di  -  martedì 19 maggio 2009

flight crashMartedì scorso uno dei più importanti siti web internazionali sulla simulazione di volo, AVSIM, è stato letteralmente distrutto. Il pomeriggio del 14 maggio la BBC è stata la prima testata giornalistica a riportare la notizia.

Quando dico distrutto, non parlo di un semplice delirante deface della home page fatto da qualche cracker arabo, russo o sudamericano, intendo proprio dire che le partizioni dei due server che contenevano i dati sono state spazzate via.

Benché spesso ne abbia la possibilità, è raro che un attaccante danneggi a tal punto un server, purtroppo però questa volta la storia è andata diversamente.

AVSIM era un vero punto di riferimento per gli appassionati. Era online dal 1996, 13 anni di storia di flight simulation… volati via!

Un forum temporaneo per gli amanti del sito è reperibile qui.

Tom Allensworth, founder del sito, ha affermato: “AVSIM è totalmente offline in questo momento e pensiamo che sarà così per ancora un po’ di tempo a venire. Non siamo in grado di predire quando torneremo online, se mai lo potremo tornare effettivamente.”

La notizia ha fatto velocemente il giro della Rete e ha scatenato forti reazioni di indignazione e rabbia. Ovviamente contro il criminale di turno, ma anche nei confronti dei gestori del sito.

A rendere ancora più tragica la storia, infatti, è l’assenza di un adeguato piano di backup.

Il sito era costituito da due server principali, uno per le mail e la libreria e uno per il sito web effettivo e il forum. Sul primo era presente il backup giornaliero del secondo e viceversa.

La strategia di backup è piuttosto semplice ed intuitiva, già migliore dei backup di un server salvati sul server stesso, come capita a volte di vedere, o della loro totale assenza. Ma non è assolutamente adeguata ad un sito di quel rilievo!

E infatti, martedì scorso, quando l’attaccante è stato in grado di compromettere entrambi i server (che probabilmente condividevano grosse parti di configurazione, se non addirittura le credenziali), questa strategia ha dimostrato la sua fragilità.

Quantomeno serviva un server di backup dedicato adeguatamente protetto e isolato, meglio ancora sarebbe stato un backup off-site, il backup dei backup era anche possibile ma forse eccessivo.

La frase di Allensworth “oltre 12 anni di operazioni molto sicure e nessun attacco riuscito mi indicava che il nostro approccio quantomeno funzionava” mi ricorda un po’ quelli che dicono “io non ho un antivirus e non mi son mai preso niente”. Metodo di ragionamento tipicamente umano, ma non razionale.

A parte il fatto che non si può sapere con facilità e certezza se si è stati compromessi o meno (non sempre l’attaccante è così stupido da cancellare tutto, è più facile che rubi silenziosamente i dati che gli interessano), bisogna anche considerare che se ti è andata bene per un certo tempo, non puoi inferire che ciò che fai va bene, puoi essere stato solo fortunato, mentre devi concludere che hai sbagliato qualcosa se capita un incidente informatico.

Sulla reale efficacia di un anti-virus abbiamo già sollevato dei dubbi, ma è comunque un layer di sicurezza in più che risulta spesso utile.

Discorso analogo a quello dei backup vale per i file di log: se ti tirano giù il server web, almeno dovresti poter tracciare chi è stato e come ha fatto! E invece anche i file di log sono andati distrutti perché non adeguatamente protetti e gestiti. Speriamo che almeno l’hoster conservi qualche informazione utile.

Quanto alle ragioni che hanno portato alla compromissione del server, al momento non è nota né la tecnica usata né il suo autore.

Siccome non è possibile risalire ad un’immagine recente del sito attraverso la Wayback Machine, non mi è facile fare delle ipotesi in merito. Potrebbe essere stata colpa di qualche web application vulnerabile come il forum in PHP (oltre il 60% dei siti web continene vulnerabilità serie afferma una recente ricerca; secondo la mia esperienza direi oltre il 90% il problema può essere al massimo trovarle), del web server o del mail server.

Mi preme segnalare a questo proposito una vulnerabilità appena segnalata nel web server Microsoft IIS 6, che fin ora si era comportato piuttosto bene dal punto di vista della sicurezza, al contrario delle versioni precedenti.

La vulnerabilità riguarda il modo in cui IIS gestisce richieste WebDAV contenenti caratteri Unicode e permette di bypassare l’autenticazione in directory protette o l’upload di file sul server. La falla ricorda molto quella che affliggeva IIS 4 e 5 nel 2001 e che aveva fatto letteralmente delle stragi anche per colpa dei worm CodeRed e Nimda che la sfruttavano.

Dettagli tecnici sulla vulnerabilità sono reperibili a questo indirizzo.

Come ho già detto non sappiamo come l’attaccante abbia violato AVSIM, ma la metodologia a grandi linee è sempre suddivisa in due fasi principali.

Inizialmente si sfrutta una vulnerabilità dell’applicazione web o del server per poter eseguire comandi arbitrari su di esso.

Siccome però i privilegi con cui si eseguono i comandi sono di solito quelli del web server, non è ancora possibile fare ciò che si vuole, tantomento distruggere le partizioni. L’attaccante caricherà allora sul web server qualche exploit di local privilege escalation (ce ne sono diversi sia per Windows che per Linux) per acquisire i privilegi di SYSTEM su Windows o di root su Linux e simili.

A quel punto la partita è conclusa.

16 Commenti »

I commenti inseriti dai lettori di AppuntiDigitali non sono oggetto di moderazione preventiva, ma solo di eventuale filtro antispam. Qualora si ravvisi un contenuto non consono (offensivo o diffamatorio) si prega di contattare l'amministrazione di Appunti Digitali all'indirizzo info@appuntidigitali.it, specificando quale sia il commento in oggetto.

  • # 1
    zanardi84
     scrive: 

    Ok il discorso del backup, ma chi per qualsiasi motivo attacca un server deve essere considerato un criminale (alla stregua di uno che sfonda una vetrina di un negozio e fa piazza pulita) e come tale deve essere trattato. Chi ha compiuto quel macello dovrà pagare sino all’ultimo centesimo il danno che ha portato. In galera sarebbe troppo facile e sarebbe mantenuto. IN MINIERA, così pagherà col suo lavoro per il danno compiuto.

  • # 2
    Daniele
     scrive: 

    E non solo… con avsim sono scomparsi interi siti ospitati da Avsim contenenti progetti vari… (es. Project Fokker).

    Definire colui/coloro che hanno fatto ciò dei criminali è alquanto riduttivo.

  • # 3
    Alberto Trivero (Autore del post)
     scrive: 

    Per zanardi84:
    Proprio per punire i responsabili è essenziale una buona gestione dei backup e dei log per evitare che il criminale nasconda le proprie tracce. :)

  • # 4
    Drizzt
     scrive: 

    Peccato, oltretutto un sito che conoscevo bene…una volta gli avevo anche chiesto se potevo farmene un’ immagine in locale :-D

    Comunque, letta cosi’ la news, mi vengono in mente due cose:
    1 – Non si può formattare una partizione con su l’OS da dentro il sistema operativo. Ergo, se proprio proprio e’ successo davvero, hanno cancellato la tabella delle partizioni.

    2 – Se avessero cancellato la tabella delle partizioni, o se anche avessero trovato il modo per formattare qualche partizione, non dovrebbe essere un problema: qualsiasi azienda di recupero dati e’ in grado di recuperare quello che c’e’ sui dischi.

    3 – Si, lo so’ che ho detto due, infatti questa e’ una nota a parte: cosa ci vuole a formattare due dischi, o a far casino con qualche tool, oppure risparmiare su un ups e veder andare i dischi e poi gridare “All’hacker, all’hacker!!” ??

  • # 5
    AlessioF
     scrive: 

    come è impossibile fare format c: è impossibile penso fare la stessa cosa su X.

    Ci vorrebbe un s.o. Live o roba simile.
    Se sfrutti l’installato pialli un server non entrambi.
    Oppure pialli 1 dal 2 poi installi un so sul 1 e pialli il 2 e poi… non puoi cancellare il so che stai usando

    Boh

  • # 6
    Alberto Trivero (Autore del post)
     scrive: 

    Per Drizzt e AlessioF:
    Non ho mai provato su Windows, ma su Linux un “rm -rf /” sulla directory di root funziona perfettamente. Poi non è per nulla detto che i dati del sito risiedessero sulla stessa partizione del OS. O ancora, si può fare lo sporco lavoro da remoto.
    Sì, nel caso in cui i settori del disco non siano stati sovrascritti, i dovrebbero essere ancora recuperabili per buona parte.

  • # 7
    L
     scrive: 

    su linux si può. basta fare (da root) #dd if=/dev/random of=/dev/hda (o l’hd su cui hai l’os) e sei foŧŧuto. (dd -> ti copia raw l’input nell’output)
    o anche un banale #rm -rf / (ma così li puoi far recuperare)

    @alessioF: a sto punto il SO usato per piallare l’altro puoi anche lasciarlo lì, tanto non ci sono più i dati del server

  • # 8
    zanardi84
     scrive: 

    Vero, formattare “a caldo” un sistema operativo non è possibile.
    Qualcosa non torna. Mi sembra anche strano che non ci fossero backup.

    Potrebbe anche puzzare di distruzione simulata, un po’ come quelli che bruciano il negozio, spacciandolo per incendio scaturito da un corto, per intascare i soldi dell’assicurazione.
    In ogni caso chi attacca o autoattacca per qualsiasi motivo un server è un criminale e merita la miniera.

  • # 9
    Ilruz
     scrive: 

    Ragazzi, se avete il controllo di una macchina da remoto, potete fare il cappero che volete … e francamente non riesco a credere che nel piano di hosting di un sito del genere non fosse previsto il backup.

    Magari tornano online fra un mese, ma ci tornano. Oppure si sono stancati, ed hanno scelto di sparire come fece Sansone, con tutti i Filistei.

  • # 10
    doc
     scrive: 

    Avranno riavviato i server e avranno fatto partire il programma che cancellava tutto prima che partisse l’OS, non vedo nulla di cosi complicato.
    Inoltre probabilmente avranno usato un software che esegue varie “passate” per cancellare i dati, in questo casi i dati sono andati persi per sempre.
    Complimenti agli admin di AVSIM per la loro inettitudine.

    Il craker invece è un vero imbecille, con tutti i siti da cracckare che ci sono in giro (siti pedofili,neo nazisti,…) doveva scegliere AVSIM?

  • # 11
    Matador
     scrive: 

    Da doc : “Il craker invece è un vero imbecille, con tutti i siti da cracckare che ci sono in giro (siti pedofili,neo nazisti,…) doveva scegliere AVSIM?”

    No i veri imbecilli sono gli admins di AVSIM. Un hacker attacca sempre un sito conosciuto (tipo sito del FBI…) per avere fama, anche se fin’ora in questo caso, non si sa chi è stato e non si gode la fama :)
    Comunque, fare un sito di questo genere con 2 servers, e cito l’articolo “Il sito era costituito da due server principali, uno per le mail e la libreria e uno per il sito web effettivo e il forum. Sul primo era presente il backup giornaliero del secondo e viceversa” è una demenza. Cioè, quelli con due server ci mettono tutto e anche i backup ?? Ma chi fa un sito importante senza un backup off-line ? Sembra veramente un “inside job” questa distruzione. E’ troppo perfetto direi…

  • # 12
    Luca Faccin
     scrive: 

    Sicuramente l’autore di tale azione è sicuramente da annoverare tra i criminali.
    Detto questo anche i gestori di AVSIM meritano il premio Volpe D’Oro del millennio per la loro ASSURDA strategia di backup.

    “Il sito era costituito da due server principali, uno per le mail e la libreria e uno per il sito web effettivo e il forum. Sul primo era presente il backup giornaliero del secondo e viceversa.”

    Il che praticamente è quantomeno sadomasochisticho. Evidentemente un bel backup su nastro magari settimanale o mensile (ed una volto tolto il nastro dal server non ci sono problemi se non l’adeguato stoccaggio del nastro) pareva molto brutto. Chissa che abbiamo imparato le sacre lezioni: “Il backup è buono, il backup è bello, il backup mi fa dormire bene la notte” e “Il backup si fa su nastro non sul server stesso, neanche sul server a fianco” :-)

    Detto questo, azzerare la tabella delle partizioni una volta avuti i privilegi di amministratore nell’OS (sia Windows che Linux o Unix) è relativamente semplice.
    Il cracker di turno sicuramente ha tutta la responsabilità della cosa ma la colpa dell’accaduto è anche e soprattuto degli IDIOTI (perchè con un backup del genere su un sito di quella portata altro non possono essere mi spiace) che amministravano AVSIM.

  • # 13
    Drizzt
     scrive: 

    Ehi, prima che la cosa degeneri…io l’avevo buttata la’ a mezzo tra una battuta ed un “‘n si sa mai se e’ vero davvero”, ma lungi da me voler sostenere che l’han davvero fatto apposta, eh :-D

  • # 14
    Flare
     scrive: 

    Troppi imparano a fare backup come si deve solo dopo la lezione di aver perso i dati.

  • # 15
    Mik
     scrive: 

    @ Alberto Trivero
    “su Linux un “rm -rf /” sulla directory di root funziona perfettamente”

    Non è più così per le ultime versioni di rm:
    http://pollycoke.net/2009/01/07/clamoroso-rm-rf-non-funziona-piu-d/

  • # 16
    HomerJS
     scrive: 

    quoto il commento 14….
    2 anni di foto di fidanzamento SOLO in digitale… adesso ne ho tre copie su HD offline e una su DVD,
    mica sul server accanto!
    Sono certo che volevano sparire del tutto….

Scrivi un commento!

Aggiungi il commento, oppure trackback dal tuo sito.

I commenti inseriti dai lettori di AppuntiDigitali non sono oggetto di moderazione preventiva, ma solo di eventuale filtro antispam. Qualora si ravvisi un contenuto non consono (offensivo o diffamatorio) si prega di contattare l'amministrazione di Appunti Digitali all'indirizzo info@appuntidigitali.it, specificando quale sia il commento in oggetto.