La Sicurezza nella Conservazione Sostitutiva in outsourcing- Seconda parte

Pubblicato da

Per chi come me viene dal mondo Open Source, guarda sempre con attenzione e pregiudizio i sistemi operativi di Microsoft. Questo perchè Microsoft nel corso degli anni, ha sempre dimenticato di sviluppare sistemi che siano sicuri ed affidabili. Con Windows Server 2008, invece, Microsoft ha fatto un salto di qualità a livello di sicurezza informatica. Ed è uscito un sistema che rispetto al predecessore Windows Server 2003, contiene già innovative soluzioni di sicurezza nel suo core principale. Iniziamo dunque a discutere i principali attacchi da remoto che è possibile portare ad un sistema Microsoft. Il primo protocollo, vittima di attacchi con falsificazione all’autenticazione, è certamente SMB, ovvero Server Message Block. Questo protocollo si occupa della condivisione di file e stampanti ed opera su due porte : la 445 e la 139. Queste due porte sono state per anni il passaggio principale usato dagli hacker per entrare in un sistema Microsoft. Il lettore penserà che basterebbe inserire sul perimetro di rete un affidabile firewall e bloccare un determinato traffico su queste due porte. Purtroppo, un firewall non basta, anche se fosse il più affidabile di questo mondo. Gli hacker, infatti, possono ingannare i firewall attraverso pacchetti UDP, invece di quelli TCP e aggirare il firewall. O ancora, potrebbero usare lo stesso TCP, inserendo nella finestra TCP un attacco di tipo sockstress.

In breve, l’attacco sockstress carica in modo esponenziale la finestra TCP ed in questo modo blocca il traffico di rete dal firewall al sistema informativo. Oltre agli attacchi al protocollo SMB, ricordiamo che esistono anche gli attacchi, ad esempio al protocollo MSPRC alla porta 135, TS alla porta 3389, SQL alle porte TCP 1433 e UDP 1434 e poi su HTTP e HTTP alle porte 80 e 443. Precisiamo, comunque, che in virtù della considerazione su Windows Server 2008 fatta precedentemente, Microsoft in quest’ultimo suo sistema operativo ha già disabilitato di default la possibilità di accedere in remoto ad SMB, tramite il suo affidabile Windows Firewall. Tutti questi attacchi ai servizi in remoto di cui sopra, servono ad unico scopo : recuperare quante più password possibili. Ci sono molti programmi free che automatizzano questa procedura di attacco, tra i quali, i più potenti sono sicuramante THC Hydra e TSGringer. Come proteggere tutti questi servizi in remoto? La risposta banale è quella che si sente spesso : disabilitare tutti i servizi non necessari.

Ma questa non è una soluzione, è un modus operandi che elimina il problema, ma non lo affronta. Perchè dovremmo privarci di un servizio in remoto ? Se è stato inserito, dovrà pur servire a qualcosa!. Ad esempio in Windows Server 2008 i protocolli di rete possono essere disabilitati o rimossi utilizzando la cartella delle connessioni di rete e ciò facilita questa soluzione di troncamento dei servizi. Ma se il servizio remoto serve, cosa fare ? Non si può essere sicuri al 100% e non esiste sistema al mondo che sia privo di attacchi. La prima soluzione che consiglio è quella di cambiare e personalizzare i banner di login e di rete. I banner sono nient’altro che le informazioni dei rispettivi protocolli nei quali sono inserite etichette e messaggi che specificano valori sensibili. Per personalizzare un banner, basta cambiare la relativa chiave nel registro di sistema di windows. Con la stessa tecnica, si possono cambiare le porte di default dei sistemi remoti. Queste soluzioni, almeno, depistano quegli attacchi che seguono procedure automatiche. Consiglio anche l’utilizzo di un programma free molto comodo, come Dumpel, che è un potente strumento per l’analisi e la manipolazione dei file di log. In questo modo è possibile consultare i tentativi di accesso falliti e proteggersi così da un attacco. In effetti, il controllo dei log è una procedura importante per qualunque amministratore di rete o sistemista. E dovrebbe essere sempre verificato ogni giorno, con annessa configurazione di un sistema di allarme, tramite un IDS o IPS come Snort, che tra le altre cose è anche gratuito. Ad esempio un logo pieno di ID 529 e 539, è un potenziale sintomo che si è oggetto di un attacco. Un altra soluzione che sembra quasi ovvia, ma che spesso non lo è, è quella di utilizzare l’utilissimo strumento di Criteri di protezione locali, accessibili da Criteri di gruppo e di account sotto windows. Questo strumento permette di definire accuratamente le policy di ciascun utente windows, compreso l’amministratore. In Windows Server 2008, è stata migliorata la gestione delle policy ed è possibile sia utilizzare password forti, sia impostare i blocchi degli utenti e disabilitare la condivisione per specifici utenti e gruppi. Il fine ultimo di un attacco, quasi sempre, è quello di individuare le password di sistema. Per gli hacker, esiste un programma molto potente e gratuito, Cain. Cain integra funzioni di sniffing delle password e decodifica tutti i dialetti Windows disponibili, compreso lo stesso Kerberos, con tecniche di attacco di forza bruta, dizionario e Rainbow cracking. Grazie a Cain l’hacker ha la possibilità di spiare i dati che transitano lungo i cavi di connessione quando gli utenti o un servizio accedono ad un server. Per proteggere Kerberos si dovrebbero utilizzare metodi di autenticazione PKINIT, che usano chiavi pubbliche anziché password. Inoltre bisogna anche implementare IPSec in Windows cifrando così il traffico di dati sui sistemi, grazie a Windows Firewall. Quest’ultimo ritengo che sia un ottimo strumento ed è sempre consigliabile utilizzarlo, perchè blocca determinati ingressi ed uscite di dati sull’host su cui è attivo. Un altro problema che affliggeva i sistemi operativi antecedenti a Windows Server 2008, era l’attacco portato ai driver di periferica. Grazie a questi attacchi l’hacker riusciva ad ottenere l’esecuzione direttamente sul kernel windows con privilegi elevati. Questo attacco ovviamente sfrutta la tecnologia dei driver che, lavorando con il sistema a basso livello, si interfaccia direttamente con il kernel. In Windows Server 2008 questo problema è stato affrontato ed è stata inserita una soluzione : un meccanismo di firma dei driver. Nelle versioni a 64 bit si richiede la firma del certificato che opera sul software del driver. Il meccanismo è molto simile all’API dei linguaggi di programmazione. In questo modo qualsiasi attacco effettuato su un driver, non verrà riportato a basso livello e con i privilegi elevati. Purtroppo però anche il buon Windows Server 2008 soffre di una vulnerabilità conosciuta e con un grado di rischio elevato : il dumping di password delle cache. Microsoft non ha ritenuto di implementare una soluzione affidabile contro la memorizzazione delle password nella cache del sistema. Grazie ad uno strumento come LSADump2 un hacker può catturare la password degli amministratori, attraverso una tecnica di DLL injection. Anche il già citato Cain può farlo tranquillamente. Una misura concreta contro questo tipo di attacco, non c’è. Una soluzione per ridurre questo rischio è quella di manipolare la chiave del registro di sistema di Winlogon, impostando un valore più basso di quello di default. Ancora una volta un firewall non servirebbe a niente, poiché un hacker molto attento potrebbe utilizzare il reindirizzamento delle porte. Il reindirizzamento delle porte, sfrutta un principio molto semplice : utilizzare il flusso di dati permessi dal firewall, per far passare anche quello che non era ammesso. In pratica il firewall crede di vedere un servizio consentito, come ad esempio DNS sulla porta 53, ma in realtà il flusso che è passato è un inizio di attacco!

Volendo verificare lo stato delle connessioni aperte del nostro sistema, è molto comodo l’utilizzo di netstat, che è in grado di identificare le sessioni in stato Listening o Established con ovviamente le relative porte e indirizzi. Prima di concludere questa prima parte dedicata ai sistemi Microsoft, farò un breve escursus sulle nuove specifiche di sicurezza introdotte in Windows Server 2008. A partire da Windows 2000, per la configurazione della sicurezza dei domini e dei singoli computer, si è sempre utilizzato il GPO, ovvero il Group Policy Objects. Anche in Windows Server 2008 è presente il GPO, denominato anche come GPMC, ma la differenza fondamentale è che sono stati risolti errori molto fastidiosi. Rispetto alle versioni precedenti, infatti, gli errori che si presentavano quando si abilitavano combinazioni di criteri a livello locale e di dominio, con inoltre un notevole ritardo di effetto delle impostazioni, non sono più presenti. Un altro accorgimento interessante è stato l’introduzione del BDE, ovvero Bitlocker Drive Encryption, che sostituisce l’EFS di Windows 2000. Grazie a BDE si ottiene una maggiore sicurezza nei confronti di tecniche di attacco che potevano bypassare EFS, grazie alla chiave di cifratura applicata agli interi volumi di sistema, anziché ai singoli account utente. In Microsoft c’è sempre stato il problema della protezione dei privilegi elevati, ma fino al Windows Server 2003 non è mai riuscita a trovare una serie di soluzioni affidabili. Con Windows Server 2008, invece, è stato introdotta la tecnologia Windows Service Hardening. WSH, imita un po’ la gestione dei processi di Unix/Linux, cercando di limitare i servizi con privilegi elevati. In effetti, WSH tramite l’associazione di SID ai singoli processi, riesce ad ottenere sia un buon isolamento dei servizi sia dei privilegi.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *