche.
Pagina.6
L’IMPORTANZA DI AVERE UN IDS E DI SETTARE
CORRETTAMENTE I ROUTER INTERFACES
Una rete di computer richiede un appropriato livello di protezione. Un IDS
(intrusion detection system) assume, nell’ambito della protezione della rete un
importante ruolo complementare al firewall. L’IDS controlla il traffico da e per
la rete già controllato dalle impostazioni dal firewall, per determinare se la rete
ha subito un attacco da parte di un computer remoto o dall’interno della rete
stessa. Se l’IDS trova traccia di un attacco, allerta, in qualche modo,
l’amministratore di sistema, che può determinare i passi da fare per la risposta
alla minaccia (per esempio implementare le regole della programmazione del
firewall). Senza un IDS la rete è suscettibile di sofisticati metodi per la ricerca di
informazioni da parte degli hacker e attacchi da parte di questi ultimi, con
conseguente aumento della vulnerabilità di accesso alle informazioni all’interno
della rete.
In molte delle reti una vulnerabilità comune è riscontrabile nel router che
permette l’accesso a più servizi di quelli necessari,come a più hosts di quanto ne
servano realmente.
Un primo passo è quello di considerare attentamente quali sono i servizi
ammessi a transitare (in ingresso e in uscita) attraverso il router, se è possibile
creare una linea di condotta per individuare i servizi ammessi e quelli proibiti.
Di seguito viene riportato uno schema formato da 2 tabelle: la prima tabella
elenca i servizi che devono essere completamente bloccati dal router, il loro
transito deve essere vietato in entrambe le direzioni. La seconda tabella vede
invece quei servizi sulla rete protetta che non devono essere accessibili
dagli “external clients”. In generale l’amministratore di sistema dovrebbe
creare filtri su quei servizi e su gli host che hanno particolari permessi,
negando l’accesso ad ogni altra cosa. L’adozione di questa configurazione da
parte dell’amministratore di sistema, implica di non dover ogni volta modificare
i servizi permessi/negati sul router.
Pagina.7