Anche Linux puo' essere insicuro


Home Page | Commenti | Articoli | Faq | Documenti | Ricerca | Archivio | Storie dalla Sala Macchine | Contribuire | Login/Register
Sopratutto se ci potete mettere le mani sopra...

Molte persone sono erroneamente convinte che, con una password molto complessa, il sistema sia al sicuro dalle grinfie dei vari crackers.
Purtroppo questo è vero solo in parte...

Certo, una buona password, al posto di un "pippo", "root", "administrator", "segreta" (si, ho visto anche questo!) è una buona cosa.
Purtroppo, se è possibile avere un accesso fisico alla macchina c'è poco da fare.
Come disse il nostro buon Davide ci vogliono 30 secondi per impostare una nuova password, avendo la macchina (fisicamente) a disposizione.
E la cosa preoccupante è che non è nemmeno tanto difficile e non servono programmi particolari.

Ogni tanto, poi, capita il caso in cui farlo è obbligatorio, per esempio se il vecchio SysAdmin è passato ad altri lidi o all'altro mondo e nessuno conosce la password.

ATTENZIONE!! Mi preme far notare che questo articolo non vuole essere in alcun modo un incoraggiamento alla pirateria, anzi!
È però utile conoscere i vari trucchi dei Crackers, quantomeno per potersi difendere accuratamente...

Un buon HowTo l'ho trovato con Google in pochissimo tempo e ve lo propongo tradotto e con qualche commento in più.

Per prima cosa occorre riavviare il sistema in Single Mode. Questo si può fare dando un CTRL-ALT-DEL, oppure nei casi più estremi semplicemente staccando la spina.
A questo punto, durante la fase di boot occorre dire al Bootmanager di caricare il sistema in single mode.
Con GRUB questo si ottiene modificando la configurazione (tasto e) in corso, scegliendo poi la voce Kernel... e modificando (nuovamente tasto e) la voce, aggiungendo init=/bin/bash alla fine della riga.
A questo punto con il tasto b si fa proseguire il boot.
Con LILO basta aggiungere init=/bin/bash al nome della configurazione da caricare (per esempio linux init=/bin/bash).

A questo punto viene caricato il sistema di base (appunto single mode, normalmente usato per le riparazioni d'emergenza), senza chiedere nessuna passsword, pur dando a disposizione i privilegi amministrativi.

Da qui in poi la strada è breve... Per prima cosa occorre rimontare la partizione di root in ReadWrite-mode, altrimenti non si potrà scrivere su disco la nuova password.
Per far questo basta dare:

mount -o remount,rw /

A questo punto basta usare l'apposito comando passwd e impostare una nuova password, oppure, nel caso in cui /usr/bin sia su una partizione separata e non si voglia montarla, editando il file /etc/passwd e cancellando la password dalla riga. In pratica, modificando la riga da:

root:x:0:0:root:/root:/bin/bash

a

root::0:0:root:/root:/bin/bash

(Nota: nel caso in cui non si usino le Shadow-Passwords, al posto della "x", si vedrà l'Hash della password.
Le operazioni da fare, però sono identiche.
)

A questo punto è necessario rimontare la partizione di root in ReadOnly:

mount -o remount,ro /

e riavviare il sistema.

Come si può vedere le operazioni da svolgere sono tutto sommato semplici e veloci (mi è capitato di farlo solo su macchine virtuali che uso come tests. In 45 secondi al massimo il sistema con la password modificata veniva fatto partire, con enorme stupore dei tapini che credevano di avere un sistema sicurissimo a disposizione e mi guardavano con gli occhi alla Wile Coyote intanto che scardinavo senza problemi la loro sicurissima password).

La cosa importante, a questo punto, è sapere come difendersi.
La cosa piu' ovvia è di chiudere a chiave il Server in un armadio e fare in modo che il minor numero possibile di persone abbia la chiave.
A questo punto, visto che un armadio si può tranquillamente scassinare o rompere usando il martello che si trova normalmente sulla scrivania del SysAdmin, occorrerebbe mettere l'armadio (con il/i Server(s) dentro, ovviamente) in una stanza ad accesso limitato, anche qui con il minor numero possibile di persone in possesso della chiave.
L'ideale, poi, se fosse possibile, è di controllare e protocollare gli accessi alla stanza, per esempio, con sistemi di videosorveglianza all'ingresso e sostituendo la chiave con un Badge in modo che all'apertura della porta corrisponda una riga in un qualche Log e, magari, l'invio di un'E-Mail o di un SMS a chi di dovere.

In più, criptare i dischi sui quali sono contenute le informazioni importanti contribuisce a tenere segrete queste informazioni anche nel malaugurato caso in cui il Server venga rubato e il ladro abbia letto quest'articolo...


I commenti sono aggiunti quando e soprattutto se ho il tempo di guardarli e dopo aver eliminato le cagate, spam, tentativi di phishing et similia. Quindi non trattenete il respiro.

24 messaggi this document does not accept new posts
Enrico BassettiPiccola precisazione Di Enrico Bassetti - postato il 01/03/2009 15:00
Nel punto "[...] rimontare la partizione di root in ReadOnly [...]" il comando è sbagliato, la rimonta in rw

Inoltre, volevo aggiungere qualche riga riguardo ai boot loader: alcuni (LILO/Grub sicuro, altri non so) prevedono anche una password per bloccare le modifiche dei parametri del kernel di avvio.

Ovviamente, CD, penna usb, floppy alla mano, si fa partire con un altro boot loader o con un altro sistema (anche minimale)... Debian + molte utility + compilatore + fluxbox = 650MB o poco di più. Oramai le penne usb sono da gigabyte di dati

Enrico

--
Enrico Bassetti

Luca Bertoncello-AT- Enrico Bassetti Di Luca Bertoncello - postato il 01/03/2009 16:26

> Nel punto "[...] rimontare la partizione di root in ReadOnly [...]" il comando è sbagliato, la rimonta in rw

Hai ragione! Copia/incolla dal punto sbagliato...
Corretto!

> Inoltre, volevo aggiungere qualche riga riguardo ai boot loader: alcuni (LILO/Grub sicuro, altri non so) prevedono anche una password per bloccare le modifiche dei parametri del kernel di avvio.

Vero anche quello, come anche la possibilita' di non visualizzare nessun menu, ma non e' che sia una gran protezione...

> Ovviamente, CD, penna usb, floppy alla mano, si fa partire con un altro boot loader o con un altro sistema (anche minimale)... Debian + molte utility + compilatore + fluxbox = 650MB o poco di più. Oramai le penne usb sono da gigabyte di dati

Appunto...

--
Luca Bertoncello


Cobra78-AT- Enrico Bassetti Di Cobra78 - postato il 02/03/2009 10:44

Se è per questo si può bloccare il bios con una password, impedire tanto l'avvio quanto la modifica dei parametri, ma poi se il cracker in questione ha a disposizione fisicamente la macchina può resettare il bios, e siamo punto e a capo.

> Nel punto "[...] rimontare la partizione di root in ReadOnly [...]" il comando è sbagliato, la rimonta in rw
>
> Inoltre, volevo aggiungere qualche riga riguardo ai boot loader: alcuni (LILO/Grub sicuro, altri non so) prevedono anche una password per bloccare le modifiche dei parametri del kernel di avvio.
>
> Ovviamente, CD, penna usb, floppy alla mano, si fa partire con un altro boot loader o con un altro sistema (anche minimale)... Debian + molte utility + compilatore + fluxbox = 650MB o poco di più. Oramai le penne usb sono da gigabyte di dati
>
> Enrico
>
> --
> Enrico Bassetti

--
Prendi la vita al minuto, non all'ingrosso.
Sogna come se dovessi vivere per sempre; vivi come se dovessi morire
oggi.


denishe he sono anni Di denis - postato il 02/03/2009 07:56

che lo uso, ricordo con soddisfazione le facce dei vari clienti quando gli aprivo in root i sistemi di cui avevano (sic) perso la password di root.

--
GCS/CM d- s:+: a--- C++ UL+++S E--- W+(-) N o+ w-- O? M- PS+ PE Y+ PGP t+(++) 5? X- R* tv- b++ DI+ D++++ G+ e h! r++ y++


KurganPiccoli hacker crescono Di Kurgan - postato il 02/03/2009 11:10

Il problema dell'accesso fisico l'abbiamo avuto nelle aule di informatica delle scuole. C'e` sempre almeno uno studente che sa quello che fa, e che ama fare casini. Al momento la soluzione che sembra funzionare e`:

- password al bios per impedire il boot da qualcosa che non sia l'hard disk
- password a GRUB
- lucchetto sul case del PC

Per adesso ha retto, ma per quanto ancora?

--
Il massimo danno con il minimo sforzo


Luca Bertoncello-AT- Kurgan Di Luca Bertoncello - postato il 02/03/2009 11:18

> Il problema dell'accesso fisico l'abbiamo avuto nelle aule di informatica delle scuole. C'e` sempre almeno uno studente che sa quello che fa, e che ama fare casini. Al momento la soluzione che sembra funzionare e`:
>
> - password al bios per impedire il boot da qualcosa che non sia l'hard disk
> - password a GRUB
> - lucchetto sul case del PC
>
> Per adesso ha retto, ma per quanto ancora?

Fino a quando lo studente non arriva armato di tenaglie e martello e ti scassa il lucchetto...
Da li in poi son circa 5 minuti...

Ciao
Luca

--
Luca Bertoncello


Kurgan-AT- Luca Bertoncello Di Kurgan - postato il 02/03/2009 21:06



> Fino a quando lo studente non arriva armato di tenaglie e martello e ti scassa il lucchetto...

Confido che la scuola non ci accusi di aver fatto un sistema insicuro, se trovano un PC che e` stato aperto con l'apriscatole. Se vogliono, pero`, possiamo sempre affogarli nel cemento armato.

--
Il massimo danno con il minimo sforzo


Luca Bertoncello-AT- Kurgan Di Luca Bertoncello - postato il 02/03/2009 21:26

> Confido che la scuola non ci accusi di aver fatto un sistema insicuro, se trovano un PC che e` stato aperto con l'apriscatole. Se vogliono, pero`, possiamo sempre affogarli nel cemento armato.

Com'e' che diceva quel tipo?

"L'unico computer sicuro e' quello spento, senza dischi, chiuso a chiave in un armadio, a sua volta chiuso in uno stanzino senza finestre, 150 metri sottoterra.
Ma non ne sono completamente sicuro"

Ciao
Luca

--
Luca Bertoncello


anonymous-AT- Luca Bertoncello Di anonymous - postato il 09/03/2009 09:02

> > Per adesso ha retto, ma per quanto ancora?
>
> Fino a quando lo studente non arriva armato di tenaglie e martello e ti scassa il lucchetto...
> Da li in poi son circa 5 minuti...

Oppure, fino a quando lo Studente Smanettone non si scarica da Internet "The MIT Guide to Lock Picking" di tale Ted The Tool...

--
anonymous


Motosaurosubject Di Motosauro - postato il 04/03/2009 12:05

Quella di mettere init=/bin/bash non la sapevo: la mia tattica finora è sempre stata: boot di systemrescuecd -> chroot -> passwd
Ottima cosa da sapere però. Grazie :-\)

--
Motosauro


Eugenio Dorigatisubject Di Eugenio Dorigati - postato il 05/03/2009 21:47

Al corso che frequento la tecnica del init=/bin/bash l'avevamo sperimentata sul portatile dato in dotazione ad un nostro compagnio che non c'era ^^
Oltre a questo, volevo metterci un po di mio dicendo che sul Os X si può entrare in single user mode senza password di root semplicemente permendo mela + s durante il boot. Poi le opzioni per rimontare in scrittura il disco sono scritte a schermo (loro mettono prima un check del disco con "/sbin/fsck -fy" e poi "/sbin/mount -uw /", anche se ho provato e va bene anche il "mount -o remount ,rw /").
Poi lanci SystemStarter che tira su la rete e netinfo e poi si può dire che hai fatto tutto quello che puoi fare e la macchina è completamente ai tuoi comandi.

--
"Unix IS user friendly. It's just selective about who its friend are"


mk66Interessante Di mk66 - postato il 09/03/2009 14:14

Grazie per la spiegazione utile e istruttiva: davvero molto interessante per capire meglio la sicurezza del proprio sistema.

--
mk66


ManuelSu Mac OS X... Di Manuel - postato il 03/04/2009 15:40

aggiungo una nota di sicurezza di OSX.
da OSX 10.4 in poi esiste la funzione FileVault, ovvero la criptatura delle cartelle utente, integrata nel sistema.
E' abbastanza affidabile (AES 128 bit) a patto di usare una password complessa, visto che ci sono dei crack basati su brute forcing per FileVault.
In Leopard (10.5) Filevault è più affidabile per via della nuova struttura adottata (sparsebundle al posto di sparseimage).
Byez!

--
::: meksONE ::: a Magic Eight Ball user :::


Anonymous cowardper windows Di Anonymous coward - postato il 05/07/2009 12:34

Il sistema più semplice per far saltare una password su Windows è EBCD.
Basta fare il boot da questo cd e cambiare la password sarà fin troppo semplice

--
Anonymous coward


Davide Bianchi@ Anonymous coward Di Davide Bianchi - postato il 05/07/2009 12:42

> Basta fare il boot da questo cd e cambiare la password sarà fin troppo semplice

Se hai accesso fisico alla macchina non esiste un os "sicuro".

--
Davide Bianchi


Riccardo Cagnasso@ Davide Bianchi Di Riccardo Cagnasso - postato il 23/07/2009 22:15

> Se hai accesso fisico alla macchina non esiste un os "sicuro".

Beh, puoi sempre crittografare tutto (tranne quel poco che ti serve per montare la roba crittografata).

--
Riccardo Cagnasso

PerisherSicurezza? Di Perisher - postato il 13/08/2009 10:33

Non esistono sistemi/OS sicuri.
Semplicemente, le contromisure intraprese devono essere commisurate alla minaccia. E se uno apre la scatola di vermi della sicurezza fisica, non si ferma piu'. Occorre molto realismo per valutare correttamente le minacce, con una sana dose di paranoia, ma senza farsi travolgere.

http://xkcd.com/538/

--
Perisher


Luca Bertoncello@ Perisher Di Luca Bertoncello - postato il 14/08/2009 08:33

> Non esistono sistemi/OS sicuri.

Diciamo che esistono OS piu' o meno sicuri... Certo, se hai la possibilita' di mettere le mani sulla macchina, la sicurezza diventa quasi un'utopia...

> Semplicemente, le contromisure intraprese devono essere commisurate alla minaccia. E se uno apre la scatola di vermi della sicurezza fisica, non si ferma piu'. Occorre molto realismo per valutare correttamente le minacce, con una sana dose di paranoia, ma senza farsi travolgere.

Potrei essere quasi d'accordo... Se parliamo del PC di casa capisco che la paranoia e' un po' troppa.
Ma se parliamo del Server principale della ditta, con tutti i dati di tutti i clienti, delle fatture e dei lavori, allora direi che spendere un paio d'ore per prendere delle contromisure nel caso in cui qualcuno faccia il cattivo, non e' tempo sprecato!

Ciao

--
Luca Bertoncello


Perisher@ Luca Bertoncello Di Perisher - postato il 14/08/2009 11:24

> > Non esistono sistemi/OS sicuri.
>
> Diciamo che esistono OS piu' o meno sicuri... Certo, se hai la possibilita' di mettere le mani sulla macchina, la sicurezza diventa quasi un'utopia...
>
> > Semplicemente, le contromisure intraprese devono essere commisurate alla minaccia. E se uno apre la scatola di vermi della sicurezza fisica, non si ferma piu'. Occorre molto realismo per valutare correttamente le minacce, con una sana dose di paranoia, ma senza farsi travolgere.
>
> Potrei essere quasi d'accordo... Se parliamo del PC di casa capisco che la paranoia e' un po' troppa.
> Ma se parliamo del Server principale della ditta, con tutti i dati di tutti i clienti, delle fatture e dei lavori, allora direi che spendere un paio d'ore per prendere delle contromisure nel caso in cui qualcuno faccia il cattivo, non e' tempo sprecato!

Sono perfettamente d'accordo. E proprio per questo parlavo di commisurare le contromisure alla minaccia. Per l'utente privato, il furto del computer e' innanzitutto un danno monetario (contromisura: assicurazione). Per un professionista dell'IT, spesso LA PERDITA dei dati presenti a bordo e' la maggiore preoccupazione (contromisura: backup frequenti). Chi deve davvero preoccuparsi e' chi ritiene inaccettabile la divulgazione dei dati presenti sulla macchina. Ed anche qui distinguerei due categorie: chi, come i medici, deve proteggersi da eventi accidentali che portino alla divulgazione di dati riservati (contromisura: filesystem cifrato) e chi, invece, deve preoccuparsi di essere oggetto di azioni deliberate. Ovvero chi pensa che ci sia qualcuno che vuole QUEL portatile, di QUELLA specifica persona, per ottenere informazioni estremamente specifiche. E qui le contromisure diventano MOLTO piu' complesse, a volte ben poco informatiche, ma comunque da integrare nelle policy IT.

--
Perisher


bortemalucchetto? Di bortema - postato il 15/02/2010 22:29

- password al bios per impedire il boot da qualcosa che non sia l'hard disk
- password a GRUB
- lucchetto sul case del PC

cosa c'entra il lucchetto??se voglio cambiare password basta spegnere il pc con un tasto fuori dal case!

--
bortema


Luca Bertoncello@ bortema Di Luca Bertoncello - postato il 16/02/2010 07:31

> - password al bios per impedire il boot da qualcosa che non sia l'hard disk
> - password a GRUB
> - lucchetto sul case del PC
>
> cosa c'entra il lucchetto??se voglio cambiare password basta spegnere il pc con un tasto fuori dal case!

E poi prendi il martello e le tenaglie e il lucchetto salta...
Se hai la macchina fisicamente a disposizione non c'e' santo che tenga!

Ciao

--
Luca Bertoncello


Andrea Occhi@ bortema Di Andrea Occhi - postato il 03/11/2010 09:41

- password al bios per impedire il boot da qualcosa che non sia l'hard disk - password a GRUB - lucchetto sul case del PC cosa c'entra il lucchetto??se voglio cambiare password basta spegnere il pc con un tasto fuori dal case!

Se hai la password al bios, per bypassarla (per esempio per fare il boot da cd o chiavetta) devi togliere la batteria che alimenta il bios, e aspettare che la cmos si cancelli (e si cancelli la password del bios).

Da lì sono 5 minuti (cit.)

 

ciao

Andrea

--
Andrea Occhi


Anonymous bastard Di Anonymous bastard - postato il 21/01/2013 00:38

Sfida! sfida! Sfida!
Come si apre un OSX 10.8 con filevault attivato? Senza bruteforce, ovvio!
La password del firmware è aggirabile, ma adesso tutto il disco viene criptato... Per me non si riesce, ma, ovviamente, sto sbagliando, o siamo arrivati al 'non craccabile con una guida'?

--
Anonymous bastard


Luca Bertoncello@ Anonymous bastard Di Luca Bertoncello - postato il 21/01/2013 08:03

Sfida! sfida! Sfida!
Come si apre un OSX 10.8 con filevault attivato? Senza bruteforce, ovvio!
La password del firmware è aggirabile, ma adesso tutto il disco viene criptato... Per me non si riesce, ma, ovviamente, sto sbagliando, o siamo arrivati al 'non craccabile con una guida'?


E io che ne so? Mai usato OSX in vita mia (e, sinceramente, manco ci tengo! Apple secondo me e' riuscita a prendere qualcosa di buono [FreeBSD] e a violentarlo fino a farlo diventare irriconoscibile).

--
Luca Bertoncello


24 messaggi this document does not accept new posts

Precedente Successivo

Luca Bertoncello ha lavorato come responsabile del MailCluster per un Internet Service Provider in Dresden (Germania), specializzandosi nella configurazione di Exim, SpamAssassin e Clam e nella gestione di Clusters basati su Heartbeat e DRBD.
Attualmente lavora per una ditta che gestisce campagne pubblicitarie su Internet (no, non e' uno spammer :D) come programmatore e sistemista.
E' completamente paranoico... :)
Maggiori informazioni sul suo sito: http://www.lucabert.de/

Volete contribuire? Leggete come!.
 
 

Il presente sito e' frutto del sudore della mia fronte (e delle mie dita), se siete interessati a ripubblicare uno degli articoli, documenti o qualunque altra cosa presente in questo sito per cortesia datemene comunicazione (o all'autore dell'articolo se non sono io), cosi' il giorno che faccio delle aggiunte potro' avvisarvi e magari mandarvi il testo aggiornato.


Questo sito era composto con VIM, ora e' composto con VIM ed il famosissimo CMS FdT.

Questo sito non e' ottimizzato per la visione con nessun browser particolare, ne' richiede l'uso di font particolari o risoluzioni speciali. Siete liberi di vederlo come vi pare e piace, o come disse qualcuno: "Finalmente uno dei POCHI siti che ancora funzionano con IE5 dentro Windows 3.1".

Web Interoperability Pleadge Support This Project
Powered By Gort