Repository 32bit  Forum
Repository 64bit  Wiki

Leggerezza su scanning porte altrui

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.

Leggerezza su scanning porte altrui

Messaggioda albatros » lun apr 24, 2006 21:13

Salve a tutti.

Vorrei un consiglio su come dovrei comportarmi in seguito a una mia leggerezza.
Ieri sera ero in compagnia di un mio amico che lavora con macchine windows e, alla sua richiesta di fargli vedere di quali tool per la rete disponesse Linux, pensando fosse cosa frequente e, soprattutto, LEGALE, ho lanciato un semplice nmap al server dell'azienda per cui lavora attualmente e al server dell'azienda per cui aveva lavorato in precedenza.
Ho poi usato alcune volte dig, whois e nslookup, ma questo lo riporto solo per completezza perché è perfettamente legale...
Volevo poi fargli vedere come con telnet si potevano fare richieste http alla porta 80 del server (dove ho poi visto era in ascolto apache), dimenticandomi però per errore la prima volta di specificare la porta (non ottenendo quindi nessuna connessione).
Scherzavo sulla faccenda e sulle possibili conseguenze del port scanning, ritenendole, superficialmente, inesistenti perché, nella modalità "a volto scoperto" e all'acqua di rose, senza nessun tentativo reale di accesso, credevo fosse pienamente legale quanto stavo facendo.
Sono cominciati però subito dopo, in particolare pensando al telnet andato a vuoto, i dubbi, che stasera, ripensandoci, sono aumentati tanto da spingermi a chiedervi un parere.
Ho letto http://www.slacky.it/forum/viewtopic.php?t=7192
http://www.crimine.info/public/criminei ... matico.htm
http://www.diritto.it/materiali/tecnolo ... imone.html
e l'articolo 615 ter del codice penale e sinceramente non mi sento più tanto tranquillo...
Ovvero, non ho messo in atto nulla di pericoloso, però un amministratore un po' scrupoloso mi potrebbe creare dei problemi...
Credete sia il caso di contattare gli amministratori del server o di lasciar perdere, essendo stata in fondo un'azione senza cattive intenzioni, senza alcuna reale minaccia e isolata?
Il fatto è che utlizzavo un pc non mio, ma di un'associazione di cui faccio parte su cui facevo girare knoppix e mi scoccerebbe se venisse anch'essa tirata in ballo...

A parte la raccomandazione di non farlo mai più se non su macchine mie o al limite con un esplicito e dettagliato accordo scritto con l' amministratore se non lo fossero, che cosa mi suggerireste di fare?

Grazie a tutti.
Avatar utente
albatros
Iper Master
Iper Master
 
Messaggi: 2056
Iscritto il: sab feb 04, 2006 13:59
Località: 43°52' N 11°32' E
Slackware: current 64bit
Kernel: 3.8.4
Distribuzione: ubuntu 12.04

Messaggioda Absolut » lun apr 24, 2006 22:53

Prova a mettere su un firewall tipo zone allarm su windows.... guarda quanti tentativi si scan o telnet ti arrivano!!! se attivi i pop up... te ne compare uno al secondo!!!

Stia pure tranquillo quindi.....
Avatar utente
Absolut
Linux 3.x
Linux 3.x
 
Messaggi: 1465
Iscritto il: gio feb 10, 2005 0:00
Località: Roma
Slackware: current

Messaggioda DaNiMoTh » mar apr 25, 2006 8:25

Un mio amico (!!!) e` da anni che nmappa allegramente. Nessuno, mai, gli ha bussato alla porta. Nessuno si prenderebbe l'impegno di denunciare ogni tentativo di scan... Se fosse un'attacco, beh la faccenda sarebbe diversa, ma non e` il tuo caso.

Direi che puoi stare tranquillo, secondo me hai quelle "crisi da prima volta", passera` :)
Avatar utente
DaNiMoTh
Linux 2.6
Linux 2.6
 
Messaggi: 941
Iscritto il: mar nov 30, 2004 0:00
Località: irc.syrolnet.org /// #slackware

Messaggioda Vlk » mar apr 25, 2006 10:07

Beh, sono io quello che provò col cugino.
Premesso che con mio cugino posso anche entrare nel pc senza che abbia ricadute legali (ma comunque non ho le capacità per farlo), mi fu spiegato che i lamer che fanno le scansioni le fanno su un dato range di ip, nel quale possono esserci ovviamente anche pc di aziende. Siccome queste scansioni ne fanno una ogni secondo, gli amministratori di sistema anzichè denunciarle al provider, che probabilmente riderebbe, programmano il firewall in modo da ignorare qualunque cosa provenga dall'ip che ha fatto la scansione.
p.s. ma se tutte le porte risultano stealthed il mio ip sarà visibile alla scansione? Suppongo che sono visibili solo se si fa una scansione con -P0, giusto?
Vlk
Linux 2.6
Linux 2.6
 
Messaggi: 671
Iscritto il: mer feb 09, 2005 0:00

Messaggioda ZeroByte » mar apr 25, 2006 11:18

Questo è un annoso problema, che comunque ora se non sbaglio è disciplinato in modo un po' più dettagliato dalla legislazione (e comunque è sostanzialmente sbagliato paragonare un'irruzione in un sistema informatico ad una violazione di domicilio, come scritto in un link che hai postato).
Anni fa, il Provider Libero aveva intentato una causa contro un suo abbonato, in quanto quest'ultimo aveva lanciato un port scanning su un server di proprietà Libero. Questo suo abbonato, non era proprio un semplice "navigatore", bensì un esperto di Sicurezza Informatica (leggi, qualcuno che non si fa fottere così come il primo arrivato...). Senza farla troppo lunga, in aula si è difeso affermando che lui aveva lanciato un port scanning solo per vedere quali servizi erano attivi. Morale: ha vinto la causa.
In generale comunque, bisogna sempre ben distinguere da quello che si fa ad un sistema remoto. Infatti, se da una parte è vero che il port scanning è una delle primissime azioni che si intraprendono per sferrare un attacco ad una macchina, dall'altra è anche vero che se rimane un'azione isolata, ovvero non seguita da altri tentativi, non può avere conseguenze legali.
Dal mio punto di vista, quindi, puoi star più che tranquillo. Anche perché se il System Administrator ha un po' di sale in zucca, non ti portebbe mai in tribunale per una cosa del genere. (E in giro ci sono sistemisti che non sanno nemmeno leggere un file di log... Vabbé!)

ZeroByte
Avatar utente
ZeroByte
Linux 2.0
Linux 2.0
 
Messaggi: 117
Iscritto il: sab feb 11, 2006 22:02
Località: Milano

Messaggioda albatros » mar apr 25, 2006 15:30

Ringrazio tutti quelli che sono intervenuti per l'interessamento.
Mi pare di capire che le scansioni di porte siano abbastanza frequenti e che quanto da me fatto (in dettaglio: nmap <nome-dominio>, telnet <nome-dominio> (per errore, fra l'altro la porta di default, la 23 mi pare, era chiusa), telnet <nome-dominio> 80 e, dal prompt di telnet, get (minuscolo!) index.htm (altro errore, ho dato un comando come con l'ftp, non una cosa tipo GET /index.html HTTP/1.0 )) sia in sostanza insufficiente per far intraprendere all'amministratore del sistema remoto azioni che vadano oltre il conservare il log dei contatti...
Mi pare altresì di capire che non sia dunque consigliabile contattare l'amministratore del sistema scansionato per prevenire segnalazioni da parte sua (che non ci dovrebbero essere) al provider dell'associazione cui apparteneva il pc da me usato...

Il fatto è che, non avendo nulla a che fare con l'amministrazione di server, non sono pratico né del quadro normativo (che credevo fosse più preciso e che comunque non contemplasse come reato la semplice scansione di porte o un telnet dato per errore senza specificare la porta 80, ma solo cose dal provare insistentemente di accedere ad un server ssh in su), né di quanto le scansioni siano frequenti e quanto preoccupino gli amministratori (ieri l'altro pensavo frequentissime e di interesse 0 per gli amministratori a patto che non vengano fatte ripetutamente decine di volte).
Ieri si è fatto però sempre più insistente in me il dubbio di aver sottovalutato la faccenda, che per me era stata solo un giochetto banale e innocente senza finalità aggressive e senza conseguenza o minaccia per la sicurezza di nessuno (che in effetti non ci sono state)...

Basta, d'ora in poi, comunque, starò molto più attento a quello che farò in remoto...
Fra l'altro, non è che sia neanche un grande appassionato di reti, anche se, per completezza, almeno un'infarinatura me la son fattta (leggera, eh, basta vedere come telnetto bene...) :roll:
Per stasera mi darò un po' a esplorare l'assembly, che è un'altra delle mie tante carenze...

Un sentito grazie a tutti e buona giornata!

Gabriele
Avatar utente
albatros
Iper Master
Iper Master
 
Messaggi: 2056
Iscritto il: sab feb 04, 2006 13:59
Località: 43°52' N 11°32' E
Slackware: current 64bit
Kernel: 3.8.4
Distribuzione: ubuntu 12.04


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 1 ospite