Navigare sicuro con Linux

[DOCXP]

Il discorso dei siti fidati vale fino a un certo punto, ti faccio un esempio pratico.
Creo un sito su altervista, come fanno tanti, lo metto in firma su questo forum con scritto "La mia configurazione" o "Guida a Debian". Tu, che vedi la mia firma e ti interessa l'argomento, ci clicchi sopra (mai fatto? io lo faccio spesso) e vai alla mia pagina personale hxxp://miosito.altervista.org/site/guida-Debian.html.
La pagina è un semplice html, e magari il contenuto rispecchia le premesse, però con la tecnica del cross site scripting ho inserito uno script che raccoglie i tuoi cookie e li salva in un file di testo sul sito, o me li invia tramite mail.
Risultato? Copio il cookie di hwugrade nel mio browser (con o senza qualche modifica) e accedo al forum con la tua utenza, poiché hai impostato il login automatico. Dopo di che cambio l'indirizzo di posta con il mio e mi invio la tua password, e poi la cambio.
Se sei fortunato ti rubo l'accesso solo a un forum. Vuoi proteggerti da questo tipo di attacchi? Non clicchi su nessun link, disattivi i javascript, usi firefox+NoScipt.

A me tutto questo è successo, quando non ero al corrente del pericolo, e avevo Debian.

[vampirodolce1]

Quote:

Originariamente inviato da DOCXP

A me tutto questo è successo, quando non ero al corrente del pericolo, e avevo Debian.

Infatti, come dicevo sopra una volta bloccato tutto con un firewall resta comunque il problema della porta 80, che forse e' la piu' utilizzata.
Purtroppo, a livello applicativo, un firewall non puo' niente.

[Mr.Bano]

Oh beh sicuramente il pericolo c'è sempre..se poi parliamo di XSS ha fatto vittime a go-go, tant'è che esistono specifici scanner tanto per dirne una e ha colpito non solo firefox ovviamente.
Ma poi le falle sono tantissime e in primis pericolosissimo il social engineering che spesso vale più di tante conoscenze tecniche.
E nella gran parte dei casi comunque è dovuto all' incompetenza dei webmaster più che al "cattivo di turno" che ne approfitta solamente (anche perchè poi non vedo e soprattutto non capisco il motivo per prendersela con un semplice utente che si fa i fatti suoi solo per il gusto di fare qualcosa)...
In questo caso per sicurezza devi solo disabilitare e concordo pienamente con te ...persino un flash con la funzione getURL() può diventare pericoloso...
Comunque tempo fa avevo visto che c'era un plugin per firefox che cercava di filtrare il cross scripting...magari se mi capita sottomano posto il link

[W.S.]

Quote:

Originariamente inviato da Mr.Bano

E nella gran parte dei casi comunque è dovuto all' incompetenza dei webmaster più che al "cattivo di turno" che ne approfitta solamente (anche perchè poi non vedo e soprattutto non capisco il motivo per prendersela con un semplice utente che si fa i fatti suoi solo per il gusto di fare qualcosa)...

Forse non ho capito, non vedi il motivo di prendersela con uno che ti frega la password e la usa come vuole? Io lo vedo ste motivo e anche bello grosso, che non sia solo colpa sua ok, ma che sia innocente è un'altro discorso (poi dipende anche da cosa ci fa con le pass ottenute, ma dubito che un etico si metta a raccogliere password tramite xss, a me pare da lamer).

Per la soluzione... bhe anche usando wget e consultando le pagine ottenute via editor di testo siamo sicuri di non eseguire script pericolosi, peccato che ora come ora è sempre più difficile disabilitare javascript (o flash). Nel senso che la vedo dura navigare su siti ajax disabilitando javascript. Penso che l'unica sia utilizzare plugin o proxy o nids con regole in grado di riconoscere l'attacco e bloccarlo, ovviamente prima di tutto viene la consapevolezza dei possibili pericoli.

P.S.: navigando un attimo (primo link di google) ho trovato questo plugin firefox:
http://www.gianniamato.it/project/extension/xsswarning/
non copre al 100% ma è un'inizio.

[DOCXP]

E' sempre un'estensione per firefox, a quel punto usate NoScript che blocca ogni genere di script compresi XSS, che vengono segnalati come tali nei siti potenzialmente pericolosi.
http://noscript.net/features#xss

[Mr.Bano]

Quote:

Originariamente inviato da W.S.

Forse non ho capito, non vedi il motivo di prendersela con uno che ti frega la password e la usa come vuole? Io lo vedo ste motivo e anche bello grosso, che non sia solo colpa sua ok, ma che sia innocente è un'altro discorso (poi dipende anche da cosa ci fa con le pass ottenute, ma dubito che un etico si metta a raccogliere password tramite xss, a me pare da lamer).

Forse le mie parole sono state fraintese. Il "semplice utente" era riferito a colui che si ritrova raggirato immotivatamente.
In realtà diciamo la stessa cosa.
Dividere informazioni al fine di migliorare una determinata applicazione è essenziale per lo sviluppo informatico.Utilizzare queste informazioni (tra l' altro di dominio pubblico) per arrecare danno e per di più probabilmente in modo casuale non riuscirei a capirne le motivazioni.

[W.S.]

Quote:

Originariamente inviato da Mr.Bano

Forse le mie parole sono state fraintese. Il "semplice utente" era riferito a colui che si ritrova raggirato immotivatamente.
In realtà diciamo la stessa cosa.
Dividere informazioni al fine di migliorare una determinata applicazione è essenziale per lo sviluppo informatico.Utilizzare queste informazioni (tra l' altro di dominio pubblico) per arrecare danno e per di più probabilmente in modo casuale non riuscirei a capirne le motivazioni.

non avevo capito

[mykol]

comunque il succo del discorso è che usando Linux E' INFINITAMENTE più DIFFICILE avere problemi di virus, spyware, ecc... che usando windows.

[blackbit]

si, questo è vero. ma c'è anche da dire che se non si sa amministrare un server, neanche debian salva... le vulnerabilità bisogna saperle riconoscere

[Fil9998]

ma devo dire che ho fatto apposta giri su sitimegapornoinfestatissimi ...

roba da paura (bhè non solo come informatica : però con linux e firewall, firefox e noscript --- il tutto da dietro un router firewall ...


mai visto nulla di strano. (bhè a parte i contenuti multimedia dei siti)

Quote:

Originariamente inviato da atreidesws

Di virus su linux non potrai mai prenderli perchè l'active-x su linux non è contemplato, quindi da internet stai tranquillo che i virus non li prendi

Gli ActiveX non sono l'unico modo di veicolare malware e comunque per installare controlli ActiveX su Windows da Internet Explorer viene richiesta esplicita conferma all'utente e se si installassero senza conferme etc. sarebbe una vulnerabilità del browser più che una questione di ActiveX.

Quote:

Originariamente inviato da DOCXP

Comunque anch'io mi sentivo sicuro con Debian + firewall, fino a quando tempo fa non mi hanno grabbato i cookie di firefox sfruttando un xss (Cross-site scripting) di un html.
Quindi per navigare sicuri o si disattivano i javascript (quindi si naviga male ) o si usa NoScript. Altre soluzioni per questo problema non ne conosco.

Basterebbe che la gente imparasse a scrivere web application (e magari che tutti i browser supportassero i cookie HTTP-only, che attualmente sono supportati solo da Internet Explorer e prossimamente da Firefox 3.0 e Opera 9.5).

Quote:

Originariamente inviato da vampirodolce1

Infatti, come dicevo sopra una volta bloccato tutto con un firewall resta comunque il problema della porta 80, che forse e' la piu' utilizzata.
Purtroppo, a livello applicativo, un firewall non puo' niente.

Non basta avere una porta aperta per essere vulnerabili, ci vuole un software che sia vulnerabile attraverso traffico ricevuto da quella porta, per questo esistono:

1) Gli aggiornamenti
2) Gli IDS (tipo Snort)
3) Software di difesa proattiva (SELinux, AppArmor etc.)
4) altro

[blackbit]

bè si. il punto è che i servizi son sempre e comunque vulnerabili, dato che la sicurezza perfetta non esiste...! E non è possibile far girare un server senza servizi

Quote:

Originariamente inviato da blackbit

bè si. il punto è che i servizi son sempre e comunque vulnerabili, dato che la sicurezza perfetta non esiste...! E non è possibile far girare un server senza servizi

Questo meriterebbe un discorso a parte... comunque se partiamo dal presupposto che "la base" del sistema funzioni come ci si aspetta (hardware e librerie di base tipo libc) la sicurezza *esiste*: se faccio un programmino "Hello World" non c'è la minima vulnerabilità.

[W.S.]

@ekerazha ok, evitiamo di ripetere tutta la storia dell'altro thread sulla possibilità di considerare sicuro un software. Ormai sappiamo di pensarla in modo diverso

Quote:

Originariamente inviato da W.S.

@ekerazha ok, evitiamo di ripetere tutta la storia dell'altro thread sulla possibilità di considerare sicuro un software. Ormai sappiamo di pensarla in modo diverso

[blackbit]

quello che dite non fa una piega, però è per dire... che anche con debian, dovete stare attenti ai servizi e alla loro versione..! Tenete le versioni dei servizi più aggiornate possibili e meno se ne tengono, ovviamente, meno punti deboli avrete.

Un pc con 30 servizi in ascolto è comunque più vulnerabile di uno con 2 o 3, anche se si tratta di QNX o Solaris!

Quote:

Originariamente inviato da blackbit

Tenete le versioni dei servizi più aggiornate possibili e meno se ne tengono, ovviamente, meno punti deboli avrete.

Depende... in debian stable l'"andazzo" è quello di tenere versioni molto "rodate" aggiornate con bugfix per la sicurezza, più che "versioni aggiornate" dei pacchetti.

[DOCXP]

Quote:

Originariamente inviato da ekerazha

Basterebbe che la gente imparasse a scrivere web application (e magari che tutti i browser supportassero i cookie HTTP-only, che attualmente sono supportati solo da Internet Explorer e prossimamente da Firefox 3.0 e Opera 9.5).

Quel che dici è giusto, ma nell'esempio che ho descritto sopra parlo di un sito web creato ad hoc.