NSA - Non Solo Amiga

SOFTWARE => Internet & networking. => Topic aperto da: saimon69 - 23 Aprile 2015, 21:52:10

Titolo: Sicurezza facile un tabu?
Inserito da: saimon69 - 23 Aprile 2015, 21:52:10
Come chiunque di noi legge sulle varie testate elettroniche e non, la sicurezza in rete - NSA a parte - e' un tema spinoso e delicato.
E non solo per gli utenti finali; anche gli sviluppatori come me e gli amministratori di rete hanno i loro grattacapi; e ho idea che questi siano in molti casi quasi autoprocurati; molte delle librerie e applicazioni che vengono usate sono opera di gente con retaggio sugli *ix e si vede da come vengono configurate o impostate; un approccio del genere implica una conoscenza profonda del prodotto e del suo funzionamento e alla fine risulta non intuitivo a chi non ha il "mindset" giusto: ad esempio un paio di annetti fa ho dovuto rinnovare un certificato sul server del mio ex datore di lavoro e sinceramente sudavo freddo: non tanto per il dover copiaincollare certificati pubblici e privati ma perche' la cosa avveniva via cpanel e WHM, i quali hanno interfacce web minimali pensate per persone come descritte sopra e non per lo sfigato che deve lavorarci una volta all'anno (e tra un po' lo dovro' rifare con un dominio godaddy qua: tremo solo al pensiero).
Per configurazioni di router e rete le cose non sono tanto meglio; le alternative sono via IMAP con WEP o WPA se uno sa settarlo, altrimenti tutto quel giro di settare il MAC della periferica e legarci un ip e ogni volta che le cose cambiano pregare che non si rompa niente; mi da' l'idea che ci sia un gradino notevole tra cose base e cose appena piu' complesse che non tutti riescono a fare, e penso sia soprattutto per un problema di mentalita' degli sviluppatori. 
Non facciamoci entrare neanche nell'anticamera del cervello il settare una VPN o TOR se non si ha una minima idea. Voi che ne dite?
Titolo: Re:Sicurezza facile un tabu?
Inserito da: TheKaneB - 24 Aprile 2015, 08:32:26
La sicurezza è difficile anche nel mondo reale. Spesso il miglior modo per difendersi è apparire come un target poco interessante. Vale nella vita e sulle reti :D

Non ci vedo niente di semplice nella gestione della security, ma non credo sia tutta e solo colpa degli sviluppatori e sistemisti, è proprio l'ambito che è tosto.
Titolo: Re:Sicurezza facile un tabu?
Inserito da: saimon69 - 24 Aprile 2015, 09:04:42
La sicurezza è difficile anche nel mondo reale. Spesso il miglior modo per difendersi è apparire come un target poco interessante.

il problema e' che per certi, tipo quelli che vogliono metterti in una botnet, essere in rete e' gia' interessante...

Non ci vedo niente di semplice nella gestione della security, ma non credo sia tutta e solo colpa degli sviluppatori e sistemisti, è proprio l'ambito che è tosto.

non ho detto che sia SOLO colpa loro, pero' secondo me un bias inconscio c'e', ovvero ritengo che certe volte siano inconsciamente convinti che la complessita' esteriore di un programma sia parte della sua sicurezza (almeno contro il metterci mano da parte di utonti) - non sempre vero pero'...
Titolo: Re:Sicurezza facile un tabu?
Inserito da: TheKaneB - 24 Aprile 2015, 10:00:59
Ti riferisci a qualche software particolare?
Titolo: Re:Sicurezza facile un tabu?
Inserito da: AmigaCori - 24 Aprile 2015, 12:10:33
Il tema e' interessante, fino a qualche anno fa i router per uso casalingo non imponevano di creare una chiave di sicurezza ed infatti trovavi fuordi di reti wifi csaslinghe libere...questo fa capire quale sia la percezione dell'utente casalingo della sicurezza: "boh non lo so chemifotte mica posso essere un fisico nulceare ci devo andare solo su facebook".

Da cio' nasce il problema per chi vorrebbe dare sicurezza ai sistemi, sia per casa che per ufficio visto che tanto l'user e' lo stesso...

Il problema IMHO e' che l'user non vuole sbattersi affatto, sia in casa che in ufficio ed allora vedi password "1234" negli uffici o password attaccate sui post-it sul monitor nel caso siano robe piu' complesse°_°

Ancora vedo gente che usa la data di nascita come password...incredibile ma usanza ancora molto diffusa, oppure le iniziali del nome + data nascita ><

La sicurezza facile e' possibile, alla fine non saremo attaccati da chissa' quale hacker, pero' un minimo, ma davvero minimo minimo sbattimento ci vuole...almeno a pensare una chiave WEP2 (col passphrase perche' quella tradizionale a casa non tutti se la possono configurare) che sia piu' del classico "1234" ed assegnare un filtro MAC alla roba di casa (se viene l'amico s'attacca oppure gioca con whatsup con la rete dati!)  IMHO ci rende ben protetti dal cojone di turno che passa sotto casa.

La sicurezza assoluta non e' possibile in nessun ambito a nessun livello, la sicurezza "facile" per me e' possibile SE uno decide di applicarla, casomai la sicurezza difficile e' quella che quasi tutto vorrebbero: sicurezza automatica senza fare nulla.
Titolo: Re:Sicurezza facile un tabu?
Inserito da: AmigaCori - 24 Aprile 2015, 14:19:29
@AmigaCori
la spaccina dice "the only safe machine is an offline machine"
poi mi guarda e ride, "that's a lie, we can still steal, physically"

 :o :o :o :o

Siiii quoto la spaccina! :D

Infatti se DEVO rubarti delle info un modo lo trovo: ti sniffo, ti craccko, ti sequestro il gatto per ricatto, non so, ma inutile paranoizzarsi, ma nenache dare le chiavi di casa al rpimo che passa sotto casa col tablet ^^;
Titolo: Re:Sicurezza facile un tabu?
Inserito da: AmigaCori - 24 Aprile 2015, 14:25:11
in aeroporto, malpensa, quando abbiamo installato le barriere, e' stato bellissimo

due mesi dopo l'installazione, per puro caso mi sono trovato sul posto, e digitando 123456 si e' disattivato tutto  :o :o :o :o

le hanno lasciate tali e quali a come le abbiamo consegnate, ignorando un biglietto rosso bold text che diceva

ATTENZIONE CAMBIATE LA PASSWORD

E da tutte le parti e' cosi', poi sta roba mega-sicura andra' ad essere utilizzata dall'uomo di strada che se ne strafotte di tutto e tutti, deve fare il suo lavoro senza volere impicci e scocciamenti vari.

Altro fattore che frega secondo me e' vedere, per esempio, quelle tue barriere come super-sistema-della-misera e pensare che sia instrisecamente sicuro, magari perche' e' costato un botto di soldi °_° senza pensare che, se poi non l'attivi o gli metti la password di default e' di fatto unl bel coso che a nulla serve, anzi, lavora al contrario: sei convinto che sei protetto affidandoti al sistema e quindi abbassando la guardia quando invece stai scoperto.
Titolo: Re:Sicurezza facile un tabu?
Inserito da: Z80Fan - 24 Aprile 2015, 15:13:16
Infatti se DEVO rubarti delle info un modo lo trovo: ti sniffo, ti craccko, ti sequestro il gatto per ricatto, non so, ma inutile paranoizzarsi, ma nenache dare le chiavi di casa al rpimo che passa sotto casa col tablet ^^;

Mi ha fatto venire in mente:

(http://imgs.xkcd.com/comics/security.png)

;D
Titolo: Re:Sicurezza facile un tabu?
Inserito da: TheKaneB - 24 Aprile 2015, 15:17:29
@Z80Fan:

xkcd è una fonte inesauribile di verità assolute, umorismo alternativo e a matematica avanzata (cit.) :D
Titolo: Re:Sicurezza facile un tabu?
Inserito da: saimon69 - 24 Aprile 2015, 21:25:55
@legacy

E all'improvviso "nemico pubblico" non pare tanto un thrillerazzo di seconda categoria... con mix di matrix nel mezzo

@TheKaneb

Allora, sara' che sono allergico alle muraglie di testo, ma ricordo quando usci' PGP e tutti a dire public e private key e io non ci capivo (e onestamente non ci capisco ancora) una mazza; o posso ricordare il mio router airlink: quell'interfaccia web e' tutta un form e da l'impressione onestamente che metti una virgola sbagliata e sarai tagliato dalla rete per il resto dei tuoi giorni... o ancora ricordo gente smadonnare con AmiTCP quando scappo' la v4 che divenne un ginepraio (e che in versione open ancora collega AROS ma almeno li il pannello networking fa miracoli ^^ )

Titolo: Re:Sicurezza facile un tabu?
Inserito da: TheKaneB - 25 Aprile 2015, 15:01:35
@TheKaneb

Allora, sara' che sono allergico alle muraglie di testo, ma ricordo quando usci' PGP e tutti a dire public e private key e io non ci capivo (e onestamente non ci capisco ancora) una mazza; o posso ricordare il mio router airlink: quell'interfaccia web e' tutta un form e da l'impressione onestamente che metti una virgola sbagliata e sarai tagliato dalla rete per il resto dei tuoi giorni... o ancora ricordo gente smadonnare con AmiTCP quando scappo' la v4 che divenne un ginepraio (e che in versione open ancora collega AROS ma almeno li il pannello networking fa miracoli ^^ )

PGP non è adatto all'uso comune. Se ti limiti a inviare e ricevere email tramite un provider moderno, che critta le comunicazioni tramite SSL, dovresti avere un livello di sicurezza simile. Stessa cosa per i file. Se usi Mega hai una crittografia di pari livello senza doverla fare a mano, oppure da Windows puoi scegliere di crittografare il tuo intero disco con applicazioni simili, che richiedono solo 2 click.

PGP è uno strumento potente ma di basso livello, non è usabile dall'utente comune.

Stessa cosa per la configurazione dei router, si presume che sia una tecnico specializzato a configurarlo al posto tuo. Insomma, ognuno fa il suo mestiere no? :D
Titolo: Re:Sicurezza facile un tabu?
Inserito da: Nonefonow - 25 Aprile 2015, 19:03:01
allora c'e' chi traffica informazioni :o :o :o :o

Demand side economics.  ;)
 
Se c'e' qualcuno disposto a pagare allora c'e' qualcuno disposto a vendere. Il che equivale al concetto che tutto e' in vendita per chi ha o offre abbastanza considerazione  ($$)  ;D .
 
Titolo: Re:Sicurezza facile un tabu?
Inserito da: saimon69 - 26 Aprile 2015, 03:31:23
PGP è uno strumento potente ma di basso livello, non è usabile dall'utente comune.

Stessa cosa per la configurazione dei router, si presume che sia una tecnico specializzato a configurarlo al posto tuo. Insomma, ognuno fa il suo mestiere no? :D

Si ma sta robba e' venduta e propagata ad uso domestico:/
inoltre nella seconda meta' degli anni novanta PGP veniva presentato su riviste alla Applicando come la panacea per le mail sicure...
Titolo: Re:Sicurezza facile un tabu?
Inserito da: TheKaneB - 26 Aprile 2015, 12:28:40
PGP è uno strumento potente ma di basso livello, non è usabile dall'utente comune.

Stessa cosa per la configurazione dei router, si presume che sia una tecnico specializzato a configurarlo al posto tuo. Insomma, ognuno fa il suo mestiere no? :D

Si ma sta robba e' venduta e propagata ad uso domestico:/
inoltre nella seconda meta' degli anni novanta PGP veniva presentato su riviste alla Applicando come la panacea per le mail sicure...

Lascia perdere le riviste, raccontano un sacco di stupidaggini. Ricordo ancora tutte le cavolate che leggevo su Computer Magazine e PC Professionale intorno al '98 - '99 :)
Comunque mi è capitato di configurare alcuni router ad uso domestico, e tutte le opzioni che potenzialmente possono fare danni sono sempre raccolte in una sezione chiaramente marcata come "Advanced Configuration" o dicitura simile. Solitamente basta davvero collegare i cavi, installare il CD fornito e cliccare 3 tasti per avere la configurazione base. Poi se devi fare roba avanzata, appunto, o conosci le reti o ti fai aiutare da un tecnico. Non ci vedo molte alternative. Fare una configurazione con DMZ, NAT e QoS può risultare ostica anche usando delle interfacce guidate o "wizard", meglio evitare di fare danno :)
Titolo: Re:Sicurezza facile un tabu?
Inserito da: TheKaneB - 26 Aprile 2015, 12:52:12
La roba windows è fastidiosa se devi interfacciarla con Unix. Ma tra SMB ed LDAP si riesce senza troppi problemi a fare sharing sicuro tra un dominio Active Directory e macchine Unix (tipo OS X). Il problema è che in questo caso bisogna sapere cosa e come fare, insomma ci vuole un sistemista :)
Titolo: Re:Sicurezza facile un tabu?
Inserito da: cool coyote - 26 Aprile 2015, 13:29:10
Infatti se DEVO rubarti delle info un modo lo trovo: ti sniffo, ti craccko, ti sequestro il gatto per ricatto, non so, ma inutile paranoizzarsi, ma nenache dare le chiavi di casa al rpimo che passa sotto casa col tablet ^^;

Mi ha fatto venire in mente:

(http://imgs.xkcd.com/comics/security.png)

;D

genialeeeeeeeeee  ;D
Titolo: Re:Sicurezza facile un tabu?
Inserito da: saimon69 - 27 Aprile 2015, 02:13:16
Infatti se DEVO rubarti delle info un modo lo trovo: ti sniffo, ti craccko, ti sequestro il gatto per ricatto, non so, ma inutile paranoizzarsi, ma nenache dare le chiavi di casa al rpimo che passa sotto casa col tablet ^^;

Mi ha fatto venire in mente:

(http://imgs.xkcd.com/comics/security.png)

;D

Di recente a Philadelphia uno spaccino e' stato "convinto" da poliziotti corrotti a dar la password con una "affacciatina" dal diciottesimo piano (http://arstechnica.com/tech-policy/2015/04/22/drug-dealer-cops-leaned-me-over-18th-floor-balcony-to-get-my-password/), senza contare quei casi in cui basta una telefonata al customer service e dire che ci si e' scordati la password...