[bglug] Che strana route (c'è dentro il DoD)?!

dave.m@email.it dave.m@email.it
Dom 26 Mar 2006 11:12:43 CEST 

Salve,



Ultimamente stò lavorando ad una distribuzione Linux che
possa raggiungere un livello di sicurezza militare.


Durante un check di sicurezza è apparsa l'evidenza di un 
intrusione.


L'hacker ha piazzato 2 backdoor e un rootkit.



Ciò che è molto strano è che tutti i pacchetti sembrano 
andare in America, specialmente verso la rete del DoD
(Vi posso giurare che non so dove sia Bin Laden!).




Come questo tracciato può rivelare:

root@alea:dave# traceroute ansa.it
traceroute to ansa.it (194.244.5.201), 30 hops max, 40 byte packets
 1  192.168.1.1 (192.168.1.1)  0.293 ms  0.194 ms  0.294 ms
 2  192.168.0.254 (192.168.0.254)  1.059 ms  1.328 ms  1.167 ms
    Local Gateway.

 3  1.48.143.2 (1.48.143.2)  5.397 ms  5.107 ms  5.737 ms
 4  10.251.58.17 (10.251.58.17)  4.458 ms  2.709 ms  4.481 ms
 5  10.251.54.27 (10.251.54.27)  3.735 ms  2.839 ms  3.238 ms
 6  10.251.55.1 (10.251.55.1)  3.245 ms  3.606 ms  2.988 ms
 7  10.251.59.194 (10.251.59.194)  2.985 ms  3.959 ms  3.425 ms
    Canada - Marina del Rey.

 8  213-140-17-145.fastres.net (213.140.17.145)  3.294 ms  3.659 ms  3.408
ms
    Rete Fastweb.

 9  10.0.0.178 (10.0.0.178)  5.898 ms  3.671 ms  3.131 ms
10  10.254.0.33 (10.254.0.33)  3.468 ms  3.411 ms  2.934 ms
    Canada - Marina del Rey.

11  26.26.26.xx (26.26.26.xx)  4.462 ms  3.674 ms  3.644 ms
12  26.26.26.xxx (26.26.26.xxx)  5.055 ms  3.834 ms  3.797 ms
13  26.26.26.xxx (26.26.26.xxx)  5.112 ms  3.541 ms  3.816 ms
    DoD Network Information Center <- Help ME!

14  213-140-31-121.ip.fastwebnet.it (213.140.31.121)  4.132 ms  4.430 ms 
3.546 ms
    Rete Fastweb.

15  Milano-6-ser5-1-0.tip.net (194.20.7.97)  4.899 ms  4.700 ms  4.535 ms
    TIPNET

16  194.20.5.166 (194.20.5.166)  20.033 ms  21.354 ms  16.155 ms
17  194.244.2.114 (194.244.2.114)  22.524 ms  17.389 ms  17.625 ms
    IT-UNISOURCE



Sono giusto un pò spaventato perchè pare che siano stati usati 0-d.

Ho iniziato l'analisi dell'incidente, ma non saprei come controllare
se i pacchetti passino veramente per il DoD (Nemmeno un tarceroute
compilato staticamente sarebbe abbastanza) o è semplicemente un brutto 
scherzo.



Che organizzazione dovrei contattare per evitare di finire nei guai?

Dovrei iniziare a pregare Dio (il doppio)?

Per chi fosse interessato al report completo, (binari modificat inclusi) può
contattarmi privatamente prima che li metta all'
asta su e-bay (con prezzo base di 5000 euro).


Grazie, Saluti.
Davide Minini.



 
 --
 Email.it, the professional e-mail, gratis per te: http://www.email.it/f
 
 Sponsor:
 Solo su Opodo.it il meglio delle compagnie aeree ai migliori prezzi! 
 Clicca qui: http://adv.email.it/cgi-bin/foclick.cgi?mid=4938&d=20060326

Maggiori informazioni sulla lista bglug