Security FAQ - versione 4.1.1 Insmod Revisore: Massimiliano Baldinelli Ultima revisione: 30/07/2002 e-mail: M.Baldinelli@agora.it Distribuzione: http://www.linuxvalley.com/~lserni http://securfaq.usenet.eu.org http://w3.to/citati/ http://www.freeweb.org/personali/paolapandolfini/ http://www.freeweb.org/risorse/Pericoli/download.htm http://pericoli.freeweb.org http://maxxxxx.cjb.net/informatica/securityIdx.htm http://vene.dave.it http://space.tin.it/io/ptentare/in.html ftp://ftp.olisys.it/ComputerVille/faq/securfaq.txt http://utenti.tripod.it/notes/ http://utenti.tripod.it/cry/ ftp://ftp.computerville.it/pub/faq/ http://merlino.ghostbbs.cx/ http://genius.allnet.it/merlino/ http://www.manuali.net/sicurezza.htm http://members.xoom.it/nietzsche/documenti/securfaq.htm http://www.tccity.net/carcar http://italia.esclamativa.isfun.net/ http://welcome.to/peppelr http://members.xoom.it/marcgent http://www.aiutamici.com http://www.freeweb.aberont.org http://invest.freeweb.org http://web.tiscalinet.it/sorgi http://utenti.tripod.it/zut http://www.napoliitaly.it http://members.tripod.it/plf/ http://digilander.iol.it/intrusioni http://digilander.iol.it/helponline http://www.gravity.it http://www.studioborsa.com/Securfaq/indice.htm http://www.networkingitalia.it http://spacezero.iwarp.com/security_faq.htm http://www.newbie.it http://www.webinn.it http://www.oglandit.com http://digilander.libero.it/koij Credits: @ExE.ExE Diego Ravarotto (per alcuni svarioni da lui segnalati) Enrico Gallesio fixit Francesca Frankj Giovy Giulio invy Krmel Leonardo De Luca Leonardo Serni (per la sezione E e un'infinita' di altri post) Marco D'Itri Marco Zani (per [PORT-Appendice]) Master Maurizio Cimaschi (per [PORT-Appendice]) Nebbia Paolo Monti x-hacker (e altri che ho certamente dimenticato) per contributi diretti e/o indiretti al materiale qui riportato. Contributi diretti = correzioni, citazioni e materiale diretto a me (tramite e-mail o risposte a miei post su it.comp.sicurezza.varie). Contributi indiretti = tutto il resto che e' stato postato su ics.varie e sul quale questa FAQ e' basata. 0 - Storia Disclaimer Distribuzione Appello A - Informazioni generali [A01] Vari tipi di attacco [A02] Ma cosa sono queste "porte"? [A03] Differenze fra hackers e altri bei tomi [A04] Ho sentito parlare di "editor esadecimale", ma non ho capito esattamente cos'e'... [A05] Che informazioni si possono ricavare dall'e-mail? [A06] Cos'e' Telnet? Di quali comandi dispone? [A07] E' possibile limitare l'accesso a file/directory contenenti informazioni private? [A08] Che cosa sono gli indirizzi 0.0.0.0 e *:*? [A09] Come si relazionano i protocolli di rete menzionati in questo e in altri documenti riguardanti le reti di computer? [A10] La differenza fra TCP e UDP? [A11] Cosa succede quando una interfaccia e' in "modo promiscuo"? [A12] Cos'e' il sistema one-time pass? B - Le minacce dall'esterno [B01] Ma cosa puo' passare da 'ste benedette porte? [B02] Puo' un intruso conoscere quello che scrivo sulla tastiera? [B03] E' possibile che qualcuno riesca a navigare "sembrando me"? [B04] Con tecniche di IP spoofing si riesce facilmente a falsificare l'indirizzo IP di una macchina? [B05] E' vulnerabile una macchina su cui gira un X-server? [B06] E' possibile che un trojan/virus effettui telefonate a mia insaputa? [B07] Nel settaggio di un programma di monitoraggio della rete, quali porte remote conviene ignorare? [B08] Cos'e' lo "smurf"? [B09] Cos'e' l'IP spoofing? [B10] Come fa il sito che ho visitato a farmi vedere il contenuto del mio desktop/C:? [B11] E' possibile sconnettere il modem "da fuori"? [B12] Perche' ricevo dei ping sulla porta 113 quando scarico la posta? [B13] Porte apparentemente anomale in ascolto [B14] Quando mi collego ad internet il mio firewall mi segnala pacchetti verso 224.0.0.2. [B15] In cosa consiste l'attacco CLICK? [B16] Script e privacy [B17] Qual e' la pericolosita' di ICMP? [B18] Ho risolto il problema della sicurezza con la password del bios, cosi' non puo' entrare nessuno. [B19] Quando mi connetto, il mio provider si vuole collegare alla porta 520 UDP. [B20] Possono controllare se sono collegato senza che me ne accorga? [B21] Come fanno a sconnettermi da IRC? [B22] Rilevo connessioni in uscita verso satan.idsoftware.com [192.246.40.37]. [B01-M] E' possibile far piantare il Mac tramite la rete? [B02-M] Quanto e' sicuro usare un Mac come Web server? C - Metodi di difesa [C01] Proteggere il sistema - Info generali [C02] Come su puo' scoprire in ambiente ethernet un host che opera in promiscuous mode? [C03] Cosa uso per controllare l'attivita' di rete del mio computer? [C04] Esiste un software che dica da quale programma e' utilizzata una porta aperta? D - Passare al contrattacco [D01] Un attacco sembra venire dall'indirizzo x.y.w.z. Posso essere sicuro che provenga da veramente da li'? [D02] Riesco a beccare un attaccante che usa ICQ? [D03] Ma e' proprio sicuro che l'IP che scopro e' quello dell'attaccante? [D04] Ci sono programmi con cui mi posso difendere in maniera piu' "attiva" e magari rispondere per le rime? >:-] [D05] Come faccio a sapere chi mi attacca su IRC? [D06] Come rintraccio un attaccante in IRC? E - La sicurezza informatica e la legge italiana [E01] Il ping di BO si configura come sabotaggio informatico, violazione della privacy o roba del genere? [E02] Ma il ping di BO comunque e' configurabile come tentativo? [E03] Se installo Back Orifice via NetBIOS su Internet ad un tizio che non sa niente, mi possono beccare? E cosa mi possono fare? Appendici [PORT-Appendice] - Elenco ragionato delle porte piu' utilizzate [BD-Appendice] - Appendice BD [WG-Appendice] - WinGate, proxy casalingo [LINK-Appendice] - Siti che trattano di sicurezza dei sistemi informatici [INTERNET-CAFE'-Appendice] - Alcune note su come far divertire gli altri in maniera controllata [FIREWALL-Appendice] - Come schermare il proprio PC o una piccola rete dai pericoli di Intenet [NETSCAPE-Appendice] - Informazioni varie sulla nota suite di programmi per internet della Netscape Inc. ==================================== 0 - Storia 16/10/1998: v. 0.1 pre-alpha - Prima apparizione 24/10/1998: v. 0.2 alpha - Aggiunta [B13], Storia, Disclaimer, Distribuzione, Appello, [C05], [C06] - Aggiornata [A04], [A02], [B01], [B07] 14/11/1998: v. 0.5 beta 1 - Aggiunta [B15], [B16], [B17], [B18], [C07], [C08], [A05], [B19], [B20], [B21], [B22], [B23], [C09], [PORT-Appendice], [C01a], [B24], [B25], [BD-Appendice] - Aggiornata [C01], [A01], [B04], [C04], [A03], [B01] 22/11/1998 v. 0.51 beta 2 - Aggiornata [A05], [B01] 04/01/1999 v. 1.0 Official Release - Aggiunta [LINK-Appendice], [B26], [A06], [C10], [C11], [C12], [B27], [B28], [B29], [B30], [C13], [B31], [C14], [D01], [B32], [B33] - Aggiornata [PORT-Appendice], [B08] 27/01/1999 v. 2.0 Multiplatform - Riorganizzazione sezioni: B09 -> B01-ALL B15 -> B14-W B30 -> B25-W B16 -> B02-ALL B18 -> B15-W B33 -> B26-W B17 -> B03-ALL B19 -> B16-W B22 -> B04-ALL B20 -> B17-W B21 -> B01-M B31 -> B05-ALL B23 -> B18-W B24 -> B19-W B32 -> B01-X B10 -> B09-W B25 -> B20-W B11 -> B10-W B26 -> B21-W C01 -> C01-ALL B12 -> B11-W B27 -> B22-W B13 -> B12-W B28 -> B23-W C01a-> C01-W B14 -> B13-W B29 -> B24-W - Aggiunta Legenda, [D02-ALL], [D03-ALL], [D01-X], [C01-X], [C02-X], [C03-X], [C04-X], [C05-X], [C06-X], [B27-W], [D04-ALL], [C07-X], [C08-X], [C09-X], [D02-W], [D03-W], [D04-W], [D05-W], [E01], [E02], [E03], [C15-W], Legal disclaimer, [B02-X], [B03-X] , [C10-X], [B04-X], [D06-W], [D07-W], [C16-W], [B28-W], [B29-W] - Aggiornata [B25-W], [PORT-Appendice], [B19-W], [D01-W], Disclaimer, Appello, [A04], [B18-W] 11/07/1999 v. 2.1 Enhanced - Aggiunta [B30-W], [C11-X], [C12-X], [D02-X], [D03-X], [B06-ALL], [D05-ALL], [WG-Appendice], [A07], [B31-W] - Aggiornata [C03-X], [B08-W], [PORT-Appendice] 20/08/1999 v. 2.2 Service Release - Aggiunta [B32-W], [D08-W], [C17-W], [B33-W], [D09-W], [B34-W], [C13-X], [B35-W], [B36-W], [B37-W], [B38-W] - Aggiornata [D02-ALL] 14/11/1999 v. 2.25 Service Release - Aggiunta [C14-X], [INTERNET-CAFE'-Appendice], [FIREWALL- Appendice] - Aggiornata [A03], [B07-W] 07/05/2000 v. 3.0 Y2K - The Day After - Aggiunta [A08], [C18-W], [C15-X], [A09], [A10], [A11], [B07-ALL], [B39-W], [NETSCAPE-Appendice], [B05-X], [NETBUS- Appendice], [B08-ALL] - Aggiornata [PORT-Appendice] 15/10/2000 v. 3.1 Y2K - The Day After - Aggiunta [B09-ALL], [B10-ALL], [B11-ALL], [C17-X], [C18-X], [C19-X], [D10-W], [A12], [B12-ALL], [B13-ALL], [C20-X]. - Aggiornata [C02-X] 07/01/2001 v. 3.2 Y2K - The Day After - Aggiunta [B14-ALL], [C02-ALL], [B15-ALL], [A13], [A14], [A15], [C21-X], [B40-W], [B41-W], [C19-W], [C20-W][NT], [C21-W][NT], [B16-ALL], [C22-W], [B42-W], [C23-W] - Aggiornata [BD-Appendice] 21/05/2001 v. 4.0 insmod Riorganizzazione in file separati 30/05/2002 v. 4.1 insmod - Aggiunte [C19-W], [C20-W], [B18], [B30-W], [B31-W], [B19], [B32-W], [C21-W], [C22-W], [B20], [B33-W], [B34-W], [B21], [C24-X], [B35-W], [B22], [C25-X], [B36-W], [B37-W], [B38-W], [B39-W], [B40-W], [B41-W], [C04], [B06-X], [C26-X], [B02-M] [A11], [A12], [C23-W], [C24-W], [D05-X] - Aggiornata [PORT-Appendice], [BD-Appendice], [A07], [B01], [B06], [D04], [B05-W], [B03-W], [C09-X], [C10-X], [D02-X], [C02-X], [C08-X], [C21-X] 30/07/2002 v. 4.1.1 insmod - Aggiornata [PORT-Appendice], [B14], [B38-W], [C07-W] Disclaimer *** Ogni modifica fatta al sistema, riguardante la configurazione hardware e/o software, e' ESCLUSIVAMENTE a rischio e pericolo del lettore di questa FAQ, come pure la responsabilita' delle conseguenze di tali modifiche (dato che non posso conoscere le infinite varianti dei sistemi in uso e relative necessita' di configurazione, in particolare riguardo la rete eventualmente installata). Se il computer da riconfigurare e/o ripristinare non e' il proprio, avvertire il proprietario/responsabile per essere autorizzati a metterci le mani. Questo riguarda soprattutto macchine usate in ambito lavorativo e/o accademico, ma anche piu' semplicemente il computer non proprio ma del fratello/cugino/amico/fidanzata/... Precisazione importante: in questo documento sono citati numerosi programmi (free/share/commerciali). Il fatto che un programma venga citato nel testo della risposta a una FAQ non implica necessariamente il suo uso da parte mia: Security FAQ raccoglie gli interventi piu' interessanti del newsgroup it.comp.sicurezza.varie e del suo fratello piu' giovane it.comp.sicurezza.windows, tentando di dare al tutto una forma piu' organica possibile. Pertanto non posso assicurare di essere in grado di rispondere a quesiti specifici riguardanti questo o quel programma (per esempio la configurazione del firewall X o del server della backdoor Y). *** Legal disclaimer *** LO SCOPO DI QUESTO DOCUMENTO E' DI RACCOGLIERE I CONCETTI DI BASE PER DIFENDERSI DALLE INTRUSIONI TELEMATICHE E NON DI INCORAGGIARE LE INTRUSIONI STESSE. SI RICORDA CHE L'USO DI PROGRAMMI CONCEPITI PER DANNEGGIARE L'OPERATIVITA' DI ATTREZZATURE INFORMATICHE E' UN REATO, E CHE LE AZIONI DENOMINATE "MAILBOMBING", "NUKE", "FLOOD", "DoS", "BOSERVIZZARE" E PROBABILMENTE ALTRE ANCORA SONO ILLEGALI, ANCHE SE COMPIUTE A SCOPO DIFENSIVO. SI SCORAGGIANO QUINDI CON MASSIMA DECISIONE LE SUDDETTE PRATICHE, MENTRE E' SEMPRE POSSIBILE COMPIERE ESPERIMENTI SU AUTORIZZAZIONE DEI GESTORI DEL SISTEMA UTILIZZATO A TALE SCOPO, DOPO AVER IN VIA PREVENTIVA INFORMATO I GESTORI STESSI DELLA FINALITA' DELLE PROVE ESEGUITE, DEI RELATIVI PERICOLI E AVER PRESO TUTTE LE PRECAUZIONI POSSIBILI PER NON RENDERE IL SISTEMA VULNERABILE DALL'ESTERNO. LO SCOPO ESCLUSIVO DI "ATTACCHI" CONTROLLATI E AUTORIZZATI E' QUELLO DI ACQUISIRE INFORMAZIONI SUL LORO FUNZIONAMENTO AL FINE DI POTER PREVENIRE GLI ATTACCHI STESSI CON PIU' EFFICACIA. *** Distribuzione *** Questo documento puo' essere incluso in siti web e archivi ftp ad accesso pubblico, nonche' inserito in raccolte su floppy o cd-rom il cui prezzo equivalga il costo del supporto e della duplicazione. Nei casi suddetti di distribuzione autorizzata, avvertitemi all'indirizzo e-mail riportato all'inizio, cosi' da includere l'indirizzo web o ftp nella successiva versione. Nei casi di distribuzione non autorizzata, contattatemi ugualmente inserendo nella mail il vostro indirizzo IP e la configurazione esatta della vostra macchina (sistema operativo e versione di Winsock), ed eseguite il file che sara' incluso nella risposta >:-] *** Appello *** Questo documento non vorrebbe avere un approccio troppo Windows- centrico, ma a causa dell'uso prevalente da parte del suo curatore dell'accoppiata Wintel (e, a giudicare dai messaggi in i.c.s.varie, anche da parte di chi si rivolge al gruppo per chiedere aiuto) la situazione non puo' essere che questa. E' quindi gradito l'invio alla mia e-mail di ogni contributo riguardante problemi di sicurezza e (se esistono) relativi rimedi riguardanti anche altri sistemi, come Amiga, OS/2, Mac, Linux, ... A causa degli impegni lavorativi, non e' garantita una risposta immediata alle mail che ricevero', e di questo mi scuso in anticipo, ma comunque e' garantito che rispondero' a ogni messaggio che mi arrivera' in mailbox. *** ==================================== [A01] Vari tipi di attacco [KEYWORDS:DOS] - NesTea, Suffer3, Boink, Land, Oob, Smurf Si tratta di attacchi di tipo DoS (nulla a che vedere con MS-DOS, la sigla significa Denial of Service, Privazione di Servizio). L'effetto varia da noie sullo schermo in presenza di patch a reset della macchina, a schermi blue sotto Win, a stop dei trasferimenti per intasamento delle connessioni; - Portscan Serve a trovare le porte aperte di un host remoto. [A02] Ma cosa sono queste "porte"? [KEYWORDS:porta:servizio:protocollo] In un ufficio postale esistono vari sportelli, ognuno dei quali svolge un servizio ben determinato: uno per le raccomandate, uno per i pacchi, uno per i telegrammi, uno per vaglia e conti correnti, uno per il pagamento delle pensioni, ecc... Analogamente, una macchina connessa alla rete (l'"ufficio postale") ha una serie di porte (gli "sportelli"), ognuna delle quali ha un numero ed e' associata a un ben determinato servizio. Gli indirizzi di porta vanno da 1 a 65535, e quelli inferiori a 1024 sono i cosiddetti Well Known Services (Servizi Ben Noti). I piu' usati sono il 21 per l'ftp, il 23 per telnet, il 25 per smtp (invio di posta), 80 (http, pagine web; molti server usano anche la porta 8080), il 110 per pop3 (posta in arrivo), il 119 per nntp (le news), il 1080 (proxy). Il file services (in windows e' nella directory C:\\System (*), in Unix e' in /etc ) li elenca in maniera piu' dettagliata. Da notare che sotto Unix soltanto un processo con diritti di root puo' aprire una porta < 1024. Esistono due protocolli basati su IP, e cioe' TCP/IP e UDP/IP. Ciascuno di essi ha il proprio insieme di porte, quindi in realta' esistono le porte 1/TCP-65535/TCP e 1/UDP-65535/UDP. VEDERE [PORT-Appendice] per un elenco con maggiori dettagli (tnx Maurizio!) Perche' ci si possa collegare a una determinata porta, occorre che sulla macchina ci sia un server in ascolto su di essa. Per esempio, quando riusciamo a spedire una mail a qualcuno, e' perche' il server di posta del nostro provider ha un "demone" in ascolto permanente sulla porta 25, mentre se l'invio fallisce significa che quel programma non e' in esecuzione (macchina spenta perche' guasta, oppure il programma stesso ha dato i numeri). Ancora, poiche' Windows 95 non ha un server telnet di serie (ha solo il client), se proviamo a fare telnet standard verso una macchina Windows 95 il tentativo fallira' perche' non c'e' niente in ascolto sulla porta 23. (*) Su sistemi Win98 potrebbe essere anche sotto C:\ [A03] Differenze fra hackers e altri bei tomi [KEYWORDS:hacker:cracker:lamer:wannabe:jargon] C'e' molta confusione sull'uso della parola hacker, per colpa soprattutto della disinformazione a opera dell'informazione (che paradosso!) TV e stampata e di certa cinematografia. L'hacker nell'immaginario comune e' colui che cerca di penetrare in un sistema per buttarlo giu', che nel corso delle sue scorribande provoca comunque dei danni, come per esempio il furto di file di password o altre informazioni riservate. Quello non e' un hacker, ma un __cracker__. L'__hacker__ invece e' una persona che anzi non lascia tracce, che se viola la sicurezza di un sistema e' per dimostrare di esserne capace. Un hacker cerca di apprendere sempre di piu' sulla macchina e sistema operativo che usa (e sugli altri ovviamente). Il suo scopo e' quello di vincere certe sfide, e in un certo senso anche di rendersi utile alle sue vittime. L'etica hacker infatti vuole che dopo aver violato un sistema si lasci una traccia, da qualche parte nel sistema stesso, che informi il suo amministratore come e' stato possibile entrare e quali falle nella sicurezza sono state sfruttate, cosicche' egli possa tapparle. I __wannabe__ sono invece coloro che "vorrebbero essere" (wannabe = want to be [voler essere], contrazione americana credo) per esempio hacker, ma che non lo sono. Nei newsgroup un wannabe fara' spesso sfoggio di termini tecnici, anche a sproposito, salvo volatilizzarsi o buttarla in rissa quando si cerca di approfondire un argomento che non e' in grado di sostenere. Un __lamer__ invece e' chi si crede un grande esperto, per esempio di sistemi, mentre in realta' sfrutta solo cio' che gli altri hanno gia' fatto. Un esempio? Tutti i tipi che si danno arie da hacker solo perche' sono capaci di lanciare il client di Bo (che non sarebbero mai capaci di scrivere, per inciso) e mandare un messaggio pop-up sullo schermo del boservizzato. Questo e molto altro e' spiegato in "The Hackers's Dictionary 3rd.", anche in versione WWW, mentre il testo di riferimento per tutte queste definizioni e' il Jargon File, disponibile in formato testo e info in parecchi siti, e la cui home page e': http://www.ccil.org/jargon/ [A04] Ho sentito parlare di "editor esadecimale", ma non ho capito esattamente cos'e'... [KEYWORDS:esadecimale:binario] I programmi tipo edit.com dell'MS-DOS o NotePad (Blocco Note nella versione italiana) di Windows sono degli editor di testo che permettono di leggere e modificare dei file di testo; ne esistono un'infinita' commerciali o free. Gli editor esadecimali sono analoghi concettualmente, ma permettono di leggere e modificare ogni tipo di file, quindi vengono usati per aprire e manipolare dei file binari, come eseguibili (.exe e .com), librerie (.dll), eccetera. Si chiamano editor esadecimali perche' con essi viene visualizzato il valore esadecimale dei byte che costituiscono il file, tipicamente in una parte della finestra, mentre nell'altra viene mostrata la sequenza di caratteri corrispondenti (se stampabili a schermo). Un editor esadecimale e' un programma semplice ma potentissimo, perche' permette di fare praticamente tutto su ogni file, e l'unica condizione e' di sapere ESATTAMENTE cosa si fa. Questo significa che, se volessimo cambiare la scritta "Avvio di Windows..." che appare al boot o la scritta "Avvio" o "Start" sul pulsante di avvio, dovremmo aprire il file giusto (nel secondo caso explorer.exe) con un editor esadecimale, posizionarci nel punto in cui e' memorizzata la stringa e cambiarla. Inutile dire che l'uso di tali programmi e' pericolosissimo se fatto per puro cazzeggio, dato che un file binario modificato "alla cieca" diventa con altissima probabilita' inutilizzabile. Per le sue caratteristiche, gli editor esadecimali si prestano anche ad usi non "politicamente corretti" (eufemismo), come sprotezione di programmi, camuffamento rispetto ad antivirus e programmi di monitoraggio in genere, e cosi' via. [A05] Che informazioni si possono ricavare dall'e-mail? [KEYWORDS:e-mail:header:received:anonimo:remailer] Dipende da vari fattori. Se il msg anonimo e' stato mandato attraverso uno dei tanti siti di anomyzer presenti sulla rete allora non si puo' ottenere nulla. Nel caso invece dei vari mail-bomber, si puo' risalire all'IP di origine semplicemente cercando negli header del messaggio. La procedura non e' la stessa per tutti i programmi di posta. Per quel che mi riguarda, sul mio fidato Netscape Messenger, View -> Headers -> All; se usate Outlook "sono fatti vostri" (TM Raz Degan - o, meglio, chi gliela scrisse)... scherzo!!! Cliccare due volte sul msg e poi nel menu della finestra che appare cliccare Visualizza e poi Opzioni. In ogni caso, fare attenzione all'ultimo RECEIVED dove viene indicato tra parentesi accanto al nome del server d'appoggio anche l'ip di chi lo manda. Sempre pero' che non si appoggi ad un server anonimo o ad i siti sopra descritti oppure che abbia inviato direttamente dal server di mail con una sessione telnet. In quest'ultimo caso, non e' detto che al destinatario compaia l'IP del mittente. Infatti in rete si trovano dei sendmail malconfigurati. Collegandosi con telnet e usando il comando HELO senza presentarsi, la mail inviata risultera' anonima. Nel caso invece di un remailer anonimo, nell'header si leggera' nell'ultimo received il remailer e da li' in poi e' impossibile proseguire. [A06] Cos'e' Telnet? Di quali comandi dispone? [KEYWORDS:telnet:porta:23:shell:comandi] Telnet e' un protocollo di emulazione terminale che permette di avere accesso a una macchina remota su cui gira un "server telnet", come il telnetd delle macchine Unix. Ovviamente l'accesso e' permesso oppure no a seconda che l'utente che prova a collegarsi in questo modo abbia o meno certe autorizzazioni, proprio come se tentasse di accedere localmente. La connessione standard avviene sulla porta 23/TCP, ma indicando altre porte (sempre TCP) e' possibile usare pressoche' ogni servizio basato su TCP, come FTP, posta e news. In pratica telnet e' un protocollo "di livello piu' basso", che rende disponibile un mezzo (piu' precisamente, una "shell") per poter usare protocolli piu' complessi come appunto quelli citati sopra. I comandi che e' possibile usare variano quindi a seconda del servizio che si utilizza tramite telnet. In ogni caso telnet stesso e' un servizio (usato per accedere a macchine remote) e dispone quindi di un insieme di propri comandi: close chiudi la connessione in corso logout termina la sessione utente remoto e chiudi la connessione display mostra i parametri operativi mode tenta dientrare il modo linea o carattere ('mode ?' per altre informazioni) open connetti a un sito quit esci da telnet send trasmetti caratteri speciali ('send ?' per altre informazioni) set imposta parametri operativi ('set ?' per altre informazioni) unset azzera parametri operativi ('unset ?' per altre informazioni) status stampa informazioni di stato toggle inverti il valore dei parametri operativi ('toggle ?' per altre informazioni) slc cambia stato dei caratteri speciali ('slc ?' per altre informazioni) z sospendi telnet ! invoca una subshell environ cambia variabili di ambiente ('environ ?' per altre informazioni) ? stampa informazioni di aiuto Esistono tantissimi client telnet, piu' o meno completi. Windows dispone di un programma telnet di serie, molto scarno a dire la verita', e' in finestra grafica ma bisogna lanciarlo dal prompt DOS (o da Avvio/Start -> esegui) scrivendo "telnet " o "telnet indirizzo_IP>", oppure solo "telnet". In quest'ultimo caso, dal menu' della finestra che si apre si puo' scegliere il server remoto e anche la porta da usare (il default e' la 23), oltre ad alcune (poche) opzioni. Su Linux il comando e' lo stesso con la differenza che il funzionamento e' in modalita' carattere ("man telnet" fara' accedere in questo caso a tutte le informazioni possibili). Per quel che riguarda l'ambiente Windows, potrebbe essere necessario un maggior controllo sui parametri di funzionamento di telnet. In tal caso ottime alternative sono NetTerm (shareware), TeraTerm (freeware) e QVT Term (http://tucows.thebrain.net/adnload/dlqvtterm.html). [A07] E' possibile limitare l'accesso a file/directory contenenti informazioni private? [KEYWORDS:accesso:limitare:windows:unix:linux] Bisogna distinguere diversi casi. Sistemi Windows 9x: Qualunque cosa vi possa essere detta, la risposta in questo caso e' ASSOLUTAMENTE NO. Windows 95 e 98 si basano ancora sul file system FAT tipico del sistema MS-DOS su cui questi Windows (come del resto il precedente Windows 3.xx) sono costruiti. Il file system e' in pratica il modo in cui le informazioni sono organizzate sul disco (rigido, floppy, ZIP, ecc.) e ogni sistema operativo ha il proprio. MS-DOS e i Windows fino al 98 compreso sono sistemi operativi monoutente (non confondete il multitasking con la multiutenza), cioe' sono pensati per l'uso da parte di un solo utente. La conseguenza e' che ne' il sistema operativo ne' il file system possiedono meccanismi di protezione dei dati a livello di utente o di file. Chi ha accesso alla tastiera puo' fare qualunque cosa. Esistono in realta' programmi per impostare un accesso con password a file o cartelle in vari modi, ma tutti sono aggirabili facendo reboot da floppy (se non e' stato disabilitato da BIOS). In altri termini, un sistema Windows 9x e' sostanzialmente indifendibile da questo punto di vista, e l'unico appiglio e' la crittografia: appositi programmi criptano un file o una partizione, decrittandola "al volo" in caso di accesso (previa immissione di password). Il rischio e' quello di perdere i dati cosi' protetti in caso di errori di vario tipo, come un cluster rovinato sull'hard disk. Un programma che fa questo e' PGP Disk. Sistemi Windows NT/2000: La famiglia NT e' stata concepita anche per supportare la multiutenza, e percio' fornisce un sistema di account e di gestione di permessi adatto allo scopo. La condizione e' che i dati da proteggere devono trovarsi in una partizione NTFS, in quanto le partizioni FAT, come detto sopra, non forniscono il supporto ai meccanismi di protezione. Senza voler entrare in guerre di religione fra sostenitori dei vari sistemi operativi (confrontare il gruppo it.comp.os.discussioni :-) ), diciamo che il principale svantaggio di Windows NT, oltre al costo, e' dato dalle risorse hardware molto generose di cui ha bisogno, di solito sproporzionate per utenti non aziendali. Sistemi Windows ME: Vale sostanzialmente quanto detto a proposito della serie 9x, di cui questa e' semplicemente l'ultima versione. Sistemi Windows XP: ??? (= attendo contributi N.d.F.). Sistemi Unix: Storicamente i primi sistemi operativi pensati per la multiutenza (il progenitore risale ai primi anni '70). I file sono dotati di attributi che consentono di regolamentarne l'accesso, mentre gli utenti sono suddivisi in gruppi a cui si puo' associare il diritto di eseguire determinate azioni (un utente puo' far parte di piu' gruppi). Impostando in modo opportuno i permessi dei file e l'appartenenza di ogni account a uno o piu' gruppi e' possibile concedere o negare gli accessi a livello di file e di utente (in maniera, per cosi' dire, "bidimensionale"). Dal momento che esistono diversi Unix, non necessariamente uguali in tutto, non e' il caso di andare piu' in dettaglio a questo punto. Tra i vari Unix apparsi nel tempo un posto speciale ha naturalmente Linux, sia a causa della sua gratuita' che dei requisiti di sistema richiesti, generalmente non elevati se non si usa intensamente X. Ovviamente, per quello che riguarda questa discussione, Linux e' assolutamente analogo ai suoi parenti. Sistemi Mac: pre OS X??? (=attendo contributi N.d.F.) MacOS X ??? (= " " " ) [A08] Che cosa sono gli indirizzi 0.0.0.0 e *:*? [KEYWORDS:netstat:0.0.0.0:*.*:listening] Con queste notazioni particolari si intende "tutti gli indirizzi IP". Un programma in attesa di connessioni che provengano da un indirizzo IP qualunque generera' nell'output di netstat una riga del tipo TCP 127.0.0.1: 0.0.0.0 LISTENING Come esempio ecco l'output del comando "netstat -na" sul mio sistema in un qualsiasi momento senza connessione Internet: C:\WINDOWS>netstat -na Connessioni attive Proto Indirizzo locale Indirizzo remoto Stato TCP 0.0.0.0:119 0.0.0.0:0 LISTENING TCP 192.168.100.1:137 0.0.0.0:0 LISTENING TCP 192.168.100.1:138 0.0.0.0:0 LISTENING TCP 192.168.100.1:139 0.0.0.0:0 LISTENING UDP 192.168.100.1:137 *:* UDP 192.168.100.1:138 *:* C:\WINDOWS> La prima riga si riferisce al newsserver locale Hamster, in ascolto sulla porta 119, le altre al Netbios. Da notare i diversi indirizzi locali: Hamster e' in ascolto su qualsiasi indirizzo, mentre NetBIOS ascolta solo sull'indirizzo IP associato alla scheda di rete (avere NetBIOS aperto anche sull'interfaccia di Accesso Remoto e' Male, come spiegato in [B17-W] e seguenti). La notazione *:* e' usata per il protocollo UDP, che non ha il concetto di connessione. [A09] Come si relazionano i protocolli di rete menzionati in questo e in altri documenti riguardanti le reti di computer? [KEYWORDS:protocollo:strato:osi] Semplificando la gerarchia OSI: 4- application layer | SMTP, FTP, TELNET, SMNP .... | |________________________________________________| 3- transport layer | TCP , UDP | |________________________________________________| 2- internet layer | IP (+ ARP, RARP, ICMP, IGMP) | (+datalink) |________________________________________________| 1- hardware layer |_________drivers, schede, fibre..ecc____________| *** (C) Lyapunov *** [A10] La differenza fra TCP e UDP? [KEYWORDS:protocollo:tcp:udp:connessione] I protocolli TCP e UDP servono per cose diverse. UDP serve quando e' piu' utile che i dati arrivino al momento giusto, e non importa se i dati precedenti vengono persi. Ad esempio, l'audio via Internet di norma si trasmette via UDP. Dato che, mandandolo in TCP, se perdi un pacchetto si ferma tutto finche' quel pacchetto non e' arrivato; ed il tutto fa schifo; in UDP, perdi un pacchetto, senti un "click", ma la musica continua. Nel caso poi di TCP, viene stabilito un circuito virtuale, e quindi, sul tuo PC, tu potresti vedere facilmente l'altra estremita', e dare il via alle danze (denunce, contrattacchi ecc. ...). In UDP, invece, vedi solo la tua estremita', a meno di beccare l'istante preciso nel quale arriva un pacchetto dall'esterno... ed avere uno strumento che lo capti e te lo dica. *** (C) LeoSerni *** Perche' quindi i toolZ usano per lo piu' UDP benche' piu' insicuro? Proprio perche' e' piu' difficile localizzare una comunicazione in corso che usa il protocollo UDP rispetto al TCP. *** (C) Firebeam *** [A11] Cosa succede quando una interfaccia e' in "modo promiscuo"? Significa che la scheda eth fa in modo di ricevere i frames su tutti gli indirizzi di multicast che sono stati definiti per cui si mette in 'promiscuous mode'. [A12] Cos'e' il sistema one-time pass? Una codifica che genera, praticamente, del puro rumore. Si tratta di fare lo xor del messaggio da cifrare con una chiave (che deve essere lunga quanto il messaggio stesso) che sia del "rumore", cioe' una sequenza quanto piu' casuale possibile di 0 e 1 (ti risparmio le definizioni formali). Un osservatore esterno non sara' mai in grado di poter decodificare un messaggio simile, mentre il ricevente rifa' lo xor del messaggio ricevuto con la chiave (in suo possesso, oltre che in possesso del trasmittente) e riottiene il messaggio in chiaro. Il problema di tale tipo di cifratura e' il fatto che ci si debba scambiare la chiave di codifica. Le leggende telematiche ci dicono che tale sistema di cifratura e' stato impiegato per la mitica linea telefonica diretta tra i presidenti di usa e urss. *** (C) Buttha *** ==================================== [B01] Ma cosa puo' passare da 'ste benedette porte? [KEYWORDS:porta:attacco:server:netstat] Le porte comunemente utilizzate sono elencate alla faq [A03], mentre altre sulle quali si verificano spesso degli attacchi sono riportate alla faq [C04-W]. E' importante pero' sapere che il tipo di attacco che si puo' condurre (e quindi i pericoli che si corrono) su una porta aperta dipende da cosa risiede su quella porta, cioe' dal server in ascolto su di essa. Non bisogna pero' farsi prendere dalla frenesia di chiudere tutte le porte. Infatti, se una porta e' aperta e' (normalmente) perche' ci deve passare qualche dato "legittimo", come la porta 80 su macchine che ospitano un server web. In generale, prima di chiudere una porta bisogna sapere perche' sia aperta; per esempio, il famigerato ICQ apre una porta per ogni comunicazione che ha in corso, e queste non cadono nell'intervallo WKP, formato dalle porte <1024. E' possibile rendersene conto aprendo una shell MS-DOS con ICQ attivo e scrivendo il comando "netstat -na" (senza virgolette) che mostrera' tutte le porte attive e l'indirizzo remoto a cui sono connesse, oltre allo stato della connessione (per avere tutte le opzioni: sotto Windows "netstat /?", sotto Unix "netstat -h" o "netstat --help"). [B02] Puo' un intruso conoscere quello che scrivo sulla tastiera? [KEYWORDS:server:keylogger:avp:wintop] Si'. Per far questo pero' e' necessario che l'intruso riesca a far eseguire sul computer da spiare un "server" che intercetti la tastiera e memorizzi i tasti a mano a mano che vengono premuti, e a intervalli piu' o meno regolari (o a ogni connessione) li invii al "pirata", per esempio alla sua e-mail. La regola e' quindi sempre un controllo assiduo di quello che gira sul proprio computer, con il programma AVP System Watcher (http://www.avp.it) o anche il WinTop dei Kernel Toys (se si usa Windows 9x). Se sul computer e' stato installato il server di Back Orifice, tale funzione e' svolta dal file windll.dll (fra le altre). [B03] E' possibile che qualcuno riesca a navigare "sembrando me"? [KEYWORDS:porta:1080:proxy:server] E' in effetti possibile. Questi simpaticoni cercano di connettersi alla porta 1080, dove potrebbe esserci in ascolto un proxy socket. Se riesce nell'intento il tuo computer puo' essere usato dall'attaccante come proxy im modo che il suo computer venga "nascosto" all'esterno e tutte le operazioni che compira' risulteranno effettuate dal computer attaccato. [B04] Con tecniche di IP spoofing si riesce facilmente a falsificare l'indirizzo IP di una macchina? [KEYWORDS:spoofing:traceroute:tracert] In altre parole: Se faccio il traceroute dell'indirizzo finto, dovrei comunque riuscire a risalire la catena dei router attraversati fino al finto, oppure risalgo la catena fino all'IP vero? Fai il traceroute VERO dell'indirizzo FINTO. In teoria, se i vari routers avessero un po' di ingegno, non potresti fare neanche spoofing (o quasi). In pratica puo' succedere questo: A(F) ---> B ---> C ---> D / F ---> E --->--+ A ti manda un pacchetto fingendosi F. B, che controlla la sottorete A, ed in teoria non dovrebbe veder passare pacchetti DA F verso "NON A", invece passa questo strano pacchetto "F verso D". Lo stesso fa C, che "dovrebbe" vedere arrivare i pacchetti di F solo da E (ma C non puo' sapere se F sia anche collegato o no a B). D si vede arrivare un pacchetto da un certo "F" che arriva da "C", di cui si fida e che in passato gli ha mandato pacchetti veri di F. Un traceroute D-->F rivela: D, C, E, F ... B e A sono rimasti fuori. E' possibile naturalmente sapere se F stia originando una connessione con D. A non puo' impedirlo (a meno di cagar bulloni e avere la sfera di vero cristallo del mago Zurli'; o a meno che D o F siano Windows :-) ). Pero', sapere che quel pacchetto "F->D" e' spoofato non ti fa trovare A. Se hai dei sospetti, puoi verificarli in maniera induttiva :-), ma se non hai dei sospetti in particolare, o se A dispone di software adatto (credo vada bene Aggressor per Windows, o qualsiasi cosa per Linux :-) ), fine. *** (C) Leonardo [B05] E' vulnerabile una macchina su cui gira un X-server? [KEYWORDS:x-window:unix:windows:linux:client:server:porta:6000] X-Window, l'ambiente grafico degli Unix, si basa sul paradigma client/ server. Se su un server Unix gira un programma grafico, questo e' il CLIENT di X, e X stesso puo' produrre l'output su una qualunque altra macchina collegata al server. Tali macchine sono di solito i client, e perche' quest'architettura funzioni esse devono avere in esecuzione un X SERVER (quindi si ha in questo caso un'inversione dei ruoli, con il client che offre un servizio al server - spiegazione terra terra, ma spero che me la passiate). Le comunicazioni fra l'X client (il programma in esecuzione sul server) e l'X server (programma che riceve le richieste dal programma client e le traduce in operazioni grafiche sulla propria macchina, che puo' essere Unix, Windows o qualunque altra), si svolgono attraverso la posta 6000 TCP. La lunga introduzione serviva a spiegare perche' X-Window puo' essere un punto delicato per la sicurezza di un sistema, quando invece si occupa di primitive grafiche che (apparentemente, almeno in questo caso) con le reti non c'entrano niente. Il punto e' che se la porta 6000 del client (su cui ricordiamo che gira l'X SERVER) e' aperta verso la rete per i traffici client/server di X, e non e' protetta, da qualunque macchina della rete si puo' trasmettere e operare sulla macchina che ha l'X SERVER stesso. Se quindi sul proprio computer e' installato un X server, anche la porta 6000 TCP va controllata. Attenzione: non e' detto che le finestre generate da un X server si possano distinguere visivamente da quelle di Windows (tipo "Ma sul mio computer io non vedo le tipiche finestre 'tipo X', ma solo normali finestre Windows, quindi non dovrei avere un X server"). Infatti esistono implementazioni X per Windows che utilizzano le comuni API Windows per la manipolazione dell'interfaccia. Quindi questo non vuol dire necessariamente che non sia X. Inoltre non e' neanche necessario che l'attacco che parte da un altro client passi attraverso il server Unix. Infatti queste connessioni possono passare direttamente da una macchina all'altra. Se la porta 6000 accetta connessioni da ogni dove basta, da qualunque macchina, dare un comando seguito da (sotto Unix) "-display ip_macchina" per farlo apparire li'. Inoltre il server Unix non ha alcun "potere di veto". Questo dipende invece dall'X server che gira sulla macchina (magari Windows) attaccata. Bisogna cercare i settaggi di quest'ultimo relativi alla porta o se e' disponibile qualcosa simile a xhost, un comando che sotto Unix regola gli accessi alla 6000 con autenticazione basata su IP. Per controllare la vulnerabilita' del proprio X server bisogna tentare di aprire delle connessioni sulla porta 6000: questo si ottiene lanciando da qualche altra macchina un processo che abbia display sul computer da testare. Se l'esperimento riesce, vuol dire che la porta 6000 della macchina controllata e' accessibile da fuori. [B06] E' possibile che un trojan/virus effettui telefonate a mia insaputa? [KEYWORDS:trojan:virus:accesso:remoto:telefonata:chiamata:internazionale\ :intercontinentale] [Questa non c'entra molto con la sicurezza. L'ho inserita perche' ultimamente nei gruppi di sicurezza e' stata postata molte volte in varie salse]. Si' e no. Nel senso che e' ovviamente possibile utilizzare le funzioni API di Accesso Remoto per creare nuove connessioni e/o comporre numeri di telefono via software, ma nella maggior parte dei casi responsabili di questo comportamento sono dei programmi scaricabili da alcuni tipi di siti (erotici, ma non solo - vedi archivi .mp3, loghi e suonerie per cellulari (il cancro attuale di Internet IMHO), ecc.) che promettono una maggiore velocita' di accesso e di download dai rispettivi siti se utilizzati per la connessione al posto dell'Accesso Remoto standard, nonche' una presunta "gratuita'" dei servizi cosi' utilizzati. Questi programmi non sono altro che dei "dialer", cioe' software "di chiamata": in pratica compongono un numero telefonico, di solito intercontinentale, sostituendosi ad Accesso Remoto o cambiano le impostazioni di Accesso Remoto in modo che non venga piu' chiamato il provider locale ma il suddetto numero intercontinentale. La gratuita' del programma e dei servizi relativi, nonche' le virgolette che ho usato nel paragrafo precedente, si spiegano con il fatto che questi siti si pagano indirettamente tramite una percentuale sul traffico generato sulla linea utilizzata, che la locale compagnia telefonica accredita appunto ai gestori del sito (in pratica, il meccanismo dei 144 e 166 italiani). E' sbagliato utilizzare il termine "virus" per questi programmi cosi' come e' sbagliato pretendere che gli antivirus vengano istruiti per riconoscerli, perche' non si tratta di virus, ma di applicazioni utente perfettamente "legittime" (anche se al limite della truffa) e di solito scaricate e installate volontariamente dalle vittime. L'unico modo ragionevole per non trovarsi nelle condizioni di pagare bollette di milioni e' quello anzitutto di non scaricarli/installarli (pare logico, no?), poi quello di controllare la cartella di Accesso Remoto e le proprieta' delle connessioni esistenti AL PRIMO DUBBIO. Utili accorgimenti sono quelli di non azzerare del tutto il volume del modem in modo da accorgersi subito se il numero composto e' piu' lungo o comunque diverso dal solito (fidatevi, dopo poche connessioni la sequenza di impulsi prima e di toni poi mi era gia' familiare, e quando cambiai provider, impiegai ugualmente non piu' di pochi giorni per abituarmi al nuovo numero), e di NON SALVARE LA PASSWORD della connessione, in modo che la sequenza di connessione non si completi automaticamente; in tal caso, una connessione che vada su senza richiesta di password dovrebbe ugualmente destare allarme. [B07] Nel settaggio di un programma di monitoraggio della rete, quali porte remote conviene ignorare? [KEYWORDS:porta:servizio:0.0.0.0] - la porta 25 del server dove mandate la posta - la porta 110 del server da dove la ricevete - le porte 3128 e 8080 dei proxies che usate - le connessioni alle porte 80 e 443 di un sito remoto da porte fra 1025 e 5000 (locali) dell'indirizzo 0.0.0.0/0.0.0.0 Queste porte remote appartengono infatti a servizi standard. Il lato negativo di tutto cio' e' che e' sempre possibile, naturalmente, che un attaccante remoto usi una di tali porte per i propri tentativi, proprio perche' il loro uso "standard" e' ben conosciuto. Occorre quindi valutare caso per caso se e' piu' conveniente monitorare o ignorare pacchetti/connessioni provenienti dalle porte suddette, anche tenendo conto dell'uso della macchina che vogliamo tenere sotto controllo. [B08] Cos'e' lo "smurf"? [KEYWORDS:DOS:smurf:ping:amplificazione:filtro] Smurf ("puffo") e' un attacco indipendente dalla piattaforma che consiste nell'esaurire la banda a disposizione della vittima (quindi un DoS). In pratica viene attuato facendo si' che un gran numero di macchine in rete invii dei pacchetti alla macchina bersaglio in risposta a richieste mai fatte, o meglio fatte dall'attaccante a nome della vittima. Il modo in cui cio' avviene: mandare dei PING con l'indirizzo IP della vittima a degli indirizzi IP "multicast" di reti non bene amministrate, che vengono ricevuti dai gateway delle suddette reti. Questi, che di solito smistano il traffico in arrivo agli host che ne sono effettivi destinatari, ricevendo un pacchetto broadcast lo inoltrano a tutte le macchine facenti parte della sottorete, che vedendosi arrivare un PING rispondono con il relativo pacchetto PONG. Il traffico cosi' generato subisce un'amplificazione che puo' anche essere molto grande, in quanto la vittima riceve le risposte da tutte le macchine della rete pingata. Se l'attaccante inoltra una serie di PING di questo tipo non ad una sola rete ma a molte (e gli elenchi di reti che si prestano a questi attacchi sono disponibili in rete, se si cercano bene - NON ME LI CHIEDETE, NON LI CONOSCO!!!), ecco che con una banda a disposizione anche non grandissima si puo' generare verso la vittima un volume di traffico sufficiente per travolgerlo e in pratica isolarlo da Internet. La vittima non puo' fare nulla per difendersi, perche' non puo' controllare il traffico che arriva dalla sua connessione, e il filtraggio dei pacchetti (fondamentale in caso di attacchi di altro tipo) e' del tutto inutile in questo caso, in quanto il problema non e' nel tipo dei pacchetti ricevuti ma nel loro numero, ed essi devono comunque essere ricevuti per essere gestiti, cioe' inoltrati o scartati. La soluzione, come dicono i politici, "e' a monte", nel senso che il filtro dev'essere a livello dell'upstream, cioe' del provider (nel caso di utenza domestica), o in generale del fornitore di connettivita'. Questo tipo di collaborazione, manco a dirlo, e' estremamente rara e inesistente nel caso di connessioni via modem di utenti "privati". Come si puo' realizzare tutto questo? Per Linux esistono programmi appositi, mentre in ambiente Windows esiste per esempio "Aggressor Exploit Generator" (www.aggressor.net x info). [B09] Cos'e' l'IP spoofing? [KEYWORDS:spoofing:tcp:ip:interfaccia:indirizzo] E' una tecnica che consiste nel creare pacchetti IP contenenti nel campo indirizzo un valore diverso da quello del proprio indirizzo IP vero. Cio' puo' esser fatto riconfigurando l'interfaccia di rete o programmando un router in modo che riscriva l'IP del server sui pacchetti in uscita (esistono anche dei programmi che consentono di comporre pacchetti IP in maniera completamente libera, ma solo sotto Linux in quanto lo stack TCP/IP nativo di Windows non consente questa liberta', anche se e' possibile aggirare la limitazione). In questo modo tutti i pacchetti risulteranno provenire da un altro IP, arbitrario. Una conseguenza di questa operazione e' che dopo non funzionera' piu' alcuna applicazione di rete, proprio nessuna nessuna, neanche per sbaglio, neanche una volta ogni tanto. Si possono sempre *inviare* pacchetti, pero' non arrivera' mai alcuna risposta. Per certi scopi la cosa puo' anche essere accettabile, se non interessa che le risposte arrivino, nel caso per esempio di attacchi smurf (vedi B09-ALL). (adattato da un post di Leo) [B10] Come fa il sito che ho visitato a farmi vedere il contenuto del mio desktop/C:? [KEYWORDS:disco:desktop:c:link:sito] > E soprattutto, sono solo io che riesco a guardare l'interno del disco > o anche chi gestisce il sito? Risposta: Sei solo tu a vedere l'interno del disco... Nella pagina HTML c'e un link del tipo clicca qui per vedere il contenuto del MIO disco. Questa non e' prerogativa del solo Windows: o sono validi esempi. Il concetto importante comunque e' che ognuno che si connette vede il PROPRIO desktop, o radice, o quel che e', dato che il link non fa altro che puntare a un URL locale la cui esistenza deve essere ragionevolmente probabile sulla macchina del navigatore, come per esempio c:\windows\desktop o la cartella Internet Temporary Files (ma provate a far seguire a me un link alla seconda...). Nonostante possa far impressione vedere il contenuto del proprio desktop in seguito al clic su un link contenuto in un sito Web, bisogna ricordarsi sempre che il sito stesso non ha letto il contenuto del proprio hard disk ne' ha la possibilita' di farlo: se un altro navigatore cliccasse sullo stesso link, vedrebbe delle informazioni diverse, e se questo non avesse Windows otterrebbe solo un messaggio di errore dal browser. [B11] E' possibile sconnettere il modem "da fuori"? [KEYWORDS:modem:disconnessione:irc] Si', inviando o facendo in modo che la vittima invii un pacchetto contenente la stringa +++ATH0 (la cifra ZERO), per esempio in IRC: //raw PRIVMSG Nick/#chan : $+ $chr(1) $+ PING +++ATH0 $+ $chr(1) Questo e' dovuto a un bug di alcuni modem. Per proteggersi da questo DoS bisogna impostare ATS2=255 nei settaggi del modem: Avvio -> Impostazioni -> Pannello di controllo -> Modem -> Proprieta' modem -> Connessione -> Avanzate -> Altre impostazioni : inserire S2=255. Per quanto riguarda IRC bisogna che il client risponda con un Ping reply +++ATH0, comunque le ultime versioni del mIRC dovrebbero essere patchate a dovere. Il bug non e' di IRC o qualche altro protocollo particolare, ma e' dovuto proprio a questa determinata STRINGA che attraversa il modem, che sia un PING reply di IRC, una username per FTP, o una risposta echo ICMP. *** (C) Frankj *** [B12] Perche' ricevo dei ping sulla porta 113 quando scarico la posta? [KEYWORDS:porta:113:ident:server:irc] Semplicemente, il gestore dell'account di posta si informa su chi sei TU, cosa che si puo' fare semplicemente connettendosi alla porta 113, servizio ident. Ma siccome tu non hai il servizio ident, hai la porta 113 chiusa per default. Per evitare i warning emessi dai firewall, si deve aprirla ponendo su di essa un demone ident di controllo, come per esempio quello incluso in mIRC (molti server IRC, fra l'altro, permettono di connettersi ad essi solo se la loro richiesta sulla 113 viene soddisfatta). [B13] Porte apparentemente anomale in ascolto [KEYWORDS:porta:server:listening:110:5000:6000] E' possibile avere delle porte in ascolto (indicate come LISTENING da netstat), diverse dalle solite 137/8/9, senza che pero' siano presenti minacce piu' o meno dirette. Ecco di seguito un breve elenco delle stesse, sicuramente non esaustivo: 110 TCP (WIN): Posta in arrivo, se avete il Norton ed e' attivo il controllo della posta scaricata. Lui scarica la posta, la memorizza localmente per scansionarla e fa puntare il vostro mailreader alla porta 110 locale da dove Norton gli passa i messaggi facendo finta di essere il server di posta remoto. 5000 TCP (WIN): Universal Plug'n'Play, sotto Windows ME e seguenti permette il controllo remoto di dispositivi esterni progettati appositamente (apparecchi audio/video, elettrodomestici). 6000 TCP : Server di X Window, che su quella porta riceve i pacchetti dai programmi in esecuzione (locale o remota) che su di esso fanno operazioni di I/O. [B14] Quando mi collego ad internet il mio firewall mi segnala pacchetti verso 224.0.0.2. [KEYWORDS:icmp:224.0.0.2:multicast:10] Il messaggio (o la riga del log) del firewall somigliera' circa a questo: Blocking outgoing ICMP: src=xxx.xxx.xxx.xxx, dst=224.0.0.2, type 10. dove al posto delle xxx c'e' l'ip dinamico della propria macchina. Gli indirizzi del tipo 224.a.b.c sono indirizzi MULTICAST, cioe' indirizzi a cui corrispondono non macchine singole ma gruppi di macchine. Quasi sicuramente non c'e' nessuna anomalia nel proprio computer, e tali pacchetti sono indice di trasmissioni multicast da parte del proprio provider, sul cui scopo o utilita' non entro in merito. ===== CUT ===== Secondo l'RFC 1256 un router potrebbe mandarlo a tutte le interfacce su cui supporta il multicast per dire "io son qui", quindi anche via PPP. Del resto quando ti connetti ad Internet Windows manda sempre via un paio di pacchetti del genere: Packet filter 05/08/100 10:49:34: ACL 8:0 line4: permit packet out: ICMP 212.141.93.140 -> 224.0.0.2 type 10 code 0 Packet filter 05/08/100 10:49:36: ACL 8:0 line4: permit packet out: ICMP 212.141.93.140 -> 224.0.0.2 type 10 code 0 224.0.0.2 e' ALL-ROUTERS.MCAST.NET, la classe a cui appartengono tutti i router multicast, mentre il .1 e' ALL-SYSTEMS.MCAST.NET, a cui appartengono tutti gli host che supportano il multicast. *** (C) Simone Tellini *** === /CUT === Per evitare che la propria macchina trasmetta questi pacchetti, aprire regedit e aggiungere in tutti i percorsi HKLM\System\CurrentControlSet\Services\Class\NetTrans\000X (X = 0 to 9) che rappresentano i binding TCP/IP una chiave "PerformRouterDiscovery" di tipo DWORD e valore 0. I percorsi sotto cui aggiungere il suddetto valore contengono i valori stringa "DriverDesc" = TCP/IP e "InfPath" = NETTRANS.INF. [B15] In cosa consiste l'attacco CLICK? [KEYWORDS:click:spoofing:indirizzo:DOS] CLICK invia pacchetti speciali, con indirizzi di partenza finti, alla vittima e allo host cui e' connesso; con lo host fa finta di essere la vittima e dice "Parla piu' piano", e con la vittima fa finta di essere lo host e dice la stessa cosa. Dopo un po', o la vittima o lo host non sentono piu' quell'altro - e casca la connessione (non la linea telefonica, ma la sessione TCP). Alcuni providers 'monitorano' questi pacchetti che dopotutto sono illegali (nel senso di "non aderenti allo standard"). Per esempio, quando tu chiami TIN e il loro TS ti dice "Il tuo indirizzo IP e' 151.92.38.11", il TS *SA* che da te devono arrivare solo pacchetti con mittente 151.92.38.11. Se pero' vuoi CLICKare qualcuno con IP 192.168.17.33, devi mandare fuori dei pacchettini marcati con "mittente: 192.168.17.33", e il TS dice, "o bella, e questo come c'e' arrivato?". ...poi in realta' la maggior parte dei providers se ne fregano, ma questo, come si dice, e' un altro discorso... *** (C) Leonardo *** [B16] Script e privacy [KEYWORDS:javascript:indirizzo:posta:spam:privacy:pulsante] C'e' un trucco, usato spesso da siti porno et similia, ti aprono una finestrella minuscola sparsa per lo schermo, con qualche info che non ti serve, oppure un saluto, una cosa comunque cordiale di benvenuto, e sotto un pulsante (grandicello) per chiuderla, tipo "Close Now!", che uno schiaccia perche' non gli va di andare col mouse a cercare la x in alto a sx. Ebbene, quel pulsante non e' window.close, come ci si aspetterebbe, ma richiama un semplicissimo script in js che manda un'email da qualche parte, non attraverso un form tipo cgi che e' server-resident ma l'invio di posta direttamente col programma predefinito, in maniera che non ti chieda l'autorizzazione, faccia tutto senza che tu te ne accorga. Eventualmente, a seconda delle scuole di pensiero, potrai vedere una finestrella di avviso di Outlook che ti conferma l'invio avvenuto della posta, e tu ti chiedi, ma chi c.zzo e' che l'ha inviata, e impreghi zio bill. Ora chi riceve quell'email puo' leggere il sender (a meno che tu non te lo sia camuffato o protetto con nospam - ed essendo il programma principale che usi non credo - e non leggono nemmeno il field Reply-To, ma direttamente Sender), poi un filtro passera' tutto ad una mailing list che provvede a inserirti seduta stante nella lista o a venderti senza che tu te ne sia accorto. Non cliccate mai i pulsanti senza essere sicuri, questa tecnica sta dilagando, basta leggersi i sorgenti html delle finestrelle aperte da siti warez o mp3. *** (C) Alessio *** [B17] Qual e' la pericolosita' di ICMP? [KEYWORDS:icmp:protocollo:connessione:attacco] ICMP (Internet Control Message Protocol) consente di inviare messaggi di stato, per esempio "Network disconnessa". A questo punto, diciamo che tu hai A e B, connessi in TCP, sei C, e vuoi disconnetterli. Mandi ICMP fingendoti A a B, e ad A fingendoti B. E in entrambi i casi mandi roba tipo "Non ti sento!" "Host irraggiungibile!" "Richiesta frammentazione pacchetto!" Dopo un po', "O" A, "O" B... "O" ENTRAMBI decidono di mandare l'altro mo ben a cagher. Puf! Disconnessione. Solo che il firewall non ti salva, perche' se tu sei A, firewallato quel che ti pare, e C induce B a mandarti affanck, B ti sconnette: hai voglia a tenere la connessione su. Idem per i tronca-connessione via TCP (guzzler e brkill) che fanno circa la stessa cosa - pero' bucano anche il firewall (se lo configuri perche' non faccia passare i TCP diretti da irc.tin.it, curiosamente dopo non ti connetti piu' a irc.tin.it, chissa' perche'; e il firewall non distingue i TCP provenienti da irc.tin.it da quelli che DICONO di provenire da li' e basta). I "troncatori" di cui sopra possono funzionare solo se la connessione ha certe caratteristiche di predicibilita' (Windows e' predicibile al 100%, Windows 98 al 100%, Windows 2000 al 12.5%, Windows NT 100%, e Windows NT con SP5 al 12.5%. Per confronto, Linux e' predicibile allo 0.00154%, ed e' possibile con una piccola ma pericolosissima patch fargli distinguere fra i TCP provenienti da irc.tin.it veri e quelli forged [1]. Leonardo [1] il funzionamento e' quantomai non garantito; si tratta di decidere a seconda del TTL residuo. [B18] Ho risolto il problema della sicurezza con la password del bios, cosi' non puo' entrare nessuno. [KEYWORDS:bios:password:debug] E con il debug del DOS io ti sparo i codici -o 70 2E -o 71 FF -q [sinceramente ho provato solo su computer con windows/dos, quindi non ti saprei dire come spararli sotto altri sistemi operativi... per Linux so che esiste un programma chiamato cmospwd che permette la lettura/cancellazione/riscrittura del cmos, ma non ho piu` l'url.] *** (C) Zefram (rielaborato) *** [B19] Quando mi connetto, il mio provider si vuole collegare alla porta 520 UDP. Il Routing Information Protocol, RIP, e' un protocollo di instradamento dinamico peraltro molto molto semplice. Capita che alcuni provider, probabilmente inconsapevolmente, negozino sessioni RIP con le macchine collegate in PPP, in teoria per aggiornare le tabelle di instradamento dei clienti. Puoi anche farla passare, tanto sulla tua 520 non c'e' nulla, no ? Se tu avessi uno UNIX potresti provare l'ebrezza di installare routed o gated e dialogare allegramente con i router del tuo ISP ..... magari esiste qualcosa anche per Windows ? [invy] [B20] Possono controllare se sono collegato senza che me ne accorga? Si'. Per esempio, un programma manda prima di tutto un ICMP a un certo sito, e poi sta a vedere. Non ritorna niente, e va bene. Poi invia una serie di pacchetti con TTL incrementale (per la precisione a gruppi di tre, con TTL pari a K-1, K e K+1, per ogni K da testare). Cosi' scopre che lo host dista diciamo 15 hops. Ora, se invio un pacchetto con TTL=15 a quell'host, in pratica quello mi arriva sulla porta dell'host con l'ultimo fiato a mezza gola, morendogli sui gradini :-). E qui le possibilita' sono varie: - il firewall lo identifica? - o l'OS ha la precedenza, inviando di rimando un TTL EXPIRED, e facendomi cosi' capire che qualcuno c'e'? Se poi il firewall decrementa il conteggio degli hop, c'e' un'altra piu' interessante possibilita': - una porta "firewallata" mi ritornera' REJECT oppure nulla - una porta non firewallata mi ritornera' TTL EXPIRED ...tutto cio' FORSE senza neanche che la "vittima" se ne accorga. Nel caso degli IP in dial-up la cosa e' anche piu' semplice, perche', se invio un ping UDP e con TTL "appena insufficiente" all'host, mi risponde il terminal server, dicendo: - NO ROUTE TO HOST --> PC spento - TTL EXCEEDED --> PC acceso Al PC in questione il mio PING non arriva, sicche' neanche gli s'accende il lucino del modem :-) *** (C) Leonardo Serni *** Il programma, sempre per esempio, si chiama firewalker. (Commento finale by Lyapunov) Che dire...non si smette mai d'imparare! - se hai IP statico, l'OS puo' avere la precedenza sulle regole del firewall [suppongo che questo accada con win...ma se ho, ad esempio, Linux ed ipchain opportunamente settato? hai idea di cosa accada] -se hai un dial-up, il router risponde per te. ...e dire che ho sempre pensato d'essere invisibile! [B21] Come fanno a sconnettermi da IRC? Tra i vari tipi di ICMP, c'e' il cosiddetto UNREACH. Questo tipo di DoS sfrutta questi ICMP, in svariate forme, lanciandone un piccolo torrente sperando che lo stack TCP/IP della vittima designata passi il messaggio al livello delle applicazioni, facendo si che il programma chiuda il socket. Vediamo un tipico uso di un tipico dos di questo tipo: puke in questo modo verranno lanciati un numero, definibile, di unreach da ogni porta del source host del range scelto ad ogni porta del target. Nel caso il target sia un server IRC, ovviamente il range sara' molto piccolo (6660-6669 nella maggior parte dei casi). Prima che qualche impreciso precisatore dica che ICMP non ha porte, e' bene sapere che il msg di unreach contiene parte del pacchetto che l'avrebbe teoricamente prodotto, ovvero un datagramma ip con pacchetto tcp con specificate proprio quelle porte di cui fa richiesta il DoS prima di partire. Guardatevi qualunque sorgente di qualunque DoS di tal guisa. invy [B22] Rilevo connessioni in uscita verso satan.idsoftware.com [192.246.40.37]. Qualcuno sta giocando a Quake3 sul tuo computer (o rete aziendale ^________^). Quake e' facile da individuare anche se configurato su porte non standard perche' come parte di una procedura antipirateria invia informazioni sulla chiave appunto al server suddetto. Il blocco del traffico in uscita verso di esso impedisce il gioco sulla tua connessione internet, poiche' il client non si puo' piu' autenticare. [B01-M] E' possibile far piantare il Mac tramite la rete? [KEYWORDS:macintosh:finder] L'unica cosa che manda in bomba il System 8.1 con l'ultimo OpenTpt e' se sta collegandosi (attivamente) a un server DDP e il server crasha. Resta per un po' confuso, poi si pianta il Finder e tocca riavviare. Anzi, una volta su cinque tocca pure resettare la P-RAM. Il problema sembra essere piu' grave utilizzando una scheda di rete Dayna 10/100, evidentemente non molto affidabile. Un dispositivo comunque non Apple. [B02-M] Quanto e' sicuro usare un Mac come Web server? ATTENZIONE: Queste informazioni sono relative a MacOS8, una versione ormai obsoleta (ma dato che ci sono in giro ancora copie di Windows 95 e 3.1x...). Esiste un problema di buffer overflow datato Aprile 1998, che in seguito a una stringa di input piu' lunga di 3000 caratteri manda in crash il server, ma non il sistema operativo. C'e' inoltre da verificare la possibilita' di un attacco tramite dati OOB in seguito al quale il server (non il sistema) crasha ad ogni successiva tentata connessione. Con il Wb sharing abilitato, oltre alla classica porta 80 si mettono in ascolto anche le porte 427/TCP e 427/UDP. ==================================== [C01] Proteggere il sistema - Info generali [KEYWORDS:mirc:icq:file:avp:monitor] La prima regola fondamentale e' di non eseguire __MAI__ alcun file che non sia di provenienza piu' che accertata. Questo ancor di piu' se si e' soliti, per esempio, chattare con mIRC o ICQ e qualche interlocutore vi spedisca dei file. Non eseguiteli, neanche se promettono di farvi materializzare dal modem una Pamela Anderson nuda e disponibile :-)) Il pericolo puo' essere maggiore di quello costituito da un virus "tradizionale". In ogni caso, poiche' prevenire e' meglio che curare, due programmi di utilita' sono: - Nuke Nabber (http://tucows.iol.it, http:/volftp.tin.it) - AVP System Monitor (http://www.avp.it/utility) Il primo e' un antinuke che pero' ha il difetto di aprire le porte per controllarle; dovrebbe esistere pero' una patch che serve a chiuderle. Il secondo e' un anti-BO/monitor di sistema, freeware, scritto da Paolo Monti (l'autore e' reperibile su it.comp.irc). Per utilizzare NukeNabber bisogna avere Winsock 2 o superiori (attualmente siamo alla 2.2), se si hanno versioni precedenti l'aggiornamento e' scaricabile come al solito dal sito Microsoft o da vari archivi ftp (con VOLftp si va tranquilli); la versione 2 o superiore del Winsock e' necessaria per la scansione ICMP. Questo introduce un'altra regola di base, che e' quella di tenere costantemente aggiornato il sistema nelle sue componenti vitali come lo stack TCP/IP, per evitare di esser vittime di vecchi bug corretti da versioni successive del software. [C02] Come su puo' scoprire in ambiente ethernet un host che opera in promiscuous mode? [KEYWORDS:scheda:rete:promiscuo:arp:ping:sniff] Vari modi, dipendono dallo sniffer. Modo semplice: mandi un pacchetto PING con il MAC sbagliato ma l'IP giusto. Normalmente non devi aver risposta. Chi risponde lo sgaìni. C'e' un modo piu' complicato che richiede la manipolazione - su due hosts diversi - delle cache ARP. Non ricordo come funziona, ma sono QUASI sicuro di averlo letto un paio di mesi fa su AntiOnline. Una tecnica complicatissima consiste nel valutare i ritardi in caso di PING. Mi pare di ricordare che un PC in sniffing risponda in due tempi diversi (da quelli di un PC normale) ad un PING normale ed ad un PING broadcast, entrambi con il MAC corretto di destinazione (al PING broadcast MAC-linked risponde un solo PC, ovviamente). Su una rete Linux puoi anche tentare ssh target "/bin/jpg2bmp eth0 | grep UP" dove jpg2bmp e' la copia zippata di "/sbin/ifconfig" :-) *** (C) LeoSerni *** [C03] Cosa uso per controllare l'attivita' di rete del mio computer? DOS Win95 Linux =========================================== tracert tracert traceroute ping ping ping netstat netstat netstat nbtstat nbtstat nbtstat - NukeNabber tcplogd - - tcpd - NukeNabber(?) icmpd - - strobed - - - route route (1) route - aggressor aggressor fdisk fdisk fdisk - win startx ;-) - office staroffice pov pov32 povray ... (1) Non funziona bene (2) Children, DO NOT DO THIS AT HOME *** (C) Leonardo Serni *** [C04] Esiste un software che dica da quale programma e' utilizzata una porta aperta? Si', con windows devi usare @guard (ora incluso nella suite di Norton per la sicurezza), mentre con linux basta utilizzare fuser: [root: /home/buttha]# ps $(fuser -n tcp 12345 | cut -d : -f 2) PID TTY STAT TIME COMMAND 301 ? S 0:00 inetd ==================================== [D01] Un attacco sembra venire dall'indirizzo x.y.w.z. Posso essere sicuro che provenga da veramente da li'? [KEYWORDS:spoofing:attacco:indirizzo:ping] Non e' detto. E' possibile fare in modo che i pacchetti trasmessi da un certo indirizzo IP sembrino arrivare da un altro; la tecnica si chiama __spoofing__. Quando si riceve un tentativo di attacco e il programma usato per monitorare la rete riporta un certo indirizzo di provenienza, e' bene non passare direttamente al contrattacco, perche' si potrebbe colpire qualcuno che non c'entra niente, rendendolo la seconda vittima dell'attacco (il suo indirizzo IP potrebbe essere usato come indirizzo di provenienza dell'attacco per vari motivi, non ultimo una forma di "ritorsione" contro il proprietario di tale indirizzo). *** (C) Leonardo Serni *** Se uno proprio vuole assicurarsi (nei limiti del possibile) di chi effettivamente ha fatto ping: 1) Risponde 2) Risponde a tono ai comandi piu' ovvi 3) Se, come nel 75% dei casi (esperienza mia) arriva il comando di attivazione web server, dice di si' 4) Quando arriva una connessione TCP da quell'indirizzo alla porta 80, _ALLORA_ l'identita' del tizio e' non dico SICURA, pero' insomma abbastanza PROBABILE. *** fine (C) *** [D02] Riesco a beccare un attaccante che usa ICQ? [KEYWORDS:attacco:icq:sniffer:connessione] Pare che ICQ dia la possibilita' di nascondere l'IP. In realta' si puo' usare il programma ICQ Sniffer, 85 Kb, per scoprire l'IP in "quasi" ogni caso. Questo programma, pero', non sembra del tutto affidabile: infatti puo' fornire numeri IP diversi se usato a distanza di qualche minuto, e sembra piu' attendibile nel caso di IP statici. Un metodo alternativo prevede l'uso di un programma come AtGuard. In tal caso basta mandare un messaggio ad uno degli utenti della propria lista online, e, anche se questo non risponde, andando a vedere nella lista delle connessioni si trovano IP e porta di comunicazione del destinatario [funziona anche con netstat?]. In conclusione un consiglio sempre valido e': fare attenzione a chi si da' l'autorizzazione per la contact list. *** Integrazione a cura di Enrico Gallesio *** [D03] Ma e' proprio sicuro che l'IP che scopro e' quello dell'attaccante? [KEYWORDS:indirizzo:attacco:proxy] Basta che l'attaccante utilizzi un proxy dedicato, per rendere inefficaci i tentativi di scoprire il proprio IP. In questo caso, il programma utilizzato, come ICQ sniffer, riporterebbe l'indirizzo IP del proxy invece di quello effettivo. Percio' vale anche qui la regola di pensarci bene prima di rispondere al fuoco... [D04] Ci sono programmi con cui mi posso difendere in maniera piu' "attiva" e magari rispondere per le rime? >:-] [KEYWORDS:attacco:contrattacco:backdoor:server:client] La prima cosa che bisogna dire e' che se e' illegale che qualcuno violi le nostre macchine, altrettanto lo e' rispondere al fuoco, o meglio, lo e' se il nostro scopo e' quello di danneggiare a sua volta l'attaccante. Cio' non vuol dire che non si possa "rispondere al fuoco" in maniera innocua e lecita, ma tale da divertirci un po' alle spalle dell'attaccante, cercando magari di fargli capire che forse e' meglio che si cerchi altri svaghi. Come primo tentativo, ci si procuri il client delle solite backdoor (Bo, NetBus, TeleKommando, 'r tegame di su ma'). Piu' frequentemente di quel che si pensa, infatti, i lamerini che vanno a caccia di backdoor hanno a loro volta anche il server installato, o perche' fanno esperimenti su se stessi senza proteggersi, o perche' hanno scaricato versioni "non proprio affidabili" delle backdoor da siti non ufficiali, e queste installano il server a loro insaputa. Senza procurare loro danni, si puo' fargli apparire sul desktop un messaggio di "avvertimento", da rendere via via piu' "deciso" se i tentativi non cessano. Esistono poi dei programmi che simulano i server delle backdoor, in particolare NetBuster per NetBus e BoFake, BoSpy e NoBo per Back Orifice. Tali server (perche' server sono a tutti gli effetti) si mettono in ascolto sulle porte opportune, e all'arrivo di una richiesta di connessione rispondono, permettendo fra l'altro di loggare le azioni che l'attaccante richiede al server. E' possibile (nel caso di BoSpy) far anche apparire al client un sistema virtuale definito in appositi file di configurazione. ATTENZIONE: L'USO DI TALI PROGRAMMI VA FATTO SOLO SE PERFETTAMENTE CONSAPEVOLI DEL LORO FUNZIONAMENTO. Inoltre il loro utilizzo potrebbe non essere lecito ai sensi delle leggi in vigore. E "last but not the least": sono sempre ulteriori programmi che accettano dati dalla rete, che potrebbero avere a loro volta bug vari e conseguenti exploit. Se il "nemico" ne sa appena appena piu' della media e si accorge della trappola, potrebbe a sua volta rispondere al fuoco. Ricordiamoci sempre che a differenza della vita reale, su Internet non possiamo sapere chi abbiamo di fronte. Per dirla come un film western: "Non importa quanto sei veloce a sparare, prima o poi incontrerai sempre qualcuno che spara piu' veloce di te". [D05] Come faccio a sapere chi mi attacca su IRC? [KEYWORDS:attacco:irc:who:whois:invisibile] Sono disponibili i comandi /who e /whois. Al primo si deve passare l'IP di un utente, ma puo' capitare che la risposta sia xxx.xxx.xxx.xxx End of /who list? Il problema e' che se l'utente si e' marcato "invisibile" non e' possibile rintracciarlo con /who, tranne FORSE nel caso in cui si sia collegati nello stesso canale dove e' collegato lui. Con /whois, invece, si raggiungono anche gli "invisibili", a patto di digitare correttamente il nome del nick. [D06] Come rintraccio un attaccante in IRC? [KEYWORDS:irc:who:attacco] /who ** /dns ip *** Resolved 12.34.56.78 to /who ** e ottieni il nick se sta su uno dei tuoi canali /msg Ciaoo :) Piu' di questo non puoi fare *** (C) Frankj *** ==================================== [E01] Il ping di BO si configura come sabotaggio informatico, violazione della privacy o roba del genere? [KEYWORDS:ping:bo:backorifice:privacy:password:violazione:615:547] Paradossalmente, no. La legge 23 dicembre 1993 n. 547 definisce i "reati informatici", ma il semplice PING del Back Orifice non e', in se', reato (non configura ne' la fattispecie di "alterazione di funzionamento", ne' quella di "violenza sulle cose" in senso lato). L'unica apparenza di punibilita' percio' (nel caso di un PING) deriva da come tale PING e' stato inviato, i.e. usando un client Back Orifice? Nel caso, il pingatore e' in possesso di uno strumento "atto a...", e quindi (in teoria!) si configura la fattispecie di possesso di strumento idoneo a introdursi in un sistema telematico od informatico (art. 615 quater). Ma si tratta di una interpretazione piuttosto ambigua, perche' tale art. e' nato con in mente il *traffico* delle *password*, non la *detenzione* di *tools*. Appare tuttavia possibile una estensione per analogia. Cioe' tutto dipende da quanto e' cazzuto il PM :-) Inoltre ci si deve basare su una interpretazione relativa ad un reato di pericolo; il ping viene cioe' visto come "attivita' ordinata ad ottenere l'accesso ad un sistema informatico o telematico". Sara', in caso, onere dello hacker dimostrare che questa attivita' (pur svolgendosi) non fosse pero' ordinata ad un fine criminoso. Per esempio il seguente script ... for i in $ICMP_FOUND_HOSTS; do if ( bo_ping $i 31337 "" ); then cat <<-HERE | bo_send $i 31337 "" 9 Non dovrei essere qui. Lei ha installato BACK ORIFICE sul suo PC. Per rimuoverlo, consulti SUBITO http://www.kazzimazzi.com --- Finche' non lo fara', sara' possibile a me o ad altri ENTRARE NEL SUO PC! HERE fi done ... genera una *tempesta* di PING su una sottorete, ma, qualora acquisito da un inquirente, vale a dimostrare se non altro la buona fede - e il fatto che l'attivita' non fosse ordinata all'accesso abusivo. Completamente diverso e' invece il discorso, per chi si spinge al di la' del semplice "ping": Nov 2 20:28:48 jag BOCLONE: a-rm29-14.tin.it: Nov 20 09:51:22 jag BOCLONE: [194.243.173.132]: ...in questo caso si procede a querela di parte. Io 'sti due non ho mica intenzione di querelarli, anche perche' il secondo sta a 700 metri da me e se proprio volessi potrei pingarlo con una spranga ;-). E l'unica pass che hanno ricevuto e', credo, "gioppino". Ma se li querelassi, il pretore acquisisce i dati di Telecom o di FOL, e qui c'e' proprio una violazione del 615 quater: , infatti, configura la fattispecie di "... procurarsi abusivamente codici di accesso a sistemi informatici o telematici". Reclusione fino a 1 anno e multa fino a 10 milioni (il che vuol dire che puo' anche essere zero e zero). In piu' c'e' l'ingresso abusivo in un sistema informatico (e anche qui a dire il vero c'e' da discuterci: "ingresso", significa shell?), art. 615 ter C.P., reclusione fino a tre anni. Se danneggia i dati od installa un rootkit, reclusione da uno a cinque anni. Appare palese che per chi vada ad installare il BOServer via NetBEUI si configuri appunto tale ipotesi. Inoltre l'A.G. puo' acquisire ugualmente i dati, anche in assenza di una denuncia: "...nella stragrande maggioranza dei casi l'interessato e' del tutto ignaro della effettuazione di un illecito ai suoi danni [...] vero e' che in tal caso trova applicazione l'art. 346 CPP per cui in mancanza di una condizione di procedibilita' [la querela di parte, NdR], che puo' ancora sopravvenire, possono essere compiuti gli atti di indagine preli- minare necessari ad assicurare le fonti di prova..." [E02] Ma il ping di BO comunque e' configurabile come tentativo? [KEYWORDS:ping:violazione:privacy:backdoor:ping:indagine:547] Si', piu' che altro perche' il Back Orifice serve unicamente come backdoor o come "amministrazione remota" -- ma ENTRAMBE queste attivita', se svolte su PC di terzi senza il preventivo consenso, sono reati. Pero' il tentativo in se' non e' un reato: e il fatto che POSSA essere una attivita' ordinata a commettere un reato, non significa che lo SIA. Pero', naturalmente, a quel punto tocca al pingatore dimostrare di essere onesto. Per esempio, uno che giri intorno ad una casa osservando finestre, porte e serrature *PUO'* essere un curioso... come un ladro che studia il colpo; e infatti l'articolo 55 del CPP prevede fra i DOVERI della P.G.: - prendere notizia di reati: attivita' informativa, diretta ad assumere la conoscenza della perpetrazione di reati, gia' commessi od in fieri; puo' essere svolta sia in forma tipica che in forma atipica. "Forma atipica", in linguaggio tecnico, significa "post civetta, tcpdump e sniffers sulla porta 31337 a tutti i providers; monitoraggio newsgroups; ecc.". (Non si incazzi, Brigadiere: io mi limito a riportare l'ovvio). Va da se' che le notizie cosi' acquisite non possono dare l'avvio ad una indagine in mancanza di una precisa nozione di reato. In pratica, se uno risulta originare o ricevere uno svagello di attivita' UDP:31337, questo non autorizza a piombargli in casa fisicamente o telematicamente. (Allo stesso modo, le pattuglie sul territorio _possono_ vedere per caso il ragionier Brambilla con l'amante; e a questa violazione della privacy il ragioniere deve sottostare. Purtroppo, per poter vedere un reato, uno deve tenere gli occhi aperti, e se li tiene aperti vede _TUTTO_; ci sono regole che stabiliscono che cosa uno deve far finta di non aver visto). A dire il vero questo mi pare confligga con l'art. 13 della Costituzione - ma in effetti, quello parla della sfera _personale_, mentre un tcpdump sul provider e' quanto di piu' _impersonale_ ci possa essere :-) ... sul merito c'e' una sentenza (n. 30, 27/03/1962) della Corte Costituzionale, che in effetti ha compendiato l'art. 4 del testo unico sulle leggi di P. S. e che con qualche fatica si potrebbe estendere all'ambito telematico. - impedire che i reati giungano a conseguenze ulteriori - ricerca degli autori dei reati: a reato commesso e stabilito, la P.G. si dedica a individuare il reo, sia con atti atipici che con atti tipici (e cioe' perquisizioni, fermi, arresti in flagranza, ecc. ecc.). - individuazione ed assicurazione delle fonti di prova (qui ci si deve poi rifare alla definizione di 'fonti di prova' telematica, data dalla legge 547/93; e le attivita' in ordine a questa sono poi governate dagli artt. 350,351 ("cat /var/log/messages"), 352 ("find / -[...]"), 353 ("tar czvf /zip/mailboxes.tgz /var/spool/mail/*"), 354 ("toc toc! - chi e'? - apra, Polizia"). In presenza di "comportamento sospetto" nel mondo fisico, la P.G. puo', di iniziativa, sottoporre a misure limitative della liberta' personale. Nello specifico (legge 22 maggio 1975 n. 152), coloro il cui atteggiamento o la cui presenza, in relazione a specifiche circostanze di tempo e luogo, non appaiono giustificabili, possono essere sottoposte a perquisizione, al fine di individuare oggetti o strumenti atti a nuocere. Poiche' la legge 23 dicembre 1996 n.547 ha esteso il concetto di domicilio alla sfera telematica, si potrebbe altresi' estendere il concetto di "pura presenza"; per esempio se io telnetto su www.nasa.org, "in un certo senso" sono "telematicamente presente", alle porte di www.nasa.org. Ne' del resto si potrebbe configurare una violazione di domicilio esteso in senso fisico (altrimenti la legge mi punirebbe solo se io mi introducessi *FISICAMENTE* nel computer di un altro, passando per es. dal buco del floppy!). Ma questa e' una elucubrazione mia, che sostengo solo fino al rogo escluso - la verita' e' che la legislazione in materia e' un gran casino, e basata su "estensioni analogiche" - e mi viene in mente il diverbio fra i rabbini chassidici (?) se l'elettricita' sia o meno "fuoco". Perche' se lo e', nel giorno di sabato non si puo' accendere la luce; e se non lo e', si puo', a patto che s'installi un condensatore in parallelo che elimina la scintilla di apertura circuito, la quale sicuramente e' compartecipe della natura di fuoco. Fra un po' sentiremo discutere se un SYN scan sia "comportamento sospetto" essendo "assimilabile analogicamente" ad un "agire furtivo" 8-D La mia impressione generale e' che, se uno fa casino, lo prende nel ciocco come sonare a predica; altrimenti, tutto dipende da chi e' e da chi ha nel ruolo di avvocato. In pratica uno gia' cuccato a telnettare in casa altrui e' bene che smetta di usare anche il normale "ping" di Windows :-) [E03] Se installo Back Orifice via NetBIOS su Internet ad un tizio che non sa niente, mi possono beccare? E cosa mi possono fare? [KEYWORDS:backdoor:server:violazione:privacy:615:pena] La risposta si articola nei seguenti punti: 1) L'installazione sopradetta configura la violazione dell'art 615 ter, comma due (violenza sulle cose, come da definizione ex art 392 comma due CP) del CP, e in aggiunta art 615 quinquies. 2) Si', ti possono beccare in un modo semplicissimo, che io (fossi nel nucleo di Polizia delle Telecomunicazioni) avrei installato da parecchio tempo (del resto, e' previsto dalla legge). Basta, evidentemente, che tu ti colleghi dal telefono di casa tua, poi avere l'indirizzo e' questione di due (2) ore. 3) Reclusione da un minimo di un anno a un massimo di cinque, piu' multa sino a lire venti milioni. Contrariamente a quanto io stesso credevo, NON e' necessaria la denuncia del boserverizzato: si procede d'ufficio (50 CPP) e la competenza e' pretorile (7 CPP). Non e' consentito il fermo di indiziato del delitto, ne' l'arresto, o tantomeno l'adozione di misure cautelari personali. ==================================== *** APPENDICI *** [PORT-Appendice] - Elenco ragionato delle porte piu' utilizzate [KEYWORDS:porta:servizio:backdoor:server] by Maurizio Cimaschi integrato da Marco Zani Ecco un' elenco delle porte piu' utilizzate, alcune indicazioni fanno riferimento a risposte date nella FAQ, e si rimanda ad esse. Legenda: Porta (Prot) : Indica la porta ed il protocollo utilizzato C/S : Se si tratta di un servzio lato server oppure lato client, se non vi e' alcuna indicazione significa che non e' rilevante WKS : Indica il tipo di Well Known service (se presente). Monitorig : Se deve essere monitorato dal programma Nuke Nabber (o simili), il valore puo' essere (a) o (b), sul significato si rimanda alla domanda [C01a] Poss. att. : Indica le possibilita' di attacco alla porta. Note : Varie ed eventuali, come ad esempio possibilita' di attacco ai servizi presenti su quella porta, presenza di back door, ecc. Sono elencati in ordine crescente rispetto al numero di porta e non per importanza. Porta (Prot) : ICMP detta anche porta zero. C/S : WKS : Monitorig : (a) e (b) Poss. att. : Possono essere ricevuti pacchetti formattati in maniera anomala che mandano in crash lo stack TCP/IP. Note : E' la sezione relativa alla manutenzione del protocollo IP ** Porta (Prot) : 13 (TCP) C/S : S WKS : daytime Monitorig : Poss. att. : Note ** Porta (Prot) : 13 (UDP) C/S : S WKS : daytime Monitorig : Poss. att. : Note : ** Porta (Prot) : 19 (TCP) C/S : S WKS : ttytst source Monitorig : Poss. att. : Note : ** Porta (Prot) : 19 (UDP) C/S : S WKS : ttytst source Monitorig : (a) Poss. att. : In winNT e' possibile indurre la macchina a cortocircuitare le porte 21 e 53, mandando in crash lo stack TCP/IP Note : ** Porta (Prot) : 20 (TCP) C/S : S WKS : ftp-data Monitorig : Poss. att. : Note : ** Porta (Prot) : 21 (TCP) C/S : S WKS : FTP Monitorig : no Poss. att. : Note : Il monitoring, se presente, non deve essere del tipo "chiudi porta", altrimenti quella macchina non puo' essere usata come server dal momento che rifiuterebbe a priori tutte le connessioni. ** Porta (Prot) : 22 (TCP) C/S : S WKS : SSH - Secure Shell (shell remota che viaggia su connessione criptata, da preferire all'insicuro telnet) Monitorig : no Poss. att. : Note : ** Porta (Prot) : 23 (TCP) C/S : S WKS : Telnet Monitorig : No Poss. att. : Note : vedi porta 21. ** Porta (Prot) : 25 (TCP/UDP) C/S : S WKS : SMTP - invio della posta Monitorig : No Poss. att. : Bug di Sendmail (Unix) Note : Scaricare sempre l'ultima versione di sendmail (ftp://ftp.sendmail.org/pub/sendmail) Vedi porta 21. ** Porta (Prot) : 31 C/S : S WKS : Message Authentication Monitorig : Poss. att. : Note : ** Porta (Prot) : 37 (TCP) C/S : S WKS : timeserver Monitorig : Poss. att. : Note : ** Porta (Prot) : 37 (UDP) C/S : S WKS : timeserver Monitorig : Poss. att. : Note : ** Porta (Prot) : 39 (UDP) C/S : S WKS : resurce location Monitorig : Poss. att. : Note : ** Porta (Prot) : 53 (TCP) C/S : S WKS : DNS / Domain Monitorig : No Poss. att. : Note : vedi nota porta 21. per winNT vedi anche nota porta 19 ** Porta (Prot) : 53 (UDP) C/S : S WKS : Domain Monitorig : Poss. att. : Note : ** Porta (Prot) : 69 (TCP) C/S : S WKS : tftp Monitorig : Poss. att. : Note : ** Porta (Prot) : 70 (TCP) C/S : S WKS : gopher Monitorig : Poss. att. : Note : ** Porta (Prot) : 79 (TCP/UDP) C/S : S WKS : Finger Monitorig : No Poss. att. : Puo essere usato per un "denial of service" attack Note : Disabilitare il finger o montare una versione aggiornata ** Porta (Prot) : 80 (TCP/UDP) C/S : S WKS : Server WEB Monitorig : No Poss. att. : CGI/BIN attacks (PHF ecc.) Note : Utilizzare sempre l'ultima versione del server Web Vedi porta 21. ** Porta (Prot) : 88 (TCP) C/S : S WKS : Kerberos Monitorig : Poss. att. : Note : ** Porta (Prot) : 88 (UDP) C/S : S WKS : Kerberos Monitorig : Poss. att. : Note : ** Porta (Prot) : 98 (TCP) C/S : S WKS : Interfaccia Web di Linuxconf Monitorig : Poss. att. : Scansione per exploit su vecchie versioni di Linuxconf. Note : Servizio non abilitato per default, e attivabile solo da Linuxconf stesso. ** Porta (Prot) : 101 (TCP) C/S : S WKS : Hostname Monitorig : Poss. att. : Note : ** Porta (Prot) : 103 (TCP) C/S : S WKS : X-400 Monitorig : Poss. att. : Note : ** Porta (Prot) : 104 (TCP) C/S : S WKS : X-400-send Monitorig : Poss. att. : Note : ** Porta (Prot) : 109 (TCP) C/S : S WKS : POP2 Monitorig : Poss. att. : Note : ** Porta (Prot) : 110 (TCP/UDP) C/S : S WKS : POP3 - ricezione posta elettronica Monitorig : No Poss. att. : Possibile lettura file in posta Note : vedi porta 21. ** Porta (Prot) : 111 (TCP) C/S : S WKS : RPC Monitorig : Poss. att. : Note : ** Porta (Prot) : 111 (UDP) C/S : S WKS : RPC Monitorig : Poss. att. : Note : ** Porta (Prot) : 113 (TCP) C/S : S WKS : Ident (identificazione host) Monitorig : Poss. att. : Note : ** Porta (Prot) : 119 (TCP) C/S : S WKS : NNTP - Server News Monitorig : No Poss. att. : Note : vedi nota porta 21. ** Porta (Prot) : 129 (TCP) C/S : WKS : Monitorig : Poss. att. : (a) Note : ** Porta (Prot) : 135 (TCP/UDP) C/S : WKS : Nameserver NetBEUI Monitorig : Poss. att. : Tentativi di attacco a sistemi NT. Note : ** Porta (Prot) : 137 (TCP) C/S : S WKS : netbios Monitorig : (a) e (b) Poss. att. : Note : E' necessario disattivare NetBIOS (sempre che non se ne abbia bisogno). Oppure installare WinNuke95 e selezionare "patch aganist Nuke". Cancellare dal registro di configurazione le chiamate al driver di periferica virtuale vnetbios.vxd se la porta resta aperta dopo aver disinstallato NetBIOS. ** Porta (Prot) : 137 (UDP) C/S : S WKS : Netbios (nbname) Monitorig : Poss. att. : Note : vedi porta TCP ** Porta (Prot) : 138 (TCP) C/S : WKS : Netbios (nbdatagram) Monitorig : (a) e (b) Poss. att. : Note : vedi nota porta 137. ** Porta (Prot) : 139 (TCP) C/S : WKS : Netbios (nbsession) Monitorig : (a) e (b) Poss. att. : si con WinNt Note : C'e' un baco (??) nello stack TCP/IP di winNT, che risulterebbe vulnerabile a dati fuori banda. Vedi inoltre nota porta 137/TCP. ** Porta (Prot) : 143 (TCP) C/S : S WKS : imap2 - Interim Mail Access Protocol v2 Monitorig : No Poss. att. : Possibile lettura file in posta Note : vedi porta 21. ** Porta (Prot) : 220 (TCP) C/S : S WKS : imap Monitorig : Poss. att. : Note : ** Porta (Prot) : 389 (TCP/UDP) C/S : S WKS : LDAP Server Monitorig : Poss. att. : Note : ** Porta (Prot) : 443 (TCP) C/S : S WKS : https: Protocollo sicuro (ie, criptato) per servizi web. Monitorig : Poss. att. : Note : ** Porta (Prot) : 445 (TCP/UDP) C/S : WKS : Direct hosted SMB Monitorig : Poss. att. : Note : ** Porta (Prot) : 500 (TCP) C/S : WKS : ISAKMP/Oakley Monitorig : Poss. att. : Note : Windows 2000. ** Porta (Prot) : 520 (UDP) C/S : WKS : RIP (Routing Information Protocol - un protocollo d'instradamento dinamico) Monitorig : Poss. att. : Note : Instradamento dinamico. ** Porta (Prot) : 554 (TCP) C/S : WKS : Real Audio Monitorig : Poss. att. : Note : ** Porta (Prot) : 555 (TCP) C/S : WKS : Monitorig : (a) Poss. att. : Note : ** Porta (Prot) : 666 C/S : WKS : MDQS Monitorig : Poss. att. : Note : ** Porta (Prot) : 1027 (TCP) C/S : WKS : Monitorig : (a) Poss. att. : Note : ** Porta (Prot) : 1029 (TCP) C/S : WKS : Monitorig : (a) Poss. att. : Note : ** Porta (Prot) : 1032 (TCP) C/S : WKS : Monitorig : (a) Poss. att. : Note : ** Porta (Prot) : 1080 (TCP) C/S : C-S WKS : proxy Monitorig : server No (e comunque vedi nota porta 21) client (a) Poss. att. : Connessioni esterne che dal lato remoto appaiono in tutto e per tutto come effettuate dalla vostra macchina. Note : Chi cerca una connessione sulla 1080 vuole mandare in giro per la rete pacchetti a nome vostro, alcuni ISP mettono a disposizione un server proxy per velocizzare le comunicazioni, ma un effetto collaterale e' che tutti i pacchetti di uscita hanno l'indirizzo IP del PROXY. E' possibile che un server IRC controlli se questa porta e' in ascolto sul vostro computer, per stabilire se accettare o meno la vostra richiesta di connessione. ** Porta (Prot) : 1240 (TCP) C/S : WKS : Monitorig : Poss. att. : Server FTP attivato dallo script per IRC Menoka. Note : Al server si accede tramite password; l'analisi dell'eseguibile (by L.Serni) rivelo', oltre a quelli standard, anche comandi "insoliti" per un server ftp. ** Porta (Prot) : 1243 (TCP) C/S : WKS : Subseven Monitorig : Poss. att. : Note : vedere http://subseven.slak.org ** Porta (Prot) : 1524 (TCP) C/S : WKS : Ingreslock Monitorig : Poss. att. : Ricerca di macchine (soprattutto) Solaris compromesse. Note : Usata come backdoor da certi intrusori ** Porta (Prot) : 1749 (TCP) C/S : WKS : Monitorig : Poss. att. : Dati in uscita spyware Aureate Note : Vedere [BD-Appendice] - Aureate ** Porta (Prot) : 2001 (TCP) C/S : S WKS : Panda Antivirus Monitorig : Poss. att. : Note : E' possibile che alcune vecchie versioni del Panda Antivirus (sicuramente per Novell, forse per Windows) offrano una console, SENZA richiesta di autenticazione, da cui si possono far eseguire comandi di sistema. Vulnerabilita' patchata da tantissimo tempo, cfr. advisory riportato su it.comp.sicurezza.virus, Message-ID: <8ilhe3$fjv$1@pinco.nettuno.it> ** Porta (Prot) : 2140 (UDP) C/S : WKS : Monitorig : Poss. att. : Deep Throat (backdoor) Note : ** Porta (Prot) : 3304 (TCP) C/S : WKS : OpSession Monitorig : Poss. att. : Note : ** Porta (Prot) : 2766 (UDP) C/S : S WKS : Servizi di stampa remota (sistemi Unix) Monitorig : Poss. att. : Tentativi di exploit o ricerca di punti deboli per attaccare Note : ** Porta (Prot) : 5000 (TCP) C/S : S WKS : Universal Plug&Play Monitorig : (a) Poss. att. : Note : Da NON confondere con il Plug&P[lr]ay () hardware, e' un servizio per il controllo software di dispositivi (p.e. elettrodomestici) che prevedano questa funzionalita'. ** Porta (Prot) : 5135 (UDP) C/S : S WKS : Irix objectserver Monitorig : Poss. att. : Note : ** Porta (Prot) : 5001 (TCP) C/S : WKS : Monitorig : (a) Poss. att. : Note : Porta destinazione degli attacchi di Socket de Trois. ** Porta (Prot) : 5555 (TCP) C/S : S WKS : HP Openview Omniback Monitorig : Poss. att. : Note : Un gran numero di connessioni puo' far crashare il servizio (su vecchie versioni di Windows NT) ** Porta (Prot) : 5742 (TCP) C/S : WKS : Wincrash (backdoor) Monitorig : Poss. att. : Note : ** Porta (Prot) : 6112 (TCP) C/S : WKS : Monitorig : Poss. att. : Note : Blizzard Entertainment games (Diablo, Warcraft, Starcraft, etc.) CDE su Solaris, HP-UX, AIX; secondo /etc/services, questo e' chiamato "dtspc". (dtspc 6112/tcp #CDE subprocess control) ** Porta (Prot) : 6667 (TCP) C/S : S WKS : IRC Monitorig : Poss. att. : Note : ** Porta (Prot) : 7070 (TCP) C/S : WKS : Real Audio Monitorig : Poss. att. : Note : ** Porta (Prot) : 8080 (TCP) C/S : S WKS : Server WEB Monitorig : No Poss. att. : Note : vedi nota 21, alcuni server web utilizzano questa porta invece della standard (80). ** Porta (Prot) : 9200 (UDP) C/S : WKS : Monitorig : Poss. att. : Stampanti Lexmarx; servizi WAP Note : ** Porta (Prot) : 12345 (TCP) C/S : WKS : Monitorig : (a) Poss. att. : E' una delle due porte del server NetBus, si possono ricevere scan alla ricerca di quel programma. Note : Altre backdoor meno "di moda": Gabanbus, Pie Bill Gates, X-bill Su questa porta il client di OfficeScan della TrendMicro (un antivirus corporate) riceve gli aggiornamenti delle basi dal server di OfficeScan tramite il protocollo HTTP/1.0. Possibili attacchi di tipo DoS contro questo client, che provocano un aumento del tempo di CPU consumato fino al 100% e, nel caso di piu' connessioni (>= 5), obbligano a riavviare il servizio su tutte le macchine colpite. Dato che le informazioni via HTTP sono scambiate in chiaro e in forma leggibile sul protocollo HTTP sono possibili altri tipi di attacco: per esempio l'invio di comandi amministrativi come la disattivazione/disinstallazione del client o l'aggiornamento con basi alterate. (C'e' ancora questa vulnerabilita'?). ** Porta (Prot) : 12346 (TCP) C/S : WKS : Monitorig : (a) Poss. att. : Note : E' la seconda porta del server di NetBus, vedi nota porta prec. ** Porta (Prot) : 20034 (TCP) C/S : WKS : Netbus 2 Pro (backdoor) Monitorig : Poss. att. : Note : ** Porta (Prot) : 27015 (TCP) C/S : WKS : won.net (gioco online) Monitorig : Poss. att. : Usata da won.net per verificare CD Keys e collegamenti al server principale del gioco. Note : ** Porta (Prot) : 27374 (TCP) C/S : WKS : Subseven 2.x (backdoor) Monitorig : Poss. att. : Note : vedere http://subseven.slak.org ** Porta (Prot) : 27910 (TCP) C/S : WKS : Server Quake - Quake 2 (gioco online) Monitorig : Poss. att. : Note : ** Porta (Prot) : 27950 (TCP) C/S : WKS : CDkey autenticazione per Quake 3 Monitorig : Poss. att. : Note : ** Porta (Prot) : 27952 (TCP) C/S : WKS : CDkey autenticazione per Quake 3 Monitorig : Poss. att. : Note : ** Porta (Prot) : 27960 (TCP) C/S : WKS : Server Quake 3 Arena (gioco online) Monitorig : Poss. att. : Note : Porta configurabile. ** Porta (Prot) : 28000 (TCP) C/S : WKS : Server Quake - Quake 2 (gioco online) Monitorig : Poss. att. : Note : ** Porta (Prot) : 28001 (TCP) C/S : WKS : Monitorig : Poss. att. : Server di "Starsiege: Tribes" (gioco online) Usata da "battlenet" per comunicare con altri servers Note : ** Porta (Prot) : 28002 (TCP) C/S : WKS : Monitorig : Poss. att. : Server di "Starsiege: Tribes" (gioco online) Note : ** Porta (Prot) : 28003 (TCP) C/S : WKS : Monitorig : Poss. att. : Server di "Starsiege: Tribes" (gioco online) Note : ** Porta (Prot) : 28800 (TCP) C/S : WKS : Windows Key Exchange Monitorig : Poss. att. : Note : ** Porta (Prot) : 31337 (UDP) C/S : WKS : Monitorig : (a) Poss. att. : Note : E' la porta standard del server di Back Orifice, si possono ricevere scan alla ricerca di Boserverizzati. ** Porta (Prot) : 31789 (UDP) C/S : S WKS : Monitorig : Poss. att. : Note : Hack'a'Tack ** Porta (Prot) : 31790 (UDP) C/S : C WKS : Monitorig : Poss. att. : Note : Hack'a'Tack (porta remota, origine della connessione) ** Porta (Prot) : 50505 (TCP) C/S : WKS : Monitorig : (a) Poss. att. : Note : ** Porta (Prot) : 60000 (UDP) C/S : WKS : Monitorig : Poss. att. : Deep Throat (backdoor) Note : ** Porta (Prot) : 61466 (TCP) C/S : WKS : Monitorig : (a) Poss. att. : Note : Porta destinazione degli attacchi di TeleCommando. ** Porta (Prot) : 65535 (TCP) C/S : WKS : Linuxemu (trojan) Monitorig : Poss. att. : Note : [BD-Appendice] Appendice BD [KEYWORDS:backdoor:server] Name: Back Orifice 1.20 S.O. : Win95,Win98,Win3.XX Ports: 31337(TCP&UDP) Reg Key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\(Predefinito) Value : ".exe" File: C:\WINDOWS\SYSTEM\EXE~1 (124.928) C:\WINDOWS\WINDLL.DLL (8.192) Note: Name: Deep Throat S.O. : Win95,Win98 Ports: 31337(TCP&UDP) Reg Key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ Value : "SystemDLL32"="rem C:\\WINDOWS\\TEMP\\~IHWOCLV.TMP" "SystemDLL32"="rem \Systempatch.EXE". File: C:\WINDOWS\SYSTEM\EXE~1 (124.928) C:\WINDOWS\WINDLL.DLL (8.192) Note: Procedura di rimozione 1)Rinomina la directory del server 2)Cancella la chiave che ho indicato sopra 3)Riavvia 4)Cancella il server 5)Cancella di nuovo la chiave (si ricrea) Name: Hack'a'Tack S.O. : Win95,Win98 Ports: 31789/31790/31791 (UDP), 31785/31787 (TCP) Reg Key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Explorer32 Value : "c:\windows\expl32.exe" File: C:\WINDOWS\expl32.exe (236KB 5/16/99 2:49PM) Note: Bisogna cancellare dal Registro (Start -> Esegui, "regedit") la chiave suddetta, poi riavviare in MS-DOS puro e cancellare il server della backdoor (cd \windows, del expl32.exe) Name: Netbus 1.60 S.O. :Win95,Win98,WinNT Ports: 12345&12346 (TCP) Reg Key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\PATCH Value: C:\WINDOWS\PATCH.EXE /nomsg File: C:\WINDOWS\PATCH.EXE (472.576) Note: non e' detto che il server si chiami patch.exe!!!! Quindi file e chiave di registro variano a seconda... altri esempi: splat1, explore, pamela, webaccel, icqupdate,... e molti altri! Name: Netbus 2 Pro S.O. : Win9x/ME Ports: 20034 (TCP) Reg Key: Value: File: Note: Name : Phase S.O. : Ports: Reg Key: Value: File: Note: Name : Sokets de Trois v1 S.O. : Win95, Win98 Ports: 5001 Reg Key: Value: File: Note: Name : SubSeven S.O. : Win95, Win98 Ports: 1243/TCP Reg Key: Value: File: msrexe.com/msrexe.exe Note: Inserisce una chiamata in C:\windows\win.ini Vedere http://subseven.slak.org Name : SubSeven 2.x S.O. : Win95, Win98 Ports: 27374/TCP Reg Key: Value: File: Note: Name : Telecommando S.O. : Win95, Win98 Ports: 61466 Reg Key: Value: File: c:\windows\system\ODBC.EXE (~207 Kb) Note: Name : Linuxemu Ports: 65535 Reg Key: Value: File: Note: Name: Aureate Ports: 1749 Reg Key:Vedere note (file amcis.dll) Value: File: advert.dll, advpack.dll, amcis.dll, amcompat.tlb, amstream.dll Note: Segue la traduzione fedele di quanto reperibile su Bugtraq advert.dll ======= Questa DLL crea una finestra nascosta ogni volta che apri il tuo browser. crea e invia 4 pagine di informazioni ai server Aureate usando la porta 1749 sul vostro sistema; queste pagine includono: 1. Il vostro nome come memorizzato nel registro di sistema (non il nome con cui avete installato uno dei programmi); 2. Il vostro indirizzo IP. 3. Il "reverse DNS" del vostro indirizzo (rivela loro qual e' il vostro provider e la vostra zona geografica) 4. Un elenco di TUTTO il software che secondo il vostro registro e' installato (non solo delle compagnie con cui *loro* lavorano). 5. Questa DLL invia le seguenti informazioni ai loro server su tutti gli indirizzi che visitate: A.) Banners pubblicitari che potreste cliccare. B.) Tutti i downloads che fate, mostrando nome, dimensioni, data, ora, tipo del file (immagine, zip, eseguibile, ecc.). C.) Contrassegni temporali completi ("full time and date stamps") di tutte le vostre azioni compiute usando il vostro browser. D.) Il numero telefonico di Accesso Remoto con cui siete collegati (preso dalla configurazione di A.R.) E.) La password di collegamento se salvata *non* "sembra" a prima vista essere inviata. 6. Contiene una nota dei programmatori: "Show me the money! I want to be Mike!" ("Fammi vedere i soldi! Voglio essere Mike!"). advpack.dll ========= Usata solo durante l'installazione per cercare altri file necessari. amcis.dll ======= Questa DLL modifica le seguenti chiavi di registro: 1. HKEY_CURRENT_CONFIG 2. HKEY_DYN_DATA 3. HKEY_PERFORMANCE_DATA 4. HKEY_USERS 5. HKEY_LOCAL_MACHINE 6. HKEY_CURRENT_USER 7. HKEY_CLASSES_ROOT De-registra dalla memoria oleaut32.dll fornito da Microsoft e lo sostituisce con le proprie chiamate. Ripristina quello di Microsoft quando il browser viene chiuso. Crea processi stub per essere avviato ogni volta che il vostro browser e' aperto. amcompat.tlb =========== Questo tizio traccia ogni file multimediale (video / foto / sonoro) che visualizzate. Determina il rating del video / foto / suono e il titolo / localizzazione. Contiene riferimenti a DblClick (indagini ancora in corso su questo!). amstream.dll ========== Stabilisce una comunicazione BIDIREZIONALE tra il vostro sistema e il loro.0 Usata per inviare informazioni e ricevere comandi/file di aggiornamento. Apre la porta 1749 per le comunicazioni. Name : Deep Throat Ports: 2140/UDP - 60000/UDP Reg Key: Value: File: Note: Name : Menoka (Ballinae FTP Server) Ports: 1240/TCP Reg Key: Value: File: conddsk.exe Note: Server protetto da password, accetta alcuni comandi "insoliti" Name : Wincrash Ports: 5742/TCP Reg Key: Value: File: Note: Name: Gabanbus Ports: 12345 (TCP) Reg Key: Value: File: Note: Name: Pie Bill Gates Ports: 12345 (TCP) Reg Key: Value: File: Note: Name: X-bill Ports: 12345 (TCP) Reg Key: Value: File: Note: Name: Indoctrination Ports: Reg Key: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce] "Msgsrv16"="Msgsrv16" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] "Msgsrv16"="Msgsrv16" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "Msgsrv16"="Msgsrv16" [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "Msgsrv16"="Msgsrv16" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] "Msgsrv16"="Msgsrv16" Value: File: Note: Name: Progenic Trojan Ports: 11223 (TCP) Reg Key: Value: File: Note: [WG-Appendice] WinGate, proxy casalingo [KEYWORDS:wingate:proxy:server] *** Da messaggi di Carlo e L.Serni *** Wingate e' un programma che permette di accedere a Internet da tutte le postazioni di una rete, pur essendo l'accesso fisico (a.k.a. modem) su un solo ocmputer. Ne esiste una versione per win95 e una per NT; la versione demo consente l'accesso ad un solo client per volta, ma la registrazione e' veramente economica. Il programma funziona; va installato prima sul server con opportuni settaggi e poi sul client, dove offre una utilita' che va a configurare in automatico i vari applicativi (browser, email, ftp ecc). La cosa fondamentale e' avere il supporto del protocollo TCP/IP sia sul server che sui client. L'help del programma e' molto ben fatto ed assiste passo passo. Per configurarlo e' semplicissimo: 1) Installare sul server e sui client i protocolli TCP/IP; 2) Configurare su tutte le maccihne il file hosts nella directory di sistema (per esempio C:\windows, C:\win32, C:\winnt, ...); 3) Controllare che il TCP/IP funzioni (es.: ping server, ping client1 etc.); 4) Controllare che il server abbia una connessione ad internet funzionante; 5) Installare il wingate sul server rispondendo a tutte le domande del caso (nome mailserver, nome newsserver etc. etc.); 6) In ogni client assicurati che il browser e qualsiasi altro prg. per internet abbiano come riferimneto sotto la voce "proxy server" il nome dato al server nel file hosts (se nel file hosts sul client c'e' scritto 192.168.0.1 server allora nella voce "proxy server" va messa tale voce; 7) Configura wingate con le varie opzioni (es. che ad ogni richiesta faccia il numero di telefono in automatico etc.); 8) Lanciare la connessione ad internet dal server e vedere se anche i client funzionano. ATTENZIONE: Wingate non permette il gioco via TCP/IP e alcune applicazioni simili, per il resto e' ottimo....... Per reti di piu' di 5 computers, e' meglio un mini-server Linux. Basta una macchina obsoleta (486 o anche 386), senza monitor, ed ha svariati altri vantaggi - transparent proxying, firewalling, eccetera. OK, c'e' da configurarla, e non e' poco, ma... [LINK-Appendice] - Siti che trattano di sicurezza dei sistemi informatici [KEYWORDS:link:url:siti:sicurezza] Siti contenenti informazioni/tool di vario tipo inerenti la sicurezza http://www.nttoolbox.com http://www.ntsecurity.net Nella home page, notevole sulla sinistra i link diretti a diversi articoli in materia di sicurezza sotto NT. http://www.securityfocus.com La casa madre delle mailing list Bugtraq e collegate, in inglese. http://packetstorm.securify.com/ Articoli tecnici e tool di utilita' per la verifica, il ripristino e l'aumento della sicurezza di reti e sistemi. http://hackerwhacker.com/ Scansione completa con nmap, ma non esattamente facile da "interpretare" per un novizio. http://grc.com/ Uno scan un po' piu' limitato del precedente sito, ma per un utente "medio" e' piu' che sufficente, oltre ad essere molto piu' chiaro. Programmi di utilita' http://www.hcvorg.com/ihu/welcome.html Informazioni utili per ICQ. http://www.hack.cc/icq.html Qualche utility per difendersi. http://surf.to/netbusprotector A questo indirizzo si puo' scaricare il protector per netbus, che serve a mandare un messaggio di errore al client. Il messaggio puo' essere impostato, e in piu' il programma fornisce l'indirizzo IP da cui si tenta di controllare la macchina. http://www.angelfire.com/id/chaplincorp/ BOSpy: un programma che finge di essere il server di Bo, e permette di vedere cosa sta tentando di fare il lamer di turno, e all'occorrenza "prendere provvedimenti" (Avvertenza: non diventare lamer a tua volta, limitati a rispondergli ^__^). ftp://ftp.cert.dfn.de/pub/tools/audit/logsurfer/ logsurfer: Tool di analisi dei file di log dotato di funzionalita' che vanno oltre il semplice parsing tramite espressioni regolari. Puo' consumare parecchio tempo di CPU se usato con un database di regole grande e complesso. Accesso a Internet centralizzato http://www.sharethenet.com Condivisione connessione a internet via modem: commerciale, 70$, si mette su in meno di 10 minuti e gira da floppy su hardware minimale: basta un 486 privo di hard-disk con almeno 8 Mbytes di RAM. http://www.zelow.no/floppyfw/ FloppyFW: Distribuzione Linux che sta in un floppy. Basta solo editare il firewall.conf e mettere le rules che si desiderano. Protocolli http://www.openssl.org http://www.apache-ssl.org http://www.apache.org Secure Socket Layer, per connessioni http crittografate (quelle che iniziano con https:) Elenchi e liste tematiche http://www.onctek.com/trojanports.html Le porte piu' usate dai trojan horse http://go.to/tankcommandos Il sito dei Tank Commandos Crittografia e anonimato: http://gnupg.linux.it/ Il sostituto Free Software di PGP. http://www.ecn.org/kriptonite/ Un libro elettronico che non puo' mancare nel vostro hard disk, tutto su crittografia, steganografia e anonimato online. [INTERNET-CAFE'-Appendice] [KEYWORDS:firewall:proxy:server:filtro:linux:posta:newsgroup] Questa appendice non ha la pretesa di esaurire l'argomento enunciato dal titolo. Dato che pero' questo genere di locali e affini si sta diffondendo sempre piu', almeno puo' dare qualche idea. La domanda, posta su it.comp.sicurezza.varie un bel giorno, e': > Salve a tutti, > > a un mio amico, proprietario di un bar, e' stata proposta l'installazione > di un internet point. > Legalmente non penso possa essere ritenuto responsabile di > eventuali malefatte perpetrate da un cliente, pero' vorrei > il consiglio di un esperto. > (il mio amico non prevede di "monitorare" l'utilizzo della macchina > come avviene invece in alcuni locali dove c'e' sempre qualcuno che > da' un'occhiata al monitor per vedere cosa succede) > > grazie Anzitutto, una pratica diffusa e' far lasciare un documento d'identita', dato il potere deterrente che ha anche a livello psicologico questa prassi. La cosa e' comunque un po' delicata, dal momento che possono esserci dei casi di violazione della legge sulla privacy. Forse siamo al limite, forse un po' dentro, forse un po' fuori, ma data l'ignoranza delle istituzioni in materia Internet la strada da seguire puo' essere un'altra, quella di rendere, se non impossibile, almeno parecchio arduo compiere reati e casini vari in rete. Ecco una soluzione. Anzitutto, mettere sul gateway con Internet un filtro di pacchetti che permetta solo connessioni WWW, IRC, FTP, poi un proxy che salvaguardi la LAN dell'Internet Point ed i clienti dai simpaticoni su IRC stesso. Per quel che riguarda telnet ci si puo' affidare ad un'applet JAVA che permetta alcune connessioni solo dalla macchina PROXY mediante LOG del sistema chiamato. Questo permette di avere un controllo NON invasivo di quello che succede, nel caso in cui dall'host remoto si lamentassero. NON permettere email, ma lasciar usare i vari sistemi via web tipo HotMail e co., in modo da non essere direttamente responsabile di minacce e spacci di droga, o simili. I sequestri a causa di email in Italia si contano sulla punta delle scaglie di GODZILLA, vedi alcuni noti casi recenti tipo Isole nella Rete (sempre considerando l'ignoranza di cui sopra). Assicurarsi, soprattutto, di avere in mano la sicurezza delle macchine che saranno nel bar. Troppo spesso si vedono ragazzini in grado di manipolare il povero Win come fosse una trottola. Occhio al floppy (LEVARE!!!, meglio di tutto), ai tasti di accensione (meglio sarebbe un controllo centrale dell'alimentazione), agli eseguibili che possano far bypassare l'uso del PROXY, e cosi' via [Tenere conto che i ragazzini noiosi sono la minoranza rispetto agli allupati da xxx.com, ai capelloni da testi delle canzoni, ai caciaroni su #hottube ed alle ragazzine su dicaprio.net]. Nel caso pero' in cui la macchina o le macchine usate come client non siano di proprieta' del locale, ma per esempio prese in affitto o comodato, modificare la configurazione hardware/software del sistema e/o installare e disinstallare applicativi potrebbe essere impedito dal relativo contratto. La soluzione, in questi casi, consiste nel mettere fra i client e Internet, o meglio fra il server e Internet, una macchina dedicata alla protezione da/verso l'esterno. Se non e' possibile togliere/disabilitare la spedizione di email direttamente dai client, magari per i suddetti problemi contrattuali, tale macchina dedicata fara' da filtro e l'invio della mail dal client fallira'; analogamente per ogni altro servizio di cui si volesse inibire l'uso. Il computer da usare come firewall e/o proxy non e' detto che debba essere di grande potenza, dal 486 in su vanno tutti bene e anzi gia' un 486 sarebbe eccessivo (pero' cosi' se ci si vuole mettere qualcosina di piu' evoluto lo puo' fare senza strangolare la macchina): infatti i compiti richiesti al FW/proxy non implicano una mole di calcoli elevatissima, ne' la presenza di un'interfaccia grafica pesante come Windows o X-Window. Al limite, sarebbe persino superfluo il monitor se non per compiti di amministrazione che comunque non si fanno certo tutti i giorni. [FIREWALL-Appendice] [KEYWORDS:firewall:linux:protezione:rete:interfaccia:indirizzo] Nell'appendice relativa agli Internet Point si e' parlato di un computer da dedicare al compito di isolare la LAN di uno di questi locali da Internet; lo scopo e', in quel contesto, impedire ai clienti di compiere atti scorretti o addirittura illegali dalle macchine del locale stesso. Vediamo come si potrebbe ottenere lo scopo senza impiegare ingenti capitali :-) La prima considerazione da fare e' relativa al ricambio tecnologico che nel mondo dell'informatica e' sempre piu' veloce. Questo ha portato a considerare obsolete macchine che fino a pochissimi anni fa erano all'avanguardia. Prendiamo ad esempio un 486 dx2 66 hd: di un aggeggio del genere era addirittura vietata l'esportazione nei paesi dell'Est, per la sua elevata potenza di calcolo! Un'altra cosa da tenere presente e' che l'attuale inadeguatezza di macchine come i 486 e' dovuta principalmente alla pesantezza delle interfacce grafiche degli ambienti operativi contemporanei, da Windows 95 in poi. Stesso discorso per i sistemi Unix per quanto riguarda l'ambiente X-Window. Queste interfacce sono piu' facili (quasi sempre) da usare rispetto alla linea di comando, ma vogliono grandi quantita' di memoria e di cicli macchina. Perche' questa lunga introduzione? Perche' la necessita' di un firewall per proteggere una piccola rete puo' essere soddisfatta recuperando proprio una di queste macchine, che altrimenti verrebbe buttata come un oggetto ormai inutile. E' da tenere presente che un firewall deve essenzialmente monitorare il traffico da e per la rete che sorveglia, per cui non deve far girare pesanti interfacce grafiche o applicazioni che ne saturerebbero le capacita' di calcolo, ma le sue esigenze possono essere benissimo soddisfatte da un computer pre-pentium. Anzi, persino monitor e tastiera non sono strettamente necessari, potendosi compiere le operazioni di amministrazione via telnet o attraverso un terminale (magari recuperato anch'esso). Sul 486 va ovviamente installato Linux, una qualunque distribuzione va bene. Il kernel va compilato includendo le capacita' di rete, e vanno installati solo quei pacchetti strettamente necessari, quindi niente compilatori se non forse C e Perl nel caso occorrano, ASSOLUTAMENTE NO X-Window (vedi paragrafo precedente) e in generale niente che non abbia a che fare con il compito di firewall. Una volta installato il sistema e compilato il kernel, va configurato disattivando tutti i servizi inutili che occuperebbero memoria senza motivo e aumenterebbero le possibilita' di attacco. Riguardo la versione del kernel, nel momento in cui scrivo c'e' la serie 2.4.x, se necessario http://www.kernel.org e' il posto da cui scaricare il kernel piu' recente disponibile. Aggiornare il kernel e' sempre raccomandato, ogni nuova versione corregge bug della precedente e/o introduce novita' od ottimizzazioni. Per quel che riguarda l'hardware, il neonato firewall dovra' avere una scheda di rete connessa al computer o alla rete protetta (nel secondo caso ci sono diverse possibilita', per esempio potremmo avere un hub oppure un collegamento a cascata dei computer). Per quanto riguarda gli indirizzi IP da usare per le macchine in rete, firewall compreso, devono essere del tipo 192.168.x.y, che il protocollo IP riserva alle reti locali. Usando questi, non dovrebbe essere possibile avere accesso agli host della rete dall'esterno; nel momento in cui si connette a Internet, il firewall avra' anche un indirizzo diverso, e solo quello sara' accessibile da Internet: host1.max.net firewall.max.net | (Win 95) (Linux) | ________ 192.168.0.2 192.168.0.1 | / \ O---------------------------O-------------------< INTERNET > Host Firewall | 212.216.100.50 \________/ | Da qui in poi ci si puo' sbizzarrire. Se dietro il firewall c'e' una piccola rete aziendale o anche un Internet Cafe' si puo' configurare il firewall anche come server di posta, oppure si puo' installare un news server e creare uno o piu' newsgroup locali da usare come messaggerie, e magari se la connessione e' perenne anche ricevere da server esterni una o piu' gerarchie ufficiali. Per quando riguarda la navigazione sul web, si puo' installare squid, dopodiche' sui client si potra' usare qualunque browser, impostando una cache minima. Il client avra' l'impressione di scambiare i dati solo col firewall/proxy, e la velocita' non potra' che beneficiarne. Dal punto di vista della sicurezza, che e' quello di maggiore interesse qui, bisogna ricordare che con questa configurazione la macchina che esce sulla rete e' il PC (486) con Linux, e solo quella. Per Internet, i client posti dietro il firewall, che hanno magari Windows 9x con Internet Explorer e relativi bug, semplicemente non esistono. La conseguenza? Non e' possibile buttar giu' i client visto che non sono raggiungibili dall'esterno, e gli attacchi diretti contro il firewall generalmente non funzionano, dato che sfruttano debolezze specifiche di Windows. Per lo stesso motivo la ricerca di backdoor (sport che pare essere molto di moda da un po' di tempo) e' destinata a fallire, sempre che il nostro bestiolino non sia programmato per rispondere in modo, diciamo, "creativo" :-))) (OCCHIO! Sconsiglio quest'ultima cosa, e' anche reato). [NETSCAPE-Appendice] [KEYWORDS:netscape:cache:directory:privacy] [1] Quali dati possono uscire usando Communicator? Netscape, 4.5 per windows 95 e 4.08 per NT, consente di - Leggere contenuto interpretato di file HTML locali ("interpretato" vuol dire il testo mostrato, non il sorgente HTML) - Leggere il contenuto interpretato di file HTML su un server web bloccato da un firewall (il browser e il web server devono essere dallo stesso lato del firewall) - Leggere la cache dell'utente - Sfogliare le directory - Probabilmente altre cose (Evviva la privacy!!! - N.d.F. (Nota di Firebeam) Dimostrazione all'indirizzo: http://www.nat.bg/~joro/nsfind.html