.:: Maurizio Pelizzone ::.

Questa mattina controllando i report di alcuni server relativi al traffico generato ho visto qualcosa di alquanto anomalo.

Il grafico che vedete rappresente l’attivita del protocollo ssh e come potete osservare dalle 4.30 alla 6.30 qualche simpatico amico a tentato un brute force.

Da una prima analisi non sembra essere successo nulla di grave in quanto dai log si può vedere un banale tentativo di dictionary attacks.

Sotto potete vedere una parte del log restituito da questo comando:

Nello stesso modo ho poi verificato gli accessi “autorizzati” e fortunatamente non ne risultano altri oltre a quelli fatti dal sottoscritto:

E’ anche vero che nel caso in cui il nostro hackers fosse riuscito ad accedere avrebbe potuto eliminare una parte dei log ma voglio pensare che avrebbe eliminato tutti i riferimenti al suo ip.

Anche se considero l’attacco fallito ho cercato in rete come evitare questo tipo di attacchi e come in tante altre occasioni la ricerca è durata meno di un minuto: Preventing SSH Dictionary Attacks With DenyHosts

DenyHosts è un tool di sicurezza scritto in Python per server SSH. È pensato per prevenire attacchi brute force verso server SSH monitorando i tentativi di login invalidi nel log di autenticazione e bloccando gli indirizzi IP. (via wikipedia)

Dopo aver verificato se il pacchetto fosse già presente nei repository debian ho provveduto al solito:

Una veloce occhiata al file di configurazione per modificare la mail a cui inviare gli avvisi sui nuovi hosts bloccati ed un controllo lo script fosse in funzione come servizio sono al momento sufficenti per <s>farmi dormire tranquillo</s> rimandare di 24 ore le prossime analisi.

Ecco la nostra ultima fatica…

Senza la pretesa di essere esaustiva su un argomento complesso come la sicurezza informatica, spero di dare un paio di idee per poter muoversi con un po’ più di tranquillità nel proprio computer.

E allora vediamo insieme perché fare un backup, ma anche che cosa sono virus, troian, worm e rootkit.

E poi quali sono i rischi portati da spam e phishing?

Può bastare un semplice firewall a proteggerci?

Insomma una veloce panoramica nel mondo della sicurezza informatica.

Link di riferimento: www.videomarta.com

[tags]videomarta, videoblog, sicurezza informatica[/tags]

SSH è uno di quei servizi che installo e configuro sempre, sia nel caso di Firewall, che di Web Server, Mail Server, File Server, ecc …

Con il rilascio di debian etch, in caso di un installazione minimale fatta tramite netinst, è necessario installarlo manualmente, ma come di sempre, questa operazione e resa banale da apt …

A differenza di altri servizi che uso come mamma debian li ha preparati, per il sig SSH ho preso l’abitudine di modificare alcuni parametri del suo file di configurazione ( /etc/ssh/sshd_config ) che poi nella pratica si riducono in verità alla “rettifica” di due parametri ed all’inserimento di una terza riga.

La prima rettifica è relativa alla porta che secondo l’ICANN è la 22 ma che quando posso cerco di cambiare.

La seconda modifica blocca l’accesso per l’utente root. In questo modo nel caso riuscissero ad entrare si trovano con un utente con permessi limitati.

Il terzo cambiamento è una conseguenza del secondo in quanto se come root l’accesso non è permesso, e bene garantirlo a qualcun’altro.

Aggiungiamo quindi una riga indicando il nome dell’utente autorizzato.

Il tempo necessario per queste operazioni e al di sotto dei 60 secondi … e personalmente ritengo che i benefici siano pienamente ripagati da cotanto lavoro.

Link per approfondire:

1. Lista di porte standard
2. Uso e configurazione di Secure Shell
3. Getting started with SSH

A fine marzo è stato rilasciato un importante aggiornamento con la correzione di alcuni bug abbastanza “rilevanti”.

L’aggiornamento è altamente consigliato.

Dopo avere fatto il backup della vecchia versione ( buona abitudine prima di ogni aggiornamento ) è sufficente sostituire i file contenuti nel nuovo pacchetto avendo cura di ripristinare il vecchio config.php.

Ho scoperto il collettivo A/I (autistici.org / inventati.org) tramite la brutta vicenda di cui si è venuti a conoscenza l’estate scorsa.

Cosa sono e cosa vogliono lo sanno bene “Per iniziare, vogliamo tutto.” ed il loro manifesto direi che è alquanto illuminante.

Tra i molti servizi messi a disposizione in condivisione ha attirato la mia attenzione quello che permette di avere un account di posta elettronica che mi piace definire sicuro o per lo meno più sicuro rispetto al 99%
di quelli offerti in giro sulla rete.

Mi permetto di riportare parte di quanto scritto sulle loro pagine.

Perché una casella di posta Autistici/Inventati

Le pregiudiziali per poter partecipare ai servizi offerti su questo server sono la condivisione dei principi di antifascismo, antirazzismo, antisessismo e non commercialità che animano questo progetto, oltre ovviamente a una buona dose di volontà di condivisione e di relazione ;)))))

Avere una casella di posta su questo server significa poter esercitare una maggior tutela della propria privacy, evitando di darei propri dati personali in pasto a qualche multinazionale o a qualche provider commerciale e utilizzando gli strumenti che il server mette a disposizione per questo, come ad esempio la cifratura SSL.

Inoltre noi non ti chiederemo né un codice fiscale, né un numero di documento e neppure il tuo nome e cognome per attivarti una casella.

Infine puoi scegliere tra molti simpatici domini quello che più ti aggrada ;)))

Questo è l’elenco (non completo ) dei domini messi a disposizione: inventati.org, autistici.org, paranoici.org, mortemale.org, hacari.org, hacari.com, hacari.net, bastardi.net, canaglie.org, stronzi.org, autonomi.org, insicuri.net, anche.no

Considerato che il progetto vive ESCLUSIVAMENTE grazie alle sottoscrizioni, il collettivo sarà molto felice per ogni piccolo gesto che farete, a partire da questa pagina.