LinuxDay 2009
Una presentazione rivolta agli studenti del triennio informatico di un ITIS su Linux e qualche nozione di sicurezza. Venne accompagnata da una demo di social hacking su Facebook.
1. 1Fabio Mora, Simone Pignatelli, Acciaio In..ux
Novara, 2009-10-24 GalLUG - Gruppo Utenti Linux Galliate - www.gallug.it
Acciaio In..ux
Fabio Mora, Simone Pignatelli
2. 2Fabio Mora, Simone Pignatelli, Acciaio In..ux
Novara, 2009-10-24 GalLUG - Gruppo Utenti Linux Galliate - www.gallug.it
Linux e...
SICUREZZA
BUFFER OVERFLOW
PHISHING
CROSS SITE SCRIPTING
BRUTE FORCE
FURTO D'IDENTITÀ
CRITTOGRAFIA
SQL INJECTION
CRACKER
EXPLOIT
SNIFFING
VIRUS
TROJAN
SHELLCODE
DENIAL OF SERVICE
FIREWALL
BACKDOOR
3. 3Fabio Mora, Simone Pignatelli, Acciaio In..ux
Novara, 2009-10-24 GalLUG - Gruppo Utenti Linux Galliate - www.gallug.it
Linux: un SO con basi solide
Uno dei punti di forza di Linux è sempre stata la sicurezza:
● Gestione di utenti e permessi molto rigida
● Installazione sicura dei programmi
● Virus? Che cosa sono?
● Vantaggi derivanti dalla filosofia Open Source
4. 4Fabio Mora, Simone Pignatelli, Acciaio In..ux
Novara, 2009-10-24 GalLUG - Gruppo Utenti Linux Galliate - www.gallug.it
Gestione utenti e permessi
L'utente root (Super User) NON è quello di default
(e in Windows® e Mac®?)
La maggior parte del tempo, si utilizza il sistema per
operazioni standard: internet, e-mail, grafica, giochi, ecc...
NON servono i permessi di amministratore per fare questo.
Quindi linux non te li da...
Così se sbaglio qualcosa o mi becco un malware, al massimo
rovino il MIO profilo, senza compromettere tutto il sistema (e
gli altri utenti)
Quando servono permessi speciali, ad esempio per installare
programmi o periferiche, viene sempre richiesta la password di
amministratore
Da shell c'è il comando sudo (Super User Do)
5. 5Fabio Mora, Simone Pignatelli, Acciaio In..ux
Novara, 2009-10-24 GalLUG - Gruppo Utenti Linux Galliate - www.gallug.it
Installazione sicura dei programmi
L'installazione dei programmi è molto diversa ad esempio
Windows o Mac
Niente installer.exe, setup.exe da scaricare da internet
Si utilizza un programma apposito, chiamato gestore di
pacchetti (in Ubuntu è APT, Fedora ha YUM...) che contiene un
elenco delle applicazioni disponibili
Queste applicazioni sono state controllate e dichiarate sicure
dalla comunità di sviluppatori della distribuzione che stiamo
usando
In questo modo, si è sicuri di installare solo software sicuro e
non malevolo
Come già detto, prima di installare qualcosa, il sistema ci
richiederà la password di amministratore
6. 6Fabio Mora, Simone Pignatelli, Acciaio In..ux
Novara, 2009-10-24 GalLUG - Gruppo Utenti Linux Galliate - www.gallug.it
E i virus???
É vero che non esistono virus per linux?
In realtà se avete seguito bene Alberto, potreste anche voi
crearne uno con poche righe di codice bash.
E allora? Perché non si sente parlare di antivirus per Linux?
In effetti è facile creare un programma malevolo per il
pinguino, ma poi come facciamo a trasmetterlo agli altri?
Un passo indietro: con Linux non ho bisogno di scaricare
software poco affidabili dal web, c'è il gestore di pacchetti.
Se lo mando via posta, l'utente poi deve aprire l'allegato ed
eseguirlo. Ma tutti sanno che non è buona norma aprire un file
del quale non si conosce la provenienza, vero? (:
Bisogna rendere eseguibile il file ricevuto (chmod +x)
In ogni caso il “virus” farebbe limitati danni, poiché agisce in
un contesto da utente normale, non amministratore
7. 7Fabio Mora, Simone Pignatelli, Acciaio In..ux
Novara, 2009-10-24 GalLUG - Gruppo Utenti Linux Galliate - www.gallug.it
I vantaggi della filosofia Open Source
Linux è Open Source!!!
Quando capita una falla di sicurezza, è più facile che venga
scoperta, e quindi corretta.
Il discorso vale anche per la maggior parte dei programmi che
si usano con linux, poiché sono anch'essi Open.
Al contrario, se un sistema è chiuso, come faccio a essere
sicuro di quello che fa?
8. 8Fabio Mora, Simone Pignatelli, Acciaio In..ux
Novara, 2009-10-24 GalLUG - Gruppo Utenti Linux Galliate - www.gallug.it
Il problema della password
E quindi dove sta il problema? Da quanto detto, con Linux
stiamo in una botte di ferro!
In realtà, spesso la falla non è il sistema, ma l'utente!!!
Punto debole: la PASSWORD
E se qualche malintenzionato ruba, trova o indovina la mia
password? O peggio, quella di amministratore?
Controllo completo del sistema!
Ma come si fa a indovinare una password?
Esistono molti metodi. Ora ne illustreremo due:
Brute force
Attacco a dizionario
9. 9Fabio Mora, Simone Pignatelli, Acciaio In..ux
Novara, 2009-10-24 GalLUG - Gruppo Utenti Linux Galliate - www.gallug.it
Attacco brute force (forza bruta)
Concettualmente molto semplice: le provo tutte finché non
trovo quella giusta!
Devo farlo a mano? Ci metterò un'eternità!
No, ci sono programmi apposta: il lavoro sporco lo fa il pc.
Ok il pc è veloce a fare i calcoli. Ma quante sono le
combinazioni da provare?
Es. con password numeriche lunghe 3 cifre: 1000 (0 – 999).
Ok un qualsiasi pc troverebbe la password in un secondo.
Es. con password realistiche (10 caratteri alfanumerici): un
processore attuale ci metterebbe circa 2.000 anni!
Quindi è meglio usare password lunghe!
10. 10Fabio Mora, Simone Pignatelli, Acciaio In..ux
Novara, 2009-10-24 GalLUG - Gruppo Utenti Linux Galliate - www.gallug.it
Attacco a dizionario
Metodo più furbo: non provo tutte le combinazioni, ma solo
quelle più probabili.
Questo perché la maggior parte delle password non sono simili
a “vu432nji*fe”, ma è più facile che siano il nome della
fidanzata o della squadra del cuore.
Quindi si prepara un elenco di password “ragionevoli”
(dizionario) e si dice al programma di provare solo quelle
La ricerca è molto più veloce!
Quindi è meglio usare password “strane”, ad esempio
aggiungendo numeri o simboli, perché difficilmente staranno
in qualche dizionario.
11. 11Fabio Mora, Simone Pignatelli, Acciaio In..ux
Novara, 2009-10-24 GalLUG - Gruppo Utenti Linux Galliate - www.gallug.it
Attacco a rete wireless
Ormai le reti wireless sono diffusissime, e anche per queste
esiste il problema della sicurezza.
Non vorrete mica che qualcuno si inserisca nella vostra rete di
casa e vi rubi la connessione a internet?!?
Per questo si usano le connessioni crittografate: se non sai la
password, non ti connetti alla mia rete!
Si usano principalmente due sistemi di cifratura: WEP e WPA.
Problema: il WEP è stato crackato!!! Attraverso un difetto
dell'algoritmo di cifratura, è possibile decifrare la password di
connessione.
Quindi usate WPA, che è sicuro (per ora).
...e configurate il filtro MAC address.
12. 12Fabio Mora, Simone Pignatelli, Acciaio In..ux
Novara, 2009-10-24 GalLUG - Gruppo Utenti Linux Galliate - www.gallug.it
Furto d'identità
Ok, abbiamo capito che su un SO (non solo linux ovviamente)
dobbiamo stare attenti alla password. E su internet?
Chi di voi usa Facebook o MSN? E chi di voi sta veramente
attento ai dati personali che pubblica sul web?
Mai capitato di aggiungere su MSN persone mai viste prima, o
accettare su FB amicizie di sconosciuti perché tanto non costa
niente?
Forse non ci avete mai pensato, mai dai vostri dati personali è
possibile trarre informazioni molto interessanti...
Quindi occhio!
Perché non serve essere esperti informatici per rubare
l'account a qualcuno!
13. 13Fabio Mora, Simone Pignatelli, Acciaio In..ux
Novara, 2009-10-24 GalLUG - Gruppo Utenti Linux Galliate - www.gallug.it
Phishing
Ok, faremo più attenzione alle informazioni personali.
Ora possiamo stare tranquilli? Naturalmente NO!
Col metodo che abbiamo visto prima, è possibile solo cambiare
la password dell'utente, non rubarla.
La prima volta che proverà ad accedere al suo account, si
accorgerà che qualcosa non va e (si spera) prenderà
provvedimenti.
Forse si può fare di meglio (o peggio: dipende dai punti di
vista). Si può provare col phishing!
Il fenomeno del phishing consiste nell'ingannare l'utente,
tipicamente con e-mail fasulle, in modo da rubare password,
account web o addirittura il numero della carta di credito!
14. 14Fabio Mora, Simone Pignatelli, Acciaio In..ux
Novara, 2009-10-24 GalLUG - Gruppo Utenti Linux Galliate - www.gallug.it
Phishing
Notizia recente (ottobre 2009): alcuni cracker sono riusciti a
rubare le credenziali di accesso (utente e password) di migliaia
di account Hotmail, Gmail, Yahoo e altri.
In realtà non le hanno rubate: sono gli utenti stessi che gliele
hanno fornite!
E ora che abbiamo rubato la password di MSN? Facciamo gli
scherzi in chat ai suoi amici? Sai che problemone...
Sicuri che il problema sia solo quello? In realtà possiamo
leggere la sua posta (contenente magari dati personali e
sensibili) e accedere così ad altri account. É una catena...
E se usa la stessa password pure per altri servizi? Disastro!
Quindi occorre fare attenzione all'URL e fidarci preferibilmente
dei siti “col lucchetto”.
15. 15Fabio Mora, Simone Pignatelli, Acciaio In..ux
Novara, 2009-10-24 GalLUG - Gruppo Utenti Linux Galliate - www.gallug.it
Avvertenze!!!
Nel caso vi siano venute in mente strane idee...
Noi siamo hacker, NON cracker!
Ci interessa capire come funziona un sistema, e analizzare i
suoi difetti al fine di renderlo più sicuro.
Un cracker invece è un malintenzionato, che compie REATI
quali furto, frodi, accesso abusivo a informazioni personali,
danneggiamenti, ecc...
Se non vi basta la motivazione etica, ricordiamo che i reati
informatici sono perseguibili PENALMENTE (quindi si può
andare in galera) dalla legge 547/93 e altre.
E ricordatevi che siete sempre rintracciabili attraverso il vostro
indirizzo IP!
Uomo avvisato...
16. 16Fabio Mora, Simone Pignatelli, Acciaio In..ux
Novara, 2009-10-24 GalLUG - Gruppo Utenti Linux Galliate - www.gallug.it
GRAZIE PER L'ATTENZIONE
GalLUG – Gruppo Utenti Linux Galliate
www.gallug.it - info@gallug.it - 0321 806832
Fabio Mora, fabio@gallug.it
Simone Pignatelli, simone@gallug.it