|
|
(169 versioni intermedie di 26 utenti non mostrate) |
Riga 1: |
Riga 1: |
− | [[Categoria:Corsi]][[Categoria:Corsi Primo Semestre]]
| + | {{introduzione}} |
− | <!-- non cancellare le righe precedenti -->
| + | == Turni == |
− | <!-- Allo staff: mi son portato avanti cominciando ad abbozzare la pagina :). Ho copiato e incollato la formattazione dal corso di bioinformatica per la specialistica -->
| + | {{turno}} |
| | | |
− | == '''Sicurezza, anno 2005/2006''' == | + | == A.A. passati == |
| + | {{annipassati|2006-2007|(Danilo Bruschi)}} |
| + | {{annipassati|2005-2006|(Danilo Bruschi)}} |
| | | |
− | '''Sicurezza''' è un corso complementare per la laurea in comunicazione digitale e altri corsi di laurea.
| + | == Informazioni == |
| | | |
− | === Docenti === Danilo Bruschi
| + | Sicurezza è un corso '''complementare''' per i tre corsi di laurea. |
− | e-mail: <bruschi [at] dico [dot] unimi [it]>
| |
| | | |
− | === Orari delle lezioni ===
| + | Si raccomandano come prerequisiti l'aver frequentato il corso di Reti di calcolatori e Sistemi Operativi, ma l'aver verbalizzato il voto o l'averli seguiti non è vincolante in alcun modo per seguire e sostenere il corso e l'esame. Si raccomanda inoltre di poter lavorare su Linux, in quanto la pratica verterà su questo sistema operativo. |
− | | |
− | {| border=1
| |
− | ! Lunedì!! Mercoledì
| |
− | |-
| |
− | | 17:30-19:30 Aula Alfa|| 17:30-19:30 Aula Sigma
| |
− | |}
| |
− |
| |
− | Le lezioni del lunedì tratteranno la parte teorica del corso e saranno tenute dal prof. Bruschi,mentre le lezioni del mercoledi` tratteranno la parte pratica del corso e saranno tenute dai dott. Cavallaro e Lanzi
| |
− | | |
− | === Orario di ricevimento dei docenti ===
| |
− | | |
− | Ricevimento su appuntamento:
| |
− | * Prof. Bruschi <bruschi [at] dico [dot] unimi [dot] it>
| |
− | * Dott. Lanzi <andrew [at] security [dot] dico [dot] unimi [dot] it>
| |
− | * Dott. Cavallaro <sullivan [at] security [dot] dico [dot] unimi [dot] it>
| |
− | | |
− | ===Sito del corso ===
| |
− | | |
− | Se andate [http://security.dico.unimi.it/sicurezza0506/ qui] trovate il programma del corso (vedi [http://security.dico.unimi.it/sicurezza0506/stuff/Programma_Sicurezza0506.pdf PDF]),le modalità d'esame e quant'altro di necessario.
| |
− | | |
− | === Materiale didattico ===
| |
− | | |
− | * Primo libro:
| |
− | ** Titolo: ''"Firewall e sicurezza si rete"'',II Edizione
| |
− | ** Autori: W.Cheswick,S.Bellouin,A.Rubin
| |
− | ** Casa Editrice: Edision Wesley
| |
− | ** Prezzo: 32 €
| |
− | | |
− | * Secondo libro:
| |
− | ** Titolo: ''"Computer Security"''
| |
− | ** Autore: D.Gollmann
| |
− | ** Casa editrice: J.Wiley
| |
− | ** Lingua: solo inglese
| |
− | ** prezzo: 50 € scontato, alla [http://www.accu.mi.it/clued/ CLUED],settore didattico [http://www.dsy.it/forum/member.php?action=getinfo&find=lastposter&threadid=22261 JoY§TiCk]
| |
− | | |
− | In più ci sarà alro materiale sparso,presentato a lezione. Vi terremo aggiornati ;).
| |
− | Ad ogni modo il prof ribadisce che il primo libro(quello in italiano)tratterà il 70% delle lezioni e che i lrestante 30% deriverà dal secondo e da altro materiale.
| |
− | '''Non''' verranno presentate slides alle lezioni di teoria del lunedì,nè messe a disposizione sul sito. Per quanto riguarda le lezioni di pratica invece ci saranno delle slides pubblicate sul sito.
| |
| | | |
| === Modalità d'esame === | | === Modalità d'esame === |
− |
| |
− | Si raccomandano come prerequisiti l'aver frequentato il corso di Reti di calcolatori e Sistemi Operativi,ma l'aver verbalizzato il voto o l'averli seguiti non è vincolante in alcun modo per seguire e sostenere il corso e l'esame.
| |
− | Si raccomanda inoltre di poter lavorare su Linux,in quanto la pratica verterà su questo sistema operativo.
| |
− | L'esame consiste di due modalità:
| |
| | | |
| * SCRITTO: domande a risposta aperta; | | * SCRITTO: domande a risposta aperta; |
− | * PRATICA: implementazioni varie su Linux; | + | * PRATICA: implementazioni varie su Linux; |
− | | |
− | | |
− | '''''N.B.: La quasi totalità dei link a pagine esterne al wikiDsy sono stati inseriti dal sottoscritto e NON dal professore. Questo per far si di integrare meglio quanto spiegato a lezione con il vasto materiale disponibile in rete.'''''
| |
− | | |
− | Editaggio a cura di: --[[Utente:Voodoo|Voodoo]] 12:21, Nov 9, 2005 (CET)
| |
− | | |
− | == '''Diario del corso''' ==
| |
− | | |
− | === Lezione di Lunedì 3-10-05 ===
| |
− | | |
− | '''Argomenti trattati nella lezione di oggi''':
| |
− | | |
− | * Cosa vuol dire fare sicurezza: prevenire azioni non autorizzate che posson provocare conseguenze spiacevoli,nel nostro caso ciò si applica ai sistemi informativi e alla loro prevenzione;
| |
− | * Distinzione tra SECURITY e SAFETY;
| |
− | * Perchè esiste la sicurezza;
| |
− | * Peculiarità in campo di sicurezza:
| |
− | *# Non esiste alcun sistema sicuro;
| |
− | *# La sicurezza costa in termini di:
| |
− | *## soldi;
| |
− | *## tempo;
| |
− | *## privacy;
| |
− | *## flessibilità del sistema;
| |
− | * l'importanza di saper fare delle scelte,valutare elementi critici in un sistema e dare dalle priorità ad essi. In pratica la politica di gestione degli elementi da difendere;
| |
− | * Quindi si vede la fase si ANALISI del rischio e la GESTIONE dello stesso,svolta dal management aziendale;
| |
− | * I beni desiderabili(ASSET)da parte degli attaccanti:
| |
− | *# informazioni,dati memorizzati;
| |
− | *# servizi erogati dalla macchina e loro uso;
| |
− | *# <u>la protezione dei precedenti implica la protezione delle persone che stanno dietro ad essi;</u>
| |
− | * Chi fa sicurezza deve garantire che un sistema goda di:
| |
− | *# confidenzialità;
| |
− | *# integrità;
| |
− | *# disponibilità;
| |
− | | |
− | Al termine della lezione è stata trattata a grandi linee la nascita e l'evoluzione della sicurezza in campo informatico,ricordando una data storica,2 novembre 1988,per via di un crash di un numero ingente di macchine negli USA nel giro di poco tempo,causato da un programma(una tipologia che verrà chiamata WORM)scritto da R.J.Morris.<br>
| |
− | Alcuni link d'interesse che trattano la storia:
| |
− | | |
− | [http://snowplow.org/tom/worm/worm.html http://snowplow.org/tom/worm/worm.html]
| |
− | | |
− | [http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-sg-it-4/ch-sgs-ov.html http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-sg-it-4/ch-sgs-ov.html]
| |
− | | |
− | ----
| |
− | | |
− | === Lezione di Mercoledì 5-10-05 ===
| |
− | | |
− | * Introduzione del corso;
| |
− | * Installazione di Debian tramite VMWare;
| |
− | | |
− | Vedere [http://www.vmware.com/download/index.html#eval qui] per scaricare la versione di prova;
| |
− | altri emulatori utilizzabili sono [http://fabrice.bellard.free.fr/qemu/ Qemu] e [http://bochs.sourceforge.net/ Bochs]
| |
− | | |
− | ----
| |
− | | |
− | === Lezione di Lunedì 10-10-05 ===
| |
− | | |
− | <u>Introduzione alla [http://it.wikipedia.org/wiki/Crittografia crittografia]</u>
| |
− | | |
− | La crittografia è un valido sostegno al mantenimento della confidenzialità delle informazioni;
| |
− | | |
− | * attori della scenografia crittografica:
| |
− | ** mittente;
| |
− | ** destinatario;
| |
− | ** intruso (man in the middle);
| |
− | * definizione di operazioni di cifratura e decifratura;
| |
− | * Esempi di codici crittografici storici:
| |
− | ** codice di cesare: [http://it.wikipedia.org/wiki/Cifrario_di_Cesare qui] potete leggere in breve come si comporta questo codice e [http://www.tonycrypt.com/Crittografia/Crittoanalisi.htm qui]un esempio di [http://it.wikipedia.org/wiki/Crittanalisi crittanalisi] che sfrutta le ricorrenze dei caratteri;
| |
− | ** Aenigma: codice trattato esaurientemente in [http://it.wikipedia.org/wiki/Enigma_(crittografia) wikipedia]. [http://russells.freeshell.org/enigma/ Qui] si possono trovare anke simulatori della macchina aenigma
| |
− | * Protocolli a chiave pubblica o asimmetrica:
| |
− | ** il primo è pubblicato agli inizi degli anni 80;
| |
− | ** presenza di due chiavi;
| |
− | ** sfruttano proprietà dei numeri primi e campi aritmetici modulari;
| |
− | ** il protocollo Diffie-Hellman è usato per l oscambio delle chiavi pubbliche;
| |
− | ** La chiave pubblica è a disposizione di tutti e viene usata per cifrare i messaggi,i quali verranno decifrati con la chiave privata del destinatario;
| |
− | ** notevole lentezza nel calcolo degli algoritmi(può richiedere ore per grossi documenti);
| |
− | ** notevole sicurezza dei dati e ottima gestione delle chiavi;
| |
− | * Protocolli a chiave privata o simmetrica:
| |
− | ** algoritmi efficienti e veloci
| |
− | ** le trasformazioni sono effettuate anche in hardware,un ulteriore livello per renderle più efficaci;
| |
− | ** utilizzano operazioni di "or","shift" e permutazioni;
| |
− | ** buon livello di sicurezza anche con chiavi contenute;
| |
− | ** gestione delle chiavi critica,poichè mittente e destinatario utilizzano la stessa chiave(segreta),con la scomoda necessità di comunicarla per esser nota da ambo le parti;
| |
− | ** il più usato è il [http://it.wikipedia.org/wiki/Data_Encryption_Standard DES](molto usato per le transazioni bancarie);
| |
− | ** visti i limiti del DES,vengono sviluppati [http://it.wikipedia.org/wiki/Advanced_Encryption_Standard AES] e [http://en.wikipedia.org/wiki/Triple_DES Triple DES];
| |
− | ** Sia AES sia DES lavorano con una codifica denominata [http://en.wikipedia.org/wiki/Block_cipher_modes_of_operation#Electronic_codebook_.28ECB.29 ECB],anche se non è molto sicura per testi lunghi,dove è meglio impiegare la [http://en.wikipedia.org/wiki/Block_cipher_modes_of_operation CBC];
| |
− | | |
− | Altri spunti [http://telemat.det.unifi.it/book/1997/cryptography/crysym1.htm qui]e il libro on-line [http://www.ecn.org/kriptonite/ Kriptonite] anche scaricabile in formato PDF compresso in uno zip
| |
− | <br>Altro approfondimento: [http://world.std.com/~franl/crypto.html qui]
| |
− | | |
− | ----
| |
− | | |
− | === Lezione di Mercoledì 12-10-05 ===
| |
− | | |
− | Ripasso in veloce carrellata dei permessi classici in [http://en.wikipedia.org/wiki/Linux Linux]:
| |
− | * <tt>rwx</tt>,umask
| |
− | * SGID,SUID per i files;
| |
− | * Sticky,SGID per le directories;
| |
− | * ripasso dei seguenti comandi:
| |
− | ** <tt>chattr</tt>: modifica gli attributi;
| |
− | ** <tt>lsattr</tt>: mostra gli attributi impostati per la lista;
| |
− | ** <tt>chown</tt>: cambio propietario o gruppo per un file;
| |
− | ** <tt>chgrp</tt>: cambia solo il gruppo al file;
| |
− | ** <tt>chmod</tt>: cambia permessi classici(propietario,gruppo,resto del mondo);
| |
− | | |
− | Abbiamo visto due files importanti:
| |
− | * <tt>/etc/passwd</tt>: contiene account utente,uid,gid,home,shell..;
| |
− | * <tt>/etc/shadow</tt>: contiene la password leggibile solo dall'utente root,e vari suoi attributi;<br>
| |
− | : la password è cifrata tramite DES o MD5 (vedi [http://www.faqs.org/rfcs/rfc1321.html rfc]);
| |
− | * [http://en.wikipedia.org/wiki/Access_control_list ACL](Access Control List):
| |
− | ** è possibile aggiungere utenti o gruppi con un nome specifico;i comandi ACL possono rimpiazzare quelli di <tt>chmod</tt>; tuttavia, suid/sgid/sticky bit possono essere impostati solo con chmod;
| |
− | ** ACL minimale: permessi classici;
| |
− | ** ACL estesa: maschera,utente,gruppi aggiuntivi,...
| |
− | ** Access ACL: più diffusa,trova applicazione per files e directories;
| |
− | ** default ACL: solo su directories;
| |
− | | |
− | N.B.: sono stati asseganti degli esercizi in classe,che non sono stati eseguiti per mancanza di tempo;
| |
− | | |
− | ----
| |
− | | |
− | === Lezione di Lunedì 17-10-05 ===
| |
− | | |
− | * descrizione generale dell'algoritmo [http://en.wikipedia.org/wiki/RSA RSA];
| |
− | ** descrizione dell'algoritmo,a partire dalla scelta di due numeri primi a piacere molto grandi;
| |
− | ** la scelta dei numeri è molto importante ai fini della robustezza del codice;
| |
− | ** visto un esempio di cifratura della parola ''Hello'';
| |
− | * La funzione hash e il suo ruolo per la firma digitale;
| |
− | ** la chiave privata oltre a decifrare viene impiegata per firmare i messaggi,più propriamente per firmare l'hash del messaggio: questo a fianco della confidenzialità dei dati,va ad aggiungere la garanzia dell'identità reale delle persone;
| |
− | * Riassunto delle modalità di crittazione dei messaggi:
| |
− | ** crittazione semplice tramite chiave pubblica e decrittazione tramite quella privata <br>
| |
− | E<sub>B</sub>[M] (encryption da A) S<sub>B</sub>(E<sub>B</sub>[M]) (decryption di B)
| |
− | ** crittazione dell'hash tramite firma: <br>
| |
− | E<sub>B</sub>[(M,S<sub>A</sub>H[M])] (encryption di A) <br> A firma l'hash del messaggio con la sua chiave privata. B riceve il messaggio,spacchetta <br>tramite la sua privata im messaggio,ne calcola l'hash,vede l'hash calcolato da A decrittandolo <br>con la chiave pubblica del medesimo e ne confronta i risultati;
| |
− | ** crittazione veloce mista:
| |
− | E<sub>B</sub>[K],K[(M,S<sub>A</sub>H[M])] (encryption di A) <br> A cifra con la sua chiave privata l'hash del messaggio,come prima,ma poi cifra con la crittografia<br> a chiave privata,generando un numero ''K'' grande,per rendere veloce il processo. Dopo di che,critta<br> la chiave privata ''K'' con la chiave pubblica di B,per rednergliela nota.
| |
− | | |
− | Per concludere,anche se non esplicitamente trattati nel corso,aggiungerei un richiamo ai [http://en.wikipedia.org/wiki/Remailer remailers]: sono dei server che trattano automaticamente la posta in arrivo tramite istruzioni impartite dall'utente. Il mittente critta i messaggi attraverso PGP o un altro client denominato [http://mixmaster.sourceforge.net/ mixmaster],(''disponibile sia per Linux sia per Windows''),attraverso la chiave pubblica del remailer,il quale provvederà a decrittarlo e a rispedirlo alla destinazione anonimamente. Per un maggior grado di sicurezza si consiglia di usare una catena di remailers,per diminuire drasticamente le possibilità di rintracciamento del messaggio.
| |
− | ----
| |
− | | |
− | === Lezione di Mercoledì 19-10-05 ===
| |
− | | |
− | * Abbiamo usato il tool [http://en.wikipedia.org/wiki/John_the_Ripper ''John the Ripper''],usato per craccare le password di sistema degli utenti;scaricabile da [http://www.openwall.com/john/ qui]
| |
− | * sono [http://security.dico.unimi.it/sicurezza0506/#syllabus on-line] le slides della teoria spiegata e gli esercizi relativi;
| |
− | | |
− | ----
| |
− | | |
− | === Lezione di Lunedì 24-10-05 ===
| |
− | | |
− | * Problema di impersonificazione nella crittografia a chiave pubblica: la soluzione risiede nelle : Certification authority,i quali firmano con la loro chiave privata l'hash del nostro certificato : digitale,il quale contiene chiave pubblica ed estremi anagrafici;inoltre per provare effettivamente : la loro identità,le CA pubblicano sulla gazzetta ufficiale gli hash delle loro chiavi pubbliche;
| |
− | * la robustezza di un algoritmo dipende molto dalla pubblicità dello stesso;
| |
− | * attacchi brute force per chiavi DES a 40 bit: richiederebbe 2 anni con la generazione di : 71434440*10<sup>9</sup> di chiavi; algoritmi migliori ci riescono per chiavi di 56 bit in circa 35 giorni;
| |
− | ** lista di Certification authority: [http://www.qmw.ac.uk/~tl6345/ca.htm qui]
| |
− | | |
− | '''PROTEZIONE DI UN SISTEMA OPERATIVO'''
| |
− | * Stratificazione in un sistema informatico:
| |
− | # Applicazioni;
| |
− | # Sistema operativo:
| |
− | ## Interfaccia applicazioni;
| |
− | ## Servizi di sistema operativo;
| |
− | ## kernel;
| |
− | # Hardware;
| |
− | La sicurezza per un livello viene implementata a livello inferiore. Fare sicurezza a livello applicazione significa impedire che le applicazioni interferiscano con le altre.
| |
− | <br>''N.B.:'' l'hardware è il massimo livello di protezione che abbiamo,in cui è impossibile per il system manager attuare modifiche a meno di manomissioni a questo livello;
| |
− | * Sono esempi di protezioni hardware quelle proposte dal TCG: vedi [http://www.complessita.it/tcpa/ qui] e [http://www.no1984.org/ qui] (riferimento indicativo,da prendere con le pinze :))
| |
− | ** Aggiungerei un riferimento decisamente importante per l'argomento Trusted Computing Platform, rappresentato dal [http://www.trustedcomputinggroup.org Trusted Computing Group], consorzio responsabile della stesura della specifica per il TPM, TSS, etc (senza contare il lavoro portato avanti da gruppi di ricerca tra i quali il [http://www.watson.ibm.com/index.shtml Watson Research Center] dell'IBM).
| |
− | | |
− | '''Requisiti di un OS per esser definito sicuro:
| |
− | * accesso al sistema garantito ad utenti autorizzati;
| |
− | * processi utente possono usare il OS;
| |
− | * l'utilizzo dell'OS da parte di processi utente deve essere consentito e non abusivo;
| |
− | | |
− | * Trusted OS: tipicamente per applicazioni militari; i sistemi operativi possono essere cetificati da uno dei 7 livelli di sicurezza indicati da delle lettere.[http://www.nsa.gov/selinux/index.cfm SELinux] è tra B1 e B2,Windows NT 5.0 è tra C2 e B1;
| |
− | * distinzione processi utente e processi del sistema operativo:
| |
− | ** status bit;
| |
− | ** programma trap;
| |
− | ** interrupt;
| |
− | ** Il SO si fa carico delle richieste delle applicazioni e restituisce i risultati nel loro spazio di memoria;
| |
− | * politica di gestione dei processi e dei dati nel processore Motorola 68000;
| |
− | | |
− | ----
| |
− | | |
− | === Lezione di Mercoledì 26-10-05 ===
| |
− | | |
− | Esercizi con GnuPG: vedi [http://security.dico.unimi.it/sicurezza0506/#syllabus qui]
| |
− | * PGP 9 (trialware): [http://www.pgp.com/downloads/index.html qui]dopo i 30 giorni è possibilie ancora utilizzarlo con meno opzioni;
| |
− | * PGP versioni storiche: [http://hemsidor.torget.se/users/c/CoMa/pgp/pgpdownload.html qui]
| |
− | * Gnu Privacy Guard: [http://www.gnupg.org/ questo] è un sostituto completo e libero di PGP;
| |
− | * guida PGP e altre info: [http://pgp.unito.it/ qui]
| |
− | ----
| |
− | | |
− | === Lezione di Mercoledì 2-11-05 ===
| |
− | | |
− | Esercizi con GnuPG: vedi [http://security.dico.unimi.it/sicurezza0506/#syllabus qui]
| |
− | | |
− | ----
| |
− | === Lezione di Lunedì 7-11-05 ===
| |
− | | |
− | Fare sicurezza di un sistema vuol dire fare sicurezza a livello di sistema operativo(kernel). Bisogna:
| |
− | # evitare che i processi interferiscano tra loro;
| |
− | # evitare che i processi modifichino/interferiscano con il sistema operativo in maniera illegittima;
| |
− | # proteggere le informazioni;
| |
− | # garantire l'autenticità dei soggetti che utilizzano il sistema;
| |
− | | |
− | '''Strategie:'''
| |
− | * Separazione logica delle entità: processi in esecuzione sono messi in aree di memoria separate logicamente(rilocazione in ''loading time'' ed ''execution time'');
| |
− | * Controllo degli accessi: si decide chi può fare cosa a chi,mediante l'uso della matrice degli accessi,sfruttata dal '''P'''rocess'''C'''ontrol'''B'''lock (dispendioso) o dalle ACL(più efficiente,sono la base del sistema di protezione di UNIX);
| |
− | * meccanismi di autenticazione per gli utenti(tipicamente ''username'' e ''password'');
| |
− | * Storia di Windows: [http://it.wikipedia.org/wiki/Storia_di_Microsoft_Windows wikipedia] e [http://en.wikipedia.org/wiki/Template:History_of_Windows template]
| |
− | * Per una panormaica sui sistemi operativi,vedere i pdf del corso omonimo,presso comunicazione digitale: [http://bellettini.usr.dico.unimi.it/~belletc/SODwiki/materiale qui]<br>
| |
− | * Accenno a kerberos(''solo detto cos'è''): [http://web.mit.edu/kerberos/www/ qui]
| |
− | | |
− | ----
| |
− | | |
− | === Lezione di Mercoledì 9-11-05 ===
| |
− | | |
− | * [http://openvpn.net/ OpenVPN]: controllare il [http://security.dico.unimi.it/sicurezza0506/#syllabus materiale didattico]
| |
− | ----
| |
− | | |
− | === Lezione di Lunedì 14-11-05 ===
| |
− | | |
− | '''Fase di identificazione''': tipicamente l'inserimento di un ''user-id'' da dichiarare all'inizio della sessione di lavoro;
| |
− | <br>'''Fase di autenticazione''': sfrutta in genere uno o più di questi parametri:
| |
− | # ciò che l'utente possiede;
| |
− | # ciò che l'utente sa;
| |
− | # ciò che l'utente è;
| |
− | | |
− | <u>Paradigma "ciò che sai"</u>
| |
− | * Meccanismo delle password e punti deboli:
| |
− | # le password vanno memorizzate su disco: calcolo dell'hash della password,memorizzato su disco. Sulla password fornita dall'utente,viene eseguito l'hash e confrontato con quello su disco,nel caso coincidano,allora l'utente ha accesso al sistema (si basa sulla presunta impossibilità di inveritre la funzione di [http://it.wikipedia.org/wiki/Hash hash]);
| |
− | # le password possono essere scelte deboli: si consiglia l'uso di caratteri alfanumerici e speciali, dando alla password una certa lunghezza in caratteri(dai 6 in su). C'è il problema che la complessità scelta può portare ad una difficoltà alla memorizzazione,con la conseguente imprudenza di alcuni utenti di scriverla in luoghi insicuri(agende,libri o luoghi limitrofi alla macchina). Attacchi possibili:
| |
− | * Attacco dizionario: raccolta di parole ricorrenti nella lingua della vittima di cui si fa l'hash,da confrontare con la password da scoprire. Se coincidono la password è stata scovata. Vedere alcuni riferimenti:
| |
− | ::: http://en.wikipedia.org/wiki/Dictionary_attack ''(definizione)''
| |
− | ::: http://www.cs.jhu.edu/~fabian/courses/CS600.624/pwdweb.pdf ''(sicurezza contro attacchi dizionario)'' <br>Viene ricordata la storia di Morris e del suo Internet worm,che ha usato un attacco dizionario. Si ricorda John the ripper,uno dei programmi più usati in questo ambito. Bisogna vere un file di password.
| |
− | * Attacco phishing: e-mail truffaldine che fingono l'identità di qualcun'altro(banche,ecc) per far dirottare solitamente l'utente su un sito clonato,molto simile(in base all'abilità del truffatore) per ottenere dati personali e finanziari. Si veda :<br>
| |
− | ::: http://www.antiphishing.org/
| |
− | ::: http://www.webopedia.com/TERM/p/phishing.html ''(definizione)''
| |
− | | |
− | <u>Paradigma "ciò che hai,ciò che sai"</u>
| |
− | * Uso delle ''One-time password'': password "usa-e-getta" valide una volta sola,anche se intercettate non saranno valide per altre autenticazioni.
| |
− | * smart-card: pin sblocca la [http://en.wikipedia.org/wiki/Smart_card smart card] inserita.
| |
− | | |
− | <u>Paradigma "ciò che si è"</u>
| |
− | * Biometria: meccanismi di identificazione in base a caratteristiche fisiche difficili da contraffare. Caratteristiche studiate,con tasso d'errore a fianco,sono:
| |
− | ** impronta digitale ''(0.1%)'';
| |
− | ** retina e iride dell'occhio ''(0.01%)'';
| |
− | ** impronta della mano;
| |
− | ** voce;
| |
− | ** forma del viso ''(50%)'';
| |
− | | |
− | Problema di privacy e sostituibilità.
| |
− | | |
− | Una soluzione che coniuga tutti i parametri sarebbe il possesso di una smart-card,sbloccabile sempre con il solito pin,sulla quale vi è anche la propria impronta digitale: in questo modo c'è un confronto diretto dell'impronta senza invadere la privacy.
| |
− | Un possibile attacco ai riconoscitori di impronte digitali può essere l'applicazione di una sostanza impercettibile al tatto,sul riconoscitoree di impronte digitali. Quando l'utente se ne è andato,si toglie la pellicola sulla quale vi è rimasta l'impronta,per poi venir trattata in laboratorio,prodicendo pelle sintetica applicabile su un dito finto(situazione accaduta in Giappone).
| |
− | <br>
| |
− | I costi sono zero per le password,ma si va dalle 15€ alle 30€ per lettori smart-card e smart-card e dispositivi OTP. Il processo di sotituzione password avverrà entro 5-10 anni,ma le nuove tecnologie avranno comunque dei margini di errore,anche se infinitesimi perchè son sempre e comunque delle tecnologie.
| |
− | | |
− | <u>Meccanismi di audit</u>
| |
− | * logging: registrazione eventi che possono fornire informazioni sul sistema;
| |
− | * auditing: analisi dei log;
| |
− | * monitoring: controllo delle attività di un sistema;
| |
− | | |
− | Problemi e soluzioni:
| |
− | * i log è meglio memorizzarli su dispositivi WORM,per evitare cancellazione/riscrittura;
| |
− | * scegliere cosa monitorare per evitare produzione ingente di dati;
| |
− | * Usufruire di log consolidation,per disporre di tutti i log di diverse piattaforme in un formato standard,analizzabile velocemente attraverso un database centrale;
| |
− | * Sfruttare net correlation,attraverso la quale identificare automaticamente attività sospette;
| |
− | | |
− | ----
| |
− | === Lezione di Mercoledì 16-11-05 ===
| |
− |
| |
− | * [http://openvpn.net/ OpenVPN]: controllare il [http://security.dico.unimi.it/sicurezza0506/#syllabus materiale didattico]
| |
− | | |
− | ----
| |
− | | |
− | === Lezione di Lunedì 21-11-05 SOSPESA===
| |
− | Lezione sospesa causa indisposizione del docente
| |
− | | |
− | ----
| |
− | === Lezione di Mercoledì 23-11-05 ===
| |
− | | |
− | * [http://openvpn.net/ OpenVPN]: controllare il [http://security.dico.unimi.it/sicurezza0506/#syllabus materiale didattico]
| |
− | | |
− | ----
| |
− | | |
− | === Lezione di Lunedì 28-11-05 ===
| |
− | | |
− | XTERM è un demone del sistema operativo attraverso il quale l'utente spcifica le proprietà del terminale. Attraverso i suoi bug di programmazione è possibile,piazzando una stringa opportuna,farsi restituire una shell con i diritti di root.<br>
| |
− | La tecnica del buffer overflow bypassa del tutto il sistema operativo. L'internet worm di Morris sfruttò quest'attacco,dimostrando che era possibile utilizzare questa tecnica anche da remoto.<br>
| |
− | Mediamente vengono scoperte circa 2700 vulnerabilità al giorno,di cui circa il 40% sfrutta questa tecnica. <br>
| |
− | Il buffer overflow è un problema tipico del C e dei linguaggi in genere poco tipizzati,cioè che fanno un controllo debole sui tipi.<br>
| |
− | Molto in sintesi,questa tecnica mi consente,lanciando il programma(solitamente con i permessi di root) di qualcun'altro,di fargli sovrascrivere il return address di una funzione di modo che punti ad un'altra sezione in cui ho inserito il mio codice.
| |
− | * XTERM: emulatore per terminale di [http://www.computerhope.com/unix/ux.htm X]
| |
− | ** [http://dickey.his.com/xterm/xterm.faq.html XTERM FAQ]
| |
− | ** [http://www.scit.wlv.ac.uk/cgi-bin/mansec?1+xterm manuale XTERM]
| |
− | * Buffer overflow
| |
− | ** [http://sicurezza.html.it/articoli/articoli.asp?IdCatArticoli=18&idarticoli=43 Buffer overflow]
| |
− | ** [http://www.siforge.org/articles/2003/04/15-bofexp.html Spiegazione tecnica ed esempio pratico]
| |
− | ** [http://it.wikipedia.org/wiki/Buffer_overflow Wikipedia definizione]
| |
− | ** http://www.linuxjournal.com/article/6701
| |
− | ** [http://www-128.ibm.com/developerworks/linux/library/l-sp4.html Secure programmer: Countering buffer overflows]
| |
− | ** [http://www.enderunix.org/docs/eng/bof-eng.txt BUFFER OVERFLOWS DEMYSTIFIED] ''(txt)''
| |
− | ** [http://suif.stanford.edu/papers/tunji04.pdf A Practical Dynamic Buffer Overflow Detector] ''(pdf)''
| |
− | ** [http://www.windowsecurity.com/articles/Analysis_of_Buffer_Overflow_Attacks.html Analysis of Buffer Overflow Attacks]
| |
− | | |
− | ''Aggiunta''
| |
− | * a fronte di questi problemi e altre vulnerabilità che la programmazione in C porta con sè,è stato studiato un dialetto di questo linguaggio di nome [http://www.research.att.com/projects/cyclone/ Cyclone],per tentare di evitare Buffer overflows e altre particolarità indesiderate.
| |
− | ----
| |
− | | |
− | === Lezione di Mercoledì 30-11-05 ===
| |
− | | |
− | [http://en.wikipedia.org/wiki/TCP/IP TCP/IP] Summary:
| |
− | * [http://en.wikipedia.org/wiki/Sniffer Sniffing] & [http://www.tcpdump.org/ tcpdump];
| |
− | * Anche se ovviamente non menzionato,sotto Windows esiste [http://www.winpcap.org/windump/ Windump]<br>
| |
− | Vedere: [http://security.dico.unimi.it/sicurezza0506/#syllabus Materiale didattico]
| |
− | | |
− | ----
| |
− | | |
− | === Lezione di Lunedì 5-12-05 ===
| |
− | | |
− | Codice maligno è un codice progettato per fare danni volutamente ad un sistema,il tutto in modo che l'utente non sappia nulla,per poter passare inosservato. Ce ne sono migliaia basta,andare sui siti degli antivirus e vedere le liste(ecco un [http://securityresponse.symantec.com/avcenter/vinfodb.html?prodid=nav2005 Esempio]). Saranno in circolazione dal 1980 circa,evolvendosi fino ai worm dei giorni nostri. <br>Tipologie di [http://it.wikipedia.org/wiki/Malware Malware]:
| |
− | | |
− | * [http://it.wikipedia.org/wiki/Virus_%28informatica%29 virus]: non è propriamente un programma ma un insieme maligno di istruzioni in grado di replicarsi autonomamente,una volta eseguite dall'ospite in cui è inoculato. All'esecuzione dell'opsite verranno eseguite le istruzioni del virus,che prenderà possesso di gran parte del sistema. L'ospite va diffuso per propagarsi,non si distribuisce da sè,può solo infettare nuovi files. <br>
| |
− | : http://www.attentialvirus.com/
| |
− | * [http://it.wikipedia.org/wiki/Worm worm]: non necessita un ospite per diffondersi,è un programma che può assumere varie sembianze ma funziona da sè. Si propaga in modo autonomo,solitamente attraverso mail con allegati(''mass mailing'')in cui viene replicata una copia del worm stesso. Può sfruttare vulnerabilità dei sistemi per entrare automaticamente in esecuzione e diffondersi.<br> Solitamente quando un worm entra in funzione,si propaga attaccando i bersagli attraverso vari modi:<br>massmailing cercando all'interno dell'harddisk,file che contengono indirizzi attraverso pattern di ricerca(solitamente frugano nella rubrica di posta elettronica), oppure worm più sofisticati utilizzano motori interni per la generazione di bersagli.<br>Lo scanning è utile per capire su quali di questi bersagli si può attuare le potenzialità del worm sfruttando la loro vulnerabilità. Quindi riassumendo i bersagli possono essere:
| |
− | ** e-mail
| |
− | ** file server;
| |
− | ** P2P;
| |
− | ** sistema di messaggistica per scambio file;
| |
− | ** Bluetooth;
| |
− | ** vulnerabilità lato client per eseguire del proprio codice,come per esempio per i browser,inducendoli ad eseguire codice maligno che magari effettua un download del worm.<br>
| |
− | : http://virus.html.it/
| |
− | * [http://it.wikipedia.org/wiki/Backdoor backdoor]: programma per bypassare le protezioni e consentire il controllo del sistema remotamente. Uno famoso è [http://it.wikipedia.org/wiki/Back_orifice BackOrifice],tool di amministrazione remota,ha la stessa funzione di VNC:lanciato il server sulla macchina remota mi posso collegare all'host e zombificarlo,amministrandolo senza avere il permesso altrui. Rientrano tutte le tipologie di software che permettono l'amministrazione remota senza il permesso dell'admin.<br>Anche se non correlato,per chi volesse vedere i programmi di amministrazione remota,eccone alcuni:<br>
| |
− | ** ''VNC e simili''
| |
− | : [http://www.tightvnc.com/ TightVNC]
| |
− | : [http://www.realvnc.com/ RealVNC]
| |
− | : [http://ultravnc.sourceforge.net/ UltraVNC]
| |
− | * [http://it.wikipedia.org/wiki/Trojan trojan horse]: programmi che dicono di far una certa cosa ma ne fanno anche un'altra in sottofondo. Non sono concepiti per replicarsi automaticamente,per propagarlo un modo classico è diffondere il software nei sistemi di filesharing implementandolo in alcuni programmi craccati o spacciandolo per le keygen di programmi commerciali. Prendono possesso del sistema e inviano informazioni mandandole a host remoti.<br>In questa categoria potremmo far rientrare anche gli [http://it.wikipedia.org/wiki/Spyware spyware], programmi che raccolgono informazioni sul sistema dell'utente ed inviandole remotamente senza il suo consenso,per poter in base ai dati raccolti,eseguire una pubblicità mirata. Essi necessitano dell'intervento dell'utente per installarsi.
| |
− | * [http://en.wikipedia.org/wiki/Rootkit rootkit]: sono strumenti utilizzati dopo un attacco:preso possesso del sistema altrui,per sfruttare il sistema si deve evitare che ci si accorgano della sua presenza. Quindi attraverso di essi si maschera la presenza di file,processi e connessioni,che si vuol mantenere nascoste. Possono rimpiazzare le normali utility del sistema(come netstat,ls,ecc). Riuscire a capire la sua presenza è difficile,l'unico modo per esser sicuri è il confronto dell'md5 dell'utility originale con quello che si sta usando. Lavorano a livello utente e a livello kernel: nella prima modalità rimpiazzono utility,modificano librerie di sistema o applicazioni per nascondere l'informazione desiderata;quelli a livello kernel,s'inseriscono direttamente nell'SO attraverso dei moduli o driver che rimpiazzano le sys call dell'SO con nuove system call che producono effetti disparati e comunque diversi dall'originale.E' più complicato installarlo a livello kernel ma una volta fatto è più facile da nascondere,gli eseguibili rimangono sempre quelli e si possono nascondere i driver. Oltre a ciò,il rimpiazzo di funzioni ha un effetto di mascheramento globale per tutte le applicazioni che le usano,quindi l'effetto è molto più pervasivo. Se un sistema è compromesso a livello kernel posso utilizzare dei cd di analisi i quali contengono gli stessi applicativi con le librerie in binario,ma se le funzioni per il lettore cd sono state modificate,nessuno ci garantisce che il controllo dia esiti fidati. Bisognerebbe far partire il sistema con un SO fidato e poi lavorare confrontando i comandi.
| |
− | * Macrovirus e scriptvirus: eseguiti dalle macro di files come quelli della suite di applicazioni Microsoft Office,scritti in linguaggio di scripting(come visual basic script).L'interprete è l'applicazione,l'ospite è uno dei doc concepiti per avere delle macronello script virus la macchina. In uno scriptvirus l'interprete è quello del linguaggio e l'ospite sono tutti i programmi all'interno del disco potenzialmente sfruttabili(file HTML per javascript,vbscript per esempio); <br>
| |
− | | |
− | Tipologie di payload nei malware
| |
− | | |
− | * non distruttivo: il malware è fine a sè stesso,con il solo scopo di bypassare i sistemi di sicurezza e gloriarsi di ciò;
| |
− | * accidentalmente distruttivo: non pensato originariamente dall'autore per creare danni,ma poi ne ha creati lo stesso;
| |
− | * distruttivo: il malware crea danni volontariamente;
| |
− | | |
− | Ad oggi è difficile trovare degli standard nel classificare i virus,in quanto anche le case produttrici di antivirus stesse,li chiamano in maniera diversa e li descrivono con particolarità differenti. <br> Se non altro un punto comune di solito,lo si può riscontrare nella specificazione della piattaforma vulnerabile al malware e in genere gli effetti dannosi che provoca. La soluzione di rimozione è solitamente differente da antivirus a antivirus. <br>
| |
− | | |
− | Virus,infezioni e tipologie:
| |
− | * [http://en.wikipedia.org/wiki/Boot_sector boot sector]: utilizzata dai primi virus,ai tempi del DOS,perchè faceva accedere direttamente al disco fisso. Vanno a rimpiazzare i primi 512 byte e vengono eseguiti prima di ogni altra cosa,rimanendo in memoria dopo la fase di boot. I SO moderni non permettono un accesso diretto,anche se una cosa così si potrebbe ancora fare con periferiche infette,creando per esempiop un CD-ROM ad hoc.
| |
− | * infezione nei file: il virus cerca i file nel sistema attraverso critri di ricerca,inserendosi. L'opsite eseguito dall'utente,permetterà al virus di entrare in esecuzione,propagandosi per prima cosa,col proseguire poi eseguendo il payload.
| |
− | | |
− | Per ospite intendiamo eseguibili(.exe,.com,ecc..),e si parla di virus scritti in codice macchina,eventualmente in linguaggio di programmazione e poi usando la parte compilata. Per i metodi di infezione,quello più semplice è la sovrascrittura:ho struttura dati come una tabella,che rappresenta una sezione del programma,sezione dati,mentre la sezione testo rappresenta quello eseguibile. La sovrascrittuea prende la sezione testo sovrascrivendone un pezzo:per entrare in funzione,si sovrascrive la prima istruzione del codice dell'ospite ad essere eseguita facendo eseguire subito il payload del virus,altrimenti se la sovrascrittura è avvenuta in altre parti,ci si deve preoccupare che prima o poi si arrivi in quella sezione per farlo eseguire.<br> Il payload viene ingrandito e linserito all'inizio o in coda del codice dell'ospite. L'idea è far funzionare il programma ospite in modo corretto e far agire parimenti il virus,per non destar sospetti. Un'idea è inserire il payload nelle cavità: è possibile che,per questioni di performance,le sezioni del programma ospite abbiano dimensioni multiple della pagina di memoria,qundi potrebbe esserci dello spazio inutilizzato in cui ci si può inserire il virus. Possiamo prendere questi buchi e collegarli tra di loro tramite istruzioni di salto. <br>
| |
− | I metodi classici per correggere l'entry point possono essere facilmente beccati. Se ad esempio ho un programma di 30 MB con entry point che dovrebbe essere all'inizio e si trova alla fine,lo si becca subito(una delle tecniche degli antivirus);di contro ci son metodi di camuffamento per passare inosservati. <br>
| |
− | | |
− | * [http://it.wikipedia.org/wiki/Antivirus Antivirus]e suo funzionamento: possono agire localmente o analizzando il traffico di rete.Hanno un motore di scansione e delle signatures,cioè le definizioni dei virus,confrontate dalla scansione con i vari files del sistema. A livello host è il classico antivirus come Norton,mentre a livello di rete,accede al traffico e ne fa una scansione in tempo reale. A livello host molti worm la prima cosa che fanno è disattivare l'antivirus. Bisogna rimpiazzare certe funzioni svolte dall'SO di modo che si effettui certe routine dell'antivirus al posto di quelle classiche.
| |
− | ** pattern matching: cercano nell'eseguibile alcuni pattern classici dei virus di cui si hanno le signatures. Di solito si cerca di scegliere i metodo più adatto per ogni virus.
| |
− | ** string scanning: si cercano particolari stringhe delle applicazioni maligne. I virus si evolvono in fretta e modificati per confondere gli antivirus.
| |
− | ** string matching con caratteri jolly: meno preciso ma permettedi identificare anche delle varianti di certi pattern.
| |
− | ** Smart pattern matching: estraggo le info importanti di un file,le parole chiavi di un linguaggio,tutto ciò che rappresenta qualcosa che potrebbe essere un virus viene esaminato. Si usano filtri per ricercare ciò che interessa per un particolare tipo di virus,oppure cercando una particolare struttura di files,emulando lo stesso criterio dei virus per selezionare l'ospite. Analisi euristica invece va alla ricerca di anomalie,funzioni pericolose:se trovate in un eseguibile si solleva un allarme. C'è da dire che non sono funzioni particolarmente affidabili.<br>
| |
− | ''Antivirus''
| |
− | * http://sicurezza.html.it/guide/lezione.asp?IdGuida=7&idlezione=117
| |
− | * http://www.symantec.com/region/it/resources/antivirus.html
| |
− | | |
− | Gli hoax invece sono delle burle: contestualmente ai virus,anche se il loro campo si estende anche a truffe di vario genere,sono avvisi pieni di terrore o minacce di epidemie causate da temibili virus,ma che in realtà non corrispondono a nulla di vero. Molto spesso ancora oggi,gli utenti ci cascano e scatenano delle vere catene di S.Antonio via mail o anche attraverso istant messanging,producendo del traffico inutile,con l'unico effetto di intasare la rete. Poco più sotto c'è un esempio:
| |
− | | |
− | ''Hoax''
| |
− | * [http://it.wikipedia.org/wiki/Hoax Hoax] ''(wikipedia)''
| |
− | * [http://hoaxbusters.ciac.org/ Hoaxes]
| |
− | * [http://www.hoax.it/ Hoaxes: sito italiano]
| |
− | * http://www.attivissimo.net/ (''servizi antibufale'')
| |
− | | |
− | ''Allarme Virus! Se ricevi un messaggio con oggetto WIN A HOLIDAY non aprirlo. Formatterà immediatamente il contenuto del tuo hard disk. Si tratta di un nuovo virus non ancora conosciuto, inoltra questa informazione a tutti i tuoi amici ...''
| |
− | | |
− | | |
− | ----
| |
− | | |
− | === Lezione di Mercoledì 7-12-05 PONTE===
| |
− | | |
− | Ponte causa feste;
| |
− | ----
| |
− | | |
− | === Lezione di Lunedì 12-12-05 ===
| |
− | '''******************Stato di Updating******************'''<!-- 1h 02 minuti -->
| |
− | | |
− | Fare sicurezza sugli host spesso si riduce a fare [http://en.wikipedia.org/wiki/Hardening hardening] del sistema operativo,cioè rimuovere tutte le componenti e funzionalità che non servono per l'espletamento delle funzioni del sistema per il quale è stato realizzato. Difendere l'host vuol dire di fatto mettersi nella prospettiva che qualcuno già presente sull'host non deve attuare azioni dannose. <br>Oltre a questo si sfruttano gli ''[http://en.wikipedia.org/wiki/Intrusion_detection_system Instrusion Detection Systems]'',sistemi intelligenti che si accorgono di anomalie e manipolazioni del sistema non desiderate,verificatesi sull'host: essi sono dei moduli che vengono montati sul sistema operativo monitorando continuamente le attività svolte sul sistema(è da notare che svolge azione di '''detection''',quindi segnala un'azione ma non la vieta,al contrario del firewall,che fa azione di '''prevention''',quindi vieta l'azione se intercettata).Quanto agli attacchi che arrivano dalla rete si può fare di più.<br>
| |
− | | |
− | Esistono 3 tipi di rete: [[Immagine:Netzwerktopologie_Bus.png|thumb|right|Schema di rete Ethernet]]
| |
− | # [http://en.wikipedia.org/wiki/Local_area_network LAN]
| |
− | # [http://en.wikipedia.org/wiki/Metropolitan_area_network MAN]
| |
− | # [http://en.wikipedia.org/wiki/WAN WAN]
| |
− | | |
− | * Internet è una rete di reti,interconnessione di reti di varie tipologie,è lo strato(internetwork) che consente il collegamento di tutte le sue parti. Internet si è diffusa facendo riferimento alle LAN.
| |
− | | |
− | Ci sono due strati di rete:uno che consente di comunicare all'interno della rete locale e lo strato di internetwork che permette alla nostra rete di comunicare con altre reti.<br>I protocolli usati per fare internetworking sono [http://en.wikipedia.org/wiki/TCP/IP TCP/IP]. Al di sotto dei protocolli usati da Internet troviamo un protocollo di rete locale denominato [http://en.wikipedia.org/wiki/Ethernet Ethernet]. A causa della presenza di questi due strati di rete,gli host si ritrovano di fatto ad avere due indirizzi:
| |
− | # [http://en.wikipedia.org/wiki/IP_address IP address]: indirizzo che identifica l'host a livello internet. Esso viene fornito ed è a 32 bit;
| |
− | # [http://en.wikipedia.org/wiki/MAC_address MAC address]: indirizzo che identifica l'host a livello locale. Viene scritto nella scheda di rete ed è a 48 bit.
| |
− | Attualmente la versione in uso di [http://en.wikipedia.org/wiki/Internet_Protocol IP] è [http://en.wikipedia.org/wiki/IPv4 IPv4],che prevede indirizzi da 32 bit,permettendo di indirizzare 2<sup>32</sup> host,circa 4 miliardi. Gli indirizzi vengono comprati e riservati,ma ormai non esiste più la possibilità di avere un indirizzo IP proprio perchè si stanno esaurendo. Ecco perchè da molti anni è iniziata la nuova versione di IP,la [http://en.wikipedia.org/wiki/IPv6 IPv6],con indirizzi da 128 bit.
| |
− | | |
− | | |
− | Le caratteristiche di IP d'interesse per la sicurezza sono:
| |
− | * spedisce pacchetti di dimensioni finite,al massimo 64Kb(65536 bytes). Messaggi più lunghi di questo valore massimo vengono frammentati in pacchetti più piccoli.
| |
− | * è [http://en.wikipedia.org/wiki/Connectionless connectionless],quindi i pacchetti possono seguire una traiettoria utile qualsiasi per arrivare all'host di destinazione. Il ruoting trova il percorso ottimale per instradare i dati;
| |
− | * non è affidabile,non garantisce l'effettiva consegna(servizio ''best-effort'');
| |
− | * non controlla le informazioni che deve inviare,nessuna verifica sul mittente: SRC e DST sono indirizzi IP rispettivamente del mittente e del destinatario,presenti nell'[http://www.erg.abdn.ac.uk/users/gorry/course/inet-pages/ip-packet.html header IP].
| |
− | | |
− | | |
− | Il [http://en.wikipedia.org/wiki/Transmission_Control_Protocol TCP] supplisce alle inaffidabilità dell'IP:
| |
− | * costruito sopra l'IP;
| |
− | * meccanismo di trasporto per i pacchetti;
| |
− | * stabilisce una connessione diretta con l'host di destinazione,garantendo che seguendo questa connessione,i pacchetti non vadano persi(meccanismo affidabile). In caso il pacchetto vada perso o corrotto,viene rispedito tramite meccanismi di acknowledgement.
| |
− | * La connessione viene stabilita attraverso un 3-way handshake:
| |
− | *# un host A invia un pacchetto SYN più un numero casuale(chiamiamolo ''k'')ad un altro host B con cui vuole comunicare;
| |
− | *# B riceve il pacchetto e spedisce un pacchetto di risposta denominato SYN-ACK ad A,più un numero ''r''. A questo punto la connessione è semiaperta.
| |
− | *# A manda un ACK di risposta a B e la connessione a questo punto è aperta.
| |
− | | |
− | | |
− | Una connessione TCP è contraddistinta da 4 numeri:
| |
− | * local e remote host,local e remote port.
| |
− | * Le porte sono numeri che vanno da 1 a 65535,identificative per indicare le sessioni di un host. I servizi di rete più famosi hanno numeri di porte fissi(''[http://en.wikipedia.org/wiki/TCP_and_UDP_port_numbers well-known ports]'',le prime 1024 porte,servizi assegnabili a processi che girano come root,quindi non accessibili ad altri processi). Ogni processo ha una tabella che dice quali connessioni ha aperte. Una connessione semiaperta/aperta verrà indicato con un posto nella tabella. Alla ricezione di un SYN viene riservato un posto nella tabella,se scade il timeout,viene cancellato,altrimenti alla ricezione di un ACK viene riconfermato e allocato.
| |
− | ** [http://www.rhyshaden.com/tcp.htm TCP e flags degli header]
| |
− | ** [http://openskills.info/infobox.php?ID=694 Prtocollo TCP e flags degli header]
| |
− | ** [http://www.examcram2.com/content/downloads/CH02_0789727838.pdf TCP/IP foundamentals and its weaknesses] ''(PDF)''
| |
− | | |
− | ''Altri protocolli''
| |
− | | |
− | * [http://en.wikipedia.org/wiki/User_Datagram_Protocol UDP]: è IP ad alto livello di fatto. Protocollo di consegna inaffidabile dei dati e di fatto però usa anch'esso le porte. Non usa l'handshaking del TCP. E' molto usato per i servizi multimediali e di streaming,per non rallentare il flusso d'informazioni dovendo rispedire pacchetti persi:infatto vengono scartati se persi.
| |
− | * [http://en.wikipedia.org/wiki/ICMP ICMP]: protocollo per fornire informazioni per host sullo stato degli host nella rete,usato solo da essi. Utile per il routing calibrato per host che rispondono alle richieste di connessione. Ha una tabella per identificare se un host è down senza verificare effettivamente lo stato dell'host.
| |
− | * [http://en.wikipedia.org/wiki/Address_Resolution_Protocol ARP]: assegna agli indirizzi IP in MAC address. Usato per conoscere l'indirizzo MAC di un host quando ne è noto solo l'indirizzo IP,tramite broadcasting di un pacchetto ARP contenente l'indirizzo IP del destinatario: se il destinatario è presente nella rete,risponderà con il suo indirizzo MAC. Associerà poi i valori corrispondenti nella sua tabella. Tutti i messaggi che una macchina genera per l'host xxx.xxx.xxx.xxx,andranno all'host di indirizzo MAC corrispondente. Se vogliamo ricevere i messaggi di Pippo con indirizzo IP ''y'' e MAC address ''M'',si va a sostituire con il nostro MAC address al posto di ''M''(attacco [http://en.wikipedia.org/wiki/ARP_spoofing arp-poisoning]). in questo modo ci si intromette fra due macchine,costituendo il cosiddetto ''[http://en.wikipedia.org/wiki/Man_in_the_middle Man in the middle]''. E' importante notare che l'arp-request prenderà "per buono" l'ultimo host che risponderà fornendo il suo MAC address,quindi se due host in una LAN rispondono ad una arp request,sarà il MAC address dell'ultimo host a venire associato a quell'IP di cui si chiedeva a chi appartenesse. Ci possono essere situazioni infatti in cui ci sono due macchine virtuali su una stessa macchina con due IP diversi. ARP non fa alcun controllo. Un tool open source usato per l'intercettazione del traffico è [http://en.wikipedia.org/wiki/Ettercap_%28computing%29 Ettercap],scaricabile da [http://ettercap.sourceforge.net/ questo] sito.
| |
− | * [http://en.wikipedia.org/wiki/DNS DNS]: è di fatto un database distribuito che contiene indirizzi IP delle macchine,recuperabili attraverso una serie di query internazionali. Anche il DNS è soggetto a DNS poisoning,dirottando il traffico verso un altra direzione.
| |
− | * [http://en.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol DHCP]: serve ad assegnare indirizzi IP. Si può avere configurazione statica)il nostro host avrà sempre lo stesso indirizzo IP),o dinamica(si assegna ad ogni nuovo boot un indirizzo IP tra un pool di indirizzi disponibili). E' importante che il provider mantenga il log dell'assegnamento degli indirizzi.
| |
− | [[Immagine:Osi-model-jb.png|thumb|left|Stack ISO/OSI]]
| |
− | All'application layer si usano Socket Stream del TCP,se è una Socket Raw sta usando IP. E' possibile fare attacchi a questo livello. I servizi più interessanti a questo livello sono:
| |
− | * [http://en.wikipedia.org/wiki/SMTP SMTP]: protocollo per inviare la posta,vede l'implementazione principale in ambito Unix sendmail,in ambito Windows,[http://en.wikipedia.org/wiki/Microsoft_Exchange_Server Exchange]. L'internet worm di Morris faceva un buffer overflow su [http://en.wikipedia.org/wiki/Sendmail sendmail](in passato aveva un baco al mese che permetteva un root compromise).
| |
− | * [http://en.wikipedia.org/wiki/Post_Office_Protocol POP]/[http://en.wikipedia.org/wiki/Internet_Message_Access_Protocol IMAP]:ricezione posta
| |
− | * FTP,SSH,RTP,ecc. Vedere [http://en.wikipedia.org/wiki/Internet_protocol_suite qui] per una visione dei protocolli più usati.
| |
− | | |
− | * [http://en.wikipedia.org/wiki/WWW WWW]: è di fatto un multiprotocollo,basato sul paradigma client/server in cui sussiste una connessione TCP fra di essi(parla più protocolli fra i quali HTTP,FTP,SMTP,via audio,ecc). L'unico problema è se stabilire una connessione per ogni oggetto spedito o mantenerne una per tutti gli oggetti spediti(per oggetti si intende immagini,testo,applet,ecc). Ciò viene ovviato usando i [http://en.wikipedia.org/wiki/HTTP_cookie cookie] per memorizzare lo stato di una connessione e ridurre il numero di sessioni aperte con lo stesso client.
| |
− | I cookie vengono depositati sul client e ricordano sessioni aperte con i client. Il cookie contiene dati(solitamente cifrati e non leggibili dal client)depositati sull'hard disk del client,solevando questioni di privacy.<br>L'altro grosso problema è legato ai codici scaricabili,fra i quali le applet e gli ActiveX. Es:visito un sito e scarico del codice eseguibile, prima di eseguirlo il browser dice se è fidato o meno:l'ActiveX è allegato dalla firma digitale,viene certificato digitalmente. Il browser comunica da chi è firmato e poi posso scegliere se eseguirlo o meno.
| |
− | | |
− | | |
− | ----
| |
− | | |
− | === Lezione di Mercoledì 14-12-05 ===
| |
− | | |
− | * TCPdump esercizi
| |
− | * vedere [http://security.dico.unimi.it/sicurezza0506/#syllabus materiale didattico];
| |
− | | |
− | ----
| |
− | | |
− | === Lezione di Lunedì 19-12-05 ===
| |
− | '''******************Stato di Updating******************'''
| |
− | | |
− | | |
− | ----
| |
− | === Lezione di Mercoledì 21-12-05 ===
| |
| | | |
− | * [http://www.openssh.org/ OpenSSH];
| + | === Giudizio sul corso === |
− | * vedere [http://security.dico.unimi.it/sicurezza0506/#syllabus materiale didattico];
| + | {{Giudizio}} |
| + | {{Giudizio/Interesse|5|5}} |
| + | {{Giudizio/Difficoltà|2|4}} |
| + | {{Giudizio/Nonfrequentanti|5}} |
| + | {{Giudizio/Ore|3|4}} |
| | | |
− | ----
| + | [[Categoria:Corsi Primo Semestre]] |