Vorrei citare qui due "security tools" abbastanza utili per sistemi *nix/Linux.
Il primo si chiama lynis ed effettua una serie di controlli sulle più differenti aree del sistema, riportando segnalazioni in caso di possibili problemi di sicurezza introdotti dalla configurazione corrente del sistema.
Maggiori informazioni su:
http://www.rootkit.nl/files/lynis-documentation.html
L'altro tool si chiama rkhunter ed è dedicato alla ricerca di "rootkit" eventualmente presenti sul sistema. Non entro nel dettaglio della discussione sui rootkit: basta cercare informazioni in rete. Anche questo tool è molto facile da usare.
Per maggiori informazioni:
http://www.rootkit.nl/projects/rootkit_hunter.html
Nota bene: installare sempre da "repository" ufficiali, e/o controllare il codice MD5 associato al pacchetto originale, per evitare "sorprese"...
domenica 26 dicembre 2010
sabato 25 dicembre 2010
La Paranoia sia con noi
Ricordo che molti anni fa' mi trovai per un breve periodo ad affiancare il Security Operation Manager di un'importante Azienda di Elettronica e Telecomunicazioni, il cui NOC (Network Operating Center) serviva infrastrutture considerate abbastanza critiche.
Ricordo benissimo che, il primo venerdì di lavoro insieme, mi raccomandò, prima di andare a casa, di "chiudere tutti gli ICMP da Internet" per tutto il weekend: c'era un'apposita regola (disabilitata) sui firewall di front-end, che inibiva tutto il traffico ICMP da e verso Internet. Pensai che il tipo fosse eccessivamente paranoico, ma poi mi spiegò che far perdere anche qualche minuto a chi volesse attaccare dall'esterno le nostre infrastrutture, era pur sempre un vantaggio. E pensai che per vincere una guerra era necessario vincere tante piccole battaglie, compresa questa dei "5 minuti".
Cito questo aneddoto per affermare che, quando si lavora per l'IT Security, non si è mai abbastanza paranoici: non ci si può permettere, cioè, di essere ottimisti, se non al prezzo di abbassare (statisticamente) le difese. Contando che poi spesso questo tipo di ottimismo non porta con sé nessun "risparmio" economico, si fa presto a sposare la causa della Paranoia.
Ci sono già abbastanza pericoli imprevedibili, che sottomettersi a quelli prevedibili non è mai una buona scelta.
Ricordo benissimo che, il primo venerdì di lavoro insieme, mi raccomandò, prima di andare a casa, di "chiudere tutti gli ICMP da Internet" per tutto il weekend: c'era un'apposita regola (disabilitata) sui firewall di front-end, che inibiva tutto il traffico ICMP da e verso Internet. Pensai che il tipo fosse eccessivamente paranoico, ma poi mi spiegò che far perdere anche qualche minuto a chi volesse attaccare dall'esterno le nostre infrastrutture, era pur sempre un vantaggio. E pensai che per vincere una guerra era necessario vincere tante piccole battaglie, compresa questa dei "5 minuti".
Cito questo aneddoto per affermare che, quando si lavora per l'IT Security, non si è mai abbastanza paranoici: non ci si può permettere, cioè, di essere ottimisti, se non al prezzo di abbassare (statisticamente) le difese. Contando che poi spesso questo tipo di ottimismo non porta con sé nessun "risparmio" economico, si fa presto a sposare la causa della Paranoia.
Ci sono già abbastanza pericoli imprevedibili, che sottomettersi a quelli prevedibili non è mai una buona scelta.
giovedì 23 dicembre 2010
La Triade
Quando si parla di IT Security si sottindende spesso la conoscenza dei tre principali "assi" lungo i quali essa si sviluppa. Vediamo di renderli espliciti, e magari un po' più comprensibili.
Confidenzialità. Alcune informazioni sono destinate a "tutti". Magari non tutti hanno voglia e tempo di leggerle, ma se le leggono va bene. Altre informazioni sono riservate: a chi deve prendere decisioni, a chi non vuol far sapere di conoscere certi particolari (si pensi per esempio alle indagini della Polizia o della Magistratura), almeno per un certo lasso di tempo. Infine, alcune informazioni sono "segrete", cioè devono essere portate a conoscenza di poche persone, che svolgono compiti particolari (non voglio dare nessun giudizio di merito su queste situazioni, ma semplicemente rendere espliciti quelli che sono spesso "requisiti" dell'informazione, nel campo della sicurezza).
Integrità. Quando leggo una notizia o ricevo un'informazione, voglio che sia "vera", affidabile. Per le favole c'è la letteratura, ma è un'altra cosa. Quante volte si vedono titoloni "strillare" strabilianti o sconvolgenti "notizie", e poi si scopre che si tratta di supposizioni, di illazioni, di informazioni riportate senza riscontro, o magari di vere e proprie "bugie" diffuse ad arte.
Disponibilità. Quando ho bisogno di una certa informazione, che so che già esiste da qualche parte, voglio potervi accedere liberamente, e non aspettare chissà quanto che torni disponibile.
Semplice no? Ecco, questi sono i tre pilastri dell'IT Security, e ciò che si fa in questo campo è finalizzato a... mantenerli in piedi, a dispetto di tutte le minacce che si trovano ormai abbondanti nel mondo reale.
Confidenzialità. Alcune informazioni sono destinate a "tutti". Magari non tutti hanno voglia e tempo di leggerle, ma se le leggono va bene. Altre informazioni sono riservate: a chi deve prendere decisioni, a chi non vuol far sapere di conoscere certi particolari (si pensi per esempio alle indagini della Polizia o della Magistratura), almeno per un certo lasso di tempo. Infine, alcune informazioni sono "segrete", cioè devono essere portate a conoscenza di poche persone, che svolgono compiti particolari (non voglio dare nessun giudizio di merito su queste situazioni, ma semplicemente rendere espliciti quelli che sono spesso "requisiti" dell'informazione, nel campo della sicurezza).
Quali sono gli strumenti IT oggi disponibili per garantire la confidenzialità delle informazioni? Soprattutto la crittografia, nelle sue varie incarnazioni, a seconda del grado e potenza che si desidera ottenere.
Integrità. Quando leggo una notizia o ricevo un'informazione, voglio che sia "vera", affidabile. Per le favole c'è la letteratura, ma è un'altra cosa. Quante volte si vedono titoloni "strillare" strabilianti o sconvolgenti "notizie", e poi si scopre che si tratta di supposizioni, di illazioni, di informazioni riportate senza riscontro, o magari di vere e proprie "bugie" diffuse ad arte.
Strumenti IT: soprattutto la firma digitale, ossia il riconoscimento attraverso una "terza parte fidata", che garantisce l'identità di chi mette in circolazione le informazioni.
Disponibilità. Quando ho bisogno di una certa informazione, che so che già esiste da qualche parte, voglio potervi accedere liberamente, e non aspettare chissà quanto che torni disponibile.
Strumenti IT: principalmente la replicazione e la delocalizzazione (tecnicamente: clustering, cloud computing e disaster-recovery).
Semplice no? Ecco, questi sono i tre pilastri dell'IT Security, e ciò che si fa in questo campo è finalizzato a... mantenerli in piedi, a dispetto di tutte le minacce che si trovano ormai abbondanti nel mondo reale.
mercoledì 22 dicembre 2010
Comunicazioni insicure
All'alba delle comunicazioni via "Internet", quando al CERN ancora si favoleggiava di questo nuovo modo di scambiare informazioni fra le diverse Università, e il mondo online era costituito da pochi eletti (e sostanzialmente non aggressivi l'uno verso l'altro), non ci si preoccupava affatto degli eventuali problemi di sicurezza intrinsecamente connessi ai vari protocolli che si andavano sviluppando.
Per citarne alcuni, fra i più diffusi e (allora) utilizzati: telnet, per la connessione a un sistema remoto; ftp, per l'invio o ricezione di "dati" (principalmente files con i risultati delle ricerche); e più tardi dns, per una comoda risoluzione nomi-indirizziIP.
(v. rif. in fondo all'articolo)
Per citarne alcuni, fra i più diffusi e (allora) utilizzati: telnet, per la connessione a un sistema remoto; ftp, per l'invio o ricezione di "dati" (principalmente files con i risultati delle ricerche); e più tardi dns, per una comoda risoluzione nomi-indirizziIP.
(v. rif. in fondo all'articolo)
domenica 19 dicembre 2010
Di Albi, Certificazioni e Professioni
Recentemente mi sono trovato a riflettere su una semplice verità: in Italia non esiste un Albo né un Ordine degli specialisti informatici. Tantomeno ne esiste uno degli specialisti di IT Security. Esistono invece varie "certificazioni", una specie di "bollini blu" che vengono attribuiti a chi supera certi esami organizzati da enti privati (alcuni di essi senza scopo di lucro).
Sappiamo tutti che per superare questi esami a volte (spesso?) non è sufficiente studiare la "materia" (anche se si è ottimi praticanti), ma conviene frequentare appositi corsi o seminari, per imparare a superare i "trucchetti" con cui a volte vengono poste le domande e riuscire a capire che cosa è davvero importante sapere (per superare l'esame di certificazione, non per saper fare "bene" un certo mestiere).
Insomma: poiché non esiste un Ordine degli informatici né degli Specialisti in IT Security, chiunque può spacciarsi per "Professionista" in questi campi, senza incorrere nell'illecito previsto dall'art. 348 c.p. Al tempo stesso, le diverse Certificazioni cui si accennava (e che volutamente non cito) dovrebbero riuscire a selezionare la qualità del lavoro svolgibile da questi Professionisti. D'altra parte, non mi sembra che esista una Certificazione "definitiva", che sia onnicomprensiva o di livello superiore rispetto alle altre, quindi, volendo qualificarsi, sembrerebbe di dover conseguire tutte le Certificazioni pertinenti un determinato ambito.
Una situazione leggermente grottesca, non vi pare? :-)
Un consiglio? Studiate, e se possibile praticate la Professione IT Security affiancando qualcuno più bravo ed esperto, e infine (se avete tempo, voglia e budget) cercate di conseguire qualche Certificazione. Quali? Quelle che vi stanno maggiormente "simpatiche", professionalmente parlando. Il resto va da sé.
Sappiamo tutti che per superare questi esami a volte (spesso?) non è sufficiente studiare la "materia" (anche se si è ottimi praticanti), ma conviene frequentare appositi corsi o seminari, per imparare a superare i "trucchetti" con cui a volte vengono poste le domande e riuscire a capire che cosa è davvero importante sapere (per superare l'esame di certificazione, non per saper fare "bene" un certo mestiere).
Insomma: poiché non esiste un Ordine degli informatici né degli Specialisti in IT Security, chiunque può spacciarsi per "Professionista" in questi campi, senza incorrere nell'illecito previsto dall'art. 348 c.p. Al tempo stesso, le diverse Certificazioni cui si accennava (e che volutamente non cito) dovrebbero riuscire a selezionare la qualità del lavoro svolgibile da questi Professionisti. D'altra parte, non mi sembra che esista una Certificazione "definitiva", che sia onnicomprensiva o di livello superiore rispetto alle altre, quindi, volendo qualificarsi, sembrerebbe di dover conseguire tutte le Certificazioni pertinenti un determinato ambito.
Una situazione leggermente grottesca, non vi pare? :-)
Un consiglio? Studiate, e se possibile praticate la Professione IT Security affiancando qualcuno più bravo ed esperto, e infine (se avete tempo, voglia e budget) cercate di conseguire qualche Certificazione. Quali? Quelle che vi stanno maggiormente "simpatiche", professionalmente parlando. Il resto va da sé.
giovedì 16 dicembre 2010
Vulnerability Assessment
Si parla tanto e a sproposito di Penetration Test. Dal punto di vista della sicurezza IT, organizzata e non caciarona, condotta in modo "scientifico" e non occasionale, molto prima della "simulazione di attacco" (Penetration Test) vengono altre fasi, tutte molto importanti per arrivare ad una soluzione che "funzioni" quando serve.
Una di queste fasi (non certo la prima) si chiama Vulnerability Assessment (VA), ovvero scoprire e catalogare i punti deboli dell'infrastruttura IT sotto analisi (sia essa la rete, le applicazioni o altro). Spesso le operazioni di VA sulla rete e sulle applicazioni non sono facilmente scindibili, in quanto un'applicazione "in rete" si basa, appunto, sui meccanismi propri del funzionamento di una rete IP e dei suoi legami con Internet.
Per quanto riguarda un approccio metodologico, personalmente mi piace OSSTMM (ora disponibile la V.3). Per una linea guida circa i "tools" per VA soprattutto applicativo, consiglio "OWASP live CD" (vedi tutorial). Un'altra copiosa sorgente di "tools", più orientata a OS e Networking, è la distribuzione "BackTrack Linux" (più di 300 tools in totale).
Proprio da OWASP Live CD prendo una lista di "tools" tutti abbastanza interessanti (sul sito OWASP sono disponibili i link ai siti web originali di ogni tool):
1 OWASP WebScarab
2 OWASP WebGoat
3 OWASP CAL9000
4 OWASP JBroFuzz
5 Paros Proxy
6 nmap & Zenmap
7 Wireshark
8 tcpdump
9 Firefox 3
10 Burp Suite
11 Grenedel-Scan
12 OWASP DirBuster
13 OWASP SQLiX
14 OWASP WSFuzzer
15 Metasploit 3
16 w3af & GTK GUI for w3af
17 Netcats collection
18 OWASP Wapiti
19 Nikto
20 Fierce Domain Scaner
21 Maltego CE
22 Httprint
23 SQLBrute
24 Spike Proxy
25 Rat Proxy
26 Webshag
Buona lettura.
Una di queste fasi (non certo la prima) si chiama Vulnerability Assessment (VA), ovvero scoprire e catalogare i punti deboli dell'infrastruttura IT sotto analisi (sia essa la rete, le applicazioni o altro). Spesso le operazioni di VA sulla rete e sulle applicazioni non sono facilmente scindibili, in quanto un'applicazione "in rete" si basa, appunto, sui meccanismi propri del funzionamento di una rete IP e dei suoi legami con Internet.
Per quanto riguarda un approccio metodologico, personalmente mi piace OSSTMM (ora disponibile la V.3). Per una linea guida circa i "tools" per VA soprattutto applicativo, consiglio "OWASP live CD" (vedi tutorial). Un'altra copiosa sorgente di "tools", più orientata a OS e Networking, è la distribuzione "BackTrack Linux" (più di 300 tools in totale).
Proprio da OWASP Live CD prendo una lista di "tools" tutti abbastanza interessanti (sul sito OWASP sono disponibili i link ai siti web originali di ogni tool):
1 OWASP WebScarab
2 OWASP WebGoat
3 OWASP CAL9000
4 OWASP JBroFuzz
5 Paros Proxy
6 nmap & Zenmap
7 Wireshark
8 tcpdump
9 Firefox 3
10 Burp Suite
11 Grenedel-Scan
12 OWASP DirBuster
13 OWASP SQLiX
14 OWASP WSFuzzer
15 Metasploit 3
16 w3af & GTK GUI for w3af
17 Netcats collection
18 OWASP Wapiti
19 Nikto
20 Fierce Domain Scaner
21 Maltego CE
22 Httprint
23 SQLBrute
24 Spike Proxy
25 Rat Proxy
26 Webshag
Un consiglio: non eseguite VA (né altre operazioni online) verso destinatari che non abbiano dato il loro assenso scritto per tali operazioni (e anche in questo caso, non si è del tutto incolpevoli...). Per esercitarsi è sufficiente una piccola LAN domestica, sconnessa da altre reti e da Internet.
Buona lettura.
martedì 7 dicembre 2010
Security vs. Obscurity
Quando si tratta di IT Security, spesso si sottintende un aspetto: non tutte le informazioni (per es. sulla topologia della rete interna, sul tipo, quantità e localizzazione dei vari dispositivi di sicurezza) vengono rese note. Di norma, neanche agli utenti interni, talvolta nemmeno ai sistemisti che non siano incaricati della gestione della sicurezza IT.
Questi comportamenti fanno parte del "lato oscuro" nella gestione della Sicurezza IT. Certamente, tenere nascosti o comunque non divulgare questi dettagli aiuta gli addetti alla IT-SEC a sentirsi più protetti. In realtà, più si utilizzano tecniche di "obscurity" e maggiormente si mettono alla prova gli skill degli eventuali "nemici" nel campo del "discovery" (della reale configurazione di sicurezza).
Possiamo dire, usando un'immagine colorita, che la "Security by Obscurity" tiene alla larga i "ladri di polli", ma difficilmente spaventa gli "Arsenio Lupin", cioè i professionisti ben attrezzati. Una delle conseguenze di questa semplice osservazione è che le nostre infrastrutture IT saranno violate più raramente, ma quando ciò avverrà saremo quasi certi di avere di fronte "nemici" molto preparati tecnicamente (e anche organizzativamente).
Idealmente parlando, si potrebbero pubblicare i dettagli relativi agli accorgimenti di sicurezza attivi e passivi utilizzati (firewall, IDS/IPS, proxy, DMZ, sezionamenti di rete, e chi più ne sa più ne metta), e magari anche le relative configurazioni (non le credenziali di accesso!), senza compromettere di molto la sicurezza generale delle infrastrutture IT.
Stando alle statistiche, fanno più male alla sicurezza IT quegli utenti che con la loro workstation visitano siti di dubbia natura (che spesso ospitano fantastici "cavalli di troia" perfettamente invisibili), oppure quei sistemisti che configurano credenziali di accesso "deboli" su sistemi critici (es.: password "di fabbrica" sugli apparati di rete, accesso wireless non opportunamente protetto), rispetto a uno schema di rete interna caduto in mani "nemiche".
Anche le varie tecniche per evitare di diffondere "troppe" informazioni (per esempio) sulla versione del Web Server o del CMS utilizzato sono ben poca cosa di fronte a Browser non aggiornati e pieni di "bugs" che spifferano in Internet molteplici appetibili informazioni della loro stessa esistenza.
Ovviamente, sono partito da un discorso estremo per arrivare ad affermare un concetto: la Sicurezza IT non può basarsi soltanto sulla mancanza di informazione. Anzi, non può basarsi affatto sulla mancanza di informazione. La riservatezza, se così vogliamo chiamarla, dovrebbe solo andare a completare tutte quelle misure (policy, adozione di strumenti tecnici efficaci, auditing interno e "indipendente", revisioni e controlli ripetuti e periodici, allarmi e risorse atte a gestire le emergenze, "incident response & mitigation") che si trovano alla base della Sicurezza di ogni Sistema complesso.
Questi comportamenti fanno parte del "lato oscuro" nella gestione della Sicurezza IT. Certamente, tenere nascosti o comunque non divulgare questi dettagli aiuta gli addetti alla IT-SEC a sentirsi più protetti. In realtà, più si utilizzano tecniche di "obscurity" e maggiormente si mettono alla prova gli skill degli eventuali "nemici" nel campo del "discovery" (della reale configurazione di sicurezza).
Possiamo dire, usando un'immagine colorita, che la "Security by Obscurity" tiene alla larga i "ladri di polli", ma difficilmente spaventa gli "Arsenio Lupin", cioè i professionisti ben attrezzati. Una delle conseguenze di questa semplice osservazione è che le nostre infrastrutture IT saranno violate più raramente, ma quando ciò avverrà saremo quasi certi di avere di fronte "nemici" molto preparati tecnicamente (e anche organizzativamente).
Idealmente parlando, si potrebbero pubblicare i dettagli relativi agli accorgimenti di sicurezza attivi e passivi utilizzati (firewall, IDS/IPS, proxy, DMZ, sezionamenti di rete, e chi più ne sa più ne metta), e magari anche le relative configurazioni (non le credenziali di accesso!), senza compromettere di molto la sicurezza generale delle infrastrutture IT.
Stando alle statistiche, fanno più male alla sicurezza IT quegli utenti che con la loro workstation visitano siti di dubbia natura (che spesso ospitano fantastici "cavalli di troia" perfettamente invisibili), oppure quei sistemisti che configurano credenziali di accesso "deboli" su sistemi critici (es.: password "di fabbrica" sugli apparati di rete, accesso wireless non opportunamente protetto), rispetto a uno schema di rete interna caduto in mani "nemiche".
Anche le varie tecniche per evitare di diffondere "troppe" informazioni (per esempio) sulla versione del Web Server o del CMS utilizzato sono ben poca cosa di fronte a Browser non aggiornati e pieni di "bugs" che spifferano in Internet molteplici appetibili informazioni della loro stessa esistenza.
Ovviamente, sono partito da un discorso estremo per arrivare ad affermare un concetto: la Sicurezza IT non può basarsi soltanto sulla mancanza di informazione. Anzi, non può basarsi affatto sulla mancanza di informazione. La riservatezza, se così vogliamo chiamarla, dovrebbe solo andare a completare tutte quelle misure (policy, adozione di strumenti tecnici efficaci, auditing interno e "indipendente", revisioni e controlli ripetuti e periodici, allarmi e risorse atte a gestire le emergenze, "incident response & mitigation") che si trovano alla base della Sicurezza di ogni Sistema complesso.
sabato 4 dicembre 2010
TOR: una divinità nordica?
Questa volta vorrei parlare di TOR "The Onion Router", un componente software che permette di mantenere un certo anonimato nella navigazione Internet. Una pagina esplicativa (in italiano) si trova su Wikipedia.
In pratica, TOR "manipola" (a gentile richiesta!) le connessioni TCP uscenti dal nostro computer, facendogli fare (letteralmente) il giro del mondo fra una vera e propria rete di computer appositamente configurati (i "relay" TOR, appunto).
Come si usa? Esistono diverse distribuzioni "bundled" che rendono particolarmente agevole usare TOR "out of the box", senza nessun particolare sforzo di configurazione. Anzi, la versione minimale non deve nemmeno essere installata: comprende un browser (Mozilla/Firefox con l'opzione TorButton), un proxy locale (Privoxy) e un "centro di controllo" (Vidalia) già pronti all'uso.
C'è da dire subito che l'esperienza di navigazione web con TOR è consigliata a persone pazienti, poiché i tempi di risposta sono da 2 a 5 volte superiori a quelli normali (e anche superiori, a volte): dopo tutto, i dati (richieste e risposte) devono fare il giro del mondo, e periodicamente vengono dirottati su percorsi differenti, proprio per impedire che si possa risalire a chi fa una certa richiesta.
A che serve TOR? Sembrerebbe un giocattolo per maniaci frequentatori di siti "proibiti", ma attenzione: l'anonimato è (quasi) garantito presso il sito di arrivo, non presso le infrastrutture di rete da cui si parte (in altre parole: chi intendesse usare TOR per eludere i controlli aziendali sulla navigazione è avvisato!). Invece, per lo più TOR viene utilizzato quando non ci si vuole "presentare" in chiaro presso uno o più siti web. Un esempio riguarda la "gestione della concorrenza" da parte delle aziende. Un altro importante esempio di utilizzo è la ricezione e trasmissione di informazioni in presenza di forti restrizioni dettate da certi regimi politici.
Insomma, certamente TOR non interessa la stragrande maggioranza dei naviganti Internet, però è sempre bene conoscerne l'esistenza per valutarne l'eventuale utilizzo, in casi particolari.
In pratica, TOR "manipola" (a gentile richiesta!) le connessioni TCP uscenti dal nostro computer, facendogli fare (letteralmente) il giro del mondo fra una vera e propria rete di computer appositamente configurati (i "relay" TOR, appunto).
Come si usa? Esistono diverse distribuzioni "bundled" che rendono particolarmente agevole usare TOR "out of the box", senza nessun particolare sforzo di configurazione. Anzi, la versione minimale non deve nemmeno essere installata: comprende un browser (Mozilla/Firefox con l'opzione TorButton), un proxy locale (Privoxy) e un "centro di controllo" (Vidalia) già pronti all'uso.
C'è da dire subito che l'esperienza di navigazione web con TOR è consigliata a persone pazienti, poiché i tempi di risposta sono da 2 a 5 volte superiori a quelli normali (e anche superiori, a volte): dopo tutto, i dati (richieste e risposte) devono fare il giro del mondo, e periodicamente vengono dirottati su percorsi differenti, proprio per impedire che si possa risalire a chi fa una certa richiesta.
A che serve TOR? Sembrerebbe un giocattolo per maniaci frequentatori di siti "proibiti", ma attenzione: l'anonimato è (quasi) garantito presso il sito di arrivo, non presso le infrastrutture di rete da cui si parte (in altre parole: chi intendesse usare TOR per eludere i controlli aziendali sulla navigazione è avvisato!). Invece, per lo più TOR viene utilizzato quando non ci si vuole "presentare" in chiaro presso uno o più siti web. Un esempio riguarda la "gestione della concorrenza" da parte delle aziende. Un altro importante esempio di utilizzo è la ricezione e trasmissione di informazioni in presenza di forti restrizioni dettate da certi regimi politici.
Insomma, certamente TOR non interessa la stragrande maggioranza dei naviganti Internet, però è sempre bene conoscerne l'esistenza per valutarne l'eventuale utilizzo, in casi particolari.
lunedì 29 novembre 2010
STUN, TURN, ICE: come lottare contro i mulini a vento
Come "veterano" della sicurezza in rete, sentendo parlare di protocolli e specifiche che consentono di attraversare strati di firewall e di debellare tecniche anche sofisticate che si usano per nascondere al mare magnum di Internet la struttura interna delle preziose reti aziendali... mi si sono rizzati tutti i capelli del mio ex-capo (o, se preferite tutti gli ex-capelli del mio capo)!
Ragazzi, qui non stiamo parlando dei soliti hacker/cracker che tentano ingegnosamente di penetrare negli appetibili meandri di qualche server aziendale. Si tratta invece di specifiche studiate e pubblicate dall' Internet Engineering Task Force (IETF), uno degli organismi "super partes" che costruisce quel vasto e variopinto mondo conosciuto come Internet.
Sto parlando di STUN, TURN e ICE. Tre tecniche per vanificare una parte del lavoro svolto da molti firewall.
Citando Wikipedia,
(il corsivo ovviamente è mio!).
Ora capisco perché, qualche tempo addietro, tentando di mettere in piedi un sistema VOIP (telefonia in rete) e videoconferenza per un cliente, incontrammo infinite difficoltà di implementazione! Evidentemente i protocolli VOIP e videoconferenza non hanno nulla a che vedere con Skype o MSN-Messenger o altri simili programmi che permettono a "tutto il mondo" di comunicare "istantaneamente" attraverso Internet, anche con voce e video, senza particolariseghe mentali ehm... problemi tecnici! Né sanno imparare che la strada più semplice è sempre la migliore.
Per approfondimenti (principalmente in inglese) riguardanti la fantastica terna STUN/TURN/ICE, rimando a questo articolo di Wikipedia, nonché alle relative RFC pubblicate dall'IETF:
Ora vado a farmi una camomilla! E a rileggermi il Don Chisciotte: almeno lui, contro i mulini a vento riusciva a combattere!
Ragazzi, qui non stiamo parlando dei soliti hacker/cracker che tentano ingegnosamente di penetrare negli appetibili meandri di qualche server aziendale. Si tratta invece di specifiche studiate e pubblicate dall' Internet Engineering Task Force (IETF), uno degli organismi "super partes" che costruisce quel vasto e variopinto mondo conosciuto come Internet.
Sto parlando di STUN, TURN e ICE. Tre tecniche per vanificare una parte del lavoro svolto da molti firewall.
Citando Wikipedia,
"STUN è l'acronimo di Session Traversal Utilities for Network Address Translators (NATs): si tratta di un protocollo e di un insieme di funzioni che permettono alle applicazioni in esecuzione su un computer di scoprire la presenza ed i tipi di NAT e firewall che si interpongono tra il computer e la rete pubblica."
(il corsivo ovviamente è mio!).
Ora capisco perché, qualche tempo addietro, tentando di mettere in piedi un sistema VOIP (telefonia in rete) e videoconferenza per un cliente, incontrammo infinite difficoltà di implementazione! Evidentemente i protocolli VOIP e videoconferenza non hanno nulla a che vedere con Skype o MSN-Messenger o altri simili programmi che permettono a "tutto il mondo" di comunicare "istantaneamente" attraverso Internet, anche con voce e video, senza particolari
Per approfondimenti (principalmente in inglese) riguardanti la fantastica terna STUN/TURN/ICE, rimando a questo articolo di Wikipedia, nonché alle relative RFC pubblicate dall'IETF:
- RFC5389: Session Traversal Utilities for NAT (STUN).
- RFC5766: Traversal Using Relays around NAT (TURN): Relay Extensions to STUN.
- RFC5245: Interactive Connectivity Establishment (ICE): A Protocol for NAT Traversal for Offer/Answer Protocols.
Ora vado a farmi una camomilla! E a rileggermi il Don Chisciotte: almeno lui, contro i mulini a vento riusciva a combattere!
domenica 28 novembre 2010
Ping e Traceroute: mini-geografia di una rete
PING (aka "ICMP echo request")
Molto spesso sentiamo ormai parlare di PING in rete, ovvero di una tecnica per sondare se un certo computer (a volte, generalizzando, un certo servizio, ma non è di questo che parleremo in questo articolo) "risponde" in rete.
Strettamente parlando, il comando PING è l'interfaccia utente (a riga di comando) per generare un determinato tipo di pacchetti ICMP (vedi dettagli): esattamente viene generato un ICMP di tipo 8 ("echo request"), attraverso il quale si chiede al computer (host) destinatario di rispondere con un pacchetto ICMP di tipo 0 ("echo reply"). A questo punto, il nostro pacchetto ICMP viaggia in rete, seguendo la "strada" di un normale pacchetto IP (istradamento, e a volte filtraggio e prioritizzazione, a seconda dei casi). Sono possibili diversi scenari:
In tutti i casi in cui il pacchetto ICMP non "ritorna" al mittente entro un tempo prestabilito, l'utente viene informato con apposito messaggio. In questi casi, ovviamente, non è possibile avere informazioni sul RTT (tempo di andata-e-ritorno).
Bisogna inoltre tenere presente che, come tutti i pacchetti IP, il pacchetto ICMP porta con sé l'informazione di TTL (time to live), ovvero il massimo numero di "router" che può attraversare senza essere scartato. Questo valore viene solitamente impostato a 255, che consente di attraversare la rete in condizioni normali. Vedremo che proprio il TTL minore di 255 costituirà la tecnica per il tracciamento del percorso che descriveremo in seguito.
TRACEROUTE (aka "TTL expired")
Naturalmente, oltre a sapere se e come un computer (host) in rete "risponde" alle sollecitazioni di tipo PING viste sopra, risulta spesso interessante scoprire quale percorso sta seguendo il generico pacchetto IP dal nostro computer a quello che vogliamo raggiungere. Si parla quindi di Tracerouting (tracciare la rotta). Una tecnica semplice ma efficace per ottenere queste informazioni, consiste nell'inviare un pacchetto IP avente come valore del TTL un numero basso: se per esempio inviamo in ICMP echo request (PING) con TTL = 1, il primo router attraversato dal pacchetto decrementerà il TTL e, vedendolo arrivare a zero, risponderà con un ICMP tipo 11 (TTL expired), mettendo come destinazione l'IP originario e come sorgente il proprio IP (quello del router): in questo modo, sarà noto l'indirizzo IP del primo router attraversato dal pacchetto. Analogamente, facendo partire un successivo pacchetto con TTL = 2, il primo router verrà attraversato senza problemi, mentre il secondo risponderà con un ICMP tipo 11, rendendoci noto il suo IP. Proseguendo con la generazione di pacchetti aventi TTL via via crescenti, potremo ricostruire la catena di router attraversati per arrivare a destinazione.
Naturalmente, questa tecnica si basa sull'ipotesi che le reti attraversate facciano passare pacchetti ICMP e che i router rispettino lo standard che richiede di decrementare il TTL e di inviare ICMP tipo 11 "TTL expired" nel caso in cui il TTL vada a zero. Capita invece di trovarsi di fronte ad apparati che filtrano il traffico (firewall), a router che non rispondono in caso di TTL uguale a zero, e perfino a router che non decrementano il TTL. In questi casi, le informazioni sull'istradamento verso quella destinazione saranno incomplete o poco precise. Bisogna inoltre tenere presente che nello scenario "Big Internet" non è affatto detto che per andare da una certa origine a una certa destinazione i pacchetti passino sempre per lo stesso percorso: esistono ben noti algoritmi di ottimizzazione del traffico che possono istradare i pacchetti su percorsi diversi a seconda delle condizioni della rete e delle caratteristiche dei pacchetti stessi.
In definitiva: i comandi ping e traceroute (tracert sui sistemi Windows) possono essere utili strumenti per una prima diagnosi di raggiungibilità in rete, ma non costituiscono la "prova provata" di eventuali problemi di connettività, anche se spesso forniscono agli specialisti utili indizi per approfondire l'analisi.
Per la cronaca, il comando traceroute in uso sui sistemi *nix e Linux non utilizza (se non a richiesta) pacchetti ICMP, bensì pacchetti UDP, allo scopo di tentare di attraversare più router/firewall possibili verso la propria destinazione.
(vedi anche un mio documento: traceroute )
Molto spesso sentiamo ormai parlare di PING in rete, ovvero di una tecnica per sondare se un certo computer (a volte, generalizzando, un certo servizio, ma non è di questo che parleremo in questo articolo) "risponde" in rete.
Strettamente parlando, il comando PING è l'interfaccia utente (a riga di comando) per generare un determinato tipo di pacchetti ICMP (vedi dettagli): esattamente viene generato un ICMP di tipo 8 ("echo request"), attraverso il quale si chiede al computer (host) destinatario di rispondere con un pacchetto ICMP di tipo 0 ("echo reply"). A questo punto, il nostro pacchetto ICMP viaggia in rete, seguendo la "strada" di un normale pacchetto IP (istradamento, e a volte filtraggio e prioritizzazione, a seconda dei casi). Sono possibili diversi scenari:
- il pacchetto ICMP tipo 8 arriva a destinazione, e il destinatario risponde con un pacchetto ICMP tipo 0 di ritorno (cioè scambiando IP di origine e destinazione); nel caso più semplice, tale risposta ritorna correttamente e l'utente viene informato con apposito messaggio, che riporta il cosiddetto RTT (round trip time), ossia il tempo lordo di andata-e-ritorno; diversamente, il pacchetto di ritorno può andare perduto, perché filtrato da firewall o scartato da router.
- il pacchetto ICMP tipo 8 non arriva a destinazione, perché filtrato da firewall o scartato da router nel suo viaggio di andata.
In tutti i casi in cui il pacchetto ICMP non "ritorna" al mittente entro un tempo prestabilito, l'utente viene informato con apposito messaggio. In questi casi, ovviamente, non è possibile avere informazioni sul RTT (tempo di andata-e-ritorno).
Bisogna inoltre tenere presente che, come tutti i pacchetti IP, il pacchetto ICMP porta con sé l'informazione di TTL (time to live), ovvero il massimo numero di "router" che può attraversare senza essere scartato. Questo valore viene solitamente impostato a 255, che consente di attraversare la rete in condizioni normali. Vedremo che proprio il TTL minore di 255 costituirà la tecnica per il tracciamento del percorso che descriveremo in seguito.
TRACEROUTE (aka "TTL expired")
Naturalmente, oltre a sapere se e come un computer (host) in rete "risponde" alle sollecitazioni di tipo PING viste sopra, risulta spesso interessante scoprire quale percorso sta seguendo il generico pacchetto IP dal nostro computer a quello che vogliamo raggiungere. Si parla quindi di Tracerouting (tracciare la rotta). Una tecnica semplice ma efficace per ottenere queste informazioni, consiste nell'inviare un pacchetto IP avente come valore del TTL un numero basso: se per esempio inviamo in ICMP echo request (PING) con TTL = 1, il primo router attraversato dal pacchetto decrementerà il TTL e, vedendolo arrivare a zero, risponderà con un ICMP tipo 11 (TTL expired), mettendo come destinazione l'IP originario e come sorgente il proprio IP (quello del router): in questo modo, sarà noto l'indirizzo IP del primo router attraversato dal pacchetto. Analogamente, facendo partire un successivo pacchetto con TTL = 2, il primo router verrà attraversato senza problemi, mentre il secondo risponderà con un ICMP tipo 11, rendendoci noto il suo IP. Proseguendo con la generazione di pacchetti aventi TTL via via crescenti, potremo ricostruire la catena di router attraversati per arrivare a destinazione.
Naturalmente, questa tecnica si basa sull'ipotesi che le reti attraversate facciano passare pacchetti ICMP e che i router rispettino lo standard che richiede di decrementare il TTL e di inviare ICMP tipo 11 "TTL expired" nel caso in cui il TTL vada a zero. Capita invece di trovarsi di fronte ad apparati che filtrano il traffico (firewall), a router che non rispondono in caso di TTL uguale a zero, e perfino a router che non decrementano il TTL. In questi casi, le informazioni sull'istradamento verso quella destinazione saranno incomplete o poco precise. Bisogna inoltre tenere presente che nello scenario "Big Internet" non è affatto detto che per andare da una certa origine a una certa destinazione i pacchetti passino sempre per lo stesso percorso: esistono ben noti algoritmi di ottimizzazione del traffico che possono istradare i pacchetti su percorsi diversi a seconda delle condizioni della rete e delle caratteristiche dei pacchetti stessi.
In definitiva: i comandi ping e traceroute (tracert sui sistemi Windows) possono essere utili strumenti per una prima diagnosi di raggiungibilità in rete, ma non costituiscono la "prova provata" di eventuali problemi di connettività, anche se spesso forniscono agli specialisti utili indizi per approfondire l'analisi.
Per la cronaca, il comando traceroute in uso sui sistemi *nix e Linux non utilizza (se non a richiesta) pacchetti ICMP, bensì pacchetti UDP, allo scopo di tentare di attraversare più router/firewall possibili verso la propria destinazione.
(vedi anche un mio documento: traceroute )
mercoledì 24 novembre 2010
Steganografia: di che si tratta?
A volte si incontrano parole apparentemente "difficili", che nascondono concetti abbastanza comprensibili. E' il caso della "steganografia": in breve, è una tecnica che permette di nascondere un contenuto (informatico, quindi "binario") dentro un contenitore di altro genere (sempre informatico, quindi sempre di sequenze di bit stiamo parlando), assai meno sospettabile.
Un esempio semplice semplice per tutti: quando visualizziamo un'immagine in formato JPEG (il più diffuso fra quelli usati per pubblicare o trasmettere immagini sulla rete), in realtà il nostro computer ricostruisce l'immagine a partire da una sequenza di bit (il file in formato JPEG, appunto); quello che molti non sanno, è che fra questi bit ce ne sono alcuni assolutamente inutili per la ricostruzione dell'immagine: sono "commenti" o altre informazioni che possono essere aggiunte da chi crea l'immagine, o dai programmi usati per manipolare il formato JPEG (le fotocamere, per esempio, inseriscono marca e modello e altre informazioni relative al setting della macchina al momento dello scatto).
Finché si tratta di informazioni innocue o comunque pertinenti l'oggetto che stiamo manipolando, tutto bene. Le problematiche di sicurezza (e le tecniche di steganografia) entrano in gioco quando questi "spazi quasi inutili" vengono riempiti con informazioni che nulla hanno a che vedere con l'oggetto originario (che per esempio potrebbe essere una foto scattata al mare), ma riguardano invece informazioni "sensibili" o riservate, catturate magari da uno dei tanti programmi "trojan" che si installano silenziosamente sui computer. Insomma, ritrovarsi i codici di accesso al conto bancario "a bordo" di una foto delle vacanze pubblicata su Facebook (questo è solo un esempio!) non farebbe piacere a nessuno. Ovviamente, bisogna essere in possesso di tecniche steganografiche per estrarre tali informazioni dai file "innocui". Ma i pirati della rete ne hanno certamente a disposizione.
Nota bene: il formato JPEG citato nell'esempio non è l'unico che prevede "spazio a disposizione" in cui si possano inserire informazioni aggiuntive (e quindi utilizzabile per operazioni di steganografia); la maggior parte dei formati di memorizzazione delle informazioni prevedono tali spazi aggiuntivi, senza contare che in steganografia si possono utilizzare anche formati che prevedano soltanto dati "puliti" (senza aggiunte), semplicemente alterando ad arte qualche bit qua e là (ma di questo, se interessa, parleremo eventualmente un'altra volta).
Una frontiera illecita ma remunerativa (e vecchia come lo spionaggio) nell'uso della steganografia è quella della trasmissione "coperta" di informazioni segrete o riservate (a volte di estrema di rilevanza economica o politica), oppure il controllo a distanza di computer "zombie" appartenenti a BotNet (ne abbiamo parlato in un altro articolo).
Sviluppi recenti nell'uso della steganografia, indicano un'evoluzione verso l'utilizzo "distribuito" delle informazioni "coperte", come ad esempio con la tecnologia "Collage" (per ulteriori informazioni cercare "collage steganography" su un motore di ricerca).
Un esempio semplice semplice per tutti: quando visualizziamo un'immagine in formato JPEG (il più diffuso fra quelli usati per pubblicare o trasmettere immagini sulla rete), in realtà il nostro computer ricostruisce l'immagine a partire da una sequenza di bit (il file in formato JPEG, appunto); quello che molti non sanno, è che fra questi bit ce ne sono alcuni assolutamente inutili per la ricostruzione dell'immagine: sono "commenti" o altre informazioni che possono essere aggiunte da chi crea l'immagine, o dai programmi usati per manipolare il formato JPEG (le fotocamere, per esempio, inseriscono marca e modello e altre informazioni relative al setting della macchina al momento dello scatto).
Finché si tratta di informazioni innocue o comunque pertinenti l'oggetto che stiamo manipolando, tutto bene. Le problematiche di sicurezza (e le tecniche di steganografia) entrano in gioco quando questi "spazi quasi inutili" vengono riempiti con informazioni che nulla hanno a che vedere con l'oggetto originario (che per esempio potrebbe essere una foto scattata al mare), ma riguardano invece informazioni "sensibili" o riservate, catturate magari da uno dei tanti programmi "trojan" che si installano silenziosamente sui computer. Insomma, ritrovarsi i codici di accesso al conto bancario "a bordo" di una foto delle vacanze pubblicata su Facebook (questo è solo un esempio!) non farebbe piacere a nessuno. Ovviamente, bisogna essere in possesso di tecniche steganografiche per estrarre tali informazioni dai file "innocui". Ma i pirati della rete ne hanno certamente a disposizione.
Nota bene: il formato JPEG citato nell'esempio non è l'unico che prevede "spazio a disposizione" in cui si possano inserire informazioni aggiuntive (e quindi utilizzabile per operazioni di steganografia); la maggior parte dei formati di memorizzazione delle informazioni prevedono tali spazi aggiuntivi, senza contare che in steganografia si possono utilizzare anche formati che prevedano soltanto dati "puliti" (senza aggiunte), semplicemente alterando ad arte qualche bit qua e là (ma di questo, se interessa, parleremo eventualmente un'altra volta).
Una frontiera illecita ma remunerativa (e vecchia come lo spionaggio) nell'uso della steganografia è quella della trasmissione "coperta" di informazioni segrete o riservate (a volte di estrema di rilevanza economica o politica), oppure il controllo a distanza di computer "zombie" appartenenti a BotNet (ne abbiamo parlato in un altro articolo).
Sviluppi recenti nell'uso della steganografia, indicano un'evoluzione verso l'utilizzo "distribuito" delle informazioni "coperte", come ad esempio con la tecnologia "Collage" (per ulteriori informazioni cercare "collage steganography" su un motore di ricerca).
domenica 21 novembre 2010
Attento, con quell'email, Eugene!
(Per essere chiari, il titolo è la parafrasi un famoso brano dei Pink Floyd: Careful with That Axe, Eugene).
Non si insisterà mai abbastanza sulla necessità di un trattamento responsabile delle email che si ricevono. Per non cadere vittima dei tanti tentativi di phishing o frode che quotidianamente ci vengono proposti attraverso messaggi email, bisogna tenere presenti i seguenti principi e comportamenti (anche se, nei casi più ostici, non sono sufficienti da soli a salvaguardare la sicurezza informatica):
Come ricordato sopra, questi accorgimenti, da soli, potrebbero non bastare per evitare rischi di sicurezza, ma certamente disattenderli ci porta un passo più vicino alla "fossa dei serpenti", che contiene diversi tipi di frodi informatiche, alcune delle quali piuttosto importanti.
Un caso molto particolare, per chi si interessa e sa leggere articoli in inglese: un problema con gmail.
Buona navigazione, e... la paranoia sia con noi!
Non si insisterà mai abbastanza sulla necessità di un trattamento responsabile delle email che si ricevono. Per non cadere vittima dei tanti tentativi di phishing o frode che quotidianamente ci vengono proposti attraverso messaggi email, bisogna tenere presenti i seguenti principi e comportamenti (anche se, nei casi più ostici, non sono sufficienti da soli a salvaguardare la sicurezza informatica):
- disabilitare la funzionalità di "preview" dei messaggi email: tale funzione, se abilitata, provvede infatti ad aprire e "leggere" i messaggi email prima che si abbia l'opportunità di ignorarli o cancellarli (e molto spesso, a quel punto, la "frittata" è fatta!)
- trattare con estrema diffidenza tutti i messaggi provenienti da mittenti sconosciuti o dubbi: osservare attentamente la formulazione del mittente (non solo la parte "in chiaro", ma l'effettivo indirizzo "qualcuno@qualcosa.boh" che può essere visualizzato nell'intestazione); in caso del minimo dubbio, non aprire il messaggio, cancellarlo o segnalarlo come "spam"
- diffidare di messaggi aventi per "oggetto" proposte mirabolanti, sconti o presunte vincite di premi: nel migliore dei casi, sono messaggi di phishing che sfruttano l'ingenua curiosità e "rubano" informazioni; il solito consiglio è: cancellarli, o meglio segnalarli come "spam" se il servizio di email lo prevede
- usare prudenza anche nell'aprire messaggi provenienti da mittenti conosciuti o fidati: spesso un colpo di telefono all'amico che ci sta inviando un succoso allegato ci può salvare da lunghe e costose "bonifiche" del computer
- non aprire direttamente gli allegati (di nessun tipo); se proprio ci sembrano "buoni", salvarli su disco e sottoporli ad una scansione ad-hoc con l'antivirus (che abbiamo aggiornato. vero?)
- disabilitare (se possibile) la visualizzazione di immagini e di altro contenuto multimediale (es.: animazioni "flash") inserito direttamente nei messaggi email
- non visitare siti segnalati nel messaggio cliccando direttamente gli indirizzi proposti: molto spesso l'indirizzo che viene visualizzato non corrisponde a quello del sito su cui si viene "teletrasportati" cliccandoci sopra; se proprio siamo convinti e vogliamo vedere di che si tratta, è meglio ridigitare a mano l'indirizzo visualizzato, in un'altra finestra del browser
Come ricordato sopra, questi accorgimenti, da soli, potrebbero non bastare per evitare rischi di sicurezza, ma certamente disattenderli ci porta un passo più vicino alla "fossa dei serpenti", che contiene diversi tipi di frodi informatiche, alcune delle quali piuttosto importanti.
Un caso molto particolare, per chi si interessa e sa leggere articoli in inglese: un problema con gmail.
Buona navigazione, e... la paranoia sia con noi!
sabato 20 novembre 2010
BotNet
Una delle tecniche maggiormente utilizzate (e redditizie) per approfittare delle falle di sicurezza presenti su milioni di computer è indicata col termine "BotNet". In pratica si costruisce una rete ("net") di computer (detti "zombie") che rispondono supinamente ("bot", da "robot") a comandi impartiti da remoto, senza che l'utente "normale" dei suddetti computer si renda conto di ciò che sta succedendo.
Questo tipo di attacco alla sicurezza avviene in due fasi: prima si sfrutta un vulnerabilità, installando uno o più programmi nascosti che permettono a loro volta di caricare a bordo del computer colpito altro software (sempre in modalità difficilmente rilevabile); successivamente, uno (o più) dei programmi così caricati si pone "in ascolto" sulla rete, attendendo "ordini" da quelli che vengono chiamati "centri di comando" di quella particolare BotNet.
Le tecniche di comunicazione sono tutte basate sui protocolli IP (quelli su cui è basata Internet), ma possono variare, dal più "naif" (e facilmente riscontrabile) TCP, al più mimetizzabile UDP, fino a sfruttare canali IRC o altri meccanismi di comunicazione più sofisticati (stream "nascoste" nei protocolli peer-to-peer, encryption).
In questo modo, molte decine di migliaia di computer (specialmente desktop) diventano ignari complici di attacchi ben più importanti, condotti con la garanzia quasi completa dell'anonimato. Basta cercare il termine "botnet" per rendersi conto di che cosa stiamo parlando. Molto spesso chi costruisce queste BotNet le "affitta" o rivende ad altri, in cambio di soldi.
Come difendersi da questa vera e propria frode informatica? Come al solito, il primo passo è la prevenzione: installare e tenere aggiornato un buon prodotto antivirus, che comprenda anche tecniche "anti-rootkit" (i "rootkit" sono programmi che permettono di prendere il controllo del computer da remoto, senza che l'utilizzatore normale se ne accorga). Il secondo livello di difesa è costituito da periodici controlli e "scansioni", magari condotte utilizzando software diverso dal normale antivirus; è anche possibile effettuare scansioni "online", senza dover necessariamente installare altro software: in questo caso, accertarsi che il sito che propone tale servizio sia affidabile, altrimenti si corre il rischio di cadere... nella bocca del leone!
Infine, non si parlerà mai abbastanza dell'importanza del comportamento online degli utenti: tutti i vari tipi di software malevolo sono costruiti in modo da dover essere "pescati" in rete, e nessuno viene a cercare i vostri computer in maniera troppo nascosta. Gli allegati a messaggi email provenienti da fonti generiche o sconosciute (anche se talvolta mascherate da "grandi firme" del software) sono tutti sospetti e potenzialmente pericolosi. Altro software "miracoloso" consigliato in giro per la rete (vari "ottimizzatori" e simili) deve essere attentamente vagliato prima di poter essere installato e utilizzato sui propri computer. I supporti esterni rimovibili, infine, sono stati storicamente veicolo di gradi "infezioni" (si ricordino i floppy disk infetti da virus), e quindi chiavette USB, CD-ROM, DVD e simili contenenti "dati" (programmi, musica, video) possono risultare dannosi, anche all'insaputa di chi ce li fornisce: prima di usarli, sarebbe buona norma effettuare su di essi una scansione con gli strumenti sopra descritti, e prestare la massima attenzione ad eventuali segnalazioni dell'antivirus al momento in cui questi supporti esterni vengono inseriti nel computer.
Buona navigazione e... attenti a non finire nelle "reti" dei pirati informatici!
Questo tipo di attacco alla sicurezza avviene in due fasi: prima si sfrutta un vulnerabilità, installando uno o più programmi nascosti che permettono a loro volta di caricare a bordo del computer colpito altro software (sempre in modalità difficilmente rilevabile); successivamente, uno (o più) dei programmi così caricati si pone "in ascolto" sulla rete, attendendo "ordini" da quelli che vengono chiamati "centri di comando" di quella particolare BotNet.
Le tecniche di comunicazione sono tutte basate sui protocolli IP (quelli su cui è basata Internet), ma possono variare, dal più "naif" (e facilmente riscontrabile) TCP, al più mimetizzabile UDP, fino a sfruttare canali IRC o altri meccanismi di comunicazione più sofisticati (stream "nascoste" nei protocolli peer-to-peer, encryption).
In questo modo, molte decine di migliaia di computer (specialmente desktop) diventano ignari complici di attacchi ben più importanti, condotti con la garanzia quasi completa dell'anonimato. Basta cercare il termine "botnet" per rendersi conto di che cosa stiamo parlando. Molto spesso chi costruisce queste BotNet le "affitta" o rivende ad altri, in cambio di soldi.
Come difendersi da questa vera e propria frode informatica? Come al solito, il primo passo è la prevenzione: installare e tenere aggiornato un buon prodotto antivirus, che comprenda anche tecniche "anti-rootkit" (i "rootkit" sono programmi che permettono di prendere il controllo del computer da remoto, senza che l'utilizzatore normale se ne accorga). Il secondo livello di difesa è costituito da periodici controlli e "scansioni", magari condotte utilizzando software diverso dal normale antivirus; è anche possibile effettuare scansioni "online", senza dover necessariamente installare altro software: in questo caso, accertarsi che il sito che propone tale servizio sia affidabile, altrimenti si corre il rischio di cadere... nella bocca del leone!
Infine, non si parlerà mai abbastanza dell'importanza del comportamento online degli utenti: tutti i vari tipi di software malevolo sono costruiti in modo da dover essere "pescati" in rete, e nessuno viene a cercare i vostri computer in maniera troppo nascosta. Gli allegati a messaggi email provenienti da fonti generiche o sconosciute (anche se talvolta mascherate da "grandi firme" del software) sono tutti sospetti e potenzialmente pericolosi. Altro software "miracoloso" consigliato in giro per la rete (vari "ottimizzatori" e simili) deve essere attentamente vagliato prima di poter essere installato e utilizzato sui propri computer. I supporti esterni rimovibili, infine, sono stati storicamente veicolo di gradi "infezioni" (si ricordino i floppy disk infetti da virus), e quindi chiavette USB, CD-ROM, DVD e simili contenenti "dati" (programmi, musica, video) possono risultare dannosi, anche all'insaputa di chi ce li fornisce: prima di usarli, sarebbe buona norma effettuare su di essi una scansione con gli strumenti sopra descritti, e prestare la massima attenzione ad eventuali segnalazioni dell'antivirus al momento in cui questi supporti esterni vengono inseriti nel computer.
Buona navigazione e... attenti a non finire nelle "reti" dei pirati informatici!
Iscriviti a:
Post (Atom)