Re: Max Vision si becca 18 mesi

Giusto il concetto di mettere in cascata dei wingate, sempre che pero' non
siano anche affetti dal problemuccio sulla porta 8010, dove facendo un
http://ip.del.gate:8010/ bellamente chiunque puo' dare una sguardata ai log
delle connessioni (oltre a poter fare anche un browse dei dischi locali), in
quel caso fare un backtrace diventa sicuramente piu' facile.. se cmq come
primo step usi un open sock (magari di quelli un pochino "impestati", usati
e strausati sui vari network IRC) in teoria dovresti essere un minimo piu'
sicuro.
Secondo me il massimo sarebbe ottenere accesso su uno dei router che
attraversi per arrivare al "bersaglio", in modo da poter coprire
ulteriormente le tue tracce (dato per scontato, anche se poi non e' molto
vero, che i router logghino alcune cose).

ciau, Alex

----- Original Message -----
From: "antirez" <antirez@invece.org>
To: <ml@sikurezza.org>
Sent: Tuesday, May 29, 2001 11:37 AM
Subject: Re: Max Vision si becca 18 mesi


> On Tue, May 29, 2001 at 08:56:57AM +0200, Luca Berra wrote:
> > lynx http://www.securityfocus.com/templates/article.html?id=207
> >
> > la storia:
> > Maggio '98
> > Max crea un worm che cerca tutti i server con un tal baco del BIND,
> > li sfonda, scarica la patch e fixa il server. (si vabbe installa anche
una
> > piccola backdoor, cosi' e' piu facile fixare il prossimo baco)
> > Lo lancia contro tutti i siti dei militari americani che non la prendono
> > molto bene.
> > L'FBI si presenta a casa sua, e gli dice che non gli faranno niente se
collabora
> > con loro. Max accetta. [NB Max aveva gia' fatto il consulente per l'FBI]
> > Ora l'FBI usa Max come infiltrato, lo mandano anche al DEFCON per
cercare di
> > identificare l'identita di alcuni hacker.
> > Ad un certo punto l'FBI gli chiede di fregare un amico.
> > Max decide di consultare un avvocato.
> > Rifiuta di collaborare.
> > Si ritrova inquisito. condannato. stop.
> >
> > L.
>
> Morale[1]: perche' crisbio ti deve passare per la testa di spedire
> un worm ai militari?
>
> Morale[2]: ma come ti salta in mente che si possa collaborare
> con i militari senza che ti chiedano di fregare la gente?
>
> Considerazioni tecniche.
>
>   Tecnicamente il worm non e', a come la vedo io, "un fixatore di bachi
>   ma anche installatore di backdoor per fixare il prossimo baco". O
>   almeno questa e' solo una delle tante interpretazioni possibili.
>   La piu' chiara pero' sembra che questo worn penetra utilizzando
>   una data porta di ingresso, che chiude per evitare ai prossimi
>   arrivati di entrare, dunque garantisce un accesso a tutte le macchine
>   violate. Certo, forse lo scopo dell'autore non era questo, ma
>   la legge non si cura molto di questi particolari se gli uomini
>   di legge hanno voglia di incastrarti.
>
>   Se solo non ci fosse stata la parte di installazione della backdoor
>   ed il worm si fosse limitato a fixare i sistemi altrui e a
>   scomparire dopo un expire non credo che il nostro amico avrebbe avuto
>   tutti questi problemi.
>
>   A parte questo. Non ci credo che e' facile rintracciare l'autore
>   di un worm se questo mette in pratica alcune stupide accortezze.
>
> Come creare e diffondere un worm senza farsi scoprire?
> Avete delle soluzioni interessanti?
>
> Secondo gli esperti della lista quali sono ad oggi le tecniche
> migliori per far perdere le orme su internet?
>
> Io sono ancora convinto che dei sistemi dial-up che implementano
> un proxy non loggante (vedi vecchio wingate) usati in cascata offrano
> una "sicurezza" molto alta, ma mi piacerebbe tantissimo sentire
> gli altri partecipanti.
>
> Cosa ne pensate dell'idea di utilizzare windows e i suoi infiniti
> problemi di sicurezza per creare un worm a due stadi?
>
> Nel primo stadio si diffonde da un windows all'altro, nel secondo
> il worm attacca sistemi unix (ad esempio il bind) e installa un
> worm per unix.
>
> Ovviamente il primo stadio ha lo scopo di creare un attacco che
> si consumi in tempo piu' breve contro i sistemi attaccati nel
> secondo stadio, e di rendere l'identificazione del creatore una
> operazione molto piu' complessa.
>
> Il primo stadio deve fare di tutto per essere "non manifesto".
>
> Vi sembra attuabile?
>
> p.s. come tutti immaginano il sottoscritto non ha alcuna intenzione
> di creare un worm, ne buono, ne cattivo, ma e' giusto per speculare.
>
> --
> Salvatore Sanfilippo <antirez@invece.org>
> http://www.kyuzz.org/antirez
> finger antirez@tella.alicom.com for PGP key
> 28 52 F5 4A 49 65 34 29 - 1D 1B F6 DA 24 C7 12 BF
>
> ________________________________________________________
> http://www.sikurezza.org - Italian Security Mailing List
>


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List