Uno scanner a ogni porta

Ho fatto un po’ di lavoretti sulla rete di casa. Si sa che il calzolaio gira con le scarpe rotte. Ho eliminato un po’ di server, virtualizzato quello che potevo e cambiato il vetusto firewall Linux con un appliance commerciale.
Lo so che molti non apprezzeranno, ma il vecchio DL180 che fungeva da firewall faceva un rumore davvero troppo elevato e in più consumava molta corrente. Inoltre mi hanno regalato un appliance nuovo di zecca, che faccio, lo butto?
Alla fine del tutto mi sono ritrovato con una rete migliore, un maggiore comfort acustico e un contatore Enel che accumula chilowattora con un ritmo più lento.
Contestualmente abbiamo messo in piedi un nuovo datacenter in ufficio e ho pensato di aprire una VPN tra casa e datacenter per avere sempre sott’occhio la situazione. Dato che i due firewall sono di marca diversa, l’unica soluzione era IPSec, da sempre lingua franca per casi del genere.
Odio IPSec. è un incubo da configurare, mal sopporta il NAT e ogni volta ci butto un paio d’ore tra configurazione e debugging. Ovviamente c’è stato un problema in Phase 1 (l’instaurazione di una VPN IPSec avviene in due fasi distinte dette, appunto, Phase 1 e Phase 2).
Dato che, come spesso accade, i log degli apparati sono più criptici delle quartine di Nostradamus, ho messo sotto sniffing la connessione con Wireshark (uno dei migliori network dissector esistenti). Sono rimasto sconcertato, non per il problema su IPSec (come al solito causato da un settaggio banale) ma dalla quantità di rumore presente, ovvero di pacchetti diretti verso le mie macchine da IP sparsi in tutto il mondo.
Eseguita un po’ di analisi, ne ho tratto le seguenti riflessioni:

• Scanning: che tutte le macchine su Internet siano costantemente scansionate è cosa nota. Questo è anche una delle ragioni per cui la regola non ho nulla da nascondere, a chi posso interessare è da sempre fallace. Hai un computer (quindi potenza di calcolo e storage), hai un IP, sei quindi interessante e a rischio anche se sei un signor nessuno. Non hai alcuna scusa per non proteggerti.
• Servizi: anni fa gli scanner cercavano primariamente servizi di login remoto sulle macchine Unix (telnet, ssh, rsh) o server ftp. Poi con le macchine Windows si è iniziato a cercare le porte SMB, così da trovare macchine che gentilmente condividevano i propri dischi con il mondo. Poi con il web gli scanner si sono fatti più intelligenti e quindi analizzavano non solo la presenza di servizi http e https ma anche eventuali applicazioni che potevano essere forzate o dimenticate con credenziali banali (phpMyAdmin, cPanel, ISPConfig, Plesk…). Con l’arrivo dei CMS le cose si sono fatte ancora più interessanti e quindi si testava la presenza di WordPress, Joomla, Drupal o chi per esso e i loro account amministrativi. Ora ho trovato scanner per server SQL, IPSec (cercano primariamente sistemi VPN con Phase 1 in modalità Aggressive e utenze come cisco/cisco, admin/admin), OpenVPN, ssh (eseguono ben più di un attacco a forza bruta cercando di indovinare le password), servizi cloud di Synology (porte 5000 e 5001, tenete aggiornati gli apparati o usate QuickConnect) e una pletora di altri servizi. Se hai una porta aperta, sicuramente qualcuno viene a vedere che servizio sta in ascolto lì dietro.
• Velocità: ho scovato un DVD di una distribuzione Linux di un paio di anni fa. Ho installato una macchina virtuale e ho organizzato su essa un NAT 1:1 da uno degli IP pubblici. Ho volutamente evitato ogni operazione di patch o aggiornamento. In 14 minuti la macchina era bucata, con la CPU al 100 percento e migliaia di pacchetti che uscivano e entravano da IP cinesi. Aggiornare il computer è una seccatura, ma sopportate e fatelo spesso.
• Non siate pigri: esiste un programmino indispensabile. È open source, multipiattaforma e si chiama Keepass. Permette di creare password complesse e avere un database di username e password accessibile con una sola password da ricordare. Evitate di usare sempre le stesse password. Se uno dei servizi (anche in cloud) viene compromesso, tutte le vostre informazioni personali sono esposte.
• Spendete questi 50 euro l’anno: Microsoft ha migliorato drasticamente la sicurezza di Windows ma è ben lontana dall’ottimale. E il suo sistema di antivirus/antimalware fa schifo. Inutile essere politically correct. Fa schifo. E ora se usate Windows (per simpatia o per lavoro) dovete avere non solo un antivirus ma una soluzione endpoint completa. Vi sono prodotti ottimi e semplici da usare (BitDefender o G Data giusto per citarne due) e altri ottimi, molto specializzati ma di uso più complesso (Comodo Internet Suite). Scegliete l’endpoint che più vi aggrada tra i leader di mercato ma installatelo e tenetelo sempre attivo.
• Linux e Mac non sono al sicuro: il fatto che non siano sensibili ai virus non vuol dire che siano sicuri. Sistemi operativi e servizi vanno tenuti, come minimo, aggiornati costantemente. Meglio ancora bisognerebbe attivare un firewall personale e spegnere tutti i servizi inutili o non usati.

Se state ancora leggendo questo articolo e non siete corsi a controllare i computer, siete sufficientemente paranoici (e quindi lo avete già fatto) o non avete capito la gravità del problema. Vi ho avvisato.