[security] Sicurezza nei sistemi interni.

[Glauco Ippolitoni]

Bene, visto anche il richiamo all'azione da parte di Roberto, mi permetto di 
lanciare una pietra al centro dello stagno.

Butto giù due idee in ordine sparso, perdonate la confusione mentale che 
dimostro con quanto segue.

Stiamo vivendo un periodo di transizione tra IPv4 e IPv6.

Il secondo presenta alcune novità, sia in merito alla sicurezza che 
all'ottimizzazione di alcuni aspetti per il quale il primo presentava qualche 
"lacuna".

Attualmente non è prevedibile quanto possa durare questo "parallelo", anche 
perchè la base di installato basata su IPv4 è dannatamente alta e frutto di 
ingenti investimenti da parte delle aziende, le quali dubito vorrebbero frullare 
tutto nel più vicino cassonetto al grido di "largo all'innovazione ed alla 
sicurezza!". ;-)

Se qualcuno sta sperimentando migrazioni IPv4-IPv6 ce ne potrebbe parlare.

La lotta contro i malintenzionati sarà quindi ancora a lungo sul campo di 
battaglia del caro, vecchio (e lacunoso) IPv4.

Secondo alcuni esperti, tale battaglia con l'avanzare del "fratello maggiore" 
non andrà a sparire, ma si sposterà di settore: se per la parte infrastrutturale 
si tenderà ad adottare la nuova specifica, per quanto riguarda i sistemi 
embedded si continuerà a basarsi sull'IPv4.

A questo punto si delinea all'orizzonte un futuro nel quale oggetto di attacco 
saranno sempre più telefonini e palmari che non veri server, un futuro nel 
quale, personalmente, vedo come attori pochi veri "guru" (nel bene o nel male, 
veri hacker o professionisti del crimine) con attorno una masnada di 
giovanissimi con scarse competenze, "cracker" che passano il tempo a divertirsi 
a mandare in tilt il nuovissimo frigorifero "WiFi" del malcapitato di turno.

Mi rendo conto che l'immagine tende all'apocalittico, ma non riesco a scrollarmi 
di dosso la sensazione che l'informatica stia sempre più diventando un "prodotto 
da banco" dei supermercati, dove la professionalità e l'esperienza contano 
sempre meno, e la cosa non può certo aiutare a crescere.

Cosa ne pensate?

C'è qualcuno che può farmi ricredere sull'attuale trend del mercato IT italiano?

Come ultimo spunto, ho letto quella che potrebbe essere l'ultima edizione di 
phrack. Una vera perdita per chi ha sete di sapere.

Un articolo mi ha particolarmente colpito. In quest'articolo si descrive una 
tecnica di attacco particolare che spero possa essere di spunto per successive 
discussioni: gli attuali exploit tendono a inettare ed eseguire sulla macchina 
target del codice che lanci una shell in modo da avere un'accesso sul sistema; 
ma se invece che tirare giù ed eseguire del codice che esegue qualcosa in locale 
gli passassimo del codice che si mette in ascolto ed al quale in una seconda 
fase passiamo noi qualcosa di più "sostanzioso" da eseguire?
In questo modo si può ottenere un'accesso anche su sistema chroot-ati 
(tipicamente privi di qualunque shell).
Inoltre lavoreremmo in memoria, lasciando davvero pochissime tracce per 
eventuali analisi "post mortem" dei sistemi.

Beh, per quanto una volta sentita possa sembrare banale, io non ci avevo affatto 
pensato. Diciamo che non brillo certo per il ben dell'intelletto, quindi la cosa 
non deve preoccupare, ma il pensiero di ritrovarmi a dover analizzare un sistema 
che avesse subito un tale tipo di attacco mi ha stuzzicato: da dove comincereste 
voi?

Diciamo che, in un sistema ragionevolmente carrozzato, almeno qualche sonda ci 
sta, quindi un minimo di tracce si dovrebbero recuperare.

Ma sul sistema? Da dove andreste a cercare qualche traccia?

Un saluto a tutti
glauco

-- 
---------------------------
   Glauco Ippolitoni
  <g.ippolitoni a mclink.it>