NUKENABBER

Non è un vero e proprio firewall, ma questo programma monitorizza e chiude le porte del vostro pc in qualsiasi caso di tentativo di intrusione.Facile piccolo e sicuro, a mio parere è il minimo che si possa installare!!!

come si setta correttamente il nukenabber

Cyber - Sistemi di difesa.

[01] Proteggere il sistema - Info generali ^ 

La prima regola fondamentale e' di non eseguire __MAI__ alcun file che non sia di provenienza piu' che accertata. Questo ancor di piu' se si e' soliti, per esempio, chattare con mIRC o ICQ e qualche interlocutore vi spedisca dei file. Non eseguiteli, neanche se promettono di farvi materializzare dal modem una Pamela Anderson nuda e disponibile :-)) Il pericolo puo' essere maggiore di quello costituito da un virus "tradizionale". In ogni caso, poiche' prevenire e' meglio che curare, due programmi di utilita' sono: 

- Nuke Nabber (http://tucows.iol.it, http://volftp.tin.it) - AVP System Monitor (http://www.avp.it/utility) 

Il primo e' un antinuke che pero' ha il difetto di aprire le porte per controllarle; dovrebbe esistere pero' una patch che serve a chiuderle. Il secondo e' un anti-BO/monitor di sistema, freeware, scritto da Paolo Monti (l'autore e' reperibile su it.comp.irc). Per utilizzare NukeNabber bisogna avere Winsock 2 o superiori (attualmente siamo alla 2.2), se si hanno versioni precedenti l'aggiornamento e' scaricabile come al solito dal sito Microsoft o da vari archivi ftp (con VOLftp si va tranquilli); la versione 2 o superiore del Winsock e' necessaria per la scansione ICMP. 

Questo introduce un'altra regola di base, che e' quella di tenere costantemente aggiornato il sistema nelle sue componenti vitali come lo stack TCP/IP, per evitare di esser vittime di vecchi bug corretti da versioni successive del software.


[01a] Come si configura correttamente il Nuke Nabber? ^

Come gia' indicato sono necessarie le winsock 2.x per utilizzare tutte le funzioni dello stesso (per incisio, se lo si utilizza su di un sistema winNT, oppure in rete locale con macchine UNIX e' possibilie configurare le attivita' di logging rispettivamente nell' event monitor oppure verso il demone syslogd). Vi sono due filosofie d' utilizzo di questo sw:(a) Permettergli di controllare tutto il controllabile, (b) Sintonizzarlo solo ed esclusivamente dove e' utile; la seconda serve ad evitare che il sistema sia vittima di attachi che richiedono "porte aperte" e che il Nabber non e' in grado di gestire. Quando il Nabber controlla una porta, questa viene lasciata aperta (vedi sez. TCP/IP), dovrebbe esistere una patch per effettuare una chiusura preventiva [[dove ?????]], solo dopo uno scan e/o attacco questa viene chiusa. Configurare il Nabber, in File -> Options -> General almeno due opzioni devono essere selezionate: "Block port scan" (chiude le porte dopo uno scan) e "Disable port for....." (evita di riaprirle per X secondi). Poi, in File -> Options -> Advanced si possono controllare le attivita' di monitoring sulle porte. Se si decide per (a) (vedi sopra) indicare le porte segnate con (a) alla voce monitoring nell' elenco presente in [PORT-Appendice] e riportate anche qui per brevita'.


NukeNabber di default controlla le seguenti porte:

- 5001 (tcp), 5000 (tcp), 1080 (tcp), 1032 (tcp), 1029 (tcp), 1027 (tcp),

- 139 (tcp), 138 (tcp), 137 (tcp), 

Queste devono restare, ma disinstallando NetBIOS o installando WinNuke95 e selezionando "Patch against Nuke", le si puo' togliere. 

- 129 (tcp), ma non e' un servizio standard.

- 53 (tcp), 

si puo' togliere, a meno di non avere un DNS sul PC, accessibile dall'esterno. 

- 19 (udp). 

su Windows 95 non c'e' il servizio chargen corrispondente alla porta. Su WinNT, va elimitato, dal pannello di controllo "Small TCP Services", perche' si puo' indurre NT a cortocircuitare le proprie porte 19 e 53, con risultati non proprio esaltanti. Con Windows 95/98 no (non c'e' il servizio). 

Vanno aggiunte invece le seguenti: 
- 31337 (udp), Porta di default del Bo. 
- 61466 (tcp), 50505 (tcp) 
- 12345 (tcp), 12346 (tcp),porte utilizzate da NetBus.

Se si segue la filosofia (b) ci si limitera' a: ICMP / 139 (TCP) / 19 (UDP) 

Si tenga comunque presente che - gli scan alla ricerca di backdoor/server vari non sono pericolosi in quanto tali - il Nabber e' veramente essenziale solo se si utilizza IRC, dal momento che ci sono persone che attaccano sistematicamente tutti quelli che si affacciano su di un canale.


[02] Le componenti di rete, ovvero: cosa tengo e cosa tolgo? ^

Anzitutto, se possibile. togliere assolutamente i protocolli NetBEUI e IPX/SPX, o almeno il binding con Accesso Remoto (se si ha Windows). Questi servono per reti locali e non per Internet; nel caso di un computer a casa collegato a Internet con modem e accesso tramite provider su linea telefonica, nelle proprieta' della Rete dovrebbe esserci solo Scheda di Accesso Remoto e TCP/IP in binding con essa. Eliminare se possibile anche il client per reti Microsoft. Condivisioni: eliminare o, se necessarie, proteggere con password le directory condivise. I protocolli NetBEUI e IPX/SPX non devono comunque essere associati ad Accesso Remoto ma solo al driver della scheda di rete.


[03] Ma se tolgo il Client per reti MS non mi memorizza piu' la password!!! ^ 

Meglio!!! ^__^ Ogni informazione memorizzata nell'hard disk e' a disposizione dell'hacker oppure lamer di turno. Almeno gli si renda la vita piu' difficile non facendogli trovare bello e pronto quel che cercano. I file .pwl di Windows, poi, dove vengono memorizzate le password, non sono certo difficili da decifrare (vedi patch per la sicurezza che Microsoft ogni tanto emette). Ricordo che se qualcuno vi frega la pass di accesso a Internet poi si puo' connettere e per il provider (E PER L'AUTORITA' GIUDIZIARIA) sarete voi a esservi connessi e ad aver commesso eventuali atti illeciti. A meno che riusciate a dimostrare di essere stati craccati (della serie, campa cavallo...).


[04] Quali porte controllare con NukeNabber? ^ 

NukeNabber di default controlla le seguenti porte:

- 5001 (tcp), 5000 (tcp), 1080 (tcp), 1032 (tcp), 1029 (tcp), 1027 (tcp),

- 139 (tcp), 138 (tcp), 137 (tcp), 

Queste devono restare, ma disinstallando NetBIOS o installando WinNuke95 e selezionando "Patch against Nuke", le si puo' togliere. 

- 129 (tcp), ma non e' un servizio standard.

- 53 (tcp), 

si puo' togliere, a meno di non avere un DNS sul PC, accessibile dall'esterno. 

- 19 (udp). 

su Windows 95 non c'e' il servizio chargen corrispondente alla porta. Su WinNT, va elimitato, dal pannello di controllo "Small TCP Services", perche' si puo' indurre NT a cortocircuitare le proprie porte 19 e 53, con risultati non proprio esaltanti. Con Windows 95/98 no (non c'e' il servizio). 

Vanno aggiunte invece le seguenti: 

- 31337 (udp), Questa e' la porta di default del Bo.
- 61466 (tcp), Master Paradise 
- 50505 (tcp), icqtrogen 
- 12345 (tcp), 12346 (tcp). Su queste porte puo' arrivare una connessione a NetBus. 

Attenzione che NukeNabber e' un programma di monitoraggio e non una protezione vera e propria. Esso consente di sapere se le porte sotto controllo sono sotto attacco, ma non e' efficace contro attacchi tipo Land, Boink, Teadrop I e II, Ssping ecc...


[05] Cosa uso per controllare l'attivita' di rete del mio computer? ^ 

DOS Win95 Linux 
tracert tracert traceroute 
ping ping ping 
netstat netstat netstat 
nbtstat nbtstat nbtstat 
- NukeNabber tcplogd 
- - tcpd 
- NukeNabber(?) icmpd 
- - strobed 
- - - 
route route (1) route 
- aggressor aggressor 
fdisk fdisk fdisk 
- win startx ;-) 
- office staroffice 
pov pov32 povray 

(1) Non funziona bene (2) Children, DO NOT DO THIS AT HOME 

(C) Cyberarmy corporation le informazioni rilasciate sono a titolo formativo. 


[06] Password mantenute in cache ^ 

Un piccolo suggerimento per tutti: e' possibile evitare l'uso delle cached password modificando una chiave nel Registry. Basta impostare al valore 1 la seguente chiave: 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ Network\DisablePwdCaching 


[07] Ho il programma WinTOP dei Kernel Toys. Serve a qualcosa? ^ 

Si'. WinTOP (che si puo' lanciare da Avvio[Start]/Esegui, scrivere wintop.exe<RETURN>) mostra un elenco di tutti i processi attivi nel computer, con la possibilita' per ognuno di essi di avere l'elenco deithread generati. A differenza della finestra che appare premendo CTRL- ALT-DEL, in WinTOP viene mostrato tutto quello che e' in esecuzione, e quindi si possono individuare cose "non regolari". 

Idle, kernel32, msgsrv32, mprexe, mmtask, explorer, rundll32 sono task di sistema. Per vedere i dettagli di un processo, cliccate con il tasto destro e scegliete Properties: qui in due schede sono mostrate, appunto, le proprieta' del processo. Quello che interessa e' la seconda, dove puo' essere presente un bottone "Terminate process now", che permette appunto di uccidere il processo. Il bottone e' disponibile sui processi contrassegnati dalla finestra, mentre quelli contrassegnati dalla ruota dentata non possono essere terminati in questo modo. 

Attenzione: WinTop non permette di effettuare la chiusura dei processi con caratteristiche di servizi di sistema, mentre con AVP System Watch e' possibile fare anche questa operazione.


[08] E' vero che si possono far eseguire dei programmi dannosi allegandoli a un messaggio e-mail? ^ 

Dipende da cosa si intende dire. In generale, una mail e' costituita da una sequenza di caratteri ASCII, che vengono mostrati in una finestra del programma di posta elettronica, ma non sono eseguiti. La mail puo' pero' contenere un allegato di tipo qualunque, e ai fini della sicurezza del sistema interessano due classi di file: eseguibili (.exe, .com) e binari creati da applicazioni che hanno un certo livello di programmabilita' per mezzo di macrolinguaggi (documenti Word o Excel, per esempio). Il testo della mail non e' pericoloso, al contrario di quel che dicono dei messaggi terroristici che periodicamente spammano i newsgroup. 

Il discorso cambia per gli allegati suddetti. Un file di Winword puo' contenere una macro che in realta' e' un macrovirus, e la sua apertura CON WINWORD puo' infettare il computer col virus stesso. Un file eseguibile puo' anch'esso essere infetto. Non si proseguira' qui sul discorso dei virus, esistendo un newsgroup dedicato ad essi, cioe' it.comp.sicurezza.virus, e le relative FAQ. 

I pericoli che possono nascondersi negli eseguibili non sono pero' finiti. Un eseguibile puo' nascondere un trojan o una backdoor, ed eseguendolo vengono installati questi ultimi. Qui il trucco non sta solo nell'avere programmi antivirus e di monitoraggio aggiornati e sofisticati, ma soprattutto in un settaggio furbo del programma di posta. Questo deve essere impostato in modo che gli allegati "sensibili" non vengano aperti direttamente cliccandoci sopra, ma salvati su disco per poterli passare con comodo all'antivirus e agli altri controlli. In poche parole, un .jpeg puo' essere automaticamente aperto, un documento Word NO, NO, NO, NO, NO (ripetere n volte, con n->oo) e neppure un eseguibile.


[09] Posso proteggere un file o una directory sotto Windows da accessi indesiderati? ^ 

Certo. Naturalmente, a causa della natura intrinsecamente insicura di Windows (TUTTE le versioni dal 98 in giu') dovuta al fatto che si tratta di un sistema sostanzialmente monoutente, questo e' impossibile in maniera nativa, e i programmi che si possono trovare sono tutti piu' o meno aggirabili (basta un boot da dischetto per accedere al sistema, anche se da DOS puro, a meno di disabilitarlo dal BIOS). 

Se la partizione in cui si trova il file/directory da proteggere e' formattata FAT-16 (cosa facilmente verificabile con un click destro sulla unita', scegliendo Proprieta'/Generale e controllando la presenza o meno della dicitura FAT-32 accanto alla riga Tipo: Disco locale), c'e' pero' un trucco semplice, che necessita di un programma come il buon vecchio PC-tools. 

Per facilitare le cose, si mettano i file in un'unica directory, chiamata ad esempio "VARIEK". Riavviare in Modalita' MS-DOS (NON il prompt!!!), lanciare PC-tools, localizzare la directory VARIEK e sostituire la K con ALT+255; questo e' un carattere che sembra lo spazio, e l'effetto e' di rendere la directory inaccessibile sia da DOS che da Windows. Per entrarvi, occorre utilizzare di nuovo PC-tools e rimpiazzare ALT+255 con un carattere alfanumerico. La cosa puo' sembrare macchinosa, ma e' possibile scrivere un programma che faccia il cambio in automatico, cosicche' per entrare nella directory e accedere ai file contenuti basta lanciare il programmino e una volta finito rieseguirlo per compiere l'operazione opposta. Stessa cosa per i nomi dei singoli file, per esempio per creare in dos dei file con spazi inframezzati, o in Windows (3.1 o anche 95) scrivere file che windows non puo' rileggere se non dopo accurata modifica del nome.


[10] Ho messo sotto controllo la porta 31337. Sono al sicuro? ^ 

Non direi. Pe default, il BO apre in listening una sola porta TCP/UDP: la 31337 (in realta' sono due, dal momento che le porte TCP sono diverse da quelle UDP, anche se hanno lo stesso indirizzo). Volendo e' possibile impedire/monitorare il flusso di dati da certe porte, i firewall servono proprio a questo (ad es., Conseal o Green Dog). Il problema e' che il BO puo' essere configurato per "ascoltare" anche da porte diverse da quella di default. 

Se avete capito qualcosa bene, se funziona meglio. Copiatevi la pagina perchè non ripeterò nulla!!

(Cyberarmy Corporation alias Cybermix - Death Star)

TUTTE LE SEZIONI LIVE DEL CRYOGENTEAM - APERTE A TUTTI SENZA LIMITI DI ADESIONE - INSERIMENTI - PARTECIPAZIONE -


The Hall Of fame ... donne speciali x un sito speciale
http://www.cryogenteam.com/erotismo/cybertop/

WEBBOOK - IL VOSTRO BOOK FOTOGRAFICO ONLINE
http://www.cryogenteam.com/erotismo/webbook

CHI VUOL ESSERE " LAMPADARIO " ?? lo accendiamo ??
http://www.cryogenteam.com/lampadarioweb.htm

Nuovi video amatoriali fatti da voi !!
http://www.cryogenteam.com/erotismo/videociaps/

Speciale Motor Show Donne e non motori !!!
http://www.cryogenteam.com/erotismo/motorshow

Calendario web fatto da voi e per voi
http://www.cryogenteam.com/calendario2006.htm

Foto annunci
http://www.cryogenteam.com/erotismo/animeribelli

Operazione sottoveste
http://www.cryogenteam.com/erotismo/007/

Cul From The World ... Culi dal mondo :)
http://www.cryogenteam.com/erotismo/culfromtheworld/ 

Babba Natale Sexy
http://www.cryogenteam.com/special/natale/babbanatale/

Calze & Collant
http://www.cryogenteam.com/erotismo/collant/

 

 








Prova gratis  la mitica Video Chat con webcam del Cryogenteam