BOLLETTINO DI SICUREZZA INFORMATICA

Transcript

1 STATO MAGGIORE DIFESA II Reparto Informazioni e Sicurezza Ufficio Sicurezza Difesa BOLLETTINO DI SICUREZZA INFORMATICA N. 4/2006 Il bollettino può essere visionato on-line su : Internet : Intranet : 1

2 INDICE RILEVARE UN ATTACCO HACKER...pag. 2 Difficoltà: INTERMEDIA IL CRAKING pag. 6 Difficoltà: INTERMEDIA GUIDA ALLA SICUREZZA PER IL PRINCIPIANTE. pag. 9 Difficoltà: PRINCIPIANTE A cura di: SMD II Reparto Informazioni e Sicurezza Ufficio Sicurezza Difesa Sezione Gestione del Rischio - CERT Difesa 2

3 RILEVARE UN ATTACCO HACKER Difficoltà: INTERMEDIA Scopo del presente articolo è quello di fornire le istruzioni di base su come accorgersi di un eventuale ATTACCO INFORMATICO in corso. La maggior parte delle vulnerabilità dei computer possono essere sfruttate in svariati modi. Gli Hacker potrebbero ad esempio utilizzare un errata configurazione di uno dei componenti del sistema, una backdoor lasciata aperta da un attacco precedente o uno o più exploit contemporaneamente. Per tale motivo accorgersi di essere oggetto di un attacco non è un compito facile, specialmente per l utente inesperto. Questa piccola guida fornisce le nozioni rudimentali a ciò necessarie. Naturalmente, in considerazione della complessità della materia, non è possibile avere la presunzione di voler essere esaustivi di tutti i casi possibili. SISTEMI WINDOWS: 1. Sintomo: Traffico non richiesto in uscita verso internet. Se si utilizza un collegamento Dial-up o ADSL e si nota un insolito elevato volume di traffico in uscita (specialmente quando il computer è in stand-by o non necessariamente in fase di upload), allora è possibile che il computer sia stato compromesso. Potrebbe essere utilizzato per spedire spam o il traffico generato da un worm che cerca di replicarsi spedendo copie di se stesso. Per i collegamenti via cavo questo è meno rilevante è molto comune avere la stessa quantità di traffico in entrata ed in uscita anche se non si sta facendo nient altro che navigando su internet o scaricando dati da intenet. In ogni caso è consigliabile installare un firewall personale software ( tipo Zone Alarm ) che risulta molto utile per tenere sotto controllo il traffico in uscita, le applicazioni che tenteranno di contattare l indirizzo IP ed utilizzare delle porte TCP/IP non usuali. 2. Sintomo: Un incremento dell attività dei dischi o la presenza di file sospetti nelle directory root di un drive qualunque. Dopo aver attaccato un sistema, molti Hacker eseguono un controllo per cercare ogni documento interessante o file contenente password o log-in per conti correnti bancari o sistemi di pagamento telematici come PayPal. Similmente alcuni worm cercano nel disco file contenenti indirizzi di posta elettronica da utilizzare per propagarsi. Una maggiore attività da parte dei dischi anche quando il sistema è in stand-by congiuntamente a file con 3

4 nomi sospetti in cartelle comuni, potrebbe essere l indicazione di un attacco o di una infezione da parte di un codice malevolo. 3. Sintomo: Traffico elevato in ingresso proveniente da un singolo indirizzo bloccato dal personal firewall. Dopo aver localizzato un obiettivo ( ad esempio un IP appartenente ad una compagnia o ad un gruppo di home user con collegamento via cavo) gli hacker lanciano normalmente dei programmi ( tool ) per testare la vulnerabilità e provano ad utilizzare vari exploit per entrare nel sistema. Se si sta utilizzando un firewall personale ( uno strumento fondamentale nella protezione contro gli attacchi da parte di hacker ) e si nota un insolito numero elevato di pacchetti provenienti dallo stesso indirizzo, questo è un chiaro indizio che la macchina è sotto attacco. Il firewall si sta accorgendo di questi attacchi e forse il pericolo è scongiurato. Comunque, a seconda di quanti servizi si espongono ad Internet, questi potrebbe fallire nel proteggere da un attacco diretto ad un servizio reso disponibile a tutti. In tal caso la soluzione è bloccare temporaneamente l IP fino a che i tentativi di connessione cessano e creare una regola sull indirizzo incriminato. 4. Sintomo: L antivirus installato improvvisamente inizia a riportare che sono stati rilevati dei Trojan o delle Backdoor, anche se non si è fatto niente fuori dal comune. Sebbene gli attacchi hacker possano essere complessi ed innovativi, molti si basano su trojan noti o backdoor, per avere pieno accesso ad un sistema compromesso. Se l antivirus installato si dovesse accorgere e riportare la presenza di un malware, questa potrebbe essere una chiara indicazione che il sistema può essere accessibile dall esterno. SISTEMI UNIX: 1. Sintomo: File con nomi sospetti nella cartella /tmp. Molti exploit nel mondo Unix si basano sulla creazione di file temporanei nella cartella /tmp standard che non sono normalmente cancellati dopo l attacco del sistema. Lo stesso dicasi per alcuni worm. Questi si ricopiano nella cartella /tmp e la utilizzano come home. 2. Sintomo: Binari di sistema modificati come log-in, Telnet, ftp, finger o daemon più complessi, sshd, ftpd e simili. Dopo essere entrati in un sistema, l hacker di solito tenta di assicurarsi un sicuro accesso creando una backdoor in uno dei daemon con accesso diretto da internet, o dalla modifica di utility standard di sistema che sono utilizzate per connettersi ad altri sistemi. I binari modificati sono 4

5 solitamente parte di un rootkit e generalmente sono nascosti ad un controllo superficiale. In ogni modo, è buona norma mantenere un database di tutto il software installato e verificarne l integrità in modalità off-line periodicamente. 3. Sintomo: Presenza di nuove USER-ID. Alcune volte gli attacchi hacker potrebbero aggiungere un nuovo user in modo da loggarsi in remoto in un momento successivo. Bisogna cercare eventuali username sospetti nel file delle password e controllare ogni nuovo account che si dovesse aggiungere, specialmente in un sistema multi-user. 4. Sintomo: Presenza di Backdoor. Aprire una backdoor in un sistema Unix a volte consiste nell aggiungere due righe di script, ciò si ottiene modificando così /etc/services come /etc/ined.conf.. Bisogna controllare attentamente questi due file per ogni eventuale modifica che potrebbe indicarne una backdoor collegata ad una porta inutilizzata sospetta. 5

6 IL CRAKING Difficoltà: INTERMEDIA Il termine inglese di Cracker, nel campo informatico, indica colui che entra abusivamente in sistemi altrui allo scopo di danneggiarli (cracking), lasciare un segno del proprio passaggio, utilizzarli come base di partenza per altri attacchi oppure per sfruttare la loro capacità di calcolo o l'ampiezza di banda di rete. Le motivazioni che li spingono a questo possono essere varie: dal guadagno economico -tipicamente legato ad operazioni di spionaggio industriale o a frodi al guadagno di prestigio per l inserimento nella comunità dei cracker - come tipicamente fanno gli adolescenti detti script kiddie, che praticano le operazioni di cui sopra senza una piena consapevolezza né delle tecniche né delle conseguenze. I media ed i profani del settore tendono a voler generalizzare gli hacker con i cracker, mentre, sebbene alcune tecniche siano impiegate da entrambi alla stessa maniera, i primi hanno finalità più costruttive che distruttive, al contrario dei secondi. COME OPERANO Definire in maniera completa come operano i cracker è veramente difficile se non impossibile, ogni metodo è buono se consente loro di raggiungere le finalità che si sono prefissi ma certamente si può dire che i metodi più comuni si classificano in due macro categorie: l attacco remoto e l attacco locale. 1. l Attacco Remoto. E quell attacco che viene lanciato dall esterno del sistema a cui è diretto ed è operato normalmente attraverso lo sfruttamento di una vulnerabilità riconosciuta in un programma associato al sistema da scardinare. Le cause che possono consentire ciò sono numerose ma risalgono quasi sempre a bug di programmazione di software applicativi - che consentono indirettamente problemi di corruzioni di memoria dei sistemi, overflow o problemi simili l esecuzione inconsapevole da parte dell ignara vittima di servizi (talvolta nascosti) appositamente messi a punto (con finalità a volte di tutt altro tipo quali il remote desktop) o di configurazioni errate del Sistema Operativo, attività ad hoc messe in atto attraverso strumenti dedicati quali i portscanner ed i security scanner. 6

7 2. l Attacco Locale. E forse più subdolo di quello remoto in quanto nasce e viene condotto dall interno stesso del proprio sistema bypassando quindi ogni protezione fisica di accesso e violando ogni sentimento di fiducia nella propria organizzazione. Viene portato a compimento da individui che hanno accesso fisico alla macchina oppure che hanno accesso al sistema per altre vie. Affinché l attacco si possa perpetrare con il più pieno successo non è sempre necessario acquisire i privilegi di root, ovvero quelli illimitati dell Amministratore, in quanto molte delle operazioni non richiedono simili attributi per poter essere compiute. E però certo che avere simile accesso consente veramente di poter fare qualunque cosa. E per questo che non appena scoperte nuove vulnerabilità è opportuno prendere prontamente tutti i provvedimenti per correre ai ripari da eventuali sorprese derivanti da malintenzionati pronti a sfruttarla per avere accesso al primo sistema malcapitato nella rete dei loro tools pronti a sfruttarla alla prima favorevole occasione. Numerosi sono gli strumenti disponibili on line per i malintenzionati che forniscono le informazioni necessarie allo scopo: exploits di buffer vulnerability, kernel bugs, file eseguibili di tipo SETUID In ogni caso se è vero che è facile fare dei danni, è vero pure che è molto difficile farla franca. Per questo avere i privilegi di Amministratore è il minimo che si debba fare per cancellare le tracce del proprio passaggio (cancellare i file di log) - se si vuole evitare di essere acciuffati con le mani nel sacco utilizzare gli strumenti di sniffing sull interfaccia di rete o comunque agire a livello di rete bassissimo, installare un eventuale rootkit (che hanno lo scopo a volte di garantire futuri nuovi ed indisturbati accessi). Oggi giorno esistono molteplici sistemi per difendersi da questo tipo di criminalità ma nessuno che ne garantisca la piena protezione se non a chiacchiere l esperienza recente e lontana ha dimostrato che anche i migliori hacker non sono immuni da questo tipo di minacce (vedi la News del CertDifesa del 22 Agosto 2006 su ) e le stesse aziende che forniscono servizi on-line fanno sempre firmare un ricco e dettagliatissimo esonero di responsabilità ad ogni nuovo cliente che sottoscrive uno dei servizi da loro offerti. Il firewall è un ottimo dispositivo se opportunamente configurato ma da solo è ben poca cosa, per cui bisogna avere un antivirus aggiornato ma questo non protegge dallo spyware per cui serve un apposito prodotto, ci sono poi gli innocenti rootkit di cui non si cura - quasi - nessuno. 7

8 Il futuro probabilmente sarà nelle mani di un nuovo genere di Dispositivo/Software IDS (Intrusion Detection System)di nuova generazione che sulla scorta di quelli già esistenti, integrati dalle potenzialità offerte dai prodotti di cui sopra dovrà garantire una più efficace difesa su tutti i fronti. La sfida tra il bene ed il male continua 8

9 GUIDA ALLA SICUREZZA PER IL PRINCIPIANTE Difficoltà: PRINCIPIANTE Approfittare di ogni occasione per ricordare i principi fondamentali della Sicurezza rientra tra i compiti di ogni buon militare, motivo per cui durante la stesura del presente Bollettino ci si è chiesto perché non cogliere anche questa occasione per ricordare alcuni semplici, ma a volte dimenticati, consigli per garantire a se stessi ed alla propria Organizzazione un po di tranquillità in più. Del resto una rinfrescatina non fa mai male a nessuno ed offre la possibilità ai nostri nuovi lettori di farsi una semplice ma solida base di sicurezza informatica su cui erigere le fondamenta di una cultura sempre più vasta che si va via via diffondendo quale la SICUREZZA ICT. Di seguito si elencano quindi alcuni piccoli consigli, di cui si raccomanda di far tesoro, che se messi in pratica, aumentano la sicurezza del proprio sistema e senza dei quali dovreste ricorrere ben presto all assistenza di un tecnico del settore che vi costerebbe non poco sia in termini di soldi che di ore di lavoro perse: 1. A causa della loro estrema diffusione la maggior parte dei virus che si propagano mediante utilizzano Microsoft Outlook o Outlook Express. Quindi, se li utilizzate, cercate di verificare che la versione installata sul vostro sistema sia quella più recente ed aggiornata con le ultime patch di sicurezza ultime. In caso contrario scaricatele ed applicatele quanto prima, facendo attenzione a recuperarle dal Sito Ufficiale della casa; 2. Se vi è possibile cercate di evitare di spedire o ricevere allegati tramite e- mail; 3. Configurate il Sistema Operativo affinché mostri sempre l estensione dei file evitando così di cadere nella trappola di aprire inavvertitamente quelli con estensione.exe o.vbs che potenzialmente potrebbero 9

10 nascondere contenuti dannosi per il Sistema; 4. Non accettare di aprire allegati di , soprattutto se di provenienza incerta, quando hanno estensione.vbs,.shs o magari.pif di solito dietro queste si nascondono pericolosi Virus o Worms ; 5. Non aprire mai i file che mostrano di avere due estensioni (come ad esempio PIPPO.TXT.VBS oppure PLUTO.BMP.EXE); 6. Non condividere mai il contenuto delle tue cartelle con altri a meno che non sia veramente necessario ed in ogni caso stai attento a non condividere tutto il contenuto del tuo Hard Disk o la cartella contenente Windows; 7. Scollega il cavo di rete o quello del modem quando non ti occorre o perlomeno spegnilo; 8. Se pensi che l ricevuta è, per qualche motivo, strana o insolita, anche se proveniente da un tuo amico; se magari è pure in un altra lingua, oppure parla di argomenti a te non familiari, assicurati che si tratti di un veramente diretta a te e prima di leggerne il contenuto adotta la precauzione di fare una scansione antivirus; 9. Quando ricevi pubblicità via , oppure qualunque altra cosa inaspettata, evita di leggerne il contenuto, se puoi, e comunque non aprirne gli allegati ( evita anche di seguirne i link ); 10. Stai alla larga dagli allegati dal nome che richiama contenuti pornografici o a contenuto sessuale, tipo SEXY.EXE, MONICA.VBS, di solito servono solo per indurti ad aprire qualcosa contenente tutt altro; 11. Diffida delle icone con cui si presentano gli allegati delle , soprattutto se provenienti da sconosciuti. I worms spesso spediscono file eseguibili celandoli dietro le spoglie di file contenenti immagini, testo, o file zippati di 10

11 archivio per ingannarne il ricevente; 12. Non accettare mai allegati da sconosciuti durante una chat on-line su sistemi tipo IRC, ICQ o altra messaggeria istantanea; 13. Non scaricare file da Public Newsgroups in quanto questi rappresentano uno dei mezzi preferiti da coloro che scrivono Virus per diffonderli; 11