Introduzione a Linux...Un sistema operativo LIBERO !

Privacy e security in rete...

Privacy e Sicurezza ...

● Affronteremo ''solo'' la sicurezza di una macchina ''domestica'' collegata alla rete via modem o ISDN/ADSL.

● Trascuriamo la cosiddetta ''physical security''.● Adesso dobbiamo pero' introdurre un paio di

concetti legati alla rete: indirizzo e porta.

Porte e indirizzi ...

● Una macchina connessa alla rete e' identificata in maniera UNICA da un indirizzo, chiamato indirizzo IP.

● E' del tipo 62.10.8.93● Un sistema (DNS) traduce i numeri in nomi piu'

facili da ricordare.● Il vs. PC di casa, quando vi connettete ha solo un

indirizzo IP, che vi viene assegnato dal vostro ISP.● Cambia sempre (ma sono noti gli IP che usa ogni

ISP...)● ifconfig per vederlo su linux (su win....).

Porte e indirizzi ...

● Tutti i protocolli Internet per funzionare hanno bisogno di una porta: sistema che permette l'entrata e l'uscita di dati.

● Un collegamento su Internet (mail, www, ecc.) per funzionare ha bisogno di

● Indirizzo destinazione● Indirizzo sorgente● Porta destinazione.

Porte e indirizzi ...

● Tutto questo avviene in maniera trasparente per voi, ma porta e indirizzi servono anche a chi vuole ''bucare'' la vostra macchina.

● Da qui in poi qui ci scappera' l'espressione ''porta aperta''....

Privacy e Sicurezza in rete...

Quando si parla di queste cose, si possono

assumere 2 atteggiamenti opposti:● Internet e' un paradiso e sono tutti buoni, belli

e bravi● Internet e' l'ultimo girone dell'inferno, non ci si

puo' fidare di nessuno, non serve a nulla.

Ovviamente, come al solito, la verita` sta nel mezzo...Nella Rete c'e' tutto e di piu', perche', almeno per adesso, e' LIBERA.

...

● Proprio perche' LIBERA e 'orizzontale', la rete affida la sua sicurezza alla sicurezza di tutti: una maglia debole indebolisce tutta la rete, quindi

● Se la vostra macchina e i vostri comportamenti sono ''sicuri'' per voi, lo sono per tutti gli altri.

● I comportamenti sono insicuri per colpa mia o per colpa del S.O. Devo tenere d'occhio entrambe.

● Ad. es: un virus che usa un buco di MS Outlook, non si diffonde se voi non avete nulla nella rubrica (o se non usate MS...) o se voi avete l'antivirus aggiornato.

Hackers o crackers ???

● Per favore, non usate la parola HACKER per indicare una persona che ''buca'' una macchina.

● Gli HACKER sono quell* che si divertono a smanettare, a capire, a investigare, a fare. Linus, Stalmann, Wall, Ricthie, Stevens sono hackers...

● Chi buca e' un CRACKER (uno che ROMPE...), usando una cosa che scopre lui ma non rende nota alla comunita`

● Chi usa cose scoperte da altri, e' un ''lamer'' o ''script-kiddy''...

Privacy o sicurezza ?

● Per i ''tecnici'' sono due cose molto diverse. La sicurezza CONTIENE anche la privacy

● Sicurezza: 0) non bucare la macchina degli altri, 1) evita di farti bucare la tua. 2) tieni per te i tuoi dati e diffondili solo e come vuoi tu.

● Privacy: evita di diffondere inutilmente i tuoi dati, proteggili da occhi malintenzionati, quali che siano.

E' UN TUO DIRITTO !!!

● Noi, in contesto piu` ''sociologico'', le tratteremo separatamente.

Sicurezza

Come avvengono accessi indesiderati dalla rete sulla mia macchina ?

● Usando un ''buco'' o ''baco'' del S.O.

[ Baco == errore non voluto che apre una 'porta'']

[Buco == porta ''erroneamente'' (???netbios) aperta...]

● Usando i vostri dati (uid, passwd) che non sono protetti o sono ''deboli''...

Sicurezza

Come proteggo la mia macchina da accessi indesiderati ?

● Anzitutto qui partiamo dal presupposto che la vostra macchina sia in un luogo sicuro (casa), che solo voi abbiate accesso fisico, ecc.

● Potrebbe essere una buona cosa mettere una password al BIOS (okkio a non dimenticarla !!!). Sappiate che comunque esistono molti sistemi per aggirare il problema (batteria, vendor passwd, ecc.)

● In generale siate ''gelosi'' della vostra macchina ....

La password...

● Dovete anzitutto evitare VOI ''comportamenti a rischio''. Il piu' comune errore e' la password.

Una buona passwd e':

● NON e' il vostro nome, quello del cane, ecc.

● NON e' la vostra LOGIN/nome utente

● E' lunga ALMENO 7 caratteri

● Ha ALMENO una maiuscola e un NUM o un simbolo.

● ...(evitando le lettere e i caratteri tipici dell'italiano...)

● Evitate pero` passwd che poi dimeticate e/o dovete scrivere...

La password (2)...

● nonna e' una passwd pessima, come anche matteo68 e KJdjh984jn@#@.

● Pero' N0nn@!21 e' una buonissima passwd.● NON SCRIVETELA in file sul PC, o su foglietti

appiccicati al PC...● CAMBIATELA SPESSO!● Evitate protocolli poco sicuri (telnet, http)● In particolare, dove viaggiano $$$$ o password,

controllate che ci sia https

Win$(1)

Cose pratiche da fare per ''chiudere'' la macchina: ● Aggiornate l'antivirus● Installatevi un ''personal firewall'' (ZoneAlarm,

TinyFW,OUTPOST).● NON APRITE MAIL che arrivano da SCONOSCIUT* !!!!● NON ESEGUITE MAI allegati !!!!

Digressioncina sui firewall

Firewall: parete antifuoco.● Serve per dire CHE INDIRIZZO PUO' ENTRARE DA

CHE PORTA.● E' cosi' sia su linux che su Win$.● Esempio (linux ipchains -L):

target prot opt source destination ports

ACCEPT tcp -y---- anywhere anywhere any -> ssh

REJECT tcp -y---- anywhere anywhere any -> 0:1023

Win$(2)

Altre cose pratiche da fare: ● Se usate IE da un posto diverso dal VOSTRO PC,

pulitene la “memoria”: Strumenti -> Opzioni Internet -> Cronologia -> Cancella.

● No accettate MAI di fare connessioni usando cose che vi propone un sito: vi spelano vivi !!!

● NON SALVATE la PASSWORD nella mascherina di Accesso Remoto di Win$: se vi attacca un virus (sqlslammer), ve la legge, la cambia, e saluti alla connessione....

Win$(3)

● NON SALVATE mai PASSWD su SITI !!!● NON MANDATE UN TUBO ALLA M$ o a chi vi chiede

info sul vostro PC, a meno che lo conosciate BENE.

Se fate queste cose, chiudete, +/-, ''le porte'' lasciate

aperte dai buchi del S.O....Tenete conto che facendo

cosi`, non solo proteggete voi stessi, ma anche gli altri !!!

(...e siccome pochi lo fanno e Win$ e' un colabrodo, gli

''smanettoni'' sacramentano...ma anche i vostri amici che

ricevono da voi un virus!!!)

Linux(1)

Linux e' intrinsecamente piu` sicurio di Win perche'● NON ESISTONO VIRUS....per vari motivi....● Decidete voi quello che fa.

Il che non vuol dire che non potete configurarlo male.● Per un uso domestico standard, quando installate

potete dirgli di applicare una security MEDIUM.● Poi, leggendo i doc, potrete cambiarla...

Linux(2)

● Mantenete il S.O aggiornato. Esistono ML per tutti i Linux.

● Fate pstree o netstat -ltunp o ''Service Configuration'' e vedete che processi girano. Se ci sono dei processi che finiscono con 'd', vale la pena

1) capire cosa sono

2) se sono daemoni e non servono (tranne crond) , spegnerli...

Linux(3)

● Un buona buona configurazione per linux dovrebbe darvi a netstat -ltunp, non di piu' di:

● rpc.statd● xinetd● portmap● X

Poi editate il file /etc/hosts.allow e mettete solo la riga ALL: localhost,127.0.0.1

Idem /etc/hosts.deny deve avere solo la riga ALL: ALL

Privacy...● Per privacy si intende qui che solo chi e' esplicitamente

autorizzato da VOI vede quello che voi volete fargli vedere...

● Siccome non potete essere ''certi'' che, ad esempio, i mail vengano letti SOLO da voi e dai destinatari, dovreste volerli ''cryptare'' in modo che solo gli autorizzati li possano ''decryptare''...

● Qui considereremo solo la privacy su rete, partendo dal presupposto che il vostro PC sia ragionevolmente sicuro.

● Supponiamo anche che le cose che volete tenere ''private'' siano essenzialmente mail e/o documenti

Mail e http...

● In generale, la comunicazione elettronica e' protetta dalla legge (675/96). I mail in particolare vengono equiparati alla corrispondenza cartacea, per cui vale il segreto postale.

● Il ''problema'' e' che un mail non ha una ''busta'', che la protegge da occhi indiscreti...

● Cosa e' un mail ? Un file di testo che viene trasferito dalla vostra macchina a quella del ISP, da questa a quella dell'ISP del destinatario. Eventualmente, da questa,al PC del destinatario.

Mail e http...(2)

Quindi un mail puo essere letto:● Sulla vostra macchina (che supponiamo pero' chiusa)

(host)● Mentre va da voi al vostro ISP (net)● Sulla macchina del vostro ISP (server)● Mentre va dal vostro ISP all'altro ISP (net)● Sulla macchina dell'altro ISP (server)● Sulla macchina del destinatario (che supponiamo pero'

chiusa) (host)

Mail e http...(3)

● Nei casi net, leggere un mail ''sniffando'' il traffico di rete (che non e' cryptato...), e' DIFFICILE e laborioso. Si puo' al limite vedere che TIZIO scrive a CAIO.

● Nei casi host, e' abbastanza difficile, se sia TIZIO che CAIO hanno chiuso bene la macchina.

● Nei casi server, la cosa e' molto ambigua...Per legge dovrebbero essere protetti, di fatto, chissa`...

Mail e http...(4)

● Per quanto riguarda il traffico http (pagine web), sappiate che TUTTI i siti tengono traccia di chi e' andato a vedere cosa, in forma del tipo:

il che dice che dalla macchina 80.182.210.218 il giorno

28 maggio e' stata visitata la pagina

secret/porno/terror/01.html

...non e' obbligatorio per legge, almeno per ora...in italia

80.182.210.218 - - [28/May/2003:09:25:03 +0200] "GET /secret/porno/terror/01.html

Mail e http...(4)

● Siti ''poco seri'' vendono questi indirizzi....● Siti ''seri'' possono essere obbligati da un mandato ad

esibire questi dati. Sapendo che il Sig. Rossi alle 9:25 del 28 maggio si era connesso a Tiscali e Tiscali gli aveva dato l'indirizzo 80.182.210.218, si puo' risalire al fattoche il Sig, Rossi ha guardato porno/terror/01.html.....

● Quindi, in generale, SAPPIATE CHE RESTA TRACCIA DI QUELLO CHE VISITATE SUL WEB...

Cryptazione...

● La criptazione e' un meccanismo matematico per cui un testo viene trasfromato in un altro testo, generalmente ''illeggibile'', e solo chi conosce la ''chiave'' e' in grado di decrifarlo.

● Primo esempio di criptazione: rotore dei germani contro Cesare...

● Il piu' diffuso e sicuro meccanismo di cyrptazione elettronica e' a chiave-doppia e usa un algoritmo che, nella versione ''normale'', richiederebbe circa 1000 anni sul CRAY NASA per decifrare una sola parola. Basato su un teorema di Eulero del '700...

● ...hanno cercato di vietarlo, ma poiche' il ''sorgente'' era ormai pubblico, non aveva senso...In USA e' ancora considerato pari ad un'arma. (DSA-RSA)

Cryptazione...

Ecco un piccolo testo

Questo e' un sempio di testo cryptato con GPG.Buon Divertimento !!!

Lo cryptiamo dicendogli che e' destinato a boschini@cilea.it di cui ho la chiave pubblica:

gpg -e -a -o pippo esempio_crypt.txt boschini@cilea.it

Cryptazione...

...ed eccolo cryptato:

-----BEGIN PGP MESSAGE-----Version: GnuPG v1.0.6 (GNU/Linux)Comment: For info see http://www.gnupg.org

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5Urw-----END PGP MESSAGE-----

Cryptazione...

Come usarla in pratica ?

● Generate la vostra coppia di chiavi

● Date a chi volete voi la vostra chiave pubblica

● Fatevi dare da lui/lei la sua chiave pubblica.

● Quando scrivete un testo per lui/lei lo cryptate con la vostra chiave privata e la sua pubblica.

● Lui/lei sara' in grado di decifrarlo usando la sua privata e la vostra pubblica.

● Su Gnu/Linux potete usare GnuPG (www.gnupg.org)

Cryptazione...

● (Quasi) tutti i clienti di posta (anche Win$), hanno inclusa la possibilita' di crypt/decrypt (Mozilla, Eudora, Netscape,

● Anche per Win$ esiste GnuPG. Installatelo, provate a generarvi la chiave, mi spedite la chiave pubblica, io vi do la mia, e proviamo (www.gnupg.org/related_software/frontends.html#win).

● E' facile da usare, mooolto sicuro e potente.

● Ad esempio, ~ il 75% dei mail per il sito FSE erano cryptati...

● QUESTO E' UN OTTIMO SISTEMA PER ASSICURARE LA PRIVACY DEI VOSTRI MAIL E/O DOCUMENTI.

Riservatezza di mail e www

● Se poi siete ''paranoid'', esistono anche dei sistemi per MASCHERARE completamente da dove e' stato spedito un mail (remailer) o da dove si e' visitata una pagina web (proxy).

● Anonymous proxy (http://www.multiproxy.org/anon_proxy.htm, http://anonymizer.autistici.org/)

● Remailer: (http://www.gilc.org/speech/anonymous/remailer.html)

Riservatezza di mail

● Un mail e' composto SEMPRE, anche se di solito non lo vedete, da almeno 2 parti:

● Intestazione: mittente, destinatario, percorso compiuto dal mail.

● Testo del mail

● (eventuali allegati)

Riservatezza di mail e www

Return-path: <jebe86@rootshell.be>

Received: from rootshell.be (phenix.rootshell.be [195.74.192.154])

by ICIL64.CILEA.IT (PMDF V6.1 #45892)

with ESMTP id <01KWE5988MLU005PO4@ICIL64.CILEA.IT> for

boschini@cilea.it; Tue,

27 May 2003 16:25:48 +0000 (MET-01DST)

Received: from www.rootshell.be (localhost [127.0.0.1])

by rootshell.be (8.11.5/8.11.5) with SMTP id h4REPld03569 for

<boschini@cilea.it>; Tue, 27 May 2003 16:25:47 +0200

Date: Tue, 27 May 2003 16:25:47 +0200

Utente vero...

Macchina vera...

Riservatezza di mail e wwwReturn-path: <anmetet@freedom.gmsociety.org>Received: from CONVERSION-DAEMON.ICIL64.CILEA.IT by ICIL64.CILEA.IT (PMDF V6.1 #45892) id <01KQ40GKAVA8001VEE@ICIL64.CILEA.IT> for boschini@ICIL64.CILEA.IT (ORCPT boschini@cilea.it); Mon, 16 Dec 2002 19:29:07 +0000 (MET-01DST)Received: from DIRECTORY-DAEMON.ICIL64.CILEA.IT by ICIL64.CILEA.IT (PMDF V6.1 #45892) id <01KQ40GJRTMO001VEE@ICIL64.CILEA.IT> for boschini@ICIL64.CILEA.IT (ORCPT boschini@cilea.it); Mon, 16 Dec 2002 19:29:07 +0000 (MET-01DST)Received: from freedom.gmsociety.org (freedom2.gmsociety.org [205.241.45.101]) by ICIL64.CILEA.IT (PMDF V6.1 #45892) with ESMTP id <01KQ40GIYC68001TVV@ICIL64.CILEA.IT> for boschini@cilea.it; Mon, 16 Dec 2002 19:29:06 +0000 (MET-01DST)

Riservatezza di mail e www

● Nel primo caso, l'utente e le macchine coinvolte sono quelle effettive

● Nel secondo caso si vede solo un mittente farlocco su una macchina intermedia, che non conserva traccia...

● In generale il remailing avviene in 3 passi:

● Jebe--> pippo --> pluto ---> anmetet ---> boschini e solo di anmetet si ha traccia...

...conclusioni...

● A parte questi 2 ultimi argomenti (da veri paranoici...), la sicurezza e la riservatezza sono MOLTO IMPORTANTI

● Dipendono al 90% da voi

● Sono semplici da mettere in atto

● Voi sarete i primi a trarne benefici: niente dati persi, niente dati in mano a chi non dovrebbe averli...

...il Grande Fratello vi spia

ma il cugino pinguino vi aiuta a proteggervi !