CarCar > Sicurezza Informatica
B17-W
Come vedo se ho il protocollo NetBIOS su TCP/IP installato? Che rischi
corro? Basta andare in Pannello di Controllo / Rete / Protocolli
e controllare la lista. I rischi che si corrono sono che e' possibile
entrare nel computer inserendo il suo IP in Avvio/Trova/Computer,
se si ha Accesso Remoto aggiornato. Naturalmente bisogna avere attivato
delle condivisioni di risorse su alcune unita'/directory del computer.
Se questo e' necessario, almeno proteggerle con password. |
B18-W
Senza programmi come Bo o NetBus e' possibile "entrare" nel computer
di qualcuno? Alcune versioni di Windows 95, di serie (o quasi),
consentono l'accesso da Internet al disco. Win95 OSR2 se ne accorge
all'installazione di Internet Explorer 4.0, e propone di chiudere
l'accesso. Si ricorda che se nel computer e' attivata la condivisione
di file e stampanti, magari senza password, e' possibile, conoscendo
il suo indirizzo IP, vederlo come unita' di rete da Gestione Risorse.
Quando si installa Windows o quando si compra il computer con Windows
preinstallato, controllare ed eventalmente disattivare ogni condivisione.
Ricordo che Windows 95/98 offre servizi di rete senza avere quelle
caratteristiche di sicurezza (permessi associati ai file, password)
che hanno invece i sistemi multiutente come gli Unix, concepiti
anche pensando a tali problematiche. |
B19-W
Le porte UDP 137 e 138 sono un rischio? E perche'? Sono porte dedicate al NetBios, che consiste nei
File/Print/Disk Services di Windows via protocollo SMB/NetBEUI;
in pratica, serve per condividere file/stampanti/dischi (vedi
[B17-W], [B18-W]). |
B20-W [W95]
Ho notato che ogni volta che mi connetto a internet si aprono
automaticamente queste due porte 137 e 138. Io ho la versione
OSR2 di win95, e' un problema di questa versione ? Potrebbe esserlo se ti attaccassero su quelle
porte sfruttando bug dello stack TCP/IP di MS o semplicemente
i limiti insiti in tutti i protocolli basati sul TCP/IP (vedi
alla voce "SYN flooding"). Per impedire l'apertura delle due
porte suddette, basta eliminare il supporto per il NetBios nelle
risorse di rete. Il supporto del NetBios su TCP/IP (NBT) diventa
particolarmente pericoloso se hai anche le "shares" (condivisioni
di file e/o stampanti) impostate senza password, fatto che si
verifica comunemente in almeno il 5% degli utenti Windows. In
quel caso, chi localizza il tuo IP sulla rete puo' entrare nel
tuo computer come un falco, usando semplicemente il comando
NET o l'Esplora Risorse. |
B21-W [NT]
Da un account NT in pratica senza nessuna autorizzazione,
è possibile scovare la password dell'Administrator? Forse si', sfruttando un bug nella gestione
delle librerie... in pratica, anche un utente normale ha una
serie di processi che girano con maggiori privilegi, e in
teoria non sarebbero influenzabili. |
B22-W [NT]
E' possibile diventare amministratore sotto Windows NT?
Purtroppo si'. A causa di un baco nel sistema
operativo, certe funzioni a livello supervisore non controllano
bene i puntatori passati. Come conseguenza, e' possibile
modificare una serie di variabili nel kernel, senza essere
amministratore. |
B23-W [NT]
Avendo il diritto di installare ed eseguire programmi,
cosa posso fare? Per esempio, scrivere un programma che
acceda alle funzioni che non controllano i puntatori (vedere
[B27]) e passargli un indirizzo illegale corrispondente
ai dati da modificare. |
B24-W
Come possono interagire telnet e BO? Per quanto riguarda una sessione telnet,
la si può aprire, ma dal client Bo. Il comando è App
Add, si deve scrivere nella finestra exe.location Command.com
e scegliere una porta a piacere come listen port. Poi
si fa telnet all'indirizzo ip target sulla porta appena
scelta... E' una vera e propria shell. |
B25-W
In cosa consiste di preciso il "TearDrop Attack"? Nell'inviare un pacchetto IP scorretto,
cioe' frammentato in un modo non valido. Tentando
di riassemblarlo, quasi tutti gli stacks TCP-IP ottengono
indici negativi ed indirizzi di memoria scorretti,
dal che si ottengono magni inchiodamenti. Il protocollo
usato e' ICMP. |
B26-W
Come sono belli i messaggi di posta e news formattati,
con tutte quelle belle applet ed effetti speciali!!! Disabilitare i messaggi in formato
HTML! Immediatamente!!! La ricchezza espressiva
consentita dall'HTML e dalla possibilita' di incorporare
in esso delle funzioni JavaScript e/o delle applet
Java non vale la sicurezza del proprio computer.
Un esempio "innocuo" e' dato dal seguente codice: |
B27-W [NT]
Perche' e' meglio chiudere la porta 53 sotto
NT? La porta 53 e' destinata al servizio
DNS. I sistemi Windows NT sono vulnerabili a un
programma chiamato NTCrash, che e' uno script
che mette fuori combattimento il server DNS di
NT, se presente. E' quindi saggio, se non necessario,
disabilitare tale servizio sul propriosistema
NT. |
B28-W
E' possibile camuffare un eseguibile come un
file di tipo diverso? In linea di principio si', e
anche in pratica. Per esempio, se in Gestione
Risorse (Esplora Risorse) e' disabilitata la
visualizzazione delle estensioni per i tipi
di file registrati, un file di nome PIPPO.BMP.EXE
viene mostrato in G.R. come PIPPO.BMP; se l'infame
che l'ha mandato gli ha dato l'icona di una
bitmap e il file sta da solo nella sua cartella,
si puo' restare ingannati e non accorgersi subito
che e' un file eseguibile. In tal caso, si puo'
essere indotti a tentare di "visualizzarlo"
con un doppio click, e quest'azione in realta'
lancia il programma che puo' compiere le sue
buone azioni... |
B29-W
Corro rischi ad usare Netbuster per beccare
intrusi? Con il Netbuster basta un PortFuck
(SYN flood) sulla porta 12345 per avere il
sistema bloccato. Per la precisione, Portfuck
e' un programma DoS usato per floodare porte
TCP aperte. E' simile ad un flood SYN. Il
suo uso principale e' bloccare servizi come
Telnet o FTP. In pratica Portfuck stabilisce
molte connessioni ad un'unica porta TCP di
un host remoto. Stabilita una connessione,
essa viene chiusa immediatamente e ne viene
aperta un'altra. |
B01-M
E' possibile far piantare il Mac tramite
la rete? L'unica cosa che manda in
bomba il System 8.1 con l'ultimo OpenTpt
e' se sta collegandosi (attivamente) a un
server DDP e il server crasha. Resta per
un po' confuso, poi si pianta il Finder
e tocca riavviare. Anzi, una volta su cinque
tocca pure resettare la P-RAM. |
B01-X
Nella mia macchina Linux ho attivo il
servizio di finger. E' vero che ci sono
rischi? Forse. In realta' era un
bug di vecchie versioni, che potevano
essere "indotte" a concedere una shell
verso un client remoto se questo gli inviava
una particolare stringa, contenente quelli
che finivano per essere interpretati come
comandi. Se il demone girava con diritti
di root, l'operatore all'altro capo della
connessione aveva a disposizione una shell
con i diritti di root... In maniera piu'
pedestre, il server poteva essere fatto
crashare mandando una stringa molto lunga. |
B02-X
Con X-Window attivo netstat rileva
qualcosa sulla porta 6000. Facciamo un esperimento:
da console (non come terminale di X-Window,
ma proprio in "modo testo") diamo il
comando |
BO3-X
Ho sentito parlare di PHF, ma cos'e'?
Una backdoor? No, e' un CGI installato
con Apache. A causa di un bug, se
gli si domandava con garbo, per esempio
|
BO4-X
Corro rischi ad ascoltare musica
in formato MP3 sul mio sistema Linux? I files .MP3 possono
contenere, con _alcuni_ lettori
MP3, un exploit per sistemi Linux
su piattaforma x86. E' stato presentato
un mini virus realizzato con script
bash, che si propaga via MP3, a
patto di eseguire il lettore del
file con diritti di "root". |
Sicurezza informatica - By Carlo Carmagnini