Eccoci al secondo bersaglio, nascosto presso il Centro Studi città Di Orvieto, proprio in piazza del Duomo. La struttura di base è sempre la stessa già presentata: access point, sistema Windows, sistema *NIX più il solito firewall IPCop connesso in VPN con la Situation Room.
Il sistema windows in questione era un XP Pro con una installazione standard mentre il sistema *NIX era un vetusto ma interessante RISC 6000 IBM con sistema operativo AIX. 
Gli indirizzi assegnati erano per windows 192.168.2.150, per AIX 192.168.222 mentre all’access point era stato assegnato il 192.168.2.212. Veniamo alle vulnerabilità inserite.
Per windows abbiamo previsto un caso classico per un pc installato sia in ufficio che a casa quando non vengano tenute di conto le più elementari misure di sicurezza. Infatti, era stato lasciata libera la condivisione dell’intero disco C ed il VNC server era stato configurato con accesso senza password. Per compensare almeno in parte la semplicità di queste vulnerabilità, l’indizio era un pelino più difficile da individuare, essendo stato nascosto all’interno del file hosts nella sua locazione standard, ovvero in c:\windows\system32\drivers\etc\hosts. L’indizio conteneva la latitudine del bersaglio 4.
Su AIX, la vulnerabilità prevista era effettivamente un po complessa. Per cominciare NFS era stato configurato per esportare la /home accessibile ad eweryone con la possibilità per l’attaccante di sfruttare una vulnerabilità di RPC (il riferimento è il cve-1999-0168), oppure di configurare la macchina attaccante per spoofare una macchina accreditata.
Altra soluzione era ricorrere all’ingegneria sociale. So di almeno un gruppo che ha tentato questa strada, purtroppo senza successo. Era necessario individuare, ad esempio tramite finger, il nome utente del sistema, magari provando con i nomi degli organizzatori di CAT2009, e trovare la relativa password. L’utente configurato in questo caso era “paolo” (si, proprio io…) e la password… Sapete cosa si racconta nei corsi di sicurezza di base? “Non usate password facili, il nome del figlio, la data del matrimonio, il nome del gatto…”. Beh, adesso vi ho detto tutto. Bastava farsi un giro sul sito di “paolo”, ricavabile dalle pagine del sito ufficiale di CAT2009, ovvero blog.solution.it. Volete provare? 🙂
L’indizio stava in /home/paolo, in un file denominato “cat2009” e conteneva la longitudine del bersaglio 4.
Fra qualche giorno pubblicheremo il prossimo articolo, dedicato questa volta al bersaglio 3.
#1 by Lezan on 24 Luglio 2009
Maledetto bersaglio numero due 😀 e maledetti noi eheh
#2 by crossbower on 25 Luglio 2009
La mitica macchina AIX 🙂
Mi pare che il problema delle “exports” di NFS ne parlava anche “Improving the Security of Your Site by Breaking Into it”.
Ioan il canadese ha definito quello macchina “Damn cool”, quindi se l’anno prossimo farete ancora hacking anacronistico non ci lascieremo sfuggire la macchina.
😀
#3 by Roby on 27 Luglio 2009
Veramente il file con l’indizio nella macchina Windows era in bella vista sul Desktop. 🙂
Problemi di copia e incolla?
#4 by aspy on 28 Luglio 2009
Uhm… Nel progetto doveva essere dentro hosts… Misconfiguration ? 🙂
Però così era davvero troppo facile!