Mondo
Secondo Microsoft, le password si stanno trasformando da una misura di sicurezza in un fattore di rischio per i sistemi informatici.
Sembra infatti che un nuovo virus si stia diffondendo a causa della scarsa fantasia con cui vengono scelte le password di amministrazione del sistema.
Il programma nocivo, noto come ¿MySQL bot¿ o SpoolCCL, infetta i Pc dotati di sistema operativo Windows e di database open source MySQL.
Lo ha reso noto l¿Internet Storm Center, secondo cui il worm ha infettato finora poche centinaia di computer, ma la sua portata potrebbe anche estendersi.
Il programma, che infetta i sistemi Windows che utilizzano software database, somiglia effettivamente al virus Slammer, diffuso in Rete un paio d¿anni fa: per lanciare l¿attacco, esso deve prima connettersi come utente ¿root¿.
Il worm ottiene l¿accesso iniziale al database ¿forzando¿ la password dell¿amministratore di sistema (nel bot è inclusa infatti una lunga lista di password, tra quelle più comuni) e avvia poi un altro tipo di programma che, come avviene tipicamente per i cosiddetti bot, connette il Pc infettato si a un server IRC, sostanzialmente un computer in grado di ricevere ed inviare in tempo reale messaggi di testo.
MySQL è il database open source per eccellenza. Cresciuto molto in questi anni, è diventato il DBMS più utilizzato dalla comunità open source e apprezzato anche da chi usa server diversi da Linux.
Ciò vuol dire che solo una piccola parte dei Pc connessi alla Rete in circolazione corre il rischio di essere infettato e compromesso dal bot MySQL.
La falla utilizzata dal worm per guadagnare il controllo di un sistema vulnerabile è stata scoperta a metà del 2004 e il codice per sfruttarla è comparso a dicembre.
Nota come MySQL UDF Dynamic Library flaw, la vulnerabilità è causata non dal software stesso, ma dalla ¿debolezza¿ della password utilizzata a sua difesa.
Lo Storm Center consiglia dunque di utilizzare una parola d¿accesso ¿forte¿, soprattutto per l¿account ¿root¿.
Un consiglio da seguire, comunque, ogni qual volta si sceglie una password, per qualsiasi servizio: gli hacker, infatti, utilizzano diversi sistemi per identificarle, tentando di indovinare parole e frasi probabili quali nomi di figli, città di nascita e squadre sportive locali, usando un programma automatico che include un file di testo delle parole.
O anche mediante strumenti più sofisticati come il dizionario non in linea, ovvero acquisendo una copia del file in cui sono memorizzate la copia hash o crittografata di account e password dell”utente, quindi usando un programma automatico per determinare la password per ogni account. Questo tipo di attacco può essere completato molto rapidamente se un utente malintenzionato riesce ad acquisire una copia del file delle password.
E ancora mediante attacco brute-force, ossia quello utilizzato dal worm in questione. Si tratta di una variazione degli attacchi del dizionario, tuttavia è progettato per identificare le password che potrebbero non essere incluse nel file di testo utilizzato negli attacchi.
Anche se gli attacchi brute-force possono essere eseguiti in linea, a causa della latenza e della larghezza di banda della rete, vengono in genere eseguiti non in linea mediante l”utilizzo di una copia del file delle password del sistema.
In questo tipo di attacchi, spiega Microsoft, viene utilizzato un programma automatico che genera valori hash o crittografati per tutte le password possibili e li confronta con i valori del file delle password dell¿utente.
© 2005 Key4biz.it
