SIAMO GEEK

Autore: Kurgan

  • Sulla vulnerabilita` delle chiavi generate algoritmicamente

    Usare metodi algoritmici per creare le password e` sempre stato comodo per chi deve distribuire migliaia di apparati che poi devono essere gestiti in qualche modo, pero` si e` anche sempre rivelato un errore, nel momento in cui qualcuno ha scoperto e pubblicato l’algoritmo.

    Leggo oggi (la notizia e` di qualche giorno fa) che e` stato scoperto l’algoritmo usato per ricavare la chiave WPA degli HAG fastweb, generata partendo dal MAC address degli stessi. Se ne avete uno, vi consiglierei di cambiare la password WPA di default. Vedasi http://wifiresearchers.wordpress.com/2010/09/09/telsey-fastweb-full-disclosure/

    Altri casi simili che mi vengono in mente sono, per esempio: I router Alice (almeno le prime serie), I router alcatel One Touch Pro (e Home), e piu` o meno tutte le autoradio che hanno un “lock code” che si attiva se si stacca l’alimentazione elettrica. Per tutte queste password algoritmiche e` possibile trovare su internet la documentazione su come calcolarle partendo dal MAC address o dal numero di serie del dispositivo, rendendole di fatto inutili.

    Ma nella storia della sicurezza c’e` stato anche di peggio, come i vecchi router Telindus (usati da Telecom per le ADSL Smart una decina di anni fa) che davano a chiunque la chiedesse la propria password in chiaro, anche sulla interfaccia WAN. Quando, durante una analisi di sicurezza per un cliente, scoprii questo piccolo problemino, contattai la Telindus, questa (dopo avermi accusato di essere un criminale che voleva estorcere loro dei soldi) pubblico` una patch: la password veniva fornita lo stesso, ma “crittata” con un XOR. Bel tentativo. Per fortuna oggi quei router non sono piu` utilizzati.

  • Samba nuovo per Debian vecchio

    Oggi mi sono trovato nuovamente di fronte al problema di mettere dei client Windows 7 in un dominio con DC Samba. Il problema e` che occorre una versione recente di Samba (3.4.x o 3.5.x) e che spesso i server che ho presso i clienti hanno una versione vecchia di Debian, versione che quando e` possibile evito di aggiornare, seguendo la regola d’oro che dice “Quando va che tanto basta, non toccar che poi si guasta”.

    Se serve Samba 3.4.x per Debian Lenny, e` disponibile nel repository dei backports, ma se si deve installare su vecchie Debian Etch o addirittura Sarge, tutto potrebbe essere molto ma molto rognoso.

    Per fortuna mi e` venuto in aiuto un sito, http://enterprisesamba.org/, che mette a disposizione Samba (recente) bello pronto e pacchettizzato (a 32 e 64 bit) per diverse distribuzioni Linux, fra le quali Debian, e supporta versioni decisamente vecchie (ad oggi, Lenny, Etch e Sarge). Il sito manca purtroppo di chiarezza su quali siano esattamente le differenze fra le loro scelte di patch (o assenza di patch) e di parametri di compilazione fra la versione “Debian ufficiale” e la loro, pero` messo alle strette ho deciso di dare loro fiducia, e direi che l’installazione di Samba 3.4.x dal loro sito su una Debian Etch abbia avuto esito assolutamente positivo. Occorre solo fare un minimo di attenzione alle dipendenze quando si aggiorna (di fatto si sostiuisce) la versione Debian originale di Samba con questa.

    Domani finiro` di mettere le macchine client nel dominio, e vedremo se mi pentiro` di aver detto che funziona con troppo anticipo e troppo entusiasmo. Se qualcuno volesse seguire le mie orme, vi ricordo che oltre alla versione giusta di Samba, occorre anche applicare una piccola patch ai client Win7, come scritto qui: http://wiki.samba.org/index.php/Windows7

  • Firewall quasi-embedded con Alix Board e Debian Linux

    Dopo aver installato una buona quantita` di firewall per piccole esigenze usando OpenWRT, mi sono stancato della scarsita` dell’ hardware (Linksys WRT54GL) e mi sono dedicato alla ricerca di una piattaforma embedded o quasi che fosse piu` potente ma non costasse un rene.

    Dopo diverse peripezie, ho trovato (mi hanno consigliato) le Alix Board. Si tratta di schede quasi-embedded, nel senso che prevedono anche funzionalita` da “vero computer”, tipo USB, interfaccia IDE, VGA (su alcuni modelli). Ho scelto il modello 2D13, che fornisce 256 MB di RAM (fissa), una porta ide, una porta per schede CompactFlash, due USB, una seriale (e una seconda on-board senza connettore esterno), 3 ethernet 10/100, uno zoccolo per schede Mini-PCI e una CPU AMD Geode. Niente tastiera e video. Su questa scheda e` possibile (con qualche customizzazione) installare una Debian con kernel per 486. L’installazione e` un po` funambolica, ma se vi interessa (scrivetemi nei commenti) posso fornire un link a una immagine gia` pronta da caricare con un semplice “dd” sulla vostra scheda CompactFlash.

    Il sistema e` sufficientemente potente da poter installare una quantita` decente di applicazioni, su una SD da 1 GB ci sta tranqillamente una installazione anche abbastanza complessa. Chiaramente i limiti sono principalmente sulla lentezza della CPU (non aspettiamoci di fare passare traffico a 100 Mbit, pero` a 50 si arriva) e nella lentezza spaventosa della CF. Quest’ultima probabilmente sarebbe decisamente migliorabile se avessi installato una CF piu` costosa e performante. Occorre anche ricordare che la CF, come tutti i dispositivi flash memory, ha una vita limitata dal numero di scritture, quindi non pensate di installare un server FTP dove i files cambiano spesso, un proxy con caching, o un database. Sarebbe lento e massacrerebbe la CF molto in fretta.

    Se pero` vi serve un firewall, concentratore VPN (per pochi utenti), proxy web senza cache (per autenticare o per logging), o un centralino Asterisk puramente voip (senza schede per linee telefoniche PSTN o ISDN) questa potrebbe essere la vostra soluzione. Considerando poi che ho trovato proprio oggi delle schede Mini-PCI per 1, 2 o 4 canali ISDN BRI (marca OpenVox) ecco che (posto che la CPU ce la faccia) potremmo anche farci un centralino con 4 ISDN BRI.

    Il consumo elettrico ridicolo (meno di 15 W) e il costo ridotto (circa 140 euro con alimentatore, scatola, e scheda CF economica da 4 GB) rendono questa soluzione interessante anche in una configurazione ridondante active-standby, anche per clienti con budget molto limitati.