[<--] Indice [-->]

From koba@sikurezza.org
Date Wed, 22 Jun 2005 23:47:54 +0200
Subject [Hackmeeting] riguardo ai fatti del server di autistici [was: Re:ah, le foto, la privacy] 

On Wed, Jun 22, 2005 at 12:46:26PM +0200, blicero wrote:

> scusa, secondo te come fai ad accorgerti che ti hanno preso un certificato
> (quindi non hanno modificato alcunche' se non l'access time del file) e che lo
> stanno usando per intercettare le mail di qualcuno o di tutti a questo punto ?

Per altro e' probabile che, a  macchine spente, abbiano dumpato tutto il
disco direttamente (gia'  che c'erano..) questa e' una  cosa che sarebbe
opportuno verificare  e richiedere, tramite  i legali, visto che  non ce
n'era nessuna necessita'  ed e' un atto gravemente  lesivo della privacy
di tutti). 

Cosi' a naso direi che e' stato fatto (non so da quanto siano i dischi),
soprattutto se l'interruzione di servizio e' durata ore e perche' e' una
procedura abbastanza standard da manuale di forense.

In  ogni caso  poi potrebbero  averlo montato  ro (read-only)  o noatime
senza modificare neanche  l'access time (gia' un atime  modificato su un
singolo file vai a scovarlo...).

Spero che  il certificato sia  stato cambiato seduta stante,  per altro,
sempre che  non ci  siano controindicazioni da  parte dei  legali, oltre
alle opportuno verifiche  su eventuali (e che non  escluderei) troiani &
co.

Ogni  singolo  riavvio  del  server  non  motivato  dovrebbe  essere  un
campanellino d'allarme;  disattivare il boot  da qualsiasi cosa  che non
sia il  disco, mettere password  al bios ed avere  un case con  chiave e
meccanismo di segnalazione aperture/intrusioni e' anche una cosa che non
risolve il problema ma aiuta.

Anche rinnovare  i certificati ssl/ssh/etc  del server ogni mese  o piu'
(grossa rottura di palle per gli utenti  se non c'e' una CA trusted[*] a
firmare  questi  certificati, perche',  come  qui  tutti sanno  -ma  gli
utenti  certamente no-,  accettare un  certificato senza  verificarne il
fingerprint e' come  accettare una connessione al buio  e verificarsi un
fingerprint  diverso ogni  mese  (dopo esserselo  cercato  da una  fonte
affidabile, p. es. una mail firmata gpg dagli admin, etc.) e' un compito
da smanettoni, non da uno che vuole leggersi la posta in santa pace.

[*]  le  cui  chiavi  per  firmare  i  certificati  saranno  off-line  e
fisicamente in mani affidabili.

Una buona  cosa (mi riallaccio alla  mail di vecna) e'  la cifratura dei
dischi,  che non  risolve comunque  il problema  della sicurezza  fisica
della stazione ma puo' rendere un po' piu' difficile l'attacco.

Il problema e'  che, soprattutto con gli strumenti  integrati nel kernel
(dm-crypt, cryptoloop), si possono fare home e partizioni varie cifrate,
ma e' piu' difficile cifrare swap, tmp e root; l'attacco rimane comunque
abbastanza  semplice (di  default per  esempio i  certificati stanno  in
partizioni non  cifrate) o cmq  basta troianare la macchina  e catturare
password  delle  partizioni  quando  queste vengano  montate.

Per altro dm-crypt  e' cryptoloop sono da  2 a piu' volte  piu' lenti di
loop-aes  (che supporta  anche la  cifratura di  swap e  tmp con  chiavi
random).

Anche cifrando la root (p. es.  loop-aes), rimane un punto d'attacco; il
kernel deve per forza stare in una partizione non cifrata (o cd, floppy,
usb, etc;  non cambia molto)  insieme a qualche  modulo e i  binari tipo
mount, losetup e antani.

A quel punto e' cmq sufficiente modificare il kernel o uno dei binari (e
quindi rimane la problematica della  verifica della loro affidabilita' e
non  compromissione), oltre  alla problematica  di come  far partire  la
macchina (a quel  punto non ha ancora networking e  un cazzo di attivo);
alcune soluzioni potrebbero essere:

- intervento fisico umano (poco praticabile in un datacenter,
  soprattutto a centinaia di km di distanza) e sempre attaccabile con
  keylogger fisici (ma a questo si puo' fare un minimo di attenzione,
  per esempio con case chiusi a chiave e controllo antri-intrusione e
  controllando il cavo, o portandosi una tastiera ex-novo) o
  intercettazioni ambientali (telecamere) [e' cmq l'unica soluzione
  sensata]

- kvm (Keyboard - Video - Mouse,  quei cosi che normalmente si usano per
  attaccare piu' pici' agli stessi  tastiera, video e mouse) controllabile
  da remoto via ssh o simile (costano ma ci sono). Piu' difficilmente
  troianabili, in teoria, soprattutto senza l'aiuto del produttore;
  pero' poi sono fisicamente attaccati al cavo della tastiera,
  attaccabile fisicamente come sopra con un keylogger fisico da pochi euro.

- modem (deve avere un cavo telefonico attaccato, senza supporto
  specifico a livello di bios o roba simile, non e' gestito dal
  ramdisk out-of-the-box (vedi sotto), seriale dumpabile facilmente)

- un'immagine di  ramdisk piu' completa (e complessa,  rispetto a quella
  minimale creata con gli script di  loop-aes) che permetta di far partire
  la rete e  un set minimale di  servizi (che diventano a  loro volta piu'
  facilmente  compromissibili,  sostituendo  il ramdisk  nella  /boot  non
  cifrata)  con  cui loggarsi  da  remoto  in maniera  pseudo-sicura  alla
  stazione (ssh, etc.), cercare di capire se kernel, sshd stesso & co sono
  stati compromessi dopo  un reboot inaspettato ed  eventuamente montare i
  dischi cifrati e far ripartire la stazione

Una  volta partita  la stazione,  verrebbero  tirati su  i servizi  (che
quindi  normalmente  sarebbero  down  a  macchina  appena  riavviata)  &
co.  In caso  di  compromissione a  macchina accesa  (root  persa &  co)
ovviamente  anche il  discorso dei  dischi cifrati  va a  carte 48  (con
potenziale/probabile  compromissioni  delle  password dei  loop  cifrati
stessi).

Imho, i dischi cifrati sono comunque utili, ma non risolvono il problema
della sicurezza della locazione fisica.

baci,
Koba

_______________________________________________
Hackmeeting mailing list
Hackmeeting@inventati.org
https://inventati.org/mailman/listinfo/hackmeeting
[<--] Indice [-->]