STATO MAGGIORE DIFESA Reparto Informazioni e Sicurezza Ufficio Sicurezza Difesa BOLLETTINO DI SICUREZZA INFORMATICA N° 2 luglio 2002 SISTEMI OPERATIVI : ISTRUZIONI PER L’INSTALLAZIONE DI WINDOWS NT SERVER. SISTEMI APPLICATIVI: - UNA VULNERABILITA’ PER MICROSOFT MSN; - UN VIRUS TRAVESTITO DA “FIX”; - RISCHI DELLA POSTA ELETTRONICA. PARLIAMO DI….: - IL VIRUS KLEZ; - CHE COSA E’ IL “FILE SPOOFING”. SICUREZZA DELLA RETE: - AIRSNORT: LE RETI WIRELESS IN GRAVE PERICOLO; - LE VENTI VULNERABILITA’ PIU’ CRITICHE PER LA SICUREZZA IN INTERNET. (PRIMA PARTE) PER CONTATTI : TEL. 06/46917156 – FAX 06/36000904 E-MAIL : [email protected] ISTRUZIONI PER L’INSTALLAZIONE DI WINDOWS NT SERVER In questa sezione indicheremo come va installato e settato il sistema operativo “Windows NT server”, indicando quegli accorgimenti che interessano particolarmente il settore della sicurezza. Una minima installazione di Windows NT server prevede prima di tutto il possesso di una copia regolare del sistema operativo Windows NT 4.0 server, in second’ordine l’ultimo “service pack” disponibile, e in ultima analisi le “patch” e gli “hotfixes” raccomandati dal sito della Microsoft. Non è raccomandabile installare più di una versione di Windows NT server sulla stessa “macchina”, comunque, se proprio non se ne può fare a meno, si consiglia che, sulla seconda copia di windows NT server non sia configurato nessun “user” eccetto l’amministratore locale dotato di una password efficace e sicura; ciò perché è possibile che l’ACLs creato su una delle copie risulti non protetto,mentre l’altra era operativa. Controllate se dopo l’installazione sulla vostra “macchina” è presente il file “ROLLBACK.EXE”, se per caso lo trovaste cancellatelo immediatamente, questo file potrebbe danneggiare il sistema operativo, danneggiando il registro e le informazioni di account. Si può ovviare ai danni di questo file solo se in possesso di un disco di soccorso, preventivamente preparato. La diffusione di questo file su alcune delle “release” di Windows NT è stato riconosciuto come un errore dalla Microsoft. - “PATCHES” I CERT/CC e il Cert Australiano ricevono continuamente rapporti circa quei siti che sono stati attaccati perché non avevano applicato l’ultima patch. Uno dei più importanti task di un amministratore di sistema è quello di ricercare continuamente le ultime patch riferite al sistema operativo ed ai sistemi applicativi installati sul proprio sistema. E’ da tener presente, inoltre, che molte di queste patch sono ben conosciute dagli “intruders”. Ci sono due tipi di patch della Microsoft: service pack e hotfixes, queste devono essere installate in ordine. Gli hotfixes possono essere reperiti sul seguente sito: ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes Service pack : I service packs sono dei programmi che ci permettono di risolvere un ampio range di bug e vulnerabilità di un dato sistema operativo o sistema applicativo (nella maggior parte dei casi sono delle raccolte di hotfixes). Si suggerisce all’amministratore di sistema di installare l’ultima release del service pack una volta ultimata l’installazione del sistema operativo. L’ultima release del service pack, riferita a Windows NT server potrete trovarla sul seguente sito: http://www.microsoft.com/ntserver/nts/downloads/recommended/ Le informazioni riguardo l’installazione dei service pack possono essere trovate nel file readme.htm. Hotfixes : Gli hotfixes sono pubblicati più frequentemente rispetto ai service pack, in quanto sono riferiti alla risoluzione di singoli bug o exploit. Si fa presente,comunque, che non tutti gli hotfixes producono una soluzione ad un problema, molte volte identici hotfixes applicati a sistemi differenti producono effetti differenti. L’ultima versione degli hotfixes può essere reperita al (country\OS - version\hotfixespostspX) dove X è il numero del service pack correntemente installato. Per esempio, hotfixes per il service pack 5 della versione NT 4.0 degli Stati Uniti: la directory da cercare nel sito della Microsoft sarà: ftp://ftp.microsoft.com/bussys/winnt-public/fixes/usa/nt40/hotfixes-postsp5 Prima di installare gli hotfixes su parecchi sistemi assicurarsi di aver provato gli hotfixes su una sola macchina per vedere se entra in conflitto con i drivers già installati. Dettagli circa l’ordine di installazione degli hotfixes possono essere reperiti nel file postspX.txt, dove “X” è il numero del service pack preventivamente installato sulla macchina. Un esempio, per il service pack 5 il file sarà postsp5.txt. Sebbene la recensione di questi hotfixes sia frequente, un amministratore di sistema ha difficoltà a procurarsi tutti gli hotfixes man mano che vengono pubblicati. Per ovviare a questo problema la Microsoft ha provveduto a instaurare un link per ottenere, in tempi accettabili, consigli riguardanti problemi e risoluzioni. Il link sopraccitato risponde al seguente indirizzo: http://www.microsoft.com/technet/security/notify.asp Pagina 1 UNA VULNERABILITA’ PER ….. Il CERT-CC (Centro di coordinamento per la sicurezza in Internet) ha rilevato una falla preoccupante in Microsoft MSN Chat. Si tratta di un” buffer overflow” (tipo di attacco teso a bloccare l’accesso ad un particolare Server) che è contenuto all’interno di un parametro di “ResDLL” residente in un controllo ActiveX. Il grave problema di questo controllo è che contiene la firma di Microsoft. Questo permette al browser (sempre che si stia utilizzando Internet Explorer) di scaricare il controllo; in questo modo anche gli utenti di Internet Explorer possono risultare affetti da questa vulnerabilità.Questa vulnerabilità può consentire a frequentatori della rete malintenzionati di eseguire il codice arbitrario utilizzando i privilegi dell’utente che sta utilizzando il Messenger. Microsoft ha rilasciato un bollettino in cui spiega i problemi di questa vulnerabilità. Si tratta del Microsoft Security Bulletin MS02-022 che è possibile trovare al seguente indirizzo : http://www.microsoft.com/technet/security/bulletin/MS02-022.asp. Il controllo in questione non viene installato di default su nessun sistema di Instant Messaging ma va scaricato e installato per volontà dell’utente. Questo dovrebbe garantire una maggiore sicurezza. Allo stesso indirizzo del bollettino Microsoft è possibile scaricare la patch in grado di risolvere il problema. Il consiglio è comunque quello di installare immediatamente la patch per sanare la vulnerabilità, perché se il rischio è relativamente basso per i sistemi Internet e Intranet, finisce per essere critico per i sistemi client che hanno una grandissima diffusione e che finiscono per interessare un gran numero di utenti. UN VIRUS TRAVESTITO DA FIX A molti sarà capitato di ricevere una e-mail con mittente Kaspersky Labs in cui viene proposto un fix per risolvere in modo definitivo e annientare il worm Klex. La e-mail è identificabile perché contiene il seguente oggetto: You’re under a serious threat!. Il contagio avviene attraverso un collegamento ad un server remoto da dove viene scaricato, ad insaputa dell’utente ignaro, il trojan horse “Smokedown” per poi installarlo sul PC. Il trojan sfrutta una vulnerabilità di Internet Explorer che peraltro era già stata segnalata dalla stessa Microsoft qualche tempo fa e di cui si trovano tutte le specifiche all’indirizzo : www.microsoft.com/technet/security/bulletin/MS01020,asp. La patch che permette di sanare questo problema si può scaricare liberamente dal sito: www.microsoft.com/windows/ie/downloads/critical/q290108 /default.asp. Pagina 2 Rischi della posta elettronica I virus informatici sono una delle più grosse preoccupazioni per chiunque navighi in Rete. Il pericolo di essere contagiati da un'epidemia informatica girando su Internet è concreto ma non bisogna cadere vittime dell'isteria da virus. E' importante sapere quali sono le zone o le operazioni a rischio e quali invece non costituiscono alcun pericolo. Uno dei veicoli con cui è possibile propagare i virus via Internet è la posta elettronica. Anche qui però vi sono delle distinzioni da fare. Vi sarà forse capitato di ricevere una e-mail del tipo: "Se ricevete un messaggio il cui titolo è: Hai vinto 100 milioni, non apritelo, contiene un virus". Messaggi di questo tipo sono delle “bufale” colossali. E' importante sapere infatti che all'interno del testo di una e-mail non è possibile inserire codici maligni o comandi occulti che scatenino un'epidemia informatica sul vostro Pc. Il testo di un messaggio di posta elettronica quindi è assolutamente privo di rischi. Questo significa che aprire un messaggio di posta elettronica non può in alcun modo danneggiare il vostro Pc. Bisogna invece stare attenti agli allegati. Un file allegato a una e-mail, come qualsiasi altro file, può effettivamente contenere un virus. Anche in questo caso però il semplice fatto di ricevere un file infetto non vuol dire che il computer sia ormai contagiato. Un virus, perché si attivi, deve essere "eseguito". Questo significa che finché non viene aperto il file in questione il vostro computer non può subire danni. Le forma più comune di virus trasmessi tramite gli allegati sono i Macro Virus. Questa tipologia di virus viene realizzata tramite il linguaggio Macro di Microsoft Word (WordBasic). Questo linguaggio permette di creare dei piccoli codici (macro) per eseguire una serie di comandi. Se per esempio si ritiene indispensabile inserire un'immagine con una foto in tutte le pagine di un documento si può fare una macro che faccia quest'operazione in modo automatico. Sfortunatamente questo linguaggio può anche essere utilizzato per creare dei virus. Generalmente una macro è parte di un documento di Word o di Excel quindi anche un Macro Virus è parte integrante di un documento di questo tipo. Ogni volta che aprite un file di Word o Excel vi viene segnalata la presenza di una macro. Se volete riporre piena fiducia in chi vi ha inviato il documento potete aprirlo senza preoccupazione. Altrimenti occorre sempre fare una certa attenzione. Comunque sono frequenti anche altre tipologie di virus informatici, in quanto sono facilissimi da creare tramite generatori di virus (inizialmente creati solo per testare l'efficacia degli antivirus; se volete provarli visitate www.Astalavista.com e nel campo della ricerca mettete virus generator e potrete notare che esistono moltissimi programmi che generano i virus, eseguito uno di questi generatori (attenzione a non eseguire i virus, molti generatori hanno nella propria directory alcuni esempi di virus già funzionanti se vengono eseguiti) vi verrà chiesto come deve comportarsi il virus, a che giorno deve attivarsi, quali file infettare, e molte altre opzioni. Pagina 3 INFORMAZIONI SUL VIRUS DENOMINATO…. Klez si è diffuso molto rapidamente in tutto il mondo con le sue varianti; il virus è veramente ben progettato; sfruttando in tal senso, vulnerabilità note di Microsoft Outlook Express per autoavviarsi (Vulnerabilità riguardante la gestione scorretta degli header, per maggiori informazioni contattate il sito della Microsoft) è riuscito a bucare moltissimi sistemi vulnerabili; il virus oltre ad autospedirsi ai contatti della propria rubrica postale, (per cui si consiglia di tenere sempre vuota la rubrica, per evitare che il virus possa rispedire documenti sensibili a vostra insaputa), è anche in grado di ricavare ulteriori contatti dai files presenti nel sistema della vittima, spedendosi insieme ad un altro file, scelto casualmente nell'hd, che presenta una delle seguenti estensioni: .txt .htm .html .wab .asp .doc .rtf .xls .jpg .cpp .c .pas .mpg .mpeg .bak .mp3 .pdf. L‘ oggetto e il corpo del messaggio possono essere presi sia dal sistema della vittima, sia da una lista che il virus possiede. Il vero problema di questo virus qual’è? I processi che potrebbero bloccare la sua attività vengono immediatamente chiusi dal virus; se dovesse trovare un processo attivo come un antivirus allora quest'ultimo verrebbe terminato, la lista dei processi che verrebbero chiusi dal virus è la seguente: _ AVP32 _AVPCC NOD32 NPSSVC NRESQ32 NSCHED32 NSCHEDNT NSPLUGIN NAV NAVAPSVC NAVAPW32 NAVLU32 NAVRUNR NAVW32 _AVPM ALERTSVC AMON AVP32 AVPCC AVPM N32SCANW NAVWNT ANTIVIR AVPUPD AVGCTRL AVWIN95 SCAN32 VSHWIN32 F-STOPW F-PROT95 ACKWIN32 VETTRAY VET95 SWEEP95 PCCWIN98 IOMON98 AVPTC AVE32 AVCONSOL FP-WIN DVP95 FAGNT95 CLAW95 NVC95 SCAN VIRUS LOCKDOWN2000 Norton Mcafee Antivir. La cancellazione del virus diventa in questo senso abbastanza complicata. Inoltre il virus per autoavviarsi pone una stringa nel registry di Windows che si presenta in modalità random-parziale. Per controllare se il nostro computer possa essere stato infettato, agite nel modo seguente : - aprite il registro di sistema (start – esegui – regedit) - cercate e selezionate la chiave: HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>run - se nella finestra di destra cercate le chiavi WINK*.EXE e WQK.EXE e le trovate CANCELLATELE. Infine il virus infetta i file exe del sistema, adottando una strategia veramente intelligente, per evitare che eventuali programmi che verificano l'integrità dei files avvertano l'utente, il virus non modifica le dimensioni dei files quando li infetta. Pagina 4 CHE COSA E’ IL “FILE SPOOFING” Lo spoofing dei tipi di file è una tecnica usata, spesso anche dai virus, per simulare che un certo file corrisponda ad un tipo diverso da ciò che è realmente: in questo modo si può ingannare un utente facendogli credere che un certo attachment sembri un'immagine JPG, un archivio ZIP o qualsiasi altra cosa, quando in realtà non lo è. Un primo tipo di inganno, quello delle estensioni, è molto semplice da realizzare e si basa sul fatto che Windows (95/98/ME) gestisce male le estensioni associate ai diversi tipi di files. Infatti il sistema di Microsoft è stato progettato (di default) per non visualizzare le estensioni dei tipi di files che hanno un'associazione nel registro. Ciò vuol dire che un file ARCHIVIO.ZIP viene mostrato all'interno di Esplora Risorse e degli altri programmi solo col nome ARCHIVIO, senza visualizzare la sua estensione e può essere riconosciuto dalla classica icona associata ai file di Winzip. Questa constatazione ci pone un primo interrogativo: cosa succede ad un file rinominato (volutamente) col nome ARCHIVIO.ZIP.EXE? Viene considerato un file di Winzip o un eseguibile? Ecco quindi in cosa consiste il primo inganno sui tipi di file: usando questo trucco della "doppia estensione" Windows riconosce il file come un .EXE (quindi lo tratta come un eseguibile) tuttavia visualizza solo il nome senza l'estensione, quindi per un utente ignaro di questo fatto, il file porterà il nome ARCHIVIO.ZIP, quando in realtà è un'applicazione .EXE. Questo trucco è stato usato da molti worm come il famigerato ZIP Explorer. Per accorgersi della frode l'unica cosa che si può fare (oltre ad usare un buon antivirus) è quella di far visualizzare a Windows le estensioni dei files, anche per quelli associati ad applicazioni. Questa opzione si può attivare da Esplora Risorse nel menu Strumenti/Opzioni Cartella o Visualizza/Opzioni Cartella (Fig.1). In questo modo un'email che porta dietro un attachment, visualizza il file allegato col suo nome reale, mostrando magari che questo in realtà è un eseguibile (Fig.2). IL FILE TYPE SPOOFING Figura 1 Figura 2 Pagina 5 AIRSNORT: LE RETI WIRELESS IN GRAVE PERICOLO La tecnologia wireless ( IEEE 802.11 ) nasce diversi anni fa , permettendo l’interconnessione di apparecchiature senza l’ ausilio di cavi. Tale tecnologia ha preso piede, in modo particolare, nelle aziende in cui la stesura di cavi potrebbe presentare dei problemi, sia a livello logistico che a livello economico. Per quanto appetibile e semplice sia l’ implementazione di una rete wireless, c’è da evidenziare il fatto che i dati viaggiano in modo cifrato durante il percorso tra ricevitore e trasmettitore. La possibilità di intercettare ed immagazzinare tale flusso è già stata evidenziata tempo fa da esperti nel campo della sicurezza. Come tutti sanno, infatti, la tecnologia wireless non usa un cavo per la trasmissione dei dati ma, come la televisione e la radio, i dati viaggiano nell’ aria. Non esistendo, quindi, un media fisico di collegamento, come ad esempio un cavo, è ancora più semplice per un malintenzionato violare il canale che si crea tra ricevitore e trasmettitore. Tale possibilità si è concretizzata con lo sviluppo di un software capace di fare materialmente ciò che è stato già previsto : intercettare e decifrare il flusso di dati che intercorre in una rete di tipo wireless. Dalla teoria, quindi, si è passati alla pratica. Airsnort è il nome del software sviluppato per questo intento da Jeremy Bruestle e Blake Hegerle: software capace, oltre che di catturare, anche di decifrare il flusso, permettendo quindi la cattura di informazioni sensibili, come password. Tale situazione è già presente in realtà di reti tradizionali, dove appunto software di sniffing permettono la cattura e la decifratura di qualsiasi informazione e dato catturato. Tools di questo genere pullulano nell’ ambiente underground del web. Era ormai scontato che le reti wireless, già da tempo considerate non sicure, potessero essere le prossime vittime. Il flusso wireless è un flusso protetto da un sistema di cifratura chiamato WEP ( Wired Equivalent Privacy system IEEE 802.11b), sistema che dovrebbe assicurare il passaggio dei dati in forma protetta. Tale sistema è stato definito “ non sicuro “, in quanto facilmente violabile attraverso il software Airsnort. E’ stata dimostrata in alcuni test, la semplicità di utilizzo del software che ha permesso il rilevamento di password di sistema e la manomissione di dati in poche ore di elaborazione. Test, ovviamente, effettuati in ambienti di laboratorio. La tecnologia wireless è utilizzata ma, fortunatamente, non ancora particolarmente diffusa nelle realtà aziendali. E’ comunque in studio la revisione ed il rilascio di una versione più stabile e sicura dello standard WEP 802.11b, versione che non dovrebbe vedere luce prima della fine dell’ anno 2002 . Pagina 6 LE VENTI VULNERABILITA’ PIU’ CRITICHE PER LA SICUREZZA IN INTERNET (PRIMA PARTE) SANS Institute e il National Infrastructure Protection Center (NIPC) pubblicarono poco più di un anno fa l'elenco delle dieci vulnerabilità più critiche per la sicurezza. Il documento è stato da allora utilizzato da migliaia di organizzazioni come guida per risolvere rapidamente i buchi di sicurezza più pericolosi. Il 1° ottobre 2001 è stato pubblicato un nuovo elenco che aggiorna ed amplia quello esistente. Le vulnerabilità trattate, ora diventate venti, sono state divise in tre categorie: vulnerabilità generali, vulnerabilità di Windows e vulnerabilità di UNIX. E’ nostra intenzione, con questo bollettino illustrarvi le venti vulnerabilità in oggetto frammentandole in più parti, per non annoiare l’utente nella lettura. Il valore del documento del SANS/FBI sulle venti vulnerabilità più critiche (SANS/FBI Top Twenty List) è confermato dal fatto che la maggioranza degli attacchi ai sistemi informatici condotti via Internet andati a buon fine è ricollegabile allo sfruttamento delle vulnerabilità di sicurezza elencate. Ad esempio, la compromissione dei sistemi del Pentagono a seguito dell'episodio di hacking Solar Sunrise e la facile e rapida diffusione dei worm Code Red e NIMDA possono essere collegati allo sfruttamento di alcune vulnerabilità presenti nella lista per le quali non sono state applicate le opportune patch. Questo limitato numero di vulnerabilità software sono alla base della maggior parte degli attacchi andati a buon fine, semplicemente perché coloro che effettuano gli attacchi agiscono in modo opportunistico, ovvero scelgono la strada più semplice e comoda. Essi sfruttano le vulnerabilità di sicurezza più conosciute e impiegano gli strumenti di aggressione più efficaci e diffusi. Contano sul fatto che le organizzazioni non pongono rimedio ai problemi e quindi, spesso, dopo aver effettuato scansioni in Internet per rilevare i sistemi vulnerabili, conducono attacchi indiscriminati. In passato, gli amministratori di sistema hanno ammesso che non correggevano queste vulnerabilità semplicemente perché non si sapeva quali fossero quelle più pericolose, ed erano troppo occupati per poterle eliminare tutte. Alcuni strumenti per la rilevazione delle vulnerabilità possono ricercare 300, 500 o addirittura 800 tipi di vulnerabilità, diluendo l'impegno dell'amministratore di sistema nell'assicurarsi che i sistemi siano protetti dagli attacchi più comuni. Per aiutare gli amministratori a circoscrivere il problema è stato redatto l'elenco delle venti vulnerabilità principali, frutto dell'esperienza di decine tra i maggiori esperti delle agenzie federali più sensibili alla sicurezza, dei maggiori produttori di software, delle più importanti aziende di consulenza, dei migliori progetti universitari per la sicurezza, del CERT/CC e del SANS Institute. Pagina 7 Cinque note per i lettori del bollettino : Nota 1. Aggiornamenti L'elenco SANS/FBI delle venti vulnerabilità più critiche (Top Twenty SANS/FBI) è un documento in continuo aggiornamento. Contiene istruzioni dettagliate e riferimenti a informazioni supplementari utili per correggere i problemi di sicurezza. Quando si scoprono minacce più critiche di quelle elencate o metodi di intrusione più comodi o attuali , l'elenco e le istruzioni vengono aggiornati, e in questo processo il vostro contributo è sempre gradito Questo documento si basa sul consenso di un'intera comunità - la vostra esperienza nel combattere le intrusioni e nell'eliminare le vulnerabilità può aiutare quelli che verranno dopo di voi. Inviate i vostri suggerimenti a [email protected], specificando "Top Twenty Comments" nell'oggetto dell'e-mail. Nota 2. Numeri della lista CVE Ogni vulnerabilità menzionata è accompagnata dai numeri della catalogazione CVE (Common Vulnerabilities and Exposures). Possono essere presenti anche i numeri CAN, ovvero i numeri candidati ad essere inclusi nella lista CVE, ma non ancora completamente verificati. Per ulteriori informazioni relative al progetto CVE, oggetto di numerosi riconoscimenti ufficiali, fate riferimento a http://cve.mitre.org/. Nella sezione che descrive le vulnerabilità generali per tutti i sistemi, i numeri CVE elencati sono solo esempi di alcune delle vulnerabilità trattate nella lista. Gli elenchi CVE che riportiamo non intendono , infatti, essere esaustivi. In ogni caso, per quanto riguarda le vulnerabilità di Windows e di UNIX, i numeri CVE indicano le vulnerabilità prioritarie da controllare per ciascun tipo. Nota 3. Porte da bloccare a livello di firewall Alla fine del documento troverete una sezione aggiuntiva che presenta l'elenco delle porte utilizzate dai servizi che vengono comunemente esplorati e attaccati. Bloccando il traffico che passa attraverso le porte del firewall o altri dispositivi di protezione del perimetro della rete, potete ottenere un livello di difesa aggiuntivo che vi aiuta a tutelarvi da eventuali errori di configurazione. Tenete comunque presente che anche se utilizzate un firewall per bloccare il traffico di rete diretto a una porta, essa non è protetta da possibili azioni causate da soggetti che si trovano già all'interno del perimetro, nè dall'azione di hacker penetrati utilizzando altri metodi. Nota 4. Procedure automatiche per la rilevazione delle venti vulnerabilità più critiche In questo documento sono descritti i metodi manuali utilizzati per rilevare in un sistema le vulnerabilità del nostro elenco. Un approccio più pratico per la ricerca delle vulnerabilità UNIX e Windows - specialmente se applicate la regola aurea di controllare ogni nuovo sistema prima di collegarlo ad Internet e ricontrollate frequentemente tutti i vostri sistemi - è quello di utilizzare uno scanner automatico per la rilevazione delle vulnerabilità. Bob Todd, creatore dello scanner gratuito per Internet SARA, ne ha realizzato una versione speciale progettata per rilevare e segnalare le venti vulnerabilità più critiche dell'elenco SANS/FBI. La classifica dei 20 scanner migliori (Top 20 Scanner) può essere scaricata dal sito web del Center for Internet Security all'indirizzo www.cisecurity.org. Per rilevare queste vulnerabilità si possono anche usare diversi scanner commerciali e l'elenco di quelli che possiedono una funzionalità specifica per il rilevamento delle venti vulnerabilità più critiche sarà sempre aggiornato dal Sans Institute e sarà a disposizione all'indirizzo http://www.sans.org/. Nota 5. Collegamenti all'indice delle vulnerabilità ICAT Ogni vulnerabilità CVE è collegata all'elemento corrispondente del servizio ICAT di indicizzazione delle vulnerabilità del National Institute of Standards (http://icat.nist.gov/). Per ciascuna vulnerabilità ICAT fornisce una breve descrizione, un elenco delle caratteristiche (ad esempio ambito dell'attacco e danno potenziale), un elenco dei nomi e delle versioni dei software vulnerabili e i collegamenti ai bollettini sulle vulnerabilità e alle informazioni sulle patch. Riportiamo di seguito le prime due vulnerabilità, in seguito con i prossimi bollettini descriveremo le rimanenti: Pagina 8 G1 - Installazioni operativi e delle applicazioni Le vulnerabilità piùpredefinite critiche perdei tuttisistemi i sistemi (G) G1.1 Descrizione: La maggior parte dei software, inclusi i sistemi operativi e le applicazioni, contengono script o programmi di installazione. Compito di questi ultimi è rendere l'installazione dei sistemi il più rapida possibile, abilitando le funzioni più importanti e riducendo così al minimo il lavoro per l'amministratore. Per raggiungere questo scopo, gli script generalmente installano più componenti di quelli necessari alla maggior parte degli utenti. I produttori di software preferiscono abilitare funzioni aggiuntive non necessarie piuttosto che lasciare che sia l'utente ad installarle in caso di bisogno. Questo tipo di approccio, sebbene rappresenti una comodità per l'utente, è la causa della creazione di molte delle vulnerabilità più pericolose, per il semplice fatto che gli utenti non aggiornano né applicano le patch di sicurezza alle componenti software che non sono utilizzate. Inoltre molti utenti non hanno la percezione di cosa in realtà venga installato e quindi lasciano nel sistema pericolosi programmi dimostrativi semplicemente perché non ne conoscono l'esistenza. Questi servizi non corretti con patch di sicurezza costituiscono la via attraverso la quale spesso gli intrusi ottengono il controllo dei computer. Per quanto riguarda i sistemi operativi, le installazioni predefinite introducono quasi sempre servizi estranei con le corrispondenti porte aperte. Gli aggressori usano queste porte per introdursi nei sistemi. Nella maggior parte dei casi, meno porte rimangono aperte e meno strade un aggressore può utilizzare per danneggiare la vostra rete. Per quanto riguarda le applicazioni, le installazioni predefinite di solito contengono programmi o script dimostrativi non necessari. Una delle vulnerabilità più gravi per i server web è rappresentata dagli script dimostrativi, che vengono utilizzati dagli aggressori per compromettere il sistema o per ottenere informazioni su di esso. Nella maggioranza dei casi, l'amministratore dei sistemi compromessi non era conscio che tali script dimostrativi fossero installati. Gli script dimostrativi costituiscono un problema perché, di solito, non sono sottoposti alle stesse procedure di controllo di qualità adottate per gli altri software. In molti casi infatti la qualità del codice è incredibilmente scadente. Il controllo degli errori viene spesso tralasciato e così gli script sono terreno fertile per gli attacchi di tipo "buffer overflow". G1.2 Sistemi interessati: La maggior parte dei sistemi operativi e delle applicazioni. Tenete presente che quasi tutte le estensioni per server web di terza parte vengono fornite con file dimostrativi, molti dei quali sono estremamente pericolosi. G1.3 Lista CVE: (Nota: la lista sottostante non è una lista completa o esaustiva. Contiene solo esempi di alcune delle vulnerabilità appartenenti alla categoria in questione). CVE-1999-0415, CVE-1999-0678, CVE-1999-0707, CVE-1999-0722, CVE-1999-0746, I COLLEGAMENTI DI LATO POTETE TROVARLI SUL CVE-1999-0954, CVE-2000-0112, CVE-2000-0192, CVE-2000-0193, CVE-2000-0217, DOCUMENTO ORIGINALE CVE-2000-0234, CVE-2000-0283, CVE-2000-0611, CVE-2000-0639, CVE-2000-0672, COLLEGANDOVI AL SITO CVE-2000-0762, CVE-2000-0868, CVE-2000-0869, CVE-2000-1059 WWW.DATASECURITY.IT G1.4 Come determinare se siete vulnerabili: Il vostro sistema è vulnerabile agli attacchi da parte degli hacker se avete usato un programma per l'installazione di software di sistema o di supporto (cosa che certamente si è verificata in quasi tutte le aziende) senza aver rimosso i servizi non necessari e senza aver installato tutte le patch di sicurezza. Potreste essere vulnerabili anche se avete eseguito procedure di configurazione supplementari. Dovreste eseguire una scansione delle porte e una scansione delle vulnerabilità per ciascun sistema che debba essere collegato a Internet. Quando analizzate i risultati, tenete presente il principio per il quale il sistema dovrebbe eseguire il numero minimo di servizi e di pacchetti software indispensabile per svolgere le attività richieste. Ogni altro programma o servizio può diventare uno strumento per gli aggressori - in particolar modo perché la maggior parte degli amministratori di sistema non applica le patch necessarie ai servizi o ai programmi che non vengono di solito utilizzati. G1.5 Come proteggersi: Rimuovete il software non necessario, disattivate i servizi non necessari e chiudete le porte inutili. Senza dubbio può essere un compito lungo e tedioso. Proprio per questa ragione molte grosse organizzazioni hanno sviluppato linee guida di installazione standard per tutti i sistemi operativi e le applicazioni utilizzate all'interno dell'organizzazione. Queste prevedono l'installazione solo delle caratteristiche minime necessarie per un efficace funzionamento del sistema. Il Center for Internet Security (CIS), basandosi sull'esperienza e le conoscenze di più di 170 organizzazioni appartenenti a una decina di paesi, ha stabilito una configurazione base di sicurezza per Solaris e Windows 2000 (vedi http://www.cisecurity.org/). Strumenti per la valutazione delle prestazioni e per la verifica degli altri sistemi operativi sono in fase di sviluppo. Con gli strumenti del CIS si possono verificare e confrontare i livelli e lo stato di sicurezza dei sistemi presenti nelle varie divisioni aziendali. Le linee guida del CIS possono essere seguite per migliorare la sicurezza della maggior parte dei sistemi operativi. Pagina 9 G2 - Account senza password o con password "deboli" G2.1 Descrizione: La maggior parte dei sistemi è configurata per utilizzare le password come prima ed unica linea di difesa. Gli user ID sono abbastanza facili da ottenere e la maggioranza delle aziende è dotata di un accesso dial-up che scavalca il firewall. Quindi, se un aggressore riesce a determinare il nome di un account e la sua password, potrà tranquillamente connettersi alla rete. Se un grosso problema è rappresentato dalle password facili da indovinare e da quelle predefinite, un problema ancora maggiore è dato dagli account del tutto privi di password. In pratica, tutti gli account che utilizzano password deboli, password predefinite oppure che non utilizzano alcuna password, dovranno essere rimossi dal sistema. Inoltre, molti sistemi sono dotati di account incorporati o predefiniti. Di solito gli account di questo tipo usano le stesse password per tutte le installazioni di software. Gli aggressori vanno di solito alla ricerca di queste password, ben note nella comunità degli hacker. Per questo motivo anche gli account predefiniti o incorporati devono essere identificati e rimossi dal sistema. G2.2 Sistemi interessati: Tutti i sistemi operativi o le applicazioni dove gli utenti effettuano l'autenticazione con user ID e password. G2.3 Lista CVE: (Nota: la lista sottostante non è una lista completa o esaustiva. Contiene solo esempi di alcune delle vulnerabilità appartenenti alla categoria in questione). I COLLEGAMENTI DI LATO CVE-1999-0291, CAN-1999-0501, CAN-1999-0502, CAN-1999-0503, CAN-1999-0505, POTETE TROVARLI SUL CAN-1999-0506, CAN-1999-0507, CAN-1999-0508, CAN-1999-0516, CAN-1999-0517, DOCUMENTO ORIGINALE CAN-1999-0518, CAN-1999-0519 COLLEGANDOVI AL SITO G2.4 Come determinare se siete vulnerabili: WWW.DATASECURITY.IT Per determinare se siete vulnerabili dovete conoscere gli account presenti nel vostro sistema. Quelle che seguono sono le operazioni che dovete compiere: 1.Verificate gli account presenti sui vostri sistemi e create un elenco principale. Non dimenticate di controllare le password su sistemi come router e stampanti digitali connesse a Internet, controller delle stampanti e delle copiatrici. 2.Sviluppate procedure per l'aggiunta di account autorizzati all'elenco e per la rimozione degli account non più in uso. 3.Controllate regolarmente l'elenco per accertarvi che non siano stati aggiunti nuovi account e che gli account inutilizzati siano stati rimossi. 4.Utilizzate uno strumento di password cracking per individuare gli account con password deboli o senza password. (Assicuratevi di avere un permesso ufficiale scritto prima di utilizzare lo strumento password cracking). a.LC3 - Microsoft Windows NT e Microsoft Windows 2000, http://www.atstake.com/ 1.Microsoft Personal Security Advisor, -- Microsoft Windows NT e Microsoft Windows 2000, www.microsoft.com/security/mpsa 2.John the Ripper - Unix, http://www.openwall.com/john 3.Pandora - Novell, http://www.nmrc.org/pandora 5.Impiegate procedure rigorose per la rimozione degli account di dipendenti o collaboratori che non lavorano più per l'organizzazione, o nel caso gli account non siano più necessari. Pagina 10 G2.5 Come proteggersi: Per eliminare questi problemi di password è necessario applicare una procedura in due fasi. Nella prima fase è necessario che gli account senza password siano rimossi, o che sia loro assegnata una password, e che le password "deboli" siano irrobustite. Purtroppo accade spesso che gli utenti ai quali viene richiesto di modificare la propria password per renderla più robusta ne scelgano un'altra ugualmente facile da indovinare. Questo ci porta alla seconda fase della procedura, nella quale le password devono essere approvate dopo la modifica da parte dell'utente. Esistono programmi che controllano le password modificate e le rifiutano se non sono conformi ai requisiti stabiliti dalla vostra policy di sicurezza. I più diffusi sono descritti agli indirizzi elencati di seguito: 1a. Per UNIX: Npasswd (SunOS 4/5, Digital Unix, HP/UX e AIX) http://www.utexas.edu/cc/unix/software/npasswd 1b. Per UNIX: "Cracklib" e i relativi moduli PAM (Linux) 2. Per Windows NT: Passfilt: http://support.microsoft.com/support/kb/articles/Q161/9/90.asp Questi programmi garantiscono che le password modificate rispettino i criteri di composizione e di lunghezza necessari a renderle difficili da indovinare e da determinare. Molti produttori di sistemi Unix includono un supporto interno per l'irrobustimento delle password e sono comunque utilizzabili diversi pacchetti software dalle funzionalità simili. Molte organizzazioni integrano i programmi per il controllo delle password con ulteriori controlli che ne garantiscono la modifica a intervalli regolari e l'impossibilità di riutilizzare le vecchie password. Se alle password viene applicata una scadenza, fate in modo che l'utente riceva un avviso e abbia la possibilità di modificare la password prima della scadenza. Quando si trovano davanti a un messaggio del tipo "la vostra password è scaduta e deve essere modificata" gli utenti tendono a scegliere una cattiva password. Microsoft Windows 2000, nei Criteri di gruppo, offre opzioni per vincolare la scelta delle password. L'amministratore può configurare la rete affinché le password degli utenti rispettino una lunghezza minima, una durata minima e massima e altri tipi di vincoli. È importante impostare la durata minima di una password. Senza di essa, infatti, l'utente cambia la password dopo aver ricevuto l'avviso di scadenza che ne richiede la modifica, ma tende poi a modificarla nuovamente reimpostando quella preesistente. L'impostazione della durata minima fa in modo che gli utenti siano più propensi a ricordare la nuova password, e li scoraggia dal sostituirla con quella precedente. Un'altra integrazione importante è costituita dai corsi di orientamento per aiutare gli utenti a capire perché sia necessario scegliere password "robuste" e insegnare loro come farlo. Il consiglio più comune per ottenere password efficaci è quello di scegliere un verso di una canzone che contenga un numero e poi costruire la password utilizzando la prima o seconda lettera di ogni parola che non rappresenti un numero e la cifra per i numeri. Per rendere la password ancora più difficile da determinare includete un segno di interpunzione. Un'altro modo per proteggersi dalla mancanza di password o dalle password deboli è quello di utilizzare forme diverse di autenticazione, come ad esempio l'autenticazione con password generate da token o l'autenticazione biometrica. Quindi, se le password deboli vi causano problemi, utilizzate metodi alternativi per l'autenticazione degli utenti. Pagina 11