SlideShare una empresa de Scribd logo

Linux, sicurezza & social hacking

Descargar como ODP, PDF
Fabio Mora
Fabio Mora

LinuxDay 2009 Una presentazione rivolta agli studenti del triennio informatico di un ITIS su Linux e qualche nozione di sicurezza. Venne accompagnata da una demo di social hacking su Facebook.

1 de 16
1Fabio Mora, Simone Pignatelli, Acciaio In..ux Novara, 2009-10-24 GalLUG - Gruppo Utenti Linux Galliate - www.gallug.it Acciaio In..ux Fabio Mora, Simone Pignatelli
2Fabio Mora, Simone Pignatelli, Acciaio In..ux Novara, 2009-10-24 GalLUG - Gruppo Utenti Linux Galliate - www.gallug.it Linux e... SICUREZZA BUFFER OVERFLOW PHISHING CROSS SITE SCRIPTING BRUTE FORCE FURTO D'IDENTITÀ CRITTOGRAFIA SQL INJECTION CRACKER EXPLOIT SNIFFING VIRUS TROJAN SHELLCODE DENIAL OF SERVICE FIREWALL BACKDOOR
3Fabio Mora, Simone Pignatelli, Acciaio In..ux Novara, 2009-10-24 GalLUG - Gruppo Utenti Linux Galliate - www.gallug.it Linux: un SO con basi solide Uno dei punti di forza di Linux è sempre stata la sicurezza: ● Gestione di utenti e permessi molto rigida ● Installazione sicura dei programmi ● Virus? Che cosa sono? ● Vantaggi derivanti dalla filosofia Open Source
4Fabio Mora, Simone Pignatelli, Acciaio In..ux Novara, 2009-10-24 GalLUG - Gruppo Utenti Linux Galliate - www.gallug.it Gestione utenti e permessi L'utente root (Super User) NON è quello di default (e in Windows® e Mac®?) La maggior parte del tempo, si utilizza il sistema per operazioni standard: internet, e-mail, grafica, giochi, ecc... NON servono i permessi di amministratore per fare questo. Quindi linux non te li da... Così se sbaglio qualcosa o mi becco un malware, al massimo rovino il MIO profilo, senza compromettere tutto il sistema (e gli altri utenti) Quando servono permessi speciali, ad esempio per installare programmi o periferiche, viene sempre richiesta la password di amministratore Da shell c'è il comando sudo (Super User Do)
5Fabio Mora, Simone Pignatelli, Acciaio In..ux Novara, 2009-10-24 GalLUG - Gruppo Utenti Linux Galliate - www.gallug.it Installazione sicura dei programmi L'installazione dei programmi è molto diversa ad esempio Windows o Mac Niente installer.exe, setup.exe da scaricare da internet Si utilizza un programma apposito, chiamato gestore di pacchetti (in Ubuntu è APT, Fedora ha YUM...) che contiene un elenco delle applicazioni disponibili Queste applicazioni sono state controllate e dichiarate sicure dalla comunità di sviluppatori della distribuzione che stiamo usando In questo modo, si è sicuri di installare solo software sicuro e non malevolo Come già detto, prima di installare qualcosa, il sistema ci richiederà la password di amministratore
6Fabio Mora, Simone Pignatelli, Acciaio In..ux Novara, 2009-10-24 GalLUG - Gruppo Utenti Linux Galliate - www.gallug.it E i virus??? É vero che non esistono virus per linux? In realtà se avete seguito bene Alberto, potreste anche voi crearne uno con poche righe di codice bash. E allora? Perché non si sente parlare di antivirus per Linux? In effetti è facile creare un programma malevolo per il pinguino, ma poi come facciamo a trasmetterlo agli altri? Un passo indietro: con Linux non ho bisogno di scaricare software poco affidabili dal web, c'è il gestore di pacchetti. Se lo mando via posta, l'utente poi deve aprire l'allegato ed eseguirlo. Ma tutti sanno che non è buona norma aprire un file del quale non si conosce la provenienza, vero? (: Bisogna rendere eseguibile il file ricevuto (chmod +x) In ogni caso il “virus” farebbe limitati danni, poiché agisce in un contesto da utente normale, non amministratore
7Fabio Mora, Simone Pignatelli, Acciaio In..ux Novara, 2009-10-24 GalLUG - Gruppo Utenti Linux Galliate - www.gallug.it I vantaggi della filosofia Open Source Linux è Open Source!!! Quando capita una falla di sicurezza, è più facile che venga scoperta, e quindi corretta. Il discorso vale anche per la maggior parte dei programmi che si usano con linux, poiché sono anch'essi Open. Al contrario, se un sistema è chiuso, come faccio a essere sicuro di quello che fa?
8Fabio Mora, Simone Pignatelli, Acciaio In..ux Novara, 2009-10-24 GalLUG - Gruppo Utenti Linux Galliate - www.gallug.it Il problema della password E quindi dove sta il problema? Da quanto detto, con Linux stiamo in una botte di ferro! In realtà, spesso la falla non è il sistema, ma l'utente!!! Punto debole: la PASSWORD E se qualche malintenzionato ruba, trova o indovina la mia password? O peggio, quella di amministratore? Controllo completo del sistema! Ma come si fa a indovinare una password? Esistono molti metodi. Ora ne illustreremo due:  Brute force  Attacco a dizionario
9Fabio Mora, Simone Pignatelli, Acciaio In..ux Novara, 2009-10-24 GalLUG - Gruppo Utenti Linux Galliate - www.gallug.it Attacco brute force (forza bruta) Concettualmente molto semplice: le provo tutte finché non trovo quella giusta! Devo farlo a mano? Ci metterò un'eternità! No, ci sono programmi apposta: il lavoro sporco lo fa il pc. Ok il pc è veloce a fare i calcoli. Ma quante sono le combinazioni da provare? Es. con password numeriche lunghe 3 cifre: 1000 (0 – 999). Ok un qualsiasi pc troverebbe la password in un secondo. Es. con password realistiche (10 caratteri alfanumerici): un processore attuale ci metterebbe circa 2.000 anni! Quindi è meglio usare password lunghe!
10Fabio Mora, Simone Pignatelli, Acciaio In..ux Novara, 2009-10-24 GalLUG - Gruppo Utenti Linux Galliate - www.gallug.it Attacco a dizionario Metodo più furbo: non provo tutte le combinazioni, ma solo quelle più probabili. Questo perché la maggior parte delle password non sono simili a “vu432nji*fe”, ma è più facile che siano il nome della fidanzata o della squadra del cuore. Quindi si prepara un elenco di password “ragionevoli” (dizionario) e si dice al programma di provare solo quelle La ricerca è molto più veloce! Quindi è meglio usare password “strane”, ad esempio aggiungendo numeri o simboli, perché difficilmente staranno in qualche dizionario.
11Fabio Mora, Simone Pignatelli, Acciaio In..ux Novara, 2009-10-24 GalLUG - Gruppo Utenti Linux Galliate - www.gallug.it Attacco a rete wireless Ormai le reti wireless sono diffusissime, e anche per queste esiste il problema della sicurezza. Non vorrete mica che qualcuno si inserisca nella vostra rete di casa e vi rubi la connessione a internet?!? Per questo si usano le connessioni crittografate: se non sai la password, non ti connetti alla mia rete! Si usano principalmente due sistemi di cifratura: WEP e WPA. Problema: il WEP è stato crackato!!! Attraverso un difetto dell'algoritmo di cifratura, è possibile decifrare la password di connessione. Quindi usate WPA, che è sicuro (per ora). ...e configurate il filtro MAC address.
12Fabio Mora, Simone Pignatelli, Acciaio In..ux Novara, 2009-10-24 GalLUG - Gruppo Utenti Linux Galliate - www.gallug.it Furto d'identità Ok, abbiamo capito che su un SO (non solo linux ovviamente) dobbiamo stare attenti alla password. E su internet? Chi di voi usa Facebook o MSN? E chi di voi sta veramente attento ai dati personali che pubblica sul web? Mai capitato di aggiungere su MSN persone mai viste prima, o accettare su FB amicizie di sconosciuti perché tanto non costa niente? Forse non ci avete mai pensato, mai dai vostri dati personali è possibile trarre informazioni molto interessanti... Quindi occhio! Perché non serve essere esperti informatici per rubare l'account a qualcuno!
13Fabio Mora, Simone Pignatelli, Acciaio In..ux Novara, 2009-10-24 GalLUG - Gruppo Utenti Linux Galliate - www.gallug.it Phishing Ok, faremo più attenzione alle informazioni personali. Ora possiamo stare tranquilli? Naturalmente NO! Col metodo che abbiamo visto prima, è possibile solo cambiare la password dell'utente, non rubarla. La prima volta che proverà ad accedere al suo account, si accorgerà che qualcosa non va e (si spera) prenderà provvedimenti. Forse si può fare di meglio (o peggio: dipende dai punti di vista). Si può provare col phishing! Il fenomeno del phishing consiste nell'ingannare l'utente, tipicamente con e-mail fasulle, in modo da rubare password, account web o addirittura il numero della carta di credito!
14Fabio Mora, Simone Pignatelli, Acciaio In..ux Novara, 2009-10-24 GalLUG - Gruppo Utenti Linux Galliate - www.gallug.it Phishing Notizia recente (ottobre 2009): alcuni cracker sono riusciti a rubare le credenziali di accesso (utente e password) di migliaia di account Hotmail, Gmail, Yahoo e altri. In realtà non le hanno rubate: sono gli utenti stessi che gliele hanno fornite! E ora che abbiamo rubato la password di MSN? Facciamo gli scherzi in chat ai suoi amici? Sai che problemone... Sicuri che il problema sia solo quello? In realtà possiamo leggere la sua posta (contenente magari dati personali e sensibili) e accedere così ad altri account. É una catena... E se usa la stessa password pure per altri servizi? Disastro! Quindi occorre fare attenzione all'URL e fidarci preferibilmente dei siti “col lucchetto”.
15Fabio Mora, Simone Pignatelli, Acciaio In..ux Novara, 2009-10-24 GalLUG - Gruppo Utenti Linux Galliate - www.gallug.it Avvertenze!!! Nel caso vi siano venute in mente strane idee... Noi siamo hacker, NON cracker! Ci interessa capire come funziona un sistema, e analizzare i suoi difetti al fine di renderlo più sicuro. Un cracker invece è un malintenzionato, che compie REATI quali furto, frodi, accesso abusivo a informazioni personali, danneggiamenti, ecc... Se non vi basta la motivazione etica, ricordiamo che i reati informatici sono perseguibili PENALMENTE (quindi si può andare in galera) dalla legge 547/93 e altre. E ricordatevi che siete sempre rintracciabili attraverso il vostro indirizzo IP! Uomo avvisato...
16Fabio Mora, Simone Pignatelli, Acciaio In..ux Novara, 2009-10-24 GalLUG - Gruppo Utenti Linux Galliate - www.gallug.it GRAZIE PER L'ATTENZIONE GalLUG – Gruppo Utenti Linux Galliate www.gallug.it - info@gallug.it - 0321 806832 Fabio Mora, fabio@gallug.it Simone Pignatelli, simone@gallug.it

Recomendados

Acciaio ...inux!
Acciaio ...inux!Acciaio ...inux!
Acciaio ...inux!
Galliate Linux User Group
 
Chi ha paura di internet
Chi ha paura di internetChi ha paura di internet
Chi ha paura di internet
Provincia di Venezia - Poloest
 
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisure
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisureCCI2018 - Ethical Hacking, gli step di un attacco e le contromisure
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisure
walk2talk srl
 
Free software & Open Source (FLOSS)
Free software & Open Source (FLOSS)Free software & Open Source (FLOSS)
Free software & Open Source (FLOSS)
Piergiorgio Borgogno
 
01 le 10 regole dell'hacking
01 le 10 regole dell'hacking01 le 10 regole dell'hacking
01 le 10 regole dell'hacking
UltraUploader
 
Paranoia is a virtue
Paranoia is a virtueParanoia is a virtue
Paranoia is a virtue
Alessio Pennasilico
 
Attacchi e difese
Attacchi e difeseAttacchi e difese
Attacchi e difese
Piergiorgio Borgogno
 
Ransomware Attack nel 2019 Dal file system ai database e non solo...
Ransomware Attack nel 2019 Dal file system ai database e non solo...Ransomware Attack nel 2019 Dal file system ai database e non solo...
Ransomware Attack nel 2019 Dal file system ai database e non solo...
Massimo Chirivì
 

Recomendados

Acciaio ...inux!
Acciaio ...inux!Acciaio ...inux!
Acciaio ...inux!
Galliate Linux User Group
 
Chi ha paura di internet
Chi ha paura di internetChi ha paura di internet
Chi ha paura di internet
Provincia di Venezia - Poloest
 
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisure
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisureCCI2018 - Ethical Hacking, gli step di un attacco e le contromisure
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisure
walk2talk srl
 
Free software & Open Source (FLOSS)
Free software & Open Source (FLOSS)Free software & Open Source (FLOSS)
Free software & Open Source (FLOSS)
Piergiorgio Borgogno
 
01 le 10 regole dell'hacking
01 le 10 regole dell'hacking01 le 10 regole dell'hacking
01 le 10 regole dell'hacking
UltraUploader
 
Paranoia is a virtue
Paranoia is a virtueParanoia is a virtue
Paranoia is a virtue
Alessio Pennasilico
 
Attacchi e difese
Attacchi e difeseAttacchi e difese
Attacchi e difese
Piergiorgio Borgogno
 
Ransomware Attack nel 2019 Dal file system ai database e non solo...
Ransomware Attack nel 2019 Dal file system ai database e non solo...Ransomware Attack nel 2019 Dal file system ai database e non solo...
Ransomware Attack nel 2019 Dal file system ai database e non solo...
Massimo Chirivì
 
(E book) cracking & hacking tutorial 1000 pagine (ita)
(E book) cracking & hacking tutorial 1000 pagine (ita)(E book) cracking & hacking tutorial 1000 pagine (ita)
(E book) cracking & hacking tutorial 1000 pagine (ita)
UltraUploader
 
Cheope
CheopeCheope
Cheope
Davide Farris
 
Dark net.1203
Dark net.1203Dark net.1203
Dark net.1203
Emanuele Florindi
 
SiteLock: Malware, virus e spyware: scopri come proteggere il tuo sito dalle ...
SiteLock: Malware, virus e spyware: scopri come proteggere il tuo sito dalle ...SiteLock: Malware, virus e spyware: scopri come proteggere il tuo sito dalle ...
SiteLock: Malware, virus e spyware: scopri come proteggere il tuo sito dalle ...
Register.it
 
Backdoor Coding: Analisi di una semplice backdoor e prime applicazioni
Backdoor Coding: Analisi di una semplice backdoor e prime applicazioniBackdoor Coding: Analisi di una semplice backdoor e prime applicazioni
Backdoor Coding: Analisi di una semplice backdoor e prime applicazioni
Salvatore Lentini
 
LinuxBeach 2006 - Criptografia e firma digitale con GnuPG - trascrizione
LinuxBeach 2006 - Criptografia e firma digitale con GnuPG - trascrizioneLinuxBeach 2006 - Criptografia e firma digitale con GnuPG - trascrizione
LinuxBeach 2006 - Criptografia e firma digitale con GnuPG - trascrizione
Maurizio Antonelli
 
Privacy in enigmate
Privacy in enigmatePrivacy in enigmate
Privacy in enigmate
Alessandro Selli
 
Stefano Chiccarelli - L'ecosistema della scena Hacker
Stefano Chiccarelli - L'ecosistema della scena HackerStefano Chiccarelli - L'ecosistema della scena Hacker
Stefano Chiccarelli - L'ecosistema della scena Hacker
Codemotion
 
Simulazione di un Penetration Test
Simulazione di un Penetration TestSimulazione di un Penetration Test
Simulazione di un Penetration Test
Salvatore Lentini
 
Personal Cybersecurity
Personal CybersecurityPersonal Cybersecurity
Personal Cybersecurity
Ugo Micci
 
DOCFLOW Personal Cybersecurity 2015
DOCFLOW Personal Cybersecurity 2015DOCFLOW Personal Cybersecurity 2015
DOCFLOW Personal Cybersecurity 2015
DOCFLOW
 
WordPress è insicuro, non scala e serve solo per fare blog - Sì.Certo.Come.No...
WordPress è insicuro, non scala e serve solo per fare blog - Sì.Certo.Come.No...WordPress è insicuro, non scala e serve solo per fare blog - Sì.Certo.Come.No...
WordPress è insicuro, non scala e serve solo per fare blog - Sì.Certo.Come.No...
Paolo Valenti
 
Come recuperare file crittografati da diversi dispositivi [2022].pdf
Come recuperare file crittografati da diversi dispositivi [2022].pdfCome recuperare file crittografati da diversi dispositivi [2022].pdf
Come recuperare file crittografati da diversi dispositivi [2022].pdf
HelpRansomware
 
Sicurezza - Il Malware
Sicurezza - Il MalwareSicurezza - Il Malware
Sicurezza - Il Malware
AntonioTringali
 
La complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoLa complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppo
Marco Ferrigno
 
Botnet e nuove forme di malware
Botnet e nuove forme di malwareBotnet e nuove forme di malware
Botnet e nuove forme di malware
Gianni Amato
 
Il venerdì nero di wannacry
Il venerdì nero di wannacryIl venerdì nero di wannacry
Il venerdì nero di wannacry
Gianni Amato
 
Siete sicuri sicurezza ict in azienda- tecnoworkshop- firenze-1-dicembre-2012
Siete sicuri sicurezza ict in azienda- tecnoworkshop- firenze-1-dicembre-2012Siete sicuri sicurezza ict in azienda- tecnoworkshop- firenze-1-dicembre-2012
Siete sicuri sicurezza ict in azienda- tecnoworkshop- firenze-1-dicembre-2012
Luca Silva
 
Difendersi dai cryptolocker con open source
Difendersi dai cryptolocker con open sourceDifendersi dai cryptolocker con open source
Difendersi dai cryptolocker con open source
Gianluca Vaglio
 
Sicurezza e open source
Sicurezza e open sourceSicurezza e open source
Sicurezza e open source
LibreItalia
 
Esperimenti Kanban: tra economia e teoria delle code.
Esperimenti Kanban: tra economia e teoria delle code.Esperimenti Kanban: tra economia e teoria delle code.
Esperimenti Kanban: tra economia e teoria delle code.
Fabio Mora
 
La Unix Way vista da un DevOps
La Unix Way vista da un DevOpsLa Unix Way vista da un DevOps
La Unix Way vista da un DevOps
Fabio Mora
 

Más contenido relacionado

Similar a Linux, sicurezza & social hacking

(E book) cracking & hacking tutorial 1000 pagine (ita)
(E book) cracking & hacking tutorial 1000 pagine (ita)(E book) cracking & hacking tutorial 1000 pagine (ita)
(E book) cracking & hacking tutorial 1000 pagine (ita)
UltraUploader
 
Backdoor Coding: Analisi di una semplice backdoor e prime applicazioni
Backdoor Coding: Analisi di una semplice backdoor e prime applicazioniBackdoor Coding: Analisi di una semplice backdoor e prime applicazioni
Backdoor Coding: Analisi di una semplice backdoor e prime applicazioni
Salvatore Lentini
 
LinuxBeach 2006 - Criptografia e firma digitale con GnuPG - trascrizione
LinuxBeach 2006 - Criptografia e firma digitale con GnuPG - trascrizioneLinuxBeach 2006 - Criptografia e firma digitale con GnuPG - trascrizione
LinuxBeach 2006 - Criptografia e firma digitale con GnuPG - trascrizione
Maurizio Antonelli
 
La complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoLa complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppo
Marco Ferrigno
 

Similar a Linux, sicurezza & social hacking (20)

(E book) cracking & hacking tutorial 1000 pagine (ita)
(E book) cracking & hacking tutorial 1000 pagine (ita)(E book) cracking & hacking tutorial 1000 pagine (ita)
(E book) cracking & hacking tutorial 1000 pagine (ita)
 
Cheope
CheopeCheope
Cheope
 
Dark net.1203
Dark net.1203Dark net.1203
Dark net.1203
 
SiteLock: Malware, virus e spyware: scopri come proteggere il tuo sito dalle ...
SiteLock: Malware, virus e spyware: scopri come proteggere il tuo sito dalle ...SiteLock: Malware, virus e spyware: scopri come proteggere il tuo sito dalle ...
SiteLock: Malware, virus e spyware: scopri come proteggere il tuo sito dalle ...
 
Backdoor Coding: Analisi di una semplice backdoor e prime applicazioni
Backdoor Coding: Analisi di una semplice backdoor e prime applicazioniBackdoor Coding: Analisi di una semplice backdoor e prime applicazioni
Backdoor Coding: Analisi di una semplice backdoor e prime applicazioni
 
LinuxBeach 2006 - Criptografia e firma digitale con GnuPG - trascrizione
LinuxBeach 2006 - Criptografia e firma digitale con GnuPG - trascrizioneLinuxBeach 2006 - Criptografia e firma digitale con GnuPG - trascrizione
LinuxBeach 2006 - Criptografia e firma digitale con GnuPG - trascrizione
 
Privacy in enigmate
Privacy in enigmatePrivacy in enigmate
Privacy in enigmate
 
Stefano Chiccarelli - L'ecosistema della scena Hacker
Stefano Chiccarelli - L'ecosistema della scena HackerStefano Chiccarelli - L'ecosistema della scena Hacker
Stefano Chiccarelli - L'ecosistema della scena Hacker
 
Simulazione di un Penetration Test
Simulazione di un Penetration TestSimulazione di un Penetration Test
Simulazione di un Penetration Test
 
Personal Cybersecurity
Personal CybersecurityPersonal Cybersecurity
Personal Cybersecurity
 
DOCFLOW Personal Cybersecurity 2015
DOCFLOW Personal Cybersecurity 2015DOCFLOW Personal Cybersecurity 2015
DOCFLOW Personal Cybersecurity 2015
 
WordPress è insicuro, non scala e serve solo per fare blog - Sì.Certo.Come.No...
WordPress è insicuro, non scala e serve solo per fare blog - Sì.Certo.Come.No...WordPress è insicuro, non scala e serve solo per fare blog - Sì.Certo.Come.No...
WordPress è insicuro, non scala e serve solo per fare blog - Sì.Certo.Come.No...
 
Come recuperare file crittografati da diversi dispositivi [2022].pdf
Come recuperare file crittografati da diversi dispositivi [2022].pdfCome recuperare file crittografati da diversi dispositivi [2022].pdf
Come recuperare file crittografati da diversi dispositivi [2022].pdf
 
Sicurezza - Il Malware
Sicurezza - Il MalwareSicurezza - Il Malware
Sicurezza - Il Malware
 
La complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoLa complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppo
 
Botnet e nuove forme di malware
Botnet e nuove forme di malwareBotnet e nuove forme di malware
Botnet e nuove forme di malware
 
Il venerdì nero di wannacry
Il venerdì nero di wannacryIl venerdì nero di wannacry
Il venerdì nero di wannacry
 
Siete sicuri sicurezza ict in azienda- tecnoworkshop- firenze-1-dicembre-2012
Siete sicuri sicurezza ict in azienda- tecnoworkshop- firenze-1-dicembre-2012Siete sicuri sicurezza ict in azienda- tecnoworkshop- firenze-1-dicembre-2012
Siete sicuri sicurezza ict in azienda- tecnoworkshop- firenze-1-dicembre-2012
 
Difendersi dai cryptolocker con open source
Difendersi dai cryptolocker con open sourceDifendersi dai cryptolocker con open source
Difendersi dai cryptolocker con open source
 
Sicurezza e open source
Sicurezza e open sourceSicurezza e open source
Sicurezza e open source
 

Más de Fabio Mora

Esperimenti Kanban: tra economia e teoria delle code.
Esperimenti Kanban: tra economia e teoria delle code.Esperimenti Kanban: tra economia e teoria delle code.
Esperimenti Kanban: tra economia e teoria delle code.
Fabio Mora
 
La Unix Way vista da un DevOps
La Unix Way vista da un DevOpsLa Unix Way vista da un DevOps
La Unix Way vista da un DevOps
Fabio Mora
 
Progressive Feature Rollout
Progressive Feature RolloutProgressive Feature Rollout
Progressive Feature Rollout
Fabio Mora
 
2009 - Quotidiana Legalità
2009 - Quotidiana Legalità2009 - Quotidiana Legalità
2009 - Quotidiana Legalità
Fabio Mora
 
Se “Embrace Change” è difficile.
Se “Embrace Change” è difficile.Se “Embrace Change” è difficile.
Se “Embrace Change” è difficile.
Fabio Mora
 
If "Embrace Change" is Hard (@milano-xpug)
If "Embrace Change" is Hard (@milano-xpug)If "Embrace Change" is Hard (@milano-xpug)
If "Embrace Change" is Hard (@milano-xpug)
Fabio Mora
 

Más de Fabio Mora (20)

Esperimenti Kanban: tra economia e teoria delle code.
Esperimenti Kanban: tra economia e teoria delle code.Esperimenti Kanban: tra economia e teoria delle code.
Esperimenti Kanban: tra economia e teoria delle code.
 
La Unix Way vista da un DevOps
La Unix Way vista da un DevOpsLa Unix Way vista da un DevOps
La Unix Way vista da un DevOps
 
We don't talk about Agile anymore
We don't talk about Agile anymoreWe don't talk about Agile anymore
We don't talk about Agile anymore
 
A quick introduction: Extreme Programming
A quick introduction: Extreme ProgrammingA quick introduction: Extreme Programming
A quick introduction: Extreme Programming
 
Quick Introduction: Extreme Programming
Quick Introduction: Extreme ProgrammingQuick Introduction: Extreme Programming
Quick Introduction: Extreme Programming
 
Progressive Feature Rollout
Progressive Feature RolloutProgressive Feature Rollout
Progressive Feature Rollout
 
It was just Open Source - TEDx Novara
It was just Open Source - TEDx NovaraIt was just Open Source - TEDx Novara
It was just Open Source - TEDx Novara
 
2009 - Quotidiana Legalità
2009 - Quotidiana Legalità2009 - Quotidiana Legalità
2009 - Quotidiana Legalità
 
The Crossword Game
The Crossword GameThe Crossword Game
The Crossword Game
 
Continuous Delivery di una WebApp - by example
Continuous Delivery di una WebApp - by exampleContinuous Delivery di una WebApp - by example
Continuous Delivery di una WebApp - by example
 
L’elefante nella stanza! [con LiquidO™] - Codemotion 2014
L’elefante nella stanza! [con LiquidO™] - Codemotion 2014L’elefante nella stanza! [con LiquidO™] - Codemotion 2014
L’elefante nella stanza! [con LiquidO™] - Codemotion 2014
 
L’elefante nella stanza! [con LiquidO™]
L’elefante nella stanza! [con LiquidO™] L’elefante nella stanza! [con LiquidO™]
L’elefante nella stanza! [con LiquidO™]
 
Tanti "piccoli rilasci" con Symfony2
Tanti "piccoli rilasci" con Symfony2Tanti "piccoli rilasci" con Symfony2
Tanti "piccoli rilasci" con Symfony2
 
Shazam to Spotify - spike/demo web project
Shazam to Spotify - spike/demo web projectShazam to Spotify - spike/demo web project
Shazam to Spotify - spike/demo web project
 
LinuxDay 2009 - Quali programmi?
LinuxDay 2009 - Quali programmi?LinuxDay 2009 - Quali programmi?
LinuxDay 2009 - Quali programmi?
 
LinuxDay 2009 - Cos'è Linux?
LinuxDay 2009 - Cos'è Linux?LinuxDay 2009 - Cos'è Linux?
LinuxDay 2009 - Cos'è Linux?
 
Se “Embrace Change” è difficile.
Se “Embrace Change” è difficile.Se “Embrace Change” è difficile.
Se “Embrace Change” è difficile.
 
If "Embrace Change" is Hard (@milano-xpug)
If "Embrace Change" is Hard (@milano-xpug)If "Embrace Change" is Hard (@milano-xpug)
If "Embrace Change" is Hard (@milano-xpug)
 
Perchè Agile? Cambiamenti culturali work in progress.
Perchè Agile? Cambiamenti culturali work in progress.Perchè Agile? Cambiamenti culturali work in progress.
Perchè Agile? Cambiamenti culturali work in progress.
 
cambiare punto di vista
cambiare punto di vistacambiare punto di vista
cambiare punto di vista
 

Linux, sicurezza & social hacking

  • 1. 1Fabio Mora, Simone Pignatelli, Acciaio In..ux Novara, 2009-10-24 GalLUG - Gruppo Utenti Linux Galliate - www.gallug.it Acciaio In..ux Fabio Mora, Simone Pignatelli
  • 2. 2Fabio Mora, Simone Pignatelli, Acciaio In..ux Novara, 2009-10-24 GalLUG - Gruppo Utenti Linux Galliate - www.gallug.it Linux e... SICUREZZA BUFFER OVERFLOW PHISHING CROSS SITE SCRIPTING BRUTE FORCE FURTO D'IDENTITÀ CRITTOGRAFIA SQL INJECTION CRACKER EXPLOIT SNIFFING VIRUS TROJAN SHELLCODE DENIAL OF SERVICE FIREWALL BACKDOOR
  • 3. 3Fabio Mora, Simone Pignatelli, Acciaio In..ux Novara, 2009-10-24 GalLUG - Gruppo Utenti Linux Galliate - www.gallug.it Linux: un SO con basi solide Uno dei punti di forza di Linux è sempre stata la sicurezza: ● Gestione di utenti e permessi molto rigida ● Installazione sicura dei programmi ● Virus? Che cosa sono? ● Vantaggi derivanti dalla filosofia Open Source
  • 4. 4Fabio Mora, Simone Pignatelli, Acciaio In..ux Novara, 2009-10-24 GalLUG - Gruppo Utenti Linux Galliate - www.gallug.it Gestione utenti e permessi L'utente root (Super User) NON è quello di default (e in Windows® e Mac®?) La maggior parte del tempo, si utilizza il sistema per operazioni standard: internet, e-mail, grafica, giochi, ecc... NON servono i permessi di amministratore per fare questo. Quindi linux non te li da... Così se sbaglio qualcosa o mi becco un malware, al massimo rovino il MIO profilo, senza compromettere tutto il sistema (e gli altri utenti) Quando servono permessi speciali, ad esempio per installare programmi o periferiche, viene sempre richiesta la password di amministratore Da shell c'è il comando sudo (Super User Do)
  • 5. 5Fabio Mora, Simone Pignatelli, Acciaio In..ux Novara, 2009-10-24 GalLUG - Gruppo Utenti Linux Galliate - www.gallug.it Installazione sicura dei programmi L'installazione dei programmi è molto diversa ad esempio Windows o Mac Niente installer.exe, setup.exe da scaricare da internet Si utilizza un programma apposito, chiamato gestore di pacchetti (in Ubuntu è APT, Fedora ha YUM...) che contiene un elenco delle applicazioni disponibili Queste applicazioni sono state controllate e dichiarate sicure dalla comunità di sviluppatori della distribuzione che stiamo usando In questo modo, si è sicuri di installare solo software sicuro e non malevolo Come già detto, prima di installare qualcosa, il sistema ci richiederà la password di amministratore
  • 6. 6Fabio Mora, Simone Pignatelli, Acciaio In..ux Novara, 2009-10-24 GalLUG - Gruppo Utenti Linux Galliate - www.gallug.it E i virus??? É vero che non esistono virus per linux? In realtà se avete seguito bene Alberto, potreste anche voi crearne uno con poche righe di codice bash. E allora? Perché non si sente parlare di antivirus per Linux? In effetti è facile creare un programma malevolo per il pinguino, ma poi come facciamo a trasmetterlo agli altri? Un passo indietro: con Linux non ho bisogno di scaricare software poco affidabili dal web, c'è il gestore di pacchetti. Se lo mando via posta, l'utente poi deve aprire l'allegato ed eseguirlo. Ma tutti sanno che non è buona norma aprire un file del quale non si conosce la provenienza, vero? (: Bisogna rendere eseguibile il file ricevuto (chmod +x) In ogni caso il “virus” farebbe limitati danni, poiché agisce in un contesto da utente normale, non amministratore
  • 7. 7Fabio Mora, Simone Pignatelli, Acciaio In..ux Novara, 2009-10-24 GalLUG - Gruppo Utenti Linux Galliate - www.gallug.it I vantaggi della filosofia Open Source Linux è Open Source!!! Quando capita una falla di sicurezza, è più facile che venga scoperta, e quindi corretta. Il discorso vale anche per la maggior parte dei programmi che si usano con linux, poiché sono anch'essi Open. Al contrario, se un sistema è chiuso, come faccio a essere sicuro di quello che fa?
  • 8. 8Fabio Mora, Simone Pignatelli, Acciaio In..ux Novara, 2009-10-24 GalLUG - Gruppo Utenti Linux Galliate - www.gallug.it Il problema della password E quindi dove sta il problema? Da quanto detto, con Linux stiamo in una botte di ferro! In realtà, spesso la falla non è il sistema, ma l'utente!!! Punto debole: la PASSWORD E se qualche malintenzionato ruba, trova o indovina la mia password? O peggio, quella di amministratore? Controllo completo del sistema! Ma come si fa a indovinare una password? Esistono molti metodi. Ora ne illustreremo due:  Brute force  Attacco a dizionario
  • 9. 9Fabio Mora, Simone Pignatelli, Acciaio In..ux Novara, 2009-10-24 GalLUG - Gruppo Utenti Linux Galliate - www.gallug.it Attacco brute force (forza bruta) Concettualmente molto semplice: le provo tutte finché non trovo quella giusta! Devo farlo a mano? Ci metterò un'eternità! No, ci sono programmi apposta: il lavoro sporco lo fa il pc. Ok il pc è veloce a fare i calcoli. Ma quante sono le combinazioni da provare? Es. con password numeriche lunghe 3 cifre: 1000 (0 – 999). Ok un qualsiasi pc troverebbe la password in un secondo. Es. con password realistiche (10 caratteri alfanumerici): un processore attuale ci metterebbe circa 2.000 anni! Quindi è meglio usare password lunghe!
  • 10. 10Fabio Mora, Simone Pignatelli, Acciaio In..ux Novara, 2009-10-24 GalLUG - Gruppo Utenti Linux Galliate - www.gallug.it Attacco a dizionario Metodo più furbo: non provo tutte le combinazioni, ma solo quelle più probabili. Questo perché la maggior parte delle password non sono simili a “vu432nji*fe”, ma è più facile che siano il nome della fidanzata o della squadra del cuore. Quindi si prepara un elenco di password “ragionevoli” (dizionario) e si dice al programma di provare solo quelle La ricerca è molto più veloce! Quindi è meglio usare password “strane”, ad esempio aggiungendo numeri o simboli, perché difficilmente staranno in qualche dizionario.
  • 11. 11Fabio Mora, Simone Pignatelli, Acciaio In..ux Novara, 2009-10-24 GalLUG - Gruppo Utenti Linux Galliate - www.gallug.it Attacco a rete wireless Ormai le reti wireless sono diffusissime, e anche per queste esiste il problema della sicurezza. Non vorrete mica che qualcuno si inserisca nella vostra rete di casa e vi rubi la connessione a internet?!? Per questo si usano le connessioni crittografate: se non sai la password, non ti connetti alla mia rete! Si usano principalmente due sistemi di cifratura: WEP e WPA. Problema: il WEP è stato crackato!!! Attraverso un difetto dell'algoritmo di cifratura, è possibile decifrare la password di connessione. Quindi usate WPA, che è sicuro (per ora). ...e configurate il filtro MAC address.
  • 12. 12Fabio Mora, Simone Pignatelli, Acciaio In..ux Novara, 2009-10-24 GalLUG - Gruppo Utenti Linux Galliate - www.gallug.it Furto d'identità Ok, abbiamo capito che su un SO (non solo linux ovviamente) dobbiamo stare attenti alla password. E su internet? Chi di voi usa Facebook o MSN? E chi di voi sta veramente attento ai dati personali che pubblica sul web? Mai capitato di aggiungere su MSN persone mai viste prima, o accettare su FB amicizie di sconosciuti perché tanto non costa niente? Forse non ci avete mai pensato, mai dai vostri dati personali è possibile trarre informazioni molto interessanti... Quindi occhio! Perché non serve essere esperti informatici per rubare l'account a qualcuno!
  • 13. 13Fabio Mora, Simone Pignatelli, Acciaio In..ux Novara, 2009-10-24 GalLUG - Gruppo Utenti Linux Galliate - www.gallug.it Phishing Ok, faremo più attenzione alle informazioni personali. Ora possiamo stare tranquilli? Naturalmente NO! Col metodo che abbiamo visto prima, è possibile solo cambiare la password dell'utente, non rubarla. La prima volta che proverà ad accedere al suo account, si accorgerà che qualcosa non va e (si spera) prenderà provvedimenti. Forse si può fare di meglio (o peggio: dipende dai punti di vista). Si può provare col phishing! Il fenomeno del phishing consiste nell'ingannare l'utente, tipicamente con e-mail fasulle, in modo da rubare password, account web o addirittura il numero della carta di credito!
  • 14. 14Fabio Mora, Simone Pignatelli, Acciaio In..ux Novara, 2009-10-24 GalLUG - Gruppo Utenti Linux Galliate - www.gallug.it Phishing Notizia recente (ottobre 2009): alcuni cracker sono riusciti a rubare le credenziali di accesso (utente e password) di migliaia di account Hotmail, Gmail, Yahoo e altri. In realtà non le hanno rubate: sono gli utenti stessi che gliele hanno fornite! E ora che abbiamo rubato la password di MSN? Facciamo gli scherzi in chat ai suoi amici? Sai che problemone... Sicuri che il problema sia solo quello? In realtà possiamo leggere la sua posta (contenente magari dati personali e sensibili) e accedere così ad altri account. É una catena... E se usa la stessa password pure per altri servizi? Disastro! Quindi occorre fare attenzione all'URL e fidarci preferibilmente dei siti “col lucchetto”.
  • 15. 15Fabio Mora, Simone Pignatelli, Acciaio In..ux Novara, 2009-10-24 GalLUG - Gruppo Utenti Linux Galliate - www.gallug.it Avvertenze!!! Nel caso vi siano venute in mente strane idee... Noi siamo hacker, NON cracker! Ci interessa capire come funziona un sistema, e analizzare i suoi difetti al fine di renderlo più sicuro. Un cracker invece è un malintenzionato, che compie REATI quali furto, frodi, accesso abusivo a informazioni personali, danneggiamenti, ecc... Se non vi basta la motivazione etica, ricordiamo che i reati informatici sono perseguibili PENALMENTE (quindi si può andare in galera) dalla legge 547/93 e altre. E ricordatevi che siete sempre rintracciabili attraverso il vostro indirizzo IP! Uomo avvisato...
  • 16. 16Fabio Mora, Simone Pignatelli, Acciaio In..ux Novara, 2009-10-24 GalLUG - Gruppo Utenti Linux Galliate - www.gallug.it GRAZIE PER L'ATTENZIONE GalLUG – Gruppo Utenti Linux Galliate www.gallug.it - info@gallug.it - 0321 806832 Fabio Mora, fabio@gallug.it Simone Pignatelli, simone@gallug.it