Uploaded on

Sicurezza & Linux, principali tecniche di attacco ai sistemi informatici, tecniche psicologiche, conservazione dei dati. Creata in occasione del LinuxDay 2009. …

Sicurezza & Linux, principali tecniche di attacco ai sistemi informatici, tecniche psicologiche, conservazione dei dati. Creata in occasione del LinuxDay 2009.

__
di: Mora Fabio, Pignatelli Simone

More in: Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
661
On Slideshare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
1
Comments
0
Likes
1

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Acciaio In..ux Fabio Mora, Simone Pignatelli
  • 2. Linux e... SICUREZZA BUFFER OVERFLOW PHISHING CROSS SITE SCRIPTING BRUTE FORCE FURTO D'IDENTITÀ CRITTOGRAFIA SQL INJECTION CRACKER EXPLOIT SNIFFING VIRUS TROJAN SHELLCODE DENIAL OF SERVICE FIREWALL BACKDOOR
  • 3. Linux: un SO con basi solide
      Uno dei punti di forza di Linux è sempre stata la sicurezza:
    • Gestione di utenti e permessi molto rigida
    • 4. Installazione sicura dei programmi
    • 5. Virus? Che cosa sono?
    • 6. Vantaggi derivanti dalla filosofia Open Source
  • 7. Gestione utenti e permessi
    • L'utente root (Super User) NON è quello di default (e in Windows® e Mac®?)
    • 8. La maggior parte del tempo, si utilizza il sistema per operazioni standard: internet, e-mail, grafica, giochi, ecc...
    • 9. NON servono i permessi di amministratore per fare questo. Quindi linux non te li da...
    • 10. Così se sbaglio qualcosa o mi becco un malware, al massimo rovino il MIO profilo, senza compromettere tutto il sistema (e gli altri utenti)
    • 11. Quando servono permessi speciali, ad esempio per installare programmi o periferiche, viene sempre richiesta la password di amministratore
    • 12. Da shell c'è il comando sudo (Super User Do)
  • 13. Installazione sicura dei programmi
    • L'installazione dei programmi è molto diversa ad esempio Windows o Mac
    • 14. Niente installer.exe, setup.exe da scaricare da internet
    • 15. Si utilizza un programma apposito, chiamato gestore di pacchetti (in Ubuntu è APT, Fedora ha YUM...) che contiene un elenco delle applicazioni disponibili
    • 16. Queste applicazioni sono state controllate e dichiarate sicure dalla comunità di sviluppatori della distribuzione che stiamo usando
    • 17. In questo modo, si è sicuri di installare solo software sicuro e non malevolo
    • 18. Come già detto, prima di installare qualcosa, il sistema ci richiederà la password di amministratore
  • 19. E i virus???
    • É vero che non esistono virus per linux?
    • 20. In realtà se avete seguito bene Alberto, potreste anche voi crearne uno con poche righe di codice bash.
    • 21. E allora? Perché non si sente parlare di antivirus per Linux?
    • 22. In effetti è facile creare un programma malevolo per il pinguino, ma poi come facciamo a trasmetterlo agli altri?
    • 23. Un passo indietro: con Linux non ho bisogno di scaricare software poco affidabili dal web, c'è il gestore di pacchetti.
    • 24. Se lo mando via posta, l'utente poi deve aprire l'allegato ed eseguirlo. Ma tutti sanno che non è buona norma aprire un file del quale non si conosce la provenienza, vero? (:
    • 25. Bisogna rendere eseguibile il file ricevuto (chmod +x)
    • 26. In ogni caso il “virus” farebbe limitati danni, poiché agisce in un contesto da utente normale, non amministratore
  • 27. I vantaggi della filosofia Open Source
    • Linux è Open Source!!!
    • 28. Quando capita una falla di sicurezza, è più facile che venga scoperta, e quindi corretta.
    • 29. Il discorso vale anche per la maggior parte dei programmi che si usano con linux, poiché sono anch'essi Open.
    • 30. Al contrario, se un sistema è chiuso, come faccio a essere sicuro di quello che fa?
  • 31. Il problema della password
    • E quindi dove sta il problema? Da quanto detto, con Linux stiamo in una botte di ferro!
    • 32. In realtà, spesso la falla non è il sistema, ma l'utente!!!
    • 33. Punto debole: la PASSWORD
    • 34. E se qualche malintenzionato ruba, trova o indovina la mia password? O peggio, quella di amministratore?
    • 35. Controllo completo del sistema!
    • 36. Ma come si fa a indovinare una password?
    • 37. Esistono molti metodi. Ora ne illustreremo due:
    • 38. Brute force
    • 39. Attacco a dizionario
  • 40. Attacco brute force (forza bruta)
    • Concettualmente molto semplice: le provo tutte finché non trovo quella giusta!
    • 41. Devo farlo a mano? Ci metterò un'eternità!
    • 42. No, ci sono programmi apposta: il lavoro sporco lo fa il pc.
    • 43. Ok il pc è veloce a fare i calcoli. Ma quante sono le combinazioni da provare?
    • 44. Es. con password numeriche lunghe 3 cifre: 1000 (0 – 999). Ok un qualsiasi pc troverebbe la password in un secondo.
    • 45. Es. con password realistiche (10 caratteri alfanumerici): un processore attuale ci metterebbe circa 2.000 anni!
    • 46. Quindi è meglio usare password lunghe!
  • 47. Attacco a dizionario
    • Metodo più furbo: non provo tutte le combinazioni, ma solo quelle più probabili.
    • 48. Questo perché la maggior parte delle password non sono simili a “vu432nji*fe”, ma è più facile che siano il nome della fidanzata o della squadra del cuore.
    • 49. Quindi si prepara un elenco di password “ragionevoli” (dizionario) e si dice al programma di provare solo quelle
    • 50. La ricerca è molto più veloce!
    • 51. Quindi è meglio usare password “strane”, ad esempio aggiungendo numeri o simboli, perché difficilmente staranno in qualche dizionario.
  • 52. Attacco a rete wireless
    • Ormai le reti wireless sono diffusissime, e anche per queste esiste il problema della sicurezza.
    • 53. Non vorrete mica che qualcuno si inserisca nella vostra rete di casa e vi rubi la connessione a internet?!?
    • 54. Per questo si usano le connessioni crittografate: se non sai la password, non ti connetti alla mia rete!
    • 55. Si usano principalmente due sistemi di cifratura: WEP e WPA.
    • 56. Problema: il WEP è stato crackato!!! Attraverso un difetto dell'algoritmo di cifratura, è possibile decifrare la password di connessione.
    • 57. Quindi usate WPA, che è sicuro (per ora). ...e configurate il filtro MAC address.
  • 58. Furto d'identità
    • Ok, abbiamo capito che su un SO (non solo linux ovviamente) dobbiamo stare attenti alla password. E su internet?
    • 59. Chi di voi usa Facebook o MSN? E chi di voi sta veramente attento ai dati personali che pubblica sul web?
    • 60. Mai capitato di aggiungere su MSN persone mai viste prima, o accettare su FB amicizie di sconosciuti perché tanto non costa niente?
    • 61. Forse non ci avete mai pensato, mai dai vostri dati personali è possibile trarre informazioni molto interessanti...
    • 62. Quindi occhio! Perché non serve essere esperti informatici per rubare l'account a qualcuno!
  • 63. Phishing
    • Ok, faremo più attenzione alle informazioni personali.
    • 64. Ora possiamo stare tranquilli? Naturalmente NO!
    • 65. Col metodo che abbiamo visto prima, è possibile solo cambiare la password dell'utente, non rubarla.
    • 66. La prima volta che proverà ad accedere al suo account, si accorgerà che qualcosa non va e (si spera) prenderà provvedimenti.
    • 67. Forse si può fare di meglio (o peggio: dipende dai punti di vista). Si può provare col phishing!
    • 68. Il fenomeno del phishing consiste nell'ingannare l'utente, tipicamente con e-mail fasulle, in modo da rubare password, account web o addirittura il numero della carta di credito!
  • 69. Phishing
    • Notizia recente (ottobre 2009): alcuni cracker sono riusciti a rubare le credenziali di accesso (utente e password) di migliaia di account Hotmail, Gmail, Yahoo e altri.
    • 70. In realtà non le hanno rubate: sono gli utenti stessi che gliele hanno fornite!
    • 71. E ora che abbiamo rubato la password di MSN? Facciamo gli scherzi in chat ai suoi amici? Sai che problemone...
    • 72. Sicuri che il problema sia solo quello? In realtà possiamo leggere la sua posta (contenente magari dati personali e sensibili) e accedere così ad altri account. É una catena...
    • 73. E se usa la stessa password pure per altri servizi? Disastro!
    • 74. Quindi occorre fare attenzione all'URL e fidarci preferibilmente dei siti “col lucchetto”.
  • 75. Avvertenze!!!
    • Nel caso vi siano venute in mente strane idee...
    • 76. Noi siamo hacker, NON cracker!
    • 77. Ci interessa capire come funziona un sistema, e analizzare i suoi difetti al fine di renderlo più sicuro.
    • 78. Un cracker invece è un malintenzionato, che compie REATI quali furto, frodi, accesso abusivo a informazioni personali, danneggiamenti, ecc...
    • 79. Se non vi basta la motivazione etica, ricordiamo che i reati informatici sono perseguibili PENALMENTE (quindi si può andare in galera) dalla legge 547/93 e altre.
    • 80. E ricordatevi che siete sempre rintracciabili attraverso il vostro indirizzo IP!
    • 81. Uomo avvisato...
  • 82. GRAZIE PER L'ATTENZIONE GalLUG – Gruppo Utenti Linux Galliate www.gallug.it - [email_address] - 0321 806832 Fabio Mora, fabio@gallug.it Simone Pignatelli, simone@gallug.it