[Ninux-Wireless] Risultati smanettamento di ieri al Giovedì Nerd a Roma

nemesis nemesis a ninux.org
Mar 24 Set 2013 15:12:14 CEST 

 On Tue, 24 Sep 2013 14:43:42 +0200, leonardo <mail a leonardo.ma> wrote:
> On 09/20/2013 07:13 PM, Nemesis wrote:
>>
>> Mi sembra alquanto limitante per un software che mira ad essere
>> flessibilee configurabile ed utilizzato da molte realtà. Io ad 
>> esempio
>> lo sto già utilizzando a lavoro per alcune coseche non c'entrano 
>> nulla
>> con ninux e questo mi da la possibilità di lavorarci di più.
>
> Se sviluppi cercando di mantere un occhio di riguardo per la 
> sicurezza,
> ti devi sempre immaginare gli scenari problematici. Ad esempio, se te
> salvi le credenziali in chiaro e qualcuno entra nel tuo server (o 
> trova
> una vulnerabilità nella tua applicazione) ha in mano tutte le 
> password
> di tutti gli utenti che l'hanno salvata. Considerando che spesso la
> gente ri-usa le password, rischi di essere un single point of failure
> che può portare molti danni e molti utenti incazzati.
>
>>   * poter disabilitare lo storage delle credenziali da 
>> configurazione
>>   * cifrare le pwd con un algoritmo asimmetrico e rendere 
>> impossibile la
>>     decrittazione via interfaccia web
>
> Se chi ti attacca ha accesso al server non serve, la chiave privata 
> deve
> stare sul server, altrimenti non la puoi utilizzare. L'attaccante si
> prende la chiave e decifra le password. Se salvi le password altrove
> devi comunque avere un modo per richiederle quando servono, e lo può
> fare anche l'attaccante.
>
> Quindi, qualsiasi cosa tu voglia fare, è insicuro salvare le password
> in chiaro, o cifrate. Al limite hashate (con salt), ma cosi' non le 
> puoi
> utilizzare come vuoi te.
>
>>   * inseriresolo credenziali readonly
>>   * usare SNMP, MUNIN, oppure un API HTTP readonly
>>   * far salvare la chiave SSH del server dentro al device, così come 
>> fa
>>     AirControl ad esempio
>
> Io non vedo una soluzione pulita che non coinvolga un po' di
> configurazione sui nodi. Se puoi fare qualche assunzione su cosa è
> installato sui nodi, è tutto più facile (a partire da quelle 
> soluzioni
> che hai citato).

 C'è una lista di classi "puller" disponibili che si possono scegliere, 
 bisogna scrivere delle classi AdHoc per ogni metodo/firmware che si 
 vuole adottare es: (SNMP per AirOS, SSH per OpenWRT, Munin per OpenWRT 
 ecc).

 Soluzioni facili non ce ne sono, però con un pò di iterazioni e lavoro 
 si può arrivare a qualcosa di usabile e soddisfacente. Sicuramente 
 meglio che inserire tutto a mano, che comunque sarà possibile per chi lo 
 vorrà!

 Ti vengono in mente altre idee?

 Federico

Maggiori informazioni sulla lista Wireless