UPDATE 10 Marzo 2011. A distanza di qualche mese dall’accaduto che abbiamo descritto in questo post riceviamo un contatto da parte dell’amministratore di sistema responsabile per i server del CNR di Rende (CS). Come richiesto abbiamo avuto la gentilezza di oscurare indirizzo ip e nome host del server da cui è partito il bruteforce. Comprendiamo l’irritazione del sistemista che si ritrova a leggere in rete circa il fatto che un server sotto il suo controllo venga (probabilmente) violato ed utilizzato per un bruteforce ma riteniamo ugualmente importante segnalare incidenti di questo tipo affinchè si possa informare l’utenza che un determinato ip potrebbe essere sorgente di attività malevole, seppure sottolineamo involontarie. Crediamo inoltre nella collaborazione e nel confronto, con segnalazioni, ricerche e scambi di materiale post-mortem proveniente da macchine violate, affinchè con analisi forensi si possa rintracciare ed analizzare le cause dell’accaduto.
12 Dicembre 2010.Il titolo del post è abbastanza provocatorio ma lo vogliamo utilizzare per richiamare l’attenzione su una questione molto spinosa. La sicurezza dei sistemi informatici delle pubbliche amministrazioni e dei centri di ricerca e/o universitari.
In questo preciso istante il nostro staff sta rilevando tentativi di intrusione ai danni di alcuni server dei nostri clienti, attacchi provenienti niente di meno che da una delle macchine del Cnr.
Cronaca di un attacco
Con un semplice sistema di rilevamento delle intrusioni installato su ogni server da monitorare è molto facile ritrovarsi davanti a porzioni di log come questa :
Dec 12 18:06:38 icaro vsftpd: pam_unix(vsftpd:auth): authentication failure; logname= uid=0 euid=0 tty=ftp ruser=Administrator rhost=**oscurato** Dec 12 18:06:37 icaro vsftpd: pam_unix(vsftpd:auth): authentication failure; logname= uid=0 euid=0 tty=ftp ruser=Administrator rhost=**oscurato** Dec 12 18:06:35 icaro vsftpd: pam_unix(vsftpd:auth): authentication failure; logname= uid=0 euid=0 tty=ftp ruser=Administrator rhost=**oscurato** Dec 12 18:06:34 icaro vsftpd: pam_unix(vsftpd:auth): authentication failure; logname= uid=0 euid=0 tty=ftp ruser=Administrator rhost=**oscurato**
Si tratta di un tentativo di brute force ai danni del demone ftp. Questo tipo di attacchi possono estendersi a tutti i servizi di sistema coinvolgendo l’autenticazione smtp, aree protette di un sito web e quant’altro.
Come investigare e difendersi
Molto spesso i log di sistema registrano questi tentativi di intrusione memorizzando l’hostname dell’attaccante. Anche se l’hostname **oscurato** è abbastanza intuitivo e ci permette di risalire facilmente al parco macchine del Cnr, è possibile ricavare l’ip dell’attaccante con nslookup :
# nslookup **oscurato** nslookup **oscurato** Non-authoritative answer: Name: **oscurato** Address: **oscurato**
A scanso di equivoci è possibile inoltre risalire alla provenienza geografica dell’ip con geoip :
# geoiplookup **oscurato** GeoIP Country Edition: IT, Italy
Dopo aver raccolto questo tipo di informazioni è possibile :
- bloccare l’indirizzo ip di provenienza dell’attacco
- segnalare l’accaduto agli amministratori del server origine dell’attacco
- segnalare ad una blacklist l’indirizzo ip
Iptables consente di bloccare immediatamente un indirizzo ip indesiderato :
# iptables -I INPUT -s **oscurato** -j DROP
Meno facile è la procedura di segnalazione dell’anomalia allo staff responsabile. Molto spesso i parchi server di un certo numero vengono lasciati al loro destino, completamente incustoditi e poco gestiti. [NOTA: con questa frase non abbiamo voluto in alcun modo denigrare il lavoro dello staff amministrativo del CNR ma sensibilizzare l'attenzione circa il fatto che numerosi provider e fornitori di server ed hosting non badino alle segnalazioni di abuso così come alcune delle più grandi organizzazioni informatiche].
Buona norma è comunque inviare una nota via email al personale responsabile della gestione di eventuali server compromessi, avvalendosi dei contatti contenuti nei siti web dell’organizzazione.
Una procedura più efficace è invece quella di segnalare l’indirizzo ip ad un meccanismo di blacklist che contribuirà a informare chi fa uso della blacklist stessa che l’indirizzo ip segnalato è da considerarsi malevolo e sorgente di minacce o possibili attacchi
