Re: Max Vision si becca 18 mesi

On Tue, May 29, 2001 at 08:56:57AM +0200, Luca Berra wrote:
> lynx http://www.securityfocus.com/templates/article.html?id=207
> 
> la storia:
> Maggio '98
> Max crea un worm che cerca tutti i server con un tal baco del BIND,
> li sfonda, scarica la patch e fixa il server. (si vabbe installa anche una
> piccola backdoor, cosi' e' piu facile fixare il prossimo baco)
> Lo lancia contro tutti i siti dei militari americani che non la prendono
> molto bene.
> L'FBI si presenta a casa sua, e gli dice che non gli faranno niente se collabora
> con loro. Max accetta. [NB Max aveva gia' fatto il consulente per l'FBI]
> Ora l'FBI usa Max come infiltrato, lo mandano anche al DEFCON per cercare di
> identificare l'identita di alcuni hacker.
> Ad un certo punto l'FBI gli chiede di fregare un amico.
> Max decide di consultare un avvocato.
> Rifiuta di collaborare.
> Si ritrova inquisito. condannato. stop.
> 
> L.

Morale[1]: perche' crisbio ti deve passare per la testa di spedire
un worm ai militari?

Morale[2]: ma come ti salta in mente che si possa collaborare
con i militari senza che ti chiedano di fregare la gente?

Considerazioni tecniche.

  Tecnicamente il worm non e', a come la vedo io, "un fixatore di bachi
  ma anche installatore di backdoor per fixare il prossimo baco". O
  almeno questa e' solo una delle tante interpretazioni possibili.
  La piu' chiara pero' sembra che questo worn penetra utilizzando
  una data porta di ingresso, che chiude per evitare ai prossimi
  arrivati di entrare, dunque garantisce un accesso a tutte le macchine
  violate. Certo, forse lo scopo dell'autore non era questo, ma
  la legge non si cura molto di questi particolari se gli uomini
  di legge hanno voglia di incastrarti.

  Se solo non ci fosse stata la parte di installazione della backdoor
  ed il worm si fosse limitato a fixare i sistemi altrui e a
  scomparire dopo un expire non credo che il nostro amico avrebbe avuto
  tutti questi problemi.

  A parte questo. Non ci credo che e' facile rintracciare l'autore
  di un worm se questo mette in pratica alcune stupide accortezze.

Come creare e diffondere un worm senza farsi scoprire?
Avete delle soluzioni interessanti?

Secondo gli esperti della lista quali sono ad oggi le tecniche
migliori per far perdere le orme su internet?

Io sono ancora convinto che dei sistemi dial-up che implementano
un proxy non loggante (vedi vecchio wingate) usati in cascata offrano
una "sicurezza" molto alta, ma mi piacerebbe tantissimo sentire
gli altri partecipanti.

Cosa ne pensate dell'idea di utilizzare windows e i suoi infiniti
problemi di sicurezza per creare un worm a due stadi?

Nel primo stadio si diffonde da un windows all'altro, nel secondo
il worm attacca sistemi unix (ad esempio il bind) e installa un
worm per unix.

Ovviamente il primo stadio ha lo scopo di creare un attacco che
si consumi in tempo piu' breve contro i sistemi attaccati nel
secondo stadio, e di rendere l'identificazione del creatore una
operazione molto piu' complessa.

Il primo stadio deve fare di tutto per essere "non manifesto".

Vi sembra attuabile?

p.s. come tutti immaginano il sottoscritto non ha alcuna intenzione
di creare un worm, ne buono, ne cattivo, ma e' giusto per speculare.

-- 
Salvatore Sanfilippo <antirez@invece.org>
http://www.kyuzz.org/antirez
finger antirez@tella.alicom.com for PGP key
28 52 F5 4A 49 65 34 29 - 1D 1B F6 DA 24 C7 12 BF

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List