Pulizia delle ragnatele alla scoperta della condivisione illegale del collegamento

Transcript

1 Pulizia delle ragnatele alla scoperta della condivisione illegale del collegamento Mariusz Tomaszewski, Maciej Szmit, Marek Gusta Artykuł opublikowany w numerze 2/2005 magazynu hakin9. Zapraszamy do lektury całego magazynu. Wszystkie prawa zastrzeżone. Bezpłatne kopiowanie i rozpowszechnianie artykułu dozwolone pod warunkiem zachowania jego obecnej formy i treści. Magazyn hakin9, Software-Wydawnictwo, ul. Piaskowa 3, Warszawa, pl@hakin9.org

2 Pulizia delle ragnatele alla scoperta della condivisione illegale del collegamento Mariusz Tomaszewski, Maciej Szmit, Marek Gusta Le persone che condividono i collegamenti Internet contrariamente al contratto firmato infastidiscono molto i fornitori di servizi ed amministratori della rete. Esistono però molti modi per scoprire queste pratiche. Sono dei metodi né particolarmente complicati né impegnativi. Basi Il problema del sovraccarico del collegamento Internet può essere risolto facilmente da un provider regolamentando l'utilizzo di Internet fra gli utenti legali. In questo caso non c'è da preoccuparsi che qualcuno conceda una parte del suo collegamento ad un vicino (vedere il Riquadro Concessione del collegamento) ciò non avrà nessuna influenza sulla qualità del funzionamento della rete. Rimane però la questione di dividere i costi e di guadagnare su una tale mediazione. Sorge allora una domanda: in che modo un amministratore può scoprire, che la rete è utilizzata da terzi? Ci sono alcune tecniche, più o meno efficaci. Tutto però dipende in gran parte dalle capacità della persona che costruisce una ragnatela abusiva e quali tecniche adopera per nascondere il fatto al mondo esterno. Il primo ed in linea di massima il più ragionevole modo di premunirsi contro una spartizione abusiva dei collegamenti è la suddivisione della banda trasmissiva. Essa garantisce, che il passaggio della nostra rete non risulterà troppo piccolo al momento dell'utilizzo da parte di molti utenti non autorizzati, invece la questione come sfruttare la banda concessa sta nella perizia del cliente. Se tuttavia la restrizione della banda oppure il limite del trasferimento non ci basta e chiaramente non ci auguriamo che il collegamento da noi fornito sia ancora suddiviso da qualcuno, dovremo cominciare ad analizzare il traffico della nostra rete per cercare di scoprire situazioni sospette. Se nel contratto sull'utilizzo del collegamento il fornitore vieta la sua ulteriore divisione, è lecito scollegare dalla rete un utente, che dovesse commettere un tale abuso ovviamente se riusciamo a scoprirlo. Le azioni di questo tipo però, spesso succede Dall'articolo imparerai... come nascondere una condivisione illegale di collegamento ad Internet, come scoprire una condivisione non autorizzata della banda Internet. Cosa dovresti sapere... dovresti saper usare il sistema Linux, dovresti conoscere il modello ISO/OSI, dovresti avere almeno una elementare conoscenza delle reti TCP/IP. 20

3 La condivisione illegale del collegamento Concessione del collegamento Molte persone, particolarmente quelle che con Linux non hanno molto a che fare, per condividere il collegamento sceglieranno un metodo molto semplice basato sul sistema Windows la funzione Condivisione connessione Internet (Internet Connection Sharing ICS). Grazie ad essa si possono collegare ad Internet i computer nelle reti di casa o di ufficio tramite un'unica connessione di rete. ICS è una funzione incorporata nel sistema Windows ed eseguibile soltanto sui computer con il sistema Windows XP, Windows 98 SE, Windows Millennium Edition (Me) e Windows In verità la funzione ICS è un insieme di elementi, che contrariamente al sistema Linux non sono accessibili all'utente e si caratterizzano dall'elevata limitatezza di configurazione. Gli elementi più importanti sono: il programma che assegna indirizzi DHCP il molto semplificato servizio DHCP che assegna l'indirizzo IP, il gateway di default e il nameserver nella rete locale, il proxy server DNS, il suo compito è la conversione dei nomi di dominio in indirizzi IP, il che viene fatto in nome dei clienti presenti nella rete locale, il traduttore degli indirizzi di rete, che traduce gli indirizzi privati in indirizzo pubblico. Nei sistemi Linux si adopera il meccanismo della traduzione degli indirizzi di rete NAT (ing. Network Address Translation) oppure si usa un proxy server. NAT e proxy sono le tecnologie usate nei sistemi firewall, e il loro principale compito è quello di nascondere e proteggere la rete locale dalle reti esterne. nella realtà, si trasformano in un gioco a guardie e ladri, e come capita spesso a vantaggio dei secondi. Valori TTL nelle intestazioni dei pacchetti IP L'intestazione del datagramma IP contiene il campo TTL tempo di vita (ing. time to live), che determina il valore numerico più alto dei router attraverso i quali un datagramma può passare per recarsi al luogo di destinazione (vedere la Fig. 1). Ogni router elaborando l'intestazione del datagramma è costretto a diminuire il campo TTL del valore proporzionale al tempo del suo trattenimento. Poiché in pratica Fig. 1: TTL (time to live) nell'intestazione IP un router trattiene un datagramma per meno di un secondo, il campo TTL viene diminuito di uno. Quando questo valore scenderà a zero il datagramma sarà scartato ed eliminato dalla rete, e il mittente otterrà il comunicato ICMP dell'errore avvenuto. Tale funzionamento ha come obiettivo quello di impedire l'infinita circolazione in rete dei pacchetti che sono rimasti intrappolati nel ciclo dei router (cioè un router manda un datagramma ad un altro e questo lo rimanda indietro). Se per qualche motivo il pacchetto IP non può essere consegnato al luogo di destinazione, il valore del campo TTL dopo essere arrivato a zero sarà semplicemente eliminato dalla rete. Diversi sistemi operativi utilizzano diversi valori iniziali TTL. La Tabella 1 dimostra i valori iniziali del campo TTL nei più diffusi sistemi operativi. Nella Fig. 2 è presente lo schema di una tipica rete LAN con un collegamento condiviso abusivamente. Se il computer che concede il collegamento lavora come un router e trasmette i pacchetti tra le sue interfacce (inoltre, nel caso di un accesso non autorizzato alla rete pubblica, per necessità viene avviato su esso il servizio NAT), in ogni pacchetto generato dai computer A, B o C il valore del campo TTL sarà diminuito di 1. In questo modo nella opportuna rete LAN ( ) appariranno i pacchetti, in cui il campo TTL avrà il valore diminuito di uno rispetto al valore standard, specifico del sistema operativo. L'amministratore per scoprire tali pacchetti può avviare sulla porta Internet l'analizzatore dei pacchetti (sniffer) e verificare se nella rete da un indirizzo IP (nel nostro caso dall'indirizzo Tabella 1. Valori TTL caratteristici in funzione del sistema operativo Versione del sistema operativo TCP TTL UDP TTL AIX FreeBSD 2.1R HP/UX 9.0x HP/UX Irix Irix 6.x Linux MacOs/MacTCP 2.0.x OS/2 TCP/IP OSF/1 V3.2A Solaris 2.x SunOS 4.1.3/ MS Windows MS Windows MS Windows NT 3.51 MS Windows NT MS Windows MS Windows XP

4 Fig. 2: Esempio di rete LAN con una condivisione abusiva del collegamento Basi ) non arrivino i pacchetti con strani e diversi valori del campo TTL. Poniamo che sul computer A sia in funzione il sistema Windows 2000 (TTL iniziale 128), invece sul computer B il sistema Linux (TTL iniziale 64), lo sniffer tcpdump avviato sulla porta Internet può rintracciare e rilevare dei pacchetti d'esempio. Come dimostrato nella Fig. 3, nella rete appaiono i pacchetti con l'indirizzo sorgente IP , con i valori del campo TTL impostati in modo atipico (127 e 63). La seconda cosa strana è che un computer genera i pacchetti con valori TTL diversi. Questo può provare che il computer con l'indirizzo condivide il collegamento tra diversi utenti che usano sistemi Windows e Linux. Valori TTL di default in Windows e Linux Il metodo che adopera il controllo del valore TTL nei pacchetti IP potrebbe, però, dimostrarsi inefficace. Nei sistemi Windows e Linux esiste la possibilità di cambiare i valori standard del tempo di vita dei pacchetti. Se gli utenti di un collegamento condiviso incrementeranno di uno il valore TTL nei loro sistemi, i pacchetti dopo aver passato il computer-gateway cesseranno di essere sospetti. Unica cosa che può ancora tradire l'esistenza della condivisione del collegamento, è il valore TTL diverso nei pacchetti che possiedono lo stesso indirizzo IP sorgente. Tale situazione non sempre deve avvenire nella rete LAN illegale gli utenti potrebbero usare solo una versione di sistema operativo, ad esempio Windows 2000 o Linux. Anche se la rete è diversificata e lavorano in essa sistemi operativi diversi, le persone che costruiscono le ragnatele potrebbero unificare il valore TTL su tutti i computer, indipendentemente dal tipo di sistema (vedere il Riquadro Cambiare i valori TTL di default). Quando il collegamento avviene attraverso un sistema Windows con la funzione ICS inserita, unificare il valore TTL su tutti i computer è l'unico metodo per nascondersi davanti all'amministratore. Se il gateway per l'accesso ad Internet è svolto da una macchina Linux con il NAT configurato, la situazione è molto più facile. Basta configurare il sistema usando la patch per il filtro dei pacchetti iptables con il nome patch-o-matic, in modo che ogni pacchetto uscente abbia impostato un unico e determinato valore TTL. In questo caso la persona che condivide il collegamento non si dovrà più preoccupare dei sistemi operativi usati nella ragnatela abusiva, perché tutti i pacchetti dopo aver attraversato il NAT avranno lo stesso valore impostato nel campo TTL dell'intestazione IP. Il valore TTL uguale per i pacchetti uscenti Se il computer-gateway lavora su di un sistema Linux con il servizio NAT configurato, per impostare lo stesso TTL dei pacchetti illegali si potrà adoperare la patch per iptables creata da Harald Welte, che aggiunge una nuova opzione alle regole di filtrag- Fig. 3: I valori TTL dopo aver attraversato un router illegale 22

5 La condivisione illegale del collegamento Cambiare i valori TTL di default Linux Per cambiare il valore TTL su di una macchina locale con sistema Linux basta eseguire all interno della consolle il seguente comando: # echo "X" > /proc/sys/net/ipv4/ip_default_ttl dove X è il nuovo valore TTL. In un sistema Linux esso avrà il valore di 64, mentre se Linux deve fingersi un sistema Windows, basta mettere al posto di X il valore 128 (o meglio 129, se usufruiamo del collegamento condiviso e non vogliamo suscitare dei sospetti nell'amministratore della rete). Windows 2000/XP Il valore TTL nei pacchetti inviati dal sistema Windows viene impostato di default su 128. Il modo più veloce per verificare il valore TTL standard nel sistema è di adoperare il comando ping. Basta inviare i pacchetti ICMP echo request all'interfaccia di loopback e vedere quale valore TTL è impostato nelle risposte ICMP echo reply: ping Il cambiamento del TTL viene effettuato nel registro di sistema. Il valore risponde all'iscrizione DefaultTTL presente nella chiave HKEY_LOCAL_MACHINE\System\ CurrentControlSet\Services\Tcpip\Parameters. Se non c'è questo valore, si dovrà crearlo utilizzando il tipo DWORD. Windows 95/98/Me Nei sistemi Windows 95/98/Me il valore TTL è registrato nella chiave HKEY _ LOCAL _ MACHINE\System\CurrentControlSet\Services\VxD\MSTCP\DefaultTTL. Se il valore DefaultTTL non è presente in questa chiave, si dovrà crearlo utilizzando il tipo STRING. gio. Questa opzione rende possibile all'utente impostare il valore TTL per il pacchetto IP e incrementarlo o diminuirlo di un determinato valore. La patch è recuperabile all'indirizzo Per applicare la patch sono necessari i sorgenti del kernel ed iptables. Dopo aver applicato con successo la patch al sorgente si deve compilare ed istallare il nuovo kernel e le nuove iptables. Configurando il kernel si possono impostare le nuove funzioni raggiungibili nella sezione Networking Options -> Netfilter Configuration. Per il TTL sono accessibili le seguenti funzioni: --ttl-set valore imposta il valore TTL al valore, --ttl-dec valore diminuisce il valore TTL del valore, --ttl-inc valore incrementa il valore TTL del valore. L'impostazione del TTL in tutti i pacchetti trasmessi dal computer-gateway al valore 128 si riduce all'aggiunta alla tabella mangle iptables della seguente regola di filtraggio: # iptables -t mangle \ -A FORWARD -j TTL \ --ttl-set 128 Una volta eseguito il suddetto comando, il contenuto della tabella dovrebbe apparire come indicato nel Listing 1. Un altro modo è l'impostazione dell'adeguato valore TTL prima di eseguire il processo di routing al computer-gateway, per esempio: # iptables -t mangle \ -A PREROUTING -i eth0 \ -j TTL --ttl-set 129 Più di zero Un amministratore può utilizzare il valore TTL per rendere alle persone sleali più difficile la condivisione del collegamento. Se sulla macchina che è direttamente collegata al collegamento Internet lavora Linux, l'amministratore può impostare nei pacchetti inviati alla rete locale il valore TTL su 1. In questo caso ogni router illegale nella rete LAN dopo aver ricevuto un tale pacchetto e diminuito il valore TTL di uno, sarà costretto ad eliminare tale pacchetto dalla rete, dunque l'informazione non sarà inoltrata e la rete illegale smetterà di funzionare (se invece il pacchetto con tale valore TTL arriverà alla postazione legale di destinazione, sarà ricevuto senza problemi). Si deve notare che questa soluzione è efficace solo se il computer che rende disponibile il collegamento illegale lavora come un router ed utilizza la traduzione degli indirizzi di rete (NAT). Il modo per diminuire il valore TTL, descritto sopra può essere facilmente neutralizzato dall'amministratore della ragnatela illegale, incrementando ancora prima del processo di routing il valore TTL in ogni pacchetto che arriva al router. Nel sistema Linux basta usare la sopra descritta funzione iptables (con il nome TTL) ed aggiungere alla tabella iptables la seguente regola: # iptables -t mangle \ -A PREROUTING -i wlan0 \ -j TTL --ttl-set 2 Così facendo in ogni pacchetto IP che arriva all'interfaccia wlan0 (vedere la Fig. 2), che può aver impostato il valore TTL perfino su 1, il valore del campo TTL sarà impostato a 2. Il pacchetto così modificato sarà processato poi da routing, Listing 1. Il contenuto della tabella mangle dopo l'inserimento delle regole di filtraggio # iptables -t mangle --list Chain FORWARD (policy ACCEPT) target prot opt source destination TTL all -- anywhere anywhere TTL set to

6 Basi il suo valore TLL sarà diminuito di 1 ed il pacchetto raggiungerà senza problemi l'utente finale nella rete LAN illegale. Naturalmente, se questo ha deciso di condividere ulteriormente il collegamento, allora il TTL nei pacchetti uscenti dal router dovrebbe essere impostato a valore più alto. Il proxy per la prima volta I metodi che si basano sulle manipolazioni dei valori TTL hanno ragione d'esistere finché abbiamo a che fare con i dispositivi di terzo livello di rete del modello ISO/OSI. Basta, però, che per condividere il collegamento l'amministratore della rete decida di usare un dispositivo del quarto o ancora più alto livello (un gateway, cioè nel nostro caso i diversi intermediari di rete proxy), avremo a che fare con la ricostruzione del pacchetto IP da capo, rendendo inefficaci i metodi fino a qui descritti. Potremmo immaginare un caso limite. In una rete funziona esclusivamente un puro protocollo IPX, e all'uscita da essa è presente un gateway IPX/IP, che stabilisce le connessioni per conto dei clienti. In questo caso le risposte in arrivo vengono spedite alla rete interna incapsulati all'interno di pacchetti IPX. Solamente una volta giunte alle stazioni di destinazione esse vengono estratte da un adeguato socket che le trasmette alle applicazioni di rete già nella forma comprensibile per i protocolli dello stack TCP/IP. Dal punto di vista della trasmissione IP, l'ultimo luogo dove arriva il datagramma IP è il gataway, cioè il computer direttamente collegato alla rete esterna. Il telefono muto Un ulteriore modo per scoprire un collegamento clandestinamente suddiviso è di controllare, se il computer sospetto ha l'inoltro dei pacchetti attivato (IP forwarding). In tal caso è possibile supporre che abbiamo a che fare con un utente illegale. Occorre però fare un'osservazione: questo non è nessuna prova. Ogni utente nella rete locale può infatti avere nel suo computer due schede di rete I server proxy I server proxy svolgono un ruolo di intermediario tra Internet ed i sistemi nella rete LAN che non hanno accesso ad esso. Il loro uso porta molti vantaggi risparmia lo spazio degli indirizzi, permette un'intelligente filtraggio ed autenticazione a livello d'utente, ed infine aumenta la sicurezza (il proxy server diventa l'unica macchina con accesso diretto ad Internet). Gli utenti che usano Internet tramite un proxy hanno l'impressione di essere collegati con la rete esterna, in realtà però si connettono soltanto con un unica macchina. Il proxy verifica se la richiesta spedita da un cliente sia realizzabile. In caso affermativo comunica a nome del cliente con il server remoto, e fa da intermediario nella comunicazione. Fra i server di questo genere possiamo distinguerne due tipi: funzionanti a livello d'applicazione ed a livello di circuito. Il compito del proxy applicativo è di interagire nella comunicazione tra una (o più) applicazioni e la rete esterna. Invece il proxy a livello di circuito non si occupa di particolari richieste riceve e ritrasmette dei dati senza distinzione tra i protocolli di rete. Esiste ancora un altro modo di distinguere i proxy server: universali (usano molti protocolli) e specializzati (si occupano esclusivamente di un solo genere di traffico di rete). In pratica però i server specializzati sono i server applicativi (p.es. fanno da intermediario soltanto nel traffico HTTP), invece i server universali sono quelli a livello di circuito. C'è ancora un particolare tipo di proxy che rende possibile il buffering del traffico di rete (cache) e può aumentare notevolmente il rendimento della rete nel caso di un misero collegamento. Inoltre rende possibile una registrazione dettagliata degli eventi (un logging) ed un avanzato controllo d'accesso. Questi proxy sono chiamati intelligenti. I più popolari proxy server di circuito per Windows sono WinProxy ( WinGate ( e WinRoute ( Gli utenti di Linux possono usare tra l'altro Proxy ( Zaval Proxy Suite ( proxy/) o SuSE Proxy Suite ( configurate, tra le quali ha impostato l'instradamento dei pacchetti. Tuttavia questo può essere un valido motivo per tenere d'occhio un tale utente. Consideriamo la situazione della Fig. 2, in cui l'amministratore dispone di un computer con il sistema Linux. L'unica cosa che si deve fare è di aggiungere alla propria tabella di routing un record falso, ovvero che il pacchetto IP inviato ad una determinata rete venga spedito all'indicato indirizzo IP che noi riteniamo sospetto: # route add -net /24 \ gw eth0 In questo momento il pacchetto inviato per esempio all'indirizzo verrà consegnato al computer con l'indirizzo (vedere la Fig. 2). Se questo computer ha l'instradamento dei pacchetti inserito, riceverà il pacchetto preparato e lo instraderà al processo della scelta del suo ulteriore percorso. Poiché è poco probabile che nella tabella di routing si trovi un record al riguardo proprio della rete /24, il sistema deciderà di instradarlo verso il suo gateway di default. Però il gateway di default di un tale computer è un router direttamente collegato ad Internet (nel nostro caso è il router con l'indirizzo ). Nella rete appariranno due pacchetti ICMP echo request: uno inviato dal computer dell'amministratore al computer sospetto e l'altro inviato dal router illegale. Tutto questo esperimento si riduce all'avvio dello sniffer tcpdump sul computer dell'amministratore (o ancora meglio-sul gateway ad Internet) sulla prima consolle: # tcpdump -n -i eth0 ed a dare dall'altra consolle il comando ping: # ping

7 La condivisione illegale del collegamento Fig. 4: Il campo User-Agent nell'intestazione HTTP Se il computer con dato indirizzo IP lavora come un router vedremo due pacchetti ICMP echo request: 00:59:47: > : icmp: echo request 00:59:47: > : icmp: echo request Si può anche cercare di controllare quale sottorete venga adoperata Fig. 5: I pacchetti HTTP sospetti dalla rete LAN abusiva. Questo però richiede di scrivere uno script adeguato, perché il controllo a mano sarebbe inadeguato. A questo scopo si deve utilizzare il meccanismo summenzionato, selezionando però un indirizzo di sottorete più veritiero, ad esempio: # route add net /24 \ gw eth0 Se non abbiamo azzeccato la giusta rete l'effetto sarà uguale a quello di prima. Riuscendo ad indovinare una sottorete il pacchetto sarà instradato all'indirizzo indicato. Se il computer con l'indirizzo fornito è raggiungibile nella sottorete illegale, risponderà con il pacchetto ICMP echo reply. In caso contrario riceveremo come messaggio di errore che il dato host non è raggiungibile (icmp host unreachable). Il meccanismo funzionerà finché l'amministratore della ragnatela non avvierà sul router illegale un filtro di pacchetto di tipo statefull (dynamic) e il filtraggio delle connessioni stabilite con ragnatela dall'esterno. Identificazione dei browser Internet Ogni browser di rete avviato di default nel sistema invia al server web, nella sua richiesta di scaricamento della pagina, l'intestazione HTTP. In questa intestazione si trova il campo User- Agent, dove è inclusa l'informazione sul tipo di browser e sul tipo e versione di sistema operativo (la Fig. 4). Si può sfruttare questo fatto per scoprire una condivisione illegale del collegamento, specialmente quando gli utenti illegali hanno diversi tipi e versioni dei browser, per giunta funzionanti sotto il controllo di diversi sistemi operativi. Il test che scopre il collegamento condiviso consiste nell'analisi dei pacchetti nella rete. Tra questi, in particolare, si dovranno cercare i pacchetti inviati dall'unico indirizzo sorgente (il gateway illegale). Se in tali pacchetti il campo User-Agent include l'informazione su browser e sistemi operativi diversi la situazione diventa sospetta. Una situazione ancora più sospetta si ha quando nel campo User-Agent si vedono diverse versioni di sistemi operativi, piuttosto che browser diversi. L'utilizzo allo stesso tempo di due sistemi operativi che usufruiscono dello stesso indirizzo IP è piuttosto impossibile (se escludiamo la situazione d'utilizzo di programmi che permettono di avviare macchine virtuali, così come VMvare o Microsoft Virtual PC), mentre l'uso di browser diversi in un solo sistema operativo senz'altro. La Fig. 5 illustra i pacchetti che 25

8 Basi Fig. 6: Cambiare l'identificazione del browser Mozilla Fig. 7: Cambiare l'identificazione del browser Internet Explorer dovrebbero attirare l'attenzione di un amministratore di rete. Nella Fig. 5 si possono osservare due richieste di scaricamento della pagina inviate da un solo indirizzo In esse si vede, che sono stati utilizzati due browser (MSIE 6.0 e Mozilla Firebird) avviati su due sistemi operativi (Windows 2000 identificato come Windows NT 5.0 e Linux). A questo punto rimane chiederci: che cosa fare se l'utente ha installato su un solo computer alcuni sistemi operativi e lavora a volte con uno, a volte con l'altro? Il proxy per la seconda volta Il metodo descritto sembra di essere buono, eppure si può eludere eliminando o modificando il campo User-Agent in modo tale da fargli indicare un altro completamente diverso tipo di browser e sistema operativo. Questo si può fare con ogni browser nella rete LAN illegale, impostando la stessa identificazione per tutti i browser, o usare il server proxy web sul gateway illegale e costringere gli utenti ad usarlo. Con un'adeguata configurazione del server proxy, indipendentemente dai browser utilizzati dagli utenti, è possibile che la richiesta esatta generata dal server proxy stesso includa sempre la stessa informazione nel campo User-Agent. Il cambiamento del valore del campo User-Agent Nel caso dei browser Mozilla (per Windows) è possibile installare l'estensione User Agent Switcher, che aggiunge al programma un menu che permette di cambiare l'identificazione del browser. Questa estensione offre una funzionalità simile all'identificazione del browser presente in Opera. Permette di configurare la lista degli agenti che appaiono nel menu e la loro scelta dipendentemente dalle nostre esigenze (la Fig. 6). Nel caso del browser Internet Explorer si deve modificare il ramo del registro di sistema HKEY _ LOCAL _ M ACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\ Internet Settings\5.0. Bisogna creare in esso la chiave User Agent (se non esiste già). L'iscrizione del valore di default sostituirà la sequenza Mozilla/4.0. Gli altri parametri si possono modificare aggiungendo alla chiave User Agent nuovi valori di tipo stringa chiamati Compatible, Version o Platform con i propri valori. Inoltre è anche possibile aggiungere nella chiave Post Platform dei nuovi valori che forniscono informazioni supplementari per il campo User-Agent. Bisogna aggiungerli come i nomi delle stringhe senza valori, per esempio l'informazione supplementare = "". Gli esempi dei cambiamenti nel registro sono presentati nella Fig. 7. Accedendo alla pagina hitgate.gemius.pl:917/ua.html possiamo verificare, in che modo si presenta il nostro browser. Si può usare Fig. 8: L'identificazione del browser IE dopo i cambiamenti effettuati Fig. 9: Definizione dell'indirizzo IP e della porta dove sarà accessibile il server proxy 26

9 La condivisione illegale del collegamento questo URL anche per controllare il campo User-Agent dopo aver effettuato i cambiamenti nel registro. Per esempio la variazione dei primi quattro valori del campo User-Agent farà sì che il browser venga riconosciuto come Netscape 6.0 in funzione su di un sistema Linux (la Fig. 8). L'utilizzo del proxy server per unificare il campo User-Agent Il modo più semplice per nascondere le informazioni sui browser è utilizzare il server proxy web per il sistema Linux, come per esempio privoxy. Bisogna installarlo sul gateway illegale e spiegare agli utenti come devono configurare i loro browser per usare il proxy server. Il programma si può scaricare dalla pagina Dopo aver installato il programma è necessario effettuare due cambiamenti nei file config e default.action. Nel primo file è opportuno impostare su quale interfaccia il server deve rimanere in ascolto delle connessioni da parte degli utenti. Dobbiamo anche definire l'indirizzo IP e la porta per accedere all'interfaccia interna, cioè a quella che si trova dal lato della rete LAN illegale (la Fig. 9). Nel file default.action invece bisogna definire il contenuto del campo User-Agent per tutte le connessioni web uscenti. A questo scopo bisogna sostituire la riga: -hide-user-agent \ di destinazione nessun pacchetto di test (vedere l'articolo di Michał Wojciechowski OS fingerprinting come non farsi riconoscere, hakin9 1/2005). La base del funzionamento di questo metodo è l'analisi dello stack TCP/IP del computer sulla base dei pacchetti generati da questo computer, dopo averli rintracciati con uno sniffer. Il concetto stesso d'analisi dello stack consiste nella determinazione del tipo e versione del sistema operativo sulla base delle differenze nelle implementazioni degli stack TCP/IP, usati da diversi produttori di questi sistemi. Nonostante i ristretti principi della costruzione degli stack TCP/IP definiti nei documenti RFC, nelle concrete implementazioni dei rispettivi sistemi operativi si possono trovare certe differenze. Si tratta soprattutto di caratteristici valori dei campi impostati nelle intestazioni dei protocolli IP e TCP. I programmi per l'analisi passiva degli stack TCP/IP sottopongono all'esame tra l'altro i seguenti campi dell'intestazione IP: il tempo di vita del pacchetto (TTL), il campo ID (identificazione), la disposizione dei bit TOS (ing. Type Of Service), la disposizione del bit non frammentare (ing. don't fragment). Per quanto riguarda l'intestazione TCP sono verificati i seguenti campi: la dimensione della finestra (ing. Window Size), la massima dimensione del segmento (ing. Maximum Segment Size), l'opzione di acknowledgement positivo (ing. Selective Acknowledgement), l'opzione NOP (ing. No Operation). Uno degli strumenti del fingerprinting passivo è il programma p0f. Esso è scaricabile dalla pagina lcamtuf.coredump.cx/p0f.shtml. Nel sistema Windows il programma richiede la libreria Winpcap installata. Il programma può identificare il sistema operativo funzionante su hosts sulla base dei pacchetti IP che hanno impostati i seguenti flag TCP: SYN, SYN + ACK, RST. Con l'aiuto dell'opzione --f si definisce il file che conserva le firme pronte per i rispettivi sistemi operativi che p0f paragona con quello che avrà identificato nel pacchetto rintracciato. Per ogni metodo esiste un file distinto: p0f.fp, p0fa.fp, p0fr.fp. con una come questa: +hide-user-agent{mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0;.NET CLR )} \ L'identificazione passiva del sistema operativo Esiste ancora un altro metodo per rilevare le abusive ramificazioni della rete, il rilevamento di svariate versioni dei sistemi operativi, che usano nello stesso tempo l'unico indirizzo IP. L'identificazione passiva è un metodo in cui non si invia alla macchina Fig. 10: Gli esiti dell'identificazione passiva 27

10 Basi Per esempio, la firma per il sistema Windows 2000 con il service pack 4 oppure per XP con il service pack 1 si presenta così: 65535:128:1:48:M*,N,N,S:.:Windows:2000 SP4, XP SP1. Altri campi di questo record definiscono: la dimensione della finestra TCP, 128 il tempo di vita del pacchetto (TTL), 1 la disposizione del bit non frammentare (ing. don't fragment), 48 la dimensione del pacchetto, M la massima dimensione del segmento (MMS), N l'opzione non usato (NOP), N l'opzione non usato (NOP), S l'opzione di acknowledgement positivo inserita. L'opzione -p serve per la reimpostazione dell interfaccia di rete nella modalità di ricezione di tutti i pacchetti (ing. promiscuous), e non solamente quelli indirizzati al computer con p0f in funzione. Con l'aiuto dell'opzione -i possiamo determinare l'interfaccia, su cui il programma deve rimanere in ascolto. Nella Fig. 10 si vede, che il programma p0f ha identificato nello stesso tempo due sistemi operativi che utilizzano un unico indirizzo IP di sorgente. Tale risultato può significare che nella nostra rete qualcuno condivide il collegamento con altri utenti. Nella versione più recente di p0f l'autore ha introdotto l'opzione supplementare -M, che stabilisce (in base alle anomalie nei pacchetti) in percentuale la probabilità d'esistenza di un camuffamento sotto il dato indirizzo IP. Ovviamente (il proxy per la terza volta...) tutto questo ha senso, se l'amministratore della rete non installerà il proxy di circuito come dispositivo per condividere una connessione. In questo caso, infatti, il fingerprinting riguarderà il sistema operativo dell'intermediario. Il lavoro di Sisifo Esistono molti altri metodi per scoprire una condivisione illegale del collegamento e tanti modi per rendere più difficile la vita degli amministratori Altri metodi per il rilevamento dei costruttori di ragnatele Gli instant messenger Analizzando i pacchetti uscenti dagli instant messenger possiamo intravedere l'identificatore (di solito un numero) dell'utente. Poiché c'è poca probabilità che l'utente abbia avviati allo stesso tempo su un solo computer alcuni account nell'instant messanger, il rilevamento dei pacchetti che contengono diversi identificatori d'utente e provenienti dallo stesso IP, con una grande probabilità, dimostreranno che abbiamo a che fare con una rete illegale. Osservare la posta Poiché la maggioranza degli utenti non usufruisca di collegamenti crittografati con i server di posta, analizzando con l'aiuto di sniffer le lettere inviate possiamo, sulla base di alcune intestazioni e con molta probabilità, determinare se abbiamo a che fare con un costruttore della ragnatela. Raramente un utente usa due programmi di posta assieme, e la maggior parte dei programmi di posta si presenta nell'intestazione User-Agent o X-Mailer. Il controllo di uptime I pacchetti TCP possono contenere un'informazione supplementare (opzionale) timestamp, cioè il tempo di generazione dell'evento. Diversi sistemi operativi incrementano il timestamp in diversi lassi di tempo. Il timestamp (se sappiamo con quale sistema operativo abbiamo a che fare) moltiplicato per la frequenza dell'incremento del contatore, indica l'uptime della macchina, cioè il tempo dal suo ultimo avvio. Se, per esempio utilizzando tcpdump, scopriremo da un solo IP i pacchetti con i valori timestamp estremamente diversi, possiamo essere quasi certi che abbiamo a che fare con macchine diverse e cioè con i costruttori di ragnatele. # tcpdump -n grep timestamp Ecco un frammento di un esito d'esempio: <nop,nop,timestamp > I due valori dopo la parola timestamp sono rispettivamente il timestamp dell'host sorgente e l'ultimo il valore del timestamp ricevuto dall'host di destinazione. Questo metodo ha un'utilità limitata, perché adoperandolo premettiamo che i computer nella rete dei costruttori delle ragnatele invieranno i pacchetti con l'opzione timestamp, che non sempre deve aver luogo. di ragnatele (vedere Riquadro Altri metodi per il rilevamento dei costruttori di ragnatele). Tutti però hanno in comune che si possono, con un po' d'invenzione, eludere e neutralizzare. Sembra In Rete dunque, che sarebbe meglio, se i fornitori d'internet si occupassero con l'amministrazione della banda e i limiti del tasso di trasferimento, piuttosto che del gioco del Grande Fratello. le informazioni sulla localizzazione dei più importanti parametri di rete nel registro Windows, la descrizione come eseguire il patching di iptables, la libreria Winpcap, l homepage del programma p0f, il progetto Netfilter, Remotely.html le informazioni su come ottenere in modo remoto l'uptime di sistema. 28