Se è vero che la pratica “security through obscurity” non è la panacea di tutti i mali è anche vero che gli amministratori di sistema più incauti sono soliti sorvolare su alcune delle configurazioni più elementari che possono garantire una prima istanza di sicurezza del web server. Stiamo parlando dei tokens di Apache.
Apache nasce di default con una configurazione che espone alcuni dei dettagli più importanti che possono essere sfruttati dai malintenzionati nella fase di information gathering. Un server web equipaggiato con Apache, senza hardening può mostrare un banner molto eloquente :
Apache/2.2.9 (Debian) DAV/2 SVN/1.5.1 PHP/5.2.6-1+lenny9 with Suhosin-Patch mod_ruby/1.2.6 Ruby/1.8.7(2008-08-11) mod_ssl/2.2.9 OpenSSL/0.9.8g Server at ** Port 80
L’esposizione di queste informazioni viene controllata attraverso le direttive ServerTokens e ServerSignature, contenute nel file di configurazione di Apache.
Una corretta configurazione delle due opzioni prevede i seguenti valori :
ServerTokens Prod
ServerSignature Off
che permettono di oscurare completamente le informazioni più intime circa la configurazione del web server rendendo difficile la vita ad eventuali attacchi automatizzati basati sul grabbing dei banner.
