[Wireless] WIFI pubblica - malware

[mr.right77]

Ciao a tutti.
da un paio d'anni uso Ubuntu a livello "consumer".
da qualche giorno mi collego ad una rete pubblica (leggi bar) durante la pausa pranzo.
durante l'ultima connessione mi è apparso il messaggio che più o meno recitava: "attenzione, impossibile ottenere il controllo della tastiera, potrebbe esserci un malware..."
nel frattempo firestarter segnalava due tentaviti pericolosi in ingresso:
" sconosciuto 192.168.1.1 porta 80 protocollo ICMP servizio DNS"
"  sconosciuto 192.168.1.1 porta 53 protocollo ICMP servizio http"
nel system monitor non appaiono applicazioni strane. solo quando avvio firefox appare un icona programma senza nome che scompare immediatamente.

ho provato a far partire chk rootkit e segnalava solo alcune cartelle sospette

premesso che ho installato solo file da repository e non sono troppo sprovveduto, premesso che la mia password root è (o meglio era ) molto fragile, è possibile che vi sia stata un'effettiva intrusione?
ora ho reinstallato tutto formattando l'hd, ma usando parecchio gli hot spot che trovo in viaggio vorrei evitare situazioni di questo tipo soprattutto se lontano da casa.
sono solo paranoie?
P.S. uso l'ultima versione di UNR
grazie a chi volese darmi un suggerimento...

[Alterego_01]

No! non sono solo paranoie!!
Chiunque utilizza una rete che non e' sua puo' incappare in situazioni del genere ed anche peggiori!!

Per quanto riguarda TUTTE le reti open (quindi non criptate!!) i pacchetti che vengono immessi nell' etere possono essere letti da TUTTI! quindi la privacy e anche i dati sensibili che vengono spediti in una rete wireless sono alla portata del primo che sniffa!!!

Per non parlare di chi ha preso "possesso" della rete! che puo' reindirizzare il traffico a sua scelta ed utilizzare le "debolezze" dei programmi che si usano (come firefox) per penetrare nel computer o inserire i famosissmi "rootkit"!!!

In questo discorso, che sarebbe veramente mooolto piu' lungo, sono incluse anche le reti di casa che non usano algoritmi di protezione o che usano protezioni deboli!!!

Molti si connettono alla prima rete open che trovano senza rendersi minimamente conto che "oltre a commettere un reato" mettono a serio rischio la propria sicurezza!!!

Ricordo anche che non basta connettersi su un sito che utilizza https per sentirsi sicuri ma in caso siate connesi ad una rete pubblica o non sicura BISOGNA SEMPRE VERIFICARE IL CRETIFICATO DEL SITO A MANO!!!! perche' a falsificarlo o a sostituirlo non ci vuole molto!!!

Il resto sono sempre le stesse raccomandazioni, che non sono infallibili ma almeno aiutano la protezione contro questi problemi, cioe' aggiornare sempre!!! "ovviamente da reti sicure con repository verificati!!!" e far girare meno demoni possibili!! o/e implementare un buon firewall!!

[mr.right77]

grazie per la risposta rincuorante  :'(
così sono però passato dalle paranoie all'ossessione  >:(

premesso che nulla può essere considerato sicuro.
assodato che chi si sposta molto accede (spesso è una necessità) di frequente a hotspot in luoghi pubblici etc.. (non parliamo per forza di intrusioni in casa d'altri illegali) e assodato che non possiedo sul pc dati che possono interessare la CIA o wikileaks (quindi chi glielo fa fare allo sniffatore)...

posso stare ragionevolmente tranquillo, con un firewall (firestarter), una password "robusta" e un sistema regolarmente aggiornato?
mi basta che come in questo caso il firewall si sia accorto che qualcosa non andava...
oppure potrebbe succedere che il mio pc venga violato anche senza che io me ne accorga come in questo caso?
perchè allora addio internet in mobilità....

[Massimog]

il rischio maggiore è la privacy

[Alterego_01]

premesso che nulla può essere considerato sicuro.
assodato che chi si sposta molto accede (spesso è una necessità) di frequente a hotspot in luoghi pubblici etc.. (non parliamo per forza di intrusioni in casa d'altri illegali) e assodato che non possiedo sul pc dati che possono interessare la CIA o wikileaks (quindi chi glielo fa fare allo sniffatore)...

Il discorso che ho fatto prima, vale per TUTTE le reti non sicure gli hot-spot o le reti di albergo non fanno eccezione perche' anche quando non sono open ed usano crittografia WPA o Autenticazione con server RADIUS vi si connettono molte persone e se tra queste c'e' qualche "utente malizioso" (Dio quanto mi fa morire dal ridere questo termine) la privacy va a rotoli . Uno "sniffatore" cerca ovviamente informazioni utili come un'identita' da rubare, un bot, un account da utilizare o meglio una carta di credito ecc...

posso stare ragionevolmente tranquillo, con un firewall (firestarter), una password "robusta" e un sistema regolarmente aggiornato?

Queste sono le basi, che includono anche il ricordarsi di non immettere, se possibile, dati personali come appunto password per account o numeri di carte di credito senza aver almeno verificato il certificato del sito!

mi basta che come in questo caso il firewall si sia accorto che qualcosa non andava...
oppure potrebbe succedere che il mio pc venga violato anche senza che io me ne accorga come in questo caso?

Puo' succedere anche senza che nessun allarme scatti, ma in quel caso chi fa il lavoro deve essere veramente molto bravo!!! perche' io in laboratorio con le varie prove che faccio noto sempre quando un attacco sta' avendo successo, anche se gli antivirus ed i firewall non si accorgono di niente, vedo un rallentamento improvviso del computer o il servizio attaccato si blocca o crasha, ecc... e questo in condizioni ottimali, le probabilita' che nella tua stessa rete ci sia un "utente malizioso" che abbia le cpacita' di non far scattare nessun allarme su un computer protetto che non conosce bene sono veramente mooolto basse!!

[Massimog]

un firewall ti serve se hai servizi in ascolto che vuoi proteggere, di default Ubuntu non ha servizi in ascolto verso l'esterno

[mr.right77]

un firewall ti serve se hai servizi in ascolto che vuoi proteggere, di default Ubuntu non ha servizi in ascolto verso l'esterno

di fatto però il firewall mi ha segnalato 2 eventi "pericolosi" in ingresso ed è successo quanto segnalato nel primo post.

o trattasi di bug (mi riferisco al controllo della tastiera)....

[Massimog]

un firewall ti serve se hai servizi in ascolto che vuoi proteggere, di default Ubuntu non ha servizi in ascolto verso l'esterno

di fatto però il firewall mi ha segnalato 2 eventi "pericolosi" in ingresso ed è successo quanto segnalato nel primo post.

o trattasi di bug (mi riferisco al controllo della tastiera)....

non è per caso che hai attivato il desktop remoto?

[mr.right77]

no, non ho attivato il desktop remoto.
stasera sono ripassato davanti all'hotspot, e ho visto che addirittura il router non ha password.
questo per dire che mi sembra strano che il presunto attacco possa arrivare dal titolare del bar.
prende sempre più piedi l'ipotesi dell'auto attentato, ovvero che sia stato un qualche bug a far uscire il messaggio malware.
per i 2 eventi, che provengono dal'indirizzo ip del router non saprei, magari sono eventi di routine che il firewall a segnalato comunque...