BOLLETTINO DI SICUREZZA INFORMATICA



Documenti analoghi
Sicurezza e Rischi. Mi è arrivata una mail con oggetto: ATTENZIONE!!! chiusura sistematica del tuo conto VIRGILIO. Come proteggersi dallo Spam

Identità e autenticazione

Che cosa è un VIRUS?

Proteggiamo il PC con il Firewall di Windows Vista

Sophos Computer Security Scan Guida di avvio

INFORMATION TECNOLOGY. a cura di Alessandro Padovani padoale@libero.it

I.C. ALDO MORO - CAROSINO a.s REGOLAMENTO DI UTILIZZO DEL LABORATORIO DI INFORMATICA

Servizi di Sicurezza Informatica. Antivirus Centralizzato per Intranet CEI-Diocesi

Procedura per la configurazione in rete di DMS.

Guida all'installazione (Italiano) Primi passi

REGOLAMENTO DI UTILIZZO DEL LABORATORIO DI INFORMATICA. Norme di accesso:

L a b o I n f o r m a t i c a Assistenza Full on-site e remota.

Consiglio regionale della Toscana. Regole per il corretto funzionamento della posta elettronica

DISPOSIZIONI GENERALI

ARCHIVIA PLUS VERSIONE SQL SERVER

Tipologie e metodi di attacco

SICUREZZA INFORMATICA MINACCE

VADEMECUM TECNICO. Per PC con sistema operativo Windows XP Windows Vista - Windows 7

2.1 Configurare il Firewall di Windows

Virus informatici Approfondimenti tecnici per giuristi

2 Dipendenza da Internet Tipi di dipendenza Fasi di approccio al Web Fine del corso... 7

Programma applicativo di protezione LOCK Manuale per l utente V2.22-T05

Mac Application Manager 1.3 (SOLO PER TIGER)

Guida di Pro Spam Remove

e/fiscali - Rel e/fiscali Installazione

Internet e posta elettronica. A cura di Massimiliano Buschi

INSTALLAZIONE JOOMLA

Windows Vista, il nuovo sistema operativo Microsoft che cerca le giuste risposte ai quesiti di sicurezza

ATOLLO BACKUP GUIDA INSTALLAZIONE E CONFIGURAZIONE

e quindi di navigare in rete. line può essere limitato a due persone o coinvolgere un ampio numero

GHPPEditor è un software realizzato per produrre in modo rapido e guidato un part program per controlli numerici Heidenhain.

Protezione della propria rete

pfcad Office Guida all installazione dei software pfcad

Installazione di GFI WebMonitor

ISTRUZIONI PER LA DICHIARAZIONE TARIFFE ONLINE (GUIDE TURISTICHE)

Replica con TeraStation 3000/4000/5000/7000. Buffalo Technology

COME FARE UNA RICHIESTA DI ASSISTENZA ON LINE (AOL)

Il funzionamento di prezzipazzi, registrazione e meccanismi

Sistemi di Antivirus CEFRIEL. Politecnico di Milano. Consorzio per la Formazione e la Ricerca in Ingegneria dell Informazione. Politecnico di Milano

Manuale operatore per l utilizzo dell utente di dominio

CORSO EDA Informatica di base. Sicurezza, protezione, aspetti legali

Internet Banking per le imprese. Guida all utilizzo sicuro

GUIDA UTENTE MONEY TRANSFER MANAGER

Domande e risposte su Avira ProActiv Community

LA STRONG AUTHENTICATION per la sicurezza dei pagamenti

Sicurezza Reti: Problematiche

Tecnologie Informatiche. security. Rete Aziendale Sicura

Fatti Raggiungere dal tuo Computer!!

File, Modifica, Visualizza, Strumenti, Messaggio

La VPN con il FRITZ!Box Parte II. La VPN con il FRITZ!Box Parte II

FRANCESCO MARINO - TELECOMUNICAZIONI

ISTRUZIONI PER LA DICHIARAZIONE PREZZI ONLINE (Guide naturalistiche)

Sviluppo siti e servizi web Programmi gestionali Formazione e Consulenza Sicurezza informatica Progettazione e realizzazione di reti aziendali

Gestione della posta elettronica e della rubrica.

illustrativa Affidabile, veloce, trasparente.

Provincia Autonoma di Bolzano Disciplinare organizzativo per l utilizzo dei servizi informatici, in particolare di internet e della posta

GUIDA UTENTE PRIMA NOTA SEMPLICE

Servizio di posta elettronica per gli studenti Lumsa

Banca dati Professioniste in rete per le P.A. Guida all uso per le Professioniste

come fare nas Configurare un NAS per accedere ai propri file ovunque

INSTALLAZIONE NUOVO CLIENT TUTTOTEL (04 Novembre 2014)

0$18$/( ',167$//$=,21( 6,67(0$' $&&(662.(<3$66:25'

Sicurezza in rete. Virus-antivirus Attacchi dalla rete-firewall spyware-antispy spam-antispam

Configurazione del servizio Dynamic DNS. Questa procedura ti guiderà durante i 4 passi necessari alla messa in funzione del servizio.

Guida alla registrazione on-line di un DataLogger

Proteggi gli account personali

SICUREZZA INFORMATICA SICUREZZA DEI DISPOSITIVI MOBILI

Iniziamo ad utilizzare LiveBox ITALIANO.

SharePoints è attualmente disponibile in Inglese, Italiano e Francese.

La VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I

Versione 1.1. ultima revisione febbraio Ital Soft Software Production s.r.l. ITALSOFT.

Con accesso remoto s'intende la possibilità di accedere ad uno o più Personal Computer con un modem ed una linea telefonica.

Configurare Outlook Express

1.1 Installare un nuovo Client di Concept ed eseguire il primo avvio

Manuale per la configurazione di AziendaSoft in rete

Rete Mac -Pc. Mac Os X Dove inserire i valori (IP, Subnetmask, ecc) Risorse di Rete (mousedx-proprietà)>

REOL-Services Quick Reference Ver. 1.1 Tecno Press Srl. 1

Concessione del servizio di comunicazione elettronica certificata tra pubblica amministrazione e cittadino- PostaCertificat@

IT Security 3 LA SICUREZZA IN RETE

Guida alla configurazione della posta elettronica dell Ateneo di Ferrara sui più comuni programmi di posta

Modulo 4 Il pannello amministrativo dell'hosting e il database per Wordpress

01/05/2013 Istruzioni per l installazione

IIW DATABASE ISTRUZIONI

L archiviazione della posta elettronica può aiutarci a recuperare spazio senza costringerci a cestinare documenti importanti

Client - Server. Client Web: il BROWSER

Manuale servizio Webmail. Introduzione alle Webmail...2 Webmail classica (SquirrelMail)...3 Webmail nuova (RoundCube)...8

Guida di Pro PC Secure

Questa guida vi illustrerà i principali passaggi da eseguire per l'inserimento dei Bandi di gara.

Istruzioni. INSTALLAZIONE DEL MODEM USB Windows Vista

Dr.WEB ENTERPRISE. La soluzione per la protezione delle reti

RE ON/OFF-LINE. L APP funziona su tutti i sistemi operativi Windows e, come applicazione desktop, su Windows 8 (non per Windows RT).

EW1051 Lettore di schede USB

Sophos. Premessa. Con l evoluzione delle minacce, il controllo è fondamentale. Un offerta completa e sicura. Un servizio esclusivo

FtpZone Guida all uso

FPf per Windows 3.1. Guida all uso

Benvenuti. Luca Biffi, Supporto Tecnico Achab

FtpZone Guida all uso Versione 2.1

Il Centro sicurezza PC di Windows Vista Introduzione alla sicurezza

UTILIZZO DELL INFORMATICA NELLA PROFESSIONE ASPETTI TECNICI E LEGALI

F-Secure Anti-Virus for Mac 2015

Transcript:

STATO MAGGIORE DIFESA II Reparto Informazioni e Sicurezza Ufficio Sicurezza Difesa BOLLETTINO DI SICUREZZA INFORMATICA N. 4/2006 Il bollettino può essere visionato on-line su : Internet : www.cert.difesa.it Intranet : www.riscert.difesa.it 1

INDICE RILEVARE UN ATTACCO HACKER...pag. 2 Difficoltà: INTERMEDIA IL CRAKING pag. 6 Difficoltà: INTERMEDIA GUIDA ALLA SICUREZZA PER IL PRINCIPIANTE. pag. 9 Difficoltà: PRINCIPIANTE A cura di: SMD II Reparto Informazioni e Sicurezza Ufficio Sicurezza Difesa Sezione Gestione del Rischio - CERT Difesa 2

RILEVARE UN ATTACCO HACKER Difficoltà: INTERMEDIA Scopo del presente articolo è quello di fornire le istruzioni di base su come accorgersi di un eventuale ATTACCO INFORMATICO in corso. La maggior parte delle vulnerabilità dei computer possono essere sfruttate in svariati modi. Gli Hacker potrebbero ad esempio utilizzare un errata configurazione di uno dei componenti del sistema, una backdoor lasciata aperta da un attacco precedente o uno o più exploit contemporaneamente. Per tale motivo accorgersi di essere oggetto di un attacco non è un compito facile, specialmente per l utente inesperto. Questa piccola guida fornisce le nozioni rudimentali a ciò necessarie. Naturalmente, in considerazione della complessità della materia, non è possibile avere la presunzione di voler essere esaustivi di tutti i casi possibili. SISTEMI WINDOWS: 1. Sintomo: Traffico non richiesto in uscita verso internet. Se si utilizza un collegamento Dial-up o ADSL e si nota un insolito elevato volume di traffico in uscita (specialmente quando il computer è in stand-by o non necessariamente in fase di upload), allora è possibile che il computer sia stato compromesso. Potrebbe essere utilizzato per spedire spam o il traffico generato da un worm che cerca di replicarsi spedendo copie di se stesso. Per i collegamenti via cavo questo è meno rilevante è molto comune avere la stessa quantità di traffico in entrata ed in uscita anche se non si sta facendo nient altro che navigando su internet o scaricando dati da intenet. In ogni caso è consigliabile installare un firewall personale software ( tipo Zone Alarm ) che risulta molto utile per tenere sotto controllo il traffico in uscita, le applicazioni che tenteranno di contattare l indirizzo IP ed utilizzare delle porte TCP/IP non usuali. 2. Sintomo: Un incremento dell attività dei dischi o la presenza di file sospetti nelle directory root di un drive qualunque. Dopo aver attaccato un sistema, molti Hacker eseguono un controllo per cercare ogni documento interessante o file contenente password o log-in per conti correnti bancari o sistemi di pagamento telematici come PayPal. Similmente alcuni worm cercano nel disco file contenenti indirizzi di posta elettronica da utilizzare per propagarsi. Una maggiore attività da parte dei dischi anche quando il sistema è in stand-by congiuntamente a file con 3

nomi sospetti in cartelle comuni, potrebbe essere l indicazione di un attacco o di una infezione da parte di un codice malevolo. 3. Sintomo: Traffico elevato in ingresso proveniente da un singolo indirizzo bloccato dal personal firewall. Dopo aver localizzato un obiettivo ( ad esempio un IP appartenente ad una compagnia o ad un gruppo di home user con collegamento via cavo) gli hacker lanciano normalmente dei programmi ( tool ) per testare la vulnerabilità e provano ad utilizzare vari exploit per entrare nel sistema. Se si sta utilizzando un firewall personale ( uno strumento fondamentale nella protezione contro gli attacchi da parte di hacker ) e si nota un insolito numero elevato di pacchetti provenienti dallo stesso indirizzo, questo è un chiaro indizio che la macchina è sotto attacco. Il firewall si sta accorgendo di questi attacchi e forse il pericolo è scongiurato. Comunque, a seconda di quanti servizi si espongono ad Internet, questi potrebbe fallire nel proteggere da un attacco diretto ad un servizio reso disponibile a tutti. In tal caso la soluzione è bloccare temporaneamente l IP fino a che i tentativi di connessione cessano e creare una regola sull indirizzo incriminato. 4. Sintomo: L antivirus installato improvvisamente inizia a riportare che sono stati rilevati dei Trojan o delle Backdoor, anche se non si è fatto niente fuori dal comune. Sebbene gli attacchi hacker possano essere complessi ed innovativi, molti si basano su trojan noti o backdoor, per avere pieno accesso ad un sistema compromesso. Se l antivirus installato si dovesse accorgere e riportare la presenza di un malware, questa potrebbe essere una chiara indicazione che il sistema può essere accessibile dall esterno. SISTEMI UNIX: 1. Sintomo: File con nomi sospetti nella cartella /tmp. Molti exploit nel mondo Unix si basano sulla creazione di file temporanei nella cartella /tmp standard che non sono normalmente cancellati dopo l attacco del sistema. Lo stesso dicasi per alcuni worm. Questi si ricopiano nella cartella /tmp e la utilizzano come home. 2. Sintomo: Binari di sistema modificati come log-in, Telnet, ftp, finger o daemon più complessi, sshd, ftpd e simili. Dopo essere entrati in un sistema, l hacker di solito tenta di assicurarsi un sicuro accesso creando una backdoor in uno dei daemon con accesso diretto da internet, o dalla modifica di utility standard di sistema che sono utilizzate per connettersi ad altri sistemi. I binari modificati sono 4

solitamente parte di un rootkit e generalmente sono nascosti ad un controllo superficiale. In ogni modo, è buona norma mantenere un database di tutto il software installato e verificarne l integrità in modalità off-line periodicamente. 3. Sintomo: Presenza di nuove USER-ID. Alcune volte gli attacchi hacker potrebbero aggiungere un nuovo user in modo da loggarsi in remoto in un momento successivo. Bisogna cercare eventuali username sospetti nel file delle password e controllare ogni nuovo account che si dovesse aggiungere, specialmente in un sistema multi-user. 4. Sintomo: Presenza di Backdoor. Aprire una backdoor in un sistema Unix a volte consiste nell aggiungere due righe di script, ciò si ottiene modificando così /etc/services come /etc/ined.conf.. Bisogna controllare attentamente questi due file per ogni eventuale modifica che potrebbe indicarne una backdoor collegata ad una porta inutilizzata sospetta. 5

IL CRAKING Difficoltà: INTERMEDIA Il termine inglese di Cracker, nel campo informatico, indica colui che entra abusivamente in sistemi altrui allo scopo di danneggiarli (cracking), lasciare un segno del proprio passaggio, utilizzarli come base di partenza per altri attacchi oppure per sfruttare la loro capacità di calcolo o l'ampiezza di banda di rete. Le motivazioni che li spingono a questo possono essere varie: dal guadagno economico -tipicamente legato ad operazioni di spionaggio industriale o a frodi al guadagno di prestigio per l inserimento nella comunità dei cracker - come tipicamente fanno gli adolescenti detti script kiddie, che praticano le operazioni di cui sopra senza una piena consapevolezza né delle tecniche né delle conseguenze. I media ed i profani del settore tendono a voler generalizzare gli hacker con i cracker, mentre, sebbene alcune tecniche siano impiegate da entrambi alla stessa maniera, i primi hanno finalità più costruttive che distruttive, al contrario dei secondi. COME OPERANO Definire in maniera completa come operano i cracker è veramente difficile se non impossibile, ogni metodo è buono se consente loro di raggiungere le finalità che si sono prefissi ma certamente si può dire che i metodi più comuni si classificano in due macro categorie: l attacco remoto e l attacco locale. 1. l Attacco Remoto. E quell attacco che viene lanciato dall esterno del sistema a cui è diretto ed è operato normalmente attraverso lo sfruttamento di una vulnerabilità riconosciuta in un programma associato al sistema da scardinare. Le cause che possono consentire ciò sono numerose ma risalgono quasi sempre a bug di programmazione di software applicativi - che consentono indirettamente problemi di corruzioni di memoria dei sistemi, overflow o problemi simili l esecuzione inconsapevole da parte dell ignara vittima di servizi (talvolta nascosti) appositamente messi a punto (con finalità a volte di tutt altro tipo quali il remote desktop) o di configurazioni errate del Sistema Operativo, attività ad hoc messe in atto attraverso strumenti dedicati quali i portscanner ed i security scanner. 6

2. l Attacco Locale. E forse più subdolo di quello remoto in quanto nasce e viene condotto dall interno stesso del proprio sistema bypassando quindi ogni protezione fisica di accesso e violando ogni sentimento di fiducia nella propria organizzazione. Viene portato a compimento da individui che hanno accesso fisico alla macchina oppure che hanno accesso al sistema per altre vie. Affinché l attacco si possa perpetrare con il più pieno successo non è sempre necessario acquisire i privilegi di root, ovvero quelli illimitati dell Amministratore, in quanto molte delle operazioni non richiedono simili attributi per poter essere compiute. E però certo che avere simile accesso consente veramente di poter fare qualunque cosa. E per questo che non appena scoperte nuove vulnerabilità è opportuno prendere prontamente tutti i provvedimenti per correre ai ripari da eventuali sorprese derivanti da malintenzionati pronti a sfruttarla per avere accesso al primo sistema malcapitato nella rete dei loro tools pronti a sfruttarla alla prima favorevole occasione. Numerosi sono gli strumenti disponibili on line per i malintenzionati che forniscono le informazioni necessarie allo scopo: exploits di buffer vulnerability, kernel bugs, file eseguibili di tipo SETUID In ogni caso se è vero che è facile fare dei danni, è vero pure che è molto difficile farla franca. Per questo avere i privilegi di Amministratore è il minimo che si debba fare per cancellare le tracce del proprio passaggio (cancellare i file di log) - se si vuole evitare di essere acciuffati con le mani nel sacco utilizzare gli strumenti di sniffing sull interfaccia di rete o comunque agire a livello di rete bassissimo, installare un eventuale rootkit (che hanno lo scopo a volte di garantire futuri nuovi ed indisturbati accessi). Oggi giorno esistono molteplici sistemi per difendersi da questo tipo di criminalità ma nessuno che ne garantisca la piena protezione se non a chiacchiere l esperienza recente e lontana ha dimostrato che anche i migliori hacker non sono immuni da questo tipo di minacce (vedi la News del CertDifesa del 22 Agosto 2006 su www.riscert.difesa.it ) e le stesse aziende che forniscono servizi on-line fanno sempre firmare un ricco e dettagliatissimo esonero di responsabilità ad ogni nuovo cliente che sottoscrive uno dei servizi da loro offerti. Il firewall è un ottimo dispositivo se opportunamente configurato ma da solo è ben poca cosa, per cui bisogna avere un antivirus aggiornato ma questo non protegge dallo spyware per cui serve un apposito prodotto, ci sono poi gli innocenti rootkit di cui non si cura - quasi - nessuno. 7

Il futuro probabilmente sarà nelle mani di un nuovo genere di Dispositivo/Software IDS (Intrusion Detection System)di nuova generazione che sulla scorta di quelli già esistenti, integrati dalle potenzialità offerte dai prodotti di cui sopra dovrà garantire una più efficace difesa su tutti i fronti. La sfida tra il bene ed il male continua 8

GUIDA ALLA SICUREZZA PER IL PRINCIPIANTE Difficoltà: PRINCIPIANTE Approfittare di ogni occasione per ricordare i principi fondamentali della Sicurezza rientra tra i compiti di ogni buon militare, motivo per cui durante la stesura del presente Bollettino ci si è chiesto perché non cogliere anche questa occasione per ricordare alcuni semplici, ma a volte dimenticati, consigli per garantire a se stessi ed alla propria Organizzazione un po di tranquillità in più. Del resto una rinfrescatina non fa mai male a nessuno ed offre la possibilità ai nostri nuovi lettori di farsi una semplice ma solida base di sicurezza informatica su cui erigere le fondamenta di una cultura sempre più vasta che si va via via diffondendo quale la SICUREZZA ICT. Di seguito si elencano quindi alcuni piccoli consigli, di cui si raccomanda di far tesoro, che se messi in pratica, aumentano la sicurezza del proprio sistema e senza dei quali dovreste ricorrere ben presto all assistenza di un tecnico del settore che vi costerebbe non poco sia in termini di soldi che di ore di lavoro perse: 1. A causa della loro estrema diffusione la maggior parte dei virus che si propagano mediante e-mail utilizzano Microsoft Outlook o Outlook Express. Quindi, se li utilizzate, cercate di verificare che la versione installata sul vostro sistema sia quella più recente ed aggiornata con le ultime patch di sicurezza ultime. In caso contrario scaricatele ed applicatele quanto prima, facendo attenzione a recuperarle dal Sito Ufficiale della casa; 2. Se vi è possibile cercate di evitare di spedire o ricevere allegati tramite e- mail; 3. Configurate il Sistema Operativo affinché mostri sempre l estensione dei file evitando così di cadere nella trappola di aprire inavvertitamente quelli con estensione.exe o.vbs che potenzialmente potrebbero 9

nascondere contenuti dannosi per il Sistema; 4. Non accettare di aprire allegati di email, soprattutto se di provenienza incerta, quando hanno estensione.vbs,.shs o magari.pif di solito dietro queste si nascondono pericolosi Virus o Worms ; 5. Non aprire mai i file che mostrano di avere due estensioni (come ad esempio PIPPO.TXT.VBS oppure PLUTO.BMP.EXE); 6. Non condividere mai il contenuto delle tue cartelle con altri a meno che non sia veramente necessario ed in ogni caso stai attento a non condividere tutto il contenuto del tuo Hard Disk o la cartella contenente Windows; 7. Scollega il cavo di rete o quello del modem quando non ti occorre o perlomeno spegnilo; 8. Se pensi che l e-mail ricevuta è, per qualche motivo, strana o insolita, anche se proveniente da un tuo amico; se magari è pure in un altra lingua, oppure parla di argomenti a te non familiari, assicurati che si tratti di un e-mail veramente diretta a te e prima di leggerne il contenuto adotta la precauzione di fare una scansione antivirus; 9. Quando ricevi pubblicità via e-mail, oppure qualunque altra cosa inaspettata, evita di leggerne il contenuto, se puoi, e comunque non aprirne gli allegati ( evita anche di seguirne i link ); 10. Stai alla larga dagli allegati dal nome che richiama contenuti pornografici o a contenuto sessuale, tipo SEXY.EXE, MONICA.VBS, di solito servono solo per indurti ad aprire qualcosa contenente tutt altro; 11. Diffida delle icone con cui si presentano gli allegati delle e-mail, soprattutto se provenienti da sconosciuti. I worms spesso spediscono file eseguibili celandoli dietro le spoglie di file contenenti immagini, testo, o file zippati di 10

archivio per ingannarne il ricevente; 12. Non accettare mai allegati da sconosciuti durante una chat on-line su sistemi tipo IRC, ICQ o altra messaggeria istantanea; 13. Non scaricare file da Public Newsgroups in quanto questi rappresentano uno dei mezzi preferiti da coloro che scrivono Virus per diffonderli; 11

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back