Esempi e descrizioni di vulnerabilità largamente diffuse
Il sistema operativo Microsoft Windows, l’OS in assoluto più diffuso, al giorno d’oggi, sui computer che si connettono ad Internet, contiene molteplici vulnerabilità critiche. Gli hacker, nella maggior parte dei casi, sfruttano le vulnerabilità individuate in IIS, MS SQL e Internet Explorer, così come nei sistemi di elaborazione dei file e nei servizi adibiti al message processing nell’ambito dello stesso sistema operativo.
La vulnerabilità rilevata in IIS, descritta in dettaglio nel Microsoft Security Bulletin MS01-033, rappresenta indubbiamente una delle vulnerabilità di Windows utilizzate più di frequente. Nel corso degli ultimi anni è stato creato un gran numero di worm di rete in grado di sfruttare tale vulnerabilità; tra di essi, uno dei più noti è di sicuro CodeRed. CodeRed è stato rilevato, per la prima volta, il 17 luglio del 2001; secondo alcune stime, tale worm ha complessivamente infettato circa 300.000 computer, impedendo, di fatto, ad una moltitudine di imprese, di condurre le normali attività di business; in tal modo, esso ha causato considerevoli danni finanziari ad un elevato numero di società, ubicate in vari paesi. Nonostante Microsoft abbia rilasciato, assieme al Security Bulletin MS01-033, un’apposita patch destinata a chiudere la vulnerabilità utilizzata dal suddetto worm di rete, alcune versioni di CodeRed continuano tuttora a diffondersi attraverso Internet.
Il worm di rete Spida, individuato quasi un anno dopo la comparsa di CodeRed, utilizzava, per la propria diffusione, un’exposure in MS SQL. Alcune installazioni standard del server MS SQL, in effetti, non proteggevano tramite apposita password l’account di sistema “SA”, permettendo così a chiunque avesse accesso al sistema attraverso la rete di eseguire comandi arbitrari all’interno dello stesso. Utilizzando tale esposizione, il worm configura l’account “Guest” in maniera tale da ottenere il pieno accesso ai file custoditi nel computer; in seguito, esso provvede all’upload di se stesso sul server da infettare.
Il worm di rete Slammer, rilevato alla fine del mese di gennaio 2003, si avvaleva di un metodo ancor più semplice per generare l’infezione informatica sui computer provvisti di sistema operativo Windows e relativo server MS SQL; si trattava, nella fattispecie, dello sfruttamento di una vulnerabilità a livello di buffer overflow in una delle subroutine di elaborazione dei pacchetti UDP. Nonostante il worm risultasse di dimensioni relativamente limitate – 376 byte in tutto – ed utilizzasse il protocollo di comunicazione UDP, preposto alla rapida trasmissione di piccoli volumi di dati, Slammer riusciva ugualmente a diffondersi ad una velocità incredibile. Secondo alcune stime, il worm Slammer ha infettato all’incirca 75.000 computer in tutto il mondo nei primi 15 minuti in cui si è sviluppata l’epidemia informatica in questione.
I tre noti worm di rete qui sopra menzionati si basavano sullo sfruttamento di vulnerabilità ed esposizioni individuate in programmi eseguiti in varie versioni di Microsoft Windows, mentre il worm Lovesan, rilevato l’ 11 agosto del 2003, utilizzava, per diffondersi, una vulnerabilità ben più pericolosa, a livello di buffer overflow, in uno dei principali componenti dello stesso Windows. Tale vulnerabilità è stata dettagliatamente descritta nel Microsoft Security Bulletin MS03-026.
Sasser, comparso per la prima volta nel mese di maggio del 2004, sfruttava un’ulteriore vulnerabilità individuata in un componente del kernel di Windows, ovvero nel servizio denominato Local Security Authority Subsystem Service (LSASS). Le informazioni relative alla suddetta vulnerabilità sono state pubblicate nel Microsoft Security Bulletin MS04-011. Sasser si diffondeva in maniera fulminea; tale worm di rete ha provocato l’infezione di milioni di computer in tutto il mondo, causando enormi perdite finanziarie. Nella circostanza, molte organizzazioni, società ed istituzioni si sono viste costrette a sospendere le loro attività, a causa delle prolungate interruzioni nel funzionamento dei relativi network, causate dal worm.
Tutti i sistemi operativi contengono vulnerabilità ed esposizioni, le quali possono essere prese di mira da hacker e autori di virus, per perseguire i propri scopi.
Inevitabilmente, tutti i sistemi operativi contengono vulnerabilità ed esposizioni, le quali possono essere prese di mira da hacker e virus writer, per perseguire i propri scopi. Sebbene le vulnerabilità individuate in Windows acquisiscano maggiore risalto e notorietà, visto l’enorme numero di computer sui quali è installato tale sistema operativo, occorre rilevare come anche l’OS UNIX presenti i propri punti deboli.
Per anni, nel mondo UNIX, una delle esposizioni più popolari è risultata essere il servizio “finger”. Si tratta, più precisamente, di un servizio che consente agli utenti che si trovano all’esterno di una rete di vedere chi è connesso, in quel preciso momento, a tale network, oppure da quale location gli utenti stanno accedendo al computer, nonché quali risorse di rete vengono utilizzate. Il servizio “finger” è indubbiamente utile, ma, al tempo stesso, può rivelare – o per meglio dire “esporre” – una grande quantità di informazioni che possono essere sfruttate dagli hacker.
Riportiamo, qui di seguito, un esempio di come appaiono i risultati forniti da un report remoto, ottenuto tramite il servizio “finger”:
Login Name Tty Idle Login Time Office Office Phone xenon pts/7 22:34 May 12 16:00 (chrome.chiba) polly pts/3 4d May 8 14:21 cracker DarkHacker pts/6 2d May 10 11:58
La tabella qui sopra inserita evidenzia come, per tutti coloro che sono in grado di utilizzare il server “finger”, risultino disponibili le seguenti informazioni: vi sono tre utenti collegati in rete, ma due di essi sono rimasti inattivi per più di due giorni, mentre il terzo si è allontanato dal proprio computer da circa 22 minuti. I nomi di login mostrati dal servizio “finger” possono essere utilizzati per testare combinazioni di login/password. Di fatto, questo è il metodo più elementare per penetrare all’interno del sistema informatico preso di mira, visto che numerosi utenti scelgono la propria password basandosi esclusivamente sul loro username (aggiungendo, ad esempio, alcune cifre dopo il nome di login).
Il servizio “finger” non solo può rivelare importanti informazioni riguardo al server sul quale esso è ospitato, ma ha anche rappresentato il target di numerosi exploit; uno di essi veniva addirittura utilizzato dal primissimo worm di rete comparso nella storia del malware, creato da Robert Morris e rilasciato il 2 novembre del 1988. Per tale motivo, la maggior parte degli attuali pacchetti di distribuzione dell’OS UNIX viene fornita con il servizio “finger” disabilitato.
Il programma “Sendmail”, originariamente creato da Eric Allman, rappresenta un ulteriore esempio di target particolarmente popolare presso le folte schiere degli hacker. Sendmail è stato appositamente sviluppato per gestire la trasmissione dei messaggi di posta elettronica attraverso Internet. A causa del gran numero di sistemi operativi e relative configurazioni hardware esistenti, Sendmail è progressivamente divenuto un software estremamente complesso, accompagnato da una lunga e ben nota “storia” di vulnerabilità critiche in esso rilevate. Lo stesso worm Morris – citato in precedenza – utilizzava, per diffondersi, un exploit in grado di sfruttare una vulnerabilità individuata nel programma Sendmail, oltre che, come abbiamo visto, una specifica falla di sicurezza presente nel servizio “finger”.
Nel mondo UNIX si incontrano numerose altre vulnerabilità, di frequente utilizzo, rilevate in pacchetti software quali SSH, Apache, WU-FTPD, BIND, IMAP/POP3, così come in varie parti del kernel dell’OS.
Tutte le vulnerabilità e gli incidenti informatici sopra descritti permettono di trarre un’importante conclusione: un worm di rete, o un tool automatizzato impiegato per condurre operazioni di hacking, rappresentano di sicuro una minaccia estremamente grave per la stabilità ed il buon funzionamento complessivo di Internet. Ad esempio, un worm che si diffonde attraverso vulnerabilità individuate nei computer abitualmente connessi alla Rete e provvisti di sistema operativo Windows – vista la capillare diffusione di tale OS – può costituire un potenziale pericolo per alcune centinaia di milioni di utenti.