Siamo tutti sistemisti

Nota: i miei commenti (quando ci sono) sono in italico

Siamo tutti sistemisti

Un bel giorno di primavera di qualche anno fa, il team ricerca e sviluppo era tutto intento a ricercare (?) e sviluppare (?!?) quando improvvisamente ecco che si concretizza IL PROBLEMA. L'unica stampante condivisa a disposizione per le 20 menti dell'ufficio non sta funzionando.

Per la verita' il problema era gia' noto.

Per una serie di malefatte sistemistiche, la stampante condivisa era collegata a uno dei pc degli utenti. L'utente in questione era una stagista. La stagista doppiocliccava dappertutto e aveva molti amici corrispondenti via e-mail che doppiocliccavano dappertutto pure loro. Ergo: il computer era diventato una sorta di pentolone colmo di virus che tentavano di prendere il controllo di tutta la rete. Stiamo ovviamente parlando di una rete basata su $finestre.

Una cosa buona era stata fatta dal sistemista: dare privilegi pressoche' nulli all'utente STAGE per cui i virus ribollivano nel computer senza riuscire a proliferare all'esterno. Prima o poi il computer sarebbe stato trattato con soda caustica e disinfestato, la stagista cazziata, la posta epurata, salvo poi dover rifare tutto dopo una settimana perche' sulla webmail di $qualcheprovider un suo amico le ha mandato un filmato TAAAANTO carino. Un filmato ".avi.exe".

SL doveva stampare una cosa fondamentale per il suo lavoro, probabilmente lo schema di un origami a forma di ranocchio.

SL: come mai non si puo' stampare? ma possibile che non funzioni mai niente?
IO: il computer e' stracolmo di virus, probabilmente i servizi di condivisione sono andati a donne di facili costumi.
SL: ma il sistemista non c'e'?
IO: oggi no e' in ferie, sara' meglio aspettare che torni lui per sistemare la cosa.
SL: ok in fondo la stampa non era poi COSI' urgente.

Infatti, appena giro l'angolo, SL che si spaccia per apprendista sistemista ed ha quella arroganza che proviene dall'ignoranza e dall'incoscienza, decide che giocare al sistemista poteva essere divertente. Prova a loggarsi sulla macchina, ma non sa la password dell'utente STAGE, e incredibilmente non e' "stage". Dopo alcuni tentativi si stanca, e decide che per risolvere il problema effettuera' il login come amministratore locale!

Ora qui c'e' da fare una piccola premessa. Quando fu installata la rete, c'era un sistemista in erba che sapeva giusto da che parte si guardasse il monitor. Questo ragazzo prendeva direttive dal SUSL di quel periodo, che siccome sapeva tutto, sapeva anche di reti. La prima direttiva fu: metti le password di amministratore locale TUTTE UGUALI cosi' quando dobbiamo fare manutenzione sulle macchine non c'e' da diventare matti a trovare le password.

Sorvoliamo su questa bestialita' e torniamo al nostro SL.

Ore 10:54:22 SL effettua login come amministratore locale sulla macchina della stagista doppiocliccante.

Ore 10:54:23 il virus non crede ai propri byte e ringrazia il coglione che gli ha dato privilegi di amministrazione, ridendosela alla grande.

Ore 10:54:24 il virus si copia tramite le share amministrative C$ su tutti i computer accesi della rete, accedendo come amministratore locale a tutti i pc.

Ore 10:54:25 il virus esegue copie di se stesso in remoto su tutti i computer accesi della rete.

Ore 10:54:26 il virus si copia su tutte le share condivise del fileserver

Ore 10:54:27 il virus si installa sul server di dominio passando da un computer utilizzato dal SUSL per accedere al server stesso, sul quale aveva dimenticato una connessione aperta alla share amministrativa C$ (maledette share!)

Ore 10:54:28 il virus e' in esecuzione e infetta ogni eseguibile del file server, dei computer, del server di posta, del server di dominio.

Ore 10:54:29 il virus scopre di essere in esecuzione sul server di posta, ride alla stragrandissima e comincia a mandare spam raccogliendo e-mail dalle rubriche e approfittando del fatto che trova la porta 25 aperta in uscita.

Un server di posta con la porta 25 chiusa in uscita mi pare un pelo inutile

Ore 10:54:30 il virus scopre di essere in esecuzione sul server di dominio. Il server e' loggato con le credenziali di amministratore di dominio. Devo aggiungere altro?

Ore 10:55 mi accorgo che il mio pc si comporta stranamente. Guardo l'elenco dei processi, rabbrividisco, stacco il cavo di rete, killo i cattivi con un apposito tool.

Ore 10:56 la rete collassa

Ore 10:57 la connessione internet collassa

Ore 10:58 i dischi di tutti i computer frullano come pazzi

Ore 10:59 i commerciali cominciano ad inveire furiosi contro i computer e la rete: non navighiamo, non va la rete, il pc e' lento.

Il server di posta verra' blacklistato nel giro di un'ora, per tornare attivo dopo 48 lunghe ore.

Di tanto in tanto ringrazio le black lists

IO: MA CHE CA$$O HAI FATTO???
SL: Mi son collegato come amministratore locale per togliere il virus e poter stampare.
IO: Idiota totale non hai pensato cosa avrebbe fatto il virus con privilegi di amministrazione? Almeno stacca il cavo di rete!
SL: err... ma la stampante non stampava...
IO: STACCA I COMPUTER DALLA RETE E SPEGNILI TUTTI SUBITO!

Riepilogo della situazione:

Mail swerver: TFU
File swerver: TFU
Domain swerver: TFU
Ufficio commerciale: TFU
Ufficio tecnico: TFU
Ufficio contabilita': TFU
Connettivita': TFU
Notebook di DB: TFU
Computer di test: OK (aveva la password di amministratore locale diversa e non era nel dominio!)

Segue una scenetta di SL che stacca i cavi di rete, spegne i computer uno ad uno, poi prende un foglio da un quadernone a quadretti e lo attacca col nastro adesivo sul monitor. Sul foglio c'e' scritto "VIRUS".

E la telefonata a $venditoreantivirus per una confezione formato gigante no?

Golan Trevize
08/06/2009 14:22

Precedente elenco Successivo

le storie degli ospiti sono in ordine sparso, quindi 'precedente' e 'successiva' possono portare su storie di altri autori

I commenti sono aggiunti quando e soprattutto se ho il tempo di guardarli (io o l'autore della storia) e dopo aver eliminato le cagate, spam, tentativi di phishing et similia. Quindi non trattenete il respiro.

In aggiunta: se il vostro commento non viene pubblicato non scrivetemi al riguardo, evidentemente non era degno di pubblicazione.

18 messaggi this document does not accept new posts

-AT- DB Di Golan Trevize postato il 28/05/2009 10:28

> Un server di posta con la porta 25 chiusa in uscita mi pare un pelo inutile

era (giustamente) l'unico IP dal quale si poteva uscire dalla 25, ovviamente il virus stava provando come un dannato a uscire anche da tutti gli altri IP!

> E la telefonata a $venditoreantivirus per una confezione formato gigante no?

Prima era meglio telefonare a $venditorecervello per una sostituzione fuori garanzia, possibilmente con modello MOLTO superiore!

Golan Trevize

Tommaso

-AT- Golan Trevize Di Tommaso postato il 28/05/2009 11:34

> Prima era meglio telefonare a $venditorecervello per una sostituzione fuori garanzia, possibilmente con modello MOLTO superiore!

Mah così a occhio era ancora incellofanato... forse lo potevi far passare per nuovo, o almeno usato garantito... sai com'è con un timer vita a 0

Il saggio coltiva Linux...

Tanto Windows si pianta da solo.

Kent Morwath

-AT- Golan Trevize Di Kent Morwath postato il 28/05/2009 23:04

> > E la telefonata a $venditoreantivirus per una confezione formato gigante no?

> Prima era meglio telefonare a $venditorecervello per una sostituzione fuori garanzia, possibilmente con modello MOLTO superiore!

Mah, lasciare una macchina infetta collegata alla rete per quanto usata solo da un utente con privilegi limitari è comunque un rischio - basta anche solo un supporto rimovibile o il messaggio di posta sbagliato. La mia policy è che tali macchine vengono terminate irreversibilmente e immediatamente (aka formattazione). Si possono spostare solo documenti e dopo attenta scansione su macchina scollegata dalla rete (dopo aver aggiornato gli AV, ovviamente).

Volendo in Windows le share amministrative si possono rimuovere definitivamente, anche se qualche tool di gestione remota potrebbe poi non funzionare.

Kent Morwath

Golan Trevize

-AT- Kent Morwath Di Golan Trevize postato il 29/05/2009 09:28

> Mah, lasciare una macchina infetta collegata alla rete per quanto usata solo da un utente con privilegi limitari è comunque un rischio

Sono d'accordo, ma e' compito del responsabile dei sistemi gestire queste problematiche. Se il responsabile decide che va bene aspettare qualche giorno perche' in altre faccende affaccendato a me va bene, purche' si prenda la responsabilita' della cosa.

Quel che non mi va bene e' che un altro si prenda delle responsabilita' che non ha senza avere la percezione di quel che sta facendo.

> Volendo in Windows le share amministrative si possono rimuovere definitivamente, anche se qualche tool di gestione remota potrebbe poi non funzionare.

Alle fine e' una di quelle comodita' che quando non ci sono infastidiscono. Bisognerebbe pero' usarle con criterio e ricordarsi il net use /delete per evitare di lasciare credenziali in giro, visto che con $IPC si fa veramente di tutto (nel bene e nel male)

Golan Trevize

Rggb

-AT- Golan Trevize Di Rggb postato il 06/06/2009 18:42

[Cito]

> > Un server di posta con la porta 25 chiusa in uscita mi pare un pelo inutile

> era (giustamente) l'unico IP dal quale si poteva uscire dalla 25, ovviamente il virus stava provando come un dannato a uscire anche da tutti gli altri IP!

Mi sembrate un po' confusi...

Ciao,

Rggb

Golan Trevize

-AT- Rggb Di Golan Trevize postato il 08/06/2009 12:57

> [Cito]

> > era (giustamente) l'unico IP dal quale si poteva uscire dalla 25, ovviamente il virus stava provando come un dannato a uscire anche da tutti gli altri IP!

> Mi sembrate un po' confusi...

Rete in NAT. C'è un firewall.

Tutti i computer della rete non possono collegarsi a nessun indirizzo esterno sulla porta 25, proprio per evitare che un virus/trojan utilizzi un smtp integrato per mandare pattume.

L'unico server che può connettersi attraverso la porta 25 ad altri server su internet è il server di posta, per ovvi motivi.

Chi è confuso?

Golan Trevize

Rggb

-AT- Golan Trevize Di Rggb postato il 08/06/2009 19:21

> Rete in NAT. C'é un firewall.

C'ero arrivato, grazie Il problema e': che ci stava a fare?

> Tutti i computer della rete non possono collegarsi a nessun indirizzo esterno sulla porta 25, proprio per evitare che un virus/trojan utilizzi un smtp integrato per mandare pattume.

Mi capita spesso di dover togliere trojaj da sistemi Finestrelle, anche perche' in genere almeno al relay ci arrivano e cercano di mandare altri trojaj via SMTP. A tutti. Di continuo.

Si vede questo era un po' un neccio-virus. Certo va da se che per incartare un PC col programma di Guglielmino Cancelletti ci vuole ben poco.

> L'unico server che puá² connettersi attraverso la porta 25 ad altri server su internet é il server di posta, per ovvi motivi.

> Chi é confuso?

Tu: "uscire dalla 25" o anche "attraverso la porta" sono molto carine

Vabbene, solo problema e' intendersi e ci siamo capiti [in fondo e' un po' colpa anche della CicoSistemi, con le sue interfacce Javaclick che ti fanno vedere le freccette del traffico che va daquiala', gli schemini, le iconcine degli utentini, se lasciavano solo la console... gli sta bene cosi' imparano].

Ciao,

Rggb

Golan Trevize

-AT- Rggb Di Golan Trevize postato il 09/06/2009 10:33

> > Rete in NAT. C'é un firewall.

> C'ero arrivato, grazie Il problema e': che ci stava a fare?

il NAT a NATtare. Il firewall a firewallare $:-\)$

> perche' in genere almeno al relay ci arrivano e cercano di mandare altri

Il relay è filtrato sulla 25, come tutta internet. Anche se il virus utilizzasse un servizio su HTTP (la porta 80 è aperta in uscita e non c'è un proxy) per ottenere dati utili, non potrebbe utilizzarli comunque a causa delle impostazioni del firewall.

L'unico modo per spedire posta via SMTP è utilizzare il server di posta locale.

A voler essere pignoli, un altro modo ci sarebbe: se si crea un tunnel connettendosi a una porta non filtrata (es. 80, 443) e si utilizza il protocollo SMTP attraverso questo tunnel. Alquanto inutile in questo contesto.

> > Chi é confuso?

> Tu: "uscire dalla 25" o anche "attraverso la porta" sono molto carine

Non siamo su un forum tecnico. Credo che sia bello mantenere un tono discorsivo, come del resto fa sempre anche Davide.

Credo che sia chiaro cosa intendevo dire senza dover postare le regole di pf o il dump di wireshark.

> Vabbene, solo problema e' intendersi e ci siamo capiti [in fondo e' un po' colpa anche della CicoSistemi, con le sue interfacce Javaclick che ti fanno vedere le freccette del traffico che va daquiala', gli schemini, le iconcine degli utentini, se lasciavano solo la console... gli sta bene cosi' imparano].

Mai viste queste interfacce. Non sono un sistemista!

E il problema era proprio solo intendersi per farsi eventualmente una risata.

E direi che ci siamo intesi!

-- Golan Trevize

Eugenio Dorigati

una rete di $finestre Di Eugenio Dorigati postato il 28/05/2009 17:54

Deduco che in quel azienda siano tutti puristi di linux ed espertissimi di sicurezza...per curiosità, dopo l'accadito è entrato qualche pinguino e/o hanno diversificato le password di amministratore (e, cigliegina sulla torta, preventivamente evitato di darle la mondo intero)?

-- "Unix IS user friendly. It's just selective about who its friend are"

Golan Trevize

-AT- Eugenio Dorigati Di Golan Trevize postato il 29/05/2009 09:23

> Deduco che in quel azienda siano tutti puristi di linux ed espertissimi di sicurezza...

Linux, dici quello col la schermata nera dove si scrive e basta?

Prima c'era un sistemista con le balle esagonali che ha fatto delle cose spettacolari, per fortuna che mi son fatto insegnare qualcosa!

&gter curiosità, dopo l'accaduto è entrato qualche pinguino e/o hanno >diversificato le password di amministratore (e, cigliegina sulla torta, &gtreventivamente evitato di darle la mondo intero)?

Il pinguino (in realta' OpenBSD) e' nel firewall/gateway, visto che di fare un firewall ridondato in CARP con $finestre te lo sogni.

Ditta piccola, ruoli non ben definiti, competenze non sempre ottimali. I soliti problemi delle PMI (per lo meno per la mia esperienza). Poi si lavora e ci si salta fuori, pero' certe volte e' un po' avvilente.

Se non altro, adesso le password di admin locale sono diverse

E il dominio e' stato zappato per "semplificare" la rete.

Golan Trevize

kimj

-AT- Golan Trevize Di kimj postato il 29/05/2009 20:49

prendere windows e buttarlo nel cesso?

immagino che non abbiate bisogno di autocad

kimj

Kent Morwath

-AT- Golan Trevize Di Kent Morwath postato il 01/06/2009 10:58

> Ditta piccola, ruoli non ben definiti, competenze non sempre ottimali. I

In realtà il problema è proprio quello, non è Windows, è chi insiste ad usarlo come se fosse WfW 3.11... Difatti la macchina Windows configurata correttamente aveva impedito al virus di espandersi - l'errore è stato tenersi una bomba ad orologeria attiva pronta ad esplodere al primo errore.

> E il dominio e' stato zappato per "semplificare" la rete.

Così avete solo diminuito la sicurezza. Ad esempio avete detto bye-bye a Kerberos e state usando NTLM per l'autenticazione - e ben presto per dare accesso alle risorse "condivise" le macchine diventeranno un gruviera di permessi, nessun modo di decidere le policy centralmente e applicarle automaticamente. Contenti voi...

A chi voglia diventare un sistemista Windows "serio" consiglio di leggere "Hardening Windows Systems" di Roberta Bragg, perché sicuramente uno dei difetti di Window è che la configurazione di "default" non è abbastanza sicura, per motivi di compatibilità - ad esempio chi si ricorda di alzare il livello del dominio non avendo vecchi OS in giro?

Kent Morwath

orangotango

migrazione? Di orangotango postato il 29/05/2009 19:20

> Mail swerver: TFU

> File swerver: TFU

> Domain swerver: TFU

Forse potresti sfruttare l'occasione per trasferire questi tre su qualche unix/linux.

Hai messo i tempi di "distruzione" del sistema informatico ma non i tempi di ripristino, quanto ci hai/avete/ha impiegato per far ritornare tutto operativo?

Ciao.

-- orangotango

Kent Morwath

-AT- orangotango Di Kent Morwath postato il 03/06/2009 20:38

> > Domain swerver: TFU

> Forse potresti sfruttare l'occasione per trasferire questi tre su qualche unix/linux.

Il domain controller su qualche unix/linux? 8-O

-- Kent Morwath

Golan Trevize

-AT- orangotango Di Golan Trevize postato il 08/06/2009 13:04

> > Mail swerver: TFU

> > File swerver: TFU

> > Domain swerver: TFU

> Forse potresti sfruttare l'occasione per trasferire questi tre su qualche unix/linux.

Linux? Quello con le finestre nere dove c'è da scrivere tutto?

Dove non si doppioclicca? Troppo complicato. Bisogna SEMPLIFICARE.

Non commento oltre.

> Hai messo i tempi di "distruzione" del sistema informatico ma non i tempi di ripristino, quanto ci hai/avete/ha impiegato per far ritornare tutto operativo?

In tarda serata i sistemi vitali erano di nuovo funzionanti ma isolati.

Molti eseguibili (setup, applicativi, etc) sono andati persi perché l'antivirus non è riuscito a "pulirli" senza renderli inservibili.

Ci son voluti 2 giorni per rimettere in rete tutte le postazioni, una ad una.

Battezzerei almeno 20 ore lavorative perse (oltre allo spam partito, il blackout della posta, i danni all'archivio software) per un click maldestro.

Golan Trevize

orangotango

-AT- Golan Trevize Di orangotango postato il 12/06/2009 16:56

> > > Mail swerver: TFU

> > > File swerver: TFU

> > > Domain swerver: TFU

Anzitutto grazie per la risposta.

> > Hai messo i tempi di "distruzione" del sistema informatico ma non i tempi di ripristino, quanto ci hai/avete/ha impiegato per far ritornare tutto operativo?

> In tarda serata i sistemi vitali erano di nuovo funzionanti ma isolati.

> Molti eseguibili (setup, applicativi, etc) sono andati persi perché l'antivirus non é riuscito a "pulirli" senza renderli inservibili.

> Ci son voluti 2 giorni per rimettere in rete tutte le postazioni, una ad una.

> Battezzerei almeno 20 ore lavorative perse (oltre allo spam partito, il blackout della posta, i danni all'archivio software) per un click maldestro.

Come costo diciamo circa 1000â¬ buttati via, giusto?

> > Forse potresti sfruttare l'occasione per trasferire questi tre su qualche unix/linux.

> Linux? Quello con le finestre nere dove c'é da scrivere tutto?

> Dove non si doppioclicca? Troppo complicato. Bisogna SEMPLIFICARE.

> Non commento oltre.

Capisco l'ambiente refrattario, ma con 1000â¬ credo tu possa pagarti la formazione su linux di 5 persone. Una cosa tipo: prendo i 5 piú unix-oriented e li schiaffo per una settimana davanti ad una console.

Ciao e scuse le parole a vanvera $;-\)$