Re: Max Vision si becca 18 mesi

risaluto tutti dopo una grande assenza dalla lista :)
scusate x l'email lunga.

~ Morale[2]: ma come ti salta in mente che si possa collaborare
~ con i militari senza che ti chiedano di fregare la gente?
non ho mai provato a patteggiare ma penso che tra questa soluzione e quella
di essere processati subito normalmente si valuta la prima ...

~   Tecnicamente il worm non e', a come la vedo io, "un fixatore di bachi
~   ma anche installatore di backdoor per fixare il prossimo baco". O
~   almeno questa e' solo una delle tante interpretazioni possibili.
probabilmente era scritto in modo ironico :) mi stupisce il fatto che un worm
che di perse` e` un sistema finalizzato a duplicarsi e continuare a infettare
non preveda anche uno sniffer, un password cracker, un fake wingate [1] e altre 
cose che consentirebbero di aumentare i possibili accessi.

P.S: come anche tu hai detto dopo wingate e proxy sono usabilissimi per 
rimbalzare qua e la`, forse non hai mai visto software come "fake wingate"
o "fake socks" amici intimi delle fake shell ecc... solo che gli ultimi
sono script che per gioco quando scrivi "cat" di dicono "MEOOOOWWWW!!", i 
primi 2 sono script fatti apposta in modo che la gente scanni quelle macchine,
utilizzi quei bouncer per far quello che vuole mentre il proprietario della
macchina si segna info di turno (da inutili log di irc a chi buca attraverso
quel wingate) (per chi stesse pensando "ma allora io metto su un fake wingate
e rischio che mi venga attribuita la colpa!!" Si, se le connessioni che escono
dal tuo host le fai tu e non passano x un wingate vero o qualche altro bouncer
di sorta :)

~   La piu' chiara pero' sembra che questo worn penetra utilizzando
~   una data porta di ingresso, che chiude per evitare ai prossimi
~   arrivati di entrare, dunque garantisce un accesso a tutte le macchine
~   violate.
si e` l'unico motivo plausibile :)

~   A parte questo. Non ci credo che e' facile rintracciare l'autore
~   di un worm se questo mette in pratica alcune stupide accortezze.
e` vero, ma a volte mi chiedo "e` possibile che tutti questi li becchino ?"
han beccato l'autore del Melissa che al tempo fece un rumore incredible
han beccato questo tipo
han beccato molta altra gente, e non e` possibile che una persona che 
scrive un worm che quindi ha conoscenze di networking abbastanza avanzate, 
almeno x garantirsi la duplicazione e l'individuazione di nuovi host da 
attaccare, faccia partire il worm da proprio dialup o vada male da una shell
in giro x il mondo (lasciando tracce evidenti ?)

un tipo che "aveva gia` collaborato con l'FBI" vuoi che non sappia uscire
in modo decentemente anonimo ? non ci credo :P

~ Come creare e diffondere un worm senza farsi scoprire?
il worm di perse` dopo aver bucato potrebbe scannare come un disperato
alla ricerca di soliti socks wingate, (e gia` che fa` una connessione alla
23, dopo una veloce comparazione del banner che appare potrebbe provare alcune
delle password di default se si tratta di un router, o con test/test 
nomehost/nomehost se si tratta di un login, o "user" se si tratta di qualche
sistema che non conosce) questo sembra una cosa un po stupida ma secondo me
se ne trovano di intallazioni di default che si prestano a questo genere di
abbordaggi...

~ Avete delle soluzioni interessanti?
spoofing vedente! :) e` un sistema unversale, la cosa difficile e` fare il
software forse, anticipo che tra qualche giorno se finisco certe cose 
rilascero` un sw che lo fa`.

~ Io sono ancora convinto che dei sistemi dial-up che implementano
~ un proxy non loggante (vedi vecchio wingate) usati in cascata offrano
~ una "sicurezza" molto alta, ma mi piacerebbe tantissimo sentire
~ gli altri partecipanti.
e` vero, echelon o no, qualche modo ci sara` per poter risalire all'origine
di una connessione, magari intercettazioni satellitari e cose simili... 
supponiamo di essere l'fbi (e` stata l'fbi a presentarsi a casa sua, non
il proprietaio del provider :) e di piazzare 2 satelliti o qualche sistema
loro di sniffing, uno in bbplanet e l'altro in exodus.

se fate traceroute verso qualunque paese con un altra concentrazione di box
sfondate (basta andare in irc su qualche canale e fare /user, poi si guarda
l'hostname e si nota che il 90% degli utenti sono provenienti dal sud est 
asiatico sempre zitti! :)

quindi, anche solo potendo tener conto dell'ora della connessione, host e 
porta sorgente e destinazione (quindi 16 byte per ogni connessione, non 
molto :) si puo facilmente ricostruire in tracciato.

~ Cosa ne pensate dell'idea di utilizzare windows e i suoi infiniti
~ problemi di sicurezza per creare un worm a due stadi?
linux o windows un punto di forza  di un worm potrebbe essere l'aggiornamento,
ovvero poter scaricarsi nuovi exploit e continuare a bucare

~ Nel primo stadio si diffonde da un windows all'altro, nel secondo
~ il worm attacca sistemi unix (ad esempio il bind) e installa un
~ worm per unix.
anche questa e` una possbilita`, perlomeno le precauzioni verrebbero prese
dopo ovvero quando si vede il suo reale scopo ... 

~ Vi sembra attuabile?
c'e` anche di peggio, database in giro per internet con expoit aggiornati ?
o basterebbe sniffare gli upload che uno fa sul proprio sito e cambiare
tutti i .exe con il trojan stesso, o bastarebbe individuare dei file .exe
tra le dir di apache e copiarli, con qualche sistemi di 
replicazione/polimorfismo si potrebbe anche decentemente occultarsi magari
ai primi antivirus,...

tutte cose che poi ben o male si possono fare con degli shell script per
quanto riguarda unix, e un po di C++ per quanto riguarda windows, magari
accompagnato dal tanto fertile VBS script :)

ci vuole un po di tempo magari x farlo, ma non e` un evenienza molto remota.

~ p.s. come tutti immaginano il sottoscritto non ha alcuna intenzione
~ di creare un worm, ne buono, ne cattivo, ma e' giusto per speculare.
la stessa cosa vale x me, si tratta in fin dei conti di considerazioni
fattibili in un qualunque periodo di noia quotidiana.

ciao, vecna chiocciolina :) s0ftpj.org

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List