The security watchmaker

20 Ottobre 2011

Limitation and Control of Network Ports, Protocols, and Services

Observing never ending port scans against my systems was one reason I started DShield.org back in 2000. Still today, DShield shows that these scans continue to happen today. It is the goal of a port scan to find vulnerable services. Later, the attacker will use this recognizance to exploit these services.

In order to protect yourself, two basic measures need to be taken:

1 - limit listening services.

As part of your standard configuration, you should turn off all unneeded services. A service that is not running can not be attacked. Of course, you will also need to monitor any changes to this standard configuration. The control of listening services should not stop at controlling services commonly installed on the particular host, but the control should include rogue services as well.

Here are a few ideas to review listening services on hosts:

review the output of "netstat" regularly. Netstat will show any listening services. Of course, in the case of rogue services, an attacker may use root kits to mask these services from tools like netstat.
review ephemeral port usage. If a port is used by a listening service, it can not be used as an ephemeral portal for outbound connections. You will see a "gap" if you plot all used ephemeral ports on a system.
regular port scans. Periodically scan your systems for listening ports. However, be aware that an attack may have masked the use of the port and will only respond to requests from a particular source
Network monitoring: Tools like "pads" are able to detect new services on a network passively. This may enable you to detect hidden services as soon as the attacker connects to them.

2 - applying firewall rules.

Back in 2000, firewalls were a lot less common then they are today. Today, systems arrive with host based firewalls. Many times, the firewall is already enabled to block all inbound traffic by default. In addition to host based firewalls, a well designed network should include network firewalls and take advantage of capabilities in devices like switches to further limit network traffic.

ISC Diary

18 Marzo 2011

Man in the middle

Tecniche di attacco “MITM” riguardanti attacchi di tipo Locale , da Locale a Remoto Remoti e in particolare vengono trattati i seguenti argomenti:

LOCALE: arp poisoning, dns spoofing

DA LOCALE A REMOTO: arp poisoning, dns spoofing, dhcp spoofing, icmp redirection, route mangling

REMOTO: dns poisoning, traffic tunneling, route mangling

04 Marzo 2011

Guida Sicurezza wireless

Le reti Wireless sono molto meno sicure delle reti cablate (dette wired). Se in una rete cablata il segnale viaggia lungo i cavi fisici posizionati nella nostra abitazione, nel caso di reti senza filo il segnale viaggia nello spazio aperto e può essere così facilmente intercettato da chiunque si trovi in prossimità della fonte del segnale. È un po' come la radio che ascoltiamo in automobile: basta accenderla per agganciare le comunicazioni che transitano sulla frequenza scelta.

Se una rete senza fili collegata ad Internet viene "agganciata" da una persona non autorizzata, i problemi non nascono solo dall'uso che potrebbe fare della connessione rubata. È possibile infatti intercettare l'intero traffico che transita su questa rete e sottrarre, nel caso non fossero protette da connessioni sicure e crittografate, password e dati personali. Si potrebbero leggere le e-mail inviate attraverso gli altri computer connessi alla rete, si potrebbero individuare i siti navigati e qualsiasi attività svolta dalle persone che condividono lo stesso accesso.

04 Marzo 2011

Sicurezza informatica: hard disk a prova di spia con Sencrypt

Quando si parla di sicurezza informatica la prudenza non è mai troppa! Tutte le volte che si rende necessario inviare informazioni, utilizzando i diversi servizi Internet, sarebbe opportuno utilizzare appositi strumenti che garantiscano la privacy della comunicazione anche se questa fosse intercettata durante il tragitto. In particolare si tratta di applicazioni che si occupano del processo di crittografia, ovvero le informazioni vengono codificate per risultare illeggibili ad occhi indiscreti di cybercriminali senza scrupoli.

03 Marzo 2011

Sicurezza informatica

Con il termine sicurezza informatica si intende quel ramo dell’informatica che si occupa delle misure (di carattere organizzativo e tecnologico) tese ad assicurare a ciascun utente autorizzato tutti e soli i servizi previsti per quell’utente, nei tempi e nelle modalità previste. Il raggiungimento della disponibilità dipende da diversi fattori che interferiscono tra utente e sistema, quali: robustezza del software di base e applicativo, affidabilità delle apparecchiature e degli ambienti in cui essi sono collocati.
Il sistema informatico deve essere in grado di impedire l’alterazione diretta o indiretta delle informazioni, sia da parte di utenti non autorizzati, sia da eventi accidentali; inoltre deve impedire l'accesso abusivo ai dati.
“In generale non è buona norma assumere che le contromisure adottate in un sistema siano sufficienti a scongiurare qualsiasi attacco".