Abbiamo 76 visitatori e nessun utente online

Frequently Asked Questions - FAQ di GARR CERT

FAQs - FAQ di GARR CERT

Le FAQ di GARR CERT

Typosquatting

Descrizione

Il typosquatting è un genere di attività fraudolenta attuata da alcuni anni. Chi "tende la trappola" del typosquatting confida nei possibili errori di digitazione che possono verificarsi durante l'apertura di connessioni remote. L'inganno viene attuato registrando nomi di dominio molto simili a nomi già in uso, per esempio:

domain name originale:

  • .cert.garr.it domain

name simili:

  • .cert.gar.it
  • .cert.garr.ir
  • .cer.garr.it

Chi opera queste registrazioni elabora un numero elevato di permutazioni del domain name, poi ne effettua delle registrazioni DNS con wildcard in modo che qualsiasi hostname venga risolto (generalmente in uno stesso indirizzo IP).

Il sistema a cui si viene diretti è una specie di honeypot in grado di rispondere ai tipi di client più comuni (www, webmail, ssh). E' disponibile una lista di alcuni domini vittime del typosquatting.

Scopo

Il typosquatting e' attuato per i seguenti scopi:

  • carpire credenziali di accesso (phishing) per ogni tipo di servizio (ssh, webmail ecc..)
  • indurre la navigazione su siti web malevoli
  • indurre al download di malware

Azioni di contrasto

Procedura di contestazione presso il Register: nic.it

Se vi accorgete che sono stati registrati nomi di dominio simili al vostro, quello che potete fare è compilare un modello di opposizione come questo:

Modello Indicativo di Opposizione (pdf)

Questo modello deve essere compilato, per ogni dominio da contestare, dal rappresentante legale del Vostro ente ed inviato al Registro, via fax (n. 0503153448) e via posta prioritaria (l'indirizzo del Registro è indicato nel modulo). La richiesta che invierete verrà analizzata dallo studio legale del Registro del ".it". Tale procedura Vi consentirà di rappresentare al Registro l'esistenza di un pregiudizio a causa della registrazione e/o assegnazione del nome a dominio riguardante il Vostro ente all'attuale Registrante. Con l'attivazione di tale procedura, l'attuale Registrante, pur rimanendo nella piena titolarità del nome a dominio, non può realizzare la modifica del Registrante del nome a dominio stesso, quindi cedere il dominio, se non a favore della parte che ha introdotto la procedura. Il dominio risulterà in sostanza momentaneamente "congelato". L'opposizione è condizione necessaria per l'introduzione della procedura di riassegnazione di un nome a dominio, quindi è il primo passo da fare. Dopo qualche giorno dall'invio della richiesta di contestazione, riceverete comunicazione da parte del Registro circa lo stato dell'opposizione sul nome a dominio che riguarda il Vostro ente.

- Segnalazione di attività illecita (phishing) presso l'host provider 

- Filtraggio a livello IP:

l'applicazione di filtri a livello IP o di typo-list che blocchino la risoluzione dei domini fasulli possono essere soluzioni tampone e applicabili solo su scala locale (gli utenti che si collegano da reti esterne non sono protetti).

- Utilizzo di tool residenti su client:

si tratta di strumenti ancora in fase di sviluppo http://blogs.techrepublic.com.com/security/?p=543 Microsoft URLtracer 
Informazione degli utenti circa l'esistenza della minaccia.

Informazioni dalla rete

Gli avvocati si danno al typosquatting
Typosquatting, domini, accesso agli atti
Accesso ai domini in typosquatting, sospensiva respinta


Abbiamo ricevuto una email nella quale veniamo avvisati che nomi a dominio di nostro interesse, sotto TLD internazionali (tipo .asia), stanno per essere registrati da altri. Ci viene quindi proposto di procedere noi per primi alla registrazione dietro pagamento. Come suggerite di agire?

Slamming (Domain Name Registration Scam)

:: Descrizione

Questo tipo di comunicazione costituisce un noto tentativo di truffa attuato ormai da vari anni anche verso molti utenti GARR.

La segnalazione quindi NON e' attendibile: stanno solo cercando di vendervi la registrazione di quei domini, con la scusa di "proteggerli" da un acquirente che in realta' non esiste.
Ecco un esempio dei nomi a dominio proposti:

  • garr.asia garr.biz
  • garr.com.cn
  • garr.com.tw
  • garr.com.hk
  • garr.hk garr.tw
  • garr.in
  • garr.net.cn
  • garr.org.cn
  • garr.tel garr.at

:: Azioni di contrasto

La politica che suggeriamo e' semplicemente quella di non dare seguito alla richiesta.
In nessuno dei casi verificatisi sino ad oggi i domini segnalati sono stati assegnati.

:: Informazioni dalla rete

http://www.caslon.com.au/domainsprofile11.htm
http://www.domainscams.co.uk/

 

Tags: e-mail, Slamming

Ho notato numerosi tentativi illeciti di connessioni ssh sui miei sistemi, quali difese posso attuare?

SSH brute-force attack

:: Descrizione

L'attacco brute-force ssh e' un'attivita' illecita praticata da anni in maniera sistematica. Vi sono periodi di diversa intensita', il trend e' comunque in crescita. La miglior difesa resta la scelta di password complesse. Questo tipo di attacco puo' colpire anche sistemi diversi da host linux, come router o iMac.

:: Scopo

Ottenere un accesso al sistema.

:: Azioni di contrasto

  • Eseguire un censimento preventivo dei server ssh tramite scansioni sulla propria rete;
  • Controllare periodicamente i log;
  • Educare gli utenti alla scelta di password complesse;
  • Usare nomi utente difficili da indovinare;
  • Disabilitare l'accesso via SSH per l'account root (e' il target del 25% degli attacchi);
  • Disabilitare l'autenticazione basata su password e attivare quella basata su coppie di chiavi;
  • Consentire l'accesso (con filtri basati su IP address) ai soli sistemi di fiducia;
  • Cambiare la porta associata di default al server SSH (22/tcp);
  • Utilizzare TCP Wrapper o iptable per bloccare gli indirizzi IP a seguito di ripetuti tentativi di accesso falliti e/o tool come BlockHosts, DenyHosts, fail2ban.

Nel caso l'attacco venga rilevato mentre e' in corso consigliamo di filtrare l'IP sorgente (sul router di bordo o sull'host vittima) in attesa che l'abuso termini.

 

 


Come posso individuare sistemi infetti dal virus Conficker situati dietro server NAT, senza avere informazioni complete circa le connessioni sospette?

Rilevare il virus Conficker.

:: Descrizione

I log che Vi inoltriamo ci vengono inviati da enti esterni al GARR. Purtroppo le connessioni registrate in questi log non sempre sono complete di IP e porta destinazione.

Questi log vengono prodotti con una tecnica di tipo sinkhole routing attraverso la quale non vengono intercettati solo gli attacchi verso i servizi Microsoft Windows (security alert MS08-067), ma anche particolari richieste http che il virus stesso esegue per scaricare propri aggiornamenti.

Alla richiesta di maggiori dettagli ci e' stato comunicato quanto segue:
"The destination IP protocol will always be TCP (6) and the destination TCP port will always be HTTP (80) for these Conficker reports unless otherwise specified."

Non possiamo garantire che tutti i nodi segnalati siano realmente infetti, anzi siamo interessati ad avere riscontro di eventuali falsi positivi.

:: Interventi possibili

E' possibile tentare di individuare sistemi infetti nella propria rete locale tramite strumenti come nmap o tool specifici (vedi "Informazioni dalla rete") sul cui funzionamento pero' non abbiamo condotto alcun test.

esempio:

nmap -PN -T4 -p139,445 -vv --script=p2p-conficker,smb-os-discovery,smb-check-vulns 
--script-args=checkconficker=1,safe=1 [target_networks]

E' anche possibile installare ngrep, un IDS come snort o un vulnerability scanner come Nessus:

La seguente pagina puo' aiutare l'utente a rilevare la presenza del virus sul suo sistema:

:: Informazioni dalla rete

Bonn University - Containing Conficker - Network Scanner in Phyton

Questo sito utilizza i cookie per migliorare servizi ed esperienza dei lettori. Se decidi di continuare la navigazione consideriamo che accetti il loro uso. Per maggiori informazioni sull'uso dei cookies e su come eliminarli leggi l'informativa estesa