home *** CD-ROM | disk | FTP | other *** search
/ Forum of Incident Response & Security Teams / Forum_of_Incident_Response_and_Security_Teams_FIRST_October_1994.iso / teaminfo / cert_it / advisory / s_94_04.txt < prev    next >
Text File  |  1994-07-08  |  4KB  |  105 lines
  1. ==============================================================================
  2. SECURITY ADVISORY                                                      CERT-IT
  3. ==============================================================================
  4. Author/Source : CERT-IT <cert-it@dsi.unimi.it>             Index  :    S-94-04
  5. Distribution  : World                                      Size   :       4035 
  6. Classification: External                                   Version:      Final
  7. Subject       : Network sniffing                   Date   :   11-04-94
  8. ==============================================================================
  9.  
  10.  
  11. ========
  12. Abstract
  13. ========
  14.  
  15.     Come accaduto qualche mese fa negli USA anche sulla rete
  16.     italiana si sta diffondendo un programma (da alcuni
  17.     chiamato Esniff.c) in grado di registrare i primi byte
  18.     di una sessione telnet, ftp, rlogin o rsh.
  19.     Il suo utilizzo  e` molto pericolosa perche` e` possibile
  20.     intercettare tutte le login/password che viaggiano in chiaro
  21.     su una rete locale.
  22.     Questo e` un attacco tra i piu` efficaci; esperimenti hanno
  23.     dimostrato come possa essere estremamente facile per un hacker
  24.     sovvertire la sicurezza di una INTERA rete in brevissimo tempo.
  25.  
  26.  
  27. ===========
  28. Descrizione
  29. ===========
  30.  
  31.     Il programma utilizza il driver di rete NIT (Network Interface
  32.     Tap) presente esclusivamente sui sistemi SunOS 4.1.X e puo`
  33.     essere eseguito solamente da root. Apportando alcune semplici 
  34.     modifiche al programma relate alla parte di gestione del driver 
  35.     di rete e` possibile utilizzarlo anche su altre architetture:
  36.  
  37.         - HP-UX se sono supportati i moduli (unbundled)
  38.           STREAMS e DLPI (Data Link Provider Interface).
  39.  
  40.         - Ultrix 4.X utilizzando il modulo di 
  41.           packetfiltering (BPF).
  42.  
  43.         - Solaris 2.X usando il modulo DLPI.
  44.  
  45.     Esniff e` in grado di compromettere la sicurezza non solo
  46.     delle macchine locali ma anche quella di macchine remote
  47.     verso cui si effettuano dei collegamenti. Il programma,
  48.     infatti, e` in grado di ``ascoltare'' tutto il traffico
  49.     riguardante la rete e non solo quello da e verso il
  50.     calcolatore sul quale viene eseguito.
  51.  
  52.  
  53. ======
  54. Rimedi
  55. ======
  56.  
  57.     Non esiste una vera e propria soluzione perche` attualmente
  58.     nessuna delle applicazioni di rete standard supporta
  59.     comunicazioni cifrate, unico modo per risolvere veramente 
  60.     il problema.
  61.     Nel caso di SunOS per controllare se c'e` qualche applicazione
  62.     che sta facendo uso del driver, cioe` se c'e` qualche
  63.     applicazione che potenzialmente sta spiando la rete, e`
  64.     sufficiente eseguire il seguente comando:
  65.  
  66.     # ifconfig le0
  67.     le0: flags=163<UP,BROADCAST,NOTRAILERS,RUNNING,PROMISC>
  68.                                ^^^^^^^
  69.     inet 192.26.58.254 netmask ffffff00 broadcast 192.26.58.0
  70.  
  71.     Se e` presente il flag ``PROMISC'' allora c'e` una 
  72.     applicazione attiva e bisogna cercare di scoprire se
  73.     si tratta di uno proocesso legittimo oppure di uno
  74.     tipo Esniff.
  75.  
  76.     In alternativa e` possibile usare cpm (check for network
  77.     interfaces in promiscuous mode), disponibile in:
  78.  
  79.         ftp@ftp.dsi.unimi.it:
  80.         /ftp/pub/security/src/network/cpm.1.0.tar.gz
  81.     
  82.     Un'azione preventiva da intraprendere nel caso si abbia
  83.     un sistema che incorpori di default il driver NIT e`
  84.     quella di escludere il driver dal kernel, ricompilandolo
  85.     senza specificare il driver nel file di configurazione.
  86.     Ovviamente cio` non e` attuabile se viene fatto un effettivo
  87.     utilizzo di NIT (per esempio quando si ha una macchina
  88.     che funge da server per un cluster di workstation diskless).
  89.     
  90.     Attualmente il piu' semplice strumento software PD disponibile
  91.     per ovviare parzialmente a questo problema e' S/Key, un
  92.     package che implementa il concetto delle one-time password 
  93.     evitando il costoso utilizzo di smart-card o digital token.
  94.     Maggiori informazioni sono disponibili nella directory:
  95.  
  96.     ftp@ftp.dsi.unimi.it:/pub/security/src/auth/skey-1.1b.tar.Z
  97.  
  98.     In particolare consigliamo la lettura del file:
  99.  
  100.         ftp@ftp.dsi.unimi.it:
  101.         /pub/security/docs/CERT-advisories/
  102.         CA-94:01.ongoing.network.monitoring.attacks
  103.  
  104. ================================================================================
  105.