FAQ

In questa pagina sono pubblicate alcune domande frequenti

Ho scoperto che esistono nomi di dominio molto simili al mio: e' un illecito? Come posso procedere? Ho notato numerosi tentativi illeciti di connessioni ssh sui miei sistemi, quali difese posso attuare? Come posso individuare sistemi infetti dal virus Conficker situati dietro server NAT, senza avere informazioni complete circa le connessioni sospette?

TYPOSQUATTING :: Descrizione Il typosquatting e' un genere di attivita' fraudolenta attuata da alcuni anni. Chi "tende la trappola" del typosquatting confida nei possibili errori di digitazione che possono verificarsi durante l'apertura di connessioni remote. L'inganno viene attuato registrando nomi di dominio molto simili a nomi gia' in uso, per esempio: domain name originale: .cert.garr.it domain name simili: .cert.gar.it .cert.garr.ir .cer.garr.it ecc .. Chi opera queste registrazioni elabora un numero elevato di permutazioni del domain name, poi ne effettua delle registrazioni DNS con wildcard in modo che qualsiasi hostname venga risolto (generalmente in uno stesso indirizzo IP). Il sistema a cui si viene diretti e' una specie di honeypot in grado di rispondere ai tipi di client piu' comuni (www, webmail, ssh). E' disponibile una lista di alcuni domini vittime del typosquatting. :: Scopo Il typosquatting e' attuato per i seguenti scopi: - carpire credenziali di accesso (phishing) per ogni tipo di servizio (ssh, webmail ecc..) - indurre la navigazione su siti web malevoli - indurre al download di malware :: Azioni di contrasto - Procedura di contestazione presso il Register: nic.it Se vi accorgete che sono stati registrati nomi di dominio simili al vostro, quello che potete fare è compilare un modello di opposizione come questo: Modello Indicativo di Opposizione (pdf) Questo modello deve essere compilato, per ogni dominio da contestare, dal rappresentante legale del Vostro ente ed inviato al Registro, via fax (n. 0503153448) e via posta prioritaria (l'indirizzo del Registro e' indicato nel modulo). La richiesta che invierete verra' analizzata dallo studio legale del Registro del ".it". Tale procedura Vi consentira' di rappresentare al Registro l'esistenza di un pregiudizio a causa della registrazione e/o assegnazione del nome a dominio riguardante il Vostro ente all'attuale Registrante. Con l'attivazione di tale procedura, l'attuale Registrante, pur rimanendo nella piena titolarita' del nome a dominio, non puo' realizzare la modifica del Registrante del nome a dominio stesso, quindi cedere il dominio, se non a favore della parte che ha introdotto la procedura. Il dominio risultera' in sostanza momentaneamente "congelato". L'opposizione e' condizione necessaria per l'introduzione della procedura di riassegnazione di un nome a dominio, quindi e' il primo passo da fare. Dopo qualche giorno dall'invio della richiesta di contestazione, riceverete comunicazione da parte del Registro circa lo stato dell'opposizione sul nome a dominio che riguarda il Vostro ente. - Segnalazione di attivita' illecita (phishing) presso l'host provider - Filtraggio a livello IP: l'applicazione di filtri a livello IP o di typo-list che blocchino la risoluzione dei domini fasulli possono essere soluzioni tampone e applicabili solo su scala locale (gli utenti che si collegano da reti esterne non sono protetti). - Utilizzo di tool residenti su client: si tratta di strumenti ancora in fase di sviluppo http://blogs.techrepublic.com.com/security/?p=543 Microsoft URLtracer - Informazione degli utenti circa l'esistenza della minaccia. :: Informazioni dalla rete Gli avvocati si danno al typosquatting Typosquatting, domini, accesso agli atti Accesso ai domini in typosquatting, sospensiva respinta

SSH BRUTE-FORCE ATTACK :: Descrizione L'attacco brute-force ssh e' un'attivita' illecita praticata da anni in maniera sistematica. Vi sono periodi di diversa intensita', il trend e' comunque in crescita. La miglior difesa resta la scelta di password complesse. Questo tipo di attacco puo' colpire anche sistemi diversi da host linux, come router o iMac. :: Scopo Ottenere un accesso al sistema. :: Azioni di contrasto - Eseguire un censimento preventivo dei server ssh tramite scansioni sulla propria rete; - Controllare periodicamente i log; - Educare gli utenti alla scelta di password complesse; - Usare nomi utente difficili da indovinare; - Disabilitare l'accesso via SSH per l'account root (e' il target del 25% degli attacchi); - Disabilitare l'autenticazione basata su password e attivare quella basata su coppie di chiavi; - Consentire l'accesso (con filtri basati su IP address) ai soli sistemi di fiducia; - Cambiare la porta associata di default al server SSH (22/tcp); - Utilizzare TCP Wrapper o iptable per bloccare gli indirizzi IP a seguito di ripetuti tentativi di accesso falliti e/o tool come BlockHosts, DenyHosts, fail2ban. Nel caso l'attacco venga rilevato mentre e' in corso consigliamo di filtrare l'IP sorgente (sul router di bordo o sull'host vittima) in attesa che l'abuso termini.

RILEVARE IL VIRUS CONFICKER :: Descrizione I log che Vi inoltriamo ci vengono inviati da enti esterni al GARR. Purtroppo le connessioni registrate in questi log non sempre sono complete di IP e porta destinazione. Questi log vengono prodotti con una tecnica di tipo sinkhole routing attraverso la quale non vengono intercettati solo gli attacchi verso i servizi Microsoft Windows (security alert MS08-067), ma anche particolari richieste http che il virus stesso esegue per scaricare propri aggiornamenti. Alla richiesta di maggiori dettagli ci e' stato comunicato quanto segue: "The destination IP protocol will always be TCP (6) and the destination TCP port will always be HTTP (80) for these Conficker reports unless otherwise specified." Non possiamo garantire che tutti i nodi segnalati siano realmente infetti, anzi siamo interessati ad avere riscontro di eventuali falsi positivi. :: Interventi possibili E' possibile tentare di individuare sistemi infetti nella propria rete locale tramite strumenti come nmap o tool specifici (vedi "Informazioni dalla rete") sul cui funzionamento pero' non abbiamo condotto alcun test. esempio: nmap -PN -T4 -p139,445 -vv --script=p2p-conficker,smb-os-discovery,smb-check-vulns --script-args=checkconficker=1,safe=1 [target_networks] E' anche possibile installare ngrep, un IDS come snort o un vulnerability scanner come Nessus: http://www.linux-tip.net/cms/content/view/372/26/ http://doc.emergingthreats.net/bin/view/Main/2009205 http://www.nessus.org/plugins/index.php?view=single&id=36036 http://blog.tenablesecurity.com/2009/04/updated-conficker-detection-plugin-released.html http://www.confickerworkinggroup.org/wiki/pmwiki.php/ANY/NetworkDetection http://www.honeynet.org/node/388 La seguente pagina puo' aiutare l'utente a rilevare la presenza del virus sul suo sistema: http://www.confickerworkinggroup.org/infection_test/cfeyechart.html :: Informazioni dalla rete (2009-03-30) SkullSecurity - Scanning for Conficker with Nmap (2009-03-30) Insecure.org - How to use Nmap to scan very large networks for Conficker Bonn University - Containing Conficker - Network Scanner in Phyton (2009-03-31) eEye Offers Free Utility to Detect Conficker Worm and MS08-067 Patch http://www.eeye.com:80/html/conficker/index.html http://www.eeye.com:80/html/company/press/PR20090331.html http://www.eeye.com:80/html/downloads/other/ConfickerScanner.html (2009-03-30) ISC Diary - Locate Conficker infected hosts with a network scan (2009-04-05) ISC Diary - Open Source Conficker-C Scanner/Detector Released (2009-09-26) ISC Diary - SANS Conficker detection hints