RE: GAT Guardia di Finanza [mailto:gat_gdf@mail.com]??

Marco:

>Questa non me la spiego: dove starebbe l'intrusione? Premetto che nessuno qua
>ne sapeva nulla.... Qualcuno ha una mezza idea di che cosa possa voler dire
>una mail del genere(visto che di allegati non ce n'erano)?

e qualche mio commento alla risposta di Paolo:

> Marco Castelvecchio, Tue, Aug 14, 2001 at 04:44:01PM +0200:
>
> la cosa e' gia' capitata ad altri
> riassumo e semplifico i passaggi:
>
> 0) l'indirizzo ufficiale del gat della gdf non e' @guardiadifinanza.it ma
>    @mail.com

Una caduta di stile. Le _malelingue_ dicono che la macchina di posta
@guardiadifinanza.it sia stata chiusa temporaneamente tempo addietro
per relaying, essendo stata configurata _maluccio_. Avrebbero quantomeno
potuto scrivere da mailbox.gdf.it , che invece funziona.

E' abbastanza per poter dubitare che non si tratti di una mail falsa.
Mi pareva fosse gat@mail.com , forse sbaglio


> 1) la gdf ha rilevato un portscan sulla tua macchina

farsi i cazzi loro, no? (e solo per questa reazione istintiva, Koba mi
bacchettera' sulle mani)


> 2) la gdf ha stabilito che chi ha fatto questo portscan e' TUTTO il gruppo
>    hacker "Theli"
> 3) la gdf ritiene il portscan un defacement ed equivalente ad un'intrusione
> 4) la gdf ti invita a sporgere denuncia per l'accaduto allegando un modulo
>    in pdf (ma si dimentica di allegare il pdf)

Ti mandano una pagina in PDF da rispedirgli (fax, spero), ed un file
pauerpoint con incollata dentro una gif (evviva i formati proprietari)
con lo snapshot di explorer che mostra la tua homepage modificata.
Forse non sei stato defacciato, quindi manca questo secondo file.


> ti metto a parte delle mie osservazioni.
>
> 0) non credo assolutamente che sia una mail della guardia di finanza,
>    perche' chiunque potrebbe essersi creato quell'account @mail.com

No, la mail e' buona. O quantomeno, ho gia' visto quel contenuto. Controlla
dagli header che non si tratti di un fake magari inviato da qualche "amico"
che aveva sottomano il testo.

> 1) la gdf sta monitorando pesantemente la tu macchina oppure l'IP da cui e'
>    partito il portscan o quello da cui operava la persona che ha lanciato
>    il portscan o una delle macchine in mezzo. Nel primo caso, ti risulta
>    che abbiano un mandato per farlo (se no, sono passibili denuncia in base
>    all'articolo 615-ter comma primo del cp e punibili con la reclusione da
>    uno a cinque anni per abuso di qualifica).

Ho la "sensazione" che la gdf stia monitorando in modo intensivo qualche
migliaio di macchine in italia. Molte di esse sono siti istituzionali,
governativi, universitari ecc. Molti altri, forse, no. Soprattutto perche'
non e' conosciuta la lista, ne' come elenco unico ne' tantomeno perche'
gli admin delle macchine (soprattutto, forse solo siti web) non sono stati
informati. Lavori per il settore pubblico oppure per una azienda privata?

Mi sembra un abuso. O quantomeno, dovevi esserne informato di questo
controllo per il quale dovresti sentirti tutelato e dormire tranquillo.
Certamente, avranno avuto le dovute autorizzazioni.

Potrebbe trattarsi del tipo di controllo che viene venduto ad aziende
private da parte di aziende specializzate in sicurezza, ma in quel caso
io sono al corrente che qualcuno, che io pago, vigila su di me e mi
informa tempestivamente di eventuali defacement.

E' noto che, nella pubblica amministrazione, (scusatemi voi che leggete,
non siete parte della mia generalizzazione) i problemi di sicurezza
informatica magari legati a sistemi operativi e/o applicativi notoriamente
insicuri sono presi sottogamba, e sono pochissimi i tecnici veramente abili
nella sicurezza. Per esempio, voi che mi state leggendo.

A parte tutto, anche semplicemente l'uso di qualche applicativo che aiuti
la difesa (es. portsentry, hostsentry, tripwire, ecc) fa parte del
nostro lavoro a tutela del nostro sito aziendale. BTW, non ti sembra di
avere aperte un po' troppe porte?

Se invece stavano monitorando il presunto "Theli", o comunque si chiama,
mi sembra strano che ti debbano informare, col rischio di far saltare
l'indagine. Ti avrebbero invitato a mettere li' un honeypot per
intrappolarlo registrando ed attivandosi per raccogliere prove. Tra
l'altro, Theli (fonti: attrition.org/mirror e defaces.alldas.de) era
pratico di buchi in IIS ed era stato parecchio attivo tre/quattro mesi
fa. Trovi ancora qualcosa su punto-informatico.it, aveva fatto un po'
di danni presso un provider toscano su una macchina che ospitava una
decina di siti.


> 2) la gdf oltre a non conoscere il significato della parola hacker non sa

Si, Koba. Mi modero da solo :-)

>    distinguere fra singoli e gruppi, il che e' un grosso problema perche'
>    si configura un reato penale e la responsabilita' penale e' individuale
>    e non collettiva.
> 3) personalmente non ritengo il portscan un'intrusione, ma questo deriva
>    dalla mia personale interpretazione degli articoli 615-ter, -quater e
>    -quinquies del c.p., inoltre la gdf non conosce la differenza fra
>    portscane e defacement di un web server (o, in alternativa, volevano
>    segnalarti un defacemente di un web server ma si sono sbagliati e ti
>    hanno mandato l'output di un portscan)

Anche secondo me il portscan NON e' una intrusione. Dicono che e' un reato?
Bene, se te l'ha fatta theli allora te l'hanno fatta anche loro. Hanno
commesso anche loro un reato, lo stesso. Solo loro possono usare nmap?
Ma che scherziamo?

Invece, se c'e' stato in effetti un defacement (fa' come faccio io,
cronnati ogni paio di minuti un cp /altrove_readonly/index.html.ok index.html
cosi' diventa
un po' meno agevole il defacement e richiede un accesso ben diverso sulla
tua macchina) ti mandano il modulo per fare denuncia contro ignoti.

> 4) la gdf non sa usare gli allegati di posta elettronica.

Guarda nella testata se usano outlook :-)

> ti dico cosa farei se fossi in te.
>
> a) telefonerei al centralino listato, chiederi di parlre col col. rapetto e
>    gli chiedereri spčiegazioni e conferma del caso

Hai strippato due righe con gli altri numeri di telefono? Chiamali sul
cellulare, magari piu' tardi questa sera oppure la mattina presto,
quando sono piu' reattivi.

Comunque, la mail e' buona, penso.

> b2)Nel caso in cui negasse, scriverei a abuse@mail.com segnalando che da
>    quell'indirizzo provengono mail che violano la legge italiana (calunnia,
>    diffamazione a mezzo stampa e NonMiRicordoComeSiChiamaIlFingersiSbirro);
>    chiederei la sospensione dell'account onde evitare scherzoni simili in
>    futuro e (ma qui dipende dal tuo livello di fiducia nelle istituzioni)
>    sporgerei denuncia "contro il titolare dell'account gat_gdf@mail.com"

Siiiii, magari segnalaglielo durante la telefonata.

> b) Nel caso in cui confermasse lo inviterei a reinviare la mail da un
indirizzo
>    ufficiale della guardia di finanza possibilmente con firma elettronica.
> c) Nel caso in cui arrivasse tale mail da indirizzo attendibile e/o con
>    firma digitale attendibile, gli chiederei con quali sistemi ha eseguito
>    tale rilevamento e che autorizzazioni aveva per effettuare tale
rilevamento.

Il GAT di Roma, che fa parte della Guardia di Finanza, consta di una trentina
di persone. Generalizzando, penso che il loro skill tecnico sia distribuito
su una curva gaussiana; non me la sento di dire che sono tutti tecnicamente
poco preparati come quelli dei NOP che ho incontrato (senno' che ci facevano
al mio seminario sul Maalox? Gia' passare da Mandrake a RedHat e' un successo)

Presumo che la loro attivita' sia anche destinata alla tutela dei siti web
istituzionali. Non penso che li navighino continuamente per vedere se sono
stati defacciati, ne' che leggano alldas.de per vedere man mano dove andare
a "chiudere la porta della stalla dietro i buoi".

Mi aspetto che siano abbastanza preparati da essersi scritti uno scriptino
che, da una lista di URL, scarica index.html e lo confronta con una pagina
campione oppure che greppa la presenza di parole tipo ow*d o ha*d
segnalandogliele prontamente, e che magari compone ed invia automaticamente
la mail che hai visto. Uno spiderino piccolo piccolo, niente di difficile,
da avviare periodicamente. Per favore (magari fatelo tutti), provate a
guardare se nei log dei vostri webserver trovate un accesso di questo
genere, verificando l'IP del presunto navigatore che non sia il solito
motore di ricerca. E magari parliamone in lista.

Altrimenti, si tratta di wiretapping molto a monte del tuo sito, per cui
sentiti un po' controllato. +paranoia

>    In mancanza di tali autorizzazioni lo denuncerei come suddetto; nel caso
>    in cui dicesse di aver fatto un portscan lo denuncerei per portscan.

Si, se dicono che nmap non si puo' usare, non lo possono usare neanche loro.

> p.


Roberto Odoardi, odo@micronet.it



________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List