Just A Little Bit Of Geekness

Nuovo trend per gli attacchi ssh

2008-12-02T16:25:00.001+01:00

Io me ne sono accorto solo oggi, non saprei dire se fino ad ora non mi avevano individuato o se si tratti di una nuova tipologia di attacco.

Fatto sta che fino ad ora gli attacchi per accedere ad un server ssh arrivavano da un'unica macchina quindi bastava usare un semplice programma come sshguard o simili per bloccare gli ip che facevano troppi tentativi errati in breve tempo.

Oggi ho notato che sono sottoposto ad un attacco brute force distribuito, mi arrivano tentativi di accesso da centinaia di ip diversi e ogni ip fa un solo tentativo ma analizzando il log salta subito all'occhio che i tentativi sono sequenziali mi ritrovo infatti una situazione del genere

Dec 2 15:30:13 odino sshd[28795]: Invalid user herbert from 121.33.199.37
Dec 2 15:32:46 odino sshd[28824]: Invalid user herbert from 121.200.64.152
Dec 2 15:37:44 odino sshd[28873]: Invalid user herbst from 62.61.141.93
Dec 2 15:40:07 odino sshd[28920]: Invalid user herbst from 81.149.101.27
Dec 2 15:42:39 odino sshd[28949]: Invalid user herbst from 64.213.54.106
Dec 2 15:45:08 odino sshd[28978]: Invalid user hercules from 201.218.231.142
Dec 2 15:50:11 odino sshd[29046]: Invalid user hercules from 202.71.216.126
Dec 2 15:52:55 odino sshd[29077]: Invalid user heremon from 165.228.181.30
Dec 2 15:55:11 odino sshd[29104]: Invalid user heremon from 221.4.104.101
Dec 2 15:57:42 odino sshd[29134]: Invalid user heremon from 217.96.70.66
Dec 2 16:02:52 odino sshd[29216]: Invalid user heriberto from 61.155.105.62
Dec 2 16:07:45 odino sshd[29265]: Invalid user herman from 98.119.110.139
Dec 2 16:10:08 odino sshd[29311]: Invalid user herman from 84.242.66.10
Dec 2 16:12:53 odino sshd[29342]: Invalid user herman from 200.118.119.48
Dec 2 16:15:14 odino sshd[29383]: Invalid user hermia from 60.191.111.234
Dec 2 16:17:47 odino sshd[29411]: Invalid user hermia from 88.62.90.211

Non sono preoccupato che possano accedere alla mia macchina, le mie policy di sicurezza mi fanno dormire sonni tranquilli davanti ad attacchi di questo tipo ma mi secca il riempimento dei log. Certo una whitelist di ip risolverebbe il problema ma mi trovo spesso a dover accedere da postazioni con ip dinamico.

Un'alternativa che inizio a prendere in considerazione è l'utilizzo di un port knocker ma non so quanto sia portabile come soluzione.

Voi avevate già notato questo fenomeno ? Avete già sottomano qualche soluzione ?

Identi.ca e il microblogging GPL

2008-08-06T17:13:00.002+02:00

In un modo o nell'altro tutti noi abbiamo avuto un qualche contatto con twitter o quantomeno abbiamo sentito o letto questo nome. Per quelli che non hanno mai approfondito (o sentito questo nome) una breve spiegazione: twitter è il servizio di microblogging più famoso dell'universo (e anche quello che collassa con maggior frequenza).
Permette di inviare un post (o tweet) lungo al massimo 140 caratteri e seguire i tweet dei propri amici.

Il limite dei 140 consente a twitter di veicolare questi messaggi come semplici sms rendendo possibile l'interazione anche via cellulare e decretandone un enorme successo, soprattutto in quei paesi in cui vigono tariffazioni agevolate per grandi volumi di sms (visto che si pagano anche gli sms ricevuti con i tweet dei propri amici).

Piccolo escursus: ma gli sms non hanno 160 caratteri ? si ma sono codificati a 7 bit mentre i pc lavorano a 8 bit quindi 160*7/8=140

Dopo questa lunga premessa ci si chiederà cosa diavolo c'entri nel titolo identi.ca (visto che il microblogging l'abbiamo capito).

Identi.ca è un servizio di microblogging che spicca tra la pletora di servizi simili per una caratteristica che io ritengo fondamentale: il sw su cui gira è rilasciato con licenza GPL.

Laconi.ca (il sw alla base di identi.ca e dei molti server simili che stanno sbocciando) è infatti completamente libero. Supponendo che molti di voi abbiano storto il naso alla mia citazione di molti server simili scorgendo all'orizzonte una frammentazione del servizio vorrei rincuorarvi.

Laconi.ca è nato con l'obiettivo del federalismo, non quello becero dei leghisti ma quello lungimirante tipo jabber, e quindi se io registro un account su un server posso anche seguire gli aggiornamenti di un amico registrato su un altro server e a breve sarà possibile anche spostare un account tra un server e l'altro così chi si è creato un account su identi.ca ma vuole personalizzare alcune cose può mettere su un proprio server e migrare l'utente con tutti i post e i collegamenti con gli amici sul nuovo server, in questo modo se anche identi.ca dovesse iniziare a mostrare i problemi da affaticamente tipici di twitter la gente potrebbe spostarsi (anche senza dover implementare il proprio server ma andando su altri server pubblici) senza il minimo inconveniente.

Al momento sono anche impegnato come validatore della traduzione italiana di laconi.ca quindi concluso un periodo di controllo su un server per le prove verrà messa ufficialmente a disposizione.

News offline, possibile esista un'alternativa già pronta ?

2008-07-15T00:00:00.001+02:00

Forse voi vi siete dimenticati del tormentone sulla gestione delle news offline ma io ho continuato a cercare soluzioni e metodi per ottenere il risultato agognato:

gestire da qualsiasi macchina un flusso di link con la possibilità di scaricare le pagine per leggersele offline

Recentemente ho scoperto un'estensione per Firefox che sembra fornire tutte le funzionalità che sto cercando allora ho deciso di provarla su strada per valutarne l'aderenza ai miei rigidi standard qualitativi per poter scoprire se è tutto oro quello che luccica.

Read it Later sembra proprio quello che cercavo, offre la creazione di una lista fifo, la possibilità di sync tra più macchine, la possibilità di lettura offline e molto altro.

Ancora non è perfetta ma l'autore ci sta lavorando, un esempio: per ora per poter leggere le news offline bisogna ricordarsi di cliccare sulla apposita istruzione e aspettare che l'estensione abbia finito di scaricarsi tutto ma è in arrivo una modifica che permetterà di avere le news offline in tempo reale, nel senso che il download della singola pagina inizierà appena verrà aggiunta alle notizie da leggere.

Ha anche altre funzioni interessanti come la possibilità di specificare diverse azioni dopo aver letto la pagina (es. aggiungere a del.icio.us o altri siti "social"), anche se al momento ho qualche problemino ...