[RELug] ssh bruteforce e prevenzione

[Mirco Bergamini]

> Ho già letto più volte di questi "attacchi" ma non riesco a capire che
> rischio corre un utente "normale" che ha un pc Ubuntu in una rete
> casalinga.

A meno che uno non apra manualmente le porte sul router affinche` il suo
computer domestico sia visibile da internet, il rischio e` pseudo-nullo.
Cercando di spiegarmi meglio, se tu ti connetti a internet con un 
router,da internet sara` visibile (solo) il router.
Per poter rendere pubblica una porta del tuo server su internet, sul
router devi impostare alcune regole che servono appunto a dire "i
pacchetti che provengono da internet attraverso la porta xyz devono 
essere passati tal-quali al server che li sta aspettando".
Nel caso invece che tu usi un modem (che sia 56k ma anche un modem adsl)
il modem non ha un indirizzo IP personale, ma e` solo un'appendice del 
tuo computer, e quindi quando uno accede da internet all'indirizzo con 
il quale sei connesso ad internet di fatto accede direttamente al tuo
computer.
Non so se sono riuscito a spiegare questo.....
Provo a dirlo in modo diverso.... un modem adsl (o 56k) non ha un
indirizzo proprio, e viene gestito con dei software che stanno sul
computer.
Esistono alcuni "modem" ethernet che hanno un indirizzo IP che serve 
solo per le configurazioni, ma quando si connettono "cedono" via dhcp
l'indirizzo IP pubblico al computer sottostante e quindi comunque da
"fuori" uno "vede" il pc interno.

> Potreste spiegarlo in parole povere.
> I server che stiamo approntando per l'Ltsp correranno rischi del genere .

Non necessariamente.
Dipende
1- se sul router non viene aperta nessuna porta da fuori verso dentro, i
rischi sono molto limitati (occorre poi che anche il router sia un 
minimo sicuro: c'erano in giro tempo fa dei router che presentavano la 
pagina di configurazione anche su internet, e di conseguenza chiunque 
poteva, conoscendo la password, andare a modificare le varie 
impostazioni, aprire o chiudere porte, etc)
2- se sul router vengono aperte porte per esigenze particolari (ad 
esempio perche` sul server viene installato ssh per poterlo controllare 
da remoto, o un server web per pubblicare le pagine della scuola, o 
altro), poi bisogna avere cura che un eventuale visitatore non riesca ad 
ottenere piu`potere di quello che voi decidete di concedergli: se aprite 
la porta 80 (http) perche` mettete su un server web, occorre avere cura 
nel configurare il server web in modo tale che uno non possa manomettere 
il sito usando (tanto per dirne uno) un baco del CMS di turno; se aprite 
la porta 22 (ssh) occorre stare molto piu` attenti in quanto se uno 
entra via ssh e` come se fosse fisicamente davanti al computer, e ogni 
tanto saltano fuori alcuni bachi di "privliege escalation" e/o rootkit 
che in sostanza, una volta che uno e` gia` "dentro" al tuo computer, 
sfruttando problemi noti che magari uno si e` dimenticato di eliminare 
aggiornando il sistema, puo` diventare root, e a quel punto avere in 
mano il tuo computer.
Per stare un po` tranquilli, se uno ha una macchina visibile 
pubblicamente su internet deve tenere d'occhio tutti gli aggiornamenti 
relativi alla sicurezza, e farli quanto prima, e togliere dalla macchina 
e dalla visibilita` tutti i servizi che non servono (se sul mio server 
ho installato cups per la gestione delle stampanti, lo impostero` per
accettare richieste SOLO dalla mia rete locale e non da internet).
Nota comunque che con un computer con windows queste cose si possono
ottenere in modo molto piu` semplice che non con linux, in quanto basta 
un virus ben congegnato, e uno ha gia` l'accesso completo al tuo pc.
E  infine, una regola sempre valida, e` che un computer e` veramente
sicuro solo quando e` spento.

> Le conseguenze di questi attacchi sono furto di info o danneggiamento di
> dati.?

Entrambe le cose con l'aggravante che hai una macchina connessa ad
internet in balia del malintenzionato di turno.
Le cose che uno puo` fare una volta che ha accesso in ssh ad una 
macchina connessa d internet sono innumerevoli, e se poi uno riesce 
anche ad ottenere i privilegi di root sulla macchina che ha "bucato" 
puo` fare quasi qualunque cosa.
Tanto per dire alcune cose illegali che uno puo` fare se riesce ad entrare
nella tua macchina:
invio di spam in giro per tutto il mondo
pubblicazione di materiale illegale
utilizzo della tua macchina come tramite per inviare spam (da un'altra
macchina)danneggiamento di un'altra macchina, facendo sembrare che il 
colpevole sia tu furto di dati tuoi (ad esempio furto di identita`)
cancellazione di dati tuoi e tante altre cose ancora.
Tieni presente che a quasi tutti gli applicativi grafici esiste un
corrispondente testuale, e quindi in linea di massima quello che puoi 
fare graficamente lo puoi fare anche con un accesso via ssh.

Con questo non ti voglio spaventare, quanto piuttosto risvegliare la tua
curiosita`, perche` come ti ho scritto, i mezzi per cercare di evitare
spiacevoli sorprese ci sono, e se tutti seguissimo la regola del pc sicuro
solo se spento, non esisterebbero i pc ne` tantomeno internet.

Ringraziandoti per l'esauriente risposta, direi  che hai reso 
perfettamente l'idea di quanto succede durante la connessione, sia a me 
che a tutta il popolo della lista .

Mi chiedevo inoltre come avesse fatto il liga a contare questi attacchi
Ovvero , dal momento che io debba predisporre un accesso da remoto su un 
server ltsp , quali sono i servizi che bisogna studiarsi per avere 
eventualmente in una "macchina di prova" la dimostrazione che il tutto 
funziona in modo invulnerabile.
Questo per "aprire la porta" solo quando si è sicuri di aver predisposto 
tutte le protezioni.

Ciao.
-Mirco