Riuscite a trovare eventuali falle in questo sitema?

[baolian]

Ho bisogno di un sistema assolutamente sicuro per gestire i conti correnti on-line.

Attualmente come sistema uso una distribuzione linux (damn small) installata su una chiavetta usb.

Quando devo connettermi alla banca faccio il boot dalla chiavetta che mi crea un disco virtuale nella ram (quindi qualsiasi eventuale modifica non viene salvata), evitando così qualsiasi uso dell'hd.

Il notebook sul quale viene effettuata questa operazione viene collegato alla rete via cavo (solo in questo caso, nel normale utilizzo col boot di win xp da HD è collegato in wi-fi).

L'utente linux non ha privilegi di amministratore.

Non sono installati antivirus e firewall (è però attivo quello del router).

Browser: firefox.

Gli altri computer (5 pc windows ed un server Aix) connessi alla rete non sono sicuri (mi è capitato di trovare due pc, uno con win2000 e l'altro con xp, pieni di virus).

Il notebook nel normale utilizzo con xp con boot da HD potrebbe anche non essere sicuro (sono presenti firewall e antivirus e ne faccio un uso "oculato", ma raramente viene utilizzato da altre persone); mentre sono il solo a poter utilizzare la chiavetta usb.

Quali sono le eventuali falle in un sistema così?

[wizard1993]

Quote:

Originariamente inviato da baolian

Ho bisogno di un sistema assolutamente sicuro per gestire i conti correnti on-line.

Attualmente come sistema uso una distribuzione linux (damn small) installata su una chiavetta usb.

Quando devo connettermi alla banca faccio il boot dalla chiavetta che mi crea un disco virtuale nella ram (quindi qualsiasi eventuale modifica non viene salvata), evitando così qualsiasi uso dell'hd.

Il notebook sul quale viene effettuata questa operazione viene collegato alla rete via cavo (solo in questo caso, nel normale utilizzo col boot di win xp da HD è collegato in wi-fi).

L'utente linux non ha privilegi di amministratore.

Non sono installati antivirus e firewall (è però attivo quello del router).

Browser: firefox.

Gli altri computer (5 pc windows ed un server Aix) connessi alla rete non sono sicuri (mi è capitato di trovare due pc, uno con win2000 e l'altro con xp, pieni di virus).

Il notebook nel normale utilizzo con xp con boot da HD potrebbe anche non essere sicuro (sono presenti firewall e antivirus e ne faccio un uso "oculato", ma raramente viene utilizzato da altre persone); mentre sono il solo a poter utilizzare la chiavetta usb.

Quali sono le eventuali falle in un sistema così?

i pc windows

[W.S.]

come sistema è buono, per migliorarlo dovresti configurare il firewall (iptables) in modo da isolarlo dagli altri pc della rete.

Ovviamente devi mantenere il sistema aggiornato, soprattutto firefox.

Nel caso in cui perdessi la chiavetta, che informazioni vi sono contenute? Se sono sensibili non sarebbe una brutta idea cifrarne una partizione su cui poi mantenere queste info.

[xcdegasp]

Quote:

Originariamente inviato da W.S.

come sistema è buono, per migliorarlo dovresti configurare il firewall (iptables) in modo da isolarlo dagli altri pc della rete.

Ovviamente devi mantenere il sistema aggiornato, soprattutto firefox.

Nel caso in cui perdessi la chiavetta, che informazioni vi sono contenute? Se sono sensibili non sarebbe una brutta idea cifrarne una partizione su cui poi mantenere queste info.

io penserei pure ad una copia della chiavetta su dvd da tenere a portata di mano in caso di disastro

[sampei.nihira]

Come browser, Opera, che esiste in distro Linux (non sò se per DSL non ho esperienza in questa distro molto leggera) è intrinsecamente più sicuro di FF.....se vuoi proprio migliorare il sistema in ogni comparto !!

[baolian]

Quote:

Originariamente inviato da W.S.

come sistema è buono, per migliorarlo dovresti configurare il firewall (iptables) in modo da isolarlo dagli altri pc della rete.

Ovviamente devi mantenere il sistema aggiornato, soprattutto firefox.

Nel caso in cui perdessi la chiavetta, che informazioni vi sono contenute? Se sono sensibili non sarebbe una brutta idea cifrarne una partizione su cui poi mantenere queste info.

Sulla chiavetta non vi è alcuna informazione: è come se fosse una live, dopo aver spento il pc, il sistema torna "vergine". Tant'è che ad ogni boot devo riconfigurare ip, subnet, gateway e dns. Non posso neanche salvare file (che andrebbero persi nello spegnimento). Se devo salvare qualcosa, come ad esempio gli estratti conto, salvo il file temporaneamente nel disco virtuale e poi me lo spedisco tramite webmail.

Configurare il firewall per me è un po' complesso, perchè dovrei farlo ogni avvio, oppure dovrei reinstallare il SO preconfigurato col firewall (ma già per farlo la prima volta con la sola configurazone pronta ci ho perso una giornata).

Stesso discorso per l'aggiornamento del browser. Però è un sistema che non viene usato per navigare.
Gli unici siti cui accedo da questo sitema sono quelli delle mie banche e quello di gmail (e solo per salvarci qualche file, non apro messaggi nè tantomeno gli allegati).

I win-pc della rete che tipo di vulnerabilità potrebbero rappresentare?
Considerando che nel sistema linux non sono loggato come amministratore, sono comunque a rischio?

A me fondamentalmente interessa che nessuno riesca ad intercettare il "trittico": Nome utente - Password - Pin dispositivo (che comunque viaggiano in https).

[baolian]

Quote:

Originariamente inviato da xcdegasp

io penserei pure ad una copia della chiavetta su dvd da tenere a portata di mano in caso di disastro

In realtà non essendoci alcun tipo di dato, nè configurazione (in pratica è una live, solo più tascabile), non mi preoccupo di disastri, anche se ho una seconda chiavetta con installata una slax ma che utilizzo più che altro per prove di "smanettamento".

Quote:

Originariamente inviato da sampei.nihira

Come browser, Opera, che esiste in distro Linux (non sò se per DSL non ho esperienza in questa distro molto leggera) è intrinsecamente più sicuro di FF.....se vuoi proprio migliorare il sistema in ogni comparto !!

Fondamentalmente uso firefox perchè ho trovato DSL già bello e pronto con un pannello di configurazione semplice, un editor di testo, un lettore di pdf ed un browser (firefox) in soli 50mb.
Così è comodissimo perchè il sistema fa il boot molto rapidamente (da una chiavetta da 128mb USB1!).

Per sostituire il browser dovrei andare a modificare direttamente la iso. Oggi non saprei farlo, ed in questo momento mi manca il tempo di leggere i lunghi how-to che ho trovato.
Lo farei solo se effettivamente firefox mi creasse una falla grave nella sicurezza (e spero che tu possa confermarmi che non è così).

[OT]P.S: Ma sei lo stesso Sampei di mondomaldive?

[xcdegasp]

io sulla seconda chiavetta salverei la configurazione..

Quote:

Replace configsave

Current configsave doesn't work perfect. Problems are in incremental saves, sometimes it works but sometimes it doesn't. So it will be replaced by changes= boot argument. This is implemented partially, one can boot slax with changes=/dev/hda1 for example, then all changes are stored on hda1 partition and are auto-used next time, without any problem. Works like a charm. Next step is to implement changes=somefile.xfs (to save changes to a file on SOME of active partitions, first partition with this file will be used), and next step is to implement changes=/dev/hda1/somefile.xfs (so the file is not found automatically, but is located (or created) on the given device). Nevertheless user should be still able to 'not save' changes in some case. We will need some 'snapshotting' to enable this feature.

anzicchè hda1 gli metti il nome dell'altra chiavetta

[sampei.nihira]

Quote:

Originariamente inviato da baolian

In realtà non essendoci alcun tipo di dato, nè configurazione (in pratica è una live, solo più tascabile), non mi preoccupo di disastri, anche se ho una seconda chiavetta con installata una slax ma che utilizzo più che altro per prove di "smanettamento".



Fondamentalmente uso firefox perchè ho trovato DSL già bello e pronto con un pannello di configurazione semplice, un editor di testo, un lettore di pdf ed un browser (firefox) in soli 50mb.
Così è comodissimo perchè il sistema fa il boot molto rapidamente (da una chiavetta da 128mb USB1!).

Per sostituire il browser dovrei andare a modificare direttamente la iso. Oggi non saprei farlo, ed in questo momento mi manca il tempo di leggere i lunghi how-to che ho trovato.
Lo farei solo se effettivamente firefox mi creasse una falla grave nella sicurezza (e spero che tu possa confermarmi che non è così).

[OT]P.S: Ma sei lo stesso Sampei di mondomaldive?

Devi decidere tu stesso.
Sono due browser entrambi sicuri,ma come ripeto Opera è intrinsecamente più
sicuro di FF,se non altro per l'aspetto bugs attualmente,non risolti.
Ecco le falle di FF sotto linux,guarda quelle del 2007,se farai un confronto con quelle di Opera noterai che sono molte meno (quelle del 2007):

http://secunia.com/search/?search=firefox+linux

p.s. E tu chi saresti come utente di MM ?

[baolian]

Quote:

Originariamente inviato da xcdegasp

io sulla seconda chiavetta salverei la configurazione..

anzicchè hda1 gli metti il nome dell'altra chiavetta

Mi sembra una buona idea!

Quote:

Originariamente inviato da sampei.nihira

[color="Blue"]Devi decidere tu stesso.
Sono due browser entrambi sicuri,ma come ripeto Opera è intrinsecamente più
sicuro di FF,se non altro per l'aspetto bugs attualmente,non risolti.
Ecco le falle di FF sotto linux,guarda quelle del 2007,se farai un confronto con quelle di Opera noterai che sono molte meno (quelle del 2007):

http://secunia.com/search/?search=firefox+linux

Uhmmm!
Credo che alle prime ferie dovrò utilizzare un paio di giorni solo per prendere un po' di confidenza col sistema e prepararmi una iso correttamente configurata con opera e con i settaggi già pronti (firewall compreso).

Quote:

Originariamente inviato da sampei.nihira

p.s. E tu chi saresti come utente di MM ?

Sempre baolian
Non scrivo molto (l'ultimo mex sarà di almeno un paio di mesi fa), ma faccio spesso "un giro" a lurkare, tra le altre cose, il tuo "bollettino della sicurezza".

[W.S.]

Quote:

Originariamente inviato da baolian

I win-pc della rete che tipo di vulnerabilità potrebbero rappresentare?
Considerando che nel sistema linux non sono loggato come amministratore, sono comunque a rischio?

I winPc potrebbero fare da "ponte" per eventuali attacchi. Stiamo parlando di eventualità remote, con la configurazione che usi sei ragionevolmente al sicuro, comunque è un bene esserne a conoscenza:
Visto che non hai un personal-firewall e che il sistema non viene aggiornato, potresti essere esposto ad attacchi automatizzati da pc win infetti da $malewareDiTurno. Il fatto che usi una live-linux ti rende quasi immune ad eventuali virus che tentano di infettarti da macchine win, comunque un pc infetto nella rete potrebbe ascoltare tutto il traffico della LAN e spedire eventuali account/pass sniffati. Non dovrebbe essere un problema per le connessioni cifrate ma per il resto si.

Se usi una seconda chiavetta/partizione per memorizzare le configurazioni, memorizzaci pure uno script per iptables

Per il resto mi aggrego ai sempre ottimi sampei.nihira e xcdegasp

[baolian]

Quote:

Originariamente inviato da W.S.

I winPc potrebbero fare da "ponte" per eventuali attacchi. Stiamo parlando di eventualità remote, con la configurazione che usi sei ragionevolmente al sicuro, comunque è un bene esserne a conoscenza:
Visto che non hai un personal-firewall e che il sistema non viene aggiornato, potresti essere esposto ad attacchi automatizzati da pc win infetti da $malewareDiTurno. Il fatto che usi una live-linux ti rende quasi immune ad eventuali virus che tentano di infettarti da macchine win, comunque un pc infetto nella rete potrebbe ascoltare tutto il traffico della LAN e spedire eventuali account/pass sniffati. Non dovrebbe essere un problema per le connessioni cifrate ma per il resto si.

Se usi una seconda chiavetta/partizione per memorizzare le configurazioni, memorizzaci pure uno script per iptables

Per il resto mi aggrego ai sempre ottimi sampei.nihira e xcdegasp

Ok, grazie! Già il fatto di sapere che il problema è circoscritto allo sniffing della rete (risolto dal fatto che le connessioni che mi interessa proteggere sono cifrate) vuol dire molto.
E' complicato scrivere lo script per iptables (in linux sono ai primi passi)?

[W.S.]

Quote:

Originariamente inviato da baolian

E' complicato scrivere lo script per iptables (in linux sono ai primi passi)?

Bhe si e no, ovviamente per settarlo bene bisogna capire come funzionano iptables e le reti, il che non è difficile ma lunghetto.
Comunque banalmente, se vuoi solo connetterti via https, ti basta una cosa del tipo:

Codice:

#!/bin/sh

iptables -t filter -P FORWARD DROP
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT DROP

# traffico localhost
iptables -t filter -I INPUT -i lo -s 127.0.0.1 -j ACCEPT
iptables -t filter -I OUTPUT -o lo -d 127.0.0.1 -j ACCEPT

# connessioni già instaurate o richieste
iptables -t filter -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# DNS
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT

# traffico https
iptables -t filter -A OUTPUT -p tcp --dport 443 -j ACCEPT

[baolian]

Non ho la più pallida idea della sintassi da usare, però a prima vista potrei imparare.

Mi sembra di capire che lo script permetta il traffico https in tcp sulla porta 443 e verso i dns in udp sulla porta 53 entrambi in sola uscita.

Dovrei creare solo un'altra regola per il traffico http sulla porta 80 (una delle banche non ho capito che sistema utilizza: le password "viaggiano" su una connessione sicura https, ma il sito non è https ) in sola uscita e dovrei aver risolto.

Non ho invece capito queste righe:

Quote:

# connessioni già instaurate o richieste
iptables -t filter -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

[W.S.]

se vuoi approfondire vedi "man iptables" (oltre alle migliaia di guide su google).

Cmq:
per aggiungere la porta 80 basta la riga

Codice:

iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT

magari sotto quella https per mantenere lo script in ordine.

la riga ... ESTABLISHED, RELATED ... , serve per riconoscere i pacchetti in entrata (INPUT) che appartengono a connessioni già stabilite o richieste e accettarli (ACCEPT). Senza di essa, riusciresti a mandare pacchetti ai server https e dns ma il firewall scarterebbe le risposte, come impostato di default tramite la riga "iptables -t filter -P INPUT DROP"

[baolian]

Quote:

Originariamente inviato da W.S.

se vuoi approfondire vedi "man iptables" (oltre alle migliaia di guide su google).

Cmq:
per aggiungere la porta 80 basta la riga

Codice:

iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT

magari sotto quella https per mantenere lo script in ordine.

la riga ... ESTABLISHED, RELATED ... , serve per riconoscere i pacchetti in entrata (INPUT) che appartengono a connessioni già stabilite o richieste e accettarli (ACCEPT). Senza di essa, riusciresti a mandare pacchetti ai server https e dns ma il firewall scarterebbe le risposte, come impostato di default tramite la riga "iptables -t filter -P INPUT DROP"

Sei stato chiarissimo, grazie!