STATO MAGGIORE DIFESA
Reparto Informazioni e Sicurezza
Ufficio Sicurezza Difesa
BOLLETTINO DI
SICUREZZA
INFORMATICA
N°3/2003
 SISTEMI OPERATIVI :
- IL FILE “HOSTS” ANTISPYWARE
Pag. 1
- L’IMPORTANZA DEL COMANDO “NETSTAT”
Pag. 5
- CONFIGURARE I FILTRI TCP/IP
Pag. 8
 FOCUS ON….:
-
BUFFER OVERFLOW ALL’INTERNO DI REALONE E REALPLAYER
- DOS VIA NETWORK AL 3COM RAS 1500
Pag. 9
Pag. 9
 SICUREZZA DELLA RETE:
- LE VENTI VULNERABILITA’ PIU’ CRITICHE PER LA SICUREZZA IN INTERNET
(SETTIMA PARTE).
Pag. 10
PER CONTATTI : TEL. 06/46917156–FAX 06/36000904
E-MAIL : [email protected]
IL FILE “HOSTS” ANTISPYWARE
Il modo più semplice e rapido per evitare “la fuga” di informazioni dal proprio
PC è quello di impedirne l'uscita modificando il file "HOSTS" (file senza
estensione). E' un file di testo, che, anche se non ha l'estensione TXT puo'
essere
aperto
con
il
Notepad
(Blocco
appunti).
Il file e' in diversa posizione a seconda della versione del sistema operativo,
in NT/2000 e' in WINDOWS/system32/drivers/etc/ (dove WINDOWS e' la
directory principale di installazione, puo' essere ad esempio WINNT) nei
sistemi Win95/98/ME dovrebbe essere nella directory di installazione stessa.
Una volta trovato il file, e aperto con il notepad, si nota che oltre tante altre
righe di commento (che iniziano con #) ci dovrebbe essere ALMENO UNA riga
del
tipo
127.0.0.1
localhost
Questa significa che il nome 'localhost' e' associato all'indirizzo IP 127.0.0.1,
indirizzo di default del PC.
Per capire meglio il concetto di indirizzo IP e come il PC rintraccia un server
Web, vengono di seguito illustrati alcuni brevi concetti.
Indirizzi IP.
Le reti collegate ad Internet attraverso i protocolli TCP/IP utilizzano un
indirizzo a 32 bit per individuare un computer e la rete nella quale è inserito.
Il formato di tale indirizzo è:
Indirizzo IP = Indirizzo di rete + Indirizzo di host
L'indirizzo è rappresentato da 4 byte ognuno dei quali espresso in forma
decimale da 0 a 255 e separato dagli altri con un punto. Ad esempio, un
tipico indirizzo IP è: 195.32.115.9. Sono consentiti quattro tipi di formati di
indirizzo IP indicati con classe A, classe B, classe C e classe D. E' previsto un
ulteriore formato per usi futuri indicato con classe E.
Pagina 1
DNS (Domain Network Service).
Poiché non è facile ricordare a memoria l'indirizzo IP numerico del server al quale ci
si desidera collegare, si è pensato di utilizzare un indirizzo mnemonico da porre in
corrispondenza biunivoca con l'indirizzo numerico IP attraverso una tabella.
L'indirizzo mnemonico, denominato DNS (Domain Name System), non è del tutto
casuale ma segue una logica che consente, seppur in minima misura, di riconoscere
la natura del sito: università (edu), militare (mil), governativo (gov), commerciale
(com), italiano (it), inglese (uk), svizzero (ch), ecc. e il tipo di protocollo: ftp (file
transfert protocol), www (world wide web), mail, news, gopher, ecc. I vari nomi che
compongono l'indirizzo sono separati tra loro da un punto. Ad esempio, i seguenti
DNS individuano, rispettivamente:
•www.google.it:
un server World Wide Web italiano di google.
•www.microsoft.com un server World Wide Web commerciale di nome microsoft.
Dopo una breve panoramica sugli indirizzi IP e DNS torniamo al file HOSTS di
Windows. Quando si scrive un indirizzo web sull’apposita riga del pannello del
Browser (es: www.prova.it) il PC cerca il corrispondente indirizzo IP nel file HOSTS,
se non trovato manda al server DNS del fornitore ISP (Internet Service Provider
ad es: tin.it, libero.it, infinito.it, ecc) la richiesta di convertirlo in indirizzo IP. Il
server DNS del provider dopo la conversione, prosegue instradando la richiesta al
sito in questione comportandosi come un Router.
Volendo
intervenire
possiamo fornire al sito SPYWARE (ad es: www.sitospyware.xxx) un indirizzo IP non
valido. La “particolarità” consiste nell'inserire nel file HOSTS la seguente digitura:
127.0.0.1 www.sitospyware.xxx
Oppure:
0.0.0.0 www.sitospyware.xxx
127.0.0.1 e 0.0.0.0 individuano il "LOCALHOST" ovvero l' HOST locale (il PC). Quindi
quando il software SPYware tenta di inviare i dati al sito previsto, manda la
richiesta di conversione dell'indirizzo al PC (al file HOSTS) che lo converte
nell'indirizzo locale della nostra macchina con il risultato che i dati non vengono
inviati nella rete.
Modifica al File HOSTS.
Si può reperire un file HOSTS per windows aggiornato con tutti i siti SPYware
"cortocircuitati" a LOCALHOST all'indirizzo:
http://www.smartin-designs.com/
Pagina 2
Il file si presenta compresso con l’estensione .zip, una volta scompattato si
presenta come in figura con il nome di: Invalid.txt
In questo file, che può essere aggiornato, sono elencati i siti web riconosciuti come
probabili spyware; di conseguenza con un file HOSTS fatto in questo modo si può
bloccare l’invio di informazioni in partenza dal PC.
SVANTAGGI.
•SE GLI INDIRIZZI DEL SOFTWARE SPYWARE VENGONO TRASMESSI COME
INDIRIZZO IP IL FILE HOSTS MODIFICATO NON PUO' BLOCCARLI (se non avviene
la trasformazione da indirizzo web a IP il metodo non funziona).
•Presupponiamo
che
l'utente
conosca
tutti
gli
indirizzi
web
(es:ads.doubleclick.com) a cui vengono inviati i nostri dati. Nel web sono stati
creati dei database contenenti tutte le liste di indirizzi SPYware conosciuti per i siti
americani conosciuti, per i siti pubblicitari italiani potrebbero esserci dei problemi.
•Nelle reti in cui è presente un Proxy Server può succedere che non sempre è
possibile "bypassare" (scavalcare) il Proxy.
•Usando l'indirizzo 0.0.0.0, il comando "netstat" visualizza oltre ai servizi effettivi
in ascolto anche tutti gli indirizzi posti a 0.0.0.0 nel file HOSTS. Per eliminare
questo inconveniente basta sostituire al posto di 0.0.0.0. il 127.0.0.1
•Nel caso in cui non si riesca più a connettersi ad un sito web dopo la modifica del
file HOSTS; si può risolvere il problema aprendo il file con un nomale editor di testi
(es: BloccoNote) e inserire il carattere "#" all'inizio della riga contenete il sito in
questione ("#" indica un commento). Ricordiamo che se quel sito a cui non si
riesce ad accedere è presente nel file HOST, significa che il sito è a rischio.
Pagina 3
Vantaggi.
•Evitare la trasmissione di informazioni inutili significa disporre di più "banda"
(maggiore capacità di trasmissione) per le altre applicazioni.
•I comuni software "AD-BLOCKING" bloccano solo le informazioni pubblicitarie
che passano attraverso connessioni provenienti da server HTTP (porta 80). Tutte
le altre connessioni non vengono "filtrate". Il metodo del file HOSTS permette di
controllare tutte le connessioni da QUALSIASI PORTA.
•Possibilità di scegliere quali indirizzi possono "passare" e quali no!!
Pagina 4
L’IMPORTANZA DEL COMANDO “NETSTAT”
Netstat è un programma che permette di ottenere informazioni sulle
connessioni in corso rivelando se qualche estraneo si è inserito nella
macchina. Per accedere a questo programma bisogna andare nel prompt dei
comandi dos.
Il programma Netstat, presente su ogni piattaforma che opera in rete,
costituisce una risorsa preziosa in quanto è in grado di visualizzare
informazioni sulle connessioni di rete: rilevando il protocollo su cui si basano
(Tcp o Udp), l'indirizzo locale, quello remoto e lo stato della connessione
stessa. Esamineremo il significato di ognuna di queste voci, oltre alle opzioni
con cui l'applicazione può essere lanciata dal prompt dei comandi. Anche se
l'attenzione è rivolta alla versione fornita da Windows, quanto riportato è
generalmente valido per ogni sistema: i dettagli che contraddistinguono le
varie implementazioni di questo programma sono infatti minime. Infine
cercheremo di mettere in luce i suoi punti deboli, se usato come strumento
d'analisi sulla sicurezza dei computer.
Indirizzi e porte
Un server può offrire molteplici servizi (invio e gestione posta, Web etc.), ma
come fa a sapere di quale servizio il client vuole di volta in volta usufruire? Il
"trucco" è quello di associare a ogni servizio disponibile una specifica porta,
le cui caratteristiche sono ben definite, assieme alle descrizioni dei protocolli,
in diverse documentazioni tecniche reperibili su Internet, come ad esempio le
Rfc reperibili su http://www.rfc-editor.org/. In un ufficio postale di qualche
anno fa esistevano vari sportelli, ognuno dei quali svolgeva un servizio ben
determinato: uno per le raccomandate, uno per i pacchi,uno per i
telegrammi, uno per vaglia e conti correnti, uno per il pagamento delle
pensioni. Analogamente, una macchina connessa alla rete (l'"ufficio postale")
ha una serie di porte (gli "sportelli"), ognuna delle quali ha un numero ed e'
associata a un ben determinato servizio. La porta è un numero a 16 bit,
compreso fra 0 e 216 , ossia 65.535, le cosiddette “well-knows ports” (Servizi
Ben Noti). I piu' usati sono il 21 per l'ftp,il 23 per telnet, il 25 per smtp (invio
di posta), 80 (http, pagine web; molti server usano anche la porta 8080), il
110 per pop3(ricezione di posta), il 119 per nntp (le news). Il file services (in
windows e' nella directory C:\<dir. di Windows>\System) li elenca in maniera
piu' dettagliata.
Pagina 5
Leggere Netstat
Per ottenere le informazioni sulle connessioni in corso basta semplicemente digitare
"netstat" dal prompt dei comandi DOS. Saranno visualizzate quattro colonne:
"Proto", "Indirizzo locale", "Indirizzo remoto", "Stato".
La prima indica il protocollo su cui si basa la connessione e può assumere i valori tcp
o udp. Il Tcp garantisce che i dati non vadano persi lungo il percorso, perciò è
largamente impiegato laddove l'affidabilità è il requisito preminente. Si preferisce
l'Udp quando vi è la necessità di una connessione veloce (ad esempio durante le
trasmissioni di stream audio/video), benché spesso questa differenza sia più teorica
che reale. Nel campo "indirizzo locale" appare il proprio Ip o il nome host locale.
L'indirizzo Ip è una specie di "targa" che identifica in maniera univoca un host.
Connettendosi alla Rete via telefono con un modem se ne ottiene uno dinamico,
diverso ad ogni collegamento, mentre i server ne possiedono uno statico. I dati
riportati in questo campo sono riportati nella forma indirizzo IP porta. Lo stesso vale
per il campo "Indirizzo remoto“. Quando la porta e host non sono ancora definiti,
compaiono rispettivamente un asterisco o l'indirizzo fittizio 0.0.0.0 al loro posto. Se
ad esempio un'applicazione è in ascolto su una porta, ossia è in attesa di
connessioni, ovviamente l'indirizzo remoto non può essere già noto.
Allo stesso modo, grazie a Netstat si possono controllare eventuali connessioni
sospette, rilevatrici della possibile presenza di una backdoor, una porta di servizio
aperta clandestinamente per "controllare" in qualche modo il nostro Pc. Molti di
questi "troiani", se non specificato altrimenti dal "pirata", usano una porta
predefinita: così, quando una di queste è aperta, si può sospettare di essere l'ospite
inconsapevole di una di queste presenze indesiderate. Un elenco di queste porte lo
si può trovare su : http://www.sans.org/newlook/resources/IDFAQ/oddports.htm
Infine, la quarta colonna indica lo stato attuale della connessione e può assumere i
valori riportati nella tabella che segue.
Pagina 6
I valori che può assumere una connessione :
* ESTABLISHED: la connessione è stata stabilita.
* LISTEN: un'applicazione è in ascolto sulla porta, in attesa di una
connessione;
* SYN_RECEIVED: inizializzazione della connessione in corso;
* SYN_SEND: la porta sta tentando di avviare la procedura d'inizializzazione;
* LAST_ACK: in attesa della conferma finale per la chiusura della
connessione;
* CLOSE_WAIT: la porta remota chiude la connessione e attende il
messaggio di conferma finale;
* FIN_WAIT_1: la porta è chiusa e la connessione è sul punto di terminare;
* FIN_WAIT_2: la connessione è chiusa e la porta è in attesa della conferma
dall'altra parte;
* TIMED_WAIT: la porta è in attesa della conferma della conclusione della
connessione;
* CLOSED: connessione definitivamente chiusa.
Netstat può essere lanciato con diverse opzioni che devono essere scritte,
con uno spazio nel prompt dei programmi, come ad esempio netstat -a.
Le opzioni di Netstat
* -a: visualizza tutte le connessioni, anche quelle in stato listening, che
normalmente non sono mostrate.
* -n: visualizza porte e indirizzi in forma numerica. Altrimenti i nomi host
compaiono al posto degli Ip e il nome del servizio (Http, Nntp e così via) in
luogo della porta.
* -e: visualizza le statistiche Ethernet.
* -p proto: mostra le connessioni in corso tramite il protocollo specificato da
proto. Proto può assumere i valori tcp o udp.
* -s: visualizza le statistiche ordinate per protocollo. Di norma l'ordine è Tco,
Udp, Icmp e Ip, ma usato in combinazione con l'opzione p può fungere da
filtro per le informazioni: ad esempio "netstat -s -p udp" visualizza solo le
statistiche relative al protocollo Udp.
* -r visualizza la tabella di routing.
* intervallo: ripete l'operazione ogni tot secondi. Per bloccare l'esecuzione si
deve premere Ctrl+C (combinazione predefinita per la chiusura delle
applicazioni in ambiente Ms-Dos). Ad esempio "netstat -a 5" visualizza tutte
le connessioni ogni 5 secondi.
Pagina 7
CONFIGURARE I FILTRI TCP/IP
Se non si dispone di un firewall o se non si è in grado di amministrare il
router per qualsiasi ragione, si può far diventare il computer una sorta di
firewall limitando le connessioni in ingresso ricevute. In Windows 2000,
fare clic sul pulsante Start, scegliere Impostazioni, quindi Rete e
connessioni remote, fare clic con il pulsante destro del mouse sulla
scheda di rete connessa a Internet e scegliete Proprietà. Selezionare
Protocollo Internet (TCP/IP) e scegliere il pulsante Proprietà, quindi il
pulsante Avanzate e passare alla scheda Opzioni. Selezionare Filtro
TCP/IP e scegliere il pulsante Proprietà. Verrà visualizzata una finestra
di dialogo simile a quella illustrata nella figura. Da qui è possibile limitare
le porte che accettano le connessioni in ingresso. Nell'esempio illustrato in
figura, l'accesso è limitato in maniera tale che possano essere utilizzate
solo le porte 80 e 443 per le connessioni HTTP e HTTPS (nel caso la
macchina venga usata come web server).
Pagina 8
FOCUS ON…..:
BUFFER OVERFLOW ALL’INTERNO DI REALONE
E REALPLAYER :
DATA : 28.03.2003;
VERSIONI INTERESSATE: RealOne Player, RealOne Player v2, RealPlayer
8, RealOne Enterprise Desktop Manager, RealOne Enterprise Desktop;
DESCRIZIONE : Una vulnerabilità riconosciuta come “buffer overflow” è
stata individuata nelle librerie che gestiscono le immagini PNG (Portable
Network Graphics). Un “remote user” potrebbe costruire codici ad hoc pronti
per essere eseguiti, sfurttando tale vulnerabilità;
IMPATTO : Un “remote user” potrebbe creare un file PNG opportunamente
modificato, il quale una volta “caricato” dall’user vittima, potrebbe dare
luogo all’esecuzione di codici arbitrari;
SOLUZIONE : Per risolvere tale vulnerabilità la casa costruttrice consiglia di
visitare il proprio sito al seguente indirizzo :
http://www.service.real.com/help/faq/security/securityupdate_march2003.html
.
DOS VIA NETWORK AL 3COM RAS 1500
DATA : 28.03.2003;
VERSIONE INTERESSATA : 3Com Super Stack Remote Access System
1500; Firmware x2.0.10;
DESCRIZIONE: Sono state riportate due vulnerabilità all’appliance 3Com
Super Stack RAS della serie 1500, tramite il quale un “remote user”
potrebbe :
- mandare in crash il device;
- potrebbe recepire informazioni dalla configurazione del device.
Il remote user per fare questo, crea e spedisce un pacchetto IP
opportunamente modificato, in questo caso settando a zero il campo
“hlen” (Header LENgth ), causando così il crash del sistema e sconnettendo
tutti gli utenti collegati all’interfaccia PRI-ISDN.
IMPATTO: Un “remote user” potrebbe mandare in crash il router,
sconnettendo tutti gli utenti collegati per poi autoavviarsi.
Pagina 9
LE VENTI VULNERABILITA’ PIU’ CRITICHE
PER LA SICUREZZA IN INTERNET
(SETTIMA PARTE)
W5 Accesso anonimo - Null session
W5.1 Descrizione:
Una connessione tramite Null session, nota anche come Accesso anonimo, è
un meccanismo che consente ad un utente anonimo di ottenere informazioni
attraverso la rete (come ad esempio nomi utente e condivisioni) o di
connettersi senza autenticazione. Viene utilizzato da applicazioni come
explorer.exe per enumerare le condivisioni sui server remoti. Nei sistemi
Windows NT, 2000 e XP, molti servizi locali sono eseguiti con l'account
SYSTEM, noto su Windows 2000 e XP come LocalSystem. L'account SYSTEM
viene utilizzato per varie operazioni critiche di sistema. Quando una macchina
ha bisogno di recuperare dati di sistema da un'altra, l'account SYSTEM apre
una sessione nulla su questa seconda macchina.
L' account SYSTEM possiede privilegi virtualmente illimitati e non richiede
alcuna password, in modo che non ci si possa connettere normalmente come
SYSTEM. A volte l’account SYSTEM ha bisogno di accedere ad informazioni
presenti su altre macchine come ad esempio condivisioni disponibili, nomi
utente e altre funzionalità tipiche delle Risorse di Rete. Poiché non può
connettersi agli altri sistemi con UserID e password, utilizza per accedere una
Sessione Nulla. Sfortunatamente anche gli aggressori possono connettersi
utilizzando una Sessione Nulla.
W5.2 Sistemi operativi interessati
Tutte le versioni di Windows NT, 2000 e XP.
W5.3 Riferimenti CVE
CAN-2000-1200
W5.4 Come determinare se siete vulnerabili
Provate a connettervi al vostro sistema con una Sessione Nulla utilizzando il
seguente comando:
net use \\a.b.c.d\ipc$ "" /user:""
(dove a.b.c.d rappresenta l'indirizzo IP del sistema remoto).
Se ricevete una risposta di "connessione non riuscita", il vostro sistema non è
vulnerabile. Se non ricevete alcuna risposta significa che il comando è stato
eseguito con successo e il vostro sistema è vulnerabile.
Potete anche utilizzare lo strumento "Hunt for NT". Si tratta di un componente
dell’NT Forensic Toolkit reperibile presso http://www.foundstone.com/.
Pagina 10
W5.5 Come proteggersi
I controller di dominio richiedono sessioni nulle per comunicare. Perciò, se state
lavorando in un dominio di rete, potete limitare la quantità di informazioni che può
cadere in mano agli aggressori, ma non potete fermarne del tutto la disponibilità. Per
limitare la quantità di informazioni disponibili agli aggressori, modificate la seguente
chiave di registro:
HKLM/System/CurrentControlSet/Control/LSA/RestrictAnonymous=1
Ricordate che qualsiasi modifica al registro potrebbe provocare un malfunzionamento
del vostro sistema. Effettuate quindi le opportune verifiche prima di renderle la
modifica definitiva. Per semplificare il ripristino del registro, vi raccomandiamo di
effettuarne sempre il backup (comando File - Esporta).
L’impostazione di RestrictAnonymous su 1 permette ugualmente la disponibilità di
alcune informazioni per gli utenti anonimi, ma la riduce al minimo. Questa è
l’impostazione più restrittiva possibile in Windows NT. In Windows 2000 e XP potete
invece impostare il valore a 2. Questa azione bloccherà l’accesso degli utenti anonimi
a tutte le informazioni con permessi di accesso non esplicitamente assegnati all’utente
anonimo o al gruppo Tutti, il quale include anche gli utenti della sessione nulla.
Se non avete bisogno della condivisione di file e stampa, svincolate il NetBIOS dal
TCP/IP.
Fate attenzione al fatto che la configurazione di RestricAnonymous sui controller di
dominio e su altri server specifici può compromettere molte operazioni normali di rete.
Per questa ragione si raccomanda di configurare questo valore solo per le macchine
visibili da Internet. Tutte le altre macchine dovrebbero essere protette da un firewall
configurato per bloccare NetBIOS e CIFS.
L'accesso ai controller di dominio o ad altri computer non specificamente configurati
per l'accesso esterno non dovrebbe essere mai consentito agli utenti Internet. Per
fermare tale accesso, bloccate sul router esterno o sul firewall le porte TCP e UDP
dalla 135 alla 139 e le porte 445 TCP e UDP.
Pagina 11