1 Fabio Mora, Simone Pignatelli, Acciaio In..ux Novara, 2009-10-24 GalLUG - Gruppo Utenti Linux Galliate - Acciaio In..ux Fabio Mora, Simone.

Slides:



Advertisements
Presentazioni simili
APACHE E’ BELLO (PERCHE’ NON E’ SICURO) VEDIAMO COSA POSSIAMO FARE PER BUCARLO RENDERLO SICURO.
Advertisements

Eugenia Franzoni Il software libero Catnic Srl. Si può comprare un software?
Linux Day 2006 – Giornata nazionale dedicata al Software Libero e GNU/ Linux – Come proteggere Windows tm con GNU/Linux Roberto Lacava.
LTSP (Linux Terminal Server Project) GNU/Linux ed Workshop di Enrico Teotti powered with Gentoo Linux Linux Day LUG Mantova.
Fabrizio Felici Linux e Windows a confronto, perché passare a Linux 27 ottobre 2007.
Corso gratuito di Linux. Linux User Group Mantova
LinuxDay 2009, Trento Navigare e usare la posta elettronica con consapevolezza Gianluca Ciccarelli, LinuxTrent
Sicurezza e crittografia asimmetrica ● Info su redsh.wordpress.com/corso-linux ●
1 Alberto Pollastro, !#/bin/bash Novara, GalLUG - Gruppo Utenti Linux Galliate - #!/bin/bash Alberto Pollastro.
Orientamento. Il Kernel Il Kernel è un programma scritto in linguaggio vicino all'hardware che ha il compito di fornire ai processi in esecuzione sul.
Bitcoin “What is a Bitcoin?”. What is a Bitcoin? Bitcoin The 4th most common research on Google in 2014.
Gestione dei Software in GNU/Linux HackLab Catanzaro Installazione software da sorgente 8° Lezione GNU/Linux Base
1 Come cercare le fonti di informazione scientifica Operatori e wildcards a cura della Biblioteca di Agraria.
Carlo Magnaguagno1 UNI-CREMA INTERNET Le cose da sapere per navigare Per muoversi nella rete non è necessario essere esperti di informatica, ne capire.
Programmare “per gioco” SCRATCH Lo programmerò. Programmerò solo per lei.
Nota: Questa brochure è pronta per la stampa. Prima di stampare su cartoncino, è consigliabile effettuare una prova di stampa su carta normale per assicurarsi.
COMUNICARE SUL WEB! La prima cosa da sapere per scrivere sul web è riconoscere che internet non ha lettori tradizionali: l’80% dei navigatori non legge.
Sistemi e Applicazioni per l’Amministrazione Digitale
Configurazione Router IR794- IG601
PROCEDURA BASE PER ACCEDERE AL FASCICOLO SANITARIO ELETTRONICO
Né impaurito, né temerario. Semplicemente…al sicuro
Social Media Governance
Compilazione del kernel Linux
Sistema di Autenticazione unica (Single-Sign-On) (azione #8)
“Perché non scrivere qualcosa per il giorno dopo la cerimonia?”
Brochure aziendale Questo è il posto adatto per esporre i propri obiettivi Questa brochure accattivante e professionale può essere utilizzata così com'è,
ha scelto il software libero
Sicurezza e protezione
Pronto.
PNSD - Modulo D1A 27 aprile 2017 Piattaforme di e-­learning e cloud:​ installazione e gestione (azione #22) Prof. Rocca Marcello
Instruzioni per impostare gli Account utente limitato su di una Stazione di lavoro locale Leggere le presenti istruzioni attentamente e portare a termine.
Sistema di Autenticazione unica (Single-Sign-On) (azione #8)
Commissione Calcolo e Reti
Terza Lezione → Navigare nel file System → parte 2
FARE RICERCA, MAI COSÌ FACILE!
Tommy's Window Slideshow
HO UNA LIVE COSA POSSO FARE? Adriano Ciaghi.
I PERMESSI IN LINUX.
Gestione Informatica della Segreteria
INTRODUZIONE ALLA SHELL
I comandi.
Distributed cache proposal
Giordano Scuderi Unico SRL Catania
Scenario mail in Ateneo
LA GESTIONE DEI PACCHETTI
Sono stati sperimentati software in grado di rilevare se sono stati compromessi determinati componenti di un sistema operativo.
Sistema di Autenticazione unica (Single-Sign-On) (azione #8)
Come comportarsi?.
Istruzioni per gli amministratori
FURTO AL BANCOMAT In questa prima diapositiva si vede una persona che apparentemente sta facendo un'operazione al Bancomat.
Organizzazione di una rete Windows 2000
Programmare.
QUANDO TI CONNETTI… CONNETTI ANCHE LA TESTA!
COME PROTEGGERSI Ing. Massimiliano Zuffi
FURTO AL BANCOMAT In questa prima diapositiva si vede una persona che apparentemente sta facendo un'operazione al Bancomat.
Introduzione alla nuova versione di PowerPoint
Introduzione alla nuova versione di PowerPoint
FURTO AL BANCOMAT In questa prima diapositiva si vede una persona che apparentemente sta facendo un'operazione al Bancomat.
Il giornalista del futuro
Introduzione alla nuova versione di PowerPoint
FURTO AL BANCOMAT In questa prima diapositiva si vede una persona che apparentemente sta facendo un'operazione al Bancomat.
FURTO AL BANCOMAT In questa prima diapositiva si vede una persona che apparentemente sta facendo un'operazione al Bancomat.
FURTO AL BANCOMAT In questa prima diapositiva si vede una persona che apparentemente sta facendo un'operazione al Bancomat.
Fogli elettronici e videoscrittura
A LEZIONE DI PRIMO SOCCORSO
IT SECURITY Controllo di accesso
IT SECURITY Sicurezza in rete
FURTO AL BANCOMAT In questa prima diapositiva si vede una persona che apparentemente sta facendo un'operazione al Bancomat.
FURTO AL BANCOMAT In questa prima diapositiva si vede una persona che apparentemente sta facendo un'operazione al Bancomat.
CLOUD.
Transcript della presentazione:

1 Fabio Mora, Simone Pignatelli, Acciaio In..ux Novara, GalLUG - Gruppo Utenti Linux Galliate - Acciaio In..ux Fabio Mora, Simone Pignatelli

2 Fabio Mora, Simone Pignatelli, Acciaio In..ux Novara, GalLUG - Gruppo Utenti Linux Galliate - Linux e... SICUREZZA BUFFER OVERFLOW PHISHING CROSS SITE SCRIPTING BRUTE FORCE FURTO D'IDENTITÀ CRITTOGRAFI A SQL INJECTION CRACKE R EXPLOI T SNIFFIN G VIRU S TROJA N SHELLCOD E DENIAL OF SERVICE FIREWALL BACKDOOR

3 Fabio Mora, Simone Pignatelli, Acciaio In..ux Novara, GalLUG - Gruppo Utenti Linux Galliate - Linux: un SO con basi solide Uno dei punti di forza di Linux è sempre stata la sicurezza: ● Gestione di utenti e permessi molto rigida ● Installazione sicura dei programmi ● Virus? Che cosa sono? ● Vantaggi derivanti dalla filosofia Open Source

4 Fabio Mora, Simone Pignatelli, Acciaio In..ux Novara, GalLUG - Gruppo Utenti Linux Galliate - Gestione utenti e permessi L'utente root (Super User) NON è quello di default (e in Windows® e Mac®?) La maggior parte del tempo, si utilizza il sistema per operazioni standard: internet, , grafica, giochi, ecc... NON servono i permessi di amministratore per fare questo. Quindi linux non te li da... Così se sbaglio qualcosa o mi becco un malware, al massimo rovino il MIO profilo, senza compromettere tutto il sistema (e gli altri utenti) Quando servono permessi speciali, ad esempio per installare programmi o periferiche, viene sempre richiesta la password di amministratore Da shell c'è il comando sudo (Super User Do)

5 Fabio Mora, Simone Pignatelli, Acciaio In..ux Novara, GalLUG - Gruppo Utenti Linux Galliate - Installazione sicura dei programmi L'installazione dei programmi è molto diversa ad esempio Windows o Mac Niente installer.exe, setup.exe da scaricare da internet Si utilizza un programma apposito, chiamato gestore di pacchetti (in Ubuntu è APT, Fedora ha YUM...) che contiene un elenco delle applicazioni disponibili Queste applicazioni sono state controllate e dichiarate sicure dalla comunità di sviluppatori della distribuzione che stiamo usando In questo modo, si è sicuri di installare solo software sicuro e non malevolo Come già detto, prima di installare qualcosa, il sistema ci richiederà la password di amministratore

6 Fabio Mora, Simone Pignatelli, Acciaio In..ux Novara, GalLUG - Gruppo Utenti Linux Galliate - E i virus??? É vero che non esistono virus per linux? In realtà se avete seguito bene Alberto, potreste anche voi crearne uno con poche righe di codice bash. E allora? Perché non si sente parlare di antivirus per Linux? In effetti è facile creare un programma malevolo per il pinguino, ma poi come facciamo a trasmetterlo agli altri? Un passo indietro: con Linux non ho bisogno di scaricare software poco affidabili dal web, c'è il gestore di pacchetti. Se lo mando via posta, l'utente poi deve aprire l'allegato ed eseguirlo. Ma tutti sanno che non è buona norma aprire un file del quale non si conosce la provenienza, vero? (: Bisogna rendere eseguibile il file ricevuto (chmod +x) In ogni caso il “virus” farebbe limitati danni, poiché agisce in un contesto da utente normale, non amministratore

7 Fabio Mora, Simone Pignatelli, Acciaio In..ux Novara, GalLUG - Gruppo Utenti Linux Galliate - I vantaggi della filosofia Open Source Linux è Open Source!!! Quando capita una falla di sicurezza, è più facile che venga scoperta, e quindi corretta. Il discorso vale anche per la maggior parte dei programmi che si usano con linux, poiché sono anch'essi Open. Al contrario, se un sistema è chiuso, come faccio a essere sicuro di quello che fa?

8 Fabio Mora, Simone Pignatelli, Acciaio In..ux Novara, GalLUG - Gruppo Utenti Linux Galliate - Il problema della password E quindi dove sta il problema? Da quanto detto, con Linux stiamo in una botte di ferro! In realtà, spesso la falla non è il sistema, ma l'utente!!! Punto debole: la PASSWORD E se qualche malintenzionato ruba, trova o indovina la mia password? O peggio, quella di amministratore? Controllo completo del sistema! Ma come si fa a indovinare una password? Esistono molti metodi. Ora ne illustreremo due: Brute force Attacco a dizionario

9 Fabio Mora, Simone Pignatelli, Acciaio In..ux Novara, GalLUG - Gruppo Utenti Linux Galliate - Attacco brute force (forza bruta) Concettualmente molto semplice: le provo tutte finché non trovo quella giusta! Devo farlo a mano? Ci metterò un'eternità! No, ci sono programmi apposta: il lavoro sporco lo fa il pc. Ok il pc è veloce a fare i calcoli. Ma quante sono le combinazioni da provare? Es. con password numeriche lunghe 3 cifre: 1000 (0 – 999). Ok un qualsiasi pc troverebbe la password in un secondo. Es. con password realistiche (10 caratteri alfanumerici): un processore attuale ci metterebbe circa anni! Quindi è meglio usare password lunghe!

10 Fabio Mora, Simone Pignatelli, Acciaio In..ux Novara, GalLUG - Gruppo Utenti Linux Galliate - Attacco a dizionario Metodo più furbo: non provo tutte le combinazioni, ma solo quelle più probabili. Questo perché la maggior parte delle password non sono simili a “vu432nji*fe”, ma è più facile che siano il nome della fidanzata o della squadra del cuore. Quindi si prepara un elenco di password “ragionevoli” (dizionario) e si dice al programma di provare solo quelle La ricerca è molto più veloce! Quindi è meglio usare password “strane”, ad esempio aggiungendo numeri o simboli, perché difficilmente staranno in qualche dizionario.

11 Fabio Mora, Simone Pignatelli, Acciaio In..ux Novara, GalLUG - Gruppo Utenti Linux Galliate - Attacco a rete wireless Ormai le reti wireless sono diffusissime, e anche per queste esiste il problema della sicurezza. Non vorrete mica che qualcuno si inserisca nella vostra rete di casa e vi rubi la connessione a internet?!? Per questo si usano le connessioni crittografate: se non sai la password, non ti connetti alla mia rete! Si usano principalmente due sistemi di cifratura: WEP e WPA. Problema: il WEP è stato crackato!!! Attraverso un difetto dell'algoritmo di cifratura, è possibile decifrare la password di connessione. Quindi usate WPA, che è sicuro (per ora)....e configurate il filtro MAC address.

12 Fabio Mora, Simone Pignatelli, Acciaio In..ux Novara, GalLUG - Gruppo Utenti Linux Galliate - Furto d'identità Ok, abbiamo capito che su un SO (non solo linux ovviamente) dobbiamo stare attenti alla password. E su internet? Chi di voi usa Facebook o MSN? E chi di voi sta veramente attento ai dati personali che pubblica sul web? Mai capitato di aggiungere su MSN persone mai viste prima, o accettare su FB amicizie di sconosciuti perché tanto non costa niente? Forse non ci avete mai pensato, mai dai vostri dati personali è possibile trarre informazioni molto interessanti... Quindi occhio! Perché non serve essere esperti informatici per rubare l'account a qualcuno!

13 Fabio Mora, Simone Pignatelli, Acciaio In..ux Novara, GalLUG - Gruppo Utenti Linux Galliate - Phishing Ok, faremo più attenzione alle informazioni personali. Ora possiamo stare tranquilli? Naturalmente NO! Col metodo che abbiamo visto prima, è possibile solo cambiare la password dell'utente, non rubarla. La prima volta che proverà ad accedere al suo account, si accorgerà che qualcosa non va e (si spera) prenderà provvedimenti. Forse si può fare di meglio (o peggio: dipende dai punti di vista). Si può provare col phishing! Il fenomeno del phishing consiste nell'ingannare l'utente, tipicamente con fasulle, in modo da rubare password, account web o addirittura il numero della carta di credito!

14 Fabio Mora, Simone Pignatelli, Acciaio In..ux Novara, GalLUG - Gruppo Utenti Linux Galliate - Phishing Notizia recente (ottobre 2009): alcuni cracker sono riusciti a rubare le credenziali di accesso (utente e password) di migliaia di account Hotmail, Gmail, Yahoo e altri. In realtà non le hanno rubate: sono gli utenti stessi che gliele hanno fornite! E ora che abbiamo rubato la password di MSN? Facciamo gli scherzi in chat ai suoi amici? Sai che problemone... Sicuri che il problema sia solo quello? In realtà possiamo leggere la sua posta (contenente magari dati personali e sensibili) e accedere così ad altri account. É una catena... E se usa la stessa password pure per altri servizi? Disastro! Quindi occorre fare attenzione all'URL e fidarci preferibilmente dei siti “col lucchetto”.

15 Fabio Mora, Simone Pignatelli, Acciaio In..ux Novara, GalLUG - Gruppo Utenti Linux Galliate - Avvertenze!!! Nel caso vi siano venute in mente strane idee... Noi siamo hacker, NON cracker! Ci interessa capire come funziona un sistema, e analizzare i suoi difetti al fine di renderlo più sicuro. Un cracker invece è un malintenzionato, che compie REATI quali furto, frodi, accesso abusivo a informazioni personali, danneggiamenti, ecc... Se non vi basta la motivazione etica, ricordiamo che i reati informatici sono perseguibili PENALMENTE (quindi si può andare in galera) dalla legge 547/93 e altre. E ricordatevi che siete sempre rintracciabili attraverso il vostro indirizzo IP! Uomo avvisato...

16 Fabio Mora, Simone Pignatelli, Acciaio In..ux Novara, GalLUG - Gruppo Utenti Linux Galliate - GRAZIE PER L'ATTENZIONE GalLUG – Gruppo Utenti Linux Galliate Fabio Mora, Simone Pignatelli,