Categoria: Sicurezza

Obiettivo privacy

Cifrare i dati presenti sull’hard disk, garantire la riservatezza delle e-mail, navigare in Internet in completo anonimato… ecco cosa è possibile fare per evitare che i nostri dati finiscano in mani sbagliate !

Il diritto alla riservatezza della propria identità è un tema che riguarda da vicino ognuno di noi. Questa considerazione assume un’importanza ancora più rilevante in campo informatico. La nostra vita, infatti, è un flusso continuo di informazioni più o meno riservate che offriamo all’esterno: dalle e-mail che inviamo, ai preziosi documenti stipati nell’hard disk, fino ad arrivare ai dati che inseriamo nei form dei siti di e-commerce. Cosa possiamo fare, dunque, per controllare e proteggere questo flusso di informazioni che ci riguardano così da vicino?

Dati sempre al sicuro

In questa Cover Story  impareremo ad usare i numerosi e validi strumenti disponibili su GNU/Linux per proteggere la nostra privacy. Cominceremo da uno dei piatti forti dell’intero articolo, la cifratura di una o più partizioni dell’hard disk, infatti è proprio su questo dispositivo di memorizzazione che confluiscono tutti i nostri dati più importanti, quindi è il primo ambito in cui intervenire per garantire la nostra privacy. Passeremo poi a Internet, con particolare riferimento alla navigazione web, creando una sorta di “corsia preferenziale” protetta e isolata dal resto grazie all’utilizzo di un proxy server e di Tor, la famosa rete per la navigazione anonima e non solo. Inoltre, impareremo a proteggere le nostre email, utilizzando evoluti sistemi di cifratura grazie a funzionalità evolute presenti nei programmi di posta elettronica, come KMail ed Evolution; infine, concluderemo le parte dedicata alla gestione delle email occupandoci degli “anonymous remailer”: un pratico ed efficace sistema per rendere anonima la posta elettronica che inviamo. Per concludere, scopriremo come funziona e come è possibile usare la tecnica nota come “steganografia”, per nascondere informazioni riservate all’interno di normali immagini senza destare il minimo sospetto. La distribuzione di riferimento sulla quale abbiamo eseguito le prove è Ubuntu, ma sono sufficienti poche modifiche alle configurazioni e ai comandi descritti per adattarli a qualsiasi altra distribuzione, meglio ancora se si tratta di derivate da Ubuntu come Kubuntue Xubuntu o della storica Debian GNU/Linux. Avviamo, quindi la nostra fiammante Ubuntu 7.10 Gutsy Gibbone prepariamoci a questo emozionante tour in difesa della privacy!

Privacy: su Internet in completo anonimato

Il “Grande Fratello” ci osserva ma ancora possiamo fare qualcosa per evitare di essere spiati e tenere nascosta la nostra identità. Ecco come

La diffusione capillare di Internet ha semplificato notevolmente la possibilità di accedere e/o creare informazioni o semplicemente esprimere la propria opinione. I contenuti spesso corrono dal basso, nei blog, nei siti di news amatoriali e nelle community. In un mondo perfetto i creatori e i lettori di queste informazioni, chiunque essi siano, non subirebbero alcuna limitazione e/o censura. Nel mondo reale, invece, censura e norme comuni spesso pongono limiti alla nostra libertà. L’esempio classico arriva dall’oriente: in Cina basta scrivere qualche critica al Regime, magari su un blog o in un forum pubblico, per ritrovarsi in carcere da un giorno all’altro. Inoltre, è quasi impossibile ottenere informazioni indipendenti per via dei “filtri” gestiti dagli ISP cinesi nei confronti dei server esteri di informazione non approvati dal Governo. Purtroppo, l’uso di uno pseudonimo non basta per garantirsi l’anonimato: le comunicazioni possono essere tracciate una volta determinato l’indirizzo IP dell’utente attraverso la cattura del traffico di rete o semplicemente incrociando i log degli ISP e dei server contattati. Serve dunque uno strumento per garantire lo scambio di informazioni libero, sia per casi analoghi a quello cinese, sia per assicurare la voglia di anonimato a garanzia della propria privacy di un semplice lettore o scrittore su un forum/blog. Tuttavia, l’anonimato ha due pericolosi nemici: il primo riguarda coloro i quali vorrebbero risalire all’identità degli utenti anonimi e chiudere i circuiti che garantiscono la loro riservatezza. Il secondo è l’anonimato stesso. Alcuni circuiti anonimi, infatti, sono “isole felici” per tutti coloro i quali cercano di sfruttarlo per fini meno nobili e reati di ogni genere, primo tra tutti la diffusione di materiale pedopornografico. Fortunatamente, i circuiti anonimi seri, pur garantendo la possibilità di ogni utente di comunicare su argomenti che possono essere ritenuti immorali da parte della popolazione, sono aperti alla lotta contro il terrorismo e la pedofilia, ponendo filtri o agevolando eventuali indagini delle forze di polizia contro coloro che hanno sfruttato il circuito in modo non lecito.

Anonet, la rete friend to friend che ci rende anonimi

La guida passo passo per creare una “darknet” basata su OpenVPN e collegarci a Internet senza rivelare la nostra vera identità

Cos’è Anonet? La domanda sorge spontanea. In pratica, si tratta di una rete Friend-to-Friend (F2F), in poche parole una rete P2P “chiusa” a cui possono collegarsi solo le persone che dispongono di una apposita chiave crittografica. Anonet utilizza il software OpenVPN molto diffuso nelle aziende che lo impiegano per creare le loro reti private virtualio Virtual Private Network (VPN), per collegare tra loro le diverse sedi. OpenVPN crea dei “tunnel” crittografati all’interno delle connessioni Internet pre-esistenti e protegge il traffico da attacchi e intrusioni di ogni genere. A questo, Anonet aggiunge una soluzione software per il routing (Quagga) che permette di svincolare gli indirizzi IP di Anonet da quelli di Internet e rende irrintracciabili i proprietari di tali nodi. In altri termini, Anonet è la classica “darknet” anonima e cifrata. Come tutte le reti di questo tipo, è usata soprattutto da professionisti ICT che dispongono di strumentazione e conoscenze tecniche di livello medio/alto. Per entrare a far parte di Anonet è necessario disporre di una connessione ad Internet veloce (ADSL), non filtrata e dotata di IP fisso. Molti provider sono in grado di fornire connessioni casalinghe adatte allo scopo per poche decine di euro al mese. Dal punto di vista tecnico, è necessario avere una certa dimestichezza con le reti TCP/IP e le VPN. Gli utenti GNU/Linux più esperti dovrebbero essere in grado di collegarsi ad Anonet senza problemi. Ci si può collegare usando GNU/Linux, *BSD, Solaris e, solo come client, anche Windows.

A proposito di Openvpn

È molto importante conoscere questo sistema
Collegarsi ad Anonet richiede un minimo di dimestichezza con OpenVPN.

Anonet e le reti P2P. Cosa hanno in comune?

Anonet non è un repository di software “piratato”, o di altro materiale acquisito illegalmente, e non vuole esserlo. In questo momento conta le acquisito illegalmente, e non vuole esserlo. In questo momento conta solo qualche decina di utenti e contiene solo poche centinaio di Mbyte di materiale. Di conseguenza, non può assolutamente competere con le reti P2P tradizionali, o con Internet nel suo complesso, per la ricchezza dei suoi contenuti. Le ragioni per cui Anonet è interessante sono altre, legate ai suoi aspetti tecnologici e politici. Anonet è stata creata nel 2005 da alcuni fuoriusciti del progetto MetaNet con lo scopo di salvaguardare il diritto alla libera espressione dei cittadini, sempre più minacciata da varie forme di censura. Per questo motivo, Anonet è pensata per ospitare soprattutto documenti e servizi di carattere tecnico, politico e sociale. politico e sociale. Dal punto di vista tecnico, Anonet è sia una darknet pronta all’uso che un esempio di implementazione facilmente riutilizzabile per crearne una ad uso privato. L’uso di queste reti e di queste tecnologie è perfettamente legale, sia in Italia che in gran parte del mondo. Inoltre, il suo team di sviluppo promuove solo attività legali.

Con Anonet si rischia?

Un firewall è sempre una scelta consigliabile
Anonet, in sé, non è più pericolosa di quanto non lo sia Internet. Resta comunque necessario difendersi con un firewall e, se si usa Windows, un buon antivirus.

L’affiliazione ad ANONET

Le istruzioni ed i file necessari per collegarsi ad Anonet sono disponibili, in inglese, sul sito http://anonet.org, e lo saranno tra breve, anche in italiano, su http://anonet.it. L’affiliazione ad Anonet avviene in due fasi. Nella prima bisogna accedere ad Anonet con una chiave di accesso temporanea e cercare un peer a cui collegarsi. Con la chiave temporanea si può accedere solo ad un server di supporto che contiene la documentazione, alcuni blog, un forum ed un server IRC. I peer vanno cercati sul forum e su un apposito canale IRC. Una volta trovato uno o più peer, è necessario scollegarsi, riconfigurare il proprio sistema e ricollegarsi ai propri peer. Da questo punto in poi si entra a far parte di Anonet a pieno titolo. Prima di tutto è necessario installare sul proprio PC i programmi OpenVPN e Quagga. Questi due sono presenti nei repository di tutte le principali distribuzioni e possono essere installati mediante i package manager predefiniti. Su Ubuntu, potete usare Adept, Synaptic o apt-get. Subito dopo, bisogna scaricare dal sito di Anonet (http://anonet.org) il file di configurazione di OpenVPN e le chiavi temporanee necessarie per accedere al portale di benvenuto di Anonet. L’indirizzo di riferimento per scaricare il file di configurazione di OpenVPN e le chiavi è www.anonet.org/ quickstart/ index.html. Da qui bisogna prelevare il file anonet.conf per OpenVPN e l’archivio compresso anonclient.zip per le chiavi. Il file di configurazione e le chiavi devono essere posizionati nella directory /etc/openvpn. Per prima cosa è necessario essere root, quindi diventatelo con su o sudo -s a seconda della distribuzione utilizzata, spostatevi nella directory dove avete salvato i file, ad esempio cd /home/utente/temp, ed eseguite in sequenza i comandi seguenti:

cp anonet.conf /etc/openvpn
unzip anonclient.zip -d /etc/openvpn

Se il vostro PC fa parte di una rete protetta da firewall, oppure ne avete installato uno personale, al posto di anonet. conf, bisogna utilizzare anonet_port_22.conf. Questa configurazione serve per poter usare la porta 22, quella di SSH, ritenuta sicura dal firewall e, quindi, aperta di conseguenza. Ricordate solo di rinominare il file prima di copiarlo: mv anonet_port_22.conf anonet.conf. A questo punto, possiamo aprire una shell e lanciare OpenVPN, con la riga di comando “openvpn –config /etc/openvpn/anonet.conf”. Se tutto va bene, dovremmo vedere scorrere una sequenza di messaggi che termina con “Initialization Sequence Completed”. Apriamo il browser web e proviamo a collegarci all’indirizzo: http://1.0.9.3/ . Se riusciamo a vedere il wiki del sito di supporto, significa che siamo collegati.

Gli “strumenti” necessari

Per prima cosa occorre installare OpenVPN, Quagga e i file di configurazione di Anonet

Openvpn e quagga

Su Ubuntu e derivate possono essere installati da Adept e Synaptic, oppure con il comando sudo -s apt-get install openvpn quagga.

I file e le chiavi

Basta scaricarli da http:// anonet. orge posizionarli nella directory /etc/openvpn. Consultate il Quick Start disponibile sul sito di Anonet.

Accesso ad Anonet

Basta eseguire OpenVPN dalla shell o da una delle GUI disponibili (nell’immagine Kvpnc). Sarete collegati ad Anonet in 10 secondi.

Una questione di fiducia

A questo punto, dobbiamo trovare un peer, cioè qualcuno che ci permetta di collegarci al suo nodo. Come abbiamo detto, infatti, la connessione temporanea può essere usata solo per visitare il wiki di supporto. Trovare un peer è una questione di credibilità personale. Trattandosi di una rete F2F, gran parte della sicurezza di Anonet dipende dalle persone che entrano a farne parte. Di conseguenza, coloro che fanno già parte di Anonet sono piuttosto sospettosi nei confronti dei nuovi arrivati. Prima di fare qualunque tentativo, è necessario leggere e comprendere le istruzioni presenti sul wiki. Quando ci sentiamo pronti, proviamo a presentarci sul canale IRC #anonet. Pe prima cosa cerchiamo di dimostrare la nostra buona fede e la capacità di mantenere il nostro anonimato e quello dei nostri interlocutori. Tenete presente che bisogna sempre e solo usare l’inglese per comunicare su Anonet, perché l’italiano rivelerebbe qual è il nostro paese di provenienza. Parliamo di noi stessi il meno possibile e focalizziamo l’attenzione sugli aspetti tecnici di Anonet. Se riusciamo a trovare un solo peer, possiamo collegarci solo come “foglia” dell’albero e quindi contribuire solo ad appesantire il carico degli altri nodi con il nostro traffico. Per questo motivo, molti nodi non ci permetteranno di accedere alle loro risorse più interessanti. Se riusciamo a trovare almeno due peer, possiamo agire da router tra diverse sottoreti, contribuendo a sgravare gli altri nodi. Per questo motivo, avremo pieno accesso ad ogni risorsa. In compenso, è necessario installare e configurare Quagga in modo che possa agire da router e dovremo consentire agli altri nodi di usare una parte della nostra banda passante. Le istruzioni necessarie sono disponibili sul wiki, e possiamo farci dare una mano dai nostri peer. Ognuno dei nostri peer dovrà fornirci una apposita chiave crittografica con la quale autenticarci quando cercheremo di collegarci al loro nodo. Noi dovremo fare lo stesso con loro. Questa è costituita da un piccolo file di testo che contiene una chiave RSA, identica a quelle comunemente usate con GPG, Enigmail e Thunderbird. La chiave viene generata da OpenVPN con il comando: “openvpn -genkey -secret key.txt”. Dobbiamo salvarla in /etc/openvpn e inserirla nel file di configurazione di OpenVPN.

All’interno della  “DARKNET”

Restando collegati ad Anonet, bisogna visitare il sito http://ano.ntwrk, che contiene il database degli indirizzi IP utilizzabile su Anonet, e riservare per i nostri usi personali almeno due sottoreti (due “range” di indirizzi IP): una che useremo per la navigazione e l’altra per esporre i nostri servizi sulla rete (il nostro sito web, il nostro server FTP, ecc.). All’interno di Anonet, infatti, si utilizzano un sistema di routing (Quagga) ed un insieme di indirizzi IP (quelli del blocco 1.0.0.0/8) diversi ed indipendenti da quelli di Internet. In particolare, ogni utente può collegarsi a http://ano.ntwrk e riservare per sé, in modo anonimo, una o più sottoreti, ognuna delle quali può contenere centinaia di indirizzi IP. I singoli indirizzi IP realmente usati per i vari servizi vengono pescati a caso da questi due vasti insiemi. Questo rende molto difficile risalire alla identità del loro utilizzatore. Sul wiki di Anonet sono disponibili le istruzioni necessarie per configurare Quagga in modo che usi questi indirizzi nel modo corretto.

Password di root dimenticata

Sembra strano, ma a volte può succedere di dimenticare la password di root. Ma, allora, in questi casi come si fa ad accedere al sistema? Diciamo subito che non è necessario riformattare il disco e installare nuovamente la distribuzione. È possibile, infatti, risolvere l’inconveniente utilizzando una procedura relativamente semplice che coinvolge Grub. Per prima cosa, quando il boot loader sta per essere caricato bisogna premere il tasto Esc, per potere entrare nella modalità di controllo, e subito dopo, il pulsante E. Quest’ultimo permette di modificare la configurazione di Grub e scegliere il kernel che vogliamo caricare. Selezionata la riga da modificare, bisogna premere ancora ee inserire alla fine della riga la direttiva rw init=/bin/bash. Fatto ciò, non rimane che premere il tasto B per caricare il sistema. Alla fine del caricamento avremo accesso a una shell con i privilegi di root, quindi bisogna prestare la massima attenzione visto che ogni possibile errore potrebbe danneggiare l’intero sistema. A questo punto, l’unica cosa rimasta da fare consiste nell’impostare la nuova password di root eseguendo il comando seguente:

passwd
nuova_password

Cambiata la password, bisogna riavviare il sistema. Alla luce di quanto detto, è chiaro che la sicurezza del sistema non è garantita dall’uso di una semplice password. Per mettere al sicuro i propri dati serve molto di più come, ad esempio, la cifratura dei file e dei dischi, oltre ad una robusta password per il boot loader e per il BIOS.

Il computer come “sorvegliante”

Le vacanze estive sono ormai arrivate per la maggior parte di noi. Chi su una spiaggia steso sotto il sole a prendere la tintarella, chi in montagna a fare una salutare passeggiata, siamo tutti “impegnati” a rilassarci senza pensare a nulla, lontani dallo stress della città e dal lavoro. Purtroppo, però, c’è sempre qualcuno che non va mai in vacanza: topi da appartamento e ladri di ogni genere approfittano della nostra assenza per intrufolarsi in casa e saccheggiare le nostre cose più care. Proprio per evitare brutte sorprese al nostro ritorno dalle vacanze impareremo come installare e configurare un sistema di videosorveglianza a “costo zero”, senza rinunciare, comunque, alla sicurezza e all’efficienza garantiti dalle piattaforme professionali. In pratica, è sufficiente un PC, ovviamente con GNU/ Linux installato, una normalissima webcam USB e, soprattutto, ZoneMinder. Ovviamente, è di fondamentale importanza disporre di una webcam compatibile con GNU/Linux, mentre come distribuzione è possibile utilizzare quella che vogliamo. Nel nostro caso, come sistema di riferimento abbiamo utilizzato una Kubuntu 8.04 Hardy Heron, l’ultima ad essere rilasciata e completamente aggiornata. La scelta è caduta su questa distribuzione perché permette di installare ZoneMinder in modo rapido e semplice. Inoltre, offre a noi la possibilità di dedicare meno spazio all’installazione dei programmi per poter passare subito alla più importante fase di configurazione e uso della piattaforma di videosorveglianza. Per le altre distribuzioni è disponibile una “nutrita” documentazione all’indirizzo www.zoneminder.com/ wiki/index.php/Documentation, dove, tra le altre cose, è spiegata anche l’installazione dai sorgenti. Per quanto riguarda la webcam è facile verificare se il modello in nostro possesso è compatibile all’indirizzo http://mxhaard.free.fr (vedi box “Driver per 250 webcam!” ).

Kaspersky Lab scova tre malware nell’Android Market

Un team di esperti di Kaspersky Lab ha scoperto la violazione dell’Android Market da parte di tre malware dai nomi impronunciabili, MYOURNET, Kingmall2010 e we20090202. Questi malware riescono a violare l’Android Market degli smartphone. In pratica, scaricando e installando alcune applicazioni gratuite arrivano nel proprio telefono anche i malware. Il loro scopo è raccogliere tutti i dati personali memorizzati nello smartphone, il tipo di dispositivo, il paese, la lingua e, automaticamente, li inviano ad un server remoto. Per fortuna, rispetto ai malware scoperti fino ad oggi, questi non provano ad inviare e ricevere SMS premium. I dettagli tecnici della faccenda sono consultabili a questo indirizzo. “La comparsa dei malware nell’Android Market, aumenta i timori per la sicurezza per quanto riguarda il mondo degli smartphone Android e in generale quello dei virus per il mobile nella sua totalità. Questa, infatti, è la prima volta che delle applicazioni nocive vengono distribuite attraverso fonti sicure.

Sfortunatamente i cybercriminali, adesso, sono in grado di inserire malware in fonti sicure. Questo caso è la prova di una regola molto importante: è fondamentale leggere attentamente tutte le notifiche e le richieste che arrivano dalle applicazioni prima di installarle”, così ha commentato Denis Maslennikov, Senior Malware Analyst presso KasperskyLab. Da parte sua, Kaspersky Lab, è particolarmente attenta alle nuove evoluzioni dei malware per smartphone e sempre pronta ad avvisare e combattere questa nuova minaccia per la sicurezza.