Attenti a quelle porte

Sicurezza

Un improvviso aumento delle attività di scanning sulle porte di sistema in generale, e sulla 445 in particolare, potrebbe costituire il primo sintomo di un imminente attacco worm

Ma perchè proprio la porta 445? Il motivo è da ricercare nel fatto che recentemente tale porta è stata al centro di una vulnerabilità nel Server Message Block di Windows. Ricordiamo che la porta TCP 445 è utilizzata dal servizio SMB che Windows utilizza per condividere file, stampanti porte seriali e per comunicare con altri PC. Microsoft recentemente ha rilasciato una patch che dovrebbe risolvere una vulnerabilità di tale protocollo classificata come critica. In ogni caso, esperienze precedenti hanno dimostrato come a un improvviso aumento delle operazioni di scansione sulle porte di sistema, seguisse quasi sempre un massiccio attacco worm. In particolare è stato verificato che gli hacker sembrano incrementare le proprie attività verso le vulnerabilità rese note da Microsoft non appena queste vengono pubblicate. In effetti la strategia in molti casi si è rivelata vincente. E’ vero che grazie al servizio di newsletter di Microsoft e al miglioramento del meccanismo di update automatioci dei propri prodotti le vulnerabilità risultano quasi sempre già risolte al momento del loro annuncio. E’ altresì vero che molte aziende o non hanno attivato gli update automatici o non dispongono di un efficiente sistema di prevenzione e aggiornamento. Sono proprio questi gli obiettivi a rischio nel momento in cui una vulnerabilità viene resa nota in quanto l’intervento tempestivo degli hacker potrebbe spiazzare quanti non abbiano provveduto per tempo ad applicare le patch rese disponibili da Microsoft. Fortunatamente l’exploit sulla porta 445 non è molto semplice da sfruttare e un’improvvisa attività di scansione sulle porte di sistema potrebbe non rappresentare un attacco imminente e rientrare nelle consuete attività di controllo effettuate casualmente dagli hacker sui sistemi collegati a Internet. In generale

L’attività di scansione delle porte di sistema è una delle prime attività che compongono la pianificazione di un attacco verso un sistema. Dopo una prima fase che potremmo definire di analisi ‘sociale’ volta a delineare meglio il profilo dell’obbiettivo da attaccare e raccogliere quante più informazioni è possibile, si entra nella fase successiva dove la scansione dei sistemi rappresenta l’attività principale. L’obiettivo in questo caso è quello di individuare quali servizi sono attivi sul sistema bersaglio in modo da sfruttare eventuali vulnerabilità note. Una tecnica molto semplice per ottenere informazioni sul sistema operativo e sul servizio in ascolto dell’host remoto consiste nell’effettuare un telnet sulle porte più comuni, sfruttando le informazioni ascii fornite dai protocolli dei banner. Lo stack del TCP/IP è implementato in maniera più o meno differente da sistema a sistema, e il modo in cui un sitema operativo risponde (o meno) a determinati pacchetti TCP/IP consente di riconoscere con una certa approssimazione un sistema operativo di rete remoto, di fare port scanning avanzati attraverso IP spoofing o scansioni stealth, etc. Naturalmente esistono numerosi strumenti software gratuiti che consentono di effettuare scansioni automatiche e approfondite. Uno dei programmi più conosciuti e utilizzati è nmap. Una delle caratteristiche allettanti del programma di network scanning nmap consiste nel fatto che è estremamente duttile e personalizzabile in base alle esigenze. Consente di creare pacchetti IP ad hoc, formattati con i più disparati flag in modo da “ingannare” gli host vittime dei nostri attacchi. In ogni caso anche dalle scansioni delle porte di sistema è possibile difendersi. Ci sono due approcci fondamentali per difendersi dal network scanning, il primo consiste nell’utilizzare un firewall su ciascun PC ritenuto possibile bersaglio della scansione proveniente dall’interno della rete oppure, installando un firewall professionale sul punto di interconnessione tra la nostra LAN privata e Internet. L’alternativa consiste, invece, nell’implementazione di sistemi di intrusion detection, che avvisano in tempo reale l’amministratore di sistema se avvengono tentativi di port scanning e di intromissioni non autorizzate. Conclusioni

Disclosure si o disclosure no? Questo è il dilemma. Da sempre si discute sull’opportunità da parte delle aziende di rendere note le vulnerabilità individuate nei propri prodotti. I sostenitori del si hanno sempre sostenuto che se un sistema veniva violato utilizzando una particolare vulnerabilità, tale punto debole era già noto negli ambienti degli hacker, e tacere avebbe solamente impedito agli utenti di correre ai ripari. I contrari hanno sempre ribattuto che se una vulnerabilità rimaneva circoscritta il numero di attacchi si sarebbe mantenuto ridotto e soprattutto, l’individuazione della vulnerabilità a insaputa degli attaccanti avrebbe consentito di rintracciare gli attacchi in corso risalendo alla fonte. Non è nostro compito dare una risposta al quesito o schierarci per una o l’altra fazione. Il nostro compito è fondamentalmente quello di descrivere i fatti e fornire tutti gli elementi perché ciascuno possa poi effettuare le proprie riflessioni. Vero è che negli ultimi tempi, in occasione dell’annuncio di una particolare vulnerabilità si è assistito all’incremento di attacchi (o scansioni) volti a individuare i sistemi che non avevano ancora installato la patch corrispondente e che quindi risultavano ancora esposti a un possibile attacco. Non bisogna infatti ignorare che gli hacker per massimizzare le proprie probabilità di successo, come prima cosa si comportano esattamente come una qualsiasi delle proprie vittime potenziali, iscrivendosi alle stesse newsletter e attivando le stesse procedure automatiche di update. Se tutto va bene quindi, gli hacker vengono a conoscenza di un exploit nello stesso momento in cui gli utenti ne ricevono comunicazione. Agendo rapidamente, gli hacker possono sfruttare la vulnerabilità resa nota prima che le possibili vittime riescano a mettere in atto le opportune contromisure.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore