Linux, sicurezza & social hacking

419 views

Published on

LinuxDay 2009
Una presentazione rivolta agli studenti del triennio informatico di un ITIS su Linux e qualche nozione di sicurezza. Venne accompagnata da una demo di social hacking su Facebook.

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
419
On SlideShare
0
From Embeds
0
Number of Embeds
80
Actions
Shares
0
Downloads
7
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Linux, sicurezza & social hacking

  1. 1. 1Fabio Mora, Simone Pignatelli, Acciaio In..uxNovara, 2009-10-24 GalLUG - Gruppo Utenti Linux Galliate - www.gallug.itAcciaio In..uxFabio Mora, Simone Pignatelli
  2. 2. 2Fabio Mora, Simone Pignatelli, Acciaio In..uxNovara, 2009-10-24 GalLUG - Gruppo Utenti Linux Galliate - www.gallug.itLinux e...SICUREZZABUFFER OVERFLOWPHISHINGCROSS SITE SCRIPTINGBRUTE FORCEFURTO DIDENTITÀCRITTOGRAFIASQL INJECTIONCRACKEREXPLOITSNIFFINGVIRUSTROJANSHELLCODEDENIAL OF SERVICEFIREWALLBACKDOOR
  3. 3. 3Fabio Mora, Simone Pignatelli, Acciaio In..uxNovara, 2009-10-24 GalLUG - Gruppo Utenti Linux Galliate - www.gallug.itLinux: un SO con basi solideUno dei punti di forza di Linux è sempre stata la sicurezza:● Gestione di utenti e permessi molto rigida● Installazione sicura dei programmi● Virus? Che cosa sono?● Vantaggi derivanti dalla filosofia Open Source
  4. 4. 4Fabio Mora, Simone Pignatelli, Acciaio In..uxNovara, 2009-10-24 GalLUG - Gruppo Utenti Linux Galliate - www.gallug.itGestione utenti e permessiLutente root (Super User) NON è quello di default(e in Windows® e Mac®?)La maggior parte del tempo, si utilizza il sistema peroperazioni standard: internet, e-mail, grafica, giochi, ecc...NON servono i permessi di amministratore per fare questo.Quindi linux non te li da...Così se sbaglio qualcosa o mi becco un malware, al massimorovino il MIO profilo, senza compromettere tutto il sistema (egli altri utenti)Quando servono permessi speciali, ad esempio per installareprogrammi o periferiche, viene sempre richiesta la password diamministratoreDa shell cè il comando sudo (Super User Do)
  5. 5. 5Fabio Mora, Simone Pignatelli, Acciaio In..uxNovara, 2009-10-24 GalLUG - Gruppo Utenti Linux Galliate - www.gallug.itInstallazione sicura dei programmiLinstallazione dei programmi è molto diversa ad esempioWindows o MacNiente installer.exe, setup.exe da scaricare da internetSi utilizza un programma apposito, chiamato gestore dipacchetti (in Ubuntu è APT, Fedora ha YUM...) che contiene unelenco delle applicazioni disponibiliQueste applicazioni sono state controllate e dichiarate sicuredalla comunità di sviluppatori della distribuzione che stiamousandoIn questo modo, si è sicuri di installare solo software sicuro enon malevoloCome già detto, prima di installare qualcosa, il sistema cirichiederà la password di amministratore
  6. 6. 6Fabio Mora, Simone Pignatelli, Acciaio In..uxNovara, 2009-10-24 GalLUG - Gruppo Utenti Linux Galliate - www.gallug.itE i virus???É vero che non esistono virus per linux?In realtà se avete seguito bene Alberto, potreste anche voicrearne uno con poche righe di codice bash.E allora? Perché non si sente parlare di antivirus per Linux?In effetti è facile creare un programma malevolo per ilpinguino, ma poi come facciamo a trasmetterlo agli altri?Un passo indietro: con Linux non ho bisogno di scaricaresoftware poco affidabili dal web, cè il gestore di pacchetti.Se lo mando via posta, lutente poi deve aprire lallegato edeseguirlo. Ma tutti sanno che non è buona norma aprire un filedel quale non si conosce la provenienza, vero? (:Bisogna rendere eseguibile il file ricevuto (chmod +x)In ogni caso il “virus” farebbe limitati danni, poiché agisce inun contesto da utente normale, non amministratore
  7. 7. 7Fabio Mora, Simone Pignatelli, Acciaio In..uxNovara, 2009-10-24 GalLUG - Gruppo Utenti Linux Galliate - www.gallug.itI vantaggi della filosofia Open SourceLinux è Open Source!!!Quando capita una falla di sicurezza, è più facile che vengascoperta, e quindi corretta.Il discorso vale anche per la maggior parte dei programmi chesi usano con linux, poiché sono anchessi Open.Al contrario, se un sistema è chiuso, come faccio a esseresicuro di quello che fa?
  8. 8. 8Fabio Mora, Simone Pignatelli, Acciaio In..uxNovara, 2009-10-24 GalLUG - Gruppo Utenti Linux Galliate - www.gallug.itIl problema della passwordE quindi dove sta il problema? Da quanto detto, con Linuxstiamo in una botte di ferro!In realtà, spesso la falla non è il sistema, ma lutente!!!Punto debole: la PASSWORDE se qualche malintenzionato ruba, trova o indovina la miapassword? O peggio, quella di amministratore?Controllo completo del sistema!Ma come si fa a indovinare una password?Esistono molti metodi. Ora ne illustreremo due: Brute force Attacco a dizionario
  9. 9. 9Fabio Mora, Simone Pignatelli, Acciaio In..uxNovara, 2009-10-24 GalLUG - Gruppo Utenti Linux Galliate - www.gallug.itAttacco brute force (forza bruta)Concettualmente molto semplice: le provo tutte finché nontrovo quella giusta!Devo farlo a mano? Ci metterò uneternità!No, ci sono programmi apposta: il lavoro sporco lo fa il pc.Ok il pc è veloce a fare i calcoli. Ma quante sono lecombinazioni da provare?Es. con password numeriche lunghe 3 cifre: 1000 (0 – 999).Ok un qualsiasi pc troverebbe la password in un secondo.Es. con password realistiche (10 caratteri alfanumerici): unprocessore attuale ci metterebbe circa 2.000 anni!Quindi è meglio usare password lunghe!
  10. 10. 10Fabio Mora, Simone Pignatelli, Acciaio In..uxNovara, 2009-10-24 GalLUG - Gruppo Utenti Linux Galliate - www.gallug.itAttacco a dizionarioMetodo più furbo: non provo tutte le combinazioni, ma soloquelle più probabili.Questo perché la maggior parte delle password non sono similia “vu432nji*fe”, ma è più facile che siano il nome dellafidanzata o della squadra del cuore.Quindi si prepara un elenco di password “ragionevoli”(dizionario) e si dice al programma di provare solo quelleLa ricerca è molto più veloce!Quindi è meglio usare password “strane”, ad esempioaggiungendo numeri o simboli, perché difficilmente starannoin qualche dizionario.
  11. 11. 11Fabio Mora, Simone Pignatelli, Acciaio In..uxNovara, 2009-10-24 GalLUG - Gruppo Utenti Linux Galliate - www.gallug.itAttacco a rete wirelessOrmai le reti wireless sono diffusissime, e anche per questeesiste il problema della sicurezza.Non vorrete mica che qualcuno si inserisca nella vostra rete dicasa e vi rubi la connessione a internet?!?Per questo si usano le connessioni crittografate: se non sai lapassword, non ti connetti alla mia rete!Si usano principalmente due sistemi di cifratura: WEP e WPA.Problema: il WEP è stato crackato!!! Attraverso un difettodellalgoritmo di cifratura, è possibile decifrare la password diconnessione.Quindi usate WPA, che è sicuro (per ora)....e configurate il filtro MAC address.
  12. 12. 12Fabio Mora, Simone Pignatelli, Acciaio In..uxNovara, 2009-10-24 GalLUG - Gruppo Utenti Linux Galliate - www.gallug.itFurto didentitàOk, abbiamo capito che su un SO (non solo linux ovviamente)dobbiamo stare attenti alla password. E su internet?Chi di voi usa Facebook o MSN? E chi di voi sta veramenteattento ai dati personali che pubblica sul web?Mai capitato di aggiungere su MSN persone mai viste prima, oaccettare su FB amicizie di sconosciuti perché tanto non costaniente?Forse non ci avete mai pensato, mai dai vostri dati personali èpossibile trarre informazioni molto interessanti...Quindi occhio!Perché non serve essere esperti informatici per rubarelaccount a qualcuno!
  13. 13. 13Fabio Mora, Simone Pignatelli, Acciaio In..uxNovara, 2009-10-24 GalLUG - Gruppo Utenti Linux Galliate - www.gallug.itPhishingOk, faremo più attenzione alle informazioni personali.Ora possiamo stare tranquilli? Naturalmente NO!Col metodo che abbiamo visto prima, è possibile solo cambiarela password dellutente, non rubarla.La prima volta che proverà ad accedere al suo account, siaccorgerà che qualcosa non va e (si spera) prenderàprovvedimenti.Forse si può fare di meglio (o peggio: dipende dai punti divista). Si può provare col phishing!Il fenomeno del phishing consiste nellingannare lutente,tipicamente con e-mail fasulle, in modo da rubare password,account web o addirittura il numero della carta di credito!
  14. 14. 14Fabio Mora, Simone Pignatelli, Acciaio In..uxNovara, 2009-10-24 GalLUG - Gruppo Utenti Linux Galliate - www.gallug.itPhishingNotizia recente (ottobre 2009): alcuni cracker sono riusciti arubare le credenziali di accesso (utente e password) di migliaiadi account Hotmail, Gmail, Yahoo e altri.In realtà non le hanno rubate: sono gli utenti stessi che glielehanno fornite!E ora che abbiamo rubato la password di MSN? Facciamo glischerzi in chat ai suoi amici? Sai che problemone...Sicuri che il problema sia solo quello? In realtà possiamoleggere la sua posta (contenente magari dati personali esensibili) e accedere così ad altri account. É una catena...E se usa la stessa password pure per altri servizi? Disastro!Quindi occorre fare attenzione allURL e fidarci preferibilmentedei siti “col lucchetto”.
  15. 15. 15Fabio Mora, Simone Pignatelli, Acciaio In..uxNovara, 2009-10-24 GalLUG - Gruppo Utenti Linux Galliate - www.gallug.itAvvertenze!!!Nel caso vi siano venute in mente strane idee...Noi siamo hacker, NON cracker!Ci interessa capire come funziona un sistema, e analizzare isuoi difetti al fine di renderlo più sicuro.Un cracker invece è un malintenzionato, che compie REATIquali furto, frodi, accesso abusivo a informazioni personali,danneggiamenti, ecc...Se non vi basta la motivazione etica, ricordiamo che i reatiinformatici sono perseguibili PENALMENTE (quindi si puòandare in galera) dalla legge 547/93 e altre.E ricordatevi che siete sempre rintracciabili attraverso il vostroindirizzo IP!Uomo avvisato...
  16. 16. 16Fabio Mora, Simone Pignatelli, Acciaio In..uxNovara, 2009-10-24 GalLUG - Gruppo Utenti Linux Galliate - www.gallug.itGRAZIE PER LATTENZIONEGalLUG – Gruppo Utenti Linux Galliatewww.gallug.it - info@gallug.it - 0321 806832Fabio Mora, fabio@gallug.itSimone Pignatelli, simone@gallug.it

×