STATO MAGGIORE DIFESA
Reparto Informazioni e Sicurezza
Ufficio Sicurezza Difesa
BOLLETTINO
DI
SICUREZZA
INFORMATICA
N° 2
luglio
2002
SISTEMI OPERATIVI : ISTRUZIONI PER L’INSTALLAZIONE DI WINDOWS
NT SERVER.
SISTEMI APPLICATIVI: - UNA VULNERABILITA’ PER MICROSOFT MSN;
- UN VIRUS TRAVESTITO DA “FIX”;
- RISCHI DELLA POSTA ELETTRONICA.
PARLIAMO DI….: - IL VIRUS KLEZ;
- CHE COSA E’ IL “FILE SPOOFING”.
SICUREZZA DELLA RETE: - AIRSNORT: LE RETI WIRELESS IN GRAVE
PERICOLO;
- LE VENTI VULNERABILITA’ PIU’ CRITICHE PER
LA SICUREZZA IN INTERNET.
(PRIMA PARTE)
PER CONTATTI : TEL. 06/46917156 – FAX 06/36000904
E-MAIL : [email protected]
ISTRUZIONI PER L’INSTALLAZIONE DI WINDOWS NT SERVER
In questa sezione indicheremo come va installato e settato il sistema operativo “Windows NT server”,
indicando quegli accorgimenti che interessano particolarmente il settore della sicurezza.
Una minima installazione di Windows NT server prevede prima di tutto il possesso di una copia regolare
del sistema operativo Windows NT 4.0 server, in second’ordine l’ultimo “service pack” disponibile, e in
ultima analisi le “patch” e gli “hotfixes” raccomandati dal sito della Microsoft.
Non è raccomandabile installare più di una versione di Windows NT server sulla stessa “macchina”,
comunque, se proprio non se ne può fare a meno, si consiglia che, sulla seconda copia di windows NT
server non sia configurato nessun “user” eccetto l’amministratore locale dotato di una password efficace
e sicura; ciò perché è possibile che l’ACLs creato su una delle copie risulti non protetto,mentre l’altra
era operativa.
Controllate se dopo l’installazione sulla vostra “macchina” è presente il file “ROLLBACK.EXE”, se per caso
lo trovaste cancellatelo immediatamente, questo file potrebbe danneggiare il sistema operativo,
danneggiando il registro e le informazioni di account.
Si può ovviare ai danni di questo file solo se in possesso di un disco di soccorso, preventivamente
preparato. La diffusione di questo file su alcune delle “release” di Windows NT è stato riconosciuto come
un errore dalla Microsoft.
- “PATCHES”
I CERT/CC e il Cert Australiano ricevono continuamente rapporti circa quei siti che sono stati
attaccati perché non avevano applicato l’ultima patch. Uno dei più importanti task di un
amministratore di sistema è quello di ricercare continuamente le ultime patch riferite al
sistema operativo ed ai sistemi applicativi installati sul proprio sistema. E’ da tener presente,
inoltre, che molte di queste patch sono ben conosciute dagli “intruders”.
Ci sono due tipi di patch della Microsoft: service pack e hotfixes, queste devono essere installate
in ordine.
Gli hotfixes possono essere reperiti sul seguente sito:
ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes
Service pack :
I service packs sono dei programmi che ci permettono di risolvere un ampio range di bug e vulnerabilità di
un dato sistema operativo o sistema applicativo (nella maggior parte dei casi sono delle raccolte di
hotfixes). Si suggerisce all’amministratore di sistema di installare l’ultima release del service pack una
volta ultimata l’installazione del sistema operativo. L’ultima release del service pack, riferita a Windows
NT server potrete trovarla sul seguente sito:
http://www.microsoft.com/ntserver/nts/downloads/recommended/
Le informazioni riguardo l’installazione dei service pack possono essere trovate nel file readme.htm.
Hotfixes :
Gli hotfixes sono pubblicati più frequentemente rispetto ai service pack, in quanto sono riferiti alla
risoluzione di singoli bug o exploit. Si fa presente,comunque, che non tutti gli hotfixes producono una
soluzione ad un problema, molte volte identici hotfixes applicati a sistemi differenti producono effetti
differenti. L’ultima versione degli hotfixes può essere reperita al (country\OS - version\hotfixespostspX) dove X è il numero del service pack correntemente installato. Per esempio, hotfixes per il
service pack 5 della versione NT 4.0 degli Stati Uniti: la directory da cercare nel sito della Microsoft
sarà:
ftp://ftp.microsoft.com/bussys/winnt-public/fixes/usa/nt40/hotfixes-postsp5
Prima di installare gli hotfixes su parecchi sistemi assicurarsi di aver provato gli hotfixes su una sola
macchina per vedere se entra in conflitto con i drivers già installati.
Dettagli circa l’ordine di installazione degli hotfixes possono essere reperiti nel file postspX.txt, dove
“X” è il numero del service pack preventivamente installato sulla macchina.
Un esempio, per il service pack 5 il file sarà postsp5.txt.
Sebbene la recensione di questi hotfixes sia frequente, un amministratore di sistema ha difficoltà a
procurarsi tutti gli hotfixes man mano che vengono pubblicati.
Per ovviare a questo problema la Microsoft ha provveduto a instaurare un link per ottenere, in tempi
accettabili, consigli riguardanti problemi e risoluzioni.
Il link sopraccitato risponde al seguente indirizzo:
http://www.microsoft.com/technet/security/notify.asp
Pagina 1
UNA VULNERABILITA’ PER …..
Il CERT-CC (Centro di coordinamento per la sicurezza in Internet) ha rilevato una
falla preoccupante in Microsoft MSN Chat.
Si tratta di un” buffer overflow” (tipo di attacco teso a bloccare l’accesso ad un
particolare Server) che è contenuto all’interno di un parametro di “ResDLL” residente
in un controllo ActiveX. Il grave problema di questo controllo è che contiene la firma
di Microsoft. Questo permette al browser (sempre che si stia utilizzando Internet
Explorer) di scaricare il controllo; in questo modo anche gli utenti di Internet
Explorer possono risultare affetti da questa vulnerabilità.Questa vulnerabilità può
consentire a frequentatori della rete malintenzionati di eseguire il codice arbitrario
utilizzando i privilegi dell’utente che sta utilizzando il Messenger. Microsoft ha
rilasciato un bollettino in cui spiega i problemi di questa vulnerabilità. Si tratta del
Microsoft Security Bulletin MS02-022 che è possibile trovare al seguente indirizzo :
http://www.microsoft.com/technet/security/bulletin/MS02-022.asp. Il controllo in
questione non viene installato di default su nessun sistema di Instant Messaging ma va
scaricato e installato per volontà dell’utente. Questo dovrebbe garantire una maggiore
sicurezza. Allo stesso indirizzo del bollettino Microsoft è possibile scaricare la patch
in grado di risolvere il problema.
Il consiglio è comunque quello di installare immediatamente la patch per sanare la
vulnerabilità, perché se il rischio è relativamente basso per i sistemi Internet e
Intranet, finisce per essere critico per i sistemi client che hanno una grandissima
diffusione e che finiscono per interessare un gran numero di utenti.
UN VIRUS TRAVESTITO DA FIX
A molti sarà capitato di ricevere una e-mail con mittente
Kaspersky Labs in cui viene proposto un fix per risolvere
in modo definitivo e annientare il worm Klex. La e-mail è
identificabile perché contiene il seguente oggetto: You’re
under a serious threat!. Il contagio avviene attraverso un
collegamento ad un server remoto da dove viene scaricato,
ad
insaputa
dell’utente
ignaro,
il
trojan
horse
“Smokedown” per poi installarlo sul PC. Il trojan sfrutta
una vulnerabilità di Internet Explorer che peraltro era già
stata segnalata dalla stessa Microsoft qualche tempo fa e
di cui si trovano tutte le specifiche all’indirizzo :
www.microsoft.com/technet/security/bulletin/MS01020,asp.
La patch che permette di sanare questo problema si può
scaricare
liberamente
dal
sito:
www.microsoft.com/windows/ie/downloads/critical/q290108
/default.asp.
Pagina 2
Rischi della posta elettronica
I virus informatici sono una delle più grosse preoccupazioni per chiunque navighi in Rete.
Il pericolo di essere contagiati da un'epidemia informatica girando su Internet è
concreto ma non bisogna cadere vittime dell'isteria da virus. E' importante sapere quali
sono le zone o le operazioni a rischio e quali invece non costituiscono alcun pericolo.
Uno dei veicoli con cui è possibile propagare i virus via Internet è la posta elettronica.
Anche qui però vi sono delle distinzioni da fare. Vi sarà forse capitato di ricevere una
e-mail del tipo: "Se ricevete un messaggio il cui titolo è: Hai vinto 100 milioni, non
apritelo, contiene un virus". Messaggi di questo tipo sono delle “bufale” colossali. E'
importante sapere infatti che all'interno del testo di una e-mail non è possibile inserire
codici maligni o comandi occulti che scatenino un'epidemia informatica sul vostro Pc.
Il testo di un messaggio di posta elettronica quindi è assolutamente privo di rischi.
Questo significa che aprire un messaggio di posta elettronica non può in alcun modo
danneggiare
il
vostro
Pc.
Bisogna invece stare attenti agli allegati. Un file allegato a una e-mail, come qualsiasi
altro file, può effettivamente contenere un virus. Anche in questo caso però il semplice
fatto di ricevere un file infetto non vuol dire che il computer sia ormai contagiato. Un
virus, perché si attivi, deve essere "eseguito". Questo significa che finché non viene
aperto il file in questione il vostro computer non può subire
danni.
Le forma più comune di virus trasmessi tramite gli allegati sono i Macro Virus. Questa
tipologia di virus viene realizzata tramite il linguaggio Macro di Microsoft Word
(WordBasic). Questo linguaggio permette di creare dei piccoli codici (macro) per eseguire
una serie di comandi. Se per esempio si ritiene indispensabile inserire un'immagine con
una foto in tutte le pagine di un documento si può fare una macro che faccia
quest'operazione in modo automatico. Sfortunatamente questo linguaggio può anche
essere
utilizzato
per
creare
dei
virus.
Generalmente una macro è parte di un documento di Word o di Excel quindi anche un
Macro Virus è parte integrante di un documento di questo tipo. Ogni volta che aprite un
file di Word o Excel vi viene segnalata la presenza di una macro. Se volete riporre piena
fiducia in chi vi ha inviato il documento potete aprirlo senza preoccupazione. Altrimenti
occorre
sempre
fare
una
certa
attenzione.
Comunque sono frequenti anche altre tipologie di virus informatici, in quanto sono
facilissimi da creare tramite generatori di virus (inizialmente creati solo per testare
l'efficacia degli antivirus; se volete provarli visitate www.Astalavista.com e nel campo
della ricerca mettete virus generator e potrete notare che esistono moltissimi programmi
che generano i virus, eseguito uno di questi generatori (attenzione a non eseguire i virus,
molti generatori hanno nella propria directory alcuni esempi di virus già funzionanti se
vengono eseguiti) vi verrà chiesto come deve comportarsi il virus, a che giorno deve
attivarsi, quali file infettare, e molte altre opzioni.
Pagina 3
INFORMAZIONI SUL
VIRUS DENOMINATO….
Klez si è diffuso molto rapidamente in tutto il mondo con le sue varianti; il virus è
veramente ben progettato; sfruttando in tal senso, vulnerabilità note di Microsoft
Outlook Express per autoavviarsi (Vulnerabilità riguardante la gestione scorretta degli
header, per maggiori informazioni contattate il sito della Microsoft) è riuscito a bucare
moltissimi sistemi vulnerabili; il virus oltre ad autospedirsi ai contatti della propria
rubrica postale, (per cui si consiglia di tenere sempre vuota la rubrica, per evitare che il
virus possa rispedire documenti sensibili a vostra insaputa), è anche in grado di ricavare
ulteriori contatti dai files presenti nel sistema della vittima, spedendosi insieme ad un
altro file, scelto casualmente nell'hd, che presenta una delle seguenti estensioni:
.txt .htm .html .wab .asp .doc .rtf .xls .jpg .cpp .c .pas .mpg .mpeg .bak .mp3 .pdf.
L‘ oggetto e il corpo del messaggio possono essere presi sia dal sistema della vittima,
sia da una lista che il virus possiede. Il vero problema di questo virus qual’è? I processi
che potrebbero bloccare la sua attività vengono immediatamente chiusi dal virus; se
dovesse trovare un processo attivo come un antivirus allora quest'ultimo verrebbe
terminato, la lista dei processi che verrebbero chiusi dal virus è la seguente:
_ AVP32 _AVPCC NOD32 NPSSVC NRESQ32 NSCHED32 NSCHEDNT NSPLUGIN
NAV NAVAPSVC NAVAPW32 NAVLU32 NAVRUNR NAVW32 _AVPM ALERTSVC
AMON AVP32 AVPCC AVPM N32SCANW NAVWNT ANTIVIR AVPUPD AVGCTRL
AVWIN95 SCAN32 VSHWIN32 F-STOPW F-PROT95 ACKWIN32 VETTRAY VET95
SWEEP95 PCCWIN98 IOMON98 AVPTC AVE32 AVCONSOL FP-WIN DVP95 FAGNT95 CLAW95 NVC95 SCAN VIRUS LOCKDOWN2000 Norton Mcafee Antivir. La
cancellazione del virus diventa in questo senso abbastanza complicata. Inoltre il virus
per autoavviarsi pone una stringa nel registry di Windows che si presenta in modalità
random-parziale.
Per controllare se il nostro computer possa essere stato infettato, agite nel modo
seguente :
- aprite il registro di sistema (start – esegui – regedit)
- cercate e selezionate la chiave:
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>run
- se nella finestra di destra cercate le chiavi WINK*.EXE e WQK.EXE e le trovate
CANCELLATELE.
Infine il virus infetta i file exe del sistema, adottando una strategia veramente
intelligente, per evitare che eventuali programmi che verificano l'integrità dei files
avvertano l'utente, il virus non modifica le dimensioni dei files quando li infetta.
Pagina 4
CHE COSA E’ IL “FILE SPOOFING”
Lo spoofing dei tipi di file è una tecnica usata, spesso anche dai virus, per simulare che
un certo file corrisponda ad un tipo diverso da ciò che è realmente: in questo modo si
può ingannare un utente facendogli credere che un certo attachment sembri un'immagine
JPG, un archivio ZIP o qualsiasi altra cosa, quando in realtà non lo è. Un primo tipo di
inganno, quello delle estensioni, è molto semplice da realizzare e si basa sul fatto che
Windows (95/98/ME) gestisce male le estensioni associate ai diversi tipi di files. Infatti
il sistema di Microsoft è stato progettato (di default) per non visualizzare le estensioni
dei tipi di files che hanno un'associazione nel registro. Ciò vuol dire che un file
ARCHIVIO.ZIP viene mostrato all'interno di Esplora Risorse e degli altri programmi solo
col nome ARCHIVIO, senza visualizzare la sua estensione e può essere riconosciuto dalla
classica icona associata ai file di Winzip. Questa constatazione ci pone un primo
interrogativo: cosa succede ad un file rinominato (volutamente) col nome
ARCHIVIO.ZIP.EXE? Viene considerato un file di Winzip o un eseguibile? Ecco quindi in
cosa consiste il primo inganno sui tipi di file: usando questo trucco della "doppia
estensione" Windows riconosce il file come un .EXE (quindi lo tratta come un eseguibile)
tuttavia visualizza solo il nome senza l'estensione, quindi per un utente ignaro di questo
fatto, il file porterà il nome ARCHIVIO.ZIP, quando in realtà è un'applicazione .EXE.
Questo trucco è stato usato da molti worm come il famigerato ZIP Explorer. Per
accorgersi della frode l'unica cosa che si può fare (oltre ad usare un buon antivirus) è
quella di far visualizzare a Windows le estensioni dei files, anche per quelli associati ad
applicazioni. Questa opzione si può attivare da Esplora Risorse nel menu
Strumenti/Opzioni Cartella o Visualizza/Opzioni Cartella (Fig.1). In questo modo un'email che porta dietro un attachment, visualizza il file allegato col suo nome reale,
mostrando magari che questo in realtà è un eseguibile (Fig.2).
IL FILE TYPE SPOOFING
Figura 1
Figura 2
Pagina 5
AIRSNORT: LE RETI WIRELESS IN GRAVE PERICOLO
La tecnologia
wireless ( IEEE 802.11 ) nasce diversi anni fa ,
permettendo
l’interconnessione di apparecchiature senza l’ ausilio di cavi. Tale tecnologia ha preso piede, in
modo particolare, nelle aziende in cui la stesura di cavi potrebbe presentare dei problemi, sia
a livello logistico che a livello economico. Per quanto appetibile e semplice sia
l’ implementazione di una rete wireless, c’è da evidenziare il fatto che i dati viaggiano in modo
cifrato durante il percorso tra ricevitore e trasmettitore. La possibilità di intercettare ed
immagazzinare tale flusso è già stata evidenziata tempo fa da esperti nel campo della
sicurezza. Come tutti sanno, infatti, la tecnologia wireless non usa un cavo per la trasmissione
dei dati ma, come la televisione e la radio, i dati viaggiano nell’ aria. Non esistendo, quindi, un
media fisico di collegamento, come ad esempio un cavo, è ancora più semplice per un
malintenzionato violare il canale che si crea tra ricevitore e trasmettitore. Tale possibilità si
è concretizzata con lo sviluppo di un software capace di fare materialmente ciò che è stato
già previsto : intercettare e decifrare il flusso di dati che intercorre in una rete di tipo
wireless. Dalla teoria, quindi, si è passati alla pratica. Airsnort è il nome del software
sviluppato per questo intento da Jeremy Bruestle e Blake Hegerle: software capace, oltre che
di catturare, anche di decifrare il flusso, permettendo quindi la cattura di informazioni
sensibili, come password. Tale situazione è già presente in realtà di reti tradizionali, dove
appunto software di sniffing permettono la cattura e la decifratura di qualsiasi informazione
e dato catturato. Tools di questo genere pullulano nell’ ambiente underground del web. Era
ormai scontato che le reti wireless, già da tempo considerate non sicure, potessero essere le
prossime vittime. Il flusso wireless è un flusso protetto da un sistema di cifratura chiamato
WEP ( Wired Equivalent Privacy system IEEE 802.11b), sistema che dovrebbe assicurare il
passaggio dei dati in forma protetta. Tale sistema è stato definito “ non sicuro “, in quanto
facilmente violabile attraverso il software Airsnort. E’ stata dimostrata in alcuni test, la
semplicità di utilizzo del software che ha permesso il rilevamento di password di sistema e la
manomissione di dati in poche ore di elaborazione. Test, ovviamente, effettuati in ambienti di
laboratorio. La tecnologia wireless è utilizzata ma, fortunatamente, non ancora
particolarmente diffusa nelle realtà aziendali. E’ comunque in studio la revisione ed il rilascio
di una versione più stabile e sicura dello standard WEP 802.11b, versione che non dovrebbe
vedere luce prima della fine dell’ anno 2002 .
Pagina 6
LE VENTI VULNERABILITA’ PIU’ CRITICHE
PER LA SICUREZZA IN INTERNET
(PRIMA PARTE)
SANS Institute e il National Infrastructure Protection Center (NIPC) pubblicarono
poco più di un anno fa l'elenco delle dieci vulnerabilità più critiche per la sicurezza.
Il documento è stato da allora utilizzato da migliaia di organizzazioni come guida per
risolvere rapidamente i buchi di sicurezza più pericolosi. Il 1° ottobre 2001 è stato
pubblicato un nuovo elenco che aggiorna ed amplia quello esistente. Le vulnerabilità
trattate, ora diventate venti, sono state divise in tre categorie: vulnerabilità
generali, vulnerabilità di Windows e vulnerabilità di UNIX.
E’ nostra intenzione, con questo bollettino illustrarvi le venti vulnerabilità in oggetto
frammentandole in più parti, per non annoiare l’utente nella lettura.
Il valore del documento del SANS/FBI sulle venti vulnerabilità più critiche
(SANS/FBI Top Twenty List) è confermato dal fatto che la maggioranza degli
attacchi ai sistemi informatici condotti via Internet andati a buon fine è
ricollegabile allo sfruttamento delle vulnerabilità di sicurezza elencate. Ad esempio,
la compromissione dei sistemi del Pentagono a seguito dell'episodio di hacking Solar
Sunrise e la facile e rapida diffusione dei worm Code Red e NIMDA possono essere
collegati allo sfruttamento di alcune vulnerabilità presenti nella lista per le quali non
sono
state
applicate
le
opportune
patch.
Questo limitato numero di vulnerabilità software sono alla base della maggior parte
degli attacchi andati a buon fine, semplicemente perché coloro che effettuano gli
attacchi agiscono in modo opportunistico, ovvero scelgono la strada più semplice e
comoda. Essi sfruttano le vulnerabilità di sicurezza più conosciute e impiegano gli
strumenti di aggressione più efficaci e diffusi. Contano sul fatto che le
organizzazioni non pongono rimedio ai problemi e quindi, spesso, dopo aver
effettuato scansioni in Internet per rilevare i sistemi vulnerabili, conducono
attacchi indiscriminati.
In passato, gli amministratori di sistema hanno ammesso che non correggevano
queste vulnerabilità semplicemente perché non si sapeva quali fossero quelle più
pericolose, ed erano troppo occupati per poterle eliminare tutte. Alcuni strumenti
per la rilevazione delle vulnerabilità possono ricercare 300, 500 o addirittura 800
tipi di vulnerabilità, diluendo l'impegno dell'amministratore di sistema
nell'assicurarsi che i sistemi siano protetti dagli attacchi più comuni. Per aiutare gli
amministratori a circoscrivere il problema è stato redatto l'elenco delle venti
vulnerabilità principali, frutto dell'esperienza di decine tra i maggiori esperti delle
agenzie federali più sensibili alla sicurezza, dei maggiori produttori di software,
delle più importanti aziende di consulenza, dei migliori progetti universitari per la
sicurezza, del CERT/CC e del SANS Institute.
Pagina 7
Cinque note per i lettori del bollettino :
Nota 1. Aggiornamenti
L'elenco SANS/FBI delle venti vulnerabilità più critiche (Top Twenty SANS/FBI) è un documento in
continuo aggiornamento. Contiene istruzioni dettagliate e riferimenti a informazioni supplementari
utili per correggere i problemi di sicurezza. Quando si scoprono minacce più critiche di quelle
elencate o metodi di intrusione più comodi o attuali , l'elenco e le istruzioni vengono aggiornati, e in
questo processo il vostro contributo è sempre gradito Questo documento si basa sul consenso di
un'intera comunità - la vostra esperienza nel combattere le intrusioni e nell'eliminare le vulnerabilità
può aiutare quelli che verranno dopo di voi. Inviate i vostri suggerimenti a [email protected],
specificando "Top Twenty Comments" nell'oggetto dell'e-mail.
Nota 2. Numeri della lista CVE
Ogni vulnerabilità menzionata è accompagnata dai numeri della catalogazione CVE (Common
Vulnerabilities and Exposures). Possono essere presenti anche i numeri CAN, ovvero i numeri
candidati ad essere inclusi nella lista CVE, ma non ancora completamente verificati. Per ulteriori
informazioni relative al progetto CVE, oggetto di numerosi riconoscimenti ufficiali, fate riferimento
a http://cve.mitre.org/. Nella sezione che descrive le vulnerabilità generali per tutti i sistemi, i
numeri CVE elencati sono solo esempi di alcune delle vulnerabilità trattate nella lista. Gli elenchi CVE
che riportiamo non intendono , infatti, essere esaustivi. In ogni caso, per quanto riguarda le
vulnerabilità di Windows e di UNIX, i numeri CVE indicano le vulnerabilità prioritarie da controllare
per ciascun tipo.
Nota 3. Porte da bloccare a livello di firewall
Alla fine del documento troverete una sezione aggiuntiva che presenta l'elenco delle porte utilizzate
dai servizi che vengono comunemente esplorati e attaccati. Bloccando il traffico che passa
attraverso le porte del firewall o altri dispositivi di protezione del perimetro della rete, potete
ottenere un livello di difesa aggiuntivo che vi aiuta a tutelarvi da eventuali errori di configurazione.
Tenete comunque presente che anche se utilizzate un firewall per bloccare il traffico di rete diretto
a una porta, essa non è protetta da possibili azioni causate da soggetti che si trovano già all'interno
del perimetro, nè dall'azione di hacker penetrati utilizzando altri metodi.
Nota 4. Procedure automatiche per la rilevazione delle venti vulnerabilità più critiche
In questo documento sono descritti i metodi manuali utilizzati per rilevare in un sistema le
vulnerabilità del nostro elenco. Un approccio più pratico per la ricerca delle vulnerabilità UNIX e
Windows - specialmente se applicate la regola aurea di controllare ogni nuovo sistema prima di
collegarlo ad Internet e ricontrollate frequentemente tutti i vostri sistemi - è quello di utilizzare
uno scanner automatico per la rilevazione delle vulnerabilità. Bob Todd, creatore dello scanner
gratuito per Internet SARA, ne ha realizzato una versione speciale progettata per rilevare e
segnalare le venti vulnerabilità più critiche dell'elenco SANS/FBI. La classifica dei 20 scanner
migliori (Top 20 Scanner) può essere scaricata dal sito web del Center for Internet Security
all'indirizzo www.cisecurity.org. Per rilevare queste vulnerabilità si possono anche usare diversi
scanner commerciali e l'elenco di quelli che possiedono una funzionalità specifica per il rilevamento
delle venti vulnerabilità più critiche sarà sempre aggiornato dal Sans Institute e sarà a disposizione
all'indirizzo http://www.sans.org/.
Nota 5. Collegamenti all'indice delle vulnerabilità ICAT
Ogni vulnerabilità CVE è collegata all'elemento corrispondente del servizio ICAT di indicizzazione
delle vulnerabilità del National Institute of Standards (http://icat.nist.gov/). Per ciascuna
vulnerabilità ICAT fornisce una breve descrizione, un elenco delle caratteristiche (ad esempio
ambito dell'attacco e danno potenziale), un elenco dei nomi e delle versioni dei software vulnerabili e
i collegamenti ai bollettini sulle vulnerabilità e alle informazioni sulle patch.
Riportiamo di seguito le prime due vulnerabilità, in seguito con i prossimi bollettini descriveremo le
rimanenti:
Pagina 8
G1
- Installazioni
operativi
e delle applicazioni
Le vulnerabilità
piùpredefinite
critiche perdei
tuttisistemi
i sistemi
(G)
G1.1 Descrizione:
La maggior parte dei software, inclusi i sistemi operativi e le applicazioni, contengono script o programmi di
installazione. Compito di questi ultimi è rendere l'installazione dei sistemi il più rapida possibile, abilitando le
funzioni più importanti e riducendo così al minimo il lavoro per l'amministratore. Per raggiungere questo scopo, gli
script generalmente installano più componenti di quelli necessari alla maggior parte degli utenti. I produttori di
software preferiscono abilitare funzioni aggiuntive non necessarie piuttosto che lasciare che sia l'utente ad
installarle in caso di bisogno. Questo tipo di approccio, sebbene rappresenti una comodità per l'utente, è la causa
della creazione di molte delle vulnerabilità più pericolose, per il semplice fatto che gli utenti non aggiornano né
applicano le patch di sicurezza alle componenti software che non sono utilizzate. Inoltre molti utenti non hanno
la percezione di cosa in realtà venga installato e quindi lasciano nel sistema pericolosi programmi dimostrativi
semplicemente perché non ne conoscono l'esistenza.
Questi servizi non corretti con patch di sicurezza costituiscono la via attraverso la quale spesso gli intrusi
ottengono il controllo dei computer.
Per quanto riguarda i sistemi operativi, le installazioni predefinite introducono quasi sempre servizi estranei con
le corrispondenti porte aperte. Gli aggressori usano queste porte per introdursi nei sistemi. Nella maggior parte
dei casi, meno porte rimangono aperte e meno strade un aggressore può utilizzare per danneggiare la vostra
rete. Per quanto riguarda le applicazioni, le installazioni predefinite di solito contengono programmi o script
dimostrativi non necessari. Una delle vulnerabilità più gravi per i server web è rappresentata dagli script
dimostrativi, che vengono utilizzati dagli aggressori per compromettere il sistema o per ottenere informazioni su
di esso. Nella maggioranza dei casi, l'amministratore dei sistemi compromessi non era conscio che tali script
dimostrativi fossero installati. Gli script dimostrativi costituiscono un problema perché, di solito, non sono
sottoposti alle stesse procedure di controllo di qualità adottate per gli altri software. In molti casi infatti la
qualità del codice è incredibilmente scadente. Il controllo degli errori viene spesso tralasciato e così gli script
sono terreno fertile per gli attacchi di tipo "buffer overflow".
G1.2 Sistemi interessati:
La maggior parte dei sistemi operativi e delle applicazioni. Tenete presente che quasi tutte le estensioni per
server web di terza parte vengono fornite con file dimostrativi, molti dei quali sono estremamente pericolosi.
G1.3 Lista CVE:
(Nota: la lista sottostante non è una lista completa o esaustiva. Contiene solo esempi di alcune delle vulnerabilità
appartenenti alla categoria in questione).
CVE-1999-0415, CVE-1999-0678, CVE-1999-0707, CVE-1999-0722, CVE-1999-0746,
I COLLEGAMENTI DI LATO
POTETE TROVARLI SUL
CVE-1999-0954, CVE-2000-0112, CVE-2000-0192, CVE-2000-0193, CVE-2000-0217,
DOCUMENTO ORIGINALE
CVE-2000-0234, CVE-2000-0283, CVE-2000-0611, CVE-2000-0639, CVE-2000-0672,
COLLEGANDOVI AL SITO
CVE-2000-0762, CVE-2000-0868, CVE-2000-0869, CVE-2000-1059
WWW.DATASECURITY.IT
G1.4 Come determinare se siete vulnerabili:
Il vostro sistema è vulnerabile agli attacchi da parte degli hacker se avete usato un programma per
l'installazione di software di sistema o di supporto (cosa che certamente si è verificata in quasi tutte le aziende)
senza aver rimosso i servizi non necessari e senza aver installato tutte le patch di sicurezza.
Potreste essere vulnerabili anche se avete eseguito procedure di configurazione supplementari. Dovreste
eseguire una scansione delle porte e una scansione delle vulnerabilità per ciascun sistema che debba essere
collegato a Internet. Quando analizzate i risultati, tenete presente il principio per il quale il sistema dovrebbe
eseguire il numero minimo di servizi e di pacchetti software indispensabile per svolgere le attività richieste.
Ogni altro programma o servizio può diventare uno strumento per gli aggressori - in particolar modo perché la
maggior parte degli amministratori di sistema non applica le patch necessarie ai servizi o ai programmi che non
vengono di solito utilizzati.
G1.5 Come proteggersi:
Rimuovete il software non necessario, disattivate i servizi non necessari e chiudete le porte inutili. Senza dubbio
può essere un compito lungo e tedioso. Proprio per questa ragione molte grosse organizzazioni hanno sviluppato
linee guida di installazione standard per tutti i sistemi operativi e le applicazioni utilizzate all'interno
dell'organizzazione. Queste prevedono l'installazione solo delle caratteristiche minime necessarie per un
efficace funzionamento del sistema.
Il Center for Internet Security (CIS), basandosi sull'esperienza e le conoscenze di più di 170 organizzazioni
appartenenti a una decina di paesi, ha stabilito una configurazione base di sicurezza per Solaris e Windows 2000
(vedi http://www.cisecurity.org/). Strumenti per la valutazione delle prestazioni e per la verifica degli altri
sistemi operativi sono in fase di sviluppo. Con gli strumenti del CIS si possono verificare e confrontare i livelli e
lo stato di sicurezza dei sistemi presenti nelle varie divisioni aziendali. Le linee guida del CIS possono essere
seguite per migliorare la sicurezza della maggior parte dei sistemi operativi.
Pagina 9
G2 - Account senza password o con password "deboli"
G2.1 Descrizione:
La maggior parte dei sistemi è configurata per utilizzare le password come prima ed unica linea di difesa. Gli
user ID sono abbastanza facili da ottenere e la maggioranza delle aziende è dotata di un accesso dial-up che
scavalca il firewall. Quindi, se un aggressore riesce a determinare il nome di un account e la sua password, potrà
tranquillamente connettersi alla rete. Se un grosso problema è rappresentato dalle password facili da indovinare
e da quelle predefinite, un problema ancora maggiore è dato dagli account del tutto privi di password. In pratica,
tutti gli account che utilizzano password deboli, password predefinite oppure che non utilizzano alcuna password,
dovranno essere rimossi dal sistema.
Inoltre, molti sistemi sono dotati di account incorporati o predefiniti. Di solito gli account di questo tipo usano le
stesse password per tutte le installazioni di software. Gli aggressori vanno di solito alla ricerca di queste
password, ben note nella comunità degli hacker. Per questo motivo anche gli account predefiniti o incorporati
devono essere identificati e rimossi dal sistema.
G2.2 Sistemi interessati:
Tutti i sistemi operativi o le applicazioni dove gli utenti effettuano l'autenticazione con user ID e password.
G2.3 Lista CVE:
(Nota: la lista sottostante non è una lista completa o esaustiva. Contiene solo esempi di alcune delle vulnerabilità
appartenenti alla categoria in questione).
I COLLEGAMENTI DI LATO
CVE-1999-0291, CAN-1999-0501, CAN-1999-0502, CAN-1999-0503, CAN-1999-0505,
POTETE TROVARLI SUL
CAN-1999-0506, CAN-1999-0507, CAN-1999-0508, CAN-1999-0516, CAN-1999-0517,
DOCUMENTO ORIGINALE
CAN-1999-0518, CAN-1999-0519
COLLEGANDOVI AL SITO
G2.4 Come determinare se siete vulnerabili:
WWW.DATASECURITY.IT
Per determinare se siete vulnerabili dovete conoscere gli account presenti nel vostro sistema. Quelle che
seguono sono le operazioni che dovete compiere:
1.Verificate gli account presenti sui vostri sistemi e create un elenco principale. Non dimenticate di
controllare le password su sistemi come router e stampanti digitali connesse a Internet, controller delle
stampanti e delle copiatrici.
2.Sviluppate procedure per l'aggiunta di account autorizzati all'elenco e per la rimozione degli account
non più in uso.
3.Controllate regolarmente l'elenco per accertarvi che non siano stati aggiunti nuovi account e che gli
account inutilizzati siano stati rimossi.
4.Utilizzate uno strumento di password cracking per individuare gli account con password deboli o senza
password. (Assicuratevi di avere un permesso ufficiale scritto prima di utilizzare lo strumento password
cracking).
a.LC3 - Microsoft Windows NT e Microsoft Windows 2000, http://www.atstake.com/
1.Microsoft Personal Security Advisor, -- Microsoft Windows NT e Microsoft Windows 2000,
www.microsoft.com/security/mpsa
2.John the Ripper - Unix, http://www.openwall.com/john
3.Pandora - Novell, http://www.nmrc.org/pandora
5.Impiegate procedure rigorose per la rimozione degli account di dipendenti o collaboratori che non
lavorano più per l'organizzazione, o nel caso gli account non siano più necessari.
Pagina 10
G2.5 Come proteggersi:
Per eliminare questi problemi di password è necessario applicare una procedura in due fasi. Nella
prima fase è necessario che gli account senza password siano rimossi, o che sia loro assegnata una
password, e che le password "deboli" siano irrobustite. Purtroppo accade spesso che gli utenti ai quali
viene richiesto di modificare la propria password per renderla più robusta ne scelgano un'altra
ugualmente facile da indovinare. Questo ci porta alla seconda fase della procedura, nella quale le
password devono essere approvate dopo la modifica da parte dell'utente. Esistono programmi che
controllano le password modificate e le rifiutano se non sono conformi ai requisiti stabiliti dalla
vostra policy di sicurezza. I più diffusi sono descritti agli indirizzi elencati di seguito:
1a.
Per
UNIX:
Npasswd
(SunOS
4/5,
Digital
Unix,
HP/UX
e
AIX)
http://www.utexas.edu/cc/unix/software/npasswd
1b.
Per
UNIX:
"Cracklib"
e
i
relativi
moduli
PAM
(Linux)
2. Per Windows NT: Passfilt: http://support.microsoft.com/support/kb/articles/Q161/9/90.asp
Questi programmi garantiscono che le password modificate rispettino i criteri di composizione e di
lunghezza necessari a renderle difficili da indovinare e da determinare. Molti produttori di sistemi
Unix includono un supporto interno per l'irrobustimento delle password e sono comunque utilizzabili
diversi pacchetti software dalle funzionalità simili.
Molte organizzazioni integrano i programmi per il controllo delle password con ulteriori controlli che
ne garantiscono la modifica a intervalli regolari e l'impossibilità di riutilizzare le vecchie password.
Se alle password viene applicata una scadenza, fate in modo che l'utente riceva un avviso e abbia la
possibilità di modificare la password prima della scadenza. Quando si trovano davanti a un messaggio
del tipo "la vostra password è scaduta e deve essere modificata" gli utenti tendono a scegliere una
cattiva password.
Microsoft Windows 2000, nei Criteri di gruppo, offre opzioni per vincolare la scelta delle password.
L'amministratore può configurare la rete affinché le password degli utenti rispettino una lunghezza
minima, una durata minima e massima e altri tipi di vincoli. È importante impostare la durata minima di
una password. Senza di essa, infatti, l'utente cambia la password dopo aver ricevuto l'avviso di
scadenza che ne richiede la modifica, ma tende poi a modificarla nuovamente reimpostando quella
preesistente. L'impostazione della durata minima fa in modo che gli utenti siano più propensi a
ricordare la nuova password, e li scoraggia dal sostituirla con quella precedente.
Un'altra integrazione importante è costituita dai corsi di orientamento per aiutare gli utenti a capire
perché sia necessario scegliere password "robuste" e insegnare loro come farlo. Il consiglio più
comune per ottenere password efficaci è quello di scegliere un verso di una canzone che contenga un
numero e poi costruire la password utilizzando la prima o seconda lettera di ogni parola che non
rappresenti un numero e la cifra per i numeri. Per rendere la password ancora più difficile da
determinare includete un segno di interpunzione.
Un'altro modo per proteggersi dalla mancanza di password o dalle password deboli è quello di
utilizzare forme diverse di autenticazione, come ad esempio l'autenticazione con password generate
da token o l'autenticazione biometrica. Quindi, se le password deboli vi causano problemi, utilizzate
metodi alternativi per l'autenticazione degli utenti.
Pagina 11