Introduzione | Regole basilari | Porte | Monitorare
A dir poco impressionante è come
in Rete, in particolare negli ultimi mesi, si siano diffusi software
sempre più complessi e completi che permettono di spiare all'interno
di computer remoti collegati via Internet.
IlSoftware.it vuole spiegare come sguardi indiscreti possono
potenzialmente essere in grado di leggere i documenti presenti
all'interno del nostro personal computer o come sia possibile che
qualcuno causi danni più o meno gravi all'interno del nostro fido
compagno di lavoro e di divertimento.
Purtroppo non si tratta delle solite leggende metropolitane:
esistono programmi che abbinati alla distrazione od all'imperizia
rendono il nostro personal computer preda facile per centinaia e
centinaia di hackers remoti, che possono essere in grado di far
piazza pulita all'interno del nostro elaboratore.
Ciò che vogliamo assolutamente evitare in questo articolo, sono
certamente i toni allarmanti e non costruttivi che spesso si
evincono da talune fonti di informazione. Vogliamo invece, dopo una
presentazione del problema reale, presentare altrettanto reali e
contrete soluzioni che permettano di non trovarsi impreparati o
peggio, di divenire vittime.
Windows, così com'è, non è di solito direttamente e semplicemente
attaccabile, pur non essendo, allo stato delle cose, il sistema
operativo più sicuro in assoluto.
Per poter rendere Windows inerme a taluni attacchi, è necessario che
all'interno del nostro computer venga attivata una apposita
"backdoor".
La backdoor è una vera e propria "porta sul retro" nel senso che,
appena avviata, è in grado non solo di far uscire, a nostra
insaputa, dati importanti ma anche permettere l'accesso indisturbato
al nostro personal computer, di utenti non autorizzati.
Una volta attivata la backdoor, infatti, questa offre ad un hacker
remoto l'accesso completo a tutte le risorse del personal computer
"vittima" ed addirittura ai personal computer ad esso collegati. Per
collegarsi a questi ultimi l'hacker remoto è in grado di riconoscere
ed usare i dati dell'utente che ha subito l'attacco.
Back Orifice sa infatti come accedere alle password di sistema, ma
non solo: la backdoor comunica ogni sequenza di tasti premuti da
parte dell'utente vittima ed è anche in grado di registrare quali
operazioni avvengono off-line.
Non appena la vittima si ricollega ad Internet tutte le informazioni
"spiate" vengono passate all'hacker remoto che quindi può avere la
possibilità di identificare semplicemente, per esempio, un numero di
carta di credito o un conto corrente e relativi codici d'accesso
immessi mediante la tastiera.
L'hacker ha a disposizione un'ampia gamma di azioni che possono
essere compiute nei confronti del personal computer su cui ha deciso
di dirigere l'attacco, prime fra tutte, la possibilità di impedire
temporaneamente l'uso della tastiera da parte dell'utente vittima,
di oscurare lo schermo, di eseguire qualunque tipo di operazione.
Le applicazioni come Back Orifice offrono numerose altre opportunità
per confondere o mettere nel panico l'utente vittima: inversione dei
tasti del mouse, apertura e chiusura del cassettino del lettore CD
ROM, possibilità di generare suoni, di chiudere o mandare in crash
Windows.
Ciò che l'hacker remoto ha sempre bisogno per collegarsi al computer
"vittima" è l'indirizzo IP che viene assegnato al momento della
connessione. Solitamente l'indirizzo IP è dinamico, ovvero ci viene
attribuito dal provider un numero quasi sempre diverso ogni volta
che ci colleghiamo alla Rete.
Le backdoor più recenti sembrano aver superato questo problema: esse
sono in grado di comunicare all'hacker, ogni volta che l'utente
vittima si connette ad Internet, il nuovo indirizzo IP, utilizzando
come mezzi ICQ, IRC oppure semplicemente la posta elettronica.
Back Orifice, di cui è stata recentemente sviluppata la versione
2000, è sicuramente uno dei software più famosi: già una settimana
prima del suo lancio ufficiale tutti i siti web d'informazione
on-line hanno fatto a gara per distribuire in anteprima notizia sul
nuovo BO. Altre backdoor molto conosciute sono Deep Throat,
NetSphere, Hack'àTack e SubSeven.
Purtroppo però ve ne sono moltissime in circolazione: noi stessi
siamo rimasti a bocca aperta dopo aver visitato il sito
The
Trojans removal database che contiene una lunga lista di
backdoor. In corrispondenza del nome di ciascuna backdoor vengono
elencate le modifiche che vengono apportate al sistema (specialmente
al registro di sistema) per renderlo di facile attacco.
Non è quindi affatto semplice stilare una lista di backdoor e
proporre per ciascuna una soluzione che conduca alla relativa
identificazione e rimozione.
Introduzione | Regole
basilari | Porte | Monitorare
I software antivirus offrono una
buona protezione contro le backdoor ma non sono in grado né di
riconoscerle tutte, né di offrire una soluzione globale al problema.
Allora, come è possibile difendersi? Esiste un modo sicuro per
evitare spiacevoli inconvenienti?
Può sembrare banale ma in realtà non lo è. Il modo migliore per non
gettare in pasto il proprio personal computer ad hackers senza
scrupoli è certamente quello di assicurarsi sempre che il materiale
allegato ai messaggi di posta elettronica provenga da mittenti
sicuri.
E' infatti la posta elettronica il principale veicolo di diffusione
delle varie backdoor.
Prima di aprire qualsiasi allegato, anche se proviene da un
collaboratore o da un amico, è sempre bene accertarsi che il
mittente del messaggio ne parli espressamente nel messaggio.
Esistono infatti delle backdoor, dotate di funzionalità avanzate che
permettono loro di spacciarsi per mittenti "sicuri". Quando tali
backdoor si installano all'interno di un personal computer, esse
sono in grado di leggere i contatti presenti all'interno della
rubrica del programma per la gestione della posta elettronica usato
ed inviare automaticamente messaggi "infetti".
A questo
proposito è consigliabile disabilitare anche l'esecuzione automatica
di javascript od applet Java allegate ai messaggi di posta
elettronica o presenti all'interno delle pagine web dei siti
visitati. Se si usa client e-mail come Outlook Express si è
particolarmente soggetti al problema.
E' sufficiente intervenire sulle opzioni di protezione del programma
selezionando la cartella Protezione dal menù Strumenti , Opzioni,
quindi facendo clic sul pulsante Impostazioni dell'area Internet.
Scegliete il livello di protezione "Personalizzato" quindi fate clic
sul pulsante Impostazioni.
Scegliete quindi ciò che il browser (Internet Explorer) ed il client
di posta elettronica (Outlook) possono e non possono eseguire in
modo automatico. Le possibilità presenti permettono di evitare anche
l'esecuzione di ActiveX potenzialmente ostili.
Una pratica che si rileva essenziale è inoltre quella di tenere
sempre sotto controllo ciò che avviene durante la connessione ad
Internet. Vedremo più avanti come è possibile monitorare l'attività
in entrata ed in uscita.
Prima di tutto è comunque bene predisporre il sistema affinché offra
un sufficiente margine di sicurezza. Chiave di volta del sistema
sono le impostazioni di rete accessibili dal Pannello di controllo
di Windows facendo doppio clic sull'icona Rete.
In questa sezione è bene eliminare tutti i protocolli che non sono
indispensabili, in particolare quelli che non vengono mai
utilizzati. Fra l'altro, essi rallentano notevolmente anche l'avvio
del sistema operativo.
Nella stragrande maggioranza dei casi i protocolli NetBEUI e IPX/SPX
sono del tutto inutili, soprattutto se non si dispone di una scheda
di rete e comunque non si ha la necessità di connettersi con una
rete locale.
Nel caso in cui vi colleghiate esclusivamente ad Internet mediante
un modem connesso alla linea telefonica, è necessario esclusivamente
il protocollo TCP/IP associato al "Dispositivo di accesso remoto";
ogni altro protocollo risulta del tutto superfluo e si dovrà
provvedere alla relativa eliminazione.
Se disponete
anche di una scheda di rete per l'accesso ad una rete locale, oltre
che del collegamento ad Internet via modem, i protocolli NetBEUI e
IPX/SPX potrebbero risultare utili per determinate applicazioni. Se
anche per la rete locale usate il TCP/IP potete tranquillamente
eliminare i protocolli superflui. Tenete comunque presente,
soprattutto se ritenete che NetBEUI e IPX/SPX non possano essere
eliminati, che tali protocolli devono essere associati solo ed
esclusivamente alla scheda di rete e non al "Dispositivo di accesso
remoto" al quale, lo ripetiamo, deve essere riferito solo il TCP/IP.
Nel caso in cui non sia strettamente necessario è opportuno
eliminare il supporto per il NetBios disabilitando la casella
relativa all'interno della finestra delle proprietà relativa al
"Dispositivo di accesso remoto", situata nella cartella NetBIOS.
Accertatevi
inoltre di aver disabilitato la condivisione di file e stampanti
all'interno della cartella Binding, nelle Proprietà del "Dispositivo
di accesso remoto". Avendo questa opzione attivata rischierete di
rendere la vita veramente facile a chiunque conosca semplicemente il
vostro indirizzo IP.
|
Introduzione | Regole basilari | Porte | Monitorare
Tutte le macchine connesse alla
Rete dispongono di una serie di porte attraverso le quali passano
tutti i dati necessari per il corretto funzionamento dei vari
programmi e dei servizi come la posta elettronica (STMP e POP3), il
file transfer protocol (FTP), il telnet, la consultazione di pagine
web (HTTP) e newsgroup (NNTP). Ad ogni porta è associato un numero
univoco, ad esempio, per l'invio della posta (SMTP) viene usata la
porta 25, per la ricezione (POP3) la porta 110, per l'ftp la 21, per
il telnet la 23, per http la numero 80 o la 8080, per le news la
119.
Ogni backdoor utilizza una ben precisa porta. Per poter accedere ad
una determinata porta è tuttavia indispensabile che sul computer con
il quale ci si collega sia in esecuzione un programma "server" che
predisponga la macchina all'ascolto su quella specifica porta.
E' immediato dedurre quindi che ciascuna backdoor, come Back Orifice
o Netbus, per poter accedere ad una macchina collegata ad Internet e
di cui se ne conosce l'indirizzo IP, deve trovare su quella stessa
macchina il proprio programma "server" in esecuzione, in caso
contrario sarà impossibile penetrarvi.
Per evitare dispiaceri è quindi bene assicurarsi sempre di che cosa
si sta facendo prima di aprire gli allegati alla posta elettronica:
abbiamo già spiegato come le e-mail siano il principale veicolo di
diffusione delle backdoor...
Buona regola è anche quella di tenere sempre sotto controllo il
sistema monitorando ciò che avviene durante la connessione Internet.
Introduzione | Regole basilari | Porte | Monitorare
I "rompiscatole " remoti
utilizzano appositi software detti "port scanners" per determinare
quali porte sono aperte sul nostro personal computer e quindi
accessibili. Se utilizzate Windows 9x portatevi al Prompt di Ms-Dos
e digitate il comando:
NETSTAT -snap tcp
Verranno elencate una serie di voci. "Tentativi di connessione non
riusciti" (Failed connection attempts) indica il numero delle porte
che sono state verificate da parte di un utente remoto. Il dato si
riferisce esclusivamente alle porte che l'utente remoto ha trovato
aperte.
Se quindi il valore differisce da zero significa che qualcuno ha
tentato di fare il furbo. Che poi sia effettivamente riuscito ad
accedere al vostro personal computer... beh, questa è un'altra
storia.
Il comando "NETSTAT" visualizza anche l'elenco completo delle porte
aperte. In particolare consigliamo l'utilizzo del comando:
NETSTAT -na
Se risulta aperta la porta 12345 o 12346 è molto probabile che
all'interno del sistema sia presente il server di NetBus.
Una
interessante utility è NukeNabber. Essa permette di intercettare i
tentativi di attacco su tutte le porte aperte. Nukenabber è in grado
inoltre di rilevare coloro che hanno tentato l'attacco fornendo
indirizzi host e indirizzi macchina.
Una buona configurazione del software Nukenabber consiste nel
selezionare l'opzione Block port scanners dal menù File , Options ,
General e, sempre nella stessa sezione, abilitare la casella Disable
port for X seconds. In questo modo si chiuderà immediatamente le
porte interessate in caso di attacco e si provvederà a riattivarle
solo dopo un certo numero di secondi.
Nukenabber tiene sotto controllo le seguenti porte: 5001 (tcp), 5000
(tcp), 1080 (tcp), 1032 (tcp), 1029 (tcp), 1027 (tcp), 139 (tcp),
138 (tcp), 137 (tcp), 129 (tcp), 53 (tcp), 19 (udp).
E' consigliabile aggiungere mediante la cartella Advanced ed il
pulsante Add/Modify ports le seguenti porte: 31337 (tcp), 61466
(tcp), 50505 (tcp), 12345 (tcp), 12346 (tcp). Esse sono infatti
utilizzate dalle più diffuse backdoors come Back Orifice e NetBus.
Purtuttavia neppure Nukenabber offre una protezione completa: esso è
infatti da considerarsi più come uno strumento per il monitoraggio
dell'attività del sistema, che unitamente all'uso di altri può
offrire un buon livello di sicurezza.
Per difendersi in modo efficace è bene prima di tutto diagnosticare
quali sono i punti deboli del proprio sistema ed agire di
conseguenza.
ICQ, per esempio, come tutti gli altri programmi basati
sull'utilizzo del protocollo TCP/IP sfruttano le porte attraverso le
quali passano i dati inviati e ricevuti. Va tenuto presente che ICQ
apre una porta per ciascun utente remoto col quale si sta
colloquiando: se questi volesse approfittare della situazione
potrebbe farlo avendo a disposizione tutti gli elementi essenziali
(indirizzo IP, porta aperta, ...).
Prima di usare ICQ ci si assicuri di aver impostato, mediante le
possibilità offerte dal programma stesso, un adeguato livello di
sicurezza. Uno dei provvedimenti essenziali è quello di far sì che
il proprio indirizzo IP non possa essere mostrato a terzi (si acceda
alla sezione Security & Privacy dal menù principale di ICQ). E' bene
tenere presenti anche le altre regole basilari che sono state già
presentate nel nostro articolo su ICQ e quelle che potete trovare
all'interno del dettagliatissimo manuale di ICQ reperibile
qui.
Eseguendo il comando NETSTAT -na dopo l'avvio di ICQ è possibile
sapere quali porte sono state aperte e l'indirizzo remoto
dell'utente al quale sono associate.
Da tutto ciò si può facilmente evincere l'importanza di una attività
di monitoring del sistema. Due strumenti assai efficienti sono
AVP System Watcher
e WinTop
facente parte del pacchetto gratuito di utilità "Kernel Toys"
distribuito da Microsoft.
WinTop permette la visualizzazione di tutti i processi attivi. E'
possibile inoltre verificare tutte le azioni che sono state da essi
compiute. L'utilizzo del programma permette quindi di scovare
presenze sospette.
Tenete presente che kernel32, msgsrv32, mprexe, mmtask, explorer,
rundll32 e idle sono dei processi che Windows 9x utilizza per il suo
corretto funzionamento.
Ancora
migliore ci è parso
AVP System Watcher (460 Kb), un software italiano creato da
Future Time di Paolo
Monti. Esso consente di chiudere tutti i task sospetti e di
verificare i cambiamenti effettuati al registro di sistema di
Windows. Nato per la rimozione di Back Orifice risulta tuttavia
utilissimo per monitorare ciò che avviene all'interno del proprio
sistema.
|
|
|