|
|
|
06 aprile 2006 |
|
Internet - Chattare in IRC in tutta sicurezza |
La natura di Internet e di IRC, che ne è parte, è essenzialmente anarchica.
Lo spazio virtualmente infinito offerto da Internet (che è un mezzo di
comunicazione molto sofisticato) vanifica qualsiasi desiderio di appropriarsi
dello spazio altrui.
Perchè si dovrebbe mai lottare per uno spazio, quando lo
spazio è infinito? Eppure accade, esistono persone che sono oppresse dal
desiderio di possesso, di qualunque cosa sia numerabile, siano queste le
chioccioline @ dell'op, sia un certo numero di bot, sia la quantità di persone
che si fanno influenzare dalle loro parole; questa patologia si chiama smania
di potere (in questo caso potere sul nulla) ed è tutto quello che si dovrebbe
evitare.
Il vero problema su irc è che il proprio che l’indirizzo ip è ben visibile a tutti.
Effettuando un semplice /whois nick appaiono sullo status le informazioni
***format is T34M@server.com
***format on @#sthg
***format using irc.tin.it
relative all'user.
Nella prima riga è ben visibile l'host con cui format si sta connettendo all'
IRCSERVER --> server.com
E' quindi facile girando per i canali (soprattutto in quelli affollati) che il nostro
indirizzo venga preso di mira dagli altri frequentatori.
Ecco allora il motivo per cui su IRC non si può star tranquilli come quando
navighiamo sul web...soprattutto se siamo operatori (@) in quel momento nel canale
è facile subire attacchi alla nostra macchina.
Gli attacchi D.o.S più frequenti su IRC sono:
bonk
land
teardrop
click
ssping
WinNuke
ICMP Flood
smurf
ping pattern
SYN flood
Bloop (flushot)
Igmp (pimp/kod)
Alcuni di questi non sono più usati, perchè bastano pochi accorgimenti per non
essere più affetti.
Vediamone qualcuno in particolare.
BONK
Sono affetti dal BONK sistemi WIN95/NT
Il bonk ha come sintomo il blue Screen
Il bonk può essere generato solo da macchine *nix e per prevenirlo basta
aggiornare il proprio win95 con le winsock2.2
LAND
Sono affetti dal LAND sistemi win31/95/NT etc
Il land ha come sintomo il blocco completo del PC.
Invia un pacchetto con gli stessi indirizzi di sorgente e destinazione
ad una porta causando il blocco del sistema
Il land può essere generato solo da macchine *nix e per prevenirlo basta
aggiornare il proprio win95 con le winsock2.2
TEARDROP
Sono affetti dal TEARDROP sistemi win 3.1/95/NT, Linux precedenti a 2.0.32 o 2.1.63
Il teardrop ha come sintomi il blocco/riavvio immediato del sistema.
Invia un pacchetto IP frammentato in modo non corretto. Lo stack TCP/IP
va in crash tentando di riassemblarlo.
Il land può essere generato solo da macchine *nix e win95 non è ancor del tutto
immune nonostante la possibilità di aggiornarsi al winsock2.2 per la presenza
di attacchi con delle caratteristiche differenti dal teardrop originario.
Bloop (flushot)
Win95/98 NT
Invia pacchetti ICMP spoofati casualmente provocando il blocco del sistema.
Questo attacco può essere generato sola da macchine *nix e l'unico rimedio
sta nell'attivare un firewall software per filtrare gli ICMP.
IGMP
Consiste in un flood di pacchetti igmp e windows (95/NT/98!!) non riesce a gestire
al meglio questo protocollo.Il risultato è il blue screen con necessità di riavvio
del sistema.
L'attacco può essere generato solo da macchine *nix.
Il D.o.S è relativamente recente (aprile 99) ed io personalmente non conosco
la presenza di patch per il windows98 ma un firewall ben configurato mette al sicuro
la macchina da questo tipo di attacco.
Se avete letto bene questi sono i possibili attacchi che più frequentemente
potete subire mentre IRCATE.
Ecco qualche soluzione sul come difenderci quando chattiamo con irc:
Se Avete Windows 98:
Windows è affetto da attacchi del tipo click e ping pattern ed igmp.
Installando un firewall si riescono a prevenire anche questi.
Nulla si può fare contro attacchi di flood icmp e smurf.
mIRC non è altro che un client per IRC.
Oltre ai pericoli derivanti da IRC per fortuna mIRC
non ne aggiunge di molti.
Il client senza uso di script è di per sè sicuro..nelle peggior delle
ipotesi sono stati trovati bug che crashavano il solo client senza pericolo
per il resto del sistema.
Delle versioni più recenti ricordiamo:
Il mIRC 5.3* ha l'ident server Bugnato: è appunto sufficiente un SYN flood alla
porta 53 per provocare il crash del client. (nel caso in cui è attivo l'identd).
Il mIRC 5.4 invece presenta un bug che provoca la chiusura del client attraverso un
determinato DCC.
Tutte le versioni precedenti alla 5.51 inoltre presentano un grave difetto di
sicurezza per la gestione dei DCC SERVER
(l'exploit permette di inviare file in qualsiasi cartella dell'unità dove è installato
mIRC e suddetto file può anche apparire come "sexx.jpg" in verità è
"\..\..\..\WINDOWS\Menu avvio\Esecuzione automatica\troian.exe" )
Un consiglio ?
Il mIRC 5.51 per ora si presenta il migliore.
Veniamo ora alla note dolente: L'uso di SCRIPT per mIRC!
Lo script per mIRC è sempre stata la sede di backdoor e considerando anche i
file .exe allegati, di trojani e virus.
Non usate script se non capite il suo codice..o almeno dopo essersi fatti consigliare
da chi di codice ne capisce.
E' questo il motivo per cui se dovete usare uno script usate uno script che sia
stato almeno testato e controllato da gente competente.
Prima di usare programmi nukers inclusi è sempre bene effettuare una scansione con
un antivirus AGGIORNATO.
Poche linee di codice "cattivo" all'interno di uno script possono rendere il vostro
sistema completamente vulnerabile (rischio di formattazione di c) e la vostra
privacy completamente a rischio (lettura query e messaggi privati).
Per questo motivo MAI accettare da sconosciuti e anche da pseudo amici Script
o semplici file.ini.
Insomma prima di caricare qualcosa nel remote del mIRC pensateci 10 volte.
La soluzione "ottimale" per andare su irc correndo il minimo dei rischi è quello
di poter nascondere il proprio IP
Con questa logica nasce in alcuni server non ircnet il mode +x che permette di nascondere agli altri user (eccetto ircop) il proprio ip.
In pratica
***format is T34M@server.com
diventa
***format is T34M@***.com
Quali sono questi server?!?
Bene in Italia cè AZZURRA NET...collegatevi ad irc.azzurra.it 6667 per maggiori informazioni.
Il problema di questi server è la loro limitatissima banda, quindi succede che spesso
invece di effettuare attacchi ai singoli user si vada a colpire l'intero server, la chat
diventa impraticabile ed infatti non sono mai affollati.
Su IRCnet per fortuna ci sono altre soluzioni.
La prima fra queste è il sockarsi.
E' possibile infatti configurare il proprio IRC client (mIRC in questo esempio)
alla voce options-setup-firewall in modo da usare un socks server come relay su irc
in questo modo sarà quindi possibile chattare collegandosi attraverso il socks e
naturalmente apparirà nella chat come proprio ip quello del socks server.
In questo modo tutti gli attacchi rivolti a voi andranno verso il socks server
(macchine *nix e solo per questo più stabili in rete) anche se il 90% di socks
è dotata di banda talmente ridicola da non opporre alcuna resistenza a flood tipo
smurf...vi scollegherete ugualmente da irc ma almeno la vostra connessione internet
rimarrà "salva".
Usare socks "aperte al pubblico" non è permesso su tutti i server IRC...alcuni server
prima di permettere il collegamento del client verificano lo stato della porta
1080tcp per impedire in caso affermativo la connessione (il socks server infatti
è in ascolto sulla 1080) Trovare Socks aperte al pubblico non è difficile,
ci sono in circolazione scripts per mIRC con questa funzionalità , non fanno altro
infatti che scannare i canali alla ricerca di porte 1080 in ascolto.
Se il vostro sistema operativo è Linux…
Le ultime versioni del kernel sono ancora esenti da particolari D.o.S
Per Linux il vero problema è la configurazione dei singoli servizi.
Comunque mi pare essenziale per un uso non da SERVER effettuare questa
configurazione:
/etc/securetty
Commentare tutte le linee aggiungendo come primo carattere # differenti da
#/etc/securetty
tty1
tty2
tty3
tty4
tty5
tty6
tty7
tty8
In questo modo sarà impossibile collegarsi da root da connessioni seriali e
parallele.
Inoltre per impedire a chiunque di far un uso remoto dei servizi e quindi
renderli disponibili solo da locale editare in questo modo:
/etc/hosts.allow
#/etc/hosts.allow
ALL: LOCAL:
e:
/etc/hosts.deny
#/etc/hosts.deny
ALL: ALL
Ancora andare nel file /etc/inetd.conf
e commentare i servizi che non vogliamo eseguire.
Spero che questo articolo vi sia utile per le vostre piacevoli ore di Chat. |
posted
by Ellis Bosisio @ 10:34 PM
 |
|
|
|
|
Incontri Amicizia su Viziato.it
Tag Claud
|
Google Pack
Picasa 
Google Desktop
Norton Security Scan
Skype 
Spy Doctor 
