From: Firebeam (Massimiliano Baldinelli) <M.Baldinelli@cardassia.agora.stm.it>

Subject: [FAQ] Security FAQ v.1.0

Date: Tuesday, January 05, 1999 9:59 AM

Security FAQ - versione 1.0 Official Release

Revisore: Massimiliano Baldinelli

Ultima revisione: 04/01/1999

e-mail: M.Baldinelli@agora.stm.it

Distribuzione: it.comp.sicurezza.varie

it.faq

http://www.linuxvalley.com/~lserni

(con motore di ricerca)

http://www.agora.stm.it/M.Baldinelli/software/securfaq.txt

(versione testo)

http://www.teleweb.pt/~fcitati

(versione testo)

Credits: Francesca

Giulio

invy

Leonardo Serni

Marco D'Itri

Marco Zani (per [PORT-Appendice])

Master

Maurizio Cimaschi (per [PORT-Appendice] e [C01a])

Paolo Monti (per [B24])

x-hacker

(e altri che ho certamente dimenticato) per contributi diretti

e/o indiretti al materiale qui riportato. Contributi diretti =

correzioni, citazioni e materiale diretto a me (tramite e-mail

o risposte a miei post su it.comp.sicurezza.varie). Contributi

indiretti = tutto il resto che e' stato postato su ics.varie e

sul quale questa FAQ e' basata.

0 - Storia

Disclaimer

Distribuzione

Appello

A - Informazioni generali

[A01] Cos'e' un nuke

[A02] Vari tipi di attacco

[A03] Ma cosa sono queste "porte"?

[A04] Differenze fra hackers e altri bei tomi

[A05] Ho sentito parlare di "editor esadecimale", ma non ho capito

esattamente cos'e'...

[A06] Cos'e' un firewall?

B - Le minacce dall'esterno

[B01] Cos'e' Bo?

[B02] Ma cos'e' un trojan?

[B03] Infettare con il Bo

[B04] SilkRope? E che d'e'?

[B05] Cosa si fa con BO

[B06] Come faccio a sapere se ho il Bo?

[B07] Ho scoperto di avere Bo, come lo tolgo?

[B08] E come mi accorgo invece di Netbus?

[B09] Scoprire trojan in generale.

[B10] Come si toglie Netbus?

[B11] Come si toglie TeleCommando?

[B12] Cos'e' Aggressor?

[B13] Un bug di mIRC

[B14] Che rischi corro usando ICQ?

[B15] Cosa sono le scansioni invisibili?

[B16] Ma cosa puo' passare da 'ste benedette porte?

[B17] Puo' un intruso conoscere quello che scrivo sulla tastiera?

[B18] Ma il file windll.dll non e' un file di sistema di Windows?

[B19] Ho ricevuto un messaggio e-mail con un allegato, ma quando

tento di leggerlo il mio Outlook va in crash.

[B20] Come vedo se ho il protocollo NetBIOS su TCP/IP installato?

Che rischi corro?

[B21] [MacOS] E' possibile far piantare il Mac tramite la rete?

[B22] E' possibile che qualcuno riesca a navigare "sembrando me"?

[B23] Senza programmi come Bo o NetBus e' possibile "entrare" nel

computer di qualcuno?

[B24] Le porte UDP 137 e 138 sono un rischio? E perche'?

[B25] Ho notato che ogni volta che mi connetto a internet si aprono

automaticamente queste due porte 137 e 138. Io ho la versione

OSR2 di win95, e' un problema di questa versione ?

[B26] Da un account NT in pratica senza nessuna autorizzazione, è

possibile scovare la password dell'Administrator?

[B27] [WinNT] E' possibile diventare amministratore sotto Windows NT?

[B28] [WinNT] Avendo il diritto di installare ed eseguire programmi,

cosa posso fare?

[B29] Come possono interagire telnet e BO?

[B30] In cosa consiste di preciso il "TearDrop Attack"?

[B31] Con tecniche di IP spoofing si riesce facilmente a falsificare

l'indirizzo IP di una macchina?

[B32] Nella mia macchina Linux ho attivo il servizio di finger. E'

vero che ci sono rischi?

[B33] Come sono belli i messaggi di posta e news formattati, con

tutte quelle belle applet ed effetti speciali!!!

C - Metodi di difesa

[C01] Proteggere il sistema - Info generali

[C01a] Come si configura correttamente il Nuke Nabber ?

[C02] Le componenti di rete, ovvero: cosa tengo e cosa tolgo?

[C03] Ma se tolgo il Client per reti MS non mi memorizza piu' la

password!!!

[C04] Quali porte controllare con NukeNabber?

[C05] Cosa uso per controllare l'attivita' di rete del mio computer?

[C06] Password mantenute in cache

[C07] Ho il programma WinTOP dei Kernel Toys. Serve a qualcosa?

[C08] E' vero che si possono far eseguire dei programmi dannosi

allegandoli a un messaggio e-mail?

[C09] Posso proteggere un file o una directory sotto Windows da

accessi indesiderati?

[C10] Ho messo sotto controllo la porta 31337. Sono al sicuro?

[C11] Ho installato NukeNabber per controllare le porte "sensibili".

Sono al sicuro?

[C12] Back Orifice - Server: configurazione ed installazione

[C13] Si puo' vedere se ho un file "Silkroppato"?

[C14] Si puo' creare un file di log per netstat?

D - Passare al contrattacco

[D01] Un attacco sembra venire dall'indirizzo x.y.w.z. Posso essere

sicuro che provenga veramente da li'?

Appendici

[PORT-Appendice] - Elenco ragionato delle porte piu' utilizzate

[BD-Appendice] - Appendice BD

[LINK-Appendice] - Siti che trattano di sicurezza dei sistemi

informatici

====================================

0 - Storia

16/10/1998: v. 0.1 pre-alpha

- Prima apparizione

24/10/1998: v. 0.2 alpha

- Aggiunta [B13], Storia, Disclaimer, Distribuzione,

Appello, [C05], [C06]

- Aggiornata [A04], [A02], [B01], [B07]

14/11/1998: v. 0.5 beta 1

- Aggiunta [B15], [B16], [B17], [B18], [C07], [C08], [A05],

[B19], [B20], [B21], [B22], [B23], [C09], [PORT-Appendice],

[C01a], [B24], [B25], [BD-Appendice]

- Aggiornata [C01], [A01], [B04], [C04], [A03], [B01]

22/11/1998 v. 0.51 beta 2

- Aggiornata [A05], [B01]

04/01/1999 v. 1.0 Official Release

- Aggiunta [Link-Appendice], [B26], [A06], [C10], [C11],

[C12], [B27], [B28], [B29], [B30], [C13], [B31], [C14],

[D01], [B32], [B33]

- Aggiornata [PORT-Appendice], [B08]

Disclaimer

***

Ogni modifica fatta al sistema, riguardante la configurazione hardware

e/o software, e' ESCLUSIVAMENTE a rischio e pericolo del lettore di

questa FAQ, come pure la responsabilita' delle conseguenze di tali

modifiche (dato che non posso conoscere le infinite varianti dei

sistemi in uso e relative necessita' di configurazione, in particolare

riguardo la rete eventualmente installata). Se il computer da

riconfigurare e/o ripristinare non e' il proprio, avvertire il

proprietario/responsabile per essere autorizzati a metterci le mani.

Questo riguarda soprattutto macchine usate in ambito lavorativo e/o

accademico, ma anche piu' semplicemente il computer non proprio ma del

fratello/cugino/amico/fidanzata/...

***

Distribuzione

***

Questo documento puo' essere incluso in siti web e archivi ftp ad

accesso pubblico, nonche' inserito in raccolte su floppy o cd-rom il

cui prezzo equivalga il costo del supporto e della duplicazione. Nei

casi suddetti di distribuzione autorizzata, avvertitemi all'indirizzo

e-mail riportato all'inizio, cosi' da includere l'indirizzo web o ftp

nella successiva versione.

Nei casi di distribuzione non autorizzata, contattatemi ugualmente

inserendo nella mail il vostro indirizzo IP e la configurazione esatta

della vostra macchina (sistema operativo e versione di Winsock), ed

eseguite il file che sara' incluso nella risposta <evil grin> >:-]

***

Appello

***

Questo documento non vorrebbe avere un approccio troppo Windows-

centrico, ma a causa dell'uso prevalente da parte del suo curatore

dell'accoppiata Wintel (e, a giudicare dai messaggi in i.c.s.varie,

anche da parte di chi si rivolge al gruppo per chiedere aiuto) la

situazione non puo' essere che questa. E' quindi gradito l'invio alla

mia e-mail di ogni contributo riguardante problemi di sicurezza e (se

esistono) relativi rimedi riguardanti anche altri sistemi, come Amiga,

OS/2, Mac, Linux, ...

***

====================================

[A01] Cos'e' un nuke

Sappiamo tutti (in particolare gli utenti Windows) che non esiste il

sistema operativo perfetto. E' possibile mandare in crisi un sistema

operativo connesso in rete inviandogli pacchetti di dati costruiti a

regola d'arte, che sfruttino per esempio una cattiva implementazione

del protocollo TCP/IP, quello usato in Internet. Gli effetti vanno

dal Blue Screen of Death al congelamento totale della macchina (=

unico comando funzionante: pulsante di reset hardware).

Un esempio di nuke e' dato da un pacchetto con indirizzo IP mittente

uguale a quello del destinatario, che cortocircuita la connessione (in

pratica, il computer nel rispondere comincia a mandare dati a se

stesso), oppure un pacchetto sapientemente frammentato in maniera che

le parti si sovrappongano parzialmente. Ovviamente il nuke e' fatto su

misura e sfrutta le debolezze di uno specifico stack TCP abbinato al

suo specifico sistema operativo; quindi il nuke che va bene per

Windows non va bene (o almeno non e' detto che vada bene) per altri

computer, e viceversa nuke che buttano giu' altri computer, _forse_

potrebbero anche non buttare giu' Windows.

[A02] Vari tipi di attacco

- NesTea, Suffer3, Boink, Land, Oob, Smurf

Si tratta di attacchi di tipo DoS (nulla a che vedere con MS-DOS, la

sigla significa Denial of Service, Privazione di Servizio).

L'effetto varia da noie sullo schermo in presenza di patch a reset

della macchina, a schermi blue sotto Win, a stop dei trasferimenti per

intasamento delle connessioni;

- Portscan

Serve a trovare le porte aperte di un host remoto.

[A03] Ma cosa sono queste "porte"?

In un ufficio postale esistono vari sportelli, ognuno dei quali svolge

un servizio ben determinato: uno per le raccomandate, uno per i pacchi,

uno per i telegrammi, uno per vaglia e conti correnti, uno per il

pagamento delle pensioni, ...

Analogamente, una macchina connessa alla rete (l'"ufficio postale") ha

una serie di porte (gli "sportelli"), ognuna delle quali ha un numero

ed e' associata a un ben determinato servizio. Gli indirizzi di porta

vanno da 0 a 65535, e quelli inferiori a 1024 sono i cosiddetti Well

Known Services (Servizi Ben Noti). I piu' usati sono il 21 per l'ftp,

il 23 per telnet, il 25 per smtp (invio di posta), 80 (http, pagine

web; molti server usano anche la porta 8080), il 110 per pop3

(ricezione di posta), il 119 per nntp (le news). Il file services (in

windows e' nella directory C:\<dir. di Windows>\System) li elenca in

maniera piu' dettagliata.

VEDERE [PORT-Appendice] per un elenco con maggiori dettagli (tnx

Maurizio!)

Perche' ci si possa collegare a una determinata porta, occorre che

sulla macchina ci sia un server in ascolto su di essa. Per esempio,

quando riusciamo a spedire una mail a qualcuno, e' perche' il server

di posta del nostro provider ha un "demone" in ascolto permanente

sulla porta 25, mentre se l'invio fallisce significa che quel

programma non e' in esecuzione (macchina spenta perche' guasta, oppure

il programma stesso ha dato i numeri). Ancora, poiche' Windows 95 non

ha un server telnet di serie (ha solo il client), se proviamo a fare

telnet standard verso una macchina Windows 95 il tentativo fallira'

perche' non c'e' niente in ascolto sulla porta 23.

[A04] Differenze fra hackers e altri bei tomi

C'e' molta confusione sull'uso della parola hacker, per colpa

soprattutto della disinformazione a opera dell'informazione (che

paradosso!) TV e stampata e di certa cinematografia. L'hacker

nell'immaginario comune e' colui che cerca di penetrare in un sistema

per buttarlo giu', che nel corso delle sue scorribande provoca comunque

dei danni, come per esempio il furto di file di password o altre

informazioni riservate. Quello non e' un hacker, ma un __cracker__.

L'__hacker__ invece e' una persona che anzi non lascia tracce, che se

viola la sicurezza di un sistema e' per dimostrare di esserne capace.

Un hacker cerca di apprendere sempre di piu' sulla macchina e sistema

operativo che usa (e sugli altri ovviamente). Il suo scopo e' quello di

vincere certe sfide, e in un certo senso anche di rendersi utile alle

sue vittime. L'etica hacker infatti vuole che dopo aver violato un

sistema si lasci una traccia, da qualche parte nel sistema stesso, che

informi il suo amministratore come e' stato possibile entrare e quali

falle nella sicurezza sono state sfruttate, cosicche' egli possa

tapparle.

I __wannabe__ sono invece coloro che "vorrebbero essere" (wannabe =

want to be [voler essere], contrazione americana credo) per esempio

hacker, ma che non lo sono. Nei newsgroup un wannabe fara' spesso

sfoggio di termini tecnici, anche a sproposito, salvo volatilizzarsi o

buttarla in rissa quando si cerca di approfondire un argomento che non

e' in grado di sostenere. Un __lamer__ invece e' chi si crede un grande

esperto, per esempio di sistemi, mentre in realta' sfrutta solo cio'

che gli altri hanno gia' fatto. Un esempio? Tutti i tipi che si danno

arie da hacker solo perche' sono capaci di lanciare il client di Bo

(che non sarebbero mai capaci di scrivere, per inciso) e mandare un

messaggio pop-up sullo schermo del boservizzato.

Questo e molto altro e' spiegato in "The Hackers's Dictionary 3ed.",

anche in versione WWW, mentre il testo di riferimento per tutte queste

definizioni e' il Jargon File, disponibile in formato testo e info in

parecchi siti, e la cui home page e':

http://www.ccil.org/jargon/

[A05] Ho sentito parlare di "editor esadecimale", ma non ho capito

esattamente cos'e'...

I programmi tipo edit.com dell'MS-DOS o NotePad (Blocco Note nella

versione italiana) di Windows sono degli editor di testo che

permettono di leggere e modificare dei file di testo; ne esistono

un'infinita' commerciali o free. Gli editor esadecimali sono analoghi

concettualmente, ma permettono di leggere e modificare ogni tipo di

file, quindi vengono usati per aprire e manipolare dei file binari,

come eseguibili (.exe e .com), librerie (.dll), eccetera. Si chiamano

editor esadecimali perche' con essi viene visualizzato il valore

esadecimale dei byte che costituiscono il file, tipicamente in una

parte della finestra, mentre nell'altra viene mostrata la sequenza di

caratteri corrispondenti (se stampabili a schermo).

Un editor esadecimale e' un programma semplice ma potentissimo, perche'

permette di fare praticamente tutto su ogni file, e l'unica condizione

e' di sapere ESATTAMENTE cosa si fa. Questo significa che, se volessimo

cambiare la scritta "Avvio di Windows..." che appare al boot o la

scritta "Avvio" o "Start" sul pulsante di avvio, dovremmo aprire il

file giusto (nel secondo caso explorer.exe) con un editor esadecimale,

posizionarci nel punto in cui e' memorizzata la stringa e cambiarla.

Inutile dire che l'uso di tali programmi e' pericolosissimo se fatto

per puro cazzeggio, dato che un file binario modificato "alla cieca"

diventa con altissima probabilita' inutilizzabile.

Per le sue caratteristiche, gli editor esadecimali si prestano anche

ad usi non "politicamente corretti" (eufemismo), come sprotezione di

programmi, camuffamento rispetto ad antivirus e programmi di

monitoraggio in genere, e cosi' via.

[A06] Cos'e' un firewall?

E' un software. Puo' girare su macchinette speciali ridotte al minimo,

nel qual caso ti vendono un mattoncino hardware con dentro il software

su (E)EPROM.

Alternativamente, puo' girare su un "server" apposito, tipo Linux (v.,

per esempio, www.debian.org, www.suse.com, www.slackware.org, ecc.).

In tutti i casi e' un programma che effettua quattro funzioni:

1) INPUT: determina cosa puo' ARRIVARE

2) OUTPUT: determina cosa puo' USCIRE

3) FORWARDING: prende un pacchetto in arrivo dall'interno e lo butta

fuori, o viceversa

4) MASQUERADING: prende pacchetti dall'interno e li butta fuori, ma,

contemporaneamente, maschera l'indirizzo di partenza, mettendo il

proprio. Quando arriva una risposta a lui, cambia l'indirizzo del

destinatario, mettendo quello della macchina originaria:

PC protetto: "Da PC1 a WWW.ALTAVISTA.COM, HELLO" --> Firewall

Firewall: "Da FIREWALL a WWW.ALTAVISTA.COM, HELLO" --> Altavista

Altavista: "Da Altavista a Firewall, TI SENTO" --> Firewall

Firewall: "Da Altavista a PC1, TI SENTO" --> PC Protetto

Nel caso di pacchetti DIRETTI

Nemico: "Da NEMICO a PC1, MUORI" --> Firewall

Firewall (opzione 1): (niente)

Firewall (opzione 2): "NESSUN PC1 PRESENTE" --> Nemico

Firewall (opzione 3): "MUORI TE, CAATA!" --> Nemico (crash!)

...le opzioni 2 e soprattutto 3 non sono fornite di serie 8-D

In ogni caso, anche con opzione 1, al server non capita nulla.

Naturalmente, il firewall deve essere in grado di resistere ad un

attacco diretto contro di lui.

====================================

[B01] Cos'e' Bo?

E' un programma cosiddetto trojan, che permette intrusioni indesiderate

nel proprio computer. BO e' l'acronimo di Back Orifice, nome che irride

il prodotto Back Office di Microsoft, oltre ad essere molto esplicito

sulla parte del corpo che duole dopo esserselo installato :-))). Esso

si compone di un client e di un server, quest'ultimo dev'essere

installato sul computer della vittima, dopodiche' il client permette

al "buon samaritano" che lo possiede, e a chiunque abbia il client

installato, di compiere varie operazioni sul computer "boservizzato"

(viene indicato in questo modo un computer che abbia installato il

server). Le operazioni possono essere le piu' svariate, dal

trasferimento di file all'esecuzione di programmi, alla lettura di

informazioni contenute nei dischi (fissi, cd-rom, zip, ...).

Bo fa parte della categoria delle backdoor. In effetti, nel sito Web

dei creatori di Back Orifice (il gruppo Cult of the Dead Cow,

http://www.cultdeadcow.com), esso e' definito come un programma di

controllo a distanza. Da notare che esso funziona perfettamente sia

sotto Windows 95 che sotto Windows 98, mentre non se ne conosce ancora

una versione per Windows NT.

[B02] Ma cos'e' un trojan?

Un trojan, da non confondere con i virus che sono un'altra cosa, e' un

programma che si nasconde sotto le mentite spoglie di un altro

programma. Per esempio l'autoinstallante che si spaccia come un

fantastico screen saver con il filmato di Pamela. Oltre al Bo rientrano

in questa categoria anche programmi come NetBus e TeleCommando. Il nome

ovviamente deriva dal mitico Cavallo di Troia, che dentro l'apparenza

di un dono di pace celava gli uomini che avrebbero distrutto la citta'

stessa.

[B03] Infettare con il Bo

Il veicolo di trasmissione di Bo e' un programma chiamato SilkRope.

Esso incapsula il server di Bo in un altro programma in maniera

apparentemente invisibile, a meno di non aprirlo con un editor, e lo

installa quando il programma viene eseguito (ecco il parallelo col

Cavallo di Troia). E' questa caratteristica che giustifica il fatto di

considerare Back Orifice un trojan, oltre che una backdoor.

[B04] SilkRope? E che d'e'?

Dati due programmi a 32 bit li fonde in un unico programma che quando

viene eseguito lancia i due originari. Il programma in se' non e'

pericoloso, dato che esso puo' fondere due eseguibili a 32 bit

qualunque. In tutti i casi in cui sull'hard disk e' presente un

eseguibile formato da due programmi uniti con SilkRope, un controllo

antivirus potrebbe dare comunque l'allarme, anche se i due programmi

sono perfettamente innocui.

[B05] Cosa si fa con BO

E' possibile eseguire operazioni remote sul computer boservizzato come

se si stesse operando direttamente su di esso. Bo mette in grado il

suo utilizzatore anche di conoscere eventuali password digitate,

intercettando la tastiera (funzione svolta dal file windll.dll).

Si puo' anche aprire la porta 23, quella del telnet, sul PC boservizzato.

In tal caso e' possibile avere una shell sul computer della vittima,

esattamente come se si telnettasse su sistemi Unix, utilizzando pero'

il command.com del DOS invece delle shell Unix come bash.

[B06] Come faccio a sapere se ho il Bo?

Di certo non leggendo la finestra che appare premendo CTRL-ALT-DEL. Bo

usa una funzione dell'API di Windows che serve a nascondere il processo

che la chiama. "Nascondere" vuol dire appunto che non si vede nella

taskbar ne' nella finestra che appare premendo CTRL-ALT-DEL. Mentre si

e' in linea, aprite una finestra DOS e lanciate il comando netstat -na.

Questo mostrera' tutte le connessioni attive in quel momento

(aggiungere un numero per specificare un controllo periodico ogni <X>

secondi): se fra esse ce n'e' una sulla porta 31337, e' lui!

Questo non esaurisce l'argomento, dato che la porta e' configurabile e

quindi puo' essere cambiata da chi tenta di introdursi nelle macchine

altrui. Naturalmente l'infame puo' decidere di manifestarsi apertamente,

con messaggi pop-up, e in tal caso non c'e' dubbio. Un programma utile

al controllo e' AVP System Watcher (http://www.avp.it, freeware), che

controlla il sistema alla ricerca di BO.

Antigen è un altro programma per eliminare il Boserve nella forma di

default. In ogni caso, anche se il Boserve che vi siete ritrovati

sull'HD ha nome e porta di comunicazione differenti, Antigen non

riesce a rimuoverlo ma vi rivela comunque la sua presenza e lo

disattiva sino al seguente reboot (non riesce a cancellare l'exe del

bo in versione non default e la seguente chiamata dal registro di Win).

[B07] Ho scoperto di avere Bo, come lo tolgo?

Si puo' fare anche a mano. Cercare e cancellare il file " .exe" (si',

il nome del file e' uno spazio) e windll.dll. Il primo e' il server

vero e proprio. Cercare comunque la stringa "bofilemap" nell'hard

disk e' piu' sicuro, dato che il nome del server puo' essere variato.

Andare nel Registro di Windows alle chiavi

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

dove sono i programmi lanciati all'avvio. Cancellare da tale chiave

qualunque cosa non sia di "sicura" provenienza (Barra di Office,

antivirus, demone ICQ, ...). Controllare anche

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce

[B08] E come mi accorgo invece di Netbus?

Il file sysedit.exe nella directory C:\<dir di Windows>\System e' di

20k. Se invece e' grande ~400k e' il server di Netbus. Attenzione

anche a file di nome patch.exe, splat1.exe o contascatti.exe e persino

explore.exe, diverse versioni del trojan possono essere in uno di

questi! Riconoscimento: il client ha di solito un'icona che raffigura

un ingranaggio grigio. Il server invece ha un'icona fatta a torcia su

sfondo blu, ma dipende dalla versione che si ha: a seconda del

compilatore che hanno usato, infatti, l'icona cambia.

Per esempio il patch ha la spada, il sysedit l'ingranaggio, ma la

versione precedente e' quella piu' utilizzata come server essendo

apparsa prima (non tutti hanno aggiornato!)

NB: Il programma sysedit.exe di 20k e' un'utility di windows (grafica

Win 3.1) che fa partire gli editor dei vari autoexec.bat, system.ini

ecc.

[B09] Scoprire trojan in generale.

Un metodo applicabile a questo tipo di trojan client-server e' quello di

installare il client e di provare a contattare il server, dando

l'indirizzo IP 127.0.0.1, che corrisponde appunto alla macchina locale

(localhost). Se il client ottiene una risposta, avete trovato il server

che andra' rimosso prontamente.

[B10] Come si toglie Netbus?

================ citazione by Giulio ============

La versione 1.53 presenta gravi bug, come ad esempio l'impossibilita' di

rimuoverlo attraverso il pulsante di server admin (server admin --->remove

server). In questo caso convinene eliminarlo manualmente.

In tutti gli altri casi basta avere Netbus versione client e cliccare

appunto su server admin e selezionare remove server. Questo dopo essersi

collegati all'indirizzo di localhost (127.0.0.1). Nel caso esista una

password la ricerca di tale pass e' semplice. Si cerca nel registro di

Win il nome del server (Patch oppure Explore) e si leggera' la pass

scritta in chiaro alla voce settings.

================ end citazione ==================

[B11] Come si toglie TeleCommando?

Procurarsi il client ed eseguire il comando "Uninstall Server". Se la

risposta e' "You have NO Rights", tentare un password vuota. Altrimenti

il metodo manuale:

1) Aprire il registro con Regedit e andare alla chiave

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

togliere il riferimento al file odbc.exe, che si trova in C:\<dir. di

Windows>\System

2) Riavviare il computer

3) Cancellare il file

[B12] Cos'e' Aggressor?

E' un exploit generator. Esso genera pacchetti anomali, che sfruttano

delle pecche specifiche di ogni sistema operativo. Per esempio, un

pacchetto con una sesta word tale che, in AND con 0x0FE0, ti da' un

valore diverso da zero, non gestito da Windows. L'utilizzatore gli da' un

IP a cui inviare i pacchetti strani, e il PC della vittima subisce

malfunzionamenti vari (si blocca, si resetta, ecc..). Per ovviare al

fatto che, sotto Windows, non si possono inviare pacchetti "raw",

Aggressor implementa un proprio sistema di controllo del flusso di dati.

In Aggressor, fra l'altro, si puo' specificare il Source IP: vuol dire

che l'attacco sembra arrivare dall'IP specificato e non dal proprio,

ossia ogni pacchetto IP che venisse loggato o ispezionato dal remoto,

avrebbe quell'indirizzo invece di quello effettivo di provenienza.

[B13] Un bug di mIRC

Sembra che la versione 5.4 di IRC 5.4 abbia un bug che causa il blocco

del computer attraverso il DCC. Il problema si puo' risolvere con il

seguente script che funziona *solo* con mirc 5.4; il bug dovrebbe essere

risolto nella versione 5.41.

phixme {

%ip = $rand( ?phixer-cut? )

raw -q privmsg $1 : $+ $chr(1) $+ DCC SEND $r(1,99) $+ .txt %ip

$r(113,9000) $+ $chr(1) $+ $lf $+ privmsg $1 : $+ $chr(1) $+ DCC

RESUME $r(1,99) $+ .txt $+ $chr(1)

}

[B14] Che rischi corro usando ICQ?

La prima cosa da sapere e' che ICQ, come tutti i programmi basati su

TCP/IP, utilizza delle porte, attraverso le quali passano i dati che

inviate e ricevete. In particolare, ICQ apre una porta per ogni utente

con cui state comunicando, quindi le conclusioni restano all'intuito del

lettore di questa FAQ...

Puo' essere in teoria possibile che un programma si camuffi da ICQ e

quindi faccia uso delle porte che l'utente di ICQ apre per dialogare con

un utente remoto (c'e' qualcuno in grado di confermare o smentire?).

Esistono anche dei programmi che permettono di usare ICQ come backdoor

(avviso ai lamer: non li conosco, quindi non scrivetemi per chiedermi dove

sono ^__^).

E' quindi buona norma anche per l'utente di ICQ (come il sottoscritto...

sigh!) controllare sempre il PC alla ricerca di presenze sospette.

[B15] Cosa sono le scansioni invisibili?

E' possibile sapere se sono state effettuate delle "stealth scan" standard

anche sotto Windows 95. Bisogna aprire un prompt MS-DOS e dare il comando:

C:\WINDOWS\Desktop>netstat -snap tcp

TCP Statistics

Active Opens = 245

Passive Opens = 8

Failed Connection Attempts = 9

^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

Il valore della riga sottolineata corrisponde al numero di porte aperte

scansionate dall'esterno (solo per le porte aperte e' possibile sapere se

sono state scansionate). In particolare, il valore indicato e' il numero

di scansioni "invisibili" avvenute in successione su porte che ha trovato

(NON, come in Linux, il totale delle scansioni che ha tentato).

Per esempio, se abbiamo una sola porta aperta e quello scansiona sei volte

tutto l'intervallo da 1 a 1024, il valore di "Failed Connection Attempts"

e' 6. Se invece scansiona tutto l'intervallo TRANNE quell'unica porta aperta,

il valore sarebbe 0.

[B16] Ma cosa puo' passare da 'ste benedette porte?

Le porte comunemente utilizzate sono elencate alla faq [A03], mentre altre

sulle quali si verificano spesso degli attacchi sono riportate alla faq

[C04]. E' importante pero' sapere che il tipo di attacco che si puo'

condurre (e quindi i pericoli che si corrono) su una porta aperta dipende

da cosa risiede su quella porta, cioe' dal server in ascolto su di essa.

Non bisogna pero' farsi prendere dalla frenesia di chiudere tutte le porte.

Infatti, se una porta e' aperta e' (normalmente) perche' ci deve passare

qualche dato "legittimo", come la porta 80 su macchine che ospitano un

server web. In generale, prima di chiudere una porta bisogna sapere perche'

sia aperta; per esempio, il famigerato ICQ apre una porta per ogni

comunicazione che ha in corso, e queste non cadono nell'intervallo WKP,

formato dalle porte <1024. E' possibile rendersene conto aprendo una shell

MS-DOS con ICQ attivo e scrivendo il comando "netstat -na" (senza virgolette)

che mostrera' tutte le porte attive e l'indirizzo remoto a cui sono connesse,

oltre allo stato della connessione ("netstat /?" per avere tutte le opzioni).

[B17] Puo' un intruso conoscere quello che scrivo sulla tastiera?

Si'. Per far questo pero' e' necessario che l'intruso riesca a far eseguire

sul computer da spiare un "server" che intercetti la tastiera e memorizzi i

tasti a mano a mano che vengono premuti, e a intervalli piu' o meno regolari

(o a ogni connessione) li invii al "pirata", per esempio alla sua e-mail. La

regola e' quindi sempre un controllo assiduo di quello che gira sul proprio

computer, con il programma AVP System Watcher (http://www.avp.it) o anche

il WinTop dei Kernel Toys (se si usa Windows 9x).

Se sul computer e' stato installato il server di Back Orifice, tale funzione

e' svolta dal file windll.dll (fra le altre).

[B18] Ma il file windll.dll non e' un file di sistema di Windows?

No. Il file windll.dll viene creato dal boserve.exe quando viene eseguito

la prima volta. Attenzione che il fatto di non averlo puo' non essere

significativo: il nome di questo file puo' essere facilmente modificato

all'interno del file boserve.exe usando un editor esadecimale.

AVP System Watcher, quando deve rimuovere la dll creata dal BO, prevede

questa possibilita' ed e' in grado di eliminarla anche se ha un altro nome.

[B19] Ho ricevuto un messaggio e-mail con un allegato, ma quando tento

di leggerlo il mio Outlook va in crash.

"..questo bug affligge sia Outlook 98 sia Outlook Express compreso

l'ultimissimo Outlook 4.01 SP1 fornito con Microsoft Internet Explorer. In

pratica, quando il client e-mail riceve un messaggio con un attachment dal

nome lunghissimo può bloccarsi.

.....un hacker preparato può preparare ad hoc un attachment il cui nome

contiene codice eseguibile con risultati imprevedibili"

Fonte: "Internet news", novembre 98

*** Nota del curatore: (C) Leonardo Serni per le seguenti spiegazioni

*** (e seconda lamerata ai suoi danni da parte mia :-P )

L'exploit e' possibile perche' la ricezione del nome dell'attachment non

controlla se la lunghezza vada oltre il buffer designato ad ospitare il

nome stesso. Oltretutto, la parte di codice che verrebbe eseguita dopo lo

scarico sembra essere pericolosamente vicina a questo buffer. Di conseguenza

la parte finale del nome viene messa in esecuzione poco dopo lo scarico.

Ci sono due casi: se si ha a disposizione i sorgenti del programma che si

vuole attaccare in questo modo, con uno strumento di debug si guarda dove va

a cadere l'esecuzione dopo lo scarico dell'allegato; a questo punto, in

quella posizione basta scrivere una istruzione di salto all'indirizzo del

buffer dove si trova il programmino (che costituisce la parte finale del nome

dell'allegato) e il gioco e' fatto.

Se i sorgenti non ci sono, il gioco si fa piu' difficile, si va per tentativi

/intuizioni, debug non simbolico ma la sostanza non cambia.

[B20] Come vedo se ho il protocollo NetBIOS su TCP/IP installato? Che

rischi corro?

Basta andare in Pannello di Controllo / Rete / Protocolli e controllare la

lista. I rischi che si corrono sono che e' possibile entrare nel computer

inserendo il suo IP in Avvio/Trova/Computer, se si ha Accesso Remoto

aggiornato. Naturalmente bisogna avere attivato delle condivisioni di

risorse su alcune unita'/directory del computer. Se questo e' necessario,

almeno proteggerle con password.

[B21] [MacOS] E' possibile far piantare il Mac tramite la rete?

L'unica cosa che manda in bomba il System 8.1 con l'ultimo OpenTpt e' se

sta collegandosi (attivamente) a un server DDP e il server crasha. Resta

per un po' confuso, poi si pianta il Finder e tocca riavviare. Anzi, una

volta su cinque tocca pure resettare la P-RAM.

Il problema sembra essere piu' grave utilizzando una scheda di rete Dayna

10/100, evidentemente non molto affidabile. Un dispositivo comunque non

Apple.

[B22] E' possibile che qualcuno riesca a navigare "sembrando me"?

E' in effetti possibile. Questi simpaticoni cercano di connettersi alla

porta 1080, dove potrebbe esserci in ascolto un proxy socket. Se riesce

nell'intento il tuo computer puo' essere usato dall'attaccante come proxy

im modo che il suo computer venga "nascosto" all'esterno e tutte le

operazioni che compira' risulteranno effettuate dal computer attaccato.

[B23] Senza programmi come Bo o NetBus e' possibile "entrare" nel computer

di qualcuno?

Alcune versioni di Windows 95, di serie (o quasi), consentono l'accesso da

Internet al disco. Win95 OSR2 se ne accorge all'installazione di Internet

Explorer 4.0, e propone di chiudere l'accesso. Si ricorda che se nel computer

e' attivata la condivisione di file e stampanti, magari senza password, e'

possibile, conoscendo il suo indirizzo IP, vederlo come unita' di rete da

Gestione Risorse. Quando si installa Windows o quando si compra il computer

con Windows preinstallato, controllare ed eventalmente disattivare ogni

condivisione. Ricordo che Windows 95/98 offre servizi di rete senza avere

quelle caratteristiche di sicurezza (permessi associati ai file, password)

che hanno invece i sistemi multiutente come gli Unix, concepiti anche

pensando a tali problematiche.

Un esempio di attacco a un computer con condivisioni attive e non protette:

basta mettere il comando opportuno nell'AUTOEXEC.BAT, ed alla successiva

accensione (che puo' essere anche dopo 30 secondi - perche' basta che mandare

un nuke, il PC si pianta, e il riavvio e' necessario) esso verra' eseguito,

con quali risultati dipende dal comando. Se per esempio il comando e' un bel

format /autotest...

[B24] Le porte UDP 137 e 138 sono un rischio? E perche'?

Sono porte dedicate al NetBios. La 137 e' dedicata al NetBios Name Service,

la 138 al NetBios Datagram Service. Fanno parte delle cosiddette "well

known ports" i cui indirizzi sono stati assegnati dallo IANA (Internet

Assigned Numbers Authority), che attualmente gestisce le assegnazioni delle

porte nel range 0-1023. Possono essere soggette ad attacchi DoS (Denial of

Service). Anche il semplice WinNuke, con il suo invio di dati OOB, puo'

risultare efficace sulle porte 137 e 138, sebbene in prima istanza

l'attacco OOB venne concepito sulla porta 139 (NetBios Session Service).

Riguardo al WinNuke, Microsoft ha rilasciato delle patch sul suo sito Web.

*** (C) Paolo Monti

[B25] Ho notato che ogni volta che mi connetto a internet si aprono

automaticamente queste due porte 137 e 138. Io ho la versione OSR2

di win95, e' un problema di questa versione ?

Potrebbe esserlo se ti attaccassero su quelle porte sfruttando bug dello

stack TCP/IP di MS o semplicemente i limiti insiti in tutti i protocolli

basati sul TCP/IP (vedi alla voce "SYN flooding"). Per impedire l'apertura

delle due porte suddette, basta eliminare il supporto per il NetBios nelle

risorse di rete. Il supporto del NetBios su TCP/IP (NBT) diventa

particolarmente pericoloso se hai anche le "shares" (condivisioni di file

e/o stampanti) impostate senza password, fatto che si verifica comunemente

in almeno il 5% degli utenti Windows. In quel caso, chi localizza il tuo

IP sulla rete puo' entrare nel tuo computer come un falco, usando

semplicemente il comando NET o l'Esplora Risorse.

*** (C) Paolo Monti

[B26] Da un account NT in pratica senza nessuna autorizzazione, è

possibile scovare la password dell'Administrator?

Forse si', sfruttando un bug nella gestione delle librerie... in

pratica, anche un utente normale ha una serie di processi che girano

con maggiori privilegi, e in teoria non sarebbero influenzabili.

Il guaio e' che alcuni di quei processi usano codice non privilegiato,

e quel codice e' accessibile a tutti, anche in modifica. Quindi,

teoricamente, E' possibile. Come farlo in pratica, non so (e' vero,

non lo dico per evitare richieste).

Questo vuole solo essere un incentivo per che gestisce un sistema NT

a porre la massima cautela a dove vengono riposti i dati "strategici"

per la vita del sistema.

[B27] [WinNT] E' possibile diventare amministratore sotto Windows NT?

Purtroppo si'. A causa di un baco nel sistema operativo, certe

funzioni a livello supervisore non controllano bene i puntatori

passati. Come conseguenza, e' possibile modificare una serie di

variabili nel kernel, senza essere amministratore.

E, siccome il livello di sicurezza (utente, amministratore, Dio,

figlio di nessuno) sta in una variabile, ti puoi immaginare il resto...

Naturalmente, bisogna avere a disposizione un login, ed il diritto

di eseguire un eseguibile che avremo installato (quindi, diritto di

scrittura). Non e' poco.

*** (C) Leonardo

[con adattamenti]

[B28] [WinNT] Avendo il diritto di installare ed eseguire programmi,

cosa posso fare?

Per esempio, scrivere un programma che acceda alle funzioni che non

controllano i puntatori (vedere [B27]) e passargli un indirizzo

illegale corrispondente ai dati da modificare.

[B29] Come possono interagire telnet e BO?

Per quanto riguarda una sessione telnet, la si può aprire, ma dal

client Bo. Il comando è App Add, si deve scrivere nella finestra

exe.location Command.com e scegliere una porta a piacere come listen

port. Poi si fa telnet all'indirizzo ip target sulla porta appena

scelta... E' una vera e propria shell.

Per quanto riguarda invece il comunicare col server del BO tramite

telnet, cioe' collegarsi alla sua 31337 (o qualunque altra porta

abbia configurato) con telnet, non si puo' fare. Il motivo e' che BO

usa UDP, mentre telnet usa TCP.

[B30] In cosa consiste di preciso il "TearDrop Attack"?

Nell'inviare un pacchetto IP scorretto, cioe' frammentato in un modo

non valido. Tentando di riassemblarlo, quasi tutti gli stacks TCP-IP

ottengono indici negativi ed indirizzi di memoria scorretti, dal che

si ottengono magni inchiodamenti. Il protocollo usato e' ICMP.

Naturalmente, la patch (consistente nell'aggiungere "...e' un indice

negativo? Se si', butta via il pacchetto e incazzati fortemente") e'

disponibile per Linux da un pezzo.

Windows 95 e' ancora vulnerabile (esistono vari modi di creare rogne

con il metodo teardrop), Windows NT parzialmente (solo ai nuovi TD e

non al teardrop originale).

I sockets di Windows pero' non consentono il raw socketing, e quindi

non esiste teardrop per Windows. Il teardrop e' un attacco che parte

solo da sistemi Unix, dove l'acher ;-) deve essere root.

Volendo si puo` modificare il datagram a mano prima che esso venga

inviato.

[B31] Con tecniche di IP spoofing si riesce facilmente a falsificare

l'indirizzo IP di una macchina?

In altre parole:

Se faccio il traceroute dell'indirizzo finto, dovrei comunque riuscire

a risalire la catena dei router attraversati fino al finto, oppure

risalgo la catena fino all'IP vero?

Fai il traceroute VERO dell'indirizzo FINTO. In teoria, se i vari routers

avessero un po' di ingegno, non potresti fare neanche spoofing (o quasi).

In pratica puo' succedere questo:

A(F) ---> B ---> C ---> D

/

F ---> E --->--+

A ti manda un pacchetto fingendosi F. B, che controlla la sottorete A, ed

in teoria non dovrebbe veder passare pacchetti DA F verso "NON A", invece

passa questo strano pacchetto "F verso D". Lo stesso fa C, che "dovrebbe"

vedere arrivare i pacchetti di F solo da E (ma C non puo' sapere se F sia

anche collegato o no a B).

D si vede arrivare un pacchetto da un certo "F" che arriva da "C", di cui

si fida e che in passato gli ha mandato pacchetti veri di F.

Un traceroute D-->F rivela: D, C, E, F ... B e A sono rimasti fuori.

E' possibile naturalmente sapere se F stia originando una connessione con

D. A non puo' impedirlo (a meno di cagar bulloni e avere la sfera di vero

cristallo del mago Zurli'; o a meno che D o F siano Windows :-) ).

Pero', sapere che quel pacchetto "F->D" e' spoofato non ti fa trovare A.

Se hai dei sospetti, puoi verificarli in maniera induttiva :-), ma se non

hai dei sospetti in particolare, o se A dispone di software adatto (credo

vada bene Aggressor per Windows, o qualsiasi cosa per Linux :-) ), fine.

*** (C) Leonardo

[B32] Nella mia macchina Linux ho attivo il servizio di finger. E'

vero che ci sono rischi?

Forse. In realta' era un bug di vecchie versioni, che potevano essere

"indotte" a concedere una shell verso un client remoto se questo gli

inviava una particolare stringa, contenente quelli che finivano per

essere interpretati come comandi. Se il demone girava con diritti di

root, l'operatore all'altro capo della connessione aveva a disposizione

una shell con i diritti di root... In maniera piu' pedestre, il server

poteva essere fatto crashare mandando una stringa molto lunga.

In ogni caso, le versioni attuali non dovrebbero piu' essere affette

da questo problema. Il consiglio, pero', e' quello di disabilitare i

servizi che non sono necessari, come puo' essere il finger in una

Linux box per uso "domestico".

[B33] Come sono belli i messaggi di posta e news formattati, con

tutte quelle belle applet ed effetti speciali!!!

Disabilitare i messaggi in formato HTML! Immediatamente!!! La

ricchezza espressiva consentita dall'HTML e dalla possibilita' di

incorporare in esso delle funzioni JavaScript e/o delle applet Java

non vale la sicurezza del proprio computer. Un esempio "innocuo" e'

dato dal seguente codice:

<script language=VBscript>

do

msgbox ("MANGIATE STRONZI !!!")

loop

</Script>

[nota: un messaggio che includeva questo e' stato veramente postato

in alcuni gruppi della gerarchia it.*]

Innocuo significa che non causa danni alla macchina, ma comunque e'

fastidioso e per terminarlo occorre ammazzare il programma di posta.

"Regalini" come questi sono particolarmente subdoli se si usa il

programma Outlook Express di Microsoft, che riesce a eseguire il

formato HTML senza bisogno di "aiuti" esterni, con il risultato che

non chiede nulla prima di visualizzare un tale messaggio, applet e

script compresi. Se questi contengono del codice "malizioso", che per

esempio sfrutti dei bug della JVM del browser, i danni causati

dipendono solo dall'altruismo del loro mittente...

In OEx si puo' disabilitare l'esecuzione degli script intervenendo in

Strumenti/Opzioni/Protezione/Impostazioni personalizzate; in ogni caso

basta cliccare su Strumenti/Opzioni/Area Internet/Personalizzato/ e

qui scegliere che cosa si deve eseguire automaticamente e che cosa no.

====================================

[C01] Proteggere il sistema - Info generali

La prima regola fondamentale e' di non eseguire __MAI__ alcun file che

non sia di provenienza piu' che accertata. Questo ancor di piu' se si e'

soliti, per esempio, chattare con mIRC o ICQ e qualche interlocutore vi

spedisca dei file. Non eseguiteli, neanche se promettono di farvi

materializzare dal modem una Pamela Anderson nuda e disponibile :-)) Il

pericolo puo' essere maggiore di quello costituito da un virus

"tradizionale". In ogni caso, poiche' prevenire e' meglio che curare, due

programmi di utilita' sono:

- Nuke Nabber (http://tucows.iol.it, http:/volftp.tin.it)

- AVP System Monitor (http://www.avp.it/utility)

Il primo e' un antinuke che pero' ha il difetto di aprire le porte per

controllarle; dovrebbe esistere pero' una patch che serve a chiuderle. Il

secondo e' un anti-BO/monitor di sistema, freeware, scritto da Paolo Monti

(l'autore e' reperibile su it.comp.irc). Per utilizzare NukeNabber bisogna

avere Winsock 2 o superiori (attualmente siamo alla 2.2), se si hanno

versioni precedenti l'aggiornamento e' scaricabile come al solito dal

sito Microsoft o da vari archivi ftp (con VOLftp si va tranquilli); la

versione 2 o superiore del Winsock e' necessaria per la scansione ICMP.

Questo introduce un'altra regola di base, che e' quella di tenere costantemente

aggiornato il sistema nelle sue componenti vitali come lo stack TCP/IP,

per evitare di esser vittime di vecchi bug corretti da versioni successive

del software.

[C01a] Come si configura correttamente il Nuke Nabber ?

Come gia' indicato sono necessarie le winsock 2.x per utilizzare tutte le

funzioni dello stesso (per incisio, se lo si utilizza su di un sistema

winNT, oppure in rete locale con macchine UNIX e' possibilie configurare

le attivita' di logging rispettivamente nell' event monitor oppure verso

il demone syslogd).

Vi sono due filosofie d' utilizzo di questo sw:(a) Permettergli di

controllare tutto il controllabile, (b) Sintonizzarlo solo ed

esclusivamente dove e' utile; la seconda serve ad evitare che il sistema

sia vittima di attachi che richiedono "porte aperte" e che il Nabber non

e' in grado di gestire.

Quando il Nabber controlla una porta, questa viene lasciata aperta (vedi

sez. TCP/IP), dovrebbe esistere una patch per effettuare una chiusura

preventiva [[dove ?????]], solo dopo uno scan e/o attacco questa viene

chiusa.

Configurare il Nabber, in File -> Options -> General almeno due opzioni

devono essere selezionate: "Block port scan" (chiude le porte dopo uno

scan) e "Disable port for....." (evita di riaprirle per X secondi). Poi,

in File -> Options -> Advanced si possono controllare le attivita' di

monitoring sulle porte.

Se si decide per (a) (vedi sopra) indicare le porte segnate con (a) alla

voce monitoring nell' elenco presente in [PORT-Appendice] e riportate

anche qui per brevita'.

NukeNabber di default controlla le seguenti porte: 5001 (tcp), 5000 (tcp),

1080 (tcp), 1032 (tcp), 1029 (tcp), 1027 (tcp),

- 139 (tcp), 138 (tcp), 137 (tcp),

Queste devono restare, ma disinstallando NetBIOS o installando

WinNuke95 e selezionando "Patch against Nuke", le si puo' togliere.

- 129 (tcp), ma non e' un servizio standard.

- 53 (tcp),

si puo' togliere, a meno di non avere un DNS sul PC, accessibile

dall'esterno.

- 19 (udp).

su Windows 95 non c'e' il servizio chargen corrispondente alla porta.

Su WinNT, va elimitato, dal pannello di controllo "Small TCP Services",

perche' si puo' indurre NT a cortocircuitare le proprie porte 19 e 53,

con risultati non proprio esaltanti. Con Windows 95/98 no (non c'e' il

servizio).

Vanno aggiunte invece le seguenti:

- 31337 (udp), Porta di default del Bo.

- 61466 (tcp), 50505 (tcp)

- 12345 (tcp), 12346 (tcp),porte utilizzate da NetBus.

Se si segue la filosofia (b) ci si

limitera' a:

ICMP / 139 (TCP) / 19 (UDP)

Si tenga comunque presente che

- gli scan alla ricerca di backdoor/server vari non sono

pericolosi in quanto tali

- il Nabber e' veramente essenziale solo se si utilizza IRC, dal

momento che ci sono persone che attaccano sistematicamente tutti

quelli che si affacciano su di una canale

[C02] Le componenti di rete, ovvero: cosa tengo e cosa tolgo?

Anzitutto, se possibile. togliere assolutamente i protocolli NetBEUI e

IPX/SPX, o almeno il binding con Accesso Remoto (se si ha Windows).

Questi servono per reti locali e non per Internet; nel caso di un computer

a casa collegato a Internet con modem e accesso tramite provider su linea

telefonica, nelle proprieta' della Rete dovrebbe esserci solo Scheda di

Accesso Remoto e TCP/IP in binding con essa. Eliminare se possibile anche

il client per reti Microsoft.

Condivisioni: eliminare o, se necessarie, proteggere con password le

directory condivise. I protocolli NetBEUI e IPX/SPX non devono comunque

essere associati ad Accesso Remoto ma solo al driver della scheda di rete.

[C03] Ma se tolgo il Client per reti MS non mi memorizza piu' la password!!!

Meglio!!! ^__^ Ogni informazione memorizzata nell'hard disk e' a

disposizione dell'hacker oppure lamer di turno. Almeno gli si renda la

vita piu' difficile non facendogli trovare bello e pronto quel che

cercano. I file .pwl di Windows, poi, dove vengono memorizzate le

password, non sono certo difficili da decifrare (vedi patch per la

sicurezza che Microsoft ogni tanto emette). Ricordo che se qualcuno vi

frega la pass di accesso a Internet poi si puo' connettere e per il

provider (E PER L'AUTORITA' GIUDIZIARIA) sarete voi a esservi connessi e

ad aver commesso eventuali atti illeciti. A meno che riusciate a

dimostrare di essere stati craccati (della serie, campa cavallo...).

[C04] Quali porte controllare con NukeNabber?

NukeNabber di default controlla le seguenti porte:

- 5001 (tcp), 5000 (tcp), 1080 (tcp), 1032 (tcp), 1029 (tcp), 1027 (tcp),

Queste possono essere cancellate: le >1024 sono aperte in outbound.

- 139 (tcp), 138 (tcp), 137 (tcp),

Queste devono restare, ma disinstallando NetBIOS o installando

WinNuke95 e selezionando "Patch against Nuke", le si puo' togliere.

- 129 (tcp),

129 non e' un servizio standard.

- 53 (tcp),

si puo' togliere, a meno di non avere un name server sul PC,

accessibile dall'esterno.

- 19 (udp).

su Windows 95 non c'e' il servizio chargen corrispondente alla

porta. Su WinNT, va elimitato, dal pannello di controllo "Small TCP

Services", perche' si puo' indurre NT a cortocircuitare le proprie

porte 19 e 53, con risultati non proprio esaltanti. Con Windows

95/98 no (non c'e' il servizio).

Vanno aggiunte invece le seguenti:

- 31337 (udp),

Questa e' la porta di default del Bo.

- 61466 (tcp),

Master Paradise

- 50505 (tcp),

icqtrogen

- 12345 (tcp), 12346 (tcp).

Su queste porte puo' arrivare una connessione a NetBus.

Attenzione che NukeNabber e' un programma di monitoraggio e non una

protezione vera e propria. Esso consente di sapere se le porte sotto

controllo sono sotto attacco, ma non e' efficace contro attacchi

tipo Land, Boink, Teadrop I e II, Ssping ecc...

[C05] Cosa uso per controllare l'attivita' di rete del mio computer?

DOS Win95 Linux

===========================================

tracert tracert traceroute

ping ping ping

netstat netstat netstat

nbtstat nbtstat nbtstat

- NukeNabber tcplogd

- - tcpd

- NukeNabber(?) icmpd

- - strobed

- - -

route route (1) route

- aggressor aggressor

fdisk fdisk fdisk

- win startx ;-)

- office staroffice

pov pov32 povray

...

(1) Non funziona bene

(2) Children, DO NOT DO THIS AT HOME

(C) Leonardo Serni, da un post del quale ho brutalmente copy&past-ato

la tabella di cui sopra (siiii', anch'io lamer!)

[C06] Password mantenute in cache

Un piccolo suggerimento per tutti: e' possibile evitare l'uso delle

cached password modificando una chiave nel Registry. Basta impostare al

valore 1 la seguente chiave:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\

Network\DisablePwdCaching

[C07] Ho il programma WinTOP dei Kernel Toys. Serve a qualcosa?

Si'. WinTOP (che si puo' lanciare da Avvio[Start]/Esegui, scrivere

wintop.exe<RETURN>) mostra un elenco di tutti i processi attivi nel

computer, con la possibilita' per ognuno di essi di avere l'elenco dei

thread generati. A differenza della finestra che appare premendo CTRL-

ALT-DEL, in WinTOP viene mostrato tutto quello che e' in esecuzione, e

quindi si possono individuare cose "non regolari".

Idle, kernel32, msgsrv32, mprexe, mmtask, explorer, rundll32 sono task

di sistema. Per vedere i dettagli di un processo, cliccate con il tasto

destro e scegliete Properties: qui in due schede sono mostrate, appunto,

le proprieta' del processo. Quello che interessa e' la seconda, dove puo'

essere presente un bottone "Terminate process now", che permette appunto

di uccidere il processo. Il bottone e' disponibile sui processi

contrassegnati dalla finestra, mentre quelli contrassegnati dalla ruota

dentata non possono essere terminati in questo modo.

Attenzione: WinTop non permette di effettuare la chiusura dei processi

con caratteristiche di servizi di sistema, mentre con AVP System Watch e'

possibile fare anche questa operazione.

[C08] E' vero che si possono far eseguire dei programmi dannosi allegandoli

a un messaggio e-mail?

Dipende da cosa si intende dire. In generale, una mail e' costituita da

una sequenza di caratteri ASCII, che vengono mostrati in una finestra del

programma di posta elettronica, ma non sono eseguiti. La mail puo' pero'

contenere un allegato di tipo qualunque, e ai fini della sicurezza del

sistema interessano due classi di file: eseguibili (.exe, .com) e binari

creati da applicazioni che hanno un certo livello di programmabilita'

per mezzo di macrolinguaggi (documenti Word o Excel, per esempio). Il testo

della mail non e' pericoloso, al contrario di quel che dicono dei messaggi

terroristici che periodicamente spammano i newsgroup.

Il discorso cambia per gli allegati suddetti. Un file di Winword puo'

contenere una macro che in realta' e' un macrovirus, e la sua apertura CON

WINWORD puo' infettare il computer col virus stesso. Un file eseguibile puo'

anch'esso essere infetto. Non si proseguira' qui sul discorso dei virus,

esistendo un newsgroup dedicato ad essi, cioe' it.comp.sicurezza.virus, e

le relative FAQ.

I pericoli che possono nascondersi negli eseguibili non sono pero' finiti.

Un eseguibile puo' nascondere un trojan o una backdoor, ed eseguendolo

vengono installati questi ultimi. Qui il trucco non sta solo nell'avere

programmi antivirus e di monitoraggio aggiornati e sofisticati, ma

soprattutto in un settaggio furbo del programma di posta. Questo deve

essere impostato in modo che gli allegati "sensibili" non vengano aperti

direttamente cliccandoci sopra, ma salvati su disco per poterli passare

con comodo all'antivirus e agli altri controlli. In poche parole, un .jpeg

puo' essere automaticamente aperto, un documento Word NO, NO, NO, NO, NO

(ripetere n volte, con n->oo) e neppure un eseguibile.

[C09] Posso proteggere un file o una directory sotto Windows da accessi

indesiderati?

Certo. Naturalmente, a causa della natura intrinsecamente insicura di Windows

(TUTTE le versioni dal 98 in giu') dovuta al fatto che si tratta di un

sistema sostanzialmente monoutente, questo e' impossibile in maniera nativa,

e i programmi che si possono trovare sono tutti piu' o meno aggirabili (basta

un boot da dischetto per accedere al sistema, anche se da DOS puro, a meno di

disabilitarlo dal BIOS).

Se la partizione in cui si trova il file/directory da proteggere e'

formattata FAT-16 (cosa facilmente verificabile con un click destro sulla

unita', scegliendo Proprieta'/Generale e controllando la presenza o meno

della dicitura FAT-32 accanto alla riga Tipo: Disco locale), c'e' pero'

un trucco semplice, che necessita di un programma come il buon vecchio

PC-tools.

Per facilitare le cose, si mettano i file in un'unica directory, chiamata ad

esempio "VARIEK". Riavviare in Modalita' MS-DOS (NON il prompt!!!), lanciare

PC-tools, localizzare la directory VARIEK e sostituire la K con ALT+255;

questo e' un carattere che sembra lo spazio, e l'effetto e' di rendere la

directory inaccessibile sia da DOS che da Windows. Per entrarvi, occorre

utilizzare di nuovo PC-tools e rimpiazzare ALT+255 con un carattere

alfanumerico. La cosa puo' sembrare macchinosa, ma e' possibile scrivere

un programma che faccia il cambio in automatico, cosicche' per entrare nella

directory e accedere ai file contenuti basta lanciare il programmino e una

volta finito rieseguirlo per compiere l'operazione opposta. Stessa cosa per

i nomi dei singoli file, per esempio per creare in dos dei file con spazi

inframezzati, o in Windows (3.1 o anche 95) scrivere file che windows non

puo' rileggere se non dopo accurata modifica del nome.

[C10] Ho messo sotto controllo la porta 31337. Sono al sicuro?

Non direi. Pe default, il BO apre in listening una sola porta TCP/UDP:

la 31337 (in realta' sono due, dal momento che le porte TCP sono diverse

da quelle UDP, anche se hanno lo stesso indirizzo). Volendo e' possibile

impedire/monitorare il flusso di dati da certe porte, i firewall servono

proprio a questo (ad es., Conseal o Green Dog). Il problema e' che il BO

puo' essere configurato per "ascoltare" anche da porte diverse da quella

di default.

(P.Monti)

[C11] Ho installato NukeNabber per controllare le porte "sensibili".

Sono al sicuro?

Con Nuke Nabber installato, ti possono straziare la macchina usando, per

esempio, Teardrop, Newdrop, Fraggle e Nestea (*). Per quanto ne so. E non so

se funziona anche Jolt (*), un altro attacco simile. C'e' un paio di note in

FAQ, http://www.linuxvalley.com/~lserni/glossary.cgi?ITEM=attacks, pero'

sono "in fieri" e lontanissime dall'essere complete. Mi raccomando, dite

se ci sono errori o inesattezze.

(*) Cercarli!!! Anche Land, Boink, Ssping

[C12] Back Orifice - Server: configurazione ed installazione

*** Nota: questo paragrafo non vuole essere un incitamento alla

boserverizzazione dei computer altrui. Dato che e' comunque bene

conoscere i propri nemici per poterli meglio sconfiggere, l'ho

ugualmente inserito nella FAQ. Potrete fare cosi' degli esperimenti

sul vostro PC (utilizzando l'indirizzo 127.0.0.1 sul BoClient) o su

quello di un vostro amico CONSENZIENTE ed INFORMATO DI TUTTI I

PERICOLI, che verra' IMMEDIATAMENTE RIPULITO DAL SERVER al termine

degli esperimenti. ***

Il server Back Orifice si puo' installare semplicemente lanciando il

file boserve.exe; una volta avviato, questo file copia il server (vero

e proprio) nella directory SYSTEM di Windows 95, aggiunge una chiave

nel registro di configurazione ed infine si cancella dalla directory

da cui e' stato lanciato.

Il BO server può essere configurato (prima di essere installato) per

impostare il nome dell'eseguibile del server, la porta su cui deve

ascoltare, la password, etc. ma funziona anche senza una particolare

configurazione utilizzando le seguenti impostazioni di default:

Nome eseguibile del server: " .exe" <spazio>.exe

Porta: "31337"

Password: (nessuna)

Per configurarlo, invece, va usata l'utility boconfig.exe nel seguente

modo:

Dopo aver estratto il pacchetto BO in una directory, dal prompt di

MS-DOS, posizionarsi in questa directory e digitare:

boconfig boserve.exe [Invio]

Ora viene chiesto di specificare le varie opzioni di configurazione:

Prompt di MS-DOS

C:\bo>boconfig boserve.exe

BOConfig 1.0 - Configures execution options for a Back

Orifice server

Runtime executable name: (does not necessarily have to end in

.exe)

server.exe

Exe description in registry:

ServerBO

Server port:

12345

Encryption password:

my_passwd

Default plugin to run on startup:

my_plugin.dll:_start

Arguments for plugin:

parametro1,parametro2

File to attach:

freeze.exe

Write file as:

my_plugin.dll

C:\bo>

Runtime executable filename: e' il nome con cui verra' chiamato il

file eseguibile del server; non e' necessario specificare l'estensione

.exe, ma se non lo si fa, BO non la aggiunge automaticamente;

Exe description in registry: e' il nome che si vuole dare alla chiave

che verra' creata nel registro di Windows 95 per far si' che il server

venga lanciato automaticamente ad ogni avvio del sistema. Questa

chiave si trova in:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices.

Se non si specifica un nome, il riferimento al server verra' creato

nella chiave "(Predefinito)";

Server port: e' la porta su cui sara' attivo il server;

Encryption password: e' la password usata per la criptazione. Si puo'

anche scegliere di non usarla, digitando semplicemente Invio;

Default plugin to run on startup: qui va specificato un plugin da

lanciare all'avvio. La sintassi e' la seguente:

nome_plugin.dll:_funzione

Per ulteriori informazioni riguardo i plugin di BO, leggi il file

plugin.txt incluso nel pacchetto e visita il sito cDc. Se non si

vuole usare nessun plugin digitare Invio.

Argument for plugin: qui vanno specificati gli argomenti da passare

al plugin. Se hai scaricato dei plugin da Internet, questi parametri

li trovi nella loro documentazione;

File to attach: qui va inserito il percorso di un file che si vuole

attaccare al server. Questo potrebbe essere un plugin per BO, che puo'

essere attivato automaticamente. Se non si vuole attaccare nessun file,

digitare Invio;

Write file as: se si e' specificato di attaccare un file al server,

bisogna ora specificare il nome che si vuole dare al file attaccato.

A questo punto il file boserve.exe e' stato modificato per queste

impostazioni.

Nota: se vuoi fare un'altra configurazione, non usare il file

boserve.exe già configurato: cancellalo ed estrailo di nuovo

dall'archivio compresso.

×-h4ck3r - SPP member

Liberamente tratto dal sito di x-hacher

(by M.D'Itri)

[C13] Si puo' vedere se ho un file "Silkroppato"?

Dipende da come e' stato fatto il lavoro: se uno usa silkrope e basta,

gli antivirus attuali ti dicono che il file e' infetto da BO. Se,

invece, dopo aver fatto silkrope passi il tutto ad un compressore di

eseguibili, l'antivirus non vede niente.

[C14] Si puo' creare un file di log per netstat?

Dipende da cosa si intende per log. Si puo' fare in modo che l'output

di netstat venga scritto su un file piuttosto che sul video, basta

usare il pipe ">" o ">>". Per esempio potresti scrivere

netstat -na 30 > c:\dir\log.txt

oppure

netstat -pa TCP 30 > c:\dir\log.txt

scegliendo i parametri che vuoi passare al netstat e poi, invece di

mandare i risultati a video, ci si crea un bel file di log.

Bisogna fare attenzione a 2 cose:

1. il singolo ">" fa in modo che il log venga sovrascritto ogni volta

che si esegue il comando, mentre il doppio ">>" fa si' che i risultati

vengano di volta in volta aggiunti nel file in coda ai precedenti

(occhio alle dimensioni del file log!).

2. se si imposta un intervallo di tempo molto breve, e' sicuro che non

sfugge nulla ... o quasi ;-), ma si rischia di ritrovarsi con un log

immenso!

Poi si puo' scrivere un piccolo file batch in modo da non doverlo

digitare ogni volta: aprite il notepad, scrivete il comando in una

riga, sceglere Salva con nome (nella lista dei tipi dei file scegliere

"tutti i file") chiamandolo "nome_che_vuoi.BAT".

Poi per cercare qualcosa si va di grep... <hem!!!> si apre con Wordpad

e con <CTRL>+F si cerca, per esempio, "31337" (che originale!!!),

usando F3 per trovare tutte le connessioni loggate con la sottostringa

cercata.

*** (C) x-hacker

[con adattamenti]

====================================

[D01] Un attacco sembra venire dall'indirizzo x.y.w.z. Posso essere

sicuro che provenga da veramente da li'?

Non e' detto. E' possibile fare in modo che i pacchetti trasmessi da

un certo indirizzo IP sembrino arrivare da un altro; la tecnica si

chiama __spoofing__. Quando si riceve un tentativo di attacco e il

programma usato per monitorare la rete riporta un certo indirizzo di

provenienza, e' bene non passare direttamente al contrattacco, perche'

si potrebbe colpire qualcuno che non c'entra niente, rendendolo la

seconda vittima dell'attacco (il suo indirizzo IP potrebbe essere

usato come indirizzo di provenienza dell'attacco per vari motivi, non

ultimo una forma di "ritorsione" contro il proprietario di tale

indirizzo).

*** (C) Leonardo Serni ***

Se uno proprio vuole assicurarsi (nei limiti del possibile) di chi

effettivamente ha fatto ping:

1) Risponde

2) Risponde a tono ai comandi piu' ovvi

3) Se, come nel 75% dei casi (esperienza mia) arriva il

comando di attivazione web server, dice di si'

4) Quando arriva una connessione TCP da quell'indirizzo

alla porta 80, _ALLORA_ l'identita' del tizio e' non

dico SICURA, pero' insomma abbastanza PROBABILE.

*** fine (C) ***

====================================

*** APPENDICI ***

[PORT-Appendice] - Elenco ragionato delle porte piu' utilizzate

by Maurizio Cimaschi

integrato da Marco Zani

Ecco un' elenco delle porte piu' utilizzate, alcune indicazioni

fanno riferimento a risposte date nella FAQ, e si rimanda ad

esse.

Legenda:

Porta (Prot) : Indica la porta ed il protocollo utilizzato

C/S : Se si tratta di un servzio lato server oppure

lato client, se non vi e' alcuna indicazione

significa che non e' rilevante

WKS : Indica il tipo di Well Known service (se presente).

Monitorig : Se deve essere monitorato dal programma

Nuke Nabber (o simili), il valore puo'

essere (a) o (b), sul significato si rimanda

alla domanda [C01a]

Poss. att. : Indica le possibilita' di attacco alla porta.

Note : Varie ed eventuali, come ad esempio possibilita'

di attacco ai servizi presenti su

quella porta, presenza di back door, ecc.

Sono elencati in ordine crescente rispetto al

numero di porta e non per importanza.

Porta (Prot) : ICMP detta anche porta zero.

C/S :

WKS :

Monitorig : (a) e (b)

Poss. att. : Possono essere ricevuti pacchetti formattati

in maniera anomala che mandano in

crash lo stack TCP/IP.

Note : E' la sezione relativa alla manutenzione

del protocollo IP

**

Porta (Prot) : 13 (TCP)

C/S : S

WKS : daytime

Monitorig :

Poss. att. :

Note

**

Porta (Prot) : 13 (UDP)

C/S : S

WKS : daytime

Monitorig :

Poss. att. :

Note :

**

Porta (Prot) : 19 (TCP)

C/S : S

WKS : ttytst source

Monitorig :

Poss. att. :

Note :

**

Porta (Prot) : 19 (UDP)

C/S : S

WKS : ttytst source

Monitorig : (a)

Poss. att. : In winNT e' possibile indurre la macchina a

cortocircuitare le porte 21 e 53,

mandando in crash lo stack TCP/IP

Note :

**

Porta (Prot) : 20 (TCP)

C/S : S

WKS : ftp-data

Monitorig :

Poss. att. :

Note :

**

Porta (Prot) : 21 (TCP)

C/S : S

WKS : FTP

Monitorig : no

Poss. att. :

Note : Il monitoring, se presente, non deve essere

del tipo "chiudi porta", altrimenti

quella macchina non puo' essere usata

come server dal momento che rifiuterebbe

a priori tutte le connessioni.

**

Porta (Prot) : 23 (TCP)

C/S : S

WKS : Telnet

Monitorig : No

Poss. att. :

Note : vedi porta 21.

**

Porta (Prot) : 25 (TCP/UDP)

C/S : S

WKS : SMTP - invio della posta

Monitorig : No

Poss. att. : Bug di Sendmail (Unix)

Note : Scaricare sempre l'ultima versione di sendmail

(ftp://ftp.sendmail.org/pub/sendmail)

Vedi porta 21.

**

Porta (Prot) : 37 (TCP)

C/S : S

WKS : timeserver

Monitorig :

Poss. att. :

Note :

**

Porta (Prot) : 37 (UDP)

C/S : S

WKS : timeserver

Monitorig :

Poss. att. :

Note :

**

Porta (Prot) : 39 (UDP)

C/S : S

WKS : resurce location

Monitorig :

Poss. att. :

Note :

**

Porta (Prot) : 53 (TCP)

C/S : S

WKS : DNS / Domain

Monitorig : No

Poss. att. :

Note : vedi nota porta 21. per winNT vedi anche

nota porta 19

**

Porta (Prot) : 53 (UDP)

C/S : S

WKS : Domain

Monitorig :

Poss. att. :

Note :

**

Porta (Prot) : 69 (TCP)

C/S : S

WKS : tftp

Monitorig :

Poss. att. :

Note :

**

Porta (Prot) : 70 (TCP)

C/S : S

WKS : gopher

Monitorig :

Poss. att. :

Note :

**

Porta (Prot) : 79 (TCP/UDP)

C/S : S

WKS : Finger

Monitorig : No

Poss. att. : Puo essere usato per un "denial of service" attack

Note : Disabilitare il finger o montare una versione aggiornata

**

Porta (Prot) : 80 (TCP/UDP)

C/S : S

WKS : Server WEB

Monitorig : No

Poss. att. : CGI/BIN attacks (PHF ecc.)

Note : Utilizzare sempre l'ultima versione del server Web

Vedi porta 21.

**

Porta (Prot) : 88 (TCP)

C/S : S

WKS : Kerberos

Monitorig :

Poss. att. :

Note :

**

Porta (Prot) : 88 (UDP)

C/S : S

WKS : Kerberos

Monitorig :

Poss. att. :

Note :

**

Porta (Prot) : 101 (TCP)

C/S : S

WKS : Hostname

Monitorig :

Poss. att. :

Note :

**

Porta (Prot) : 103 (TCP)

C/S : S

WKS : X-400

Monitorig :

Poss. att. :

Note :

**

Porta (Prot) : 104 (TCP)

C/S : S

WKS : X-400-send

Monitorig :

Poss. att. :

Note :

**

Porta (Prot) : 109 (TCP)

C/S : S

WKS : POP2

Monitorig :

Poss. att. :

Note :

**

Porta (Prot) : 110 (TCP/UDP)

C/S : S

WKS : POP3 - ricezione posta elettronica

Monitorig : No

Poss. att. : Possibile lettura file in posta

Note : vedi porta 21.

**

Porta (Prot) : 111 (TCP)

C/S : S

WKS : RPC

Monitorig :

Poss. att. :

Note :

**

Porta (Prot) : 111 (UDP)

C/S : S

WKS : RPC

Monitorig :

Poss. att. :

Note :

**

Porta (Prot) : 119 (TCP)

C/S : S

WKS : NNTP - Server News

Monitorig : No

Poss. att. :

Note : vedi nota porta 21.

**

Porta (Prot) : 129 (TCP)

C/S :

WKS :

Monitorig :

Poss. att. : (a)

Note :

**

Porta (Prot) : 137 (TCP)

C/S : S

WKS : netbios

Monitorig : (a) e (b)

Poss. att. :

Note : E' necessario disattivare NetBIOS (sempre

che non se ne abbia bisogno). Oppure

installare WinNuke95 e selezionare

"patch aganist Nuke"

**

Porta (Prot) : 137 (UDP)

C/S : S

WKS : Netbios

Monitorig :

Poss. att. :

Note : vedi porta TCP

**

Porta (Prot) : 138 (TCP)

C/S :

WKS :

Monitorig : (a) e (b)

Poss. att. :

Note : vedi nota porta 137.

**

Porta (Prot) : 139 (TCP)

C/S :

WKS :

Monitorig : (a) e (b)

Poss. att. : si con WinNt

Note : C'e' un baco (??) nello stack

TCP/IP di winNT, che risulterebbe

vulnerabile a dati fuori banda.

vedi inoltre nota porta 137.

**

Porta (Prot) : 143 (TCP)

C/S : S

WKS : imap2 - Interim Mail Access Protocol v2

Monitorig : No

Poss. att. : Possibile lettura file in posta

Note : vedi porta 21.

**

Porta (Prot) : 555 (TCP)

C/S :

WKS :

Monitorig : (a)

Poss. att. :

Note :

**

Porta (Prot) : 1027 (TCP)

C/S :

WKS :

Monitorig : (a)

Poss. att. :

Note :

**

Porta (Prot) : 1029 (TCP)

C/S :

WKS :

Monitorig : (a)

Poss. att. :

Note :

**

Porta (Prot) : 1032 (TCP)

C/S :

WKS :

Monitorig : (a)

Poss. att. :

Note :

**

Porta (Prot) : 1080 (TCP)

C/S : C-S

WKS : proxy

Monitorig : server No (e comunque vedi nota porta 21)

client (a)

Poss. att. :

Note : Chi cerca una connessione sulla 1080

vuole mandare in giro per la rete

pacchetti a nome vostro, alcuni

ISP mettono a disposizione un server

proxy per velocizzare le comunicazioni,

ma un' effetto collaterale e' che

tutti i pacchetti di uscita hanno

l' indirizzo IP del PROXY.

**

Porta (Prot) : 5000 (TCP)

C/S :

WKS :

Monitorig : (a)

Poss. att. :

Note :

**

Porta (Prot) : 5001 (TCP)

C/S :

WKS :

Monitorig : (a)

Poss. att. :

Note : Porta destinazione degli attacchi di Socket de Trois.

**

Porta (Prot) : 6667 (TCP)

C/S : S

WKS : IRC

Monitorig :

Poss. att. :

Note :

**

Porta (Prot) : 8080 (TCP)

C/S : S

WKS : Server WEB

Monitorig : No

Poss. att. :

Note : vedi nota 21, alcuni server web utilizzano

questa porta invece della standard (80).

**

Porta (Prot) : 12345 (TCP)

C/S :

WKS :

Monitorig : (a)

Poss. att. :

Note : E' una delle due porte del server NetBus,

si possono ricevere scan alla ricerca

di quel programma.

**

Porta (Prot) : 12346 (TCP)

C/S :

WKS :

Monitorig : (a)

Poss. att. :

Note : E' la seconda porta del server di NetBus,

vedi nota porta prec.

**

Porta (Prot) : 31337 (UDP)

C/S :

WKS :

Monitorig : (a)

Poss. att. :

Note : E' la porta standard del server di Back Orifice,

si possono ricevere scan alla ricerca di

Boserverizzati.

**

Porta (Prot) : 50505 (TCP)

C/S :

WKS :

Monitorig : (a)

Poss. att. :

Note :

**

Porta (Prot) : 61466 (TCP)

C/S :

WKS :

Monitorig : (a)

Poss. att. :

Note : Porta destinazione degli attacchi di TeleCommando.

[BD-Appendice] Appendice BD

Name: Back Orifice 1.20 S.O. : Win95,Win98,Win3.XX

Ports: 31337(TCP&UDP)

Reg Key:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\(Predefinito)

Value : ".exe"

File: C:\WINDOWS\SYSTEM\EXE~1 (124.928)

C:\WINDOWS\WINDLL.DLL (8.192)

Note:

Name: Netbus 1.60 S.O. :Win95,Win98,WinNT

Ports: 12345&12346(TCP)

Reg Key:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\PATCH

Value: C:\WINDOWS\PATCH.EXE /nomsg

File: C:\WINDOWS\PATCH.EXE (472.576)

Note: non e' detto che il server si chiami patch.exe!!!! Quindi file e

chiave di registro variano a seconda... altri esempi: splat1, explore,

pamela, webaccel, icqupdate,... e molti altri!

Name : Phase S.O. :

Ports:

Reg Key:

Value:

File:

Note:

Name : Telecommando S.O. : Win95, Win98

Ports: 61466

Reg Key:

Value:

File: c:\windows\system\ODBC.EXE (~207 Kb)

Note:

Name : Sokets de Trois v1 S.O. : Win95, Win98

Ports: 5001

Reg Key:

Value:

File:

Note:

[LINK-Appendice] - Siti che trattano di sicurezza dei sistemi

informatici

Siti relativi a vari aspetti di sicurezza sotto Windows NT

http://www.nttoolbox.com

http://www.ntsecutity.net (Nella home page, notevole sulla sinistra

i link diretti a diversi articoli in

materia di sicurezza sotto NT)

Programmi di utilita'

http://www.hcvorg.com/ihu/welcome.html

Informazioni utili per ICQ

http://www.hack.cc/icq.html

Qualche utility per difendersi

http://surf.to/netbusprotector

A questo indirizzo si puo' scaricare il protector per

netbus, che serve a mandare un messaggio di errore al

client. Il messaggio puo' essere impostato, e in piu'

il programma fornisce l'indirizzo IP da cui si tenta