Anche Linux puo' essere insicuro
Home Page | Comments | Articles | Faq | Documents | Search | Archive | Tales from the Machine Room | Contribute | Login/Register

Anche Linux può essere insicuro...

Sopratutto se ci potete mettere le mani sopra...

Molte persone sono erroneamente convinte che, con una password molto complessa, il sistema sia al sicuro dalle grinfie dei vari crackers.
Purtroppo questo è vero solo in parte...

Certo, una buona password, al posto di un "pippo", "root", "administrator", "segreta" (si, ho visto anche questo!) è una buona cosa.
Purtroppo, se è possibile avere un accesso fisico alla macchina c'è poco da fare.
Come disse il nostro buon Davide ci vogliono 30 secondi per impostare una nuova password, avendo la macchina (fisicamente) a disposizione.
E la cosa preoccupante è che non è nemmeno tanto difficile e non servono programmi particolari.

Ogni tanto, poi, capita il caso in cui farlo è obbligatorio, per esempio se il vecchio SysAdmin è passato ad altri lidi o all'altro mondo e nessuno conosce la password.

ATTENZIONE!! Mi preme far notare che questo articolo non vuole essere in alcun modo un incoraggiamento alla pirateria, anzi!
È però utile conoscere i vari trucchi dei Crackers, quantomeno per potersi difendere accuratamente...

Come si fa?

Un buon HowTo l'ho trovato con Google in pochissimo tempo e ve lo propongo tradotto e con qualche commento in più.

Per prima cosa occorre riavviare il sistema in Single Mode. Questo si può fare dando un CTRL-ALT-DEL, oppure nei casi più estremi semplicemente staccando la spina.
A questo punto, durante la fase di boot occorre dire al Bootmanager di caricare il sistema in single mode.
Con GRUB questo si ottiene modificando la configurazione (tasto e) in corso, scegliendo poi la voce Kernel... e modificando (nuovamente tasto e) la voce, aggiungendo init=/bin/bash alla fine della riga.
A questo punto con il tasto b si fa proseguire il boot.
Con LILO basta aggiungere init=/bin/bash al nome della configurazione da caricare (per esempio linux init=/bin/bash).

A questo punto viene caricato il sistema di base (appunto single mode, normalmente usato per le riparazioni d'emergenza), senza chiedere nessuna passsword, pur dando a disposizione i privilegi amministrativi.

Da qui in poi la strada è breve... Per prima cosa occorre rimontare la partizione di root in ReadWrite-mode, altrimenti non si potrà scrivere su disco la nuova password.
Per far questo basta dare:

mount -o remount,rw /

A questo punto basta usare l'apposito comando passwd e impostare una nuova password, oppure, nel caso in cui /usr/bin sia su una partizione separata e non si voglia montarla, editando il file /etc/passwd e cancellando la password dalla riga. In pratica, modificando la riga da:

root:x:0:0:root:/root:/bin/bash

a

root::0:0:root:/root:/bin/bash

(Nota: nel caso in cui non si usino le Shadow-Passwords, al posto della "x", si vedrà l'Hash della password.
Le operazioni da fare, però sono identiche.)

A questo punto è necessario rimontare la partizione di root in ReadOnly:

mount -o remount,ro /

e riavviare il sistema.

Come si può vedere le operazioni da svolgere sono tutto sommato semplici e veloci (mi è capitato di farlo solo su macchine virtuali che uso come tests. In 45 secondi al massimo il sistema con la password modificata veniva fatto partire, con enorme stupore dei tapini che credevano di avere un sistema sicurissimo a disposizione e mi guardavano con gli occhi alla Wile Coyote intanto che scardinavo senza problemi la loro sicurissima password).

Come ci si può difendere?

La cosa importante, a questo punto, è sapere come difendersi.
La cosa piu' ovvia è di chiudere a chiave il Server in un armadio e fare in modo che il minor numero possibile di persone abbia la chiave.
A questo punto, visto che un armadio si può tranquillamente scassinare o rompere usando il martello che si trova normalmente sulla scrivania del SysAdmin, occorrerebbe mettere l'armadio (con il/i Server(s) dentro, ovviamente) in una stanza ad accesso limitato, anche qui con il minor numero possibile di persone in possesso della chiave.
L'ideale, poi, se fosse possibile, è di controllare e protocollare gli accessi alla stanza, per esempio, con sistemi di videosorveglianza all'ingresso e sostituendo la chiave con un Badge in modo che all'apertura della porta corrisponda una riga in un qualche Log e, magari, l'invio di un'E-Mail o di un SMS a chi di dovere.

In più, criptare i dischi sui quali sono contenute le informazioni importanti contribuisce a tenere segrete queste informazioni anche nel malaugurato caso in cui il Server venga rubato e il ladro abbia letto quest'articolo...

Comments

Comments are added when and more important if I have the time to review them and after removing Spam, Crap, Phishing and the like. So don't hold your breath. And if your comment doesn't appear, is probably becuase it wasn't worth it.

24 messages post new
Enrico BassettiPiccola precisazione By Enrico Bassetti - posted 01/03/2009 15:00 - reply
Nel punto "[...] rimontare la partizione di root in ReadOnly [...]" il comando è sbagliato, la rimonta in rw

Inoltre, volevo aggiungere qualche riga riguardo ai boot loader: alcuni (LILO/Grub sicuro, altri non so) prevedono anche una password per bloccare le modifiche dei parametri del kernel di avvio.

Ovviamente, CD, penna usb, floppy alla mano, si fa partire con un altro boot loader o con un altro sistema (anche minimale)... Debian + molte utility + compilatore + fluxbox = 650MB o poco di più. Oramai le penne usb sono da gigabyte di dati

Enrico

--
Enrico Bassetti

Luca Bertoncello-AT- Enrico Bassetti By Luca Bertoncello - posted 01/03/2009 16:26 - reply

> Nel punto "[...] rimontare la partizione di root in ReadOnly [...]" il comando è sbagliato, la rimonta in rw

Hai ragione! Copia/incolla dal punto sbagliato...
Corretto!

> Inoltre, volevo aggiungere qualche riga riguardo ai boot loader: alcuni (LILO/Grub sicuro, altri non so) prevedono anche una password per bloccare le modifiche dei parametri del kernel di avvio.

Vero anche quello, come anche la possibilita' di non visualizzare nessun menu, ma non e' che sia una gran protezione...

> Ovviamente, CD, penna usb, floppy alla mano, si fa partire con un altro boot loader o con un altro sistema (anche minimale)... Debian + molte utility + compilatore + fluxbox = 650MB o poco di più. Oramai le penne usb sono da gigabyte di dati

Appunto...

--
Luca Bertoncello

Cobra78-AT- Enrico Bassetti By Cobra78 - posted 02/03/2009 10:44 - reply

Se è per questo si può bloccare il bios con una password, impedire tanto l'avvio quanto la modifica dei parametri, ma poi se il cracker in questione ha a disposizione fisicamente la macchina può resettare il bios, e siamo punto e a capo.

> Nel punto "[...] rimontare la partizione di root in ReadOnly [...]" il comando è sbagliato, la rimonta in rw
>
> Inoltre, volevo aggiungere qualche riga riguardo ai boot loader: alcuni (LILO/Grub sicuro, altri non so) prevedono anche una password per bloccare le modifiche dei parametri del kernel di avvio.
>
> Ovviamente, CD, penna usb, floppy alla mano, si fa partire con un altro boot loader o con un altro sistema (anche minimale)... Debian + molte utility + compilatore + fluxbox = 650MB o poco di più. Oramai le penne usb sono da gigabyte di dati
>
> Enrico
>
> --
> Enrico Bassetti

--
Prendi la vita al minuto, non all'ingrosso.
Sogna come se dovessi vivere per sempre; vivi come se dovessi morire
oggi.

denishe he sono anni By denis - posted 02/03/2009 07:56 - reply

che lo uso, ricordo con soddisfazione le facce dei vari clienti quando gli aprivo in root i sistemi di cui avevano (sic) perso la password di root.

--
GCS/CM d- s:+: a--- C++ UL+++S E--- W+(-) N o+ w-- O? M- PS+ PE Y+ PGP t+(++) 5? X- R* tv- b++ DI+ D++++ G+ e h! r++ y++

KurganPiccoli hacker crescono By Kurgan - posted 02/03/2009 11:10 - reply

Il problema dell'accesso fisico l'abbiamo avuto nelle aule di informatica delle scuole. C'e` sempre almeno uno studente che sa quello che fa, e che ama fare casini. Al momento la soluzione che sembra funzionare e`:

- password al bios per impedire il boot da qualcosa che non sia l'hard disk
- password a GRUB
- lucchetto sul case del PC

Per adesso ha retto, ma per quanto ancora?

--
Il massimo danno con il minimo sforzo

Luca Bertoncello-AT- Kurgan By Luca Bertoncello - posted 02/03/2009 11:18 - reply

> Il problema dell'accesso fisico l'abbiamo avuto nelle aule di informatica delle scuole. C'e` sempre almeno uno studente che sa quello che fa, e che ama fare casini. Al momento la soluzione che sembra funzionare e`:
>
> - password al bios per impedire il boot da qualcosa che non sia l'hard disk
> - password a GRUB
> - lucchetto sul case del PC
>
> Per adesso ha retto, ma per quanto ancora?

Fino a quando lo studente non arriva armato di tenaglie e martello e ti scassa il lucchetto...
Da li in poi son circa 5 minuti...

Ciao
Luca

--
Luca Bertoncello

Kurgan-AT- Luca Bertoncello By Kurgan - posted 02/03/2009 21:06 - reply



> Fino a quando lo studente non arriva armato di tenaglie e martello e ti scassa il lucchetto...

Confido che la scuola non ci accusi di aver fatto un sistema insicuro, se trovano un PC che e` stato aperto con l'apriscatole. Se vogliono, pero`, possiamo sempre affogarli nel cemento armato.

--
Il massimo danno con il minimo sforzo

Luca Bertoncello-AT- Kurgan By Luca Bertoncello - posted 02/03/2009 21:26 - reply

> Confido che la scuola non ci accusi di aver fatto un sistema insicuro, se trovano un PC che e` stato aperto con l'apriscatole. Se vogliono, pero`, possiamo sempre affogarli nel cemento armato.

Com'e' che diceva quel tipo?

"L'unico computer sicuro e' quello spento, senza dischi, chiuso a chiave in un armadio, a sua volta chiuso in uno stanzino senza finestre, 150 metri sottoterra.
Ma non ne sono completamente sicuro"

Ciao
Luca

--
Luca Bertoncello

anonymous-AT- Luca Bertoncello By anonymous - posted 09/03/2009 09:02 - reply

> > Per adesso ha retto, ma per quanto ancora?
>
> Fino a quando lo studente non arriva armato di tenaglie e martello e ti scassa il lucchetto...
> Da li in poi son circa 5 minuti...

Oppure, fino a quando lo Studente Smanettone non si scarica da Internet "The MIT Guide to Lock Picking" di tale Ted The Tool...

--
anonymous

Motosaurosubject By Motosauro - posted 04/03/2009 12:05 - reply

Quella di mettere init=/bin/bash non la sapevo: la mia tattica finora è sempre stata: boot di systemrescuecd -> chroot -> passwd
Ottima cosa da sapere però. Grazie :-\)

--
Motosauro

Eugenio Dorigatisubject By Eugenio Dorigati - posted 05/03/2009 21:47 - reply

Al corso che frequento la tecnica del init=/bin/bash l'avevamo sperimentata sul portatile dato in dotazione ad un nostro compagnio che non c'era ^^
Oltre a questo, volevo metterci un po di mio dicendo che sul Os X si può entrare in single user mode senza password di root semplicemente permendo mela + s durante il boot. Poi le opzioni per rimontare in scrittura il disco sono scritte a schermo (loro mettono prima un check del disco con "/sbin/fsck -fy" e poi "/sbin/mount -uw /", anche se ho provato e va bene anche il "mount -o remount ,rw /").
Poi lanci SystemStarter che tira su la rete e netinfo e poi si può dire che hai fatto tutto quello che puoi fare e la macchina è completamente ai tuoi comandi.

--
"Unix IS user friendly. It's just selective about who its friend are"

mk66Interessante By mk66 - posted 09/03/2009 14:14 - reply

Grazie per la spiegazione utile e istruttiva: davvero molto interessante per capire meglio la sicurezza del proprio sistema.

--
mk66

ManuelSu Mac OS X... By Manuel - posted 03/04/2009 15:40 - reply

aggiungo una nota di sicurezza di OSX.
da OSX 10.4 in poi esiste la funzione FileVault, ovvero la criptatura delle cartelle utente, integrata nel sistema.
E' abbastanza affidabile (AES 128 bit) a patto di usare una password complessa, visto che ci sono dei crack basati su brute forcing per FileVault.
In Leopard (10.5) Filevault è più affidabile per via della nuova struttura adottata (sparsebundle al posto di sparseimage).
Byez!

--
::: meksONE ::: a Magic Eight Ball user :::

Anonymous cowardper windows By Anonymous coward - posted 05/07/2009 12:34 - reply

Il sistema più semplice per far saltare una password su Windows è EBCD.
Basta fare il boot da questo cd e cambiare la password sarà fin troppo semplice

--
Anonymous coward

Davide Bianchi@ Anonymous coward By Davide Bianchi - posted 05/07/2009 12:42 - reply

> Basta fare il boot da questo cd e cambiare la password sarà fin troppo semplice

Se hai accesso fisico alla macchina non esiste un os "sicuro".

--
Davide Bianchi

Riccardo Cagnasso@ Davide Bianchi By Riccardo Cagnasso - posted 23/07/2009 22:15 - reply

> Se hai accesso fisico alla macchina non esiste un os "sicuro".

Beh, puoi sempre crittografare tutto (tranne quel poco che ti serve per montare la roba crittografata).

--
Riccardo Cagnasso

PerisherSicurezza? By Perisher - posted 13/08/2009 10:33 - reply

Non esistono sistemi/OS sicuri.
Semplicemente, le contromisure intraprese devono essere commisurate alla minaccia. E se uno apre la scatola di vermi della sicurezza fisica, non si ferma piu'. Occorre molto realismo per valutare correttamente le minacce, con una sana dose di paranoia, ma senza farsi travolgere.

http://xkcd.com/538/

--
Perisher

Luca Bertoncello@ Perisher By Luca Bertoncello - posted 14/08/2009 08:33 - reply

> Non esistono sistemi/OS sicuri.

Diciamo che esistono OS piu' o meno sicuri... Certo, se hai la possibilita' di mettere le mani sulla macchina, la sicurezza diventa quasi un'utopia...

> Semplicemente, le contromisure intraprese devono essere commisurate alla minaccia. E se uno apre la scatola di vermi della sicurezza fisica, non si ferma piu'. Occorre molto realismo per valutare correttamente le minacce, con una sana dose di paranoia, ma senza farsi travolgere.

Potrei essere quasi d'accordo... Se parliamo del PC di casa capisco che la paranoia e' un po' troppa.
Ma se parliamo del Server principale della ditta, con tutti i dati di tutti i clienti, delle fatture e dei lavori, allora direi che spendere un paio d'ore per prendere delle contromisure nel caso in cui qualcuno faccia il cattivo, non e' tempo sprecato!

Ciao

--
Luca Bertoncello

Perisher@ Luca Bertoncello By Perisher - posted 14/08/2009 11:24 - reply

> > Non esistono sistemi/OS sicuri.
>
> Diciamo che esistono OS piu' o meno sicuri... Certo, se hai la possibilita' di mettere le mani sulla macchina, la sicurezza diventa quasi un'utopia...
>
> > Semplicemente, le contromisure intraprese devono essere commisurate alla minaccia. E se uno apre la scatola di vermi della sicurezza fisica, non si ferma piu'. Occorre molto realismo per valutare correttamente le minacce, con una sana dose di paranoia, ma senza farsi travolgere.
>
> Potrei essere quasi d'accordo... Se parliamo del PC di casa capisco che la paranoia e' un po' troppa.
> Ma se parliamo del Server principale della ditta, con tutti i dati di tutti i clienti, delle fatture e dei lavori, allora direi che spendere un paio d'ore per prendere delle contromisure nel caso in cui qualcuno faccia il cattivo, non e' tempo sprecato!

Sono perfettamente d'accordo. E proprio per questo parlavo di commisurare le contromisure alla minaccia. Per l'utente privato, il furto del computer e' innanzitutto un danno monetario (contromisura: assicurazione). Per un professionista dell'IT, spesso LA PERDITA dei dati presenti a bordo e' la maggiore preoccupazione (contromisura: backup frequenti). Chi deve davvero preoccuparsi e' chi ritiene inaccettabile la divulgazione dei dati presenti sulla macchina. Ed anche qui distinguerei due categorie: chi, come i medici, deve proteggersi da eventi accidentali che portino alla divulgazione di dati riservati (contromisura: filesystem cifrato) e chi, invece, deve preoccuparsi di essere oggetto di azioni deliberate. Ovvero chi pensa che ci sia qualcuno che vuole QUEL portatile, di QUELLA specifica persona, per ottenere informazioni estremamente specifiche. E qui le contromisure diventano MOLTO piu' complesse, a volte ben poco informatiche, ma comunque da integrare nelle policy IT.

--
Perisher

bortemalucchetto? By bortema - posted 15/02/2010 22:29 - reply

- password al bios per impedire il boot da qualcosa che non sia l'hard disk
- password a GRUB
- lucchetto sul case del PC

cosa c'entra il lucchetto??se voglio cambiare password basta spegnere il pc con un tasto fuori dal case!

--
bortema

Luca Bertoncello@ bortema By Luca Bertoncello - posted 16/02/2010 07:31 - reply

> - password al bios per impedire il boot da qualcosa che non sia l'hard disk
> - password a GRUB
> - lucchetto sul case del PC
>
> cosa c'entra il lucchetto??se voglio cambiare password basta spegnere il pc con un tasto fuori dal case!

E poi prendi il martello e le tenaglie e il lucchetto salta...
Se hai la macchina fisicamente a disposizione non c'e' santo che tenga!

Ciao

--
Luca Bertoncello

Andrea Occhi@ bortema By Andrea Occhi - posted 03/11/2010 09:41 - reply

- password al bios per impedire il boot da qualcosa che non sia l'hard disk - password a GRUB - lucchetto sul case del PC cosa c'entra il lucchetto??se voglio cambiare password basta spegnere il pc con un tasto fuori dal case!

Se hai la password al bios, per bypassarla (per esempio per fare il boot da cd o chiavetta) devi togliere la batteria che alimenta il bios, e aspettare che la cmos si cancelli (e si cancelli la password del bios).

Da lì sono 5 minuti (cit.)

 

ciao

Andrea

--
Andrea Occhi

Anonymous bastard By Anonymous bastard - posted 21/01/2013 00:38 - reply

Sfida! sfida! Sfida!
Come si apre un OSX 10.8 con filevault attivato? Senza bruteforce, ovvio!
La password del firmware è aggirabile, ma adesso tutto il disco viene criptato... Per me non si riesce, ma, ovviamente, sto sbagliando, o siamo arrivati al 'non craccabile con una guida'?

--
Anonymous bastard

Luca Bertoncello@ Anonymous bastard By Luca Bertoncello - posted 21/01/2013 08:03 - reply

Sfida! sfida! Sfida!
Come si apre un OSX 10.8 con filevault attivato? Senza bruteforce, ovvio!
La password del firmware è aggirabile, ma adesso tutto il disco viene criptato... Per me non si riesce, ma, ovviamente, sto sbagliando, o siamo arrivati al 'non craccabile con una guida'?


E io che ne so? Mai usato OSX in vita mia (e, sinceramente, manco ci tengo! Apple secondo me e' riuscita a prendere qualcosa di buono [FreeBSD] e a violentarlo fino a farlo diventare irriconoscibile).

--
Luca Bertoncello

24 messages post new

Previous Next

The Author

Luca Bertoncello ha lavorato come responsabile del MailCluster per un Internet Service Provider in Dresden (Germania), specializzandosi nella configurazione di Exim, SpamAssassin e Clam e nella gestione di Clusters basati su Heartbeat e DRBD.
Attualmente lavora per una ditta che gestisce campagne pubblicitarie su Internet (no, non e' uno spammer :D) come programmatore e sistemista.
E' completamente paranoico... :)
Maggiori informazioni sul suo sito: http://www.lucabert.de/

Contribute

Do you want to contribute? read how.  
 

Copyright

This site is made by me with blood, sweat and gunpowder, if you want to republish or redistribute any part of it, please drop me (or the author of the article if is not me) a mail.

This site was composed with VIM, now is composed with VIM and the (in)famous CMS FdT.

This site isn't optimized for vision with any specific browser, nor it requires special fonts or resolution.
You're free to see it as you wish.

Web Interoperability Pleadge Support This Project
Powered By Gort