Interazione con GARR-CERT
Roberto Cecchini
GARR-CERT
I servizi telematici per la comunicazione e la sicurezza delle informazioni
Bologna, 23-24 Novembre 2000
Interazione con GARR-CERT
GARR-CERT

Il servizio
– istituito nel Marzo 1999, pienamente operativo da Giugno 1999;
– 7 unità: 1 a tempo pieno e 6 a tempo parziale, sede centrale a Firenze


Gli utenti sono tutte le istituzioni afferenti alla rete GARR.
I compiti
– rispondere alle segnalazioni di incidenti, avvertire ed assistere gli utenti coinvolti
e seguire gli sviluppi;
• riservatezza: nessuna informazione viene rivelata senza l’esplicito consenso degli
interessati
– diffondere informazioni sulle vulnerabilità più comuni e sugli strumenti di
sicurezza da adottare;
– gestire corsi di aggiornamento tecnico;
– provare strumenti esistenti, e svilupparne di nuovi per esigenze specifiche.

Coordinamento con gli altri CSIRT Europei
– “Trusted Inroducer”
Bologna, 23-24/11/2000
I servizi telematici per la comunicazione e la sicurezza delle informazioni
1
Interazione con GARR-CERT
Chi siamo

Membri
–
–
–
–
–
–
–


Roberto Cecchini
Claudio Allocchio
Paolo Amendola
Luca dell'Agnello
Francesco Gennai
Francesco Palmieri
Andrea Pinzani
<[email protected]>
<[email protected]>
<[email protected]>
<[email protected]>
<[email protected]>
<[email protected]>
<[email protected]>
Le chiavi pgp sono reperibili su http://www.cert.garr.it/PGP/
È disponibile anche una chiave di GARR-CERT con cui vengono
firmate alcune pagine sul server web e utilizzabile per inviare
informazioni in forma riservata
Bologna, 23-24/11/2000
I servizi telematici per la comunicazione e la sicurezza delle informazioni
2
Interazione con GARR-CERT
I servizi (1/2)

Server web
– http://www.cert.garr.it/

Mailing list
– [email protected]
•
•
•
•
gli iscritti sono tutti i membri di GARR-CERT;
posting libero;
riceve anche i mail diretti ad [email protected];
chiunque può (e dovrebbe) usarla per segnalare incidenti.
– [email protected]
•
•
•
•
iscrizione aperta a tutti, posting ristretto
diffusione di allarmi di sicurezza
comunicazioni di interesse generale
per iscriversi inviare un mail a [email protected], con nel testo
“subscribe”
Bologna, 23-24/11/2000
I servizi telematici per la comunicazione e la sicurezza delle informazioni
3
Interazione con GARR-CERT
I servizi (2/2)

Documenti (reperibili sul server web)
– L. dell'Agnello, Guida alla configurazione sicura del router.
– L. dell'Agnello, Installazione e configurazione di Berkeley sendmail su
piattaforma Unix.
– P. Amendola, Virus diffusi via e-mail.
– P. Amendola, Uso e configurazione di Secure Shell
– Presentazioni del II Incontro di GARR-B




Security Alerts (P. Amendola) e tabelle riepilogative (A. Pinzani)
Controllo vulnerabiltà (su richiesta dell’APM)
Organizzazione incontri (per APM)
Attività di sensibilizzazione utenza
Bologna, 23-24/11/2000
I servizi telematici per la comunicazione e la sicurezza delle informazioni
4
Interazione con GARR-CERT
Procedura di gestione incidenti

http://www.cert.garr.it/incidenti.php3
(approvata dall’OTS GARR il 20/12/99)
1. GARR-CERT invia una comunicazione di apertura incidente ai
responsabili locali coinvolti e all’APM;
2. se il problema non viene risolto GARR-CERT invia all'APM la richiesta di
filtraggio sul router di connessione alla rete GARR;
3. se l'APM non interviene entro i tempi richiesti, GARR-CERT invia al
GARR-NOC la richiesta di filtraggio sul router di accesso al GARR.

Tempi di intervento richiesti:
–
–
–
open mail relay: 3 giorni;
nodi origine di azioni ostili (port scan, attacchi, ecc.): 1 giorno;
router utilizzati per attacchi DoS (ad es. smurf) perché erroneamente
configurati: 1 ora.
Bologna, 23-24/11/2000
I servizi telematici per la comunicazione e la sicurezza delle informazioni
5
Interazione con GARR-CERT
Tipi di attacchi

Chiunque può diventare un hacker
– sono disponibili in rete programmi già pronti che sfruttano le
vulnerabilità note: non è richiesta nessuna competenza.


Spesso i sistemi in rete sono mal gestiti o addirittura abbandonati.
IPv4 non è stata progettata pensando alla sicurezza delle applicazioni
(con IPv6 le cose dovrebbero andare meglio):
–
–
–
–
Spoofing;
Session hijacking;
Man-in-the-middle;
Denial of Service (DoS);
• SYN flood, mail bombing, ping flood, ecc. ecc.
– Sniffing.
Bologna, 23-24/11/2000
I servizi telematici per la comunicazione e la sicurezza delle informazioni
6
Interazione con GARR-CERT
Vulnerabilità scoperte (1/2)
100
80
da http://www.securityfocus.com/
Linux(aggr.)
RedHat
Windows 9x
Windows NT/2000
60
BSD(aggr.)
FreeBSD
OpenBSD
40
AIX
HP-UX
20
0
1997
Bologna, 23-24/11/2000
1998
1999
2000
I servizi telematici per la comunicazione e la sicurezza delle informazioni
7
Interazione con GARR-CERT
Vulnerabilità scoperte (2/2)
da http://www.securityfocus.com
Bologna, 23-24/11/2000
I servizi telematici per la comunicazione e la sicurezza delle informazioni
8
Interazione con GARR-CERT
Metodi più comuni di accesso

Vulnerabilità più di moda (al momento):
–
–
–
–
–
–

ftpd;
rpc.statd (Sun, in particolare);
mountd;
bind;
imap/pop;
ftp anonimo (warez).
Password “rubate”
– una volta ottenuto l’accesso, anche non privilegiato, è molto facile
diventare root (e non solo su Linux!);
– ben più della metà delle compromissioni segnalate sono state fatte
così!!!
Bologna, 23-24/11/2000
I servizi telematici per la comunicazione e la sicurezza delle informazioni
9
Interazione con GARR-CERT
Modus operandi (1/2)

Compromissione:
– da remoto:
• utilizzo di un exploit su un servizio (ad es. ftp) con ottenimento shell di root;
– da locale:
• login con password “legittima”:
• scarico via rete programma di exploit (ad es. da ftp.technotronix.com);
• compilazione, esecuzione e ottenimento shell di root.

installazione rootkit (e altre backdoor)
–
–
–
–
sostituzione prinicipali demoni e utility di sistema
shell suid in directory utente
…
i file di controllo spesso in /dev con nomi “strani”, ad es. “ “, “.. “, “…”,
ecc.
Bologna, 23-24/11/2000
I servizi telematici per la comunicazione e la sicurezza delle informazioni
10
Interazione con GARR-CERT
Modus operandi (2/2)

cancellazione tracce:
– ripulitura file di log
– shell history in /dev/null

attività preferite:
– sniffer:
• interfaccia generalmente in modo promiscuo, ma non necessariamente
– bot IRC:
• traffico di rete elevato
• attività apparentemente da nodi che non esistono
– scansioni;
– DoS:
• elevato traffico icmp
– ponte per attacchi ad altri nodi (in special modo sulla stessa LAN).
Bologna, 23-24/11/2000
I servizi telematici per la comunicazione e la sicurezza delle informazioni
11
Interazione con GARR-CERT
Mi hanno compromesso?


Ho ricevuto segnalazioni di attività sospette proveniente dalla mia
macchina.
La macchina si comporta in modo strano:
–
–
–
–
–
molto lenta, ma top non segnala nulla di particolare;
uno o più fs sono pieni, ma non riesco a scoprire perché;
i file di log sembrano incompleti o sono addirittura scomparsi;
il traffico in rete è molto elevato;
ecc. ecc.
Bologna, 23-24/11/2000
I servizi telematici per la comunicazione e la sicurezza delle informazioni
12
Interazione con GARR-CERT
Mi hanno compromesso! (1/2)

Staccate la macchina dalla rete e lavorate in single user
– potrebbe essere meglio staccare la corrente!
– molto probabilmente ps, ls, find, netstat, ecc. non sono affidabili.

Provate a seguire le tracce dell’intruso (qualche volta si dimentica di
ripulirle…):
– messages, xferlog, wtmp, maillog, ecc.
• molto consigliabile che i file di log vengano salvati anche su un’altra
macchina;
– shell history file.

Fate un backup il più completo possibile (anche a fini legali)
– in alternativa smontate (e conservate) il disco.
Bologna, 23-24/11/2000
I servizi telematici per la comunicazione e la sicurezza delle informazioni
13
Interazione con GARR-CERT
Mi hanno compromesso! (2/2)



Cercate di scoprire come è entrato l’intruso.
Modificate tutte le password.
Se l’intruso è diventato root (cosa abbastanza probabile…):
– reinstallate il sistema operativo (all’ultima versione e all’ultima patch!)
• è molto difficile altrimenti essere sicuri che non siano rimaste backdoor
– controllate l’esistenza di file suid/gid nelle directory utente;
– attenzione a riutilizzare i vecchi file di configurazione.

Quali altre macchine potrebbero essere state compromesse?
– usavate .rhost (o simili)?
– che accessi sulla rete locale sono stati fatti durante la compromissione?
Bologna, 23-24/11/2000
I servizi telematici per la comunicazione e la sicurezza delle informazioni
14
Interazione con GARR-CERT
Tipologia incidenti segnalati a GARR-CERT
BOT IRC
11%
Altro
4%
DoS
10%
Scansione
15%
Compromissione
15%
Spam
45%
Bologna, 23-24/11/2000
I servizi telematici per la comunicazione e la sicurezza delle informazioni
15
Interazione con GARR-CERT
Incidenti segnalati a GARR-CERT
Compromissione
200
Spam
Totali
12/99
2/00
150
100
50
0
6/99
8/99
Bologna, 23-24/11/2000
10/99
4/00
6/00
8/00
10/00
I servizi telematici per la comunicazione e la sicurezza delle informazioni
16
Interazione con GARR-CERT
Perchè segnalare un incidente?

Possiamo cercare di aiutarvi:
– assistenza tecnica;
– gestione incidente.

Le vostre segnalazioni ci permettono di avere un quadro più chiaro di
cosa sta succedendo sulla rete
– possiamo aiutare meglio gli altri dando informazioni più precise.


Informare i responsabili dei siti da cui è giunto l’attacco è quasi
sempre far loro un favore.
È una delle regole di convivenza civile su internet:
The Internet is a cooperative venture. The culture and practice in the Internet is
to render assistance in security matters to other sites and networks. Each site is
expected to notify other sites if it detects a penetration in progress at the other sites,
and all sites are expected to help one another respond to security violations.
Guidelines for the Secure Operation of the Internet (RFC1281)
Bologna, 23-24/11/2000
I servizi telematici per la comunicazione e la sicurezza delle informazioni
17
Interazione con GARR-CERT
Come segnalare un incidente (1/2)

Inviate un mail a [email protected] (o riempite il modulo online) con:
–
–
–
–
data e ora (con la precisione del vostro clock);
descrizione dell’incidente;
come essere contattati;
estratti dai log e eventuali altri file lasciati dall’intruso:
• se oltre 500k non li spedite, limitatevi a dire che li avete: verrete richiamati
per stabilire le modalità del trasferimento;
– permesso (o diniego) di diffondere la vostra identità:
• la vostra identità viene sempre mascherata, viene fornita solo su esplicita
richiesta della controparte e se avete data l’autorizzazione.
Bologna, 23-24/11/2000
I servizi telematici per la comunicazione e la sicurezza delle informazioni
18
Interazione con GARR-CERT
Come segnalare un incidente (2/2)

Riceverete un mail di conferma apertura incidente e verrete tenuti
aggiornati sugli sviluppi fino alla chiusura:
– vi verrà comunicato un codice identificativo dell’incidente (GARR-CERTxxxxxx) che vi preghiamo di citare in tutta la corrispondenza
successiva.

Valutate l’ipotesi di una denuncia alla Polizia Postale (anche solo a
fini cautelativi).
Bologna, 23-24/11/2000
I servizi telematici per la comunicazione e la sicurezza delle informazioni
19