Re: Warning e controlli di sicurezza

[Davide Prina <davide.prina@gmail.com>]

On 31/12/2014 15:30, Portobello wrote:

> Ho eseguito i seguenti comandi di rkhunter
> rkhunter --versioncheck

questo ti controlla la versione installata con quella attualmente 
disponibile

> rkhunter --update

questo aggiorna i file di localizzazioni e dei dati relativi a rootkit & C.

> rkhunter --propupd

questo dice a rkhunter di considerare da ora attendibili gli attuali 
file installati.
Se vuoi usare rkhunter per fare controlli del tuo sistema, allora 
dovresti eseguirlo ad ogni aggiornamento del sistema, in modo che ti 
segnali i file che sono stati modificati e dopo aver verificato che sono 
solo quelli appena aggiornati, allora dai questo comando.

Eseguire questo comando, senza prima neanche aver verificato quali file 
siano stati modificati non ha molto senso, se non nascondere tutte le 
modifiche fatte dall'ultima esecuzione... però così nascondi anche le 
possibili modifiche di file apportate da un attaccante...

Poi c'è da dire un'altra cosa. Se l'attaccante è un essere umano (non è 
un attacco automatico), allora quasi di sicuro cercherà di nascondere le 
sue tracce... se è entrato in possesso del tuo PC, allora non ha tanto 
senso eseguire dei controlli usando gli eseguibili presenti sullo stesso 
PC che stai controllando. Dovresti usare un altro PC pulito o caricare 
il sistema da un CD

> rkhunter -c --enable all --disable none
> rkhunter -c --enable all --disable none --rwo > warning_rkhunter.txt

bisogna tenere conto che rkhunter trova anche dei falsi positivi... 
quindi bisogna indagare

> Questi sono i warning principali :
> Warning: The command '/usr/bin/unhide.rb' has been replaced by a script:
> /usr/bin/unhide.rb: Ruby script, ASCII text

http://sourceforge.net/p/rkhunter/bugs/95/

> Warning: The following processes are using deleted files:
>           Process: /usr/bin/pcmanfm    PID: 5263    File:
> /home/nuovo/.local/share/gvfs-metadata/home
>           Process: /usr/bin/lxterminal    PID: 7648    File: /tmp/vteS7LORX

questo potrebbe essere normale

> Warning: Process '/sbin/dhclient' (PID 2469) is listening on the network.

se usi il dhclient è normale... altrimenti no ;-)

> Warning: Process '/usr/sbin/snort' (PID 4666) is listening on the network.

anche qui se hai installato snort e lo stai usando è normale, altrimenti 
preoccupati ;-)
https://it.wikipedia.org/wiki/Snort

> Warning: Hidden directory found: /etc/.java
> Warning: Hidden file found: /etc/.fstab: ASCII text

questi dovrebbero essere falsi positivi... puoi controllare l'interno 
delle directory

> Poi ho eseguito chkrootkit
> il comando chkrootkit > warning_chkrootkit.txt

> Searching for anomalies in shell history files...  Warning:
> `//root/.bashburn_history' file size is zero

questo può essere strano... se come root usi bash, altrimenti può essere 
normale che abbia dimensione zero.

se hai una riga come la seguente, allora qualcuno o qualcosa ti ha 
azzerato l'history
$ grep root /etc/passwd
root:x:0:0:root:/root:/bin/bash

In ogni caso, come dicevo sopra, se qualcuno riesce a bucarti il PC e a 
fare qualcosa di malevolo, allora cercherà anche di nascondere le 
tracce, ad esempio cancellando l'history dei comandi che ha eseguito

> Poi ho eseguito il comando :
>   cruft > report_cruft.txt
> Il report e' di 2,3 MB , e non so bene quali messaggi cercare.

qui è un po' più complesso, dovresti guardati riga per riga per capire 
se c'è qualcosa di strano. Però vale sempre il discorso che ho fatto 
sopra...

> Ci sono altri comandi che si possono utilizzare ?

dipende dal livello di sicurezza che tu ritieni accettabile.
Devi prima di tutto renderti conto che non esiste un sistema che sia 
sicuro al 100% quando è in esecuzione, quello che puoi fare è cercare di 
capire cosa reputi che sia il livello di sicurezza che vuoi raggiungere.

L'argomento è molto complesso e solo chi lavora a tempo a pieno nel 
settore e si occupa di questi argomenti anche nel suo tempo libero può 
avere un'idea dei rischi che ci sono ad usare un PC. Gli altri, come me, 
possono darti solo dei consigli, che magari sono anche incompleti, se 
non addirittura sbagliati.

Il cercare di identificare se c'è stato un attacco è ben più complesso, 
difficile e oneroso che cercare di prevenirlo.

Se vuoi essere paranoico puoi arrivare a criptare tutto, compresa RAM e 
swap, ma così hai un sistema che diventa lento ed inoltre sembra che 
anche tale tipo di sistema non è sicuro al 100% quando è in esecuzione, 
perché c'è un momento in cui le informazioni passano in chiaro nella CPU...

Quello che posso dirti io, tenuto conto di quanto scritto sopra, è di:
1) scegliere di chi fidarti ad esempio: di Debian e dei DD, presuppongo, 
e quindi di tutti i pacchetti che rilasciano i DD
2) tenere il tuo sistema costantemente aggiornato
3) non installare cose provenienti dall'esterno dei repository ufficiali 
di Debian... a meno che non consideri fonti affidabili pure queste
4) non installare servizi che non ti servono che restano in ascolto su 
una o più porte, se lo devi fare puoi magari cercare di non usare le 
porte standard per quel servizio o altri tipi di sistemi che aprano la 
porta solo quando è richiesto... o magari installare un firewall per 
bloccare le possibili connessioni da PC/reti che non devono 
connettersi... o magari usare un router o un apparato che sta davanti 
alla tua rete interna, in modo da non esporre i servizi del tuo PC 
direttamente sulla rete.

Poi puoi iniziare a leggere articoli a riguardo per capire meglio di 
cosa si tratta.

Ciao
Davide

--
Dizionari: http://linguistico.sourceforge.net/wiki
Petizione contro i brevetti software in Europa:
http://petition.stopsoftwarepatents.eu/
Non autorizzo la memorizzazione del mio indirizzo su outlook