Ultimo articolo della mia serie riguardanti i tool per l’analisi delle reti, dopo wireshark, ntop ed un bell’assortimento di strumenti da utilizzare a linea di comando è il momento di presentare nmap.
Nmap è un software libero distribuito con licenza GNU GPL da Insecure.org creato per effettuare port scanning, cioè mirato all’individuazione di porte aperte su un computer bersaglio o anche su range di indirizzi IP, in modo da determinare quali...
Leggi il seguito »
Con la proliferazione di web servers, principalmente dovuta all’esplosione del blogging, e la conseguente crescita della loro esposizione ad attacchi sempre più numerosi ed aggiornati nelle tecniche sfruttate, la presenza di uno specifico tool per l’assessment è quantomai opportuna, se non doverosa.
Nel campo dell’ open source lo specifico tool si chiama Nikto, ed è soggetto a licenza GPL.
Per inciso, il nome deriva dalla frase (”Klaatu barada nikto”) pronunciata per placare il robot Gort e dissuaderlo dalla vendetta distruttiva nei confronti della razza umana, colpevole di aver tradito il suo padrone extraterrestre Klaatu, nel mitico film di fantascienza “The Day The Earth Stood Still” (”Ultimatum...
Leggi il seguito »
Già qualche mese fa, su Slashdot era uscita la notizia della prima comparsa di una botnet di Linux webservers coordinata con una più convenzionale botnet di macchine Windows, e dedicata alla distribuzione di malware.
Ciascuno dei webserver infettati è un server dedicato o un virtual server dedicato ospitante un legittimo website. Ma oltre ad eseguire un Apache webserver per distribuire contenuto innocente, è stato modificato per fargli eseguire un secondo webserver noto come nginx, con lo scopo di distribuire malware [sulla porta 8080].
In pratica una botnet di web servers zombie! Un gruppo di web servers infetti interconnessi e con un comune centro di...
Leggi il seguito »
Le particolari caratteristiche protocollari fanno sì che la scansione UDP risulti più problematica della corrispondente TCP, ed inoltre pesantemente dipendente da ICMP.
Il metodo “tradizionale” della scansione UDP implica l’invio di un datagramma UDP alla porta di destinazione. Se viene restituito un messaggio di errore ICMP Type 3 Port unreachable, allora la porta viene considerata “closed”.
Differenti tipi di messaggi ICMP possono invece indicare una porta filtrata.
Una scansione UDP fa cioè affidamento sui messaggi diagnostici ICMP al fine di determinare lo stato di una porta remota.
Firewalls che bloccano il traffico ICMP in uscita impediscono perciò alle scansioni UDP di restituire alcuna utile informazione.
Le...
Leggi il seguito »
NFS è un complesso servizio di rete che, avvalendosi delle RPC, permette la condivisione di porzioni del filesystem da e verso altri host.
NFS è anche sovente implementato in modo insicuro, particolarmente sulle piattaforme Unix proprietarie più datate, dove le opzioni destinate ad incrementare il livello di sicurezza devono essere impostate in modo esplicito. Gli amministratori di sistema operano spesso sotto pressione e, in tale situazione, creare rapidamente una NFS share e renderla semplicemente disponibile con le impostazioni di default (praticamente a chiunque!), è una tentazione notevole.
Una buona indicazione della presenza di NFS su di un sistema è rappresentata dalla porta 2049 in stato open, ma non prova tuttavia la presenza di condivisioni.
Leggi il seguito »
