Aabuso di applicazioni: Instant Messaging e programmi di condivisione di file peer to peer.

• A1. Instant Messaging
• A2. Applicazioni di condivisione file peer to peer

A1. Instant Messaging

A1.1 Descrizione

L'instant messaging (IM) è un metodo di comunicazione considerato sempre più legittimo sia per uso personale, sia per un uso aziendale. Le applicazioni IM sono disponili per diverse piattaforme, che variano dal tradizionale IM per PC ai telefoni cellulari. L'utilizzo diffuso di messaggistica istantanea L'uso intensivo di messaggeria istantanea, nonostante porti dei vantaggi per gli utenti, può incrementare in modo significativo i rischi per la sicurezza, sia per le aziende che per gli utenti stessi. Gli attacchi comprendono varianti dei worm per e-mail diffusi attraverso l'instant messaging, nuove variazioni nell'installazione e nella diffusione di botnet e l'uso di account di instant messaging compromessi per spingere gli utenti a rivelare informazioni riservate.

Le area generali di rischio correlate all'instant messaging sono:

• Malware - Worm, virus e Trojan diffusi attraverso la messaggistica istantanea. Molti bot sono controllati attraverso i canali IRC.
• Informazioni confidenziali - Le informazioni veicolate attraverso l'instant messaging possono essere soggette a divulgazione in numerose fasi della comunicazione. I messaggi passano di solito attraverso reti e server che non sono sotto il controllo aziendale. Molti programmi IM offrono inoltre anche la possibilità di condividere file. Il processo di condivisione potrebbe lasciare dei duplicati di documenti confidenziali in cartelle condivise da tutti i partecipanti alla conversazione anche dopo che la sessione IM ha avuto termine.
• Reti - Attacchi di denial of service; eccessivo utilizzo della capacità della rete, anche quando l'uso è legittimato.
• Vulnerabilità nelle applicazioni - Le applicazioni di instant messaging possono contenere vulnerabilità che, se sfruttate, possono il sistema colpito. Inoltre, nelle applicazioni IM le possibili vulnerabilità possono comprendere errori nel software di supporto e interfaccia improprie per moduli del software di supporto. Alcune funzionalità delle applicazioni di messaggistica istantanea possono basarsi su moduli provenienti da altri programmi e dal sistema operativo sottostante, ereditando le vulnerabilità presenti in queste programmi. In aggiunta, siccome possono essere chiamati solo moduli specifici, i processi di sicurezza costruiti attorno ai livelli più alti dell'applicazione di supporto possono essere elusi, creando nuove strade per gli attacchi.

Le applicazioni di messaggistica istantanea mobile presentano significativi rischi di sicurezza analoghi a quelli associati a quelle per PC. Dispositivi come i telefoni cellulari con possibilità di instant messaging spesso non hanno protezioni da password o sistemi di cifratura dei dati memorizzati al loro interno. Il risultato è che attacchi masquerade verso i contatti e-mail e IM sono di semplice implementazione usando magari dispositivi mobili IM smarriti. La natura wireless dei dispositivi mobili rende inoltre più difficile l'implementazione di un adeguato sistema di sicurezza durante le sessione di messaggistica istantanea.

Le applicazioni di instant messaging più diffuse sono: AOL Instant Messenger (AIM), Gaim, ICQ, Jabber Messenger, Lotus Sametime, Skype, QQ, Windows Live Messenger (WLM), Google Talk, Trillian e Yahoo! Messenger. I protocollo di instant messaging comprendono: IRC, MSNP, OSCAR, SIMPLE, XMPP e YMSG.

A1.2 Sistemi operativi interessati

Le applicazioni di instant messaging sno disponibili per tutti i sistemi operativi più diffusi.

A1.3 Riferimenti CVE

CVE-2007-1680, CVE-2007-2418, CVE-2007-2478, CVE-2007-2931, CVE-2007-3305, CVE-2007-3832, CVE-2007-3928, CVE-2007-4579

A1.4 Come proteggersi dalle vulnerabilità IM e dall'uso non autorizzato dei sistemi di instant messaging

• Istituendo policy per regolamentare l'uso dell'instant messaging e assicurandosi che tutti gli utenti siano sensibilizzati su tali politiche e abbiano compreso chiaramente i potenziali rischi
• Istituendo policy per regolamentare l'so dei dispositivi mobili che comprendano obblighi relativi a password e crittografia.
• Creando degli opportuni standard di configurazione dei prodotti IM che impediscano il trasferimento di file.
• Di regola, agli utenti non dovrebbe essere permessa l'installazione di software. Limitate i privilegi di Amministratore e Power User al personale di supporto e solo nell'ambito della loro attività di supporto tecnico. Se un utente ha bisogno di privilegi di Amministratore o Power User, creategli anche un diverso account con privilegi minori da utilizzare quando svolge le nomali funzioni d'ufficio, la per la navigazione Internet e le comunicazioni on-line.
• Assicurandosi che vengano prontamente applicate le patch del produttore ai software di instant messaging, alle applicazione collegate e ai sottostanti sistemi operativi.
• Impiegando prodotti anti-virus e anti-spyware.
• Non affidandosi a server IM esterni per l'instant messaging interno; affidatevi a un proxy commerciale o a un server IM interno.
• Creando canali di comunicazione sicuri quando si utilizza la messaggistica istantanea con partner commerciali fidati.
• Configurando in modo appropriato i sistemi di intrusion detection/prevention. Bisogna capire che molte applicazioni di instant messaging sono in grado di abilitare comunicazioni associate per mascherare o legittimare in qualche altro modo il traffico prodotto (ad esempio mascherando da traffico http).
• Adottando prodotti propgettati specificamente per la sicurezza dell'instant messaging.
• Filtrando tutto il traffico http attraverso un proxy server con autenticazione per ottenere maggiori possibilità di filtro e di monitoraggio del traffico generato dall'instant messaging.
• Bloccando l'accesso a tutti quei server pubblici di instant messaging conosciuti che non siano esplicitamente autorizzati. (Nota: questa misura offre solo una protezione parziale, in quanto è molto alto il numero di potenziali server esterni.)
• Bloccando le porte comunemente utilizzate dall'instant messaging. (Nota: anche questa misura offre una protezione solo parziale, considerando che i protocolli utilizzati e le porte di conseguenza associate sono innumerevoli, oltre al fatto che alcune applicazioni riewscono a eludere le restrizioni relative alle porte.)
• Monitorando tramite un sistema di Intrusion Detection/Prevention gli utenti che creano tunnel per gli IM o eludono i proxy.
• Istruendo i partner con i quali condividete file e insegnando loro a cancelare i file condivisi al termine della sessione di IM.
• Stabilendo degli accordi dettagliati con i partner con i quali dovete condividere documenti riserveti, specificando i termini di non divulgazione e le rispettive responsabilità.
• Usando dei controlli di accesso (come le password) per proteggere presentazioni e sessioni di gruppo.

A1.5 Approfondimenti

Phishers hijack IM accounts
http://news.com.com/Phishers+hijack+IM+accounts/2100-7349_3-6126367.html

Instant messaging: a new target for hackers
http://www.leavcom.com/ieee_july05.htm

AIM bot creates "fight combos" to spread
http://www.securityfocus.com/brief/305

Secure Instant Messaging in the Enterprise
http://searchsecurity.techtarget.com/tip/0,289483,sid14_gci1199405,00.html

Remote command execution, HTML and JavaScript injection vulnerabilities in AOL's Instant Messaging software
http://www.securityfocus.com/archive/1/480587

A2. Applicazioni per la condivisione di file Peer to Peer

A2.1 Descrizione

Le reti Peer to Peer (P2P) sono costituite da una serie di computer o "nodi" che funzionano simultaneamente da "client" e da "server" per raggiungere un intento comune. I nodi possono scambiarsi dati, condividere risorse, fornire servizi di directory, sostenere comunicazioni e fornire strumenti per la collaborazione in tempo reale.

Possono essere utilizzate molte architetture di controllo e comunicazione. Talvolta vengono utilizzati dei server di indicizzazione centralizzati che forniscono i servizi di ricerca dei dati e dei servizi disponibili. Nelle rete completamente distribuite ciascun nodo collabora a servizi di indicizzazione e di ricerca ed è del tutto equivalente ad un altro nodo. Le architetture ibride, invece, combinano le caratteristiche dei due modelli in differenti gradazioni: gruppi di nodi possono "scegliere/promuovere" determinati nodi per fungere da server di indicizzazione e di ricerca in una determinata zona.

Molte applicazioni legali usano il P2P. Alcuni produttori di software, tra i quali Microsoft e Sun, propongono diversi strumenti per utilizzarle e incoraggiano lo sviluppo di applicazioni P2P. Tuttavia le applicazioni P2P, come qualsiasi altro strumento per il trasferimento di informazioni, possono portare a usi non corretti o sfruttate per condividere illegalmente materiale soggetto a diritto d'autore, per ottenere dati riservati, per inviare agli utenti materiale non desiderato a carattere pornografico, violento o propagandistico, per distribuire ed eseguire codice dannoso (virus, spyware, bot, ecc.), per sovraccaricare la rete, per tracciare usi e modelli di comportamento degli utenti: tutte azioni che possono comportare una responsabilità nei confronti delle leggi. La responsabilità legale e la conseguente perseguibilità possono in certi casi non essere limitate al singolo esecutore, ma essere estese al promotore, ai sostenitori e ai membri della rete.

Le stesse reti P2P possono essere vittima di attacchi che possono sostituire file legittimi tramite con codici dannosi, seminando questi malware nelle directory condivise, sfruttando errori nel codice o le vulnerabilità insite nel protocollo, bloccando (filtering) il protocollo, eseguendo attacchi di denial of service che portano la rete a funzionare molto lentamente, operando con spamming e attacchi d'identità che portano ad identificare gli utenti della rete per poi perseguitarli. Alcune azioni legali hanno portato alla chiusura di alcune reti molto popolari, colpevoli di aver infranto le normative che regolano i diritti d'autore.

Il Worm Storm usa il protocollo Peer to Peer di eDonkey/Overnet per comunicare con gli host infetti. Si è stimato che esso fosse presente, fino a Settembre 2007, in un numero di computer infetti e compromessi che va da 1.000.000 a 50.000.000.

I concetti e le tecniche P2P sono in continua evoluzione e si possono trovare in:

• Reti per la condivisione di file (file sharing) - il cui obiettivo primario è quello di condividere risorse quali la memoria e la banda. Queste operano attraverso una rete distribuita di client, condividendo cartelle di file o interi dischi di dati. I client partecipano scaricando i file dagli altri utenti, rendendo disponibili agli altri i propri dati e coordinando per gli altri utenti le ricerche di file
• Cloud Computing - (conosciuto anche come elaborazione distribuita, Grid Computing, o reti mesh) dove "nuvole" di computer sono dedicate a fornire un ambiente virtuale di calcolo per compiere determinate operazioni distribuendo i dati e il carico di elaborazione. Il Cloud Computing inserisce i server in linea a seconda delle esigenze e l'utente finale non sa dove i dati risiedano o vengano elaborati in quel momento. In alcuni casi l'applicazione viene eseguita in parte sui server e in parte sui PC degli utenti. I server cloud possono risiedere fisicamente presso grandi strutture controllate da una organizzazione o in qualunque luogo in Internet. Poiché la potenza di calcolo modulabile si basa sui server virtuali, il proprietario dei dati non sa mai dove questi dati o i sui programmi risiedano fisicamente davvero.

La maggior parte dei programmi P2P usano una serie di porte di default, ma possono essere automaticamente o manualmente configurati per usare porte diverse quando è necessario aggirare sistemi di rilevamento, firewall o filtri in uscita. La tendenza sembra essere quella di andare verso l'uso dei wrapper http e della crittografia per aggirare le restrizioni aziendali.

A2.2 Sistemi operativi interessati

Sono presenti versioni dei software P2P per tutti i sistemi operativi Microsoft Windows attualmente in uso, lo stesso vale per Linux, MacOS e la maggior parte dei sistemi operativi Unix.

A2.3 Rilevare l'attività P2P

Rilevare l'attività P2P sulla rete può risultare impegnativo. È possibile individuare software P2P che girano sulla vostra rete nei seguenti modi:

• Monitorando il traffico su determinate porte TCP/UDP è un metodo che ha efficacia solo per i programmi P2P più datati. Molti programmi più recenti, invece, hanno iniziato ad usare http, https e altre porte che di solito hanno bisogno di essere aperte nei firewall e nei proxy.
• Usando un application layer per protocolli P2P, che può identificare i programmi che usano le porte di solito permesse (come la porta 53 o la porta 80). Anche questo, però, fallisce quando programmi più scaltri usano la crittografia per il traffico che veicolano.
• Usando alcuni intrusion prevention software host based e strumenti di system change auditing, che possono prevenire l'installazione o l'esecuzione di applicazioni P2P assieme ad altro codice indesiderato.
• Tramite alcuni sistemi di Intrusion Detection con funzioni di pattern matching / behavioral, che possono identificare potenziali membri P2P. I pattern osservati includono la frequenza, il timing e la dimensione dei flussi di comunicazione.
• Effettuando delle scansioni della rete e della memoria dei PC alla ricerca dei contenuti normalmente scaricati dagli utenti P2P, ovvero *.mp3, *.wma, *.avi, *.mpg, *.mpeg, *.jpg, *.gif, *.zip, *.torrent, e *.exe.
• Rilevando i cambiamenti nelle performance della rete, che possono indicare picchi dovuti all'uso di P2P o a infezioni causate da malware.
• Alcuni Firewall e prodotti di Intrusion Detection/Prevention combinano diverse tecniche di detection per rilevare o prevenire il traffico P2P in ingresso o in uscita dalla rete.
• Nelle macchine Microsoft Windows è possibile utilizzare SMS per analizzare gli eseguibili installati nelle workstation. Oltre a ciò, gli amministratori dovrebbero limitare i permessi in modo da impedire agli utenti di installare i software P2P sulle loro postazioni.
• I sistemi compromessi che hanno dei malware installato via file sharing P2P mostreranno gli stessi sintomi rilevati quando sono vittime di malware diffuso con altri metodi.

A2.4 Come proteggersi dalle vulnerabilità che derivano dai software P2P

• Agli utenti standard non dovrebbe essere consentita l'istallazione di software. Limitate i privilegi di Amministratore e Power User al personale di supporto per le loro funzioni tecniche. Se un utente ha bisogno di privilegi di Amministratore o Power User, creategli anche un diverso account da utilizzarsi per il normale lavoro di ufficio, per la navigazione web e la comunicazione on-line.
• Usate strumenti come DropMyRights di Microsoft per rendere sicuri i browser web e i client mail.
• In ambienti Active Directory è possibile usare le Software Restriction Group Policies per bloccare l'esecuzione di tipi noti di file binari.
• Sensibilizzate gli utenti riguardo le reti P2P, sottolineando i pericoli del file sharing e illustrando le politiche aziendali in proposito.
• Abilitate i filtri in uscita per limitare tutte le porte non necessarie alle attività aziendali, ma considerate il fatto che molte applicazioni P2P si stanno spostando verso l'http e la crittografia, rendendo meno efficace questa misura.
• Monitorate i log del firewall e degli IDS.
• Per ridurre le infezioni da malware che possono essere diffuse da numerose applicazioni P2P, usate prodotti antispyware e antivirus in tutta l'azienda e assicuratevi che siano aggiornati quotidianamente.
• Usate firewall sugli host oltre ai firewall perimetrali. Windows XP e Windows 2003 includono il Windows firewall che fornisce, se adeguatamente configurato, una buona protezione. Molti firewall host based di terze parti (ZoneAlarm, Sygate, Outpost) offrono ulteriori funzionalità e flessibilità. I sistemi Windows 2000, XP e 2003 possono utilizzare anche le policy IPSec, che forniscono una funzione di filtro delle porte rispetto al traffico non necessario sulle VPN. In ambienti Active Directory, le policy IPSec e la configurazione di Windows Firewall (per Windows XP SP2 e Windows 2003 SP1) possono essere gestite in maniera centralizzata tramite le Group Policy.
• Disabilitate la funzione Condivisione file semplice (Simple File Sharing) in Windows XP se non assolutamente necessaria [Start -Impostazioni -Pannello di controllo -Opzioni Cartella - Visualizzazione -Deselezionate l'impostazione Condivisione file semplice - Applica - OK. ]
• Monitorate i sistemi alla ricerca di eseguibili non conosciuti e modifiche non autorizzate dei file di sistema. Si può utilizzare prodotti software come Tripwire o AIDE (c'è una versione commerciale e una open source) per verificare i cambiamenti nei file.
• Le condivisioni basate su Samba possono essere configurate per eseguire dei filtri sull'apertura o sul salvataggio dei file. Un filetype detector e un sistema di avvisi possono essere utili per prevenire l'abuso delle condivisioni.

A2.5 Approfondimenti

Voce Peer-to-peer di Wikipedia
http://en.wikipedia.org/wiki/Peer-to-peer
http://it.wikipedia.org/wiki/Peer-to-peer

Worm Storm
http://www.secureworks.com/research/threats/view.html?threat=storm-worm
http://en.wikipedia.org/wiki/Storm_botnet

Sito sul Cybercrime del Dipartimento di Giustizia USA:
http://www.usdoj.gov/criminal/cybercrime

Altri fornitori di software che possono essere coinvolti in problemi legali legati al diritto d'autore
http://www.usdoj.gov/criminal/cybercrime/2006IPTFProgressReport(6-19-06).pdf

Una iniziativa didattica dell'FBI
http://www.fbi.gov/cyberinvest/cyberedletter.htm

The Information Factories
http://www.wired.com/wired/archive/14.10/cloudware_pr.html

Mobile Service Clouds: A Self-managing Infrastructure for Autonomic Mobile Computing Services
http://www.cse.msu.edu/~farshad/publications/conferences/samimi06msc.pdf

Cyber Security Tip ST05-007 -Rischi della tecnologia per il File-Sharing
http://www.us-cert.gov/cas/tips/ST05-007.html

Rischi del File Sharing P2P (Presentazione)
http://www.ftc.gov/bcp/workshops/filesharing/presentations/hale.pdf

Protezione di Windows XP Professional in un ambiente di rete peer-to-peer
http://www.microsoft.com/italy/technet/security/smallbusiness/prodtech/windowsxp/sec_winxp_pro_p2p.mspx

Identificare gli utenti P2P con l'analisi del traffico -Yiming Gong -2005-07-21
http://www.securityfocus.com/infocus/1843

Bot software looks to improve peerage
http://www.securityfocus.com/news/11390

Fermare i bot
http://www.securityfocus.com/columnists/398/1

Blocco di specifici protocolli di rete e porte utilizzando IPSec (MS KB articolo 813878)
http://support.microsoft.com/kb/813878

Utilizzo delle Software Restriction Policy per proteggersi dal software non autorizzato
http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/rstrplcy.mspx

Disponibilità e la descrizione dello strumento Reporter Porta (MS KB articolo 837243)
http://support.microsoft.com/kb/837243

Nuove funzionalità e funzionalità in PortQry versione 2.0 (MS KB articolo 832919)
http://support.microsoft.com/default.aspx?kbid=832919

Log Parser 2.2
http://www.microsoft.com/technet/scriptcenter/tools/logparser/default.mspx

Browsing the Web and Reading E-mail Safely as an Administrator (DropMyRights)
http://msdn2.microsoft.com/en-us/library/ms972827.aspx

Amazon Cloud Computing goes beta
http://www.amazon.com/gp/browse.html?node=201590011

Checkpoint Application Intelligence
http://www.checkpoint.com/products/downloads/applicationintelligence_whitepaper.pdf

Ricerca sul sito Microsoft riguardo il peer-to-peer
http://search.msdn.microsoft.com/search/default.aspx?siteId=0&tab=0&query=peer-to-peer

Vulnerabilità dei sistemi di Instant-Messaging e P2P-per il settore sanitario
http://ezinearticles.com/?Instant-Messaging-and-P2P-Vulnerabilities-for-Health-Organizations&id=232800

Scovare e capire i Rootkit
http://www.buanzo.com.ar/sec/Rootkits.html

Application Layer Packet Classifier for Linux
http://l7-filter.sourceforge.net/