Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
LINUX SECURITY
Installa TAILS
nel dvd che trovi
all’interno
Navighi in maniera
anonima, cripti file
e chat e non lasci tracce
della tua attività sul PC
SICURO AL
100%
BLINDA IL PC Firewall • antivirus • strumenti antitruffa
PRIVACY
TOTALE
Nasconditi
da spammer,
hacker e dalle
multinazionali
Dì ADDIO
AI PERICOLI
DI WINDOWS
Con Linux sei libero
dai rischi che corri con
il sistema Microsoft.
Installalo subito: è gratis!
PASSWORD BLINDATE DOSSIER HACKER DISCHI PROTETTI
Metti alla prova la forza Così aggrediscono la tua rete Non perdere mai più
delle tue password e impara e mettono fuori uso interi siti i dati con i migliori
a conservarle nel modo più Web: scopri le loro tecniche per sistemi di protezione
efficiente e sicuro imparare a difenderti al meglio dei dischi fissi
La PRIMA RIVISTA per il mondo
LINUX davvero FACILE
LA SICUREZZA è LINUX!
Chiunque venga dal mondo prossime 128 pagine vedremo proprio
Windows è abituato a prendere tutti come operano gli hacker, come fare
i giorni misure per evitare di contrarre per evitare di cedere loro dati sensibili
virus, di essere aggredito da pirati e di involontariamente, come proteggere il
mettere nelle mani di malintenzionati i proprio Wi Fi e gli smartphone e molto
propri dati personali. La prima soluzione altro ancora. Buona lettura!
per iniziare a risolvere il
problema è estremamente
semplice: abbandonare
Windows! Il sistema operativo
Microsoft è pieno di falle
e di difetti intrinseci che
lo rendono un obiettivo
davvero troppo facile per
gli hacker. L’alternativa?
Linux, naturalmente. Linux
offre tantissimi diversi
sistemi operativi fra cui
scegliere, ognuno con
caratteristiche particolari
ma tutti estremamente
sicuri. Anche il sistema
operativo più protetto
però non basta: servono
buone abitudini per
evitare di essere
aggrediti da minacce
informatiche. E qui
entra in gioco proprio
Linux Security: nelle
1
Sommario
Protezione
generale
Proteggere la privacy..........................................................................4
Privacy con Tails.....................................................................................8
Dossier Hacker.................................................................................... 12
Chi protegge i tuoi dati................................................................... 20
Sicurezza: protezione e delizia.................................................. 24
L’attacco all’Internet delle cose................................................ 28
Ecco come ti bucano il Wi Fi...................................................... 34
La distro migliore per blindare il PC...................................... 40
Password blindate............................................................................. 46
Dischi e Dati
ZuluCrypt: Drive cifrati.................................................................... 48
Cancella i dischi prima di venderli.......................................... 50
Protezione totale per i dischi..................................................... 54
RAID: creare e gestire array....................................................... 56
Strumenti perfetti per i backup................................................ 58
2
Sommario
Sicurezza di rete
Semplificate i vostri firewall........................................................ 64
Controllo totale sulla vostra rete............................................. 68
La distro giusta per i firewall...................................................... 78
Configurare un VPS sicuro.......................................................... 84
Garantire la sicurezza..................................................................... 88
Mobile
Frodi SIP................................................................................................. 92
Android sicuro..................................................................................... 96
Smartphone e privacy col Wi-Fi............................................100
Intrusioni
Desktop a prova di hacker.....................................................................108
Kali Linux...............................................................................................................112
Test di sicurezza..............................................................................................116
Controllare le intrusioni.............................................................................118
Energia: come è verde Linux!..............................................................120
Attenti al firmware........................................................................................124
3
Protezione Generale
Proteggere la
Privacy
I truffatori muoiono
dalla voglia di mettere
le mani sui vostri dati
personali. Scoprite
come difendervi...
S
e c’è una cosa che i recenti fatti La mole di dati che corre su Internet garantiscono il rimborso del maltolto.
di cronaca hanno insegnato è impressionante e purtroppo c’è molto Certo, ci vuole del tempo e dovrete
è che non ci si può da rubare: password, codici, credenziali compilare una montagna di scartoffie,
assolutamente fidare della Rete. per l’home banking e tanto altro. In questo ma alla fine riavrete quanto è stato
C’è sempre qualcuno in agguato, pronto caso, seppure il danno sia importante rubato. Le implicazioni sono diverse
a spiare e mettere a repentaglio quando parliamo di furto d’identità.
la nostra privacy. Non importa
se si tratta di Stati con la mania
“Il furto d’identità è la In questo caso, qualcuno si
appropria dei vostri account e inizia
della sicurezza, reti pubblicitarie di
monitoraggio o hacker. Il concetto
peggior sciagura che a fare danni incalcolabili: truffa,
offende, mette in giro false accuse,
è sempre lo stesso: i dati personali possa capitarvi in Rete” denigra e tenta di raggirare
sono costantemente nel mirino le persone a voi care.
di qualcuno. Al giorno d’oggi, ognuno e colpisca direttamente le tasche, può Per fortuna potete prendere svariate
di noi ha una propria vita online: profili, essere assorbito. Le banche, infatti, hanno contromisure che andremo a illustrare
credenziali, accessi a siti Web e servizi. tutte speciali polizze assicurative che nelle pagine che seguono.
4
Lotta ai truffatori
Ombre ed equazioni
Recentemente è stata messa in vendita una armi informatiche a un altro team di hacker serie di attacchi che sfruttano molte vulnerabilità
raccolta di strumenti molto potenti per l’hacking conosciuto con il nome di Equation Group. dei dispositivi di rete più utilizzati. Cisco
ed exploit di vario tipo. Per stuzzicare l’appetito Quest’ultimo sembra sia strettamente legato alla e Fortinet hanno quindi rilasciato
dei potenziali acquirenti, il venditore ha messo NSA, per cui pare esegua operazioni di vario tipo. immediatamente diverse patch di emergenza.
a disposizione un campione gratuito. Per il resto, Equation ha convalidato la violazione dei propri Questo fa pensare che i programmi per l’hacking
veniva chiesta la bellezza di 1 milione di dollari sistemi che hanno portato gli Shadow Brocker rubati contenessero diversi exploit “zero-day”,
in bitcoin. Il gruppo dietro la vendita, chiamato a carpire il materiale poi messo in vendita. Alcuni vale a dire componenti che sfruttano
Shadow Brocker, sostiene di aver rubato queste strumenti di questo arsenale consistono in una vulnerabilità sconosciute perfino ai produttori.
5
Protezione Generale
Come nascondersi
O
ltre al furto delle credenziali bancarie e della periodo. Gli strumenti per attuare la crittografia alle email
propria identità, molte persone sono preoccupate ci sono e non hanno certo curve di apprendimento ripide
per il crescente dilagare delle intercettazioni. da screditarne l’utilizzo. Tuttavia, molte persone li ignorano
Indipendentemente che non si abbia niente da nascondere, per pigrizia o ignoranza. Da questo punto di vista, l’approccio
la prudenza non è mai troppa. Quando parliamo di celarsi, di HTTPS è molto più immediato e non richiede alcuna attività
non vogliamo in alcun modo giustificare o avvalorare specifica. Questo protocollo, vale a dire HyperText Transfer
la criminalità o le attività illegali. Internet è uno strumento. Protocol over Secure Socket Layer permette di comunicare
Sta a noi utilizzarlo nel modo giusto. Gli illeciti devono privatamente con un sito Web. Sviluppato intorno agli anni ‘90,
essere condannati senza alcun dubbio. Nascondersi svolge due funzioni: autenticazione e segretezza. Garantisce
tra le pieghe della Rete o rendere illeggibili le proprie che le pagine visitate corrispondano effettivamente a quelle
comunicazioni è comunque un diritto che ognuno di noi corrette e cripta la trasmissione dati da e verso il sito
può sfruttare. Si chiama riservatezza. Quello che facciamo in questione. Tuttavia anche questo sistema è lungi dall’essere
in questo contesto, però, deve essere sempre e nel modo perfetto, in quanto basa tutto il suo funzionamento
più assoluto rispettoso della legalità. sull’implicita fiducia riposta nelle Autorità di Certificazione.
Il primo baluardo a difesa della privacy è la crittografia a chiave Purtroppo, l’elenco di CA (Certification Authority) canaglia
pubblica. Permette a due persone che non si sono mai è piuttosto lungo. Non solo, ma considerando gli attacchi
incontrate di comunicare in tutta sicurezza e senza bisogno apportati ai protocolli sottostanti, la situazione è tutt’altro
di concordare una chiave privata in anticipo. La matematica che tranquilla. Comunque questo è ciò che abbiamo
dietro questo standard risale agli anni ‘70, ma la sua ed è meglio di niente. Prima di collegarsi ai siti in cui vengono
applicazione si è diffusa su larga scala solo in quest’ultimo scambiate credenziali, è opportuno controllare sempre che
nella barra degli indirizzi sia presente l’estensione HTTPS.
Se abbiamo una pagina Web e vogliamo dotarla di un
certificato per la navigazione sicura, possiamo rivolgerci
a LetsEncrypt (https://letsencrypt.org). Questo sistema,
oltre a essere sicuro, è facile da utilizzare e si rivela
un’ottima risorsa per migliorare l’affidabilità del proprio sito.
La rete Tor è un altro argomento che merita di essere
approfondito. Principalmente conosciuta per la possibilità
di navigare anonimamente, il suo utilizzo ha fatto scalpore
per essere l’unico sistema di accesso al Dark Web. Tor nasce
come progetto del Dipartimento della Difesa statunitense
e, contrariamente a quello che si pensa, gran parte dei suoi
finanziamenti proviene ancora da svariate fonti governative.
Il progetto Tor è tuttavia gestito in modo indipendente
e secondo i principi Open Source. I governi, pertanto,
non hanno accesso al codice di base. L’interesse pubblico
a disabilitare questa Rete è però ad alti livelli. Alcuni
ricercatori della Carnegie Mellon University sono riusciti
a de-anonimizzare una parte di Tor, consegnando i risultati
all’FBI. I frutti di questa operazione sono maturati poco dopo,
HTTP Everywhere permette di sfruttare HTTPS automaticamente dove quando c’è stata un’azione capillare e coordinata contro
possibile. Lo scaricate come estensione per Firefox, Chrome e Opera diversi operatori attivi nella Dark Net.
Crittografia End-to-End
Quest’anno, WhatsApp ha implementato Il programma è stato progettato da Moxie si concentreranno sul prendere possesso
la crittografia End-to-End per tutti i propri Marlinspike, noto attivista e hacker a difesa degli apparecchi con cui si comunica, vale
utenti. La chiave necessaria a decifrare della riservatezza. Lo stesso protocollo sarà a dire smartphone, tablet e PC. Il precario
i messaggi che passano attraverso la rete esteso a breve anche su Facebook stato di sicurezza dimostrato da Android,
dell’applicazione è condivisa solo tra Messenger. Questo, tuttavia, comporterà per lo più causato dall’inettitudine dei
il mittente e il destinatario delle la disponibilità dei messaggi su un solo vettori di aggiornamento, fornisce uno
comunicazioni. La tecnologia è identica dispositivo. In caso contrario, ci potrebbero dei maggiori punti deboli che i criminali
a quella usata da Open Whisper System essere problemi nella distribuzione delle possono sfruttare a loro piacimento. Fate
in Signal, il client di messaggistica orientato chiavi. Visto che tale crittografia trova quindi molta attenzione e tenete gli occhi
alla massima tutela della privacy. sempre più sbocchi applicativi, i cracker aperti. I pericoli sono dietro l’angolo.
6
Lotta ai truffatori
7
Protezione Generale
I
partecipanti a Eurocrypt 2016 hanno avuto una
grande fortuna. Durante la convention, è stata fornita
una chiave USB con una versione Live di Tails.
È dal 1987 che la conferenza si occupa di promuovere
la protezione e riservatezza dei dati personali tramite
la crittografia e le tecniche di anonimizzazione.
Tails, in questo contesto, è sempre stato presente.
Da quest’anno, gli organizzatori hanno messo una clausola:
Tip tutti i partecipanti devono avere una copia della distro. Tails sfrutta Tor Browser 6.0.3 e sì, quella che vedete
Chi non ha mai sentito parlare di questo sistema, leggendo in questa schermata è una cipolla...
Non riuscite le pagine che seguono, può farsi un’idea abbastanza
a connettervi a precisa di quali sono le sue potenzialità, Volendo descrivere
Internet con Tails?
Il vostro
Tails in poche parole, potremmo definirlo come una Una sola missione: l’anonimato
ISP potrebbe
piattaforma creata con un solo obiettivo: mantenere Quando si parla di privacy, di solito ci sono due tipi
aver bloccato l’anonimato e la sicurezza ad alti livelli. Il risultato è un di reazioni, ognuna agli antipodi dell’altra. La prima
la connessione sistema che vanta una suite di programmi accuratamente è tipica dei fatalisti che rinnegano a priori la possibilità
alla rete Tor. selezionati, che direzionano tutto il traffico Internet di mantenere un buon livello di riservatezza online.
Riavviate
attraverso la rete Tor. All’atto pratico significa garantirsi Il loro unico sistema per mettere i dati al sicuro consiste
il sistema
e scegliete un maggiore anonimato, pagando il prezzo di una velocità nel sotterrarli in una caverna, quanto più possibile
Sì in Opzioni di navigazione più lenta. Utilizzato da personaggi lontano da una connessione a Internet. La seconda
aggiuntive. del calibro di Edward Snowden, Tails è un ambiente reazione è quella dei menefreghisti che, convinti di non
Nella sezione totalmente incentrato sulla privacy. Tuttavia, come ogni aver nulla da nascondere, ritengono la protezione una
Configurazione
di rete, puntate su
cosa che ci circonda, ha vantaggi e svantaggi. Gli amanti paranoia inutile. A tali persone ci piacerebbe chiedere
La connessione di Linux sanno che la maggior parte delle distro può essere se vogliono regalare i propri numeri di carta di credito
a Internet di avviata in modalità Live, quindi senza installare alcunché o se preferiscono andare in giro nudi con i loro segreti
questo computer nel disco fisso. Basta limitarsi a sfruttare una pendrive tatuati sulla pelle. Per coloro che stanno in mezzo
è bloccata da
o un DVD. Questo approccio ha due punti favorevoli: a questi due antipodi, le nuove funzioni di Tails sono più
censura, filtrata
o utilizza un permette di provare un sistema senza alterare che sufficienti per dormire sonni relativamente tranquilli.
proxy. la configurazione dell’hard disk e non lascia alcuna traccia In primo luogo, la distro è diventata molto più semplice
nel PC, una volta rimosso il supporto che ospita la distro. da scaricare in base al sistema che state utilizzando.
Visitando il sito ufficiale (https://tails.boum.org),
vi renderete conto di come la grafica sia stata rivista
per favorire un approccio molto più funzionale.
Gli sviluppatori di Tails, inoltre, hanno chiuso il proprio
canale IRC a favore di una chat XMPP. Potete accedervi
con Pidgin, il programma di Instant Messaging incluso
nella distro. Come nelle release precedenti, Pidgin sfrutta
OTR (Off The Record), una particolare funzione che
cripta i messaggi prim’ancora dell’invio. Il software
Vidalia, oramai goffo e obsoleto, è stato sostituito con
una semplice icona che indica l’operatività della rete Tor.
In seguito a una falla nella sicurezza di Claws Mail,
il client di posta elettronica predefinito è stato rilevato
da Icedove, dove trovate fin da subito il famoso plug-in
Enigmail. Questa estensione utilizza un server sicuro
HKPS OpenPGP. In più, consente di creare una coppia
di chiavi per la crittografia asimmetrica in modo semplice
e veloce. Icedove, inoltre, è dotato di un assistente per
Amato e odiato, Snowden è un uomo difficile da trovare, in parte grazie a Tails la configurazione automatica degli indirizzi email.
8
Anonimato online
Se usate un provider di posta comune, basta inserire a cui è soggetto Tor. Il punto debole di questa rete, infatti,
i principali riferimenti per impostare al volo il servizio
all’interno del programma. Dando un’occhiata sotto
è causato dagli ingressi e dalle uscite dei nodi.
Se un’organizzazione governativa o qualsiasi team
Tip
al cofano di Tails, scoprirete che firewall e kernel sono foraggiato con fondi pubblici tiene sotto controllo gli
Se scaricate
stati potenziati e resi inattaccabili da alcune vulnerabilità accessi, potrebbero rintracciarvi. Il problema può essere Tails con Firefox
rilevate nelle versioni 2.3 e 2.4. Tor Browser è stato mitigato se visitate siti Web con URL radicati, versione 38+/
aggiornato alla release 6.05, che si basa su Firefox 45.3. ma non è comunque un modo per ritenervi al sicuro. Tor Browser 5+,
potrete sfruttare
Incluse, troviamo le estensioni Adblock Plus e HTTPS Nelle versioni precedenti di Tails, potevate mascherare
un nuovo add-on
Everywhere. Il primo evita le fastidiose pubblicità sparse l’interfaccia grafica della distro perché assomigliasse che permette di
per i siti Web. Il secondo, invece, abilita automaticamente a Windows, così da non attirare l’attenzione di chi verificare se state
SSL dove possibile. Da febbraio 2016, Tails 2.x è basato vi stava intorno. Questa funzione, tuttavia, è stata prelevando una
su Debian 8 (Jessie), con ambiente desktop Gnome momentaneamente disabilitata in attesa di un copia originale
di Tails. Date
Classic Shell. Il sistema, rispetto alle distro tradizionali, aggiornamento. Tails è un progetto Open Source e come
un’occhiata
richiede qualche minuto in più per essere installato tale aperto a molti programmatori esperti che possono a https://tails.
nel disco rigido. Tuttavia, una volta completato rivedere regolarmente il codice in cerca di bug boum.org
il processo, anche il computer più spartano sarà o backdoor. Nonostante ciò, se siete vittima di un DNS
in grado di utilizzare al meglio la piattaforma. Tails non poisoning, le funzioni di sicurezza integrate non saranno
è raccomandato per l’uso quotidiano, ma è bello rilevare di alcun aiuto. Questo attacco, comunemente tradotto
gli sforzi fatti per renderlo più pratico possibile. con “avvelenamento dei DNS”, comporta
Il supporto per la riproduzione dei DVD protetti da DRM il reindirizzamento della connessione verso siti
è incluso. Gli appassionati di contenuti multimediali fraudolenti. È quindi molto importante sfruttare
saranno felici degli aggiornamenti di Audacity, Traverso la funzione di verifica dell’hash della ISO, così
e Sound Juicer. Se avete bisogno di un editor video, da scongiurare la possibilità di incappare in una copia
potete sfruttare Pitivi, il software incluso in Ubuntu fino corrotta del sistema operativo. Il progetto Tails, inoltre,
a ottobre 2011. Questa nuova versione di Tails è completa non fornisce alcuna protezione contro gli attacchi che
di LibreOffice. Seppure non sia la release più recente colpiscono l’hardware. Un esempio può essere il classico
basata su Debian, svolge ugualmente un lavoro Keylogger che registra tutto ciò che scrivete. Per ridurre
eccezionale. Tecnicamente è possibile aggiungere
programmi o aggiornare manualmente quelli presenti
tramite il Terminale. Così facendo, però, potreste
incrinare l’azione di anonimato svolta dalla distro.
Il colpo di coda
Le applicazioni preinstallate non copiano alcun dato
nel disco fisso. Viene tutto eliminato automaticamente
al successivo riavvio di sistema. Tails, comunque, non
è immune da problemi. Il sito Web del progetto fornisce
una panoramica piuttosto realistica sugli attacchi a cui La tastiera virtuale Florence permette di non essere preda dei keylogger.
la distro è vulnerabile, che peraltro sono gli stessi Può essere configurata con colori diversi
Persistenza sì o no
Se volete usare la persistenza, pur coscienti e molto altro ancora. Infine, create una
dei rischi che correte, Tails permette cartella chiamata Persistent che conserva
di configurare questa funzione in modo tutti i documenti salvati o scaricati. Da notare
semplice e veloce. Andate in Applicazioni D che il gestore password KeePassX, per
Tails Configure Persistent Volume. impostazione predefinita, non memorizza
Naturalmente, questa opzione funziona solo il proprio database in questa directory. Usate
se Tails è installato in un chiavetta USB. la funzione Salva con nome per sistemare
Una volta definita una passphrase, fate click l’archivio al suo interno. Il salvataggio dei dati
su Create e attendete che il volume sia da parte di una delle applicazioni
pronto. Di seguito, sfruttate una serie precedentemente selezionate può essere
di opzioni che consentono di scegliere cosa interrotto in qualsiasi momento. I file che
conservare. Le più comuni prevedono GnuPG sono già stati archiviati rimarranno
(memorizza tutte le chiavi OpenPGP), chiavi comunque all’interno di Persistent. Per
Quando parliamo di persistenza, SSH (pubbliche e private), impostazioni eliminarli, dovrete procedere manualmente.
intendiamo la possibilità di salvare di Pidgin (account, chat, password di OTR, Una volta fatto, basta spegnere il PC
i propri dati in un supporto di memoria ecc),la configurazione di Icedove e degli e riavviarlo con la chiavetta di Tails inserita
all’interno di Tails indirizzi di posta elettronica, Gnome Keyring nella porta USB.
9
Protezione Generale
i rischi, in genere è sufficiente utilizzare la tastiera virtuale persistente, così da rendere le monete
integrata. Per attivarla, basta fare click sull’icona nella spendibili. In alternativa, niente vieta
parte superiore destra. Per chi invece preferisce utilizzare di usare il sistema Live e scrivere
Tails in modalità persistente, è importante sottolineare nel portafogli una catena di parole
che la distro non elimina i metadati dei file come il nome che consentirà di recuperare il
dell’autore di un documento. Per fortuna, preinstallato nel denaro virtuale.
sistema, troviamo MAT (Metadata Anonymisation Toolkit)
che consente di rimuovere qualsiasi dato supplementare Applicazioni isolate
all’interno di un file. Infine, vogliamo citare una frase che Nel momento in cui c’è stato il passaggio
compare nel sito Web del progetto: “Tails non rende più a Debian, il team di Tails si è concentrato nell’isolare
robuste le password deboli”. Una chiave di accesso le applicazioni che utilizzano AppArmor. Ciò è possibile
semplice può essere scoperta in pochi minuti con un grazie alla riga di comando del Kernel. Per esempio.
attacco brute force. Da questo punto di vista, Tails vi aiuta Pidgin Messenger non può accedere al portachiavi di
10
Anonimato online
3 Verifica e download
Utilizzate un client BitTorrent e fate click sul pulsante Download Torrent 4 Lanciate l’installer
File. La traduzione del sito ufficiale di Tails è ancora parziale. Questa Il Software Center verrà aggiornato e dovreste essere in grado
pagina, infatti, è ancora in inglese. Se avete Ubuntu, aprite il Software di trovare l’installer pronto all’uso. Per gli utenti che utilizzano
Center e andate in Software e aggiornamenti D Altro software D Debian, è necessario aprire Synaptic Package Repository
Aggiungi e importate ppa:tails-team/tails-installer. e assicurarsi che la voce Jessie-backports sia abilitata.
11
Protezione Generale
TO P S E C RE T
SSIER HACKER
DO d e i temi più
z a è u n o
La sicurez n n i. A b biamo
u e s t i a
caldi di q a ta tra le
a c a rr ell
fatto un iù s ig n ificative,
h e p
problematic lu z ioni
n do v i le s o
forne e server
per b lin d ar e P C
P
er quanto ci piacerebbe I risultati di un attacco informatico sono Gli obiettivi, infatti, sono ben altri: siti Web
affermare il contrario, Internet infiniti. Per restringerne gli effetti, o infrastrutture di rete di vitale importanza.
non è tutto rose e fiori. Certo, potremmo definirli in tre categorie: lieve, In tali casi, il movente è molto più ampio
gli aspetti positivi della Rete quando i danni sono limitati e per risolvere rispetto al semplice furto. Si tratta
sono tanti, ma a controbilanciare la partita basta cambiare una o più password. Medio, di spionaggio industriale o comunque
c’è tutto il sottofondo di malintenzionati se perdete dati personali o file importanti di attività che hanno come obiettivo
che hanno come solo obiettivo rubare, come foto o documenti che comunque il mettere KO uno o più organi
estorcere, deturpare, infettare possono essere recuperati tramite un di comunicazione internazionali. Tutto
e danneggiare qualsiasi asset è basato sull’informatica
digitale. Tutto ciò che viene
memorizzato sul vostro PC può “La maggior parte degli e se si mettono i bastoni fra
le ruote ai sistemi che
essere rubato: password, liste
di contatti, dati della carta
attacchi informatici è rivolta governano l’andamento
di una nazione, è il Paese
di credito e via dicendo. I metodi
con cui i cracker riescono
verso infrastrutture aziendali” stesso a fermarsi. I dipendenti
di Belgacom, per esempio,
nell’interno sono tanti. Si parte da semplici backup. Disastroso, quando vi prosciugano si sono trovati di fronte a un attacco
trucchi di ingegneria sociale come le email il conto corrente o rubano la vostra identità Watering Hole che faceva capo al
di phishing, fino ad arrivare a espedienti più digitale. A fronte di tutto ciò, è però programma QUANTUMINSERT del GCHQ.
mirati. Un Javascript malevolo iniettato importante fare una considerazione. In pratica, ogni loro connessione verso
tramite un annuncio pubblicitario di terze Gli attacchi, tranne rari casi, non sono quasi LinkedIn o Slashdot veniva rimandata
parti potrebbe essere un valido esempio. mai rivolti verso il vostro computer. a copie fasulle di questi due servizi.
12
Come operano gli hacker
Sicurezza domestica
Seguite questi suggerimenti per evitare di diventare un bersaglio
I
n primo luogo è importante sfatare un mito: i virus pericolosità. È proprio l’ignoranza a essere il principale cavallo
per Linux esistono, così come ci sono diverse soluzioni di Troia che i malintenzionati utilizzano più spesso. Per fortuna,
antivirus adatte al Pinguino. La scarsa diffusione però, l’esperienza insegna e anche colossi del calibro di Adobe
sul nostro sistema è dovuta al fatto che mal si digerisce e Microsoft hanno fatto passi avanti. Anche loro stanno
il download di programmi non richiesti dal Web. La maggior spingendo i propri utenti ad abbandonare Flash e Silverlight.
parte degli utenti, infatti, utilizza il proprio gestore Il tutto a favore di HTML5. Molti di voi si staranno
pacchetti per scaricare i software. Così facendo, si sfrutta domandando come si può vivere senza Flash. Parecchi siti
un sistema che verifica l’integrità e l’autenticità di tutto continuano a usarlo e se siete soliti visitarli spesso potreste
ciò che viene messo a disposizione. Il rischio di contrarre andare incontro a problemi di compatibilità. La soluzione
dei malware è ridotto al minimo. è però a portata di mano. Basta installare Flashblock in modo
I team di sviluppo che fanno capo alle distro sono sempre da attivare Flash solo su richiesta. Naturalmente faremmo
pronti a correggere le falle della sicurezza che di tanto in tanto uno sbaglio a considerare il plug-in di Adobe come unico
vengono segnalate. A meno di non utilizzare una distro source- responsabile dei nostri guai. Navigando in Rete si può
based come Gentoo, i pacchetti di riqualificazione sono incappare in molti Javascript altrettanto dannosi. Ecco perché
sempre a portata di mano e richiedono solo qualche secondo installare un add-on come NoScript diventa essenziale.
tra download e installazione. Nella maggior parte dei sistemi Probabilmente dovrete configurare una whitelist di siti
domestici, l’interfaccia grafica è poi uno strumento che rende attendibili in cui far lavorare i JS, ma per il resto potrete
l’aggiornamento un processo semplice, intuitivo e alla portata lasciare fuori dalla porta quelle pagine che li utilizzano in modo
di tutti. Non bisogna mai scordare che la chiave per dormire fraudolento. Un altro componente aggiuntivo che non può
sonni tranquilli è avere una distro sempre al passo con i tempi. mancare è AdBlockers. Serve per bloccare la pubblicità che
Gli update, infatti, oltre ad aggiungere funzioni e risolvere talvolta veicola verso siti poco o per niente sicuri. Infine, per
eventuali problemi hardware o software, devono essere garantirvi una buona sicurezza, è fondamentale mantenere
considerati come il principale baluardo contro sempre aggiornato il firmware del vostro router. Eviterete così
i malintenzionati. I cracker tendono a sfruttare le falle del di farlo prendere di mira da chi ne sfrutta le vulnerabilità.
sistema per entrare. Se tutti i possibili appigli vengono rimossi
da un aggiornamento sistematico da parte del team
di sviluppo, le probabilità che il delinquente di turno riesca
a penetrare sono minime. Sempre per quanto riguarda
la presupposta invulnerabilità di Linux ai virus, è opportuno
considerare un altro aspetto importante. Molti attacchi
di natura recente sono multipiattaforma. Quando viene
scoperta una vulnerabilità su un plug-in di Chrome, per
esempio, a farne le spese non sono solo gli utenti Windows,
ma anche quelli che usano Mac OS X e Linux. Per citare un
episodio reale, basta pensare a Flash. Uno degli add-on più
inflazionanti in quanto ad attacchi e problemi di sicurezza.
È facile prendersela con i suoi sviluppatori e con la casa
madre. Il motivo per cui i cracker lo usano come vettore per
entrare nei nostri sistemi è proprio la sua popolarità. Flash Quando si parla di Flash, agli esperti di sicurezza si rizzano i capelli.
è utilizzato da milioni di persone che tuttora ne ignorano la Perfino Adobe sta prendendo le distanze dal suo plug-in
13
Protezione Generale
Tecniche di hacking
La conoscenza è il primo baluardo contro i pericoli
P
rima di iniziare a fantasticare su tutti i metodi più campi dinamici, il cracker ha vinto. Infatti, si è impossessato
esoterici e meravigliosi con cui i vostri dati possono del vostro nome utente e password per accedere al conto
essere compromessi, partiamo dal più comune: corrente o alla riserva della carta di credito. Per fortuna,
l’ingegneria sociale. Si tratta di gran lunga del sistema la maggior parte dei malintenzionati non rientra tra i nostri
più semplice che un cracker può mettere in pratica per connazionali. Le email di phishing più comuni sono spesso
appropriarsi delle vostre credenziali di accesso. In pratica, sgrammaticate e piene di refusi. Basta davvero poco per non
siete voi stessi a fornirgliele di spontanea volontà. cadere nel tranello. I cracker d’oltralpe, infatti, si affidano
Lui deve solo darvi un buon motivo per farlo. di frequente ai traduttori online per scrivere in italiano.
Il primo consiglio che ci sentiamo di darvi è fare sempre Diverso è invece l’attacco del vero professionista, vale a dire
massima attenzione quando ricevete email da sconosciuti. colui che studia e si approccia alla vittima in modo strutturale,
Non solo, ma dovete aguzzare bene la vista anche quando organizzato e impeccabile. In questo caso, non troverete
arrivano strane richieste dalla vostra banca o dalle Poste. alcun errore grammaticale nelle email. La grafica sarà precisa
Uno degli stratagemmi più usati è quello di simulare e perfettamente riconducibile a quella usata dalla banca
comunicazioni da istituti di credito, in cui è richiesta la o dalle poste. L’unico appiglio che potete sfruttare per non
conferma dei vostri dati di accesso per l’home banking. Il link dargli in pasto ciò che vuole è analizzare il link a cui dovreste
presente nel corpo del messaggio rimanda a un falso sito collegarvi. Seppure i nomi di dominio utilizzati siano molto
costruito con le stesse sembianze di quello della banca. simili a quelli della vostra banca, non saranno mai identici.
Nel momento in cui inserite le credenziali all’interno dei Ci sarà sempre una seppur minima difformità. Considerate
Se non credete che gli attacchi DDoS siano reali, date un’occhiata a www.digitalattackmap.com
14
Come operano gli hacker
poi che negli ultimi anni tutti i siti che contengono informazioni
sensibili fanno uso dei certificati SSL Extended Validation.
Questi sono soggetti a un vasto controllo delle autorità di
certificazione. Al momento della connessione, vengono validati
mediante il browser. Oltre al familiare lucchetto che compare
nella barra degli indirizzi, potrete visualizzare il nome della
società che utilizza il certificato. Tutte le banche si servono
dello standard EV. Basta solo controllare le informazioni
riportate nel documento di certificazione, per essere sicuri di
aver stabilito un collegamento con il sito ufficiale dell’istituto.
Infine, fate appello al buon senso e alle comunicazioni ufficiali
che derivano dagli organi preposti alla sicurezza informatica.
Nessun ente statale o privato come la banca o le Poste chiede
di confermare i vostri dati di accesso al servizio di home
banking, così come non richiede alcun inserimento del
numero della carta di credito. Se proprio siete in dubbio, fate e distruttivi di quello che abbiamo appena proposto. In linea Lo script
una telefonata e parlate con un consulente della vostra filiale. di principio, con un’azione del genere niente vieta di cancellare Python
Un recente attacco di phishing, descritto dalla Polizia Postale un intero database o aggiungere un utente di nascosto per sqlmap può
come ad alto rischio, prende in considerazione il naturale entrare quando si vuole. Il tutto può essere fatto senza l’uso scansionare
terrore che gli italiani hanno per Equitalia. Il cracker di turno di codici esterni. Basta manipolare l’URL o in generale la tutte le
vulnerabilità
invia un’email spacciandosi per il noto agente della riscossione richiesta HTTP POST. Se volete approfondire il tema del SQL
per evitare un
pubblica, reindirizzandovi a un falso sito di Unipol Banca. Injection, vale la pena di leggere “Everything you wanted to
SQL injection
La scusa adottata consiste nella possibilità di visualizzare un know about SQL injection (but were afraid to ask)” di Troy
atto amministrativo a vostro nome. Un altro attacco molto Hunt (http://bit.ly/TroyHuntUOnSQLInjections). Un altro
utilizzato è SQL injection. La sua nascita può essere ricondotta attacco da prendere in considerazione è il Cross-Site Scripting
alla fine degli anni novanta. Nonostante questo sistema abbia (XSS). Con questi termini ci riferiamo a una serie di falle
compiuto 16 anni, continua a essere di moda. Ne sono nate che un cracker può sfruttare per iniettare i propri frammenti
diverse varianti, ma il fulcro dell’attacco rimane sempre di codice su un server. Di solito si utilizza Javascript che però
il codice SQL. Quest’ultimo, infatti, viene utilizzato come viene eseguito dal lato client. In tal caso, quindi, non si parla
vettore per interagire con la macchina che veicola informazioni di un attacco server diretto.
e accede al database. Per rendere ancora più chiaro
il concetto, facciamo un esempio pratico. I moduli di contatto INXS(S)
che trovate su molti siti utilizzano PHP come front-end per Questo genere di attacchi si basa sulla fiducia che gli
interagire con il database. Supponiamo di avere un form utenti dimostrano verso i siti che reputano di conoscere.
semplice con i campi per username e password. Il modulo Disabilitando plug-in come NoScript o Adblock, si
utilizza il seguente segmento PHP per verificare le credenziali concede alla pagina la possibilità di eseguire script.
(tramite una richiesta HTTP Post) sul MySQL: Sfruttando XSS (Cross-site scripting), vale a dire una
$query = “SELECT * FROM users WHERE username = ‘” + vulnerabilità tipica dei siti che non blindano a dovere
$username + “’ AND password = ‘” + $password + ‘”; i propri form, si può cadere preda di codice malevolo.
A prima vista il codice sembra innocuo. Abbiamo Infatti basta inviare un commento o un post su un forum,
accuratamente annidato le virgolette singole, così che le per vedersi iniettata una stringa pericolosa. Un esempio
variabili PHP vengano passate in modo appropriato al che possiamo citare riguarda il worm Samy che ha
database. Tuttavia, se fate attenzione, vi accorgerete che proliferato in tutta MySpace nel 2005. Al tempo, questa
l’input dell’utente non è stato sterilizzato (si presuppone che comunità poteva essere paragonata all’attuale Facebook.
le variabili $username e $password vengano passate allo stato Il virus in sé non era particolarmente malvagio. Aveva il
puro dal modulo al MySQL). Torniamo a fare un esempio compito di aggiungere del testo ai profili degli utenti che
per meglio spiegare cosa succede in questo caso. così venivano messi in contatto con l’autore del worm Samy
Supponiamo di inserire zelda’ OR 1=1 nel campo password. Kamkar. Il risultato in sé, però, non è tanto negli effetti,
Notate l’uso particolare della virgoletta. Essa ha il compito quanto nella diffusione. In pochissimo tempo, Samy è stato
di confondere la query SQL. Infatti, tutto ciò che la segue aggiunto come amico da milioni di utenti. Nonostante
verrà trattato come parte integrante della query stessa. i trascorsi e le relative conseguenze, il programmatore
Così facendo, sia che si inserisca un nome utente non valido del worm più famoso dell’epoca pre-Facebook è diventato
o un username la cui password non è zelda, la query può un leader nel campo della sicurezza (http://samy.pl).
essere associata a tutti gli utenti grazie alla tautologia 1=1. Comunque sia, il concetto alla base di questa storia
A seconda del motore SQL, sarà possibile connettersi con è semplice: un malintenzionato che riesce ad accedere
il primo user presente nella tabella che spesso corrisponde indebitamente a un database ha un enorme potere tra le
all’amministratore. Per funzionare a dovere, c’è da dire che mani. È vero che nella maggior parte dei casi le password
questo trucco ha talvolta bisogno di ben altri stratagemmi. non sono memorizzate per intero. Tuttavia, sfruttando
Tuttavia è possibile risolvere con un po’ di tenacia e abilità. strumenti per il Brute Force come John The Ripper,
Gli attacchi SQL injection possono essere molto più avanzati la probabilità di far collidere gli hash non è poi così remota.
15
Protezione Generale
Difesa e protezione
Mettersi al sicuro non è sempre un’operazione semplice
L
a maggior parte delle distro Linux è configurata drastico. Il report di vulnerabilità, nella maggior parte dei
con impostazioni di sicurezza ragionevoli. Tuttavia casi, contiene una soluzione che temporaneamente mette
c’è sempre spazio per migliorare. Uno dei primi una toppa alla falla.
controlli da fare consiste nel verificare l’abilitazione dei
vettori che possono essere usati per un attacco. Valutate Sicuri con Secure Shell
quindi i servizi in esecuzione con $ systemctl status Per essere ancora più tranquilli, si possono adottare
in una piattaforma Systemd-based. Una volta fatto, ulteriori accorgimenti. In primo luogo, iniziate bloccando
disabilitate tutto ciò che non è necessario e approfondite il servizio SSH. Evitare che qualcuno acceda da remoto
la natura dei processi che non comprendete. al vostro utente root è sempre una buona idea. In linea di
La configurazione più popolare è lo stack LAMP principio, non dovreste mai collegarvi con poteri di admin
(o equivalente). Per funzionare, richiede la sola esecuzione a meno che non sia strettamente necessario. È meglio
di Apache e MySQL. Naturalmente è opportuno abilitare agire da utente standard per poi passare a root tramite
anche SSH per gestire in modo sicuro i processi la linea di comando. Assicuratevi che il vostro profilo sia
di amministrazione. L’abbiamo già detto prima, ma lo abilitato a utilizzare le istruzioni adatte. In caso contrario,
ripetiamo volentieri per i SysAdmin: i pacchetti devono quando aggiungete la riga
essere sempre aggiornati! Se si vuole veramente essere PermitRootLogin no
al sicuro, è fondamentale rimanere informati sulle ultime a /etc/ssh/sshd_config per poi riavviare il servizio, non
vulnerabilità. Solo così, potrete approntare seduta stante potrete accedere come root. Al posto del tradizionale
gli update più critici. Su Common Vulnerabilities and log-in con username e password, è meglio puntare
Exposure potrete trovare molte informazioni interessanti sull’autenticazione tramite valori SSH. Generate una
(www.cvedetails.com). Se notate qualcosa di strano che coppia di chiavi sul computer locale, quindi caricate quella
la vostra distro non ha ancora provveduto a mettere in pubblica sul server:
sicurezza, disattivate il servizio incriminato. Spesso, $ ssh-keygen
tuttavia, non è neppure necessario agire in modo così $ ssh-copy-id user@host
Sostituite user e host con i vostri dati, quindi premete
Invio. Il primo comando genera una coppia di chiavi
RSA a 2.048 bit, mentre il secondo aggiunge la chiave
pubblica su ~/.ssh/authorized_keys nel server. Adesso
dovreste essere in grado di abilitare SSH puntando alla
vostra chiave privata:
$ ssh -i ~/.ssh/id_rsa user@host
Il file che la contiene deve essere tenuto in grande
considerazione. Molti preferiscono salvarlo su una
pendrive USB. Dovete stare molto attenti. Non si può né
perdere, né lasciare in giro alla portata di tutti. Una volta
che siete sicuri e avete preso confidenza con la nuova
procedura di accesso, disabilitate il login tramite
username e password con l’istruzione:
Metasploit Framework è una risorsa straordinariamente preziosa PasswordAuthenticaion no
per eseguire dei test di sicurezza in maniera professionale su /etc/ssh/sshd_config nel server. I login tramite
16
Come operano gli hacker
17
Protezione Generale
L
a storia della codifica dovrebbe averci insegnato una ci spingiamo oltre: il vero campo di battaglia del XXI secolo
lezione importante: i programmatori commettono è online. Sempre più nazioni stanno mettendo all’opera
degli errori (sono esseri umani anche loro). Per quanto eserciti di esperti in sicurezza che hanno il compito di
i team di sviluppo si sforzino, è impossibile pretendere fin da paralizzare le infrastrutture del potenziale nemico. A dicembre
subito un prodotto perfetto. Certo, tutti possono migliorare 2015, per esempio, si è verificato un enorme calo di tensione
mettendo in campo soluzioni ad hoc e perfezionare le in tutta l’Ucraina occidentale. A causare questo evento non
proprie infrastrutture, ma ci sarà sempre spazio per l’errore è stato qualche albero caduto sulla linea elettrica, bensì
umano. Anche se non vi fosse niente a cui appellarsi, siamo un potente attacco informatico di un gruppo di attivisti mossi
altrettanto sicuri da animosità politica. Perché
che i cattivi di turno
riusciranno
“La crittografia avanzata ci si dovrebbe preoccupare
di bombardare un obiettivo
a ingegnarsi per
trovare soluzioni
ha rotto le uova nel paniere strategico, quando si può
semplicemente tagliare
sempre nuove a parecchie potenze mondiali” fuori dalla civiltà un’intera
e alternative. nazione bloccandone
A riprova di quello che diciamo, nel momento in cui stiamo l’approvvigionamento elettrico o idrico? Gli hacker così detti
scrivendo, sono stati scoperti due nuovi bug in OpenSSH dal “colletto bianco” stanno sperimentando nuovi metodi
(CVE-2016-0777 e -8). Nikola Tesla, in un suo scritto dei primi per applicare exploit su larga scala. Se un attaccante
del XX secolo, ha affermato che la guerra futura sarebbe stata è abbastanza motivato e supportato (per esempio da uno
combattuta da macchine e robot. Concedendogli un minimo Stato sovrano) può causare danni incalcolabili all’economia
di licenza artistica, non si può non dargli ragione. Basta di un paese nemico. Il tutto, spesso, parte da un piccolo
guardare ai vari droni che sorvolano le zone calde del globo, campanello d’allarme. Nel caso dell’Ucraina che abbiamo
così come ai robot che disinnescano le bombe senza mettere appena citato, l’avvio del focolaio è stato causato da un
in pericolo gli esseri umani. Assumendo le tendenze future, attacco spear-phishing con un documento Word.
18
Dossier hacker
Il concetto di crittografia
Gli attuali governi sono sempre più interessati alle attività
dei ricercatori impegnati sul fronte della sicurezza. Infatti,
sfruttando numerose aggiunte agli accordi di Wassenaar
(una serie di linee guida che i firmatari si impegnano
a seguire), le nazioni stanno rendendo sempre più difficile
per gli studiosi condividere i risultati in campo informatico
al di fuori dei propri confini. Ostacolare questo sviluppo segna
un pericoloso precedente. L’anno scorso, il premier inglese
David Cameron ha snocciolato una serie di commenti sulla
possibilità di vietare la crittografia. Da allora, il suo ufficio
si è impegnato a ritrattare le dichiarazioni, affermando che
quanto detto dal primo ministro d’oltre manica fosse stato
frainteso. Tuttavia, la proposta contenuta nel piano
denominato Investigatory Powers Bill (un volume di oltre
300 pagine) prevede di costringere gli ISP a fornire i dati
dei propri clienti a seguito di un’ordinanza del Tribunale.
Il documento formulato è abbastanza fumoso. Tuttavia fa Non perché siano in sintonia con i quattro cavalieri della cyber- https://apt.
securelist.
riferimento al potere da parte del Ministero degli Interni apocalisse (terroristi, pirati, spacciatori di droga e pedofili), ma
com è un sito
di richiedere la rimozione della protezione elettronica nelle perché sanno che qualsiasi tentativo in tal senso potrebbe
che contiene
comunicazioni tra cittadini. In sostanza si parla della essere sfruttato a fini illegali. Immaginate cosa potrebbe informazioni
crittografia end-to-end usata dalle singole persone per non far succedere se uno stato canaglia entrasse in possesso della dettagliate
sapere a nessuno ciò che è contenuto in un messaggio. La così chiave per cifrare le comunicazioni private di ognuno di noi. sulla diffusione
detta Strong Encryption (una branca della matematica La storia recente ha dimostrato come i segreti, compresi quelli dei malware
chiamata “crittografia a chiave pubblica”) ha rotto le uova governativi, hanno la pessima abitudine di divenire pubblici.
nel paniere su entrambi i lati dell’Atlantico. Molti politici, infatti, È vero, i criminali sfruttano anch’essi la Strong Encryption, ma
pur permettendo ai singoli cittadini di comunicare in privato, grazie agli errori che commettono possono essere presi nel
pretenderebbero che il governo avesse una chiave universale sacco dalle forze di polizia. Inoltre (passateci la nota polemica),
per scardinarne la privacy. Molte aziende informatiche i malviventi fanno anche e soprattutto uso massiccio di armi,
mondiali si sono dichiarate contrarie a questa proposta. ma nessuno ha ancora richiesto di metterle al bando.
JuniperOS
Juniper fornisce firewall alle imprese
interessate. Nel mese di dicembre 2015
ha annunciato che del “codice non
autorizzato” era stato trovato nel loro
firmware. Si tratta però di una storia che fa
capo a due problemi. Il primo riferito alla
password di amministrazione che sembra
essere stato presente dalla fine del 2013.
Il secondo, invece, risale addirittura
al 2008. Questo nonostante l’azienda fosse
stata informata delle vulnerabilità e della
possibilità a prestare il fianco a possibili
backdoor. In sostanza, alla fine del 2012,
alcuni aggressori hanno modificato
il software, con la conseguenza di essere
riusciti a decifrare passivamente tutto
il traffico VPN. Hacking Team avrebbe venduto il proprio spyware a svariati governi canaglia
19
Protezione Generale
Crediti
Autori:
Nate Cardozo,
Kurt Opsahl,
Rainey Reitman
Editor:
Parker Higgins, Dave Maass
Presentazione:
Parker Higgins
Pubblicazione della
Electronic Frontier
Foundation, 2015
Trovate l’originale su:
www.eff.org/who-has-your-
back-government-data-
requests-2015
Questo articolo
è derivato ed elaborato a
partire dal report Who Has
Your Back? 2015: Protecting
Your Data From Government
Requests di Electronic
Freedom Foundation
Usato su licenza:
CC BY 3.0.
chi proteGGE
i tuoi datI?
Electronic Frontier Foundation ha pubblicato il suo
quinto resoconto annuale sulla privacy e la trasparenza
online e spiega le implicazioni per tutti i nostri dati
L
e nostre vite sono piene di per riconoscere che le mail salvate per più ci rivolgiamo sempre di più alle aziende stesse
elementi digitali: dai video di sei mesi si meritano la stessa identica del settore tecnologico per ottenere le
condivisi sui social network alle protezione di quelle più recenti. Il Congresso procedure più serrate possibile per difendere
app sui cellulari che geolocalizzano sta anche temporeggiando nell’interrompere la i diritti degli utenti. Quali aziende, però,
le nostre posizioni, dai dati di login per sorveglianza indiscriminata dell’Agenzia per la staranno dalla parte degli utenti insistendo
connetterci alla posta elettronica Sicurezza Nazionale (NSA) sulle comunicazioni sulla trasparenza e rigidi standard legali per
ai documenti che abbiamo salvato online e il Paese attende delle riforme da tempo quanto riguarda l’accesso del governo ai dati
e, naturalmente, la cronologia del nostro indispensabili. Sia negli Stati Uniti sia nel Regno degli utenti? E quali renderanno pubbliche
browser. Informazioni personali, profonde Unito il governo sta anche considerando delle le loro politiche, permettendo al mondo
e persino assurde sono trascritte in proposte che renderebbero obbligatorio dare e ai loro utenti di giudicare come difendono
pacchetti di dati e viaggiano nelle arterie alle autorità delle backdoor alle tecnologie il nostro diritto alla privacy? Per quattro anni
di fibra ottica della Rete. su cui facciamo affidamento per comunicare noi membri dell’Electronic Frontier Foundation,
Se però le nostre vite si sono integrate nel 21° digitalmente, il che renderebbe la situazione organizzazione internazionale no profit per la
secolo, la legge non tiene il passo. ancora più difficile. In questo clima, difesa dei diritti digitali, abbiamo documentato
Persino negli Stati Uniti, le pratiche dei più grandi provider
considerati all’avanguardia della
tecnologia, a oggi, il Congresso
“Se le nostre vite si sono e aziende che operano su Internet,
giudicando le loro politiche pubbliche
non ha ancora aggiornato la
legislazione del 1986 “Electronic
integrate nel 21° secolo, e segnalando le migliori. Nel corso
dei primi quattro anni, abbiamo visto
Communications Privacy Act” la legge non tiene il passo” svilupparsi una trasformazione nelle
20
Il controllo delle informazioni
pratiche delle principali aziende nel settore trasparenza e ai diritti degli utenti. Abbiamo
tecnologico. Straordinariamente, i giganti alzato gli standard per vedere quali sono le
della tecnologia hanno iniziato a pubblicare aziende leader.
resoconti annuali delle richieste di dati da parte
del governo, promettendo di avvisare gli utenti Criteri di valutazione
quando le autorità richiedono accesso A questo scopo, abbiamo usato i cinque criteri
ai loro dati, e di richiedere un mandato di che seguono per valutare le pratiche e le
perquisizione prima di consegnare i contenuti politiche delle aziende:
dell’utente. Le migliori pratiche identificate nei EFF ha alzato le aspettative nel 2015
primi resoconti di EFF sono diventati in pochi 1 Buone prassi consolidate: una categoria
anni gli standard del settore e siamo fieri del composita che valuta le aziende in base a legale. Abbiamo cambiato questo criterio
ruolo che le nostre analisi annuali hanno svolto tre criteri a cui devono rispondere: rispetto agli anni scorsi: quello che richiediamo
nello spingere le aziende a istituire questi L’azienda richiede che il governo ottenga ora è che l’azienda avvisi gli utenti prima del
cambiamenti. I tempi però sono cambiati e ora un mandato da un giudice per consegnare il passaggio di dati tranne in casi in cui
gli utenti si aspettano di più. I criteri utilizzati contenuto delle comunicazioni di un utente? sia proibito dalla legge e in situazioni di
nel giudicare le aziende nel 2011 erano L’azienda pubblica un transparency emergenza e che l’azienda si impegni anche
ambiziose allora, ma sono state quasi report, cioè dati regolari e utili relativi a dare notifica al termine della situazione di
universalmente adottate negli anni a seguire. a quante volte i governi hanno richiesto emergenza o del periodo di applicazione della
Oggi gli utenti devono aspettarsi che le aziende informazioni degli utenti all’azienda legge. Mentre stendevamo i criteri per il nuovo
superino gli standard articolati nel primo e quante volte sono state fornite? report, l’anno scorso, abbiamo comunicato
resoconto. Devono aspettarsi che aziende L’azienda pubblica delle linee guida per alle aziende che avremmo introdotto questo
come Google, Apple, Facebook e Amazon le autorità spiegando come risponde alle cambiamento in modo da dar loro un anno
siano trasparenti sul tipo di contenuto che richieste di dati da parte di enti governativi? intero per implementare procedure di notifica
viene bloccato o censurato in risposta post factum quando appropriate.
a richieste governative, oltre a svelare quali 2 Comunicare agli utenti le richieste
dati cancellati vengono conservati nel caso di dati da parte delle autorità: per ottenere 3 Rendere pubbliche le politiche di
al governo servisse accedervi in futuro. una stella in questa categoria le aziende archiviazione dei dati dell’azienda: questa
Ci aspettiamo anche che queste aziende devono garantire di notificare agli utenti categoria premia le aziende che rendono
prendano una posizione di principio contro quando il governo richiede i loro dati, noto per quanto tempo conservano dati
le backdoor obbligatorie per le autorità. tranne in casi in cui sia proibito dalla legge, sui loro utenti che non sono accessibili
Nel quinto rapporto annuale Who Has Your in situazioni di emergenza molto specifiche e agli utenti stessi (inclusi i log degli indirizzi
Back? abbiamo preso i principi fondamentali definite o a meno che farlo non IP e i contenuti cancellati) in una forma
delle versioni precedenti e le abbiamo riunite sia futile e privo di efficacia. La notifica dà accessibile alle autorità giudiziarie.
in un’unica categoria: “Buone prassi agli utenti la possibilità di difendersi contro Nel caso il periodo di conservazione dovesse
consolidate”. Abbiamo anche elevato le nostre richieste non giustificate di dati da parte variare per motivi tecnici o di altra natura,
aspettative sulla notifica agli utenti e abbiamo del governo. La pratica migliore è avvisare gli l’azienda deve renderlo noto e pubblicare una
aggiunto nuove categorie per evidenziare utenti prima del passaggio di dati, in modo media approssimativa o un intervallo tipico,
altre importanti tematiche relative alla che possano contrastare l’operazione a livello insieme a un limite massimo se disponibile.
21
Protezione Generale
Abbiamo dato questa stella a tutte le aziende I risultati completi Comunica
L’azienda segue agli Rende note le Rende note le Politiche
utenti le
le buone prassi richieste politiche di richieste di di tutela utenti:
che rendono note le loro pratiche, anche del report annuale di dati archiviazione dei rimozione di
consolidate delle autorità
dati dell’azienda contentuti
si oppone alle
backdoor
quando queste pratiche sono fortemente di EFF evidenziano
scoraggiate dall’EFF, per esempio se l’azienda i risultati molto
conserva i dati sugli utenti indefinitamente. modesti
del popolare servizio
di messaging
4 Rendere noto quante volte le autorità
WhatsApp N/A
richiedono la rimozione di contenuti
o account degli utenti e con che frequenza N/A
22
Il controllo delle informazioni
Liberi in Linux
Il report EFF è molto centrato Questo significa che si possono a crescere, come la quantità dei dati che ci salviamo. Noi continueremo
sugli Stati Uniti ma, dato che gran mettere in atto delle strategie a esaminare per voi le migliori opzioni Open Source e l’emergere
parte del mondo sfrutta molti personali per sfuggire alle regole di novità come www.onlyoffice.com.
di questi servizi basati negli USA, delle grandi aziende, alle loro
è un’analisi valida anche normative e ai problemi di privacy.
internazionalmente. Dato che Nella realtà dei fatti però non tutti
sono appassionati di Open possono farlo ed è nell’interesse
Source, i nostri lettori sono più di ognuno di noi che le aziende
consapevoli delle implicazioni che forniscono servizi online lo
della privacy e meglio attrezzati facciano in modo da proteggere
per fronteggiare la situazione. gli utenti senza piegarsi
Possono per esempio sfruttare ciecamente a ogni richiesta delle
OwnCloud, che diventa sempre autorità. O quanto meno facciano
più efficiente con il passare sapere al pubblico come vengono
del tempo, per creare il proprio salvati i loro dati e quando (se mai
sistema personale di dovesse succedere) vengono
collaborazione e condivisione condivisi con gli enti governativi. Creare i tuoi servizi cloud indipendenti usando OwnCloud,
di documenti basato sul cloud. I servizi cloud continuano è un modo per tutelare la tua privacy
report per aver avvisato gli utenti delle facilmente visibili per l’utente (inclusi indirizzi sono d’accordo su questo punto, inclusi gli
richieste di dati da parte delle autorità, IP e dati DHCP) oltre che dei contenuti che gli esperti del governo degli USA”.
quest’anno non hanno ricevuto stelle perché utenti hanno cancellato. Anche in questo caso,
non avevano in atto procedure per avvisare 15 aziende su 24 hanno risposto a questo Le conclusioni di EFF
gli utenti quando fosse tornato possibile per criterio. Siamo stati particolarmente colpiti Siamo lieti di vedere che le principali aziende
legge o cessata l’emergenza. Delle 24 aziende dalla chiarezza e dal dettaglio dei termini di del settore tecnologico competono sul piano
valutate, 15 soddisfacevano questo criterio Comcast. L’azienda mantiene i dati sui dettagli della tutela della privacy e dei diritti degli
e ci fa piacere vedere che il settore si sta delle chiamate per il servizio telefonico Xfinity utenti. Pratiche che incoraggiano la
muovendo in questo senso. Ci ha colpito Voice per due anni. Includono chiamate locali, trasparenza con gli utenti sulle richieste di dati
particolarmente, in positivo, la policy locali a pagamento e su lunga distanza. In casi da parte delle autorità stanno diventando la
di Dropbox, che afferma: “La politica di particolari, potrebbero essere disponibili anche norma per le aziende che operano su Internet.
Dropbox è di notificare gli utenti nel caso dati più vecchi ma è necessario impiegare più Anche se siamo in grado di giudicare solo una
le autorità richiedano i loro dati prima di tempo e risorse per reperirli. Per ottenere più piccola parte del settore tecnologico,
consegnarli, salvo proibizione a norma di legge. dettagli su questa esemplare descrizione crediamo che la nostra analisi rappresenti un
L’avviso potrebbe essere inoltrato in ritardo nei della politica di conservazione dei dati leggete più ampio spettro. Forse stimolate dai dibattiti
casi che includano minacce fisiche o di morte il Comcast Law Enforcement Handbook sulla sorveglianza governativa e in risposta
oppure lo sfruttamento di minori”. all’indirizzo http://bit.ly/LXFitsthelaw. alla crescente attenzione pubblica a questi
aspetti, sempre più aziende stanno
Conservazione dei dati Opporsi alle backdoor volontariamente esprimendo il desiderio di
Quest’anno per la prima volta abbiamo Uno dei grandi trend che osserviamo nel limitare le richieste di accesso ai dati da parte
valutato le aziende anche per la trasparenza settore è il rifiuto delle debolezze nella delle autorità e di dare agli utenti i mezzi per
su quali dati cancellati continuano a sicurezza richieste dal governo. 21 delle 24 opporvicisi. Pensiamo che questo tipo di
conservare. Spesso gli utenti non si rendono aziende considerate hanno preso una trasparenza possa portare sia a una
conto che i dati che cancellano da un provider posizione pubblica contro l’uso delle backdoor. discussione più ampia delle tematiche sia a
di posta elettronica o un social network Si tratta di uno schieramento chiaro di cui cambiamenti estesi su come e quando i
rimangono salvati e disponibili per le autorità le autorità dovrebbero tenere conto a livello governi possano accedere ai dati degli utenti,
giudiziarie su richiesta. La trasparenza è il legislativo. Molte aziende hanno sottoscritto e favorire il miglioramento e l’estensione delle
primo passo per far comprendere agli utenti una lettera organizzata dall’Open Technology leggi sulla privacy digitale. Ci rendiamo anche
cosa succede ai loro dati cancellati, quindi Institute contro le richieste di abbassare conto del fatto che le aziende del settore
valutiamo le aziende sotto questo aspetto. intenzionalmente la sicurezza, che dichiara: tecnologico sono nella posizione di conoscere
Va specificato che non facciamo richieste “Vi esortiamo a respingere qualsiasi proposta e contrastare le richieste troppo estese delle
specifiche sul fatto che gli operatori cancellino di abbassare deliberatamente i livelli di autorità, quindi dobbiamo fare quanto in
i dati dopo un determinato periodo di tempo. sicurezza dei nostri prodotti… che le si chiami nostro potere per incoraggiarli a rendere
In realtà, alcune aziende affermano front door o back door, introdurre pubbliche le loro conoscenze e a opporsi. Nel
pubblicamente di conservare i dati cancellati intenzionalmente delle vulnerabilità in prodotti consegnare i nostri dati a queste aziende,
e log dei server indefinitamente, una pratica sicuri a beneficio dell’uso da parte delle abbiamo dato loro la grande responsabilità di
che secondo noi è terribile per gli utenti. autorità rende i prodotti in questione meno fare tutto il possibile per tutelare la nostra
D’altra parte, per questo report, chiediamo sicuri anche contro attacchi di altra natura. privacy. Siamo felici di constatare che molte
solo agli operatori di essere chiari sul periodo Tutti gli esperti di sicurezza informatica che si delle aziende valutate hanno saputo
di archiviazione di dati che non risultano sono espressi pubblicamente sull’argomento fronteggiare questa sfida.
23
Protezione Generale
Sicurezza
Croce e delizia
Puntiamo i riflettori sui
malware Linux, mostrandovi
i pericoli che si corrono
e come mettersi al sicuro
M
olto spesso si sente dire e virus ha poco senso creare programmi Web, per esempio, può infettare un numero
che Linux è molto più sicuro maligni utili ad attaccare un numero enorme di macchine tramite una serie
di Windows... Intendiamoci, di macchine così esiguo. Molto meglio di tecniche più o meno avanzate. Il vettore
a livello generale concentrarsi sul restante 98% equipaggiato di attacco più utilizzato a tal scopo, tuttavia,
è sicuramente così, ma rimane il plug-in Adobe Flash.
questo non significa che
il Pinguino sia immune “Alcune applet possono Alcune applet, per esempio,
possono sfruttarne una serie di
da virus e malware di vario
genere. I pericoli esistono,
sfruttare i punti deboli di Flash punti deboli per eseguire codice
su una macchina remota. Il tutto
ma rispetto al sistema
Microsoft sono in misura
per eseguire codice malevolo” naturalmente all’insaputa
dell’utente. Certo, le colpe sono
nettamente inferiore. In definitiva, tutto con Windows e Mac. Le vittime possono quindi da imputarsi anche e soprattutto ad Adobe,
si riduce a un semplice gioco di numeri. essere infettate in molteplici modi: inviando ma ancora una volta è la diffusione che conta.
Qualsiasi analisi statistica vi confermerà che allegati ingannevoli alle email o visitando siti Ci sono così tante persone che usano Flash da
Linux occupa solo il 2% nel mercato mondiale Web compromessi. È invece molto raro che farne un ottimo bersaglio per svariati attacchi.
dei computer desktop. Tenendo quindi ben una vulnerabilità del sistema operativo venga Lo stesso vale per Adobe PDF Reader o i plug-
presente tale dato, per i creatori di malware sfruttata per eseguire codice malevolo. Un sito in Oracle Java.
24
Malware Linux
In tal senso è però importante considerare Munin deriva dal
come i server Web che stanno alla base dei siti termine norreno che
infetti siano per la maggior parte delle volte significa “memoria”.
macchine Linux. Ecco quindi che il teorema La sua funzione
è quella di rendere
secondo cui il Pinguino è immune da virus
molto più pratica
e malware viene meno. Tutto sta nell’interesse
e intuitiva
del potenziale pirata nell’intraprendere la consultazione
un’azione verso uno specifico computer. dei dati relativi
I server Web a cui abbiamo accennato, per all’uso della CPU
esempio, possono essere considerati obiettivi e dei servizi
molto sensibili. Basta pensare al numero di sistema
di pagine Web che gestiscono, nonché ai vari
database ricchi di dati sensibili che
contengono. Sebbene non esista una ricetta
infallibile per evitare gli attacchi, ci sono senza
dubbio una serie di strategie per mitigare
i pericoli. Vediamo quindi quali sono.
Configurazione prima di tutto disattivati, lasciando il solo uso di sudo o su Javascript utile a cercare la stringa:
Linux, come ogni altro sistema operativo, ha agli utenti che hanno bisogno di eseguire “><script>alert(0)</script>
punti forti e deboli. Le vulnerabilità relative attività amministrative estemporanee. Sempre I risultati compaiono quindi in una finestra di
alla sicurezza, in genere, sono molto poche. sul fronte della sicurezza è poi importante avviso. I quote iniziali interrompono l’attributo
Ciò non toglie che possano essere ugualmente considerare le ripercussioni che un eventuale HTML value, mentre la parentesi destra
sfruttate. Indipendentemente da questo, codice esterno può avere sul vostro sistema. funziona da elemento di input. Per difendersi
tuttavia, uno dei principali sistemi per Gli script PHP, per esempio, forniscono un da questi imbrogli, è fondamentale assicurarsi
prevenire potenziali attacchi consiste nel vettore comune utilizzato sempre più spesso che tutti gli strumenti utili a filtrare gli input
configurare a dovere le attività di un server. per gli attacchi ai server Web. In generale, siano attivi. Adesso prendiamo in
Una macchina che gestisce in modo non comunque, qualsiasi linguaggio lato server considerazione questo codice:
opportuno il traffico, è senza dubbio una preda può essere usato in tal senso. Infatti, come <?php
molto facile. Gli errori più comuni che vengono regola generale, tenete presente che $input = “pointy brackets <and> &
commessi da Admin non troppo esperti qualsiasi circostanza dove l’applicazione ampersands?”;
consistono nel non configurare in modo Web accetta un input dall’utente è da var_dump(filter_var($url,FILTER_SANITIZE_
opportuno i permessi in scrittura dei file considerarsi pericolosa. Dal momento che SPECIAL_CHARS));
sensibili. Non solo, ma anche lasciare un server non si ha il pieno controllo su ciò che un ?>
SQL accessibile al pubblico può essere una utente può inviare, è importante fare in In tal caso, l’output del browser sarà il
disattenzione fatale. Per un potenziale modo che qualsiasi elemento inoltrato venga medesimo, ma se si guarda alla sorgente
aggressore, infatti, basterà un pizzico di disinfettato a dovere. Per fare un esempio, HTML generata dallo script, noterete come
fortuna unita a un bruteforcing SSH per vi proponiamo un semplice modulo di ricerca in realtà la stringa sia la seguente:
ottenere pieno accesso. I login con password, PHP come quello che segue: “pointy brackets <and> &
per esempio, dovrebbero essere disabilitati per <form method=’get’ action=’search.php’> ampersands?”
tutti gli account più importanti. Sotto questo <input name=”search” value=”<?php echo $_ In alternativa, qui è possibile usare anche
aspetto è molto meglio utilizzare una chiave GET[‘search’];?>” /> FILTER_SANITIZE_STRING il cui ruolo
pubblica di autenticazione. Allo stesso modo, <input type=submit name=’dosearch’ consiste nel rimuovere i tag. Quando si utilizza
è fondamentale che un server sia in ascolto value=’Search’ /></form> PHP per interfacciarsi con un database,
solo in localhost e sfrutti regole del firewall In questo caso, l’input è passato allo script anziché usare MySQLi, vale sempre la pena
ben calibrate ed efficaci. Se poi avete bisogno search.php senza essere stato sfruttare l’API PDO (PHP Data Objects). In tal
di accedere, basterà usare un tunneling SSH. preventivamente controllato. L’utente, modo, i dati non verranno mai scambiati per
I log-in di root, inoltre, dovrebbero essere pertanto, potrebbe aver iniettato qualche istruzioni. Tornando per un attimo all’analisi
25
Protezione Generale
delle vulnerabilità, è importante ricordare che, sospensione dei servizi erogati dalla vostra solido sistema operativo con un supporto
una volta scoperte, vengono riepilogate nel macchina, tenete ben presente che la a lungo termine.
sistema CVE o Common Vulnerabilities and sicurezza è il primo e il più importante
Esposures. Nel caso in cui le informazioni elemento da considerare quando si gestisce Malware a catena
inerenti una nuova falla siano bloccate, un server. Causare cinque minuti di inattività Le vulnerabilità sono spesso concatenate.
magari perché non ancora pronte per la per aggiornare il sistema è una prospettiva Per esempio, alcuni file PHP di dubbia natura
pubblicazione, un identificatore CVE può nettamente migliore rispetto a vedersi rubare potrebbero consentire a un aggressore di
essere un buon sistema per blindare il tutto. i dati archiviati in un database. caricare i propri script sul server. Se il vostro
Infatti, niente vieta di mantenerlo riservato Scorrendo il bollettino Cyber Risk di HP Apache soffre di alcuni problemi potrebbe poi
fino a quando non si decide il contrario. pubblicato all’inizio di quest’anno, si scopre consentire a questi script di agire indisturbati,
La maggior parte delle distro gestisce in piena che il 44% degli attacchi è stato causato magari sfruttando una serie di bug a scalata
libertà i propri avvisi di sicurezza. Per capire sfruttando vulnerabilità vecchie di due o tre sui privilegi fino ad arrivare al root. A questo
di cosa stiamo parlando, date un’occhiata anni, per cui erano già disponibili da tempo punto, la macchina è virtualmente sotto
a https://security.gentoo.org. le rispettive patch. Questo significa che gli il controllo dell’attaccante e tutti i dati in essa
A tal proposito, il sistema CVE può essere amministratori di sistema non sono stati contenuti devono essere considerati
considerato un valido strumento di scambio abbastanza efficienti da porre rimedio quando compromessi. Naturalmente, l’attacco
per una rapida diffusione delle informazioni dovevano. Una statistica ancora peggiore sarebbe da considerarsi riuscito se tutto
relative a vecchi o nuovi problemi. Da qui, poi, è quella riportata dal Data Breach questo avviene a vostra insaputa. Magari
inizia il percorso per la creazione delle patch. Investigations di Verizon. Qui possiamo pensate che vada tutto bene, ma sulla vostra
La mancata applicazione di questi pacchetti leggere come il 97% delle multinazionali più homepage compare un piccolo applet Flash
che vanno a tappare le eventuali falle presenti conosciute al mondo sia stata oggetto di che inocula malware agli utenti che si
nel sistema è quanto di più pericoloso ci possa un attacco che ha avuto come obiettivo 10 collegano al sito. A tal proposito è quindi
essere. Gli strumenti a disposizione di un vulnerabilità note, otto delle quali conosciute fondamentale abituarsi a controllare
potenziale aggressore per scansionare da almeno 10 anni. Applicare gli aggiornamenti a intervalli regolari i log del server. Seppure
le vulnerabilità di un sistema sono davvero e le patch è quindi fondamentale, ma ci sono nella maggior parte dei casi tali file tendano
molti e tutti consentono di avere una mappa anche casi in cui non è possibile farlo per a occupare parecchio spazio, ci sono sistemi
ben precisa di dove attaccare. Ecco perché cause di forza maggiore. I sistemi embedded, utili a ridurne le dimensioni. Logwatch, per
è fondamentale tenere il proprio sistema per esempio, non dispongono di un gestore esempio, è uno strumento particolarmente
sempre ben aggiornato. Nonostante questo pacchetti. Inoltre, funzionando spesso utile e che può riassumere gli accessi a SSH,
possa comportare qualche momentanea su architetture non-x86, rendono la creazione Web e database, nonché a ogni altro servizio
dei binari un vero strazio. in esecuzione. Un altro software da prendere
Nel box in questa pagina Open in considerazione è il popolare Awstats
vs Closed vi forniamo qualche basato su Perl. Tramite un’interfaccia Web
dritta su come procedere ben disegnata, sfogliate agilmente qualsiasi
quando non potete aggiornare registro. Un altro elemento da avere sempre
i pacchetti tramite i canali sottocchio è poi il carico di sistema.
standard. Tuttavia, si tratta Il comando uptime, per esempio, fornisce
pur sempre di una minoranza. una panoramica precisa e puntuale del lavoro
In linea generale, quindi, tenete assorbito dalla CPU. Se però volete avere una
a mente l’importanza di percezione ancora più chiara dei dati, potete
mantenere il vostro sistema usare Munin, uno strumento Web che traduce
sempre in forma. Debian Jessie, in grafici i freddi numeri di uptime. Tra gli altri
per esempio, è stato rilasciato programmi utili a scovare le attività di qualche
il 6 giugno ed è disponibile processo canaglia, c’è anche vmstat il quale
per tutte le architetture. fornisce informazioni sui tempi di attesa della
Metasploit Framework è fantastico: la documentazione è A tal proposito, tenetelo ben CPU e sulle richieste di swap. Il comando:
facile da capire e fondamentale per usarlo correttamente presente se volete sfruttare un ps awwlx --sort = VSZ
Open vs closed
Un errore abbastanza diffuso consiste non significa che i bug fossero ben visibili non soffre delle stesse problematiche
nel considerare il codice Open Source più prima della loro pubblicazione. Ci sono dell’Open Source. Per capire che non è così,
soggetto ad attacchi a causa della sua progetti come OpenSSL che in seguito basta usare una piattaforma Windows
natura aperta. Nel 2014, possiamo a problemi hanno deciso di rivedere tutto il ogni primo martedì del mese, quando
annoverare solo pochi bug degni di nota, proprio codice apertamente. Certo, questo notoriamente Microsoft è solita rilasciare
come il goto nella libreria GnuTLS, lo li sottopone a polemiche e giudizi talvolta i propri correttivi in massa. Nel mese di
ShellShock in Bash e Heartbleed in sprezzanti, ma almeno hanno avuto il aprile, sono state 11 le patch (quattro delle
OpenSSL. Nonostante chiunque con un coraggio di operare e senza nascondersi quali definite come critiche) a essere state
minimo di esperienza sia in grado di dietro alla chiusura dei propri laboratori. installate nei sistemi operativi di Redmond
rilevare gli errori una volta scoperti, questo Qualcuno afferma che il codice proprietario dietro a diciture tutt’altro che chiare.
26
Malware Linux
permette di processare tutte le informazioni bruteforce per impossessarsi di queste dell’ultimo anno:
tramite liste ordinate per dimensione, le quali password e accedere ad altri sistemi. Qualsiasi msf > search cve:2014
includono perfino aggiornamenti sulle librerie database memorizzato su una macchina Per esempio, potreste poi essere interessati
condivise e l’utilizzo dello swap. infetta deve poi essere considerato al bug Heartbleed (CVE-2014-0160):
compromesso. Se i dati contenuti sono di tipo msf > use auxiliary/scanner/ssl/openssl_
I rootkit personale, potrebbero essere utilizzati per heartbleed
I rootkit sono programmi malevoli che svariati scopi, oppure per compiere attacchi … > set RHOSTS targetmachine.com
utilizzano una grande varietà di tecniche di ingegneria sociale. In ogni caso, l’attaccante … > set verbose true
furtive per eludere i rilevamenti. Possono potrebbe mirare a escludervi dal sistema … > exploit
nascondersi all’interno di altri software, nel o semplicemente a eliminare qualsiasi dato È poi fondamentale prestare attenzione agli
kernel stesso, perfino nel BIOS o in altro archiviato. Tutto dipende dalle sue intenzioni exploit 0-day. Infatti, si tratta di punti deboli non
firmware di qualsiasi dispositivo. In questi casi, e dal tipo di attacco che vuole portare. ancora resi noti pubblicamente o privatamente.
il rootkit è del tutto invisibile e a poco serve Il ricercatore Andrew Morris che gestisce Per definizione, quindi, non esistono patch
mettersi a controllare i vari processi di un honeypot (un sistema progettato per in grado di risolverli. L’unica cosa che si può
sistema. In altre parole, non lo troverete mai. innescare e controllare gli attacchi), sperare è non essere contagiati.
In tal caso è necessario guardare a programmi è recentemente incappato in un attaccante
specificatamente progettati per scovarli, come che ha tentato di cooptare alcune risorse della DayZ(ero)
chkrootkit o rkhunter. È poi possibile sua macchina, in modo da rivenderle come Purtroppo non viviamo in un mondo ideale
installare un’applicazione di rilevamento delle VPSes (date un’occhiata a http://morris. e gli 0-day sono piuttosto frequenti.
intrusioni come AIDE, utile a individuare guru/huthos-the-totally-100-legit-vps- Soprattutto se considerate che molti di essi
modifiche al filesystem. Alcuni rootkit, così provider). Questo genere di attacchi si sta vengono scoperti proprio da malintenzionati
come altri malware di vario genere, possono facendo sempre più frequente e si concretizza che tutto possono fare tranne che renderli
dipendere da un modulo insito nel kernel. cercando di installare un demone minerario noti e permetterne una possibile risoluzione.
Per maggiore sicurezza, quindi, fate che genera criptovaluta. Per fare un esempio L’aspetto più preoccupante, stando ai
in modo che quest’ultimo generi sempre di cosa si può fare in tal senso sfruttando documenti resi pubblici da Ed Snowden, è che
una chiave privata e un certificato (utile a alcune vulnerabilità, vale la pena citare il caso i governi (Stati Uniti compresi) sono spesso
contenere la chiave pubblica) per ogni modulo. dei NAS Synology. Questi, a causa di una falla coinvolti nell’acquisto e nello stoccaggio
Così facendo, eventuali moduli compilati nel software DiskStation Manager (DSM), di questi exploit. Per fortuna, comunque,
dovranno essere sempre firmati prima del sono diventati dei miner di Dogecoin ci sono alcuni spiragli di luce, come quelli
caricamento. Per tale scopo, potete usare un all’insaputa dei proprietari. Gli attaccanti, forniti da Bug Bounty di Facebook e Pwn2Own
comodo script in Perl che vi renderà la vita più da questo “scherzetto”, sembra siano riusciti di Chrome che forniscono una buona
semplice. Per esempio, per firmare il modulo a racimolare la bellezza di 600.000 dollari. motivazione agli hacker per rivelare le
acx100 (un driver particolare per alcuni Synology ha poi rilasciato un fix per DSM rispettive vulnerabilità che scoprono. A fronte
chipset wireless Texas Instruments), si può a febbraio del 2014, ma l’attacco di massa di questi due esempi, però, c’è da considerare
sfruttare questo comando : ha comunque continuato a generare entrate che molti progetti Open Source non possono
$perl /usr/src/linux/scripts/sign-file sha512 / anche nei mesi successivi. Per prevenire certo contare sulle risorse finanziare di colossi
mnt/sdcard/kernel-signkey.priv /mnt/sdcard/ situazioni di questo genere, si può usare come Facebook o Google per fare altrettanto.
kernel-signkey.x509 acx100.ko Metasploit, un Penetration Testing Software, Vi abbiamo quindi dimostrato come il mondo
È importante notare come sia la chiave sia il vale a dire una suite pensata per verificare la Linux, seppure più sicuro di Windows, sia
certificato vengano memorizzati in una scheda tenuta del vostro sistema. Con l’uso di questa comunque soggetto ad alti rischi per
SD. Il certificato è pubblico e può essere raccolta, è possibile avere anche un report la sicurezza. Siate sempre vigili, aggiornate
lasciato ovunque, mentre le chiavi private completo sulle vulnerabilità quotate nelle CVE le vostre macchine e prestate attenzione.
devono rimanere riservate e archiviate in un
altro supporto. Inserirle nella stessa SD
insieme al certificato pubblico, può essere
paragonato a chiudere la porta di casa
e lasciare le chiavi inserite nella toppa
all’esterno. Una volta che il kernel è stato
compilato e firmato, si deve copiare la chiave
in un posto sicuro, quindi cancellare l’originale.
Come abbiamo detto, firmare i moduli del
kernel è un buon sistema per evitare spiacevoli
sorprese. Ciò nonostante, dovete considerare
anche un’altra possibilità: un’infezione estesa
del kernel che auto-abilita la ricezione di
moduli corrotti. Questa eventualità può essere
scongiurata avviando un kernel firmato da EFI.
L’hashing delle password su Linux viene
memorizzato nel file /etc/shadow, leggibile
solo da root. Se un malintenzionato dispone di
risorse sufficienti, potrebbe tentare un attacco digitalattackmap.com mostra i DDoS giornalieri più gravi: c’è davvero da preoccuparsi...
27
Protezione Generale
L’ATTACCO
all’internet
delle COSE
Dalle Webcam alle automobili, passando per gli smart
TV le lavatrici con IP e i pace-maker…
L’autore
Raoul Chiesa
Raoul “Nobody” Chiesa, classe ‘73, è un ethical hacker. Presidente di Security
Brokers SCpA, ricopre diversi ruoli istituzionali tra cui il Comitato Direttivo e
Tecnico-Scientifico del CLUSIT (Associazione Italiana per la Sicurezza
Informatica), membro del Permanent Stakeholders Group dell’ENISA (European
Network & Information Security Agency), Board of Directors del capitolo italiano
di OWASP e del Comitato Tecnico di AIP/OPSI, nonché Special Advisor
sull’Hackers Profiling per le Nazioni Unite presso l’UNICRI.
28
Hacking
Le nuove frontiere dell’hacking
IPv4 vs IPv6
U
n primo aspetto da analizzare, prima di presentare
i risultati di alcune delle ricerche fatte, è il protocollo IP.
Come tutti sappiamo, lo “spazio” disponibile con IPv4
(l’attuale versione del protocollo IP) è praticamente terminato.
Questo è il motivo principale della transizione verso IPv6:
il mondo ha bisogno di nuovi indirizzi IP.
IP - Internet Protocol, è la “lingua” con la quale computer
e oggetti intelligenti comunicano fra loro. Nella versione in cui
lo utilizziamo sin dalla nascita di Internet, la versione IPv4,
è in grado di collegare circa 4,3 miliardi di dispositivi. Una cifra
apparentemente enorme, che certamente sembrava “sufficiente
a tutto” quando, diversi decenni fa, Arpanet progettò l’attuale rete
Internet. La crescente popolazione di Internet, però, sostenuta
dal sempre maggiore numero di persone che si collegano alla
Rete e dal numero di dispositivi intelligenti interconnessi - telefoni,
automobili, sensori e chi più ne ha più ne metta – ha superato
ormai da tempo il limite massimo (tecnicamente si chiama spazio
d’indirizzamento) messo a disposizione dal protocollo IPv4. semplicemente cambia. Alcuni attacchi, il phishing fra questi, sono
All’inizio del 2011 gli indirizzi IP disponibili sono terminati indipendenti dal protocollo IP e restano invariati in efficacia
e da quel momento i collegamenti avvengono grazie a tecnologie e gravità. Altri saranno più difficili da portare a termine, e altri
di condivisione e conservazione degli indirizzi IP; tecnologie ancora potrebbero essere invece facilitati con il nuovo protocollo,
che, quando sfruttate molto, introducono problemi che a dire il vero incorpora molti accorgimenti di sicurezza frutto
e malfunzionamenti. Niente panico, però: la soluzione esiste di venti anni di esperienza nell’utilizzo della vecchia versione
e sta prendendo piede. Senza clamore, invisibilmente del protocollo IP. Vero è che, lavorando quotidianamente con
ma inesorabilmente, IPv6, la nuova versione del protocollo IP aziende private e istituzioni, diversi sono già stati i casi di realtà
si sta diffondendo a macchia d’olio. La sua capacità permette che hanno subìto una violazione e furto di dati, filtrati attraverso
di interconnettere un numero enorme di dispositivi: pari a poco IPv6, semplicemente perché i device di sicurezza delle vittime
più di 3.4 seguito da 38 zeri o, per rendere meglio l’idea, non erano configurati per proteggersi anche da attacchi lanciati
un numero sufficiente a dare più che un indirizzo IP a ogni attraverso IPv6, mentre i dispositivi (router, switch, firewall, sistemi
granello di sabbia contenuto sulla crosta terrestre per una operativi) automaticamente si erano già “adattati” al nuovo
profondità di oltre un chilometro. La migrazione al nuovo protocollo oppure, in altri casi, essendo compatibili con il nuovo
protocollo è già iniziata e diversi Paesi europei hanno già una protocollo, di “default” accettavano connessioni IPv6. Connessioni
significativa percentuale di utilizzo. In Svizzera, per esempio, che, come detto poc’anzi, spesso non erano monitorizzate,
un utente residenziale su dieci già lo utilizza. In molti casi presidiate o controllate, né tanto meno regolate. Per maggiori
l’utilizzatore finale non si accorge nemmeno della transizione, approfondimenti sulla tematica IPv6 rimandiamo alla sezione
che avviene in maniera completamente trasparente. Da un punto del Rapporto CLUSIT 2013 scritto da Marco Misitano e reperibile
di vista di sicurezza il panorama non peggiora, ma non migliora: all’indirizzo http://misitano.com/ipv6.
29
HackingProtezione Generale
Clusit
I
l CLUSIT è, dal 2000, al servizio informatica presso le Aziende, la Pubblica suddivisa in Sessioni Plenarie, Tavole Rotonde,
della sicurezza delle informazioni: Amministrazione e i cittadini. Atelier Tecnologici, Seminari di Associazioni
la consapevolezza, la formazione, il continuo Partecipare alla elaborazione di leggi, norme e tre percorsi: Tecnico, Legale e Gestione
aggiornamento professionale e lo scambio e regolamenti che coinvolgono la sicurezza della Sicurezza.
di informazioni sono gli strumenti più efficaci per informatica, sia a livello comunitario che italiano.
far fronte ai problemi della sicurezza informatica. Contribuire alla definizione di percorsi
Questa associazione nasce sulla scorta delle di formazione per la preparazione
esperienze di altre associazioni europee e la certificazione delle diverse figure professionali
per la sicurezza informatica quali CLUSIB (B), operanti nel settore della sicurezza ICT.
CLUSIF (F), CLUSIS (CH), CLUSIL (L) Promuovere l’uso di metodologie e tecnologie
che costituiscono un punto di riferimento che consentano di migliorare il livello di sicurezza
per la sicurezza informatica nei rispettivi paesi delle varie realtà.
da oltre 20 anni, cui si sono aggiunti APSIT - Il Security Summit è l’evento del CLUSIT aperto
CLUSI Tn, CLUSIBF, CLUSICI, CLUSIQ. Il CLUSIT a tutte le persone interessate all’affascinante
Il CLUSIT è l’Associazione Italiana per
è aperto a ogni persona e organizzazione mondo della sicurezza informatica: workshop,
la Sicurezza Informatica di cui fa parte l’autore
che manifesti un interesse per la sicurezza seminari, tavole rotonde, e addirittura un Hacking
di questo articolo (Socio Fondatore e Membro
informatica. Film Festival per l’intera durata dell’evento del Comitato Direttivo e Comitato Tecnico-
(tre giorni) hanno intrattenuto gli oltre mille Scientifico), il cui Rapporto 2014 sull’ICT Security
Obiettivi partecipanti. L’agenda, davvero fitta, è disponibile in Italia è disponibile da scaricare dal sito
Diffondere la cultura della sicurezza sul sito https://www.securitysummit.it/, del Security Summit, edizione di Milano
M
a l’IPv6 è anche il protocollo ideale per quella
che chiamiamo “l’internet delle cose”, una gigantesca
ragnatela globale, il cui obiettivo è connettere,
mettere online, tutto quello che possiamo immaginare:
smartphone, fotocamere digitali, smart TV, impianti industriali
(SCADA e Industrial Automation), automobili, lavatrici e
frigoriferi, pace maker e pompe di insulina… Già oggi la
presenza del protocollo IP nei nostri cellulari di recente
generazione è altamente pervasivo. Non solo perché
dal nostro smartphone possiamo inviare e ricevere email e
navigare, ma anche e soprattutto per le tanto amate/odiate
app, e per applicazioni che sono ormai diventate un vero e
proprio standard di comunicazione: pensiamo a WhatsApp, Anche semplicemente caricare le proprie foto via Wi Fi ci
Viber e iMessage. Il 3G è stato costruito intorno al concetto di mette a rischio di aggressioni da parte di malintenzionati
online e di Internet access, e il 4G/LTE spinge sempre di più in
questa direzione. I problemi, si sa, ci sono già, in particolare
verso gli aspetti di sicurezza e privacy dei dati. Dalle app nostri segreti, le nostre abitudini e soprattutto è sempre
“clandestine” o fasulle, le quali non sono altro che una scusa insieme a noi, ovunque andiamo. Stanno però iniziando a
per farci installare – da soli – malware sui nostri dispositivi uscire fotocamere digitali wireless, che parlano IP e dalle quali
mobili, sino alle frodi consegnate proprio per trarre vantaggio possiamo direttamente inviare le nostre fotografie verso la
dell’accesso IP dei nostri telefoni e, ancora, gli spyware Rete, da Google Foto e Flickr, oppure i nostri social network
per sorvegliare e spiare da remoto i proprietari e gli utilizzatori preferiti. Peccato che, esattamente come il proprietario può
di queste bellissime tecnologie. Senza dimenticarci le accedere a quelle foto, lo può fare anche un utente non
problematiche di privacy, la possibilità di intercettare messaggi autorizzato, come hanno dimostrato più volte ethical hacker
scambiati attraverso i software di instant messaging e chi più russi e tedeschi nel corso di diverse conferenze hacker. Il
ne ha più ne metta. Sono tantissimi anni che la scena problema è che la gestione degli accessi e della condivisione
underground e il mondo dell’ethical hacking individua file via Wi-Fi non è stato scritto in maniera sicura, e il risultato
vulnerabilità e falle di sicurezza nel mondo mobile, è che chiunque può, con minimi accorgimenti, collegarsi al
esattamente come succede per il mondo più classico dei nostro apparato e copiare le nostre foto (ma anche prendere il
sistemi operativi per PC, su Facebook e altri social network e controllo dell’apparecchio). Che dire… basta fare attenzione a
su tantissime applicazioni software, da quelle di Adobe sino a cosa fotografiamo, spostare immediatamente eventuali
Oracle. A oggi uno smartphone è sicuramente l’oggetto più contenuti molto personali, privati o imbarazzanti… aspettando
personale e privato che portiamo addosso, custodisce alcuni nel frattempo le patch del produttore – se mai arriveranno.
30
Hacking
Le nuove frontiere dell’hacking
C
osa succede però quando l’attacco ci arriva in casa
e in ufficio? Ha creato scalpore il fatto che la FTC (Federal
Trade Commission) USA abbia imposto a un vendor
di risolvere seri bachi di sicurezza presenti nelle proprie Webcam,
i quali permettevano (e permettono a tutt’oggi!) a estranei
di collegarsi alle nostre Webcam, evitare l’autenticazione e fare
i voyeur. Non cito la marca in questione, dato che tutti i competitor
di quel brand hanno, bene o male, vulnerabilità simili. Chiunque
di voi può interrogare Shodan (www.shodanhq.com) e ricercare
gli indirizzi IP, per esempio in Italia, di telecamere IP CCTV prodotte
da un vendor specifico, per le quali le vulnerabilità e le password
di default sono note, e diventare un “digital voyeur”, facendosi
i cavoli altrui. Parliamo, ovviamente, dell’evoluzione delle
telecamere CCTV, quelle che tutti noi utilizziamo, per esempio,
per controllare la casa dall’ufficio, attraverso Internet, oppure Il concetto
il contrario, o ancora la camera dei nostri figli, il giardino e così via. dei cybercriminali: speravo di sbagliarmi, ma così non è stato e le spagnolo
Ma i ricercatori di security, si sa, sono personaggi originali e l’ultima mie previsioni, purtroppo, si sono avverate. Sempre più di una Smart
cosa che vogliono è annoiarsi. Se quindi da un lato le smart TV elettrodomestici smart (televisori, router, media center, Smart TV City, “building
sono tutto sommato una recente novità, ricercatori come Luigi e «almeno un frigorifero») vengono violati da remoto e adoperati smart
communities”.
Auriemma (italiano trasferitosi a Malta) e molti altri hanno già per il più classico dei compiti assegnati agli “zombie”: inviare
L’utilizzo dell’ICT
individuato vulnerabilità di sicurezza nei “televisori intelligenti” spam. Tutto quanto sopra ci porta, inevitabilmente, a un altro
per creare “città
prodotti da Samsung, LG e tanti altri costruttori. Qui gli scenari termine caldo: Smart City, le città intelligenti. Immaginiamo
intelligenti”
di frode causabili da software insicuro sono tanti, in un settore dunque le città del domani nelle quali tutto, dalle smart car alle sta vivendo
che è nato davvero da poco. Pensiamo ai film che acquistiamo smart TV, dalla domotica agli smart GPS, dialogano tra loro, un vero e proprio
online, oppure alla chiamata Skype che effettuiamo dal nostro scambiano informazioni e aggiornano dati, e nelle quali il concetto momento d’oro,
smart TV: in ambo i casi un attaccante esterno potrebbe prendere di e-governance sarà effettivamente reale, funzionante e visti almeno
il controllo di quelle applicazioni o di quei dati e, semplicemente, tangibile. Il disegno è bellissimo e intrigante ma, se pensiamo solo i tantissimi
rubarci la carta di credito utilizzata per gli acquisti online dal nostro per un momento a tutte le vulnerabilità che le tecnologie poc’anzi progetti già
smart TV, oppure intercettare login e password e rivenderle poi elencate già oggi hanno… forse, un po’, spaventa anche quest’idea online e in corso
d’opera
al black market del cybercrime. I modelli di smart TV più recenti delle città automatiche, automatizzate, che cambiano
incorporano già la Webcam, rendendo molto appetibile a ragazzini dinamicamente, in funzione delle necessità dei cittadini. Le Smart
curiosi e criminali dell’est Europa una bella spiata nel salotto di casa City non sono però un qualcosa di “lontano” nel tempo. A Dubai,
nostra, o nelle nostre camere da letto. L’ultima novità, vista con negli Emirati Arabi, il governo ha già iniziato il percorso per
i miei occhi in alcuni viaggi all’estero, è l’”housekeeping” digitale: rendere “smart” la città: cento iniziative legate a trasporti,
frigoriferi con connessione a 100 Mbit/s e sensori grazie ai quali comunicazione, greenbuilding, energia e pianificazione urbana per
ordinare automaticamente dai supermercati il cibo che ci serve il progetto “Dubai Smart city”, con investimenti nell’ordine dei
online, lavatrici che possiamo gestire da remoto tramite centinaia di milioni di dollari per la città che ospiterà il prossimo
una comoda GUI, robot per le pulizie e droni per funzionalità Expo mondiale, il World Expo 2020. Sono anche diversi i progetti
di controllo della sicurezza delle nostre abitazioni. Chi scrive europei di Smart City, da Torino a Barcellona, con lavori già in
aveva, purtroppo, predetto in un’ANSA a fine 2013 corso di realizzazione soprattutto nel nord Europa. Il problema? In
che gli elettrodomestici “smart” sarebbero finiti nel mirino nessuno di questi fantastici progetti è citata la sicurezza
31
HackingProtezione Generale
Ecco come sono, informatica! L’e-Government è un qualcosa di fantastico, operativi commerciali (e quindi non OSS), ai furti di identità, alle
qui sotto a destra, bellissimo, sulla carta così come nella realtà: niente più code agli frodi online. Forse, anche in Italia, prima di pensare alle Smart
le automobili
sportelli della Pubblica Amministrazione, la possibilità di richiedere City, dovremmo prendere l’esempio dalla città di Monaco, in
di oggi, dal punto
certificati e documenti standocene comodamente seduti alle Germania, dove è stato appena lanciato un progetto – già
di vista di un
hacker. Tutto
nostre scrivanie, archivi digitali e tanti, tantissimi database sui funzionante! – che ha migrato 14.000 utenti del Comune da
è controllato cittadini del XXI secolo. Penso però al mondo del cybercrime, agli piattaforma closed-source (Microsoft) e piattaforma Open Source
da sensori, i quali utilizzi illegali di device, infrastrutture e database non messi in (KOLAB, basata su una distro Linux), con un risparmio immediato,
comunicano tra sicurezza, alle tante falle nel mondo del software e dei sistemi già nel primo anno, di ben quattro milioni di Euro!
di loro e con un
gateway centrale,
il “Gateway”
appunto.
Quando un hack può uccidere
A
Le automobili
bbiamo tenuto per ultime quelle keyword che, parlando Wi-Fi… Ora, il problema è molto semplice. Il mondo
più moderne
di “paura”, più ci spaventano: SCADA e Automazione dell’ethical hacking ha iniziato a fare ricerche su automotive
hanno a bordo dei
sistemi operativi,
Industriale, Automotive ed e-Health. Sono tre argomenti hacking già alcuni anni fa e Bogdan-Ioan Suta, un
come Windows, dei quali sentiremo parlare tantissimo nei prossimi anni. ricercatore di sicurezza rumeno, ha presentato una ricerca
Android o iOS, SCADA è l’acronimo di “Supervisory Control and Data sull’hacking della vecchia Volkswagen dei suoi genitori, grazie
ovviamente in Acquisition”. Oggigiorno la maggior parte delle utility che alla quale tramite il suo laptop è riuscito ad alzare e
versioni “speciali”, utilizziamo regolarmente, dalle aziende energetiche ai trasporti abbassare i finestrini elettrici, aprire e chiudere l’auto. Certo,
e la guerra (aerei, ferroviari, autostradali, metropolitana), è basata su non è un modello di auto “evoluto”, non puoi intervenire sul
per la conquista di tecnologie SCADA così come i moderni acquedotti e le centrali motore o sul sistema frenante…. Ma anche questo è già stato
questo nuovissimo di energia. Il problema, come sempre, è che questi standard e fatto. Gal Diskin, ex ricercatore di Intel Israele, ha annullato
mercato è appena
protocolli sono stati progettati senza la “sicurezza in mente”. la presentazione della sua ricerca su Automotive hacking a
iniziata, come
Questo è il motivo per cui, a oggi, i sistemi SCADA hanno avuto Hack in the Box Amsterdam. Il motivo? Ha avuto paura che
dimostrano
i recenti accordi
un incremento nella distribuzione delle vulnerabilità con terroristi e malintenzionati potessero utilizzare il know-how da
tra Ferrari e percentuali da capogiro. lui scoperto per ferire o uccidere vite umane.
Apple, e tra altri Questo ci porta all’ultima keyword che causa (forti)
costruttori e la preoccupazioni: l’e-Health. Il mondo della sanità e ospedaliero
casa di Redmond, ha scoperto l’e-health. È un’evoluzione naturale, tra spending
ma anche gli review, leggi e decreti, ottimizzazione di costi e tempi,
investimenti per e-Government, piani e direttive EU. Il problema, nuovamente,
ricerche proprio sta alla base: dispositivi e software per la sanità elettronica
in questo settore
non sono stati progettati con l’Information Security come
da parte di Big G,
priorità. Possiamo dire anzi che, nella maggior parte dei casi,
Google
gli aspetti di sicurezza non sono nemmeno stati presi in
considerazione. Nel novembre del 2012 tenni una
presentazione a Roma, presso il forum E-health
Grazie dell’Information Security Hospital, e presentai una slide su
una semplice ricerca con Google per la voce “Medical devices
L’autore desidera
hacking”, la quale restituiva più di un milione di risultati.
ringraziare: Ricercatori di sicurezza come Jerome Radcliffe, lo stesso
Marco Misitano Non pensiamo per forza a Stuxnet o alle agenzie di intelligence Barnaby Jack (recentemente scomparso), Shawn
(Cisco), Cristiano e truppe di super-hacker che trovano bug… Qui parliamo, nella Merdinger e Travis Goodspeed, hanno poi effettuato
Cafferata (DELL/ maggior parte dei casi, di ethical hacker e ricercatori dimostrazioni di hacking a peace maker con Bluetooth e Wi-Fi
SonicWall), “freelance”, i quali spendono un po’ del loro tempo libero per a bordo, piuttosto che a pompe di insulina.
Selene Giupponi, individuare vulnerabilità. Una semplice ricerca su Google per
Raffaele Regni,
SCADA exploits riporta oltre 400.000 risultati: pochi anni fa “Autenticazione”, “encryption”?
Fabrizio Cirilli e
Matteo Benedetti
questa cifra era nell’ordine delle centinaia. I sistemi SCADA No, grazie….
gestiscono anche stazioni energetiche (elettriche, nucleari, ecc.), Orbene, un conto è quando si parla di vulnerabilità che possono
(Security
Brokers), il
l’automazione industriale e tanto altro ancora. C’è di che esporre i sistemi target a Web defacement, furto di database e
CLUSIT rabbrividire, specie quando si fa una ricerca non con Google ma cose simili, ma ben altro conto è quando queste vulnerabilità
(Associazione con Shodan, prendendo in un colpo solo sia l’elenco completo e possono impattare sulle vite umane. Non credo sia il caso di far
Italiana per la gli indirizzi IP dei sistemi target, sia le relative vulnerabilità. finta di niente, è anzi giunta l’ora di agire, e di comprendere come
Sicurezza Automotive, come tutti sappiamo, è il mondo delle automobili. Il l’Information Security giochi un ruolo cruciale nelle vite dei
Informatica), Gal problema, in questo caso, è che questo settore sta sempre più cittadini e dell’intero sistema Paese. Forse, ai nostri politici e
Diskin, Barnaby parlando “ICT”. All’inizio erano i sistemi multimediali nelle nostre decision maker, farebbe bene un’attenta lettura degli ultimi report
Jack, Cedric
auto, poi il ricevitore Bluetooth. Oggi anche il mondo del World Economic Forum, nei quali già si preannuncia come
Blancher, Shawn
dell’automotive si sta evolvendo, osserviamo con attenzione alla l’insicurezza delle risorse informatiche e di telecomunicazioni che
Merdinger e
“Google Car”, ma soprattutto sappiamo che le auto di domani, utilizziamo ogni giorno, stia alla base di tutti gli scenari catastrofici
Bogdan-Ioan
Suta.
entro un breve periodo, saranno anch’esse always-on, 4G, che potremmo immaginare nei nostri peggiori incubi.
32
Il DVD
Installa il meglio
per la tua privacy
33
Protezione Generale
Ecco come
ti bucano il Wi Fi
Vi mostriamo uno dei metodi usati
L’autore
dai criminali informatici
(o dai curiosoni) per entrare Fabio Spelta
Sistemista, sostenitore del Software
A
dispetto della crittografia (di per sé valida) messa
in opera da WPA2, un numero significativo dii
Access Point in circolazione oggi è violabile con
una dozzina di ore di tempo a disposizione e una
scheda Wi-Fi da trenta euro (e spesso questa non serve
neanche). Scommetto che il vostro vicino ha la dozzina di
ore a disposizione e probabilmente anche i trenta euro,
quindi meglio verificare se il vostro router è vulnerabile e,
nel caso, correre ai ripari.
34
I pericoli del wireless
Cosa diavolo stai dicendo, Willis? Fig.1 La rete
di casa del
Molti di voi si ricorderanno i tempi neanche troppo remoti
vicinato. BSSID
in cui molti router venivano venduti già preconfigurati
e SSID sono stati
per essere acceduti senza nessun tipo di crittografia oscurati per
né di credenziali, come opzione predefinita; e di come, motivi di privacy,
di conseguenza, andare in giro a cercare accessi a sbafo salvo la rete
a Internet fosse diventato uno sport nazionale. Purtroppo, dell’autore,
grazie all’introduzione relativamente recente di WPS e alla che ora non
sua pessima, scellerata implementazione in moltissimi Access è più accessibile,
Point, lo scenario attuale non è troppo dissimile da quello per inciso
di qualche anno fa. Oggi accedere a una rete che non
è la propria è meno banale di allora e richiede qualche ora
di tempo; quindi è impensabile che qualcuno di passaggio il miglior livello di crittografia attualmente esistente da quel
sotto la vostra finestra possa attaccarsi e farsi gli affari propri momento in avanti (WPA2, appunto). Va da sé che se
(e già che c’è anche i vostri) al volo approfittando della vostra si riesce a fregare WPS, ci si fa passare tutti i parametri
rete. Chi però ha sempre accesso al vostro segnale Wi-Fi, dal router, e allora addio sicurezza di WPA2 (per inciso,
può fare con calma. E se pensate che “tanto tutti miei vicini ai fini di questo articolo le differenze tra router Wi-Fi
di casa sono rimbambiti ed è già molto se sono capaci e Access Point – AP – sono trascurabili, perciò useremo
di far partire il videoregistratore”, tenete a mente che molte entrambi in maniera intercambiabile). Perché semplificare
schede Wi-Fi specializzate hanno una portata le cose permettendo di usare solo otto numeri, in una fase
significativamente maggiore di quelle in dotazione nei vari iniziale? Pensate ai vari dispositivi mobili con tastiere software
dispositivi mobili, perciò il campo non è limitato solo alle piccole, dove non è difficile sfiorare il tasto sbagliato
vostre immediate pertinenze… chissà chi abita nel condominio inavvertitamente. Inserire una password di venti caratteri
di fronte. Iniziamo con il vedere cos’è WPS, e come mai sarebbe parecchio scomodo. Peggio ancora, pensate
è così deleterio. alle console per videogiochi che non hanno una tastiera,
e immaginatevi a inserire venti caratteri con un bel controller
Cos’è WPS? della Nintendo Wii. Magari passando dalla schermata
WPS sta per Wi-Fi Protected Setup, anche se in origine con le lettere a quella con i numero a quella con i simboli.
avrebbe dovuto chiamarsi Wi-Fi Simple Config. Il nome Quindi l’idea non era neanche male.
originale sarebbe stato sicuramente più indicato, anche
perché a tutti gli effetti lo scopo di questa invenzione Un PIN non è effettivamente
è, tuttora, quello di semplificare l’accesso alle reti Wi-Fi facile da indovinare?
da parte degli utenti meno abili con la tecnologia, e così Otto cifre decimali significa cento milioni di numeri possibili
facendo aumentare la diffusione della tecnologia wireless. da provare. Se WPS fosse stato implementato meglio,
Al contempo, tuttavia, si voleva mantenere un livello come vedremo dopo, sarebbe stato estremamente difficile,
di sicurezza ragionevole per fare in modo che la pressoché impossibile da violare. Uno dei problemi tuttavia,
semplificazione non andasse a discapito della sicurezza. il primo di molti, è che in realtà le cifre considerate sono solo
Come si dice in questi casi: EPIC FAIL. sette, non otto. L’ultima è una checksum, e viene calcolata
a partire dai primi sette. Una checksum è una sorta di sigillo
Perché WPS è così gramo? in ceralacca per verificare che il PIN trasmesso sia stato
L’idea originale aveva anche senso. Semplificare la fase ricevuto correttamente. Non che sia quello giusto: solo che
iniziale di associazione tra il client e l’Access Point usando la trasmissione da una parte all’altra sia stata integra e non
un PIN, in maniera simile a quella che avviene tra dispositivi si sia alterata (in gergo “corrotta”) durante la trasmissione
Bluetooth, per intenderci. Usando un PIN corretto, il router radio dal vostro dispositivo al router. Questo può anche avere
non avrebbe garantito l’accesso tout court alla rete, senso (ma forse, a dirla tutta, no: non bastava respingere
ma avrebbe trasferito al client tutti i parametri per un PIN corrotto come qualsiasi PIN non valido?), ma di fatto
la configurazione sicura, solitamente WPA2, per utilizzare restringe il numero di combinazioni possibili a dieci milioni.
Un caso felice
Per fortuna qualcuno distribuisce router con felicemente accesi in tutta la nazione non si
WPS implementato nel modo corretto. Il comportano in questo modo?
router AVM Fritz!Box 7390, per esempio,
consente di disattivare WPS tout court, o
molto semplicemente, di tenerlo acceso solo
Un router con un buon firmware implementa
quando lo si desidera, per soli due minuti, e WPS mantenendo il PIN attivo solo per pochi
cambiando PIN ogni volta che lo si è minuti e cambiandolo dopo ogni utilizzo.
utilizzato. Era così difficile? Perché ancora In questo modo WPS diventa davvero un modo
oggi, a più di due anni dalla pubblicazione comodo per configurare apparati Wi-Fi,
della scoperta della falla, tantissimi router senza svilire la sicurezza
35
Protezione Generale
Che è un numero ancora abbastanza alto per provare numeri segnali che arrivano da ovunque lì intorno, e non ha gli occhi
a caso (provare tutte le possibili combinazioni per indovinare per vedere la scatoletta che state guardando voi. Qualsiasi
quella giusta si chiama attacco a forza bruta). Se fosse possibile segnale che arrivi presentandosi con il nome che vi aspettate
provare un PIN al secondo, servirebbero circa tre mesi per (per esempio “ANTANI_Network”) per lui è potenzialmente
provarne dieci milioni. Che diciamocelo, non sarebbe neanche buono. Come fate a essere sicuri, allora, che il vostro
un tempo geologico: ma le cose stanno ben peggio. I PIN WPS smartphone non stia comunicando con un altro Access Point,
vengono controllati… dividendoli in due parti. Prima vengono e non il vostro? Uno creato ad arte per farvi sì connettere,
verificate le prime quattro cifre. Se l’operazione va a buon fine, salvo poi leggere tonnellate di affari vostri? Magari anche
si passa al riconoscimento delle tre che rimangono. Questo vuol password molto importanti, se siete disattenti agli avvisi
dire che bastano al massimo diecimila tentativi, nel caso più del browser sulla correttezza dei certificati SSL. Gli Access
sfortunato possibile, per trovare le prime quattro cifre, e solo Point siffatti sono definiti Rogue Access Point, e sono tutt’altro
altri mille per le ultime tre. Siamo passati da cento milioni che fantascienza. Perciò è fondamentale che anche il client
di combinazioni possibili a undicimila in tutto nell’arco di un solo verifichi che stia davvero parlando con il router con cui crede
paragrafo, non male. di parlare, e non con qualcuno che lo impersona. Per farlo,
anche il router manda il suo PIN al client. Non così, nudo
Perché? e crudo, naturalmente; altrimenti basterebbe fare un solo
Anche questa volta l’idea originale non era del tutto sbagliata. tentativo sbagliato, per ricevere la risposta corretta. Questo
Quella di verificare il PIN dividendolo in due, intendo farebbe precipitare WPS oltre il ridicolo. Invece, sia il client
(per la checksum giuro di non capire come se la siano che l’AP trasferiscono il PIN usando una funzione di hashing
inventata). Perché? Perché stiamo prendendo sempre e solo con un salt di 128 bit. Anche in questo caso, però,
in considerazione uno scenario: quello dove il server (l’Access se il router inviasse il PIN tutto intero, sarebbe facile fare
Point) deve verificare che il client (cioè il vostro portatile) un attacco a forza bruta offline per trovare il PIN a partire
Fig.2 I primi sia autorizzato ad accedere, ovvero conosca il PIN. Sembra dall’hash. Per risolvere (si fa per dire) il problema, il router
PIN provati lapalissiano. Nella testa di chiunque l’obiettivo è far riconoscere ne manda solo mezzo, per farsi autenticare a sua volta
da reaver. il proprio smartphone dal dannato Access Point e finalmente dal client; e invia la seconda parte solo dopo che anche
Inizialmente avere Internet a una velocità decente e senza limiti. il client ha dimostrato di conoscere tutti i pezzi del PIN.
vengono usati Non si pensa quasi mai che sarebbe utile anche fare in modo Naturalmente, facendo così, si introduce il problema appena
i PIN più comuni,
che lo smartphone riconosca l’Access Point. descritto; i numeri da provare si riducono di parecchio. Uno dei
dopodiché reaver
problemi di fondo è che otto cifre sono poche, tout court. L’altro
inizia a verificarli
tutti in ordine Ma come, se è lì davanti è che molti router hanno un PIN statico, e attivo 24h/24.
finché non ha agli occhi di tutti!
trovato quello L’Access Point vero ce l’avete lì davanti. Lo smartphone Un minimo di storia
giusto (o qualsiasi dispositivo Wi-Fi, naturalmente), però, ascolta Qualcuno si è accorto di come stavano le cose. Stefan
Viehböck (@sviehb) è stato il primo a pubblicare, alla fine
del 2011, la propria scoperta (ebbene sì. Questo problema
è noto da un paio di anni abbondanti, il che rende ancora più
tragico il fatto che la vulnerabilità sia tanto diffusa ancora
oggi) e ha pubblicato un tool per sfruttare la falla, wpscrack.
Dopo che il problema è stato reso noto, Craig Heffner
di Tactical Network Solutions (www.tacnetsol.com)
ha rivelato di essere già al corrente della cosa da un annetto,
e ha deciso di rilasciare al mondo il codice del proprio
strumento, già bell’e pronto, per sfruttare la debolezza
dei router. Lo strumento si chiama reaver; al momento
è quello più efficace tra i programmi rilasciati per questo
scopo, e lo useremo tra pochi minuti.
36
I pericoli del wireless
già condividendo con qualcun altro, a meno che non viviate
veramente lontano da qualsiasi centro abitato). Per mettere
alla prova il router è possibile installare gli strumenti descritti
di seguito (il già citato reaver tra questi, ma non solo)
all’interno di qualsiasi distribuzione, perciò se non volete
usare un Live CD e la vostra distro supporta già tutti
i pacchetti del caso (e i migliori driver per la scheda Wi-Fi)
allora potete tranquillamente usare tutti i programmi descritti
di seguito dall’interno della vostro sistema operativo.
Nelle prossime pagine, tuttavia, descriveremo come forzare
le eventuali vulnerabilità del vostro router usando Kali Linux.
Kali Linux è una distribuzione pensata proprio per
il penetration testing, vale a dire che contiene già tutti
i migliori strumenti e i più diffusi driver per effettuare svariati
tipi di attacchi informatici, siano essi legittimi, come in questo
caso, o meno. La trovate nel lato A del DVD di questo mese:
potete avviare il computer dal DVD e trovarvi così tutto
pronto, senza dover installare niente (tenete a mente che
la password di root è “toor”, senza virgolette). Se avete una
scheda Wi-Fi USB, esterna, potete anche avviare il DVD
all’interno di una macchina virtuale (in questo modo potreste
mantenere il vostro normale sistema operativo in esecuzione
mentre Kali Linux farà il suo lavoro nella virtual machine). Fig.3 PIN trovato in circa sette ore. Come vedete, non importa quanto complicata
o lunga sia la vostra passphrase, il router Fastweb è generoso e la fa sapere in giro
Kali Linux “Live” lo stesso. Abbiamo nominato Fastweb perché abbiamo avuto un’esperienza diretta,
Il modo più veloce per poterci mettere al lavoro è quello ma i router che soffrono di questa falla sono svariati
di inserire il DVD di questo mese nel lettore, avviare
il computer dal DVD e premere Invio quando appare
la schermata di avvio di Kali Linux, per avviare in modalità in grado di funzionare in modalità monitor in Linux,
Live, senza installare niente sull’hard disk e lasciare il vostro ma questo non è sempre vero. Se fosse questo il vostro caso,
computer indisturbato e poterlo ritrovare esattamente come l’unico modo per poter fare il test è quello di procurarvi una
l’avete lasciato. Se vi steste chiedendo cosa sia la modalità scheda USB esterna pienamente supportata. Ve la caverete
“Forensic”: avvia la distribuzione senza scalfire neanche con poche decine di euro, e avrete anche il vantaggio
eventuali partizioni di swap presenti sul disco (quelle, di poterla usare in una macchina virtuale. Trovate un elenco
altrimenti, vengono usate per migliorare le prestazioni di Kali, di schede supportate (anche PCMCIA e PCI, volendo) qui:
senza intaccare i filesystem) e non monta automaticamente http://bit.ly/1qqDoWF. Per verificare se la vostra scheda
nessuna eventuale memoria USB inserita. Nel nostro caso sia compatibile o meno con la modalità monitor, dopo aver
la modalità predefinita è quella consigliabile. Dopo il boot, avviato Kali Linux e aver fatto il login in GNOME, aprite
a meno che non vi troviate comodi con il layout americano un terminale ed eseguite
della tastiera, la prima operazione da fare è quella airmon-ng
di configurare correttamente la tastiera. Purtroppo è un po’ Questo elenca le schede Wi-Fi disponibili. Ogni scheda
macchinoso. Cliccate in altro a destra, dove è specificato wireless ha un etichetta, indicata tra parentesi quadre;
il nome utente (cioè root, in questo caso: trattandosi di una è un identificativo che rappresenta la scheda fisica all’interno
distribuzione orientata alla sicurezza, non ci sarebbe stato del sistema. A ciascuna scheda fisica possono essere
motivo di limitare i privilegi dell’utente predefinito) e cliccate associate diverse schede logiche, come vedremo tra poco,
su System Settings. Quindi selezionate Keyboard. In basso, vale a dire dei riferimenti usati dal sistema per accedere
cliccate su Layout Settings; quindi sul + in basso a destra, al dispositivo fisico vero e proprio. Ecco un output di esempio:
selezionate Italian e cliccate su Add. Ora, nel pannello wlan0 Intel 4965/5xxx/6xxx/1xxx iwlwifi - [phy0]
superiore, cliccate su en (la lingua attualmente usata per Questo elenca, nell’ordine, il nome logico della scheda come
il layout della tastiera) per far finalmente apparire it e poter assegnato da Kali Linux, il tipo di chipset della stessa, il driver
avere corrispondenza tra quello che c’è scritto sui vostri tasti utilizzato in Kali e l’identificativo della scheda fisica.
e quello che apparirà nel terminale quando li premerete. Ora elencate tutte le proprietà della scheda, sostituendo
nel comando l’identificativo phy0 con quello della vostra
La mia scheda wireless: scheda, se differente:
andrà bene o no? iw phy0 info
Il requisito fondamentale è che abbiate una scheda Wi-Fi L’output normalmente fornito da questo comando
in grado di funzionare e trasmettere pacchetti in modalità è estremamente verboso; anche se restituisce molte
monitor. Questa modalità differisce da quella usata informazioni interessanti. Per restringerlo a quello che
normalmente (detta managed, o station) perché permette ci serve possiamo filtrarlo con grep:
di ascoltare traffico radio proveniente da qualsiasi rete, senza iw phy0 info | grep -A 10 “Supported interface modes”
associarsi a un Access Point. La buona notizia è che buona La seconda parte del comando, grep -A 10 “Supported
parte delle schede integrate nei computer portatili sono interface modes” mostra solo la parte che ci interessa, vale
37
Protezione Generale
Quindi, per rielencare gli eventuali processi problematici
rimasti eseguire
airmon-ng check
Ogni processo elencato dal comando precedente avrà
un identificativo numerico, elencato nella colonna PID.
Per ciascun PID, eseguite
kill -9 PID
sostituendo a “PID” il numero specificato. Un modo
alternativo per abilitare la modalità monitor è quello manuale:
ifconfig wlan0 down
iwconfig wlan0 mode monitor
ifconfig wlan0 up
Attenzione che il primo e il terzo comando sono ifconfig,
mentre il secondo è iwconfig. Per finire, eseguite quindi
senza argomenti:
iwconfig
per verificare lo stato delle vostre schede, virtuali o meno,
e che alla voce Mode compaia l’agognata scritta “monitor”.
Se avete seguito la seconda strada, non verrà generata
una scheda virtuale (mon0), ma verrà fatto riferimento
Fig.4 Inutile cambiare la password di frequente se qualcuno conosce il vostro direttamente alla stessa wlan0. D’ora in avanti, per semplicità,
PIN. Basterà specificarlo nella linea di comando di Reaver per avere quella la scheda in modalità monitor usata per gli esempi sarà
nuova, dopo tre secondi d’orologio sempre “mon0”. Modificate questo parametro nei comandi
che seguono a seconda del vostro caso.
a dire, per l’appunto, la lista delle modalità Wi-Fi supportate. Trovare il proprio Access Point
Se “managed” appare nell’elenco, è fatta. Ogni AP è identificato in modo univoco da un codice
chiamato BSSID, che altro non è che l’indirizzo MAC della
Setup della scheda Wi-Fi scheda wireless dello stesso (ogni scheda di rete ha
Se la scheda Wi-Fi supporta la modalità monitor, per prima un indirizzo, chiamato indirizzo MAC, formato da sei coppie
cosa occorre abilitarla. Ci sono diversi modi per farlo, quello di cifre esadecimali). Senza entrare troppo nei dettagli degli
più comune è utilizzare di nuovo il comando airmon-ng, “strati” di networking, per ora quello che basta sapere
questa volta con due argomenti; dovrete utilizzare è che il riferimento inequivocabile al vostro router è il suo
l’identificativo logico: BSSID, non il nome della rete che esso presenta. Quello può
airmon-ng start wlan0 cambiare, e ci possono essere altri router nei paraggi
Questo creerà una nuova interfaccia virtuale, chiamata che presentano un nome identico (per motivi fraudolenti
mon0. Se rieseguite airmon-ng senza argomenti, ora, ma anche perfettamente legittimi, generalmente parlando).
vedrete due interfacce logiche per la stessa scheda fisica. Quindi la prima cosa da fare, è trovare il vostro BSSID.
Quando crea l’interfaccia di monitoring, airmon-ng verifica Per farlo, fate partire una bella scansione del traffico
se nel sistema sono in esecuzione dei processi che possono a portata della vostra scheda:
interferire con la stessa. L’esito delle operazioni di sniffing airodump-ng mon0
e di cracking WPS dipende molto sia dall’hardware che e aspettate di veder apparire il nome della vostra rete, sulla
dai driver, perciò i risultati possono essere molto variabili. destra (dovrebbero bastare pochi secondi). A sinistra, sulla
Abbiamo osservato che in alcuni casi reaver funziona meglio stessa linea, apparirà il BSSID che state cercando. Prendete
quando Network Manager è abilitato, per esempio, a dispetto anche nota del canale (colonna CH), verrà comodo in seguito
di quanto indicato da airmon-ng; e viceversa in altri. (il canale indica la frequenza radio specifica utilizzata).
Consigliamo di lasciare le cose come stanno, inizialmente,
e in un secondo momento, in caso di insuccesso, di Fuoco alle polveri
disattivare network manager con Finalmente è arrivato il momento di utilizzare reaver. Le sue
/etc/init.d/network-manager stop opzioni sono svariate, e spesso per riuscire a violare il vostro
38
I pericoli del wireless
router (a meno che non sia particolarmente debole,
come la maggior parte dei router Fastweb, ahinoi, incluso
quello dell’autore) occorrono un po’ di pazienza
e di sperimentazione. Il processo è apparentemente aleatorio
non solo perché fortemente dipendente dalla scheda di rete
e dai suoi driver, ma anche, naturalmente, dal comportamento
del vostro router.
Le opzioni indispensabili sono sempre:
-b 00:11:22:33:44:55
con cui specificate il BSSID da attaccare (naturalmente
rimpiazzando i numeri dell’esempio qui sopra con quelli
del vostro router, che avete trovato poco fa);
-i mon0
con cui specificate quale interfaccia utilizzare per provare
l’attacco. Queste due sono imprescindibili. Inoltre, conviene
usare sempre l’opzione -vv che indica a reaver di essere
il più verboso possibile nel suo output, cosa utilissima
per vedere cosa succede strada facendo.
Quindi, il comando base è
reaver -b 00:11:22:33:44:55 -i mon0 -vv
L’output sul router della rete dell’autore è drammatico, come
dimostrato nella Fig.2.
Alcune opzioni Fig.5 Alcuni router respingono le immissioni di PIN errate troppo ravvicinate
Nel caso mostrato nelle figure di queste pagine, l’attacco tra loro, disabilitando WPS per qualche tempo. Tuttavia, basta configurare reaver
è stato (purtroppo) particolarmente fortunato e facile, in maniera meno ostinata e avere un po’ di pazienza per riuscire a violare anche
ma a volte può essere necessario sperimentare con diverse questi router. Attenzione quindi!
combinazioni di opzioni per poter riuscire a ottenere
un risultato. Alcuni router limitano il numero massimo di PIN opzione che potrebbe essere interessante è -L, che specifica
che concedono di provare in un determinato lasso di tempo, di ignorare il blocco WPS continuando a martellare il router
proprio per arginare gli attacchi a forza bruta (per fortuna di richieste (qualora il blocco fosse solo apparente).
qualcuno ci ha pensato!). Tuttavia, spesso è sufficiente Per elencare tutte le opzioni possibili digitate reaver senza
distanziare nel tempo i tentativi per riuscire a procedere argomenti; la pagina “man” di reaver non è altrettanto completa.
comunque. Con -d 20 indicate a reaver di far passare 20
secondi tra un tentativo e l’altro. Si tratta di un numero Va per le lunghe!
abbastanza alto e che permette comunque di esaurire tutti Se avete bisogno di riavviare il PC e dovete quindi
i PIN disponibili nell’arco di circa 60 ore, un tempo sospendere il vostro tentativo di “autocrackaggio”, dovete
sostenibile con un po’ di pazienza. Se doveste incorrere ricordarvi di salvare i file generati da reaver, per poterli
in un blocco temporaneo di WPS da parte del router, reaver rimettere dov’erano al prossimo riavvio in Kali Linux.
smetterà di provare nuovi PIN per 60 secondi. Il tempo In questo modo potrete continuare a usare reaver
da attendere in questo caso può essere specificato riprendendo l’attacco a partire dal PIN a cui eravate rimasti.
con -l, per esempio per aspettare dieci minuti dopo un lock, Nella cartella /etc/reaver troverete i file da salvare.
usate -l 600. Ci sono altri flag che possono modificare Potete copiarli usando Nautilus, il file manager di GNOME,
il comportamento del programma, per esempio facendo o se lo preferite la linea di comando. Salvateli sull’hard disk
in modo di utilizzare chiavi Diffie-Hellman piccole del vostro PC (Kali riconosce automaticamente le partizioni
(la comunicazione del PIN al router è cifrata, così da non e le mostra sul desktop, ed è in grado di scrivere anche
poter essere facilmente sniffabile, usando l’algoritmo su partizioni Windows NTFS all’occorrenza, se usate un PC
suddetto). Utilizzate -S per velocizzare la transazione con Windows) oppure ancora su una chiave USB, e poi
(nel nostro caso non abbiamo osservato differenze copiateli di nuovo in /etc/reaver al prossimo riavvio in Kali
apprezzabili, ma potrebbe essere utile su altri router). Un’altra Linux, prima di eseguire reaver.
39
Protezione Generale
La distro migliore
per blindare il PC
Siete preoccupati per la vostra privacy? Allora è venuto il momento
di scegliere una distro che la protegga a 360°. Scoprite qual è la migliore
S
ono tanti i casi in cui, per
alcuni motivi particolari, “Il vincitore non dovrà fornire
si consiglia l’uso di una distro
interamente dedicata alla
solo la massima sicurezza,
sicurezza. Abbiamo quindi scelto cinque
diverse soluzioni, ognuna delle quali
ma anche flessibilità e semplicità”
presenta pregi e difetti. Tails è forse caratteristiche di Tails, ma va oltre proposito, è bene ricordare come
il sistema più consolidato, capace di dividendo il flusso di lavoro in due anonimato e sicurezza vadano sempre
fornire un accesso a Internet anonimo, segmenti: server e workstation. Qubes di pari passo. Infatti, ognuno di questi
eludendo qualsiasi tipo di censura. OS, invece, utilizza un approccio a sistemi prende in considerazione diversi
La nostra Ubuntu Privacy Remix (UPR) fornisce compartimenti che gestisce la sicurezza strumenti per lasciare gli hacker fuori
selezione un altrettanto buon livello di anonimato, su più livelli. Infine, abbiamo preso in dalla porta. Durante il confronto,
JonDo Live-DVD proteggendo al contempo i vostri dati considerazione JonDo Live-DVD che si metteremo sotto i riflettori ogni
Qubes OS
Tails personali. Funziona solo in modalità rivela una soluzione molto interessante caratteristica di queste distro, così
U
buntu Privacy Live, crittografa i documenti e li (nata dalla piattaforma JonDonym, da deciderne il vincitore. Esso, oltre
Remix
Whonix protegge da accessi non richiesti. un anonymiser dedicato alla sicurezza a fornirci la massima sicurezza, dovrà
Whonix vanta quasi le stesse e alla protezione della privacy). A questo anche essere flessibile e facile da usare.
40
Distribuzioni
Sicurezza blindate Confronto
e privacy a 360°
Accessibilità
Cosa dovete fare effettivamente per utilizzarle?
T
ails è la distro più famosa di L’immagine deve essere modificata alla base di questo sistema è fornire
questo confronto. Ci saremmo tramite l’utility isohybrid. Per farlo, un ambiente isolato da dedicare
aspettati di scaricare la ISO è necessario usare questi comandi: all’accesso a Internet. La prima
o il corrispondente file da isohybrid tails-i386-1.2.3.iso -h 255 -s 63 cosa da fare, quindi, è lanciare
memorizzare su una chiavetta USB dd if=tails-i386-1.2.3.iso of=/dev/sdc e configurare Whonix Gateway
ma purtroppo siamo rimasti delusi. Il bs=16M su una macchina virtuale, dopodiché
processo per reperire questa distro, dove /dev/sdc rappresenta l’unità accedervi da un’altra VM su cui si
infatti, è meno semplice del previsto. flash. Il sistema, quindi, si avvia come eseguiranno tutte le operazioni.
qualsiasi altra Il funzionamento non ha dato
distro basata problemi, ma siamo sicuri che solo
Verdetto
su Debian. gli utenti esperti saranno in grado
JonDo Live
La procedura per di sfruttarlo senza grattacapi. Qubes HHHHH
avviare Whonix OS, invece, non dispone di alcuna Qubes OS
e Qubes OS sessione Live, permettendo invece HHHHH
è ancora più la sola installazione. Questa distro Ubuntu
Privacy Remix
complessa. è basata su una versione recente
HHHHH
Il primo, infatti, di Fedora con cui condivide lo stesso Tails
si presenta sotto installer. Il problema è che richiede HHHHH
forma di due risorse piuttosto ingenti per essere Whonix
macchine virtuali installata: 32 GB per la partizione HHHHH
di VirtualBox, una di root e almeno 4 GB di RAM. Infine, Solo chi
offre un
per il Gateway Ubuntu Privacy Remix e JonDo Live-
approccio
No, non è SUSE in versione azzurra, ma Ubuntu Privacy e l’altra per la DVD si sono dimostrate molto facili facile vince.
Remix che dispone di Protected Pangolin Workstation. L’idea da avviare.
Stato di sviluppo
Privacy e sicurezza oggi, ma cosa vi riserva il futuro?
C
ontare su una distro che nelcome anche i sistemi più solidi aggiornamenti non è tra le più
tempo rimarrà aggiornata possano finire nel dimenticatoio veloci, ma si mantiene costante.
e sviluppata è spesso un e lasciati morire. Non succede Ubuntu Privacy Remix può a oggi
aspetto che viene dato per solo per incuria da parte dei contare sulla versione 12.04r1
scontato. Tuttavia non è così, programmatori, ma anche per (Protected Pangolin) che garantisce
perché l’esperienza ci ha insegnatoil sopraggiungere di problemi il supporto per una vasta gamma di
e incompatibilità hardware di nuova generazione.
apparentemente Whonix è un progetto relativamente
insormontabili. nuovo. Iniziato durante il 2012, Verdetto
A questo punto, tutt’oggi riesce a mantenere uno
JonDo Live
quindi, si decide sviluppo attivo e aggiornato. Qubes
HHHHH
di lasciar perdere OS ha un team particolarmente Qubes OS
e risparmiare laborioso che riesce a fornire HHHHH
il proprio tempo documentazione alfa e beta, Ubuntu
nonché a rilasciare release Privacy Remix
dedicandolo
HHHHH
ad altri progetti. pubbliche in capo a pochi mesi Tails
Tails, da questo di distanza l’una dall’altra. La distro HHHHH
punto di vista, che però vince questa particolare Whonix
è una delle distro sfida è JonDo Live-DVD. HHHHH
meglio sviluppate I programmatori sembrano aver Aggiornare
costantemente
e supportate. messo il turbo, tanto da vantare
è proprio
La frequenza un changelog che viene aggiornato fondamentale.
JonDo Live-DVD conta su aggiornamenti costanti degli ogni cinque o dieci giorni!
41
Confronto Distribuzioni blindate
Protezione Generale
Navigazione protetta
Quanto riescono a bloccare durante l’uso su Internet?
L
e distro prese in considerazione fanno È però importante ricordare come l’anonimato politica d’uso delle password più complessa.
del loro meglio per mantenere alta richieda anche di accettare compromessi, Vediamo quindi come si comportano i nostri
la protezione durante la navigazione. come minore velocità di download e una sistemi in questo particolare contesto.
A
JonDo Live
nche se la caratteristica più che nella protezione dei dati personali vi consigliamo di utilizzare la crittografia
HHHHH
importante di Tails è la sua brilla molto più di altre. Infatti, non c’è e proteggere il tutto con una password Qubes OS
amnesia in modalità Live, assolutamente alcuna possibilità che molto robusta. Qubes OS si comporta HHHHH
è possibile installarlo su disco rigido le vostre informazioni vengano lasciate molto meglio, in quanto permette di Ubuntu
e utilizzarlo come qualsiasi altra distro accidentalmente sul disco. L’unico isolare i dati sensibili in un dominio o in Privacy Remix
HHHHH
Linux. Tra i vari vantaggi che si possono modo per mantenerle è utilizzare un’AppVM separata senza accesso alla Tails
notare, ce n’è uno molto interessante. i volumi di TrueCrypt che peraltro rete. Se però il malintenzionato di turno HHHHH
I dati contenuti nella RAM, infatti, possono essere memorizzati solo su si dimostra particolarmente abile, Whonix
verranno cancellati a ogni arresto del supporti USB rimovibili. Whonix è molto riuscirà ugualmente a mettere mano HHHHH
sistema. In questo modo, siete protetti meno potente sotto questo punto di alle informazioni in questione. JonDo, UPR è il più
anche dalle più recenti tecniche forensi vista. I dati, infatti, possono comunque infine, utilizza un sistema persistente sicuro per la
protezione dei
per il recupero delle informazioni. essere memorizzati e rimanere piuttosto facile da usare. Sfrutta poi vostri dati.
Ubuntu Privacy Remix è un’altra distro a disposizione dei più curiosi. Per questo LUKS per la crittografia delle unità USB.
42
Distribuzioni blindate Confronto
Sicurezza e privacy a 360°
Ubuntu Privacy Remix HHHHH
Triste, ma vero, Ubuntu Privacy Remix non ha funzionalità di rete.
Il kernel di sistema viene modificato in modo da ignorare qualsiasi
hardware di questo tipo, rendendo UPR un sistema perfettamente
isolato che non può essere attaccano via LAN, WLAN, Bluetooth,
Infrarossi e via dicendo. In altre parole, non potete navigare sul Web
e quindi avere a che fare con trojan, cookie, servizi remoti o Cloud. Quasi
tutte le tracce di connettività vengono spazzate via, anche se alcune
sono ancora presenti. Per esempio, ifconfig e ifup/ifdown figurano tra
i comandi disponibili, sebbene siano del tutto inutili visto che l’hardware
di rete è disabilitato. In questo test, UPR può essere valutato solo
in modo negativo, a meno di non fare a meno del collegamento al Web.
Tails HHHHH
Tails include funzioni di rete di alto livello, tra cui la più importante
è senza dubbio Tor. Per chi non lo sapesse, si tratta di una rete aperta di
server anonimi che tenta di evitare l’identificazione e l’analisi del traffico.
Tor è accompagnato da Vidalia, un front-end di facile configurazione
che possiede anche un browser preconfigurato basato su Firefox ESR.
Questo è poi dotato di un pulsante per attivare Tor e il supporto per le
estensioni HTTPS Everywhere, NoScript e AdBlock Plus Il. Tra i tanti
extra che Tails mette a disposizione, troviamo l’anonimizzante I2P
e un proxy più un front-end VPN. Ci sono anche una tastiera virtuale
e applicazioni come AppArmor, PWGen, KeePassX, AirCrackNG e altre.
Whonix HHHHH
Whonix basa molte delle sue peculiarità su Tor, condividendo poi altri
strumenti di terze parti con Tails. Ci sono però alcune differenze.
La prima riguarda il funzionamento di Tor che, in questo caso, gira
su Whonix-Gateway, così da fornire una migliore protezione contro
il rilevamento degli IP e la geolocalizzazione. Il livello di sicurezza degli
IP e dei DNS è di alto profilo, in più abbiamo una gestione di questi
elementi estremamente solida, tanto da non dar luogo a perdita
di connessione o instabilità. Per esempio, anche se la workstation
fosse compromessa (qualcuno potrebbe essere riuscito ad accedere
come root), sarebbe comunque impossibile scoprire l’IP reale. Infatti,
isolare il server proxy all’interno di una macchina virtuale
indipendente funziona perfettamente.
Prestazioni
Quanto sono veloci nell’attività quotidiana? Verdetto
L
JonDo Live
a versione più recente di Tails e caratteristiche moderne. Nonostante perché avrete bisogno di risorse
HHHHH
utilizza il kernel 3.16.7 e sfrutta questo è piuttosto leggero. UPR utilizza sufficienti per eseguire due macchine Qubes OS
Gnome Shell 3.4 in modalità un classico desktop Gnome 2 che viene Virtualbox contemporaneamente. HHHHH
fallback per impostazione predefinita. caricato in un paio di secondi. Per la Il sistema operativo è configurabile, Ubuntu
Il desktop è molto leggero, veloce quasi nostra esperienza, pensiamo che 512 ma sulla macchina base dovrete avere Privacy Remix
HHHHH
quanto Gnome 2 delle precedenti MB di RAM siano più che sufficienti almeno 4 GB di RAM e 12 GB di spazio Tails
release. I requisiti ufficiali di sistema per far girare discretamente il sistema. su disco. Tuttavia, SSD e CPU con HHHHH
evidenziano però la necessità di almeno JonDo, grazie al desktop XFCE, si avvia supporto di virtualizzazione hardware Whonix
1 GB di RAM per funzionare senza anche in presenza di processori molti sono le benvenute. Per Qubes OS HHHHH
problemi. Un valore a nostro avviso vecchi. Tuttavia, è necessario disporre è necessaria una macchina potente: Tails e JonDo
troppo elevato. Ubuntu Privacy Remix di almeno 1 GB di RAM per non avere processore a 64-bit, 4 GB di RAM funzionano
anche con
è stato aggiornato per utilizzare Ubuntu problemi con l’applicazione JonDo IP e almeno 32 GB di spazio per la risorse risicate.
12.04 LTS e ha quindi molte backports basata su Java. Whonix è diverso, partizione root.
43
Confronto Distribuzioni blindate
Protezione Generale
Usabilità desktop
Potete rimanere anonimi e usare le funzionalità desktop?
S
ebbene Tails includa un Juicer e molti altri. JonDo è altrettanto solo Gnome 2 e una manciata di
programma d’installazione che usabile, soprattutto grazie al suo accessori, così come poche applicazioni
può creare una partizione sulla desktop XFCE. Ricco di funzioni desktop (Scribus e LibreOffice).
stessa periferica USB, l’esperienza e software, ha il suo principale L’esperienza d’uso è comunque
migliore rimane in modalità Live. vantaggio in JonDo IP e nel browser piuttosto scarsa. L’aspetto peggiore
Con questa distro potete sfruttare una JonDoFox che peraltro sono disponibili è che URP non è flessibile e quindi non
grande quantità di programmi, come per l’installazione su qualsiasi distro potete configurarlo per migliorare la
LibreOffice, Gimp, Audacity, Sound Linux. Ubuntu Privacy Remix include situazione. Entrambe le macchine
Whonix usano desktop KDE su Debian
che sul lato Gateway si rivela un po’
eccessivo. L’utilizzo della Workstation
è però appagante e si è rivelato molto
comodo. A parte alcuni rallentamenti Verdetto
e restrizioni causate dal firewall, Whonix
JonDo Live
Workstation può essere sfruttato HHHHH
tranquillamente come piattaforma Qubes OS
desktop per l’uso quotidiano. Qubes OS, HHHHH
invece, fornisce un’esperienza Ubuntu
Privacy Remix
completamente diversa. È facile
HHHHH
da installare, ma tende a funzionare Tails
piuttosto lentamente su tutta la linea HHHHH
d’azione. Il desktop KDE è sì intuitivo, Whonix
ma l’interazione dei domini richiede HHHHH
comunque un bagaglio di esperienze JonDo e UPR
si usano anche
superiori. Per esempio, la copia e la per le attività
condivisione di file da un dominio quotidiane.
Il desktop di Tails rappresenta un ambiente familiare per tutti gli utenti Gnome a un’AppVM è tutt’altro che semplice.
Documentazione e supporto
Se avete bisogno di aiuto, a chi vi rivolgete?
L
a documentazione online, la istruzioni per la creazione di
presenza di wiki e FAQ sono una build URP personale
fondamentali per qualsiasi (con un set di software
software e ancor di più per le distro personalizzati). Whonix,
anonimizzanti. Tails offre una buona invece, mette a disposizione
base di documenti per l’utente finale la sua documentazione
che approfondisce aspetti di carattere nel portale wiki dedicato. Verdetto
generale: i primi passi, le domande Consultandola, ne abbiamo
JonDo Live
frequenti, le spiegazioni di funzioni apprezzato la completezza La sezione d’aiuto di Whonix è davvero HHHHH
dettagliate e molto altro ancora. garantita da articoli e opzioni completa e offre tutto quello di cui si ha bisogno Qubes OS
La documentazione è completa di supporto con tanto di HHHHH
e prende in considerazione aspetti che forum molto attivo. Anche il progetto considerazione nel manuale d’uso. Ubuntu
non riguardano soltanto la distro in sé, Qubes OS dispone di un portale wiki JonDo non è da meno e mette Privacy Remix
HHHHH
ma anche i programmi annessi. con vari articoli base e avanzati. a disposizione guide, FAQ, tutorial, Tails
Volendo, si può sfruttare una chat di L’architettura del sistema è spiegata nel un portale wiki e un forum. Anche HHHHH
assistenza, corredata da un modulo per dettaglio e troviamo anche una nutrita se a un primo sguardo il tutto può Whonix
la richiesta di informazioni. Ubuntu schiera di FAQ valide un po’ per tutte sembrare completo, approfondendo HHHHH
Privacy Remix ha un sito ordinato le esigenze. Non mancano poi un po’ il valore del materiale non si può Whonix ha
e compatto, ma purtroppo con poco documentazione e tutorial per l’utente fare a meno di trovare delle lacune. tutto quello
che si può
materiale a disposizione. Potete trovare finale. Qubes, inoltre, ha molte funzioni Le FAQ, per esempio, sono poche desiderare.
alcune utili guide how-to, come le extra che vengono anch’esse prese in e la wiki molto piccola.
44
Distribuzioni blindate Confronto
Sicurezza e privacy a 360°
Distribuzioni blindate
Il verdetto
J
ava Anon Proxy è stato lanciato nel sistema a cascata di JonDo sembra
2007, sostenuto da un efficace e essere ancora più lento della
duro lavoro di ricerca. Guardando concatenazione dei nodi di Tor. Tuttavia la
JonDo Live-DVD si può coglierne velocità di navigazione non è un priorità JonDoFox
l’essenza, tanto da superare Tails, assoluta, soprattutto quando si vuole convenzionale. Stiamo sempre parlando non permette
l’ex re dell’accesso anonimo a Internet. massimizzare l’anonimato. Gli altri di anonimato, ma si tratta anche di un di navigare in
Entrambi i progetti sono di alta qualità, partecipanti a questo confronto sistema diverso dagli altri. Il sito Web Internet a meno
ma il primo ha caratteristiche richiedono però di sopportare ben altri del progetto mostra come sia possibile di non attivare
sicuramente più equilibrate e può compromessi. Whonix, per esempio, creare una propria spin-off di UPR Java Anon Proxy
contare su uno sviluppo maggiormente costringe a usare macchine virtuali che e usarlo come sistema isolato che non
attivo. È difficile disquisire sul fatto che sono sempre più lente di un PC host. lascia tracce sul PC, ma dall’altra parte
Tor sia in grado o meno di fornire un Qubes OS, pur fornendo un ottimo livello non ha nessun supporto per le attività
perfetto accesso anonimo al Web, ma di anonimato, è una distro pesante da di rete. Un aspetto, questo, che se da un
il fatto che sia tecnicamente possibile utilizzare. Il suo scopo è comunque fare lato contribuisce a mantenere il massimo
individuare un utente attraverso un nodo in modo di isolare i vari segmenti, così livello di sicurezza, al giorno d’oggi
compromesso è un dato di fatto. Da tale che ciascuno di essi sia compartimentato è anche piuttosto limitante.
punto di vista, la selezione dei nodi e non raggiungibile
da parte di JonDo è però molto meno
casuale rispetto a Tor e non sappiamo
anche in caso di
compromissione del
“JonDo Live-DVD riesce
quanto realmente ci si possa fidare di
questo approccio. Entrambe le soluzioni
singolo. L’approccio di
Ubuntu Privacy Remix
a superare senza difficoltà Tails,
rallentano molto la velocità Internet e il è invece poco l’ex re delle distro anonime”
1° JonDo Live-DVD HHHHH 4° Qubes OS HHHHH
Web: http://bit.ly/JonDoLive-DVD Licenza: BSD Versione: 0.9.78 Web: https://qubes-os.org Licenza: principalmente GNU GPL Versione: R3
Veloce, portatile e facile da utilizzare. Non si può chiedere di più. Molto sicura, ma ha richieste hardware davvero troppo esose.
Considerate anche...
Molte persone sono erroneamente convinte Tor che tenga. Per questo, ma anche per una e Mandragora che pur non adattandosi
di essere del tutto invisibili all’interno di una questione morale, vi chiediamo di usare a questo confronto, vale comunque la pena
rete Tor. Ci dispiace deluderle ma purtroppo l’anonimato solo per scopi legali. A questo di prendere in considerazione per una prova.
non è così. Infatti, seppure si possa godere proposito, la scelta delle distro che In realtà, poi, qualsiasi distro può essere
di un buon livello di anonimato, nel momento proteggono la vostra privacy è molto più configurata per raggiungere un alto livello
in cui si infrange la legge e si attira ampia di quella che qui abbiamo fornito. di anonimato, basta usare gli strumenti giusti
l’attenzione dei servizi di intelligence, non c’è Ci sono progetti come IprediaOS, Polippix messi a disposizione dalla Rete.
45
Protezione Generale
Password blindate
Chiavi di accesso dimenticate o segnate su post-it volanti attaccati
al monitor? Ecco un approccio molto più pratico e sicuro
O
vunque andate, avrete bisogno di password. Infatti,
il numero di siti Web che richiede un accesso sicuro
è di gran lunga superiore alla maggior parte delle pagine
senza richiesta di login. A fine giornata, non è inusuale avere
inserito almeno una decina di dati di accesso diversi su più
piattaforme. Ricordare tutto a mente è praticamente impossibile
e segnare le credenziali su carta, per quanto possa essere comodo,
non è certamente una delle soluzioni più sicure. Abbiamo quindi
deciso di fornirvi un’alternativa che darà risposta a tre domande:
come scegliere le password, come essere sicuri che siano a prova
di hacker e come ricordarle senza fare uso della carta.
Scegliere bene
I pregi della carta Una password facile da decifrare è inutile, ma lo è anche
una troppo complessa da non essere ricordata. Se utilizzate
Seppure nel nostro articolo abbiamo memorizzate sul PC, non possono essere un gestore di chiavi di accesso, molto probabilmente avrete
parlato di come esistano sistemi migliori scoperte con i tradizionali sistemi
la possibilità di generare password lunghe, casuali, criptiche
del classico foglio di carta per di hacking. In più, potrete lasciarle a una
e via dicendo, ma avrete comunque bisogno di crearne
la memorizzazione delle password, persona di fiducia nel caso ne abbiate
una master davvero sicura. Qualsiasi password non memorizzata
non possiamo esimerci dal cantarne anche bisogno. Insomma, anche se ne
le lodi. Infatti, un’agendina chiusa a chiave sconsigliamo l’uso come fonte principale, in un database deve essere facile da ricordare, ma difficile
in una cassaforte o in qualche altro luogo la carta non va certo demonizzata da indovinare. A questo proposito, ci sono una serie di fattori
sicuro non può essere trafugata facilmente ed è un ottimo sistema per mantenere che ne influenzano la sicurezza. Utilizzando le parole di senso
né da un comune ladro, né tantomeno il backup delle credenziali d’accesso. Basta compiuto (comunemente dette “da dizionario”),
da un hacker. Le password, non essendo ricordarsi di aggiornarlo spesso. che comprendono nomi propri, di luogo o comuni, si genera
una chiave facile da indovinare. Anche il numero di caratteri
46
Password a prova di bomba
47
Dischi e Dati
ZuluCrypt:
Drive cifrati
Ecco un metodo nuovo per nascondere i vostri dati
A
nche se potete controllare l’accesso ai dati nome a cui aggiungerà l’estensione zC. Potete anche
del vostro computer con gli account utente salvarlo altrove, facendo click sull’icona a forma di cartella
e i permessi, tutto ciò non basta per evitare che un accanto al campo Destination e selezionando la nuova
intruso riesca ad accedere ai vostri file privati. L’unico modo destinazione. Poi nel campo key scrivete la password per
per tenerli al sicuro è la cifratura. È vero che lavorare con cifrare il file. Assicuratevi che sia composta da lettere e
dati cifrati è un sistema scomodo, tuttavia è utilissimo numeri per renderla più difficile da scoprire. Inoltre ricordate
per migliorare la vostra sicurezza e nascondere le vostre che non c’è modo di recuperare la password se ve la
informazioni. ZuluCrypt è un’applicazione grafica dimenticate e che non c’è possibilità di decifrare il file, che è
di cifratura che ha un’interfaccia intuitiva e facile da usare. proprio lo scopo dell’applicazione! Dopo aver confermato la
Grazie a essa potrete creare un disco cifrato all’interno password, premete sul pulsante Create per cifrare il file. Il
di un file, di una partizione e anche di un disco USB. Potrete processo può durare un po’ di tempo, in base al tipo di file
perfino usarla per cifrare singoli file con GPG. Per installare che state cifrando e alle sue dimensioni. Una volta finito,
ZuluCrypt andate all’indirizzo http://mhogomchungu. avrete la versione cifrata con l’estensione .zC nella cartella
github.io/zuluCrypt e scorrete in basso la pagina fino alla di destinazione che avete scelto. Cifrato un file, cancellatene
sezione dei pacchetti binari. L’applicazione è disponibile la versione originale. Prima di leggerlo e poterlo modificare,
come pacchetto di file Deb per Debian e Ubuntu. Scaricate dovrete decifrarlo. Per farlo, avviate ZuluCrypt e andate a zC
quello della vostra distro e decomprimetelo con tar xf D Decrypt A File. Indicate il file cifrato nel campo Source
zuluCrypt*.tar.xz. Nella cartella estratta, aprite quella e cambiate la posizione del file sbloccato nel campo
corrispondente all’architettura del vostro computer (i386 Destination. Poi scrivete la password con la quale avete
per macchine a 32 bit e amd64 per quelle a 64 bit). cifrato il file e fate click sul pulsante Create. Quando
Entrambe le cartelle contengono quattro pacchetti binari l’operazione è finita, il file decifrato verrà creato nella
che potete installare in un colpo solo con il comando sudo destinazione indicata. Per cifrarlo un’altra volta, seguite
dpkg -i *deb. In altre distro dovrete installare ZuluCrypt la procedura che abbiamo appena visto.
manualmente. Scaricate l’archivio dell’applicazione
e seguite i passi dettagliati del file build-instructions per Contenitori di file cifrati
recuperare le dipendenze dai repository della vostra distro. Cifrare un file alla volta va bene se ne abbiamo giusto
Una delle prime cose da fare dopo l’installazione è creare un paio. In generale si tratta di una procedura scomoda
versioni cifrate di tutti i file che ritenete sensibili. Lanciate adatta a quei file che non abbiamo bisogno di leggere
l’applicazione e andate a zC -> Encrypt A File. Nella o di modificare regolarmente. Se invece vogliamo
finestra di dialogo che appare, premete sul pulsante accanto proteggere un certo numero di file a cui accediamo di
al campo Source e trovate il file che volete cifrare. ZuluCrypt frequente, è molto meglio metterli in aree cifrate. ZuluCrypt
userà questa informazione per creare un file con lo stesso può cifrare interi dispositivi a blocchi, cioè cifrare tutto ciò
che contengono. Questi dispositivi possono essere un disco
fisso, una sua partizione o anche un file montato come
dispositivo di loopback. Con la cifratura dei dispositivi
ZuluCrypt a blocchi, l’utente crea il filesystem sul dispositivo, e il livello
supporta anche di cifratura cifra i dati in modo trasparente prima di scriverli
la cifratura nel dispositivo a blocchi sottostante. Quando vengono
a cascata
cifrate, le aree di archiviazione appaiono come un insieme
che è il processo
confuso di dati e non mostrano nemmeno la struttura
per cifrare
un messaggio già
in cartelle. Per creare un dispositivo di archiviazione cifrato
cifrato, usando all’interno di un file, avviate ZuluCrypt e andate a Create D
lo stesso Encrypted Container In A File. Nella finestra che si apre
algoritmo dovrete inserire il nome e completare il percorso della
o uno diverso cartella in cui nascondere i vostri dati sensibili. Viene
48
Criptazione dei documenti
e file nel dispositivo montato come fareste con qualsiasi
dispositivo normale. Quando avete finito, fate un click destro
sul volume montato nell’interfaccia di ZuluCrypt
e selezionate l’opzione Close. Così smonterete e cifrerete
il volume. Ancora una volta avrete solo il singolo file cifrato
dal contenuto illeggibile. Montate di nuovo il file seguendo
la procedura già vista per vedere cosa contiene. Se avete
problemi a gestire più password, ZuluCrypt vi dà la
possibilità di creare chiavi casuali per cifrare file e volumi.
Per generare una chiave andate a Create D Keyfile. Inserite
Non potete sbloccare un volume senza un header. il nome della chiave e il suo percorso di archiviazione.
Se l’originale si rovina, create un backup con un click destro Dal punto di vista della sicurezza, non dovreste archiviare
su un volume montato e scegliete l’opzione appropriata le chiavi nello stesso disco fisso in cui ci sono i file o i volumi
cifrati. Infatti, è meglio tenerle su un altro dispositivo per
chiamato file, perché quando viene cifrato, appare proprio essere sicuri che i vostri dati cifrati restino al sicuro anche
come un singolo file. Dovrete anche indicare le dimensioni se qualcuno si impossessa del drive che li contiene.
della cartella in base a quelle dei file che conterrà e lo spazio Per usare una chiave invece di una password, selezionate
disponibile sul disco. Quando premete sul pulsante Create, l’opzione keyfile nel menu a tendina, quando create
ZuluCrypt mostra un’altra finestra. Per prima cosa dovrete un volume o un file cifrato. Selezionata questa opzione,
scrivere una password per cifrare il file. Poi dovrete scegliere dovrete associare l’applicazione alla chiave, che verrà usata
un tipo di Volume. L’opzione predefinita è LUKS, o Linux per bloccare i vostri dati.
Unified Key Setup, che è un tipo di cifratura creata in modo
specifico per Linux. Oltre a LUKS, ZuluCrypt può anche Codificare partizioni e dischi
creare e aprire volumi TrueCrypt, VeraCrypt e Plain. Questi Se volete cifrare un gran numero di dati, è meglio mettere
ultimi sono volumi cifrati senza header e l’informazione il contenitore cifrato all’interno di una propria partizione
di cifratura viene fornita da ZuluCrypt. Proprio per questo, oppure su un drive USB rimovibile. Notate che quando
i volumi Plain dipendono dall’applicazione e non sono molto create questo contenitore, ZuluCrypt si impossessa di tutta
portatili. I volumi TrueCrypt o VeraCrypt sono alternative la partizione o di tutto il disco, quindi assicuratevi di avere
migliori, se il volume cifrato va condiviso tra computer con fatto il backup dei dati presenti. Inoltre, assicuratevi che
Linux, Windows e OS X. Una volta deciso il tipo di Volume, la partizione di destinazione o il drive non sia montato. Usate
dovrete scegliere un codice, un algoritmo che esegua il comando mount per vedere tutte le partizioni montate.
la cifratura e la decifratura vere e proprie. Un attributo Se la partizione che volete usare mostra /dev/sdb1,
del codice è la dimensione associata della chiave. significa che è montata e dovrete smontarla con sudo
Con l’aumentare delle dimensioni della chiave, aumenta umount /dev/sdb1. Ora avviate ZuluCrypt e andate a Create
anche la complessità della ricerca, fino al punto in cui D Encrypted Container In A Hard Drive. Nella finestra
diventa impossibile violare direttamente la cifratura. che appare, ZuluCrypt elencherà tutte le partizioni
Il codice di cifratura più popolare è l’Advanced Encryption disponibili che può usare per archiviare il volume cifrato.
Standard (AES) che è basato sul codice Rijndael. Con una Notate che i dispositivi sono elencati sia per nome, sia
chiave da 256 bit, l’AES è molto usato perché offre la giusta per l’UUID associato. Se state creando un contenitore
proporzione tra velocità e sicurezza. Questo è il codice su un disco rimovibile, selezionate l’opzione Use UUID.
predefinito di ZuluCrypt. Comunque l’applicazione ne Così ZuluCrypt identificherà sempre il dispositivo giusto.
supporta tanti altri, compresi gli algoritmi Twofish Fate un doppio click sul drive o sulla partizione in cui volete
e Serpent. Lo US National Institute of Standards and creare il volume. Ora potete creare un volume cifrato nel
Technology ritiene che questi due abbiano un livello drive, usando la stessa procedura già vista in precedenza
di sucurezza maggiore dell’AES, ma sono più lenti. Potete per crearne uno cifrato in un file. Anche se all’inizio può
selezionare tranquillamente i valori predefiniti per ogni sembrare difficile da usare, non ci metterete molto ad
campo, compreso il filesystem predefinito per il volume abituarvi a questa applicazione. Non c’è modo più facile per
(ext4) e fare click sul pulsante Create. Finita la procedura, chi tiene alla propria privacy per proteggere i propri dati.
vedrete un file con il nome che avete indicato per
il contenitore cifrato, con il contenuto illeggibile e con
le dimensioni che avete specificato in precedenza. Prima
di archiviare file in questo volume cifrato, dovrete decifrarlo
e montarlo. Andate a Open -> PLAIN,LUKS,TrueCrypt
Container In A File. Usate il pulsante file nella finestra che
appare per trovare il file del contenitore cifrato che avete
appena creato. Volendo, potete cambiare il nome di mount
del file, oppure potete inserire la password e premere Open.
Mettete la spunta all’opzione, se volete solo leggere
i contenuti del volume cifrato. Dopo avere montato il volume,
apparirà nel vostro filesystem come qualsiasi altro
elemento. La finestra principale di ZuluCrypt mostrerà ZuluCrypt ha anche lo strumento ZuluMount per montare tutti i volumi cifrati
il volume e il suo intero percorso. Ora potete creare cartelle che supporta, ma che serve anche come strumento generico di montaggio
49
Dischi e Dati
Cancella i dischi
prima di venderli
Esploriamo le varie opzioni a vostra disposizione per assicurarvi che i
dati presenti nei vecchi hard disk non finiscano in mani sbagliate
S
tate per caso pensando di donare o vendere a
Metodo Tipo di sanificazione Risultato del
qualcuno il vostro vecchio PC? Prima di farlo dovete ripristino
pensare a una cosa: come ripulire del tutto (e in modo comando rm Sotto il minimo 3 file leggibili
sicuro) il disco fisso, per evitare che i vostri dati personali
comando format Sotto il minimo 3 file leggibili
finiscano sotto gli occhi di gente che non conoscete.
comando shred Eliminazione: solo singoli file 0 file leggibili
Secondo il NIST (National Institute of Standards and
Technology, www.nist.gov) ci sono tre livelli di sanificazione DBAN Eliminazione: la più lenta 0 file leggibili
(o cancellazione): clearing (pulizia), purging (eliminazione) e Secure Erase Eliminazione: la più veloce 0 file leggibili
destroying (distruzione). Il primo livello previene la possibilità Degaussing Eliminazione: hardware 0 file leggibili
specializzato
di recuperare i dati usando le normali utility per il ripristino
di dati, file o dischi. Eliminazione fa in modo che dei tecnici Distruzione Distruzione 0 file leggibili
di laboratorio, che usano particolari strumenti per
l’elaborazione dei segnali, non riescano comunque a
recuperare nulla. Distruzione, infine… beh, prevede la Cancellare con DBAN
distruzione fisica del disco che quindi non può più essere DBAN (Darik’s Boot And Nuke, http://dban.org)
usato. Per realizzare questo tutorial abbiamo impiegato sette è un’applicazione distribuita da Blancco. L’immagine
diversi metodi di cancellazione dei dati dal disco Seagate ISO del CD, gratuita, fornita dal produttore è pensata
5400.6 da 160 GB di un portatile: i tool standard rm, format per l’utente domestico che deve cancellare il suo disco
e shred; i programmi DBAN e Secure Erase; degaussing fisso, ma l’azienda ha anche un prodotto con licenza
(demagnetizzazione) con una macchina specializzata; commerciale per le applicazioni in ambito lavorativo.
distruzione fisica. Non tutti hanno accesso a dei macchinari Questo tool è una raccolta di algoritmi di cancellazione
che costano attorno ai 9.300 € o hanno voglia di prendere e di configurazioni che l’utente seleziona per ripulire
a martellate il proprio hard disk, quindi, leggendo questo il contenuto del disco indicato. Quando lo si esegue,
articolo, potrete beneficiare dei nostri esperimenti senza questo software cancella il disco fisso con un insieme
correre rischi! Potete leggere come abbiamo condotto i test casuale di dati preselezionati. Il processo sovrascrive
nel box della pagina a fianco (Procedura di test), mentre i i dati relativi ai file, al filesystem e tutte le locazioni
risultati sono riassunti nella tabella che vedete in questa indirizzabili dell’unità a disco. Il suo obiettivo è di
pagina. Come potete osservare, cinque dei sette metodi rimpiazzare tutti i dati con informazioni casuali
forniscono diversi livelli di sanificazione. Quale adottare generati da un algoritmo. DBAN può essere impiegato
dipende da caso a caso. Il comando shred, per esempio, fa sì solo su dischi funzionanti, cioè drive identificati dal
che i file diventino illeggibili, ma bisogna applicarlo BIOS e in buono stato di funzionamento. Scaricate
manualmente a ogni singolo file, il che lo rende improponibile DBAN 2.8.8 beta dal sito del produttore e masterizzate
per ripulire un intero hard disk. All’altro estremo della scala, il l’ISO su un CD. Quando il software finisce il boot,
Tip degaussing e la distruzione rendono illeggibili i dischi fissi, scegliete la voce DBAN dall’elenco.
quindi non potete usare questi metodi se volete passare il A questo punto potete selezionare il disco su cui
Se non avete disco a qualcun altro. In questo tutorial, quindi, vi mostriamo operare; per fare delle modifiche alle impostazioni
paura di rischiare, come impiegare voi stessi gli ultimi quattro metodi della potete usare le scorciatoie da tastiera indicate in basso
le varianti di
Fedora e Ubuntu
tabella (ipotizziamo che siate in grado di usare shred da soli). nello schermo. Selezionate il disco su cui volete
dispongono del Una piccola avvertenza: non provate le tecniche qui spiegate operare e poi premete F10 per iniziare le operazioni.
tool hdparm sul disco fisso del vostro PC. Gli strumenti che abbiamo La sezione Statistics si riempirà quindi effettivamente
che può essere usato hanno la capacità di rendere illeggibile l’unità di man mano che il programma procede. Ci può voler
installato
memoria. Quindi, se volete provare voi stessi, usate un parecchio tempo prima che DBAN finisca, perché
rispettivamente
con yum e apt-get. secondo computer con un hard disk che può essere questo tool deve generare e poi scrivere i dati casuali
sacrificato in nome dell’apprendimento. in ogni bit del disco.
50
Eliminare i file
Procedura di test
Prima di sottoporre il nostro hard disk ai differenti
metodi di “pulitura”, lo abbiamo preparato usando una
procedura standard. Per prima cosa, abbiamo rimosso
tutti i dati presenti usando il software RCMP TSSIT
OPS-II presente nel CD di DBAN. Questo metodo è stato
deprecato dal governo canadese e rimpiazzato da CSEC
ITSG-06, un metodo che sfrutta il Secure Erase. Dopo
che i dati sono stati cancellati, abbiamo partizionato
il drive (usando fdisk), lo abbiamo formattato in ext3
(usando mkfs.ext3) e abbiamo copiato file di nove tipi
diversi (DOC, DOCX, EPUB, JPG, PNG, ODS, ODT, TXT
e ZIP), assicurandoci che fossero leggibili. Dopo aver
completato ogni metodo di cancellazione, abbiamo
messo all’opera il tool di recovery PhotoRec per cercare
di recuperare i file. I comandi di preparazione alla distruzione dei dati!
51
Dischi e Dati
sicurezza sul disco digitate il comando seguente: attuatore. Quando questa bobina riceve dei segnali
Tip hdparm --user-master u --security-set-pass sean /dev/sdX
Potete usare la password che volete al posto di sean.
elettrici, la testina magnetizza la superficie del piatto.
I dati vengono registrati sui piatti come una serie di 0
La documentazione Per riportare il disco allo stato not enabled usate e 1 magnetici. Un degausser per hard disk è un
sul Secure Erase hdparm --user-master u --security-disable sean dispositivo elettronico che genera un intenso campo
vi avvisa più volte /dev/sdX magnetico. Questo campo resetta (cancella) il disco
sui rischi di questa
operazione. Alcuni
Per rimuovere l’opzione locked: così che non sia più possibile usarlo. Piazzare un hard
dei comandi hdparm --user-master u --security-unlock sean /dev/ disk dentro il campo magnetico di un degausser
richiedono sdX scombussola tutte le informazioni magnetiche
addirittura Ora potete inizializzare il Secure Erase così: contenute sui piatti. Noi abbiamo usato un degausser
il parametro
hdparm --user-master u --security-erase sean /dev/sdX Garner HD-3WXL per sanificare il nostro disco (potete
--i-know-
what-i-am-doing Prima di far tornare il disco in servizio, assicuratevi vedere un video d’esempio all’URL http://bit.ly/
(so cosa sto che i parametri not enabled, not locked e not frozen Degausser). L’elettronica interna di questo dispositivo
facendo) per essere siano di nuovo attivi, altrimenti il sistema operativo carica dei condensatori per immagazzinare l’energia,
completati. non riuscirà ad accedere al disco. come quando si carica una batteria. Quando poi questi
condensatori vengono fatti scaricare attraverso
Demagnetizzazione e distruzione speciali bobine presenti nel device, viene prodotto un
Passiamo agli ultimi due metodi. Sottoporre un disco grande impulso elettromagnetico (EMP). Il campo
a un degausser o alla distruzione fisica tramite magnetico così generato è talmente intenso da riuscire
polverizzazione e triturazione renderà, cosa ovvia, a orientare in modo casuale il materiale magnetico
inutilizzabili i vostri dati, ma anche l’hard disk stesso. presente sui piatti del disco. L’EMP prodotto da questi
Ma funzionano veramente questi metodi? Gli hard disk degausser non è poi così dissimile da quello generato
contengono piatti in alluminio-magnesio o vetro pirex da una esplosione nucleare. Il processo di
rivestiti di ossido di ferro. Su ogni piatto scorre una demagnetizzazione non rimuove solo i dati dell’utente,
testina azionata da un dispositivo a bobina chiamato ma anche altre informazioni memorizzate nei piatti in
fase di costruzione, rendendo del tutto inservibile
l’unità. Dopo l’operazione di degaussing abbiamo
provato a inserire il disco nel computer: il BIOS lo ha
individuato, ma poi ha fallito l’analisi riportando la
presenza di un errore nel drive o nel suo firmware
prima di continuare con il boot.
Misure estreme
L’ultimo metodo che abbiamo applicato è la distruzione
fisica dell’hard disk. Questo vuol dire fare a pezzi i piatti
del drive così da rendere fisicamente impossibile la
lettura dei dati. Questo può essere fatto con trituratori
meccanici o un frantumatore meccanico. La società
Security Engineered Machinery, che crea strumenti di
Il Terminator questo tipo, ha messo online alcuni video interessanti,
della pulizia dei come questo: http://bit.ly/1BY3LvD. Se non avete
dati: l’HD-3WXL a disposizione un trituratore (un oggetto non certo
Data Eliminator economico), potete usare un trapano elettrico per fare
dei buchi sui piatti o per graffiarne la superficie.
Qualcuno suggerisce che anche il semplice piegare
52
ABBONATI SUBITO!
l
de
5 45,
% 90€ invece
sconto 80€ di 70,
3 a
1 um
12
n
o
nn eri
Manuale coMPleto
Potrebbero
Il sIstema operatIvo pIù elegante dI WIndoWs e mac os
STABILE, ELEGANTE
E PERFETTO PER OGNI USO
VERSIONE
PerFetta
per i
VERSIONI A 32 E 64 BIT
ProFeSSioniSti
Riceverò 12 numeri a soli 45,90 euro anziché 70,80 euro con lo sconto del 35%
trattati, farli integrare, modificare o cancellare per violazione di legge, o opporsi al loro trattamento – scrivendo a Sprea con i miei dati a migliorare i servizi offerti (come specificato a soggetti terzi (come indicato al punto 2
SpA via Torino 51 20063 Cernusco SN (MI).
al punto 1 dell’informativa privacy): ❏ SI ❏ NO dell’informativa privacy): ❏ SI ❏ NO
Protezione totale
per i dischi
Vi spieghiamo come tenere i vostri preziosi file al riparo da occhi indiscreti,
perfino dagli altri utenti del vostro computer
D
a un po’ di tempo, dopo le rivelazioni di Edward home dell’utente, se si sceglie la cifratura del disco durante
Snowden, l’attenzione alla sicurezza dei dati l’installazione. Ma è più facile usare un esempio per spiegare
memorizzati nei sistemi informatici è notevolmente come funziona. Anche il filesystem eCryptfs è contenuto nel
aumentata. GNU/Linux e il mondo del Free Software offrono kernel Linux, e per usarlo è necessario installare il pacchetto
diverse soluzioni, per esempio cryptsetup che server per la ecryptfs-utils. Create due cartelle chiamate crypt e plain, poi
cifratura di intere partizioni usando il sottosistema dm-crypt impostate la directory cifrata con il comando seguente:
del kernel. Questo metodo (che abbiamo già spiegato in sudo mount.ecryptfs crypt plain
passato) è in grado di cifrare intere unità a blocchi, di solito Il sistema vi farà diverse domande: ovviamente dovete
una partizione di un disco. Tale soluzione è ottimale per la scegliere una password che sia sicura ma anche non
protezione del sistema nel suo complesso, ma rende disponibili impossibile da memorizzare (oppure registratela in un posto
tutti i file dopo che si è eseguito il boot. Ci sarebbe anche sicuro). Alla maggior parte delle altre domande potete
TrueCrypt, che funziona sia con interi device che con dischi rispondere accettando i valori di default, tranne alla domanda
virtuali (un grosso file che si comporta come un disco fisso). Enable Filename Encryption che potreste voler impostare
Anche in questo caso, in passato, ne abbiamo parlato spesso, a yes. Ora copiate alcuni file nella cartella plain e subito dopo
ma nel 2014 il progetto è stato abbandonato per problemi con guardate dentro crypt. Vedrete dei file con lo stesso nome,
il suo livello di sicurezza; anche se ne sono nati un paio di fork, se non avete attivato la cifratura dei nomi dei file. Ma questa
molte persone usano ancora la versione 7.1a (la versione 7.2 volta il loro contenuto è criptato. Se non ci credete, provate
consentiva solo di vedere i volumi cifrati con TrueCrypt). a visualizzarne il contenuto. Ora smontate il tutto con
Essendo un progetto non più attivo, comunque, ne sudo umount plain
sconsigliamo l’uso. Un’altra via è quella di far gestire la cifratura La versione leggibile dei file sparisce, lasciando solo quella
al filesystem, come fa ZFS sui sistemi Sun, ma nessuno dei cifrata. Rilanciate il comando mount di prima, e plain tornerà
filesystem “classici” di Linux prevede questo metodo. visibile. Questo esempio è semplice e anche un po’ scomodo
volendolo usare spesso, ma spiega bene il funzionamento del
Signore e signori: eCryptfs sistema. Il filesystem che avete montato su plain è virtuale,
Il sistema che vedrete in queste pagine è differente e prevede esiste solo in memoria; gli unici file scritti sul disco sono quelli
l’uso di un filesystem montato sopra un altro (stacked in crypt e sono cifrati. Una volta che smontate la directory
Ecco come filesystem), mentre cryptsetup, citato prima, implementa un plain, i dati che contiene sono protetti e non sono più accessibili
appaiono i nomi layer virtuale cifrato su un dispositivo a blocchi, il tutto posto a meno che non rimontiate il filesystem, operazione che
dei file dopo sotto il filesystem. Visto che eCryptfs funziona sopra a un richiede la password che avete scelto.
essere stati
normale filesystem, non è obbligatorio usarlo su un’intera
cifrati. Anche
il loro contenuto
partizione, ma può essere applicato a directory individuali. Cifratura semplificata
è illeggibile
Questo è il metodo adottato da Ubuntu per cifrare la directory Esiste un metodo più semplice e automatizzato per impostare
una directory cifrata senza ricorrere a sudo o dover rispondere
a qualche domanda. Eseguite il comando seguente come
utente normale:
ecryptfs-setup-private
Questo comando vi chiederà la vostra password che usate al
login e poi una passphrase per la directory cifrata. La prima è
usata per bloccare la seconda, che potete anche lasciare vuota,
ci penserà ecryptfs a generarne una in automatico. Verranno
create tre cartelle: .Private che contiene i dati cifrati; Private
che è il punto di mount per i file decifrati; .ecryptfs in cui sono
memorizzati i file usati per montare la vostra directory. Poiché
anche la passphrase è cifrata, dovreste farne una copia e
54
Dati al sicuro
55
Dischi e Dati
RAID: creare
e gestire array
Dribblate i pericoli di perdere dati impostando volumi multipli
e imparando come affrontare eventuali problemi
Tipi di RAID
Ci sono diversi livelli di RAID che descrivono il modo in cui
i dati sono divisi tra i vari dischi (leggete Livelli RAID in
breve). Ci sono anche tre modi diversi per implementare
il RAID: hardware, software e FakeRAID. Il RAID hardware,
come implica il nome, è implementato interamente in
U
una tecnologia usata per gestire il hardware, tramite una scheda controller o sulla scheda
partizionamento quando sono coinvolti diversi madre di alcuni sistemi server. Non conta quanti dischi
dischi è il RAID (Redundant Array of Inexpensive colleghiate a un RAID hardware, il sistema operativo
Disks). Questo combina più dischi in un singolo dispositivo ne mostrerà sempre e solo uno. Il RAID hardware è veloce
a blocchi per aumentare la capacità o la ridondanza in ma ha due svantaggi: è costoso e usa il proprio formato
caso di fallimento. La forma più semplice di RAID sono due disco. Ciò significa che se il vostro controller fallisce dovrete
dischi in quello che viene chiamato un array RAID1. In trovarne uno compatibile in sostituzione per leggere
questo caso i due dischi sono cloni uno dell’altro. Tutte le i vostri dischi. Il RAID software fa tutto in software
scritture avvengono su entrambi i dischi (il buffering si ed è implementato nel kernel di Linux. Con hardware
assicura che non impatti sulle performance) mentre le moderno, le performance sono paragonabili al RAID
letture vengono fatte dal disco che riesce a servire i dati hardware, ma è molto più flessibile nel controllo che offre
più velocemente. Questo significa che ottenete un piccolo e nella capacità di leggere dischi su sistemi diversi. Questo
miglioramento nelle performance di lettura, nessuna è quello che vedrete qui. Se la vostra scheda madre dice
differenza sensibile in scrittura e la stessa capacità di un di supportare RAID ma non costa centinaia di euro,
solo disco, aumentando però la sicurezza dei dati. Dal probabilmente implementerà il cosiddetto hardware assisted
momento che tutto viene scritto in entrambi i dischi, se software RAID o fakeRAID. Il controller ha una funzionalità
uno fallisce i vostri dati sono ancora disponibili nell’altro. RAID appena sufficiente per caricare un driver dai dischi,
Non solo, ma quando togliete il disco difettoso e lo quindi diventa software RAID. Solitamente funziona solo
sostituite con uno nuovo, i dati vengono automaticamente con Windows. È stato fatto più volte riferimento ai dischi,
copiati in background così da riguadagnare la sicurezza di ma il RAID software può funzionare con qualsiasi dispositivo
due copie il più velocemente possibile. a blocchi, e spesso è implementato a livello partizione e non
56
Gestire volumi multipli
57
Dischi e Dati
Strumenti perfetti
per i backup
Abbiamo messo sul nostro banco di prova cinque applicazioni per salvare
i propri dati. Solo una riuscirà a salire sul podio del primo classificato
58
Copie di sicurezza
Controllo totale
Fategli capire chi comanda
I
n linea di principio, tutti gli i documenti che non volete
strumenti di backup sono simili includere nel backup.
in termini di caratteristiche L’applicazione contiene un elenco
e funzioni. Tuttavia ci sono delle di modelli comuni per i dati che
eccezioni. Una di queste è Déjà devono essere esclusi. In più,
Dup. Questa applicazione consente è possibile specificare
di salvare intere cartelle ma non manualmente i preset per file
i singoli file. Un altro aspetto e cartelle, come la dimensione
del software da rilevare è la sua massima che devono avere per
incapacità nel creare più set essere inseriti nel salvataggio. Se si verifica un problema durante un task, LuckyBackup
di backup. In pratica, è in netto LuckyBackup conta su un certo vi spiega il motivo nella sezione Informazioni
contrasto con tutti gli altri numero di opzioni che consentono
programmi che abbiamo preso di prendere il controllo dell’intera uno strumento per il salvataggio
in considerazione. Areca, Back procedura. Chi ha più esperienza, su base remota. Areca Backup Verdetto
In Time, Gadmin-Rsync può creare la propria lista di utilizza FTP o SFTP, mentre Back
e LuckyBackup, infatti, esclusione. Gadmin-Rsync, allo In Time riesce a sfruttare Areca Backup
consentono di eseguire salvataggi stesso modo, offre una buona serie il protocollo SSH. Gadmin-Rsync HHHHH
Back In Time
multipli di più file e cartelle, di funzioni a cui mettere mano. consente la configurazione locale HHHHH
creando poi diversi profili. Inoltre, Purtroppo, però, non è al pari degli per i backup remoti (o viceversa), Déjà Dup
potete specificare i modelli per altri software. Infatti, il processo sfruttando comunque una HHHHH
l’inclusione e l’esclusione di singoli di inclusione ed esclusione deve trasmissione criptata. Da questo Gadmin-Rsync
file. Areca Backup può filtrare essere compiuto manualmente. punto di vista, il migliore è però
HHHHH
LuckyBackup
i dati in base a estensione, data Inoltre non c’è alcun modello decisamente Déjà Dup. Il software, HHHHH
e dimensione. Inoltre, permette predefinito che definisca fin da oltre ai tradizionali FTP e SSH, Déjà Dup non
di escludere i file bloccati o speciali. subito il tipo di backup che si vuole riesce a dialogare anche con riesce a reggere
Allo stesso modo, anche in Back eseguire. Tutte le applicazioni prese Samba, sfruttando perfino il confronto con
i contendenti.
In Time riuscite a specificare in considerazione hanno comunque le condivisioni WebDAV.
Programmazione e interfaccia
L’esecuzione automatica e l’ambiente grafico hanno il loro peso
U
na volta configurato il backup, dei salvataggi. Areca, infatti, si basa si può chiedere ad Areca di eseguire
questo dovrebbe funzionare sul task Cron accessibile dalla riga di il salvataggio di una directory una
autonomamente in comando. C’è una procedura guidata volta al giorno o alla settimana. Tutti
background. Tutti i software, fatta che consente di generare uno script i backup vengono mantenuti per sei
eccezione per Areca, dispongono di di backup che può poi essere settimane, mentre gli archivi mensili
una funzione per la programmazione programmato con Cron. Per esempio, per un anno. Un altro strumento che
fa uso di Cron è Gadmin-Rsync. Verdetto
Non c’è alcun controllo grafico per
impostare lo scheduler. Tuttavia Areca Backup
è possibile pianificare le attività HHHHH
Back In Time
di backup in fase di spegnimento
HHHHH
del sistema. LuckyBackup permette Déjà Dup
di usare sia Cron sia la propria GUI. HHHHH
L’approccio è quindi più semplice Gadmin-Rsync
anche per i principianti. Back In Time HHHHH
LuckyBackup
offre fin da subito la propria HHHHH
pianificazione predefinita che può Déjà Dup
essere modificata a piacere. e Gadmin-
Niente vieta di gestire i salvataggi Rsync offrono
il massimo
Gli script creati con Gadmin-Rsync possono essere gestiti manualmente. anche durante l’avvio e lo
controllo.
Sono archiviati nella cartella /etc/gadmin-rsync/script spegnimento del sistema.
59
Dischi e Dati
Esperienza d’uso
Quanto riescono a semplificare la vita?
C
ome tutti gli strumenti di sistema, c’è i programmi per il backup devono essere siano utilizzabili anche dagli utenti inesperti.
una linea sottile che divide funzionalità semplici e veloci da usare. Avere un’interfaccia La creazione di un backup, inoltre, è un
da usabilità. L’eccessiva presenza grafica troppo ricca significa perdere tempo. processo che richiede una serie di passaggi.
di strumenti può non essere un vantaggio. La maggior parte dei software presi in Abbiamo quindi puntato l’attenzione sui
Spesso, invece, si rivela proprio il contrario. considerazione si basa su riga di comando. programmi che forniscono una procedura
Come anticipato all’inizio di questo confronto, In questo caso, è importante che le applicazioni passo a passo di facile comprensione.
Documentazione e supporto
Quando avete bisogno di aiuto a chi vi rivolgete? Verdetto
L
a procedura di backup una breve introduzione, seguita di funzionamento nella wiki di Areca Backup
è considerata un’attività da una guida illustrata e una wiki Gnome. Ci sono poi altre risorse HHHHH
amministrativa del sistema. su GitHub. Allo stesso modo, sotto forma di FAQ in Ubuntu. Back In Time
HHHHH
Questo significa che prima Gadmin-Rsync offre un semplice L’aspetto positivo è che in realtà
Déjà Dup
di metterla in pratica è necessario tutorial per il backup e il ripristino non richiede alcuna conoscenza HHHHH
avere ben chiaro cosa state facendo. dei file. A peggiorare le cose, c’è il specifica. Potete usarlo senza grossi Gadmin-Rsync
Purtroppo, sotto questo aspetto, sito Web ufficiale che non fornisce pensieri. LuckyBackup e Areca sono HHHHH
parecchi strumenti lasciano alcuna informazione aggiuntiva. invece molto dettagliati. LuckyBackup
HHHHH
a desiderare, non fornendo Per fortuna, ci sono molti utenti Entrambi hanno manuali ricchi Solo Areca
un’adeguata documentazione sul appassionati di questo strumento di informazioni. I siti ospitano una e Lucky hanno
loro funzionamento. Back in Time, che hanno creato diverse risorse serie di video dimostrativi e, se vari manuali
per esempio, riduce al minimo non ufficiali. Déjà Dup mette avete domande, ci sono i forum e risorse
dettagliate.
le informazioni utili. Trovate solo a disposizione solo alcuni dettagli di supporto su KDE e SourceForge.
60
Copie di sicurezza
Déjà Dup HHHHH
Déjà Dup è uno degli strumenti più semplici da utilizzare. Il suo
punto di forza, infatti, è proprio l’interfaccia che non vi inonda
di funzioni, schede e via dicendo. Al primo avvio, troverete una
pagina che illustra le principali opzioni dell’applicazione. Qui sono
riportati gli eventuali backup già eseguiti o quelli in programma.
Si capisce fin da subito come Déjà Dup cerchi di mettervi fin
da subito a vostro agio. Riporta le voci necessarie, senza perdersi
in inutili esercizi di stile. Tutto quello di cui avete bisogno è ben
disposto. Perdersi è praticamente impossibile. Una delle migliori
caratteristiche di questo software consiste nel ripristino di singoli
file. Basta fare click sulla cartella di backup, quindi scegliere
l’opzione Ripristina file mancante.
Gadmin-Rsync HHHHH
Gadmin-Rsync è un front-end per rsync. Ha un’interfaccia troppo
affollata di strumenti, pulsanti, schede, caselle di testo e selettori
per la scelta multipla. Al primo impatto, infatti, lascia piuttosto
disorientati. Quando lo avviate, viene chiesto di creare un nuovo
backup tramite la procedura guidata. A tal proposito, scegliete
se operare un salvataggio in locale o in remoto. Una volta fatto,
potrete eseguire e pianificare le successive procedure. Gadmin-
Rsync consente di definire più set di salvataggi, regolandone
le attività su un calendario predefinito.
LuckyBackup HHHHH
LuckyBackup è un altro front-end per rsync. L’interfaccia non è delle
più piacevoli, ma contrariamente a quello che si può pensare,
è piuttosto semplice da usare. Quando si avvia il programma per
la prima volta, dovrete impostare un’attività di backup per il profilo
predefinito. Purtroppo è possibile aggiungere un solo percorso
di salvataggio per ogni task. Se avete bisogno di mettere al sicuro
più directory, dovrete creare un’attività diversa per la singola sorgente.
Questa limitazione potrebbe sembrare negativa. Tuttavia offre
un’eccellente livello di flessibilità. Infatti, pianificate gli interventi
in tempi e intervalli diversi. Anche il ripristino è piuttosto semplice.
Lucky visualizza un elenco navigabile di tutte le istantanee registrate.
Basta solo scegliere quella da recuperare.
Compressione e crittografia
Risparmiare spazio e tenere al sicuro i dati Verdetto
A
seconda dei dati che state Gadmin-Rsync, invece, consente di configurare lo strumento per Areca Backup
salvando, probabilmente di creare perfino salvataggi criptati funzionare con bzip2. Il livello, HHHHH
vorrete evitarne l’accesso in remoto. La procedura avviene inoltre, può essere regolato da Back In Time
HHHHH
a persone non autorizzate. Alcuni, sfruttando una combinazione un minimo di zero a un massimo Déjà Dup
inoltre, potrebbero avere necessità di ssh-keygen/SCP e SSH. Déjà di nove. Per impostazione HHHHH
di comprimere i backup per Dup offre sia la crittografia sia predefinita, il parametro si attesta Gadmin-Rsync
risparmiare spazio. Se una di la compressione. Basa il suo su sei come base media. Areca HHHHH
LuckyBackup
queste due caratteristiche fanno funzionamento sullo strumento è forse il programma che più si
HHHHH
al caso vostro, allora è meglio Duplicity per la blindatura dei dati, contraddistingue per flessibilità. Areca Backup
evitare LuckyBackup e Back In cui poi viene aggiunto il blocco Permette di usare gli algoritmi AES e Déjà Dup
Time. Entrambi non dispongono tramite password di GPG. 128 e AES 256, nonché ZIP e ZIP64. forniscono
di alcuna funzione per la La compressione, invece, viene È quindi facile intuire come sia le migliori
funzioni.
crittografia e la compressione. gestita da GZIP, ma niente vieta il migliore in questo comparto.
61
Dischi e Dati
Parametri configurabili
Potete adattarli alle vostre necessità?
T
utti i programmi presi in Seppure non siano necessariamente come processi che possono essere
considerazione permettono indispensabili, offrono comunque riavviati in qualsiasi momento. Dispone
il backup e il ripristino dei file. qualcosa in più che vale la pena di tenere poi di una cronologia estremamente
Sono progettati proprio per questo in considerazione. Areca, Gadmin-Rsync dettagliata che registra tutte le azioni che
e, con le dovute differenze che e LuckyBackup consentono di simulare svolgete. Infine, potete chiedere ad Areca
analizziamo in questo articolo, fanno tutti il processo di salvataggio, così da di fornirvi un resoconto del backup
piuttosto bene il proprio lavoro. Alcuni rivedere le eventuali modifiche ai file nella tramite email. Back In Time disabilita in
di essi, però, si differenziano dalla massa posizione di memorizzazione. Areca, automatico la creazione delle istantanee
per la presenza di strumenti extra. nello specifico, tratta le proprie attività di sistema nel caso il PC sia alimentato
a batteria. Per impostazione predefinita,
il programma verifica le eventuali
modifiche apportate ai file. Se non rileva
niente, salta la procedura di salvataggio
benché sia impostata nello storico delle
operazioni automatizzate. LuckyBackup
Verdetto
esegue un backup completo, copiando Areca Backup
il contenuto della directory sorgente HHHHH
in quella di destinazione. In aggiunta, Back In Time
dispone di un’opzione per la HHHHH
Déjà Dup
sincronizzazione. Assicura così che i dati HHHHH
contenuti nelle cartelle prese in esame Gadmin-Rsync
siano sempre aggiornati. Una funzione HHHHH
simile viene messa a disposizione da LuckyBackup
Gadmin-Rsync. Il software può perfino
HHHHH
LuckyBackup,
eliminare i file di destinazione che non insieme ad
vengono rilevati nella directory sorgente. Areca, fornisce
Déjà Dup non offre granché in fatto di un’ottima
extra, se non la possibilità di determinare selezione di
Se avete un sistema abbastanza potente, potete chiedere a Back In Time
opzioni extra.
di usare il checksum dei file per definire le modifiche il periodo di conservazione dei backup.
Versioning e ripristino
Quando perdete i vostri dati, ecco come recuperarli
U
no strumento di backup che si può fare in modo che Lucky
si rispetti dovrebbe consentirvi mantenga più versioni di backup. Verdetto
di recuperare i dati in modo Così facendo, però, quando si tenta
semplice e veloce. A eccezione il ripristino potreste confondervi su Areca Backup
di LuckyBackup, tutte le applicazioni quale release recuperare. Areca può HHHHH
prese in esame eccellono in questo ripristinare i salvataggi sotto forma Back In Time
compito. Lucky, invece, non brilla per di archivio completo o singoli file. HHHHH
Déjà Dup
flessibilità. Per chiarire cosa succede, Il processo offre diverse opzioni. Déjà Dup elimina i backup meno HHHHH
è importante spiegare il funzionamento Potete evitare di importare i documenti recenti se si rende conto che lo spazio Gadmin-Rsync
del software. Per impostazione già presenti, oppure non prendere di archiviazione nel percorso scelto HHHHH
predefinita, i file contenuti nella cartella in considerazione i backup più vecchi. inizia a scarseggiare LuckyBackup
sorgente vengono salvati in quella Back In Time crea istantanee delle
HHHHH
Déjà Dup
di destinazione. Se si elimina singole directory. Avrete a disposizione predefinita mantiene i più vecchi. è strettamente
accidentalmente un documento nella l’intero contenuto di una cartella. Durante il ripristino, mette integrato
posizione originale e si esegue di nuovo Si possono ripristinare i singoli a disposizione una procedura guidata in Ubuntu
il backup, il file viene cancellato anche documenti, così come il salvataggio di semplice comprensione. Gardmin- e permette
di ripristinare
dalla directory di destinazione. completo. Déjà Dup genera backup Rsync, infine, si comporta più o meno file e cartelle.
Per evitare questo inconveniente, incrementali e per impostazione nello stesso modo.
62
Copie di sicurezza
Strumenti di backup
Il verdetto
C
i auguriamo di avervi convinto si comporta un po’ meglio, grazie
a utilizzare uno strumento soprattutto alla possibilità di criptare
di backup. Indipendentemente i propri backup remoti. Tuttavia, anche
da quale sia la vostra scelta, in questo caso ci troviamo di fronte
non si può prescindere dall’avere a una GUI poco curata e ricca
un programma che metta in salvo di strumenti che finiscono per
i documenti più importanti. Come disorientare. Déjà Dup è uno degli Areca Backup può essere usato senza installazione,
abbiamo visto in questo confronto, strumenti più intuitivi ma non ma dovete assicurarvi di avere Java
un buon software riunisce una serie permette la creazione di raccolte
di potenti utility con la capacità di di backup. Se non ne avete bisogno, da utilizzare. Accoglie i principianti
creare salvataggi in modo semplice si tratta di una soluzione alla portata senza spaventarli con innumerevoli
e veloce. Allo stesso tempo, deve di tutti ed estremamente funzionale. funzioni e svolge molto bene il proprio
essere in grado di ripristinare il tutto In Ubuntu è inclusa per impostazione lavoro. La capacità di eseguire
con la medesima facilità. Da questo predefinita. Detto questo, abbiamo salvataggi e ripristinarli senza sforzo
punto di vista, scegliere il vincitore deciso di assegnare il primo premio è davvero impressionante e merita
non è semplice. Se avete bisogno ad Areca Backup. Se non siete tutto il nostro plauso.
di crittografare i dati, allora dovrete contrari alle
scartare a priori LuckyBackup e Back
In Time. Quest’ultimo, non brillando
applicazioni Java,
vi innamorerete
“La capacità di salvataggio
per la propria interfaccia grafica, crea
anche un serio ostacolo ai principianti
di questo software.
È funzionale
e ripristino di Areca
che vogliono utilizzarlo. Gadmin-Rsync e pratico è veramente impressionante!”
1° Areca Backup HHHHH 4° Back In Time HHHHH
Web: www.areca-backup.org Licenza: GNU GPL v2 Versione: 7.5 Web: http://backintime.le-web.org Licenza: GNU GPL v2 Versione: 1.1.12
Lo strumento di backup a prova di futuro. Un ottimo strumento per mantenere più versioni di backup di file e cartelle.
Considerate anche...
La maggior parte delle distro desktop viene uso di Dark Snapshot, a cui è possibile gestiscono da riga di comando, potete dare
fornita di un proprio strumento di backup. accedere dal Centro di Controllo. Permette un’occhiata a Bonam. Può essere utilizzato
Linux Mint, per esempio, utilizza di salvare singoli file o eseguire intere con rsync e duplicity che insieme forniscono
MintBackup che vanta un’interfaccia istantanee del sistema. Tra gli strumenti una piattaforma ricca di strumenti. Infine,
grafica semplice e intuitiva. È addirittura di backup una volta molto popolari e adesso vi consigliamo di valutare anche i programmi
possibile utilizzarlo in altre distribuzioni in disuso ci sono FwBackup, Backerupper che eseguono snapshot di interi sistemi
come Ubuntu. Basta solo aggiungere e Simple Backup Solution. Se poi non anziché di singoli file o cartelle. Tra questi
il relativo PPA. Allo stesso modo, Mageia fa siete contrari alle applicazioni che si ci sono TimeShift e Systemback.
63
ipset Tutorial
Sicurezza di rete
Semplificate
i vostri firewall
Ecco come facilitarvi la vita nella manutenzione del firewall usando ipset
per rendere le configurazioni più immediate da leggere e modificare
stanno diventando sempre più complesse e le persone
vi fanno affidamento sempre di più: i firewall rimangono
ancora la prima linea di difesa, e questo implica che le
policy dei firewall stanno diventando più complesse.
Talvolta gli amministratori di sistema possono ricevere
richieste del genere “permetti HTTP all’host 192.0.2.1”, ma
più spesso le richieste sono più generali, come “permetti
SSH da tutte le workstation di sviluppo” o “permetti HTTP
e HTTPS da tutti i computer dell’ufficio” o ancora
“permetti SMTP, IMAP e qualcos’altro da questi siti
remoti”. Potreste anche dover permettere o rifiutare servizi
che sfruttano più di un protocollo e una porta, come IPsec,
che sfrutta alcuni protocolli IP per i dati e UDP per lo
scambio chiavi; oppure SIP, che può usare TCP o UDP per il
signalling e necessita anche di un range di porte UDP per
i media; o ancora Active Directory, che necessita di quasi
una dozzina di porte TCP e UDP. Naturalmente potete fare
tutto questo con il solo iptables. L’ovvio problema è che
richieste complesse richiedono spesso più di una regola
per essere soddisfatte. Talvolta potete gestire la
complessità dei protocolli controllando lo stato RELATED
e utilizzando i moduli conntrack; talvolta potete gestire
indirizzi e porte molteplici scrivendo script o utilizzandone
di già pronti come quelli nello strumento di configurazione
Shorewall. Gli script che generano regole di iptables
I
pset è un’estensione di Netfilter che vi permette di tuttavia non rimuovono la complessità, semplicemente
creare liste di indirizzi, reti e numeri di porte TCP/UDP la spostano, quindi l’output di iptables -L resta lo stesso
IPv4 e IPv6 da utilizzare in regole sorgente e della scrittura delle regole a mano (o talvolta addirittura
destinazione per iptables/ip6tables. In configurazioni maggiore). Se state cominciando a considerare un
complesse di firewall può semplificare di molto problema questo tipo di complessità, ipsec è una
la leggibilità e la possibilità di modificarle. buona soluzione.
Se il vostro firewall contiene molte regole simili
Tip con piccole varianti negli indirizzi sorgente/ Il flusso di lavoro
destinazione o nelle porte, ipset fa per voi. In generale un workflow ipset funziona così:
Usate l’opzione
Ipset è composto da due parti: un create un set (lista), aggiungete alcuni
family inet con
liste che includono modulo kernel e uno strumento di elementi e create una regola iptables/
indirizzi IPv4. Per amministrazione. La parte kernel ip6tables che vi faccia riferimento. Fino
liste che includono è stata integrata nel kernel standard a qui tutto semplice. Le liste possono
indirizzi IPv6 e lo strumento è solitamente essere di diversi tipi, quindi non potete
utilizzate family
disponibile negli archivi. Alcune aggiungere elementi a una lista finché
inet6. Se non
specificate una distribuzioni includono anche dei non la create e ne specificate il tipo al
famiglia verrà wrapper di servizio per caricare momento della creazione. Non potete far
presupposta essere configurazioni di ipset al boot, come riferimento a una lista in una regola iptables
IPv4.
ipset-service in Fedora. Le reti di computer fintantoché non create tale lista.
64
Tutorial ipset
Come usare ipset
La cosa bella è che potete modificare una lista Notate che non potete specificare un protocollo assieme
referenziata in una regola iptables al volo senza dover alla porta in questo tipo di lista; quello che dovete fare è
ricaricare tutte le regole iptables. Supponete, quindi, di specificare il protocollo nella vostra regola di firewall.
avere le seguenti richieste: Questo funziona sia con TCP che con UDP (o anche SCTP).
Accettare SMTP, IMAP e POP3 da reti fidate 192.0.2.0/24 L’opzione -m set --match-set è dove fate riferimento
e 2001:db8::/64 all’oggetto ipset. è composta da due parti: la lista e la
Accettare SSH dagli host 192.0.2.10, 192.0.2.15, direzione. Il requisito lista è piuttosto ovvio: è il nome della
2001:db8::100, 2001:db8::105 vostra lista. La direzione dev’essere src (sorgente) o dst
Aprire la porta 5000 dall’host 203.0.113.5, la porta (destinazione, più avanti vedrete che può esserci più di una
5010 dall’host 203.0.113.10 e la porta 5020 da direzione). In questo caso siete interessati alle porte di
203.0.113.42 destinazione, quindi specificherete dst. Le liste di porte
Ora vedrete come potete ridurre il numero delle regole e possono essere usate sia in regole iptables che in regole
rendere questa configurazione più gestibile. Per prima cosa ip6tables: non c’è bisogno di modificare alcunché per i due
gestirete la parte email. Come potete vedere avete più porte protocolli. Se dovete aggiungere un intero range di porte
che indirizzi di rete, quindi andrete a creare una lista di porte a una lista, c’è una scorciatoia:
e le referenzierete nelle regole per tali sottoreti, così: # ipset add PortList 15000-16000
# ipset create EmailPorts bitmap:port range Il rovescio della medaglia è esattamente questo: è una
0-65535 comment scorciatoia, e ipset aggiungerà tutte le porte del range alla
# ipset add EmailPorts 25 comment SMTP lista, cosa che può avere un serio impatto sulla leggibilità,
# ipset add EmailPorts 110 comment POP3 quindi per grossi range può essere meglio specificarli
# ipset add EmailPorts 143 comment IMAP direttamente nelle regole iptables/ip6tables.
Nel comando create, EmailPorts è il nome della lista.
Il tipo è rappresentato da bitmap:port che è quello che vi Una lista di host
serve per memorizzare le porte. L’opzione per port range Ora passate alla richiesta SSH. In questo caso avete
è obbligatoria, ma potete limitare ulteriormente il range se molteplici host e una sola porta, quindi è ragionevole
volete. L’estensione ipset per memorizzare i commenti
assieme agli elementi è facoltativa, quindi dovrete abilitarla
esplicitamente con l’opzione comment. Ora dovete
assicurare che tutto sia corretto visualizzando il set
appena creato con il comando seguente:
ipset list EmailPorts
Potete anche visualizzare tutte le liste configurate con
ipset list senza argomenti. Ora che avete una lista di porte
potete referenziarla nelle regole di Netfilter:
# iptables -A INPUT -s 192.0.2.0/24 -p tcp -m set --match-
set EmailPorts dst -j ACCEPT
# ip6tables -A INPUT -s 2001:db8::/64 -p tcp -m set È buona norma indicare un nome memorizzabile alle vostre porte, così da
--match-set EmailPorts dst -j ACCEPT riconoscere quali vengono utilizzate anche un mese dopo averle configurate
IPv6 vs IPv4
In termini di forwarding, salti) in IPv6. L’equivalente
filtering e policing, IPv6 non IPv6 è -m hl --hl-[eq|lt|gt].
è così diverso da IPv4. Un altro esempio è il
Le differenze più evidenti protocollo ICMP, leggermente
sono che il comando iptables diverso in IPv6. L’opzione per i
si chiama ip6tables, ma tutte messaggi ICMP è -m icmpv6
le opzioni, tranne alcune --icmpv6-type=<type>.
specifiche del protocollo, Naturalmente ci sono certe
sono le stesse. Le opzioni di opzioni che non hanno una
ipset non fanno eccezione: controparte IPv4. Queste
potete usare lo stesso includono il Mobility Header
formato sia con iptables che usato nel mobile IPv6,
con ip6tables senza bisogno Destination Options,
di ricordare parametri l’header Hop-by-Hop
particolari. Altre opzioni Options e alcune altre. Queste
hanno controparti chiamate non sono tuttavia così comuni
diversamente in IPv6: come l’indirizzo di sorgente
il campo time to live e destinazione. Nessuna delle
è chiamato TTL (-m ttl --ttl- vostre conoscenze di iptables
[eq|lt|gt]) in IPv4 e HL (che andrà sprecata nella Visto che Internet si sta spostando gradualmente su IPv6, è ora di conoscere
sta per ‘hop limit’, limite di transizione a IPv6. qualcosa sul protocollo: fortunatamente molte opzioni sono simili a IPv4
65
ipset Tutorial
Sicurezza di rete
creare una lista di host e referenziarla in una regola per molteplici porte e indirizzi. Può sembrare un po’ artificioso,
SSH. In ipset non potete mescolare indirizzi IPv4 e IPv6 in ma possono capitare situazioni in cui indirizzi e porte
una sola lista, esattamente come usate iptables e ip6tables apparentemente casuali siano invece relazionabili gli uni le
per protocolli diversi. Dovete quindi creare due liste: altre: un esempio è quello di dover permettere l’accesso
# ipset create TrustedHosts hash:ip family inet comment a un’applicazione in esecuzione su macchine dietro a NAT
# ipset add TrustedHosts 192.0.2.10 comment “Computer per un supporto tecnico da una ditta che si connette da
di Alice” diversi punti. Ipset supporta coppie (e anche triple) di
# ipset add TrustedHosts 192.0.2.15 comment “Computer indirizzi e porte o reti e porte. Il tipo per coppie di indirizzi
di Matteo” e porte è hash:ip,port:
Qui il tipo hash:ip permette di registrare indirizzi IPv4 # ipset create AppSupport hash:ip,port
o IPv6 e family inet è la famiglia di indirizzi IP definita. Se la # ipset add AppSupport 203.0.113.5,tcp:5000
famiglia di indirizzi non viene specificata viene predefinita # ipset add AppSupport 203.0.113.10,tcp:5010
IPv4, quindi in questo caso l’opzione è ridondante. Nota: # ipset add AppSupport 203.0.113.42,tcp:5020
è obbligatorio invece per IPv6. In questo caso dovete specificare due direzioni
# ipset create TrustedHosts6 hash:ip family nell’opzione --match-set: la prima per l’indirizzo e la
inet6 comment seconda per la porta:
# ipset add TrustedHosts6 2001:db8::100 comment # iptables -A INPUT -m set --match-set AppSupport
“Computer di Alice IPv6” src,dst -j ACCEPT
# ipset add TrustedHosts6 2001:db8::105 comment Potete specificare una qualsiasi combinazione di src e dst,
“Computer di Matteo IPv6” per esempio dst,src o src,src, a seconda delle vostre
L’unica cosa che rimane da fare è impostare le regole di necessità. Le liste di coppie IP/porta e network/porta vi
Netfilter: permettono anche di specificare il protocollo assieme alla
# iptables -A INPUT -p tcp --dport 22 -m set --match-set porta, il che vi può far risparmiare un po’ di tempo e sforzo
TrustedHosts src -j ACCEPT nel gestire protocolli che possono sfruttare sia TCP che
# ip6tables -A INPUT -p tcp --dport 22 -m set --match-set UDP, come DNS o SIP. Se doveste permettere delle query
TrustedHosts6 src -j ACCEPT DNS e trasferimenti di zona da qualche host, potreste
È possibile utilizzare le opzioni --match-set in una sola usare una lista simile:
regola. Se aveste voluto permettere le email da questi host, # ipset create DNS hash:ip,port
avreste potuto riutilizzare la lista EmailPorts già impostata # ipset add DNS 192.0.2.200,udp:53
e fare qualcosa di simile a questo: # ipset add DNS 192.0.2.200,tcp:53
# iptables -A INPUT -p tcp -m set --match-set EmailPorts # iptables -A FORWARD -m set --match-set DNS dst,dst
dst -m set --match-set TrustedHosts src -j ACCEPT Così come iptables, ipset vi permette di caricare le regole
C’è anche un tipo per liste di network, hash:net, che da un file ed effettuarne l’output in un formato adatto
memorizza indirizzi subnet: al caricamento, così:
# ipset create NetworkList hash:net # ipset save > /path/to/ipset.save
# ipset add NetworkList 10.1.0.0/24 # ipset restore < /path/to/ipset.save
Ipset vi permetterà di mantenere la configurazione del
IP e porte vostro firewall più corta, leggibile e molto più facile da
Ora vedrete un esempio più complesso: una lista di coppie mantenere. Se vi servono ulteriori informazioni potete
invece che una lista di oggetti individuali. In questo caso è visitare il sito del progetto, http://ipset.netfilter.org,
una lista di coppie indirizzo IP e porta che richiede e leggere le pagine man incluse nel pacchetto.
Potete creare
gruppi di host
fidati o non così
fidati piuttosto
facilmente per
indirizzi IPv4
e IPv6
66
È in edicola
www.sprea.it/manualiofficinavespista
Controllo totale
sulla vostra rete
Con i tool giusti, potete mettere in sicurezza
la vostra rete e proteggervi da incidenti e hacker.
Ecco come fare
V
iviamo in un mondo fortemente orientato alle reti: La piattaforma di sviluppo
dai telefoni alle televisioni, dalle console alle Prima di addentrarci nell’argomento, tuttavia, è necessario disporre
telecamere fino agli elettrodomestici, ogni oggetto di una piattaforma collegata alla rete da sottoporre a monitoraggio,
moderno è pensato in un’ottica di interconnessione, sulla quale ospitare lo sviluppo e l’esecuzione del codice PHP.
affinché possa entrare in rete con gli altri. L’avvento della Per ottimizzare l’aspetto formativo di questa serie di articoli,
domotica, di tablet e di smartphone ha esteso a dismisura supponiamo che tale rete (che simuleremo, nel prosieguo, mediante
il concetto di network, fino a renderlo quasi indipendente il ricorso al software di virtualizzazione denominato Virtualbox)
L’autore dall’ambito informatico in cui è nato: spesso nelle nostre case presenti la topologia rappresentata in Fig. 1 qui in basso, risultando
le reti sono costituite principalmente da dispositivi “intelligenti”, in tal modo segmentata in due diverse subnet:
piuttosto che da computer o altre apparecchiature “tradizionali” La subnet indicata in notazione CIDR (Classless Inter-Domain
Maurizio Russo
Laureato in
appartenenti al mondo IT. In un mondo così intimamente legato Routing) come 192.168.1.0/24, che comprende la postazione
Informatica al concetto di connessione, tuttavia, sfugge ai più un aspetto di monitoraggio (indicata come “workstation” e coincidente, come
presso tipicamente informatico delle network: quello del monitoraggio vedremo nel prossimo paragrafo, con la macchina fisica)
l’Università degli apparati interconnessi, indispensabile tanto nelle reti e la macchina denominata “NAS”;
“La Sapienza”
enterprise che in ambiente SOHO (acronimo di Small Office/ La subnet 192.168.2.0/24, a cui risultano attestati la postazione
di Roma,
con una tesi Home Office). Monitorare lo stato della rete, infatti, significa di monitoraggio e la macchina denominata router;
sperimentale verificarne costantemente la piena funzionalità, rilevando La subnet 192.168.3.0/24, sulla quale lavorano i server.
sullo stack TCP/ tempestivamente le fonti di anomalie e malfunzionamenti:
IP del kernel quante volte ci è capitato di perdere tempo nel vano tentativo
Linux, è un
utente del
di risolvere un problema di connettività attribuito a un
pinguino dal particolare dispositivo, per poi scoprire altrove la vera causa
2001. Nella del contrattempo? In questo numero e nel prossimo
sua carriera affronteremo proprio il tema del monitoraggio delle reti,
si è occupato
analizzando dapprima una soluzione da sviluppare “ad hoc”,
di formazione,
sicurezza, mediante pagine PHP in grado di interagire con il celeberrimo
networking, nmap (non a caso uno dei tool più utilizzati nei campi della
progettazione sicurezza e delle reti), per poi approdare a un prodotto
e sviluppo più professionale, in grado di coniugare potenza e flessibilità
di software.
con i principi del Software Libero. Fig.1 Questa è la nostra rete di esempio
68
Mettere in sicurezza la LAN
Prima di poter sottoporre a monitoraggio la rete appena descritta, Fig.3 Ecco
tuttavia, è necessario installare innanzitutto lo stack LAMP (Linux la prova
Apache MySQL e PHP) sulla quale sviluppare la nostra applicazione; dell’avvenuta
a tal fine, supponendo di utilizzare una distribuzione debian-based abilitazione della
(Ubuntu, per esempio, oppure una qualsiasi sua derivata come document root
Xubuntu), apriamo una shell, acquisiamo i privilegi di root (comando
sudo su) ed eseguiamo le seguenti operazioni:
1 Installazione del server Web Apache: da shell, è sufficiente digitare
il comando
apt-get install apache2 6 Installazione di PHP: l’installazione base di Apache non prevede
2 Verifica della corretta installazione di Apache: aperto il browser, la presenza dei moduli che consentono al server Web la gestione
occorre digitare sulla barra degli indirizzi l’URL http://127.0.0.1 e l’interpretazione della pagine PHP. Per ovviare a questo
per verificare la raggiungibilità della pagina di default del server inconveniente, è sufficiente digitare il comando:
(in Fig.2 è riportata la pagina di default presentata in Xubuntu 14.04; apt-get install libapache2-mod-php5
nelle altre distribuzioni l’aspetto potrebbe variare pur mantenendo, 7 Configurazione di PHP: terminata l’installazione, è necessario aprire
tuttavia, il tradizionale messaggio “It Works!” che da anni il file di configurazione del modulo PHP5 (/etc/apache2/mods-
contraddistingue le installazioni di Apache coronate da successo); available/php5.conf) con il comando
3 Creazione della directory public_html: per comodità, procediamo vi /etc/apache2/mods-available/php5.conf
alla creazione, all’interno della home dell’utente corrente, di una e commentare le righe comprese tra i tag <IfModule mod_userdir.
sottodirectory denominata public_html, ove ospitare le pagine PHP. c> e </IfModule> (la Fig.4 mostra il contenuto del file
Questa operazione può essere effettuata da GUI, ricorrendo al file di configurazione dopo la modifica sopra indicata) al fine di garantirci
manager installato sul sistema, oppure aprendo una nuova shell la possibilità (non prevista nella configurazione di default per motivi
(è importante utilizzare una seconda shell, giacché in quella sin qui di sicurezza) di eseguire script PHP all’interno della directory public_
adoperata abbiamo assunto i privilegi di root) e digitando il comando html. Possiamo quindi riavviare nuovamente Apache per rendere
mkdir public_html effettive le modifiche:
4 Abilitazione della directory public_html: opportunamente service apache2 restart
configurata, la directory public_html consente di creare una document 8 Installazione di MySQL: allo stato, l’installazione della piattaforma
root alternativa per le pagine Web ospitate da Apache: in aggiunta LAMP è quasi completa. Alla distribuzione GNU/Linux preesistente
alla document root del server (contenente, al momento, la pagina abbiamo aggiunto, negli step precedenti, Apache e PHP. All’appello
in Fig.2 e posta, generalmente, in /var/httpd/www), viene creata manca il solo MySQL: per procedere alla sua aggiunta, ricorriamo
una document root “di utente”, raggiungibile all’URL al comando
http://127.0.0.1/~nomeutente (per esempio, http://127.0.0.1/~garrick/ apt-get install mysql-server
per la directory public_html posta all’interno dell’home dell’utente avendo cura, quando richiesto dall’installer, di fornire (e annotare,
garrick). Per motivi di sicurezza, tuttavia, il ricorso alla directory public_ in quanto ci servirà nel prosieguo) la password dell’utente
html deve essere permesso esplicitamente dall’amministratore amministratore del db (denominato anch’esso root);
di sistema, mediante l’abilitazione del modulo di Apache denominato 9 Installazione di phpMyAdmin: la versione di MySQL appena installata
userdir: a tal fine digitiamo, dalla shell con privilegi di root, il comando presenta un’architettura client-server, con un Database Server
a2enmod userdir accessibile dalla stessa macchina locale (o da una remota) attraverso
per poi procedere al riavvio del server Web mediante il comando l’apposito client a riga di comando. Quest’ultimo, nonostante sia
service apache2 restart perfettamente in grado di svolgere tutte le operazioni a noi richieste
5 Verifica dell’avvenuta abilitazione di public_html: dal browser, per la creazione e l’amministrazione del piccolo database su cui
digitiamo l’indirizzo http://127.0.0.1/~nomeutente per verificare poggerà la Web application, può risultare ai neofiti un po’ ostico,
la raggiungibilità della directory public_html: vista l’assenza di una
pagina index nella directory, apparirà, per effetto della configurazione
di base di Apache, una pagina che mostra i contenuti della stessa
directory (Fig.3);
69
Sicurezza di rete
Fig.5 Nel corso
dell’installazione
di MySQL viene
visualizzata questa
schermata,
per la selezione
del server Web
con cui il DBMS
dovrà integrarsi
in quanto richiede un certo grado di conoscenza del DBMS e del
linguaggio SQL. Per semplificare, e consentire di focalizzare la nostra Fig.7 La creazione della tabella “categoria” tramite phpMyAdmin
attenzione sul monitoraggio vero e proprio piuttosto che sugli elementi
di contorno, è preferibile ricorrere a una applicazione ad hoc come connessa, infatti, dovrà appartenere a una delle categorie
phpMyAdmin, che offre una GUI semplice e intuitiva attraverso elencate in questa tabella);
la quale gestire il database. Per installare phpMyAdmin, è sufficiente una tabella denominata “apparato”, in cui inseriremo i dati di tutti
digitare il comando gli apparati della rete oggetto di monitoraggio.
apt-get install phpMyAdmin Grazie al database così definito, la nostra applicazione potrà tracciare
avendo cura, in prima battuta, di scegliere apache2 nell’apposita gli indirizzi IP di ogni apparecchiatura della rete, conservandone
schermata (Fig.5) di selezione del server Web con cui l’applicazione al contempo una breve descrizione, utile all’operatore per identificare
dovrà integrarsi, per poi optare per la configurazione automatica velocemente il dispositivo oggetto di avaria: l’idea alla base della nostra
attraverso dbconfig-common. In questa sede, sarà richiesta Web application, infatti, è quella di verificare a intervalli periodici
l’immissione della password dell’utente root di MySQL, l’effettiva raggiungibilità degli apparati oggetto di monitoraggio,
precedentemente stabilita, nonchè la scelta della password utilizzata mostrando poi l’indirizzo IP e la descrizione dei dispositivi
per registrare phpMyAdmin sul server MySQL. che risultassero non connessi alla rete. Affinché ciò sia possibile,
è necessario innanzitutto procedere alla creazione del database,
Il database di back-end attraverso l’interfaccia grafica offerta da phpMyAdmin: avviato
Terminata l’installazione della piattaforma di sviluppo (operazione il browser, visualizziamo la pagina corrispondente all’URL
che, nonostante la relativa onerosità in termini di tempo e di pazienza, http://127.0.0.1/phpMyAdmin, quindi inseriamo username (root)
ha il vantaggio di dover essere eseguita una sola volta nella vita di una e password precedentemente impostate per l’accesso a MySQL.
macchina LAMP, indipendentemente dal numero di Web application La creazione del database si effettua con pochi click: è sufficiente
sviluppate), possiamo finalmente dedicarci alla nostra applicazione. selezionare la scheda database, quindi inserire il nome del db
Il primo passo da compiere consiste nella progettazione, creazione, da creare (monitoraggio, nel nostro caso) e premere il pulsante Crea.
e popolamento del database di monitoraggio, nel quale andremo Impostato il database, è tempo di definirne le tabelle: selezioniamo
a convogliare tutte le informazioni inerenti: il database monitoraggio e inseriamo, nel riquadro denominato non
la classificazione dei dispositivi oggetto di monitoraggio (client, a caso Crea tabella (Fig.7), il nome (categoria) e il numero di campi
server, router, ecc.);
gli indirizzi IP e gli estremi di identificazione delle macchine
da monitorare.
Sulla base di questa descrizione, e del modello concettuale
derivante (in Fig.6, la rappresentazione grafica del modello
concettuale, mediante schema Entità/Relazione), il nostro
database sarà costituito da due tabelle:
una tabella denominata “categoria”, cui spetterà il compito
di classificare i dispositivi presenti sulla rete (ogni apparecchiatura
Fig.6 Questo è lo schema completo di Entità/Relazione del database su cui Fig.8 La maschera di configurazione dei campi della tabella
si appoggia la nostra Web application “categoria”
70
Mettere in sicurezza la LAN
Fig.9 Ecco come si presenta la maschera di configurazione Fig.11 Ecco i contenuti della tabella “categoria” a seguito degli
dei campi della tabella “apparati” inserimenti effettuati nella fase di popolamento del database
(2, come da schema E/R in Fig.6). Dopo aver premuto il tasto Esegui della nostra Web application: il popolamento del database, da eseguire
apparirà la maschera di configurazione dei campi della tabella, (in considerazione dell’associazione appena trattata tra le due entità)
contenente per l’appunto due righe ove dovremo inserire (Fig.8) a partire dalla tabella categoria. Dall’osservazione dello schema di rete
le medesime informazioni riportate nel già citato schema E/R: in Fig.1, appare chiara la necessità di inserire ben quattro gruppi
nella prima riga, inseriamo come nome “id_categoria” e come tipo all’interno della tabella, corrispondenti alle categorie:
“INT”, avendo cura di flaggare il campo A_I per ottenere l’incremento workstation;
automatico, a cura dello stesso DBMS, del valore dell’id, che costituisce NAS;
la chiave primaria della tabella; router;
nella seconda riga, inseriamo come nome “descrizione_categoria”, server.
come tipo “Varchar” e come lunghezza 50. Cliccando sul nome della tabella d’interesse, e selezionando il pulsante
Un click sul pulsante Esegui terminerà l’operazione di immissione Inserisci posto in alto alla pagina, è possibile procedere all’inserimento
dei dati, determinando la creazione della tabella richiesta. La creazione delle prime due categorie. Prima di confermare l’operazione, mediante
della seconda tabella, denominata “apparato”, richiede un click sul pulsante Esegui, è bene verificare che i due menu a
un procedimento analogo, basato sull’immissione, nella maschera tendina posti alla stessa altezza del pulsante presentino i valori “Inserisci
dedicata alla definizione dei campi, delle seguenti stringhe (Fig.9): come nuova riga” e “Inserisci un nuovo record” (Fig.10): in questo
prima riga: nome “id_apparato”, tipo “INT”, campo A_I selezionato; modo, phpMyAdmin provvederà alla scrittura dei record nella tabella,
seconda riga: nome “id_categoria”, tipo “INT”; presentando al termine dell’operazione la maschera per l’inserimento
terza riga: nome “ip_apparato”, tipo “Varchar”, lunghezza 16; delle due rimanenti categorie (router e server). Si noti, in particolare,
quarta riga: nome “descrizione_apparato”, tipo “Varchar”, l. 200. l’utilità del flag Autoincrement, selezionato all’atto della creazione della
Un osservatore attento ma superficiale potrebbe rilevare un’incongruità tabella per il campo id_categoria, che ci esonera dalla necessità
sul secondo campo (“id_categoria”), in quanto assente nello schema di specificare un valore (assegnato automaticamente dal DBMS)
E/R di riferimento: il modello concettuale (Fig.6), infatti, mostra per in sede di inserimento del record. Esaurite le categorie, passiamo alla
la tabella solo tre attributi, a fronte dei quattro appena inseriti. tabella apparato: sebbene l’inserimento segua le medesime modalità,
L’attributo in questione, tuttavia, viene derivato proprio dallo schema in questo caso è necessario specificare il valore di un numero
E/R, in quanto rappresenta la concretizzazione del legame (detto maggiore di campi per ogni record. La presenza nello schema della
associazione) tra le due entità (le tabelle) di riferimento: attraverso tabella del campo id_categoria, inoltre, ci obbliga a tener traccia delle
l’inserimento, nella tabella apparato, del campo id_categoria categorie appena inserite, e degli id assegnati a ciascuna di esse
(corrispondente, non a caso, alla chiave primaria della tabella direttamente dal DBMS: a tal fine, è opportuno dare un’occhiata
categoria), si tiene traccia univocamente della relazione tra ogni ai contenuti della tabella categoria (Fig.11), mediante un click
apparato e la categoria di riferimento. Chiarito l’apparente equivoco, sull’omonima voce del menu posto nella parte sinistra dell’interfaccia
possiamo dedicarci all’ultimo compito propedeutico alla realizzazione di phpMyAdmin. Cliccando quindi sul nome della tabella apparato,
e selezionando più volte il link Inserisci, è finalmente possibile
procedere all’inserimento:
primo apparato (la workstation mostrata nello schema in Fig.1):
campo id_apparato vuoto, campo id_categoria pari a 1, ip_apparato
192.168.2.3, descrizione “Il mio PC”;
secondo apparato (indicato comr NAS nello schema in Fig.1):
campo id_apparato vuoto, campo id_categoria pari a 2, ip_apparato
192.168.1.100, descrizione “NAS della rete”;
terzo apparato (l’unico router presente nello schema in Fig.1):
campo id_apparato vuoto, campo id_categoria pari a 3, ip_apparato
192.168.2.1, descrizione “router della rete”;
quarto apparato (il server denominato serverA in Fig.1): campo id_
Fig.10 Dopo aver completato l’inserimento delle prime due apparato vuoto, campo id_categoria pari a 4, ip_apparato
categorie nel database, occorre verificare che i due menu 192.168.3.101, descrizione “file server”;
a tendina posti in prossimità del pulsante Esegui presentino quinto apparato (serverB): campo id_apparato vuoto, campo
i valori Inserisci come nuova riga e Inserisci un nuovo record id_categoria pari a 4, ip_apparato 192.168.3.100, descrizione
71
Sicurezza di rete
alla presentazione dei risultati di monitoraggio. In particolare, nel
vettore $nomeCat saranno salvati i nomi delle categorie, nel vettore
$idCat i relativi id, mentre $descApparatiCat e $ipApparatiCat
conterranno, rispettivamente, l’insieme delle descrizioni e degli IP
di tutti gli apparati di ciascuna categoria. Si noti come, dalla descrizione
di questi ultimi array, ne emerga chiaramente la natura bidimensionale:
ciascun elemento, infatti, corrisponde all’insieme delle descrizioni
(o degli IP) di tutti gli apparati di una certa categoria. Al contrario
di $nomeCat e $idCat, in cui ogni elemento è un singolo valore
(il nome di una certa categoria o il suo id), $descApparatiCat
e $ipApparatiCat contengono, per ciascuna categoria, un elemento
che coincide con l’array delle descrizioni (o degli IP) di tutti gli apparati
Fig.12 La tabella Apparati, visualizzata dopo gli inserimenti della categoria in questione. In merito agli IP, inoltre, è necessaria
effettuati nella fase di popolamento del database un’ulteriore precisazione: per l’esecuzione di ping multipli nmap (come
visto nel già citato box Usare il comando NMAP) richiede tanti
“mail server”.Al termine delle operazioni saremo ricompensati dalla argomenti aggiuntivi quanti sono gli indirizzi IP da verificare; al fine
visione dei contenuti della tabella apparato, finalmente coerenti di semplificare l’invocazione di questo tool, pertanto, è opportuno
con lo schema della rete da monitorare (Fig.12). conservare in un’apposita stringa ($ipCatString) l’elenco di tutti
gli indirizzi IP degli apparati della rete, opportunamente separati
Il codice PHP gli uni dagli altri mediante il ricorso a uno spazio.
Popolato adeguatamente il database, possiamo finalmente dedicarci /* 4. inizializziamo gli array che conterranno, rispettivamente: i nomi
alla scrittura del codice PHP. Con un editor di testo (anche il semplice delle categorie ($nomeCat), gli id associati a ciascuna categoria
gedit può bastare) creiamo un file denominato monitoraggio.php, ($idCat), le righe estratte dal db e relative agli apparati appartenenti
da salvare all’interno della cartella public_html. Questo file costituirà alla categoria ($apparatiCat), il numero di apparati della categoria
la pagina principale della nostra applicazione di monitoraggio, a cui ($numApparatiCat), il vettore contenente tutti gli IP degli apparati della
spetterà il compito di presentare un vero e proprio cockpit operativo categoria ($ipApparatiCat) e la stringa contenente i medesimi IP
recante una panoramica completa dello stato della rete. La logica ($ipCatString) */
di funzionamento della pagina, peraltro già delineata nel precedente $nomeCat=array();
paragrafo, è basata sui seguenti step: $idCat=array();
1 Interrogazione del database, tesa a conoscere l’elenco delle $descApparatiCat=array();
categorie presenti nella rete e, per ognuna di esse, il numero $numApparatiCat=array();
e gli indirizzi IP dei relativi apparati; $ipApparatiCat=array();
2 Esecuzione di un ping multiplo, su tutti gli indirizzi IP degli apparati $ipCatString=””;
della rete, mediante il tool nmap (vedi il box omonimo); /* 5. per ogni categoria...*/
3 Analisi dei risultati di nmap, al fine di verificare quali indirizzi IP for($i=0; $i<$numCategorie; $i++)
risultino raggiungibili per ogni categoria definita nel db; {
4 Presentazione all’utente di una schermata di sintesi, con una tabella /* ... estraiamo una riga restituita dalla query precedente... */
che mostri graficamente lo stato di ciascuna categoria (ovvero che $unaCategoria= mysql_fetch_assoc($categorie);
mostri un allarme qualora non tutti gli apparati della categoria risultino /*... alimentiamo di conseguenza gli array $nomeCat e
raggiungibili), lasciando a una seconda pagina PHP il compito $idCat ...*/
di elencare quali siano gli apparati “in avaria”. $idCat[$i]=$unaCategoria[“id_categoria”];
Le macrocomponenti sopra descritte si traducono nel seguente codice: $nomeCat[$i]=$unaCategoria[“nome_categoria”];
1 Interrogazione del database: l’interrogazione del database comporta
l’esecuzione di una pluralità di operazioni, a partire dalla connessione al /*...otteniamo, attraverso una seconda query sul db, il
DBMS, la selezione del database di monitoraggio e l’esecuzione della numero e la lista degli ip degli apparati di ogni categoria...*/
query SQL per ottenere l’elenco delle categorie inserite nel DB: $query = “SELECT ip_apparato, descrizione_apparato
/* 1. Connessione al DBMS */ FROM apparato WHERE id_categoria=”.$idCat[$i];
$db= mysql_connect(“127.0.0.1”,”root”,”password”) or die(‘Errore: $apparati=mysql_query($query,$db) or die(‘Errore:
impossibile connettersi al server MySql!’); impossibile eseguire query sul db!’);
/* 2. Selezione del database di monitoraggio */ /*...conteggio del numero di apparati inseriti nella categoria
mysql_select_db(“monitoraggio”) or die(‘Errore: impossibile accedere corrente ... */
al database di monitoraggio!’); $numApparatiCat[$i]=mysql_num_rows($apparati);
/* 3. esecuzione della query per conoscere le categorie inserite nel db /*... se non ci sono apparati, inutile proseguire...*/
*/ if ($numApparatiCat[$i]>0)
$query=”SELECT * from categoria”; {
$categorie=mysql_query($query,$db) or die(‘Errore: impossibile /* Per ogni apparato della categoria, aggiorniamo
eseguire query sul db!’); opportunamente i vettori $descApparatiCat, $ipApparatiCat, nonché
Per ogni categoria è quindi necessario recuperare tutte le informazioni la stringa ipCatString necessaria a completare il comando nmap */
(in particolare, indirizzo IP e descrizione) relative a tutti gli apparati $descrizione=array();
di appartenenza: interrogato il database mediante un’apposita query $ip=array();
SQL, conserveremo le informazioni acquisite all’interno di appositi for($j=0;$j<$numApparatiCat[$i];$j++)
array, in grado di assicurarci l’immediata disponibilità dei dati necessari {
72
Mettere in sicurezza la LAN
/* ... estraiamo una riga restituita dalla query precedente
e salviamone i contenuti... */
$unApparato= mysql_fetch_assoc($apparati);
$ip[$j]=$unApparato[“ip_apparato”];
$descrizione[$j]=$unApparato[“descrizione_apparato”];
$ipCatString.=$ip[$j].” “;
Fig.13
}
Un esempio
$descApparatiCat[$i]=$descrizione;
dell’output
$ipApparatiCat[$i]=$ip; restituito da nmap
} quando questo
} è invocato con
2 Esecuzione del ping su tutti gli apparati di rete: grazie al lavoro svolto l’opzione “-sP”
nel punto precedente, l’esecuzione del ping si esaurisce
nell’invocazione di nmap (mediante la funzione PHP shell_exec(), /* ...carichiamo in $ip l’array contenente tutti gli apparati
che ritorna una stringa contenente l’output del comando di shell della categoria corrente...*/
eseguito) con l’opzione corretta (-sP) e al contestuale passaggio, come $ip=$ipApparatiCat[$i];
argomento, della stringa $ipCatString: $desc=$descApparatiCat[$i];
/* 6. avviamo nmap, passandogli gli indirizzi IP racconti in $ipCatString*/ /*...inizializziamo a zero il numero di apparati della categoria
$cmd=”nmap -sP “.$ipCatString; che sono irraggiungibili...*/
$nmap=shell_exec($cmd); $down=0;
3 Analisi dei risultati di nmap: invocato con l’opzione -sP seguita /*...inizializziamo, con una stringa vuota, la variabile
da un elenco di indirizzi IP, nmap restituisce un output analogo a quello contenente la stringa degli IP irraggiungibili per la categoria corrente
raffigurato in Fig.13, in cui sono riportati gli indirizzi IP dei soli host ($downString) e la relativa descrizione ($downDesc)...*/
risultati raggiungibili. Possiamo sfruttare questa peculiarità per $downString=””;
semplificare l’analisi dei ping: per ciascuna categoria, sarà controllato $downDesc=””;
l’array $ipApparatiCat, per consentire la ricerca di ogni indirizzo IP /*...per ogni indirizzo IP di ogni apparato della categoria...*/
all’interno dell’output di nmap. Tale ricerca può essere condotta for($j=0;$j<$numApparatiCat[$i];$j++)
in modo semplice ed efficace mediante il ricorso alla funzione PHP {
strpos() che, prese come argomenti due stringhe, restituisce il valore /*...l’output di nmap contiene un a capo newline, ovvero il carattere 10
false se non è presente alcuna occorrenza della seconda stringa del codice ASCII, rappresentato con la sequenza di escape ‘\n’) dopo
all’interno della prima: anche in questo caso provvederemo, per ogni indirizzo IP rilevato: viene quindi aggiunto il suddetto carattere
semplicità, a conservare in appositi vettori, per ciascuna categoria, al termine dell’IP corrente per evitare falsi positivi (es. 192.168.1.1
il numero di apparati risultati non connessi alla rete ($numInattivi) rilevato erroneamente a causa della presenza, nell’output di nmap,
e le stringhe ottenute a partire da tutti gli IP di tali apparati ($inattivi) del solo 192.168.1.112)...*/
e dalle relative descrizioni ($descInattivi). In entrambe le stringhe, $IPdaCercare=$ip[$j].”\n”;
ogni elemento (singolo indirizzo IP / singola descrizione) è distinto #echo “cerco “.$IPdaCercare.”\r\n”;
dall’altro mediante il ricorso al separatore “;” (punto e virgola): /*... viene ricercato l’IP nell’output di nmap ...*/
/* 7. analizziamo i risultati di nmap cercando, per ogni categoria, quanti if(strpos($nmap,$IPdaCercare)===false)
IP sono presenti nell’output di nmap (e pertanto raggiungibili con ping) {
e quanti invece non lo sono */ /*...se strpos restituisce false, l’IP non è presente nell’output di nmap,
$inattivi=array(); ed è quindi relativo a un apparato inattivo...*/
$numInattivi=array(); $downString.=$ip[$j].”;”;
$descInattivi=array(); $downDesc.=$desc[$j].”;”;
/* per ogni categoria...*/ $down++;
for($i=0; $i<$numCategorie; $i++) }
{ }
73
Sicurezza di rete
/*...aggiorniamo l’array degli IP inattivi e del numero di IP inattivi ...*/ rossa comunicherà all’utente che almeno uno dei dispositivi rientranti
$inattivi[$i]=$downString; nella categoria risulta non raggiungibile.
$descInattivi[$i]=$downDesc; <h1 style=”text-align : center”>Risultati del monitoraggio</h1>
$numInattivi[$i]=$down; <table border=”1” style=”margin-left: auto; margin-right: auto;
/*... stampiamo a video le informazioni ottenute ...*/ text-align : center”>
} <tr> <td>Categoria</td> <td>Tot. apparecchi</td> <td>Inattivi</td>
È interessante soffermarci, in particolare, sull’utilizzo della già citata <td>Stato</td>
funzione strpos(): in particolare, l’istruzione di selezione </tr>
if(strpos($nmap,$IPdaCercare)===false) <?php
fa uso dell’operatore di comparazione ‘===’ in luogo del più semplice /* per ogni categoria...*/
(e più utilizzato) ‘==’. PHP, infatti, non richiede al programmatore for($i=0; $i<$numCategorie; $i++)
di dichiarare in anticipo (al contrario di linguaggi come il C o il Java) {
il tipo di ciascuna variabile, e opera automaticamente la conversione echo “<tr>”;
delle variabili da un tipo all’altro, a seconda del contenuto delle stesse. echo “<td>”.$nomeCat[$i].”<td><td>”.$numApparatiCat[
Per quanto questa caratteristica possa apparire “comoda”, presenta $i].”</td>”;
allo stesso tempo alcuni “effetti collaterali” poco piacevoli, uno dei quali if($numInattivi[$i]!=0)
può essere rilevato proprio all’atto dell’utilizzo di strpos(). In caso di {
successo (ovvero se s2, la stringa passata come secondo argomento, echo “<td><a href=\”inattivi.php?cat=”.$nome
risulta effettivamente presente all’interno della stringa s1 fornita come Cat[$i].”&lista=”.$inattivi[$i].”&desc=”.$descInattivi[$i].”\”>”.$numInattivi[
primo argomento), questa funzione restituisce la posizione della prima $i].”</a></td>”;
occorrenza di s2 in s1: poiché, tuttavia, le posizioni vengono misurate echo “<td><img src=\”red.png\”/></td>”;
come offset dall’inizio della stringa (ovvero possono assumere, in una }
stringa di n caratteri, i valori compresi tra 0 e n-1), cosa succede else
se la stringa cercata costituisce un prefisso dell’altra, ovvero {
se è presente all’inizio della prima stringa? In questo caso, ovviamente, echo “<td>0</td>”;
strpos() restituirà il valore 0 che, se confrontato con il valore false echo “<td><img src=\”green.png\”/></td>”;
senza adoperare gli opportuni accorgimenti, può dare adito a errate }
valutazioni: nella conversione automatica operata da PHP, infatti, i echo “</tr>”;
due valori, pur differendo nel tipo (in quanto costituiti da un intero }
e un booleano), andrebbero a coincidere. È questo il motivo che ?>
rende necessario il ricorso all’operatore ===, il quale considera </table>
la comparazione vera solo se i due operandi coincidono sia per Oltre al semaforo rosso, in caso di anomalia di almeno un apparato
valore sia per tipo: in questa maniera non si corre il rischio di verrà creato, nella riga della relativa categoria, un link alla pagina
scambiare il valore di ritorno 0 (che, nel nostro caso, identifica una inattivi.php, alla quale sono passati (con il metodo GET, vedi il box
stringa non d’interesse, in quanto relativa a un indirizzo IP compreso PHP: GET e POST) il nome della categoria (parametro cat),
nell’output di nmap, e pertanto connesso alla rete) con false l’elenco degli indirizzi IP (parametro lista) e delle descrizioni degli
(restituito solo in presenza di un apparato risultato non collegato alla apparati non raggiungibili (parametro desc). Alla pagina inattivi.php,
rete, e pertanto da segnalare). che vedremo tra poco, spetta infatti il compito di visualizzare i
4 Presentazione della schermata di sintesi: terminati i tre step dettagli della singola categoria, mostrando all’utente quali sono i
precedenti disponiamo, negli appositi vettori, di tutte le informazioni dispositivi rei di aver generato l’allarme.
necessarie alla stampa a video dei risultati del monitoraggio condotto
tramite nmap. A tal fine, avvalendoci di un codice misto HTML/PHP, Virtualbox e test della Webapp
possiamo creare una tabella che, per ogni categoria registrata Prima di proseguire con lo sviluppo, tuttavia, possiamo concederci
nel database, mostri il numero di apparati inattivi, accompagnandolo una piccola gratificazione, verificando l’output prodotto dalla
con un segnale visivo (nello specifico un semaforo) di immediata nostra applicazione. A tal fine, aperto un terminale e acquisiti
comprensione: una luce verde indicherà che, per la categoria i privilegi di root, procediamo all’installazione di Virtualbox
in oggetto, non è stata rilevata alcuna anomalia; viceversa una luce (che configureremo successivamente) mediante il comando:
apt-get install Virtualbox*
Fig.14
Dopo aver avviato Virtualbox, selezioniamo dal menu File la voce
La schermata
Preferenze, quindi facciamo click sull’icona Rete e selezioniamo
di creazione,
in ambiente
la scheda Reti solo host. Un click sul pulsante Aggiungi rete
Virtualbox, di una solo host determinerà la creazione, sulla macchina fisica,
rete “solo host” di un’interfaccia di rete virtuale denominata vboxnet0 (Fig.14).
Facendo click su di essa, ci verrà mostrata una finestra di dialogo
composta da due tab:
Nella prima, denominata Scheda, inseriamo 192.168.2.3
come indirizzo IPv4 e 255.255.255.0 come maschera di rete;
Nella seconda, denominata Server DHCP, deselezioniamo
il flag Abilita il server, poiché in questa serie faremo ricorso
a indirizzi statici, come da schema in Fig.1.
La nostra interfaccia di rete virtuale è pronta: nel prosieguo,
utilizzeremo vboxnet0 per la connettività verso le macchine
74
Mettere in sicurezza la LAN
virtuali che rappresentano i server della rete da monitorare; ai fini
della verifica della Web application, tuttavia, è sufficiente per ora
assegnare alla scheda virtuale un indirizzo di rete. Dalla shell
dotata di privilegi di root, pertanto, digitiamo il comando:
# ifconfig vboxnet0 192.168.2.3/24
Prima di effettuare la verifica dell’applicazione, tuttavia,
è opportuno procedere a una configurazione aggiuntiva,
necessaria nella prossima fase di configurazione dell’ambiente
di test: reiteriamo quindi il processo appena visto, al fine di creare
una seconda interfaccia di rete virtuale, vboxnet1, a cui affidare
il collegamento con il NAS della rete di test. I parametri
da impostare sono i seguenti:
Tab Scheda: inseriamo 192.168.1.3 come indirizzo IPv4
e 255.255.255.0 come maschera di rete;
Tab Server DHCP: deselezioniamo il flag Abilita il server.
Assegnato l’indirizzo a vboxnet1, con il comando:
# ifconfig vboxnet1 192.168.1.3/24
possiamo avviare il browser, facendolo puntare all’indirizzo Fig.15 Ecco come appare la pagina principale della nostra Web
http://127.0.0.1/~nomeutente/monitoraggio.php application, prima della configurazione del nostro ambiente di test:
(es. http://127.0.0.1/~garrick/monitoraggio.php), i tanti semafori rossi sono dovuti proprio all’irraggiungibilità degli
e visualizzare così il risultato dei nostri sforzi di programmazione. apparati di rete
Come è lecito aspettarsi (Fig.15), un’unica categoria
(le workstation, che comprende la sola macchina ove sulla distribuzione Damn Small Linux. L’ultimo passo consiste nella
è in esecuzione l’applicazione Web) risulta pienamente operativa configurazione del disco fisso: volendo adoperare delle distribuzioni live,
(semaforo verde), mentre le altre mostrano alert concernenti possiamo scegliere l’opzione Non aggiungere un disco fisso
l’impossibilità di raggiungere i relativi apparati. virtuale. Premendo quindi il pulsante Crea per completare il processo
di creazione della macchina virtuale, riceveremo un avviso da parte
L’ambiente di test di Virtualbox in merito all’ovvia impossibilità di procedere, in assenza
Per consentire alla Web application di mostrare quattro semafori del disco fisso, all’installazione di un sistema operativo. Ignorato
verdi è necessario procedere alla configurazione di quattro il messaggio mediante la pressione del pulsante Continua, possiamo
macchine virtuali, che simulino gli apparati indicati in Fig.1 quindi dedicarci all’impostazione dell’unità di boot della macchina
con il nome di NAS, Router, ServerA e ServerB, aggiungendosi virtuale, il cui processo di creazione è finalmente terminato.
alla macchina fisica su cui stiamo lavorando (e alla quale Selezioniamo la macchina virtuale nella finestra principale di Virtualbox,
affideremo l’onere di simulare il computer denominato quindi clicchiamo il pulsante Impostazioni per poi scegliere la voce
Workstation). Al fine di semplificare e velocizzare questa fase, Archiviazione. Cliccando sull’icona del CD comparirà, nella parte
ricorreremo a quattro macchine virtuali basate su distribuzioni live, destra della finestra di dialogo, il pulsante di un CD/DVD virtuale
in modo da evitare l’onerosa operazione di installazione, la cui (Fig.16), grazie al quale è possibile impostare l’ISO di DSL come
descrizione non rientra negli scopi di questa serie. In particolare, dispositivo virtuale. Terminata questa operazione, possiamo dedicarci
faremo ricorso alle seguenti distribuzioni live: alla configurazione della scheda di rete, per la quale è necessaria una
Damn Small Linux (la cui ISO può essere scaricata all’URL doverosa premessa. La GUI di Virtualbox consente di assegnare
http://www.damnsmallinux.org/download.html), a ogni macchina virtuale fino a 4 schede di rete, ognuna delle
per la simulazione dei due server e del NAS; quali attestabile a un diverso network: esistono diverse tipologie
Xubuntu 14.04 LTS (la cui ISO può essere scaricata all’URL di network. In questa sede, in particolare, faremo ricorso alle sole
http://xubuntu.org/getxubuntu) per simulare il router. modalità Scheda solo host (per i collegamenti tra la macchina
La scelta di queste distribuzioni non è casuale: fisica e le macchine virtuali a questa direttamente connesse)
Damn Small Linux è caratterizzata dall’esiguità delle richieste e rete interna (per i collegamenti tra le schede di rete
hardware (richiede appena qualche decina di MB per partire) appartenenti a macchine virtuali distinte). In particolare,
e, pertanto, ci consente di simulare ben tre client senza appesantire
eccessivamente la macchina fisica;
Xubuntu 14.04 LTS dispone, già in modalità live, degli
strumenti necessari per agire da router per i server simulati
con Damn Small Linux.
Stabilite le distro di riferimento, possiamo procedere alla creazione
delle macchine virtuali. Iniziamo dal NAS: dalla schermata principale
di Virtualbox, facciamo click sul pulsante Nuova per avviare
il processo di creazione, quindi inseriamo, nella finestra dialogo
che comparirà, il nome della macchina virtuale (NAS), il sistema
operativo (Linux) e la relativa versione (Linux 2.4 a 32 bit). Un click
sul pulsante Avanti ci consente di passare alla schermata
di dimensionamento della RAM da assegnare alla macchina virtuale:
come premesso, è sufficiente procedere all’assegnazione di appena Fig.16 La schermata per la configurazione di un’unità CD/
64 MB per consentire l’operatività di una macchina virtuale basata DVD virtuale basata su file ISO
75
Sicurezza di rete
Fig.17
RAM: 64 MB;
Una volta creato
e configurato Disco fisso: nessuno;
l’ambiente Archiviazione: come per la macchina virtuale NAS;
di test, la pagina Rete: una scheda di rete, connessa alla rete interna
principale della di nome intnet.
nostra Web I comandi necessari per la configurazione della scheda di rete
application (da terminale dotato dei privilegi di root) sono riepilogati di seguito:
ci gratificherà con #ifconfig eth0 up
quattro semafori #ifconfig eth0 192.168.3.101 255.255.255.0
verdi!
# route add default gw 192.168.3.1
Rispetto alla macchina NAS, notiamo come sia stata necessaria
la selezione di un default gateway (nello specifico, la macchina indicata
in Fig.1 con il nome Router), al fine di consentire la comunicazione
del server con la workstation di monitoraggio. Sulla falsa riga di quanto
appena operato, è possibile procedere alla creazione della macchina
virtuale che simulerà serverB, impostando i medesimi parametri
simuleremo la topologia di rete rappresentata in Fig.1 mediante: di serverA (a eccezione, ovviamente, del nome!). Anche la
Una rete interna, per la connessione tra i server e il router; configurazione della scheda di rete è pressoché identica:
Due reti solo host, per la connessione tra la workstation (simulata #ifconfig eth0 up
dalla macchina fisica) e le macchine virtuali NAS e Router. #ifconfig eth0 192.168.3.100 255.255.255.0
Per configurare la scheda di rete della macchina virtuale DSL # route add default gw 192.168.3.1
che simula il NAS è quindi necessario: La macchina virtuale denominata “router”, basata su Xubuntu 14.04,
Accedere alle impostazioni della macchina virtuale; merita invece una trattazione separata: avviato il processo di creazione
Selezionare la sezione Rete: nella parte desta della finestra della macchina virtuale, è necessario selezionare la corretta versione
di dialogo apparirà la schermata di configurazione delle interfacce del sistema operativo (Linux Ubuntu a 32 bit oppure Linux Ubuntu
di rete, suddivisa in schede. Di default, ogni macchina virtuale dispone a 64 bit, a seconda della versione scaricata dal sito), quindi assegnare
di un’unica interfaccia abilitata, denominata Scheda 1, sebbene un’adeguata quantità di memoria (512 MB dovrebbero essere
le altre possano essere attivate mediante un click sulla relativa scheda, sufficienti) alla macchina virtuale. Per quanto concerne il networking,
seguito dalla spunta della voce Abilita scheda di rete; occorre configurare due schede di rete, necessarie, rispettivamente,
Dal menu a tendina denominato Connessa a, selezionare a garantire la connettività verso le due macchine virtuali Damn Small
la modalità Scheda solo host, e verificare che il nome comparso nella Linux e verso la macchina fisica (che simula la postazione denominata
zona sottostante coincida con vboxnet1; workstation). In particolare:
Premere il tasto OK per completare l’operazione. La prima scheda di rete deve essere connessa alla rete interna
Siamo finalmente pronti per avviare la macchina virtuale, mediante di nome intnet;
la pressione del pulsante Avvia! di Virtualbox: a startup avvenuto, La seconda scheda deve essere configurata come scheda solo
clicchiamo sulla schermata nera per consentire alla macchina host, e collegata alla rete denominata vboxnet0. Al termine del boot
virtuale di assumere il controllo di mouse e tastiera. In questa fase, della macchina virtuale, verrà presentato il desktop tipico della
possiamo tranquillamente ignorare eventuali messaggi di distribuzione; avviato un terminale, possiamo quindi provvedere a:
avvertimento visualizzati da Virtualbox: per restituire le periferiche Impostare l’indirizzo delle due schede di rete, con i comandi
alla macchina fisica, infatti, è sufficiente la pressione del tasto CTRL # sudo ifconfig eth0 192.168.3.1 255.255.255.0
destro. Prima di avviare il boot vero e proprio Damn Small Linux # sudo ifconfig eth1 192.168.2.1 255.255.255.0
presenta una schermata per la selezione delle modalità di Abilitare il routing (necessario a garantire la raggiungibilità dei server
caricamento del sistema operativo: premendo INVIO, otterremo in dalla workstation, e viceversa), mediante il comando
pochi istanti la visualizzazione del desktop spartano di questa #sudo sysctl -w net.ipv4.ip_forward=1
distribuzione. Per configurare correttamente i parametri di rete della Per completare la procedura di creazione del nostro ambiente di test
macchina virtuale è necessario avviare una console con diritti di root: non ci resta che configurare le rotte della macchina fisica,
a tal fine, dopo aver cliccato con il pulsante sinistro in qualsiasi consentendo in tal modo a quest’ultima di contattare (e monitorare)
punto del desktop, selezioniamo le voci Xshell | root access | i server della rete, sebbene attestati su una subnet differente:
transparent del menu a tendina così ottenuto. Dal terminale #route add -net 192.168.3.0/24 gw 192.168.2.1
visualizzato, abilitiamo l’unica scheda di rete assegnata alla macchina
virtuale mediante il comando: L’applicazione completa
#ifconfig eth0 up È giunto il momento di vedere all’opera, sull’intera rete di test, la nostra
seguito dall’assegnazione dell’indirizzo IP e della relativa netmask alla applicazione di monitoraggio: aggiornando la pagina disponibile
suddetta scheda di rete, attraverso il comando all’indirizzo http://127.0.0.1/~nomeutente/monitoraggio.php
#ifconfig eth0 192.168.1.100 255.255.255.0 (es. http://127.0.0.1/~garrick/monitoraggio.php) o avviando
Le restanti macchine virtuali da simulare mediante il ricorso a nuovamente il browser per visualizzarla una seconda volta, vedremo
DSL devono essere configurate in maniera analoga. In finalmente una schermata priva di semafori rossi (Fig.17).
particolare, le impostazioni da scegliere in sede di creazione della Per verificare la piena operatività della nostra Web application, tuttavia,
macchina indicata in Fig.1 con il nome di serverA sono le è opportuno effettuare almeno un test aggiuntivo: dal terminale di root
seguenti caratteristiche: sin qui utilizzato su serverB, digitiamo il comando
Nome macchina virtuale: serverA; #ifconfig eth0 down
Sistema operativo: Linux 2.4 a 32 bit; al fine di disabilitare la scheda di rete, rendendo di conseguenza
76
Mettere in sicurezza la LAN
con il nome di tokenizzazione. È proprio quanto ci consente di fare
la funzione PHP denominata explode() che, ricevuti come parametro
il carattere separatore e la stringa da tokenizzare, restituisce un array
contenente i singoli elementi (detti appunto token) della stringa:
/* scompone nei singoli elementi le stringhe contenenti gli IP e le
descrizioni dei dispositivi inattivi, passati dalla pagina di monitoraggio */
$ip=explode(‘;’, $_GET[“lista”]);
$desc=explode(‘;’, $_GET[“desc”]);
3 stampare a video la tabella dei dispositivi inattivi: poste negli array
77
Sicurezza di rete
La distro giusta
per i firewall
Per proteggere la vostra rete non potrete certo costruire un fossato che la
circondi. Molto meglio utilizzare una distro firewall. Scoprite qual è la migliore
P
er aver bisogno di un firewall, molto costose, si tratta di software piccoli dettagli. Non sono semplici
non è necessario essere basilari e scarsamente configurabili. da installare e configurare, ma una volta
amministratori di una grande Da questo punto di vista, il Pinguino presa confidenza con le funzioni
rete aziendale. Certo, ci viene in aiuto. In Rete esistono presenti, potrete davvero sentirvi
la vostra distro Linux avrà gli strumenti molte distro pensate esclusivamente al sicuro. Abbiamo selezionato cinque
adatti per proteggervi dalle intrusioni. per funzionare come firewall. Hanno distribuzioni di questo genere.
Tuttavia è bene ricordare che questo strumenti potenti, sono personalizzabili Nel nostro confronto ne analizzeremo
La nostra arsenale è ristretto alla sola custodia del e consentono di mettere mano alle le peculiarità, mettendo l’accento
selezione PC su cui state lavorando. Rimangono impostazioni di protezione fin nei più sui pro e i contro di ciascuna soluzione.
IPFire al di fuori tutti gli apparecchi che
OPNsense
pfSense
si collegano alla LAN. I router mettono
a disposizione il proprio firewall per
“In Rete ci sono decine di distro
Sophos UTM
Untangle NG
tenere alla larga chi tenta di attaccare
l’infrastruttura. Ciò nonostante, a meno
che si occupano di mettere
Firewall
di non acquistare soluzioni professionali al sicuro la vostra rete locale”
78
Un muro anti-intrusioni
La sicurezza
Sono delle buone sentinelle?
I
l kernel di IPFire è reso ancora più utilizza anch’essa un firewall stateful
potente dal set di patch grsecurity e può filtrare il traffico dalla sorgente
che contrasta gli exploit zero-day. alla destinazione IP, analizzando poi
La distribuzione, inoltre, può dividere tutto il flusso TCP e UDP. Offre varie
le reti basate sui rispettivi livelli opzioni per la gestione dei diversi Con Sophos si possono applicare blocchi di livello
di sicurezza. In più, consente parametri. Consente inoltre di limitare nazionale senza difficoltà
di generare criteri personalizzati le connessioni simultanee per ogni
per ciascuna infrastruttura. Per un regola. Questa distro utilizza l’utility categorie. Il suo ruolo consiste
controllo più elaborato, niente vieta OS fingerprinting p0f per setacciare nel bloccare i siti in base ai contenuti Verdetto
di gestire l’accesso in uscita il passaggio dati in base al sistema (nudità, armi, violenza e via dicendo).
da qualsiasi segmento. IPFire utilizza operativo. Si possono gestire i log Inoltre è in grado di eseguire una IPFire
un firewall Stateful Packet Inspection per il traffico che corrisponde scansione delle pagine Internet e dei HHHHH
OPNsense
(SPI), costruito basandosi su netfilter a ciascuna regola impostata. POP3 alla ricerca di virus. Il firewall HHHHH
che contribuisce al filtraggio e alla OPNsense è praticamente una fork di Untangle si distingue per pfSense
manipolazione dei pacchetti negli di pfSense e sfrutta le stesse la semplicità di configurazione. Grazie HHHHH
impianti NAT (Network Address caratteristiche. Sophos UTM, all’interfaccia intuitiva, regolate ogni Sophos UTM
Translation). È possibile configurare per impostazione predefinita parametro senza particolari difficoltà.
HHHHH
Untangle NG
il firewall per far fronte a qualsiasi e a differenza dei concorrenti, sbarra Controllate tutto il traffico in modo Firewall
evenienza. La wiki del progetto subito tutto il transito di informazioni. dettagliato, circoscrivendo un sistema HHHHH
contiene una guida introduttiva molto Potete gestire nel dettaglio cosa di regole complesse per non lasciare Sophos
pratica da seguire, con tanto di far passare, lasciando il resto delle niente al caso. Sfruttando menu si dimostra
indicazioni sulle regole di protezione opzioni invariate. Il server include un a discesa molto flessibili, il processo un passo avanti
agli altri.
per gli scenari più comuni. pfSense innovativo filtro Web incentrato sulle diventa alla portata di tutti.
Altre funzioni
Non solo firewall...
L
e distro di questo confronto server di infrastruttura, filtro OpenVPN e PPTP. È possibile
hanno molte altre funzioni di contenuti, proxy, server caching utilizzare il server di Sophos UTM
rispetto al solo firewall. name e molto altro ancora. come soluzione site-to-site VPN,
Alcune offrono add-on gratuiti, Quando viene utilizzato come configurandolo poi per gestire
mentre altre preferiscono farli gateway Internet, la distro le connessioni VoIP. Untangle
pagare. Nel nostro caso, è in grado di connettersi tramite non include fin da subito tutti
ci concentreremo solo sulle svariate tecnologie a banda larga: i componenti disponibili. Il primo
soluzioni a costo zero. IPFire può VDSL, ADSL, Ethernet, 3G e 4G. avvio, comunque, consente Verdetto
essere usato come gateway VPN, Tra i plug-in più interessanti di utilizzare una dozzina
per pfSense di applicazioni e servizi. Tra questi IPFire
e OPNsense ci troviamo Web Filter, Virus Blocker,
HHHHH
OPNsense
sono il Traffic Spam Blocker, il controllo per la HHHHH
Shaper , la gestione della banda, la verifica pfSense
regolazione delle applicazioni, il captive portal HHHHH
della banda e molto altro. Alcuni tra i plug-in Sophos UTM
HHHHH
e la possibilità che non si trovano nella prima Untangle NG
di gestire VPN. installazione sono l’Ad Blocker Firewall
Entrambe e il sistema per la previsione delle HHHHH
le distro intrusioni. Inoltre, a differenza Untangle
offrono tre delle altre distro, alcuni add-on perde questo
opzioni per la tra i più interessanti sono round a causa
di plug-in
connettività su disponibili soltanto per una prova interessanti ma
Alcuni componenti di Untangle hanno un periodo Virtual Private gratuita di 14 giorni. Dopo dovrete a pagamento.
di prova limitato a 14 giorni Network: IPsec, acquistarli.
79
Sicurezza di rete
Semplicità d’uso
Hanno una curva di apprendimento ripida?
S
ebbene mantenere un server sia per aiutarvi a modellare il processo è essenziale. Un ambiente di gestione
di per sé un’operazione non adatta di montaggio secondo la vostra contorto e organizzato in modo
a tutti, il processo d’installazione configurazione di rete. Usano un’interfaccia approssimativo porta solo a fare
viene semplificato dal non dover grafica Web capace di rendere la confusione. Ci siamo concentrati sulla
configurare alcuna partizione. Le distro definizione dei parametri molto intuitiva. semplicità d’uso che deve rispecchiare
firewall di questo confronto fanno di tutto Sotto questo punto di vista, avere una GUI le esatte potenzialità di ciascuna soluzione.
IPFire HHHHH
IPFire ha un processo d’installazione piuttosto semplice. Il programma
rileva il numero di schede di rete collegate al computer e vi chiede
di assegnarle a una delle quattro zone colorate. Ognuna si rivolge
a un gruppo di macchine che condivide un livello di sicurezza comune.
Successivamente dovrete scegliere un indirizzo IP per il NIC collegato
alla LAN, quindi decidere se utilizzare il DHCP. Una volta montata
la distro, potete accedere alla sua interfaccia di gestione. Basta inserire
nel browser l’indirizzo IP dato alla scheda di rete connessa. Per definire
le regole, spostatevi nella scheda Firewall. Nonostante l’ambiente
grafico sia piuttosto semplice, la distribuzione richiede una certa
esperienza per essere sfruttata al meglio. Dovrete per forza passare
qualche ora in compagnia della documentazione.
OPNsense HHHHH
Come abbiamo già accennato, questa distro è una fork di pfSense.
La procedura d’installazione è quindi la stessa. Una volta avviata,
vi troverete faccia a faccia con il prompt dei comandi. Da qui potrete
recuperare l’indirizzo della console di amministrazione funzionante nel
browser. Verrete accolti da una breve procedura guidata per impostare
la configurazione di rete. Dopo il riavvio del sistema, spostatevi nella
sezione Rules sotto Firewall. Ci sono una serie di regole che possono
essere abilitate spostando il cursore dedicato. Per ognuna è disponibile
una breve descrizione. Allo stesso modo, la configurazione degli
elementi aggiuntivi segue la filosofia della massima semplicità.
La funzione di ricerca vi aiuterà a trovare le tante opzioni presenti.
Servizi a pagamento
Cosa si ottiene aprendo il portafogli? Verdetto
T
IPFire
utte le distro prese in l’assistenza alle imprese costa di 40 corsi online che prendono in
HHHHH
considerazione offrono servizi 299 €. Ci sono altri servizi progettati considerazione svariati aspetti della OPNsense
a pagamento. IPFire fornisce per le realtà più grandi che distro. I costi variano in base agli HHHHH
un sistema di supporto esteso per le necessitano di una maggiore argomenti. Quello introduttivo costa pfSense
imprese che utilizzano il firewall per personalizzazione. Per pfSense 249 $ (226 €). Untangle si HHHHH
Sophos UTM
scopi professionali. L’azienda, inoltre, si possono acquistare pacchetti concentra maggiormente sui propri HHHHH
mette a disposizione dispositivi di supporto specifici. Questi add-on a pagamento. Se acquistate Untangle NG
hardware personalizzati che si includono assistenza tecnica e alla il pacchetto completo, dovrete Firewall
integrano alla perfezione prima configurazione. Sophos sborsare 50 $ al mese (45 €). In più, HHHHH
con l’infrastruttura di rete. UTM si rivolge alle macro aziende, niente vieta di comprare soluzioni Tutte offrono
OPNsense ha diverse opzioni mettendo a disposizione appoggio hardware già configurate con ottimi servizi
a pagamento.
di supporto commerciale. on-site tramite i propri rivenditori sul il firewall. Vanno da 399 $ (362 €) Basta scegliere.
L’abbonamento annuale per territorio. Sophos, inoltre, offre più a 7.600 $ (6.900 €).
80
Un muro anti-intrusioni
pfSense HHHHH
Le distro basate su FreeBSD come pfSense e OPNsense usano
gli stessi installer. Si tratta di procedure piuttosto automatizzate
che non richiedono una conoscenza troppo marcata del comparto.
pfSense, tuttavia, ha più opzioni avanzate, tra cui la possibilità
di installare un kernel personalizzato. La GUI di controllo permette
di configurare l’interfaccia di rete installata nella macchina.
Una volta fatto, accedendo alla console del browser, sarete in grado
di seguire una procedura guidata che definisce i principali aspetti
del firewall. L’ambiente, purtroppo, non è dei più intuitivi. Impostare
una semplice regola può richiedere diverse decine di minuti.
Per fortuna il progetto dispone di un’ottima documentazione.
Supporto e documentazione
Avete bisogno di aiuto? Verdetto
T
utte le distro del nostro canale IRC. La documentazione la maggior parte dei quali si IPFire
confronto offrono una buona copre qualsiasi aspetto della distingue per chiarezza e semplicità.
HHHHH
OPNsense
dose di documentazione. distribuzione. In più sono disponibili Il progetto di sviluppo è molto attivo HHHHH
Trovate guide, wiki, forum e molto dozzine di HOWTO con i dettagli anche sui social. Su Reddit, per pfSense
altro ancora. Al supporto ufficiale per le configurazioni più utilizzate. esempio, trovate sempre un aiuto HHHHH
si affiancano poi numerosi tutorial La migliore fonte d’aiuto per pfSense in presa diretta. Il sito Web di Sophos Sophos UTM
HHHHH
di appassionati. Il progetto IPFire è senza dubbio il manuale ufficiale. ospita i PDF che compongono sia Untangle NG
ha una wiki molto dettagliata. Peccato che venga fornito solo dopo la guida rapida, sia il tomo di 600 Firewall
I forum in inglese e tedesco sono aver sottoscritto un abbonamento pagine dedicato agli amministratori HHHHH
altrettanto nutriti. C’è poi un canale Gold. Per chi non vuole spendere, di sistema. Non mancano numerosi Cinque stelle
IRC dedicato che si aggiunge trovate wiki, forum, mailing list articoli che trattano dei diversi a tutti. Il supporto
ad alcune mailing list. OPNsense e canale IRC. Nella wiki è presente aspetti della distro. Untangle mette è davvero al top
per ogni progetto.
dispone di un forum, una wiki e un una vasta collezione di HOWTO, a disposizione forum, FAW e wiki.
81
Sicurezza di rete
Manutenzione ed estensioni
Aggiornamenti e componenti aggiuntivi
U
n server firewall, proprio come e aggiornare i componenti. Questi pacchetti sia piuttosto flessibile, non
qualsiasi altro sistema simile, sono raggruppati per categorie che gode della stessa quantità di risorse
ha bisogno di manutenzione fanno riferimento ai vari comparti: di quello presente in pfSense.
costante. IPFire utilizza Pakfire, sicurezza, servizi, utility e via dicendo. In Sophos UTM non c’è alcuna
un ottimo programma per la gestione Al loro interno trovate svariate opzione per la gestione dei
dei pacchetti che rende semplice applicazioni tra cui Asterisk, componenti. Viene tutto incluso nella
e veloce l’aggiornamento della distro. Dansguardian, FreeRadius2, Snort, prima installazione. Trovate utility
pfSense include un componente che Squid e altre. La distro è configurata come Up2Date che sovrintende
può essere utilizzato per installare per installare automaticamente all’installazione degli aggiornamenti
nuove versioni per il firmware del firewall, nonché
del firmware per il recupero dei modelli più recenti Verdetto
e include una di antivirus e IPS. Con Untangle
IPFire
serie di strumenti è necessario utilizzare the2interface HHHHH
diagnostici che per recuperare qualsiasi elemento OPNsense
consentono di accessorio. In questo contesto, HHHHH
risolvere eventuali l’applicazione Reports si dimostra pfSense
problemi molto utile: prepara rapporti
HHHHH
Sophos UTM
di funzionamento dettagliati e visivamente accattivanti HHHHH
e installazione. su tutto ciò che il server sta facendo. Untangle NG
OPENsense, Niente vi vieta di aggiornare Firewall
da questo punto e installare nuove funzioni. Potete HHHHH
di vista, non è alla configurare il firewall per procedere In questo
round tutte
pari del proprio con gli update in modo automatico.
le distro si
OPNSense visualizza i vari server firewall e permette genitore. Infatti, Basta accedere all’interfaccia Web somigliano.
di salvare la configurazione di ciascun componente seppure il gestore e agire sulla voce dedicata.
Interfaccia di gestione
L’ambiente è intuitivo?
I
PFire è basato su Linux From che sovrintende all’omonima
Scratch che ha preso in prestito opzione e consente
l’interfaccia di IPCop. L’ambiente di configurare nel dettaglio
ha un layout semplice e intuitivo, con i vari aspetti relativi all’uso
diverse voci raggruppate nella parte di una Virtual Private Network.
superiore. Nella scheda Sistema Sophos UTM sfrutta
trovate le opzioni che influenzano un’interfaccia di tipo
l’installazione. Qui è presente il menu dashboard. Tra le altre
per abilitare l’accesso SSH e creare informazioni, visualizza un Verdetto
una ISO di backup con o senza i file report delle minacce che il
IPFire
di log. La scheda Stato fornisce una firewall ha bloccato nell’arco
HHHHH
panoramica sui vari componenti, delle ultime 24 ore. È inoltre OPNsense
mentre Servizi consente di abilitare possibile utilizzare la casella HHHHH
e configurare i singoli applicativi. di ricerca per restringere pfSense
La console di pfSense è più l’elenco degli strumenti. HHHHH
Untangle è l’unica distro che permette
Sophos UTM
dettagliata rispetto a IPFire, tuttavia, OPNsense ha una GUI più di eseguire l’installazione supportata HHHHH
ha più o meno lo stesso layout. raffinata rispetto a pfSense. da un’interfaccia grafica in piena regola Untangle NG
I menu a discesa della funzione Per alcuni aspetti, così come Firewall
Firewall definiscono le regole IPFire, anche questa distro richiama superiore dell’interfaccia. Untangle HHHHH
di filtraggio. Le impostazioni per gli apertamente a IPCop. Il layout sfrutta un ambiente grafico moderno Tutte le
altri servizi, come la gestione della è ordinato in modo logico. Le funzioni e ben sviluppato. Ogni applicazione distribuzioni
hanno interfacce
banda o il captive portal, sono stati del firewall sono sistemate in una ha un proprio set di impostazioni ben organizzate.
inseriti sotto Services. VPN è il menu serie di schede disposte nella parte che può essere gestito singolarmente.
82
Un muro anti-intrusioni
Distro firewall
Il verdetto
U
sare una distro server anziché è disponibile in versione di prova per
un’altra si riduce molto spesso soli 14 giorni. Anche gli altri componenti
a una questione di preferenze a pagamento non sono unici.
personali. Nonostante i risultati Le soluzioni a costo zero ne ricalcano
delle prove, la raccomandazione le potenzialità. pfSense è una
che facciamo è di non sentirvi troppo piattaforma perfetta per gli smanettoni. Sophos UTM Home Edition è più che sufficiente
influenzati dai nostri giudizi. Le sue opzioni possono essere estese per soddisfare le configurazioni SOHO
Tutte le piattaforme funzionano con molteplici strumenti. Tuttavia,
egregiamente e sono adatte a tenere a meno di non essere abituati alle distro e veloce. La GUI contribuisce a rendere
fuori dalla porta potenziali attacchi. basate su FreeBSD, rischiate di rimanere facile anche la configurazione dei diversi
Ciò che può fare la differenza rispetto frastornati dalla miriade di voci. componenti. Il primo posto, tuttavia,
a un utilizzo, può non essere importante OPNsense punta invece su un approccio lo assegniamo a Sophos UTM che
per un altro. Nello scegliere, quindi, più adatto ai neofiti. L’interfaccia può essere utilizzato gratuitamente
sentitevi liberi di seguire le vostre è gradevole e i componenti principali per gestire una rete con massimo 50
esigenze. L’unica distro che non sono stati riscritti. IPFire ha un indirizzi IP. Gli strumenti sono tanti
ci sentiamo di suggerire è Untangle. impressionante elenco di caratteristiche. e molti in uso nella versione Enterprise.
Il giudizio non è dovuto a una Segnaliamo il suo
presupposta inferiorità tecnica, quanto
più alla possibilità di utilizzare le stesse
sistema di gestione
pacchetti Pakfire
“Sophos ha un elenco eccezionale
funzioni con alternative del tutto
gratuite. La maggior parte delle
che aiuta ad
aggiornare la distro
di funzioni, molte delle quali sono
applicazioni presenti in Untangle in modo semplice presenti anche nella versione Pro”
1° Sophos UTM HHHHH 4° pfSense HHHHH
Web: www.sophos.com Licenze: Varie Versione: 9.4 Web: www.pfsense.org Licenza: ESF Versione: 2.3.2
Sfrutta un ambiente grafico ben fatto e una vasta raccolta di funzioni. Tante funzioni ordinate in una GUI troppo arcaica.
Considerate anche...
Due tra le distro firewall più popolari che Tra le altre soluzioni da consigliare, ARM o un Raspberry Pi, montandovi
non abbiamo incluso in questo confronto citiamo Endian Firewall e Zeroshell poi iptables. Per aiutarvi nella gestione
sono SmoothWall Express e IPCop. router firewall. Da non dimenticare delle regole, fatevi dare una mano
Entrambe hanno avuto un rilascio stabile ClearOS e Zentyal che, pur essendo da un’interfaccia grafica intuitiva
parecchio tempo fa. Tuttavia IPCop viene server gateway, vengono utilizzati anche come quella messa a disposizione
ancora sviluppato in modo attivo. Stando come firewall. Se siete amanti del fai da da Shorewall. In alternativa, per
alle indicazioni del suo team, a breve te, potete realizzare il vostro firewall con la configurazione di iptables, valutate
dovrebbe uscire una nuova versione. pochi sforzi. Sfruttate una piattaforma l’uso di UFW con la GUI di Gufw.
83
Sicurezza di rete
Configurare
un VPS sicuro
I
server virtuali sono economici. In effetti, L’esempio più diffuso è OpenVZ (Open gira in un OS convenzionale. I puristi, tuttavia,
se non avete troppe richieste, potete Virtuozzo), un kernel Linux modificato ribattono che non è una vera virtualizzazione,
ottenerne uno gratuitamente da Amazon condiviso tra tutti gli OS guest (OpenVZ ma una containerizzazione, essendo più vicina
e avere il vostro server virtuale alla supervisione di ambienti
è un ottimo modo per capire
le responsabilità, i trabocchetti
“La parola ‘Ipervisore’ deriva dal in chroot che a OS effettivi.
Incidentalmente l’etimologia
e i vantaggi associati all’amministrazione
remota della vostra box in rete, senza
fatto che i sistemi operativi una dietro la parola ipervisore
è in relazione al fatto che
preoccuparvi di hardware fallace volta erano definiti ‘supervisori’” i sistemi operativi una volta
e fatture esorbitanti. Eccetto il livello erano definiti ‘supervisori’:
gratuito di Amazon, le macchine virtuali (VM) supporta solo guest Linux, ma perché dovreste un ipervisore è dunque un supervisore
più economiche girano su una cosa conosciuta volere altro?). OpenVZ è quasi un esempio di supervisori. Se avete bisogno di un livello più
come tecnologia di virtualizzazione a livello OS. di ipervisore in host (tipo 2) dal momento che elevato di isolazione, dovreste dirigere le vostre
84
Server virtuali protetti
attenzioni verso un ipervisore di tipo 1, come VMWare o Xen.
Questo modello permette agli OS guest di usare i propri kernel
così da usare il sistema preferito. L’ipervisore stesso è minimale
e gestisce tutto il dialogo con l’hardware a basso livello. Per
essere di una qualunque utilità agli OS guest, sopra all’ipervisore
deve girare un control domain (dom0), ovvero una VM
privilegiata ove gira un kernel abilitato a Xen che gestisce tutti
i guest non privilegiati e offre loro un’interfaccia per l’hardware.
Il kernel Linux supporta Xen, ma potete anche usare NetBSD
o OpenSolaris come stack di controllo. Si dovrebbe anche
menzionare KVM, che fa un eccellente lavoro nel confondere
i limiti tra Tipo 1 e Tipo 2. Una volta caricato il modulo KVM, l’OS
host diventa un ipervisore utilizzabile da un virtualizzatore (come
Qemu) per lanciare un qualsiasi OS compatibile con
l’architettura della CPU. Qemu può virtualizzare x86, PowerPC
e S/390, sebbene emulare architetture diverse abbia un impatto
nelle performance. I guest ricadono in due categorie.
Paravirtualizzazione (PV): richiede un kernel abilitato a PV
così che il guest sappia che sta girando su hardware virtuale.
Virtualizzazione assistita dall’hardware (HVM):
controparte completa della paravirtualizzazione, richiede una
CPU con estensioni per la virtualizzazione che mitighino il costo
in performance associato all’emulazione di BIOS e altro
hardware. Per complicare ulteriormente le cose, i guest Elliptic Curve Crypto è così avanzato che potete generare anche chiavi più corte
completamente virtualizzati possono essere parzialmente (256, 384 e 521 bit al posto di 1024, 2048, 3072 o 4096 per RSA)
paravirtualizzati attraverso driver PV-on-HVM, per accelerare
l’I/O e introdurre delle aree grigie. Qualunque sia il percorso
scelto, dopo un pagamento con carta di credito rapido e indolore Mettere in sicurezza
vi sarà fornito un hostname/indirizzo IP e una password. la shell sicura
Ora potrete entrare con ssh nella vostra nuova appliance Anche se avete una buona memoria e una password sicura,
con accesso completo di root: è buona regola fare un passo in più e creare una coppia
$ ssh root@nomemacchina di chiavi per autenticarvi con ssh, disabilitando al contempo
Ci sono un paio di cose delle quali dovreste subito occuparvi, le password. La chiave pubblica è memorizzata sul server
esattamente come fate appena installato un OS su una e dovreste tenere quella privata in luogo sicuro, senza farne
macchina fisica. Alcune di queste potrebbero essere già state alcuna copia. Se la perdete, la maggior parte dei VPS
fatte, a seconda della cura messa nel prepararvi l’immagine vi permetterà di entrare con una console seriale e sistemare
che state usando. Controllate /etc/hostname, /etc/locale. le cose. Potete generare una coppia di chiavi sulla macchina
gen, /etc/hosts e impostate le timezone. Talvolta la cosa locale con il comando
migliore è impostarla a UTC in modo che benefici della natura $ ssh-keygen
virtuale del sistema: Vi verrà chiesto un nome di file per la chiave privata, e quindi
$ ln -sf /usr/share/zoneinfo/UTC /etc/localtime una passphrase. Se pensate di avere molte chiavi diverse
Ora dovreste creare un utente normale, dal dato che essere per diversi server potrebbe essere una buona idea cambiare
sempre root non è una buona idea: il nome del file proposto per includere l’hostname relativo;
$ useradd -m -G wheel nomeutente in caso contrario, ~/.ssh/id_rsa va benissimo. La chiave
Sostituite nomeutente con il vostro nick preferito. Con questo pubblica verrà generata nello stesso punto con suffisso .pub.
comando vi siete aggiunti al gruppo wheel, il che vi permette Notate l’immagine casuale associata alla chiave: potrebbe
di usare su per diventare root. Se volete usare sudo, la parte tornarvi utile nel confrontare chiavi diverse. Per default ssh-
-G wheel non è necessaria, dovrete però usare visudo. keygen produce chiavi RSA a 2048 bit, dovrebbero essere
Avvertimento
Server VPS economici non sono una buona idea di un setup OpenVZ può compromettere qualsiasi il vecchio adagio: se qualcosa è troppo bello
per operazioni mission-critical o per memorizzare macchina virtuale vi giri sopra, oppure potrebbe per essere vero, probabilmente non lo è.
dati sensibili. In questa guida avete visto cosa potete esserci una vulnerabilità nel pannello di controllo Non aspettatevi altresì troppo aiuto: dovrete
fare per irrobustire le installazioni, ma non del vostro provider o in una qualsiasi altra effettuare da soli reinstallazioni e reboot da cPanel
vi renderà inattaccabili. Il primo avviso è di non infrastruttura. Siate anche consapevoli che o da SolusVM. Anche se la maggior parte dei
lanciare servizi di cui non avete bisogno in questo settore ci sono molti speculatori, alcuni provider ha un sistema di ticketing per il supporto
e aggiornare tutto regolarmente. C’è sempre una sovraccaricano le appliance in diversi livelli tecnico, vi aiuterà perlopiù lato hardware e OS.
possibilità di violazione. Ci sono punti deboli di rivenditori. Alcuni hanno siti accattivanti ma poca Non aspettatevi che vi spieghino perché il vostro
al di fuori della VM stessa: un exploit a livello kernel competenza. Leggete le recensioni e ricordate script PHP è lento o come configurare Apache.
85
Sicurezza di rete
Se tutto va secondo i piani, dovrebbe venirvi richiesta
la passphrase della chiave privata e quindi consentito il login.
Fatto questo potete modificare sshd_config del server
disabilitando l’autenticazione via password, il protocollo v1
e il login tranne quello di nomeutente; opzionalmente potete
cambiare la porta da quella di default (22):
Port 2022
Protocol 2
PasswordAuthentication no
AllowUsers nomeutente
È il momento del restart del server SSH. Se usate gli script
Sysvinit è solo questione di diventare root e lanciare
il comando:
$ /etc/init.d/sshd restart
oppure per Systemd
$ systemctl restart sshd
Ora solo le persone in possesso del vostro file di chiave
Ecco AWStats. Grafici. Immediatezza. Wow! possono entrare. Il server gira altresì su una porta diversa,
che può scoraggiare alcuni attaccanti della prim’ora,
sufficienti anche per i più paranoici. Esistono diverse opzioni, ma implica anche che dovete indirizzare adeguatamente
tuttavia, e potete generare anche una coppia a 521 bit il vostro client:
Elliptic Curve con $ ssh nomeutente@nomemacchina:2022
$ ssh-keygen -t ecdsa -b 521 Potete usare ssh-agent per mantenere la chiave sbloccata
Potete quindi copiare la chiave sul server: per la durata della sessione locale, molto comodo seppure
ssh-copy-id nomeutente@nomemacchina
Sostituite ovviamente l’utente e la macchina
con l’utente creato in precedenza e l’indirizzo
“Vale la pena considerare
del vostro VPS. Il comando aggiungerà la chiave il tunneling di tutti i servizi
pubblica al file ~/.ssh/authorized_keys sul server
remoto. Se dovete copiare manualmente la chiave lanciati esplicitamente per voi
privata, ricordatevi che i permessi devono essere
600, altrimenti ssh non la considererà. Ora potete
su una connessione SSH”
provare la vostra nuova chiave: se avete
mantenuto il nome del file di default non vi serve alcuna sintassi al costo di un po’ di privacy. Lanciate
speciale, altrimenti dovrete usare l’opzione -i (identity file): $ ssh-add ~/.ssh/private_key
$ ssh -i ~/.ssh/private_key nomeutente@nomemacchina Se è in esecuzione una qualche forma di Desktop
Environment (oppure se avete comunque in azione Gnome
Keyring o simili) potete anche sbloccare automaticamente e
Lockdown completo caricare le vostre chiavi in memoria al login. Ancora: comodo
ma insicuro. Vale la pena considerare il tunneling di tutti i
Filtrare i pacchetti in uscita è realmente solo per paranoici, ma se lo volete qui servizi lanciati esplicitamente per voi su una connessione SSH.
c’è un piccolo riassunto del traffico che probabilmente vorrete permettere prima Per esempio, se state facendo girare un server VNC, invece
della cara vecchia regola REJECT. di esporlo al mondo, configuratelo per ascoltare solamente
Traffico sull’indirizzo locale di loopback. La porta standard per VNC
Analogo alle regole in entrata, usate -o lo -j ACCEPT
loopback è la 5900, quindi quando usate ssh potete farne il forwarding
alla 5901 con:
DNS TCP e UDP sulla porta 53
$ ssh -L 5901:localhost:5900 nomeutente@
NTP UDP porta 123 nomemacchina:2022
La parte dopo i primi due punti è relativa alla macchina
HTTP(S) TCP sulle porte 80 e 443
remota: state facendo il forwarding della 5900 remota alla
TCP sulla porta 21 (l’FTP attivo inizierà una connessione in entrata dalla 5901 locale. Ammesso che l’alias localhost sia corretto nel file
FTP porta 20 del server, ma dovrebbe occuparsene la regola estabilished/ hosts del server, potete ora connettere il client VNC alla porta
related della chain INPUT) 5901 della macchina locale (o display :1 in gergo VNC).
git TCP porta 9418 Se tutto va bene, dovreste avere una sessione VNC
funzionante e la calda sensazione di benessere nel sentire
ping CMP usate --icmp-type 8 (echo) come nelle regole in entrata i vostri click passare su un canale crittato.
Se volete veramente raggiungere lo stereotipo del sysadmin con la mania del controllo,
è possibile registrare tutti i pacchetti che iptables rifiuta, ma potrebbe portarvi in men che Giocare con il fuoco
non si dica a file di log enormi e dischi pieni, il che potrebbe rappresentare un problema Impostare un firewall basato su iptables è la vostra prossima
più di qualcuno che scansioni la vostra macchina alla ricerca di share SMB inesistenti. sfida. Il programma iptables filtra i pacchetti in base a regole
inserite in una tabella chiamata filters e raggruppate in tre
86
Server virtuali protetti
chain: INPUT per i pacchetti in entrata, OUTPUT per quelli
in uscita e FORWARD per il routing avanzato, che non
dovrebbe preoccuparvi ora (così come le altre tabelle, mangle
e nat). Ogni chain ha una policy predefinita, che è solitamente
accettare tutti i pacchetti. Oltre ad accettarli avete il target
REJECT per rifiutare la connessione esplicitamente e DROP
per ignorare in silenzio i pacchetti. Quest’ultimo è ottimo
per evitare l’individuazione, ma pessimo per diagnosticare
problemi. Potete vedere le regole correnti di iptables con
il seguente comando da root:
$ iptables -L
Cominciate con un foglio bianco eliminando tutte le regole
in essere e tutte le chain extra:
$ iptables -F
$ iptables -X
Sebbene chiudere tutto sia una gran tentazione (e peraltro
un firewall troppo permissivo non è una buona idea), vi farà
gioco permettere il passaggio di pacchetti per la connessione
e per il filtraggio. Dopotutto sarebbe molto imbarazzante
chiudervi fuori dalla vostra stessa macchina.
Le vostre prime regole gestiscono il traffico sull’interfaccia
locale. Molti programmi parlano tra di loro in questo modo,
ma non dovete permettere che il traffico dal mondo esterno Con il logging abilitato potete vedere tutto il rumore di fondo che
arrivi su l/O. La terza regola ammette tutte le connessioni già generalmente viene semplicemente ignorato
stabilite e tutte quelle successive: questo dovrebbe
risparmiarvi qualche colpo al cuore, dal momento che
vorrete far passare i pacchetti dai servizi ai quali vi state gli altri pacchetti in entrata:
connettendo. $ iptables -A INPUT -j REJECT
$ iptables -A INPUT -i lo -j ACCEPT Le regole per ogni chain vengono processate in sequenza,
$ iptables -A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT quindi tutti i pacchetti che non corrispondono alle regole
$ iptables -A INPUT -m state --state ESTABILISHED, precedenti vengono rifiutati. Salvate le regole di iptables
RELATED -j ACCEPT e assicuratevi che vengano ripristinate al reboot: come farlo
L’opzione -A indica di aggiungere la regola alla chain di input esattamente dipende dal sistema di init della vostra
in modo che venga processata dopo le altre già presenti.
Potete anche usare -I INPUT 1 per inserire la regola in cima
alla chain. È carino anche abilitare il server ad accettare “DROP è ottimo per evitare
e rispondere alle richieste di ping con:
$ iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j l’individuazione ma pessimo
ACCEPT
E se state facendo girare un server Web vorrete permettere
per diagnosticare problemi”
il traffico http e https:
$ iptables -A INPUT -p tcp --dport 80 -j ACCEPT distribuzione. Per alcune il comando iptables-save stampa
$ iptables -A INPUT -p tcp --dport 443 -j ACCEP le regole attuali in stdout, e con Systemd iptables.service
Ora dovrebbe essere effettivamente sicuro rifiutare tutti carica le regole da /etc/iptables/iptables.rules, quindi
il seguente comando farà allo scopo:
$ iptables-save > /etc/iptables/iptables.rules
$ systemd enable iptables
In Debian il metodo standard è salvare le regole come sopra
e creare il file /etc/network/if-pre-up.d/iptables con
#! /bin/sh
/sbin/iptables-restore < /etc/iptables/iptables.rules
Con questo si conclude la lezione di oggi. Si spera che
le chance di essere vittima di attacchi siano diminuite:
il provider del vostro VPS approverebbe. Ora, perché
non metter su un sempliceNginx o un Lighttpd?
E configurarli poi per offrire statistiche sull’utilizzo con
l’ottimo AWStats? O forse impostare un blog con Ghost.
Avere la vostra cartella Dropbox sul server è utile, a volte,
ma d’altra parte potrebbe essere rischioso: qualunque cosa
Se non volete impazzire, non cercate di capire la struttura facciate, tenete presente la sicurezza e, doveste venir bucati,
di pricing per le istanze EC2 di Amazon prendete e ricominciate da capo.
87
Sicurezza di rete
Garantire
la sicurezza
Ecco in che modo Apache può essere utilizzato per ospitare pagine
Web davvero sicure con qualche semplice accorgimento...
I
l venerando server HTTP Apache è considerato il nonno ne parleremo tra poco), per questo il primo compito per un
dei Web server, anche se ha soltanto 20 anni. Di recente Web server è quello di capire a quale host virtuale si riferisce
abbiamo esaltato le virtù dei Web server più recenti e vivaci la parte del dominio dell’URL; a quel punto il server studia il
(in particolare Nginx, ma anche LiteSpeed e Lighttpd), resto della richiesta HTTP in modo che venga associata alle
Apache però sin dal lontano 1996 è il Web server più usato corrette risorse locali. Le risorse locali possono essere file
al mondo. Certo, se state eseguendo un semplice sito Web statici, per esempio HTML o immagini, ma possono anche
probabilmente Nginx può distribuire le vostre pagine essere risposte dinamiche generate dal server, come per
impiegando qualche nanosecondo in meno, ma a meno che esempio degli script Perl o PHP. Nel caso più semplice la
il vostro non sia un sito estremamente famoso non noterete parte dell’URL che segue la prima / corrisponde a una
alcuna differenza. Confrontato con Nginx, Apache può posizione nel filesystem del server all’interno della directory
sembrare un po’ macchinoso o addirittura spaventoso per via associata all’host virtuale corrispondente, per esempio
dei suoi file di configurazione e della miriade di moduli. esempio.it/index.html può diventare /var/www/html/
In questo tutorial, cercheremo di semplificare le cose: una volta esempio/index.html; tuttavia non è obbligatorio che il
coperte le basi, ci concentreremo su alcuni aspetti legati alla server Web segua questa regola, è possibile definire delle
sicurezza e alla privacy. Questi argomenti potranno non essere regole di riscrittura in modo che la posizione fisica non abbia
eccitanti come creare una bella applicazione Web in HTML5, nulla a che vedere con il percorso scritto nell’URL. Per i
ma probabilmente sono più utili. Una volta che tutto è installato programmi CGI la situazione è più complicata, ma il principio
e sembra funzionare, fermiamoci per dare uno sguardo molto è simile, i dati ricevuti dalla richiesta HTTP vengono in
semplificato a cosa Apache, e qualsiasi altro Web server, qualche modo inviati a uno script o a un programma che
fa realmente; essendo un server, è in ascolto per le richieste, costruisce l’HTML appropriato, quest’ultimo viene poi
ed essendo un server Web, le richieste a cui presta attenzione reinviato al server Web che a sua volta lo manda al client.
sono HTTP o HTTPS; queste richieste possono essere
associate all’indirizzo IP del server oppure a un nome di Aumentare la sicurezza
dominio che risolve l’indirizzo. Un singolo server può Esaminando il file di configurazione (riccamente commentato),
tranquillamente servire diversi domini (chiamati host virtuali, potreste notare due cose in particolare: le direttive User
e Group. Quando il demone Apache viene avviato parte come
root, ma una volta letti i file di configurazione vengono invocati
dei sottoprocessi che utilizzano le credenziali specificate
da User e Group; è con questi sottoprocessi che i client
interagiscono, quindi se qualcosa dovesse andare storto
88
Server Web
Installazione e test
Giusto per confondere un po’, le diverse distro httpd.conf che è rispettato da Arch e Fedora, configurazione iniziale cambia, di solito dopo
hanno scelto nomi diversi per i pacchetti Apache. le distribuzioni Debian-based invece hanno scelto l’installazione è pronta all’uso. Una volta avviato
Arch Linux sembra avere poca immaginazione /etc/apache2/apache2.conf e OpenSUSE il servizio con
e ha scelto apache, OpenSUSE e le distribuzioni opta per /etc/apache2/httpd.conf. Se non $ sudo service apache2 start
derivate da Debian hanno preferito apache2 diversamente indicato nel tutorial ci riferiremo potete navigare all’indirizzo http://localhost
la stirpe di Red Hat invece ha optato per un più sempre a un’installazione Mint/Ubuntu. Potete e, se tutto va come dovrebbe, vedrete una
tradizionale httpd. Una volta che avete delegato trovare un riassunto dei vari layout di Apache rassicurante pagina iniziale. Altre distribuzioni
il compito al vostro gestore di pacchetti, nelle varie distribuzioni all’indirizzo https://wiki. potrebbero mostrare una directory vuota, che
vale la pena di dare un’occhiata al file di apache.org/httpd/DistrosDefaultLayout. comunque dovrebbe rassicurarvi. Potete inserire
configurazione principale (per spaventarvi un po’, La struttura (anche se ne la posizione ne il il vostro file index.html personale nella directory
ma contiene anche molte informazioni utili). contenuto) dei file di configurazione di Apache /var/www/html/ o /srv/http in Arch Linux
Tradizionalmente si trova in /etc/httpd/conf/ è simile tra le varie distribuzioni, e anche se la se volete mostrare qualcosa di diverso.
volete che Apache acceda devono essere accessibili da www- $ sudo a2dismod status
data. Allo stesso modo, qualunque directory che ospiti dei
contenuti ai quali volete accedere deve essere sia leggibile sia
È necessario riavviare il demone Apache perché le modifiche
abbiano effetto. Se invece decidiamo di voler indietro le nostre
Tip
eseguibile da questo utente. Quando si esegue un’applicazione informazioni di stato, ci basterà eseguire:
Se masticate un
Web alcuni file devono poter essere scritti dall’utente www- $ sudo a2enmod status po’ l’inglese potete
data, ma è sempre meglio essere il più conservativi possibile I comandi a2ensite e a2dissite fanno la stessa cosa ma leggere la pagina
con i permessi. Di solito si inizia impostando root come sugli host virtuali; a2enconf e a2disconf invece si sull’HTTPS di
proprietario di tutto ciò che si trova nella directory /var/www occupano delle opzioni di configurazione. Oltre a Robert Heaton
all’indirizzo
impostando i permessi a 755 per tutte le sottodirectory e 644 disabilitare mod_statusn possiamo aggiungere due righe
https://bitly.com/
per i file al loro interno. Se un programma o uno script fallisce a al file /etc/apache2/apache2.conf al fine di non rivelare HTTPSGuide.
causa della necessità di accesso in scrittura a qualche file, si la versione del nostro Apache all’interno di una pagina di
assegnano i permessi necessari a quel particolare file. Una errore o in una richiesta HTTP:
cosa che bisognerebbe sempre evitare è quella di rendere tutti ServerTokens Prod
i file che vengono letti da root durante il setup iniziale (per ServerSignature Off
esempio quello che si trova nella directory /etc/apache2) Di default, se andiamo in una directory che non contiene il file
leggibili da www-data. Ora, con il demone Apache in index.html, o un qualunque altro file specificato dalla direttiva
esecuzione puntate il vostro browser all’indirizzo http:// DirectoryIndex, otterremo un elenco di ciò che contiene la
localhost/server-status. Potrebbe comparirvi una pagina directory sia dei suoi file che delle eventuali sottodirectory.
di errore che vi comunica che la pagina non è stata trovata, Dal punto di vista della sicurezza non è il massimo, vediamo
oppure (se state usando Ubuntu o Mint) potreste vedere come disabilitarlo utilizzando l’opzione Indexes della cartella
un’insieme di informazioni sul vostro server Web e potreste /var/www/. Apriamo quindi il file apache2.conf e nella sezione
chiedervi com’è finita lì questa pagina visto che nella directory appropriata trasformiamo la riga dell’Indexes come segue:
del vostro sito Web (wwwroot) non avete nessun file server- <Directory /var/www/>
status. La risposta è che l’ha creata il modulo mod_status. Options -Indexes
Questa pagina di informazioni è molto utile se si deve
diagnosticare qualche problema di Apache e può sembrare
innocua ma può rivelarsi molto utile anche per i cyber criminali
(termine ormai preferito al più classico hacker). Se non stiamo
utilizzando una distribuzione derivata da Debian, disabilitare
il mod_status si traduce nel rimuovere/commentare la riga
LoadModule status_module modules/mod_status.so
dal file principale di configurazione. Invece, la famiglia Debian
ha introdotto alcuni simpatici script per abilitare e disabilitare
i moduli. All’interno della directory /etc/apache2 possiamo
vedere, tra le altre cose, due directory chiamate mods-
enabled/ e mods-available/. La prima contiene dei link
simbolici che puntano ai contenuti della seconda, tutti i Secondo un
moduli attivi sono linkati qui. Ora ci occuperemo di due link: sondaggio di
status.load e status.conf, il primo contiene la riga vista w3techs.com,
Apache è di gran
sopra (o comunque una riga molto simile), il secondo
lunga il più usato.
contiene la configurazione del modulo. Le cartelle mods-* ci
Nginx lo supera
permettono di mantenere pulito il file di configurazione nei siti a più alto
principale. Questa è un’ottima cosa, quasi quanto la bella traffico, ma molta
suite di script che i ragazzi di Debian offrono per gestire i link gente lo utilizza
simbolici. Per esempio, possiamo disabilitare il modulo mod- come reverse
status semplicemente con: proxy per Apache
89
Sicurezza di rete
Realtà virtuale Per il primo modo bisogna utilizzare i file .htaccess,
Tip Anche se volete eseguire soltanto un sito Web è comunque posizionandoli nelle directory appropriate, ma siccome si
meglio configurarlo come host virtuale, se non altro per tende a dimenticarsene può essere utilizzata anche la
Vale la pena dare mantenere il file di configurazione apache2.conf pulito. direttiva <Directory> all’interno del file di configurazione del
un’occhiata ai log di L’installazione di default di Debian utilizza come setup per sito. Ora andremo ad aggiungere un’area sicura al nostro sito
accesso e di errore
l’host virtuale il file 000-default.conf e vi consigliamo di lxpWeb1.local, in modo che ci si possa accedere soltanto
che si trovano in
/var/log/apache2. darci un’occhiata. Utilizzeremo questo file per gestire due tramite password. Per prima cosa creiamo la directory che
Al loro interno domini nel nostro server Web. Se non avete accesso a dei conterrà la nostra area protetta e inseriamoci un contenuto:
potete vedere chi ha nomi di dominio registrati potete utilizzare il finto suffisso $ sudo mkdir /var/www/html/lxpWeb1/sicuro
visto cosa e capire .local per fare i vostri test. Supponiamo che l’ip locale del $ cd /var/www/html/lxpWeb1/sicuro
se qualcosa non
vostro server Web sia 10.0.1.1 e che vogliate impostare due $ echo Area di massima sicurezza - vietato fotografare |
funziona.
domini. Vi basterà aggiungere le due righe qui sotto al file sudo tee index.html
/etc/hosts di una qualsiasi macchina nella vostra rete Ora modifichiamo /etc/apache2/sites-available/lxpWeb1
(incluso il server stesso) per far sì che questa riesca a e aggiungiamo quanto segue verso la fine della sezione
raggiungere il server utilizzando i domini desiderati: <VirtualHost *:80>:
10.0.1.1 lxpWeb1.local <Directory /var/www/html/lxpWeb1/sicuro>
10.0.1.1 lxpWeb2.local AuthName “Area Sicura”
In alternativa potreste utilizzare un provider DNS dinamico AuthType Basic
per far puntare al vostro indirizzo IP i nomi di dominio. AuthUserFile /var/www/.htpasswd
In entrambi i casi il prossimo passo è quello di aggiungere le require valid-user
voci per i vostri siti Web nella directory /etc/apache2/sites- </Directory>
available/. Copiamo il template di default e modifichiamolo Utilizzato in questo modo il meccanismo di autenticazione
per i nostri due siti: Basic si limita a controllare la combinazione nome utente
$ cd /etc/apache2/sites-available e password all’interno di un file. Questo file è gestito dal
$ sudo cp 000-default.conf lxpWeb1.conf programma htpasswd che è parte del pacchetto apache2-
$ sudo cp 000-default.conf lxpWeb2.conf utils, e che noi andiamo ora a installare e utilizzare.
I file dei siti verranno posizionati nelle directory /var/www/ $ sudo apt-get install apache2-utils
html/lxpWeb1 e /var/www/html/lxpWeb2, creiamo le $ sudo htpasswd -c /var/www/.htpasswd lxpuser
due directory e poi aggiungiamo le righe che seguono Viene chiesta una password per l’utente lxpuser. Lo switch
all’interno della sezione <VirtualHost *:80> del file /etc/ -c crea un nuovo file, ma se si vogliono creare altri utenti
apache2/sites-available/lxpWeb1.conf: basta utilizzare lo stesso comando senza questo switch.
ServerName lxpWeb1.local Ora rilanciamo Apache:
ServerAlias www.lxpWeb1.local $ sudo service apache2 reload
DocumentRoot /var/www/html/lxpWeb1 Asndando all’indirizzo http://lxpWeb1.local/sicuro/ verrà
Facciamo la stessa cosa anche con il file lxpWeb2.conf, chiesto uno username e una password. Inserendo dei dati
mettiamo un contenuto in ogni DocumentRoot e abilitiamo errati continuerà a riaprirsi la richiesta della password.
i due siti: Esistono metodi di autenticazione più avanzati come
$ sudo a2ensite lxpWeb1.conf controllare gli utenti su un database o tramite LDAP, oppure
$ sudo a2ensite lxpWeb2.conf aggiungendo dei criteri come per esempio accettare
Ecco fatto! Due siti Web pronti all’azione, tre se accediamo richieste solo da specifici indirizzi IP. Date un’occhiata alla
al Web server tramite indirizzo IP o un dominio diverso da documentazione per maggiori dettagli: http://bit.ly/
quelli elencati; il terzo sito risponde alle regole impostate ApacheAuthDocs (in inglese). È importante che il file
Firefox non nella configurazione di default 000-default.conf, che siete .htpasswd si trovi all’esterno della DocumentRoot dei siti;
si fiderà di
liberi di modificare, o se preferite di disabilitare del tutto, questo tipo di errore è molto grave perché potrebbe far
un certificato
se pensate che il vostro server Web dovrebbe ricevere visite sì che il Web server permetta il download di questo file
prodotto da voi.
Come dargli soltanto tramite nomi e non con dei numeri. Apache può andando per esempio all’indirizzo http://lxpWeb1.local/.
torto? essere gestito tramite directory oltre che tramite siti. htpasswd. Nel nostro caso abbiamo dei siti Internet che
utilizzano sottodirectory di /var/www ma possiamo
utilizzare la directory radice.
HTTPS
Tutti i dati inviati tramite una richiesta HTTP o ricevuti come
risposta sono trasmessi in chiaro. Chiunque abbia accesso
a una macchina che si trova tra voi e il server può leggere
i dati che passano o addirittura modificarli. Di certo non
è molto soddisfacente, soprattutto se vogliamo trasmettere
dati personali o finanziari. Per ovviare a questo problema
possiamo utilizzare la tecnologia SSL/TLS attraverso
il protocollo HTTPS. L’SSL correttamente implementato
fornisce due cose: crittografia: i dati scambiati tra server e
client sono offuscati da algoritmi matematici molto potenti;
autenticazione: possiamo essere sicuri che il sito Web che
90
Server Web
stiamo guardando è veramente chi dice di essere. Mentre A quanto
pare siamo
la matematica che sta dietro alla crittografia è stata
entrati in
ampiamente studiata (anche se a volte non ben
un’area
implementata), i problemi che affliggono l’autenticazione sicura. Ce lo
sono un po’ più spinosi. Al momento la soluzione è quella garantisce
di credere (ciecamente) a un insieme di Certificate un modello
Authorities (autorità certificanti o semplicemente CA) di cifratura
che offrono, a pagamento per scopi commerciali ma moderno
gratuitamente per usi personali, la loro garanzia su di un sito dotato
Web sotto forma di firma digitale nel certificato del sito di perfect
stesso. La vostra distribuzione mantiene una lista delle CA default per scambiare le chiavi (sia esso RSA o fixed Diffie- forward
secrecy
di cui si fida nel pacchetto ca-certificates. A volte la fiducia Hellman) non lavorano in questo modo, quindi dobbiamo
viene revocata a causa di qualche scandalo, e i browser dire ad Apache di usare questo nuovo metodo modificando
controllano con frequenza la lista di certificati revocati per la riga di SSLCipherSuite. È una buona idea offrire alcune
minimizzare il rischio di danni. A questo punto è necessario alternative dato che non tutti i browser supportano per
dire al server Web di utilizzare queste credenziali per gestire esempio TLS 1.2 che è richiesta dalla crittografia Elliptic
le connessioni HTTPS, che di solito si svolgono sulla porta Curve. Il risultato finale sarà una riga molto lunga, quindi
443. Potete offrire HTTP in parallelo a HTTPS, oppure potete sostituite semplicemente la parola HIGH dalla riga di prima
rendere il vostro sito Web (o una parte di esso) accessibile con la seguente combinazione
soltanto tramite HTTPS. Un’installazione standard di Apache EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EEC
contiene il file /etc/apache2/sites-available/default-ssl. DH+ECDSA+SHA256:EECDH+aRSA+SHA256:EECDH+aRS
conf, che possiamo modificare leggermente per raggiungere A+RC4:EECDH:EDH+aRSA
i nostri scopi, per esempio abilitare come sito SSL il nostro In questo modo vengono favoriti i più recenti e veloci Elliptic
lxpWeb1.local. Come prima, copiamo il file di default: Curve Diffie-Hellman, ma permette anche i più lenti ma con
$ cd /etc/apache2/sites-available maggior supporto Ephemeral DH, tutte con una buona
$ sudo cp default-ssl.conf lxpWeb-ssl.conf varietà di cifrature e hashes. Ora abilitiamo il modulo SSL,
E modifichiamo il file lxpWeb-ssl.conf in questo modo: il nostro nuovo sito e rilanciamo Apache:
<VirtualHost *:443> $ sudo a2enmod ssl
ServerName lxpWeb1.local $ sudo a2ensite lxpWeb-ssl
DocumentRoot /var/www/html/lxpWeb1 $ sudo service apache2 restart
... A questo punto andando nel vostro sito Web (se non avete
SSLCertificateFile /etc/apache2/ssl/server.crt pagato per un certificato firmato) vi comparirà un enorme
SSLCertificateKeyFile /etc/apache2/ssl/server. avviso relativo al fatto che il sito non è affidabile. Potete
keySSLCertificateKeyFile /etc/apache2/ssl/server.key tranquillamente aggiungere un’eccezione e continuare nel
Dovremmo anche vietare l’utilizzo di pacchetti crittografati vostro sito sicuro. Con Firefox le eccezioni possono essere
con tecniche obsolete per evitare attacchi. La crittografia salvate per non venire continuamente perseguitati da avvisi.
vecchia e debole chiamata ‘export’ che ha dato luogo ai Se volete ridirezionare il traffico dei siti HTTP vi basterà
recenti attacchi chiamati FREAK, così come molte altre aggiungere la riga che segue nel file /etc/apache2/sites-
crittografie minori, sono disabilitate di default nei pacchetti available/lxpWeb1.conf dopo la riga ServerName
Apache/OpenSSL di molte distribuzioni. lxpWeb1.local:
Ciò nonostante vediamo di aumentare un altro po’ la Redirect permanent / https://lxpWeb1.local/
sicurezza modificando come segue il file /etc/apache2/ Oppure potete forzare l’HTTPS soltanto per la directory
mods-available/ssl.conf: sicuro che abbiamo visto all’inizio del tutorial:
SSLHonorCipherOrder on Redirect permanent /sicuro https://lxpWeb1.local/sicuro
SSLCipherSuite HIGH:!MEDIUM:!LOW:!aNULL:!eNULL:!E Se state utilizzando Chrome o Chromium dovrete
XPORT:!MD5:!RC4:!3DES:!PSK:!SRP:!DSS aggiungere il vostro certificato alle vostre chiavi utilizzando
SSLProtocol all -SSLv2 -SSLv3 il programma certutil. Cliccate sull’icona dell’HTTPS
SSLInsecureRenegotiation off sbarrato -> connessione -> informazioni certificato ->
SSLCompression off dettagli -> Esporta... e salvatelo come lxpWeb.crt. Ora
Disabilitando il protocollo deprecato SSLv3 evita di subire bisogna importare il certificato nel database NSS locale:
attacchi POODLE (oltre che di avere visitatori che utilizzano $ certutil -d sql:$HOME/.pki/nssdb -A -t P -n lxpWeb -i
IE6), disabilitare la compressione ci protegge dagli attacchi lxpWeb.crt
CRIME. Potete omettere questa riga se siete più preoccupati Anche se è rassicurante avere l’icona del lucchetto vicino
della vostra connessione che di eventuali attacchi. all’URL, aggiungere eccezioni di sicurezza in questo modo
Vale la pena considerare anche la perfect forward secrecy è potenzialmente pericoloso, potreste dimenticarvi di averlo
(chiamata segretezza in avanti): l’obiettivo del processo di fatto e se siete sfortunati, la chiave del vostro server
negoziazione SSL è quello di trovare una chiave di sessione potrebbe essere rubata. Con questa chiave un attaccante
conosciuta soltanto dal server e dal client e poi scartarla potrebbe in futuro creare un sito Web fraudolento al quale
dopo l’utilizzo. Nuove chiavi vengono scambiate il vostro browser crederebbe a prescindere. Con questo
frequentemente, in modo che una chiave compromessa si conclude la nostra introduzione di Apache. Fate attenzione
rubata al server da sola non sia sufficiente per recuperare a ciò che rendete disponibile al mondo e cercate di non
dati dalla sessione. Sfortunatamente il meccanismo di infrangere alcuna legge.
91
Dispositivi Mobili
FRODI SIP
Occhio al portafoglio!
Cos’è Scoprite i rischi connessi al mondo VoIP
SIP? e come mettervi al sicuro da bollette
Session Initiation
Protocol (SIP) che farebbero piangere chiunque
è un protocollo
per la segnalazione
e il controllo
delle sessioni
di comunicazione
multimediale.
Per le chiamate
audio e video,
la telefonia
IP utilizza
comunemente SIP.
Le sue impostazioni
definiscono
i dati inviati tra
gli endpoint,
le regole
di chiamata,
le terminazioni
e molto altro ancora.
I
l mondo delle telecomunicazioni diventato il nuovo standard per le di soluzioni Open Source ha permesso
è significativamente cambiato comunicazioni moderne. Con il Private agli smanettoni più sfegatati e a diverse
a partire dal XXI secolo. L’uso Branch Exchange (PBX) basato su IP, aziende di implementare in tutta libertà
della tecnologia VoIP un proprio sistema
( Voice over Internet
Protocol ) ha permesso
“Sono tanti i criminali che di telefonia. Purtroppo,
però, c’è anche il rovescio
a molte aziende
di migliorare la qualità
possono sfruttare la libertà della medaglia. Sono tanti
i criminali e le potenziali
della telefonia, riducendo del VoIP per riempirsi le tasche” organizzazioni di
al contempo i costi malfattori che possono
di gestione e manutenzione. i sistemi sono in grado di offrire molte lucrare su questa libertà, trasformandola
Se fate un balzo in avanti di un decennio, più funzioni rispetto alle piattaforme così in un moderno incubo fatto di cifre
vi accorgerete subito come VoIP sia legacy PBX. Non solo, ma il vasto mondo da capogiro.
92
I rischi del mondo VoIP
Cos’è
una frode SIP?
Una truffa SIP consiste nello
sfruttare a scopi di lucro
un sistema telefonico IP di qualcun altro.
L’hacker, di solito, si trova in un paese
diverso da quello del malcapitato.
A peggiorare la situazione c’è anche
un’endemica incapacità delle forze
dell’ordine nel gestire queste situazioni.
Il malfattore si connette a un IP PBX via
Internet, utilizzando una serie di tecniche
che gli permettono di manipolare il sistema le credenziali SIP, utilizzate sempre
per inoltrare le proprie chiamate. password molto complesse e soprattutto
Nella maggior pare dei casi, lo scopo nuove. Non fate l’errore di usare la stessa
dell’attacco non coincide con il furto in più occasioni. In questo modo, ridurrete
di informazioni personali, né con la volontà Prevenire gli attacchi l’efficacia di eventuali attacchi Brute Force
di compromettere l’integrità del sistema. Difendersi e prevenire le truffe o Dictionary. Un buon esempio di chiave
Molto più semplicemente, l’obiettivo SIP non è impossibile. In primo robusta è costituito da una stringa che va
è scroccare telefonate a numeri molto luogo, è importante fare una dagli 8 ai 20 fattori, senza parole di senso
costosi. L’hacker stabilisce un accordo con precisazione. Ci sono molti modi per compiuto, con caratteri speciali (per
un fornitore di numeri a tariffa maggiorata. hackerare un sistema telefonico. Le tecniche esempio ! @ # $) e case sensitive (alterna
Chiamando questi recapiti a ripetizione, più utilizzate dipendono dal fornitore lettere maiuscole a minuscole).
si assicura una percentuale sul traffico. o produttore del PBX. A tal proposito, Se possibile, infine, cambiate la password
è indispensabile integrare il maggior numero a intervalli brevi e regolari.
Quali sono di misure per la sicurezza. Diversi fornitori
i rischi? di SIP trunk offrono sistemi per il rilevamento Connessioni
Se gestite un vostro IP PBX, delle frodi. Uno di questi è il limite preventivo Usando la telefonia IP, potete
siete potenzialmente a rischio di spesa per il proprio account telefonico. connettervi al vostro PBX
di truffe SIP. Un errore molto comune è non Così facendo, qualora il trunk venga violato, indipendentemente dal paese
sentirsi chiamati in causa perché semplici potrete limitare i danni e cavarvela con in cui vi trovate. Siete in grado di installare
utenti. È vero che la maggior parte delle il massimale scelto.
imboscate colpisce i provider di servizi per In aggiunta, si può
la telefonia, ma il pericolo per gli utilizzatori cooperare con “Abilitare l’accesso remoto
finali è altrettanto reale. Se siete piccoli
imprenditori che hanno investito sul proprio
il provider per
consentire o bloccare al PBX può facilitare
IP PBX e avete un accordo con un fornitore
di SIP trunk, potreste pensare di non essere
determinate chiamate.
Se non avete
il compito degli hacker”
tra le mire degli hacker. Purtroppo non bisogno di inoltrare
è così. Basta veramente poco perché un comunicazioni internazionali o a numeri un client SIP nello smartphone e chiamare
criminale riesca a ottenere l’accesso a un IP premium, vi consigliamo di disabilitare chiunque al prezzo di un’urbana. Purtroppo,
PBX non garantito e far lievitare la bolletta entrambe le opzioni. consentendo l’accesso in remoto al PBX,
del telefono oltre misura. In questo articolo essere preda di un hacker è piuttosto facile.
vedremo alcuni semplici ma importanti Password Applicare una rigida politica di sicurezza,
passaggi per mettersi in sicurezza. complesse diventa quindi essenziale. Anziché
Non potrete ridurre a zero il rischio di frodi, Può sembrare semplice permettere connessioni al PBX da qualsiasi
ma almeno sarete in grado di rendere e scontato, ma in un mondo parte del pianeta, è meglio bloccare tutto
la vita più difficile a chi tenta di fregarvi. dove si utilizzano innumerevoli password per il traffico esterno. Tramite una whitelist
Utilizzeremo in particolare Asterisk PBX altrettanti servizi, la tentazione di usare di indirizzi IP, gestirete le comunicazioni solo
su CentOS, ma i passaggi sono adattabili chiavi di accesso facilmente rintracciabili tra terminali sicuri. Naturalmente, se non
a qualsiasi piattaforma PBX su distro Linux. è sempre dietro l’angolo. Quando configurate utilizzate un indirizzo IP statico, le cose
93
Dispositivi Mobili
si complicano. Tuttavia, il fastidio di consente a client e script di connettersi failregex = NOTICE.* .*: Registration from
aggiornare la lista degli IP è davvero minimo, a un’istanza di Asterisk, quindi inserire ‘.*’ failed for ‘<HOST>:.*’ - Wrong password
se comparato al pagamento di una bolletta comandi per la lettura del flusso TCP/IP. NOTICE.* .*: Registration from ‘.*’
da capogiro. Si tratta di uno strumento davvero failed for ‘<HOST>:.*’ - No matching peer
fantastico, utile per gli sviluppatori che found
Iptables da amare devono tenere sotto controllo le trasmissioni. NOTICE.* .*: Registration from ‘.*’
Il traffico SIP può essere Attenzione, però! Se non viene gestito failed for ‘<HOST>:.*’ - No matching peer
tenuto sempre sotto stretto correttamente, AMI può creare una found
controllo. Sapete sempre backdoor nel PBX. In definitiva, se non NOTICE.* .*: Registration from ‘.*’
da dove viene e dove va. Come già detto, ne avete bisogno, è meglio disabilitarlo. failed for ‘<HOST>:.*’ - Username/auth name
applicare una rigida e intransigente Nel caso vogliate gestirlo in maniera mismatch
sicurezza è la soluzione migliore per mettersi approfondita, potete mettere mano al file NOTICE.* .*: Registration from ‘.*’
al riparo da possibili truffe. Bloccate del tutto /etc/asterisk/manager.conf. failed for ‘<HOST>:.*’ - Device does not
il traffico esterno, tranne gli indirizzi IP Disabilitate completamente AMI: match ACL
affidabili. Gli identificativi devono essere [general] NOTICE.* .*: Registration from ‘.*’
inseriti in una specifica whitelist. Il primo enabled = no failed for ‘<HOST>:.*’ - Peer is not supposed
tra tutti è quello del vostro SIP trunk. webenabled = no to register
A seguire, aggiungete gli IP dei vari cordless. Se necessario, mettetelo in sicurezza: NOTICE.* .*: Registration from ‘.*’
Ecco un semplice esempio: [general] failed for ‘<HOST>:.*’ - ACL error (permit/
-A INPUT -s xxx.xxx.xxx.xxx -d 0/0 -p udp -m enabled = yes deny)
multiport --dport webenabled = no NOTICE.* .*: Registration from ‘.*’
5060,4569,5036,2727,10000:20000 -j ACCEPT port = 1685 ; it is worth changing the failed for ‘<HOST>:.*’ - Device does not
Tipica regola per SIP: default listening port from 5038 match ACL
-A INPUT -s xxx.xxx.xxx.xxx -d 0/0 -p udp allowmultiplelogin = no NOTICE.* <HOST> failed to
-m multiport --dport 5060,10000:20000 -j authenticate as ‘.*’$
ACCEPT [username] NOTICE.* .*: No registration for peer
Alla fine del set, bloccate tutto il resto: secret = password ‘.*’ \(from <HOST>\)
-P INPUT REJECT deny = 0.0.0.0/0.0.0.0 NOTICE.* .*: Host <HOST> failed
Potete aggiornare la lista degli IP tramite permit = 127.0.0.1/255.255.255.255 MD5 authentication for ‘.*’ (.*)
il comando iptables, oppure modificando permit = xxx.xxx.xxx.xxx/255.255.255.255 ; NOTICE.* .*: Failed to authenticate
il file iptables con un editor di testo. any relevant external IP addresses user .*@<HOST>.*
Nel nostro caso abbiamo usato vi. Asterisk NOTICE.* .*: Sending fake auth
sfrutta un determinato numero di porte Fail2ban rejection for device
per comunicare con gli endpoint. Fail2ban controlla i file di log .*\<sip:.*\@<HOST>\>;tag=.*
Ecco quali sono: alla ricerca di valori specifici, touch /etc/fail2ban/filter.d/asterisk.conf
5060 – SIP (signalling). svolgendo azioni basate
4569 – IAX2 (Inter-Asterisk eXchange). su di essi. Questo potente strumento viene Codici PIN
5036 – IAX (se utilizzate IAX, potete utilizzato per bloccare gli indirizzi IP di host Per evitare che la bolletta
modificarlo come IAX2) che tentano di violare il sistema. Un esempio telefonica lieviti, un altro
10000:20000 – RTP (stream può essere quello di un hacker che prova sistema consiste nell’uso di un
multimediale) ripetutamente a indovinare nome utente PIN per le chiamate in uscita. Ci sono diversi
2727 – MGCP (se utilizzate un protocollo e password. Fail2ban lavora bene anche modi per implementare questa funzione.
per il controllo del gateway) con Asterisk. Installatelo con: In ogni caso l’obiettivo è sempre lo stesso:
Asterisk Management Interface (AMI) yum install fail2ban fare in modo che gli utenti si autentichino
Passate alla prima di inoltrare una telefonata. Sfruttare
94
I rischi del mondo VoIP
95
Dispositivi Mobili
Android sicuro
Lo smartphone è la vostra casa:
vi aiutiamo a capire come metterlo in sicurezza
S
e qualcuno fosse veramente interessato, e probabilmente anche informazioni finanziarie che il 97% delle applicazioni provate accede
potrebbe rilevare la vostra esatta posizione personali. Come se non bastasse, il telefono può impropriamente a fonti di informazioni private
in questo preciso momento. Probabilmente monitorare continuamente la vostra posizione contenute nel dispositivo. Ha poi rilevato
vedrebbe perfino cosa state leggendo per costruire un profilo dettagliato degli che l’86% degli utenti non aveva alcun mezzo
e registrerebbe anche i respiri che emettete. spostamenti. I modi che questi dispositivi utilizzano per proteggersi dai comuni exploit. Non ci sono
Nel frattempo, il malintenzionato di turno avrà letto per inviare i dati e le informazioni sul vostro conto però solo brutte notizie, ma anche qualche aspetto
tutti i vostri messaggi, rubando i contatti sono davvero tanti e questo è un problema tanto positivo. Infatti, gli smartphone consentono
e controllando il credito residuo di modificare numerose
sulla SIM dello smartphone.
Questa non è fantascienza,
“Il 97% delle app provate accede impostazioni relative alla privacy
con un semplice tocco. Non sarà
ma la dura realtà. Forse non ci fate
caso, ma in tasca avete il miglior amico
indebitamente alle vostre quindi difficile iniziare a tappare
le falle della sicurezza. In questo
dei ficcanaso. Lo portate ovunque: informazioni personali” articolo diamo un’occhiata ai vari
dal vostro ufficio alla camera da letto, modi in cui l’utilizzo del telefono può
dalla sala da pranzo al bagno. Registra tutto quello per coloro che vogliono rimanere anonimi, quanto essere una seria minaccia per le vostre informazioni
che fate e può rivoltarvelo contro in pochi minuti. per l’utente medio. In realtà, anche se non personali, ma valuteremo anche le azioni
Che ci crediate o no, lo smartphone moderno utilizzate lo smartphone per inoltrare per ridurre al minimo questo pericolo. Vedremo
è il peggior incubo della privacy. Pensate a quello una chiamata, state già trasmettendo informazioni poi alcuni strumenti che vi consentono di prendere
che avete memorizzato al suo interno: indirizzi, solo per il fatto di averlo acceso. In un recente il controllo sulla privacy e aiutano a comunicare
e-mail, numeri di telefono, appuntamenti, foto studio condotto da HP, l’azienda ha scoperto con i contatti senza compromettere la riservatezza.
96
Protezione per il telefono
L
a maggior parte dei compiti che una volta con la procedura. Purtroppo, questo sistema specifiche di tutte le applicazioni installate e,
venivano eseguiti solo dai computer, adesso addossa molta responsabilità agli utenti, che in teoria se tenete alla vostra riservatezza, la cosa migliore
fa parte del background funzionale dovrebbero sapere se tali richieste di accesso sono che potete fare è disattivare la funzione di accesso
dei cellulari. Questi, infatti, possono essere usati come giustificate. Secondo alcuni studi (fonte: http://bit. ai contatti per ogni app che non ne fa strettamente
lettori multimediali, registratori, dispositivi per giocare, ly/1bRbsVr), molte app richiedono fin troppe uso. XPrivacy, a questo punto, proteggerà le
navigatori GPS e molto altro ancora. Ovviamente, autorizzazioni. Ci sono però diversi modi per informazioni reali, dando in pasto alle applicazioni che
per sfruttare tutte queste comodità sono necessarie visualizzare le richieste fatte dalle applicazioni stesse. la richiedono una lista di dati fasulli. Detto questo,
applicazioni dedicate. Purtroppo, però, sono proprio L’app gratuita Clueful di BitDefender consente oltre a prevenire che le app carpiscano senza il vostro
le app l’anello debole della catena per quanto di identificare ciò che un’applicazione sta facendo, consenso le informazioni memorizzate nello
riguarda la diffusione dei dati personali. Molte mettendolo in relazione con cosa invece dovrebbe smartphone, dovreste anche ridurre i dati personali
di queste accedono ai vostri documenti per migliorare fare. Clueful, una volta installata, scansiona tutte che vi contenete. Condividere le immagini scattate
l’esperienza d’uso, ma il problema risiede nel dovervi le vostre app classificandole con tre generi di rischio: con lo smartphone, per esempio, è una fonte
assicurare che quanto utilizzato dall’applicazione non alto, medio, basso. È quindi possibile controllare la lista inesauribile di informazioni, poiché a causa dei dati
venga inviato a soggetti terzi. Purtroppo, non tutte e selezionare ciascuna applicazione, scoprendo EXIF è possibile venire a conoscenza di moltissimi
le app spiegano nel dettaglio cosa ne faranno a quali funzioni può accedere. Se per caso dovessero particolari. Se per esempio scattate una foto con
dei vostri dati e quindi non potete sapere se siete essere rilevati software ad alto rischio, il nostro un dispositivo dotato di GPS, un malintenzionato può
veramente al sicuro. Ci sono poi i servizi Web gratuiti consiglio è di disinstallarli. C’è poi Anti-Malware rilevare la vostra posizione, il momento stesso in cui
come Google, Twitter, Facebook e altri, che pur non di Malwarebytes, che include anche un Privacy avete scattato l’immagine e l’ID del dispositivo. Come
facendovi sborsare un euro, chiedono in cambio Manager capace di analizzare le applicazioni avrete ben capito, quindi, rimuovere le informazioni
informazioni sulla vostra persona. Queste vengono e dividerle in categorie secondo le funzioni dello EXIF dalle immagini prima di condividerle è molto
utilizzate per migliorare il targeting degli annunci smartphone a cui hanno accesso. Quest’app sarà importante e a questo proposito potete utilizzare
e se per alcune persone questo non è un problema, quindi utile quando volete visualizzare tutti i software EXIF Remover, un’applicazione particolare che non
per chi tiene alla propria privacy non è certo che entrano in contatto con le vostre informazioni sfrutta alcuna interfaccia grafica. Una volta installata,
il massimo. Uno degli strumenti principali del vostro personali, come l’elenco dei contatti o la cronologia Web. vi comparirà come opzione direttamente nel menu
smartphone Android è il sistema di autorizzazioni. Condividi. Se la selezionate, intercetterà tutte
Quando installate un’applicazione, essa vi informa Controllare i permessi le immagini che volete condividere e cancellerà i dati
su quali funzioni intende mettere le mani ed è quindi Una volta identificata un’applicazione pericolosa per EXIF prima di mandarle in giro per la Rete. Un’altra
possibile scegliere se andare avanti o meno la privacy, è possibile rimuoverla. Google, in Android buona abitudine per proteggere la privacy consiste
4.3, si è recentemente lasciato sfuggire una nel crittografare i file che volete condividere su servizi
funzionalità interessante per la protezione dei dati Cloud come Dropbox o Google Drive. Potete farlo
personali, che potete sbloccare tramite lo strumento facilmente su un PC Linux con EncFS. Disponibile nei
Aps Ops. In pratica, per ogni applicazione, potrete repository delle distribuzioni più popolari come Fedora
disattivare singolarmente ogni voce che prende e Ubuntu, questo strumento richiede la creazione
in considerazione la vostra privacy. Per esempio, di due directory: la prima ospita il contenuto non
installando Shazam avete i permessi per disabilitare crittografato, la seconda la versione criptata. Il suo
la funzionalità che gli permette di rilevare la vostra sistema di funzionamento è molto semplice: preleva
posizione. Purtroppo Google ha poi rimosso i file non crittografati dall’apposita cartella e li cifra
questa gradita funzione e, alla seguente richiesta al volo memorizzandoli nell’altra directory.
di spiegazioni, ha affermato che l’opzione in questione Per utilizzare EncFS con Dropbox, basta aggiungere
era una semplice sperimentazione rilasciata la cartella crittografata all’interno dello spazio Cloud.
accidentalmente. Se usate Android con permessi In questo modo tutti i cambiamenti che avvengono
di root, potete ancora recuperare questa funzione nella directory criptata vengono automaticamente
come modulo per il framework Xposed. Non solo, sincronizzati. Dopo aver installato EncFS, create
perché sempre chi ha un dispositivo con root le due cartelle con encfs ~/Dropbox/.encrypted
può utilizzare il modulo XPrivacy per Xposed, ~/Private e, una volta risposto alle domande di rito,
con cui è possibile controllare le autorizzazioni l’applicazione creerà le cartelle.
97
Dispositivi Mobili
Comunicate in sicurezza
Ecco come usare il vostro smartphone in incognito
U
no dei migliori modi per proteggere il transparent proxying, il quale direziona tutte
il telefono cellulare da qualsiasi tipo le applicazioni che si collegano al Web verso la rete
di sorveglianza è usare la crittografia Tor. Per firmare e crittografare i messaggi di posta
end-to-end. C’è un numero crescente di applicazioni elettronica su un dispositivo mobile, è necessaria
e servizi che consentono di crittografare i dati l’applicazione Android Privacy Guard (APG),
sul dispositivo prima di essere inviati e quindi un’integrazione Open Source di OpenPGP. Avrete
decifrati sul telefono del destinatario. La crittografia quindi bisogno del client email K-9, che può
non impedisce di memorizzare dei dati nella cache, integrarsi perfettamente con APG. Al primo avvio
ma salvaguarda contro ogni tipo di spionaggio, di K-9, dovrete configurarlo per collegarsi al server
rendendo incomprensibili le informazioni a chiunque di posta elettronica. Una volta fatto, lancerete APG
non sia in possesso delle chiavi di decrittazione selezionando il pulsante del menu che vi permette
corrette. Per iniziare la vostra campagna per di gestire le chiavi private e quelle pubbliche.
la privacy, è opportuno proteggere la navigazione Potrete quindi esportarle dal desktop e importarle
in Internet. Su Android, infatti, potete installare in APG. Una volta importate, K-9 permetterà
una serie di componenti aggiuntivi per il browser. di firmare e crittografare i messaggi ogni volta che
Uno dei più popolari è Phony, che potrete utilizzare scrivete una nuova email. Viceversa, vi permetterà
per personalizzare lo user-agent del programma di decifrare i testi quando ne ricevete di criptati.
di navigazione ed evitare che i siti rilevino che state Se invece volete crittografare i messaggi istantanei,
utilizzando un dispositivo mobile. C’è poi un add-on dovete utilizzare l’app Open Source ChatSecure.
che elimina tutti i cookie di un sito non appena Questa utilizza il protocollo OTR per abilitare
ne chiudete la pagina. Per un controllo più sessioni di chat sicure su account XMPP. Utilizzando
completo, è comunque possibile utilizzare quest’applicazione, potrete svolgere conversazioni
CleanQuit, che rimuove tutte le informazioni sulla blindate con i vostri amici su reti popolari come Potete usare l’App Jitsi per lanciare
sessione di navigazione precedente, tra cui anche Google Hangout, Facebook e su ogni altro client videochiamate sicure
la cronologia di download e le preferenze. Se volete compatibile con OTR come Pidgin, Adium e Jitsi.
raggiungere veramente l’anonimato, dovete però come RedPhone ha il compito di criptare
utilizzare OrWeb (http://bit.ly/1eiYktj), Vecchia scuola le chiamate effettuate da Internet. C’è anche
un browser preconfigurato per la navigazione Un’altra forma di comunicazione testuale molto SilentPhone, sviluppato dallo stesso Phil
in incognito. Può sfruttare anche un plug-in utilizzata è l’SMS. Anche se in costante Zimmerman che ha dato alla luce OpenPGP
per mascherare il vostro dispositivo, consentire diminuzione a causa dei prezzi e del continuo per la protezione delle email, che usa
il controllo dei cookie e impedire il caricamento nascere di servizi come WhatsApp e simili, viene il protocollo ZRPT per mettere al sicuro
di contenuti Flash, il tutto senza mantenere traccia ancora molto utilizzata. Potete crittografare gli le chiamate VoIP. L’app non è però gratuita,
della cronologia. Potete poi usare Orbot, che SMS con TextSecure, che può rendere illeggibili ma richiede la sottoscrizione di un abbonamento
in pratica è la versione di Tor per Android. Al primo i messaggi memorizzati localmente sul telefono. per 10 dollari (7 euro circa). Entrambe
avvio, Orbot vi guiderà in una procedura passo Tuttavia, per inviare messaggi crittografati le soluzioni citate fanno esattamente quello che
passo per la configurazione rapida. Se poi avete a un vostro contatto, questo deve avere installato dicono e permettono di crittografare le chiamate.
un telefono con permessi di root, potrete attivare la stessa applicazione. Quando lanciate TextSecure Tuttavia, la loro maggiore limitazione risiede nella
per la prima volta, potrete criptare immediatamente necessità di far installare le stesse applicazioni
tutti i messaggi. A questo proposito, consigliamo anche sul dispositivo dei vostri contatti. In caso
di eliminare quelli in chiaro non appena vengono contrario, non sarete in grado di stabilire una
generate le versioni crittografate. Prima di inviare conversazione sicura. Il progetto Ostel si sta
SMS dovrete creare una connessione sicura con occupando proprio di risolvere questo problema.
il dispositivo del destinatario attraverso lo scambio Tramite lo standard noto come Open Source
di chiavi. TextSecure invierà quindi un messaggio Telephony Network (OSTN), utilizza protocolli
al vostro contatto, la cui applicazione risponderà liberi per creare canali di comunicazione vocali
subito con un ulteriore SMS, stabilendo così end-to-end crittografati. Il suo punto di forza sta
la connessione sicura. Da questo momento nel fatto che potrete connettervi con qualsiasi
in poi, siete liberi di inviare messaggi criptati. contatto che sta utilizzando un’applicazione
Molti di noi, per non dire la maggioranza, sfruttano capace di supportare OSTN. Per Android
le normali reti di telefonia mobile per inoltrare c’è già l’App CSipSimple, per iPhone trovate
e ricevere chiamate. Quello che forse non sapete Acrobits, mentre chi usa BlackBerry sfrutterà
è che esistono servizi in grado di creare canali PrivateGSM. Chi invece continua a servirsi
L’App EncDroid di Android permette di creare sicuri per contrastare qualsiasi tentativo di un PC, Jitsi è un programma cross-platform
cartelle crittografate EncFS e in più le sincronizza di intercettare la conversazione. Un’applicazione che funziona su Linux, Windows e Mac.
98
Protezione per il telefono
Mettetevi al sicuro
Chiudete porte e portelli per non far entrare nessuno
O
ltre a limitare il flusso di dati inviati di disattivare i widget. Per farlo è però necessario svantaggi da valutare. In primo luogo la crittografia
da applicazioni di terze parti e crittografare utilizzare un’applicazione di terze parti come è a senso unico, vale a dire che una volta attivata
tutte le varie forme di comunicazione, Lockscreen Policy, che adesso è integrata nella più non c’è alcun modo per disattivarla. In pratica,
dovrete anche proteggervi dal rischio di manomissioni recente versione di Android. Il blocco del telefono, se non volete più farne uso, dovrete ripristinare
fisiche: furti o accessi non autorizzati. Se siete però, non serve quando consegnate lo smartphone il telefono perdendo così tutti i dati. Inoltre
veramente attenti alla privacy, dovreste almeno a qualcuno senza che sia bloccato. A questo è importante eseguire un backup prima di avviare
utilizzare un’opzione per bloccare il telefono. Potete proposito, potete utilizzare Screen Locker (http:// il processo, ma soprattutto fare in modo che durante
limitare l’accesso tramite una password alfanumerica, bit.ly/LRBttz), che consente di bloccare lo schermo il criptaggio non si verifichino interruzioni di alcun
un comando vocale, oppure utilizzare una chiave prima che il telefono passi di mano. L’applicazione genere. In caso contrario, non sarete più in grado
grafica, che consiste nel disegnare una forma disabilita tutte le forme di input e impedisce agli utenti di utilizzare lo smartphone. Prima di iniziare,
predefinita sul display dello smartphone. Se utilizzate di visualizzare qualcosa di diverso da ciò che assicuratevi di aver impostato un PIN di blocco dello
le schermate di blocco, dovreste preoccuparvi anche è presente al momento sul display. Ci sono poi schermo o in alternativa una password, che Android
le applicazioni utili per impedire l’accesso alle app utilizzerà come chiave di decrittazione. Per la crittografia,
tramite una password. Una di queste è Privacy andate in Impostazioni D Sicurezza D Esegui
Master Free, che simula un falso crash del software crittografia telefono. D’ora in poi tutte le volte
ogni volta che qualcuno tenta di avviarlo. Inoltre, che accenderete lo smartphone dovrete inserire
impedisce l’accesso alle aree chiave come Google il PIN o la password. Se non volete crittografare
Play Store ed è in grado di bloccare il Task Manager l’intero dispositivo, niente vi impedisce di rendere
così come i collegamenti USB. AppLock è un’altra illeggibili solo alcuni file. In questo frangente, una delle
applicazione che, insieme alla capacità di bloccare migliori applicazioni è SSE Universal Encryption,
l’accesso alle app, consente perfino di nascondere che permette di utilizzare tutti gli algoritmi di cifratura
foto e video. Inoltre, può impedire la modifica più diffusi tra cui AES 256, Serpent 256 e Blowfish
non autorizzata delle impostazioni, come per esempio 256. L’app è composta da tre moduli: Password
quelle relative al Wi-Fi. Una delle migliori Vault consente di memorizzare in modo sicuro
caratteristiche di AppLock consiste nel creare le password organizzandole in cartelle, Message
dei profili di blocco. Così facendo, potete generare Encryptor crittografa i frammenti di testo, mentre
una lista di applicazioni che volete bloccare solo Encryptor File/Dir permette di scegliere qualsiasi file
quando siete in ufficio e un’altra quando invece memorizzato nel dispositivo per poi criptarlo.
vi trovate in famiglia. Potete attivare i blocchi in base CyanogenMod, invece, richiede un po’ di fatica
al luogo (casa, ufficio, tempo libero), o seguendo per essere installata, ma se prendete in prestito
l’orario. Dal punto di vista della sicurezza, un PC con Windows, potete risparmiare tempo
l’applicazione riorganizza casualmente la vostra e fatica sfruttando il CyanogenMod Installer
tastiera numerica, così da impedire ad altri di carpire (http://get.com). Gli appassionati di Software Libero
le password seguendo il movimento delle dita. potrebbero però volere un’alternativa, che in questo
AppLock, infine, si occulta all’interno del dispositivo, caso viene fornita da Replicant. Basandosi su
così da non essere rilevata. CyanogenMod, riesce a sostituire tutti i componenti
proprietari di Android con le loro controparti free.
Criptate lo smartphone Infine una notizia interessante: Silent Circle di Phil
La vostra attenzione per la privacy dovrebbe Zimmerman ha stretto una partnership con il produttore
poi portarvi a crittografare i dati direttamente di smartphone Geeksphone, da cui sta per nascere
Oltre alla cifratura, SSE può cancellare in modo sul dispositivo attraverso la funzione integrata. Blackphone, un dispositivo che sfrutterà PrivatOS
sicuro i file, così da evitare che qualcuno li recuperi Tuttavia, in questo particolare processo, ci sono alcuni e avrà il compito di proteggere la vostra privacy.
99
Dispositivi Mobili
Smartphone e
privacy col Wi-Fi
L’interfaccia Wi-Fi del vostro smartphone è sempre accesa?
Attenzione: la vostra privacy potrebbe essere a rischio...
A
gli albori dell’informatica, i computer erano 802.11. Lo standard, più volte revisionato nel corso
pensati per lavorare in splendida solitudine: anni (vedi il box Principali versioni dello standard
ogni computer costituiva una stazione 802.11 a pag 68) definisce, fra gli altri, i seguenti
di elaborazione isolata, senza alcuna connessione con aspetti di progetto delle reti:
gli altri. Questa concezione, tuttavia, fu rapidamente banda trasmissiva impiegata (suddivisa in canali,
superata, portando alla nascita delle prime reti: grazie ognuno caratterizzato dall’utilizzo di una diversa
al ricorso ad appositi cavi di collegamento (la cui frequenza di trasmissione);
tipologia e le cui capacità di trasmissione si sono tecniche di codifica dei dati;
rapidamente evolute nel corso degli anni), fu possibile struttura dei frame;
realizzare reti via via sempre più grandi, sino protocolli di comunicazione utilizzati.
ad abbracciare l’intero globo terrestre con la nascita In particolare, lo standard 802.11 stabilisce due
di Internet. Per qualche tempo, il binomio computer possibili modalità operative per le reti Wi-Fi:
e cavo di rete sembrò essere inscindibile, andando la modalità ad hoc, in cui un insieme di dispositivi
a sovvertire completamente il paradigma iniziale dotati di interfaccia di rete wireless (anche detti
delle macchine stand alone. Poi giunse il tempo stazioni mobili) realizzano una WLAN dedicata, priva
dei dispositivi mobili: dai notebook ai netbook, fino di interconnessioni con l’esterno;
ai moderni smartphone e tablet, il diffondersi di la modalità infrastruttura che, mediante il ricorso
apparecchiature in grado di operare senza richiedere ad apposite apparecchiature dette access point,
un collegamento costante alla rete elettrica determinò consente la connessione della rete wireless a reti
la necessità di affrancare il concetto di connessione cablate.
da quello di cavo. Fu così che nacquero le reti wireless È proprio quest’ultima la modalità su cui vogliamo
(anche dette WLAN, acronimo proprio di Wireless focalizzare la nostra attenzione, in quanto rappresenta
LAN, o reti Wi-Fi, da Wireless Fidelity), basate la soluzione tecnologica attualmente più utilizzata:
sull’utilizzo di onde elettromagnetiche e in grado dalle nostre abitazioni ai fast food, dagli aeroporti
di consentire effettivamente la connessione tra
dispositivi in assenza di cavi. Sebbene le dorsali di rete
continuino a basarsi su collegamenti cablati, a oggi la
L’autore diffusione delle reti Wi-Fi ha raggiunto livelli imponenti,
tanto che una larga fetta dei dispositivi in commercio
Maurizio Russo (in particolare quelli mobili) risulta dotata unicamente
Laureato in di schede di rete wireless.
Informatica presso
l’Università “La
Sapienza” di Roma,
Lo standard 802.11
con una tesi Di pari passo con la crescente diffusione delle reti
sperimentale sullo Wi-Fi è sorta l’esigenza di uniformare le modalità
stack TCP/IP del e i protocolli utilizzati per la comunicazione, al fine
kernel Linux, è un
di garantire la piena interoperabilità delle diverse
utente del pinguino
dal 2001. Nella sua implementazioni proposte dall’industria. Come già
carriera si è occupato accaduto in precedenza per le cosiddette reti
di formazione, “Ethernet” (vedi il box La famiglia 802), l’IEEE
sicurezza, (Institute of Electrical and Electronic Engineers, Fig 1),
networking,
uno dei più importanti enti di standardizzazione
progettazione e
sviluppo di software. nel campo delle reti, ha provveduto a realizzare un Fig 1: Il sito Web dell’Institute of Electrical and
apposito standard per le reti wireless, denominato Electronic Engineers
100
Il nemico arriva dal Wi Fi
ai centri commerciali, dai ristoranti agli hotel, ogni
giorno sperimentiamo l’utilizzo di una rete wireless
operante in modalità infrastruttura. Per l’utente si
tratta di un procedimento semplice e immediato, che
si snoda attraverso le seguenti fasi:
1 scansione delle reti Wi-Fi disponibili nei diversi
password di protezione.
Dietro queste attività dall’apparenza banale si
nascondono una serie di interazioni tra il terminale
mobile e l’access point della rete di riferimento, tese
a stabilire un legame (in gergo un’associazione) tra Fig 2: Un esempio di frame di tipo Probe Request
i due dispositivi. La creazione di una connessione Wi-Fi
comporta infatti la generazione di un fitto traffico tra
la stazione mobile e l’access point, le cui specifiche c’è il fatto che l’ascolto degli eventuali beacon frame
sono regolamentate dallo standard 802.11. dovrebbe essere condotto dalla stazione mobile
Esaminiamo, per esempio, le modalità di scansione in maniera sequenziale, scandagliando tutti i canali
delle reti wireless disponibili, operazione che disponibili e permanendo su ciascuno di essi per
costituisce la prima delle tre “fasi” in cui abbiamo un periodo di tempo congruo, al fine di minimizzare
suddiviso “l’esperienza utente” relativa al collegamento il rischio di non rilevare una rete potenzialmente
a una WLAN. Il nome “scansione” potrebbe indurci d’interesse. Questa operazione può comportare tempi
a pensare a un’attività di tipo passivo, basato di attesa apprezzabili, che mal si conciliano con la
sull’ascolto del traffico di rete: non a caso lo standard necessità di ottenere la connessione in tempi ridotti.
802.11 prevede la possibilità che ogni access point invii Per risolvere tale problematica, è stata introdotta la
periodicamente nell’etere degli appositi messaggi, possibilità di eseguire una scansione attiva delle reti
detti beacon frame, contenenti tutte le informazioni Wi-Fi, in cui la stazione mobile:
necessarie per la connessione alla propria WLAN. Negli invia in broadcast, sul primo canale disponibile,
anni, tuttavia, questa funzionalità è stata sfruttata per un apposito frame detto Probe request;
la conduzione di attacchi contro le reti wireless attende per un certo tempo (inferiore a quello
(non ultimo il furto di connettività, agevolata da una necessario per un’esaustiva scansione passiva)
maggiore visibilità della WLAN), portando un numero le eventuali risposte degli access point (fornite per
sempre maggiore di amministratori di rete mezzo di frame di tipo Probe response), avendo cura
a disabilitare sui propri access point l’invio dei beacon di tenere traccia delle relative reti;
frame. A complicare ulteriormente lo scenario, inoltre, terminato il tempo d’attesa predefinito, si sposta
La famiglia 802
L’attività dell’Institute of Electrical and Electronic Engineers connettori di rete, ecc.);
(IEEE) nell’ambito delle reti locali ha portato allo sviluppo data link (che costituisce un’astrazione di quanto avviene al
di numerosi standard, raccolti sotto il nome di famiglia 802. livello precedente, con lo scopo di rilevare, superare e prevenire
Tra questi possiamo ricordare: tutti i possibili errori di trasmissione potenzialmente verificabili
lo standard 802.3, denominato CSMA/CD ma comunemente a livello fisico).
indicato con il nome di Ethernet; Tutti gli standard della famiglia 802, pur differenziandosi
lo standard 802.5, che definisce le caratteristiche di una LAN notevolmente per quanto attiene gli aspetti fisici della
di tipo token ring ; trasmissione, presentano un livello data link con forti analogie.
lo standard 802.11, relativo alle WLAN. Tale livello è infatti suddiviso in due sottolivelli, denominati
Nell’ambito dell’architettura definita dal modello OSI (acronimo di Medium Access Control (o MAC MAC a cui spetta il compito di
Open System Interconnection , un modello di riferimento realizzato disciplinare l’accesso al canale trasmissivo condiviso) e Logical
dall’International Standard Organization, in grado di fornire una Link Control (o LLC, al quale è affidato il compito di fare
base di partenza per lo sviluppo di standard di rete), questi da interfaccia per i livelli superiori): se il sottolivello MAC risulta,
standard definiscono le caratteristiche delle reti a livello: a pari del livello fisico, fortemente legato alla tipologia di rete,
fisico (per esempio specificando il range di tensioni utilizzabili il sottolivello LLC risulta invece unico per tutti gli standard citati,
per indicare i valori logici di 0 e 1, le modalità per la trasmissione uniformandone di fatto l’interfaccia verso i livelli superiori
contemporanea in due direzioni, le caratteristiche degli eventuali e semplificandone la realizzazione.
101
Dispositivi Mobili
al canale successivo, sul quale reitera le medesime Probe Request. Posto dopo l’header di livello Data
operazioni. Link, il frame è caratterizzato da campi opzionali
Al termine della scansione, quindi, il dispositivo ha e campi obbligatori, tra i quali ricordiamo (Fig 2):
collezionato i dati salienti delle reti presenti sul posto, il campo SSID, contenente il SSID della rete alla
ed è pertanto in grado di fornirne l’elenco all’utente, quale la stazione desidera connettersi (nel qual caso
per la successiva connessione alla WLAN d’interesse. si parla di direct probe request, in quanto
Questa, tuttavia, verrà effettivamente instaurata solo la stazione effettua una ricerca specifica di una
a seguito dello scambio di ulteriori pacchetti tra determinata rete), o il valore zero se il dispositivo
l’access point e la stazione mobile ossia: sta effettuando una scansione attiva di tutte le reti
una serie di Authentication frame volti disponibili (null probe request);
ad appurare l’identità della stazione mobile; il campo Supported Rates, che indica fino a un
una richiesta di associazione, inviata dalla stazione massimo di 8 valori relativi alle capacità trasmissive
mobile all’access point mediante un frame di tipo (velocità di trasferimento massima in Mbit/sec)
Association request; supportate dalla stazione;
un frame di tipo Association response, con cui il campo Extended Support Rates, utilizzato nel
l’access point comunica l’accettazione (o il rifiuto) caso in cui le capacità trasmissive della stazione
del dispositivo mobile. eccedessero gli otto valori disponibili per il campo
precedente;
Probe Request il campo Vendor Specific, contenente informazioni
e Probe Response dipendenti dal dispositivo e dalle scelte tecnologiche
Appurato il livello di complessità del protocollo per operate dal costruttore.
l’instaurazione di una connessione Wi-Fi secondo In particolare, oltre al campo SSID (il cui valore come
lo standard 802.11, torniamo a soffermarci sul primo visto determina il tipo di scansione effettuata, diretta
dei frame adoperati in questo processo, il frame di tipo o rivolta a tutte le reti disponibili), rivestono un
compito rilevante anche i campi Supported Rates
ed Extended Support Rates: prima di rispondere
a un frame di tipo Probe Request, infatti, l’access
point confronta le proprie capacità trasmissive con
quelle della stazione, provvedendo all’invio del frame
di risposta solo qualora queste risultassero
compatibili. In altri termini, l’access point invierà alla
stazione richiedente un frame di Probe Response
dopo aver verificato l’esistenza, all’interno dei citati
campi, di almeno una velocità trasmissiva compatibile
con quelle da esso stesso supportate: non avrebbe
senso avviare l’iter di autenticazione e associazione
di una stazione mobile troppo veloce (o troppo lenta)
rispetto all’access point, in quanto il colloquio tra i due
dispositivi sarebbe comunque impossibile. Vediamo,
per completezza, alcuni tra i principali campi del frame
di tipo Probe Response, anch’essi suddivisi tra campi
opzionali e obbligatori:
il campo Timestamp, contenente la marcatura
temporale del frame;
Fig 3: Il sito Web di Wireshark il campo SSID, che specifica il SSID della rete a cui
102
Il nemico arriva dal Wi Fi
103
Dispositivi Mobili
desiderata): a tal fine, possiamo ricorrere al
programma ifconfig, da invocare con la sintassi
sudo ifconfig wlan0 up
In alcuni sistemi, tuttavia, questa operazione potrebbe
fallire a causa dell’errore (Fig 6):
SIOCSIFFLAGS: Operazione non possibile a causa di
Fig 6: In alcune architetture, l’attivazione manuale della scheda Wi-Fi
potrebbe fallire a causa di questo errore
un RF-kill
In tal caso è necessario eseguire dapprima il comando
(Fig 7):
sudo rfkill unblock all
per poi passare a
ifconfig wlan0 up
Finalmente siamo pronti a vedere sul campo i frame
di tipo “Probe Request” inviati dal nostro
smartphone. A tal fine, avviamo Wireshark
e selezioniamo, dalla schermata iniziale, l’interfaccia
wlan0 (Fig 8). La successiva selezione, dal menu
Fig 7: Ecco come garantire il successo dell’operazione di attivazione a tendina, delle voci Capture D Start determinerà
manuale della scheda Wi-Fi l’avvio dell’attività di sniffing: per terminare l’ascolto
della rete, invece, è sufficiente selezionare le voci
Capture D Stop. A questo punto possiamo recarci
rete Wi-Fi, ma l’interfaccia wireless viene impostata in un luogo isolato, privo di interferenze provenienti da
affinché controlli (in maniera passiva) tutti i pacchetti eventuali WLAN (che non ci interessano, né sarebbe
transitanti nell’etere su tutte le frequenze supportate. corretto ascoltare), e attivare l’interfaccia Wi-Fi dello
Se vogliamo effettuare lo sniffing dei pacchetti smartphone. Qualora optassimo per effettuare
wireless inviati dal nostro smartphone, la modalità l’esperimento in casa, sarebbe bene disabilitare
operativa da utilizzare non può che essere questa... temporaneamente le eventuali reti wireless sotto la
possiamo impostarla facendo ricorso, nuovamente, nostra diretta gestione: questa accortezza ci consente
al comando iwconfig: infatti di semplificare la lettura del traffico prodotto
sudo iwconfig wlan0 mode monitor dal nostro dispositivo. Qualora ciò non fosse possibile,
Solo in seguito all’impostazione della modalità e a scansione finita (alcuni secondi di sniffing
monitor è possibile procedere all’attivazione dovrebbero essere sufficienti a catturare i pacchetti
dell’interfaccia. Tale operazione deve avvenire in desiderati) dovessimo trovarci alle prese con
maniera “pulita”, senza alcuna configurazione numerosi pacchetti originati da differenti sorgenti,
aggiuntiva (che viceversa potrebbe imporre una potremmo comunque ovviare al problema adoperando
modalità operativa differente rispetto a quella da noi l’articolato sistema di filtraggio che Wireshark ci offre.
Possiamo infatti isolare i frame inviati dal nostro
smartphone imponendo un filtro che li identifichi
univocamente, con la conseguenza di impedire
Fig 8: La schermata principale di Wireshark, ove si può scegliere Fig 9: Nel modello OSI, il livello Data Link è il primo
l’interfaccia sulla quale effettuare lo sniffing livello immediatamente successivo a quello fisico
104
Il nemico arriva dal Wi Fi
la visualizzazione del traffico restante. Trattandosi Fig 11: Il campo Info ci consente di determinare con immediatezza se il
di frame di livello data link (Fig 9), il criterio di frame esaminato è di tipo Probe Request
filtraggio non può che essere costituito dall’indirizzo
MAC ( Medium Access Control ). Tale indirizzo
è associato in maniera immutabile all’interfaccia Wi-Fi
del telefono, e nei sistemi Android può essere
recuperato mediante il percorso Impostazioni D
Wi-Fi D Avanzate. Acquisita questa informazione,
torniamo a Wireshark. La schermata principale dello
sniffer presenta un’apposita barra, recante non a caso
l’etichetta Filter, ove è possibile inserire il filtro
da imporre alla visualizzazione dei pacchetti.
Nel nostro caso, tale filtro è pari a:
wlan.addr==00:1e:ad:XX:XX:XX
dove 00:1e:ad:XX:XX:XX è l’indirizzo MAC rilevato
sullo smartphone, e la stringa che lo precede impone
che quest’ultimo coincida con l’indirizzo del mittente
dei frame. La successiva pressione del tasto Invio
determina l’applicazione del filtro (Fig 10),
rimuovendo dall’elenco tutti i pacchetti non inviati
dal nostro smartphone. Non ci resta che selezionare,
all’interno dei frame mostrati a video, un frame
di Probe Request: a tal fine è sufficiente affidarsi
a quanto visualizzato da Wireshark nel campo Info Fig 12: Un frame di tipo Probe Request dissezionato mediante Wireshark:
(Fig 11). L’operazione di selezione di uno dei frame qui vediamo l’header di livello Data Link
di Probe Request determina la visualizzazione, nel
riquadro centrale dell’interfaccia di Wireshark, dei
suoi contenuti, distinti dallo sniffer in quattro sezioni. entrambi all’indirizzo di broadcast ff:ff:ff:ff:ff:ff;
Quelle di nostro interesse sono le ultime due: Transmitter Address e Source Address, entrambi
la sezione denominata da Wireshark IEEE 802.11 coincidenti con l’indirizzo MAC del nostro
Probe Request, coincidente con l’header di livello smartphone.
Data Link del frame; Dall’analisi di queste informazioni possiamo infatti
la sezione denominata IEEE 802.11 wireless LAN dedurre che il frame:
management frame, al cui interno sono mostrati non ha un destinatario preciso, ma è rivolto a tutti
i contenuti veri e propri del frame di tipo Probe i potenziali destinatari in ascolto nell’area;
Request. è associabile, senza alcuna possibilità di equivoco,
Esplodendo la prima sezione (è sufficiente un click al nostro smartphone, grazie all’identificazione
sulla freccia posta sulla sinistra del nome della dell’indirizzo MAC sorgente con l’indirizzo MAC
sezione) è possibile dare un’occhiata più dettagliata dell’interfaccia Wi-Fi del dispositivo (si tratta di un
all’header del frame (Fig 12). Può essere significativo particolare tutt’altro che irrilevante, sul quale
soffermarsi, in particolare, sui campi: ritorneremo nei prossimi paragrafi).
Type/Subtype, che identifica il frame quale Probe Se passiamo alla successiva sezione IEEE 802.11
Request; wireless LAN management frame possiamo
Receiver Address e Destination Address, pari esaminare i contenuti veri e propri del frame di Probe
105
Dispositivi Mobili
dettagliatamente la natura (un telefono, per l’appunto,
e in particolare uno smartphone operante in dual
mode);
il campo Association State segnala che l’apparato
non è, allo stato, associato ad alcun access point;
il campo Manufacturer ne rivela la marca (nella
fattispecie Archos);
il campo Model Name identifica il modello senza
possibilità di errore (Archos 50 Neon) fornendo, nel
caso specifico, la medesima informazione del campo
Model Number, teoricamente riservato alla stringa
numerica identificativa del modello stesso;
il campo Device name comunica il nome mnemonico
associato al dispositivo (mtka50ne).
106
Il nemico arriva dal Wi Fi
è forse vero che marca e modello del nostro
smartphone possono essere dedotti da un semplice
esame visivo? In realtà un’analisi del genere sarebbe
alquanto semplicistica: marca e modello del nostro
telefono sono correlate, nel frame di tipo Probe
Request, al MAC del dispositivo. Ciò significa che
un dispositivo in grado di ascoltare anche il traffico
prodotto a seguito del frame di Probe Request (e della
successiva, positiva risposta dell’access point con
un frame di Probe Response), come per esempio
un apparato posto nella medesima WLAN del nostro
smartphone (vedi il box WLAN: confidenzialità del
traffico), potrebbe ragionevolmente associare alla
singola persona i dati trasmessi e ricevuti dal telefono
(per esempio, una sessione di navigazione Web),
semplicemente correlando le informazioni estratte
dal frame con un esame visivo degli individui presenti
nell’area coperta dal segnale. Uno smartphone
impegnato in una sessione di navigazione Web, infatti,
è in genere tenuto bene in vista dal proprietario,
intento alla consultazione dei siti oggetto della
navigazione: i modelli più in voga, inoltre, hanno forme Fig 14: Il campo
ed elementi di design facilmente riconoscibili anche Vendor Specific
osservandoli dalla distanza. l’interfaccia Wi-Fi solo al bisogno, avendo cura relativo al WPS
di disattivarla una volta cessata l’esigenza: questo ci consente di
Contromisure stratagemma, peraltro, ha un impatto positivo sulla scoprire molte
Se gli scenari delineati vi hanno indotto a riflettere, durata della batteria, in quanto riduce il consumo informazioni
senz’altro vi sarete posti una domanda: come complessivo di energia dell’apparato (trasmettere di dettaglio
sul nostro
possiamo minimizzare gli impatti sulla privacy “costa” in termini di energia elettrica!).
smartphone...
dell’utilizzo del Wi-Fi nei terminali mobili? La risposta,
a fronte delle dettagliate spiegazioni sin qui fornite, In conclusione
è di una semplicità disarmante: per limitare i possibili Per completezza, occorre osservare come non tutti
pericoli per la nostra privacy, il primo passo da i dispositivi mobili siano “chiacchieroni” quanto quello
compiere è quello di disabilitare l’interfaccia Wi-Fi utilizzato nei nostri esempi: alcuni apparati,
del nostro smartphone/tablet, quando questa non effettivamente, sono più parchi di informazioni
è strettamente necessaria. Per quanto visto in identificative. Allo stesso modo, tuttavia, esistono
precedenza, infatti, un’interfaccia non disabilitata dispositivi più “generosi” del nostro: in prove aggiuntive
comporta l’esecuzione, da parte del nostro dispositivo effettuate nel corso della redazione di questo articolo,
mobile, del processo di scansione attiva delle reti è stato possibile identificare, all’interno di frame di tipo
disponibili in loco. Ciò si traduce nell’invio periodico Probe Request, persino il seriale di un dispositivo
di frame di tipo Probe Request, e quindi nella mobile! Nell’era della tutela dei dati personali e della
potenziale trasmissione di informazioni identificative privacy, vale la pena di correre il rischio di offrire
del dispositivo nell’area di copertura del segnale. a chiunque informazioni direttamente riconducibili
Se dunque non si ha la necessità di connettersi a noi senza che ce ne sia l’effettivo bisogno? Se per voi
ad alcuna WLAN, e al contempo si pone una certa la risposta è no, spegnete immediatamente l’interfaccia
attenzione alla tutela della propria privacy, la soluzione Wi-Fi del vostro smartphone... a meno che non la stiate
migliore non può che essere quella di abilitare utilizzando proprio in questo momento!
107
Intrusioni
Desktop a prova
di hacker
Siete sicuri che la rete locale sia a prova di intruso? Scoprite come
gli strumenti di Fedora permettano di dormire sonni tranquilli
parallele sono pensate per soddisfare esigenze
specifiche: design, istruzione, giochi e protezione.
Fedora Security Lab, com’è facile intuire dal nome, si
rivolge ai professionisti della sicurezza e a tutti coloro
che vogliono gestire al meglio questo importante
comparto informatico. Per esempio, può servire
per verificare la resistenza della propria infrastruttura
di rete, oppure per approfondire gli argomenti
strettamente legati alla protezione dei dati. Infatti,
offre numerosi strumenti che consentono di eseguire
controlli completi, recuperare le password,
diagnosticare problemi in un ambiente isolato e molto
altro ancora. Fedora Security Lab può essere
scaricata come file ISO (la trovate nel DVD allegato
alla rivista) da masterizzare in un DVD, oppure da
installare in una pendrive USB (usate Unetbootin)
e funziona in modalità Live (non richiede
installazione). Questa soluzione offre quindi
un’elevata portabilità che facilita chi vuole sfruttare
la distro su server, workstation da ufficio o computer
domestici. Una volta avviata la piattaforma dal CD
Live, potete procedere con un’installazione su disco
fisso. In questo tutorial illustreremo le basi per usare
gli strumenti più importanti messi a disposizione
da Fedora Security Lab. Vi invitiamo però ad andare
S
e siete tra coloro che si preoccupano della oltre, approfondendo le tante altre funzioni che
propria sicurezza, potreste non sapere non riusciremo a toccare per i limiti imposti dallo
da dove cominciare. Ci sono decine di opzioni spazio editoriale.
da gestire e configurare, senza considerare quelle
più complesse che richiedono un attento Prova su strada
approfondimento. Il rischio, altrimenti, è di fare danni, Una volta avviato il CD Live, avrete accesso al sistema
108
Fedora Security Lab
Il desktop di Fedora Security Suite è minimale. Il menu Il generatore di password incluso in FDS è in grado di processare 100 chiavi
Applicazioni consente di accedere a tutti gli strumenti di accesso in modo casuale per ogni query
di sicurezza. Sono comunque presenti alcune speciale e via dicendo. Per generare una chiave di 14
applicazioni per la produttività e la navigazione Web,
ma in numero non sufficiente per rendere la distro
caratteri con almeno una lettera maiuscola, basta
usare il comando # pwgen –c 14 all’interno del
Tip
adatta all’uso quotidiano. Come potrete vedere, prompt. Com’è facile capire, lo strumento si rivela Per utilizzare
il sistema è progettato per la massima velocità molto utile per creare password casuali e difficili Fedora Security
e leggerezza. I rootfs di lettura e scrittura alla base da scovare. Un altro programma utile è Disk scruber Lab da una
del CD Live consentono di installare al volo qualsiasi (scritto con una sola “b”). Si tratta di un’applicazione chiave USB, usate
UNetbootin
software sul disco. Potrete personalizzare la distro a riga di comando che cancella in modo sicuro
(http://unetboot
in poche e semplici mosse. Iniziate dando un’occhiata qualsiasi file archiviato nel disco fisso. Ci sono in.github.io).
alla scheda Applicazioni. Nel menu a discesa che svariate opzioni da utilizzare, tra cui i popolari sistemi Permette di creare
si apre, troverete tutto quello di cui avete bisogno. DoD e Gutman n. Per impostazione predefinita viene una pendrive
avviabile da
Nella scheda Sistema ci sono una serie di programmi comunque usato NNSA 3-pass wipe . C’è però
un’immagine ISO.
per l’utilizzo del terminale. Quasi tutti richiedono un aspetto molto importante da tenere in
l’uso della pass di root. Le applicazioni vanno considerazione. Disk scruber non rimuoverà i file
dal chrootkit per il rilevamento delle intrusioni, fino dal disco se non si specifica il comando tramite
a strumenti di debug, passando poi per i password l’opzione -r. Senza quest’ultimo, l’unica cosa a essere
cracker. La funzione Security Lab contiene più cancellata è il contenuto del documento. Certo,
o meno gli stessi software, restringendo però la scelta d’ora in poi il file sarà inutilizzabile, ma comunque
a quelli esclusivamente dedicati alla sicurezza. ancora presente nell’hard disk. Un altro programma
simile a Disk scruber è Nwipe che viene utilizzato
Tanti strumenti per fare tabula rasa di dischi o partizioni. Si può usare
Adesso che abbiamo dato una descrizione generale con tre opzioni diverse che permettono di agire con
della distro, passiamo ad approfondirne alcuni sovrascritture da uno a otto passaggi. Anche se meno
aspetti. Il primo programma di cui ci occuperemo preciso rispetto a scruber, è comunque un buon
è pwgen, un generatore di password. Per lanciarlo, alleato per chi vuole cancellare qualsiasi traccia
viene chiesta la pass di root. Una volta ricevuta dal proprio hard disk. Se amministrate una rete
l’autorizzazione, trovate una serie di opzioni. Queste aziendale con centinaia di utenti, probabilmente
includono la configurazione di una password generata non avrete il tempo per verificare la solidità di tutte
per rispondere a determinati criteri: avere almeno le password utilizzate. In Fedora Security Lab trovate
una lettera maiuscola, un numero, un carattere un programma che fa al caso vostro. Si chiama
Risorse
In Security Lab ci sono parecchi Ncrack e Nwipe c’è https://nmap.org. dettagliate per l’uso professionale,
programmi. In questo articolo ne abbiamo Su John, invece, trovate tutto a www. rimandiamo al manuale ufficiale su http://
analizzati solo alcuni. Se volete openwall.com/john. Se volete una breve bit.ly/WireSharkGuide. Non troverete
approfondire l’uso di ciascuna applicazione, panoramica sui programmi installati nella una fonte di informazioni migliore di questa.
potete consultare le singole risorse distro, date un’occhiata a https://labs. Consigliamo comunque di procedere
rilasciate dagli sviluppatori. La maggior fedoraproject.org/en/security. Ci sono con pazienza e attenzione. Lo studio non
parte dei software citati in queste pagine, anche diversi tutorial non ufficiali creati è semplice e richiede tempo. Infine
come Wireshark, Nmap, Ncrack, John dagli appassionati di ciascun software. segnaliamo una buona guida base per
e Nwipe, ha i propri siti ufficiali. Per Wireshark consigliamo di consultare Nmap su http://bit.ly/Nmap4Beginners.
Per Wireshark, per esempio, basta http://bit.ly/WireSharkTut. Se però Le risorse disponibili in Rete non si fermano
collegarsi a www.wireshark.org. Per Nmap, avete bisogno di informazioni più qui, basta cercare e verrete accontentati.
109
Intrusioni
Ncrack ed è un cracker per l’autenticazione di rete
Altri progetti
Come abbiamo accennato all’inizio scientifico.Troviamo quelli rivolti all’analisi dei dati e alle operazioni di
di questo articolo, esistono molti altri all’educazione come Sugar on a Stick calcolo. Per approfondire le informazioni
progetti (lab) che fanno capo a Fedora. (SOAS) che fornisce un ambiente a misura su queste varianti di Fedora, consultate
Si differenziano in base all’ambito di bambino. Da non dimenticare le spin la pagina https://labs.fedoraproject.org.
di utilizzo che consente di avere una rivolte ai videogame come Fedora Games Tra le tante spin, ci sono quelle che
distro pensata esclusivamente per un Lab che viene fornito con una vasta serie utilizzano ambienti desktop alternativi
determinato scopo. Tra i lab più in voga di giochi gratuiti. C’è poi Fedora Design come KDE Plasma, Cinnamon e altri
ce ne sono molti dedicati a educazione, Suite destinato agli artisti digitali. Fedora ancora. La lista completa è consultabile
giochi, design grafico e comparto Scientific Lab è invece indirizzato su https://spins.fedoraproject.org.
110
Fedora Security Lab
verrete accolti da una schermata di benvenuto che
vi chiede quale interfaccia di rete analizzare.
Una volta scelto, l’ambiente si divide in tre pannelli.
Nella parte superiore viene mostrato un colore
diverso per ogni pacchetto rilevato. Le altre due
sezioni indicano una serie di informazioni dettagliate
sui dati passanti, tra cui la dimensione del pacchetto,
l’orario di arrivo, il tipo di protocollo utilizzato
e molto altro ancora. Per interrompere l’analisi, basta
premere il pulsante Stop posto in alto a sinistra.
Una volta avviata la scansione, i principali colori che
vedrete comparire nella finestra dedicata sono verde,
rosso, blu o nero. Per impostazione predefinita,
il verde corrisponde all’uso del protocollo TCP
Zenmap è uno degli scanner più potenti e affidabili ( Transmission Control Protocol ), il blu si riferisce
che ci siano in circolazione. La versione senza interfaccia al traffico DNS, azzurro è assimilabile a UDP ( User
grafica è conosciuta come Nmap Datagram Protocol ), mentre nero e rosso identificano
i pacchetti problematici come quelli che vengono
scansione, il tipo di profilo e inserire comandi consegnati fuori ordine. Potrete restringere la ricerca
personalizzati. La scheda Nmap output posta utilizzando i filtri disponibili nel menu presente nella
al centro dell’ambiente riporta tutto ciò che viene barra di stato. Da qui siete in grado di focalizzare
rilevato dal software. Nella sezioni Port/Hosts, l’attenzione su un determinato passaggio di dati,
Topologia, Dettagli host e Scansioni ci sono come quello riferito ai DNS o a UDP. Niente poi vieta
ulteriori informazioni su quanto riscontrato durante di creare le proprie regole per gestire ancora meglio
le operazioni. Se invece preferite utilizzare l’analisi dei risultati. Infine, avrete la possibilità
l’interfaccia a riga di comando, una volta aperta, di seguire il percorso fatto da un singolo pacchetto,
verrete accolti da una lunga lista di opzioni. valutando così il flusso dati tra client e server.
Queste possono essere aggiunte alle istruzioni I programmi che abbiamo citato sono solo una
per compiere determinate attività. La sintassi tipica piccola goccia nel mare di Fedora Security Lab.
di Nmap è # nmap [OPTIONS] [TARGET], dove Uno degli aspetti più interessanti di questa distro
[OPTIONS] si riferisce ai diversi parametri utili è la personalizzazione. Come qualsiasi altra
a personalizzare la scansione, mentre [TARGET] piattaforma, potete aggiungere o rimuovere
è l’indirizzo IP del bersaglio. Provate a utilizzare applicazioni secondo le vostre necessità.
Nmap sul vostro router con #nmap 192.168.0.1. Data la natura molto tecnica di alcuni strumenti, così
In alternativa, niente vieta di usare il nome host come l’assenza di molte GUI, l’uso di questo ambiente
anziché l’IP. Avvierete una scansione intensiva non è adatto a tutti. Se l’assaggio vi è piaciuto, potete
sull’indirizzo 192.168.0.1 che rileverà le porte approfondire l’argomento sulla wiki dedicata
e i servizi aperti del router. Potete eseguire una al progetto, disponibile alla pagina https://
valutazione su più indirizzi o subnet, elencando ogni fedoraproject.org/wiki/Security_Lab.
IP dopo il primo con uno spazio che li separa. Infine,
siete in grado di determinare un intervallo di IP
o sfruttare i caratteri jolly tipo:
# nmap 192.168.1.1-20
# nmap 192.168.1.*
# nmap 192.168.1.0/24
Se eseguite una scansione con intervallo tra gli
indirizzi e volete escludere uno specifico host, usate
la funzione exclude. Basta far seguire una virgola (,)
per ogni IP da omettere. Per esempio:
# nmap 192.168.1.0/24 –exclude
192.168.1.4,192.168.1.35.
Rilevare i pacchetti
L’ultimo software che andremo ad analizzare
è il famoso Wireshark. Si tratta di uno dei migliori
scanner per l’analisi dei protocolli di rete
in circolazione. Questo programma, infatti, consente
di vedere nel dettaglio tutto quello che succede
all’interno dell’infrastruttura, con tanto di pacchetti
inviati e ricevuti. Wireshark supporta un’enorme
quantità di protocolli capaci di rendere l’applicazione John (The Ripper) permette di verificare se gli utenti collegati alla rete
estremamente versatile e completa. Al primo avvio, locale utilizzano password fragili
111
Intrusioni
Kali Linux
Scoprite con noi le potenzialità della famosa distro
pensata per i test di penetrazione professionali
K
ali Linux è una splendida distro Kali può essere utilizzato sia in modalità Live, la scheda wireless affinché capti
da usare per i test sia installandolo su disco fisso. Il nostro primo silenziosamente tutti i pacchetti che circolano
di penetrazione. Mette tutorial mostra come eseguire un hack di una nell’etere, è molto meno probabile incappare
a disposizione tutti gli strumenti rete Wi-Fi con protezione WEP. Gli attacchi in qualche blocco preventivo. Questa modalità
più utili per eseguire hack di qualsiasi di base con aircrack-ng, lo stesso strumento d’azione viene definita “Monitor”. Nelle pagine
genere. Prima di proseguire, è però che utilizzeremo, hanno cominciato a fare che seguono, non tratteremo la creazione
importante fare un precisazione: la loro comparsa circa 15 anni fa. Alla fine di una rete WEP. Potete farlo in modo semplice
non utilizzate le tecniche e veloce con qualsiasi vecchio
che illustriamo su nessuna
macchina di proprietà altrui, “Non usate nessuna delle router. La nostra soluzione
preferita consiste invece
a meno di non avere
il permesso del proprietario.
tecniche che vi illustriamo nel generare un hostapd
in esecuzione su Raspberry
Questa guida potrebbe essere
utilizzata per accedere a sistemi
su macchine di altre persone” Pi. Identificate il file
di configurazione hostpd.
a cui non dovreste mettere mano. Se venite di questa guida, se non avete ancora config e trovate le righe che seguono:
beccati (se l’unica base che avete è questo commutato la vostra wireless in WPA2, interface=wlan0
articolo, allora state certi che verrete presi), ci sarà un motivo ancora più valido per farlo. driver=nl80211
potreste trovarvi in guai seri. Anche nell’ipotesi Il cracking delle reti Wi-Fi non si limita a provare bridge=br0
in cui non finiate in un’aula di Tribunale, più password fino a trovare quella giusta. ssid=WEPnet
la Polizia Postale potrebbe comunque bussare I moderni router, infatti, metterebbero in black- hw_mode=g
alla vostra porta. In definitiva, utilizzate list il vostro dispositivo dopo un paio di tentativi channel=6
gli spunti che forniamo solo per esercitarvi andati a vuoto. Al contrario, è fondamentale auth_algs=3
in una rete di vostra esclusiva proprietà. avere un approccio più passivo. Configurando wep_default_key=0
112
Mettere alla prova il sistema
wep_key0="short" permessi amministrativi. Infatti, le solite preoccupazioni
La nostra chiave a cinque caratteri corrisponde a 40 bit, sul distinguo tra i vari account non sono importanti. Adesso
un valore più che adatto per iniziare. Il cracking di password potrete iniziare a divertirvi con #airodump-ng wlan0mon.
più lunghe è comunque possibile, ma richiede una maggior Airodump gestirà il vostro adattatore hop e fornirà una serie
quantità di pacchetti e tempo. Per rompere una credenziale di informazioni: nomi degli access point (SSID), MAC address
da 40 bit serve circa un minuto, vale a dire il periodo (BSSID) e il numero dei client collegati. Da notare che BSSID
necessario ad acquisire un numero sufficiente di dati. e il canale della rete sono gli obiettivi dell’attacco. Nel nostro
Una volta inquadrato l’ hotspot WEB da attaccare, passate caso, ci riferiamo a una serie di dati fasulli, tra cui un MAC
all’uso di Kali Linux. 00:de:ad:be:ef:00 su canale 6. Conoscere l’indirizzo
MAC di un client connesso alla rete può essere molto utile,
Preparatevi all’attacco soprattutto quando si arriva a iniettare i pacchetti. Generando
Di solito, far lavorare un dispositivo wireless in Linux non un po’ di traffico, dovreste vedere il flusso che aumenta
è un’operazione semplice. Alcune schede richiedono nella colonna #data. Quando siete soddisfatti, premete
un firmware supplementare, mentre altre danno grattacapi Ctrl+C per interrompere il rilevamento. Se siete stati attenti,
di vario genere. In base al vostro equipaggiamento hardware, avreste dovuto cogliere un particolare. In questa fase, infatti,
dovrete cavarvela da soli. Se comunque la periferica Wi-Fi non siete ancora in possesso della chiave WEP e quindi
funziona con altre distro, non dovrebbe avere alcun problema non potete generare alcun traffico sulla rete da colpire.
a farlo in Kali Linux. A tal proposito, c’è però una precisazione La soluzione è però a portata di mano (hardware permettendo).
da fare. Molti driver wireless non supportano la modalità Verificate che la vostra scheda possa iniettare dei pacchetti.
Monitor. Alcuni, come il wl di Broadcom per il chipset Di solito, questo approccio funziona meglio se la macchina
BCM2235-2238 comunemente usato nei portatili, riescono attaccante è vicino al router (un evento piuttosto raro
nell’intento pur dovendo abilitare la funzione manualmente. se il MAC non è un portatile):
Altri, invece, sono proprio sprovvisti di questa opzione. # aireplay-ng -9 -e WEPnet -a 00:de:ad:be:ef:00 wlan0mon
In definitiva si tratta di un campo minato. Per aiutarvi, date Se vedete comparire un output simile a quello che riportiamo
un’occhiata al sito di aircrack-ng, in cui è presente la lista di seguito, allora siete a cavallo. In caso contrario, l’attacco
aggiornata che mostra i chipset supportati: potrebbe non funzionare a meno che i dati non vengano
www.aircrack-ng.org/doku.php?id=compatibility_drivers. inoculati in modo affidabile.
Prima di attivare la modalità Monitor, è una buona idea 02:23:13 00:13:EF:C7:00:16 - channel: 6 - ‘WEPnet’
disabilitare il Network Manager o qualsiasi altro processo 02:23:14 Ping (min/avg/max): 1.384ms/7.336ms/21.115ms
che dialoga con la scheda di rete (wpa_supplicant, avashi,
ecc). Questi, infatti, potrebbero interferire con le operazioni.
Una volta che il dispositivo è operativo con funzioni Monitor,
dovrete scollegarvi da qualsiasi rete Wi-Fi. Per verificare
se tale modalità viene supportata, in Kali Linux lanciate
il Terminale ed eseguite l’istruzione: # airmon-ng start wlan0 6.
Sostituite wlan0 con il nome dell’interfaccia wireless (potete
scoprirla da iwconfig) e il valore 6 con il canale della rete
di destinazione. A questo punto compare un avviso, in cui
vengono indicati i processi di sistema che interagiscono con
la scheda di rete. Prima di proseguire, dovrete terminarli. Alla
fine dell’output, potreste leggere un messaggio di questo tipo:
(mac80211 monitor mode vif enabled for [phy0]wlan0 on
[phy0]wlan0mon)
L’istruzione wlan0mon indica la nuova interfaccia creata
ad hoc. Molti driver verranno ridefiniti con svariati nomi,
tra cui mon0. Per verificare che la modalità Monitor sia
effettivamente attiva anche su questo collegamento, eseguite
# iwconfig wlan0mon. È importante ricordare che Kali Linux
non è una distro per l’uso generale. L’utente predefinito è root,
poiché la maggior parte dei comandi che lancerete richiede DVWA è davvero piena di vulnerabilità! Basta una query per seminare il panico
113
Intrusioni
Power: -39.73 # aireplay-ng -1 0 -e WEPnet -a 00:de:ad:be:ef:00 wlan0mon
02:23:14 30/30: 100% Se non compare il rassicurante messaggio Association
Se la procedura va a buon fine, siete in grado di iniettare successful :-) , è probabile che il passaggio successivo
al router qualsiasi pacchetto di forma e dimensione. Prima non funzioni. Tuttavia, se tramite l’istruzione -h
di proseguire, è però opportuno soffermarsi un attimo. I dati aggiungete un indirizzo MAC di un dispositivo associato
che inviate, infatti, verranno rifiutati per due motivi. Il primo con la rete WEP, dovreste riuscire a risolvere il problema.
perché non vi siete ancora autenticati e il secondo poiché Date il via all’attacco replay con:
non avete ancora la possibilità di crittografarli in modo # aireplay-ng -3 -b 00:de:ad:be:ef:00 wlan0mon
corretto (non conoscete la chiave). Quello che invece Generare traffico WEP potrebbe accelerare l’operazione.
potete fare, è aggirare il primo punto, ascoltando le Alla fine si dovrebbero vedere una serie di numeri
richieste ARP e rigirandole nell’etere. La stessa richiesta che aumentano esponenzialmente. Il conteggio dei
ARP, infatti, può essere riutilizzata più volte. Nel nostro caso pacchetti nella sessione airodump-ng si impenna
siamo riusciti a rompere la chiave a 40 bit con circa 5.000 di conseguenza. Non ci vorrà molto per recuperare
pacchetti. Concentratevi su BSSID e canale, così da ciò di cui avete bisogno. Di solito bastano circa 10 MB
catturare solo il flusso dati rilevante: di dati, suddivisi in pacchetti da 20-30k ciascuno.
# airodump-ng -c 6 -b 00:de:ad:be:ef:00 -w lxpcap wlan0mon Premete Ctrl+C per fermare la raccolta e istruite
L’opzione -w ordina ad airodump-ng di salvare i pacchetti aircrack-ng per cercare chiavi da 64 bit (40+24 bit di IV) :
sul disco con prefisso lxpcap. Vengono archiviati sotto forma # aircrack-ng output-01.cap -n 64
di dati grezzi (.cap) e .csv, entrambi compatibili con Kismet. Se avete un numero sufficiente di pacchetti, aircrack-ng
Mentre state rilevando i pacchetti, aprite un altro terminale troverà quasi subito la password. Anche senza la specifica -n
e tentate di eseguire una falsa autenticazione al router: 64, l’attacco sarà sempre piuttosto veloce. Nel caso in cui
la procedura non funzioni al primo tentativo, lanciate di nuovo
airodump-ng e aireplay-ng. Se compare il messaggio che
vi informa di uno scollegamento in seguito all’attacco replay,
sfruttate una falsa autenticazione. I nomi dei file di output
dovranno essere incrementatati con caratteri jolly,
da specificare nella riga di comando. Per esempio, utilizzate
ogni volta una sequenza di questo genere: output*.cap. Dopo
aver scoperto una chiave WEP a 40 bit, il passo successivo
è provare con una a 104 bit (13 caratteri). La procedura
è esattamente la stessa, solo che avrete bisogno di più
pacchetti. Indicativamente ci vogliono circa 25.000 IV.
Il crack di chiavi WPA2 è una cosa del tutto diversa. Tuttavia,
se siete in grado di catturare un handshake a quattro vie,
potreste sfruttare un dictonary attack.
Exploit e injection
Parlare di Kali Linux senza menzionare Metasploit
Framework (MSF) di Rapid 7 sarebbe riduttivo. Permette
di mettere in pratica diversi esperimenti, verificando svariati
tipi di vulnerabilità. Non importa se si tratta di un bug
relativo a Flash, Drupal o qualche falla in Windows.
Anche le chiavi WEP a 128 bit possono essere scoperte in modo banale MSF è molto flessibile e ha potenzialità che difficilmente
114
Mettere alla prova il sistema
riusciremo a spiegarvi del tutto in questo articolo. Avremmo
bisogno di molto più spazio. Niente, tuttavia, vi impedisce
di apprenderne le basi con Metasploitable 2 Virtual
Machine. Potete scaricarla da: http://bit.ly/
MetasploitableRapid7 o in alternativa collegarvi a http://
bit.ly/SFMetasploitable2. Scompattando il file
metasploitable-linux-2.0.0.zip troverete una macchina
virtuale VMware. La vera immagine del disco (il file VMDK)
può essere utilizzata anche in VirtualBox. Basta scegliere
l’opzione che permette di sfruttare un hard disk esistente.
Metasploit
Affinché la VM sia visibile in rete, dovete configurare
Framework
l’adattatore virtuale in modalità bridge anziché NAT. vi mostra solo
Sempre in VirtualBox, la voce in questione la trovate nella la porta. Come
scheda Rete, all’interno del pannello Proprietà della Virtual attraversarla
Machine. Se avete il DHCP attivo, non c’è da fare altro. spetta solo a voi
In caso contrario, assegnate alla distro un indirizzo IP.
Lanciate la VM ed eseguite il login con utente msfadmin In pratica, ordinando a MSF di creare un payload Java
e password identica. Recuperate l’IP della piattaforma in contrapposizione a uno specifico sistema operativo.
con ip a. Se i dispositivi lavorano con indirizzo statico, Ora siete pronti per lanciare l’attacco con l’exploit. Se tutto
entrate in /etc/network/interfaces (la VM è basata va per il verso giusto, vedrete un output di questo genere:
su Debian Lenny). In questa macchina virtuale c’è una lunga [*] Sending stage (46089 bytes) to 192.168.1.10
serie di processi configurati in modo terribile e altrettanto [*] Meterpreter session 1 opened (192.168.1.2:4444 ->
vulnerabile. Evitate di usarla in un’infrastruttura poco sicura. 192.168.1.10:33304)…
Per gestire i servizi di Tomcat, utilizzeremo MFS. Basta Segue poi un prompt meterpreter. Scrivete help per avere
puntare il browser sulla porta 8180, preceduta dall’IP la lista dettagliata dei comandi. Se utilizzate getuid, noterete
della VM (nel nostro caso è 192.168.1.10). Questa che siete riconosciuti come utente tomcat55 [/user]. Il nostro
particolare istanza di Tomcat può essere configurata obiettivo non è questo, ma ottenere l’accesso root.
da /manager/html. Le credenziali sono molto semplici: In un’altra parte del sistema (nello specifico, il demone
tomcat/tomcat. L’applicazione consente di eseguire distcc), c’è una vulnerabilità nella gestione dei permessi.
arbitrariamente svariati tipi di software (impacchettati Potete approfondire l’argomento, leggendo la sezione
in archivi WAR). Un’attività, questa, che di solito viene Unintentional Backdoors su https://community.rapid7.
com/docs/DOC-1875. Prima di proseguire,
115
Tutorial KaliIntrusioni
Linux
Kali Linux:
Test di sicurezza
Lo staff ha testato la sicurezza della sua rete grazie a questa ottima
distribuzione: ecco gli interessanti risultati...
Fare irruzione nel Wi-Fi
K
ali Linux è il coltellino svizzero dell’hacker etico.
Nella distribuzione sono precaricati diversi tool Wi-Fi Protected Access (WPA) e Wi-Fi Protected Access 2
per effettuare test di penetrazione che possono (WPA2) sono protocolli di sicurezza wireless progettati
essere utilizzati per compromettere la propria rete al fine per colmare le lacune di sicurezza di WEP. Siccome il
di identificare i punti deboli che possono essere sfruttati protocollo WPA genera dinamicamente una nuova chiave
dai cracker. Il menu di Kali Linux è organizzato nell’ordine con ogni pacchetto, previene l’analisi statistica che
in cui una rete viene solitamente attaccata. Inizia con dei permetteva di bucare WEP. Tuttavia, sono vulnerabili
tool per fare test di infiltrazione e prosegue con l’analisi ad alcune tecniche di attacco. WPA e WPA2 solitamente
delle vulnerabilità, attacchi wireless e exploitation. sono impostate con una chiave pre-condivisa (PSK)
Kali Linux è disponibile in diverse varianti e può essere per assicurare comunicazioni sicure tra l’access point
utilizzata come distro Live o in un ambiente virtuale. e i client wireless. La PSK dovrebbe essere una frase
In questo articolo vedremo alcuni dei tool più comuni casuale di almeno 13 caratteri, in caso contrario sarà
disponibili in Kali Linux per rivelare i punti deboli di una possibile trovare la PSK utilizzando un attacco brute-
rete. Per prima cosa vediamo quali device sono connessi force confrontando la stessa con un dizionario. Questo
alla rete utilizzando netdiscover. Aprite un terminale è l’attacco più comune. Il modo migliore per vedere
all’interno di Kali e scrivete se la vostra rete wireless è difficile da attaccare o meno
netdiscover -i wlan0 è quello di cercare di entrarci. Comunque, siete avvisati:
Questo comando invia delle richieste ARP nella rete e mostra irrompere in una rete wireless che non è di vostra
i risultati sullo schermo. Il processo è live e se una nuova proprietà è illegale e non dovrebbe essere fatto. Andremo
macchina entra nella rete apparirà sullo schermo. Una volta a utilizzare il set di tool airmon-ng per cercare di aprire
Kali Linux che avete una lista di host, premete Ctrl+c per fermare la una falla nella rete. Per iniziare abbiamo bisogno
è una distro scansione. Con la lista di host e i loro indirizzi MAC potete di riuscire a intercettare o monitorare le trasmissioni
basata su Debian iniziare il processo di attacco. Vorrete vedere quali porte sono wireless; quindi, dobbiamo impostare l’interfaccia
e contiene più
aperte in questi host e quale OS stanno eseguendo. Una delle di comunicazione di Kali in monitoraggio con:
di 300 tra tool
app migliori per farlo è nmap, che può essere utilizzato con airmon-ng start wlan0
e utility
accessibili semplicità tramite la sua interfaccia grafica, Zenmap, che Se il comando vi dice che ci sono dei processi che causano
tramite un permette di lanciare diverse scansioni su qualsiasi host nella problemi, uccideteli con
comodo e vostra rete. Zenmap offre 10 profili di scansioni e potete airmon-ng check kill
strutturato menu definirne altri utilizzando le innumerevoli opzioni che offre. Ora rilanciate il comando airmon-ng start wlan0.
Il comando crea un’interfaccia di monitoraggio come
wlan0mon. Quando l’interfaccia è pronta usate
airodump-ng wlan0mon
per vedere l’ambiente wireless locale. Questo comando
elenca tutte le reti che riesce a trovare nel raggio della
scheda wireless in quel momento. L’output include diversi
dettagli chiave inclusi il BSSID di ogni rete oltre
all’ampiezza di banda, il canale in uso, il tipo di criptazione
e l’ESSID che dà il nome alla rete. Identificate la vostra rete
dalla lista e prendete nota del suo BSSID e del canale su
cui è in ascolto. Utilizzate queste informazioni per lanciare
airodump, per esempio:
airodump-ng -c 11 --bssid 28:03:7C:51:10:31 -w /root/
Documents/my-network wlan0mon
Questo comando creerà diversi file nella directory /root/
Documents. Ora andremo a forzare un dispositivo
116
Kali
Prove di Linux Tutorial
penetrazione
117
Tutorial Controllare le intrusioni
Intrusioni
Controllare
le intrusioni
Lo staff vi mostrerà come creare una porta di servizio sicura
e poi esporla a Internet per scoprire se qualcuno vi sta guardando
U
n semplice fatto: quando una porta di servizio le risposte ricevute da Internet possono venire tradotte
è disponibile in Internet, qualcuno la guarda. dall’IP pubblico all’IP privato e inviate al dispositivo corretto
Vi mostreremo come verificarlo, dimostrandovi all’interno della LAN. Per vedere l’indirizzo IP privato
quanto sia necessaria un po’ di sicurezza sulla propria rete, assegnato al vostro computer è sufficiente aprire un
gestendo i firewall e installando con regolarità gli terminale e digitare il seguente comando:
aggiornamenti. Vi mostreremo anche come rendere sicura sudo ifconfig
una porta del vostro computer, configurare un router In questo articolo vedremo come esporre in Internet la porta
domestico per fare il forward di una porta su Internet e standard SSH (22). SSH è un protocollo di rete che offre
quindi controllare i log per vedere gli IP che hanno tentato di comunicazioni sicure tra due computer su reti insicure.
accedervi. Il diagramma della prossima pagina mostra un Molti amministratori di rete utilizzando SSH per fare login
modem/gateway residenziale (RG), che offre accesso alla da remoto sui computer. Per assicurarsi che la suite del
rete a tre host, visibili sulla destra. L’RG ha un hub/switch protocollo SSH sia installata su un computer Unix, basta
interno e supporto Wi-Fi per offrire la connessione LAN lanciare questo comando:
(Local Area Network). Usa un DHCP (Dynamic Host Control whereis ssh
Protocol) per distribuire gli indirizzi IP ai vari dispositivi che Se questo comando ritorna una directory come /usr/bin/
si connettono al RG dalla LAN. DHCP è il protocollo ssh, il servizio è disponibile. Se il comando non ritorna
responsabile della distribuzione e gestione degli indirizzi IP il percorso dell’SSH potete utilizzare il vostro gestore
assegnati agli ospiti di una LAN. Il range di indirizzi che di pacchetti per installare il programma. Su sistemi Linux
utilizza il DHCP è valido soltanto per i tre dispositivi privati. derivati da RedHat/Fedora vi basterà digitare:
I loro indirizzi IP sono validi soltanto nel lato LAN del RG sudo yum install ssh
e non è permesso propagarli in Internet. Nella parte sinistra Per i sistemi Debian based invece:
troviamo la WAN (Wide Area Network), la rete di sudo apt-get install ssh
telecomunicazioni che fornisce accesso a Internet. Affinché Dato che la nostra porta SSH sarà disponibile su Internet,
l’RG funzioni nella WAN deve avere un indirizzo IP pubblico deve essere sicura per evitare che il sistema venga
Tip che gli viene assegnato dall’Internet Service Provider (ISP).
Un range di IP pubblici viene assegnato a ogni ISP che
compromesso durante il nostro test. Per potersi connettere
al servizio SSH, sono necessari un nome utente e una
Potete trovare è responsabile della loro gestione. L’ISP ha il suo DHCP password. Il nome utente utilizzato di solito per fare
un elenco delle che distribuisce e gestisce gli IP pubblici da assegnare ai i tentativi è root. Con un editor di testo aprite il file
porte associate dispositivi dei clienti. NAT (Network Address Translation) di configurazione /etc/ssh/sshd_config e cercate la riga
ai servizi nel file
/etc/services.
è il meccanismo utilizzato per inviare il traffico degli IP della contenente il testo PermitRootLogin. Assicuratevi che
Ovviamente questo LAN su Internet. Le richieste di accesso a Internet quella riga contenga soltanto: PermitRootLogin no. Salvate
vale per Unix, non provenienti dai vari IP privati all’interno della LAN vengono e uscite dal file. Un’ultima modifica alla configurazione da
è altrettanto vero tradotte tramite NAT all’IP pubblico assegnato all’RG per eseguire per assicurarci che la porta esposta sia sicura
per altri SO come
essere inviate sulla Rete. Una tabella di stato all’interno è quella di disabilitare tutti i tentativi di login. Create questa
Windows.
dell’RG tiene traccia di quali richieste sono state inviate, così voce nel file /etc/hosts.deny: ALL:ALL. TCP_Wrappers
118
Controllare le intrusioni Tutorial
Controllare le intrusioni
è un servizio che utilizza i file /etc/hosts.deny ed /etc/ del vostro modem per sapere come fare. Probabilmente
hosts.allow per restringere l’accesso a certi servizi.
Molto prima dei firewall personali, TCP_Wrappers era
vi serviranno i permessi di root sul vostro RG per farlo.
Con l’RG e il computer configurati, lasciate la porta aperta
Tip
la difesa principale per proteggere i servizi. ALL:ALL per alcune ore, quindi seguite la procedura illustrata qui Se il vostro
disabilita tutti i servizi per tutti gli utenti. Mettendo sotto per vedere se ha attirato qualche attenzione. In questo dispositivo LAN
invece sshd:ALL si disabilitano solo i servizi SSH esempio ci limiteremo a esaminare il file /var/log/secure. ha un indirizzo IP
a tutti gli utenti. Potreste pensare che la voce Con i comandi appropriati potete vedere informazioni simili pubblico, il vostro
RG è configurato
PermitRootLogin no nel file di configurazione di SSH da altri sistemi di log (vedi box qui sopra). in modalità PPPoE
sia ridondante con l’impostazione di TCP_Wrappers, pass-through.
e avreste ragione. Purtroppo TCP_Wrappers sta cadendo Esaminare i log Gli indirizzi
in disgrazia e alcune varianti di Linux hanno scelto di Quando viene tentato l’accesso su di una porta esposta, IP privati non
vengono assegnati
non utilizzarlo più. Potete decidere di non preoccuparvi viene creato un record SSH nel log, contenente l’indirizzo IP
utilizzando DHCP,
del controllo sui servizi offerto da TCP_Wrappers e non del visitatore a cui è stato rifiutato l’accesso. Basta utilizzare e gli indirizzi IP
usarlo. Con SSH sicuro potete avviare il relativo demone un editor di testo per esaminare il file e vedere queste pubblici passano
con il seguente comando. Nei derivati di RedHat: informazioni. Potete poi utilizzare un servizio come https:// attraverso il RG
sudo service sshd start www.arin.net/ inserendo l’IP del vostro quasi-visitatore fino al computer.
Questo tipo di
In quelli Debian nel campo SEARCH whois per ottenere alcune informazioni configurazione
sudo service ssh start sul suo provider. Secondo la nostra esperienza troverete rende l’utilizzo di un
Come controllo veloce per vedere se SSH è in esecuzione, tentativi di connessione da tutte le parti del mondo. firewall vitale.
utilizzate il comando netstat per vedere se la porta 22 Non abbiamo approfondito a sufficienza i nostri esami per
è in ascolto: poter dire se si tratta di attacchi coordinati o di computer
netstat -an | more compromessi di qualche sfortunato utente domestico.
Il comando netstat con lo switch -an mostra le informazioni Come potete vedere la nostra configurazione prevede un
sulle connessioni di rete senza utilizzare il DNS. Se lanciate il firewall ma in questa circostanza serve a ben poco.
comando senza lo switch n, otterrete il nome del servizio Come abbiamo visto l’RG inoltra le connessioni in arrivo
associato alla porta anziché il numero (dal file /etc/ (dalla WAN alla LAN) soltanto se sono state espressamente
service). Cercate nell’output del comando netstat -an una impostate dall’amministratore. Il firewall interviene
riga simile a se decidete di controllare i servizi in uscita. Se l’RG è in
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN modalità PPPoE pass-through il firewall diventa vitale per
oppure restringere gli accessi all’host. Il semplice esercizio che vi
tcp 0 0 0.0.0.0:ssh 0.0.0.0:* LISTEN abbiamo mostrato è servito per dimostrarvi che una porta
Se la porta è in ascolto potete provare a connettervi esposta in Internet attrae dei visitatori anche se non li avete
utilizzando il seguente comando impostando l’IP informati. Questo è uno dei motivi per cui la sicurezza
privato dell’host Linux. è vitale per proteggere i servizi dalla Rete. C’è sempre
ssh root@<indirizzo IP privato> qualcuno che vi sta guardando!
Se avete configurato correttamente SSH
per inibire il login dell’utente root e/o avete
impostato la sicurezza di TCP_Wrappers
come detto prima, il comando non dovrebbe
funzionare. Quindi possiamo assumere che
sia sicuro. Ora esponiamo la porta in Internet.
Lo faremo utilizzando il port forwarding,
il meccanismo che utilizzano gli RG per
prendere le richieste fatte a una porta dal lato
WAN e inviarle a uno specifico host nel lato
LAN. Come mostra il diagramma, quello che
vogliamo fare è configurare il modem per
inoltrare tutte le richieste SSH ricevute da
Internet sulla porta 22 al nostro host. I passi
da seguire per farlo dipendono dal vostro
modem e dalla versione del suo firmware,
quindi dovrete utilizzare la documentazione
119
Tutorial Risparmio
Varieenergetico
Energia: come
è verde Linux!
L’efficienza è il primo baluardo contro le aggressioni alla nostra sicurezza:
ecco quanto si risparmia con Linux e quanto è più sicuro di conseguenza...
A
ll’inizio la gestione del consumo energetico in Linux
era considerata un po’ come uno scherzo. Non BIOS buggati
stiamo parlando di funzionalità relativamente I kernel della serie 2.6 hanno annunciato una nuova era del
avanzate come l’ibernazione e la sospensione, no, era supporto ACPI, era il 2001, le implementazioni buggate sono
semplicemente una cosa simile a shutdown -h now, solo state bloccate e, in teoria, un normale PC Linux poteva capire
che invece di spegnere con dolcezza il sistema lo spediva in
una sorta di limbo da incubo dal quale spesso l’unico modo
per uscire era quello di fare un hard reset della macchina.
Al momento del risveglio della sfortunata macchina spesso
bisognava affrontare un lungo ed estenuante fsck (stiamo
parlando dei tempi dei filesystem pre-journal), che poteva
rilevare anche dati danneggiati. Per non parlare del fatto che
a volte l’hard disk veniva danneggiato dall’intero processo.
Anche se questi giorni sono fortunatamente alle nostre
spalle, molte persone riscontrano ancora difficoltà con la
gestione del consumo energetico. Esistono degli standard
aperti che governano la gestione del consumo (oltre che il
rilevamento dell’hardware), come lo standard BIOS ACPI Ecco come appare un DSDT corrotto: c’è effettivamente
(Advanced Configuration and Power Interface) sviluppato da un po’ troppa confusione
120
Risparmio energetico
Efficienza Tutorial
energetica
TuxOnIce
Funzioni avanzate di sospensione e ibernazioni Gli utenti Arch Linux possono utilizzare il durante l’ibernazione o il risveglio. Questo
sono offerte dalla patchset kernel TuxOnIce. pacchetto linux-ice disponibile su AUR, gli può essere fatto utilizzando i pacchetti
Questa permette, tra le altre cose, un maggior altri possono scaricare la patch da www. fbsplash e tuxonice-uerui. Permette inoltre
controllo sull’immagine di ibernazione: tuxonice.net e seguire le istruzioni relative di sospendere/risvegliare processi o di forzare
per esempio il posto in cui viene salvata, alla loro distribuzione per compilare il kernel un riavvio. Il team di TuxOnIce mantiene
la compressione e la possibilità di criptarla. custom. Nel sistemi non-Ubuntu sono anche hibernate-script, un wrapper che offre
Se utilizzate la distribuzione Ubuntu potete richieste alcune configurazioni aggiuntive e facile accesso sia al backend di uswsusp
aggiungere il PPA TuxOnIce e installarlo così: dipendono molto dalla distribuzione che al suo. Questo significa che potete
$ sudo add-apt-repository ppa:tuxonice/ppa utilizzata. Per lo più si tratta di modifiche a utilizzare una sospensione ibrida, che si
$ sudo apt-get update initramfs/initrd, l’imbracatura che Grub risveglia velocemente dalla RAM se la batteria
$ sudo apt-get install tuxonice-userui linux- carica per il kernel. TuxOnIce permette anche regge oppure se non ce la fa, più lentamente
generic-tuxonice linux-headers-generic-tuxonice di visualizzare delle belle barre di progresso dal disco.
i sei stati di Power Sleep S0-S5, gli stati dei dispositivi, A volte le
del processore e delle performance. Questo era molto utile impostazioni di
particolarmente per i portatili (che stavano diventando DPMS mostrate
sempre più convenienti e trasportabili), permettendo da xset sono
di aumentare la durata della batteria e ridurre i tempi un po’ strane.
In questo caso,
di accensione, grazie alla sospensione della RAM e dei
Unity si è preso
dischi. I nuovi processori hanno portato le innovazioni
carico di gestire
di ACPI anche nelle sale server diminuendo i problemi
lo schermo
di temperatura e riducendo le bollette. Sfortunatamente
alcuni bug nei BIOS persistono tutt’ora, soprattutto in perché tutto il contenuto della RAM viene copiato lì. I dati
macchine con più di cinque anni di vita, quindi se doveste verranno compressi, quindi se anche la partizione di swap
avere problemi verificate che non ci sia un aggiornamento è inferiore alla quantità di RAM potrebbe funzionare
per il vostro BIOS sul sito del produttore della scheda comunque. La macchina esegue lo shutdown (S5) una volta
madre. Se questo non dovesse risolvere il vostro problema che l’immagine di ibernazione è stata scritta, quindi affinché
e vi sentite avventurosi, provate a cercare un modo per al risveglio utilizzi l’immagine creata dobbiamo dire al kernel
riparare le tabelle DSDT buggate. La pagina wiki di Arch dove si trova. Che significa aggiungere un’opzione tipo
Linux è un buon punto di partenza https://wiki.archlinux. resume=/dev/sda2
org/index.php/DSDT, ma dato che la tabella deve essere come parametro del kernel, dove ovviamente sda2 è la
inclusa nell’immagine del kernel dovete avere confidenza partizione di swap. Potete utilizzare anche il più robusto
con la compilazione del kernel. Anche la documentazione (oltre che lungo) UUID per definire la partizione se preferite.
del kernel offre diverse informazioni utili per debuggare Per eseguire la modifica come root aggiungete l’opzione
i problemi di ibernazione e di sospensione (http://bit.ly/ GRUB_CMDLINE_LINUX in /etc/defaul/grub ed eseguite
BasicPMDebug). Tutte le funzionalità ACPI sono controllate grub-update. Vale la pena dare un’occhiata a pm-utils
dal demone acpid, ma molte sono offerte anche che è una raccolta di wrapper per il kernel. Offre diversi
dall’ambiente desktop o da Systemd. Con quest’ultimo workaround per molte particolarità delle schede madri, oltre
potete specificare cosa succede quando chiudete il alla possibilità di scaricare i moduli problematici prima
portatile, premete il pulsante di spegnimento, ecc..
modificando il file /etc/systemd/logind.conf. Le opzioni
di andare in sospensione. Un piccolo avviso: se si fa un
aggiornamento del kernel e poi si manda in ibernazione la
Tip
più importanti e le relative azioni si spiegano da sole: macchina, per poi recuperare l’immagine, il nuovo kernel Se vi trovate in
HandlePowerKey=poweroff si arrabbierà molto con l’immagine recuperata. Quindi non difficoltà (per
esempio senza
HandleSuspendKey=suspend ibernate subito dopo un aggiornamento del kernel.
interfaccia grafica
HandleHibernateKey=hibernate dopo un risveglio
HandleLidSwitch=suspend Chi comanda? dalla RAM),
HandleLidSwitchDocked=ignore I processori moderni (ma anche un Athlon XP di 12 anni fa provate a guardare
Ovviamente se volete verificare le cose alla vecchia se avete una scheda madre nForce 2 e un po’ di tempo il pacchetto
uswsusp che
maniera avrete bisogno di qualche riga di comando. a disposizione) supportano la possibilità di modificare la permette maggiori
In particolare, potete attivare le modifiche scrivendo frequenza. Di solito questo può essere abilitato dal BIOS. personalizzazione
direttamente all’interfaccia /sys/power/state. L’incarnazione Intel di questo è Enhanced Speedstep, del processo di
Per esempio, per mandare il PC in sospensione (S3, STR) mentre AMD offre Cool’n’Quiet e PowerNow. L’idea è che, sospensione.
Permette di
lanciate quanto segue (come root): quando possibile, il processore venga rallentato e il
modificare le
# echo mem > /sys/power/state voltaggio diminuito (in alcuni casi i core vengono spenti impostazioni della
Oltre a mem, potete utilizzare gli stati leggermente più del tutto). Questo significa che la temperatura del sistema scheda grafica pre e
onerosi come risorse ma più veloci nel risveglio freeze (S1) diminuisce, e quindi anche le ventole possono rallentare post risveglio, oltre
o standby (S2). Utilizzando disk si entra in ibernazione e la bolletta dell’energia elettrica diminuisce sensibilmente. a offrire supporto
per immagini di
(S4). Affinché questi comandi funzionino è necessario che Il controllo di questi meccanismi è fatto tramite il ibernazioni criptate.
abbiate una partizione di swap sufficientemente grande, sottosistema CPUFreq, e di solito si imposta di default.
121
Tutorial Risparmio
Varieenergetico
Diversi profili chiamati governor (governatori), sono # cpupower frequency-set -u 1600MHz
disponibili per rispondere a diverse situazioni. Potete Potete controllare le frequenze supportate dalla vostra
vedere quali sono attivi nel vostro sistema digitando: CPU semplicemente con:
$ cat /sys/devices/system/cpu/cpu0/cpufreq/scaling_ $ cpupower -c 0 frequency-info
governor l’opzione -c determina un particolare core della CPU.
Per i sistemi desktop esiste un governor predefinito chiamato È possibile impostare frequenze diverse per i vari core.
ondemand che di norma è la scelta migliore: mantiene la Nel caso in cui questo comando ritornasse valori strani,
frequenza al minimo finché la CPU non viene sovraccaricata, come per esempio che la vostra CPU può lavorare soltanto
quindi la alza finché necessario per poi riabbassarla quando molto più lentamente di quanto fa, potrebbe essere utile
è finito il carico. Il governor è molto reattivo, in grado di controllare un eventuale aggiornamento del BIOS,
cambiare le frequenza migliaia di volte al secondo, quindi soprattutto su hardware datato. Come detto prima,
non noterete alcun ritardo quando avrete bisogno di più i produttori spesso non sono molto bravi a seguire gli
megahertz. Comunque potreste notare alcuni rallentamenti standard, in questo caso si riflette sul fatto che il BIOS
se avete un carico di lavoro particolarmente vario, per mostra un elenco sbagliato di frequenze. Se non esiste alcun
esempio grossi lavori di compilazione, dove il collo di bottiglia aggiornamento e vi piace l’idea di avere la vostra CPU che
si sposta velocemente dalla CPU alle operazioni di I/O lavora sempre al massimo della velocità potete sempre
sul disco. Gli altri governor sono: performance (mantiene disabilitare lo Speedstep dal BIOS. Se installate il
la CPU alla sua massima frequenza), conservative (modifica programma powertop potete vedere per quanto tempo
la frequenza lentamente, più ritardi rispetto a ondemand) la CPU è stata utilizzata nelle varie frequenze. Powertop
e powersave (minor frequenza). Quest’ultima potrebbe mostra anche quali programmi hanno generato più risvegli.
creare qualche problema con carichi di lavoro Può anche gestire e modificare diverse impostazioni di
particolarmente pesanti ma può tornare utile per far durare risparmio energetico attraverso l’interfaccia /sys. Lanciando
più a lungo la batteria. Il governor attivo può essere cambiato # powertop --html=powerreport.html
dall’utente root dentro a /sys, per esempio: si genera un report che mostra queste informazioni.
$ sudo -i
# echo performance > /sys/devices/system/cpu/cpu0/ Il risveglio
cpufreq/scaling_governor Il sistema può essere rianimato dallo stato di sospensione
Esiste anche un altro governor chiamato userspace, che o ibernazione con un’attività del mouse o della tastiera.
non è veramente un governor, ma indica che un programma Educando correttamente l’hardware potete anche risvegliare
gestirà le frequenze. Questo programma è cpupower, un computer remoto inviando un pacchetto tramite la rete
che (rimpiazzando il deprecato cpufreqd) ci permette di LAN. Da notare che può funzionare anche con alcuni tipi di
impostare una frequenza minima e massima. Normalmente reti wireless, ma è abbastanza problematico, quindi in questo
non è necessario, ma potete usarlo. Per esempio su vecchi articolo ci concentreremo solo sulle reti cablate. La prima
portatili è normale che un carico di lavoro troppo elevato cosa da verificare è che WoL (Wake on Lan) sia abilitato nelle
causi un surriscaldamento facendo sì che il BIOS paralizzi la impostazioni di risparmio energetico del BIOS. Quindi
CPU per evitare danni. In questi casi può essere utile evitare bisogna installare ethtool e verificare che la propria scheda
che la CPU raggiunga la sua frequenza massima, il che può (chiamiamola eth0) supporti il WoL:
essere fatto con un comando simile a: $ ethtool eth0 | grep Wake
Ecco un
esempio di report
generato da
powertop in tutto
il suo splendore
122
Risparmio energetico
Efficienza Tutorial
energetica
Supports Wake-on: umbg Esistono molte
Wake-on: b app per il Wake-
La prima riga mostra il tipo di pacchetti ai quali la scheda on-LAN per
praticamente
di rete può rispondere, in questo caso Unicast, Multicast,
tutti i sistemi
Broadcast e maGic packet. Affinché WoL funzioni
operativi,
dobbiamo impostarlo per quest’ultimo. Se non è già così compresi Android
possiamo farlo con: e Ios, ma far
# ethtool -s eth0 wol g funzionare il
Questa impostazione non sopravviverà a un riavvio, quindi tutto tramite
se volete renderla permanente dovete aggiungere questo Internet
comando da qualche parte all’avvio, come script da eseguire dall’esterno
dopo la configurazione di rete o tramite regola udev. della vostra rete
Per udev, create un file /etc/udev/rules.d/50-wol.rules privata non è
un’impresa facile
con questo contenuto:
ACTION==“add”, SUBSYSTEM==“NET”,
KERNEL==“eth0”, RUN+=“/usr/bin/ethtool -s %k wol g”
Avrete bisogno del MAC address della macchina, dato che
i pacchetti magici lavorano al di sotto del livello IP. Si tratta
di un identificatore formato da 12 caratteri esadecimali che
potete scoprire con:
# ip link
Risvegliare una macchina richiede che un’applicazione
WoL sia installata sull’host. Un tool di questo tipo è offerto
dal pacchetto wol ma potete trovare tool anche per
Android e per molti altri sistemi operativi. Con wol
installato e tutto il resto configurato correttamente potete
risvegliare una macchina remota con:
# wol aa:bb:cc:dd:ee:ff
sostituendo i caratteri qui sopra con il MAC address della
macchina. Potete specificare anche l’hostname o l’indirizzo
IP della macchina usando l’opzione -i.
DPMS
Tutto questo bel risparmio di watt è cosa buona Standby e Spegnimento in ordine di consumo Option “StandbyTime” “45”
e giusta ma alcune volte c’è la necessità di energetico. Alcuni monitor non riconoscono la Option “SuspendTime” “55”
avere la propria macchina attiva, ma non il differenza tra i primi due. Se state utilizzando Option “OffTime” “60”
proprio monitor. La magia che controlla lo stato un ambiente desktop completo di tutte le EndSection
di allerta del display si chiama DPMS (Display funzionalità (o anche uno minimale come I timeout sono specificati in minuti. Potete
Power Management Signalling), invece la il nuovo nato LXQt 0.9), sarete in grado di controllare le vostre impostazioni lanciando xset
magia che spegne lo schermo proprio quando manipolare queste impostazioni da interfaccia q, se non sono come vi aspettate è possibile che
lo volete usare è ancora un mistero. Nella grafica, altrimenti potete farlo aggiungendo un uno screensaver abbia sovrascritto le vostre
maggior parte dei casi, la gestione del monitor file, diciamo /etc/X11/xorg.conf.d/12-dpms. impostazioni. xset può gestire anche questo con
funziona bene senza bisogno di configurazione conf con al suo interno: un semplice xset s off. Potete usarlo anche per
(anche senza un server X), ma non sempre. Section “ServerLayout” sperimentare i diversi stati, per esempio:
Ci sono tre tipi di oscuramento: Sospensione, Identifier “ServerLayout0” $ xset dpms force standby
123
Varie
Attenti al
firmware
Facciamo quattro chiacchiere con il rinomato studioso Matthew
Garrett per parlare della sicurezza dei computer a livello più profondo
124
Sicurezza dei sistemi
arrivati a un livello che è davvero dichiaratamente usare l’accesso diretto alla
completamente diverso. memoria per modificare i contenuti della
MG: Il kernel ha continuato a sviluppare RAM del sistema. Sono stati fatti diversi
nuove funzioni basate sui container per esperimenti per dimostrare come si possono
molto tempo. Penso che non sia stato un usare vari dispositivi PCI per modificare
percorso facile arrivare al punto in cui siamo il kernel al runtime. Ci si può proteggere
ora. In diverse release del kernel la maggior da questo rischio usando la IOMMU (I/O
parte dei problemi di sicurezza riguardavano Memory Management Unit) del sistema per
il codice namespace usato come base determinare quali periferiche sono abilitate
per i contenitori. Ora però sta cominciando in scrittura e su quali indirizzi. Non tutti
a stabilizzarsi: siamo arrivati al punto in cui i sistemi, però, hanno le IOMMU e, anche
è piuttosto affidabile. quando ci sono, spesso le distro di Linux non
le attivano. Di conseguenza rimane il rischio
LS: Secondo te, quindi, i contenitori che, se si può caricare del firmware su un
stanno entrando nell’età adulta? dispositivo in condizioni specifiche, anche
MG: Sì, è finito il periodo in cui la gente se il sistema operativo non è stato alterato
sostanzialmente ci giocava. Ci sono e anche nel caso in cui i driver siano
abbastanza persone che esaminano affidabili, comunque quel firmware
seriamente la situazione per riuscire modificato potrebbe raggiungere e alterare
a lavorare bene. una parte del kernel. Così, all’improvviso,
un processo di un utente specifico si mette
Matthew Garrett è Principal security LS: Parlaci del tuo intervento a OSCON. a funzionare come se fosse eseguito da root
engineer di CoreOS. è uno sviluppatore MG: Ho parlato di che cosa ci servirebbe ed è in grado di fare tutto quello che vuole.
sul kernel interessato alla sicurezza per costruire un computer affidabile.
e all’affidabilità della programmazione Con affidabile intendo che il proprietario LS: Wow. La nostra rivista ha un DVD
e sta risolvendo problemi che nessun allegato ogni mese e regolarmente
o l’utente di un sistema sia in grado di fidarsi
altro ha il coraggio di affrontare. che il computer operi nel suo interesse e non riceviamo chiamate e messaggi di lettori
Ha anche un Dottorato di ricerca (Ph.D.) in quello di qualcun altro. Uno degli elementiche si lamentano di UEFI. Proviamo
in Genetica computazionale. che si sono scoperti con le divulgazioni a evidenziare che UEFI di per sé non
sulla sorveglianza di massa del 2013 è che è un problema, e neanche Secure Boot,
Linux Security: In che cosa consiste il tuo la National Security Agency statunitense ma che lo è piuttosto il modo in cui
lavoro alla CoreOS? (NSA) aveva sviluppato vari attacchi contro i produttori hanno deciso di blindarli.
Matthew Garrett: Mi focalizzo sulla il firmware. Per esempio, aveva ottenuto Puoi darci la tua opinione?
sicurezza delle infrastrutture: lavoro sul accesso a dei sistemi che erano stati spediti MG: Recentemente ho lavorato molto
fornire tecnologie e tecniche di basso livello a degli utenti e aveva modificato il firmware su metodi per rendere più facile la verifica
che servono ad aumentare la protezione in modo da poterlo usare per modificare del fatto che il tuo sistema operativo
dei singoli contenitori ma anche dell’intera non sia stato
piattaforma. il pericolo del firmware modificato manomesso.
UEFI Secure
LS: I contenitori sono molto di moda:
secondo te la sicurezza è riuscita a restare
“All’improvviso un processo Boot
naturalmente
al passo con i tempi o ci sono intere nuove di un utente si mette a funzionare per noi
classi di violazioni dei container o infezioni
tra i contenitori?
come se fosse eseguito da root” era
preoccupante
MG: La sicurezza dei container è una perché, all’inizio,
questione interessante perché, a seconda lo stato dei sistemi. In questo modo poteva c’era il rischio che i sistemi fossero venduti
della prospettiva da cui consideri il in seguito accedervi per ottenere privilegi senza che gli utenti potessero avere alcun
problema, puoi farti un’idea diversa della aggiuntivi, o fargli copiare dei dati, controllo su cosa era considerato sicuro.
loro affidabilità. Se usi i container come o registrare delle password... C’è infatti il rischio che, nel tentativo di
se fossero macchine virtuali, ti offrono un Se poi l’NSA riusciva a recuperare migliorare la sicurezza, riduciamo la libertà
minore isolamento. Se però hai un sistema la macchina, poteva estrarne tutti i segreti, dell’utente. Un esempio sarebbe un sistema
in cui tutte le applicazioni girerebbero anche se i dischi erano crittati. Secure Boot che ti permettesse di avviare
nello stesso ambiente, spostarle solo immagini autenticate di Ubuntu
in contenitori migliora la sicurezza. LS: Il firmware proprietario, che o Fedora. Probabilmente dal punto di vista
Di conseguenza possono essere un è sostanzialmente quello che impedisce della sicurezza sarebbe un miglioramento,
beneficio o una minaccia per la sicurezza agli adattatori wireless di funzionare perché l’eventuale pirata dovrebbe avere
in base a come vengono impiegati. appena collegati, tende a portare la chiave di autenticazione per attaccare
un bel po’ di grattacapi agli utenti il computer, ma nel frattempo si sarebbero
LS: Siamo ancora in una fase Linux. Mi sembra di capire che possa bloccate le libertà dell’utente di alterare
pionieristica? I container, sotto forma introdurre anche delle vulnerabilità il sistema operativo, di usare il suo codice
di chroot e simili, sono in giro da un bel per la sicurezza, corretto? o di scegliere il sistema che preferisce.
po’ di tempo, ma attraverso Docker sono MG: Le periferiche PCI possono Quello che invece succede è che gli utenti
125
Matthew Garrett
Varie
hanno la libertà di installare le loro chiavi inserirci il loro codice. In questo caso a ogni dispositivi, due fonti indipendenti
e fare le loro scelte personali su cosa avvio il sistema avrebbe in realtà montato di informazione. Sto lavorando su una
utilizzeranno. Se volessi potresti prendere un hard drive via NTFS (prendeva come tecnologia per usare i TPM come strumenti
un sistema Secure Boot e configurarlo in bersaglio solo Windows). Avrebbe montato per crittare il segreto di un dispositivo
modo che si rifiuti di avviare Windows e usi una partizione di sistema, copiato il malware di autenticazione a due fattori (2FA). In quel
solo Fedora o Ubuntu, o qualunque sia la tua nel filesystem di Windows, poi lo avrebbe modo, ogni volta che avvii il tuo laptop,
distro preferita. è un’opzione che ti viene smontato e a ogni avvio di Windows se le misurazioni sono corrette il TPM
data ed è molto importante, secondo me: e avrebbe automaticamente lanciato decritterà il segreto e potrai usarlo insieme
la libertà infatti non è solo essere in grado il malware. Anche se l’utente avesse all’ora della giornata come input per
di decidere cosa far girare ma anche quella cancellato completamente i contenuti l’algoritmo TOTP (Time-based One Time
di scegliere cosa non usare. Ci ha fatto fare dell’hard drive oppure lo avesse rimosso Password). Comparirà come un numero
dei passi avanti a livello di sistema operativo. e sostituito, l’infezione sarebbe rimasta. a sei cifre: puoi controllare che il numero
Ora è molto più difficile compromettere Ora abbiamo gli strumenti per rendere sul tuo telefono vi corrisponda e nel caso
i livelli bassi del sistema operativo e poi più difficile agli hacker questo tipo sarai sicuro che il tuo firmware non è stato
di conseguenza minare completamente di operazione: i sistemi recenti non alterato. Se non corrispondono, o se
la tua abilità di fidarti del tuo sistema consentono di aggiornare il firmware a meno non ottieni il numero, qualcosa è stato
operativo. Ma dobbiamo spingerci oltre. che non sia autenticato con una chiave modificato ed è meglio attivarsi. Rimane
fidata. Anche questa precauzione, però, può però sempre il problema che, anche
LS: Ci sono stati casi in cui UEFI è stato essere aggirata avendo accesso diretto alla se sei sicuro che il tuo firmware non
effettivamente aggirato? memoria flash, se qualcuno fosse in grado è stato modificato, come fai a sapere
MG: Non so se avete avuto modo di accedere alla tua macchina e rimuovere che il produttore non ha introdotto
di esaminare in dettaglio i contenuti della la memoria flash dalla scheda, oppure deliberatamente una backdoor o non ha
fuga di dati di Hacking Team, ma avevano in alcuni casi potrebbero direttamente lasciato una vulnerabilità nella sicurezza
un modo di utilizzare il loro malware in cui riprogrammare il firmware. che un hacker può sfruttare per aggirare
modificavano il firmware del sistema. queste protezioni? è un problema che non
Il loro approccio non era molto sofisticato LS: Non ci sono elementi come i chip possiamo realmente risolvere senza il codice
dal punto di vista tecnologico: dovevano Trusted Platform Module (TPM) fatti sorgente del firmware: dobbiamo avere
avere accesso fisico al sistema per proprio per avvisarti quando succede la possibilità di controllare tutto quello
attaccarlo. Se però estraevano il firmware una cosa del genere? che ne fa parte ed esaminare il codice.
significa che avrebbero potuto anche MG: Ci sono tecnologie che possono Cosa ancora più importante, dobbiamo
determinare ricostruire il codice e controllare che
se è successo. il risultato corrisponda a quello che c’è
Possiamo usare nel firmware. Non sarà facile farlo accettare
i chip TPM per all’industria ma in conclusione è l’unico
misurare il firmware modo in cui potremo dire che siamo sicuri
quando viene che il nostro computer lavori per noi.
inizializzato: Naturalmente, la situazione peggiorerà
se qualcuno ancora nel corso del tempo. Supponi che
ha modificato possiamo verificare il firmware di sistema.
il firmware Ottimo, ma il firmware dell’hard drive?
la misurazione
risulterà diversa. LS: O le tue chiavette USB?
Se c’è un database MG: Esatto: ci sono moltissimi dispositivi
di tutti i valori che che hanno il loro firmware. Supponiamo
sappiamo essere che qualcuno possa manomettere
sicuri e il tuo non il firmware del tuo hard drive in modo
vi corrisponde, è il che, all’avvio, sostituisca alcuni comandi,
caso di allertarsi. per esempio run SSH. La prima volta che
Il problema è che, lo avvii il disco ti mostra la versione corretta,
se pensi di non scrivi la tua password e va tutto bene.
poterti fidare del tuo Il kernel supporta la misurazione attraverso
firmware, come fai il TPM, in modo che tu possa verificare che
a sapere che l’SSH non sia stato alterato. Il kernel però
il firmware non lo fa solo la prima volta che si esegue
ha alterato il tuo l’SSH, a meno che non sappia che è stato
sistema operativo modificato. Cosa succederebbe se,
in modo, per la prossima volta che esegui l’SSH, il tuo
esempio, da farti hard drive ne attivasse una versione diversa
dare, il valore che registra la tua password? Non potresti
corretto? saperlo: non ci sarebbe alcun modo
Di conseguenza di verificare se sia successo o meno.
ti servono due Ancora una volta, senza il codice sorgente
126
Matthew Garrett
127
SICURO AL
100%
128
colophon SECURITY LINUX.indd 1 19/01/17 16:27
È IN EDICOLA
Il manuale completo + distro di Fedora
VIETATO
A WINDOWS
Installazione FACILE
FACILE,, intuitiva e VELOCE
LETO
MANUALE COMP 2 VERSIONI Tantissime app,
32 e 64 bit
ck
llow Bla
tutte pronte
Ye
agenta
Cyan M
da installare
ccolta
: IMC ra
RIVISTA ITORI
REA ED
NON VA MAI
TÀ : SP
SOCIE
DATA :
S
E MAC O
INDOWS
IN CRASH
cd
IÙ EL EG A NTE DI W
TIVO P
A OPERA
IL SISTEM
IT O FEDORA
A 32 O
64 BIT Le opzioni
A S UB
INSTALL AI VIRUS
1
di configurazione
.indd
el 2017
DÌ ADDIO
VD lab
fedora_D
S I B LOCCA MAI!
E, NON DO VUOI
A SEMPR
FUNZION
LA TE O DA SCAR
ICABILI QUAN
sono facilissime
TUTTE LE AP
P GRATUITE
CHE VUOI, PR
C EM
EINST
EN
AL
T E E SEN
ZA PROB
LEMI VIRUS da impostare
LLA VELO
SI INSTA
Virtualizza
senza limiti
Muoversi sul desktop
Passa a FEDORA
ar e
senza
nulla grazie è tanto facile quanto
far ti manc
a Docker! intuitivo
OS e
di quello che Mac
Windows hanno
Microsoft
Office?
Microsoft Office?
No No grazie,
Virt ualizza senza
grazie, c’è c’è LibreOffice che
limiti grazie
a Docker! LibreOffice
fa le stesse cose
che fa le gratis
S IS T E M A O P E R A T IVO stesse
IL E cose gratis La virtualizzazione
S TA B IL E , E L EG A N T S O PERFETTA in Fedora
GNI U
LINUX PRO DISTRO n. 2 - Annuale € 9.90
E P E R F E T TO P E R O
per i
PROFESSIONISTI è semplicissima
2E 64 BIT
GENNAIO 2017
28
02/12/16 11:
Fondello_FEDORA_DISTRO_210x297.indd 1 12/12/16 12:18
Acquistala su www.sprea.it/fedora
copertina ma
nuale fedora.ind
d 1
Se non fai attenzione a come Prima di vendere il tuo computer, Il tuo smartphone è la tua casa:
è configurato il tuo router, dei assicurati che nessun dato ci conservi le cose più preziose,
malintenzionati possono avere sensibile sia rimasto suoi dischi. è solo normale che sia protetto
facile accesso alla tua rete: ecco Con i nostri consigli ripulisci gli come il tuo appartamento.
come proteggerti al meglio hard disk una volta per tutte Così lo blindi da ogni attacco...
Protezione Generale
Hacking
Le nuove frontiere dell’hacking
Protezione Generale Lotta ai truffatori Protezione Generale Come operano gli hacker Dispositivi Mobili I rischi del mondo VoIP
Privacy
i risultati di alcune delle ricerche fatte, è il protocollo IP.
ALL’inTerneT
ramai la maggior parte delle persone è cosciente Vedere Come tutti sappiamo, lo “spazio” disponibile con IPv4
comparire una (l’attuale versione del protocollo IP) è praticamente terminato.
dell’antico adagio che recita: “Se qualcosa sembra
I
schermata
troppo bella per essere vera, quasi sicuramente n primo luogo è importante sfatare un mito: i virus pericolosità. È proprio l’ignoranza a essere il principale cavallo Questo è il motivo principale della transizione verso IPv6:
come questa
il mondo ha bisogno di nuovi indirizzi IP.
Occhio al portafoglio!
c’è dietro una truffa”. Sebbene il fenomeno del phishing per Linux esistono, così come ci sono diverse soluzioni di Troia che i malintenzionati utilizzano più spesso. Per fortuna,
DOSSIER HACKER
può essere
abbia attecchito promettendo facili guadagni, adesso antivirus adatte al Pinguino. La scarsa diffusione però, l’esperienza insegna e anche colossi del calibro di Adobe IP - Internet Protocol, è la “lingua” con la quale computer
un duro colpo
ha cambiato radicalmente modalità operative. sul nostro sistema è dovuta al fatto che mal si digerisce e Microsoft hanno fatto passi avanti. Anche loro stanno e oggetti intelligenti comunicano fra loro. Nella versione in cui
per chiunque.
lo utilizziamo sin dalla nascita di Internet, la versione IPv4,
Dietro alle false email che riceviamo quotidianamente, Ponete il download di programmi non richiesti dal Web. La maggior spingendo i propri utenti ad abbandonare Flash e Silverlight.
Cos’è
deLLe COSe
è in grado di collegare circa 4,3 miliardi di dispositivi. Una cifra
ci sono esperti di ingegneria sociale. Questa branca della
scienza si occupa di stabilire e studiare le reazioni umane
massima
attenzione
parte degli utenti, infatti, utilizza il proprio gestore
pacchetti per scaricare i software. Così facendo, si sfrutta
Il tutto a favore di HTML5. Molti di voi si staranno
domandando come si può vivere senza Flash. Parecchi siti apparentemente enorme, che certamente sembrava “sufficiente una frode SIP?
a dove fate a tutto” quando, diversi decenni fa, Arpanet progettò l’attuale rete Una truffa SIP consiste nello
a determinati stimoli, al fine di rubare informazioni un sistema che verifica l’integrità e l’autenticità di tutto continuano a usarlo e se siete soliti visitarli spesso potreste
click Internet. La crescente popolazione di Internet, però, sostenuta sfruttare a scopi di lucro
preziose. Il phishing, quindi, è diventato uno dei maggiori ciò che viene messo a disposizione. Il rischio di contrarre andare incontro a problemi di compatibilità. La soluzione
I criminali che si avvalgono di questa tecnica hanno I team di sviluppo che fanno capo alle distro sono sempre da attivare Flash solo su richiesta. Naturalmente faremmo
e come mettervi al sicuro da bollette
La sicurezza è
a disposizione una grande quantità di strumenti. Uno dei più pronti a correggere le falle della sicurezza che di tanto in tanto uno sbaglio a considerare il plug-in di Adobe come unico
automobili, sensori e chi più ne ha più ne metta – ha superato
ormai da tempo il limite massimo (tecnicamente si chiama spazio SIP? diverso da quello del malcapitato.
A peggiorare la situazione c’è anche
anni. Abbiamo
comuni attacchi consiste nell’inviare un’email con un finto vengono segnalate. A meno di non utilizzare una distro source- responsabile dei nostri guai. Navigando in Rete si può
caldi di questi
brand, di solito ripreso da quello di una banca famosa. based come Gentoo, i pacchetti di riqualificazione sono incappare in molti Javascript altrettanto dannosi. Ecco perché
Dalle Webcam alle automobili, passando per gli smart All’inizio del 2011 gli indirizzi IP disponibili sono terminati indipendenti dal protocollo IP e restano invariati in efficacia Protocol (SIP) dell’ordine nel gestire queste situazioni.
lata tra le
Potreste rimanere stupiti da quanto sia facile copiare stili, sempre a portata di mano e richiedono solo qualche secondo installare un add-on come NoScript diventa essenziale. è un protocollo
e da quel momento i collegamenti avvengono grazie a tecnologie e gravità. Altri saranno più difficili da portare a termine, e altri Il malfattore si connette a un IP PBX via
,
di condivisione e conservazione degli indirizzi IP; tecnologie ancora potrebbero essere invece facilitati con il nuovo protocollo, Internet, utilizzando una serie di tecniche
più significative
o poste. Molto banalmente, basta registrare un dominio simile si aggrappano per rubare la vostra identità è enorme. domestici, l’interfaccia grafica è poi uno strumento che rende attendibili in cui far lavorare i JS, ma per il resto potrete e il controllo
che, quando sfruttate molto, introducono problemi che a dire il vero incorpora molti accorgimenti di sicurezza frutto
problematiche
a quello che si vuole utilizzare per prendere di mira gli utenti. Se vi inquadrano nel mirino, analizzano perfino le eventuali l’aggiornamento un processo semplice, intuitivo e alla portata lasciare fuori dalla porta quelle pagine che li utilizzano in modo delle sessioni che gli permettono di manipolare il sistema le credenziali SIP, utilizzate sempre
e malfunzionamenti. Niente panico, però: la soluzione esiste di venti anni di esperienza nell’utilizzo della vecchia versione
oni
e sta prendendo piede. Senza clamore, invisibilmente del protocollo IP. Vero è che, lavorando quotidianamente con multimediale.
soluzi
Nella maggior pare dei casi, lo scopo nuove. Non fate l’errore di usare la stessa
le
con .co. Il testo dell’email, di solito, fa riferimento a una verifica desumere interessi, acquisti e molti altri particolari sonni tranquilli è avere una distro sempre al passo con i tempi. mancare è AdBlockers. Serve per bloccare la pubblicità che
dovi
ma inesorabilmente, IPv6, la nuova versione del protocollo IP aziende private e istituzioni, diversi sono già stati i casi di realtà Per le chiamate
fornen
potenzialmente interessanti. Il tutto per Gli update, infatti, oltre ad aggiungere funzioni e risolvere talvolta veicola verso siti poco o per niente sicuri. Infine, per audio e video, dell’attacco non coincide con il furto in più occasioni. In questo modo, ridurrete
per blindare PC
un unico scopo: spacciarsi per voi di fronte eventuali problemi hardware o software, devono essere garantirvi una buona sicurezza, è fondamentale mantenere di interconnettere un numero enorme di dispositivi: pari a poco IPv6, semplicemente perché i device di sicurezza delle vittime la telefonia
ai servizi che usate. Convincendo i sistemi considerati come il principale baluardo contro sempre aggiornato il firmware del vostro router. Eviterete così IP utilizza di compromettere l’integrità del sistema. Difendersi e prevenire le truffe o Dictionary. Un buon esempio di chiave
di studiare le reazioni umane di sicurezza automatizzati per la verifica i malintenzionati. I cracker tendono a sfruttare le falle del di farlo prendere di mira da chi ne sfrutta le vulnerabilità.
più di 3.4 seguito da 38 zeri o, per rendere meglio l’idea, non erano configurati per proteggersi anche da attacchi lanciati
comunemente SIP. Molto più semplicemente, l’obiettivo SIP non è impossibile. In primo robusta è costituito da una stringa che va
come difendervi... L’autore un numero sufficiente a dare più che un indirizzo IP a ogni attraverso IPv6, mentre i dispositivi (router, switch, firewall, sistemi Le sue impostazioni
al fine di carpire informazioni” dell’identità, gli hacker possono richiedere
la reimpostazione delle password,
sistema per entrare. Se tutti i possibili appigli vengono rimossi
da un aggiornamento sistematico da parte del team Raoul Chiesa
granello di sabbia contenuto sulla crosta terrestre per una
profondità di oltre un chilometro. La migrazione al nuovo
operativi) automaticamente si erano già “adattati” al nuovo
protocollo oppure, in altri casi, essendo compatibili con il nuovo
definiscono
i dati inviati tra
è scroccare telefonate a numeri molto
costosi. L’hacker stabilisce un accordo con
luogo, è importante fare una
precisazione. Ci sono molti modi per
dagli 8 ai 20 fattori, senza parole di senso
compiuto, con caratteri speciali (per
la modifica dell’indirizzo email e molto altro di sviluppo, le probabilità che il delinquente di turno riesca Raoul “Nobody” Chiesa, classe ‘73, è un ethical hacker. Presidente di Security protocollo è già iniziata e diversi Paesi europei hanno già una protocollo, di “default” accettavano connessioni IPv6. Connessioni gli endpoint, un fornitore di numeri a tariffa maggiorata. hackerare un sistema telefonico. Le tecniche esempio ! @ # $) e case sensitive (alterna
di sicurezza, in cui viene richiesto di confermare i propri dati ancora. Un ulteriore aspetto da tenere presente è la quantità a penetrare sono minime. Sempre per quanto riguarda Brokers SCpA, ricopre diversi ruoli istituzionali tra cui il Comitato Direttivo e le regole Chiamando questi recapiti a ripetizione, più utilizzate dipendono dal fornitore lettere maiuscole a minuscole).
significativa percentuale di utilizzo. In Svizzera, per esempio, che, come detto poc’anzi, spesso non erano monitorizzate,
Tecnico-Scientifico del CLUSIT (Associazione Italiana per la Sicurezza di chiamata,
d’accesso su un sito fasullo. Non appena inseriamo di informazioni personali che date in pasto gratuitamente la presupposta invulnerabilità di Linux ai virus, è opportuno un utente residenziale su dieci già lo utilizza. In molti casi presidiate o controllate, né tanto meno regolate. Per maggiori si assicura una percentuale sul traffico. o produttore del PBX. A tal proposito, Se possibile, infine, cambiate la password
Informatica), membro del Permanent Stakeholders Group dell’ENISA (European le terminazioni
le credenziali nella finta interfaccia, la trappola si chiude. ai Social Network. Per conoscere vita, morte e miracoli di una considerare un altro aspetto importante. Molti attacchi Network & Information Security Agency), Board of Directors del capitolo italiano l’utilizzatore finale non si accorge nemmeno della transizione, approfondimenti sulla tematica IPv6 rimandiamo alla sezione è indispensabile integrare il maggior numero a intervalli brevi e regolari.
e molto altro ancora.
Una variante di questi attacchi consiste nello Spear Phishing. persona, il più delle volte basta dare un’occhiata al profilo di natura recente sono multipiattaforma. Quando viene di OWASP e del Comitato Tecnico di AIP/OPSI, nonché Special Advisor che avviene in maniera completamente trasparente. Da un punto del Rapporto CLUSIT 2013 scritto da Marco Misitano e reperibile Quali sono di misure per la sicurezza. Diversi fornitori
Si tratta di un sistema molto più diretto e pericoloso. Anziché Facebook. Ci sono più dati al suo interno che in qualsiasi altro scoperta una vulnerabilità su un plug-in di Chrome, per sull’Hackers Profiling per le Nazioni Unite presso l’UNICRI.
di vista di sicurezza il panorama non peggiora, ma non migliora: all’indirizzo http://misitano.com/ipv6. i rischi? di SIP trunk offrono sistemi per il rilevamento Connessioni
sparare nel mucchio come nella tecnica sopra illustrata, posto. Per non parlare poi di Google. Date un’occhiata esempio, a farne le spese non sono solo gli utenti Windows,
P
Se gestite un vostro IP PBX, delle frodi. Uno di questi è il limite preventivo Usando la telefonia IP, potete
il criminale scende nel dettaglio. Assume l’identità di un a https://myaccount.google.com e controllate la sezione er quanto ci piacerebbe I risultati di un attacco informatico sono Gli obiettivi, infatti, sono ben altri: siti Web ma anche quelli che usano Mac OS X e Linux. Per citare un siete potenzialmente a rischio di spesa per il proprio account telefonico. connettervi al vostro PBX
funzionario di un’Ente, quindi vi contatta con una qualsiasi Gestisci le tue attività su Google. Procedete in Vai alle mie affermare il contrario, Internet infiniti. Per restringerne gli effetti, o infrastrutture di rete di vitale importanza. episodio reale, basta pensare a Flash. Uno degli add-on più Il CLUSIT e il suo Rapporto annuale sulla sicurezza ICT
S
di truffe SIP. Un errore molto comune è non Così facendo, qualora il trunk venga violato, indipendentemente dal paese
e c’è una cosa che i recenti fatti La mole di dati che corre su Internet garantiscono il rimborso del maltolto. scusa. Lo scopo è sempre lo stesso: carpire informazioni attività e fatevi quattro risate. Ci sono i riferimenti di tutte non è tutto rose e fiori. Certo, potremmo definirli in tre categorie: lieve, In tali casi, il movente è molto più ampio inflazionanti in quanto ad attacchi e problemi di sicurezza. sentirsi chiamati in causa perché semplici potrete limitare i danni e cavarvela con in cui vi trovate. Siete in grado di installare
di cronaca hanno insegnato è impressionante e purtroppo c’è molto Certo, ci vuole del tempo e dovrete personali e codici di accesso. Il modo in cui riesce le ricerche che avete effettuato sul motore di ricerca, i video gli aspetti positivi della Rete quando i danni sono limitati e per risolvere rispetto al semplice furto. Si tratta È facile prendersela con i suoi sviluppatori e con la casa Il CLUSIT è l’Associazione Italiana per la delle informazioni nel nostro Paese, frutto temi già affrontati dai precedenti rapporti utenti. È vero che la maggior parte delle il massimale scelto.
è che non ci si può da rubare: password, codici, credenziali compilare una montagna di scartoffie, a impossessarsi delle informazioni circa la persona per cui di YouTube che avete visto, le indicazioni e perfino i frammenti sono tanti, ma a controbilanciare la partita basta cambiare una o più password. Medio, di spionaggio industriale o comunque madre. Il motivo per cui i cracker lo usano come vettore per Sicurezza Informatica, un ente no-profit del lavoro dei soci CLUSIT e con contributi CLUSIT, ma che per la loro straordinaria imboscate colpisce i provider di servizi per In aggiunta, si può
assolutamente fidare della Rete.
C’è sempre qualcuno in agguato, pronto
per l’home banking e tanto altro. In questo
caso, seppure il danno sia importante
ma alla fine riavrete quanto è stato
rubato. Le implicazioni sono diverse
si spaccia è molto semplice. Spesso è sufficiente una veloce
ricerca su Google. Quasi tutte le banche o gli uffici pubblici
audio utilizzati con il famoso Ok Google. Viene tutto archiviato
minuziosamente, così da “migliorare la vostra esperienza
c’è tutto il sottofondo di malintenzionati
che hanno come solo obiettivo rubare,
se perdete dati personali o file importanti
come foto o documenti che comunque
di attività che hanno come obiettivo
il mettere KO uno o più organi
entrare nei nostri sistemi è proprio la sua popolarità. Flash
è utilizzato da milioni di persone che tuttora ne ignorano la
Quando si parla di Flash, agli esperti di sicurezza si rizzano i capelli.
Perfino Adobe sta prendendo le distanze dal suo plug-in
fondato nel 2000, con sede presso
l’Università degli Studi di Milano.
esterni importanti, tra cui segnalo la Polizia
Postale e delle Telecomunicazioni.
dinamica ed evoluzione rappresentano
scenari completamente nuovi.
la telefonia, ma il pericolo per gli utilizzatori cooperare con “Abilitare l’accesso remoto
a spiare e mettere a repentaglio quando parliamo di furto d’identità. hanno una lista dei propri capi area, con tanto di curriculum Web”. In altre parole, il concetto di gratuito non esiste. estorcere, deturpare, infettare possono essere recuperati tramite un di comunicazione internazionali. Tutto Il CLUSIT a oggi conta più di 500 soci, sia La tematica IPv6, alla base della “Internet of Frutto di un lavoro di analisi e ricerca che ha
finali è altrettanto reale. Se siete piccoli
imprenditori che hanno investito sul proprio
il provider per
consentire o bloccare al PBX può facilitare
la nostra privacy. Non importa
“Il furto d’identità è la In questo caso, qualcuno si in bella vista. La quantità di informazioni a cui i malviventi Si paga tutto e nel XXI secolo lo si fa con i dati personali. e danneggiare qualsiasi asset è basato sull’informatica singoli individui, professionisti dell’ICT Things”, è stata affrontata da Marco Misitano impegnato nel 2013 un centinaio di
IP PBX e avete un accordo con un fornitore determinate chiamate.
il compito degli hacker”
I
se si tratta di Stati con la mania
della sicurezza, reti pubblicitarie di peggior sciagura che
appropria dei vostri account e inizia
a fare danni incalcolabili: truffa,
digitale. Tutto ciò che viene
memorizzato sul vostro PC può “La maggior parte degli e se si mettono i bastoni fra
le ruote ai sistemi che Internet delle cose (cattive) Security, che aziende, le quali operano nel
settore dell’Information Security. Oltre ai
nel Rapporto 2013. Il rapporto contiene
inoltre i risultati di un sondaggio che ci ha
professionisti, tra cui l’autore di questo
articolo, e coinvolto oltre 200 aziende, il
l mondo delle telecomunicazioni
è significativamente cambiato
diventato il nuovo standard per le
comunicazioni moderne. Con il Private
di soluzioni Open Source ha permesso
agli smanettoni più sfegatati e a diverse
di SIP trunk, potreste pensare di non essere
tra le mire degli hacker. Purtroppo non
Se non avete
bisogno di inoltrare
monitoraggio o hacker. Il concetto
è sempre lo stesso: i dati personali possa capitarvi in Rete”
offende, mette in giro false accuse,
denigra e tenta di raggirare
Ombre ed equazioni essere rubato: password, liste
di contatti, dati della carta
attacchi informatici è rivolta governano l’andamento
di una nazione, è il Paese
Sempre più spesso si sente parlare
di Internet delle cose. Un mondo dove tutto
sistemi si baserà su tecnologia embedded
molto facile da aggiornare, ma gran parte
comunque, chi possiede un Raspberry Pi
può essere graziato. Sfruttando la porta
“Quaderni CLUSIT”, ricerche
monotematiche e quindi focalizzate su
consentito di studiare le tendenze del
mercato italiano dell’ICT Security,
rapporto rappresenta un importante punto di
riferimento per tutti coloro che operano nel a partire dal XXI secolo. L’uso Branch Exchange (PBX) basato su IP, aziende di implementare in tutta libertà è così. Basta veramente poco perché un comunicazioni internazionali o a numeri un client SIP nello smartphone e chiamare
sono costantemente nel mirino le persone a voi care. Recentemente è stata messa in vendita una armi informatiche a un altro team di hacker serie di attacchi che sfruttano molte vulnerabilità di credito e via dicendo. I metodi verso infrastrutture aziendali” stesso a fermarsi. I dipendenti è interconnesso alla Rete e dove perfino dell’hardware funziona ancora con driver GPIO, si connette a qualsiasi dispositivo singoli argomenti, oltre a diverse altre individuando le aree in cui si stanno settore, e per quelle persone che si stanno della tecnologia VoIP un proprio sistema criminale riesca a ottenere l’accesso a un IP premium, vi consigliamo di disabilitare chiunque al prezzo di un’urbana. Purtroppo,
di qualcuno. Al giorno d’oggi, ognuno e colpisca direttamente le tasche, può Per fortuna potete prendere svariate raccolta di strumenti molto potenti per l’hacking conosciuto con il nome di Equation Group. dei dispositivi di rete più utilizzati. Cisco con cui i cracker riescono di Belgacom, per esempio, il frigorifero vi avvertirà se state finendo
il latte con un messaggio di posta
binari. Per le loro caratteristiche
intrinseche, nel caso dovessero essere
(sensori, telecamere e via dicendo) e può
essere usato per l’aggiornamento dei driver.
pubblicazioni e al materiale proveniente dai
seminari formativi CLUSIT (gratuiti per i
orientando gli investimenti di aziende e
Pubbliche Amministrazioni, ed è completato
iniziando a interessare di InfoSec e
vorrebbero saperne un po’ di più. Il Rapporto
( Voice over Internet
Protocol ) ha permesso
“Sono tanti i criminali che di telefonia. Purtroppo,
però, c’è anche il rovescio
PBX non garantito e far lievitare la bolletta
del telefono oltre misura. In questo articolo
entrambe le opzioni. consentendo l’accesso in remoto al PBX,
essere preda di un hacker è piuttosto facile.
di noi ha una propria vita online: profili, essere assorbito. Le banche, infatti, hanno contromisure che andremo a illustrare ed exploit di vario tipo. Per stuzzicare l’appetito Quest’ultimo sembra sia strettamente legato alla e Fortinet hanno quindi rilasciato nell’interno sono tanti. Si parte da semplici backup. Disastroso, quando vi prosciugano si sono trovati di fronte a un attacco
credenziali, accessi a siti Web e servizi. tutte speciali polizze assicurative che nelle pagine che seguono. dei potenziali acquirenti, il venditore ha messo NSA, per cui pare esegua operazioni di vario tipo. immediatamente diverse patch di emergenza. trucchi di ingegneria sociale come le email il conto corrente o rubano la vostra identità Watering Hole che faceva capo al elettronica. A prima vista si tratta di un scoperte falle di sicurezza, non sarà Si tratta però di una procedura non alla Soci), dal 2011 il CLUSIT pubblica il
“Rapporto CLUSIT sull’ICT Security in Italia”,
da numerosi focus on specifici su temi caldi
del momento, dai tablet ai Social Network,
viene presentato ogni anno a giornalisti,
politici, vertici delle Istituzioni Italiane,
a molte aziende
di migliorare la qualità
possono sfruttare la libertà della medaglia. Sono tanti
i criminali e le potenziali
vedremo alcuni semplici ma importanti
passaggi per mettersi in sicurezza.
Password
complesse
Applicare una rigida politica di sicurezza,
diventa quindi essenziale. Anziché
balzo in avanti eccezionale. Se però vi possibile aggiornarli. L’unico modo per portata di tutti, ma solo degli utenti più
del VoIP per riempirsi le tasche”
a disposizione un campione gratuito. Per il resto, Equation ha convalidato la violazione dei propri Questo fa pensare che i programmi per l’hacking di phishing, fino ad arrivare a espedienti più digitale. A fronte di tutto ciò, è però programma QUANTUMINSERT del GCHQ.
veniva chiesta la bellezza di 1 milione di dollari sistemi che hanno portato gli Shadow Brocker rubati contenessero diversi exploit “zero-day”, soffermate per un attimo a definire i rischi risolvere sarà acquistare lo stesso esperti e smaliziati. Prima di fare un balzo un profilo neutrale, indipendente e dalle questioni del management della funzionari della PA legati al mondo ICT e ai della telefonia, riducendo organizzazioni di Non potrete ridurre a zero il rischio di frodi, Può sembrare semplice permettere connessioni al PBX da qualsiasi
mirati. Un Javascript malevolo iniettato importante fare una considerazione. In pratica, ogni loro connessione verso
in bitcoin. Il gruppo dietro la vendita, chiamato a carpire il materiale poi messo in vendita. Alcuni vale a dire componenti che sfruttano per la sicurezza, l’euforia passa in un dispositivo ma con una versione dei driver nel futuro, quindi, valutate attentamente approfondito sullo status della sicurezza sicurezza a quelle della formazione, tutti CIO, CSO e CISO di Grandi Aziende. al contempo i costi malfattori che possono ma almeno sarete in grado di rendere e scontato, ma in un mondo parte del pianeta, è meglio bloccare tutto
tramite un annuncio pubblicitario di terze Gli attacchi, tranne rari casi, non sono quasi LinkedIn o Slashdot veniva rimandata
Shadow Brocker, sostiene di aver rubato queste strumenti di questo arsenale consistono in una vulnerabilità sconosciute perfino ai produttori. momento. Certo, la maggior parte di questi più recente. In un certo qual modo, i rischi che si corrono. di gestione e manutenzione. i sistemi sono in grado di offrire molte lucrare su questa libertà, trasformandola la vita più difficile a chi tenta di fregarvi. dove si utilizzano innumerevoli password per il traffico esterno. Tramite una whitelist
parti potrebbe essere un valido esempio. mai rivolti verso il vostro computer. a copie fasulle di questi due servizi.
Se fate un balzo in avanti di un decennio, più funzioni rispetto alle piattaforme così in un moderno incubo fatto di cifre Utilizzeremo in particolare Asterisk PBX altrettanti servizi, la tentazione di usare di indirizzi IP, gestirete le comunicazioni solo
28 29 vi accorgerete subito come VoIP sia legacy PBX. Non solo, ma il vasto mondo da capogiro. su CentOS, ma i passaggi sono adattabili chiavi di accesso facilmente rintracciabili tra terminali sicuri. Naturalmente, se non
a qualsiasi piattaforma PBX su distro Linux. è sempre dietro l’angolo. Quando configurate utilizzate un indirizzo IP statico, le cose
4 5 12 13
90 91
Sicurezza di rete Server virtuali protetti Dispositivi Mobili Protezione per il telefono
L
i guest non privilegiati e offre loro un’interfaccia per l’hardware.
un VPS sicuro
a maggior parte dei compiti che una volta con la procedura. Purtroppo, questo sistema specifiche di tutte le applicazioni installate e,
Il kernel Linux supporta Xen, ma potete anche usare NetBSD
venivano eseguiti solo dai computer, adesso addossa molta responsabilità agli utenti, che in teoria se tenete alla vostra riservatezza, la cosa migliore
o OpenSolaris come stack di controllo. Si dovrebbe anche
fa parte del background funzionale dovrebbero sapere se tali richieste di accesso sono che potete fare è disattivare la funzione di accesso
menzionare KVM, che fa un eccellente lavoro nel confondere
dei cellulari. Questi, infatti, possono essere usati come giustificate. Secondo alcuni studi (fonte: http://bit. ai contatti per ogni app che non ne fa strettamente
i limiti tra Tipo 1 e Tipo 2. Una volta caricato il modulo KVM, l’OS
lettori multimediali, registratori, dispositivi per giocare, ly/1bRbsVr), molte app richiedono fin troppe uso. XPrivacy, a questo punto, proteggerà le
Android sicuro
scelto, dopo un pagamento con carta di credito rapido e indolore Mettere in sicurezza utilizzate per migliorare il targeting degli annunci smartphone a cui hanno accesso. Quest’app sarà importante e a questo proposito potete utilizzare
vi sarà fornito un hostname/indirizzo IP e una password. la shell sicura e se per alcune persone questo non è un problema, quindi utile quando volete visualizzare tutti i software EXIF Remover, un’applicazione particolare che non
Ora potrete entrare con ssh nella vostra nuova appliance Anche se avete una buona memoria e una password sicura, per chi tiene alla propria privacy non è certo che entrano in contatto con le vostre informazioni sfrutta alcuna interfaccia grafica. Una volta installata,
con accesso completo di root: è buona regola fare un passo in più e creare una coppia il massimo. Uno degli strumenti principali del vostro personali, come l’elenco dei contatti o la cronologia Web. vi comparirà come opzione direttamente nel menu
$ ssh root@nomemacchina di chiavi per autenticarvi con ssh, disabilitando al contempo smartphone Android è il sistema di autorizzazioni. Condividi. Se la selezionate, intercetterà tutte
Ci sono un paio di cose delle quali dovreste subito occuparvi, le password. La chiave pubblica è memorizzata sul server Quando installate un’applicazione, essa vi informa Controllare i permessi le immagini che volete condividere e cancellerà i dati
esattamente come fate appena installato un OS su una e dovreste tenere quella privata in luogo sicuro, senza farne su quali funzioni intende mettere le mani ed è quindi Una volta identificata un’applicazione pericolosa per EXIF prima di mandarle in giro per la Rete. Un’altra
macchina fisica. Alcune di queste potrebbero essere già state alcuna copia. Se la perdete, la maggior parte dei VPS possibile scegliere se andare avanti o meno la privacy, è possibile rimuoverla. Google, in Android buona abitudine per proteggere la privacy consiste
fatte, a seconda della cura messa nel prepararvi l’immagine vi permetterà di entrare con una console seriale e sistemare 4.3, si è recentemente lasciato sfuggire una nel crittografare i file che volete condividere su servizi
che state usando. Controllate /etc/hostname, /etc/locale.
gen, /etc/hosts e impostate le timezone. Talvolta la cosa
le cose. Potete generare una coppia di chiavi sulla macchina
locale con il comando
Lo smartphone è la vostra casa: funzionalità interessante per la protezione dei dati
personali, che potete sbloccare tramite lo strumento
Cloud come Dropbox o Google Drive. Potete farlo
facilmente su un PC Linux con EncFS. Disponibile nei
migliore è impostarla a UTC in modo che benefici della natura
virtuale del sistema:
$ ssh-keygen
Vi verrà chiesto un nome di file per la chiave privata, e quindi
vi aiutiamo a capire come metterlo in sicurezza Aps Ops. In pratica, per ogni applicazione, potrete
disattivare singolarmente ogni voce che prende
repository delle distribuzioni più popolari come Fedora
e Ubuntu, questo strumento richiede la creazione
S
Ora dovreste creare un utente normale, dal dato che essere per diversi server potrebbe essere una buona idea cambiare e qualcuno fosse veramente interessato, e probabilmente anche informazioni finanziarie che il 97% delle applicazioni provate accede installando Shazam avete i permessi per disabilitare crittografato, la seconda la versione criptata. Il suo
sempre root non è una buona idea: il nome del file proposto per includere l’hostname relativo; potrebbe rilevare la vostra esatta posizione personali. Come se non bastasse, il telefono può impropriamente a fonti di informazioni private la funzionalità che gli permette di rilevare la vostra sistema di funzionamento è molto semplice: preleva
$ useradd -m -G wheel nomeutente in caso contrario, ~/.ssh/id_rsa va benissimo. La chiave in questo preciso momento. Probabilmente monitorare continuamente la vostra posizione contenute nel dispositivo. Ha poi rilevato posizione. Purtroppo Google ha poi rimosso i file non crittografati dall’apposita cartella e li cifra
Il mondo della segretezza dei dati ha attualmente un tema molto Sostituite nomeutente con il vostro nick preferito. Con questo
comando vi siete aggiunti al gruppo wheel, il che vi permette
pubblica verrà generata nello stesso punto con suffisso .pub.
Notate l’immagine casuale associata alla chiave: potrebbe
vedrebbe perfino cosa state leggendo
e registrerebbe anche i respiri che emettete.
per costruire un profilo dettagliato degli
spostamenti. I modi che questi dispositivi utilizzano
che l’86% degli utenti non aveva alcun mezzo
per proteggersi dai comuni exploit. Non ci sono
questa gradita funzione e, alla seguente richiesta
di spiegazioni, ha affermato che l’opzione in questione
al volo memorizzandoli nell’altra directory.
Per utilizzare EncFS con Dropbox, basta aggiungere
caldo: la sicurezza dei server virtuali. Ecco come garantirla... di usare su per diventare root. Se volete usare sudo, la parte tornarvi utile nel confrontare chiavi diverse. Per default ssh-
Nel frattempo, il malintenzionato di turno avrà letto
tutti i vostri messaggi, rubando i contatti
per inviare i dati e le informazioni sul vostro conto
sono davvero tanti e questo è un problema tanto
però solo brutte notizie, ma anche qualche aspetto
positivo. Infatti, gli smartphone consentono
era una semplice sperimentazione rilasciata
accidentalmente. Se usate Android con permessi
la cartella crittografata all’interno dello spazio Cloud.
In questo modo tutti i cambiamenti che avvengono
-G wheel non è necessaria, dovrete però usare visudo. keygen produce chiavi RSA a 2048 bit, dovrebbero essere
I
e controllando il credito residuo di modificare numerose di root, potete ancora recuperare questa funzione nella directory criptata vengono automaticamente
server virtuali sono economici. In effetti, L’esempio più diffuso è OpenVZ (Open gira in un OS convenzionale. I puristi, tuttavia,
se non avete troppe richieste, potete Virtuozzo), un kernel Linux modificato ribattono che non è una vera virtualizzazione,
sulla SIM dello smartphone.
“Il 97% delle app provate accede impostazioni relative alla privacy come modulo per il framework Xposed. Non solo, sincronizzati. Dopo aver installato EncFS, create