Un repost dalle ceneri della telematica di una volta per fare chiarezza sul concetto porte del tcp
Avevo memoria che questo post fosse nato in Fidonet, ma cerca e ricerca mi sembra arrivare dalla rete nntp di una 15ina di anni fa.

Da un mito: Leonardo Serni

======== REPOST ==========
[ndr: Ho lasciato il titolo originale, per valorizzare l'incipit]

e, adesso che ho la vostra attenzione:

0. Perche'
1. NUKE NABBER, cos'e'
2. PORTE
3. NUKE NABBER, cosa fa
4. WHERE DO WE GO FROM HERE
5. Conclusioni


0. Perche'
Perche', o Gentile Lettore, tu forse sei su questo newsgroup da pochi giorni
o poche ore, e per te e' tutto nuovo, e i tuoi dubbi sono cose mai udite dal
vago sentore di mistero. Magari, non ti passa per la testa di chiedere prima
se ci sia o dove sia la FAQ (lista di Frequently Asked Questions, con alcune
risposte).
E pensi che, se fai una domanda, sia nuova e stimolante per tutti come lo e'
per te.
Purtroppo lo stesso ragionamento lo potrebbero aver fatto in diversi, e agli
occhi impietosi dei partecipanti di piu' vecchia data (che, per questo fatto
stesso, sono coloro che piu' probabilmente ti potrebbero aiutare) la tua non
e' una domanda nuova ma la quarantunesima ripetizione di qualcosa che magari
suonava stantio gia' agli inizi.
Qualcuno di codesti partecipanti, obliati i tempi in cui egli stesso non era
ancora salito al di sopra del livello 'ignorante fottuto' (poiche' nessuno a
questo mondo nasce imparato), potrebbe anche risponderti male.


E siccome la maggior parte delle domande peggio accolte di questi ultimi (si
fa per dire) tempi vertono sul Nuke Nabber - una di quelle applicazioni nate
per un mercato di nicchia e poi usate per fare tutt'altre cose con risultati
ovviamente scoraggianti, un po' com'e' successo a Windows - ecco che diventa
utile, se non necessario, mettere giu' un paio di considerazioni in materia.


1. NUKE NABBER, cos'e'
E' un programma che intercettava un tipo molto specifico di "pacchetto dati"
mal costruito, con il quale Windows, tentando di interpretarlo, soffocava.


Questo ai tempi dei tempi. Oggi viene usato per registrare richieste di dati
e connessioni via Internet.


2. PORTE
Due dei protocolli piu' usati dello strato di trasporto Internet, TCP ed UDP
(o TCP/IP e UDP/IP, se si vuole chiarire il fatto che sono trasportati dallo
Internet Protocol, o IP) consentono di specificare una "etichetta" ai propri
pacchetti. Questa etichetta non e' altro che un numero da 0 a 65535, ma, per
esempio, consente di suddividere il traffico in base ad essa, PRIMA che tale
traffico arrivi ad un computer.
Come si fa in quelle aule troppo affollate, che vengono suddivise in gruppi,
basandosi sull'iniziale del cognome: A-M, N-Z, o roba simile. E praticamente
per lo stesso motivo: migliora il servizio.


Poi qualcuno ha deciso di associare ad ogni etichetta uno specifico servizio
di rete. Per esempio, la posta elettronica usa 25 e 110, anche se niente, in
teoria, impedirebbe di usare (che so?) 1701 e 32767.


Questo consente ai vari servers di rete che offrono solo alcuni servizi, per
esempio posta elettronica e World Wide Web, di controllare l'etichetta, e di
buttare via il pacchetto se l'etichetta NON e' 25, 80 o 110.


Qualche scriteriato ha deciso di chiamare quei numerini "PORTE" e li', IMHO,
e' nato il casino: perche' PORTA e' qualcosa da cui si entra.


Allora, se sapete bene come funziona IP, saprete interpretare quello che sto
per scrivere.
ALTRIMENTI, buttate via il concetto stesso di PORTA. Non chiamatele PORTE. A
partire da ora il vostro computer non ha piu' PORTE, ma ha delle LINEE IP, a
somiglianza delle linee telefoniche.


Ne ha in tutto 131070: sessantacinquemila TCP e altrettante UDP. Lo stack IP
del vostro computer e' il centralino... e i programmi installati sono i vari
telefoni interni.


Questo serve per chiarire una cosa: mentre e' possibile sfondare una PORTA e
quindi, sentendo parlare di PORTA, e' legittimo domandarsi se si possa forse
sfondarla, se avete una linea *MA NON IL TELEFONO COLLEGATO* neanche il buon
Dio sara' capace di farlo squillare.


3. NUKE NABBER, cosa fa
Nuke Nabber installa una serie di telefoni, un registratore di telefonate ed
un sistema di disattivazione dei telefoni.


4. WHERE DO WE GO FROM HERE
Supponiamo che un amico abbia questo centralino, con 131070 numeri urbani, e
cinque o sei segretarie. Una addetta al numero 137, una al 138, una al 139 e
le altre per motivi che poi vi diro'... e che non sono quelli che voi majali
vi state figurando, o porcelloni!


Queste segretarie hanno un difetto: se la prima parola dell'interlocutore e'
"Obluraschi?" anziche' "Pronto?", svengono.


Di conseguenza l'amico cosa fa? Ha due strade... telefona all'agenzia da cui
ha assunto le segretarie, la Micro&Small Office Finicky Telephonists, pianta
una grana, si fa mandare segretarie piu' agguerrite; oppure assume l'anziana
Miss Moneypenny, che risponde lei alla prima parola, e, se va bene, la passa
alla segretaria; altrimenti riattacca.


Poi l'amico si domanda... "Ma metti che qualcuno telefona su una delle linee
dove non ho telefono per dirmi le cosacce?"


Di conseguenza l'amico installa una batteria di telefoni, di Miss Moneypenny
e di registratori, e aspetta.


Quella sera, un maniaco telefona all'interno 31337, e anziche' suonare vuoto
c'e' Miss Moneypenny a rispondere.
"Obluraschi?"
"EH?!?"
"PUPPA!!! Uno a zero!"
<click>


Ora, per quanto l'anonimo maniaco sia indubbiamente un molestatore, e' anche
vero che SE NON CI FOSSE STATO NESSUNO A RISPONDERE si sarebbe stufato molto
in fretta.


Purtroppo c'e' anche un'altra minaccia, piu' reale. Anzi, due.


La prima, e' che il centralino e' difettoso. Se a cornetta alzata dall'altro
lato viene mandato un "La" con un diapason, il centralino brucia. Pero' come
e' logico questo succede solo se qualcuno ha risposto... qualcuno, come puo'
esserlo Miss Moneypenny.


<DRIN>
"Qui Miss Moneypenny, dica."
"Tliinnnnnnn"
<SFRRAAAAZZZZ>


...tutto d'un tratto assumere miss Moneypenny diventa meno attraente, vero?


La seconda minaccia sta nel fatto che voi non conoscete le segretarie. Loro,
d'altra parte, non si conoscono tra loro. Per cui ogni mattina entra un dato
numero di estranee e si mettono al telefono.


<DRIN>
(voce maschile) "pssst! Ehi! Sei tu?"
(a bassa voce) "Si', sono io."
"C'e' il tuo (ah! ah!) capo?"
(a bassa voce) "Si', ma non mi guarda e non sospetta niente."
"Allora intanto dimmi la combinazione della cassaforte."
(a bassa voce) "1-2-3-4-5-6"
"E adesso, gia' che ci sei, molla un calcione al centralino e scappa."
(a bassa voce) "OK!"
<SBAM!><SFRRAAAAAZZZ>


Questo genere di backdoor funziona perche' installa qualcosa che si mette ad
uno dei telefoni in attesa di essere chiamato. Fortunatamente, il centralino
ne deve essere informato (se no come fa a passare la chiamata?) e se l'amico
non e' proprio stupido deve SAPERE quali numeri sono attivi.


Cosi' lo domanda al centralino (il comando e' NETSTAT -na) e questo risponde


Proto Local Address Foreign Address State
TCP 192.168.0.2:79 *.* LISTEN
TCP 192.168.0.2:1027 192.168.0.100:22 ESTABLISHED
TCP 192.168.0.2:1145 192.168.0.254:22 ESTABLISHED
TCP 192.168.0.2:1183 192.168.0.100:8080 CLOSE_WAIT
TCP 192.168.0.2:12345 *.* LISTEN
UDP 192.168.0.2:137 *:*
UDP 192.168.0.2:138 *:*
UDP 192.168.0.2:31337 *:* LISTEN


Ora il nostro amico sa che l'interno 79 e' occupato da una segretaria che...
...be', lasciamo perdere, se no divento scurrile. Comunque quel 79 va bene.


I numeri sopra 1024 sono assegnati alle segretarie "vaganti", che telefonano
loro all'esterno su ordine dell'amico. Si vede qui che chiamano il numero 22
di un altro centralino, e l'amico sa che questo va bene... 8080 e' il numero
di un servizio proxy, e anche quello va bene.


12345 e 31337 invece NON vanno bene, perche' risultano in LISTEN, cioe' c'e'
una segretaria in attesa di chiamate. Questo non va bene, e l'amico corre ai
ripari assumendo un "gorilla", che si preoccupa di individuare le segretarie
infedeli e di trombarle a spregio prima di buttarle dalla finestra (siamo al
tredicesimo piano, ma lui non e' superstizioso). Il gorilla non fa lo stesso
errore di Miss Moneypenny e non mette telefoni da nessuna parte, si limita a
tenere nel taschino una serie di foto segnaletiche. Quando arriva una che fa
finta di essere Luana la babysitter, quello occhieggia la foto, e fa "Ah ah!
Tu non sei "Luana la babysitter", bensi' Stanislao Moulinsky in uno dei suoi
piu' riusciti travestimenti!"


Va da se' che se si e' travestito troppo bene, qualche rischio lo correte lo
stesso.


5. Conclusioni
In breve, quando installate Miss Moneypenny/Nuke Nabber, non pensate di aver
risolto tutti i problemi.


Soprattutto, quando arriva la stagionata signorina a fine serata con il log,
e dice "Allora il 192.168.7.34 m'ha chiamato tegame; il 192.168.9.21 chiama,
grida 'caata!' e poi riappende; al 192.168.99.33 c'e' uno che ruta;...", non
dimenticatevi che:


a) Ve lo siete voluto;
b) Non e' detto che quella brutta gente voglia male a voi specificamente, ma
puo' benissimo darsi che chiamasse a caso;
c) Se vi volevano buttare giu', ci riuscivano meglio CON il NN che SENZA, se
sapevano come fare;
d) Quasi tutto quello che c'e' sul log potrebbe essere falso (indirizzi ecc.
ecc.);
e) Nessun provider muove un dito per cosi' poco;
f) Il log non significa che "qualcuno e' entrato". Se qualcuno entrava, come
minimo NON avreste alcun log, vi pare?


Leonardo

".signature": bad command or file name