Vogliamo essere sicuri che il nostro PC sia davvero protetto dagli innumerevoli tentativi di intrusione esterni che ogni giorno lo affliggono?

Non dobbiamo far altro che visitare questa pagina, cliccare su proceed ed in seguito su File Sharing, verificare poi i risultati. Il secondo test è quello delle porte (ma ce ne sono anche altri, a voi provarli), davvero velocissimo e comprensibile; clicchiamo questa volta su All Service Ports, attendiamo che vengano controllate le prime 1056 porte (impiega circa un minuto o meno) ed ovviamente verifichiamone il risultato. Il quadratino rosso sta per porta aperta, il blu per chiusa, mentre il verde per porta invisibile.

Ovvio dire che maggiori sono i verdi e migliore sarà il risultato, attenzione su quelli rossi, indicatori di possibili eventuali intrusioni…

Scorrendo più in basso troviamo le possibili indicazioni su come ricorrere ai ripari. Questi sono i due servizi probabilmente più importanti, ma troviamo anche i test: Common Ports, Messenger Spam, Browser Headers.

Fonte

Attualmente il sentinel è in beta testing sui seguenti portali con ottimi risultati :

http://www.evilsocket.net (evil-fusion phpfusion mod)
http://www.eurohackers.it/ (php-nuke)

Ecco alcune specifiche del software :

About EvilSentinel v1.2.4
EvilSentinel è un sistema di sicurezza universale per applicazioni web in php .

Nella sua release attuale è in grado di filtrare, bloccare e notificare all' amministratore del sito i seguenti tipi di attacchi :

In seguito ad un attacco inoltre, il sentinel seguirà le attività sul sito dell'attaccante tramite la tecnologia AIT (adaptive ip tracking) loggando ogni singolo passo del maleintenzionato dando modo all' amministratore di seguire i suoi movimenti sia in tempo reale, sia in un secondo momento visionando i log ordinati per ip, data, ora e pagina .
Il processo di filtraggio dei dati in ingresso, nonostante sia evoluto e perfezionato per questi tipi di attacchi, potrebbe classificare come potenzialmente pericolosi dati del tutto innoqui . In tal caso contattate immediatamente l’amministratore per notificare l’errore e chiarire l’accaduto .

Ringrazio hackfairy per avermi aiutato a testare il software

EvilSentinel Copyleft (c) 2007 of evilsocket@gmail.com

Fonte: Evilsocket.net

Gli esperti di Sunbelt segnalano un ennesimo tentativo di diffusione attraverso un sito che si presenta come servizio per scansioni online antivirus.

Edgar, che riprende la notizia dalla stessa Sunbelt, fa notare come la grafica di tutti questi siti sia molto curata per cercare di ingannare chi lo visita.

"Anche questo sito, come quelli gia' descritti precedentemente," continua Edgar, "fa' scaricare un file di setup che installa un falso programma di scannig malware
Una volta lanciato il programma installa una falsa toolbar di scansione virus e chiede di pagare per poter registrarsi e rimuovere le false minacce trovate sul computer.

Questo e' il report di VirusTotal sul file exe che viene scaricato dal falso sito di scanning malware."

[ file data ]
* name: setup.exe
* size: 18008
* md5.: 9b7eb450f52a353fe88641f8ab597e7b
* sha1: 654ed9eb02be53dddd6a710f7f7c7b53a0c2f295

[ scan result ]
AhnLab-V3 2007.10.11.0/20071010 found nothing
AntiVir 7.6.0.20/20071010 found [TR/Dropper.Gen]
Authentium 4.93.8/20071009 found nothing
Avast 4.7.1051.0/20071010 found nothing
AVG 7.5.0.488/20071010 found [SHeur.OBI]
BitDefender 7.2/20071011 found nothing
CAT-QuickHeal 9.00/20071010 found nothing
ClamAV 0.91.2/20071011 found nothing
DrWeb 4.44.0.09170/20071010 found [BACKDOOR.Trojan]
eSafe 7.0.15.0/20071010 found [suspicious Trojan/Worm]
eTrust-Vet 31.2.5202/20071011 found nothing
Ewido 4.0/20071010 found nothing
F-Prot 4.3.2.48/20071010 found nothing
F-Secure 6.70.13030.0/20071011 found [Trojan-Downloader.Win32.Small.fzi]
FileAdvisor 1/20071011 found nothing
Fortinet 3.11.0.0/20071010 found [Misc/Spywad]
Ikarus T3.1.1.12/20071011 found [not-a-virus:Hoax.Win32.Renos.kh]
Kaspersky 7.0.0.125/20071011 found [Trojan-Downloader.Win32.Small.fzi]
McAfee 5138/20071010 found nothing
Microsoft 1.2908/20071011 found nothing
NOD32v2 2585/20071010 found nothing
Norman 5.80.02/20071010 found nothing
Panda 9.0.0.4/20071010 found [Suspicious file]
Prevx1 V2/20071011 found nothing
Rising 19.44.22.00/20071010 found nothing
Sophos 4.22.0/20071010 found nothing
Sunbelt 2.2.907.0/20071010 found nothing
Symantec 10/20071011 found [WebSpyShield]
TheHacker 6.2.6.082/20071010 found nothing
VBA32 3.12.2.4/20071010 found nothing
VirusBuster 4.3.26:9/20071010 found nothing
Webwasher-Gateway 6.0.1/20071010 found [Trojan.Dropper.Gen]

[ notes ]
packers: UPX
packers: UPX
packers: PE_Patch.UPX, UPX

Come si può facilmente notare allo stato attuale pochissime software house sono in grado di individuare il malware.

Fonte:Pianeta Pc

Approfitto di questi due minuti durante una lezione universitaria per aggiornare queste pagine con una segnalazione che mi è stata riportata giorni fa.

Come si è parlato già addietro, il 2007 è diventato di diritto l’anno delle compromissioni dei siti web da parte dei malware writer. Si è parlato di Hosting Solutions, si è parlato di Aruba, si è parlato di alcuni siti di rilevanza nazionale infettati da iframe nocivi.

Continuando nelle indagini, anche il noto fornitore di connettività e hosting/housing Seeweb sembrerebbe essere stato preso di mira durante questa ondata di pirateria informatica.

Un discreto numero di siti web ospitati su alcuni server della nota società italiana sono stati alterati, molti dei quali sembrerebbe inoltre siano stati modificati durante queste ultime settimane.

Poco meno di un centinaio di siti web, di cui circa 70 gli ultimi arrivati, contengono nel codice della propria home page un iframe che reindirizza il browser dell’utente ignaro verso un terzo server contenente codice maligno.

L’infezione che ne deriva, in caso si utilizzi software non aggiornato, è il solito Rootkit.DialCall con sample aggiornati per evitare di essere individuati dai software antivirus. Il nuovo indirizzo IP utilizzato dai malware writer è 81.29.241.238, sempre appartenente allo stesso range degli indirizzi IP precedentemente utilizzati per la stessa infezione e facente capo al range generale 81.29.240.0/20 gestito da LLC GlobalWholesaleTrade.

I file e le voci di registro create sono:

%Windir%\service32.exe
%Windir%\syss.dll

HKLM\software\microsoft\windows\currentversion\policies\explorer\run\
[6G98D2X74V = %Windir%\service32.exe]

HKLM\software\6g98d2×74v\

Sembrerebbe che gran parte dei server che ospitano i siti web compromessi siano basati su GNU/Linux Debian e web server Apache, sebbene alcuni siano ospitati anche su Microsoft IIS. I controlli che sono stati fatti sono stati effettuati su un range limitato di indirizzi IP per cui non è possibile fornire un resoconto completo dei siti compromessi, resoconto che potrebbe fare esclusivamente Seeweb.

Rimane, come per gli altri casi, il dubbio su come sia stato possibile per i malware writer inserire iframe all’insaputa degli amministratori di siti web. Se per un sito web o per un paio potrebbe essere stato possibile il furto di credenziali, già questa opzione risulta più difficile da concepire per una trentina di siti ospitati su uno stesso IP e un’altra ventina su un altro IP.

Per chi vuole può fare una scansione gratuita con Prevx CSI, scanner standalone che non necessita di installazione e verifica eventuali infezioni all’interno del PC.

*** UPDATE ***

A pochissime ore dalla pubblicazione della notizia sembrerebbe Seeweb abbia rimosso tutti gli iframe dalle pagine infette. Tuttavia, parrebbe che qualche script automatico sia installato in alcuni dei server poiché - se è vero che Seeweb ha filtrato e pulito i siti precedentemente compromessi - sono apparsi pochissime ore fa altri siti infetti sugli stessi server, differenti dai primi.
Fonte : Pc al Sicuro

Oggi la realtà informatica è una realtà che ha avuto una fortissima espansione trovando applicazione, sviluppo e sostegno in quasi tutte le realtà casalinghe ma soprattutto in quelle produttive. Sono proprio quest’ultime che hanno intravisto nell’office automation e nell’informatizzazione dei loro processi produttivi un abbassamento ed una standardizzazione della loro produzione con un chiaro e forte abbassamento dei costi di gestione, in particolare a livello amministrativo.

Da notare è come al giorno d’oggi, anche le piccole realtà aziendali che non fanno parte della cosiddetta fascia industriale stiano informatizzando le loro amministrazioni e i loro uffici e investendo annualmente dei capitali solo per la sicurezza dei loro dati sensibili, e delle loro piccole infrastrutture informatiche. In quest’ottica è facile capire che la tematica della sicurezza giochi un ruolo fondamentale nelle produzioni e nelle gestioni informatizzate perché permette di aumentare i guadagni ma soprattutto di prevenire le perdite che possono derivare da malfunzionamenti, problemi generici oppure dal furto di dati strettamente riservati e utili alla concorrenza come spesso mi è capitato durante le mie esperienze nel mondo del lavoro informatico.

Su questa tematica possiamo approfondire che la sicurezza informatica è essenziale per le aziende e di come le stesse molto spesso abbiano richiesto soluzioni particolari che rispecchiano determinate caratteristiche e esigenze stabilite dall’utente finale che ne usufruisce e in quest’ottica possiamo dire che la sicurezza può essere divisa in due grandi famiglie

• Sicurezza Client-Side
• Sicurezza Server-Side

Dietro a queste due grandi famiglie si nascondo processi, metodologie, tipologie di approccio e soluzioni differenti che possono essere semplici oppure estremamente complesse, ed in base alla complessità varia anche il costo che il sistema ha in sé anche se nelle realtà aziendali il costo viene messo spesso al secondo posto dietro l’efficienza e affidabilità di una procedura di sicurezza aziendale.

In questa tesi per il mio esame di stato parlerò di un componente silenzioso, comune e ormai noto a tutti gli utenti che lavorano con dati informatici di una certa rilevanza: Il Firewall.

Il firewall è ormai un componente basilare in una infrastruttura sistemistica, e nonostante molto spesso sia considerato uno strumento perimetrale o per la sicurezza server-side, esso risulta invece il fido e utile compagno di viaggio per le aziende che intendono proteggere le loro reti perché il firewall può rappresentare l’unico punto di accesso verso l’esterno e come tale, se implementato opportunamente, risulta basilare per proteggere una rete e per evitare la violazione delle policies aziendali anche dall’interno.

Questo in termini di guadagno rappresenta un fattore discriminante per una azienda, perché molto spesso la violazione delle policies, e la violazione dei dati avviene proprio a parte degli utenti aziendali che utilizzano le risorse messe a disposizione dalla stessa in maniera errata mettendo a rischio l’incolumità della rete; ed è proprio in questo contesto che esporrò il funzionamento di un firewall e una procedura pratica che ho messo in atto durante questi anni di esperienza nel mondo del lavoro per venire incontro alle esigenze di molte aziende.
Le caratteristiche di un firewall che funzioni in maniera efficiente devono essere :

• Sicurezza
• Affidabilità
• Scalabilità
• Possibilità di updates e integrazione delle nuove tecnologie
• Contenimento dei costi

Cos’è un Firewall : terminologia

Innanzitutto, prima di cominciare ad esporre l’argomento, cominciare con l’introdurre alcuni termini comuni per chi naviga in Internet o lavora nel campo sistemistico; ma che risultano molto spesso concepiti erroneamente e senza sapere cosa in realtà essi vogliano dire in gergo tecnico.

Terminologia

Antivirus : software che permette di rilevare e prevenire l’installazione di codice maligno o files nocivi all’interno di un computer. Un antivirus rappresenta la punta del’iceberg di un sistema sicuro, sia dal lato client che dal lato server. Un antivirus è composto da diversi moduli:

• Modulo di confronto contenuto con le firme
• Modulo euristico per rilevamento virus in base al loro comportamento o intestazione(per ovviare alla mancanza di firme aggiornate)
• Modulo per gli aggiornamenti
• Modulo di scansione della memoria

Alcuni antivirus più evoluti integrano anche moduli per bloccare temporaneamente(ed eventualmente concedere o negare definitivamente) la scrittura di valori nel registro(per i prodotti Microsoft) o in apposite aree di sistema(per tutti i sistemi operativi in commercio).
Firewall : dall’inglese muro tagliafuoco ma in italiano detto anche parafuoco; è un componente sistemistico perimetrale passivo, che divide in due o più tronconi la rete:

• Area Trusted, cioè sicura - LAN
• Area Untrusted cioè la rete Esterna che rappresenta tutto ciò che è ritenuto non attendibile o sicuro - Internet
• Zona Delimitarizzata - DMZ

AntiSpam : software che è in grado di filtrare i contenuti di un messaggio di posta elettronica in base al loro contenuto o alla loro provenienza. Questi strumenti non sono ancora evoluti come dovrebbero, però certi applicativi permettono una versatilità grazie alla creazione di regole personalizzate che li rendono utili per proteggere account aziendali dallo spam e dal pericolo di incursioni di codici malevoli tramite contenuti contrassegnati come sicuri tramite il vicolo della posta elettronica.

Personal Firewall : software che solitamente viene usato a livello client-side, e che svolge più o meno completamente tutte le funzioni che svolge un firewall di rete. I Personal firewall tuttavia lavorano stand-alone e non a livello di infrastruttura e si frappongono tra un client e l’esterno indiscriminatamente, permettendo di bloccare anche determinati processi attraverso l’utilizzo regole personalizzate o predefinite per autorizzare certe applicazioni e anche la loro destinazione verso le zone insicure in maniera flessibile e precisa a cura dell’utente utilizzatore o amministratore del client. Caratteristica dei personal firewall è anche il controllo di ogni processo di sistema che voglia uscire verso l’esterno o lanci una connessione verso l’esterno.

IDS ( Intrusion Detection System) : componente software(spesso accoppiato ad un firewall hardware nelle reti aziendali) che permette di rilevare i tentativi di attacco ad una rete analizzando non solo l’intestazione dei pacchetti che attraversano un ipotetico gateway, ma anche analizzando il loro contenuto per identificare anche tentativi di attuazione di exploit come SQL Inejction, attacchi DoS e port-scan ai client interni.
Gli IDS rappresentano anche un’ottima alternativa per bloccare i pericoli provenienti dall’interno da parte degli utenti “fidati” che possono aprire varchi nella rete utilizzando programmi semi-automatici inappropriati o insicuri.

Indirizzo IP : indirizzo logico introdotto con la suite di protocolli TCP/IP composto da quattro ottetti di un byte ciascuno, che formano un indirizzo complessivo di quattro byte(192.168.0.1). Un indirizzo IP identifica univocamente un pc in una rete, perché due pc non possono avere lo stesso indirizzo logico

Subnet Mask : definita comunemente maschera di sottorete, è un parametro fondamentale nella configurazione dei parametri di rete di un PC perché indica al computer se deve instradare i pacchetti verso il gateway per raggiungere la destinazione oppure no. Solitamente è composta come un indirizzo IP in termini di lunghezza.

Gateway : indirizzo IP solitamente assegnato al punto di accesso che permette ai computer di una rete di uscire dalla stessa e accedere alle risorse esterne. Molto spesso il gateway è un router, un server oppure il firewall.

DNS (Domain Name Solve) : solitamente il DNS è quel dispositivo, è un computer in genere, che si incarica di risolvere i nomi host (es:: www.google.it) in indirizzi IP comprensibili per il computer. Nei parametri di configurazione di una computer, l’indirizzo DNS non è altro un indirizzo IP che punta al computer che si utilizzerà per risolvere i nomi in indirizzi IP.

Hacker : è una persona che si impegna nell'affrontare sfide intellettuali per aggirare o superare creativamente le limitazioni che gli vengono imposte, non limitatamente ai suoi ambiti d'interesse ma in tutti gli aspetti della sua vita. In campo informatico è colui che si diverte a violare i sistemi non per fare danni, ma per mettere alla prova se stesso e le sue capacità senza fare danni alle sue “vittime”.

Cracker : è colui che entra abusivamente in sistemi altrui allo scopo di danneggiarli, lasciare un segno del proprio passaggio, utilizzarli come teste di ponte per altri attacchi oppure per sfruttare la loro capacità di calcolo o l'ampiezza di banda di rete o per carpire informazioni utili che possono fargli trarre profitto. In genere un cracker crea danni alle sue “vittime”

Lamer : è colui che sfruttando sistemi automatici, o semi-automatici, creati da hacker o cracker esperti(comunque persone che conoscono l’informatica), riesce a violare i sistemi senza avere particolari conoscenze o abilità informatiche. In gergo lamer significa perdente.

Ora che ho chiarito anche alcuni termini comuni che riprenderò successivamente, comincerò ad entrare nel vivo dell’argomento che ho deciso di trattare : Il Firewall di rete

Tipologie

Come ho accennato precedentemente il firewall di rete è un sistema oppure un insieme di sistemi, passivi che solitamente dividono la rete in due o più parti:

• Zona Trusted - - LAN
• Zona Untrusted - - Internet
• Eventuale DMZ
• Eventuale rete Wireless

Il firewall rappresenta un componente indispensabile per proteggere la propria rete, anche se però comporta delle spese e dei problemi perché se esso non viene configurato correttamente e implementato in maniera corretta può rappresentare un problema all’infrastruttura e diminuire quindi la sicurezza e le prestazione della stessa.
Ritornando alla teoria generale di base, i firewall di rete possono essere di diversi tipi, per esempio:

• Packet Filter
• Stateful Inspection
• Application Layer Firewall

In entrambi tutti questi casi, il firewall rappresenta generalmente il punto di passaggio del traffico dalla LAN verso l’esterno o viceversa, e può essere segmentato da un ulteriore firewall se l’azienda vuole disporre una DMZ e quindi avere un gruppo di regole precise sia per l’area delimitirazzata(DMZ) che per l’area locale(LAN).

Firewall Packet Filter

Il packet Filter Firewall è una categoria di firewall molto più complicata rispetto agli altri. Questo tipo di firewall lavora a livello dell'Internet Protocol dello schema TCP/IP. Il Packet Filter Firewall quando riceve un pacchetto di dati lo compara con una serie di criteri prima di inoltrarlo o di rimandarlo al mittente. A seconda delle regole, il firewall può ignorare i pacchetti di dati, inoltrarli al sistema o rimandarli al mittente. I parametri che solitamente il packet Filter Firewall controlla nell'header del pacchetto sono l'indirizzo IP di origine e destinazione, numero della porta TCP/UDP di origine e destinazione e protocollo usato.
Solitamente i Packet Filter Firewall usano un processo chiamato Network Address Translation (NAT) che permette di reindirizzare correttamente i pacchetti di rete in uscita dal sistema verso internet.

Questo permette di nascondere la struttura della rete interna di una LAN, mascherando il pacchetto uscente come se provenisse da un host differente dal computer mittente della rete interna. Di solito il pacchetto nasconde dunque l'indirizzo ip assegnato al pc nella rete interna e assume l'indirizzo ip della connessione ad Internet.
Il packet Filter Firewall è la scelta migliore perché molto veloce e, proprio grazie a questa velocità e "superficialità" del controllo, non grava sulla connessione di rete e non la rallenta. Non è fondamentalmente legato al sistema operativo ma può essere configurato per funzionare su tutta la LAN, se messo alla fonte della connessione ad Internet.

Quindi per esempio, una e-mail contenente un virus può tranquillamente passare attraverso il firewall, se è consentito il traffico POP/SMTP. Non ha grandi possibilità di gestione dei dati all'interno del pacchetto dati, non prende decisioni in base al contenuto del pacchetto. Tutto ciò si trasforma in mancanza di scalabilità e piena efficienza per controlli approfonditi sulle attività interne alla LAN.

Vantaggi

• Efficienza
• Scalabilità
• Costo di acquisto contenuto

Svantaggi

• impossibilità di updates e di integrazione di nuove tecnologie
• Superficialità della protezione

Firewall Stateful Inspection

I firewall hardware solitamente sono simili ai Packet filter Firewall, in quanto lavorano principalmente con la tecnica del Packet filtering. Possono usare anche un'altra tecnica chiamata Stateful Packet Inspection (SPI).
La SPI permette un controllo non solo dell'header del pacchetto dati, bensì permette anche di analizzarne il contenuto, per catturare più informazioni rispetto ai semplici indirizzi di origine e destinazione. Un firewall che utilizza questo tipo di tecnologia può analizzare lo stato della connessione e compilare le informazioni ottenute su una tabella così le operazioni di filtraggio dei pacchetti sono basate non solo su impostazioni definite dall'amministratore, ma anche sulla base di regole adottate con pacchetti simili scansionati già precedentemente dal firewall. Per il resto, i pregi e i difetti sono sostanzialmente quelli del packet filter firewall e quindi anche questa tipologia di firewall risulta minima in una infrastruttura adeguatamente protetta anche se questi tipi di firewall non rappresentano una soluzione applicabile per controllare tutta la LAN.

Vantaggi

• Affidabilità
• Efficienza
• Scalabilità
• Costi di mantenimento minori
• Costo di acquisto contenuto

Svantaggi

• Impossibilità di updates e di integrazione di nuove tecnologie
• Difficoltà di amministrazione
• Superficialità della protezione

Application Layer Firewall

Questa tipologia di firewall è forse la più evoluta che esiste sul mercato, e viene chiamata in gergo firewall L7 perché è una tipologia di firewall che lavora allo strato numero sette della pila ISO/OSI.
Questa famiglia di firewall, come ho detto precedentemente, è una tipologia particolare perché appartiene ai cosiddetti firewall-proxy di rete perché molto spesso consiste nell’impostare una macchina che colleghi la LAN all’esterno, consentendo solamente i protocolli conosciuti ed installati dall’amministratore, concedendo solamente i tipi di applicativi stabiliti nelle policies aziendali, oltre alle destinazioni verso l’esterno considerate sicure che saranno dichiarate in una lista definita white-list che si contrappone alle black-list che solitamente vengono catalogate per contenuto proibito(per esempio pornografia, warez, erotismo, pubblicità, hacking ecc ecc).

La particolarità di questi firewall proxy è di riuscire ad analizzare tutta l’intestazione applicativa dei pacchetti TCP, e di riuscire ad implementare i controlli dei firewall già descritti, ponendosi non solo come barriera tra una LAN e Internet, ma di riuscire a schermare tutti i client della LAN durante la loro navigazione sul World Wide Web. Questi firewall permettono di proteggere dal pericolo maggiore della navigazione Internet: il contenuto attivo delle pagine WEB, e di poter inoltre prevenire attacchi applicativi come SQL Inejction grazie alla possibilità di integrare degli IDS visto che questi tipi di firewall sono computer dedicati solitamente.

Questo sicuramente è il firewall di rete che ho potuto constatare come il più richiesto dalle aziende di medie dimensioni; dove si necessiti di un controllo e soprattutto di un filtraggio dell’uso delle risorse pubbliche come Internet che viene fatto da dipendenti aziendali.

Vantaggi

• Sicurezza
• Efficienza
• Affidabilità
• Scalabilità
• Possibilità di updates e integrazione di nuove tecnologie di detection

Svantaggi

• Costo
• Difficoltà di amministrazione
• Costi di mantenimento maggiori
• Grosse potenze di calcolo richieste

Introduzione alle Metodologie di Implementazione di un Firewall

Ora che abbiamo descritto le tre grandi tipologie di firewall esistenti, per completare la parte teorica bisogna descrivere le varie tipologie di implementazione dei firewall, perché i firewall possono essere implementati in maniere particolari rendendolo utile oppure il collo di bottiglia della rete da proteggere. Le tipologie di implementazione vengono basate su due tipologie di approccio fondamentale che vengono impostate dall’amministratore:

• Tutto ciò che non è specificato è negato
• Tutto ciò che non è specificato è concesso

Il primo tipo di approccio ha il vantaggio di aumentare la sicurezza, ma lo svantaggio di rendere il firewall meno versatile e di poter creare problemi agli utenti nel caso essi debbano effettuare particolari operazioni che non sono state descritte nelle policies aziendali. La seconda metodologia di approccio è una metodologia che ha come vantaggio quello di essere più versatile verso gli utenti e quindi di richiedere meno modifiche da parte dell’amministratore nel caso i servizi aziendali debbano essere scalati per esigenza. Tuttavia questa metodologia è meno sicura e quindi espone l’infrastruttura a pericoli maggiori nel caso dell’errore informatico più comune e grave: l’errore umano.

Sicuramente la scelta dipende dall’amministratore, anche se solitamente, per evitare problemi futuri derivanti da viste o errori nelle policies aziendali, viene utilizzato un approccio che consiste nel far bloccare al firewall tutto ciò che non è stato specificato nelle sue tabelle di configurazione.

Tipologie di Implementazione dei Firewall di Rete

Firewall come Filtro

Una implementazione del firewall di rete è quella di utilizzarlo come filtro, e forse è una delle funzioni ormai implementate nella maggior parte dei firewall di rete scalabili e dei Persona Firewall evoluti. Questa tipologia di implementazione è spesso considerata come primo punto di una infrastruttura di rete perché permette di sfruttare il NAT e quindi far filtrare qualsiasi connessione al firewall e mascherarla come a nome dello stesso denominando tutta la procedura come transparent firewalling implementato di default nel mondo open-source da sistemi come OpenBSD e FreeBSD.

“ Questa metodologia è oramai richiesta basilarmente nelle medio-grandi realtà aziendali, perché permette di mascherare tutti gli usi fatti di Internet dall’interno verso l’esterno”

“ Questo tipo di firewall è in grado di effettuare un’analisi state full a livello di connessione(quindi del protocollo IP di interconnessione implementato nella suite TCP/IP)”

Firewall come Gateway

Questa metodologia di implementazione del firewall consiste nello sfruttare il firewall come unico punto di accesso verso l’esterno da parte di tutte le N sotto-reti o aree demilitarizzate presenti nell’infrastruttura LAN da proteggere.
Questo accorgimento consiste nel porre il firewall come unico punto di accesso vero l’esterno per la rete, o sotto-rete da proteggere, e ponendo il suo indirizzo IP come indirizzo di gateway su tutti i computer dell’area da esso protetta. In questo caso il firewall avrà N interfacce, cioè N schede di rete o porte ognuna configurata per appartenere alla propria sotto-rete o area di appartenenza che dovrà proteggere.

Guardando la figura qui a fianco come esempio, il firewall che protegge la rete interna avrà due interfacce di rete, una configurata con i parametri di configurazione(Indirizzo IP, Subnet Mask e Gateway) simili a quelli dei client della rete da proteggere; mentre la seconda interfaccia di rete sarà configurata similarmente all’interfaccia esterna alla quale è collegata: cioè alla DMZ alla quale appartengono i server Web e FTP. Il firewall che sta a monte dell’accesso Internet avrà due interfacce di rete: una configurata per appartenere alla DMZ e una che gestirà la zona esterna verso Internet. In casi particolari un firewall potrà avere anche N interfacce ovvero ognuna per ogni sotto-rete che deve interconnettere.

Questa metodologia di implementazione del firewall presuppone che il firewall svolga anche delle funzioni di routing perché dovrà decidere che percorso far fare, ai pacchetti nel caso un computer debba andare fuori dalla propria sotto-rete o area di appartenenza. Spesso questo tipo di firewall viene rappresentato da un computer dedicato, ma non necessariamente perché tutto ciò potrebbe anche essere creato con dispositivi hardware appositi come i firewall hardware PIX della CISCO.

Grazie a questa tecnica ogni firewall non sarà più passivo perché svolgendo funzioni di routing dovrà controllare e instradare tutte le connessioni verso l’esterno e inoltrando le stesse ufficialmente a suo nome tramite la tecnica del natting, e poi eventualmente decidere quali connessioni tenere e quali bloccare. Con questa metodologia potremmo predisporre un’insieme di regole apposite per i client della rete interna che saranno fatte rispettare dal firewall che protegge quell’area, mentre un altro firewall si occuperà delle regole dedicate alla DMZ che saranno ovviamente più specifiche e diverse, sempre riferendoci al caso espresso nella figura sottostante.

“ Questo accorgimento consiste nel porre il firewall come indirizzo di gateway della LAN, cioè della zona che esso dovrà proteggere”

Firewall come estensione della propria LAN

Questa non è una vera e propria tipologia di implementazione di firewall, ma un particolare utilizzo che si può fare di strumenti come un firewall di rete. Questa funzione è molto richiesta da parte di moltissime aziende al giorno d’oggi, ed è una funzione che si ritrova implementabile in sempre più firewall di rete evoluti e che permette la possibilità di gestire le VPN (Virtual Private Network). Una VPN permette di estendere la propria rete LAN verso altre reti private, o stabilite, utilizzando come dorsale una rete pubblica, e quindi intrinsecamente insicura.

E’ proprio per questo motivo che si utilizzano dei firewall di rete per fare queste estensioni delle reti perché essi sono in grado di gestire in maniera più specifica e in maggior misura gli utenti abilitati all’accesso dall’esterno oltre ai consoni e basilari username e password. Un’altra cosa interessante di
questa tipologia di implementazione dei firewall di rete è l’aiuto e l’apporto importante che da la crittografia dei dati che rende così possibile la comunicazione sicura tra due reti private che sfruttano come canale la rete pubblica di Internet che come già detto è intrinsecamente insicura.

Tutto ciò avviene perché i dati trasmessi da una rete privata all'altra vengono automaticamente criptati e decriptati dai firewall che hanno la medesima chiave di crittografia che permette a loro di cifrare e decifrare automaticamente le transazioni appartenenti alla VPN rendendo così la trasmissione sicura in modo trasparente senza che l'utente utilizzatore se ne accorga. La funzione VPN è possibile anche tra la propria rete locale e un singolo computer (un portatile) in Internet ed è sufficiente installare nel portatile un apposito software che si occupi di crittografare / de-crittografare i dati provenienti dal firewall utilizzando la medesima chiave di crittografia. I vantaggi di questa tecnologia sono ovvi, perché essa mette a disposizione diversi vantaggi come:

• Riduzione drastica dei costi per i collegamenti aziendali.
• Maggiore sicurezza nella trasmissione dei dati
• Accesso sicuro da parte di utenti di portatili o di PC collegati tramite Internet alla propria rete aziendale

“ Una VPN, cioè una Virtual Private Network, permette di estendere la propria rete privata verso altre reti private utilizzando come dorsale una rete pubblica e quindi intrinsecamente insicura ”
“ Un’altra cosa interessante di questa tipologia di implementazione dei firewall di rete è l’aiuto, e l’apporto importante che da la crittografia dei dati che rende possibile la comunicazione sicura ”

La realizzazione di questa sintesi si basa sullo studio del testo: "Sistemi operativi" settima edizione di Sliberschatz, Galvin e Gagne, edizione Pearson.

Nelle ordinarie condizioni di funzionamento un processo può servirsi di una risorsa soltanto se rispetta la seguente sequenza: richiesta della risorsa, uso e rilascio.

Una situazione di stallo si genera quando un processo rimane fermo dopo aver inoltrato una richiesta di una risorsa che non viene mai soddisfatta perché la risorsa in questione è occupata da un processo che non riesce a liberarla, ad esempio perché necessita di un’altra risorsa che è in uso proprio dallo stesso processo che ha inoltrato la richiesta. Quindi il primo è bloccato perché necessita di una risorsa in possesso al secondo e non può nemmeno liberare quelle già acquisite e il secondo invece non può liberare la risorsa che serve al primo perché necessita di una che è in uso dal primo e che non può essere rilasciata.

Perché sia possibile il generarsi di uno stallo, si devono verificare contemporaneamente quattro situazioni:
- mutua esclusione, cioè che c’è una risorsa che non è condivisibile e quindi utilizzabile solo da un processo alla volta
- possesso e attesa, un processo in possesso di almeno una risorsa attende di acquisire altre risorse in possesso di altri processi
- impossibilità di prelazione, cioè non c’è il diritto di “rubare” risorse già in uso da altri processi
- attesa circolare, esiste un insieme di processi tali che il primo processo è in attesa di una risorsa posseduta dal secondo, il quale attende una risorsa posseduta dal terzo e così via fino all’ultimo che attende un processo posseduto dal primo.

Grafi di assegnazione delle risorse

Tramite grafi è possibile rappresentare bene le situazioni di stallo. Con i quadrati si rappresentano i tipi di risorse, con i cerchi i processi.
Quando un processo inoltra una richiesta di una risorsa si fa una freccia dal processo alla risorsa, quando invece la risorsa viene assegnata al processo si fa la freccia che parte dalla risorsa al processo.

Gestione degli stalli

Ci sono sostanzialmente tre approcci:
- usare un protocollo per prevenire o evitare gli stalli
- individuazione degli stalli ed esecuzione del ripristino
- ignorare il problema fingendo che non esistano.
Per prevenire gli stalli basta adottare dei sistemi che impediscano il verificarsi di almeno una delle quattro condizioni necessarie per lo stallo; per evitare le situazioni di stallo invece occorre che il sistema operativo abbia in anticipo informazioni aggiuntive riguardanti le risorse che un processo richiederà e userà durante le sue attività.

Sistemi di prevenzione degli stalli

Mutua esclusione

Se non vi saranno risorse assegnate in modo esclusivo ad un processo non vi sarà lo stallo. Una tecnica valida è quella dello Spooling: essa prevede un processo demone (deamon) e una directory di spooling, il processo sarà l’unico ad aver accesso alla risorsa desiderata gli altri processi si limitano a produrre l’output e a metterlo nella directory di spooling, sarà poi il demone a prelevare dalla cartella l’output di un processo e a mandarlo alla risorsa. Questa tecnica però non è utilizzabile con tutti i tipi di risorse, ma è ottima per ad esempio stampanti, email, ftp ...

Possesso e attesa

Due sistemi vanno per la maggiore; il primo impone che un processo prima di andare in esecuzione richieda tutte le risorse di cui ha bisogno e se non ci sono si metta in attesa che siano tutte libere, il problema è che un processo potrebbe rimanere in attesa per troppo tempo; il secondo sistema invece impone che prima della richiesta di una nuova risorsa debba rilasciare temporaneamente quelle che stava usando. Lo svantaggio di queste due tecniche è l’inefficienza con cui sono gestite le risorse, poiché molte risorse potrebbero rimanere non assegnate.

Impossibilità di prelazione

Per saltare questo problema si può adottare questo protocollo: se un processo che possiede già una o più risorse ed inoltra un’altra richiesta che non può essere subito soddisfatta, allora si esercita la prelazione su tutte le risorse attualmente in possesso dal processo.

Attesa circolare

Per questo tipo di problema si da un ordinamento alle risorse (magari secondo priorità), quando un processo inoltra la sua prima richiesta di una risorsa può scegliere quella che vuole, dopo di che potrà scegliere solo le risorse che, in ordine, vengono dopo.

Evitare le situazioni di stallo

I metodi per evitare le situazioni di stallo si basano sul fatto che devono conoscere più informazioni riguardo a come verranno usate le risorse da un processo e come sono attualmente assegnate, con queste informazioni si potrà decidere se assegnare o meno le risorse a chi le chiede.

Stato sicuro

Un sistema si trova in uno stato sicuro solo se esiste una sequenza sicura. Una sequenza di processi si dice sicura per lo stato di assegnazione attuale se, per ogni processo Pi, le richieste che Pi può ancora fare si possono soddisfare impiegando le risorse attualmente disponibili più le risorse possedute da tutti i Pj con j< i.
Se ci si trova in uno stato sicuro non ci potranno essere stalli, sono invece gli stati insicuri che potrebbero condurre agli stalli

Algoritmo del banchiere

Quando si crea un processo, questo deve dichiarare il numero massimo di istanze di ciascun tipo di risorsa di cui necessita (questo numero non può superare il numero totale di risorse del sistema). Quando il processo richiede un gruppo di risorse si deve stabilire se l’assegnazione lasci il sistema in una stato sicuro; in caso affermativo si procede con l’assegnazione, altrimenti si lascia il processo in attesa che si liberi qualche risorsa.

Per realizzare l’algoritmo si ricorre a delle strutture dati che contengono le risorse disponibili, il massimo di istanze che può fare un processo, le risorse già assegnate, la necessità per completare il processo.

In sostanza si assegnano le risorse disponibili a quel processo che terminerà la sua esecuzione se gli dovessero essere assegnate, così appena terminato libererà tutte le risorse rendendo maggiore di prima quelle disponibili

Rilevamento delle situazioni di stallo

Gli algoritmi per rilevare gli stalli sono piuttosto costosi in termine di tempo.
Per le risorse a singola istanza si genera un grafo d’attesa semplicemente cortocircuitando le risorse, in questo modo si troveranno collegati i processi; se si è generato un ciclo allora si è in uno stallo. Per verificare l’esistenza dello stallo periodicamente viene mandato in esecuzione un algoritmo che cerca i cicli nel grafo di attesa; questo algoritmo ha mediamente un costo del tipo N² dove N è il numero di vertici del grafo.

Invece quando sono possibili istanze multiple per lo stesso tipo di risorsa si può usare un algoritmo simile a quello del banchiere.

La frequenza con cui si manda in esecuzione l’algoritmo di rilevazione degli stalli dipende dalla probabilità di deadlock e dal numero di processi in esecuzione.

Ripristino delle situazioni di stallo

Terminazione dei processi

Si può scegliere se: terminare tutti i processi che fanno parte dello stallo, o terminarne uno alla volta finche non si scioglie lo stallo; il problema della terminazione, oltre al fatto che vengono buttati tutti i calcoli fatti fino a quel momento, è che un processo che sta per essere terminato stia aggiornando un file e la sua terminazione potrebbe generare un file corrotto, per questo è molto difficile scegliere il processo da terminare e lo si fa scegliendo quello il cui termine genera il costo minimo; la scelta del processo vittima è fatta seguendo diversi criteri: priorità, tempo trascorso e tempo rimanente, quantità e tipo di risorse usate e di quelle che gli servono per terminare normalmente, numero di processi da eliminare, tipologia di processo.

Prelazione di risorse

Le risorse vengono prese da alcuni processi ed assegnate ad altri finche non si risolve lo stallo, ma vanno prese in considerazioni le seguenti problematiche:
- scegliere quali risorse assegnate a quali processi porre sotto prelazione
- garantire il ripristino sicuro del processo che è stato vittima di prelazione in quanto mancando una risorsa non può continuare in modo corretto
- garantire che non si verifichino situazioni di attesa indefinita.

I sistemi operativi usano soluzioni diverse per diverse classi di risorse di sistema e l’area di swap, ad esempio si usa la prevenzione per le risorse fisiche, la prelazione per la memoria utente, per le risorse ai processi si usa l’evitamento dello stallo ecc

Starvation

E’ una situazione simile a quella del deadlock; un processo non ottiene mai una risorsa di cui ha bisogno perché è detenuta da un altro processo, questa situazione potrebbe generarsi quando la priorità è bassa o la temporizzazione della richiesta della risorsa è errata oppure l’algoritmo di allocazione delle risorse non è efficiente. Una soluzione può essere quella di garantire ad ogni processo una percentuale adeguata di tutte le risorse, oppure aumentare la priorità del processo se questo è in attesa da troppo tempo. Anche un semaforo potrebbe risolvere il problema della starvation.
Fonte

In questi ultimi anni c’è stata “un’esplosione” di Internet e istituzioni e mass media hanno mostrato sempre più frequentemente storie di “fuorilegge” dell’Informatica, riportando notizie di minacce alla sicurezza e inviolabilità della rete eseguite da persone che si sono infiltrate nelle banche dati di governi, banche o altre istituzioni.
In questi articoli gli autori fanno trasparire lo sgomento e la paura davanti a queste “incursioni” evidenziando prevalentemente che rappresentano un pericolo per la società che poggia saldamente le sue istituzioni sui computer, e definendo questa pirateria informatica opera di Hacker

E’ indubbio che Internet sta cambiando e sta affiorando una nuova realtà:
chi è in grado di capire la tecnologia che muove tutto questo o che ha una profonda conoscenza in questo campo e sa come sfruttarla, detiene il controllo, oggi avere accesso alle informazioni significa avere accesso al potere.

E’ questa la preoccupazione più grande per le varie istituzioni, l'impossibilità di controllare queste persone e di regolarne il traffico, di conseguenza c’è tutto l'interesse a mantenere un'opinione pubblica anti-Hacker, per giustificare leggi severe di controllo di Internet, il mezzo che minaccia di togliere l'attuale sicurezza.

Mass media e istituzioni hanno quindi "etichettato" gli Hackers e il mondo dell’underground definendoli pericolosi perchè trascendono le regole e i valori che loro hanno imposto, di conseguenza hanno presentato un’immagine pubblica negativa di questa categoria definendoli dei "criminali".

In poco tempo questo “marchio” è diventato uno status, quando si parla di Hacker si parla di danno, di intrusione e di pirateria, di furto delle informazioni e di identità, però se qualcuno, con tecniche più o meno raffinate o per bravura scopre un difetto in un sistema e lo sfrutta a suo vantaggio o per arrecare danno ad altri, ebbene questa persona NON è un Hacker.

C’è però da tener presente una cosa:
anche in Internet, come nel mondo esterno, ci sono i buoni e i cattivi, i ladri e i poliziotti, i burloni e i cretini, ci sono i saggi, i rivoluzionari , le persone gentili e quelle maleducate, ne consegue che ci sono anche quelli che approfittano della grande quantità di persone che vi accedono ogni giorno per compiere in modo nascosto atti di vandalismo o veri e propri crimini, e vengono definiti Hackers, nossignori, queste persone sono Cracker cosa ben diversa dell’essere Hacker

La parola Hacker porta alla mente, nell'immaginario collettivo, concetti negativi che non sono propri della sua figura reale, un Hacker NON produce virus, NON entra nelle banche dati per motivi illegali, NON ruba il numero della vostra carta di credito, anzi di solito lavora perché queste cose NON accadano.

Quando un Hacker fa un'incursione in un sistema protetto segue un'etica, la ricerca e la divulgazione della conoscenza, dell'informazione, e come abbiamo accennato poco sopra,forse è per questa ragione che tendono ad accomunarli con i criminali, per sviare l'opinione pubblica dal loro vero scopo.
Si parla di pharming e di phishing e quelli che lo fanno sono Hacker; ti fregano la banda larga e sono Hacker, vendono informazioni segrete e si tratta sempre degli Hacker.

In pratica si parla di Hacker e si indica una categoria che in realtà conviene mantenere immersa nel mistero perchè l’Hacker fa comodo al sistema delle vendite. Vediamo di fare luce su questa categoria.

Chi è un Hacker e cosa fa

Un Hacker è una persona al top nel suo campo, conosce i linguaggi di programmazione, esplora un sistema in ogni minimo particolare sempre alla ricerca di bugs, ossia errori nel sistema, che spesso fanno si che possa avere accesso al sistema..
Sono Hacker quelli che hanno scritto il sistema operativo Gnu/Linux, gratuito e libero, sono Hacker coloro che hanno sviluppato la vecchia Arpanet in quella che oggi tutti chiamiamo Internet.

Ricordiamoci, però che non si e’ Hacker solo nel campo informatico, l’hacking deve infatti essere inteso come stile di vita, un modo di essere, non solo come qualcosa di strettamente tecnico. Si può essere Hacker in qualsiasi campo della scienza o dell’arte.

"Il mio unico crimine è la curiosità." : The Mentor (The Hacker's Manifest, 1986)

Io non ho particolari talenti. Sono solo appassionatamente curioso." Albert Einstein, scienziato”

Queste alcune citazioni, una di un “informatico” e l’altra di uno scienziato, ma avrete notato un denominatore comune in queste loro frasi celebri : La curiosità.

Ciò che contraddistingue un Hacker, è il fine per cui compie determinate azioni, la curiosità e la smania di conoscenza ne sono la vera essenza e tutto questo avviene in assoluto silenzio per una propria soddisfazione personale.

Però conoscere equivale a cambiare. Il mondo ha bisogno di gente che vada controcorrente, che apra nuove strade, che ci regali nuove possibilità, l’Hacker intravede percorsi che altri non hanno provato a cercare, purtroppo questo e' un lavoro che si paga sulla propria pelle, che costa fatica e soprattutto che avviene nell'ombra

Quando usiamo un Pc non pensiamo agli Hacker, ma non dobbiamo dimenticare che dietro ad ogni messaggio di posta elettronica che inviamo, dietro ad ogni connessione alla rete c’è il lavoro di un pugno di persone anonime che hanno voluto sperimentare, se quello che abbiamo ora è abbastanza evoluto lo dobbiamo al loro lavoro sia che abbiano voluto cimentarsi con tecniche legali o illegali, a seconda del periodo storico, ma a loro dobbiamo gratitudine.

Se oggi possiamo vivere la Rete e incontrare al suo interno persone “particolari” , non lo dobbiamo certamente a Microsoft, o a qualche grande Software House, ma agli Hacker

E’ forse plausibile la ghettizzazione del loro appellativo a “Pirata Informatico” per il solo fatto di aver passato tante notti insonni, tante ore di esperimenti, che hanno contribuito a costruire la Rete, ci hanno messo qualcosa di loro, della propria vita e del proprio tempo.
Ma una domanda ora sorge spontanea : Cosa rimane dopo il passaggio di un Hacker ?

La risposta è molto semplice, vengono evidenziati i bugs che affliggono i sistemi visitati, alcuni amministratori di sistema fanno più esperienza e imparano certi concetti di sicurezza finora ignoti e anche i grandi produttori di software per la difesa del sistema guadagnano, così come i vari consulenti in materia di sicurezza informatica.
In sostanza si aprono nuove porte, nuovi mercati e si cercano nuove soluzioni a problemi tecnici e spesso si inventano strumenti che dopo poco tempo diventano indispensabili per tutti.
E questi sarebbero i “Pirati Informatici” che tanto temiamo?

Ci siamo già dimenticati del caso Sony e del rootkit che allegava nei sui DRM? Però l’Hacker è un criminale, sembra strano che ingegneri informatici e tecnici superpagati dalle varie case costruttrici non si siano accorti di niente.

“…..Una casuale scoperta ha portato alla luce tutti i dettagli di quello che può essere considerato un vero e proprio rootkit, ovvero un gruppo di tool che agisce, all'oscuro dell'utente, nei meandri del sistema operativo…”

Così esordisce Marco Giuliani in un suo articolo su Hardware Upgrade quando ha reso pubblica la scoperta fatta da Mark Russinovich però per l’opinione pubblica il vero pericolo sono gli Hacker.

Ma quando si spengono i modem i veri protagonisti rimangono nell'ombra, gli artigiani dell'informatica perdono di interesse, fino a quando …… una come me non prova a far parlare uno di loro, a dargli lo spazio di raccontare la sua storia, quello che ha fatto e come lo ha fatto.

Ha accettato di partecipare a questo articolo King-Lion Admin di Eurohackers Team con lui affronteremo altre tematiche, conosceremo da vicino un Hacker, come agisce, che tecniche usa e in “contrapposizione” sentiremo anche Alessandro Recchia (aka Erreale) admin di Pianeta Pc e betatester della Agnitum.esperto di sicurezza informatica . Insomma ci aspetta un bel dialogo

La programmazione strumento di attacco e di difesa

Finora abbiamo visto la filosofia dell’essere Hacker, l’atteggiamento e l'attitudine, ma le capacità sono fondamentali , il pensiero non sostituisce la competenza, e c'è un insieme di capacità basilari che bisogna avere prima di poter pensare di essere Hacker.
Naturalmente conoscere vari linguaggi di programmazione è la capacità fondamentale per un Hacker, ma a questo punto lascio la parola a King-Lion

Alex: King puoi illustrarci che valore ha la programmazione e quali linguaggi è meglio conoscere?
King-Lion : Per poter trovare dei bugs in un programma o scrivere un exploit per sfruttare qualche falla bisogna studiarne il codice sorgente di conseguenza conoscere vari linguaggi di programmazione è essenziale.

Alex : Quali linguaggi è meglio conoscere
King-Lion : Io ritengo che per iniziarsi all'hacking al giorno d'oggi sono due i linguaggi di programmazione fondamentali da apprendere, il Php e Sql.

Alex : Perché proprio quelli?
King-Lion: Ormai tutto il web è dinamico, difficilmente incontreremo dei siti web statici, come hai accennato un hacker svolge gran parte del suo lavoro come bug hunter, cioè va alla ricerca di bugs all'interno di strutture web.
Possiamo dunque dire che il 65% delle strutture sono in php, 15% html e 20% in altri linguaggi come asp, di conseguenza conoscere il Php è fondamentale per iniziare e la combinazione tra Php e Sql a mio parere è un'ottima "arma" nelle mani di aspiranti hacker.
Naturalmente ci sono altri linguaggi di programmazione da conoscere come il Perl e il C/C++ indispensabili per la creazione della maggior parte degli exploit.

Alex : Ho capito come sia importante conoscere il php... ma l'Sql? Perche e importante conoscerlo?
King-Lion : Il php essendo un linguaggio dinamico, cosi come l'asp si "appoggia" su un database (Sql).

Alex: Si ma …..come funziona la combinazione tra php ed sql?
King-Lion : Se abbiamo un sito in php che poggia su un database Sql (85% dei casi), nel database è racchiusa una query del tipo:

INSERT INTO `tabella_database` VALUES (1, 'admin', 'password', 'admin@sito.it', 'altre info);

Richiamando dunque la pagina che si poggia su quella tabella del database ad esempio:

sito.it/pagina.php?id=1

otterremo come risultato che il database ci risponde con le informazioni pre-impostate dalla pagina php

( $query = "SELECT * FROM utenti WHERE id = ".$_GET['id'].""; )
SELECT * FROM utenti WHERE id = 1
Username: admin
Info: amministratore del sito.

Dunque un hacker, o anche un programmatore che conosce bene il linguaggio mysql potrebbe richiedere al sito di darci invece che le informazioni pre-impostate dalla pagina php, altre informazioni, come la password e la email, che sono sempre presenti nel database, con un semplice comando.

-1 UNION SELECT 0,pass,0,0,email FROM utenti WHERE id=1

Ossia in pratica abbiamo chiesto al dabase mediante URL di fornirci soltanto la password e l'email dell'utente con id 1 (solitamente l'admin), gli 0 invece stanno ad indicare che quei capi non ci interessano e che si possono escludere.
Dunque da ciò si ottiene che una buona conoscenza di linguaggi di programmazione come Sql e Php risultano indispensabili agli aspiranti hackers!

Da quanto appena citato da King-Lion si evidenzia come sia indispensabile proteggersi, ultimamente leggo in vari forum come sia indispensabile dotare il sistema di software anti-intrusione come i Firewall, gli Hips o gli IDS, su questo argomento sentiamo il parere di Alessandro Recchia

Alex : Alessandro ci esponi il tuo punto di vista in merito?
Erreale : L’installazione, la configurazione e l’uso di un firewall è senza dubbio fondamentale per proteggere un sistema informatico, indipendentemente dal fatto che ci si trovi di fronte ad un’unica postazione o ad una grossa rete costituita da svariate postazioni.

Oggi ci sono firewall software, molti dei quali anche gratuiti, che hanno raggiunto un livello di qualità e controllo del sistema davvero molto buono. Alcuni integrano anche soluzioni Hips e/o motori anti-virus e anti-spyware

Alex : Ma allora se questi ottimi prodotti “all in one” sono così validi, perché su tantissimi forum si trovano svariati post di utenti alle prese con intrusioni informatiche o malware?
Erreale : A mio avviso la situazione è allarmante. Ormai gli utenti medi si sono talmente adagiati sul fatto di avere installato sulla propria macchina l’ultima suite “anti-tutto” che hanno dimenticato, o ancor peggio non hanno mai considerato un aspetto fondamentale: la prevenzione.

Windows, come qualsiasi altro sistema operativo, è molto complesso e delicato. Senza le opportune configurazioni o personalizzazioni non possiamo affermare di avere un totale controllo della nostra macchina. Pensare di essere al sicuro solo perché si è installato l’ultimo ritrovato nel campo degli Hips o dei firewall è come pensare di essere al sicuro nella nostra abitazione solo perché abbiamo installato l’ultimo tipo di porta blindata in commercio, senza aver irrobustito anche le finestre o le pareti di cartapesta che ci circondano.

Se fossi un ladro perché dovrei faticare a scardinare una porta di duecento chili, quando con una spallata potrei tranquillamente sfondare il muro esterno nel retro dell’abitazione? E che succederebbe se la nostra amatissima porta blindata avesse un difetto di progettazione? O se venisse scoperto che grazie ad un bug la si può aprire con un cotton fioc?

La sicurezza è forte quanto l'anello più debole della catena che la costituisce e poco può un firewall, per quanto configurato, se una macchina è un colabrodo di suo.

Alex : Cosa dobbiamo fare per avere un minimo di sicurezza?
Erreale : Come prima cosa iniziamo a non usare l’account amministratore per accedere alla macchina e tanto meno ad internet. Creiamo quindi un utente con poteri limitati (user). L’uso di un’utente di questo tipo elimina un buon 50% dei fastidi provocati da virus, spyware e exploit in rete. L’uso di questa politica è alla base della tanto acclamata sicurezza dei sistemi Linux, ad esempio.

E poi aggiornare, aggiornare e ancora aggiornare, il sistema
L’aggiornamento del sistema con le ultime patch e fix rilasciate da Microsoft è essenziale.

Il secondo martedì del mese, Microsoft rilascia i suoi bollettini di sicurezza e le relative patch che vanno a correggere le relative falle. Troppo spesso ho visto persone dormire sonni tranquilli solo per la presenza del firewall e dei suoi continui popup che avvertivano dell’intrusione bloccata senza che queste persone capissero l’importanza di un sistema aggiornato.
Le intrusioni avvengono negli ultimi tempi soprattutto con lo sfruttamento di falle non aggiornate dagli utenti, ed in questo caso il firewall non può fare nulla. Gromozon ci dovrebbe aver insegnato qualcosa!! L’infezione da Gromozon si è diffusa tanto velocemente anche perché venivano sfruttate 5/6 falle nei sistemi Windows, falle per le quali erano già state rilasciate le patch mesi prima. Evidentemente gli utenti infetti avevano ritenuto di essere al sicuro dietro al loro “fiammante” firewall da 70$ di licenza. Nulla di più sbagliato.

Alex : Che altro possiamo fare per aumentare il livello di sicurezza?
Erreale : Eliminiamo i servizi superflui. Windows carica un’enorme mole di servizi. E’ normale che sia così. Windows, essendo “dedicato” ad un pubblico eterogeneo di utilizzatori, ha previsto l’avvio automatico di svariati servizi per andare in contro ai più svariati usi. Tali servizi sono nella maggior parte dei casi inutili per un utilizzo casalingo. Nel mio pc con XP SP2 connesso 24 ore su 24 alla rete con router ho ridotto il numero di servizi in avvio automatico a 9, compreso quello del firewall e dell’antivirus, in confronto alla trentina che di default invece si avviano. Meno servizi, meno porte aperte verso l’esterno. Minor numero di porte aperte, minor possibilità di offrire il fianco a possibili attacchi. Senza considerare che eliminando servizi superflui il vostro sistema ne gioverà anche in termini di prestazioni.

Alex : Qualcosa di più tecnico ?
Erreale : Utilizzare le aree di sicurezza di Internet Explorer per negare l’uso di ActiveX e Javascript ai siti non fidati. Negli ultimi tempi la maggior parte dei malware e degli exploit hanno utilizzato i controlli ActiveX e Javascript per diffondersi. Browser alternativi come Firefox e Opera sono più sicuri anche perché impossibilitati ad eseguire codice ActiveX.

Usare le GPO. Le Group Policy, conosciute anche come Criteri di Gruppo, sono uno strumento molto potente per la configurazione e gestione del sistema. E’ possibile configurare ogni aspetto del funzionamento dei computer connessi alla rete.

Alex : Quello che hai proposto è un hardening del sistema, perché tutto questo?
Erreale : Perché la sicurezza va ricercata per gradi e deve comprendere vari aspetti del sistema. Un sistema configurato correttamente e dotato di un buon firewall diventa estremamente difficile da perforare. Configurare il sistema agendo come detto su più fronti consente di ridurre enormemente la superficie di attacco di una possibile intrusione. Se poi a questo aggiungiamo un buon Hips, beh…si può tranquillamente affermare di avere un sistema ben protetto.

Alex : Molti consigliano di usare il firewall di Windows, tu che ne pensi?
Erreale : Indubbiamente ha dei limiti. Limiti che sono stati migliorati nel firewall implementato in Vista. Il fatto di aver inserito un firewall, seppur semplice, nelle versioni da XP in poi è comunque un punto a favore di Microsoft. Meglio un firewall semplice che non averlo.

Alex : Quale abbinata di software di difesa consigli?
Erreale : Non esiste il software perfetto per tutti. Ogni persona è diversa. C’è chi preferisce avere un prodotto semplice, magari dotato di auto-configurazione e che non assilli ogni 2 secondi con allarmi e popup, C’è chi invece, come il sottoscritto, avere un prodotto robusto, altamente configurabile e che arrivi al controllo del più piccolo dettaglio.
E’ vero, questo ultimo tipo di prodotti richiedono uno sforzo iniziale di configurazione ed apprendimento, ma una volta conclusa la fase di learning un prodotto come questo ripaga degli sforzi profusi, con un livello di sicurezza di primo livello. In linea di massima diciamo che comunque non dovrebbero mancare un antivirus, un firewall ed un Hips, e senza voler essere ripetitivo anche un buon sistema hardenizzato.

Alex : Ho letto che una macchina hardenizzata è destinata ad utente esperto, tu che ne pensi?
Erreale : Come ogni discorso credo non possa essere preso così com'è in maniera assoluta...
Mi spiego meglio. Forse è il concetto stesso di hardenizzazione che andrebbe chiarito. Ovvio che un utente alle prime armi troverà il percorso che porta all’irrobustimento dell’intero sistema un po’ più ostico rispetto ad un utente che lavora sul pc da tempo. Ritengo però che sia fondamentale far capire a chiunque l’importanza che riveste un sistema personalizzato in questo modo. Ogni sistema degno di tale nome e che voglia assicurare una certa affidabilità/sicurezza deve essere gestito in sicurezza, quindi essere hardenizzato....

Alex : Ma cosa intendi per hardening?
Erreale : E’ un processo preposto alla riduzione della possibile superficie di attacco. Durante le operazione di irrobustimento si crea un utente con privilegi ridotti, si disabilitano servizi superflui, si disabilitano alcuni ActiveX che potrebbero essere utilizzati per exploit e infezioni. Si configurano le zone di sicurezza, compresa una quinta zona invisibile denominata Local Machine Zone (My Computer). Si possono disabilitare estensioni di scripting che potrebbero essere potenzialmente pericolose, come: WFS, VBE, JSE, VBS. Si possono rendere invisibili le Administrative shares, ovvero le condivisioni destinate all'amministrazione del sistema.

In ultimo si può agire sulle GPO e sul registro di sistema per hardenizzare lo stack TCP. Lo stack TCP/IP è il responsabile del trasporto di pacchetti di dati da una sorgente (identificata da un indirizzo IP) ad una destinazione (identificata da un altro indirizzo IP).
Se necessario, questo livello del protocollo si occupa di spezzettare i pacchetti troppo grandi in pacchetti di dimensione adatta alla rete da utilizzare.
Sostanzialmente tutte le applicazioni che fanno uso di Internet e tutte le applicazioni tradizionali che si riferiscono a LAN utilizzano IP, benché teoricamente siano possibili altre soluzioni.
Il protocollo IP è per impostazione predefinita privo di protezione, ma con l'uso e la configurazione di vari parametri nel registro di Windows è possibile portare benefici alla protezione della rete da attacchi di tipo Denial of Service, inclusi attacchi SYS, ICMP e SNMP. Le chiavi del Registro di sistema possono essere configurate per:

-Attivare la protezione dagli attacchi di tipo SYN quando viene rilevato un attacco
-Impostare valori limite utilizzati per determinare ciò che costituisce un attacco.

Riassumendo, l'hardening di una macchina di un utente esperto sarà un processo molto restrittivo, mentre quello di una macchina applicativa in una zona "sicura" sarà evidentemente meno restrittivo sulla libertà di movimento dell'applicativo specifico

Alex : Meno restrittivo equivale a meno sicuro?
Erreale : Dipende dal contesto. Meno restrittivo significa concedere al sistema e alle applicazioni installate, firewall compreso, maggiore spazio di lavoro. Anche un firewall, infatti, può essere configurato in maniera più o meno restrittiva. Generalmente i firewall moderni sono in grado di auto configurarsi. L’auto configurazione proposta dal firewall è meno restrittiva di quella che potrebbe creare un utente, proprio perché il firewall “non sa” a quale tipo di utenza è rivolta la configurazione e di conseguenza deve aprire un maggior numero di porte. Facciamo qualche esempio….in fase di auto configurazione aprirà per il browser le porte 80, 443, 20, 21, 8080, 8088 e 3128, mentre il setup che può fare un utente dipenderà dall’uso che questo farà del browser. Generalmente è necessario aprire le sole porte 80 e 443.

Per rispondere alla tua domanda.. un Sistema ben hardenizzato è quello in cui l'utente può fare solo quello che deve fare .. e può farlo senza rendersi conto di tale restrizione (se non nel caso in cui tenti di violarla, ovviamente)

Altro aspetto importante relativo alla sicurezza sono i nostri indirizzi di posta, negli ultimi tempi c’è un’invasione di spam e phishing che possono eludere le nostre protezioni con varie tecniche e entrare o addirittura rubarci l’account di posta. Come possiamo proteggersi di fronte a queste insidie?

Alex : Come possiamo proteggerci dallo spam?
King-Lion : Per mettere al riparo gli indirizzi di posta dallo spam basta seguire alcune semplici e piccole regole.
mai fornire pubblicamente la propria email, su forum o blog, esistono dei bot che scandagliano le pagine web mondiali alla ricerca di indirizzi mail, che salvano e rinchiudono in un proprio database.

Se proprio non possiamo fare a meno di fornire la nostra email, possiamo usare il supporto delle immagini inserendo ad esempio una gif jpg png o altro con la nostra email, (come quella che ho visto nel tuo blog Alex), in questo modo non sarà tracciabile dal bot.
Inoltre è meglio usare dei client di posta che hanno il filtraggio delle email, cioè che in automatico riconoscono se non tutte, gran parte delle mail spazzatura.

Alex : Tu Alessandro come la pensi?
Erreale : La protezione degli account di posta e del relativo client è importante tanto quella della protezione e dell’irrobustimento del browser e delle sue impostazioni. I malware (worm, trojan o virus) hanno da sempre utilizzato la posta elettronica per diffondersi.
In effetti è un sistema veloce e sicuro per infettare quanti più sistemi possibili. Le raccomandazioni per la difesa degli account di posta vanno dalle più semplici, e forse perché scontate, non messe in atto, a quelle più tecniche.

A parte i vari malware che possono arrivare attraverso la posta elettronica esiste un fenomeno sempre più in voga e che spesso si associa, lavorando in sinergia, con i malware o il phishing: lo spam!

Secondo alcune stime ufficiali si è raggiunta la percentuale record di spam circolante pari al 92%. Ovvero 9 mail su 10 sono spam! C’è da dire che molto spesso una buona percentuale di queste mail viene già filtrata dai server dell’ISP, con la conseguenza che gli utenti percepiscono una minore percentuale di spam rispetto a quello effettivamente circolante nella rete.

Abbiamo detto che una buona percentuale è filtrata a monte. E quella non filtrata? Beh...quella…la ritrovate puntualmente, tutti i giorni nelle vostre caselle di posta.

Alex : Ma allora che facciamo?
Erreale : Per combattere, o ancor meglio prevenire il fenomeno spam ci sono molte cose che un utente può fare.
-Evitare di diffondere ai 4 venti il proprio indirizzo di posta.
Molti siti richiedono in fase di registrazione l’inserimento della casella di posta. Se pensiamo di registrarci ad un sito sicuro e nel quale pensiamo di accedervi spesso anche in futuro possiamo tranquillamente inserire i nostri dati.
Se invece ci stiamo registrando ad un servizio del quale non si hanno informazioni sulla “rispettabilità” o magari ci interessa iscriversi su un sito temporaneamente, beh…in quel caso sarebbe opportuno usare i vari servizi di email usa e getta che si possono trovare in rete. Alcuni di questi servizi possono creare email che si “autodistruggono” con tempi variabili da pochi minuti a qualche ora.

Alex : Puoi fare un esempio con qualche client di posta?
Erreale : Per esempio Outlook Express consente di scegliere in quale area collocare la posta in arrivo: nell'area Internet o nell'area siti con restrizioni. La scelta dell'area dipende dalla pericolosità attribuita al contenuto attivo, come ad esempio controlli e script ActiveX e applicazioni Java, rispetto alla possibilità di visualizzare il contenuto nel proprio computer. Per ogni area, inoltre, è possibile impostare un livello di protezione Alto, Medio, Basso o Personalizzato.

Per modificare le impostazioni delle aree di protezione di Outlook Express, selezionare il menu Strumenti selezionare Opzioni e quindi la scheda Protezione (Nota: se si modificano le impostazioni per l'area Internet o l'area Siti con restrizioni, saranno modificate anche le impostazioni per Internet Explorer e vice versa.)

Impostare il client di posta in questo modo corrisponde a navigare con il browser con l’area siti con restrizioni al massimo della sicurezza. Una mail con il client così impostato non sarà in grado di eseguire contenuti attivi: javascript, applet java, activex ecc ecc

Ultima raccomandazione: non leggere le email in formato html, ma solo in formato testo

Alex : Abbiamo accennato al Phishing, come possiamo difenderci?
King-Lion : Il Phishing è la tecnica più usata nel web, ma anche la più vecchia. Tale tecnica può essere sfruttata in molteplici modi, anche Online, telefonicamente dal vivo.

I consigli per difendersi dal phishing online sono tre:
1) disabilitare i javascript dal proprio browser di navigazione
2) controllare sempre gli url su cui facciamo i login
3) ricordarsi che nessun provider chiederà mai i vostri dati di autentificazione, in quanto possono reperirli dal loro database.

Difendersi dal phing telefonicamente e molto più semplice, basta ricordare che nessun provider, potrà mai agire in modo ufficioso, ma solo ufficiale.
Quindi se venite contattati da qualcuno spacciandosi ad esempio per la polizia postale, dategli poco conto, perchè non possono fare nulla per telefono, ma dovete attendere al vostro domicilio un documento ufficiale, come una convocazione o una querela/denuncia.

Molto più rari sono infine i casi di phishing in cui un individuo si presenta faccia a faccia con voi.
In tal caso parliamo più che altro di ingegneria sociale, e l'unico consiglio che posso darvi e quello di chiedere sempre i documenti, ed accertarvi sempre che quel determinato funzionario lavori realmente dove egli ha specificato, magari con una telefonata al suo ufficio

Alex : Quale software aggiuntivo possiamo installare per aumentare il livello di sicurezza?
Erreale : Un HIPS ovvero Host Intrusion Prevention System sono programmi completamente dedicati al controllo delle attività, dei processi e delle applicazioni che si attivano via via in un pc.

Alex : Che funzioni ha un HIPS e come si comporta?
Erreale : Un HIPS mantiene costantemente un controllo pressoché completo su tutte le funzioni e i processi di un sistema, sia nel complesso che nella loro particolarità: consente il controllo di ogni singola applicazione e la possibilità di definire divieti, autorizzazioni, funzioni di protezione e controllo individuali e particolari in rapporto all'accesso alla memoria fisica, al livello profondo del sistema, al livello basso della tastiera, alle DLL.

Controlla e nello stesso tempo permette di creare regole sia per ogni singola applicazione che per l'interazione che questa può avere o deve avere o non avere con altri servizi, processi e funzioni del sistema. In questa maniera assicura una doppia protezione particolareggiata, passiva rispetto a intrusioni esterne e anche attiva con la possibilità di creare regole ancora più ristrette per specie di applicazioni e per singole applicazioni.

Alex : Da come lo descrivi sembra destinato a utenti avanzati, com’è la sua configurazione?
Erreale : Come nel caso dei firewall, anche nell'ambiente degli HIPS si possono trovare prodotti più o meno ostici da configurare. Esistono Hips con funzioni di analisi comportamentale preimpostate e che non richiedono complicate azioni di setup.
Ci sono Hips che invece non hanno regole preimpostate e che demandano completamente all'utente finale le decisioni da prendere in caso di allert. Indipendentemente dal tipo di Hips, questi prodotti si sono rilevati fondamentali in un'ottica di difesa stratificata. Test indipendenti hanno dimostrato come questi programmi, opportunamente istruiti dall'utente, siano stati in grado di respingere attacchi di nuovi virus, trojan o rootkit, ancor prima che le software house produttrici i software antivirus avessero rilasciato firme virali adeguate."

Conclusioni

Abbiamo iniziato con la chiarificazione del termine Hacker, dal punto di vista storico – filosofico e penso sia stata chiarita anche la loro posizione rispetto ad un uso improprio di tale termine che è sempre stato usato, abbiamo inoltre sentito un loro esponente King-Lion e ci ha mostrato come sia abbastanza vulnerabile il nostro sistema per un esperto di programmazione.

Al tempo stesso ho percepito anche una grande “speranza” che ci ha trasmesso Erreale nel proteggere il nostro sistema, è vero che la vulnerabilità esiste, ma è anche vero che esistono i rimedi, di questo dobbiamo esserne consapevoli, ma soprattutto quello che di fondo ho visto crescere in questo dibattito è che la più grande difesa che possiamo adottare è la Cultura Informatica.

Io credo che sentendo le opposte fazioni la prima e più grande arma che possiamo adottare sia proprio quella, non dobbiamo fermarci al solito detto “a chi vuoi che interessi il mio Pc” o nasconderci dietro una finta sicurezza perché abbiamo installato l’ultima Suite “Anti – Tutto”. La sicurezza và costruita un po’ alla volta, dotando il nostro sistema dei software adeguati che abbiamo discusso in questo articolo, aggiornando il sistema e usando prudenza, il termine giusto sarebbe “stratificata”, cioè agendo per strati dal livello applicativo più alto fino a quello più basso, con le giuste configurazioni e usando un po’ di curiosità in quello che non si conosce.

E’ certamente con la passione e la curiosità che si può accrescere la cultura informatica, essere sempre informati delle patch emesse e seguire tutti i consigli che vi abbiamo esposto.

Ringrazio King-Lion e Alessandro Recchia per essere intervenuti in questo articolo e anche Marco Giuliani, che per impellenti motivi di lavoro non ha potuto partecipare a questo dibattito, ma che sicuramente parteciperà nel prossimo articolo in cui tratteremo nello specifico le configurazioni da adottare e come effettuarle .

Abbiamo parlato tempo addietro di Mpack e di come migliaia di siti web italiani siano rimasti vittima di un attacco sferrato secondo modalità ancora sconosciute. Ciò che è interessante è che, come già visto su queste pagine, l’attacco ad Aruba non è stato il primo ma almeno altri due hosting provider sono caduti vittima di attacker, i quali hanno iniettato codice malevolo all’interno dei siti ivi ospitati.
Il trend degli ultimi mesi sembra sia questo: compromettere i siti web iniettando codice malevolo. Cosa, dunque, riguardo una delle regole più vecchie riguardo la sicurezza online: “non navigare in siti sconosciuti, solo se navighi su pagine conosciute e sicure sei salvo“? Ok, diciamo che questa regola al momento può essere oggetto di alcune critiche.

Siti web ben noti e affidabili sono stati compromessi, un esempio è il sito web ufficiale di una famosa cantante italiana o, fatto di questi giorni, un famoso sito che approfondisce l’argomento rootkit.

Il punto comune è sempre il solito: il codice malevolo redirige a siti web contenenti una serie di script utilizzati per tentare exploit al fine di trasmettere malware all’interno dei sistemi vittima.

Oltre a compromettere direttamente i siti web, si era diffusa un’altra moda: la creazione di pagine web fittizie ben indicizzate dai motori di ricerca in modo tale che potessero apparire praticamente in ogni ricerca fatta dagli utenti. Poi, dalle pagine web fittizie, si arriva - come detto sopra - a siti web contenenti exploit.

Moda quest’ultima ben conosciuta dagli utenti italiani e, in generale, dall’intera utenza mondiale. È stato il vettore principale di infezione del rootkit Gromozon, è stato il vettore principale di infezione del rootkit DialCall.

Riconoscere quest’ultima infezione era ed è relativamente facile perché fa spesso riferimento allo stesso range di IP. Un’infezione particolarmente dannosa perché spesso installava nei pc attaccati il rootkit Rustock, la cui routine di spam ha preso parte attiva al sovraccarico dell’intera Internet italiana.

Ora abbiamo visto che le vecchie abitudini si sono unite alle nuove, cioè siti web compromessi che reindirizzano ad un’infezione Rootkit.DialCall.

Il sito web della famosissima cantante italiana Carmen Consoli è stato infatti compromesso ed è stato inserito nella home page un iframe che punta ad un sito web esterno.

Dopo che il sistema, non correttamente aggiornato in termini di sistema operativo e software, è stato attaccato con successo, un eseguibile con nome casuale viene installato nel sistema. Una volta eseguito, il malware si copia all’interno della directory di Windows come svchost.exe (attenzione, il malware si trova all’interno di ?:\WINDOWS\ e non all’interno di ?:\WINDOWS\SYSTEM32; quest’ultima, infatti, contiene la copia legale del file svchost.exe di Microsoft). Un’altra dll viene installata nella directory di Windows, denominata svchost.dll, con funzioni di rootkit user mode. Il codice della dll viene iniettato nei processi attivi in modo tale che il processo svchost.exe e alcune chiavi di registro siano nascoste.

Gli hook vengono effettuati attraverso la tecnica dell’inline hooking, modificando i primi bytes della funzione all’interno di ntdll.dll e inserendo l’istruzione push insieme all’indirizzo che punta al codice del rootkit. Le funzioni intercettate sono ZwQuerySystemInformation, ZwEnumerateKey, ZwEnumerateValueKey.

Svchost.exe, immediatamente dopo, tenta di scaricare dallo stesso indirizzo IP usato dall’iframe un altro file. Il file, con estensione .txt, è in realtà un file criptato che contiene informazioni utili al malware per scaricare altre componenti dell’infezione. Una volta decodificato, il malware ottiene dal file gli indirizzi corretti.

Pa_0111.exe è un dialer studiato appositamente per il traffico italiano, prova infatti ad effettuare chiamate verso numeri a pagamento con prefisso 899. La società assegnataria del numero di telefono è Teleunit S.p.A. Se il dialer trova un modem 56k crea una connessione denominata Service e una messagebox potrebbe comparire se la connessione non viene effettuata correttamente. Altrimenti, il dialer apre una pagina web a sfondo sessuale dove le persone sono invitate a chiamare un numero 899 per ottenere le credenziali di accesso.

Spoolsv32.exe mesi fa era utilizzato per installare il rootkit Rustock nel sistema ma, saltuariamente, installava un adware come BHO (Browser Helper Object). È quest’ultimo il caso attuale, un adware viene installato come BHO all’interno della chiave di registro:

HKEY_CURRENT_USER\clsid\{58fb2cbb-c874-45fc-a1c9-b62cc9e3bed9}

Al momento tutte le componenti di questa infezione sono individuate e rimosse da Prevx 2.0. Tuttavia questa tipologia di attacco è ben conosciuta da mesi, soprattutto in Italia, ed è particolarmente variabile. I laboratori di ricerca Prevx hanno registrato diverse varianti di questa infezione, varianti che utilizzano spesso nomi differenti e leggere modifiche del codice.

Abbiamo contattato lo staff del sito web attaccato e, al momento della stesura di questo articolo, l’iframe era ancora presente. Essendo una cantante famosa, considerando quanta gente navighi ancora in Internet senza le adeguate protezioni e senza software aggiornati ma, soprattutto, quanta gente non abbia ancora una connessione a banda larga, i danni di questa infezione possono essere, parlando in termini di denaro, particolarmente evidenti.

In generale, tuttavia, è interessante vedere come l’Italia sia sempre più considerata come una palestra di allenamento per attacker informatici. Diversi hosting provider sono stati attaccati, migliaia di siti web sono stati modificati - inclusi siti web di due famosi cantanti italiani. Sembrerebbe che qualcosa dal punto di vista della sicurezza debba essere rivisto da chi offre un servizio, siano essi hosting provider o semplici webmaster che si dilettano nel mettere online propri server.

Nel caso di un attacco quale quello sopra descritto, non si tratta più di un problema esclusivo dell’hoster o del webmaster che si è visto compromettere il proprio lavoro, diventa un problema reale per ogni utente del web, il quale è sicuro di navigare in un posto sicuro ma rischia di vedere il proprio pc infettato da qualche malware.

Siete sicuri che il vostro sito web non sia infetto?

Fonte : Pc al Sicuro

1) Chiudere tutte le applicazioni

2) Visualizzare file nascosti e di sistema
da Risorse del computer > Strumenti > Opzioni Cartella > Seleziona “Visualizzazione”
Spunta “mostra file e cartelle nascoste” e togli la spunta da “nascondi file protetti di sistema" Premi su “Applica” e poi premi “Ok”

3) Disattiva il ripristino di sistema
Start > Impostazioni > Pannello di controllo > Sistema > Seleziona “Ripristino di sistema”
Metti la spunta alla voce “Disattiva ripristino di sistema”, premi “Applica” e poi Ok.

a questo punto aggiornate il vostro antivurus e eventuali software di difesa ed effettuate una scansione approffondita del sistema, Fatto questo è meglio verificare con qualche altro software che il nostro sistema sia veramente pulito. Consigliare l’uso di un software rispetto ad un'altro è una cosa al quanto "soggettiva", in questo caso è solo frutto dell'esperienza acquisita e testando la effettive capacità dei singoli software nello svolgere il loro compito, sopratutto tenendo in considerazione che alla data in cui si scrive le nuove tecnologie che usano le applicazioni maligne si sono notevolmente evolute.

Dopo aver effettuato le scansioni con i vostri software scaricate ATF Cleaner (al link trovate download e guida), lanciatelo e ripulite il sistema da tutti i file tmp, temp etcc... inutili, scaricate ora Ewido (vecchia versione), aggiornatelo e fate una scansione approffondita di tutti i file, settandolo su "Delete" come azione da intraprendere in caso di rilevamento di file nocivi.

Con queste operazioni in caso di infezioni "normali" abbiamo eseguito un efficace controllo del Sistema, però a volte possiamo trovarci di fronte a infezioni che non vengono rilevate e rimosse, perchè hanno la particolarità di nascondersi e ricrearsi al riavvio, queste applicazioni si chiamano Rootkit. In questi casi ha riportato ottimi risultati scansioni effettuate conVirit, scaricatelo dal link, aggiornatelo e lanciate una scansione dalla modalità provvisoria

4) Riavvia in modalità provvisoria
Riavvia il computer e subito dopo il calcolo della RAM e prima che inizi a caricarsi Windows, inizia a premere ripetutamente il tasto F8 sulla tastiera. Continua a farlo fino a visualizzare il menu Opzioni avanzate di Windows. Usando i tasti freccia sulla tastiera, scorri le opzioni e seleziona il menu “Modalità Provvisoria”, quindi premi Invio

Se questa operazione non riesce è possibile eseguirla anche in questo modo:
Start > Esegui e nel box che appare digita msconfig e dai Invio.
Nella finestra che appare seleziona la linguetta “BOOT.INI” e metti la spunta alla voce “/SAFEBOOT” premi su “Applica” e poi su Ok. A questo punto il sistema si riavvia in modalità provvisoria.

Quando il Sistema si è caricato in provvisoria avviate la scansione con Virit e una volta terminata riavviate il sistema in modalità normale, ricordate ad ogni scansione di controllare il log che rilascia il software che lanciate e accertatevi che se viene rilevato un file infetto venga effettivamente rimosso, altrimenti segnatevi percorso e nome del file.
A qualcuno sembrerà una procedura da "paranoia" ma .... riavviate ancora il sistema e fate una scansione On-Line con Panda ActiveScan e a questo punto se tutte le scansioni sono andate a buon fine o hanno trovato dei file infetti e li hanno rimossi e possiamo stare tranquilli, in caso contrario dobbiamo procedere con altri mezzi che vi illustrerò nella rimozione avanzata

Se le scansioni sono andate a buon fine procedete con quanto sotto, altrimenti ritornate alla pagina Sicurezza e cliccate sul tasto "Rimozione Avanzata"

In caso di Sistema Pulito lanciate ora RegSeeker, fate attenzione nell’uso di questo software, nell’elenco delle voci che riporta a fine della scansione le troverete di 2 colori, verde e rosso, selezionate ed eliminate solo quelle di colore verde

Ora potete creare un nuovo punto di ripristino da Start > Programmi > Accessori > Utilità di sistema > Ripristino configurazione di sistema.
Nella finestra che vi apparirà scegliere Crea un punto di ripristino, fate clic su Avanti, e mettete una descrizione (es. la data che avete creato il punto di ripristino) fate clic su Crea.

Ricordate che questa procedura DEVE essere sempre eseguita sia prima di postare in un forum per chiedere aiuto o di procedere con la rimozione avanzata

• Facilità d'installazione.
• Applicabile in ambiente “Home” o piccola rete locale con minime opzioni.
• Applicabile in ambiente “Enterprise network” con diverse funzionalità aggiuntive quali logging, reporting, proxy, vpn ecc.

IPCop é una mini distribuzione Linux specializzata per realizzare un firewall;

Ottenere la distribuzione

L’immagine iso è scaricabile direttamente dal sitohttp://www.ipcop.org al link Download, fate attenzione a scaricare la versione più recente (alla redazione di questo documento è la 1.4.2).

Caratteristiche

1. Linux Netfilter con capacità di NAT/PAT e logging.
2. Supporto per quattro schede di rete.
3. Supporto Client DHCP su una scheda di rete per ricevere l’indirizzo IP dal Provider.
4. Supporto Server DHCP per due schede di rete.
5. Supporto server NTP per sincronizzare la data e l’ora e per fornirla a due schede di rete.
6. IDS (Intrusion detection system) per tutte e quattro le schede di rete.
7. Supporto per la VPN (rete privata virtuale).
8. Supporto proxy per il Web.
9. Amministrazione e controllo attraverso il browser.
10. Possibilità di pach/update
11. Backup e Restore della configurazione

Hardware

IPCop può essere installato su un vecchio “486” con 16 MB di RAM, consigliamo tuttavia di utilizzare schede madri e schede di rete basate sullo standard PCI, 64 MB di RAM, un BIOS che permette l’avvio da CDROM (la distribuzione comprende anche l’immagine floppy per l’avvio) e qualche GB di Hard Disk.

Per utilizzare il proxy è consigliabile avere 256 MB di RAM e di più GB di Hard Disk se si desidera conservare i file di log.

Perché quattro adattatori di rete?

Gli adattatori di rete sono individuati con dei colori:

• ROSSO – rappresenta l’interfaccia connessa ad internet.
• VERDE – rappresenta l’interfaccia per la rete interna.
• BLU – rappresenta l’interfaccia per una seconda rete interna o per una rete wireless.
• ARANCIO – rappresenta l’interfaccia per un’eventuale zona DMZ in cui si trovano server che offrono servizi all’esterno.

L’applicazione minima prevede due interfacce di rete, quella verso internet (ROSSA) e quella verso la rete locale (VERDE) da proteggere.

Nel caso in cui esistono due reti locali che devono rimanere separate (accesso consentito solo in VPN) si utilizza anche l’interfaccia BLU; è la classica situazione in cui la rete locale dell’amministrazione condivide l’unico accesso ad internet con la rete della didattica, tuttavia ne deve restare separata.

L’immagine che segue, tratta dal sito http://www.ipcop.org illustra l’utilizzo di tutti e quattro gli adattatori di rete.

La nostra installazione minima

Abbiamo utilizzato un Pentium II 233 Mhz con 64 MB di RAM, 5GB di Hard Disk, due schede di rete PCI (ROSSA e VERDE).

L’installazione è composta dai seguenti passi:

1. Avvio del sistema (nel nostro caso direttamente dal CDROM generato dall’immagine iso scaricata).
2. Partizionamento del disco rigido del vostro computer“ATTENZIONE I DATI PRESENTI SUL HARD DISK SARANNO CANCELLATI”.
3. Rilevamento delle interfacce di rete (scegliere automatico).
4. Scelta dell’indirizzo IP dell’interfaccia verde (rete locale).
5. Scelta dei parametri locali (tastiera, data/ora).
6. Scelta del nome del sistema (hostname) e del domino.
7. Configurazione del dispositivo ISDN (saltare se non interessa).
8. A questo punto il sistema è configurato per due schede di rete (ROSSA + VERDE). Utilizzate il menu per cambiare le impostazioni ed abilitare eventualmente altre schede di rete.
9. Con l’opzione “Impostazioni driver e schede” impostate i driver delle schede di rete non ancora configurate.

• Assegnate ora gli indirizzi IP alle schede di rete tramite l’opzione “Impostazione indirizzo”.

1. Assegnate il Gateway e il DNS tramite l’opzione “Impostazioni DNS e Gateway”.
2. Configurate il server DHCP (saltare se non interessa).
3. Impostate le password di root e di amministratore.

Il firewall in configurazione minima è pronto, collegate un cavo di rete al router (quello dell’interfaccia ROSSA) e un altro al vostro Hub o Switch (quello dell’interfaccia VERDE); poiché non sapete fisicamente come sono state assegnate le interfacce può essere necessario invertire i cavi. Provate a navigare con i PC della vostra rete locale.

Amministrazione del firewall

Connettetevi con il vostro browser all’indirizzo assegnato all’interfaccia di rete VERDE (ad. es. https://192.168.1.1:445), vi si presenterà la seguente pagina:

Potete ora cominciare ad esplorare le differenti possibilità disponibili.

• Sistema:Utilità per la configurazione del sistema e di IPCop stesso.
• Stato: Informazioni dettagliato sullo stato del vostro server IPCop.
• Network: utilità per configurare/amministrare connessioni tramite modem.
• Servizi: Configurazione/Amministrazione dei servizi disponibili sul server IPCop.
• Firewall: Configurazione/Amministrazione delle opzioni del firewall.
• VPNs:Configurazione/Amministrazione della VPN (Rete Privata Virtuale).

• Log:Visualizzarei vari log di IPCop (firewall, IDS,ecc.)

Per una spiegazione dettagliata rimandiamo alla documentazione ufficiale scaricabile dal sito http://www.ipcop.org; ci limitiamo qui ad illustrare il comportamento di "default" del firewall con una tabella tratta dalla documentazione ufficiale.

L’interpretazione della tabella e delle modalità con cui configurare il Port Forwarding e la VPN comportano conoscenze nel campo delle reti e dei protocolli che esulano dallo scopo di quest'articolo.

In generale osserviamo che la conoscenza base della configurazione degli adattatori di rete (indirizzi IP, netmask, gateway, dns) e una minima esperienza d'installazione del sistema operativo linux permettono di realizzare un firewall più che adeguato alle esigenze di un ufficio.

Il trojan non è proprio una novità, ma si tratta di una nuova variante di un vecchio password stealer che avevamo già individuato nei mesi scorsi. Quest’ultima variante ha inoltre funzioni di ransomware.

Dopo un week-end abbastanza movimentato, siamo riusciti a decodificare i file criptati e a rilasciare per primi un tool di decodifica.

Al momento sono online nei più importanti media online alcuni articoli:

Hackers Steal U.S. Government, Corporate Data from PCs
Government, Contractors Hit in Targeted Attack
Job ads leave Washington hacked
Top companies and a government department get cracked
Una volta eseguito - utilizza un custom packer - il trojan tenta di iniettarsi all’interno di winlogon.exe. Se l’attacco ha successo, da winlogon.exe il trojan tenta di iniettarsi in svchost.exe e poi negli altri processi.

Per partire allo startup del sistema, si aggiunge nella directory di sistema di Windows come ntos.exe (per esempio C:\WINDOWS\system32\ntos.exe) e si aggiunge nella seguente chiave di registro:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
“Userinit” = “[systemdir]\ntos.exe”

Questo permette al malware di partire in posizione privilegiata all’avvio del sistema, prima rispetto a molti altri processi.

Crea inoltre una directory nascosta sotto system32, chiamata wsnpoem che contiene video.dll e audio.dll.

Il trojan ha tre payload : criptare i file sull’hard disk e poi minacciare, rubare credenziali dell’utente del pc, aprire un socks server. Vediamo meglio:

CRIPTARE I DATI

Il trojan scansiona l’hard disk alla ricerca dei file che hanno una delle seguenti estensioni:

.12m .3ds .3dx .4ge .4gl .7z .a .a86 .abc .acd .ace .act .ada .adi .aex .af3 .afd .ag4 .ai .aif .aifc .aiff .ain .aio .ais .akf .alv .amp .ans .ap .apa .apo .app .arc .arh .arj .arx .asc .asm .ask .au .bak .bas .bb .bcb .bcp .bdb .bh .bib .bpr .bsa .btr .bup .bwb .bz .bz2 .c .c86 .cac .cbl .cc .cdb .cdr .cgi .cmd .cnt .cob .col .cpp .cpt .crp .cru .csc .css .csv .ctx .cvs .cwb .cwk .cxe .cxx .cyp .d .db .db0 .db1 .db2 .db3 .db4 .dba .dbb .dbc .dbd .dbe .dbf .dbk .dbm .dbo .dbq .dbt .dbx .dfm .djvu .dic .dif .dm .dmd .doc .dok .dot .dox .dsc .dwg .dxf .dxr .eps .exp .f .fas .fax .fdb .fla .flb .frm .fm .fox .frm .frt .frx .fsl .gtd .gif .gz .gzip .h .ha .hh .hjt .hog .hpp .htm .html .htx .ice .icf .inc .ish .iso .jar .jad .java .jpg .jpeg .js .jsp .key .kwm .lst .lwp .lzh .lzs .lzw .ma .mak .man .maq .mar .mbx .mdb .mdf .mid .mo .myd .obj .old .p12 .pak .pas .pdf .pem .pfx .php .php3 .php4 .pgp .pkr .pl .pm3 .pm4 .pm5 .pm6 .png .ppt .pps .prf .prx .ps .psd .pst .pw .pwa .pwl .pwm .pwp .pxl .py .rar .res .rle .rmr .rnd .rtf .safe .sar .skr .sln .swf .sql .tar .tbb .tex .tga .tgz .tif .tiff .txt .vb .vp .wps .xcr .xls .xml .zip

Una volta trovati, codifica questi file con un algoritmo di codifica fortemente modificato che ricorda l’algoritmo RC4. Dopo che sono stati codificati, il trojan crea il file read_me.txt in ogni directory in cui ha criptato dei files. Nel readme c’è scritto:

Hello, your files are encrypted with RSA-4096 algorithm (http://en.wikipedia.org/wiki/RSA).
You will need at least few years to decrypt these files without our software. All your private information for last 3 months were collected and sent to us.

To decrypt your files you need to buy our software. The price is $300.

To buy our software please contact us at: [email address] and provide us your personal code [personal code]. After successful purchase we will send your decrypting tool, and your private information will be deleted from our system.

If you will not contact us until 07/15/2007 your private information will be shared and you will lost all your data.

Glamorous team

Come la nostra analisi e il nostro tool dimostrano, i file non sono così ben criptati e possono essere decodificati. Non è necessario pagare 300$ per decodificare i file, semplicemente scaricate il nostro tool. Nessun file viene uploadato online, il trojan si preoccupa solo di rubare informazioni quali username e password mentre l’utente è online. Il codice personale mostrato nel readme gioca un ruolo fondamentale nella routine di decrypt. Il codice è salvato anche all’interno del registro di sistema sotto:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
“WinCode” = [personal code in hex]

RUBARE INFORMAZIONI

Per rubare le informazioni, il trojan fa uso di tecniche simili a quelle utilizzate dai rootkit user mode, modificando l’Import Address Table e redirezionando alcune chiamate API. Come l’immagine qua sotto mostra, quando una delle API hookate viene chiamata, il processo viene redirezionato ad un altro indirizzo in memoria invece che alla corretta libreria che esporta la funzione. Il codice iniettato è sempre mappato allo stesso indirizzo in memoria, il campo ImageBase è infatti settato all’indirizzo specifico 14E00000.

Le API redirezionate sono:

LdrGetProcedureAddress, LdrLoadDll, NtCreateThread (ntdll.dll)
WSASend, WSASendTo, closesocket, send, sendto (ws2_32.dll)
HTTPSendRequestA, HTTPSendRequestExA, HTTPSendRequestExW, InternetCloseHandle, InternetQueryDataAvailable, InternetReadFile, InternetReadFileExA, InternetReadFileExW (wininet.dll)

Una volta collezionate le credenziali, il trojan le salva all’interno di un file e le cripta prima di uploadarle ad un server remoto. L’algoritmo usato è particolarmente semplice e fa uso di alcune semplici operazioni matematiche su ogni byte del file da criptare. Abbiamo un tool di decodifica anche per questi file ma non verrà rilasciato, al fine di evitare possibili fughe di privacy. Al momento migliaia di informazioni personali sono state collezionate dal trojan.

SOCKS SERVER

Il codice iniettato all’interno di svchost.exe è usato per aprire un SOCKS server sulla porta TCP 6081. La lista dei proxy server funzionanti è aggiornata sul server remoto in modo tale che i malware writer hanno ogni volta a disposizione almeno un SOCKS server anonimo disponibile da usare.

Il cyberterrorismo è il nuovo aspetto della mafia moderna. Ricattare, lanciare attacchi DDoS contro siti web chiedendo poi riscatti, i malware writer hanno capito perfettamente che con i malware è possibile fare soldi.

Codificare documenti è un danno immenso per le società che devono lavorare con i propri dati. Pagare 300$ sarebbe molto più semplice che aspettare un decodificatore che arrivi da chissà dove…in fondo per una società 300$ non sono un così alto prezzo.

Ma, pagando, i malware writer sono solo incoraggiati a continuare a ricattare le società e a fare il loro sporco gioco. È per questo che risulta importante che nessuno si pieghi ai ricatti online ma contatti immediatamente una società di sicurezza che l’aiuterà a sistemare il problema.

Penso assisteremo ad un rapido incremento di minacce complesse come questa, attacchi mirati a società che, semplicemente, non possono permettersi di fermare il proprio lavoro per un ricatto.

Fonte : PC al Sicuro

• Guida al setup di Internet Explorer per una sicura navigazione ..... Una guida per configurare IE e navigare più sicuri .....

• Guida alla rimozione di Link Optimizer ..... Guida con le operazioni da eseguire per rimuovere Link Optimizer .....

• Guida a Gmer ..... Guida per interpretare i log di Gmer .....

• Guida alla configurazione di Outpost 1.0 ..... Guida per configurare al meglio Outpost 1.0 .....

• Guida all'uso di ATF Cleaner ..... Guida per usare ATF Cleaner .....

• Vademecum della sicurezza in rete ..... Principali regole per la sicurezza in rete .....

• Guida alla configurazione di Jetico Firewall ..... Guida per configurare Jetico Firewall .....

• Hijackthis: guida all’interpretazione dei log ..... Come interpretare il log di Hijackthis .....

• Guida all’ottimizzazione di eMule ..... Come ottimizzare Emule .....

• Guida all’uso di System Safety Monitor ..... Come configurare System Safety Monitor .....

• Guida alla configurazione dei servizi in XP SP2 ..... Quali servizi arrestare per rendere più veloce e sicuro il Sistema .....

• Guida a The Avenger ..... Come scrivere uno script con The Avenger .....

"F-Secure lancia sul mercato la quarta generazione delle proprie appliance per la sicurezza della messaggistica nelle aziende. Tra le novitá una appliance virtuale per garantire ottime prestazioni ad un prezzo contenuto"

Con l'avvento dei nuovi processori la potenza di calcolo di PC e server é aumentata in maniera drastica, aprendo a nuovi orizzonti che fino ad oggi sono sí state implementati, ma sempre in maniera controllata. L'avvento della virtualizzazione si sta materializzando in maniera inequivocabile come strumento indispensabile sotto molti punti di vista; si pensi alla sicurezza dei singoli PC, grazie a sistemi che permettono l'utilizzo di macchine virtuali o a software che aggiungono un layer supplementare di protezione ai browser per evitare infezioni provenienti dal web, fino ad applicazioni in ambito server, dove i Virtual Private Server stanno prendendo sempre piú piede sostituendo, dove tecnicamente possibile, molti server dedicati che hanno un costo maggiore e necessitano di hardware dedicato.

Le implicazioni della virtualizzazione in ambito server, grazie alle nuove tecnologie, sono varie e permettono di racchiudere in meno dispositivi fisici un maggior numero di macchine, con relativo risparmio in termini di risorse garantendo comunque delle prestazioni piú che buone. Anche per la sicurezza delle aziende l'acquisto di dispositivi dedicati spesso risulta essere una spesa non indifferente, che molte piccole o medie aziende non possono o vogliono affrontare.

Anche in questo caso la virtualizzazione permette di venire in aiuto. F-Secure Corp., societá finlandese di sicurezza informatica, ha rilasciato F-Secure Messaging Security Gateway Virtual Appliance, la prima Virtual Appliance per un prodotto capace di proteggere le societá da spam, malware e garantire la sicurezza della privacy senza bisogno di acquistare appliance dedicate