Che Cos'è il CERT-IT

Nel Febbraio 1994 un gruppo di persone appartenenti allo staff tecnico del Dipartimento di Scienze dell'Informazione dell'Università degli Studi di Milano costituiva, sulla scorta di esperienze maturate in altri paesi il Computer Emergency Response Team Italiano, cioè un punto di riferimento per gli utenti italiani della rete Internet che fossero vittime di intrusioni informatiche o che comunque denunciavano problemi di sicurezza informatica.

Nel 1995 si affiancava al suddetto gruppo anche un gruppo di ricercatori e docenti che operano all'interno del Dipartimento di Scienze dell'Informazione e che svolgono attività di ricerca nei settori della computer e network security. Nello stesso anno il CERT-IT veniva ammesso a far parte del FIRST, il Forum of Incident Response and Security Teams.

Il FIRST è a oggi la più grande struttura internazionale che si occupa del problema della gestione di incidenti informatici in tutti i suoi aspetti. I membri effettivi del FIRST sono Incident Response Team che vengono ammessi a farne parte previa domanda di ammissione e solo dopo un processo di selezione che ne verifica la qualità e l'adeguatezza. Attualmente fanno parte del FIRST circa 60 team provenienti da tutto il mondo; il CERT-IT è a tutt'oggi l'unico membro italiano del FIRST. Questi team fanno riferimento a strutture governative, a strutture industriali e commerciali o a strutture accademiche. Per un elenco completo di tutti i membri del FIRST, si veda http://www.first.org.

Le principali attività svolte dal CERT-IT rispecchiano le caratteristiche dei suoi componenti; alle attività di ``lavoro sul campo'' si affiancano le attività di ricerca e sviluppo, che rendono quasi unico il CERT-IT tra gli incident response team.

Nelle sezioni successive descriveremo in dettaglio le principali attività svolte dal CERT-IT, che possono essere sommariamente raggruppate in tre categorie: attività per la prevenzione degli incidenti informatici, per la gestione degli incidenti e attività di ricerca e sviluppo.

La Prevenzione degli Incidenti Informatici

Al fine di prevenire l'occorrenza di un incidente informatico sono, dal nostro punto di vista, necessari due elementi: la consapevolezza del problema e il costante aggiornamento sulle tecniche e strumenti sia di intrusione che di difesa. Partendo da questi presupposti si svolgono le nostre azioni che mirano a formare una cultura della sicurezza, ancora molto poco radicata nella comunità Internet italiana, e a mantenere culturalmente elevato il livello delle informazioni che vengono messe a disposizione degli utenti del nostro paese.

Il nostro contributo per incrementare la consapevolezza nei confronti della sicurezza informatica è costituito dalla nostra costante partecipazione a corsi e seminari in merito alle problematiche di sicurezza, dalla organizzazione presso il Dipartimento di Scienze dell'Informazione o presso terze parti di seminari e tutorial su argomenti di sicurezza.

Al fine di favorire la massima visibilità e diffusione delle informazioni sulla sicurezza sinora raccolte, e per stimolare l'interesse verso i problemi della sicurezza, il CERT-IT distribuisce attraverso il proprio sito web (http://security.dsi.unimi.it) e il proprio sito ftp (ftp://security.dsi.unimi.it/pub/security) le informazioni più aggiornate inerenti alle misure di sicurezza da adottare al fine di evitare incidenti informatici. In particolare presso i suddetti siti è possibile recuperare programmi e materiale vario sulla security, la privacy, le tecniche di protezione; sono inoltre disponibili nell'archivio bollettini informativi, security patch, advisory dei vendor e software sviluppato ad hoc dal CERT-IT.

Il CERT-IT gestisce inoltre un forum elettronico, mediante mailing list, per diffondere tempestivamente e su larga scala informazioni sulle vulnerabilità dei singoli sistemi insieme con proposte per la loro soluzione. È un forum per lo scambio di esperienze e di idee di coloro che vi partecipano. Al fine di sensibilizzare l'utenza Internet all'utilità e all'uso di strumenti di crittografia avanzati, il CERT-IT si è fatto promotore nel nostro paese dell'uso di PGP (Pretty Good Privacy), un programma freeware per la protezione della posta elettronica in Internet.

Oltre a fornire sul proprio sito le versioni non contraffatte e più aggiornate di tale programma, il CERT-IT gestisce in collaborazione con gli altri CERT un PGP key server cioè la base di dati contenente le chiavi pubbliche PGP di tutti gli utenti che nel mondo intendono utilizzare questo strumento. Questa base di dati è unica e replicata in molte parti del mondo e viene mantenuta costantemente aggiornata. Dall'autunno 1996 il CERT-IT si è costituito Certification Authority per le chiavi PGP. Previo un processo di identificazione, il CERT-IT provvede ad apporre la propria firma sulle chiavi degli utenti che lo richiedano, garantendo quindi sulla validità delle stesse.

La Gestione degli Incidenti

In tre anni di attività il CERT-IT ha contribuito alla soluzione di oltre 400 incidenti, ed è tuttora costantemente impegnato nella soluzione di nuovi incidenti, che hanno colpito organizzazioni italiane. Come gli altri membri del FIRST, ha collaborato e collabora attivamente alla soluzione di incidenti che coinvolgono organizzazioni di nazioni diverse.

La gestione di un incidente avviene solitamente attraverso le seguenti fasi:

1.

il sito che subisce l'intrusione contatta il CERT-IT via email o web server segnalando l'intrusione e gli effetti da questa provocati, provvedendo in genere (quasi mai) ad inviare eventuali file di log;

2.

ricevuta la segnalazione, il CERT-IT provvede a registrare l'incidente e a studiare le caratteristiche dell'attacco, individuate le quali si può risalire alle cause che lo hanno reso possibile e quindi alla loro rimozione;

3.

il CERT-IT ricontatta il sito colpito e gli fornisce le informazioni necessarie per ripristinare la situazione rimuovendo le cause che hanno consentito l'intrusione;

4.

l'incidente viene chiuso.

Incidente Italiano

Sender: xxxxx@xxx.xxxxx.it
Message-ID: <324ED1EC.54DA7B60@xx.xx.it>
Date: Sun, 29 Sep 1996 20:45:48 +0100
From: Nome Cognome  <xxxxx@xx.xx.it>
Organization: xxxxxxxxxxxxx xxxxx Italy
To: cert-it@dsi.unimi.it
CC: staff@xx.xx.it
Subject: tentativo di attacco...??

Siamo stati soggetti ad un tentativo di attacco. Sinceramente non ho 
capito esattamente cosa pensasse di fare l'assalitore, comunque eccovi
i log file......
==================/var/adm/messages===============================
Sep 29 19:05:41 xxxxxx in.telnetd[3121]: connect from xxxxxx.xxxxxx.net
Sep 29 19:05:57 xxxxxx in.telnetd[3123]: connect from xxxxxx.xxxxxx.net
Sep 29 19:06:09 xxxxxx wu.ftpd[3126]: connect from xxxxxx.xxxxxx.net
Sep 29 19:06:11 xxxxxx ftpd[3126]: USER ftp
Sep 29 19:06:12 xxxxxx ftpd[3126]: PASS ftpuser@
Sep 29 19:06:14 xxxxxx ftpd[3126]: SYST
Sep 29 19:06:15 xxxxxx ftpd[3126]: PORT
Sep 29 19:06:15 xxxxxx ftpd[3126]: LIST
Sep 29 19:08:03 xxxxxx wu.ftpd[3130]: connect from ---.---.--.---
Sep 29 19:08:08 xxxxxx ftpd[3126]: QUIT
Sep 29 19:08:08 xxxxxx ftpd[3126]: FTP session closed
Sep 29 19:10:52 xxxxxx ftpd[3130]: USER ftp
Sep 29 19:10:55 xxxxxx ftpd[3130]: PASS jxf@
Sep 29 19:11:00 xxxxxx ftpd[3130]: CWD incoming
Sep 29 19:11:10 xxxxxx ftpd[3130]: TYPE Image
Sep 29 19:11:11 xxxxxx ftpd[3130]: PORT
Sep 29 19:11:13 xxxxxx ftpd[3130]: STOR f.txt
Sep 29 19:11:37 xxxxxx in.telnetd[3142]: connect from xxxxxx.xxxxxx.net
Sep 29 19:11:41 xxxxxx ftpd[3130]: QUIT
Sep 29 19:11:41 xxxxxx ftpd[3130]: FTP session closed
Sep 29 19:13:10 xxxxxx wu.ftpd[3144]: connect from ---.---.--.---
Sep 29 19:15:44 xxxxxx ftpd[3144]: USER root
Sep 29 19:20:21 xxxxxx ftpd[3144]: QUIT
Sep 29 19:20:21 xxxxxx ftpd[3144]: FTP session closed
=====================last login====================================
ftp       ftp          ---.---.--.---   Sun Sep 29 19:10 - 19:11
(00:00)
ftp       ftp          ------.------.ne Sun Sep 29 19:06 - 19:08
(00:01)
======================================================================

Il file che e' stato scaricato e' un binario elf che a prima vista
sembra una ssh. Per prudenza lo ho comunque tolto dall'incoming.
Comunque ve lo allego in attach alla mail.   

               Nome Cognome

>From xxxx Fri Oct  4 18:37:36 1996
Subject: CERT-IT #----
To: xxxxx@xx.xx.it (Nome Cognome)
Date: Fri, 4 Oct 1996 18:37:36 +0200 (METDST)
Cc: cert-it@xxx.xxxxx.xx, staff@xx.xx.xx
In-Reply-To: <324ED1EC.54DA7B60@xx.xx.it> from "Nome Cognome"
            at Sep 29, 96 08:45:48 pm

Buongiorno,

in riferimento al caso da voi segnalatoci, identificato
come CERT-IT#------, dall'analisi dei log che ci avete 
inviato risulta che il vostro sistema utilizza un telnetd
vulnerabile.
Il telnet utilizzato permette di trasferire variabili
d'ambiente da un sistema ad un altro alterando il processo
login gestito dal telnetd.
In questo modo un qualsiasi utente malintenzionato puo'
superare i controlli di autenticazione e diventare root. 
Alleghiamo in calce l'advisory CA-95:14 del CERT-CC che
descrive il problema e la soluzione da applicare.

Grazie per la segnalazione, se non sentiremo piu` nulla 
per i prossimi 5 giorni lavorativi, considereremo questo 
incidente chiuso.

          CERT-IT


> ==================================================================
> CERT(sm) Advisory CA-95:14
> Original issue date: November 1, 1995
> Last revised: August 30, 1996
>               Information previously in the README was inserted
>               into the advisory.
> 
>               A complete revision history is at the end of this file.
> 
> Topic: Telnetd Environment Vulnerability
> --------------------------------------------------------------------
>

Incidente Internazionale

To: cert-it@dsi.unimi.it
Cc: cert@cert.org
From: "Computer Security Officer" <xxxxxxxx@xxxxxxxx.xxx>
Subject: Computer intruder at xxxx.it and xxxx.it, URGENT!!
X-Url: http://www.xxxxxxxx.xxx/~xxxx
X-Pgp-Keyid: XXXXXXXX
Date: Thu, 05 Jun 1997 10:10:19 -0XXX
Sender: xxxxxxxx@xxxxxx.xxxxxxxx.xxx

The intruder is on xxxxxxx.xxxx.xxxxxx.it NOW!

About four weeks ago, one of our systems here at xxxxxx University,
xxx.xxxxxx.xxx, was broken into and several accounts were compromised.
We believe there to be two main groups of intruders who are making use
of these compromised accounts.  One group is European and its members
appear to be based in the Czech Republic and possibly the Netherlands.
Recent information leads us to believe that the individual entering the
net from Czech Republic addresses is actually in Yugoslavia.  One of
the members of this group, the coming in from .CZ has gained access to
accounts on a couple of systems in Italy.

After the inital break-in to our system we closed off all but one of
the accounts that they had access to and begain monitoring that account
closely.  We are doing keystroke logging and we have modified their IRC
bot configs to log their channel traffic.  Their connections have been
from the following hosts or domains:

    *.xxxxxxx.pt
    *.xxxxxxx.cz
    xxxx.xxxxxx.com
    xxxxxx.xxxxx.xxxxxxxx.DE
    xxxx.xxxx.xxxxx.xx.jp
    xxxx.xxxxxxx.cz
    xxxxxxx.xxxxxx.xx.us
    xxxxxxx.xxx.hr
    xxxxx.xxx.edu
    *.xxxxxxxx.cz
    xxxxxxxxx.xx.xx.xxx.net

This morning we had three logins to the compromised xxx.xxxxxxx.xxx
account.

    06/05 07:39:29  from xxx.xxxxxxx.cz
    06/05 08:06:49  from ---.--.--.--
    06/05 08:34:12  from xxxxxxxxx.xx.xx.xxx.net
    06/05 09:05:04  from xxxxxx.xxxxx.cz
    06/05 09:30:31  from ---.--.---.--
    06/05 09:42:03  from ---.--.---.--
    06/05 09:57:01  from ---.--.---.--

This morning, actually as I type this message, the intruder is on
from ---.--.---.--, which I believe is part of the xxxxxxxx.cz
domain and has logged into accounts on systems in Italy.

    xxx@xxxxxxx.xxxx.xxxx.it
    xxxx@xxxxxx.xxxx.xxxxxx.it

He had trouble connectinf to the xxxxx.it system from our system here
and finally resorted to connecting via the xxxxxxx.xxxxx.xxxx.it system.
He is attempting to gain root access on the xxxxxx.it system, but he
has not had much success with this as yet.  This person is primarily
interested in running IRC services or "bots" but has cracked root at
least once and has installed trojan horse binaries such as rootkit on
at least one occasion.

We will be leaving the local account open for a little while longer
unless we detect a serious threat to data or systems.  Please take
whatever actions you feel necessary but we would appreciate it if you
would keep the source of this information confidential if possible,
at least until we've shut things down at this end.

If we can provide additional assistance please let us know.  If you
develop information that might help us identify these individuals,
we would appreciate it if you would forward it to us.

Thank you,

               Computer Security Officer

>From rose Tue Jun 10 10:02 MET 1997
Received: (from rose@localhost) by xxxx.xxx.dsi.unimi.it (8.8.5/8.7.3)
         id KAA07508; Tue, 10 Jun 1997 10:02:33 +0200 (MET DST)
From: Emilia Rosti <rose>
Message-Id: <199706100802.KAA07508@xxxx.xxx.dsi.unimi.it>
Subject: urgente!
To: root@xxxxx.xxxxx.xxxx.it
Date: Tue, 10 Jun 1997 10:02:32 +0200 (MET DST)
Cc: cert-it, rose (Emilia Rosti)

-----BEGIN PGP SIGNED MESSAGE-----

Buongiorno,

sono Emilia Rosti del CERT-IT.
Ci e` stato segnalato da nostri colleghi di un 
altro cert che la vostra macchina xxxxxx (xxxxxxxx.xxxxx.xxxx.it)
e` stata attaccata e compromessa. L'intruso ha libero accesso
a due account regolari, xxx e xxxxxx. L'intrusione e` in corso
da giorni, vi abbiamo contattato sabato ma senza alcuna risposta.
(l'incidente e` identificato con CERT-IT#---- al quale vi preghiamo
di fare riferimento nelle mail successive)

La macchina coinvolta va reinstallata facendo attenzione ad
eventuali programmi installati dall'intruso (eggdrop, tcl ecc).
Al momento pero` i colleghi stanno tracciando l'intruso, pertanto
potrebbe essere opportuno lasciarlo fare ancora per un po'.

Siamo a disposizione per ulteriori informazioni, incluso in calce
e` un semplice vademecum per migliorare la sicurezza di una
macchina in rete.

Cordiali saluti,

        Emilia Rosti

PS Aggiornate la versione di sendmail di xxxxxxxx
ormai si e` arrivati alla 8.8.6!

                  ***************************
                  GUIDA PRATICA ALLA SECURITY
                  ***************************

                 CERT-IT <cert-it@dsi.unimi.it> 

                             22-07-94
.....

Date: Tue, 10 Jun 1997 11:11:44 +0200 (MET DST)
From: system PRIVILEGED account <root@xxxxxx.xxxxx.xxxx.it>
To: Emilia Rosti <rose@security.dsi.unimi.it>
Cc: cert-it@dsi.unimi.it, Emilia Rosti <rose@security.dsi.unimi.it>,
        Aaaaaaaa Bbbbbbb <xxxxxx@xxxxxxx.xxxx.it>,
        Ccccccc Dddddddd <xxxx@xxxxxxx.xxxxx.xxxx.it>,
        Eeeeeee Ffffffff  <xxxxxx@xxxxx.xxxx.it>
Subject: Re: urgente!
In-Reply-To: <199706100802.KAA07508@xxxx.xxx.xxx.xxxxx.it>
Message-Id: <Pine.OSF.3.91.970610110810.4581D-100000@xxxx.xxxxx.xxxx.it>

esatto
avevo visto la cosa ieri, ma sembra una situazione molto grave.
Almeno 5 utenti sono stati violati. Mi sembra non abbiano preso i 
privilegi di root ma non sono certo.
1. il contatto per xxxxxxx e' xxxxxxxx@xxxxxxx.xxxxx.xxxx.it
2. ho una lista di computers hackerati dai quali e' stato violato il 
nostro (comando last). Puo' interessarle?
grazie
          la vittima

ps mi dispiace per la ricerca del colpevole, ma ieri avevo gia' bloccato 
tutto, prima di leggere questa nota.

Regarding the Eastern Europe based intruder using the xxxxxxxx account
at xxx.xxxxxxxx.xxx and xxx.xxxxxxx.xxx.

This morning, July 17 at 07:50 -0700 the intruder was detected logging
into the xxxxxxxx account at xxx.xxxxxxxx.xxxxxxx.it.  The intruder used
an exploit script for the NLSPATH buffer overflow bug to gain root
access.  During the monitored sessions this morning his only use of
the root access was to rename the file /home/httpd/cgi-bin/phf to
/home/httpd/cgi-bin/rana.  Rana is a name that has been used by this
intruder before and may be a nickname.

                Computer Security Officer

rose@security.dsi.unimi.it  said:
> Hi Computer Security Officer
> thanks for this report, we are tracking the incident as CERT-IT#----.
> We have contacted the admins at xxx.xxxxxxxx.xxxxxxx.it and we are
> waiting for their reply. It looks like the intruder from Eastern
> Europe is very active! 

Emilia,

Yes, this fellow has been VERY active of late.  Unfortunately, we are
going to have to shut him down at this end, either today or tomorrow.

This morning he was back on as xxxx@xxxxx.xxxxxx.xxxxx.it.
He logged in at June 18 08:55 local time.  He uploaded snif_tar, a
sniffit tar file, unpacked it and compilete sniffit.  The logs do not
show him running it yet.

He uploaded picka.c, the file containint the exploit script he used
previously to get root access.  He compiled and ran the exploit and
then put "+ +" in the /.rhosts file.

After that he logged into another Italian system, xxx.xx.xxxxxxx.it,
as user muc.  He used find to search for the phf file, probably with
the intent to rename it as he has done elsewhere, but quit before it
found the file.  He only other act on that system was to send a mail
message to one of his friends.

  [xxx]xx:/home/xxx>mail xxxx@xxxxxxx.cz
  shouldn't you be working in bull Spol s.r.o ? ;))
  droopy said you were on-line at around 12:00 ;))
  badboys, badboys ..
  .
  [xxx]xx:/home/xxx>exit

>From this message and the address used I strongly suspect that the
xxxxxxxx account here is being used by at least two individuals.
One in the Czech republic (xxxx@xxxxxxx.cz) and the one who sent
the above message, he was coming into xxx from xxxx.xx.xxxxx.yu.

                 Computer Security Officer

Questa attività è legata alla affiliazione accademica del CERT-IT, che ritiene la ricerca scientifica e la diffusione dei suoi risultati parte fondamentale della missione di qualunque organismo accademico. Attualmente il CERT-IT è impegnato in alcuni progetti di ricerca finalizzati allo studio di politiche di hacking, alla realizzazione di protocolli per l'autenticazione forte su world wide web, ed allo studio e progettazione di protocolli di sicurezza per ambienti di stazioni mobili.

Oltre alle summenzionate attività di ricerca, il CERT-IT è coinvolto anche nello sviluppo di programmi e tool innovativi per le funzioni di Network e System Security, Network and System Monitoring.

Il supporto finanziario

Tutte le attività sinora descritte sono state svolte dal CERT-IT in forma assolutamente gratuita e finanzariamente supportate fino alla fine del 1996 dal Dipartimento di Scienze dell'Informazione dell'Università degli Studi di Milano. A partire dal 1997 tale supporto è però venuto a mancare, quindi da quella data il CERT-IT deve preoccuparsi del proprio finanziamento con l'obiettivo di mantenere e migliorare lo stesso livello di servizio sinora offerto. A tal fine il CERT-IT organizza periodicamente tutorial su tematiche attuali di computer security e mette a disposizione di enti pubblici e privati la propria esperienza nel settore della computer security e la propria posizione super partes, per consulenze a pagamento inerenti problemi di sicurezza con particolare enfasi sullo studio, la progettazione e la valutazione di architetture e politiche di sicurezza.

Chi volesse sostenere le attività del CERT-IT con donazioni o finanziamenti volontari, può mettersi in contatto direttamente con il CERT-IT o effettuare il versamento sul CC 400/9 presso la CARIPLO, Tesoreria Enti, Via Romagnosi, ABI 6070, CAB 1600, intestato all'Università degli Studi di Milano, specificando nella causale ``versamento a favore del CERT-IT presso il Dipartimento di Scienze dell'Informazione.''

Per saperne di più

Il CERT-IT è raggiungibile al seguente indirizzo:
CERT-IT
Dipartimento di Scienze dell'Informazione
Via Comelico 39, I-20135 Milano
tel: (02) 55006-306 fax: (02) 55006-388
email: cert-it@dsi.unimi.it

Conclusioni

È nostra ferma convinzione che il problema della sicurezza informatica debba essere assolutamente considerato da un qualunque individuo o ente che voglia connettere il proprio calcolatore alla rete Internet. È altresì nostra convinzione che il problema della sicurezza informatica possa essere significativamente minimizzato, purché affrontato con la giusta dose di consapevolezza e di preparazione. Sin dalla sua formazione il CERT-IT ha operato affinché anche nella comunità Internet italiana tali principi potessero essere acquisiti. Riteniamo che a oggi il CERT-IT, per il ruolo sinora svolto e per quello che intende svolgere, possa rappresentare un punto di riferimento per tutti gli utenti italiani della rete Internet che abbiano interesse a risolvere o ad approfondire problemi relativi alla computer security.

Yotta Tecnologie S.r.l.
C.so Svizzera, 185 10149 Torino - Tel. 011 0700900 Fax 011 0700032
info@securegroup.it - www.securegroup.it
Privacy policy