Category Archives: Sistemista

Loggly, il logging centralizzato nella cloud

Posted on by
Reply

Il panorama informatico è abbastanza saturo ma l’applicazione del paradigma cloud su concetti e tecnologie già esistenti può ridare nuova luce a qualsiasi cosa. Il segreto risiede nella velocità con cui un team di sviluppo fiuta un’idea e la rivitalizza con un “pizzico di cloud”. E’ esattamente quello che hanno fatto i ragazzi di Loggly. Il logging as a Service è un’idea rivoluzionaria. Abbiamo provato Loggly per voi e ne è venuto fuori il post che state per leggere… Continue reading

Post simili:

Analisi di un attacco coordinato

Posted on by
Reply

Nei giorni scorsi abbiamo osservato un attacco coordinato verso il server dedicato di uno dei nostri clienti. Il server ospita numerosi siti web. Questo tipo di eventi non desta generalmente nessuna sorpresa considerato che i tentativi di intrusione sul parco server rilevati e bloccati si registrano quasi giornalmente. L’evento registrato nello specifico però offre alcuni punti di riflessione per l’analisi e lo studio delle attività maligne in rete.

La tipologia di attacco rilevato su questa singola macchina ha mostrato una preponderanza di port scanning indirizzati verso uno specifico range di porte. Molto spesso si assiste a questo tipo di comportamento nel momento in cui l’attaccante è alla ricerca di una specifica vulnerabilità.

Per facilitare la schematizzazione abbiamo proposto una semplice tabella che riporta nazionalità della sorgente d’attacco, porta sorgente e porta di destinazione. Il dato relativo alla porta sorgente è spesso poco indicativo in quanto le connessioni da un host verso l’esterno possono essere generate su un range di porte molto ampio. Altrettanto spesso però analizzando le sorgenti di uscita è possibile individuare comportamenti tipici di alcuni worm e bot che utilizzano un determinato intervallo di porte per generare il traffico verso l’esterno.

[table id=2 /]

Il dato più evidente ricavabile dalla tabella è il numero di scanning indirizzati verso il range di porte 21100 – 21900, un dato che mostra come l’attacco sia :

  • l’azione coordinata di una o più botnet, che si evince dalla distribuzione geografica delle sorgenti di attacco
  • l’azione coordinata di una o più botnet che ha come obiettivo l’exploiting di una vulnerabilità attiva sul range di porte indicato

Questo tipo di attacchi possono essere facilmente rilevati con un firewall software proattivo (ampiamente utilizzati sui server dei nostri clienti) e bloccati abbastanza velocemente. La generazione di allerte relative alle anomalie riscontrate consente di effettuare una successiva analisi come quella presentata in questo post.

Gran parte dei port scanning che rileviamo giornalmente è diretto verso le più comuni porte dedicate ai proxy come la 3128, la 8080 o la 8880. Il range di porte rilevato in questo attacco è invece abbastanza inusuale e lascia intuire come i bot, con lo scanning sul range 21100 – 21900 fossero alla ricerca di una vulnerabilità particolare che può essere molto spesso un exploit oday.

mappa attacco Analisi di un attacco coordinato1.1 La mappa mostra la distribuzione geografica dell’attacco

Analizzando inoltre i dati relativi ai nomi host dei bot coinvolti nello scanning e considerando che molto spesso le scansioni non possono essere spoofate, abbiamo rilevato come la maggioranza delle macchine sia allocata presso fornitori di connettività Adsl residenziali.

Post simili:

Per fare il sistemista

Posted on by
Reply

Il grande vantaggio apportato dalla diffusione di Linux al pubblico è stato quello di preparare l’utenza ad una certa apertura mentale nei confronti del software libero e dei sistemi operativi alternativi. Di contro,uno degli svantaggi più palesi è stato quello di avvicinare un pubblico poco preparato tecnicamente ad una disciplina molto rigorosa come quella dell’amministratore di sistema.

Facciamo chiarezza. Non è vero che per diventare amministratore di sistema è sufficiente :

- qualche mese di studio

- una conoscenza base dei sistemi desktop

- i tutorial letti qua e la

- saper digitare ps ax sulla shell

Gli howto ed i tutorial contribuiscono a diffondere un falso senso di conoscenza della materia. Un tutorial può guidare l’utente nell’installazione di un web server casalingo ma non può sostituire le competenze e l’esperienza necessaria per il setup di un server destinato ad un utilizzo online.

Il percorso di un sistemista è composto da grande abnegazione unita ad anni di esperienza sul campo e letture tecniche assidue e mirate.

E’ importante ricordare come un sistema mal gestito possa diventare in breve tempo :

- un open relay, ovvero un server di posta liberamente accessibile dall’esterno senza autenticazione. Un open relay diventa sorgente di spam.

- una fonte di attacco verso ulteriori server. Un server gestito malamente ha altissime probabilità di essere violato. L’attaccante potrà successivamente utilizzare la nostra stessa macchina per rivolgere attacchi contro altre vittime.

Anche la grande disponibilità di tool relativi all’amministrazione di sistema ha diffuso un falso senso di “potenza” nelle mani dell’utente comune. La differenza risiede ancora una volta nell’operare su sistemi casalinghi e non destinati ad obiettivi mission critical, cosa che possono fare tutti, e nell’operare su sistemi connessi in rete,oggetto di continue minacce alla produttività ed all’uptime.Ed a difenderci da queste minacce possono esserci solo dei professionisti.

La favolosa immagine del post è stata presa in prestito da thedude.com.

Post simili: