Remailer
News&Search
Sottobicchieri
R F C
java - php
lista mp3
password
S P P
wingate
joke :-)
News linux
Navighiamo
Bookmark
Crittografia
Firewall
Linux
D V D
BreakingDES
PDF encryption
Vado via

W I N G A T E



Dopo aver raccolto queste info in rete le divulgo per mettere in guardia chi avesse la malsana idea di installare un wingate senza le dovute precauzioni. Ovviamente non posso garantire al 100% la veridicità dei dati raccolti data la difficoltà di trovare un wingate con cui provare ;- >. Chi volesse fornirmi esperienze personali e suggerimenti è il benvenuto.


Introduzione

Immagina di avere 3 computers nella nostra casa, ma abbiamo un solo modem. Così un solo computer potrebbe connettersi in rete. La soluzione potrebbe essere un proxy che è un software che fa da passerella in modo che puoi saltare in un altro luogo. Ciò che fa è negoziare le differenti richieste dei nostri 3 computer. Comunque solo il primo computer è connesso a internet, il secondo e il terzo sono connessi attraverso il primo.

Software

Un software wingate è un'applicazione win95 o winNT, che negozia le richieste di una piccola rete. Il modo di implementarlo è semplice. Gli altri computer hanno IP interni e, quando vanno fuori dalla piccola rete, il wingate cambia questi IP, con il suo IP, così sembra che tutte le richieste sono state fatte dallo stesso computer anche se non è vero. La porta aperta di default è la 1080.

Descrizione

La passerella che è stata usata dai nostri 3 computer, dovrebbe essere chiusa a coloro che non provengono dalla nostra piccola rete. Questo perchè qualcuno può connettersi al nostro wingate, e andarsene col nostro indirizzo IP. Il buco principale è che wingate non cerca di provare l'identità dell'utilizzatore che è connesso con lui. Il primo modo che viene in mente è telnettare all'IP del wingate e ci apparirà: WinGate> Allora possiamo usarlo come un ponte, perchè pensa che chi attacca sia un utente interno alla rete. E' sufficiente mettere l'IP al quale vuoi connetterti e da lì andare in internet con l'IP del wingate.
Questa non è la sola cosa che può fare. Se vuole, potrebbe farci da canale atraverso un'altra porta come ftp, mail, etc. E' chiaro che in questo modo possiamo mandare posta totalmente anonima, come fosse un remailer o uno di quei vecchi sendmails. Un'altra debolezza di wingate, è che se noi sappiamo l'IP della rete interna, possiamo avere totale accesso senza nessun problema. Se i computer nella rete interna girano sotto windows, e hai installato samba (per avere accesso al wingate), possiamo connetterci direttamente a loro. Se i computers interni girano sotto qualche UNIX, possiamo fare telnet a loro. Nota che potrebbe succedere se i computer interni hanno un ++ nel loro file .rhosts per avere un semplice accesso a loro. Se mettiamo un wingate come un server nel nostro client IRC, possiamo spedire comandi a un altro server IRC, usando /quote o /raw (dipende dal client). E' possibile saltare a un altro sito anche in questa maniera.
Un altro possibile attacco può esserci se la nostra piccola rete ha risorse condivise. Chi attacca potrebbe configurare il wingate come suo gateway di default. Dopo ciò, potrebbe essere capace di vedere tutti i computer nella nostra rete, perchè il wingate pensa che è uno di loro. In questa maniera il wingate diventa come un router per chi attacca. Se è ricercato, per esempio, potrebbe mettere uno sniffer nelle loro macchine. Ogni informazione che lascia la nostra rete, dovrebbe passare prima attraverso il wingate, e attraverso chi attacca dopo che...
Una maggiore possibilità è connettersi con un wingate alla 8080 (che insieme alla 80 è la porta per l'http). Se è mal configurata, possono succedere due cose. La macchina potrebbe crashare, o potremmo entrare direttamente nella loro rete interna. Questa vulnerabilità non sempre funziona ma qualche volta si. Non posso determinare perchè.
Infine occorre dire che il wingate non tiene nessun tipo di log. Se ti connetti a un wingate nessuno sarà capace di sapere quale è stato l'IP connesso. Nelle versioni 1.3 e 1.3*, il wingate NON tiene log, e non esiste nessuna opzione per tenerli. E' anonimo al 100%. La versione 2.0 ha un'opzione, e se l'attivi i log ci sono. Di default, questa opzione non è attivata. Circa l'80% delle compagnie che usa wingate, ha la 1.3, così se qualcuno la usa in modo malizioso, sarà anonimo. Il fatto di accedere alla rete interna sotto certe condizioni esiste almeno fino alla versione 2.0.


Note

-- Un grosso numero di siti ha avuto esperienze di spammers che hanno usato l'smtp per diffondere migliaia di copie.
-- Il metodo di attacco più usato è sulla porta 1080 (chi cerca di connettersi alla porta 1080 vorrebbe trovare in ascolto un proxy socket in modo che il suo computer venga "nascosto" all'esterno. Se lo si trova in ascolto tutte le operazioni che compira' risulteranno effettuate dal computer attaccato), ma le stesse tecniche sono facilmente usate sulla porta 23 (porta telnet).
-- Questo sito è per fare più sicuro un wingate e sembra essere l'home site di wingate.
-- La rete IRC Undernet ha dovuto temporaneamente sbattere fuori degli utenti di 2 reti canadesi e americane per gli attacchi contro gli amministratori di sistema. Questi attacchi arrivavano da oltre 200 ip e sembravano essere guidati da un individuo. -- Gli sviluppatori di wingate stanno continuando a ignorare gli abusi associati ai settaggi di default.
-- WinGate>localhost
Connecting to host localhost...Connected
Dando localhost wingate si connette a se stesso e facendolo abbastanza volte:
WinGate>localhost
Connecting to host localhost...Out of buffers
A questo punto wingate non reindirizza le connessioni. I client posson connettersi ma non possono fare uso di wingate.

Vulnerabilità del wingate 2.1

I servers WinGate che fanno i log,sono in ascolto per connessioni sulla porta TCP 8010. Quindi il servizio del file di log mette un server web sulla porta 8010 dando pieno accesso all'hard disk della vittima se non è stato riconfigurato dopo l'installazione. Aprendo una sessione http su questa porta (TCP 8010) si avrà o "connection cannot be established" o la directory dell'hard disk remoto.

Osservazioni e domande sulla documentazione del wingate 3

-- Wingate protegge la rete interna con il suo componente che fa da firewall. Ancora non si conosce la bontà di tale firewall. Appena so qualcosa...
-- Ha come caratteristiche avanzate il log e l'accesso ristretto a certi siti. Ma non ho capito se questa volta il log è di default.
-- Verifica se l'ip richiedente ha accesso alla rete interna. E questo dovrebbe porre fine agli abusi tipici delle passate versioni...forse.


WinGate Scanners da The A.R.G.O.N.

Name Discription
GateScan2.1 Versione 2.1
GateScan2.2 Versione 2.2




[Back]