Devix Security Blog
Enterprise security - Diario elettronico per gli appassionati di sicurezza

Ultimi post RSS

  • gennaio 31, 2012 | commenti  0 | permalink |
    Tag:

    Scenari di hackeraggio

    Dalla mia personale esperienza ho imparato a distinguere gli attacchi ai server in tre diverse categorie :

    •    Intrusioni da parte di Virus o Worm
    •    Sabotaggi da parte di hacker
    •    Attacchi di tipo DOS/DDOS

    Il primo tipo di intrusione produce speso un solo effetto collaterale a causa di un elevato traffico di rete dovuto al “codice riproduttivo” del virus/worm. Può anche portare a malfunzionamenti vari del server. La prevenzione contro in questi casi si riduce semplicemente a mantenere aggiornati il sistema operativo ed i programmi antivirus*. Nel caso d’infezione si procederà con la bonifica delle macchine infette, rimuovendo il codice intruso. In questi casi è fondamentale documentarsi sugli esatti effetti del codice virale perché potrebbero dar luogo a fuga di dati riservati presenti sul server : è il caso del virus Banker che trasmette in Internet codici d’accesso e numeri di carta di credito. Fonti per ottenere queste informazioni sono bitdefender.com, alla sezioneVirus  Enciclopedia e Trend Micro alla sezione Thread Enciclopedia.

    L’attacco da parte di hacker può essere la tipologia più difficile da affrontare semplicemente perchè ci si scontra con l’ingegno e la tecnica di una persona che ha la ferma volontà di sabotare dei sistemi! Ad un livello di difficoltà molto inferiore vi sono gli attacchi di script-kiddies cioè di persone che mancando dei veri skill da hacker riescono però a creare danni utilizzando sistemi di sabotaggio chiavi-in-mano come Metasploit (v. attacco d’esempio).
    Accade spesso che immediatamente prima di un sabotaggio si registrino una serie di attività preventive che l’hacker compie per scovare le debolezze della macchina bersaglio. Tutto ciò sarà documentato dai log del sistema e dagli eventuali sistemi di monitoraggio installati.
    Soltanto un accurato controllo delle macchine può avvisarci in tempo utile di ciò che sta per accadere,  permettendoci di intervenire in tempo utile.

    Contro l’ultimo tipo di attacco c’è ben poco da fare a meno che non si disponga di risorse proprie di grosse aziende. L’attacco DDOS sferrato qualche anno fa ai domini http://www.microsoft.com e http://www.sco.com in segno di protesta per le azioni legali intraprese da quest’ultima nei confronti di Caldera portò al blocco dei due siti. Il sito della SCO rimase offline per un tempo scandaloso e dovette risolvere il problema modificando il puntamento DNS : il sito ufficiale divenne sco.com. La Microsoft, per contro, riuscì a tornare online entro brevissimo tempo ricorrendo a costosi adeguamenti tecnologici..

    Sugli attacchi DOS c’è molto da dire perché si tratta di una saturazione delle risorse server che mira a buttare giù uno o più servizi o, ancora, l’intero server. Ci sono molti modi per farlo, sarà argomento di un prossimo articolo.

    (*) usare l’antivirus sulla macchina server è, a mio avviso, sconsigliabile

     

  • dicembre 31, 2011 | commenti  0 | permalink |

    Oggi  l’ultimo giorno dell’anno 2011… anno ricco di Security Events di ogni sorta.

    Uomo dell’anno è sicuramente Julian Assange per aver mostrato al mondo tutto il marciume dentro i governi e quanta bassezza è nascosta nei rapporti tra i poteri gestiti dall’uomo.

    Hacker world best events sicuramente le battaglie Anonymous, Team Poison, The Jester, Sabu vs FBI…

    #EpicFail dell’anno, primo posto incontrastato a Sony. Vi ricordo che il leak di 77 milioni di account è iniziato dopo la causa legale intrapresa da Sony contro un ragazzetto che aveva crackato la Playstation console.

    #EpicFail, secondo posto con largo distacco dagli altri lo darei alle istituzioni tecnologiche USA, ma in generale di tutto il mondo, per la scarsa professionalità ed l’abnorme attaccamento al soldi di questi pseudo esperti.

    Premio speciale, ma in positivo, … lo darei a tutti gli admin che hanno fatto un buon lavoro sulle proprie reti …nonostante tutto.

    Per questi ultimi giorni dell’anno patchiamo i web server per le vulnerabilità causate dal POST Hasing Collision e godiamo la mezzanotte e l’arrivo del nuovo anno!

    Auguri a tutti!

    Admin, Julian, Rguru, Wintech, Femmefatal.

     

     

  • dicembre 29, 2011 | commenti  0 | permalink |
    Tag:, , ,

    WTF!

    Vulnerabilità ed update dei server W2k3 e W2k8

    Come si affrontano le vulnerabilità su sistemi Windows Server 2003 e 2008 ? E’ una domanda che interessa molti network e system administrators.

    Le vulnerabilità che interessano il sistema operativo Windows Server possono essere anche molto seri causando problemi che vanno da un semplice Denial of Service (il servizio non funziona più) fino ai Remote Code Execution (esecuzione di codice da remoto e con livelli di privilegi massimi, il sabotatore può eseguire codice a suo piacimento sulla macchina, ad esempio shellcode). Sono entrambi gravi e per essere risolti possono richiedere da un intervento restrittivo sui servizi fino ad una reinstallazione del server.

    Quando escono nuove vulnerabilità per sistemi operativi Windows accade che molti giornali tecnici online fanno del vero e proprio allarmismo. E giustamente, da buoni sysadmin quali siamo, ci preoccupiamo anche noi.

    Su siti tecnici di prim’ordine si leggono delle amenità riguardo exploit che si attivano visitando, ad esempio, siti di crack oppure siti porno… ma dico io… ma se proprio vuoi andare su un sito porno ma ci devi arrivare navigando sul server? No, vero?!?

    Il mio amico nonché collega LFS, durante i primi mesi di lavoro insieme mi mandava costantemente gli articoli di sicurezza presi dai suoi siti preferiti. “Grave”, “Gravissimo”, “Presto! Aggiornate tutto” erano i titoli degli articoli. Poi, andando a leggere bene si capiva che era un problema del navigatore Internet Explorer oppure un exploit sfruttabile avendo un account (USER) sulla macchina o ancora un bug sfruttabile soltanto da console.

    Vi riporto un esempio recente, il bollettino MS11-083 “Una vulnerabilità in TCP/IP può consentire l’esecuzione di codice in modalità remota (2588516)”, oggetto di molte discussioni in rete.

    Il livello assegnato da Microsoft è “Critical”, però leggendo l’analisi fatta nel Technet Blog di Microsoft gli esperti concludono con uno strano “we believe it is difficult to achieve RCE using this vulnerability considering… the type of network packets required are normally filtered at the perimeter”. Traducendo, “è difficile attuare l’attacco perchè ci sono i firewall perimetrali”.

    Questo fa capire quanto sia importante confrontare diverse fonti sia ufficiali che underground. Per la consultazione dei CVE ufficiali personalmente utilizzo questo sito  CVE Details.

    Per nostra fortuna la maggiorparte delle vulnerabilità non interessano i servizi esposti sulla rete pubblica: RDP, IIS HTTP, IIS FTP, IIS SMTP, SMB, ecc.

    Un paio di considerazioni.

    1. Nella maggiorparte dei casi il giornalista non è preparato su dove e come impatta una vulnerabilità.

    Purtroppo è vero! Ma se un giornalista non è un sysadmin ma cosa posso aspettarmi da lui… che mi distingua tra una vulnerabilità client ed una server? Che abbia chiaro che non si naviga sulle macchine server? Prendo, quindi, con le pinze ciò che leggo nei siti tecnici.

    2. La maggiorparte delle vulnerabilità M$ sono client cioè interessano i sistemi operativi client (XP, Vista, 7) oppure gli applicativi client installati sui server (tipo Internet Explorer).

    Una quantità dei bollettini riguarda il navigatore Internet Explorer, Outlook & Co, Windows Mail e relative librerie. Ciò si traduce in una riduzione di superficie d’impatto delle vulnerabilità sui server perchè spesso posso evitare di installare tali applicativi.

    Una quantità di bollettini non riguarda i servizi esposti al mondo esterno. Ciò significa che si tratta di problemi sfruttabili all’interno della LAN o direttamente da console, riducendo, anche qui, i casi di attacco.

    3. E’ importante leggere attentamente il dettaglio tecnico ne i bollettini direttamente sul sito della Microsoft.

    Il sysadmin deve pensare che tutte le patch di sicurezza proposte da Windows Update siano di suo interesse.

    L’RSS ufficiale Microsoft è qui http://technet.microsoft.com/en-us/security/rss/advisory

    Tornando ai punti centrali del discorso: avere la macchina aggiornata è tra i fondamentali della sicurezza. Documentarsi utilizzando diverse fonti si traduce in completezza di preparazione.

    Ritengo sia necessario criticare gli articoli tecnici che parlano di sicurezza, prenderne le distanze, approfondire il tema trattato e non prendere per verità assoluta il punto di vista di chi scrive. Incluso, ovviamente, il mio!

    Concludo con un’ultima nota sugli update di Windows Server. Meno servizi e componenti installati, meno update da fare sulla macchina. E’ inutile installare il componente SMTP di IIS oppure l’FTP se non li usate sulla macchina.

    E… buon update a tutti!

     

  • agosto 2, 2011 | commenti  0 | permalink |
    Tag:

    77 US law enforcement institutions hacked, 5-10GB leaked – http://t.co/d48GCy1

     

  • luglio 29, 2011 | commenti  0 | permalink |
    Tag:, , ,

    Operation PayPal

    L’azione contro PayPal è iniziata nel Dicembre 2010 quando l’azienda statunitense si rifiuta di accettare pagamenti per Wikileaks di Julian Assange mentre, all’epoca, accettava pagamenti per il Ku Klux Klan. La stessa politica di boicotaggio venne adottata da Mastercard e Visa. Chiunque con un minimo di pensiero critico può pensare chiaramente che vi siano pressioni politiche dietro a tutto ciò, dal mio punto di vista è sicuramente così.

    6 Dicembre 2010: il sito PayPal.com viene buttato giù per almeno 8 ore da un attacco DDOS. L’azione prende il nome di Operation Avenge Assange.

    6 Luglio 2011: Hackerato l’account Twitter di PayPal UK. Vengono pubblicati messaggi del tipo “Compra in maniera sicura senza PayPal. Visita PayPalSucks.com”.

    19 Luglio 2011: l’FBI arresta 14 persone coinvolte nell’azione di cyber-protesta contro PayPal: Christopher Cooper, 23, Joshua Covelli, 26, Keith Downey, 26, Mercedes Haefer, 20, Donald Husband, 29, Vincent Kershaw, 27, Ethan Miles, 33, James Murphy, 36, Drew Phillips, 26, Jeffrey Puglisi, 28, Daniel Sullivan, 22, Tracy Valenzuela, 42 and Christopher Quang Vo, 22.

    27 Luglio 2011: #oppaypal fa perdere a PayPal (gruppo Ebay) ben 9.000 clienti i quali chiudono spontaneamente i propri conti. L’indomani si stima che siano stati chiusi 35.000 account. La quotazione di Ebay in borsa (NASDAQ:EBAY) ha un brusco calo sicuramente riconducibile all’azione di protesta.

    Adesso, una ragazza tra le persone sopra elencate, Mercedes Haefer, studentessa di giornalismo all’Università del Nevada, rischia fino a 15 anni di carcere e 500.000$ di multa per aver partecipato al DDOS contro PayPal…

    Onestamente, capisco che sia stata violata una legge federale, capisco quello che vuoi, ma personalmente mi sembrano pene assurde e non proporzionate alla presunta offesa.

    Quanti anni dovrebbe scontare una popolazione di 100 abitanti che per protesta blocca la principale autostrada dello stato? Oppure 1000 abitanti che bloccano 10 autostrade? Oppure una protesta in 10 grosse città che blocchi la maggiorparte degli uffici postali?

    E’ chiaro che il problema da risolvere non è l’entità della pena bensì il modo di gestire il potere da parte di governi e grosse aziende perchè la gente, soprattutto le nuove generazioni, non possono accettare le schifezze che vedono quotidianamente.

    “Caro governo, cari politici, care grosse e potenti aziende,

    vi scrivo per dirvi che forse dovreste iniziare a comprendere che le persone sono stufe della vostra inconcludenza, dei vostri Epic Fail, delle vostre bugie, dei vostri giochi di potere, del vostro attaccamento al soldo, del vostro fregarvene dei problemi reali delle persone.

    Noi gradiremmo che faceste le cose giuste per l’umanità. La guerra? La guerra giusta? Ma quanto siete confusi… ma siete davvero rimasti al tempo delle crociate? Ci aspettiamo azioni giuste per i bambini, per l’ecosistema, per il presente e per il futuro.

    Siamo seccati dalle vostre inutili e mortali guerre. Delle vostre bombe. Delle vostre stronzate per giustificare le vostre porcate.

    Un affettuoso quanto arrabbiato saluto.
    Firmato: un cittadino.”

     

  • luglio 28, 2011 | commenti  0 | permalink |
    Tag:, , , , , ,

    Domani, appena rientro dalle vacanze (sigh…), parliamo di un po’ di cose interessanti:

    • Operation PayPal, EBAY perde in borsa (in Twitter #OpPayPal), Mercedes & Topiary
    • 8GB di dati sottratti al CNAIPIC, Centro per la protezione delle infrastrutture critiche

     

     

Pagina successiva »