Re: riconoscere una intrusione su Windows

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

ciao a tutti

non per fare la parte di chi ha la puzza sotto il naso, ma vorrei
commentare alcune cose e dire la mia, non si sa mai che qualcosa di
quello che dico possa servire a qualcuno (speranza remota :P)


> ho riscontrato sui log di una macchina Windows 2000 server con IIS5
e FTP
> attivi una serie di attacchi

che vuol dire questa frase ???...se hai riscontrato che ci sono stati
attacchi vuol dire che li sai gia distinguere...o no??

> la maggior parte contengono "cmd.exe"

mmhh.....virus....script...scansioni....tentativi di accesso.....quele
di queste cose deriva dal messaggio? o quae di queste cose può
ricondurre "con molta probabilità" al tipo di attacco?

> Fino ad ora non ho dato molto peso a questi log, dato che
controllando tra i
> servizi, tra le pagine del web server, e nelle directory temporanee
non ho
> trovato "segni" di intrusione.

se non mi sbaglio la scoperta di segni di intrusione è una delle cose
più difficile....file rinominati, nascosti, ricompilati, riscritti con
la stessa dimensione e versione dell'originale ma completamente
falsi,file in flussi secondari, caricati in memoria che al primo
riavvio scompaiono....quale di queste cose hai trovato o non hai
trovato?

se uno mette il naso nel tuo server, non credo lo faccia armato di
carro armato e trombe bitonali....
uesto per dire che molto spesso le "evidenze" dell'intrusione sono da
ricercare nel comportamento "normale" del server, oltre che nelle cose
"palesemente" fuori posto

> Per poter essere sicuri di questo che tipo di check dovrei fare?
> Come distinguo nei log i tentativi di intrusioni dalle intrusioni
vere?

ci sono interi libri su queste cose come ad esempio per citarne
qualcuno di buono (a parere mio):

Network Intrusion Detection: An Analyst's Handbook
Incident Response: Investigating Computer Crime
Computer Forensics : Incident Response Essentials
Secrets and Lies : Digital Security in a Networked World
Hack I.T. - Security Through Penetration Testing
Intrusion Signatures and Analysis
Practical Intrusion Detection Handbook

Know Your Enemy: Revealing the Security Tools, Tactics,
and Motives of the Blackhat Community

> Beh, innanzitutto, e questa è una mia opinione personale, i
tentativi
> di intrusione sono il preludio ad una possibile intrusione stessa
> quindi, se fossi in te, gli darei il giusto peso.

sempre a parere mio direi che questa è la cosa più difficile da fare,
da studiare e da mettere in pratica
dare il giusto peso ad un segnale del sistema significa "sapere" cosa
significa quel segnale e correlarlo con gli altri, altrimenti se si
prendono per "vere" le cose che dice il sistema si incorre in un mare
di "falsi positivi" che portano fuori strada e lontano dalla scoperta
dell'intruso in tempi "ragionavoli"

> Riconoscere e differenziare i tentaivi di intrusione dalle
> instrusioni vere e proprie significa, sempre a mio parere,
> controllare periodicamente tramite i log le attività all'interno del
> server

ma se si controllano tutti i giorni i log e non si sanno mettere
assieme le informazioni, non si capirà mai nulla, anche con tutta la
buona volontà che uno ci può mettere

> in secondo luogo sarebbe necessario "fotografare" il sistema
> operativo subito dopo l'installazione e poi operare quella che viene
> detta "riconciliazione degli oggetti", ossia confrontare i
> file,dir,device ecc ecc con quelli "fotografati".

mmhh...direi che serve piuttosto installare la macchina, renderla
"produttiva" e poi fare l'immagine, che ovviamente servirà solo come
"linea di base" per gli studi che si faranno, nel caso ci siano
problemi

sempre in questo senso una cosa molto interessante potrebbe essere
leggere il lavoro che hanno fatto i ragazzi di "noneyproject" sugli
"honey pot" e i loro usi per l'auditing dei sistemi e delle tecniche
di intrusione

> Ovvio che può essere di grande aiuto l'utilizzo di security scanner
> con Nessus www.nessus.org per scoprire possibili punti deboli del
> sistema e di li iniziare la ricerca

dal mio _personalissimo_ punto di vista direi che per il mondo windows
la prima cosa da fare è "capire" dove il sistema mette i file e come
li gestisce
lanciare uno scanner a piena potenza su una macchina dà molte meno
informazioni di qualche analisi da linea di comando fatta su cose
mirate
ad esempio usare le utility per "forensic analisys" per capire cosa il
sistema sta facendo e dove (vedi utility sysinternals, foundstone,
shavlick, microsoft, maresware, @stake, somarsoft...)

poi magari passare all'analisi dei cambiamenti che il sistema
"subisce" ad ogni aggiuta di service pack e di patch

poi passare a qualche scansione a tappeto per vedere a grandilinee
quello che gira sul sistema
ma ci si deve sempre ricordare che NESSUNO per attaccare una macchina
lancia uno scanner alle porte a piena potenza.....sarebbe come cercare
di rubare in una casa entrando con un carro armato nel giardino
sperando di non essere notati

scanner come nessus, retina, SSS, ISS, netsonar, ecc servono
moltissimo, ma per auditing, non per attacchi reali.


> Questi tipi di attaccohi, causati anche script kill, sfruttano
alcune
> vulnerabilit? di IIS e attaccano qualsiasi tipo di server web (non
solo
> IIS). Se installi tutti gli aggiornamenti di Windows e di IIS dal
sito
> Microsoft non corri nessun rischio.

direi che non è esattamente così...diciamo che se hai gia la macchina
"corazzata" ti assicuri che rimanga tale
ma come ha detto KOBA, se la macchina non è corazzata anche se le
metti tutte
le patch rimarrà sempre vulnerabile, soprattutto perchè il sistema "di
base" non è blindato
per assurdo una macchina che è stata "corazzata" e che non ha tutte le
patch ha molte più possibilità di resistere

> Credo che con gli strumenti di Windows 2000 non riusciresti a
distinguere i
> tentativi dalle intrusioni, dovresti ricorrere a software di terze
parti.

mmhh...diciamo che la cosa è parzialmente vera...sotto windows che io
sappia non ci sono programmi che permettono di trovare le possibili
intrusioni.....piuttosto la tecnica di ricerca delle prova è delegata
all'esperienza di chi "legge" le cose che la macchina scrive

come consiglia KOBA, credo che la cosa migliore sia di partire dalle
basi, cioè capire come funziona il sistema per capire come metterci le
mani
una volta capito come funziona la baracca passare alle parti che si
vogliono sviscerare e quindi analizzare tutte le correlazioni fra le
parti del sistema operativo e i servizi
poi passare alle analisi dei dati da/per la rete e vedere se si
capisce qualcosa.

le risorse per l'hardening sono quasi infinite. è possibile consultare
l'archivio della lista per gli spunti, o le mailing list dedicate a
problemi microsoft (sono una ventina) e soprattutto aggiornarsi
costantemente.
Se non si prova e non si capisce quello che si "subisce" molto
difficilmente si riesce a porci rimedio in modo "dinamico". troppo
spesso si seguono meccanicamente le istruzioni del manuale pincopalla,
si installano 1000 patch, ci si sente al sicuro e ci si riposa
tranquilli che nessuno possa entrare, e troppo spesso la smentita ha
risvolti tragici....


Spero di aver dato il mio piccolo contrbuto.
Visto che proseguire a commentare la mail rischia di diventare OT, mi
fermo :-P

Enrico Branca

-----BEGIN PGP SIGNATURE-----
Version: PGP 6.0.2i

iQA/AwUBPjBqlkVqSmXe/tZ/EQKgmgCeNMBdTO7DeEfZ5QLfkO5aYV00zUkAnRWe
twr6+nqhNbwShprnzjIOpws1
=Snca
-----END PGP SIGNATURE-----


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List