1 / 19

BOLLETTINO DI SICUREZZA INFORMATICA

STATO MAGGIORE DIFESA Reparto Informazioni e Sicurezza Ufficio Sicurezza Difesa. BOLLETTINO DI SICUREZZA INFORMATICA. N°2/2003. INDICE. SISTEMI OPERATIVI : - ELENCO DELLE IMPOSTAZIONI DI PROTEZIONE BASE PER WINDOWS 2000

thanh
Télécharger la présentation

BOLLETTINO DI SICUREZZA INFORMATICA

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. STATO MAGGIORE DIFESA Reparto Informazioni e Sicurezza Ufficio Sicurezza Difesa BOLLETTINO DI SICUREZZA INFORMATICA N°2/2003

  2. INDICE • SISTEMI OPERATIVI : - ELENCO DELLE IMPOSTAZIONI DI PROTEZIONE BASE PER WINDOWS 2000 PROFESSIONAL Pag. 1 • FOCUS ON….: - SSL (SECURE SOCKET LAYER) VULNERABILITY Pag.6 - TECNICHE BASE DI HACKING Pag.7 - ETHERLEAK Pag.15 • SICUREZZA DELLA RETE:- LE VENTI VULNERABILITA’ PIU’ CRITICHE PER LA SICUREZZA IN INTERNET • (SESTA PARTE). Pag.16 PER CONTATTI : TEL. 06/46917156 – FAX 06/36000904 E-MAIL : ris.s@smd.difesa.it

  3. ELENCO DELLE IMPOSTAZIONI DI PROTEZIONE BASE PER • WINDOWS 2000 PROFESSIONAL • Nel presente elenco vengono evidenziate le attività necessarie per proteggere i computer che lavorano con Windows 2000 Professional in modo autonomo (stand alone) o come parte di un dominio Windows NT o Windows 2000. Lo scopo è quello di fornire istruzioni per la configurazione di un livello di protezione base. È possibile configurare e applicare le impostazioni di protezione a livello locale, tramite l'insieme dei tools di configurazione. I criteri di protezione possono essere applicati, utilizzando l'insieme dei tools per la configurazione della protezione e quindi distribuiti e applicati tramite i criteri di gruppo per i computer di un dominio. Un eventuale guida dettagliata sull’argomento è possibile trovarla all'indirizzo: • http://www.microsoft.com/TechNet/prodtechnol/windows2000serv/deploy/confeat/entsec.asp • Questo elenco di controllo contiene istruzioni che implicano la modifica del Registro di sistema. Prima di modificare il Registro di sistema, assicurarsi di sapere come ripristinarlo in caso di problemi. Per informazioni su tale procedura, vedere l'argomento della Guida in linea "Ripristino del Registro di sistema" in Regedit.exe o in Regedt32.exe. • Protezioni di base per Windows 2000 Professional: • Verificare che tutte le partizioni del disco siano state formattate con NTFS • Tramite le partizioni NTFS è possibile accedere a controlli e impostazioni di protezione non disponibili con il file system FAT, FAT32 o FAT32x. Assicurarsi che tutte le partizioni del computer siano state formattate tramite NTFS. Se necessario, utilizzare l'utilità convert per convertire le partizioni FAT in NTFS senza perdita di dati. • Attenzione Se si utilizza tale utilità, gli ACL (Access Control List) dell'unità convertita verranno impostati su Controllo completo per il gruppo Everyone. Per informazioni sul ripristino delle autorizzazioni NTFS predefinite nei computer Windows 2000, vedere l'articolo Q266118 della Microsoft Knowledge Base. • Verificare che la password associata all'account dell'amministratore sia sicura • In Windows 2000 è possibile utilizzare password costituite da un massimo di 127 caratteri. In generale, le password più lunghe sono più sicure di quelle più brevi e le password con diversi tipi di carattere (lettere, numeri, segni di punteggiatura e caratteri ASCII non stampabili generati utilizzando il tasto ALT e codici tastiera di tre cifre sul tastierino numerico) sono più sicure di quelle costituite esclusivamente da caratteri dell'alfabeto o alfanumerici. Per ottenere il massimo livello di protezione, assicurarsi che la password dell'account dell'amministratore includa almeno otto caratteri e almeno un segno di punteggiatura o un carattere ASCII non stampabile tra i primi sette caratteri. Occorre inoltre evitare la sincronizzazione della password dell'account dell'amministratore tra più computer. È consigliabile utilizzare password diverse in ogni computer per aumentare il livello di sicurezza del gruppo di lavoro o del dominio. Pagina 1

  4. Disattivare i servizi non necessari • Dopo avere installato Windows 2000, è necessario disattivare tutti i servizi di rete non necessari per il computer in uso. In particolare, controllare se il computer richiede l'uso dei servizi Web di IIS 5.1. • Disattivare o eliminare gli account non necessari • È consigliabile controllare l'elenco degli account attivi nel sistema nello snap-in Gestione Computer, sia per gli utenti che per le applicazioni, per disattivare tutti gli account non attivi ed eliminare quelli non più necessari. • Proteggere i file e le directory • Per informazioni dettagliate sulle impostazioni predefinite degli ACL del Registro di sistema di Windows 2000 e istruzioni sulle modifiche necessarie, vedere il documento intitolato Default Access Control Settings in Windows 2000 disponibile nel sito Web Microsoft TechNet dedicato alla protezione. • Verificare che l'account Guest sia disattivato • Per impostazione predefinita, l'account Guest è disattivato nei sistemi che eseguono Windows 2000. Se è attivato, disattivarlo. • Proteggere il Registro dall'accesso anonimo • Le autorizzazioni predefinite consentono l'accesso remoto al Registro solo ai gruppi Administrators e Backup Operators. Per modificare le impostazioni per l'accesso di rete al Registro di sistema • Aggiungere la seguente chiave al Registro: • Selezionare winreg, quindi scegliere Autorizzazioni dal menu Protezione. • Impostare l'autorizzazione relativa al gruppo Administrators su Controllo completo, controllare che non siano elencati altri utenti o gruppi, quindi fare clic su OK. • Le autorizzazioni di protezione (ACL) impostate per questa chiave definiscono gli utenti in gruppi in grado di connettersi al sistema per l'accesso remoto al Registro. Inoltre, la sottochiave AllowedPaths include un elenco delle chiavi a cui hanno accesso i membri del gruppo Everyone, indipendentemente dagli ACL impostati per la chiave winreg. Pagina 2

  5. In tal modo, risulta possibile eseguire funzioni di sistema specifiche, ad esempio il controllo dello stato della stampante, per lavorare in modo corretto indipendentemente dalle restrizioni di accesso impostate nella chiave winreg del Registro di sistema. Le impostazioni di protezione predefinite della chiave AllowedPaths del Registro di sistema consentono al solo gruppo Administrators la possibilità di gestire questi percorsi. Per ulteriori informazioni sulla chiave AllowedPaths e sul relativo utilizzo, vedere l'articolo Q155363 della Microsoft Knowledge Base. • Applicare gli ACL del Registro di sistema appropriati • Per informazioni dettagliate sulle impostazioni predefinite degli ACL del Registro di sistema di Windows 2000 e istruzioni sulle modifiche necessarie, vedere il documento Default Access Control Settings in Windows 2000 disponibile nel sito Web Microsoft TechNet dedicato alla protezione. • Limitare l'accesso alle informazioni LSA (Local Security Authority) pubbliche • È fondamentale essere in grado di identificare tutti gli utenti del sistema, pertanto è necessario limitare l'accesso da parte degli utenti anonimi, in modo che il volume di informazioni pubbliche sul componente LSA del sottosistema di protezione di Windows NT a cui questi utenti possono accedere risulti ridotto. Il componente LSA gestisce alcuni aspetti dell'amministrazione della protezione nel computer locale, inclusi l'accesso e le autorizzazioni. Per implementare queste limitazioni, creare e impostare la seguente voce del Registro: • Impostare criteri più severi per le password • Utilizzare lo snap-in Criteri di protezione locali per rafforzare le misure applicate dal sistema per l'accettazione delle password. Microsoft suggerisce di apportare le seguenti modifiche: • Impostare una lunghezza minima per la password di almeno 8 caratteri • Impostare una durata minima per la password adatta alla rete in uso (in genere compresa tra 1 e 7 giorni) • Impostare una durata massima per la password adatta alla rete in uso (in genere non superiore ai 42 giorni, valore di default) • Impostare un valore per la cronologia delle password pari ad almeno 6 utilizzando l'opzione "Memorizza password" • Path: risorse del computer – pannello di controllo – strumenti di amministrazione – criteri di protezione – criteri account – criterio password. Pagina 3

  6. Impostare i criteri di blocco degli account • Windows 2000 include una funzionalità di blocco degli account che consente di disattivare un account dopo un numero di accessi non riusciti specificato dall'amministratore. Per garantire la massima sicurezza, attivare il blocco dopo 3 - 5 tentativi non riusciti, reimpostare il conteggio dopo un periodo superiore ai 30 minuti e impostare la durata del blocco su "Indefinita (fino a sblocco dell'amministratore)". • Path: risorse del computer – pannello di controllo – strumenti di amministrazione – criteri di protezione – criteri account – criterio di blocco account. • Windows NT Server Resource Kit include uno strumento che consente di modificare alcune proprietà degli account non accessibili attraverso i normali strumenti di gestione. Tale strumento, denominato passprop.exe, permette di bloccare l'account dell'amministratore: • Per bloccare l'account dell'amministratore, utilizzare l'opzione /adminlockout • Configurare l'account dell'amministratore • Essendo incorporato in ogni copia di Windows 2000, l'account Administrator rappresenta un facile bersaglio. Per rendere più difficile l'attacco di tale account, eseguire la procedura descritta di seguito per l'account dell'amministratore locale di ogni computer: • Rinominare l'account scegliendo un nome non prevedibile (evitare ad esempio "admin", "principale" e così via). • Impostare un account fittizio denominato "Administrator" senza alcun privilegio. Controllare regolarmente il registro degli eventi per individuare eventuali tentativi di utilizzo di questo account. • Attivare il blocco degli account per gli effettivi account degli amministratori tramite l'utilità passprop. • Disattivare l'account dell'amministratore del computer locale. • Path: risorse del computer – pannello di controllo – utenti e password • Rimuovere tutte le condivisioni di file non necessarie • È necessario rimuovere tutte le condivisioni di file non necessarie presenti nel sistema per evitare l'eventuale diffusione di informazioni e impedire a utenti non autorizzati di utilizzare le condivisioni come punto di ingresso al sistema locale. • Impostare gli ACL appropriati per tutte le condivisioni di file necessarie • Per impostazione predefinita, tutti gli utenti dispongono di autorizzazioni di controllo completo per le condivisioni di file appena create. È consigliabile impostare gli ACL per tutte le condivisioni necessarie all'interno del sistema, in modo da concedere a ogni utente l'accesso più appropriato a livello di condivisione, ad esempio l'accesso in sola lettura. • Nota : È necessario utilizzare il file system NTFS se si desidera impostare gli ACL per i singoli file oltre alle autorizzazioni a livello di condivisione. Pagina 4

  7. Installare software antivirus e i relativi aggiornamenti • È assolutamente necessario installare un programma antivirus e mantenerlo aggiornato su tutti i sistemi Internet e Intranet. • Per ulteriori informazioni sulla protezione dai virus, visitare il sito Web Microsoft TechNet dedicato alla protezione all'indirizzo: • http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/virus/virus.asp • Installare il Service Pack più recente • Ogni Service Pack per Windows include tutte le correzioni di protezione rese disponibili nei Service Pack precedenti. Microsoft consiglia di utilizzare sempre il Service Pack più aggiornato e di installare quello corretto non appena possibile. Il Service Pack corrente per Windows 2000, SP2, è disponibile all'indirizzo: • http://www.microsoft.com/windows2000/downloads/servicepacks/sp2/ • I Service Pack sono inoltre disponibili presso il sito del supporto tecnico Microsoft. Per informazioni su come contattare il Servizio Supporto Tecnico Clienti Microsoft, visitare il sito all'indirizzo http://support.microsoft.com/support/contact/default.asp . • Installare gli aggiornamenti rapidi di protezione appropriati successivi al Service Pack • Microsoft pubblica informazioni aggiornate sulla protezione tramite un servizio di notifica sulla protezione. Se nei relativi documenti viene raccomandata l'installazione di un aggiornamento rapido della protezione, scaricare e installare immediatamente nei computer in uso l'aggiornamento rapido segnalato. • Ulteriori impostazioni di protezione • Sono inoltre disponibili ulteriori funzionalità di protezione non descritte nel presente documento che possono risultare utili in sistemi che eseguono Windows 2000. Per informazioni su queste funzionalità di protezione, quali Crittografia file system, Kerberos, IPSEC, PKI e le opzioni di protezione di Internet Explorer, visitare il sito Web Microsoft TechNet dedicato alla Sicurezza all'indirizzo: • http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/prodtech/wn2ksec.asp Pagina 5

  8. SSL (SECURE SOCKET LAYER) • Il Secure Socket Layer è un protocollo che garantisce la privacy delle comunicazioni su Internet; esso infatti permette alle applicazioni client/server di comunicare in modo da prevenire le intrusioni, le manomissioni e le falsificazioni dei messaggi. • Il protocollo SSL provvede alla sicurezza del collegamento garantendo tre funzionalità fondamentali : • Riservatezza del collegamento. La crittografia è usata dopo un handshake iniziale per definire una chiave segreta. Per crittografare i dati è usata la crittografia simmetrica (DES – RC4 etc.). • Autenticazione. L’identità nelle connessioni può essere autenticata usando la crittografia asimettrica, o a chiave pubblica (es. RSA, DSS etc.). In questo modo i client sono sicuri di comunicare con il corretto server, prevenendo ogni interposizione. E’ prevista la certificazione sia del server che del client. • Affidabilità. Il livello di trasporto include un check dell’integrità del messaggio basato su un apposito MAC (Message Authentication Code) che utilizza funzioni hash sicure (es. SHA, MD5 ETC.) In tal modo si verifica che i dati spediti tra client e server non siano stai alterati durante la trasmissione. • Detto questo è opportuno informare che in data 24/02/2003 alcuni ricercatori svizzeri sostengono di aver trovato un bug, dove si ritiene possibile, per un hacker sniffare le comunicazioni che avvengono fra client di posta elettronica e un server sicuro, decodificando porzioni del messaggio, come la password. • La debolezza scoperta in OpenSSL, benchè non trascurabile, può essere sfruttata con una certa probabilità di successo solo con le e-mail: le transazioni sicure che avvengono via Web, come quelle di e-commerce, non sarebbero pertanto a rischio. • A breve saranno disponibili due nuove versioni: OpenSSL 0.97a (versione raccomandata) e OpenSSL 0.9.6i, chi volesse invece porre una patch, questa è disponibile al seguente indirizzo : www.openssl.org/news/secadv_20030219.txt, essa risulta compatibile con la versione OpenSSL 0.9.6a e successive. Pagina 6

  9. TECNICHE BASE DI HACKING • INTRODUZIONE • Gli attacchi informatici si sviluppano per tappe, utilizzando vari mezzi e varie tecniche. Un tipico attacco hacking consiste in: • - Selezione dell’obiettivo: un hacker individua un determinato computer da attaccare. L’hacker deve in qualche modo venire a conoscenza dell’esistenza di una macchina, o individuarla attraverso qualche attività di ricerca; • - Caratterizzazione dell’obiettivo: l’hacker determina le caratteristiche del bersaglio prima di cercare di colpirlo, attraverso informazioni sull’obiettivo disponibili pubblicamente o indagando sullo stesso per ottenere informazioni senza usare strategie di attacco; • - Selezione del metodo d’attacco: l’hacker tenta uno o più specifici attacchi da usare contro il bersaglio basati sulle informazioni raccolte; • - Progressione dell’attacco: l’hacker procede con l’attacco singolo o con una serie di attacchi. • Le tecniche di attacco utilizzate possono essere classificate nelle seguenti aree: • spionaggio (eavesdropping) e contraffazione (snooping); • denial of service (negazione del servizio); • impersonazione; • intermediazione (Man in the Middle); • dirottamento. • Una volta valutata l’infrastruttura di una rete e trovate le vulnerabilità, che possono essere sfruttate dall’hacker, si possono prendere delle misure per arginare le difese della rete. • SPIONAGGIO E CONTRAFFAZIONE • La cosa più facile che un hacker può fare per avere delle informazioni sulla rete è semplicemente ascoltare e, successivamente, chiedere ai computer della rete informazioni su loro stessi. L'hacker potrebbe non contattare direttamente i computer da attaccare, ma piuttosto iniziare ad indagare comunicando con i server che forniscono i servizi che essi utilizzano (per esempio i server Domain Name Service su Internet). I computer che lavorano in rete offrono volontariamente una serie di informazioni su se stessi e su come sono configurati, in modo particolare se sono lasciati nelle loro configurazioni di default. Gli hacker tenteranno di sfruttare tutti i dati ed i servizi di rete disponibili. Le comuni pratiche di hacking (ma l'elenco è senza dubbio limitato) includono le seguenti attività: • cattura della password; analisi del traffico; scansione dell'indirizzo di rete; • scansione delle porte TCP/IP; utilizzo di finger, whois, nslookup, ed esame dei DNS; • raccolta dei dati SNMP. Pagina 7

  10. CATTURA DELLA PASSWORD • La maggior parte delle attività di hacking espongono l'hacker ad un certo rischio di essere scoperto. Una delle attività che non crea questi pericoli è lo spionaggio del mezzo fisico della rete per ottenere informazioni di logon. Molti protocolli di rete non cifrano le password, permettendo così ad ogni computer sul percorso tra client e server di intercettare l’ username e la password. Non tutte le procedure di logon che utilizzano la crittografia sono al sicuro dallo spionaggio, perché, se la procedura di logon è debole, un hacker può registrare l'username e la password crittografata da spedire in seguito al server in un attacco "replay". Lo spionaggio richiede un software che ascolti tutte le comunicazioni che fluiscono nel mezzo fisico della rete. Un hacker che voglia spiare una rete dovrebbe anche procurarsi l'accesso ad un computer situato su un nodo di rete sul quale fluisca il traffico. Più dati passano attraverso il nodo, maggiori risultano le probabilità che un hacker catturi le password trasmesse in chiaro. L'ubicazione fisica non limiterà la capacità di spionaggio di un hacker che si è introdotto in altri computer sulla rete. Un computer già manomesso potrebbe registrare tutto ciò che passa sulla rete ed essere successivamente ispezionato dall'hacker. Lo spionaggio di rete è una tecnica che gli hacker possono utilizzare, nonostante la tecnologia impiegata per implementare una rete. Un'ampia rete IPX (protocollo di comunicazione usato eclusivamente su reti private) è tanto vulnerabile quanto lo è Internet o un Intranet che utilizzi TCP/IP. La contraffazione delle password di Windows su Internet è sorprendentemente facile. Microsoft ha progettato il meccanismo di autenticazione delle password Challange/Response in Internet Explorer con lo scopo primario di assicurarsi che le Intranet siano facili da realizzare. Questo meccanismo permette ad un server Web di chiedere ad un client quale sia la sua password. Il client risponderà con l'username dell'utente loggato e con la password crittografata a senso unico. La password può essere decrittata confrontandola con quelle della lista di parole decrittate precedentemente con un attacco a forza bruta. • ANALISI DEL TRAFFICO • Le password non sono le sole cose che un un hacker tenterà di intercettare mentre sta spiando il traffico in rete. Alcune informazioni sulla propria rete possono essere determinate proprio dalla natura del traffico in entrata e in uscita. Alcuni dati che l'hacker cercherà, potrebbero essere: • gli indirizzi IP dei computer sorgente e di quello di destinazione ; • le posizioni dei gateway e dei router; • particolari tipologie di traffico di rete che va o viene da un computer • che potrebbe identificare la funzione di un computer (DNS,FTP,etc.); • la disponibilità di servizi di rete che trasmettono in broadcasting a • più riceventi (come il servizio di aggiornamento dell'elenco delle • risorse di rete basato su NetBIOS) che (da una rete esterna ad una rete • privata) indica una falla nella sicurezza di rete o che (dall'interno • della stessa rete) indica i bersagli per ulteriori attacchi. Pagina 8

  11. SCANSIONE DELL’INDIRIZZO DI RETE Gli hacker che hanno più tempo a disposizione spesso usano una tecnica che è chiamata scansione dell'indirizzo di rete. L'hacker specificherà l'inizio e la fine dell'indirizzo da scansionare, e quindi un programma nel suo computer tenterà di stabilire un collegamento ad un computer su ognuno di quegli indirizzi di rete. Se un computer risponde ad uno qualsiasi di quegli indirizzi, allora l'hacker ha trovato un bersaglio. Tutte le tecnologie di rete che specificano un indirizzo di un tipo o di un'altro sono vulnerabili a questo tipo di attacco. TCP/IP è la tecnologia di rete più frequentemente usata dagli hacker essendo disponibili molteplici strumenti per la scansione. SCANSIONE DELLE PORTE TCP/IP Una volta che l'hacker ha identificato un computer come suo obiettivo, tenterà di determinare quale sia il sistema operativo e quali servizi stia offrendo ai client della rete. Su una rete basata su TCP/IP (come Internet), i servizi vengono forniti su connessioni numerate chiamate socket. I socket ai quali un computer risponde, spesso identificano il sistema operativo e i servizi supportati. Vi sono una serie di strumenti disponibili su Internet che possono essere utilizzati per determinare i socket in uso. Questi strumenti provano a turno ogni porta e segnalano quali porte rifiutano la connessione e quali l'accettano. La scansione della porta può rivelare quale sistema operativo il computer stia usando. Per esempio, scandendo le porte TCP tra 0 e 150, un hacker può individuare gli host di Windows (dalla presenza della porta 139 sulla scan list), gli host NT (dalla presenza della porta 135 sulla scan list) e altri host Unix (semplicemente dalla presenza di servizi TCP/IP come la porta 23, Telnet), che NT e Windows non installano per default. UTILIZZO DI FINGER, WHOIS, NSLOOKUP, E DNS ZONE TRANSFER Esistono una serie di servizi di rete che gli hacker utilizzerano per ottenere informazioni circa le porte utilizzate dal proprio host Internet. Il finger ed i servizi whois sono i favoriti dagli hacker in quanto essi forniscono l'username ed una serie di informazioni personali sugli utenti dei computer di rete. Questi servizi sono utili per coloro che hanno bisogno di contattare i membri della propria organizzazione o di trovare l'indirizzo e-mail di un utente della rete, ma gli hacker prenderanno gli username forniti da questi servizi e successivamente tenteranno di irrompere in quegli account cercando le password più comunemente utilizzate. A pochi utenti di rete mancheranno i servizi finger e whois, ma non si può dire lo stesso per il servizio DNS. Il servizio DNS è richiesto dal software client di Internet per convertire i nomi degli host di Internet , come per esempio www.microsoft.com, in indirizzi IP. Senza il servizio DNS, molte delle applicazioni client Internet come i Web browser, i client FTP, ed i client Telnet non funzionerebbero come gli utenti si potrebbero aspettare. Gli hacker possono usare un servizio DNS per scoprire la struttura di una rete. Poichè il DNS registra gli indirizzi IP e i nomi Internet di tutti i server sulla rete, l'hacker può ottenere una lista dei più importanti computer sulla rete. Lo strumento nslookup è un programma standard di Internet per interrogare i server DNS, e un hacker può costruire un programma basato su nslookup che farebbe perfino apparire il computer dell'hacker un server DNS dello stesso livello. Il problema della sicurezza è amplificato dal fatto che DNS è un servizio gerarchico. Se un server DNS non ha la rispsota alla sua richiesta, chiedere al server successivo. Pagina 9

  12. I server DNS sono pure configurati per trasferire blocchi dati di nomi e indirizzi di Internet usando una caratteristica chiamata Zone Transfer. Inoltre, molti siti web non rispondono alle richieste provenienti da Internet dai client che non hanno attivata la funzionalità di reverse mapping DNS, cosicché i server di questi siti devono poter essere in grado di connettersi al server DNS della rete per verificare che il reverse mapping esista. • RACCOLTA DEI DATI SNMP • Il Simple Network Management Protocol (SNMP) è uno strumento essenziale per gestire grandi reti TCP/IP. SNMP permette all'amministratore di fare interrogazioni remote per conoscere lo stato e controllare le operazioni dei dispositivi di rete che supportano SNMP. Di conseguenza, anche gli hacker possono utilizzare SNMP per acquisire informazioni su di una rete oppure interferire con le operazioni della rete. • DENIAL OF SERVICE (negazione del servizio) • Questo semplicissimo attacco può disturbare il funzionamento o perfino abbattere l'intera rete. Vi sono molti metodi che un hacker può usare per disabilitare un computer o un servizio fornito da un server/ host. La maggior parte di questi metodi agisce sui computer che usano TCP/IP, in quanto si tratta del protocollo più utilizzato su Internet da cui provengono i maggiori attacchi. • I metodi che gli hacker possono usare per disabilitare i computer o i loro servizi includono: • ping of death; • attacchi SYN e attacchi a "tempesta di ICMP"; • attacchi specifici al servizio; • ridirezione DNS; • ridirezione dell'istradamento: RIP, BGP e ICMP; • riconfigurazione SNMP. • PING OF DEATH • Questo tipo di attacco consiste nella creazione di un apposito pacchetto ICMP, che viola le regole di costruzione e può causare il crash del computer destinatario se il software di rete di quel computer non controlla e riconosce i pacchetti ICMP non validi. • ATTACCHI SYN E ATTACCHI A "TEMPESTA DI ICMP" • Un'altro mezzo che hanno gli hacker per bloccare il funzionamento di una rete di computer consiste nel sovraccaricare il software del protocollo di rete del computer bersaglio con tentativi di connessione o con richieste di informazioni. Il pacchetto iniziale IP di un tentativo di connessione TCP è semplice e facile da generare. Pagina 10

  13. Rispondere a un tentativo connessione occupa più tempo sul processore e più spazio nella memoria che generare un pacchetto ex-novo poichè il computer ricevente deve registare informazioni sulla nuova connessione ed allocare memoria per i dati della connessione. Un attaccante può inviare un pacchetto SYN dopo l'altro ad un computer e quel computer diventerà alla fine inabile a rispondere ad altri tentativi di connessione, in quanto tutto il tempo e la memoria disponibili saranno stati spesi dalle richieste di elaborazione SYN. Un attacco simile al protocollo di rete è la "tempesta di ICMP", in cui l'hacker invia un flusso costante di richieste echo ICMP al computer bersaglio, che alla fine sarà impegnato a rispondere alle richeste di echo piuttosto che a gestire il traffico di rete. ATTACCHI SPECIFICI AL SERVIZIO Di solito gli hacker non sono interessati a mandare in crash i computer. L'hacker può essere interessato , invece, a disattivare definitivamente uno dei servizi supportati dal computer connesso alla rete. In particolare vi sono dei servizi che determinano l'attenzione degli hacker in quanto componenti fondamentali di una rete TCP/IP o della rete Windows, quali RCP, NetBIOS, DNS e WINS. I client di rete si connettono a specifiche porte per ciascun servizio di rete ed ogni servizio si aspetta che il client invii i dati in un formato specifico. Il servizio DNS, per esempio, aspetta che i dati inviati alla porta DNS dal client vengano formattati in modo diverso dalle richieste WINS, e il DNS non sarà capace di rispondere correttamente alle richieste WINS ad esso inviate, causando il blocco del servizio stesso. Inoltre, è difficile rintracciare l'hacker, specialmente se l'hacker sta usando tecniche che ne offuscano l'operato come il source routing o se ha trovato il modo di utilizzare un altro computer per la sua attività. Molte strumentazioni di DNS, RCP e WINS sono particolarmente vulnerabili alla ricezione di informazioni a caso. Alcune implementazioni di DNS vanno in crash se ricevono una risposta DNS senza avere prima inviato una richiesta. Il servizio NetBIOS di Windows e Windows NT è vulnerabile a un attacco Out of Band mandato alle porte NetBIOS. RIDIREZIONE DNS Un altro attacco al servizio Dns che merita attenzione è il DNS cache pollution. Un hacker può osservare un computer che fornisce servizi DNS e determinare la sequenza usata dal computer per fornire gli ID delle query per le richieste ricorsive al DNS. L'hacker può poi falsificare la risposta alla query DNS successiva che contiene informazioni non valide o che ridirigeranno il traffico di Internet ad un computer che l'hacker ha già corrotto. Questo genere di attacco può fare in modo che i computer del client che contano sul server DNS non siano capaci di risolvere i nomi Internet in validi indirizzi IP. Risulta più pericoloso, comunque, quando un hacker popola il server DNS con indirizzi IP validi che sono diversi dagli indirizzi IP corretti, specialmente se l'hacker controlla i computer di quegli indirizzi. Un attacco DNS cache pollution può perciò essere l'inizio di un attacco ad imitazione sui computer della rete. Pagina 11

  14. RIDIREZIONE DELL'ISTRADAMENTO : RIP, BGP,ICMP. • Un hacker può causare una grande quantità di caos nella rete se riesce a controllare i router della rete stessa. I router dirigono il flusso delle informazioni sia dentro la rete che fuori di essa grazie alle tabelle di routing (instradamento). Facendo dei cambiamenti a queste tabelle un hacker può isolare parti della rete e dirigere il traffico della rete al di fuori di essa. • I router nella rete si scambieranno informazioni sulla condizioni di instradamento, accetteranno aggiornamenti al routing da programmi amministrativi della rete e comunicheranno con router al di fuori di essa. Questi aggiornamenti sul routing sono trasmessi usando un protocollo di routing, di solito RIP, OSPF, o BGP. RIP non ha nessuna capacità di autenticazione. Se un hacker può comunicare con un router che usa RIP per aggiornare le informazioni di rete, allora l'hacker lo può facilmente riconfigurare per negare il servizio ai computer nella rete o ridirigere il traffico. OSFP e BGP offrono una maggiore sicurezza, in modo da istruire il router su chi possa essere autorizzato ad aggiornare le tabelle. • Un altro modo per convincere i computer a spedire dati all'indirizzo sbagliato è inviare pacchetti ICMP redirect al computer. Un pacchetto ICMP redirect istruisce il computer che un pacchetto IP sta per essere inviato al router sbagliato e che c'è un altro router all'indirizzo di destinazione che è più efficiente o più veloce. • RICONFIGURAZIONE SNMP • Molti dispositivi di rete possono essere usati remotamente se si installa SNMP. In aggiunta al data snooping, un hacker può usare SNMP per riconfigurare la rete così da negare il servizio ai computer della rete. • IMPERSONAZIONE • L'impersonazione è il passo successivo che un hacker tenta, se non ha ancora raggiunto l'accesso ai computer della rete. Curiosare semplicemente nel traffico della rete può dare all'hacker abbastanza informazioni per accedere alla rete. Se questo non funziona, l'hacker può ridurre la funzionalità della rete attraverso l'attacco a negazione di servizio, facendo in modo che i computer della rete rivelino informazioni all'hacker così da irrompere. Imitando un computer della rete, l'hacker può essere capace di ingannare i computer e farsi rivelare informazioni bastanti a passare attraverso le maglie della rete. Le tattiche che un hacker può adottare dipendono dal computer o dal servizio che un hacker può tentare di imitare, per esempio: • attacchi source routed; • DHCP, WINS e imitazione del servizio DNS; • playback della password, imitazione del server e cattura della password. Pagina 12

  15. ATTACCHI SOURCE ROUTED La suite di protocolli TCP/IP include un'opzione poco usata per specificare l'esatto instradamento che un pacchetto dovrebbe prendere mentre attraversa una rete basata su TCP/IP. Questa opzione è chiamata source routing e potrebbe permettere ad un hacker di inviare dati da un computer e far sembrare che provengano da un altro. Il source routing è uno strumento utile per effettuare diagnosi sui problemi della rete, ma è troppo facilmente sfruttabile dagli hacker e perciò non andrebbe implementato nel protocollo. DHCP, WINS E L'IMITAZIONE DEL SERVIZIO DNS Un'altra tattica che l'hacker potrebbe utilizzare e quella di impersonare un servizio dal quale i computer client ottengono le informazioni nel momento del loro avvio. I client della rete possono essere impostati per ottenere la loro configurazione da un server DHCP, cosicchè un hacker che può impersonare un server di questo tipo può indurre i client della rete a comunicare con un qualsiasi host ostile. Impersonando un server WINS, l'hacker può restituire gli indirizzi IP non validi o ostili per i nomi dei computer NetBIOS. Anche impersonando un server DNS, l'hacker può restituire indirizzi IP non validi o ostili. Affinchè un hacker imiti un server DHCP, WINS o DNS egli deve ottenere il controllo di un computer all'interno della rete, e poi iniziare un attacco a negazione del servizio contro il leggittimo computer DHCP, WINS o DNS obiettivo dell'incursione. Una volta che il computer bersagliato è in crash, l'hacker può iniziare a soddisfare le richieste DHCP, WINS o DNS al suo posto. PLAYBACK DELLA PASSWORD IMITAZIONE DEL SERVER E CATTURA DELLA PASSWORD Se l'hacker ha osservato una sessione di accesso alla rete crittografata su uno dei computer, può non sapere il nome dell'utente e la password che sono stati registrati ma potrebbe, tuttavia, essere capace di ingannare il sistema. L'hacker potrebbe semplicemente registrare le credenziali di accesso crittografate e dopo inviare quelle stesse credenziali al computer. I protocolli più vecchi di networking sono vulnerabili a questo tipo di attacco. A questo tipo di attacco si può rispondere usando l'autenticazione a "sfida e risposta" come password. Il client indica che gli piacerebbe accedere alla rete; il server trasmette un numero primo al client; entrambi i computer crittografano quel numero usando la password del client come chiave; il client rispedisce indietro il numero crittografato al server; se i risultati sono uguali, allora il server è sicuro che la stessa chiave in suo possesso è stata usata dal client per eseguire la crittografia. Windows NT e la maggior parte delle versioni moderne di Unix usano questo tipo di crittografia della password e l'autenticazione per default delle connessioni NetBIOS dai computer client di rete. Pagina 13

  16. L’INTERMEDIAZIONE (Man in the Middle) Un caso particolare di attacco ad impersonazione è quello in cui un hacker opera tra due computer in rete, o fra un client su Internet o su una rete WAN ed il computer all’interno della LAN sicura. Quando un client apre una connessione al server, questa viene intercettata dall’ hacker. Il computer dell’hacker apre una connessione con il server per conto del client. Idealmente (dal punto di vista dell’ hacker), il client riterrà che sta comunicando con il server, a sua volta il server crederà di comunicare con il client ed il computer dell’hacker che si colloca in mezzo saraà in grado di osservare ed alterare tutte le comunicazioni fra le due parti (man in the middle). DIROTTAMENTO Una ulteriore tecnica degli hacker si può considerare il dirottamento di una connessione già stabilita ed autenticata in rete. Questo può accadere a due layer di protocolli operanti in rete, al layer di connessione TCP ed al layer di sessione SMB (Server Message Block) o NFS (Networw File System). Affinchè un hacker dirotti su Internet una connessione condivisa in rete, egli dovrà utilizzarli entrambi, in quanto SMB usa le porte TCp. Inoltre per dirottare un sessione esistente TCP, un hacker deve essere in grado di prevedere i numeri di sequenza TCP che i due computer usano per mantenere i pacchetti IP in ordine ed assicurarsi che essi arriveranno a destinazione. L’ hacker deve inoltre, riuscire a deviare la connessione TCP/IP al suo computer e lanciare un attacco a negazione del servizio contro il computer client, in modo che quest’ultimo non comunichi al server che qualcosa è errato. Per dirottare una sessione SMB ( come condivisione di disco tramite NetBIOS), l’ hacker deve essere inoltre in grado di prevedere il corretto NetBIOS Frame ID, il Tree ID, ed il corretto user id del server di una esistente connessione do comunicazione BetBIOS. Pagina 14

  17. ETHERLEAK • In un articolo comparso sul sito del CERT/CC si parla di una vulnerabilità quantomeno strana. Infatti questo tipo di vulnerabilità riguarda un bug scoperto sulle schede di rete (NIC – Netwok Internet Card). Molti driver di schede di rete, infatti, riusano vecchi frame per riempire i pacchetti con dimensioni al di sotto dei 46 bytes, dando così la possibilità ad un attacker di poter ricostruire le informazioni che sta tentando di “sniffare”. Lo standard Ethernet IEEE 802.3 specifica che le dimensioni minime del campo data dei pacchetti deve essere di 46 bytes, in caso contrario i driver delle schede di rete devono essere in grado di riempire gli spazi vuoti tramite degli ottetti a “zero” come previsto dalla RFC 1042. • Recenti studi, invece hanno scoperto, che contrariamente alle raccomandazioni suggerite dell’RFC 1042 molti driver di schede di rete riempiono pacchetti al di sotto dei 46 byte con dei pacchetti precedentemente trasmessi, anziché di usare ottetti tutti a “zero”. • L’impatto che questa vulnerabilità potrebbe avere, consiste nel fatto che un malintenzionato potrebbe raccogliere informazioni sensibili dall’analisi del traffico. La soluzione a detta vulnerabilità consiste nel rintracciare ed installare la patch distribuita dal produttore di dette schede di rete. Purtroppo non tutte le case produttrici hanno ovviato a tale problema, di conseguenza si suggerisce, qualora si trovi in questa condizione, di proteggere i dati sensibili mediante cifratura, rendendo così vani i tentativi da parte di un attacker, che avrà serie difficoltà nella ricostruzione delle informazioni. • Molte sono state le prove effettuate su parecchie schede di rete (non tutte, dato il numero elevato) relative ai seguenti sistemi operativi : • Linux; • NetBSD; • FreeBSD; • Microsoft Windows. • La Microsoft ha dichiarato che effettuerà dei test sui driver delle schede di rete contenuti nei suoi sistemi operativi per ovviare a questo bug. Questa vulnerabilità si è diffusa in modo così ampio in quanto le case produttrici di schede di rete, per motivi economici comprano chipset da altri produttori a buon mercato, senza avere così un controllo sull’aggiornamento dei driver. Pagina 15

  18. LE VENTI VULNERABILITA’ PIU’ CRITICHE PER LA SICUREZZA IN INTERNET (SESTA PARTE) W4 - NETBIOS - condivisioni Windows di rete non protette W4.1 Descrizione: Il protocollo Server Message Block (SMB), altrimenti noto come Common Internet File System (CIFS), abilita la condivisione dei file in rete. Una configurazione errata può esporre file critici di sistema o dare accesso completo al file system a qualsiasi malintenzionato collegato ad Internet. Molti utenti, con l'intenzione di rendere più comodo il lavoro di colleghi o ricercatori esterni, abilitano l'accesso al disco rigido del computer in lettura e in scrittura, aprendo inconsapevolmente il proprio sistema agli hacker. Gli amministratori di un centro informatico governativo dedicato allo sviluppo di software per la pianificazione delle missioni, per facilitare l'accesso ai propri file da parte del personale di altre agenzie, ne avevano abilitato la lettura a chiunque. Nel giro di due giorni, gli aggressori scoprirono le condivisioni dei file aperte e si impossessarono del software per la pianificazione delle missioni. L'abilitazione della condivisione dei file rende le macchine Windows vulnerabili sia al furto delle informazioni, sia a certi tipi di virus a diffusione rapida. Anche i computer Macintosh e Unix sono vulnerabili agli attacchi ai file condivisi se gli utenti ne abilitano la condivisione. La caratteristica del protocollo SMB che permette la Condivisione File di Windows può essere usata dagli aggressori per ottenere informazioni sensibili dai sistemi Windows. Attraverso una connessione con "sessione nulla" al NetBIOS Session Service, si possono ottenere informazioni sugli Utenti e sui Gruppi (nomi utente, dati sull'ultimo accesso, policy per le password, informazioni relative al RAS), informazioni di sistema e alcune chiavi del Registro. Queste informazioni sono utili agli hacker perché li aiutano a compiere gli attacchi alle password di Windows del tipo password guessing o brute force. W4.2 Sistemi interessati: Sistemi Microsoft Windows NT e Windows 2000. W4.3 Lista CVE: CVE-1999-0366, CVE-2000-0222, CVE-2000-0979, CAN-1999-0518,CAN-1999-0519, CAN-1999-0520, CAN-1999-0621, CAN-2000-1079 Pagina 16

  19. W4.4 Come stabilire se siete vulnerabili: • Una prova veloce, gratuita e sicura della presenza della condivisione file con protocollo SMB e delle relative vulnerabilità, idonea per macchine con qualsiasi tipo di sistema operativo Windows, è disponibile presso il sito web della Gibson Research Corporation all'indirizzo http://grc.com/. Cliccate sull'icona "ShieldsUP" per ottenere una valutazione completa in tempo reale. Sono disponibili istruzioni dettagliate per aiutare gli utenti di Microsoft Windows ad affrontare questo tipo di vulnerabilità. Notate che se siete connessi ad una rete nella quale l'SMB è bloccato da dispositivi intermedi, ShieldsUP vi comunicherà che non siete vulnerabili anche se, in realtà, lo siete. Questo è il caso, ad esempio, dei provider che bloccano l'SMB a livello di rete per gli utenti cable-modem. ShieldsUP vi comunicherà che non sono state trovate vulnerabilità. Tuttavia, le altre 4.000 persone circa collegate sulla vostra stessa linea possono sfruttare questa vulnerabilità. • Il Microsoft Personal Security Advisor, oltre ad informarvi del fatto che siete vulnerabili agli attacchi SMB, potrà anche risolvere il problema. Dal momento che viene eseguito in locale, i risultati sono sempre attendibili. È disponibile all'indirizzo: • http://www.microsoft.com/technet/security/tools/mpsa.asp • W4.5 Come proteggersi: • Attuate la seguente procedura per difendervi da condivisioni non protette: • Se avete bisogno di condividere dati, assicuratevi che siano condivise solo le directory necessarie. • Per maggiore sicurezza, consentite la condivisione solo per specifici indirizzi IP, poiché i nomi dei DNS possono essere contraffatti. • Per i sistemi Windows (sia NT che 2000) utilizzate le autorizzazioni al file system per fare in modo che i permessi alle cartelle condivise consentano l'accesso solo agli utenti che lo richiedono. • Nei sistemi Windows, evitate l'enumerazione anonima di utenti, gruppi, configurazione di sistema e chiavi di registro ottenibili attraverso connessioni che utilizzano una "sessione nulla". • Bloccate a livello di router o di host le connessioni in ingresso al NetBIOS Session Service (tcp 139) e al Microsoft CIFS (Common Internet File System)(TCP/UDP 445). • Prendete in considerazione la possibilità di implementare la chiave di registro RestrictAnonymous per gli host connessi ad Internet in ambienti di dominio autonomo o non trusted. Per maggiori informazioni fate riferimento alle seguenti pagine web: • Windows NT 4.0: http://support.microsoft.com/support/kb/articles/Q143/4/74.asp • Windows 2000: • http://support.microsoft.com/support/kb/articles/Q246/2/61.ASP Pagina 17

More Related