Le FAQ di GARR CERT
Quali sono le più gravi debolezze di una VPN (Virtual Private Network)?
Tratto dalla rubrica Risponde Cecchini - GARR News 8 - Maggio 2013
Credo che praticamente tutti concordino sull’importanza, se non necessità, delle VPN: attenzione però ai loro punti deboli, per non cadere in errori da eccesso di confidenza.
Una VPN è un obiettivo molto appetitoso perché permette di accedere direttamente alla rete interna dell’organizzazione e se, come spesso accade, gli strumenti di intrusion detection sono esterni al server VPN, non sono in grado di verificarne il traffico cifrato. I principali tipi di VPN sono essenzialmente due: uno basato su IPSec e l’altro su SSL/TLS. Il primo opera al livello rete (livello 3 OSI), il secondo utilizza il TCP/IP; il primo richiede client specifici, il secondo un normale browser web.
Come al solito, l’anello più debole della catena è l’utente, il metodo con cui si autentica e come vengono conservate le credenziali di accesso. Chi si connette usa il proprio pc, che viene quasi sempre impiegato anche per altri usi: non è certo impossibile che ospiti un virus o un trojan, che così possono avere accesso alla rete interna dell’organizzazione. Passando al meccanismo di autenticazione, e questo ovviamente è un discorso molto più generale, se si continuano ad usare le classiche username e password, si è vulnerabili quanto meno, ma non solo, ad attacchi di phishing (COME SI PUÒ RICONOSCERE UNA EMAIL DI PHISING?). E ancora: dove e come sono conservate le credenziali di accesso? Qualche volta la configurazione del client permette lo scambio di dati simultaneo sia sulla rete interna privata, sia su quella pubblica (split tunnelling). Le prestazioni sono migliori, ma un attaccante dalla rete pubblica che riesca a compromettere la macchina otterrebbe un accesso immediato alla rete interna.
Per un’analisi dettagliata delle debolezze di una VPN IPSec, vi consoglio la lettura di questo documento [v.gd/DM1mEN]
Limitandosi adesso delle SSL VPN, uno dei loro punti di forza, che cioè non richiedono client specifici e quindi possono essere utilizzate anche da postazioni pubbliche, è anche la loro maggiore debolezza. Al rischio dei trojan, di cui ho già parlato, si aggiunge quello dei keylogger (COSA POSSO FARE PER NON CORRERE TROPPI RISCHI IN UN INTERNET CAFÉ?)e della mancata disconnessione: la sessione rimasta aperta può essere utilizzata da chi successivamente ha accesso fisico alla macchina. E ancora, se l’utente non verifica con attenzione le credenziali del server VPN a cui si sta collegando (e tutti sappiamo che spesso è così), sono possibili attacchi di tipo manin- the-middle, in cui cioè l’attaccante presenta un falso VPN gateway che gli permette di carpire le credenziali dell’utente o addirittura di intercettare tutto il suo traffico. Per un’analisi critica delle VPN SSL suggerisco l’articolo di Enders e Stewart: [v.gd/a44xju].
Cosa posso fare per proteggere il mio PC?
Tratto dalla rubrica Risponde Cecchini - GARR News 8 - Maggio 2013
Vi propongo un elenco di punti da verificare per essere ragionevolmente sicuri di aver fatto il possibile per proteggere il proprio pc (e anche voi stessi). Ovviamente, l’aver risposto sì a tutte le domande non vi esime dal tenere un comportamento prudente.
1. È stato installato un antivirus ed è configurato in modo da aggiornarsi almeno una volta al giorno?
Se la vostra organizzazione non vi fornisce un antivirus, tovate un consiglio su quelli gratuiti in un mio precedente articolo (QUAL È UN BUON ANTIVIRUS GRATUITO PER WINDOWS?). È opportuno eseguire periodicamente anche un programma anti-spyware, ad esempio Malwarebytes o SpyBot.
2. State utilizzando un personal firewall?
Quello fornito con Windows (da Vista in su) va benissimo. Ci sono comunque molte altre soluzioni, ad esempio Comodo o ZoneAlarm, entrambi eccellenti.
3. Il sistema è configurato in modo da installare automaticamente gli aggiornamenti?
Specialmente quelli di sicurezza. È importante anche mantenere aggiornati i programmi applicativi, in particolare Adobe Reader, Java e Adobe Flash. E comunque, meno programmi esterni installate, meglio è, anche dal punto di vista delle prestazioni.
4. Avete disabilitato autorun?
Secondo un rapporto Microsoft (un po’ datato è vero), autorun è responsabile di circa della metà delle infezioni di Windows. Per disabilitarlo potete usare Disable Autorun.
5. Usate password di buona qualità e differenti da sito a sito?
Un buon password manager è di grande aiuto: il mio consiglio è di usare LastPass o KeePass, entrambi multipiattaforma. Se poi è possibile, valutate l’impiego di un’autenticazione a due fattori: Google, Microsoft, Apple e Wordpress, tra i più grossi, già lo consentono.
6. Quando trasferite informazioni personali (ad esempio durante un login), verificate che l’indirizzo inizi con https e che il certificato presentato dal server sia valido?
valido? L’estensione per Firefox e Chrome HTTPS Everywhere può essere di aiuto. Ricordatevi anche del log out quando avete finito, in particolare se state usando una postazione pubblica. Sul vostro PC attivate sempre il blocco con password dopo un congruo periodo di inattività.
7. Siete consapevoli dei rischi di una connessione a una rete WiFi, particolarmente se aperta (ad es. rete civica, hotspot)?
In questo caso usate una VPN o almeno solo connessioni cifrate.
8. Avete verificato quali cartelle sono in condivisione?
Una cosa è se siete a casa vostra (state usando WPA2, vero?), un’altra se siete in un Internet café. Infine, se, nonostante tutte le vostre cure e precauzioni, vi siete beccati un virus, in un mio precedente articolo (SOSPETTO CHE IL MIO PC ABBIA PRESO UN VIRUS, COSA POSSO FARE PER DISINFETTARLO?) trovate qualche indicazione su cosa fare.
Tutti i prodotti che elenco sono gratuiti per uso personale, per altri scopi è necessario verificare caso per caso.
Quali sono le più gravi debolezze di una VPN (Virtual Private Network)?
Tratto dalla rubrica Risponde Cecchini - GARR News 8 - Maggio 2013
Credo che praticamente tutti concordino sull’importanza, se non necessità, delle VPN: attenzione però ai loro punti deboli, per non cadere in errori da eccesso di confidenza.
Una VPN è un obiettivo molto appetitoso perché permette di accedere direttamente alla rete interna dell’organizzazione e se, come spesso accade, gli strumenti di intrusion detection sono esterni al server VPN, non sono in grado di verificarne il traffico cifrato. I principali tipi di VPN sono essenzialmente due: uno basato su IPSec e l’altro su SSL/TLS. Il primo opera al livello rete (livello 3 OSI), il secondo utilizza il TCP/IP; il primo richiede client specifici, il secondo un normale browser web.
Come al solito, l’anello più debole della catena è l’utente, il metodo con cui si autentica e come vengono conservate le credenziali di accesso. Chi si connette usa il proprio pc, che viene quasi sempre impiegato anche per altri usi: non è certo impossibile che ospiti un virus o un trojan, che così possono avere accesso alla rete interna dell’organizzazione. Passando al meccanismo di autenticazione, e questo ovviamente è un discorso molto più generale, se si continuano ad usare le classiche username e password, si è vulnerabili quanto meno, ma non solo, ad attacchi di phishing (COME SI PUÒ RICONOSCERE UNA EMAIL DI PHISING?). E ancora: dove e come sono conservate le credenziali di accesso? Qualche volta la configurazione del client permette lo scambio di dati simultaneo sia sulla rete interna privata, sia su quella pubblica (split tunnelling). Le prestazioni sono migliori, ma un attaccante dalla rete pubblica che riesca a compromettere la macchina otterrebbe un accesso immediato alla rete interna.
Per un’analisi dettagliata delle debolezze di una VPN IPSec, vi consoglio la lettura di questo documento [v.gd/DM1mEN]
Limitandosi adesso delle SSL VPN, uno dei loro punti di forza, che cioè non richiedono client specifici e quindi possono essere utilizzate anche da postazioni pubbliche, è anche la loro maggiore debolezza. Al rischio dei trojan, di cui ho già parlato, si aggiunge quello dei keylogger (COSA POSSO FARE PER NON CORRERE TROPPI RISCHI IN UN INTERNET CAFÉ?)e della mancata disconnessione: la sessione rimasta aperta può essere utilizzata da chi successivamente ha accesso fisico alla macchina. E ancora, se l’utente non verifica con attenzione le credenziali del server VPN a cui si sta collegando (e tutti sappiamo che spesso è così), sono possibili attacchi di tipo manin- the-middle, in cui cioè l’attaccante presenta un falso VPN gateway che gli permette di carpire le credenziali dell’utente o addirittura di intercettare tutto il suo traffico. Per un’analisi critica delle VPN SSL suggerisco l’articolo di Enders e Stewart: [v.gd/a44xju].
