• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Acciaio ...inux!
 

Acciaio ...inux!

on

  • 971 views

Sicurezza & Linux, principali tecniche di attacco ai sistemi informatici, tecniche psicologiche, conservazione dei dati. Creata in occasione del LinuxDay 2009. ...

Sicurezza & Linux, principali tecniche di attacco ai sistemi informatici, tecniche psicologiche, conservazione dei dati. Creata in occasione del LinuxDay 2009.

__
di: Mora Fabio, Pignatelli Simone

Statistics

Views

Total Views
971
Views on SlideShare
968
Embed Views
3

Actions

Likes
1
Downloads
1
Comments
0

1 Embed 3

http://www.linkedin.com 3

Accessibility

Categories

Upload Details

Uploaded via as OpenOffice

Usage Rights

CC Attribution-NonCommercial LicenseCC Attribution-NonCommercial License

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Acciaio ...inux! Acciaio ...inux! Presentation Transcript

    • Acciaio In..ux Fabio Mora, Simone Pignatelli
    • Linux e... SICUREZZA BUFFER OVERFLOW PHISHING CROSS SITE SCRIPTING BRUTE FORCE FURTO D'IDENTITÀ CRITTOGRAFIA SQL INJECTION CRACKER EXPLOIT SNIFFING VIRUS TROJAN SHELLCODE DENIAL OF SERVICE FIREWALL BACKDOOR
    • Linux: un SO con basi solide
        Uno dei punti di forza di Linux è sempre stata la sicurezza:
      • Gestione di utenti e permessi molto rigida
      • Installazione sicura dei programmi
      • Virus? Che cosa sono?
      • Vantaggi derivanti dalla filosofia Open Source
    • Gestione utenti e permessi
      • L'utente root (Super User) NON è quello di default (e in Windows® e Mac®?)
      • La maggior parte del tempo, si utilizza il sistema per operazioni standard: internet, e-mail, grafica, giochi, ecc...
      • NON servono i permessi di amministratore per fare questo. Quindi linux non te li da...
      • Così se sbaglio qualcosa o mi becco un malware, al massimo rovino il MIO profilo, senza compromettere tutto il sistema (e gli altri utenti)
      • Quando servono permessi speciali, ad esempio per installare programmi o periferiche, viene sempre richiesta la password di amministratore
      • Da shell c'è il comando sudo (Super User Do)
    • Installazione sicura dei programmi
      • L'installazione dei programmi è molto diversa ad esempio Windows o Mac
      • Niente installer.exe, setup.exe da scaricare da internet
      • Si utilizza un programma apposito, chiamato gestore di pacchetti (in Ubuntu è APT, Fedora ha YUM...) che contiene un elenco delle applicazioni disponibili
      • Queste applicazioni sono state controllate e dichiarate sicure dalla comunità di sviluppatori della distribuzione che stiamo usando
      • In questo modo, si è sicuri di installare solo software sicuro e non malevolo
      • Come già detto, prima di installare qualcosa, il sistema ci richiederà la password di amministratore
    • E i virus???
      • É vero che non esistono virus per linux?
      • In realtà se avete seguito bene Alberto, potreste anche voi crearne uno con poche righe di codice bash.
      • E allora? Perché non si sente parlare di antivirus per Linux?
      • In effetti è facile creare un programma malevolo per il pinguino, ma poi come facciamo a trasmetterlo agli altri?
      • Un passo indietro: con Linux non ho bisogno di scaricare software poco affidabili dal web, c'è il gestore di pacchetti.
      • Se lo mando via posta, l'utente poi deve aprire l'allegato ed eseguirlo. Ma tutti sanno che non è buona norma aprire un file del quale non si conosce la provenienza, vero? (:
      • Bisogna rendere eseguibile il file ricevuto (chmod +x)
      • In ogni caso il “virus” farebbe limitati danni, poiché agisce in un contesto da utente normale, non amministratore
    • I vantaggi della filosofia Open Source
      • Linux è Open Source!!!
      • Quando capita una falla di sicurezza, è più facile che venga scoperta, e quindi corretta.
      • Il discorso vale anche per la maggior parte dei programmi che si usano con linux, poiché sono anch'essi Open.
      • Al contrario, se un sistema è chiuso, come faccio a essere sicuro di quello che fa?
    • Il problema della password
      • E quindi dove sta il problema? Da quanto detto, con Linux stiamo in una botte di ferro!
      • In realtà, spesso la falla non è il sistema, ma l'utente!!!
      • Punto debole: la PASSWORD
      • E se qualche malintenzionato ruba, trova o indovina la mia password? O peggio, quella di amministratore?
      • Controllo completo del sistema!
      • Ma come si fa a indovinare una password?
      • Esistono molti metodi. Ora ne illustreremo due:
      • Brute force
      • Attacco a dizionario
    • Attacco brute force (forza bruta)
      • Concettualmente molto semplice: le provo tutte finché non trovo quella giusta!
      • Devo farlo a mano? Ci metterò un'eternità!
      • No, ci sono programmi apposta: il lavoro sporco lo fa il pc.
      • Ok il pc è veloce a fare i calcoli. Ma quante sono le combinazioni da provare?
      • Es. con password numeriche lunghe 3 cifre: 1000 (0 – 999). Ok un qualsiasi pc troverebbe la password in un secondo.
      • Es. con password realistiche (10 caratteri alfanumerici): un processore attuale ci metterebbe circa 2.000 anni!
      • Quindi è meglio usare password lunghe!
    • Attacco a dizionario
      • Metodo più furbo: non provo tutte le combinazioni, ma solo quelle più probabili.
      • Questo perché la maggior parte delle password non sono simili a “vu432nji*fe”, ma è più facile che siano il nome della fidanzata o della squadra del cuore.
      • Quindi si prepara un elenco di password “ragionevoli” (dizionario) e si dice al programma di provare solo quelle
      • La ricerca è molto più veloce!
      • Quindi è meglio usare password “strane”, ad esempio aggiungendo numeri o simboli, perché difficilmente staranno in qualche dizionario.
    • Attacco a rete wireless
      • Ormai le reti wireless sono diffusissime, e anche per queste esiste il problema della sicurezza.
      • Non vorrete mica che qualcuno si inserisca nella vostra rete di casa e vi rubi la connessione a internet?!?
      • Per questo si usano le connessioni crittografate: se non sai la password, non ti connetti alla mia rete!
      • Si usano principalmente due sistemi di cifratura: WEP e WPA.
      • Problema: il WEP è stato crackato!!! Attraverso un difetto dell'algoritmo di cifratura, è possibile decifrare la password di connessione.
      • Quindi usate WPA, che è sicuro (per ora). ...e configurate il filtro MAC address.
    • Furto d'identità
      • Ok, abbiamo capito che su un SO (non solo linux ovviamente) dobbiamo stare attenti alla password. E su internet?
      • Chi di voi usa Facebook o MSN? E chi di voi sta veramente attento ai dati personali che pubblica sul web?
      • Mai capitato di aggiungere su MSN persone mai viste prima, o accettare su FB amicizie di sconosciuti perché tanto non costa niente?
      • Forse non ci avete mai pensato, mai dai vostri dati personali è possibile trarre informazioni molto interessanti...
      • Quindi occhio! Perché non serve essere esperti informatici per rubare l'account a qualcuno!
    • Phishing
      • Ok, faremo più attenzione alle informazioni personali.
      • Ora possiamo stare tranquilli? Naturalmente NO!
      • Col metodo che abbiamo visto prima, è possibile solo cambiare la password dell'utente, non rubarla.
      • La prima volta che proverà ad accedere al suo account, si accorgerà che qualcosa non va e (si spera) prenderà provvedimenti.
      • Forse si può fare di meglio (o peggio: dipende dai punti di vista). Si può provare col phishing!
      • Il fenomeno del phishing consiste nell'ingannare l'utente, tipicamente con e-mail fasulle, in modo da rubare password, account web o addirittura il numero della carta di credito!
    • Phishing
      • Notizia recente (ottobre 2009): alcuni cracker sono riusciti a rubare le credenziali di accesso (utente e password) di migliaia di account Hotmail, Gmail, Yahoo e altri.
      • In realtà non le hanno rubate: sono gli utenti stessi che gliele hanno fornite!
      • E ora che abbiamo rubato la password di MSN? Facciamo gli scherzi in chat ai suoi amici? Sai che problemone...
      • Sicuri che il problema sia solo quello? In realtà possiamo leggere la sua posta (contenente magari dati personali e sensibili) e accedere così ad altri account. É una catena...
      • E se usa la stessa password pure per altri servizi? Disastro!
      • Quindi occorre fare attenzione all'URL e fidarci preferibilmente dei siti “col lucchetto”.
    • Avvertenze!!!
      • Nel caso vi siano venute in mente strane idee...
      • Noi siamo hacker, NON cracker!
      • Ci interessa capire come funziona un sistema, e analizzare i suoi difetti al fine di renderlo più sicuro.
      • Un cracker invece è un malintenzionato, che compie REATI quali furto, frodi, accesso abusivo a informazioni personali, danneggiamenti, ecc...
      • Se non vi basta la motivazione etica, ricordiamo che i reati informatici sono perseguibili PENALMENTE (quindi si può andare in galera) dalla legge 547/93 e altre.
      • E ricordatevi che siete sempre rintracciabili attraverso il vostro indirizzo IP!
      • Uomo avvisato...
    • GRAZIE PER L'ATTENZIONE GalLUG – Gruppo Utenti Linux Galliate www.gallug.it - [email_address] - 0321 806832 Fabio Mora, fabio@gallug.it Simone Pignatelli, simone@gallug.it