INDICE

[1] Attacchi su IRC e difesa [2] mIRC e sicurezza nell'uso [2.1] Script Backdoor [3] Nascondere il proprio ip come mezzo di difesa [4] Dcc SenD - Trojans - /netstat [5] Sicurezza su ICQ [6] Il Nukenabber 2.9b

Il vero problema su irc è che il proprio ip è ben visibile a tutti. Effettuando un semplice /whois nick appaiono sullo status le informazioni relative all'user.

Nella prima riga è ben visibile l'host con cui l'utente si sta connettendo allo IRCSERVER - è quindi facile girando per i canali (soprattutto in quelli affollati) che il nostro indirizzo venga preso di mira dagli altri frequentatori. Infatti, è semplice effettuare un nslookup della mask o attraverso il comando del mIRC "/dns nick" per ricavare lo stesso IP

*** Looking up Convittor

*** Resolved curvanord@-365lu-up-bluewin.ch to 12.34.56.78

Ecco allora il motivo per cui su IRC non si può stare tranquilli come quando navighiamo sul web...soprattutto se siamo operatori (@) in quel momento nel canale è facile subire attacchi alla nostra macchina. Gli attacchi più frequenti su IRC sono:

bonk /land / teardrop / click / ssping / WINDOWSNuke / ICMP Flood / smurf SYN flood / Bloop (flushot) / Igmp (pimp/kod)

Alcuni di questi non sono più usati, perchè bastano pochi accorgimenti per non esserne più affetti. Vediamoli in particolare.

BONK

Sono affetti dal BONK sistemi WINDOWS95/NT Il bonk ha come sintomo il blue Screen Il bonk può essere generato solo da macchine *nix e per prevenirlo basta aggiornare il proprio WINDOWS95 con le Winsock2.2

LAND

Sono affetti dal LAND sistemi WINDOWS31/95/NT etc Il land ha come sintomo il blocco completo del PC. Invia un pacchetto con gli stessi indirizzi di sorgente e destinazione ad una porta causando il blocco del sistema Il land può essere generato solo da macchine *nix e per prevenirlo basta aggiornare il proprio WINDOWS95 con le Winsock2.2

TEARDROP

Sono affetti dal TEARDROP sistemi WINDOWS 3.1/95/NT, Linux precedenti a 2.0.32 o 2.1.63 Il Teardrop ha come sintomi il blocco/riavvio immediato del sistema. Invia un pacchetto IP frammentato in modo non corretto. Lo stack TCP/IP va in crash tentando di riassemblarlo. Il Teardrop può essere generato solo da macchine *nix e WINDOWS95 non è ancor del tutto immune nonostante la possibilità di aggiornarsi al Winsock2.2 per la presenza di attacchi con delle caratteristiche differenti dal teardrop originario.

CLICK

Sono affetti dal click tutti i sistemi WINDOWS (31/95/98/NT) Linux è invece immune. Click o meglio ICMP_DESTINAZIONE_IRRAGGIUNGIBILE ha come sintomo la disconnessione dal server IRC con il classico messaggio di uscita:

*** Convittor has quit irc (Connection reset by peer)

Non tutti sanno che questo attacco può essere inviato non solo contro le connessioni IRC ma anche contro qualsiasi connessione TCP ( i msg di errore del browser per esempio "la connessione è stata reimpostata") Il Click può essere generato sia da sistemi WINDOWS (famoso appunto il codice di Rhad del click2.2) che da macchine *nix e per difendersi bisogna filtrare ICMP usando un firewall. Anche il Nukenabber filtra questo tipo di icmp ed è appunto l'unico caso di funzionalità "antinuke" del programma. Si consiglia cmq contro il click il connettersi a porte fuori range del server IRC (5667 per irc.dal.net)--> leggere il motd per le altre porte.

SSPING - PING OF DEATH

Sono affetti dallo ssping i sistemi WINDOWS 95, NT etc. Lo ssping ha come sintomo il blocco totale del sistema, che richiede un reset hardware (CTRL-ALT-CANC non funziona). Lo ssping può essere generato solo da macchine *nix e per prevenirlo basta aggiornare il proprio sistema con il Winsock 2.2 (o per utenti LINUX aggiornare il kernel)

WinNuke - OOB

Sono affetti dall'OOB i sistemi WINDOWS 31/95/NT Il WinNuke ha come sintomo il bluescreen (errore VXD) o il blocco del PC. Invia dati out of band alle porte 137/138/139 (netbios) Il WinNuke può essere generato da macchine WINDOWS o *nix (anche senza avere i privilegi di 'root') e per prevenirlo è sufficiente aggiornarsi alle Winsock2.2 anche se il sito della microsoft ha rilasciato anche una semplice patch.

ICMP flood

Sono affette tutte le connessioni modem. Il modem comincia a ricevere troppi dati e tutte le applicazioni internet diventano lente.In questo modo è possibile una disconnessione dal server IRC ed una uscita per Ping timeout. L'ICMP flood può essere generato indistintamente da macchine WINDOWS o *nix (ping -f) e questo attacco dipende dalla bassa velocità di connessione ad internet. L'uso di firewall non ha effetto.

SMURF

Tutte le connessioni ed interi server IRC Lo "smurf" utilizza la tecnica dell'IP spoofing. Invia richieste PING con l'IP della vittima ad un elenco di IP detto "BROADCAST" (questi IP terminano con 255 o 0 e vengono trovati con un "broadscan" per Linux). La vittima riceve le risposte a tutti i PING che creano flood. Interi IRC server possono subire questo attacco ed in questi casi si crea lo split del server dal resto della rete, con la perdita di tutte le connessioni. L'uso di firewall non ha nessun effetto. Questo attacco può essere generato solo da macchine *nix con privilegi da 'root' anche se esiste un programma per WINDOWS (exploit generator) capace di inviare questo particolare attacco.

PING PATTERN

Sono affetti almeno il 60% dei modem (esclusi gli US ROBOTICS) Consiste nell'inviare al modem della vittima attraverso PING o anche CTCP il comando ATH0+++ (disconnessione) Il modem alla risposta si disconnette. Un firewall ben impostato risolve il problema o anche basta impostare ATS2=255 fra le inizializzazioni Avvio -> Impostazioni -> Pannello di controllo -> Modem -> Proprietà modem -> Connessione -> Avanzate -> Altre impostazioni : inserire S2=255

SYN FLOOD

Tutti i sistemi operativi. Il suo uso principale è bloccare servizi come Telnet o FTP. In pratica un SYN flood stabilisce molte connessioni ad un'unica porta TCP di un host remoto. Stabilita una connessione, essa viene chiusa immediatamente e ne viene aperta un'altra. Applicazioni in IRC sono nell'attacco di porte generalmente "monitorate" ad esempio 12345 oppure 139. In questo modo è facile che il programma monitor vada in crash con il pericolo di un crash di sistema. La soluzione è evitare in ogni modo di tenere, anche solo per monitoraggio, porte aperte.

BLOOP (flushot)

Colpisce i sistemi WINDOWS95/98 NT. Invia pacchetti ICMP spoofati casualmente provocando il blocco del sistema. Questo attacco può essere generato sola da macchine *nix e l'unico rimedio sta nell'attivare un firewall software per filtrare gli ICMP.

IGMP

Consiste in un flood di pacchetti igmp e WINDOWS (95/NT/98!!) non riesce a gestire al meglio questo protocollo. Il risultato è il blue screen con necessità di riavvio del sistema. L'attacco può essere generato solo da macchine *nix.

D.o.S.

Il D.o.S è relativamente recente (aprile 99) ed io personalmente non conosco la presenza di patch per il WINDOWS98 ma un firewall ben configurato mette al sicuro la macchina da questo tipo di attacco.

Difendiamoci:

Se avete letto bene questi sono i possibili attacchi che più frequentemente potete subire mentre "Chattate".

Soluzioni:

LINUX

Le ultime versioni del kernel sono ancora esenti da particolari D.o.S (effettivamente esiste un d.o.s per il 2.2.x ma sarà presto risolto) Per Linux il vero problema è la configurazione dei singoli servizi. Cmq mi pare essenziale per un uso non da SERVER effettuare questa configurazione:

/etc/securetty

Commentare tutte le linee aggiungendo come primo carattere # differenti da

#/etc/securetty
tty1
tty2
tty3
tty4
tty5
tty6
tty7
tty8

In questo modo sarà impossibile collegarsi da root da connessioni seriali e parallele. Inoltre per impedire a chiunque di far un uso remoto dei servizi e quindi renderli disponibili solo da locale editare in questo modo:

/etc/hosts.allow
#/etc/hosts.allow
ALL: LOCAL:
e:
/etc/hosts.deny
#/etc/hosts.deny
ALL: ALL

Ancora andare nel file /etc/inetd.conf e commentare i servizi che non vogliamo eseguire. Es:sendmail..telnet..imap.. (il mio file ad esempio è tutto commentato)

WINDOWS95

In questo caso prima di tutto bisogna aggiornarsi alle Winsock2.2 Installando in questo ordine i seguenti files: (ricordarsi di rebootare dopo aver installato ciascun pacchetto)

MS Winsock Update (wsockupd.exe) http://www.tele-servizi.com/pizzascript/bin/WSOCKUPD.EXE
MS DUN 1.3 Upgrade (msdun13.exe) http://www.tele-servizi.com/pizzascript/bin/msdun13.exe
Winsock 2.2 Upgrade (ws2setup.exe) http://www.tele-servizi.com/pizzascript/bin/W95ws2setup.exe

Installando un firewall si riesce inoltre a prevenire anche attacchi tipo click e ping pattern ed IGMP mentre nulla si può fare contro attacchi di flood icmp e smurf.

WINDOWS98

E' decisamente più stabile in rete rispetto a WINDOWS95 e non necessita nessun aggiornamento. E' però affetto da attacchi del tipo click e ping pattern ed igmp (per l'igmp *dovrebbe* comunque uscire una patch) Installando un firewall si riescono a prevenire anche questi. Nulla si può fare contro attacchi di flood icmp e smurf.

mIRC non è altro che un client per IRC. Oltre ai pericoli derivanti da IRC per fortuna mIRC non ne aggiunge di molti :) Il client senza uso di script è di per sè sicuro..nelle peggior delle ipotesi sono stati trovati bug che crashavano il solo client senza pericolo per il resto del sistema. Delle versioni più recenti ricordiamo: Il mIRC 5.3* ha l'ident server Buggato..è appunto sufficiente un SYN flood alla porta 53 per provocare il crash del client. (nel caso in cui è attivo l'identd) Il mIRC 5.4 invece presenta un bug che provoca la chiusura del client attraverso un determinato DCC. Tutte le versioni precedenti alla 5.51 inoltre presentano un grave difetto di sicurezza per la gestione dei DCC SERVER (l'exploit permette di inviare file in qualsiasi cartella dell'unità dove è installato mIRC e suddetto file può anche apparire come "sexx.jpg" in veritý è "\..\..\..\WINDOWS\Menu avvio\Esecuzione automatica\troian.exe" ) Un consiglio? Il mIRC 5.51 per ora si presenta il migliore. Veniamo ora alla note dolente --> L'uso di SCRIPT per mIRC! Lo script per mIRC è sempre stata la sede di backdoor e considerando anche i file .exe allegati, di trojan e virus. Non usate script se non capite il suo codice..o almeno dopo essersi fatti consigliare da chi di codice ne capisce. E' questo il motivo per cui se dovete usare uno script..usate uno script che sia stato almeno testato e controllato da gente competente Prima di usare programmi nukers inclusi è sempre bene effettuare una scansione con un antivirus AGGIORNATO (consiglio l'AVP prelevabile in test gratuitamente su http://www.avp.it ) Poche linee di codice "cattivo" all'interno di uno script possono rendere il vostro sistema completamente vulnerabile (rischio di format) e la vostra privacy completamente a rischio. (lettura query e messaggi privati) Per questo motivo MAI accettare da sconosciuti..e anche da pseudo amici Script o semplici file.ini. Insomma prima di caricare qualcosa nel remote del mIRC pensateci 10 volte. La soluzione "ottimale" per andare su irc correndo il minimo dei rischi è quello di poter nascondere il proprio IP tramite il mode +x che permette di nascondere agli altri user (eccetto ircop) il proprio ip. In pratica

***Convittor is curvanord@lug748.up.bluewin.ch

diventa

***Convittor is curvanord@***.bluewin.ch

Prima importantissima regola: non accettate nessun file con estensioni .exe .doc .bat .ini .mrc .xls .com .vbs da sconosciuti. Diciamo più semplicemente che i file che potete apriresenza correre rischi sono i file di testo semplice (non aprite gli rtf con word) file di immagini e file audio. Naturalmente questo per non correre il rischio di infettarsi con virus, ma anche con backdoors (trojans) oppure di installare backdoor nel remote del mIRC attraverso script.ini dmsetup etc. Il problema specialmente sorge quando all'entrata di un canale vi appare la finestra di ricezione dcc send. Premete CANCEL ;-) Se invece siete stati fatti oggetto di beffe ed avete avviato un file.exe probabilmente vi siete installati una backdoor nel vostro sistema. Le backdoor più diffuse per il mondo WINDOWS sono:

-Backorifice -Netbus -Master Paradise -Telecommando -Microsoft WINDOWS --> Condivisioni file e stampanti

Per scovare la presenza di una queste backdoor nel vostro sistema la cosa più saggia è quella di scaricarsi un buon antivirus AGGIORNATO dal web. Un consiglio ? AntiViral toolkit Pro (AVP) scaricabile e per un mese in prova da http://www.avp.it Se poi volete registrarlo cercatemi e chiamatemi in query :) Se invece non abbiamo tempo per scaricarci un antivirus..oppure pensate di avere sul vostro sistema una backdoor difficilmente rilevabile dagli usuali antivirus seguite questa procedura. Effettuate dal prompt dei comandi prima della connessione ad accesso remoto "netstat -na" Se siete puliti non vi troverete nessuna porta IN LISTENING (in ascolto) Lo stesso dovete fare dopo la connessione SENZA APRIRE NESSUN PROGRAMMA. Se ancora non ci sono porte sospette..è tutto OKI Non aprite programmi perchè i programmi stessi per esempio il mIRC apre alcune porte in listening (53 e 79 ) per finger e dcc. Vi risulta invece per vostra sfortuna una porta aperta?!? (ricordatevi di chiudere il nukenabber!!) probabilmente ,ma non sempre cosi, questa porta potrà essere la 12345 12346 o la 31337. Argh che fare? Usate un antivirus ...ma se ne volete fare a meno..ecco come disinfettarsi. Controllate il registro di configurazione alle chiavi

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WINDOWS\CurrentVersion\
Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WINDOWS\CurrentVersion\
RunServices

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WINDOWS\CurrentVersion\
RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WINDOWS\CurrentVersion\
RunServicesOnce

dove sono i programmi lanciati all'avvio. Cancellare da tale chiave qualunque cosa non sia di "sicura" provenienza (Barra di Office, antivirus, demone ICQ, ...) Se vi risulta un file sospetto riavviate e cancellatelo. Dopo di che rieffettuate la verifica con il netstat prima e dopo la connessione remota. E' necessario per non avere accessi indesiderati nella vostra macchina dare una occhiata Basta aprire Avvio -> Impostazioni -> Pannello di Controllo -> Rete ->Protocolli e controllare l'elenco. Si corre il rischio che un intruso possa accedere alla vostra macchina semplicemente inserendo il vostro IP in Avvio -> Trova -> Computer, se si ha Accesso Remoto aggiornato. Naturalmente bisogna avere attivato delle condivisioni di risorse su alcune unita'/cartelle del computer.

A parte tutti i problemi legati al mostrare il proprio ip e all'accettare file, lo stesso protocollo di ICQ è ridicolamente semplicistico, e pieno di buchi di sicurezza. Anche il software ICQ. Quindi è possibile effettuare lo spoofing di utenti ICQ, bloccare le loro macchine, o in teoria anche far eseguire del codice arbitrario tramite buffer overflow.

Il Nukenabber 2.9b è un programma che consente di monitorare l'accesso al proprio PC, attraverso l'ascolto sulle porte che ciascun utente può liberamente settare. Va da sè che ogni porta "monitorata" significa una porta aperta, e questo potrebbe rappresentare chiaramente un problema di sicurezza. Il programma ha comunque la possibilità di chiudere temporaneamente le porte a ogni tentativo di connessione. Di seguito metto un'elencazione delle porte configurabili con il nukenabber 2.9b: