1 / 37

Introduzione a Linux...

Un sistema operativo LIBERO ! Privacy e security in rete. Introduzione a Linux. Privacy e Sicurezza. Affronteremo ''solo'' la sicurezza di una macchina ''domestica'' collegata alla rete via modem o ISDN/ADSL. Trascuriamo la cosiddetta ''physical security''.

brice
Download Presentation

Introduzione a Linux...

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Un sistema operativo LIBERO ! Privacy e security in rete... Introduzione a Linux...

  2. Privacy e Sicurezza ... • Affronteremo ''solo'' la sicurezza di una macchina ''domestica'' collegata alla rete via modem o ISDN/ADSL. • Trascuriamo la cosiddetta ''physical security''. • Adesso dobbiamo pero' introdurre un paio di concetti legati alla rete: indirizzo e porta.

  3. Porte e indirizzi ... • Una macchina connessa alla rete e' identificata in maniera UNICA da un indirizzo, chiamato indirizzo IP. • E' del tipo 62.10.8.93 • Un sistema (DNS) traduce i numeri in nomi piu' facili da ricordare. • Il vs. PC di casa, quando vi connettete ha solo un indirizzo IP, che vi viene assegnato dal vostro ISP. • Cambia sempre (ma sono noti gli IP che usa ogni ISP...) • ifconfig per vederlo su linux (su win....).

  4. Porte e indirizzi ... • Tutti i protocolli Internet per funzionare hanno bisogno di una porta: sistema che permette l'entrata e l'uscita di dati. • Un collegamento su Internet (mail, www, ecc.) per funzionare ha bisogno di • Indirizzo destinazione • Indirizzo sorgente • Porta destinazione.

  5. Porte e indirizzi ... • Tutto questo avviene in maniera trasparente per voi, ma porta e indirizzi servono anche a chi vuole ''bucare'' la vostra macchina. • Da qui in poi qui ci scappera' l'espressione ''porta aperta''....

  6. Privacy e Sicurezza in rete... Quando si parla di queste cose, si possono assumere 2 atteggiamenti opposti: • Internet e' un paradiso e sono tutti buoni, belli e bravi • Internet e' l'ultimo girone dell'inferno, non ci si puo' fidare di nessuno, non serve a nulla. Ovviamente, come al solito, la verita` sta nel mezzo...Nella Rete c'e' tutto e di piu', perche', almeno per adesso, e' LIBERA.

  7. ... • Proprio perche' LIBERA e 'orizzontale', la rete affida la sua sicurezza alla sicurezza di tutti: una maglia debole indebolisce tutta la rete, quindi • Se la vostra macchina e i vostri comportamenti sono ''sicuri'' per voi, lo sono per tutti gli altri. • I comportamenti sono insicuri per colpa mia o per colpa del S.O. Devo tenere d'occhio entrambe. • Ad. es: un virus che usa un buco di MS Outlook, non si diffonde se voi non avete nulla nella rubrica (o se non usate MS...) o se voi avete l'antivirus aggiornato.

  8. Hackers o crackers ??? • Per favore, non usate la parola HACKER per indicare una persona che ''buca'' una macchina. • Gli HACKER sono quell* che si divertono a smanettare, a capire, a investigare, a fare. Linus, Stalmann, Wall, Ricthie, Stevens sono hackers... • Chi buca e' un CRACKER (uno che ROMPE...), usando una cosa che scopre lui ma non rende nota alla comunita` • Chi usa cose scoperte da altri, e' un ''lamer'' o ''script-kiddy''...

  9. Privacy o sicurezza ? • Per i ''tecnici'' sono due cose molto diverse. La sicurezza CONTIENE anche la privacy • Sicurezza: 0) non bucare la macchina degli altri, 1) evita di farti bucare la tua. 2) tieni per te i tuoi dati e diffondili solo e come vuoi tu. • Privacy: evita di diffondere inutilmente i tuoi dati, proteggili da occhi malintenzionati, quali che siano. E' UN TUO DIRITTO !!! • Noi, in contesto piu` ''sociologico'', le tratteremo separatamente.

  10. Sicurezza Come avvengono accessi indesiderati dalla rete sulla mia macchina ? • Usando un ''buco'' o ''baco'' del S.O. [ Baco == errore non voluto che apre una 'porta''] [Buco == porta ''erroneamente'' (???netbios) aperta...] • Usando i vostri dati (uid, passwd) che non sono protetti o sono ''deboli''...

  11. Sicurezza Come proteggo la mia macchina da accessi indesiderati ? • Anzitutto qui partiamo dal presupposto che la vostra macchina sia in un luogo sicuro (casa), che solo voi abbiate accesso fisico, ecc. • Potrebbe essere una buona cosa mettere una password al BIOS (okkio a non dimenticarla !!!). Sappiate che comunque esistono molti sistemi per aggirare il problema (batteria, vendor passwd, ecc.) • In generale siate ''gelosi'' della vostra macchina ....

  12. La password... • Dovete anzitutto evitare VOI ''comportamenti a rischio''. Il piu' comune errore e' la password. Una buona passwd e': • NON e' il vostro nome, quello del cane, ecc. • NON e' la vostra LOGIN/nome utente • E' lunga ALMENO 7 caratteri • Ha ALMENO una maiuscola e un NUM o un simbolo. • ...(evitando le lettere e i caratteri tipici dell'italiano...) • Evitate pero` passwd che poi dimeticate e/o dovete scrivere...

  13. La password (2)... • nonna e' una passwd pessima, come anche matteo68 e KJdjh984jn@#@. • Pero' N0nn@!21 e' una buonissima passwd. • NON SCRIVETELA in file sul PC, o su foglietti appiccicati al PC... • CAMBIATELA SPESSO! • Evitate protocolli poco sicuri (telnet, http) • In particolare, dove viaggiano $$$$ o password, controllate che ci sia https

  14. Win$(1) Cose pratiche da fare per ''chiudere'' la macchina: • Aggiornate l'antivirus • Installatevi un ''personal firewall'' (ZoneAlarm, TinyFW,OUTPOST). • NON APRITE MAIL che arrivano da SCONOSCIUT* !!!! • NON ESEGUITE MAI allegati !!!!

  15. Digressioncina sui firewall Firewall: parete antifuoco. • Serve per dire CHE INDIRIZZO PUO' ENTRARE DA CHE PORTA. • E' cosi' sia su linux che su Win$. • Esempio (linux ipchains -L): target prot opt source destination ports ACCEPT tcp -y---- anywhere anywhere any -> ssh REJECT tcp -y---- anywhere anywhere any -> 0:1023

  16. Win$(2) Altre cose pratiche da fare: • Se usate IE da un posto diverso dal VOSTRO PC, pulitene la “memoria”: Strumenti -> Opzioni Internet -> Cronologia -> Cancella. • No accettate MAI di fare connessioni usando cose che vi propone un sito: vi spelano vivi !!! • NON SALVATE la PASSWORD nella mascherina di Accesso Remoto di Win$: se vi attacca un virus (sqlslammer), ve la legge, la cambia, e saluti alla connessione....

  17. Win$(3) • NON SALVATE mai PASSWD su SITI !!! • NON MANDATE UN TUBO ALLA M$ o a chi vi chiede info sul vostro PC, a meno che lo conosciate BENE. Se fate queste cose, chiudete, +/-, ''le porte'' lasciate aperte dai buchi del S.O....Tenete conto che facendo cosi`, non solo proteggete voi stessi, ma anche gli altri !!! (...e siccome pochi lo fanno e Win$ e' un colabrodo, gli ''smanettoni'' sacramentano...ma anche i vostri amici che ricevono da voi un virus!!!)

  18. Linux(1) Linux e' intrinsecamente piu` sicurio di Win perche' • NON ESISTONO VIRUS....per vari motivi.... • Decidete voi quello che fa. Il che non vuol dire che non potete configurarlo male. • Per un uso domestico standard, quando installate potete dirgli di applicare una security MEDIUM. • Poi, leggendo i doc, potrete cambiarla...

  19. Linux(2) • Mantenete il S.O aggiornato. Esistono ML per tutti i Linux. • Fate pstree o netstat -ltunp o ''Service Configuration'' e vedete che processi girano. Se ci sono dei processi che finiscono con 'd', vale la pena 1) capire cosa sono 2) se sono daemoni e non servono (tranne crond) , spegnerli...

  20. Linux(3) • Un buona buona configurazione per linux dovrebbe darvi a netstat -ltunp, non di piu' di: • rpc.statd • xinetd • portmap • X Poi editate il file /etc/hosts.allow e mettete solo la riga ALL: localhost,127.0.0.1 Idem /etc/hosts.deny deve avere solo la riga ALL: ALL

  21. Privacy... • Per privacy si intende qui che solo chi e' esplicitamente autorizzato da VOI vede quello che voi volete fargli vedere... • Siccome non potete essere ''certi'' che, ad esempio, i mail vengano letti SOLO da voi e dai destinatari, dovreste volerli ''cryptare'' in modo che solo gli autorizzati li possano ''decryptare''... • Qui considereremo solo la privacy su rete, partendo dal presupposto che il vostro PC sia ragionevolmente sicuro. • Supponiamo anche che le cose che volete tenere ''private'' siano essenzialmente mail e/o documenti

  22. Mail e http... • In generale, la comunicazione elettronica e' protetta dalla legge (675/96). I mail in particolare vengono equiparati alla corrispondenza cartacea, per cui vale il segreto postale. • Il ''problema'' e' che un mail non ha una ''busta'', che la protegge da occhi indiscreti... • Cosa e' un mail ? Un file di testo che viene trasferito dalla vostra macchina a quella del ISP, da questa a quella dell'ISP del destinatario. Eventualmente, da questa,al PC del destinatario.

  23. Mail e http...(2) Quindi un mail puo essere letto: • Sulla vostra macchina (che supponiamo pero' chiusa) (host) • Mentre va da voi al vostro ISP (net) • Sulla macchina del vostro ISP (server) • Mentre va dal vostro ISP all'altro ISP (net) • Sulla macchina dell'altro ISP (server) • Sulla macchina del destinatario (che supponiamo pero' chiusa) (host)

  24. Mail e http...(3) • Nei casi net, leggere un mail ''sniffando'' il traffico di rete (che non e' cryptato...), e' DIFFICILE e laborioso. Si puo' al limite vedere che TIZIO scrive a CAIO. • Nei casi host, e' abbastanza difficile, se sia TIZIO che CAIO hanno chiuso bene la macchina. • Nei casi server, la cosa e' molto ambigua...Per legge dovrebbero essere protetti, di fatto, chissa`...

  25. Mail e http...(4) • Per quanto riguarda il traffico http (pagine web), sappiate che TUTTI i siti tengono traccia di chi e' andato a vedere cosa, in forma del tipo: il che dice che dalla macchina 80.182.210.218 il giorno 28 maggio e' stata visitata la pagina secret/porno/terror/01.html ...non e' obbligatorio per legge, almeno per ora...in italia 80.182.210.218 - - [28/May/2003:09:25:03 +0200] "GET /secret/porno/terror/01.html

  26. Mail e http...(4) • Siti ''poco seri'' vendono questi indirizzi.... • Siti ''seri'' possono essere obbligati da un mandato ad esibire questi dati. Sapendo che il Sig. Rossi alle 9:25 del 28 maggio si era connesso a Tiscali e Tiscali gli aveva dato l'indirizzo 80.182.210.218, si puo' risalire al fattoche il Sig, Rossi ha guardato porno/terror/01.html..... • Quindi, in generale, SAPPIATE CHE RESTA TRACCIA DI QUELLO CHE VISITATE SUL WEB...

  27. Cryptazione... • La criptazione e' un meccanismo matematico per cui un testo viene trasfromato in un altro testo, generalmente ''illeggibile'', e solo chi conosce la ''chiave'' e' in grado di decrifarlo. • Primo esempio di criptazione: rotore dei germani contro Cesare... • Il piu' diffuso e sicuro meccanismo di cyrptazione elettronica e' a chiave-doppia e usa un algoritmo che, nella versione ''normale'', richiederebbe circa 1000 anni sul CRAY NASA per decifrare una sola parola. Basato su un teorema di Eulero del '700... • ...hanno cercato di vietarlo, ma poiche' il ''sorgente'' era ormai pubblico, non aveva senso...In USA e' ancora considerato pari ad un'arma. (DSA-RSA)

  28. Cryptazione... Ecco un piccolo testo Questo e' un sempio di testo cryptato con GPG. Buon Divertimento !!! Lo cryptiamo dicendogli che e' destinato a boschini@cilea.it di cui ho la chiave pubblica: gpg -e -a -o pippo esempio_crypt.txt boschini@cilea.it

  29. Cryptazione... ...ed eccolo cryptato: -----BEGIN PGP MESSAGE----- Version: GnuPG v1.0.6 (GNU/Linux) Comment: For info see http://www.gnupg.org hQEOAwcvG3Q3OzDBEAP+M7krqKZ4mIMoo48muiZss+IdblWkoNnpvJFS0PaPa+kTdJipop5/QQO61OrlHJ2hw7ZqTdrZLfjQ9tooFWmESvJgkHxo9zXNeIiVRfH7t38AzocwOYRgxK1K0Qm6EcYr1ns9HFNVcWuMFA6EoUStPvdX4w4zhZDvL4QNmlUV54sEAKfMRFfktsdXRZm2UFV2/xbRZQKqmKgZWpE+LDZRCLhP8ix4wXsTQLdDck0eG/GRRKcYFePOlJWwFnkn0rekqrEUrX7R7n2xJNEUklMMhmqUREffMn7eCC7HXFwAy2pFYSFc5UanVI3F2xvgGFrwI6nroz1E3xiZuXYBMoRT8lDC0o0B17QXmC/4puYumBGmlg/P+0E5A1gagf7fDB6CsQAjqcYdTtp8lKv5lFL04lve5S6iy2Dan6oRQnKQwjHQC9//YlDoGRj/BPF2fgwEh9nle+LRQU63zWC+PfeWPyNwhPvkqV1XY5z2lR7XUfSkrxu3LOBuR3oFTdqFmIN75gqmc6nNyKJ8khG09IzrXQQ==5Urw -----END PGP MESSAGE-----

  30. Cryptazione... Come usarla in pratica ? • Generate la vostra coppia di chiavi • Date a chi volete voi la vostra chiave pubblica • Fatevi dare da lui/lei la sua chiave pubblica. • Quando scrivete un testo per lui/lei lo cryptate con la vostra chiave privata e la sua pubblica. • Lui/lei sara' in grado di decifrarlo usando la sua privata e la vostra pubblica. • Su Gnu/Linux potete usare GnuPG (www.gnupg.org)

  31. Cryptazione... • (Quasi) tutti i clienti di posta (anche Win$), hanno inclusa la possibilita' di crypt/decrypt (Mozilla, Eudora, Netscape, • Anche per Win$ esiste GnuPG. Installatelo, provate a generarvi la chiave, mi spedite la chiave pubblica, io vi do la mia, e proviamo (www.gnupg.org/related_software/frontends.html#win). • E' facile da usare, mooolto sicuro e potente. • Ad esempio, ~ il 75% dei mail per il sito FSE erano cryptati... • QUESTO E' UN OTTIMO SISTEMA PER ASSICURARE LA PRIVACY DEI VOSTRI MAIL E/O DOCUMENTI.

  32. Riservatezza di mail e www • Se poi siete ''paranoid'', esistono anche dei sistemi per MASCHERARE completamente da dove e' stato spedito un mail (remailer) o da dove si e' visitata una pagina web (proxy). • Anonymous proxy (http://www.multiproxy.org/anon_proxy.htm, http://anonymizer.autistici.org/) • Remailer: (http://www.gilc.org/speech/anonymous/remailer.html)

  33. Riservatezza di mail • Un mail e' composto SEMPRE, anche se di solito non lo vedete, da almeno 2 parti: • Intestazione: mittente, destinatario, percorso compiuto dal mail. • Testo del mail • (eventuali allegati)

  34. Riservatezza di mail e www Utente vero... Return-path: <jebe86@rootshell.be> Received: from rootshell.be (phenix.rootshell.be [195.74.192.154]) by ICIL64.CILEA.IT (PMDF V6.1 #45892) with ESMTP id <01KWE5988MLU005PO4@ICIL64.CILEA.IT> for boschini@cilea.it; Tue, 27 May 2003 16:25:48 +0000 (MET-01DST) Received: from www.rootshell.be (localhost [127.0.0.1]) by rootshell.be (8.11.5/8.11.5) with SMTP id h4REPld03569 for <boschini@cilea.it>; Tue, 27 May 2003 16:25:47 +0200 Date: Tue, 27 May 2003 16:25:47 +0200 Macchina vera...

  35. Riservatezza di mail e www Return-path: <anmetet@freedom.gmsociety.org> Received: from CONVERSION-DAEMON.ICIL64.CILEA.IT by ICIL64.CILEA.IT (PMDF V6.1 #45892) id <01KQ40GKAVA8001VEE@ICIL64.CILEA.IT> for boschini@ICIL64.CILEA.IT (ORCPT boschini@cilea.it); Mon, 16 Dec 2002 19:29:07 +0000 (MET-01DST) Received: from DIRECTORY-DAEMON.ICIL64.CILEA.IT by ICIL64.CILEA.IT (PMDF V6.1 #45892) id <01KQ40GJRTMO001VEE@ICIL64.CILEA.IT> for boschini@ICIL64.CILEA.IT (ORCPT boschini@cilea.it); Mon, 16 Dec 2002 19:29:07 +0000 (MET-01DST) Received: from freedom.gmsociety.org (freedom2.gmsociety.org [205.241.45.101]) by ICIL64.CILEA.IT (PMDF V6.1 #45892) with ESMTP id <01KQ40GIYC68001TVV@ICIL64.CILEA.IT> for boschini@cilea.it; Mon, 16 Dec 2002 19:29:06 +0000 (MET-01DST)

  36. Riservatezza di mail e www • Nel primo caso, l'utente e le macchine coinvolte sono quelle effettive • Nel secondo caso si vede solo un mittente farlocco su una macchina intermedia, che non conserva traccia... • In generale il remailing avviene in 3 passi: • Jebe--> pippo --> pluto ---> anmetet ---> boschini e solo di anmetet si ha traccia...

  37. ...conclusioni... • A parte questi 2 ultimi argomenti (da veri paranoici...), la sicurezza e la riservatezza sono MOLTO IMPORTANTI • Dipendono al 90% da voi • Sono semplici da mettere in atto • Voi sarete i primi a trarne benefici: niente dati persi, niente dati in mano a chi non dovrebbe averli... ...il Grande Fratello vi spia ma il cugino pinguino vi aiuta a proteggervi !

More Related