I pericoli delle condivisioni file sui sistemi Windows

Premessa: Questo documento può essere letto da due angolazioni diverse, quella dell'attaccante e quello dell'amministratore.

Non dimentichiamo i vincoli di legge:
Legge 23 dicembre 1993 n. 547 "Art. 615-ter.
(Accesso abusivo ad un sistema informatico o telematico).

Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.

Trovandosi a gestire una Lan basata su filosofia Microsoft (e comunque su servizi Windows) vi sono sicuramente dei grossi vantaggi che non vanno trascurati: un sistema facile da usare, installazione veloce della rete, condivisione di file e stampanti immediata ecc. Per ognuno di questi vantaggi bisogna, però, fare i conti anche con l'altro lato della medaglia. Innanzitutto una pecca nella sicurezza enorme che potrebbe essere vista, in alcuni casi, come un grosso vantaggio messo a disposizione per quegli utenti che hanno accesso, da remoto, alle risorse condivise del sistema. Una rete Windows estende, inoltre, la possibilità a chi non è fisicamente connesso alla Lan privata di poter accedere facilmente ai files e sfruttare tutte le risorse disponibili del sistema di rete.

Questa falda nella sicurezza dei dati è molto grave. Possiamo immaginare quante aziende, che devono gestire al meglio le risorse, si affidino ad una filosofia basata su pochi computer collegati tramite HUB, schede di rete e cavi, tutto ben strutturato, naturalmente con accesso ad internet. Il Netbios è un programma fatto dalla Microsoft per sfruttare le reti locali LAN IPX. Normalmente il NetBios lavora sulle porte 137 138 139 TCP/UDP, la 139 TCP serve proprio per creare delle sessioni NetBios.

Attenzione, con questa tipica configurazione c'è solo un problema non da poco: l'attaccante di turno è già riuscito a scoprire queste porte del vostro computer connesso alla rete:

TCP 22.11.13.11:139 0.0.0.0:0 LISTENING
UDP 22.11.13.11:137 *:*
UDP 22.11.13.11:138 *:*

cioè:

nbname 137/udp
nbdatagram 138/udp
nbsession 139/tcp

Si tratta di sessioni aperte del Netbios, un protocollo in grado di gestire la condivisione di file e stampanti, tra due o più computer su una rete Microsoft.

Questa prrima fase è solo l'inizio di quella che viene tecnicamente detta enumerazione, in pratica l'attaccante vuole scoprire con chi ha realmente a che fare: quali sistemi operativi sono presenti sui p.c., eventuali programmi, firewall, servizi di vario tipo, etc.

Dicevamo che la piccola azienda non si è mai preoccupata di installare un buon firewall (basterebbe anche un firewall software), che gestisca almeno i flussi in entrata e in uscita da internet e che, quindi, possa bloccare eventuali accessi dalla rete pubblica o enumerazioni indesiderate.

A questo punto il nostro famigerato attacker può continuare a fare i suoi controlli: tramite la macchina Windows accede al prompt di MS-DOS, e incomincia a digitare:

C:> nbtstat -A 192.197.45.123

Chiaramente l'ultimo numero è l'indirizzo IP della macchina a cui si vuole acccedere.
La risposta potrebbe essere :

NetBIOS Remote Machine Name Table

Name Type Status
---------------------------------------------
KEVIN <00> UNIQUE Registered
@HOME <00> GROUP Registered
KEVIN <03> UNIQUE Registered
TINY <03> UNIQUE Registered

MAC Address = 00-50-04-05-E2-B9

In questo caso la persona non condivide nulla per cui sarà difficile riuscire a combinare qualche cosa.
Il valore dovrebbe essere <20> come nella taballa che segue.

NetBIOS Remote Machine Name Table

Name Type Status
---------------------------------------------
KEVIN <00> UNIQUE Registered
@HO <00> GROUP Registered
KEVIN <20> UNIQUE Registered
TINY <03> UNIQUE Registered

MAC Address = 00-50-04-05-E2-B9

A questo punto ci segniamo il primo nome della lista, KEVIN (notate che nel Netbios tutto è scritto maiuscolo), e facciamo:
edit x:\windows\lmhosts

Nell'editor del dos scriviamo:
192.197.45.123 KEVIN #PRE

Il tag #PRE è fisso e va sempre messo, gli spazi sono fatti col TAB (non usate altro). Salvate e uscite. Ora per caricare questo file scrivete:
nbtstat -R

Vi dovrebbe rispondere (se vi risponde altro o avete sbagliato a editare il file oppure avete configurato male il pc):
Successful purge and preload of the NBT Remote Cache Name Table.

Oppure, eventualmente, qualcosa di simile in italiano che conferma l'operazine.

Ora vediamo se ci sono risorse condivise nel pc. Fate:
net view \\KEVIN
Se non ci sono risorse condivise o non si ha il permesso di accedervi vi risponderà con un errore, altrimenti vi dirà:
Risorse condivise su \\KEVIN

Condivisione Tipo Commento
________________________________________________

C Disco
D Disco
E Disco
F Disco
G Disco
HP Stampa
Esecuzione comando riuscita.


A questo punto non resta che connettersi alla piattaforma, tramite risorse del computer:

Questo finestra permette all'attaccante di creare una unità virtuale in risorse del computer con i files e le cartelle del computer attaccato, naturalmente solo la parte condivisa.

Dopo questa breve ma utile dimostrazione di come un attaccante possa entrare indisturbato in una lan poco protetta, ecco un paio di soluzioni utili da applicare da subito:

Installare un buon firewall software nei p.c. abilitati all'accesso a internet. Inibire, attraverso le opzioni presenti e configurabili nel firewall, i passaggi di dati per il netbios verso la rete interna. Applicare la password di accesso a tutte le cartelle e le risorse condivise. Queste piccole precauzioni sono un metodo utile, e accreditato, e un attacker può fare ben poco nei confronti di una password da sei a otto lettere che deve, però, presentare le seguenti caratteristiche:

• lunghezza da 6 a 8 caratteri;
• contenuto misto di lettere e numeri;
• prresenza di caratteri minuscoli e maiuscoli;
• deve essere facile da ricordare, ma possibilmente non una parola con significato logico.

Un buon esempio potrebbe essere: 66Dd2121, 45dfDF45, M1A2r3c4o6

Inoltre è possibile implementare un altro trucco utile. Nella scelta attribuita al nome di condivisione, inserire, subito dopo l'ultimo carattere della parola scelta il dollaro $, (ad. esempio documenti$), in questo caso non comparirà la condivisione documenti, che sarà nascosta, o meglio fittizia ad occhi indiscreti.

La minima sicurezza della vostra Lan, dipende anche dal buon utilizzo di questi piccoli trucchi e accorgimenti. Molto spesso, anche in modo non intenzionale, si può esporre la propria rete a seri pericoli.