Una botnet di router

Ebbene si ci siamo arrivati. Pare che un worm sia riuscito ad infettare circa 80.000 router domestici e modem adsl basati su processore MIPS e dotati di sistema operativo Linux. (qui la notizia originale )

In pratica il worm infetta i router attraverso la porta telnet o SSH  facendo un brute force attack sulle password.

Avete capito bene: attraverso la porta telnet o SSH!! Questo vuole dire che il router per essere infettato deve avere le porte aperte verso internet. E questo e sempre male! In particolare in una configurazione domestica la necessità di avere accesso dall’esterno al router è sempre solo pari a 0. Inoltre le password devono essere presenti in un database o essere facilmente indovinabili.

E’ un po come lasciare un portafogli pieno di soldi su una panchina di un parco e poi lamentarsi che i soldi sono spariti…

Sicurezza vuole dire usare sempre la testa: un sistema operativo può essere più sicuro  o meno sicuro, ma se viene configurato male nessun sistema è impossibile da bucare. Quindi ricordatevi di usare password non banali e di lasciare aperte solo le porte strettamente necessarie.

Una piccola riflessione sull’informatica

Ultimamente si stanno leggendo sempre più critiche sulla sicurezza di Microsoft da parte dei sostenitori dell’opensource. Secondo me è giusto evidenziare i problemi (magari anche quelli di Linux quando ne escono) ma dobbiamo ricordarci che è anche grazie a Microsoft che l’informatica è uscita dalla nicchia delle sale server e delle aziende ed ha raggiunto il grosso della popolazione. Però una cosa è certa se è vero che Microsoft ha dato il PC al popolo (se così si può dire) ha anche creato una situazione di forte rischio, rendendo di fatto insicura la stessa infrastruttura di base. Attenzione non mi riferisco solo alle vulnerabilità più o meno grandi presenti nei pacchetti Microsoft (quelle le abbiamo anche noi volenti o nolenti) ma proprio ad un problema di base molto diffuso: tutti (o almeno la maggior parte) degli utilizzatori Windows solo perchè sanno aprire il pannello di controllo si sentono sistemisti navigati. Questo è un grosso pericolo un conto è usare un computer, magari installarsi una stampante o un programma, un altro è amministrarlo. Anni fa (e neanche poi troppi) in una azienda a nessun utente sarebbe venuto in mente di configurarsi o reinstallarsi un PC, ma nemmeno farsi da solo i salvataggi o installarsi una periferica (e non è che fosse molto più difficile di oggi) perchè esistevano figure preposte a farlo. Lo stesso valeva in casa: chi acquistava un PC lo acquistava configurato in un certo modo e così lo usava. Ora non voglio dire che sia necessario portare il PC di casa in un centro assistenza per isntallare un mouse o una stampante, ma certe funzioni che una volta erano demandate a persone competenti sono oggi gestibili da chiunque.
E purtroppo la stessa cosa sta accadendo anche con Linux: oggi installare un server FTP o Apache su Linux è un operazione banale, ma poi quanti sono in grado di gestirlo in modo corretto, verificando che le configurazioni non lascino aperti varchi di sicurezza o abbiano bug magari stranoti fra i sistemisti. E non parlo solo di installazioni domestiche ma anche piccole aziende o uffici che lasciano i loro server nelle mani dell’amico o del cugino che perchè sa far partire un liveCD di Ubuntu si sente un grande hacker. Secondo me si dovrebbero creare 2 versioni distinte delle varie distribuzioni: una orientata al desktop che punti tutto sulla semplicità d’uso e sulle funzionalità utili agli utenti, e una dedicata ai server ed ai servizi di rete incentrata sulla sicurezza e sulla versatilità, altrimenti rischiamo fra 3-4 anni di trovarci nella condizione di Windows per quanto riguarda la sicurezza, che ricordiamoci non è solo messa a rischio dai virus.

Truffe on line

Oggi ho ricevuto un email con tentativo di truffa online da parte del solito scammer che si spaccia per Poste Italiane. Non ci sono più neanche scammer seri in giro : a parte i soliti errori grammaticali e le frasi un po’ sconnesse nel campo del destinatario sono riportati ben 5 indirizzi email diversi (tutti su dominio tiscali.it): questa penso non fregherebbe neppure mia figlia di 4 anni 😉

Per informazione di seguito c’è il testo della mail (ho modificato il link per puntare al mio sito) :

Poste Italiane Caro cliente,

 Durante il nostro calendario regolarmente la manutenzione e la verifica che abbiamo
 rilevato un lieve errore e le informazioni per la fatturazione su file con Poste Italiane.

 Ciò potrebbe essere dovuto ad una delle seguenti ragioni:

 -- Un recente cambiamento nelle vostre informazioni personali (ad esempio, cambio di indirizzo)
 -- L'incapacità di verificare accuratamente selezionata di pagamento, uno
     errore interno all'interno dei nostri processori.

 Recentemente abbiamo notato uno o più tentativi di accesso nel tuo conto Poste Italiane
 da un indirizzo IP estera e abbiamo ragione di credere che il tuo account
 e stato dirottato da un terzo senza la sua autorizzazione. Se hai recentemente
 l'accesso al tuo account mentre viaggia, il log dei tentativi possono avere
 iniziata da voi.
 Tuttavia, se siete il legittimo titolare del conto, fare clic sul link
 qui sotto, come si prova a verificare il tuo account.
  
https://www.poste.it

 Il tentativo di accesso è stato effettuato da:

 Indirizzo IP: 89.34.153.170
 ISP ospitante: 89-34-153-170.u-nite.ro

 Se si sceglie di ignorare la nostra richiesta, ci si lascia alcuna possibilità di scelta, ma a
 temporalmente sospendere il suo account.
 Ti chiediamo di consentire almeno 72 ore per il caso di essere studiata e noi
 Consigliamo vivamente di non apportare modifiche al tuo account in quel momento.
 
* Si prega di non rispondere a questa email in quanto la sua risposta non saranno ricevuti.
 Grazie per la vostra pazienza mentre lavoriamo insieme per proteggere il tuo account.

Google Ocert: un aiuto all’Opensource

Google ha  lanciato un mese fa circa una nuova iniziativa chiamta Ocert (Opensource computer Emergency Response Team), in pratica un team di persone con l’incarico di scoprire e aiutare a correggere le falle di sicurezza che si presentano nei programmi opensource coordinando le comunicazioni fra gli sviluppatori dei vari progetti. Esiste già una cosa simile per tutti i maggiori progetti opensource ma cosa mancava (o non era abbastanza sviluppato) è una rete sicura di contatti fra i maggiori sviluppatori. Se il programma affetto da bug di sicurezza è molto diffuso o è utilizzato all’interno di altri progetti tipo la speex library di un advisory presente su OCert adesso, era  difficile avvisare tutti gli sviluppatori che utilizzano questi programmi (sempre per rimanere nell’esempio VLC, SLD, Xine-lib, Speex, Sweep, Vorbis tool) in modo rapido e capillare, bene con OCert dal momento della scoperta del bug alla correzione dello stesso e all’implementazione in tutti i programmi affetti sono passati solamente 7 giorni.

Ocert al momento ha 4 Advisory registrate. Se venite a conoscenza di incidenti o vulnerabilità è possibile segnalarle direttamente dal loro sito.

Una bella idea che dovrebbe semplificare la vita agli sviluppatori: brava Google.

Le migliori 80 applicazioni di sicurezza per GNU/Linux

Girando sul web mi sono imbattuto in questo post dove vengono elencate 80 delle migliori applicazioni relative alla sicurezza. E’ un elenco molto completo a cui aggiungerei solo 2 distro live:

SysrescueCD : un vero e proprio coltellino svizzero per GNU/Linux ma non solo

Clonezilla : con la versione anche live un’ottimo strumento per clonare interi dischi.

Perchè sicurezza è la possibilità di ripristinare velocemente una macchina o la possibilità di estrarre dati da una macchina compromessa.