Indice dei contenuti
Me ne stavo tranquillo ad aspettare che la mia Debian assegnasse alla mia nuova chiavetta USB un device, per montarla e giocare con quel piccolo inutile gigabyte, quanto su syslog appare il primo messaggio inquietante:
Mar 16 19:43:27 goodOS smbd[12981]: connect from 82.54.xx.xx (82.54.xx.xx)
Subito penso che qualcuno stia cercando di entrare nella mia macchina attraverso Samba, servizio alquanto inutile per me, visto che non ho nessun PC Windows... così provo a capire chi è e cosa sta facendo.
Un banale whois sull'IP mi dice che appartiene al range di IP di Telecom Italia, rete attraverso la quale anch'io sono connesso. L'IP risponde al ping, ma non su ssh o telnet, mentre io voglio arrivare ad un login di qualche tipo, anche solo per capire chi ho di fronte. Allora mi dico: se mi "attacca" su Samba, perché non provare con Samba? E subito dopo:
~# smbclient -L 82.54.xx.xx
Anonymous login successful
Domain=[WORKGROUP] OS=[Windows 5.0] Server=[Windows 2000 LAN Manager]
Sharename Type Comment
--------- ---- -------
Error returning browse list: NT_STATUS_ACCESS_DENIED
Con enorme sorpresa scopro che si tratta di una macchina Windows, Windows 2000 per l'esattezza, il cui netbios name è WORKGROUP, il default dell'installazione Windows. Mi dico: tentare che mi costa?, e quindi:
~# smbclient -N -U Administrator -L 82.54.xx.xx
ovvero chiedo di identificarmi come l'utente di default di Windows 2000, Administrator appunto, chiedendo i serivizi condivisi per questo utente. Ecco il risultato che ottengo senza digitare alcuna password:
Domain=[WORKGROUP] OS=[Windows 5.0] Server=[Windows 2000 LAN Manager]
Sharename Type Comment
--------- ---- -------
IPC$ IPC IPC remoto
ADMIN$ Disk Amministrazione remota
C$ Disk Condivisione predefinita
Server Comment
--------- -------
Workgroup Master
--------- -------
In questo caso ho ottenuto il nome dei dischi condivisi da quella macchina. Non mi rimane che fare:
~# smbmount //82.54.xx.xx/C$ /mnt/win2k -o username=Administrator,guest
A molti questa riga non dirà niente. Ebbene si tratta di alcune istruzioni di Samba che chiedono alla macchina 82.54.xx.xx di identificarmi come l'utente Administrator e consentirmi di utilizzare le risorse pubbliche per questo utente (in questo caso C:) sotto la mia cartella /mnt/wik2k, niente di più. Se la macchina 82.54.xx.xx ritenesse che non sono autorizzato mi negerebbe l'accesso, ma questa qui non lo fa, anzi con tutti gli onori di casa mi dà accesso completo al suo file system, comprensivo di dati e file di sistema. Ripeto: a questo punto, senza aver digitato alcuna password, senza aver fatto nulla di fraudolento, senza aver messo in atto tecniche di cracking, dentro la mia cartella /mnt/win2k c'è a tutti gli effetti il file system della macchina che il poveretto dall'altra parte stava usando per farsi gli affaracci suoi!
Prima di proseguire lasciatemi precisare che non è un trucco da hacker, da guru dei computer. Probabilmente, se avete Windows 2000 o superiore, basterà digitare nella barra dell'indirizzo dell'esplora risorse:
\\82.54.xx.xx\C
per ottenere lo stesso risultato! Non è un trucco da hacker perché è più semplicemente un problema di sicurezza cui sono affetti milioni di PC in tutto il mondo e probabilmente se avete Windows 2000 e non avete assegnato una password all'utente Administrator (ovvero quando accendete il PC non avete bisogno di digitare alcuna password di sistema) o preso altre precauzioni lo è anche il vostro. Comunque...
Dentro la cartella /mnt/win2k, ovvero dentro il suo C:, ho creato un file vuoto ciao.txt, poi la connessione si è interrotta. A quel punto non sapevo ancora se si trattava di qualcuno malintenzionato nei miei confronti o di una connessione casuale. Così ho riaperto syslog e ho visto che le connessioni verso Samba erano molte e da IP differenti (erano circa le 20:00 e a quell'ora di gente in rete ce n'é parecchia), mi sono reso conto allora che non era qualcuno che ce l'aveva con me, ma semplicemente il traffico generato dalle macchine Windows che notificavano a colpi di broadcast la loro presenza attraverso NetBios over TCP. In pratica, tutte queste macchine credo cerchino in rete qualcosa come la loro rete locale...
Ho preso degli IP a caso tra quelli che mi mandavano un segnale, e in 4 casi su 6 sono riuscito a montare correttamente il file system di Windows, avendo accesso completo a tutti i dati là contenuti. Ho anche dato uno sguardo discreto avendo conferma di quanto gli harddisk contengano non solo informazioni finanziarie o dati sensibili, ma anche e sopratutto lettere, diari, appunti, foto, sopratutto foto, di viaggi, d'amore, ben ordinate o sparse, un po' secondo il proprio carattere.
Non ho letto e non ho guardato e neppure ho fatto danni. Mi sono limitato a lasciare, in un paio di occasioni, un segno, un messaggio contenuto in un file di testo per avvertire del pericolo. Questo non significa però che sia sempre così, chiunque, potrebbe con un semplice cp -r * copiare tutti i vostri dati o eliminarli con un rm -rf * (o comandi equivalenti per altri sistemi operativi).
Non idea (ancora) dei dettagli tecnici di tutto questo, né di quanto sia esteso e conosciuto il fenomeno, probabilmente qualcuno più bravo me lo spiegherà e io lo riporterò qui. Mi sono sentito però in dovere di raccontare questa esperienza, perché in accordo con la filosofia del Free Software meglio e prima si conoscono i pericoli, meglio e prima si trova una soluzione.
Purtroppo il sistema operativo Windows 2000 di Microsoft ha delle impostazioni predefinite con una sicurezza davvero scarsa e tutto il lavoro di personalizzazione è lasciato alle capacità dell'utente, che senza girarci tanto intorno non ha nella maggioranza dei casi nessuna idea di come funzioni il sistema operativo, di quali siano i protocolli e le porte che utilizzano i vari servizi. Tanto per dirne una, Windows 2000 consente di installare il sistema senza alcuna password, cosa che ad esempio mi avrebbe impedito di autenticarmi correttamente in 5 computer diversi nel giro di 2 ore.
Ora che le connessioni flat si stanno sempre più diffondendo diventa molto semplice per i malintenzionati conoscere ed utilizzare il vostro indirizzo IP, anche solo per il fatto che i computer stanno ore connessi sempre con lo stesso indirizzo. Quando visitate un sito web, ad esempio, il vostro IP viene memorizzato e nelle ore che seguono nulla impedisce (anche attraverso strumenti automatici) che gli amministratori del sito provino a violare i vostri dati con procedure simili a quella appena descritta. Se ovviamente voi non avete pensato alla sicurezza il lavoro di questi personaggi è terribilmente più semplice.
Non amo ripetermi, ma è indispensabile per evitare che Microsoft mi quereli domattina. Non so se questo problema affigga anche altri sistemi operativi oltre Windows 2000, non so neppure se Windows 2000 risolva il problema con qualche tipo di aggiornamento chiamato Service Pack e neppure so se affigga altre macchine oltre alle 5 cui ho avuto accesso questa sera. Sospetto fortemente di sì, sospetto che affigga tutte le macchine con Windows 2000 ed una installazione di default, ma non posso dirlo con certezza.
Se avete il sospetto che la vostra macchina corra questo tipo di rischio una soluzione semplice è dare una password all'utente Administrator e agli altri utenti, poi installare un piccolo firewall software che inibisca le connessioni NetBios over TCP o disabilitare del tutto questo protocollo. Un altro utile accorgimento potrebbe essere quello di eliminare le "condivisioni" dalle partizioni, se non strettamente necessarie. In ogni caso, se volete avere delle certezze, è meglio adottare una seria politica di sicurezza. Non è compito di quest'articolo dire come e cosa fare, in rete ci sono tutte le risorse necessarie, e poi ci sono aziende e singoli che, compreso il sottoscritto, possono darvi consulenze, o allestire firewall per proteggere la vostra rete, grande o piccola che sia.