sicurezza e wireless

[tntfnc]

qual'è reale possibilità c'è che un pc connesso ad un router possa essere oggetto di attacco (per esempio accedere al suo harddisk) da parte degli altri pc connessi allo stesso router? da quel che ho letto in giro mi pare di capire che non sia cosi difficile. cosa si può fare per evitare ciò? che software si possono utilizzare? ad esempio avvolte capita di collegarsi a router senza protezione,ho peggio potrebbero craccare la password del mio router.in particolare il sistema operativo del mio pc è linux

[Habanero]

Diciamo che la casistica è piuttosto varia..
Suddividiamola in

1) attacchi dalla rete internet
2) attacchi dalla stessa rete LAN di cui fa parte il sistema.
-----------------------
1) Al giorno d'oggi se il router è configurato decentemente un attacco diretto non è proprio semplice. Diciamo che per prendere il controllo della LAN è molto più semplice inviare un qualche tipo di trojan direttamente su una macchina interna. Anche attaccando direttamente il router (ad esempio se questo espone l'interfaccia di amministrazione http, telnet, ssh, snmp etc... sul lato internet, e questa è protetta con una password debole o, peggio, con la password di fabbrica...) non è proprio scontato avere accesso ai sistemi interni. Il consiglio è comunque quello di disabilitare totalmente le interfacce di amministrazione sul lato WAN... se proprio tu dovessi averne bisogno proteggi l'accesso con una password seria. In sostanza lascia l'amministrazione abilitata solo per la rete interna.
Altra possibilità è che il router sia configurato in modo da lasciare aperte alcune porte... questo è necessario se si deve esporre su internet qualche servizio server presente nella LAN. Se il servizio è vulnerabile l'intera macchina su cui gira e tutta la rete possono essere compromessi... ovviamente in questo caso la responsabilità della sicurezza è unicamente del server.


2) Per quanto riguarda gli attacchi provenienti dalla stessa rete questo è tutto più complicato.
Suddividiamo il problema in ulteriori due parti.

*a) Accesso alla rete
*b) intercettazione dei dati.
----
*a) Se parliamo di rete WiFi di cui siamo gli amministratori, l'impostazione d'obbligo è la protezione WPA2-AES con chiave di accesso seria. Ciò significa che questa deve essere lunga e non deve essere una parola comune o rintracciabile su un vocabolario. Meglio se è composta da valori esadecimali invece che solo ASCII.
Altra cosa utile è cambiare il nome della rete (SSID) di default con qualcosa di più personalizzato. Questo motivo è dettato dal fatto che il SSID concorre assieme alla chiave alla cifrature dai dati. Esistono tecniche che tentano la forzatura delle chiavi WPA usando tabelle precompilate (stile rainbow table) create per i più comuni SSID di default dei dispositivi presenti in commercio. Cambiando il nome della rete si esclude a tutti gli effetti quella (comunque difficile) possibilità.
Ogni altro accorgimento quale disabilitazione del broadcast del SSID, filtro dei MAC address etc... aggiungono qualche ostacolo ma NON FANNO la sicurezza. Chi sa il fatto suo bypassa tali restrizioni in pochissimo tempo. La vera sicurezza la fa la chiave e il sistema di cifratura.

*b) Veniamo ora all'ultimo caso. Supponiamo di aver accesso alla rete locale, vuoi perché conosciamo la chiave, vuoi perchè la rete è aperta, vuoi perché ci colleghiamo via cavo.
Ci possono essere due tipi di accesso ad altri sistemi presenti in LAN:
**A) accesso al sistema o a qualche suo servizio
**B) intercettazione dei dati inviati sulla rete
----
**A) Per quanto riguarda l'accesso al sistema, il caso più comune è la presenza di servizi di condivisione file-cartelle-stampanti (SMB/netbios su windows, SAMBA, NFS su vari sistemi di derivazione Linux) che consentano di sfogliare il contenuto di parte del disco. L'accesso alle cartelle condivise può essere protetto da password ma in altri casi può non esserlo. Se non strettamente necessario, quindi, è consigliabile disabilitare tale servizio quando ci si connette a reti poco sicure. Anche senza cartelle effettivamente condivise la presenza del sevizio può comunque comunicare la presenza e il nome del sistema sulla rete.

**B) Se invece parliamo di "semplice" intercettazione dei dati inviati sulla rete arriva la vera nota dolente. A meno che la rete sia gestita da switch evoluti e in genere costosi, l'intercettazione è piuttosto facile. Sulle reti Ethernet attacchi di tipo Man in the middle (MITM) basati su ARP poisoning e derivati, sono in genere assai semplici da portare a termine. Questo significa che è potenzialmente assai semplice carpire informazioni sul traffico di rete generato da altri, comprese eventuali password di accesso inviate in chiaro.
L'attacco a sessioni criptate SSL è possibile ma il suo buon esito dipende dall'accortezza dell'attacato... questo infatti potrebbe rendersi conto della presenza di qualcosa di strano perchè riceverebbe l'avviso di un problema con il certificato del sito. Gli ultimi browser hanno rafforza molto tale aspetto e oggi può essere più difficile che uno ci caschi...
Nei casi di attacco MITM in LAN, purtroppo, le contromisure non sono banali, soprattutto sulle reti poco costose di tipo casalingo.

[tntfnc]

collegandomi ad internet (ad un router) da una distrolive usb e criptando l'harddisk del pc a cui è connessa la penna usb per esempio con trueCrypt elimino ogni possibilità di accedere al mio harddidsk? e l'accesso sarà cmq libero quando non utilizzero la distrolive usb?

[Habanero]

Criptare una partizione serve per evitare un accesso fisico...
Quello che dici tu non serve a prevenire l'accesso al tuo sistema via rete.

Le possibilità che mi vengono in mente affinché un HD possa essere analizzato da remoto...

* hai un servizio di condivisione attivo e condividi esplicitamente delle cartelle senza password.
* il tuo sistema è compromesso dall'installazione di un trojan
* a vario titolo esistono servizi vulnerabili che consentono l'accesso remoto.




Posso chiederti perchè tanta paranoia? E' curiosità o devi far fronte ad una particolare situazione?

Ti assicuro che bucare un sistema desktop senza che l'utente "te lo permetta" non è cosa banale... non è un caso che nella maggior parte degli accessi a tali sistemi è l'utente finale ad avere parte attiva nell'attacco (installazione di programmi non verificati, uso programmi vulnerabili, assenza di patch di sicurezza, phishing etc...) Ma questi non sono più propriamente attacchi di rete... sono attacchi che sfruttano la rete.

[tntfnc]

mi serve semplicemente evitare il più possibile e con qualsiasi mezzo che qualcuno acceda a informazioni sensibili. penso che collegarmi da una distrolive sia un buon punto di partenza, e volevo inoltre evitare che vi possa essere accesso all'harddisk da remoto tramite truecrypt ma a quanto pare non serve ai miei scopi. che mi consigli per raggiungere un altissimo grado di sicurezza?
come posso controllare che non ho servizi di condivisione attivi?

[Habanero]

se lavori da una distro live (che quindi si suppone non contenga dati personali) e non fai un mount dell'HD sei ragionevolmente sicuro che non ci si possa accedere... se poi per precauzione lo vuoi pure staccare dal suo connettore... mah... vedi tu...

[tntfnc]

ma non ci sarebbe un modo "software" per impedire l'accesso all'harddisk a tutti i livelli?
non lo so disabilitandoli permanentemente dalla distro o impedendo qualsiasi mount.
non ci credo che con linux non si possa fare.

[Nobody33]

scusate...

tntfnc, ha ragione habanero, perché tanta paranoia?
Non esiste nulla di sicuro al 100%, rimane sempre un 0.01% di rischio.
Qualsiasi cosa comporta un rischio. Esci di casa,scivoli e ti rompi il collo...allora che fai?
resti a letto? Anche lì,ti giri male, cadi dal letto e ti prendi un colpo di stregha..e cosi via ...
..stesso esempio tuo riportato nella vita reale....

Saluti

[tntfnc]

ma non sono paranoico, solo che in certi frangenti devo essere certo che nessuno che possa di accedere hai miei dati sensibili,o quanto meno dev'essere di difficoltà parossistica. questo può essere fatto solo staccando il connettore dell'hd del pc?

[aleritty]

Si, ma solo se hai una buona serratura di casa...

Il discorso è che già utilizzando una distribuzione linux hai un fine controllo a livello firewall ed a livello servizi e puoi essere molto sicuro di non avere trojan installati (non ne girano praticamente... e bastano dei controlli base per essere sicuri!)

Detto questo, se tu hai una rete wireless protetta con wpa2, la distribuzione linux "blindata" e l'HD "smontato" hai una sicurezza già praticamente prossima al 100% perchè l'attacante deve fare queste cose:
1) scoprire la tua rete e volerci entrare
2) bucare la wpa2 (e già ci vuole TANTO tempo e tante competenze)
3) scoprire il pc (ci vuole poco se lo si cerca, ma bisogna cercarlo appunto... i banali scrocconi di banda non si mettono a cercare ma nemmeno a bucare la wpa2)
4) scoprire se sul pc ci sono porte aperte e/o servizi esposti
5) posto che non ce ne siano deve trovare un bug noto del sistema operativo (e con linux non è semplice se lo tieni aggiornato!) e sfruttarlo per guadagnare l'accesso utente alla macchina
6) guadagnare accesso root sfruttando un altro bug o scoprendo la password di root
7) scoprire che c'è un disco smontato collegato al pc (semplice da fare ma deve venirti l'idea che possa esserci!!)
8) montare l'HD ed eventualmente bucare la chiave di decriptazione se la hai impostata (non avendo l'automount devi fornirla a manina)

Ed il tutto è scongiurabile se tu spegni semplicemente l'interruttore on-off del tuo HD esterno...

Praticamente è più facile entrarti in casa e portarlo via fisicamente! Hai più serrature digitali che serrature fisiche!!

Tutto questo è poi possibile solo se l'attaccante sta effettivamente cercando quell'HD e conosce la sua esistenza altrimenti il dubbio non si pone nemmeno!!

Tutto questo richiede tempo, tanto tempo! e Banda, tanta banda! Quindi ti basta impostare un controllo sulla banda e lo vedi subito se qualcuno si sta tentando di trasferire l'immagine criptata dell'HD (perchè tu lo cripti tutto quindi sono parecchi GB!!)

Io la vedo veramente improbabile!! Inoltre personalmente ti sconsiglio la distro live perchè sebbene sia "pulita" ad ogni avvio, è anche vero che non ti permette di impostare i servizi di sicurezza (firewall, controlli su banda ecc. ecc.) una volta per tutte!
Ad esempio su una distor installata puoi impostare un avviso tramite mail ogni volta che il disco viene montato, su una live è una menata ogni volta!