Introduzione a Linux...
description
Transcript of Introduzione a Linux...
Introduzione a Linux...Un sistema operativo LIBERO !
Privacy e security in rete...
Privacy e Sicurezza ...
● Affronteremo ''solo'' la sicurezza di una macchina ''domestica'' collegata alla rete via modem o ISDN/ADSL.
● Trascuriamo la cosiddetta ''physical security''.● Adesso dobbiamo pero' introdurre un paio di
concetti legati alla rete: indirizzo e porta.
Porte e indirizzi ...
● Una macchina connessa alla rete e' identificata in maniera UNICA da un indirizzo, chiamato indirizzo IP.
● E' del tipo 62.10.8.93● Un sistema (DNS) traduce i numeri in nomi piu'
facili da ricordare.● Il vs. PC di casa, quando vi connettete ha solo un
indirizzo IP, che vi viene assegnato dal vostro ISP.● Cambia sempre (ma sono noti gli IP che usa ogni
ISP...)● ifconfig per vederlo su linux (su win....).
Porte e indirizzi ...
● Tutti i protocolli Internet per funzionare hanno bisogno di una porta: sistema che permette l'entrata e l'uscita di dati.
● Un collegamento su Internet (mail, www, ecc.) per funzionare ha bisogno di
● Indirizzo destinazione● Indirizzo sorgente● Porta destinazione.
Porte e indirizzi ...
● Tutto questo avviene in maniera trasparente per voi, ma porta e indirizzi servono anche a chi vuole ''bucare'' la vostra macchina.
● Da qui in poi qui ci scappera' l'espressione ''porta aperta''....
Privacy e Sicurezza in rete...
Quando si parla di queste cose, si possono
assumere 2 atteggiamenti opposti:● Internet e' un paradiso e sono tutti buoni, belli
e bravi● Internet e' l'ultimo girone dell'inferno, non ci si
puo' fidare di nessuno, non serve a nulla.
Ovviamente, come al solito, la verita` sta nel mezzo...Nella Rete c'e' tutto e di piu', perche', almeno per adesso, e' LIBERA.
...
● Proprio perche' LIBERA e 'orizzontale', la rete affida la sua sicurezza alla sicurezza di tutti: una maglia debole indebolisce tutta la rete, quindi
● Se la vostra macchina e i vostri comportamenti sono ''sicuri'' per voi, lo sono per tutti gli altri.
● I comportamenti sono insicuri per colpa mia o per colpa del S.O. Devo tenere d'occhio entrambe.
● Ad. es: un virus che usa un buco di MS Outlook, non si diffonde se voi non avete nulla nella rubrica (o se non usate MS...) o se voi avete l'antivirus aggiornato.
Hackers o crackers ???
● Per favore, non usate la parola HACKER per indicare una persona che ''buca'' una macchina.
● Gli HACKER sono quell* che si divertono a smanettare, a capire, a investigare, a fare. Linus, Stalmann, Wall, Ricthie, Stevens sono hackers...
● Chi buca e' un CRACKER (uno che ROMPE...), usando una cosa che scopre lui ma non rende nota alla comunita`
● Chi usa cose scoperte da altri, e' un ''lamer'' o ''script-kiddy''...
Privacy o sicurezza ?
● Per i ''tecnici'' sono due cose molto diverse. La sicurezza CONTIENE anche la privacy
● Sicurezza: 0) non bucare la macchina degli altri, 1) evita di farti bucare la tua. 2) tieni per te i tuoi dati e diffondili solo e come vuoi tu.
● Privacy: evita di diffondere inutilmente i tuoi dati, proteggili da occhi malintenzionati, quali che siano.
E' UN TUO DIRITTO !!!
● Noi, in contesto piu` ''sociologico'', le tratteremo separatamente.
Sicurezza
Come avvengono accessi indesiderati dalla rete sulla mia macchina ?
● Usando un ''buco'' o ''baco'' del S.O.
[ Baco == errore non voluto che apre una 'porta'']
[Buco == porta ''erroneamente'' (???netbios) aperta...]
● Usando i vostri dati (uid, passwd) che non sono protetti o sono ''deboli''...
Sicurezza
Come proteggo la mia macchina da accessi indesiderati ?
● Anzitutto qui partiamo dal presupposto che la vostra macchina sia in un luogo sicuro (casa), che solo voi abbiate accesso fisico, ecc.
● Potrebbe essere una buona cosa mettere una password al BIOS (okkio a non dimenticarla !!!). Sappiate che comunque esistono molti sistemi per aggirare il problema (batteria, vendor passwd, ecc.)
● In generale siate ''gelosi'' della vostra macchina ....
La password...
● Dovete anzitutto evitare VOI ''comportamenti a rischio''. Il piu' comune errore e' la password.
Una buona passwd e':
● NON e' il vostro nome, quello del cane, ecc.
● NON e' la vostra LOGIN/nome utente
● E' lunga ALMENO 7 caratteri
● Ha ALMENO una maiuscola e un NUM o un simbolo.
● ...(evitando le lettere e i caratteri tipici dell'italiano...)
● Evitate pero` passwd che poi dimeticate e/o dovete scrivere...
La password (2)...
● nonna e' una passwd pessima, come anche matteo68 e KJdjh984jn@#@.
● Pero' N0nn@!21 e' una buonissima passwd.● NON SCRIVETELA in file sul PC, o su foglietti
appiccicati al PC...● CAMBIATELA SPESSO!● Evitate protocolli poco sicuri (telnet, http)● In particolare, dove viaggiano $$$$ o password,
controllate che ci sia https
Win$(1)
Cose pratiche da fare per ''chiudere'' la macchina: ● Aggiornate l'antivirus● Installatevi un ''personal firewall'' (ZoneAlarm,
TinyFW,OUTPOST).● NON APRITE MAIL che arrivano da SCONOSCIUT* !!!!● NON ESEGUITE MAI allegati !!!!
Digressioncina sui firewall
Firewall: parete antifuoco.● Serve per dire CHE INDIRIZZO PUO' ENTRARE DA
CHE PORTA.● E' cosi' sia su linux che su Win$.● Esempio (linux ipchains -L):
target prot opt source destination ports
ACCEPT tcp -y---- anywhere anywhere any -> ssh
REJECT tcp -y---- anywhere anywhere any -> 0:1023
Win$(2)
Altre cose pratiche da fare: ● Se usate IE da un posto diverso dal VOSTRO PC,
pulitene la “memoria”: Strumenti -> Opzioni Internet -> Cronologia -> Cancella.
● No accettate MAI di fare connessioni usando cose che vi propone un sito: vi spelano vivi !!!
● NON SALVATE la PASSWORD nella mascherina di Accesso Remoto di Win$: se vi attacca un virus (sqlslammer), ve la legge, la cambia, e saluti alla connessione....
Win$(3)
● NON SALVATE mai PASSWD su SITI !!!● NON MANDATE UN TUBO ALLA M$ o a chi vi chiede
info sul vostro PC, a meno che lo conosciate BENE.
Se fate queste cose, chiudete, +/-, ''le porte'' lasciate
aperte dai buchi del S.O....Tenete conto che facendo
cosi`, non solo proteggete voi stessi, ma anche gli altri !!!
(...e siccome pochi lo fanno e Win$ e' un colabrodo, gli
''smanettoni'' sacramentano...ma anche i vostri amici che
ricevono da voi un virus!!!)
Linux(1)
Linux e' intrinsecamente piu` sicurio di Win perche'● NON ESISTONO VIRUS....per vari motivi....● Decidete voi quello che fa.
Il che non vuol dire che non potete configurarlo male.● Per un uso domestico standard, quando installate
potete dirgli di applicare una security MEDIUM.● Poi, leggendo i doc, potrete cambiarla...
Linux(2)
● Mantenete il S.O aggiornato. Esistono ML per tutti i Linux.
● Fate pstree o netstat -ltunp o ''Service Configuration'' e vedete che processi girano. Se ci sono dei processi che finiscono con 'd', vale la pena
1) capire cosa sono
2) se sono daemoni e non servono (tranne crond) , spegnerli...
Linux(3)
● Un buona buona configurazione per linux dovrebbe darvi a netstat -ltunp, non di piu' di:
● rpc.statd● xinetd● portmap● X
Poi editate il file /etc/hosts.allow e mettete solo la riga ALL: localhost,127.0.0.1
Idem /etc/hosts.deny deve avere solo la riga ALL: ALL
Privacy...● Per privacy si intende qui che solo chi e' esplicitamente
autorizzato da VOI vede quello che voi volete fargli vedere...
● Siccome non potete essere ''certi'' che, ad esempio, i mail vengano letti SOLO da voi e dai destinatari, dovreste volerli ''cryptare'' in modo che solo gli autorizzati li possano ''decryptare''...
● Qui considereremo solo la privacy su rete, partendo dal presupposto che il vostro PC sia ragionevolmente sicuro.
● Supponiamo anche che le cose che volete tenere ''private'' siano essenzialmente mail e/o documenti
Mail e http...
● In generale, la comunicazione elettronica e' protetta dalla legge (675/96). I mail in particolare vengono equiparati alla corrispondenza cartacea, per cui vale il segreto postale.
● Il ''problema'' e' che un mail non ha una ''busta'', che la protegge da occhi indiscreti...
● Cosa e' un mail ? Un file di testo che viene trasferito dalla vostra macchina a quella del ISP, da questa a quella dell'ISP del destinatario. Eventualmente, da questa,al PC del destinatario.
Mail e http...(2)
Quindi un mail puo essere letto:● Sulla vostra macchina (che supponiamo pero' chiusa)
(host)● Mentre va da voi al vostro ISP (net)● Sulla macchina del vostro ISP (server)● Mentre va dal vostro ISP all'altro ISP (net)● Sulla macchina dell'altro ISP (server)● Sulla macchina del destinatario (che supponiamo pero'
chiusa) (host)
Mail e http...(3)
● Nei casi net, leggere un mail ''sniffando'' il traffico di rete (che non e' cryptato...), e' DIFFICILE e laborioso. Si puo' al limite vedere che TIZIO scrive a CAIO.
● Nei casi host, e' abbastanza difficile, se sia TIZIO che CAIO hanno chiuso bene la macchina.
● Nei casi server, la cosa e' molto ambigua...Per legge dovrebbero essere protetti, di fatto, chissa`...
Mail e http...(4)
● Per quanto riguarda il traffico http (pagine web), sappiate che TUTTI i siti tengono traccia di chi e' andato a vedere cosa, in forma del tipo:
il che dice che dalla macchina 80.182.210.218 il giorno
28 maggio e' stata visitata la pagina
secret/porno/terror/01.html
...non e' obbligatorio per legge, almeno per ora...in italia
80.182.210.218 - - [28/May/2003:09:25:03 +0200] "GET /secret/porno/terror/01.html
Mail e http...(4)
● Siti ''poco seri'' vendono questi indirizzi....● Siti ''seri'' possono essere obbligati da un mandato ad
esibire questi dati. Sapendo che il Sig. Rossi alle 9:25 del 28 maggio si era connesso a Tiscali e Tiscali gli aveva dato l'indirizzo 80.182.210.218, si puo' risalire al fattoche il Sig, Rossi ha guardato porno/terror/01.html.....
● Quindi, in generale, SAPPIATE CHE RESTA TRACCIA DI QUELLO CHE VISITATE SUL WEB...
Cryptazione...
● La criptazione e' un meccanismo matematico per cui un testo viene trasfromato in un altro testo, generalmente ''illeggibile'', e solo chi conosce la ''chiave'' e' in grado di decrifarlo.
● Primo esempio di criptazione: rotore dei germani contro Cesare...
● Il piu' diffuso e sicuro meccanismo di cyrptazione elettronica e' a chiave-doppia e usa un algoritmo che, nella versione ''normale'', richiederebbe circa 1000 anni sul CRAY NASA per decifrare una sola parola. Basato su un teorema di Eulero del '700...
● ...hanno cercato di vietarlo, ma poiche' il ''sorgente'' era ormai pubblico, non aveva senso...In USA e' ancora considerato pari ad un'arma. (DSA-RSA)
Cryptazione...
Ecco un piccolo testo
Questo e' un sempio di testo cryptato con GPG.Buon Divertimento !!!
Lo cryptiamo dicendogli che e' destinato a [email protected] di cui ho la chiave pubblica:
gpg -e -a -o pippo esempio_crypt.txt [email protected]
Cryptazione...
...ed eccolo cryptato:
-----BEGIN PGP MESSAGE-----Version: GnuPG v1.0.6 (GNU/Linux)Comment: For info see http://www.gnupg.org
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5Urw-----END PGP MESSAGE-----
Cryptazione...
Come usarla in pratica ?
● Generate la vostra coppia di chiavi
● Date a chi volete voi la vostra chiave pubblica
● Fatevi dare da lui/lei la sua chiave pubblica.
● Quando scrivete un testo per lui/lei lo cryptate con la vostra chiave privata e la sua pubblica.
● Lui/lei sara' in grado di decifrarlo usando la sua privata e la vostra pubblica.
● Su Gnu/Linux potete usare GnuPG (www.gnupg.org)
Cryptazione...
● (Quasi) tutti i clienti di posta (anche Win$), hanno inclusa la possibilita' di crypt/decrypt (Mozilla, Eudora, Netscape,
● Anche per Win$ esiste GnuPG. Installatelo, provate a generarvi la chiave, mi spedite la chiave pubblica, io vi do la mia, e proviamo (www.gnupg.org/related_software/frontends.html#win).
● E' facile da usare, mooolto sicuro e potente.
● Ad esempio, ~ il 75% dei mail per il sito FSE erano cryptati...
● QUESTO E' UN OTTIMO SISTEMA PER ASSICURARE LA PRIVACY DEI VOSTRI MAIL E/O DOCUMENTI.
Riservatezza di mail e www
● Se poi siete ''paranoid'', esistono anche dei sistemi per MASCHERARE completamente da dove e' stato spedito un mail (remailer) o da dove si e' visitata una pagina web (proxy).
● Anonymous proxy (http://www.multiproxy.org/anon_proxy.htm, http://anonymizer.autistici.org/)
● Remailer: (http://www.gilc.org/speech/anonymous/remailer.html)
Riservatezza di mail
● Un mail e' composto SEMPRE, anche se di solito non lo vedete, da almeno 2 parti:
● Intestazione: mittente, destinatario, percorso compiuto dal mail.
● Testo del mail
● (eventuali allegati)
Riservatezza di mail e www
Return-path: <[email protected]>
Received: from rootshell.be (phenix.rootshell.be [195.74.192.154])
by ICIL64.CILEA.IT (PMDF V6.1 #45892)
with ESMTP id <[email protected]> for
[email protected]; Tue,
27 May 2003 16:25:48 +0000 (MET-01DST)
Received: from www.rootshell.be (localhost [127.0.0.1])
by rootshell.be (8.11.5/8.11.5) with SMTP id h4REPld03569 for
<[email protected]>; Tue, 27 May 2003 16:25:47 +0200
Date: Tue, 27 May 2003 16:25:47 +0200
Utente vero...
Macchina vera...
Riservatezza di mail e wwwReturn-path: <[email protected]>Received: from CONVERSION-DAEMON.ICIL64.CILEA.IT by ICIL64.CILEA.IT (PMDF V6.1 #45892) id <[email protected]> for [email protected] (ORCPT [email protected]); Mon, 16 Dec 2002 19:29:07 +0000 (MET-01DST)Received: from DIRECTORY-DAEMON.ICIL64.CILEA.IT by ICIL64.CILEA.IT (PMDF V6.1 #45892) id <[email protected]> for [email protected] (ORCPT [email protected]); Mon, 16 Dec 2002 19:29:07 +0000 (MET-01DST)Received: from freedom.gmsociety.org (freedom2.gmsociety.org [205.241.45.101]) by ICIL64.CILEA.IT (PMDF V6.1 #45892) with ESMTP id <[email protected]> for [email protected]; Mon, 16 Dec 2002 19:29:06 +0000 (MET-01DST)
Riservatezza di mail e www
● Nel primo caso, l'utente e le macchine coinvolte sono quelle effettive
● Nel secondo caso si vede solo un mittente farlocco su una macchina intermedia, che non conserva traccia...
● In generale il remailing avviene in 3 passi:
● Jebe--> pippo --> pluto ---> anmetet ---> boschini e solo di anmetet si ha traccia...
...conclusioni...
● A parte questi 2 ultimi argomenti (da veri paranoici...), la sicurezza e la riservatezza sono MOLTO IMPORTANTI
● Dipendono al 90% da voi
● Sono semplici da mettere in atto
● Voi sarete i primi a trarne benefici: niente dati persi, niente dati in mano a chi non dovrebbe averli...
...il Grande Fratello vi spia
ma il cugino pinguino vi aiuta a proteggervi !