Recentemente ho notato, presso alcuni clienti, diversi tentativi di compromettere le installazioni di WordPress, con lo scopo di iniettare codice malevolo da distribuire ad incauti visitatori del sito. Decidere di usare WordPress è sicuramente un ottima scelta per la maturità del progetto, il numero plugin a disposizione, la flessibilità e la vasta comunità di supporto, ma si è oggetto nel contempo ad attacchi di vario genere. Uno dei più gettonati è sicuramente l’utilizzo dell’editor dei temi e dei plugin per modificare il file function.php del tema in uso. Continua a leggere “Sicurezza WordPress: disabilitare l’editor dei temi e plugin”
Categoria: Sicurezza & Firewall
Disabilitare l’utilizzo di memorie rimovibili USB con le policy
Negli ultimi anni le memorie rimovibili USB hanno notevolmente facilitato lo scambio di dati e documenti tra computer, grazie alla loro capienza, leggerezza, portabilità e semplicità d’uso. Soprattutto le pratiche “chiavette” flash, senza bisogno di alimentazione esterna, hanno di fatto mandato in pensione i gloriosi floppy da 3,5″, di cui qualcuno sente già nostalgia.
Con il tempo però sono sorti alcuni problemi: in alcuni ambienti può essere pericoloso consentire l’utilizzo di queste memorie. Avendo accesso fisico al terminale, si potrebbe in pochi minuti rubare anni di lavoro lasciando pochissime traccie. Purtroppo non è sufficiente far usare i computer senza i permessi di amministratore, in quanto una volta installate non richiedono privilegi elevati per essere utilizzate.
Con Windows Vista sono state aggiunte numerose policy per porre freno al problema, che probabilmente vedremo applicate nel prossimo futuro, soprattutto abbinate al nuovo Windows Server “Longhorn” come controller di dominio. Nel frattempo si può comunque risolvere agevolmente il problema: è possibile inibire l’utilizzo di tutte le perifiche di memorizzazione di massa USB (compresi quindi i dischi rigidi portatili) disabilitando l’avvio del driver USBSTOR modificando manualmente il registro di sistema.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Start"=dword:00000004
In questa maniera al successivo inserimento della chiavetta, anche se già installata, non verrà abilitata e non gli verrà assegnata la lettera relativa d’unità. Se si desidera lasciare l’utilizzo dei pendrive a personale selezionato, una volta collegato il dispositivo basta avviare manualmente il driver con il comando net start usbstor, che richiede i diritti di amministratore.
Nelle grandi realtà può tornare comodo utilizzare una policy in Active Directory per applicare la modifica al registro a tutta una serie di computer. Salvate le seguenti righe in un file con estensione adm:
CLASS MACHINE
CATEGORY "Servizi e Driver"
POLICY "Periferiche di archiviazione di massa USB"
KEYNAME "System\CurrentControlSet\Services\usbstor"
PART "Tipo di avvio" DROPDOWNLIST
VALUENAME "Start"
ITEMLIST
NAME "Avvio" VALUE NUMERIC 0
NAME "Sistema" VALUE NUMERIC 1
NAME "Automatico" VALUE NUMERIC 2
NAME "Richiesta" VALUE NUMERIC 3 DEFAULT
NAME "Disabilitato" VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
END CATEGORY
Quindi create un nuovo criterio di gruppo (Group Policy), o modificatene uno esistente, e aggiungete un modello amministrativo nelle policy del computer (Configurazione computer > Modelli Amministrativi > Azione > Aggiunta o rimozione modelli). Una volta aggiunto dovrebbe comparire una nuova categoria “Servizi e Driver” con all’interno la nostra nuova policy. Se la categoria è vuota, disabilitate il filtro di visualizzazione dei criteri completamente gestibili (clic su Visualizza > Filtri > Visualizza solo le impostazioni dei criteri completamente gestibili). A questo punto resta che abilitare la policy e disabiltare l’avvio del driver (clic su Azione > Proprietà > Attivata > Tipo di avvio: “Disabilitato”). La policy verrà applicata al riavvio.
Non è possibile impostare la policy a livello utente: se si desidera che solo a certi utenti sia inibito l’utilizzo del driver, consiglio di creare due script che modificano il registro, uno che disabilita il driver e l’altro che lo riabilita, da far eseguire rispettivamente al login e logout degli utenti interessati.
Reset della password di admin nei firewall D-Link DFL-200
Nel caso si abbia smarrito la password per accedere all’interfaccia web di amministrazione per il firewall DFL-200 prodotto dalla D-Link, e non si vuole procedere ad interventi troppo drastici come il ripristino delle impostazioni di fabbrica, è possibile resettare la password dell’utente admin attraverso la porta console.
Per effettuare l’operazione procedere come segue:
- Collegare il cavo seriale in dotazione alla porta console del firewall e alla porta COM di un PC
- Utilizzare un programma terminale (tipo HyperTerminal) e collegarsi al firewall con i parametri 9600/8/N/1
- Riavviare il firewall
- Premere un tasto qualsiasi per accedere al boot menu, subito prima del caricamento dell’immagine del sistema operativo.
- Dal menu che appare, entrare nella gestione utenti (opzione 6) e creare un nuovo utente admin (opzione 2) e renderlo membro del gruppo “administrators” – tale utente andrà a sovrascrivere il precedente
- Uscire dal menu e riavviare il firewall
Se non fosse ancora possibile accedere all’amministrazione, assicurarsi che non sia stata abilitato l’accesso esclusivo con SSL: in questo caso accedere con il suffisso https://. Assicurarsi inoltre che non siano state modificate le porte dell’interfaccia web (default 80 e 443) – l’elenco delle porte attualmente configurate sono ottenibili da console dalla normale CLI (utilizzare il comando “help” per ottenere la lista dei comandi disponibili). Questa procedura è stata provata solo col modello DFL-200, ma non si esclude che sia valida anche per gli altri prodotti di sicurezza D-Link.