PEN DRIVE Hardware LE VENTI VULNERABILITÀ PIÙ CRITICHE PER LA SICUREZZA IN INTERNET (11^ PARTE)

Transcript

1 INDICE PERICOLI DEL PEER TO PEER (P2P) 1 Panoramica PICCOLA GUIDA ALL USO DEL PERSONAL FIREWALL ZONE ALARM Difficoltà: PRINCIPIANTE 3 RULES NEI PERSONAL FIREWALL 12 Difficoltà: INTERMEDIA PEN DRIVE Hardware 17 LE VENTI VULNERABILITÀ PIÙ CRITICHE PER LA SICUREZZA IN INTERNET (11^ PARTE) Difficoltà: INTERMEDIA 19

2 PERICOLI DEL PEER-TO-PEER (P2P) Panoramica Tra i tanti argomenti che riguardano la sicurezza informatica è doveroso soffermarci su un fenomeno di ampissima diffusione quale il file-sharing. Questo concetto di condivisione di file divenne noto al grande pubblico grazie a Napster, il sistema recentemente scomparso dalla rete a seguito di una vicenda legale ampiamente seguita dai media. La chiusura di Napster non ha però implicato la scomparsa del file sharing su scala mondiale, grazie alla velocissima diffusione di altri software similari e, contemporaneamente, alla sempre maggiore disponibilità di collegamenti Internet a banda larga. Oggigiorno sempre più spesso sentiamo dunque parlare di qualcosa strettamente legato al file sharing: il Peer-to-Peer o, come normalmente viene abbreviato, P2P. Per capire di cosa stiamo parlando è doverosa una breve introduzione. Le reti sono tradizionalmente costituite da un insieme di PC (client), i quali ricevono informazioni e condividono risorse residenti su un unico computer (server). L architettura client/server diviene la norma quando il PC client è meno potente del server. Inoltre, questo tipo di impostazione consente un controllo sui flussi informativi gestiti dai singoli client, in quanto è il server ad autorizzare i possibili collegamenti e a controllarne il contenuto. Il peer to peer è, invece, una tecnologia dirompente, in quanto i computer connessi con questa modalità possono condividere risorse direttamente l uno con l altro. Attraverso il P2P i PC possono mettere in condivisione lo spazio sull hard disk, scambiarsi file, ed eventualmente utilizzare la potenza del processore di un altro utente: in altre parole si ottiene una completa condivisione di risorse, non più solamente di file. Questa tecnologia, focalizzando l attenzione sull attività di gruppo, può migliorare il modo di lavorare e di apprendere ma, soprattutto, promuove una fusione e una circolarità tra i due momenti. Il P2P prevede l implementazione di diversi servizi, tra i quali ricordiamo le applicazioni a sfondo di ricerca scientifica, che, unendo le capacità normalmente inutilizzate di centinaia di computer in tutto il mondo, creano l equivalente di un singolo super computer (distributed computing). Ma la tipologia di applicazione per la quale il P2P si è affacciato nelle nostre case è quella a cui apparteneva proprio il vecchio Napster, così come gli attuali software quali KazaA, Edonkey, Winmx, BearShare, ES5 (EarthStation 5) e molti altri. Essenzialmente tutti questi applicativi si basano sulla condivisione di una porzione del proprio disco rigido e dei file in esso contenuti. L immensa quantità di materiale 1

3 globalmente condiviso viene indicizzato su degli elaboratori centrali che, sulla base delle nostre esigenze, ci forniscono gli indirizzi dove reperire i file da noi richiesti. Il tutto avviene in maniera trasparente: tutto quello che dovremo fare è selezionare da quale locazione attingere al materiale desiderato e, a quel punto, il software installato sulla nostra postazione provvederà a gestire il download, eventualmente ottimizzandolo con accessi contemporanei a più PC remoti. E importante notare che gli elaboratori centrali, pur svolgendo il fondamentale ruolo di indicizzazione, non possono essere considerati dei server nel senso classico del termine, in quanto non intervengono o controllano in alcun modo il trasferimento dei dati fra utenti. Il P2P è espressione dell alto principio di libertà della rete, ma purtroppo nella realtà va a scontrarsi con la tutela dei diritti d autore, il sempre più nominato Copyright. Dando per scontato che ogni fruitore dei servizi P2P sia conscio della tutela legale del materiale che decide di scaricare, è importante però evidenziare l aspetto di sicurezza legato a queste applicazioni. E fondamentale considerare che: 1. il download di file con estensioni.exe,.com,.bat implica il rischio che questi possano risultare potenzialmente dannosi se al loro interno siano presenti virus, worms o trojan; 2. il P2P, come principio fondamentale, prevede la condivisione di una cartella/file o addirittura di un intero hard-disk, con una conseguente potenziale falla nella sicurezza del PC; 3. questi programmi, per funzionare hanno bisogno di avere delle porte aperte o in modalità listening, quindi una volta installati sul PC rappresentano delle potenziali vulnerabilità del sistema. Il rischio rappresentato al punto (1) può essere contenuto con l utilizzo di opportuni software antivirus/worm/trojan, ma rimane comunque molto elevato. Un alta percentuale di file condivisi contiene codici malevoli, principalmente worm: conoscendo la leggerezza con cui apriamo i tanto agognati file, un malintenzionato riesce senza fatica a contaminare un elevatissimo numero di PC. Ancora più insidioso è il rischio di falle nel software di P2P utilizzato: è proprio recente la notizia che nel programma ES5 è contenuta una breccia sfruttabile da un cracker per cancellare praticamente qualsiasi file che risieda nella stessa partizione dove l utente ha creato la propria cartella condivisa, inclusi quelli contenuti nelle directory di Windows. I rischi sopraindicati non devono essere trascurati, specialmente se il P2P viene usato dall interno di una LAN, in quanto l uso di questa tecnologia potrebbe compromettere la sicurezza dell intera organizzazione. La Microsoft è stata una delle prime aziende a proibire l installazione di questi tipi di programmi all interno delle sue sedi aziendali, pena il licenziamento. Oltre ai veri e propri rischi descritti, l utilizzo di tali programmi ci espone ad una serie di svantaggi, quali: 2

4 a seconda del programma usato, ogni utente deve condividere un minimo di Megabyte, pena il rischio di finire in una ignore list che comporta di fatto l esclusione dal file-sharing; molti di questi programmi non assicurano l anonimato; si corre il rischio di ricevere pubblicità non gradita (spamming) e di essere automaticamente iscritti a mailing-list. Un ultimo, piccolo, trascurabile svantaggio, è quello di trovarsi, in casa od in ufficio, qualcuno incaricato di sequestrarci il PC e di notificarci la violazione della legge sulla tutela dei diritti d autore o qualche altra imputazione connessa. Sebbene nel nostro paese la tutela del copyright da parte delle forze dell ordine non sembra aver raggiunto un elevato grado di capillarità, è sempre doveroso fare molta attenzione a cosa si scarica dalla rete e comprendere il rischio, anche da un punto di vista legale, che la nostra disattenzione può comportare. PICCOLA GUIDA ALL USO DEL PERSONAL FIREWALL ZONE ALARM Difficoltà: PRINCIPIANTE Come precedentemente trattato nel Bollettino di Sicurezza Informatica nr. 6/2003 in Le rules nel personal firewall, nei due seguenti articoli di approfondimento si tratterà l impostazione pratica delle rules, che definiscono dettagliatamente la configurazione personalizzata di un personal firewall. L applicativo scelto per effettuare tale trattazione è Zone Alarm, prodotto da Zonelabs ( L ultima versione di questo prodotto è la 4 Pro che risulta a pagamento come la 4 Plus, mentre le versioni precedenti sono facilmente recuperabili in rete, semplicemente digitando la chiave di ricerca zone alarm su qualsiasi motore di ricerca. Per comprendere meglio gli argomenti successivi, inizieremo con una breve panoramica sulle principali funzionalità di Zone Alarm Pro. La sua installazione non implica particolari difficoltà, si tratta esclusivamente di lanciare il setup e rispondere alle domande che man mano vengono poste. Questo programma funziona su tutte le piattaforme Windows (9x Me NT 2000 XP). Appena installato, si presenta all utente con l interfaccia riportata in figura 1, che si divide in due parti: una fissa per tutte le schermate (1), mentre la seconda (2) varia a seconda della scelta fatta dall utente sulla barra di navigazione sulla sinistra. 3

5 1 2 figura 1 Nella parte fissa le informazioni che si possono trovare sono le seguenti : A B C (A) In questo riquadro troviamo una segnalazione del traffico in ingresso ed in uscita; in aggiunta il pulsante STOP è cliccabile, ha la funzione di interrompere le comunicazioni in corso con l esterno; (B) cliccando su questo riquadro, il programma ci porta nella schermata Firewall di cui tratteremo di seguito; (C) l ultimo riquadro mostra un lucchetto aperto, il quale indica che Zone Alarm sta monitorizzando le comunicazioni da e verso Internet. Cliccando sul lucchetto è possibile bloccare ( locked ) i collegamenti della nostra postazione, virtualmente isolandola da Internet. Questa operazione è possibile effettuarla anche con la combinazione di tasti : Ctrl + L. La schermata denominata Overview comprende una panoramica sul prodotto; questa si divide in tre cartelle : 4

6 - Status: la cartella contiene una sezione dove sono riassunte le azioni compiute dal personal firewall dal momento della sua installazione; - Product Info: la cartella è divisa in quattro parti e contiene informazioni sul programma e link vari; - Preferences: questa cartella, oltre a prevedere la selezione di numerose opzioni, consente di effettuare il backup ed il restore dei propri settaggi di sicurezza (utile nel caso di reinstallazioni) e la loro eventuale protezione tramite password, indispensabile per essere sicuri che nessuno possa modificarli a nostra insaputa. Nella seconda schermata Firewall (figura 2) e precisamente nella cartella Main, si possono impostare i livelli di protezione sia per quanto riguarda l Internet zone (l accesso verso l esterno) che la Trusted Zone (per esempio un rete aziendale con eventuali condivisione di file e risorse). Se un computer appartiene ad entrambe le zone, il firewall fa in modo che non ci sia un collegamento tra di esse, per evitare contagio di virus ed eventuali attacchi da parte di cracker. I livelli consigliati dal programma sono : Internet zone : High (il computer risulta invisibile dall esterno e la condivisione non è ammessa); Trusted zone : Medium (il computer, per questa zona, permette la condivisione ed il computer e visibile altre postazioni che appartengono alla stessa zona). figura 2 Per ciascuna di queste zone sono poi presenti dei pulsanti Custom, tramite i quali è possibile personalizzare gli accessi/blocchi a determinati protocolli. Nella cartella 5

7 Zones invece, è possibile stabilire se aggiungere determinati computer alla Trusted Zone o se si vuole, è possibile interdire l accesso ad altre postazioni verso la propria, aggiungendole alla Blocked Zone. L ultima cartella appartenente a questa schermata è quella denominata Expert nella quale è possibile impostare rules personalizzate cliccando sul pulsante Add : in tal caso si accederà alla schermata riportata in figura 3. figura 3 Passando nella schermata Program control (figura 4) potremo configurare Zone Alarm in modo che i programmi ed i loro componenti instalati sul nostro computer siano autorizzati o no a svolgere determinate funzioni in rete. figura 4 6

8 Nella cartella Main è possibile impostare il livello di controllo del firewall sull accesso dei programmi alla rete ed attivare la funzione automatic lock, utilissima per porre automaticamente la nostra postazione in sicurezza dopo un certo periodo di inattività. Le cartelle Program e Components permettono di visionare e modificare i diritti di accesso alla rete dei nostri applicativi e dei loro componenti, principalmente librerie dinamiche (.dll). La schermata Alerts & Logs (figura 5) permette di configurare quali eventi devono essere segnalati all utente: tramite maschere che appaiono in basso a desta dello schermo, il personal firewall può informarci dell avvenuta protezione del sistema o chiederci autorizzazione a procedere (esempio in figura 6). figura 5 Tutte le segnalazioni possono essere visionate nel file di log (figura 7), accesibile cliccando sulla cartella Log Viewer, dove per ogni segnalazione sono riportati : - Rating (livello di pericolosità dell attacco); - Date/time; - Type (Firewall, accesso di un programma, ecc.); - Protocol; - Program; - Source IP; - Destination IP; - Direction (in ingresso od in uscita); figura 6 7

9 - Action Taken; - Count (ripetizioni dell evento); - Source DNS; - Destination DNS. figura 7 Questi parametri risultano fondamentali per l interpretazione delle segnalazioni fatte dal personal firewall e per capire, inoltre, se la medesima segnalazione si ripete da/verso la stessa macchina o indirizzo IP sistematicamente nel tempo. Questi log possono essere visionati per data, in quanto Zone Alarm prevede una registrazione giornaliera di tutte le segnalazioni su un file con estensione.txt. La cartella Privacy contiene utilissime opzioni: in particolare la sottomaschera Main (figura 8) offre la possibilità di configurare: - il blocco o l accettazione dei cookie su tre livelli preconfigurati o configurabili manualmente tramite il tasto Custom ; - il blocco o l accettazione dei banner pubblicitari su tre livelli preconfigurati o configurabili manualmente tramite il tasto Custom ; - il blocco o l accettazione di mobile code (java script, vscript etc.) configurabili manualmente tramite il tasto Custom. Le cartelle Site List e Cache Cleaner permettono, rispettivamente, di effettuare un controllo dettagliato sui siti visitati e svolgere operazioni di pulizia delle diverse cache e file temporanei presenti nel nostro PC, al fine di tutelare la nostra privacy da occhi indiscreti. 8

10 figura 8 Nella maschera Protection (figura 9), la cartella Main ci permette di configurare il programma affinché controlli gli allegati di posta elettronica e, qualora siano compresi nella lista di quelli pericolosi, li blocchi. L elenco degli allegati da rifiutare è modificabile tramite la cartella Attachments (figura 10). figura 9 9

11 figura 10 Nella versione Pro è stata aggiunta un ulteriore maschera denominata Web Filtering (figura 11), che prevede la possibilità di bloccare la visione di determinati siti. Pensato per la navigazione effettuata dai minori, permette quello che è comunemente definito Parent Control, con la finalità di impedire l accesso a siti con contenuti non idonei all età dei giovani navigatori. figura 11 10

12 Nella sottomaschera Categories (figura 12) è presente una lista di categorie (fornita dalla casa produttrice) di siti di cui è possibile bloccare la visione. E sempre bene tenere presente che questo genere di controllo non può, vista l enorme quantità di siti accessibili in Internet, garantire al 100% il blocco dei contenuti illeciti. Ogni giorno moltissime nuove pagine vengono pubblicate in rete e molte risultano di difficile catalogazione, pertanto è sempre e comunque auspicabile la presenza di un adulto che accompagni la navigazione dei ragazzi. Questa panoramica introduttiva a Zone Alarm rappresenta semplicemente l occasione di mostrare un po più nel dettaglio quali funzionalità di sicurezza ci può offrire un Personal Firewall. Lo stesso tipo di servizi è offerto, anche se con impostazione grafica differente, da diversi altri applicativi, fra i quali vogliamo ricordare: - McAfee personal firewall; - Kerio personal firewall; - Norton personal firewall; - Sygate personal firewall; - Tiny personal firewall. figura 12 Una volta appresi i fondamenti concettuali di funzionamento di un firewall, saremo in grado di provare gli altri e scegliere quello che meglio si addice alle nostre esigenze. 11

13 RULES NEI PERSONAL FIREWALL Difficoltà: INTERMEDIA Dopo aver fornito una descrizione delle principali funzionalità di Zone Alarm, passiamo ora a fare alcuni esempi pratici di definizione di Rules personalizzate. Immaginiamo, a tal fine, i due seguenti scenari. SCENARIO 1 Un collega non molto rispettoso delle basilari nome di sicurezza informatica, ha eseguito sul proprio computer un ignoto programmino di installazione di salvaschermo, involontariamente allettando anche altre persone a fare lo stesso. Successivamente il personale addetto alla tutela della Sicurezza Informatica ha potuto verificare che il programma in questione aveva lo scopo di infettare le postazioni degli ignari esecutori con due ormai ben noti trojan: BackOrifice e WinCrash. Informati dell accaduto, vorremmo proteggere la nostra postazione dalla minaccia ed eventualmente fornire utili informazioni agli addetti alla Sicurezza Informatica della nostra organizzazione. Effettuando una semplice ricerca in Internet, scopriamo che BackOrifice utilizza le porte TCP e 31338, mentre WinCrash usa le 2583,3024,4092,5742. A questo punto sarà sufficiente aprire il programma e posizionarsi su Firewall nella sottocartella Main (figura 1). figura 1 12

14 Se il cursore dell Internet Zone Security è posizionato su High la macchina è protetta, in maniera trasparente all operatore, da tutti gli attacchi diretti alle altre porte che non siano quelle in uso al momento. Se invece il settaggio dell Internet Zone Security è posizionato su Medium, bisogna istruire il programma configurandolo in modo da bloccare le porte su cui sappiamo agiscono i trojan in oggetto. Procediamo come segue : - clicchiamo sul tasto Custom di Internet Zone Security : apparirà la finestra in figura 2; figura 2 - posizionandoci sulla barra di scorrimento, portiamola fino al limite inferiore, visualizzando così la voce Block incoming TCP ports che andiamo a ciccare; comparirà in fondo alla maschera una casella Ports dove inseriremo i numeri, separati da virgole, delle porte riferite ai trojan in oggetto - premiamo il tasto OK, facendo così accettare le nostre impostazioni al firewall:tutti i tentativi di accesso alle suddette porte saranno ora bloccati. Volendo poi fornire indicazioni utili ai responsabili della Sicurezza informatica della nostra organizzazione, sarà sufficiente consultare il nostro file di log cercandovi le voci relative agli accessi alla porte incriminate: l IP di origine (Source IP) di questi attacchi ci fornirà informazioni sul percorso di propagazione dei codici malevoli all interno della nostra rete. 13

15 SCENARIO 2 E ben noto come ogni attacco informatico inizi con una fase di analisi condotta sulla postazione bersaglio, con la finalità di identificare il S.O. installato, i servizi di rete abilitati, eventuali vulnerabilità non eliminate con l installazione di patch, ecc. La più comune tecnica di scansione utilizza i pacchetti ICMP, pertanto i Personal Firewall sono comunemente configurati per respingere indiscriminatamente tali pacchetti. Il nostro scenario prevede però che all interno dell organizzazione l amministratore di rete debba poter, in qualunque momento, effettuare ping su qualunque postazione della LAN a fini di mappatura o di altra verifica. Tali ping possono essere lanciati da uno qualunque dei tre PC in dotazione all amministratore, i cui indirizzi IP sono , , Sappiamo che il comando ping invia una serie di pacchetti ICMP di tipo Echo Request ed verifica la ricezione dei pacchetti di risposta Echo Replay. Pertanto sarà sufficiente aprire il programma e posizionarsi su Firewall nella sottomaschera Expert (figura 3). figura 3 A questo punto bisogna istruire il programma configurandolo in modo da accettare il comando Echo Request solo da determinati inidirizzi IP. Si procede come segue : 14

16 - cliccando sul tasto Add verremo introdotti in un altra finestra (figura 4) figura 4 La compilazione delle sottomaschere di questa finestra permette di configurare svariati tipi di rule. Vediamo ora nel dettaglio : 1. Rank permette di dare un priorità alla rule; 2. Name nome della rule; 3. Comment eventuale commento alla rule; 4. State permette di abilitare o disabilitare la rule; 5. Action azione prevista per questa rule (Allow Block); 6. Track azioni da intraprendere quando la rule viene infranta (Alert and Log / Log / None); 7. Source indica una serie di sorgenti (IP address host etc ) da bloccare o dare accesso (figura 5); figura 5 15

17 8. Destination indica una serie di destinazioni (figura 6) per cui è concessa una determinata autorizzazione o un blocco; figura 6 9. Protocol permette di scegliere il protocollo previsto dalla rule (figura 7); figura Time in questa sottomaschera si può configurare la durata temporale della rule (figura 8); figura 8 Per quanto riguarda il nostro scenario bisognerà settare (uno alla volta) gli indirizzi IP dell esempio nella casella Source, il protocollo ICMP nella casella Protocol, nessuna limitazione di tempo ( Any ) nella casella Time ed il nostro computer ( My computer ) nella casella Destination. L azione da specificare nella casella Action sarà Allow in quanto vogliamo permettere l accesso. Selezioneremo infine Log nella casella Track, limitandoci così a registrare nel file di log i ping dell amministratore senza essere disturbati da inutili messaggi di allarme. 16

18 PEN DRIVE Difficoltà: INTERMEDIA Da qualche tempo sono disponibili sul mercato accessori che possono risultare utili per il salvataggio ed il trasporto di file e dati in generale. Stiamo parlando di quegli oggetti che vengono definiti "dispositivi portatili di archiviazione", che utilizzano una interfaccia usb e vengono chiamati comunemente pen drive o usb token. Il loro utilizzo ci consente di effettuare diverse operazioni, fra le quali: trasferimento/copia di file (anche di grosse dimensioni) da PC a PC; uso di una strong user authentication per accessi remoti e vendita di servizi via Internet/Intranet; identificazione utente per remote banking, possibilmente ricorrendo a firma digitale per evitare misconoscimento; salvataggio sicuro e protetto di dati privati e di chiavi PKI (Public Key Infrastructure); accesso controllato a siti Internet riservati; esecuzione di transazioni autenticate B2B (Business to Business) protette; Questi prodotti hanno varie forme, ma hanno raggiunto capacità di archiviazione considerevoli e dimensioni molto ridotte. Un pen drive con larghezza paragonabile a quelle di un connettore usb e spessore ridottissimo consente di essere conservato anche nel portafogli. La capacità di questi prodotti varia da 16 MB a 2 GB per quei prodotti che fungono solo da mass storage, mentre i tagli dei pen drive cripto, dove è possibile memorizzare password, chiavi pubbliche e private, sono generalmente minori; molti tagli sono disponibili, la cui la discriminate risulta essere ovviamente il prezzo. Questi dispositivi sono automaticamente riconosciuti dalla maggior parte dei sistemi operativi (in ambito Microsoft, tutti i s.o. successivi a Win98), non richiedendo dunque l installazione di driver dedicati. Per fugare il pericolo di sovrascrivere o cancellare inavvertitamente dei file, è presente un apposito interruttore di protezione. L'utilizzo di questo prodotto nella quotidianità è particolarmente comodo: trasferire file di lavoro da un pc all'altro, da ufficio a casa, portare sempre con se informazioni 17

19 sensibili quali password e login vari, con un prodotto di questo tipo diventano operazioni banali. Diretta evoluzione dei pen drive sono i dispositivi di storage portatili con lettore mp3 integrato. Questi dispositivi permettono, come tutti i pen drive, di salvare file e dati sulla memoria interna (anche in questo caso disponibile in vari tagli) e qualora vengano salvati contenuti musicali in formato.mp3, questi possono essere riprodotti ed ascoltati attraverso gli auricolari forniti in dotazione. I controlli disponibili sono essenziali e prevedono la regolazione del volume, il play-stop-pausa e la selezione dei brani. L alimentazione avviene tramite una batteria o attraverso la ricarica di accumulatori interni, che vengono alimentati una volta connesso il pen drive alla porta usb (ovviamente il pc deve essere alimentato). Inoltre, molti di questi apparecchi vengono forniti di una comoda utility dedicata agli utilizzatori di Ms Outlook Express; tale tool permette di salvare sulla memoria i profili e le impostazioni personali di Outlook Express (non i messaggi), in modo tale che, pur cambiando postazione di lavoro, l'utente ha la possibilità di ritrovare le impostazioni effettuate sul proprio client di posta elettronica. Sotto l aspetto sicurezza, l accentramento dei dati su di una unica piccola unità piuttosto che su molteplici supporti di memorizzazione di massa sparpagliati, comporta notevoli vantaggi. Questo genere di dispositivo può essere sempre indossato dal proprietario, la cui unica attenzione dovrà essere, ovviamente, quella di non dimenticarlo incustodito. 18

20 LE VENTI VULNERABILITA PIU CRITICHE PER SICUREZZA IN INTERNET (11^ PARTE) Difficoltà: INTERMEDIA W10 Simple Network Management Protocol (SNMP) W10.1 Descrizione Il Simple Network Management Protocol (SNMP) è largamente utilizzato per controllare e configurare da remoto quasi tutti i tipi di dispositivi TCP/IP moderni. Anche se SNMP è supportato nelle sue varie distribuzioni da quasi tutte le piattaforme di rete, è usato più di frequente come metodo per configurare e gestire dispositivi quali stampanti, router, switch, access point e bringe wireless, e per inviare input a servizi di monitoraggio della rete. La comunicazione Simple Network Management consiste in diversi tipi di messaggi scambiati tra le stazioni di gestione SNMP e i dispositivi di rete che eseguono quello che comunemente è definito come software agent. Sia la metodologia con la quale questi messaggi sono trattati, sia il meccanismo di autenticazione che sottende a tale trattamento, presentano significative vulnerabilità. Le vulnerabilità che stanno dietro il metodo attraverso il quale la versione 1 di SNMP tratta e cattura i messaggi è descritta in dettaglio nel CERT Advisory CA Esistono una serie di vulnerabilità nel modo in cui i messaggi di richiesta e cattura sono gestiti e decodificati dalle stazioni di gestione e dagli agenti. Queste vulnerabilità non sono limitate a una specifica implementazione di SNMP, ma affliggono una varietà di distribuzioni di SNMP di diversi produttori. Sfruttando queste vulnerabilità gli aggressori possono arrivare a risultati che variano dal denial of service alla modifica della configurazione e del sistema di gestione delle macchine abilitate all'snmp. Il meccanismo interno di autenticazione dei protocolli SNMP meno recenti presenta anche un'altra importante vulnerabilità. Le versioni 1 e 2 di SNMP utilizzano un meccanismo di autenticazione "community string" non crittata. La mancanza di crittografia è già abbastanza grave, ma in più la community string usata per default nella grande maggioranza dei dispositivi SNMP è "public," e solo pochi produttori più accorti di apparati di rete la modificano in "privata" per il trattamento delle informazioni più sensibili. Gli aggressori possono sfruttare la vulnerabilità di SNMP per riconfigurare o per spegnere i dispositivi da remoto. Lo sniffing del traffico SNMP può rivelare molti dettagli relativi alla struttura della vostra rete e ai dispositivi ad essa 19

21 collegati Gli intrusi utilizzano queste informazioni per scegliere gli obiettivi e per pianificare gli attacchi. A dispetto del fatto che queste vulnerabilità sono presenti solo nelle prime versioni dei protocolli SNMP, molti produttori abilitano per default la versione 1 di SNMP. Molti non offrono prodotti in grado di utilizzare SNMP versione 3, che non presenta nessuna di queste vulnerabilità congenite. In ogni caso esistono dei sostituti gratuiti che provvedono a fornire il supporto SNMPv3 con licenza GPL o BSD. In Windows di solito SNMP non è abilitato per default, ma si trova spesso come servizio aggiunto da parte di amministratori bene intenzionati. Altri prodotti di network management possono richiedere il servizio Windows o installare il proprio. SNMP è spesso utilizzato anche come metodo di comunicazione per la gestione di stampanti, sistemi UPS e access point e bridge wireless. SNMP è spesso attivo anche in varie distribuzioni UNIX e Linux, sistemi Netware, apparati di rete, stampanti e dispositivi incorporati. La maggior parte degli attacchi che si appoggiano a SNMP finora riscontrati si è presentata su sistemi UNIX con configurazioni non corrette. W10.2 Sistemi operativi interessati Quasi tutte le versioni dei sistemi operativi Windows hanno SNMP come opzione disponibile per l'istallazione, per quanto il servizio non venga installato e abilitato per default. La maggior parte degli altri sistemi operativi e dei dispositivi di rete che accettano SNMP è altrettanto vulnerabile. W10.3 Riferimenti CVE/CAN CVE ,CVE CAN , CAN W10.4 Come determinare se siete vulnerabili Potete verificare se SNMP è attivo sui dispositivi connessi alla vostra rete adoperando uno scanner o effettuando un controllo manuale. SNMPing - Potete richiedere lo strumento di scanning gratuito SNMPing al SANS Institute inviando un messaggio vuoto a snmptool@sans.org. Riceverete un messaggio di risposta con l'url dal quale potrete scaricare il tool. SNScan - Foundstone ha creato un altro strumento per lo scanning SNMP di semplice uso chiamato SNScan, che può essere scaricato da 20

22 Se non potete utilizzare uno degli strumenti sopra citati, avete la possibilità di verificare manualmente se SNMP è attivo sui vostro sistemi. Consultate la documentazione del vostro sistema operativo per le indicazioni su come identificare l'implementazione specifica di SNMP, ma il servizio di base può di solito essere identificato verificando i servizi attivi nella lista dei processi attivi, eseguendo il comando "net start" dal prompt dei comandi o cercando i servizi attivi sulle porte 161 o 162 con il comando "netstat -an". Una istanza SNMP attiva è probabilmente una prova sufficiente che siete vulnerabili alla cattura estesa o a errori nella gestione delle richieste. Consultate il CERT Advisory CA per ulteriori informazioni. Se SNMP è attivo e riscontrate una delle seguenti variabili, potreste soffrire di una vulnerabilità legata a una stringa di default o comunque troppo facile da indovinare: 1. Community name SNMP vuoti o di default. 2. Community name SNMP facili da indovinare. 3. Community string SNMP nascoste. Per ulteriori informazioni W10.5 Come proteggersi Vulnerabilità di cattura e gestione delle richieste: 1. Se non avete necessità assoluta di utilizzare l'snmp, disabilitatelo. 2. Quando possibile, utilizzate il modello di sicurezza basato sull'utente SNMPv3 con messaggio di autenticazione e possibilmente con la crittografia del protocol data unit. 3. Se dovete usare SNMPv1 o v2, controllate di aver installato la patch più recente rilasciata dal vostro produttore. Un buon punto di partenza per ottenere le informazioni specifiche per ciascun produttore è consultare l'appendice A del CERT Advisory CA Filtrate SNMP (porte 161 TCP/UDP e 162 TCP/UDP) ai punti di ingresso delle vostre reti, a meno che non sia assolutamente necessario effettuare il polling o gestire i dispositivi dall'esterno della rete locale. In questo caso, se possibile, configurate il filtering in modo da permettere il traffico SNMP solo tra sottoreti affidabili. 5. Sui sistemi con gli agenti SNMP effettuate un controllo degli accessi basato sugli host. Anche se questa possibilità dipende dalle funzionalità del sistema che ospita gli agenti SNMP, è possibile effettuare comunque un controllo per verificare da quali sistemi i vostri agenti accettano richieste. Sulla maggior parte dei sistemi Windows 2000 e successivi è possibile effettuare questo controllo con 21