Rendere più sicuro il sistema dalle intrusioni. Articolo di Alessandro Recchia del 18/3/07 Versione stampabile Pagina 1 Articolo a cura di Alessandro Recchia, Bluevik e Jeff Buck Spesso quando si tratta il tema della sicurezza informatica si è portati a pensare che l'unica strada percorribile passi per l'installazione di programmi esterni come firewall, hips e simili. Questo sostanzialmente è vero ma non bisogna dimenticare che alla base di tutto, ancor prima forse dei firewall, dovrebbe esistere una configurazione della macchina e delle policy che permetta al sistema di rispondere in maniera adeguata agli attacchi esterni. Servizi, policy e registro di sistema devono subire quindi "radicali" irrobustimenti. Windows permette queste modifiche e configurazioni intervenendo sul blocco dei servizi, degli activeX e, come dicevamo, con modifiche mirate al cuore del sistema, il registro, di aumentare notevolmente la stabilità e la sicurezza del sistema stesso. Questo non vuol dire che i vari sistemi di sicurezza sono inutili, ma significa che una corretta gestione della macchina sin dai livelli più bassi del sistema ci permette di ridurre il carico di lavoro che i firewall devono fare per mettere in sicurezza il computer. Insomma, possiamo affermare che il setup di cui sopra costituisca un ulteriore mattone per quel muro di difesa che dobbiamo erigere fra noi e la rete esterna. La costruzione di questo ulteriore tassello di sicurezza passa, ma soprattutto inizia, da una corretta configurazione dei servizi. In Windows esistono servizi (quindi porte aperte verso l'esterno) che in tutta sincerità oltre che essere inutili, hanno almeno in passato costituito una grave minaccia per la privacy e la sicurezza degli utenti. Avremo modo di parlare in maniera più approfondita di questo aspetto, ma giusto per fare ora qualche esempio potremmo accennare al protocollo DCOM. Un protocollo, in precedenza conosciuto con il nome di OLE, che consente ai componenti software di comunicare direttamente su una rete. Tale protocollo è stato in un recente passato sfruttato pesantemente dal worm Blaster per diffondersi in rete e causare enormi danni. "Ok dai ho capito, ho fretta. Da dove inizio a mettere le mani?" Calma calma, in informatica, ma non solo, la fretta è cattiva consigliera. Bisogna procedere per gradi, ponderare bene le scelte che si fanno, valutare il rapporto rischi/benefici, ma soprattutto pensare bene a quello che si sta per fare. Tutte le operazioni che si fanno su un pc, così come quelle che vedremo di seguito, possono essere potenzialmente pericolose, specie quando si interviene sul registro. E' buona norma quindi, prima di operare in tal senso, avere una copia di backup generale del sistema (immagine disco. Se non disponete di un software in grado di generare copie di sicurezza come le iso del disco, abbiate almeno l'accortezza di eseguire un salvataggio del registro di sistema. Nel caso che qualcosa non vada a buon fine, i danni al pc potrebbero arrivare a fino al punto di dover installare nuovamente il sistema operativo. Tenete quindi a portata di mano il cd originale d'installazione. Fatte queste opportune considerazioni siamo pronti per iniziare. Per cominciare a mettere mano al nostro sistema iniziamo innanzitutto dai servizi. Per fare questo andiamo nel pannello di controllo > strumenti di amministrazione > e clicchiamo sull'icona "Servizi". Oppure accediamo più semplicemente da start > esegui e digitiamo services.msc Bene, ora siamo arrivati nel pannello dei servizi. Scorriamo fino a trovare la voce Registro di sistema remoto Questo servizio permette ad un utente remoto di modificare il nostro registro di sistema. Se il servizio viene disabilitato il registro potrà essere modificato solo dall'amministratore del pc, cioè noi. Se non fosse già disabilitato, blocchiamo subito questo inutile e pericoloso servizio. Per farlo clicchiamo due volte sul nome del servizio. Si aprirà una finestra come quella in figura. Alla voce "tipo di avvio" impostiamo la voce "Disabilitato". Alla voce stato del servizio clicchiamo su arresta e poi su ok. Servizio Server. Questo servizio supporta la condivisione in rete di file, stampa e named-pipe per il computer in uso. Se il servizio è stato arrestato, queste funzionalità non saranno disponibili. Per un pc singolo questo servizio si può tranquillamente disattivare. Come indica il nome, svolge tutte le funzioni tipiche di un server di rete, quali il routing, la gestione di e-mail e domini: le piccole reti domestiche ne necessitano comunque per la condivisione di file e stampanti. Disabilitare il servizio Servizio Messenger. In passato questo servizio è stato sfruttato per diffondere messaggi che sembravano provenire dal sistema operativo stesso, mentre in realtà si trattava di messaggi provenienti dall'esterno. Messaggi che talvolta non si sono fermati al semplice spam, ma che sono stati utilizzati per trasmettere virus. Questo servizio non ha nulla a che vedere con il programma di chat Messenger. Disabilitare il servizio. Servizio RPC Locator. Servizio per la gestione dei database RPC. Tanto inutile quanto pericoloso. In passato il worm Sasser sfruttava alcune vulnerabilità del servizio LSASS (Local Security Authority Subsystem Service) per accedere al servizio RPC e riavviare il sistema ogni 60 secondi. Disabilitare il servizio. Servizio Helper NetBIOS di TCP/IP. Attiva il servizio supporto NetBIOS su TCP/IP. Anche questo servizio in un passato abbastanza recente è stato al centro della diffusione di virus come Opaserv. Disabilitare il servizio. Fatto questo da pannello di controllo, clicchiamo su connessioni di rete. Clicchiamo con il tasto dx del mouse sull'icona della nostra connessione e selezioniamo la voce proprietà dal menu. Poi protocollo internet TCP/IP > proprietà > avanzate > wins In questa finestra mettiamo il pallino su disabilita Netbios su TCP Servizio Host di periferiche Plug and Play universali. Un servizio che consentirebbe di ospitare periferiche Plug and Play universali. Assieme al servizio SSDP, è stato in passato un bel passaggio aperto per vari tipi di virus e worm. Il servizio si mette in ascolto sulla porta 5000. Disabilitare il servizio. Servizio di rilevamento SSDP. Servizio che consente di rilevare periferiche UPnP nella rete domestica. Come per il servizio Host di periferiche Plug and Play, in passato ha sofferto di grossi problemi. Disabilitare il servizio. Servizio DDE di rete. Fornisce trasporto di rete e protezione per DDE (Dynamic Data Exchange) per programmi in esecuzione sullo stesso computer o su computer diversi. Se il servizio è stato arrestato, trasporto e protezione DDE non saranno disponibili. Disabilitare il servizio. Servizio DDE DSDM di rete. Gestisce risorse di rete condivise DDE (Dynamic Data Exchange. Se il servizio è stato arrestato, le risorse di rete condivise DDE non saranno disponibili. Disabilitare il servizio. Ora abbiamo disabilitato i servizi più "pericolosi". Sui servizi di XP ci sarebbe molto da scrivere, e molti altri potrebbero essere disattivati. Non è nostra volontà trattare in questo articolo il tema dei servizi disattivabili. Noi qui abbiamo trattato quelli che è necessario bloccare per evitare "spifferi". Una volta chiusi i servizi, riavviamo il sistema. Ora ci dedicheremo a tappare qualche "falla" nella gestione dei controlli ActiveX. "Cos'è l'ActiveX?" L'ActiveX è un'estensione che, integrata in un'applicazione predisposta all'utilizzo di questa tecnologia, permette di aggiungere nuove possibilità, comandi, ed eventualmente di semplificare alcuni processi, soprattutto nell'ambito dello sviluppo di software. ActiveX, dall'inglese Active e eXtension, è una tecnologia Microsoft che deriva da due vecchie tecnologie sempre di proprietà Microsoft: OLE (Object Linking and Embedding) e COM (Component Object Model) e che consente alle applicazioni Internet di essere più potenti di quelle composte da semplici script. Per interrompere l'esecuzione di un controllo ActiveX in Internet Explorer, è necessario effettuare la modifica del valore dati del valore DWORD Compatibility Flags del CLSID del controllo ActiveX. È possibile impedire l'esecuzione di un controllo ActiveX in Internet Explorer impostando il bit di interruzione, in modo che il controllo non venga mai chiamato da Internet Explorer quando vengono utilizzate impostazioni predefinite. Questo bit è un valore specifico del valore DWORD Compatibility Flags del controllo ActiveX nel Registro di sistema. Si tratta di un'operazione diversa dalla revoca dell'opzione "contrassegnato come sicuro" di un controllo ActiveX. Quando si revoca l'opzione "contrassegnato come sicuro", il controllo continua ad essere chiamato da Internet Explorer e viene visualizzato un messaggio di avviso nel quale è specificato che il controllo ActiveX potrebbe non essere sicuro. A seconda della scelta effettuata è possibile che il controllo venga eseguito. Quando invece viene impostato il bit di interruzione per un controllo ActiveX, questo non viene mai chiamato da Internet Explorer a meno che non sia attivata l'opzione Inizializza e esegui script controlli ActiveX non contrassegnati come sicuri in Internet Explorer. Per impostare il bit di interruzione, attenersi alla seguente procedura: 1. Determinare il CLSID del controllo ActiveX che si desidera disattivare. Se non si è certi del CLSID del controllo, contattare la casa produttrice. Se il controllo è installato, è possibile determinarne il CLSID qualora se ne conosca il nome. A questo scopo, esaminare il valore stringa Predefinito della chiave ProgID per tutte le chiavi CLSID contenute nella chiave HKEY_CLASSES_ROOT\CLSID. Potrebbe essere necessario rimuovere il maggior numero possibile di controlli ActiveX, eccetto quello che si desidera disattivare, per consentire l'identificazione del CLSID corretto. 2. Utilizzare l'editor del Registro di sistema per modificare il valore dati del valore DWORD Compatibility Flags del CLSID, relativo all'oggetto ActiveX nella seguente chiave del Registro di sistema: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\CLSID del controllo ActiveX dove CLSID del controllo ActiveX è l'identificatore di classe del controllo ActiveX corretto. 3. Modificare il valore del valore DWORD Compatibility Flags DWORD impostandolo su 0x00000400. Ci sono principalmente 4 ActiveX che è importante disattivare: ADODB.Stream Shell.Explorer Shell.Application Shell URL protocol handler ADODB.Stream > Un oggetto flusso ADO rappresenta un file in memoria che contiene numerosi metodi per la lettura e la scrittura di file binari e di testo. Quando questa funzionalità legata alla progettazione viene combinata con vulnerabilità note della protezione di Microsoft Internet Explorer, un sito Web potrebbe eseguire script dall'area Computer locale. Questo problema si verifica perché l'oggetto ADODB.Stream consente l'accesso al disco rigido quando tale oggetto è presente in Internet Explorer. Qualsiasi applicazione Web di settori specifici che richiede il caricamento o il salvataggio di un file sul disco rigido può utilizzare l'oggetto ADODB.Stream in Internet Explorer. Se ad esempio un server della rete Intranet ospita un modulo che un impiegato deve scaricare e completare, l'oggetto ADODB.Stream verrà utilizzato per ottenere il file e salvarlo localmente. Dopo la modifica del file localmente da parte dell'utente e l'invio di tale file di nuovo al server, l'oggetto ADODB.Stream verrà utilizzato per leggere il file dal disco rigido locale e per inviarlo di nuovo al server. Istruzioni per disabilitare l'oggetto ADODB.Stream. Per disattivare l'oggetto ADODB.Stream creando manualmente la chiave di registro, attenersi alla seguente procedura: 1. Chiudere tutte le finestre aperte di Internet Explorer. 2. Fare clic sul pulsante Start, quindi scegliere Esegui. 3. Nella casella Apri digitare Regedit, quindi scegliere OK. 4. Nell'editor del Registro di sistema individuare la seguente chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility 5. Fare clic con il pulsante destro del mouse su ActiveX Compatibility, scegliere Nuovo, quindi Chiave. 6. Digitare il seguente nome per la chiave: {00000566-0000-0010-8000-00AA006D2EA4} 7. Fare clic con il pulsante destro del mouse sulla nuova chiave, scegliere Nuovo, quindi Valore DWORD. 8. Denominare il valore Compatibility Flags. 9. Nel riquadro destro fare clic con il pulsante destro del mouse su Compatibility Flags e scegliere Modifica dal menu di scelta rapida. 10. Nella finestra di dialogo Modifica valore DWORD assicurarsi che sia selezionata l'opzione Esadecimale, digitare 400 nella casella Dati valore, quindi scegliere OK. 11. Chiudere l'editor del Registro di sistema. Shell.Explorer > E' un controllo che permette a Internet Explorer di far riferimento alle directory locali in un oggetto di tipo finestra. Impostando il kill bit su questo oggetto si impedirà a IE di mostrare l'interfaccia di visualizzazione cartelle. Per disabilitare l'uso dell'ActiveX Shell.Explorer seguire i punti del passo precedente, ma impostare il kill bit per la seguente chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{8856F961-340A-11D0-A96B-00C04FD705A2} Shell.Application Questo oggetto consente di installare ed eseguire programmi attraverso Internet Explorer. Gli oggetti Shell.Application potrebbero essere usati da attacker, attraverso pagine maligne HTML contenenti vari script e codici, per eseguire in maniera completamente automatica codice arbitrario attraverso la sola visualizzazione della pagina nel browser o nel client di posta, con gli stessi privilegi di esecuzione dell'utente che in quel momento ha avviato la macchina. Per disabilitare l'uso dell'ActiveX Shell.Explorer seguire i punti del passo precedente, ma impostare il kill bit per la seguente chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{13709620-C279-11CE-A49E-444553540000} Shell URL protocol handler Sostituire il valore CLSID che trovate in HKCR\PROTOCOLS\Handler\shell\CLSID con il seguente {3050F406-98B5-11CF-BB82-00AA00BDCE0B} Terminato anche il "setup" degli ActiveX riavviamo ancora una volta il sistema, per dedicarci alla parte finale della configurazione: l'irrobustimento dello stack TCP/IP Pagina successiva >>

Chi siamo | Disclaimer | Contatti | Supporta Pianetapc.it | Traduzioni Software

Copyright pianetapc.it 2004-2006, tutti i diritti riservati. Per la copia anche solo parziale di uno qualunque dei contenuti del sito siete pregati di chiedere l'autorizzazione. Powered by PianetaPc engine 0.2, dedicated to PK -