[Linux-Biella] Attacco a Mad4Games: L'epilogo

LeOS linux@bilug.linux.it
Wed, 21 May 2003 15:05:24 +0200 

Marco Ermini wrote:

>>benissimo allora parlero' la tua lingua cosi' che non verro' preso per 
>>un idiota, daltronde io so di esserlo ma cerco di mettermi allo stesso 
>>livello della gente a me superiore.
>>    
>>
>
>Dai, non te la prendere...
>
io non me la prendo (quasi) mai

>>e' in uso tra alcuni gruppi composti da giovani ragazzi dotati di 
>>computer e collegamento internet, divertirsi a cercare vulnerabilita' 
>>sui server in giro per il mondo.
>>    
>>
>
>Ai miei tempi si cercava il cosiddetto due di picche... tempi che cambiano!!!
>;-)
>  
>
non penso che i tuoi tempi siano poi tanto diversi dai miei... non sono 
poi cosi' giovane come puo' sembrare dal mio lessico utilizzato per pura 
prigrizia, come ad esempio il "ke" che va a sostituire il "che", vuoi 
mettere il risparmio del 33.3% di lettere da pigiare?

>>l'accesso, illegale parliamoci chiaro, ma con il massimo privilegio a 
>>questi server.
>>    
>>
>
>Senti, ma a questi "server sulla rete pubblica" non ci mettiamo nulla, un
>firewall, no?
>
troppe volte no, e mi ricollego ora alla tua frase sotto... dove dici: 
un web server dovrebbe avere aperta solamente la 80
e magari inizialmente ha solamente quella ma magari li sopra ci sta 
girando un bell'apache 1.3.qualcosa con ssl, senza aver pensato di 
configurarlo a dovere e magari lanciato proprio con l'utenza root... sai 
cosa vuol dire immagino

e poi ancora, se questo server non sta in una DMZ quindi con le porte 
filtrate da un bel router o cmq controllato, poco ci vuole a sfruttare 
qualche famosa vulnerabilita' ed installare un modulo troiano magari che 
va a lavorare proprio sulla parte di network, che sta li ad aspettare un 
ping -p particolare e a quel punto ti apre una porta che accettera' una 
normalissima sessione telnet..
il problema con cui mi scontro molto spesso pure io e' la 
superficialita' con cui vengono affrontate tematiche di sicurezza, e 
senza andare a parlare con uno sprovveduto sysadmin di taiwan o di 
singapore :(

>
>Ora, io saro' anche un sempliciotto (a volte e' un pregio, ma ammetto che sono
>un sempliciotto), ma un server che deve fornire pagine web, perche' si
>lasciano aperte altre porte che non siano l'80?
>
certo cosi' dovrebbe essere ma sopra trovi le varie "scappatoie"

>>una volta ottenuto questo, il ragazzino puo' occultare agli occhi 
>>dell'amministratore di questo server, semplicemente installando il 
>>cosiddetto rootkit, insieme di binari modificati a tal scopo.
>>    
>>
>
>"Semplicemente" se l'amministratore e' un gonzo!
>
certo proprio per questo io ho prima menzionato gergalmente le "box 
lamere" ovvero server di produzioni configurati senza alcun canone 
tecnico/logico security-oriented

>Osservazione acuta.
>  
>
>Osservazione ancora piu' acuta.
>  
>
>Osservazione ancora piu' acuta della precedente.
>(Il problema, pero', non e' "asiatico". Ripeto, il problema di cui discutevo
>io era Intercom, non come lavorano gli asiatici, non me ne puo' fregar di
>meno).
>
ferma!!! per sferrare quel tipo di attacco, son stati utilizzati alcuni 
(parecchi) server piazzati in giro per il mondo i quali mandavano 
richieste al provider, questo vuol dire che non tanto c'entra il modo 
con cui e' configurato il provider perche' se qualcuno sta "smurfando" 
pesante, passami il termine almeno stavolta, non c'e' router o 
configurazione che regga, perche' per quanto bene sia configurata la tua 
rete, quando arrivano milioni di richieste al secondo, il tuo router 
puo' anche metterle in deny, ma per metterle in deny deve cmq 
analizzarle e stabilire che queste richieste sono di tipo "indesiderato" 
e per far questo purtroppo non puo' prendere in considerazione le 
richieste normali! proprio per questo di chiama denial of service

>Non ne ho idea se tu sia idiota o meno: ho solo detto che da come scrivevi mi
>davi questa sensazione. Comunque, anche se tu lo fossi, non crederei di essere
>per questo migliore di te: per fortuna l'acqua nel mio cervello e' acqua Lete,
>cosi' il mio unico neurone tiene compagnia alla particella di sodio! ;-)
>
>Non ho nemmeno idea del perche' non ti "buchino", chiedilo ai tuoi amici che
>spargono "dosnet" in Asia ;-)
>
ahaha
un conto e' bucare, un conto e' generare denial of service... fa male 
dirlo ma contro un attacco ddos non c'e' cristo che tenga...
io posso aver patchato, configurato, monitorato, installato il top del 
top dei sitemi anti intrusione e avere una access list piu' che 
perfetta, e questo mi garantira' (me lo auguro) che difficilmente almeno 
per i prossimi 10 minuti, nessuno riuscira' a penetrare nel sistema 
grazie all'ultimo "zeroday" ma se qualcuno decide di "smurfarmi", non ce 
ne sara' per nessuno in quanto, come dicevo sopra, ogni richiesta che 
arriva alla mia rete, sara' cmq processata e solo dopo esser stata 
analizzata verra' accettata o scartata, e questa analisi consumera' 
banda e risorse di sistema, qualunque il sistema sia.

>
>
>  
>
>>anche perche' l'idiota non fidandosi dei vari tool tipo chrootkit, a 
>>volte si diletta a passare le notti a controllare binario per binario e 
>>relativi md5 sum
>>    
>>
>[...]
>
>Io in genere preferisco lasciar fare queste cose ai programmi che lo fanno
>automaticamente (monit, o un banalissimo cron che lancia rpm... i gestori di
>pacchetti servono anche a questo). Le mie notti invece le passo con la mia
>ragazza...
>
oh sisisi immagino la sicurezza nel vedere che dopo l'aggiornamente rh 
ritiene che il demone "sicuro" del pacchetto samba sara' smbd 2.2.7 
quando sambal buca remoto fino al 2.2.8 compreso e l'unico non 
vulnerabile e' il 2.2.8a ;)
mai fidarsi di sistemi automatici :)

>Comunque, un grosso sollievo lo otterresti scoprendo che esistono delle 
>"tecniche" chiamate "implementazione di una DMZ", che ti consentono di essere
>molto meno paranoico circa i "tuoi server".
>
esistono casi in cui non si possono utilizzare dmz che fanno NAT verso 
una classe privata...ovvio che per un web server o un relay di posta si 
puo' fare, ma la rete e' assai piu' complessa a volte :)

>Esistono anche (fallo sapere a
>mad4games...) dei provider che monitorizzano i router e implementano *loro*
>portsentry per i loro clienti, e che in genere *si attivano* se accadono cose
>del genere, magari *il giorno stesso*. Di sicuro sono piu' cari di
>Intercom...
>
il giorno in cui verro' interpellato per esaminare la loro rete allora 
lo faro', ora non e' mia preoccupazione :)

>buona vita, fianchi e glutei ;-)
>  
>
soprattutto glutei, che un po' di culo in 'sto lavoro non fa mai male!

LeOS