La maggior parte dei sicuristi informatici utilizza dei particolari software chiamati honeypot per catturare campioni di malware o per assistere in tutta sicurezza a violazioni controllate del sistema, letteralmente un vasetto del miele per i cybercriminali. Esiste però una modalità più rischiosa per analizzare gli attacchi informatici, essa consiste nel predisporre un server volutamente reso vulnerabile ed attendere che gli attaccanti facciano il loro passo. Come vedrete nel post che segue basteranno poche ore affinchè un server vulnerabile venga compromesso e piegato alla mercè dei blackhat.
8 Giugno
Viene predisposto un server sul quale vengono approntate delle installazioni vulnerabili di osCommerce, Joomla ed E107. Questi tre applicativi vengono installati su tre differenti sottodomini ed ogni versione è stata volutamente resa vulnerabile eseguendo un setup di release insicure e datate.
Regola numero 1: no alle versioni antiquate dei CMS. Numerosissimi siti web vengono violati a causa della pigrizia negli aggiornamenti vitali delle applicazioni.
8 Giugno, tarda serata
Il server viene dotato di un sistema di rilevamento delle intrusioni attivo ma reso sterile. Il software invierà solamente dei report di ciò che accade sulla macchina ma senza eseguire azioni di contrasto verso l’attaccante.
Regola numero 2: un sistema di sicurezza è inutile senza le necessarie skill per utilizzarlo nel migliore dei modi.
8 Giugno, notte
Il sistema di rilevamento delle intrusioni ha buon gioco nel segnalare i primi bruteforce provenienti da numerosi ip. I bruteforce prendono di mira account di sistema comuni come admin, backup, www, user, root. Per facilitare ancora di più la vita agli aggressori creiamo sul sistema un utente di nome guest con password test.
Regola numero 3: no alle password deboli!No agli account di sistema inattivi.
8 Giugno, ore 04:00
Uno dei siti web presenti sul server ed in particolare l’installazione di osCommerce viene colpita dall’upload di una shell PHP. Un gruppo di hacker indonesiani prende il controllo del sito web ed utilizza lo script PHP malevolo per distruggere, alterare file e analizzare il sistema nel dettaglio (processi in esecuzione, dump dei database ecc).
Regola numero 4: si alle scansioni periodiche del sistema volte all’individuazione di elementi estranei come perl bot e shell php.
9 Giugno, ore 12:00
La strategia della finzione ha avuto successo, un intruso guadagna accesso al sistema proprio attraverso l’account guest che avevamo dotato di una password sorprendentemente debole.
9 Giugno, ore 12:15
L’attaccante utilizza un exploit per guadagnare i privilegi di root sul server o semplicemente riesce ad indovinare la password del superutente e successivamente crea un nuovo account che utilizzerà per i suoi scopi illeciti. Il sistema di rilevamento segnala l’esecuzione del comando useradd :
useradd[11303]: new user: name=notice, home=/tmp, shell=/bin/bash
A questo punto l’attaccante ha già avuto il pieno controllo del sistema e può piegare il server al suo volere.
9 Giugno, ore 13:00
L’attaccante esegue con successo l’upload di alcuni scanner di vulnerabilità creati da un team di blackhat rumeni. Questi strumenti serviranno per scovare nuovi server vulnerabili e successivamente violarli per creare una rete di macchine compromesse e piegate al volere dell’attaccante. Nel momento stesso in cui l’intruso prepara l’avvio degli scanner il server viene spento e formattato ponendo fine alle scorribande del cybercriminale.
