A dir poco impressionante è come in Rete, in particolare negli ultimi mesi, si siano diffusi software sempre più complessi e completi che permettono di spiare all’interno di computer remoti collegati via Internet.
IlSoftware.it vuole spiegare come sguardi indiscreti possono potenzialmente essere in grado di leggere i documenti presenti all’interno del nostro personal computer o come sia possibile che qualcuno causi danni più o meno gravi all’interno del nostro fido compagno di lavoro e di divertimento.
Purtroppo non si tratta delle solite leggende metropolitane: esistono programmi che abbinati alla distrazione od all’imperizia rendono il nostro personal computer preda facile per centinaia e centinaia di hackers remoti, che possono essere in grado di far piazza pulita all’interno del nostro elaboratore.
Ciò che vogliamo assolutamente evitare in questo articolo, sono certamente i toni allarmanti e non costruttivi che spesso si evincono da talune fonti di informazione. Vogliamo invece, dopo una presentazione del problema reale, presentare altrettanto reali e contrete soluzioni che permettano di non trovarsi impreparati o peggio, di divenire vittime.
Windows, così com’è, non è di solito direttamente e semplicemente attaccabile, pur non essendo, allo stato delle cose, il sistema operativo più sicuro in assoluto.
Per poter rendere Windows inerme a taluni attacchi, è necessario che all’interno del nostro computer venga attivata una apposita “backdoor”.
La backdoor è una vera e propria “porta sul retro” nel senso che, appena avviata, è in grado non solo di far uscire, a nostra insaputa, dati importanti ma anche permettere l’accesso indisturbato al nostro personal computer, di utenti non autorizzati.
Una volta attivata la backdoor, infatti, questa offre ad un hacker remoto l’accesso completo a tutte le risorse del personal computer “vittima” ed addirittura ai personal computer ad esso collegati. Per collegarsi a questi ultimi l’hacker remoto è in grado di riconoscere ed usare i dati dell’utente che ha subito l’attacco.
Back Orifice sa infatti come accedere alle password di sistema, ma non solo: la backdoor comunica ogni sequenza di tasti premuti da parte dell’utente vittima ed è anche in grado di registrare quali operazioni avvengono off-line.
Non appena la vittima si ricollega ad Internet tutte le informazioni “spiate” vengono passate all’hacker remoto che quindi può avere la possibilità di identificare semplicemente, per esempio, un numero di carta di credito o un conto corrente e relativi codici d’accesso immessi mediante la tastiera.
L’hacker ha a disposizione un’ampia gamma di azioni che possono essere compiute nei confronti del personal computer su cui ha deciso di dirigere l’attacco, prime fra tutte, la possibilità di impedire temporaneamente l’uso della tastiera da parte dell’utente vittima, di oscurare lo schermo, di eseguire qualunque tipo di operazione.
Le applicazioni come Back Orifice offrono numerose altre opportunità per confondere o mettere nel panico l’utente vittima: inversione dei tasti del mouse, apertura e chiusura del cassettino del lettore CD ROM, possibilità di generare suoni, di chiudere o mandare in crash Windows.
Ciò che l’hacker remoto ha sempre bisogno per collegarsi al computer “vittima” è l’indirizzo IP che viene assegnato al momento della connessione. Solitamente l’indirizzo IP è dinamico, ovvero ci viene attribuito dal provider un numero quasi sempre diverso ogni volta che ci colleghiamo alla Rete.
Le backdoor più recenti sembrano aver superato questo problema: esse sono in grado di comunicare all’hacker, ogni volta che l’utente vittima si connette ad Internet, il nuovo indirizzo IP, utilizzando come mezzi ICQ, IRC oppure semplicemente la posta elettronica.
Back Orifice, di cui è stata recentemente sviluppata la versione 2000, è sicuramente uno dei software più famosi: già una settimana prima del suo lancio ufficiale tutti i siti web d’informazione on-line hanno fatto a gara per distribuire in anteprima notizia sul nuovo BO. Altre backdoor molto conosciute sono Deep Throat, NetSphere, Hack’àTack e SubSeven.
Purtroppo però ve ne sono moltissime in circolazione: noi stessi siamo rimasti a bocca aperta dopo aver visitato il sito The Trojans removal database che contiene una lunga lista di backdoor. In corrispondenza del nome di ciascuna backdoor vengono elencate le modifiche che vengono apportate al sistema (specialmente al registro di sistema) per renderlo di facile attacco.
Non è quindi affatto semplice stilare una lista di backdoor e proporre per ciascuna una soluzione che conduca alla relativa identificazione e rimozione.
Regole basilari
I software antivirus offrono una buona protezione contro le backdoor ma non sono in grado né di riconoscerle tutte, né di offrire una soluzione globale al problema.
Allora, come è possibile difendersi? Esiste un modo sicuro per evitare spiacevoli inconvenienti?
Può sembrare banale ma in realtà non lo è. Il modo migliore per non gettare in pasto il proprio personal computer ad hackers senza scrupoli è certamente quello di assicurarsi sempre che il materiale allegato ai messaggi di posta elettronica provenga da mittenti sicuri.
E’ infatti la posta elettronica il principale veicolo di diffusione delle varie backdoor.
Prima di aprire qualsiasi allegato, anche se proviene da un collaboratore o da un amico, è sempre bene accertarsi che il mittente del messaggio ne parli espressamente nel messaggio. Esistono infatti delle backdoor, dotate di funzionalità avanzate che permettono loro di spacciarsi per mittenti “sicuri”. Quando tali backdoor si installano all’interno di un personal computer, esse sono in grado di leggere i contatti presenti all’interno della rubrica del programma per la gestione della posta elettronica usato ed inviare automaticamente messaggi “infetti”.
A questo proposito è consigliabile disabilitare anche l’esecuzione automatica di javascript od applet Java allegate ai messaggi di posta elettronica o presenti all’interno delle pagine web dei siti visitati. Se si usa client e-mail come Outlook Express si è particolarmente soggetti al problema.
E’ sufficiente intervenire sulle opzioni di protezione del programma selezionando la cartella Protezione dal menù Strumenti , Opzioni, quindi facendo clic sul pulsante Impostazioni dell’area Internet.
Scegliete il livello di protezione “Personalizzato” quindi fate clic sul pulsante Impostazioni.
Scegliete quindi ciò che il browser (Internet Explorer) ed il client di posta elettronica (Outlook) possono e non possono eseguire in modo automatico. Le possibilità presenti permettono di evitare anche l’esecuzione di ActiveX potenzialmente ostili.
Una pratica che si rileva essenziale è inoltre quella di tenere sempre sotto controllo ciò che avviene durante la connessione ad Internet. Vedremo più avanti come è possibile monitorare l’attività in entrata ed in uscita.
Prima di tutto è comunque bene predisporre il sistema affinché offra un sufficiente margine di sicurezza. Chiave di volta del sistema sono le impostazioni di rete accessibili dal Pannello di controllo di Windows facendo doppio clic sull’icona Rete.
In questa sezione è bene eliminare tutti i protocolli che non sono indispensabili, in particolare quelli che non vengono mai utilizzati. Fra l’altro, essi rallentano notevolmente anche l’avvio del sistema operativo.
Nella stragrande maggioranza dei casi i protocolli NetBEUI e IPX/SPX sono del tutto inutili, soprattutto se non si dispone di una scheda di rete e comunque non si ha la necessità di connettersi con una rete locale.
Nel caso in cui vi colleghiate esclusivamente ad Internet mediante un modem connesso alla linea telefonica, è necessario esclusivamente il protocollo TCP/IP associato al “Dispositivo di accesso remoto”; ogni altro protocollo risulta del tutto superfluo e si dovrà provvedere alla relativa eliminazione.
Se disponete anche di una scheda di rete per l’accesso ad una rete locale, oltre che del collegamento ad Internet via modem, i protocolli NetBEUI e IPX/SPX potrebbero risultare utili per determinate applicazioni. Se anche per la rete locale usate il TCP/IP potete tranquillamente eliminare i protocolli superflui. Tenete comunque presente, soprattutto se ritenete che NetBEUI e IPX/SPX non possano essere eliminati, che tali protocolli devono essere associati solo ed esclusivamente alla scheda di rete e non al “Dispositivo di accesso remoto” al quale, lo ripetiamo, deve essere riferito solo il TCP/IP. Nel caso in cui non sia strettamente necessario è opportuno eliminare il supporto per il NetBios disabilitando la casella relativa all’interno della finestra delle proprietà relativa al “Dispositivo di accesso remoto”, situata nella cartella NetBIOS.
Accertatevi inoltre di aver disabilitato la condivisione di file e stampanti all’interno della cartella Binding, nelle Proprietà del “Dispositivo di accesso remoto”. Avendo questa opzione attivata rischierete di rendere la vita veramente facile a chiunque conosca semplicemente il vostro indirizzo IP.
Porte
Tutte le macchine connesse alla Rete dispongono di una serie di porte attraverso le quali passano tutti i dati necessari per il corretto funzionamento dei vari programmi e dei servizi come la posta elettronica (STMP e POP3), il file transfer protocol (FTP), il telnet, la consultazione di pagine web (HTTP) e newsgroup (NNTP). Ad ogni porta è associato un numero univoco, ad esempio, per l’invio della posta (SMTP) viene usata la porta 25, per la ricezione (POP3) la porta 110, per l’ftp la 21, per il telnet la 23, per http la numero 80 o la 8080, per le news la 119.
Ogni backdoor utilizza una ben precisa porta. Per poter accedere ad una determinata porta è tuttavia indispensabile che sul computer con il quale ci si collega sia in esecuzione un programma “server” che predisponga la macchina all’ascolto su quella specifica porta.
E’ immediato dedurre quindi che ciascuna backdoor, come Back Orifice o Netbus, per poter accedere ad una macchina collegata ad Internet e di cui se ne conosce l’indirizzo IP, deve trovare su quella stessa macchina il proprio programma “server” in esecuzione, in caso contrario sarà impossibile penetrarvi.
Per evitare dispiaceri è quindi bene assicurarsi sempre di che cosa si sta facendo prima di aprire gli allegati alla posta elettronica: abbiamo già spiegato come le e-mail siano il principale veicolo di diffusione delle backdoor…
Buona regola è anche quella di tenere sempre sotto controllo il sistema monitorando ciò che avviene durante la connessione Internet.
Monitorare
I “rompiscatole ” remoti utilizzano appositi software detti “port scanners” per determinare quali porte sono aperte sul nostro personal computer e quindi accessibili. Se utilizzate Windows 9x portatevi al Prompt di Ms-Dos e digitate il comando:
NETSTAT -snap tcp
Verranno elencate una serie di voci. “Tentativi di connessione non riusciti” (Failed connection attempts) indica il numero delle porte che sono state verificate da parte di un utente remoto. Il dato si riferisce esclusivamente alle porte che l’utente remoto ha trovato aperte.
Se quindi il valore differisce da zero significa che qualcuno ha tentato di fare il furbo. Che poi sia effettivamente riuscito ad accedere al vostro personal computer… beh, questa è un’altra storia.
Il comando “NETSTAT” visualizza anche l’elenco completo delle porte aperte. In particolare consigliamo l’utilizzo del comando:
NETSTAT -na
Se risulta aperta la porta 12345 o 12346 è molto probabile che all’interno del sistema sia presente il server di NetBus.
Una interessante utility è NukeNabber. Essa permette di intercettare i tentativi di attacco su tutte le porte aperte. Nukenabber è in grado inoltre di rilevare coloro che hanno tentato l’attacco fornendo indirizzi host e indirizzi macchina.
Una buona configurazione del software Nukenabber consiste nel selezionare l’opzione Block port scanners dal menù File , Options , General e, sempre nella stessa sezione, abilitare la casella Disable port for X seconds. In questo modo si chiuderà immediatamente le porte interessate in caso di attacco e si provvederà a riattivarle solo dopo un certo numero di secondi.
Nukenabber tiene sotto controllo le seguenti porte: 5001 (tcp), 5000 (tcp), 1080 (tcp), 1032 (tcp), 1029 (tcp), 1027 (tcp), 139 (tcp), 138 (tcp), 137 (tcp), 129 (tcp), 53 (tcp), 19 (udp).
E’ consigliabile aggiungere mediante la cartella Advanced ed il pulsante Add/Modify ports le seguenti porte: 31337 (tcp), 61466 (tcp), 50505 (tcp), 12345 (tcp), 12346 (tcp). Esse sono infatti utilizzate dalle più diffuse backdoors come Back Orifice e NetBus.
Purtuttavia neppure Nukenabber offre una protezione completa: esso è infatti da considerarsi più come uno strumento per il monitoraggio dell’attività del sistema, che unitamente all’uso di altri può offrire un buon livello di sicurezza.
Per difendersi in modo efficace è bene prima di tutto diagnosticare quali sono i punti deboli del proprio sistema ed agire di conseguenza.
ICQ, per esempio, come tutti gli altri programmi basati sull’utilizzo del protocollo TCP/IP sfruttano le porte attraverso le quali passano i dati inviati e ricevuti. Va tenuto presente che ICQ apre una porta per ciascun utente remoto col quale si sta colloquiando: se questi volesse approfittare della situazione potrebbe farlo avendo a disposizione tutti gli elementi essenziali (indirizzo IP, porta aperta, …).
Prima di usare ICQ ci si assicuri di aver impostato, mediante le possibilità offerte dal programma stesso, un adeguato livello di sicurezza. Uno dei provvedimenti essenziali è quello di far sì che il proprio indirizzo IP non possa essere mostrato a terzi (si acceda alla sezione Security & Privacy dal menù principale di ICQ). E’ bene tenere presenti anche le altre regole basilari che sono state già presentate nel nostro articolo su ICQ e quelle che potete trovare all’interno del dettagliatissimo manuale di ICQ reperibile qui.
Eseguendo il comando NETSTAT -na dopo l’avvio di ICQ è possibile sapere quali porte sono state aperte e l’indirizzo remoto dell’utente al quale sono associate.
Da tutto ciò si può facilmente evincere l’importanza di una attività di monitoring del sistema. Due strumenti assai efficienti sono AVP System Watcher e WinTop facente parte del pacchetto gratuito di utilità “Kernel Toys” distribuito da Microsoft.
WinTop permette la visualizzazione di tutti i processi attivi. E’ possibile inoltre verificare tutte le azioni che sono state da essi compiute. L’utilizzo del programma permette quindi di scovare presenze sospette.
Tenete presente che kernel32, msgsrv32, mprexe, mmtask, explorer, rundll32 e idle sono dei processi che Windows 9x utilizza per il suo corretto funzionamento.
di Paolo Monti. Esso consente di chiudere tutti i task sospetti e di verificare i cambiamenti effettuati al registro di sistema di Windows. Nato per la rimozione di Back Orifice risulta tuttavia utilissimo per monitorare ciò che avviene all’interno del proprio sistema.