[Linux-Biella] Attacco a Mad4Games: L'epilogo

[Marco Ermini]

LeOS <leobuf@libero.it> wrote:
> Marco Ermini wrote:
> =

> >Senti, credimi: NON ce l'ho con te... forse e' un problema mio, ma
> >riesci a
> >scrivere senza usare "ke" e neologismi tipo "syscannare", "kittare" o
> >
> benissimo allora parlero' la tua lingua cosi' che non verro' preso per =

> un idiota, daltronde io so di esserlo ma cerco di mettermi allo stesso =

> livello della gente a me superiore.

Dai, non te la prendere...


> e' in uso tra alcuni gruppi composti da giovani ragazzi dotati di =

> computer e collegamento internet, divertirsi a cercare vulnerabilita' =

> sui server in giro per il mondo.

Ai miei tempi si cercava il cosiddetto due di picche... tempi che cambian=
o!!!
;-)


> vuoi per arretratezza tecnologica o disattenzione da parte di =

> sistemisti, molte volte, troppe volte, in moltissimi luoghi, =

> identificati geograficamente come il sudest asiatico piuttosto che il =

> nordeuropa o il sudamerica, non viene dedicata la giusta attenzione al =

> controllo dei server localizzati sulla rete pubblica, lasciando falle =

> fin troppo evidenti sui loro server, le quali, utilizzando piccoli =

> programmini solitamente scritti con il linguaggio C, possono garantire =

> l'accesso, illegale parliamoci chiaro, ma con il massimo privilegio a =

> questi server.

Senti, ma a questi "server sulla rete pubblica" non ci mettiamo nulla, un=

firewall, no?

Ora, io saro' anche un sempliciotto (a volte e' un pregio, ma ammetto che=
 sono
un sempliciotto), ma un server che deve fornire pagine web, perche' si
lasciano aperte altre porte che non siano l'80?



> una volta ottenuto questo, il ragazzino puo' occultare agli occhi =

> dell'amministratore di questo server, semplicemente installando il =

> cosiddetto rootkit, insieme di binari modificati a tal scopo.

"Semplicemente" se l'amministratore e' un gonzo!


> ovviamente esistono programmi, tools, decine di metodi che potrebbero =

> aiutare l'amministratore di sistema a difendersi da questo tipo di =

> attacchi, pero' mi rendo conto che se un professionista lascia tanto =

> evidenti vulnerabilita', allora difficilmente e' a conoscenza dei risch=
i =

> che sta correndo e ancor meno dell'esistenza di qualcosa che potrebbe =

> aiutarlo ad evitare, prevenire e eventualmente riparare tali
> aggressioni.

Osservazione acuta.


> vorrei gentilmente invitarti a riflettere sul fatto che esistono si, =

> programmi come snort, portsentry, generici AID, esiste la grsec, =

> esistono sistemi per cui, ogni tentativo di lanciare un processo =

> sfruttando un buffer overflow di un generico servizio, prendono il =

> controllo e bloccano tale servizio ed ogni processo ad esso legato, ma =

> vista la tua brillante osservazione, sicuramente ti renderai conto che =

> esistono, ma bisogna innanzitutto essere a conoscenza della loro =

> esistenza e poi usarli.

Osservazione ancora piu' acuta.


> il fatto che i miei server abbiano tali sistemi, ed i tuoi pure, non =

> pregiudica il fatto che altre decine, centinata, migliaia di server =

> siano configurati allo stesso modo, di conseguenza, se io con il mio =

> firewall dinamico metto in drop automaticamente ogni tuo tentativo di =

> accesso non appena il mio AID si accorge che tu stai eseguendo un sysca=
n =

> piuttosto che un xmas, o magari anche solamente in fingerprint, beh, mi=
 =

> dispiace deluderti, ma non e' proprio detto che TUTTI i server del mond=
o =

> siano configurati allo stesso modo.

Osservazione ancora piu' acuta della precedente.
(Il problema, pero', non e' "asiatico". Ripeto, il problema di cui discut=
evo
io era Intercom, non come lavorano gli asiatici, non me ne puo' fregar di=

meno).


> scusa se ho usato termini che mi hanno fatto dipingere come un idiota, =

> probabilmente lo sono, pero' nella mia idiozia, da anni che faccio =

> questo tipo di lavoro e finora nessuno mi ha mai bucato, forse perche' =

> si rendono conto che son troppo idiota per essere degno delle attenzion=
i =

> di un cracker

Non ne ho idea se tu sia idiota o meno: ho solo detto che da come scrivev=
i mi
davi questa sensazione. Comunque, anche se tu lo fossi, non crederei di e=
ssere
per questo migliore di te: per fortuna l'acqua nel mio cervello e' acqua =
Lete,
cosi' il mio unico neurone tiene compagnia alla particella di sodio! ;-)

Non ho nemmeno idea del perche' non ti "buchino", chiedilo ai tuoi amici =
che
spargono "dosnet" in Asia ;-)


> anche perche' l'idiota non fidandosi dei vari tool tipo chrootkit, a =

> volte si diletta a passare le notti a controllare binario per binario e=
 =

> relativi md5 sum
[...]

Io in genere preferisco lasciar fare queste cose ai programmi che lo fann=
o
automaticamente (monit, o un banalissimo cron che lancia rpm... i gestori=
 di
pacchetti servono anche a questo). Le mie notti invece le passo con la mi=
a
ragazza...

Comunque, un grosso sollievo lo otterresti scoprendo che esistono delle =

"tecniche" chiamate "implementazione di una DMZ", che ti consentono di es=
sere
molto meno paranoico circa i "tuoi server". Esistono anche (fallo sapere =
a
mad4games...) dei provider che monitorizzano i router e implementano *lor=
o*
portsentry per i loro clienti, e che in genere *si attivano* se accadono =
cose
del genere, magari *il giorno stesso*. Di sicuro sono piu' cari di
Intercom...



buona vita, fianchi e glutei ;-)


-- =

Marco Ermini
http://macchimacchi.net - ICQ 50825709 - GPG KEY 0x64ABF7C6 - L.U. #18022=
1
Di fronte alle sofferenze del mondo tu puoi tirarti indietro, s=EC, quest=
o =E8
qualcosa che sei libero di fare e che si accorda con la tua natura, ma
precisamente questo tirarsi indietro =E8 l'unica sofferenza che forse pot=
resti
evitare. (F. Kafka)